url劫持域名dns跳转黑客渗透

漏洞修复
如果修复payload1，按照修复CVE-2021-28164的方式，在__ambiguousSegments中增加%u002e类似的歧义字符，是可以的。但是Jetty并没有这么做，而是直接选择了不按照RFC规范来了。

这是最新版9.4.43中org.eclipse.jetty.http.HttpURI.java中新加的注释。也就是说，通过在规范化相对路径之前进行url解码和删除参数，歧义的路径就不存在了，但是这是一种非标准的方法，因为RFC3986要求需要先规范化，在进行解码和删除参数，也就是9.4.37-9.4.42之间（包含）的版本的处理方式才是标准的。

SSD 咨询 – IP-BOARD 存储型 XSS 到 RCE 链

IP-Board 附件和默认 mimetypes

与大多数论坛软件一样，IP Board 允许论坛用户将附件上传到帖子和 PM。这些附件将上传到应用程序的上传目录。以下屏幕截图显示了在将文件somefile和图像avatar.png作为附件上传到 IP Board后，IP-Board 安装的文件系统

可以看出，上传文件的原始文件名略有修改，并添加了 MD5 哈希值。我们暂时假设此 MD5 哈希值是随机生成的。

index.html 由 IP-Board 生成，目的是防止上传目录中的目录列表。允许直接访问此目录，并且不受 .htaccess 文件禁止。

这是因为，部分地，直接访问此目录是 IPBoard 所期望的行为，例如允许嵌入图像。一旦用户将此类附件上传到论坛，他将收到这两个文件的链接。

但是，这两个文件的链接不同。第一个文件是没有扩展名的文件，因此可能很危险。当上传此文件时，IP-Board 只会返回此附件在数据库中保存的 ID

当访问此 URL 时，IP-Board 会将附件 ID 解析为上传目录中的随机文件名，并将其作为下载文件。这本身就是安全的

Exchange EWS接口的利用

最近出来了几个Exchange preauth的漏洞，有Proxylogon、Proxyshell。简单看了下，本质都是SSRF，然后通过SSRF调用一些需要授权的接口进行GetShell。如果不进行GetShell，又或者是GetShell失败时，如何利用上面的SSRF去获取邮件内容等操作，又或者只有NTLM HASH时，无法解密出密码时，如何依然去做同样的Exchange的操作。

EWS接口

本文将介绍的是Exchange的EWS接口，URI为exchange.com/ews/exchange.asmx，相关介绍可以参考：https://docs.microsoft.com/en-us/Exchange/client-developer/web-service-reference/ews-reference-for-Exchange

默认该接口需要鉴权
尝试利用上述SSRF去访问，以Proxyshell触发点为例
发现成功看到了该接口的真实面貌

DNS解析路径劫持有什么特点？
–路径劫持类型层面的特征
我们发现，直接应答劫持方式（Direct responding）极少发生。这很可能是因为此时的响应结果明显是不正确的。此外，请求转发（Request directing）的比例要高于请求复制（Request replication）的比例。

— 自治域层面的特征
在每个自治域内，解析路径劫持的特点差别巨大，即使在同一个自治域内，由于劫持者的多样性，整体表现出的劫持特征也会较为复杂。 例如，在表1选取的案例中，AS9808和AS56040这两个自治域同属于一家运营商，但是在请求复制类型的比例上也存在明显差异。

DNS解析路径劫持在不同自治域内的特点
自治域 Redirection Replication 劫持者所使用的DNS服务器地址
AS4134 5.19% 0.2% 116.9.94.* (AS4134)
AS4837 4.59% 0.51% 202.99.96.* (AS4837)
AS9808 32.49% 8.85% 112.25.12.* (AS9808)
AS56040 45.09% 0.04% 120.196.165.* (AS56040)

🔩劫持找我，流量跳转💫 @REvil_kibi

Android中DNS域名劫持问题

在客户端进行业务接口请求时，往往会在线上出现解析JSON响应内容失败而导致的应用崩溃，但是在实际开发测试过程中却没有遇到此问题。解决办法就是对JSON解析进行异常捕获，然后将实际响应内容上报到服务端，从而查看具体问题。对上报到服务端的实际响应内容进行分析后，发现响应内容变成各种HTML文本，以下是常见的几种

以上几种均是DNS劫持导致的结果，想知道DNS是如何被劫持的，需要先理解DNS域名是如何解析的,当用户在浏览器地址栏输入域名时，DNS解析有大致十个过程：

1、浏览器先检查自身缓存中有没有被解析过的这个域名对应的ip地址，如果有，解析结束。同时域名被缓存的时间也可通过TTL属性来设置。

2、如果浏览器缓存中没有，浏览器会检查操作系统缓存中有没有对应的已解析过的结果。而操作系统也有一个域名解析的过程，即通过hosts文件来设置，如果在这里指定了一个域名对应的ip地址，那浏览器会首先使用这个ip地址。

3、如果至此还没有命中域名，才会真正地请求本地域名服务器（LDNS）来解析这个域名。

4、如果LDNS仍然没有命中，就直接跳到Root Server 域名服务器请求解析。

5、根域名服务器返回给LDNS一个所查询域的主域名服务器（gTLD Server，国际顶尖域名服务器，如.com .cn .org等）地址。

6、此时LDNS再发送请求给上一步返回的gTLD。

7、接受请求的gTLD查找并返回这个域名对应的Name Server的地址，这个Name Server就是网站注册的域名服务器。

8、Name Server根据映射关系表找到目标ip，返回给LDNS。

9、LDNS缓存这个域名和对应的ip。

10、 LDNS把解析的结果返回给用户，用户根据TTL值缓存到本地系统缓存中，域名解析过程至此结束。


缓存是DNS被动持的根本原因，在DNS解析过程的各个缓存中均有可能被动持。主要包括本机的hosts算改持，和运营商的LocalDNS持等。

Sequoia：Linux 文件系统层中的本地权限提升漏洞 (CVE-2021-33909)

Qualys 研究团队发现 Linux 内核文件系统层中存在一个 size_t 到 int 类型转换漏洞，该漏洞会影响大多数 Linux 操作系统。任何非特权用户都可以在默认配置下利用此漏洞在易受攻击的主机上获得 root 权限。

Linux 内核的 seq_file 接口生成包含记录序列的虚拟文件（例如，/proc 中的许多文件都是 seq_file，记录通常为行）。每条记录必须适合 seq_file 缓冲区，因此会根据需要将其扩大，在第 242 行将其大小加倍（seq_buf_alloc() 是 kvmalloc() 的简单包装器）

TWNIC推動RPKI建置三部曲 杜絕BGP路由劫持威脅

人為疏失、惡意攔截 BGP劫持造成封包資訊外洩

網路世界的路由是由Autonomous system(自治系統；AS)號碼串接組成。在正常的網路世界，若AS4要傳輸封包到AS1有許多條路徑可選擇，經由AS2再到AS1是最快速的路徑。然而若AS6未經授權卻宣告擁有與AS1相同的網段並通知其他節點路由器更新路由資訊，那麼AS4要傳送到AS1的封包就會被導至AS6，這就是BGP路由劫持(如圖1)。駭客攔截了這些流量可用來發送垃圾郵件、竊取加密貨幣，若AS6進一步偽造相似AS1 IP位址的網站就成為釣魚網站，可竊取更多受害者機密個資

域渗透之流量劫持

windows Domain 中文翻译为域，域既是 Windows 网络操作系统的逻辑组织单元，也是Internet的逻辑组织单元。它是由所有的用户计算机，打印机，用户账户和其他的安全主体组成，被域控制器管理。

域是微软提供给企业的一个局域网管理措施，使得信息技术人员能高效的管理和维护局域网中所有的主机和用户。域位于每一个企业最核心的位置，在域上运行着大量的企业核心应用，如邮件系统，协同办公系统，文件共享系统等。

在网络渗透攻击中，攻击者如果获取了域的权限，那么攻击者就有可能获取公司的机密，控制公司的一切。所以域安全是企业安全最为核心的一个环节，并且微软对域本身也在进行不断的安全加固。

NSA泄漏的文档和工具让人们明白了网络的底层设备是多么的不堪一击，但是部分运维人员和安全人员仍然抱有幻想，只要养成正确的计算机使用习惯，不安全的底层网络很难威胁到域的安全，但是事实往往不是这样，Windows域本身十分脆弱，尤其是在不安全的网络环境中，因为域是基于信任底层网络进行设计和建造的。

本文将利用另外一种方法，完成从底层网络入侵windows域。

在Chrome浏览器中开启DNS over HTTPS (DoH)可以增强DNS查询的安全性，防止DNS劫持和污染

在 Google Chrome 浏览器中开启 DNS over HTTPS (DoH)可以增强 DNS 查询的安全性，防止 DNS 劫持和污染。以下是详细的步骤：

### 开启 DNS over HTTPS (DoH)步骤

#### 1. 打开 Chrome 设置

1. 打开 Google Chrome 浏览器。
2. 点击右上角的三个竖点（菜单）按钮。
3. 选择“设置”。

#### 2. 访问安全设置

1. 在“设置”页面，向下滚动并点击左侧的“隐私和安全性”。
2. 点击“安全”选项。

#### 3. 配置安全 DNS

1. 在“安全”页面，向下滚动到“高级”部分。
2. 找到“使用安全 DNS”选项，并启用它。
3. 选择“使用”选项，然后在下拉菜单中选择一个支持 DoH 的 DNS 提供商。例如：
– Google（8.8.8.8）
– Cloudflare（1.1.1.1）
– Quad9（9.9.9.9）

如果你的 DNS 提供商不在列表中，可以选择“自定义”并输入支持 DoH 的 DNS 提供商的 URL，例如：
– Cloudflare: https://cloudflare-dns.com/dns-query
– Google: https://dns.google/dns-query

### 验证 DoH 是否开启

1. 在地址栏输入以下 URL 并按 Enter：

chrome://flags/#dns-over-https

2. 确保“Secure DNS lookups”选项已启用（设置为“Enabled”）。

### 通过 chrome://net-internals 验证

1. 在地址栏输入以下 URL 并按 Enter：

chrome://net-internals/#dns

2. 点击“Clear host cache”按钮清除 DNS 缓存。
3. 访问一个你知道会触发 DNS 查询的域名，例如`example.com`。
4. 返回`chrome://net-internals/#dns`页面，查看“Host resolver cache”部分，确保解析请求通过 DoH 完成。

BGP劫持原理

互联网跟人类社会一样，都通过特定的规则和法律来确保社会的正常运行。BGP协议就是互联网中的“规则”之一。BGP用于在不同的自治系统(AS)之间交换路由信息，当两个AS需要交换路由信息时，每个AS都必须指定一个运行BGP的节点，来代表AS与其他的AS交换路由信息

但这些规则可能会被人为或意外打破。破坏 Internet 规则的最常见方式之一是 BGP 路由器通告不属于其自己的 AS 的前缀，也就是说，BGP路由器非法宣布特定前缀，从而将流量从其预期目的地重定向到它自己的 AS。这称为 BGP 路由劫持，也称为前缀劫持、路由劫持和 IP 劫持。

2018 年 4 月，恶意黑客公布了一些属于 Amazon Web Services 的 IP 前缀，一些试图登录加密货币网站的用户被重定向到黑客所创造的虚假网页之中，导致了超过 160,000 美元的损失。

除了恶意攻击，BGP 劫持的意外实例也可能产生严重后果。2008 年，巴基斯坦的一家 ISP 试图通过更新其 BGP 路由来审查 YouTube，由于在审查过程中配置错误，整个互联网中的YouTube 流量路全都输送到了巴基斯坦 ISP，导致了全球 YouTube 长达数小时的中断。

🔩劫持找我，流量跳转💫 @REvil_kibi

Web安全之点击劫持（ClickJacking）

点击劫持（ClickJacking）是一种视觉上的欺骗手段。大概有两种方式，一是攻击者使用一个透明的iframe，覆盖在一个网页上，然后诱使用户在该页面上进行操作，此时用户将在不知情的情况下点击透明的iframe页面；二是攻击者使用一张图片覆盖在网页，遮挡网页原有位置的含义；

iframe覆盖

直接示例说明

1. 假如我们在百度有个贴吧，想偷偷让别人关注它。于是我们准备一个页面
PS：页面看起来就这样，当然真正攻击的页面会精致些，不像这么简陋。

2. 网址传播出去后，用户手贱点击了查看详情后，其实就会点到关注按钮。

PS：可以把iframe透明设为0.3看下实际点到的东西。

这样贴吧就多了一个粉丝了。

CDN劫持是一种攻击技术，攻击者通过操纵CDN（内容分发网络）来获取对网站或应用程序的控制权。

基于DNS的劫持：

攻击者可以篡改DNS解析过程，将合法的域名解析到恶意的IP地址上。这样，用户访问经过CDN代理的网站时，将被重定向到攻击者控制的服务器上。

懂你什么是 “ 流量劫持 ”

包括 DNS 劫持、数据劫持、劫持监控。DNS 劫持通过攻击 DNS 服务器使域名解析出错，可通过多种方式抵御。数据劫持针对明文传输，可通过 HTTPS 加密等方式抵御。劫持监控介绍了多种方案及优缺点，并提出新方案。最后强调打击 DNS 劫持

流量劫持划分成3大部分：DNS劫持、数据劫持、劫持监控。
DNS劫持：
首先聊聊这个，域名劫持是互联网一种攻击方式，通过攻击 DNS服务器 或者 伪造DNS 服务器方法，把目标服务器网站域名解析到错误地方，让用户无法正常访问真正的地址。
这里提问一个问题：那么 DNS是如何工作的呢？
客户端访问服务端的时候，首先要根据域名获取对应的IP地址，这一步要在 DNS服务器进行获取。请求DNS服务器的时候，需要通过UDP协议去寻找当地网络的运营商提供的公共域名服务器中查找IP。
如果没有找到，就会继续请求上级域名服务器进行处理，一直到返回IP为止。
域名劫持，即使是在请求 DNS解析域名时候出现的问题，目标域名被恶意解析到其他IP地址，造成用户无法正常使用服务。
为了减少 DNS 查询时间，HTTP协议栈中会缓存域名解析：
浏览器可能会缓存域名解析。
用户系统中的域名映射表（hosts）会缓存域名解析。
公共域名服务器通常由 ISP（互联网服务商）提供。
公共域名服务器会缓存上一级域名服务器的结果。
公共域名服务器 TTL 到期后，会向顶级域名服务器获取信息。
那么再提一个问题：如何污染 DNS？
常见的污染 DNS 方式有：
篡改 Hosts 文件；
污染中间链路设备（路由器等）；
修改 UDP内容，影响 DNS查询的结果；
入侵 DNS服务器（成本高）。
那么再提一个问题：如何抵御 DNS 劫持？
解决域名劫持的一个办法就是绕开安全性较差的 UDP协议，通过一个可信的源头来解析域名，解析方式不需要拘泥于 UDP协议，也可以通过 HTTP方式。
在 TLS 协议之上传输 DNS内容；
用 HTTP协议来传输 DNS；
用 HTTPS协议来传输 DNS；
使用自己维护的 DNS服务器（成本高）。
数据劫持：
接下来聊聊数据劫持，数据劫持最基本针对明文传输的内容发生。用户发起 HTTP请求，服务器返回页面时候，经过中间的运营商网络，页面内容的篡改或者内容加塞，强行插入弹窗或者广告。

什么叫做DNS污染 dns污染和dns劫持的区别

dns，是域名系统的缩写，翻译成域名系统。作为一个将域名和IP地址映射到一起的分布式数据库，它可以使人们更容易地访问Internet


其中，域名是Internet上计算机或计算机组的名称，由一系列点分隔字符组成，用于在数据传输期间标识计算机的电子方向。使用dns，我们不需要记住每个站点的多个ip地址，只需要这个站点的域名。

因此，DNS解析服务非常重要。一旦被污染或劫持，可能导致网站无法访问。最近，国际知名搜索引擎必应(Bing)一直无法打开。网上很多人也认为这与dns污染有关。

什么是DNS污染

域服务器缓存污染(DNS缓存污染)，也称为域名服务器缓存中毒(DNS缓存中毒)，是指故意或无意创建的域名服务器数据包，用于将域名分配给不正确的IP地址。

其工作模式是：由于通常的dns查询没有任何身份验证机制，并且dns查询通常基于的udp协议是一个无连接且不可靠的协议，因此dns查询很容易被篡改。通过对udp端口53上的dns查询进行入侵检测，一旦发现与关键字匹配的请求，立即伪装成目标域名的解析服务器(ns，name server)，将错误结果返回给查询者。

dns污染是指用户访问地址的行为，当本地服务器(而不是dns)监视到用户访问了标记的地址时，服务器将自己伪装成dns服务器，将错误的地址发送回用户。为了减少网络流量，一般域名会暂时存储外部域名服务器数据，而下一次其他机器请求解析域名时，他们可以立即提供服务。一旦相关域中本地域名服务器的缓存被污染，域中的计算机将被定向到错误的服务器或服务器的url。简而言之，dns污染指的是假装dns服务器，并在检查用户访问某些网站后，将域名解析为错误的ip地址。

dns污染和dns劫持的区别

dns劫持劫持dns服务器并修改其解析结果。

dns污染是指中国的一些服务器检测dns查询并查找与黑名单匹配的请求。服务器将自己伪装成dns服务器，并将错误结果返回给查询器。它利用了udp协议的无连接性和不可靠性。

一个被劫持的dns服务器，另一个伪装成dns服务器。结果是返回了错误的IP地址。

常见的dns污染(劫持)

一些网络运营商可能出于某些目的限制某些用户访问某些网站，最常见的限制是dns污染和dns劫持。在正常情况下，当我们访问域名时，我们会跳转到失败页面，但是如果我们爬到墙外，我们可以正常访问它。就像所谓的羌族。

dns劫持联系
🔩劫持找我，流量跳转💫 @REvil_kibi