Ananaskr's Blog

文章首发于先知: 前段时间参加了WCTF2020比赛，当时主要是通过盲测的方式找到了正确的payload，但是对于网上出现的多种payload形式并不了解其原因，因此有了这篇文章。

对参加的比赛进行复盘是一件很快乐的事情，有些高质量的比赛会学到很多新的知识。这次的WCTF2020中遇到的3道题目都能学到不少，在这里记录下writeup。

《无需时间的定时攻击:在远程连接上利用并发泄漏secret》

为了实施一个成功的远程定时攻击，攻击者往往会收集一系列网络计时度量，接着利用静态分析在执行时间内显示差异。需获得的度量数量很大程度上受到请求和响应的抖动量。在远程定时攻击中，重要的抖动量是攻击者与目标服务器之前的网络路径，实际上，在只有很小的差异的情况下，很难成功利用时间侧信道。
而在这篇文章中，作者概念性地介绍了一种新类型的定时攻击，利用了网络协议对于数据包的合并和应用程序并发处理请求的特性。这些基于并发的定时攻击通过分析响应返回的顺序推理出相对的时间差异，因此并不依赖于任何绝对时间信息。

在这篇文章中，作者展示了这些攻击如何导致比经典定时攻击放大100倍的效果，即可 准确地检测100ns的时间差异，就像是在本地的攻击一样。描述了这些定时攻击如何成功利用在基于HTTP/2的web服务器上，洋葱匿名服务以及EAP-pwd(一个流行的WIFI认证方法)。

当一个应用程序/算法的执行时间依赖于一个secret，那么就有可能通过定时攻击来泄漏出secret。

复用网络协议+App并发执行，完全不受网络条件的影响。新的攻击方式从顺序中提取出信息，当两个并发任务执行结束后。

为了攻击能够成功执行，所有的task执行开始之间的间歇必须很短，一个接一个，这个时间间隙相对于网络是无影响的。可以采用利用一些技术来使得多种网络协议，将不同的请求放在一个网络包中。因此，所有的请求将会同时达到目标服务器，并被并发处理。

贡献:

• 介绍了定时攻击的模型，并在理论上证明，基于并发的攻击不受网络影响。
• HTTP/2中的请求和响应复用可以被用来实施基于并发的定时攻击，无论是直接威胁/跨站威胁。

HTTP/2.0

HTTP2.0的一个特性是多路复用的单一长连接。
在HTTP/2.0中，客户端向某个域名的服务器请求的过程中，只会创建一条TCP连接。
虽然只有一条TCP连接，但是在逻辑上分成了很多stream。HTTP/2.0把要传输的信息分割成一个个的二进制帧，首部信息被封装到HEADER Frame，相应的request body就放到DATA Frame，

在官方放出了复现地址以及wp后，找到了时间对当时没做出来的题进行复现，也是对此次比赛的一个总结。
复现环境:
hellodiscuzq
hardxss
NewUpload
FlagShop
EasyJson

今年出现了三个shiro权限绕过漏洞，后来出现的两个漏洞与之前分析过的CVE-2020-1957这个漏洞原理一样，都是在spring框架下，由于shiro处理uri与spring处理uri不一致导致的。这篇文章介绍了与之相关，目前已经出现的4个漏洞。

上周参与了下2020 DDCTF比赛，做了web方向的题，加一个MISC的拼图，最终排名15。在这里将web方向题的writeup记录下来。

16年，PHPMailer漏洞爆出了RCE漏洞(CVE-2016-10033)，影响了众多的CMS；在进行修复之后，由于不完善出现了绕过方法(CVE-2016-10045)。17年的时候，又出现了任意文件读取漏洞(CVE-2017-5223)。在PHPMailer小于5.2.23版本时，又出现了XSS漏洞。这篇文章梳理了下PHPMailer的漏洞。

终于找到一个空闲的时间，可以把Mysql这块的内容好好地整理、总结一番了，也是给自己理一下思路。这篇文章总结了Mysql注入、提权以及Mysql的一些其他攻击。

在对一个目标进行渗透测试前，最重要的是对其进行信息收集，信息收集的完成度某种程度上决定了后续渗透的成功与否。这篇文章主要是总结一下自己在信息收集过程中用到的一些工具和思路，给自己做个笔记。