🔒
There are new articles available, click to refresh the page.
Before yesterdayOrange

GitHub Enterprise SQL Injection

7 January 2017 at 08:50
Before GitHub Enterprise is the on-premises version of GitHub.com that you can deploy a whole GitHub service in your private network for businesses. You can get 45-days free trial and download the VM from enterprise.github.com. After you deployed, you will see like bellow: Now, I have all the GitHub environment in a VM. It's interesting, so I decided to look deeper into VM :P

[隨筆] Java Web 漏洞生態食物鏈

7 December 2016 at 14:18
本來這篇文章叫做 HITCON CTF 2016 初賽出題小記的,可是擺著擺著就兩個月過去惹~ 轉來寫寫跟 Java 有關的東西XD 關於序今年五六月的時候,看到某個曾經很多人用但快停止維護的 Java Web Framework 弱點的修補方式感覺還有戲所以開始追一下原始碼挖 0-Day,順便整理一下 Java Web 相關弱點 — 😊覺得有趣。 通常自己在外面演講時對於 Web Security 的分類中大致可分為三個世界: File-Based 的世界,一個檔案對應一個入口點如經典的 ASP, PHP, ASPX 等 Route-Based 的世界,一個路徑對應一組函數(功能)如經典的 Rails, NodeJS, Django 等 Java 的世界,Java 的世界極其複雜自成一格獨立討論 當然三種分類並不是獨立開來,如常見 PHP MVC 用 Rewrite 將

Collection of CTF Web Challenges I made

13 October 2016 at 03:27
把出過的 CTF Web 題都整理上 GitHub 惹,包括原始碼、解法、所用到技術、散落在外的 Write ups 等等 This is the repository of CTF Web challenges I made. It contains challs's source code, solution, write ups and some idea explanation. Hope you will like it :) https://github.com/orangetw/My-CTF-Web-Challenges

HITCON 2016 投影片 - Bug Bounty 獎金獵人甘苦談 那些年我回報過的漏洞

23 July 2016 at 02:00
This is my talk about being a Bug Bounty Hunter at HITCON Community 2016 It shared some of my views on finding bugs and some case studies, such as Facebook Remote Code Execution... more details Uber Remote Code Execution... more details developer.apple.com Remote Code Execution abs.apple.com Remote Code Execution b.login.yahoo.com Remote Code Execution... more details eBay SQL Injection

How I Hacked Facebook, and Found Someone's Backdoor Script

21 April 2016 at 07:30
千呼萬喚始出來XD How I Hacked Facebook, and Found Someone's Backdoor Script (English Version) 滲透 Facebook 的思路與發現 (中文版本) 看來再找一個 Google 的 RCE 就可以把各大公司的 RCE 系列給蒐集全了XD

Uber 遠端代碼執行- Uber.com Remote Code Execution via Flask Jinja2 Template Injection

6 April 2016 at 21:52
好久沒 po 文了XD 幾天前,Uber 公佈了 Bug Bounty 計畫,從  Hackerone 上看到獎金不低,最少的 XSS / CSRF 都有 3000 美金起就跳下來看一下有什麼好玩的XD 從官方公佈的技術細節發現 Uber 主要網站是以 Python Flask 以及 NodeJS 為架構,所以在尋找漏洞的時候自然會比較偏以測試這兩種 Framework 的漏洞為主! Uber 網站在進行一些動作如修改電話、姓名時,會以寄信及簡訊的方式告知使用者帳號進行了變更,在某次動作後發現 Uber 寄過來的信如下圖,怎麼名字會多個 "2" XDDDD 往前追查原因才發現進入點是在 Riders.uber.com,Riders.uber.com 為修改個人資料以及顯示帳單、行程行程的地方,在修改的姓名中,使用了 {{ 1+1 }} 這個 payload

HITCON CTF 2015 Quals & Final 心得備份

14 January 2016 at 14:22
當初好像沒留底稿只發布在 Facebook 跟烏雲 今天睡醒發現又有人在轉貼這篇,想說留個備份好了XD Facebook 連結 Wooyun 知識庫連結 HITCON KnowledgeBase 連結 ---------- 決賽 Attack & Defense 也出了一道 Web 題目 0ops 成員 5alt 也寫了一篇筆記 HITCON CTF 2015 Final Webful Writeup 寫的真棒XD 看得我自己心癢癢都想寫一篇來解釋各個洞為什麼要這樣設計了XD 出 Final 時候本意就是要把環境模擬成真實環境,讓平常 Web 狗的各種猥瑣流可以得心應手而不是淪為解題形式在實戰中派不上用場   除了各個 API 接口的互相影響 單點淪陷 = 全部淪陷 外 還有模擬 Discuz UC_KEY 的應用,SECRET_KEY 洩漏的各種利用方式順便防止 Replay

Google & Facebook Bug Bounty GET

29 September 2015 at 06:28
先說這篇純粹炫耀文xD 暨 2013 年 Yahoo 開始有 Bug Bounty 那時搶個流行找了兩個漏洞回報 Yahoo 然後 Yahoo Bug Bounty Part 1 - 台灣 Yahoo Blog 任意檔案下載漏洞 Yahoo Bug Bounty Part 2 - *.login.yahoo.com 遠端代碼執行漏洞 就沒有然後了。之後就變成電競選手在打 CTF 了 直到今年年中,想說至少把幾間大公司的漏洞回報榜都留個名字就開始繼續挖洞 不過實際下去挖掘的時候發現差異滿大的,好挖好找嚴重性大的漏洞都已經被找走 感覺挖漏洞的藍海時代已經過惹 現在要當獎金獵人只能往比較前端跟設計上的小疏失挖掘,賺不到甚麼大錢XD 花了一點時間 survey 歷年出過的一些漏洞以及前端相關的一些攻擊手法 找到了個 Google 某官方的 CSRF 導致個人資訊

AIS3 Final CTF Web Writeup (Race Condition & one-byte off SQL Injection)

10 September 2015 at 15:13
這次為了 AIS3 Final CTF 所出的一道題目,這題在這以初新者導向中的比賽中相對難, 不過其中的觀念很有趣,在解題中什麼都給你了就是找不到洞但經人一解釋就會有豁然開朗覺得為什麼自己沒想到的感覺 在做 Web 攻擊、滲透滿多時候思路不能太正派、太直觀,要歪一點、要 "猥瑣" 一點XD 純粹 code review 直接上 code (可以自己先嘗試一下找不找的到洞XD) .gist-file .gist-data {max-height: 500px;} 漏洞一 Race Condition 預設註冊的使用者都是會被放進 locks 表中鎖起來的, 但是只要在註冊中,帳號尚未被新增進 locks 表時(111 & 112 行) 馬上登入的話, 登入檢查是否被鎖住的限制就可以繞過了! 漏洞二 one-byte off SQL

Remote Code Execution through GDB Remote Debugging Protocol

31 August 2015 at 15:16
在準備 DEFCON CTF 時額外想到的小玩具, 很多人使用 GDB remote debugging 時為了方便遠端使用,會將 port 綁在 0.0.0.0 上使得攻擊者可以連接上做一些事情 至於可以做哪些事情,不來個遠端代碼執行就不好玩了XD 大部分的工作都基於 Turning arbitrary GDBserver sessions into RCE 這篇文章, 修改部分則是加上 arm 及 x64 的支援以及把 code 改好看點....XD 比較 tricky 的部分則是 GDB 在 extended-remote 後,GDB 預設的處理器架構會是 i386 如果遠端的處理器架構非 x86 的架構下會失敗,所以必須用 set architecture 指定處理器架構 (原文章因為都在 x86 架構下所以沒這個問題XD) 但是在 run 之前無法知道所處的處理器架構
  • There are no more articles
❌