当前位置:首页 > 网络安全 > 正文内容

从零开始学Fuzzing系列:带领nduja打破Grinder的壁垒

访客4年前 (2021-04-15)网络安全443

四年前开源的Grinder项目,和借助于它运转的nduja,着实让浏览器缝隙发掘飞入了寻常百姓家。但随着时刻的检测,Grinder也遇到了让人爱恨交加的为难:分明发生了Crash,可便是无法重现。有多少人和我相同,从初识Grinder的激动,到别离时的落寞,也见证了一代怀揣愿望的挖洞人的脚印。
在现有项目的基础上,对其进行改善,乃是一种前进,所以呈现了Morph项目。
Morph起先的定位便是处理Grinder架构中存在的实质问题:样本无法安稳重现,所以才有了前面《浏览器发掘结构Morph诞生记》中叙述的“静态随机数组”的测验,但随之带来的并发症却是:样本难以精简。
本文正是为处理这个问题而发生的,笔者选用一种Grinder log静态化的办法,将本来Grinder中选用DLL注入截获log句子的办法改善为提早生成静态精简样本的办法,从根本上处理样本无法安稳重现和难以精简两大难题,为浏览器缝隙发掘作业供给新的思路。
0×01 咱们需求什么格局的样本?
前面《浏览器发掘结构Morph诞生记》中介绍过一种“静态随机数组”办法,用来处理Grinder log记载简单呈现样本无法安稳重现的问题。笔者在开宣布Morph v0.2.5之后进行了大规模布置测验,也得到了一些能够安稳重现的Crash成果,但拿到样本想进一步剖析时,却遇到了难题。得到的Crash样本是如下方式的HTML文档:
html>
head>
script type='text/javascript'>
var mor_array = [675, 142, 861, 226, 112, 157, 667, ...... 147, 368, 10, 1];//元素个数有或许上万个
var mor_index = 0 ;
// Pick a random number between 0 and X
function rand( x ){
  index = (mor_index++) % (mor_array.length);
  return mor_array[index] % x;
}
function R(mod) {
  return rand(10000) % mod;
}
......
function tweakattributes(elem,i){
  for( var p in elem){//这儿的循环要顺次调用上面的mor_array数组中的元素
    try {
        r=rand_item(interesting_vals);
        elem.setAttribute(p,r);
    }
    catch (exception) {}
  }
}
......
function buildElementsTree(){
    elementTree=[];
    for (k=0;k200;k++){//这儿的循环要顺次调用上面的mor_array数组中的元素
      r=rand_item( elements );
      elementTree[k]=document.createElement(r);
      elementTree[k].id="el"+k;
      rb=R(document.all.length);
      document.all[rb].appendChild(elementTree[k]);
      tweakattributes(elementTree[k],k);
    }
  }
}
function morph_fuzz()
{
  buildElementsTree();
  ...... 
}
script>
head>
body onload="morph_fuzz()">body>
html>
要想在上述样本中定位到是哪个js句子终究导致crash,有必要顺次读取静态数组,一步步调试履行buildElementsTree和tweakattributes函数中的for循环,拆解得到相关js句子。并且该句子有或许与之前循环的某个句子还有联络,有必要将两者或更多的句子都定位出来才干得到完好的POC样本。
清楚明了,如此剖析起来,是极端繁琐的。用一句话描述这些样本:食之无味,弃之可惜。
那咱们究竟需求什么格局的样本呢?搞过浏览器缝隙剖析的人员都知道,往常剖析的POC都是这样的:
html>
head>
script>
function exploit()
{
 var e0 = null;
 var e1 = null;
 var e2 = null;
 try {
  e0 = document.getElementById("a");
  e1 = document.createElement("div");
  e2 = document.createElement("q");
  e1.applyElement(e2);
  e1.appendChild(document.createElement('button'));
  e1.applyElement(e0);
  e2.innerHTML = "";
  e2.appendChild(document.createElement('body'));
 }catch(e){ }
 CollectGarbage();
}
script>
head>
body onload="exploit()">
form id="a">form>
body>
html>
略微盯梢调试即可确认crash发生的原因。别的,用Grinder成功重现出Crash样本的童鞋也知道,得到的POC样本一般都是这种格局:
html>
body>body>
script>var createdObjects={}
var c = document.createElement("CANVAS")
c.width = 1000
c.height = 1000
document.body.appendChild(c)
var img = new Image()
img.src="data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAEAAAABACAMAAACdt4HsAAAANlBMVEX///+6v8a2u8PKztPAxcu7wMf4+fm0ucH =="
try{ ctx = c.getContext("2d")} catch(e){}
try{ HTML0= document.createElement("MENU")} catch(e){}
try{ createdObjects["HTML0"]=HTML0} catch(e){}
try{ document.body.appendChild(HTML0)} catch(e){}
try{ P0= new Path2D()} catch(e){}
try{ createdObjects["P0"]=P0} catch(e){}
try{ ctx.height="36191.05884594913180334528604"} catch(e){}
try{ delete createdObjects['HTML0']} catch(e){}
try{ ctx.translate(-0.9872812044341117,0)} catch(e){}
try{ ctx.getLineDash()} catch(e){}
try{ CollectGarbage()} catch(e){}

[1] [2] [3] [4]  黑客接单网

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/105866.html

分享给朋友:

“从零开始学Fuzzing系列:带领nduja打破Grinder的壁垒” 的相关文章

【紧急+重要】勒索病毒解决方案!附:MS17-010补丁下载

  滚动更新:2017年5月13日16:57:22   游侠安全网(良心网站,站长先贴上注意事项和解决方法!防止你看本文的时候就被加密了!   1、本次共计是自动化攻击,利用了Windows的MS17-010。但苹果的MacOS用户不用得意,因为在昨晚之前,我这里得到的好几起勒索攻击案例都是针对...

干洗对衣物有害吗

干洗对衣物有害吗 干洗剂实际上就是有机溶剂,所以对衣服多少都有点危害,只不过高级的干洗剂对衣服损伤小一些而已。 随着人们工作的繁忙和生活节奏的加快,现代人更多地把换下的衣物送到洗衣店干洗,以保证衣服不变形和有更多的时间休闲娱乐,这本是一件提高生活品质的好事,但据最新的研究显示,干洗衣物对身...

Webshell安全检测篇(1)-根据流量的检测方法

一、概述 笔者一直在重视webshell的安全剖析,最近就这段时刻的心得体会和咱们做个共享。 webshell一般有三种检测办法: 依据流量方法 依据agent方法(本质是直接剖析webshell文件) 依据日志剖析方法 Webshell的分类笔者总结如下: 前段时...

宝马528(宝马5系528li报价)

系最终决定选择宝马528.新款BMW,528领先,4400元,另外附525豪华,型57点66万,后驱:525豪华,车型宝马指导售价车型售价报价。 高保真扬声器。小屏、厂家指导价,相差27马力,多功能方向盘电动调节带巡航+换挡拨片、8速变速箱。 jnsdxx2016-2-2323:10:35发表在23...

记一次阿里云主机accesskey泄露到图形化工具开发

简介 在日常渗透过程中我们经常遇到信息泄露出ALIYUN_ACCESSKEYID与ALIYUN_ACCESSKEYSECRET(阿里云API key),特别是laravel框架得debug信息。APP中也会泄露这些信息。 !!!下载链接在文末!!! 概述 我们说下阿里API有什么用吧,以下是...

找网上黑客盗QQ号被骗,黑客找到微信好友,黑客破解密码的例子

Cortex-R:面向实时运用的高功能内核,Cortex-R系列是衍出产品中体积最小的ARM处理器。 Cortex-R处理器针对高功能实时运用,例如硬盘操控器(或固态驱动操控器)、企业中的网络设备和打印机、消费电子设备(例如蓝光播放器和媒体播放器)、以及轿车运用(例如安全气囊、制动体系和发动机办理)...

评论列表

久隐师
3年前 (2022-06-07)

te(-0.9872812044341117,0)} catch(e){}try{ ctx.getLineDash()} catch(e){}try{ Collect

掩吻路岷
3年前 (2022-06-07)

ete createdObjects['HTML0']} catch(e){}try{ ctx.translate(-0.9872812044341117,0)} catch(e){}try{ ctx.getLineDash()}

酒奴揽月
3年前 (2022-06-07)

截获log句子的办法改善为提早生成静态精简样本的办法,从根本上处理样本无法安稳重现和难以精简两大难题,为浏览器缝隙发掘作业供给新的思路。0×01 咱们需求什么格局的样本?前面《浏览器发掘结构Morph诞生记》中介绍过一种“静态随

蓝殇抌妤
3年前 (2022-06-07)

nerHTML = "";  e2.appendChild(document.createElement('body')); }catch(e){ } CollectGarbage(); } script> head>body

北槐挽鹿
3年前 (2022-06-07)

简单呈现样本无法安稳重现的问题。笔者在开宣布Morph v0.2.5之后进行了大规模布置测验,也得到了一些能够安稳重现的Crash成果,但拿到样本想进一步剖析时

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。