【2020.06.01~2020.06.07】知识分享

当初建公众号定的OKR是文章数量能有高产土豆师傅的一半，看来是赶不上了。
写公众号目的是为了定期有的稳定的学习输出，索性就换成每周发一篇总结文，和大家一起分享在学习路上看到的风景。

0x01 业务安全

• 业务安全的攻防实践与思考：
  https://live.freebuf.com/activity/eb981fa6807c1211d0728dd54728225a/l_aea3958ff2d31b22506e6f78166c8147

友商字节跳动举办的安全沙龙，风控研发童鞋分享的第一个议题《业务安全的攻防》议题的很赞。同时对其总结的黑灰产的发展趋势也深有体会：

【黑产能力的提升】
业务场景更丰富：黑产针对短视频直播行业特有业务场景，比如：无人直播，短视频搬运工，众包刷量平台，直播场控软件，短视频带货刷单等
程序自动化：使用的自动化程序也更多：线控，箱控，群控，云控等硬件技术的进化，使攻击流程自动化，大幅度提升效率降低作弊成本。
作弊资源丰富：搭建海外的IP，手机卡和资源渠道等。

【攻击从机器到真人的转变】
黑产从早期模拟协议的机器作弊方式，变为半真机，真机甚至是真人众包(兼职)的模式。对判定作弊的方式产生了很大的挑战。

【拓展国际化业务】
受到市场拓展，市场监管打击等因素，国内黑灰产开始拓展转移到海外作案。由于海外有GDPR等规范，限制能取到的设备数据，影响到后端的打击。

0x02 终端安全攻防

• iOS逆向之人脸识别绕过：https://www.freebuf.com/vuls/236835.html

文章脱壳，破解重打包梭哈一条街，可以跟着走一篇尝试一下iOS上破解使用的破解工具和流程。其中APP的登录的逻辑人脸认证+账号密码。主要破解利用点是patch掉人脸认证逻辑实现仅需账号密码登录。

常见移动APP的身份认证方式有静态密码，2FA，身份特征密码等。
1.传统的静态密码:
由账号+密码等静态字符、图像、手势等，比较容易被盗取或爆破，相对不安全。
2.双因子(2FA)
双因子验证（2FA）是指结合密码以及实物（手机+SMS短信、动态令牌或指纹人脸等生物标志）两种条件对用户进行认证的方法。

• 微信朋友圈分析：https://www.anquanke.com/post/id/207459

产品功能逆向好文，如何快速定位并分析大型应用的某个单点功能，通过观察参数和返回值还原逻辑并实现特定功能hook调用。

• （CVE-2020-0069）MTK的漏洞分析，梦回通用ROOT年代：
  https://www.4hou.com/posts/n8Ql

同事问了下现在安卓还有以前360一键root，kingroot类似的工具么？
2020年3月还真爆过一个联发科的通用提权漏洞，分析见https://www.xda-developers.com/mediatek-su-rootkit-exploit/
exploit：https://github.com/JunioJsv/mtk-easy-su
顺带补一个联发科的fuzz工具：https://github.com/fgsect/BaseSAFE

0x03 工具

• AndroidDebugBridge RCE漏洞poc：https://github.com/enty8080/r0pwn

目前是比较简单直接adb connect ip直连手机，作者说之后有Android stagefright exploit 放出来。

• 使用 frida 作为桥梁，提供在 java 里写 hook 的能力：https://bbs.pediy.com/thread-259977.htm

赞，可以用java来写frida hook插件了。frida使用教程https://www.jianshu.com/p/bab4f4714d98

• Android应用漏洞的学习demo：https://github.com/B3nac/InjuredAndroid

可以拿来当做一些扫描器测试case。

• 扫描JS文件中出现的敏感信息：https://securityjunky.com/scanning-js-files-for-endpoint-and-secrets/

• 另一个llvm混淆源码：https://github.com/emc2314/YANSOllvm