0.漏洞概述 感觉现在很多人都在用老版本的Typora。并且打开Markdown前应该也不会审计什么的,所以说很容易中招。该漏洞POC已经公开,注意防范。 1.漏洞情报 Windows和Linux版本1.6.7之前的Typora中的updater/update.html中存在基于DOM的XSS,该漏洞允许通过加载特制的markdown文件从而使得执行任意JavaScript代码。如果用户打开恶意markdown文件或者从恶意网页复制文本并将其粘贴到Typora,通过在<embed>标签中引用update.html,则可以利用此漏洞,此外,攻击者可以使用特权接口reqnode访问节点模块child_process并执行任意系统命令。 2.漏洞利用 点我下载 Base64解密后就是这样reqnode('child_process').exec(({Win32: 'calc', Linux: 'gnome-calculator -e "Typora RCE PoC"'})[navigator.platform.substr(0,5)])可以看到这里可以任意命令执行,那么其实很容易就能直接点击文档,无感上线,具体方式自行研究。
文章讲述了: 1.浏览器加密数据具体的文件位置homeDir + "/AppData/Local/Google/Chrome/User Data/"用户的默认profile文件为Default,该目录下存储着浏览器的各种数据库文件。 其中主密钥文件位于数据目录下的Local State文件中,password和cookie两个数据库被该密钥加密,history无需解密可明文读取,各文件具体位置可以在本项目的item文件夹下查看。 2.浏览器加密数据使用的一些算法 windows平台下密码和cookie的加密并非直接的aes或rsa等加密,而是使用了DPAPI,DPAPI实现了用户层面的加密,即只有同一个用户调用该api时可以恢复对应的数据。而chrome这里的主密钥是经过dpapi加密的,因此只能在目标机器以对应用户的身份还原。将文件外带后本地还原是行不通的。 这也是部分情况下攻击者获取了system权限后,HackBrowserData无法还原数据的原因(另一个原因是其默认情况下是根据用户家目录搜寻数据的,system的家目录下自然没有东西)。 当然,dpapi的加密依赖于用户口令,如果攻击者直接是administrator及以上层级,能够mimikatz一把梭恢复出用户口令hash的话,也可以进行本地还原。 这句话就是说:如果只有任意文件读取的话,虽然能下载下来文件,但是无法解密。 3.如何绕过EDR的防护去导出数据 这里使用了chrome的devtools去实现的操作:让浏览器自己把自己的这些东西弄下来,具体的操作看原文。
最近准备学习近期比较火爆的Go语言,找了半天,找了几个不错的学习Go的网站 入门 Go编程时光 从部署环境开始讲的文章,非常Nice.边学边敲,应该一天差不多能入门好这门语言 白帽子安全开发实战 这本书上来就是一堆代码,但是没有讲Go的基础,所以打算后面去看。可以去微信读书免费看(但好像是我有个什么读书券) 其他的就是阅读一些Go的项目,然后直接开干!
作者说这是个水洞的好方法,在我看来他确实有这方面的功效。但回来想跟进一下这个功能,看看能否扩充为一个钓鱼场景下的一个弹框,比如在浏览这个pdf前直接弹窗需要登录该系统,这样我们说不定就会获取某个人员的账号,并且域名与系统均是白的。当然,这需要一些JS手法,这是我目前的研究方向:利用XSS完成更高阶的后利用
总结:
1.水洞,用于甲方或领导让你必须挖出漏洞的场景
2.尝试水坑钓鱼
最新的一个Windows提权漏洞,具体利用细节什么的还没看,回来有空详细学习一下最新的这些东西