前些时间,偶尔喝朋友在一起喝酒,说她老公出轨,在网上找到一个人,扣扣187.5969,查到了开房纪录,和微信的聊天记录。
我想考虑一下,是否有一些软件可以实现呢,毕竟本人不是桌面端的开发程序员,苦逼的,有没有什么思路可以获取到登录接口,和聊天记录的接口,
我自己尝试了一下post微信的数据,都是加密过的,怎么解决呢。
0x00 引子
人在做,天在看。
近期360天眼实验室捕获到一例针对印度的定向攻击样本,样本利用了沙虫漏洞的补丁绕过漏洞CVE-2014-6352,经分析确认后我们认为这是趋势科技在今年三月份发布的名为“Operation C-Major”APT攻击活动的新样本。关于C-Major行动的相关内容,有兴趣的读者可以在文后的参考链接中查看。
本文主要对CVE-2014-6352漏洞做基本的分析并剖析一个现实中利用此漏洞执行定向攻击的案例。
0x01 推乐趣
样本利用的漏洞为CVE-2014-6352,该漏洞是CVE-2014-4114的补丁绕过(MS14-060)问题,在管理员模式或者关闭UAC的情况下可以实现不弹出警告窗运行嵌入的恶意程序。与CVE-2014-4114的利用样本相比,CVE-2014-6352样本的特点是没有嵌入inf,只有一个嵌入PE的OLE对象。从攻击者的角度看,这类样本可以说有利有弊。在管理员模式下,可以无警告窗执行PE文件,绕开MS14-060的补丁。但是如果不是在管理员模式下,就算受害者没有安装MS14-060的补丁,也会弹窗提示是否要执行嵌入的EXE文件。
我们知道CVE-2014-4114漏洞的成因在于packager.dll的CPackage::Load方法加载对应的OLE复合文档对象时,对不同类型的复合文档有不同的处理流程,其中对某些复合文档嵌入的不可信来源文件没有经过处理,从而使得攻击者可以通过伪造OLE复合文档的CLSID来达到执行特定文件的效果:
packager!Cpackage:: Load方法中处理不同类型复合文档的分支
在MS14-060这个补丁中,微软通过添加MarkFileUnsafe函数来弥补这个漏洞:
ms14-060补丁中的packager!Cpackage:: EmbedReadFromStream方法
未安装ms14-060的packager!Cpackage:: EmbedReadFromStream方法
MarkFileUnsafe()通过调用IZoneIdentifier::SetId来设置文件的Security Zone,传入的参数3对应的是设置URLZONE_INTERNET,从而标明此文件来自于其他计算机,运行时会弹出警告窗口:
