網路安全工作中，你干過哪些引以為傲的「猥瑣」行為？

01-08

借TK教主對安全「猥瑣」的定義：所謂「猥瑣」，實際上就是基於對某個領域信息的全面掌握，提出達成某個目的的巧妙方法。比如說，利用巨磁阻效應製造硬碟、合成生物學，都屬於「猥瑣」。
那麼來說說，你都有過哪些引以為傲的「猥瑣」行為吧。

好吧好久沒在知乎回答問題了，其實我想是不是我的回答字數太少老是被折中「知乎AI？」這個問題是我們官V號同學特別邀請我，所以我先多說點廢話，免得被折中！：）

一、關於「猥瑣流」

對於提問里提到的TK教主的定義，百度搜索了一下應該來源於：為什麼搞安全「猥瑣」最重要？這裡順帶建議下提問者，直接給出「參考連接」這樣體驗會更加ok！其實安全「猥瑣」這個提法可能最早是我這裡開始的[當然也可能有其他人也提到過，只是我不清楚而已] 不過我當時用的是「委瑣(猥瑣)」用到這個詞應該是08年的樣子當年pdp「Petko D. Petkov, a.k.a pdp (architect) 」在blackhat 2008上發表過一次演講：http://www.blackhat.com/presentations/bh-usa-08/Petkov/BH_US_08_Petkov_Client-Side_Security_WP.pdf 這類方向的其實在當時我們有很多人關注我建立的一個QQ群群名叫「hi」「註：這個hi要比百度hi早」，當看到pdp這篇演講ppt的時候，有種「一波接一波，意想不到」的案例，所以當時我們感概：太猥瑣了！於是有了「猥瑣流」這個詞語，而我多年後我「棄醫從「黑」「加入知道創宇404實驗室後，我們有一個專門的團隊代號:WSL雖然這個e文的縮寫在「正事」的場合定義為：Web Security Loop 「參考：知道創宇研發技能表中提到的500多個WSL靶場是什麼？」但實際上我們追求的就是「猥瑣流」。

另外在百度現在拋棄的百度空間里我再2009年發過2篇blog：

尤其在「方向」里提到了安全想要「猥瑣」

二、方向

在為什麼搞安全「猥瑣」最重要？文里其實有很多對「猥瑣」解釋是非常貼切的。尤其是TK教主的「定義」其實是有一個跨領域的升華，在當時我提出這個安全的方向「猥瑣」的時候其實還是局限在網路安全領域裡，當時我比較在意"奇技淫巧"的提法「參考：中國黑客傳說:周景平--我是超級黑_安全_比特網」因為這些「猥瑣」的方式方法就是"奇技淫巧"！

在網路安全領域研究方向大體粗糙的可以分為：應用安全和底層安全。所以當時有的認為應用安全很低端的投機取巧，被人BS。其實在我看來安全問題最終都會落地到「應用」上，比如你逆向「底層」某些驅動啥的發現了個安全問題，但是這個安全問題最終寫成exp實現任意執行命令許可權的時候這個就是「應用」，在我看到的有一部分研究者在一定的時間內會「迷失」在所謂的「底層」，只為逆向而逆向，而不能抽離找不到「應用」落地的點。也就是這個原因我提出了：「底層與應用結合才是安全的王道」這裡可以提幾個當時的代表人物：如 StefanEsser 當年他搞PHP安全就是很好的列子 the Month of PHP Bugs 「註：如果你不知道StefanEsser，你可能知道"i0n1c" 因為推特賬號頭頭像的原因所以國內很多叫他「樹人」，著名的iOS越獄「噴子」大神」當年他研究的很多PHP「底層」函數的「漏洞」設置很多都只能稱呼為「特性」在「應用」里找到很多實際利用，影響到類Wordpress這類程序的漏洞，在PHP方向國內還有80vul的Ryat：80vul/phpcodz 當然當年在Google的一些大神國內也有「燒博士」等等有有很好的結合案例當然我現在看到越來越多的案例和人這個也側面印證了我當年提到的：「方向」。

之所以提這個「方向」還有一個具體因素，也是我經常提到的一個說話：我認為攻防對抗粒度越來越細化，不光應用層，底層也一樣：如微軟那種類型的防禦緩解類似的方案。所以提過一個漏洞直接搞定的情況是越來越「罕見」，所以我們想要各種的「猥瑣」的思路，甚至是多個「猥瑣」套路的組合才能實現最終的攻擊效果。目前就Pwn2Own這類比賽里看到的都是多個套路的組合，這也某種程度印證了了我當年提到的：「方向」。

三、那些年做過的「猥瑣流」

"想當年....." 沒想到我現在也到了"想當年....." 的時候了

我以前做過幾個「那些年」開頭的幾個ppt，所以這裡開頭沿用一下。在上文里其實我提到了在我們提出的「猥瑣流」那個是零幾年的時候，那個時候我經常去實踐一些「猥瑣」方式方法後面我把其中的一些案例整理成為了一個ppt 《【圖文】WEB2.0下的滲透測試_百度文庫》當然裡面還有一些案例沒有再ppt提到，也有很多我在知道創宇內部「大浪淘沙」系列文里陸續提到，最近也會在內部培訓上再次提起這些"陳年往事" ... 如：

「註：我剛剛在獲取neeao是否同意我發布這個圖片的時候，他標示10年的事情了完全不記得了」

在前面我也提到了這些案例還是局限在某個特定細分領域裡的，可能讓題主失望，10幾年過去了很多的安全理念，安全的理解和認知都有很大的進步，類似TK教主提到的跨領域、跨維的案例將是現在進行中的方向 ...

安全在進步在變化，但是「猥瑣」這種思維模式是不會變的，在我加入知道創宇後有很大一部分的時間包括現在都在「數據」方向上，具體點更多的關注在ZoomEye體系上 https://www.zoomeye.org/ 這裡可以提一下讓ZoomEye成名漏洞「心臟滴血」，提過持續的數據跟蹤分析，最後得出了一個很有意思的結論：當時我國的安全應急能力世界排名102名我覺得這個解讀也是比較有腦洞的，還比如前面我提過ZoomEye分析提取到一個有意思的「字紋」得出了某個安全公司的在某個行業里的市場分布等等...

四、「本質」

所謂的「猥瑣」在我看來是一種「跨維」思維，常說的一給次「換位思考」這個「位」可以對應為「維」，在我昨天的朋友圈及微博上發了一句話：

"有時候不是我們不思考，更不是所謂的智商問題，而是沒有思考的意識或者意願！"

其實這種「猥瑣」的氣質也想要去鍛煉、練習！最起碼你得有這個意識！

最後祝大家每天都能「猥瑣」一點，沒有最「猥瑣」只有更「猥瑣」....

首先要歡迎我的好兄弟@xisigr 開通知乎，其實要論「猥瑣流」，他是當之無愧的大家，谷歌瀏覽器的漏洞他都挖出了一排了。他那回答也挺有代表性，建議大伙兒看看。

講一個可說的而且感覺非常猥瑣的案例吧：

那年單位要搞全國大比武，提前一個月通知我們，而且告知是AWD模式。這是第一次舉辦這樣的比武，我們做了很多準備工作，每一項都猥瑣至極。

譬如我們寫了一套腳本版的WAF，這套WAF除了正常的攔截過濾功能外，還多做了兩件事。第一件就是配置了一個強力模式，這個模式下，所有GET、POST提交數據以及COOKIE等常見header里的字元串中的a和e等字母都將被replace掉了。這樣既可以欺騙主辦方的檢測腳本，又能達到永不被getshell的目的。第二件事就是將所有請求都記錄下來，並可以直接當做payload進行批量利用。重造輪子不就是浪費資源么，有寫好的POC不用就太可惜了！

另外一項準備工作就是webshell。我當時寫了一套隨機webshell生成腳本，生成結果如下圖：

這個webshell裡面所有變數都是隨機的，連連接密碼都是隨機的，基本上是無特徵的，防止通過grep批量掃馬，或者其他隊伍連接自己的shell。生成腳本大概這樣：

和一般的webshell生成腳本不同，這個腳本是要扔到肉雞伺服器上運行，實現批量、動態、隨機插馬的。這裡面有好幾個比較猥瑣的點：第一個就是獲取web目錄下所有PHP文件列表，將所有文件全都touch一遍，這樣沒辦法判斷哪個文件是修改過的，哪個不是；第二個是通過一個概率函數來抽籤決定哪個文件要插馬，哪個文件不插；第三個是生成極其相似的偽造文件，譬如原文件為page.php，那麼偽造文件可能會是pages.php或page_list.php這種，至於如何生成也是隨機的；第四個則是最猥瑣的，這個webshell可以設置一個hacked by字元串，用於禍水東引。

代碼的魯棒性比較強，我拿discuz代碼做測試，即便概率設成100%，也沒有絲毫影響。這樣一旦腳本被執行，對方網站鋪天蓋地全是webshell，每一個都不一樣，代碼就只有重置的份了。

當然這種玩法是半暴露式的，所以實際上我還準備其他一些沒那麼暴露的webshell，不僅過各種狗，過人都是沒問題的，譬如下圖：

懂PHP的朋友你看看能看出來這是一個webshell么？

Web安全中的猥瑣流(WSL)考古，要從2008年hi群說起，那是一個國內尚未有網路安全法、SRC、CTF的年代……那裡聚集著一群醉心於漏洞挖掘和利用的年輕人，各種稀奇古怪的想法總能讓人腦洞大開，初見猥瑣流(WSL)一詞就是在那個時候。

對於猥瑣流的考古細節黑哥說的很清楚。TK教主對安全「猥瑣」的定義也非常精確：所謂「猥瑣」，實際上就是基於對某個領域信息的全面掌握，提出達成某個目的的巧妙方法。

關於猥瑣流，此處列舉Web安全領域中的一個例子--拖放劫持。這是我在2010年第三屆信息安全漏洞分析與風險評估大會上的議題《基於ClickJacking模式的Web攻擊與防禦》中的例子。

點擊劫持(ClickJacking)攻擊2008年剛被提出來的時候，其在隱藏框中的操作只涉及到滑鼠點擊操作，然而單純的點擊劫持攻擊範圍有所限制。隨著這種攻擊模式的普遍應用和良好的攻擊效果，在Black Hat Europe 2010大會上，Paul Stone提出了點擊劫持的技術演進版本：拖放劫持。

顧名思義，拖放劫持模式將劫持的用戶操作由單純的滑鼠點擊擴展到了滑鼠拖放行為。在現在的Web應用中，有大量的需要用戶採用滑鼠拖放完成的操作（例如一些小遊戲等），而且用戶也常常在瀏覽器中使用「滑鼠拖放」操作來代替複製和粘貼。因此拖放操作劫持大大擴展了點擊劫持的攻擊範圍。不僅如此，在瀏覽器中拖放操作是不受「同源策略」限制的，用戶可以把一個域的內容拖放到另外一個不同的域。簡單地說就是用戶可以將某一個瀏覽器頁面中的內容拖放到另外一個瀏覽器的頁面中，也可以通過在某個瀏覽器頁面中的拖放操作實現對其他瀏覽器頁面內容的讀寫功能。這樣的效果是上一代點擊劫持無法做到的，因此突破同源策略限制的拖放劫持可以演化出更為廣泛的攻擊形式，突破很多種防禦。例如：可以通過劫持某個頁面的拖放操作實現對其他頁面鏈接的竊取，這些鏈接中可能會有session key、token和password等敏感信息；或者可以把其他瀏覽器中的頁面內容拖拽到富文本編輯模式中，這樣就能夠看到頁面源代碼，而這些HTML源代碼中可能會有type=「hidden」等敏感信息。

基於上述所描述的拖放劫持攻擊原理，我製作了一個通用的拖放劫持攻擊模型。下面的這個案例，在當年攻擊者可以獲取到用戶的Gmail通訊錄內容。

（1）這是一個小遊戲，拖放小球到海豚的嘴上。

（2）這是用戶Gmail通訊錄內容。

(3) 用戶拖放小球到海豚嘴上

(4)Gmail通訊錄內容被攻擊者獲取到

關於拖放劫持攻擊模型的詳細描述和代碼，可以查閱《Web前端黑客技術揭秘》。

謝 @騰訊安全聯合實驗室邀請。

說下我的理解，沒有什麼猥瑣不猥瑣，不過是一些比較聰明的思路，很多的科研成果都是這麼出來的，沒必要專門弄一個概念。

如果是打算走研究路線，那麼，創造力是很重要的。創造力通常來自於紮實的基礎知識，良好的人際關係，自由的環境。很多人以為很多厲害的漏洞來自嚴密的邏輯能力，其實不然。如『上帝之手』、『BadTunnel』都是對基礎知識的熟練掌握以及創造性的騰空一躍。

如果是打算做滲透，調查的能力是最重要的，調查就是解決問題。遇到問題是不作調查，只冥思苦想，是不行的。如果自己不了解，可以找到了解的人一起商量，這樣會更容易解決。不做正確的調查，則會產生唯心的指導，便是盲目行動。

回到正題，其他的幾個朋友都提到了 Clickjacking，但他目前仍沒有被重視我想之所以大家舉這個例子，是因為怕大家看不懂。所以就舉了 UI 相關安全問題的。除了點擊劫持，常見的UI安全問題還有地址欄欺騙、Popup bypss 等。

再比如，UTF-7，早些年經常被用來 XSS，現在瀏覽器補的差不多了，大家開始利用它來進行 SSRF 的攻擊：

& +ADwAIQ-DOCTYPE x +AFsAPAAh-ENTITY z SYSTEM +ACI-/etc/passwd+ACIAPgBdAD4APA-x+AD4AJg-z+ADsAPA-/x+AD4

還有很多利用安全機制本身來進行攻擊的，最簡單的有：

利用 WAF 的錯誤消息進行 XSS 攻擊
利用瀏覽器本身的 XSS filter 製造網站的 XSS 攻擊

還有利用不同層面的差異進行攻擊的：

利用敏感詞替換機制，繞過安全檢測
利用競爭繞過 WAF

利用"變化"進行攻擊的：

APT（等待目標犯傻）
大數據攻擊（大規模尋找犯傻的目標）

好了，總結一下：

所謂『猥瑣』，也就是在『常情常理』之外。2017年，就要結束了，希望，更多的人能在常情常理的疆域以外自如地活著，那時候才覺得人類文明之光未滅。

猥瑣。。

我一直覺得我這個人比較正直，所謂猥瑣只是你們這些不懂滲透測試er瞎說的。誰說我們搞網路安全的就要猥瑣！！

講一個真實故事，前年公司的技術分享沙龍中，我也講過。

————————————————不猥瑣的分割線————————————【字裡行間都沒有半點猥瑣】

這個故事要說到我的初戀了。。。捂臉。。

分手後，一直想了解一些初戀的信息，後來知道她在本地的一個論壇註冊過。恩，常規思路，拿站，脫褲，查密碼，社工。

但是這個站是DZ，站長很勤勞，每次新出的補丁都打的很及時。

沒辦法只好，曲線救國了。

故事正文開始：

我知道這個BBS的域名，xxx.com. 查一下誰註冊的。然後根據查到的郵箱，找了一下他註冊過哪些域名。OK，發現了一個企業的官網。

asp + access, 還支持php，輕輕鬆鬆搞到一個webshell。ipconfig /all 一看，竟然在域內。

然後就是lcx轉發，mimikatz抓預管密碼。登錄域控。。。卡主。。沒開RDP，恩。難不住我。

通過修改註冊表，成功開啟域控的RDP。登錄上去。。。然後pwdump 6可以直接抓域內所有用戶的NTLM HASH。最後排查用戶，找到了註冊域名的人，是個信息部管理員。

域控伺服器是2003，目標機器是win7。通過IPC$ 映射網路磁碟，挨個盤轉轉吧。

然後我就發現了BBS的配置信息。包括MYSQL ROOT的密碼。還有一些艷照！【這就是說我們猥瑣的原因？】

最後拿著ROOT密碼，MYSQL遠程登錄BBS的資料庫，然後selec xxx into outfile xxx ，成功寫了一個後門。

再之後。。。。發現，初戀竟然是QQ登錄的BBS。。哭。。

拋磚引玉，某款加密軟體可以用keyfile+密碼加密，隨身攜帶keyfile不方便。

所以試一下：回收站-&>創建快捷方式。

溫馨提醒，加密後確保解密沒問題再刪原文件。

09年的事了其實也沒什麼，就是我們寢室因為大四的時候校舍安排失誤。被丟到一堆大一大二的文科宿舍群里了……然後有一天網路奇卡無比還經常斷，抓包發現隔壁的隔壁有個貨的電腦中了ARP……然後當時就開始對網路安全感興趣了開始研究，憑藉著備考CCNP的機會去和樓里學生網管套近乎，用兩頓酒把整個樓層的網路布局摸了一遍然後發現一層樓都在同一個子網IP地址都是隨機分配，但是一旦你手動指定到某一個已分配的IP對方就會提示IP衝突，幾次抓包我都發現某個mac地址在大量發送arp包，想了個法子開了台虛擬機每次只要有那個mac上線就改成他的IP地址這樣就會造成IP衝突他就上不了網了果然世界清凈了，後面我幾次故意到他們寢室門口抽煙觀察一下，有個人抓耳撓腮的啊到處檢查網線哈哈哈哈哈。。。直到大四畢業我們離校估計他才能上網

我來簡單來描述一下，我的那些引以為傲的「猥瑣」行為。

14歲開始接觸網路安全，特別熱愛網路安全技術，15歲成功入侵某市的教育系統，當時年紀小，因為泄憤，所以改了教育系統的網站首頁，然後網站管理員報警了。被網警請去教育了一頓。到了16歲，是我最為瘋狂的一年，瘋狂入侵了666個網站，刷下某Zone-H的前十名黑客排名。

想起16歲的時候，最為讓人猥瑣的事，就是入侵了某市的文化系統，當時，花了一個晚上通宵，順利拿下該系統最高管理員的伺服器許可權，那種心情，至今仍然非常激動。我拿下許可權後，嘗試過聯繫對方的工作人員，當時他們還沒上班，我就通知他們，結果他們沒有引起重視。我就很生氣，憤怒的改了網站主頁，網關恢復之後我又改了一次，最終徹底惹怒了網管，隨後，單位報警了。

年少輕狂，那一段作為一名少年黑客的經歷，也警醒著我，以後凡事做任何事情，我都要考慮做這件事，會不會給我及家人帶來風險？會不會帶來一些我所無法控制的後果。所以，我可以這麼肯定的說，我錯過了很多寶貴的機會，很多賺大錢的機會。但是，我不後悔。因為，我心安理得。

2017年即將過去，希望大家在2018年開心發大財！身體健康！工作順利！

就是當時剛畢業去參加一個會議，住了某前首富的高級酒店，然後抓包拿到了某數字安全公司某副總的郵箱密碼，發現原來每個有錢人都去移民了。

這個必須匿……

某寶起勢以前（這得10+年了），本地有個論壇很火，老去逛。

有天手癢就看了一下21埠開著，一下子來了興緻

試了各種弱密碼，無效

看看3389，開著，但是密碼同樣不弱

搜了一下頁面最下面技術支持的信息大概是email或昵稱之類，年代久遠不確定了

然後發現開發論壇的程序員有給一家書店做技術支持

這個書店名字很熟，就在我們學校附近

於是去書店逛逛，問店員得知書店也有會員論壇之類的東西（那時候論壇沒現在管理這麼嚴格）

然後發現書店的論壇跟我平時上的不是一套代碼

更像是我平時上的那套的一個原始版本，這就有意思了

手工試SQL注入，發現用戶信息查看那個地方有注入

然後密碼是明文？！！！

wait，搜一下開發者的email帳號用戶名，獲得強密碼一枚（其實也很弱）

然後回到平日上的論壇，測試各種變體密碼、大小寫字母數字替換，無效。

還是有些安全意識的，兩個論壇的密碼不一樣

本來準備放棄了

然後試了一下ftp，直接pass through是什麼鬼？

然後看資料庫配置得sa密碼

1433直連

得了，這邊也是明文密碼

猶豫要不要脫褲

想想算了，還捨不得這個論壇

就拿了下版主密碼，然後用版主的帳號登錄，調戲了一下

讓他們知道有問題了

大概個把月後，整體遷移了discuz，算是安全改進了（大霧特務）

以上內容，純屬虛構，如有雷同，馬上刪貼。

我不知道為什麼邀請我，

我像是那麼猥瑣的人嗎？？？

與其費力的去解釋「猥瑣」不如直截了當的闡述其本意，明明人家只是中性詞。

但，

有些所謂安全工作者是真的猥瑣。

生活中處處猥瑣...例如懶得送孩子..帶出去看到背一樣書包的讓孩子跟著他走自己扭頭回家了...

所謂的利用大眾行為常識來投機取巧