0x00 安卓的 JNI

安卓开发中，JNI 就是 Java Native Interface 的缩写，它允许 Java 代码调用原生的 C/C++ 代码，或者允许 C/C++ 代码调用 Java 代码。

在 Android Stdio 中，有以下 3 种方法使用 so 文件：

0x00 frida

1、手机端安装一个 server 程序
2、然后把手机端的端口转到 PC 端
3、PC 端写 js 脚本进行通信

frida -U -f com.package.name -l exploit.js

function hook() {
  console.log("[*] Starting script")
    
  Java.perform(function () {
    var <class_reference> = Java.use("<package_name>.<class>");
    <class_reference>.<method>.implementation = function(<args>) {
      console.log("hook <class_reference>.<method>()")
      console.log("args is:", args)
      
      var ret = this.<method_to_hook>(args);
      return ret
    }
  })
}

0x01 JAVA 层 - 直接调用函数

• 调用静态函数

  more...

0x00 固件组成

固件通常由 bootloader、内核、根文件系统及其他资源文件组成
固件采用的根系统文件类型有很多种，常见的有 squashfs、ubifs、ext4、jeffs2 等。
固件文件通常以 bin、zip、LZMA、arj 等文件压缩类型封装，最常见的为 bin 和 zip 格式
最常采用的文件系统是 squashfs，分析人员可以使用 unsqushfs 工具对文件系统提取数据。

0x01 JTAG 接口

主要用来读写固件，常见 JTAG 接口引脚有 10PIN、14PIN、20PIN

一般需要接的引脚：
GND：接地引脚
TDI：测试数据输入，用于向被测设备传输测试数据
TDO：测试数据输出，用于从被测设备读取测试数据
TCK：测试时钟，用于同步测试数据的传输
TMS：测试模式选择，用于控制 JTAG 状态机的状态转移
TRST：可选，TRST 可以用来对 TAPController 进行复位（初始化）

0x00 概述

• 环境

  攻击机 MSF：172.20.10.2
  DC (Server2008R2X64)：10.11.11.5
  目标机 (Win7ProX86)：10.11.11.14

  more...

0x00 Kerberos

Kerberos 协议有两个基础认证模块: AS 和 TGS，以及微软扩展的两个认证模块 S4U 和 PAC。 常见的基于 Kerberos 协议攻击的方法如下图所示：

0x01 Kerberos 关键词

• 域控制器（Domain Controller，DC）：在域中至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样。
• 帐户数据库（Account Database，AD）：一个类似于 Windows 本机 SAM 的数据库，存储了域内所有网络对象的凭证，也存储所有 Client 的白名单，在白名单中的 Client 才可以申请到 TGT。
• 密钥分发中心（Key Distribution Center，KDC）：KDC 维护着域中所有安全主体（SecurityPrincipal）账户信息数据库，负责管理票据、认证票据、分发票据，在 Windows 域环境中，KDC 的角色由 DC 承担。
• 身份验证服务（Authentication Service，AS）：用于生成 TGT 的服务。
• 票据发放服务（Ticket Granting Service，TGS）：用于生成某个服务的 ticket
• 认证票据（Ticket Granting Ticket，TGT）：可以理解为入场券，通过入场券能够获得票据，是一种临时凭证的存在。
• 票据（Ticket）：网络对象互相访问的凭证。
• Session Key：AS 生成的随机会话密钥。
• Server Session Key：TGS 生成的随机会话密钥。
• krbtgt 账户：每个域控制器都有一个 krbtgt 的用户账户，是 KDC 的服务账户，用来创建票据授予服务(TGS)加密的密钥。

0x02 Kerberos 认证过程

认证的大致过程：

0x00 JDNI

JNDI(Java Naming and Directory Interface) 是 Java 提供的 Java 命名和目录接口

JNDI 可访问的现有的目录及服务有：JDBC、LDAP、RMI、DNS、NIS、CORBA

0x00 Gophish 使用

• 配置 Gophish 服务
• 配置发送邮箱
• 编写钓鱼邮件内容
• 编写钓鱼页面
• 添加目标邮箱
• 开始攻击

0x01 配置 Gophish 服务

在 https://github.com/gophish/gophish/releases 下载

然后编辑 config.json，之后直接 ./gophish 运行即可

0x00 漏洞成因

该漏洞主要是因为序列化的字符串在经过过滤函数不正确的处理而导致对象注入，目前看到都是因为过滤函数放在了 serialize 函数之后

0x00 SSTI 模版注入

SSTI 模版注入一般都是先找到执行命令的模块模块，然后执行（可以用工具 tplmap）

一般步骤：
1、某种类型 (字符串:""，list:[]，int：1) 开始引出
2、__class__ 找到当前类
3、__mro__ 或者 __base__ 或者 __bases__ 找到根类 __object__
4、然后利用 __subclasses__ 拿到子类列表
5、然后在子类列表 __init__.__globals__.keys() 找到类似 popen 能执行命令的函数