url劫持域名dns跳转黑客渗透

CTF/TCTF 2021 Quals Writeup

这里如果len是0，realloc返回值为0，他再次free就会有个直接的doublefree。

这里注意一下，由于put_debug_info函数会调用localtime相关的函数，第一次调用的时候会打开localtime文件，会调用一个strdup，所以会把上面free掉的chunk拿来用，所以第一次不会触发doublefree，同时他也会把堆地址信息打印出来。

在第二次utilrealloc(ptr,0)的时候就会触发doublefree了，这里面是0x20大小的chunk，tcache直白的doublefree会报错，需要改他的key字段才行，但是现在还没有uaf。

看到指令发生了变化，让我们拥有了向一个相对可控的地址写入一个不可控字节的能力

同时在admin_hook里加一个print，也可以看到的确执行了admin_hook，所以我们获得了admin_hook将ADMIN代码拷贝到CODE+0x1000之后，再次修改里面代码的资格！！

这里肯定是改CODE+0x1000之后的代码，因为CODE位置是不可写的

之后写了个代码来不断观察发生变化后的ADMIN代码，人工找一下什么时候我们可以有操作空间，只要不断修改下面的offset变量就可以了

wifi遭到dns劫持是怎么回事

回答1:最简洁快速的方法就是下载360安全卫士，有个dns修改插件，一键修改。

回答2:都是地域性的问题，是运营商被劫持的多呗。

回答3:直接打电话给宽带运营商啊，它们会解决。

回答4:也可能是运营商劫持，压根就跟路由器和猫没关系了，无法排除问题，可以电脑接猫拨号，如果没问题，那就是路由器问题，如果有问题，那就是猫或运营商的问题。

回答5:斐X的路由器，不要做为第一路由用应该没问题吧。反正，这个东西，我直接接光猫上，就是，时不时，手机会弹广告，无论什么环境，只要有弹的地方，他就会往外弹，后来不用了，再后来，有需要用，就接到，其他路由器之下了，然后，再也没有发现弹广告，或许是，这款路由不直接接光猫的话，就可能使用弹广告的机会了，现在接入的方式是通过WIFI桥接过来的WIFI信号，他就不弹广告，也有可能是运营商关掉了。或许，真的没有直接接光猫，所以无法运行弹出的指令了。

回答6:换个路由器吧，斐讯之前返现的路由器，很多都内置了后门的。

回答7:确定是不是运行商劫持，用的斐讯路由器，你要说是路由器的问题吧。

回答8:先用运营商附带的光猫拨号上网，测试有无劫持，没有的话就是你的斐讯路由器问题，有的话那就是运营商问题。

域名劫持——网易云信 IM SDK 服务高可用技术方案
域名劫持是互联网攻击的一种方式，通过攻击域名解析服务器（DNS），或伪造域名解析服务器（DNS）的方法，把目标网站域名解析到错误的 IP 地址从而实现用户无法访问目标网站的目的，或者蓄意/恶意要求用户访问指定 IP 地址（网站）的目的。

关于域名劫持
技术是一把双刃剑，在大侠手中定国安邦，在鼠辈手中祸国殃民

“域名劫持”虽然带了“劫持”二字，但在此环境中实属中性词汇。例如对于一些非法网站的访问，可以通过 DNS 服务把相应的域名解析到不可访问的 IP 地址，以阻止对于该非法网站的访问并给予警告等。在网易云信即时通信产品运维过程中，曾经发生过服务域名 “netease.im“被别有用心的人或组织恶意劫持的事件，导致接入网易云信 IM SDK 的应用无法正常登录，给客户以及客户的用户造成影响。

为了弄清楚这种事故是怎么发生的，我们来分析一下网易云信 IM SDK 的登录过程：从流程上来看，在“更新 LBS”的节点上，如果发生 DNS 劫持，在访问网易云信 LBS 服务时有可能超时或者拿到了错误的应答，导致 IM SDK 无法获取正常的 Link 服务器地址及端口

LocalDNS 域名劫持
域名劫持一直是困扰许多开发者的问题之一，其表现为域名 A 应该返回的 DNS 解析结果 IP1 被恶意替换为了 IP2，导致 A 的访问失败或访问了一个不安全的站点，常见域名劫持方式有以下几种：

黑客入侵宽带路由器，篡改终端用户 LocalDNS，并指向伪造 LocalDNS，通过控制 LocalDNS 的逻辑返回错误的 IP 信息进行域名劫持。
监听终端用户域名解析请求，在 LocalDNS 返回正确结果之前将伪造的 DNS 解析响应传递给终端用户，进而控制终端用户的域名访问行为。
缓存污染，LocalDNS 缓存了域名的解析结果，并对部分域名结果进行更改，导致用户访问被指向被更改的地址

🔩劫持找我，流量跳转💫 @REvil_kibi

DNS劫持网站安全与流量攻击

目前，越来越多的服务器受到DDoS流量的攻击，特别是近年来，DNS流量攻击呈现出快速增长的趋势，DNS受众广泛，存在漏洞，容易被攻击者利用。对于DNS流量攻击的详细情况，让我们做一个全面的分析，并通过近年来sine安全的安全监控大数据来看看DNS攻击。一种是DNS路由劫持攻击，另一种是DNS流量放大攻击。

服务器的攻击者将劫持DNS缓存攻击的路由。发送请求包或打开网站时，他会找到近的路径。总之，这是网站劫持。例如，当访问者请求sine security官方网站时，如果二级路由被劫持，他将向您返回一个非sine security的IP。攻击者可以恶意构造此IP。当您意外地访问它并输入用户名和密码时，攻击者将掌握这些信息。也就是说，密码信息被劫持。

【科普】什么叫作DNS服务器和DNS劫持/污染

上面的东西我们不讲（其实就是我也没完全搞懂awa）我们只关注下面这个

你们的设置可能跟我不同，可能设置了DNS服务器，但这个并不重要

正文Part1——问题引出
你们有没有遇到过这种情况：

啥网页都打不开，但是QQ或微信就能正常使用，这是什么情况呢

我也不知道，那么这篇文章就到这里了，拜拜！

其实这就是DNS服务器的问题

你在网络和Internet设置——更改适配器选项——WLAN属性——Internet 协议版本4（TCP/IPv4）属性中重新设置一下DNS服务器地址就好了

当然我们今天不是讲怎么修复这个问题，而是要探究这个问题的来源

正文Part2——DNS服务器到底是个啥&问题来源总结
DNS到底是个啥？

DNS全称：Domain Name System（域名系统）

DNS泄露/dns劫持的危害，容易暴露自己的上网行为，泄露自己的个人隐私！

1、DNS泄露和DNS劫持的区别
DNS泄露：是指未经授权地公开或泄露DNS记录的行为。这可能会导致攻击者获取关键信息，例如域名、IP地址和其他与域名相关的记录。攻击者可以利用这些信息进行针对性的攻击，如网络钓鱼和恶意软件分发。
DNS劫持：DNS劫持是指黑客通过篡改DNS解析结果，将用户访问的网站域名指向恶意的IP地址或者伪装成合法的网站，从而实施网络攻击或者窃取用户信息。DNS劫持可能导致用户被重定向到恶意网站、无法访问正常网站、受到钓鱼攻击等。

DNS 劫持

发送端 ->DNS 服务器 请求：a.com 的真实 IP 地址

正常：DNS 服务器 (没有找到就会向上一级 DNS 服务器查找) 会根据 a.com 找到匹配的 ip 220.112.1.1

劫持：在 DNS 服务器查找匹配值的时候，在某个节点修改他的域名匹配的 ip（或者设置成无效 ip），这样就会直接返回这个记录的 IP 地址，也就是被劫持后的 220.112.6.66



发送端最后根据返回的 IP，发送数据包！

基于辅助功能实现镜像劫持原理及实现
安全从业者不应轻视任何一种漏洞，因为当不同的漏洞结合到一起时很有可能产生1+1>2的效果。这一点在辅助功能和镜像劫持身上很好的体现了出来。

之前我们提过辅助功能是执行系统命令，并且允许用户在未登录的情况下运行，那么当我们使用镜像劫持攻击，更改了这些指令在注册表IFEO中的键值就可能造成攻击者不需要登陆系统即可运行某些恶意软件。

原理：
修改注册表，在“HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Option”中添加Utilman.exe项，在此项中添加debugger键，键值为启动cmd的命令C:\WINDOWS\System32\cmd.exe。

当攻击者通过远程桌面协议连接到受害者电脑上时，只需使用组合键win+u，本应该打开的设置中心，最终却打开了cmd命令行，通过命令行可以添加用户、打开注册表、运行恶意软件、添加隐蔽后门等等一些列攻击手段，严重性不言而喻。

复现：
在注册表中新增Utilman.exe表项，添加键值对Debugger=“C:\WINDOWS\System32\cmd.exe”
在登陆页面上运行win + u，在无需登录的情况下就打开了cmd命令框。



🔩劫持找我，流量跳转💫 @REvil_kibi

镜像劫持简介
“镜像劫持”，又叫“映像劫持”，也被称为“IFEO”（Image File Execution Options），在Windows NT架构的系统里，IFEO的本意是为一些在默认系统环境中运行时可能引发错误的程序执行体提供特殊的环境设定。当一个可执行程序位于IFEO的控制中时，它的内存分配则根据该程序的参数来设定，而Windows NT架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据，最终得以设定一个程序的堆管理机制和一些辅助机制等。大概微软考虑到加入路径控制会造成判断麻烦与操作不灵活的后果，也容易导致注册表冗余，于是IFEO使用忽略路径的方式来匹配它所要控制的程序文件名。

简单来说，当我想运行A.exe，结果运行的却是B.exe，也就是说在这种情况下A程序被B程序给劫持了，而映像劫持病毒就是通过修改某些注册表常用项的键值，达到在用户无意识的情况下想运行常用程序却让木马等恶意程序在后台运行的目的。

镜像劫持原理及实现
原理：
为了实现镜像劫持，需要先找到镜像劫持在注册表中的路径，“HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ WindowsNT \ CurrentVersion \ Image File ExecutionOptions”。

然而WINDOWS NT系统在试图执行一个从命令行调用的可执行文件运行请求时，会先检查运行程序是不是可执行文件，如果是的话，再检查格式，然后就会检查是否存在。由此我们发现，造成镜像劫持的罪魁祸首就是参数“Debugger”，他是IFEO里第一个被处理的参数，若果该参数不为空，系统则会把Debugger参数里指定的程序文件名作为用户试图启动的程序执行请求来处理，而仅仅把用户试图启动的程序作为Debugger参数里指定的程序文件名的参数发送过去。参数“Debugger”本来是为了让程序员能够通过双击程序文件直接进入调试器里调试自己的程序。现在却成了病毒的攻击手段。

让我们进行更深的思考，当更改的表项是杀毒软件所在的表项，会造成什么后果。毫无疑问，杀毒软件完全没办法工作，不仅绕过了杀毒软件还隐秘的执行了自己的恶意程序，一般用户根本想不到杀毒软件的注册表项会被篡改，这就进一步增加了攻击后可利用的时间。危害性不言而喻。

复现：
修改注册表的恶意代码：

#include

#include

using namespace std;

int test(){

DWORD dwDisposition;

HKEY hKey;

const char path[] = "C:\WINDOWS\System32\calc.exe";

RegCreateKeyExA(HKEY_LOCAL_MACHINE, "Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\chrome.exe", 0, NULL, 0, KEY_WRITE, NULL, &hKey, &dwDisposition);

RegSetValueExA(hKey, "Debugger", 0, REG_SZ, (BYTE*)path, (1 + ::lstrlenA(path)));

return 0;}

int main(){

test();

return 0;}

恶意程序运行后，注册表中chrome.exe新增键值对Debugger=“C:\WINDOWS\System32\calc.exe”

注册表项遭到修改后，双击运行chrome运行，本该打开网页却打开了计算器程序，因为系统优先执行了”C:\WINDOWS\System32\calc.exe”。造成了镜像劫持攻击。

漏洞修复
如果修复payload1，按照修复CVE-2021-28164的方式，在__ambiguousSegments中增加%u002e类似的歧义字符，是可以的。但是Jetty并没有这么做，而是直接选择了不按照RFC规范来了。

这是最新版9.4.43中org.eclipse.jetty.http.HttpURI.java中新加的注释。也就是说，通过在规范化相对路径之前进行url解码和删除参数，歧义的路径就不存在了，但是这是一种非标准的方法，因为RFC3986要求需要先规范化，在进行解码和删除参数，也就是9.4.37-9.4.42之间（包含）的版本的处理方式才是标准的。

SSD 咨询 – IP-BOARD 存储型 XSS 到 RCE 链

IP-Board 附件和默认 mimetypes

与大多数论坛软件一样，IP Board 允许论坛用户将附件上传到帖子和 PM。这些附件将上传到应用程序的上传目录。以下屏幕截图显示了在将文件somefile和图像avatar.png作为附件上传到 IP Board后，IP-Board 安装的文件系统

可以看出，上传文件的原始文件名略有修改，并添加了 MD5 哈希值。我们暂时假设此 MD5 哈希值是随机生成的。

index.html 由 IP-Board 生成，目的是防止上传目录中的目录列表。允许直接访问此目录，并且不受 .htaccess 文件禁止。

这是因为，部分地，直接访问此目录是 IPBoard 所期望的行为，例如允许嵌入图像。一旦用户将此类附件上传到论坛，他将收到这两个文件的链接。

但是，这两个文件的链接不同。第一个文件是没有扩展名的文件，因此可能很危险。当上传此文件时，IP-Board 只会返回此附件在数据库中保存的 ID

当访问此 URL 时，IP-Board 会将附件 ID 解析为上传目录中的随机文件名，并将其作为下载文件。这本身就是安全的

Exchange EWS接口的利用

最近出来了几个Exchange preauth的漏洞，有Proxylogon、Proxyshell。简单看了下，本质都是SSRF，然后通过SSRF调用一些需要授权的接口进行GetShell。如果不进行GetShell，又或者是GetShell失败时，如何利用上面的SSRF去获取邮件内容等操作，又或者只有NTLM HASH时，无法解密出密码时，如何依然去做同样的Exchange的操作。

EWS接口

本文将介绍的是Exchange的EWS接口，URI为exchange.com/ews/exchange.asmx，相关介绍可以参考：https://docs.microsoft.com/en-us/Exchange/client-developer/web-service-reference/ews-reference-for-Exchange

默认该接口需要鉴权
尝试利用上述SSRF去访问，以Proxyshell触发点为例
发现成功看到了该接口的真实面貌

DNS解析路径劫持有什么特点？
–路径劫持类型层面的特征
我们发现，直接应答劫持方式（Direct responding）极少发生。这很可能是因为此时的响应结果明显是不正确的。此外，请求转发（Request directing）的比例要高于请求复制（Request replication）的比例。

— 自治域层面的特征
在每个自治域内，解析路径劫持的特点差别巨大，即使在同一个自治域内，由于劫持者的多样性，整体表现出的劫持特征也会较为复杂。 例如，在表1选取的案例中，AS9808和AS56040这两个自治域同属于一家运营商，但是在请求复制类型的比例上也存在明显差异。

DNS解析路径劫持在不同自治域内的特点
自治域 Redirection Replication 劫持者所使用的DNS服务器地址
AS4134 5.19% 0.2% 116.9.94.* (AS4134)
AS4837 4.59% 0.51% 202.99.96.* (AS4837)
AS9808 32.49% 8.85% 112.25.12.* (AS9808)
AS56040 45.09% 0.04% 120.196.165.* (AS56040)

🔩劫持找我，流量跳转💫 @REvil_kibi

Android中DNS域名劫持问题

在客户端进行业务接口请求时，往往会在线上出现解析JSON响应内容失败而导致的应用崩溃，但是在实际开发测试过程中却没有遇到此问题。解决办法就是对JSON解析进行异常捕获，然后将实际响应内容上报到服务端，从而查看具体问题。对上报到服务端的实际响应内容进行分析后，发现响应内容变成各种HTML文本，以下是常见的几种

以上几种均是DNS劫持导致的结果，想知道DNS是如何被劫持的，需要先理解DNS域名是如何解析的,当用户在浏览器地址栏输入域名时，DNS解析有大致十个过程：

1、浏览器先检查自身缓存中有没有被解析过的这个域名对应的ip地址，如果有，解析结束。同时域名被缓存的时间也可通过TTL属性来设置。

2、如果浏览器缓存中没有，浏览器会检查操作系统缓存中有没有对应的已解析过的结果。而操作系统也有一个域名解析的过程，即通过hosts文件来设置，如果在这里指定了一个域名对应的ip地址，那浏览器会首先使用这个ip地址。

3、如果至此还没有命中域名，才会真正地请求本地域名服务器（LDNS）来解析这个域名。

4、如果LDNS仍然没有命中，就直接跳到Root Server 域名服务器请求解析。

5、根域名服务器返回给LDNS一个所查询域的主域名服务器（gTLD Server，国际顶尖域名服务器，如.com .cn .org等）地址。

6、此时LDNS再发送请求给上一步返回的gTLD。

7、接受请求的gTLD查找并返回这个域名对应的Name Server的地址，这个Name Server就是网站注册的域名服务器。

8、Name Server根据映射关系表找到目标ip，返回给LDNS。

9、LDNS缓存这个域名和对应的ip。

10、 LDNS把解析的结果返回给用户，用户根据TTL值缓存到本地系统缓存中，域名解析过程至此结束。


缓存是DNS被动持的根本原因，在DNS解析过程的各个缓存中均有可能被动持。主要包括本机的hosts算改持，和运营商的LocalDNS持等。

Sequoia：Linux 文件系统层中的本地权限提升漏洞 (CVE-2021-33909)

Qualys 研究团队发现 Linux 内核文件系统层中存在一个 size_t 到 int 类型转换漏洞，该漏洞会影响大多数 Linux 操作系统。任何非特权用户都可以在默认配置下利用此漏洞在易受攻击的主机上获得 root 权限。

Linux 内核的 seq_file 接口生成包含记录序列的虚拟文件（例如，/proc 中的许多文件都是 seq_file，记录通常为行）。每条记录必须适合 seq_file 缓冲区，因此会根据需要将其扩大，在第 242 行将其大小加倍（seq_buf_alloc() 是 kvmalloc() 的简单包装器）

TWNIC推動RPKI建置三部曲 杜絕BGP路由劫持威脅

人為疏失、惡意攔截 BGP劫持造成封包資訊外洩

網路世界的路由是由Autonomous system(自治系統；AS)號碼串接組成。在正常的網路世界，若AS4要傳輸封包到AS1有許多條路徑可選擇，經由AS2再到AS1是最快速的路徑。然而若AS6未經授權卻宣告擁有與AS1相同的網段並通知其他節點路由器更新路由資訊，那麼AS4要傳送到AS1的封包就會被導至AS6，這就是BGP路由劫持(如圖1)。駭客攔截了這些流量可用來發送垃圾郵件、竊取加密貨幣，若AS6進一步偽造相似AS1 IP位址的網站就成為釣魚網站，可竊取更多受害者機密個資

域渗透之流量劫持

windows Domain 中文翻译为域，域既是 Windows 网络操作系统的逻辑组织单元，也是Internet的逻辑组织单元。它是由所有的用户计算机，打印机，用户账户和其他的安全主体组成，被域控制器管理。

域是微软提供给企业的一个局域网管理措施，使得信息技术人员能高效的管理和维护局域网中所有的主机和用户。域位于每一个企业最核心的位置，在域上运行着大量的企业核心应用，如邮件系统，协同办公系统，文件共享系统等。

在网络渗透攻击中，攻击者如果获取了域的权限，那么攻击者就有可能获取公司的机密，控制公司的一切。所以域安全是企业安全最为核心的一个环节，并且微软对域本身也在进行不断的安全加固。

NSA泄漏的文档和工具让人们明白了网络的底层设备是多么的不堪一击，但是部分运维人员和安全人员仍然抱有幻想，只要养成正确的计算机使用习惯，不安全的底层网络很难威胁到域的安全，但是事实往往不是这样，Windows域本身十分脆弱，尤其是在不安全的网络环境中，因为域是基于信任底层网络进行设计和建造的。

本文将利用另外一种方法，完成从底层网络入侵windows域。

在Chrome浏览器中开启DNS over HTTPS (DoH)可以增强DNS查询的安全性，防止DNS劫持和污染

在 Google Chrome 浏览器中开启 DNS over HTTPS (DoH)可以增强 DNS 查询的安全性，防止 DNS 劫持和污染。以下是详细的步骤：

### 开启 DNS over HTTPS (DoH)步骤

#### 1. 打开 Chrome 设置

1. 打开 Google Chrome 浏览器。
2. 点击右上角的三个竖点（菜单）按钮。
3. 选择“设置”。

#### 2. 访问安全设置

1. 在“设置”页面，向下滚动并点击左侧的“隐私和安全性”。
2. 点击“安全”选项。

#### 3. 配置安全 DNS

1. 在“安全”页面，向下滚动到“高级”部分。
2. 找到“使用安全 DNS”选项，并启用它。
3. 选择“使用”选项，然后在下拉菜单中选择一个支持 DoH 的 DNS 提供商。例如：
– Google（8.8.8.8）
– Cloudflare（1.1.1.1）
– Quad9（9.9.9.9）

如果你的 DNS 提供商不在列表中，可以选择“自定义”并输入支持 DoH 的 DNS 提供商的 URL，例如：
– Cloudflare: https://cloudflare-dns.com/dns-query
– Google: https://dns.google/dns-query

### 验证 DoH 是否开启

1. 在地址栏输入以下 URL 并按 Enter：

chrome://flags/#dns-over-https

2. 确保“Secure DNS lookups”选项已启用（设置为“Enabled”）。

### 通过 chrome://net-internals 验证

1. 在地址栏输入以下 URL 并按 Enter：

chrome://net-internals/#dns

2. 点击“Clear host cache”按钮清除 DNS 缓存。
3. 访问一个你知道会触发 DNS 查询的域名，例如`example.com`。
4. 返回`chrome://net-internals/#dns`页面，查看“Host resolver cache”部分，确保解析请求通过 DoH 完成。