February 3, 2019

Smoke Loader:主体、控制台、插件,以及盗版之殇

Smoke Loader 是一个在黑市上公开销售的僵尸网络软件。其活动时间可以追溯到2011年,虽然近年来已经被多次曝光,但保持持续升级,非常活跃。在我们统计中,仅最近半年活跃的样本就超过 1,500 个。 我们在跟踪这一家族的过程中,捕获了一套完整的恶意程序套件,包括其主体Loader、控制台Panel,以及控制台中包含的插件。对这套样本的分析使我们对其运行机制有了更深入的了解,这将是本文的主要内容之一。 分析过程中,我们还遇到一组被修改过的特例样本。虽然有人认为这组样本是作者在对抗安全研究人员提取C2主控域名,但仔细分析后,我们认为这是第三方做“盗版”。这部分的分析和研判过程,是本文的主要内容之二。 Smoke Loader相关的分析文档已经很多,本文不会涉及已经被公开的部分。相关内容,读者可以参阅文末参考部分。 Smoke Loader 套件分析 套件中的文件结构见后图,说明如下: 本体,Loader_new_Cyberbunker.exe Web控制台,Panel ,使用未加密的PHP语言编写 插件,包括 Panel/mods 和 Panel/keylogger,等 mysql数据库建库脚本 smoke_1.sql,插件规则会存储在这个数据库里 Smoke Loader的功能介绍,smoke_features.txt 安装说明 图 […]
February 26, 2019

Jenkins – messing with new exploits pt1

Jenkins notes for:https://blog.orange.tw/2019/01/hacking-jenkins-part-1-play-with-dynamic-routing.htmlhttp://blog.orange.tw/2019/02/abusing-meta-programming-for-unauthenticated-rce.htmlto download old jenkins WAR fileshttp://updates.jenkins-ci.org/download/war/1st bug in the blog is a username enumeration bug in Jenkins weekly up to and including 2.145 Jenkins […]
February 27, 2019

Jenkins – messing with exploits pt2 – CVE-2019-1003000

After the release of Orange Tsai’s exploit for Jenkins. I’ve been doing some poking. PreAuth RCE against Jenkins is something everyone wants.While not totally related to […]
February 27, 2019

Jenkins Master Post

A collection of posts on attacking Jenkins http://www.labofapenetrationtester.com/2014/08/script-execution-and-privilege-esc-jenkins.htmlManipulating build steps to get RCEhttps://medium.com/@uranium238/shodan-jenkins-to-get-rces-on-servers-6b6ec7c960e2Using the terminal plugin to get RCEhttps://sharadchhetri.com/2018/12/02/managing-jenkins-plugins/Getting started with Jenkins Pluginshttps://blog.orange.tw/2019/01/hacking-jenkins-part-1-play-with-dynamic-routing.htmlVulns in Pipeline: Declarative […]