入职两周年总结
不知不觉在阿里呆了两年了(排除实习),写下近期的一些学习笔记和职场经验。
学习-技术
在公司和学校最大的区别是“公司是雇你来赚钱的而不是雇你来学习的”
并不是所有的部门都是研究部门,实际上一旦遇到经济下行的情况研究部门是第一个GG,被开刀子,大部分所谓的研究部门存在的意义可能就是让公司股价上升吧,告诉投资人我们公司目前还在研究一些前沿的技术以此来换取资金//个人猜测
所以在公司最重要的是把工作的方向和自己喜欢的方向尽可能找个共同点,虽然并不是很多时候都能如愿。
个人这几年学习方向
1 | |
v8
v8第一次接触是在21年实习期,这种Nday打0day的思维确实在某一个时间段很吃香,大部分软件都没有意识到开沙箱的重要性,所以往往一个xss or 想办法让其渲染页面即可达成rce。
当然v8只是一个途径,针对不同的嵌入式浏览器可能还有不同的解决办法,如electron的nday,jsbridge等方法都可以完成rce,v8相对来说通用些,无沙箱能渲染即可rce。
iot
iot这个方向就抽象了大致分为两部分
1 | |
固件提取
固件提取可以通过很多种方式,有设备的情况下拆机看芯片型号使用对应编程器去读,然后直接解包即可(遇到过一些不能解包的,后面发现是和芯片相关导致固件有特定的格式,这种情况我的解决方案是下载同样的文件系统然后对比着看猜规律,最后配合gpt一波带走)
没有设备的情况下就要去官网查了,如果提供固件没加密的话最好,加密的情况下又要分情况,一种是能模拟跑起来,那直接内核调试强行srop让其反弹shell(这个之前博客有写),如果跑不起来就只能想办法找更老版本的固件,因为老版本不一定加密,解密后找到他加密固件的程序对其算法进行逆向即可。
如果上述条件都不满足,那我只能说gg了。
功能分析
这里也分为两个方向,一个就是二进制层看设备监听的哪些端口然后开逆
还有就是搞他前台rce了,目前见到的大部分都是lua写的,luci框架。看源码即可,如果有遇到lua字节码的情况,找工具反编译即可,如果现成工具不能反编译,那么恭喜,大概率遇到魔改的lua解释器了,这时候就要对着源码逆向魔改的lua解释器,逆出来他到底魔改了哪里,然后对应的修改反汇编工具,个人使用的是unluac
一个小trick就是可以配个gpt,gpt在代码审计这块还是不错的,能帮助不少。
通用IM软件逆向+漏洞挖掘
im软件的攻击面相对来说很多,但是如果以”实战”为目标的话就少了。
目前最常见的就是浏览器相关,要么就是v8打要么就是想办法js bridge了。
关于js bridge市面上大概有两种,一种是随便你渲染什么页面,但是他会有白名单,只有在白名单下才能调用特权api,还有一种是尽可能想办法不让你渲染页面的。。。这种不多说了。对于白名单限制的想办法绕过后配合软件的一些功能(如下载执行功能)来实现rce
假如说目标是搞点bounty的话攻击面其实挺多,比如图片解析视频解析等,看看他是用来哪些第三方的库or插件想办法挖就行,当然挖之前最好阅读下bounty规则免得一场空。
一些软件逆向都是基本功了,没必要叙述太多,尽可能避免一些伞兵需求即可,公司里并不是所有人都熟悉技术,尤其是二进制这一块可以说是更少了,经常性会遇到一些逆向vmp等需求,想办法问清楚价值不大的话直接拒即可。
但你要是头铁就是喜欢逆vmp觉得这个可以显得自己多牛逼还是怎么样的也行,只不过在做之前最好考虑下这个东西做出来后对你的绩效帮助大不大,别到最后报着个怀才不遇的心态抱怨着我他妈逆了这么难的东西就给我这个平平无奇的绩效。
个人研究
在工作之外能做出东西才是最牛逼的。
1 | |
从去年开始看上了http3也就是quic协议的一些漏洞挖掘,也是借这个机会学习了下fuzz,产出为一个腾讯云quic协议的数组越界,可惜tquic是rust写的一触发越界就报错了没办法写出exp。
持续半年后放弃了这个方向大致俩个原因
1 | |
当时libwebp事件出现后师兄约着吃了个饭讨论了后续的研究方向,通用第三方库的漏洞挖掘。
大家目标还都是做一些牛逼的事情,道路是曲折的,前途是光明的。
get到了俩cve cvss评分10.0拉满虽然可以吹一波但还是老问题 无钱途。
遇到问题解决问题,几个月的研究发现部分第三方库的漏洞并不能应用到真正的目标上,比如第三方库能触发漏洞,但是应用到真正软件上时往往在三方库api调用前会有一些check,导致无法触发,即无bounty。
当然也学到不少,libfuzzer使用越来越熟练了,对很多原理也了解了不少。
总结到失败经验后及时切换目标,后续就盯着有钱的干,好在后续结果不错,第一个五位数刀乐的bounty大概是有了,希望到年底能get更多。
//后续的漏洞挖掘放在明年写了。