荒原之梦IT周报第十五期(July 8, 2018)

摘要:Seclists.Org: 微信支付SDK存在XXE漏洞;WordPress 4.9.6存在文件删除漏洞;linux中常用的文件打包/解包与压缩/解压缩命令总结…
导航狗IT周报,每周日早晨六点与您准时相约~

摘要:Seclists.Org: 微信支付SDK存在XXE漏洞;WordPress 4.9.6存在文件删除漏洞;linux中常用的文件打包/解包与压缩/解压缩命令总结…

导航狗IT周报,每周日早晨六点与您准时相约~

安全播报

    • Seclists.Org: 微信支付SDK存在XXE漏洞
      为了商家可以接受异步支付的结果,微信无意中在Java版本的SDK中造成了XXE漏洞。通过利用该漏洞,攻击者可以构造恶意的XML格式的CallBack回调数据窃取商家服务器上的信息,而从这些信息中,攻击者可能获取到十分关键的MD5安全密钥从而实现无需付款即购买商品。
      详细内容可以查阅:
      Seclists.Org: 微信支付SDK存在XXE漏洞
    • WordPress 4.9.6存在文件删除漏洞
      截至2018年07月07日,WordPress的最新版本是WordPress 4.9.7,而WordPress 4.9.6及之前的版本最近被曝出来存在文件删除漏洞.利用该漏洞,攻击者可以通过恶意代码删除使用WordPress搭建的Web站点中的下列文件:
      .htaccess:
      这是一个纯文本文件,存在于Apache服务器中.在Apache服务器中,用于服务器配置的主要文件是httpd.conf,但是,在虚拟主机或者团队共同使用的服务器上,由于各个用户都有一定的自定义的需求,因此不适合修改httpd.conf这个配置文件,因此就衍生出了.htaccess这个具有和httpd.conf类似功能的Apache配置文件.
      .htaccess具有以下功能:
      访问权限控制(阻止或允许特定IP与IP段的访问请求,禁止访问指定类型的文件和对文件进行加密等),URL重定向,自定义错误页面,设置伪静态等.
      因此,一旦.htaccess文件被删除,Web服务器的安全性将遭遇巨大挑战.
      index.php:
      在一个目录下放置空的index.php或者index.html文件可以防止该目录下的其他文件被显示出来,是一种"目录安全文件".如果服务器没有开启目录访问权限,那么在我们试图通过浏览器访问一个目录时就会被提示:

      
      You don't have permission to access /**/ on this server.
      

      这说明/**/这个目录确实是存在的,但是服务器不允许我们查看包含其中的其他文件夹.
      在有些时候,当我们开启了服务器的目录访问权限,例如我们需要提供一个下载页面,但是我们又不希望其他没有提供下载功能的页面的目录被解析出来,这个时候就可以在这些需要保护目录结构的目录中放置一个index.php或者index.html文件,这样浏览器在解析该路径时就会自动解析index文件而不会显示该路径下的目录结构.
      在thinkphp框架中,我们可以通过如下代码对入口文件进行设置,在目录下自动生成目录安全文件:

      
      define('DIR_SECURE_FILENAME','default.html')
      

      wp-config.php:
      wp-config.php这个文件包含了数据库凭证信息,一旦该文件被删除就会触发WordPress的安装进程,从而使攻击者可以重新设置管理员密码并获得向服务器上传文件的权限(这实际上构成了一个文件上传漏洞).
      关于WordPress 4.9.6存在文件删除漏洞的详细信息可以查看:
      WARNING: WordPress File Delete to Code Execution

      简体中文版译文可以参考:
      WordPress 漏洞详情:从任意文件删除到任意代码执行

技术干货

  • CTF中PWN题目难度一般都较大.在做这类题目时常常要对各种程序设计语言编写产生的二进制文件进行调试分析,因此需要多种运行环境.下面这篇文章详细介绍了Docker的基本使用方法和使用IDA调试程序的大致步骤.
    Linux pwn入门教程(0)——环境配置
  • linux中常用的文件打包/解包与压缩/解压缩命令总结
    test.txt打包成test.tar:

    
    tar -c -f test.tar test.txt
    

    其中,-c用于建立打包文件,-f指使用打包文件的名称,这个参数在打包和解包的时候都需要用到,而且必须放在所有参数的最后面,直接跟文件名称.

    test.tar还原成test.txt:

    
    tar -x -f test.tar
    

    其中,-x用于解包.

    test.tar压缩成.zip格式的文件:

    
    zip test.tar.zip test.tar
    

    解压.zip格式的文件:

    
    unzip test.tar.zip
    

    test.tar压缩成.gz格式的文件:

    
    gzip test.tar
    

    解压.gz格式的文件:

    
    gzip -d test.tar.gz
    

    其中-d指进行解压操作.

    关于Linux系统中打包压缩的更多信息可以参考:
    文件压缩与解压_Linux命令大全
    Linux 命令大全 | 菜鸟教程
    linux的文件打包与压缩