被攻击的开发者——浅谈一下网络安全

文号 t74819

15992

被攻击的开发者——浅谈一下网络安全

smith 2015-11-5科创茶话

前一段时间苹果手机上面爆发了XcodeGhost木马事件，炒得很热，科创开发苹果的也比较少吧，其实我也不开发苹果手机，对苹果平台的了解也不多，这些东西很难说出个一二三来，就说说我遇到的一个实例吧。

PL2303,，这个IC大家应该都不陌生吧，这是台湾出的一款USB转UART的芯片，用来代替昂贵的美国的FT232芯片，搞单片机的人用它来调试和烧写单片机，搞平板电脑的也少不了一根串口线，因为串口通信协议简单嘛，楼主写这个文章的时候，桌子上就摆着几根这个芯片做的的串口线，这个东西可以说是在国内用途很广了，因为随着笔记本电脑的盛行，笔记本电脑基本上不带串口，因此开发者基本上都会买一根串口线

好了，问题来了，买了这个串口线，用在电脑上要装驱动吧，至少windows系统都要（linux系统已经编译到内核了），驱动在哪里下载了，这个芯片的生产厂家是我国台湾省的Prolific 公司，就到这个公司的主页去下载吧

来自：科创广场 / 科创茶话

smith

作者

6年0个月前

1楼

这个就是prolific官方网站的链接：
XXXXXXXXXXXXXXXXXXXXXXXXXX/US/XXXXXXXXXXXXXXpx?pcid=41&showlevel=0017-0037-0041
下面是截图

看上去没什么不同吧，不过一眼看到了这个网站的界面比较老，顿时对这个网站的安全性有些怀疑，然后果断扫描一下看看

加载评论中，请稍候...

200字以内，仅用于支线交流，主线讨论请采用回复功能。

折叠评论

smith

作者

6年0个月前

2楼

接着发现了一个这样的页面：
XXXXXXXXXXXXXXXXXXXXXXXXXX/XXXXXXXpx

我去，这不就是国外常用的webshell吗，webshell相当于一个网站木马（网页版的远程文件管理器），通常是黑阔通过某些手段上传到网站上面，达到控制网站的地步，只要黑阔愿意，修改网站上的任意文件，修改主页都可以

加载评论中，请稍候...

200字以内，仅用于支线交流，主线讨论请采用回复功能。

折叠评论

smith

作者

6年0个月前

3楼

这个webshell的信息：通过浏览器右键->查看源码，ASPXSpy，目测老外的作品</head><body style="margin:0;table-layout:fixed;"><form name="ASPXSpy" method="post" action="XXXXXXXpx" id="ASPXSpy">
接着扫描了一下发现更多，ckfinder居然配置成任意可上传的，还有人传了一个阿卡林上去[s::lol]，下面就是官方发布的MacOS的驱动文件！

加载评论中，请稍候...

200字以内，仅用于支线交流，主线讨论请采用回复功能。

折叠评论

smith

作者

6年0个月前

4楼

如果是一个黑客想作为的话，可能就很多了，他有可能就直接通过主页进入这个公司内网，盗走驱动key，然后给自己的病毒签上，之后无论谁安装了这个病毒都不会报警了，因为是正常的驱动嘛。

当然或者他就上传一个自己写的木马，然后在其他网站上发布这是新版的驱动，也会被认为是官方驱动下载下来的，而驱动精灵这些软件可能会自动去同步，在windows平台上，驱动是可以获得很大权限的