2021年 第10周 微信公众号精选安全技术文章总览
洞见网安 2021-3-8
0x1 dll劫持
ME记录 2021-03-12T18:25:22 © BoBiu
本文详细介绍了DLL劫持的技术原理和实践步骤。首先解释了DLL劫持的基本概念,即通过改变DLL的加载顺序或替换原有DLL来实现劫持。接着,文章详细列出了DLL的加载顺序,并提到Windows为防止DLL劫持而引入的SafeDllSearchMode安全模式。文章还提到了微软通过注册表项KnownDLLs进一步防御DLL劫持的措施。在DLL发现部分,作者使用了DLLHijack_Detecter.ps1和Rattler工具进行检测,并展示了手动查找可劫持DLL的方法。在劫持DLL的生成部分,作者介绍了使用DLL_Hijacker.py工具和Visual Studio编译环境来生成恶意DLL。最后,文章详细描述了劫持过程,包括重命名DLL、放置DLL到特定目录,并成功实现了DLL劫持,还意外发现了procexp.exe工具也可被劫持。文章提供了多个参考链接和工具,供读者深入学习。
DLL劫持 Windows安全 注册表配置 恶意软件分析 逆向工程 漏洞利用
0x2 域渗透-定位DC&域管
谁不想当剑仙 2021-03-12T17:35:00 © Master-Perng
本文主要探讨了在网络安全领域,尤其是在进行红队行动时,如何定位域控制器(DC)和域管理员(域管)的策略和技巧。文章首先介绍了多种定位DC的方法,包括通过DNS服务器、net命令、nltest.exe和netview.exe等工具。接着,文章详细描述了如何利用PsLogon.exe、PVEFindADUser.exe和PowerView.ps1等工具来定位域管。这些方法对于网络安全学习者来说是非常有用的,可以帮助他们在实际操作中更有效地进行渗透测试和防御策略的制定。
域渗透 网络安全 渗透测试 信息收集 Windows系统安全 工具使用 脚本利用
0x3 F5 BIG-IP/BIG-IQ高危漏洞风险提示
安恒信息CERT 2021-03-12T10:31:00 ©
2021年3月10日,F5官方发布安全更新公告,修复了包括CVE-2021-22986等多个高危漏洞,涉及F5 BIG-IP、BIG-IQ iControl REST等设备。这些漏洞包括未经身份验证的远程命令执行漏洞、后台远程命令执行漏洞和缓冲区溢出漏洞,可能导致攻击者远程执行系统命令。受影响的版本包括F5 BIG-IP 12.1.0至16.0.1系列和BIG-IQ 6.0.0至7.1.0系列。F5建议用户升级至安全版本,并配置访问控制策略以防止未授权访问。安恒应急响应中心提醒用户及时测试安全更新并应用安装,以完善威胁识别和漏洞缓解措施。
高危漏洞 远程命令执行 缓冲区溢出 未经身份验证攻击 安全更新 系统加固 F5 BIG-IP F5 BIG-IQ 漏洞影响范围 应急响应
0x4 对某cms的一次审计思路
蚁景网络安全 2021-03-11T17:30:00 © 第二梦
本文详细讲述了作者对某基于ThinkPHP5.1框架二次开发的CMS进行安全审计的过程。作者首先在ImageCrop.php的crop方法中发现getimagesize函数可能触发phar反序列化漏洞。通过跟踪代码,发现可以通过控制$imgData变量来利用该漏洞。在审计过程中,作者注意到getImgData函数对图片路径的处理存在限制,但通过十六进制绕过方法,可以在Linux环境下成功控制参数。最后,作者在VPS上放置了phar文件,并通过后台上传功能触发漏洞。漏洞已提交至CNVD平台,作者还提供了相关的实操靶场链接供读者学习文件上传漏洞的原理和修复方法。
代码审计 反序列化漏洞 ThinkPHP框架 文件上传漏洞 Linux环境 漏洞利用
0x5 【技术向】OPC安全风险与防御
星河安全 2021-03-11T17:16:17 © 星河学院
本文探讨了OPC(用于过程控制的OLE)及其更新版本OPC UA的安全风险与防御措施。文章首先介绍了OPC的历史背景、发展历程以及OPC与OPC UA协议结构的不同。接着,详细分析了OPC UA的安全机制,包括认证、授权、完整性和机密性,并指出OPC Foundation产品中发现的多项漏洞及其潜在威胁。文章还模拟了攻击环境,展示了如何通过OPC协议的漏洞进行拒绝服务攻击(DoS)。最后,提出了防御建议,包括安装安全补丁、使用工业防火墙和网络分区等,以增强工业互联网的安全性。
工业控制系统安全 OPC协议安全 安全漏洞分析 攻击模拟 安全防御建议 信息安全策略 漏洞编号 技术分析 信息安全标准
0x6 【漏洞情报】F5 BIG-IP/IQ 多个高危漏洞通告
云弈安全 2021-03-11T13:12:24 榴莲
2021年3月11日,云弈科技监测到F5官方发布安全通告,涉及F5 BIG-IP和BIG-IQ设备的多个高危漏洞。其中最严重的是iControl REST接口的未授权远程代码执行漏洞,评分高达9.8。该漏洞允许未认证攻击者通过网络访问iControl REST接口,执行任意命令、创建或删除文件、禁用服务。其他漏洞包括TMUI授权远程代码执行、高级WAF/ASM授权远程命令执行和TMM缓冲区溢出等,这些漏洞同样允许攻击者执行系统命令或导致服务拒绝(DoS)。受影响的版本广泛,包括BIG-IP和BIG-IQ的多个主要版本。F5官方已发布安全更新,建议用户升级至安全版本。云弈科技的“天视”和“云戟”平台已更新插件,可检测这些漏洞。
高危漏洞 远程代码执行 拒绝服务攻击 未经授权访问 文件操作 服务禁用 缓冲区溢出 F5 BIG-IP/IQ iControl REST 流量管理用户界面(TMUI)
0x7 2021HW必备工具列表总结
蚁景网络安全 2021-03-10T17:30:00 乌雲安全
本文提供了一份详尽的网络安全工具列表,涵盖了蜜罐、网络与行为分析、数据分析等多个方面。文章首先介绍了蜜罐工具,包括各种类型的蜜罐,如Web蜜罐、服务蜜罐、ICS/SCADA蜜罐等,并列举了多个具体的蜜罐工具,如Kippo、Honeypot、Delilah等。接着,文章讨论了网络与行为分析工具,包括Tracexploit、Sysdig等,以及数据分析工具,如Honeycomb、HoneyMap等。此外,文章还提到了恶意软件收集工具、僵尸网络C&C工具、动态代码检查工具等。最后,文章介绍了IDS签名生成工具、数据收集/数据共享工具、网络分析工具等。这些工具可以帮助网络安全学习者更好地了解和理解网络安全领域中的热点话题和漏洞技术,从而提高自己的网络安全技能。
0x8 微软3月安全更新补丁和Exchange高危漏洞风险提示
安恒信息CERT 2021-03-10T14:33:00 ©
Windows DNS服务器存在远程代码执行漏洞,非DNS协议漏洞
漏洞公告 CVE Exchange Server Windows DNS 远程代码执行 SSRF 不安全反序列化 任意文件写入 拒绝服务 安全更新 缓解措施 日志分析
0x9 【Windows服务器安全】安全配置服务器
网络安全透视镜 2021-03-09T23:10:29 © 安全透视镜
本文详细介绍了Windows服务器安全配置的步骤和原理。首先,文章强调了服务器端口、账号和服务上的安全重要性,并针对Windows Server 2003环境给出了具体的配置步骤。包括端口配置,如只允许80端口开放;关闭不必要的系统服务,如Terminal Services、Remote Registry和Telnet;账号安全设置,如禁用Guest用户、更改管理员用户名,并设置密码策略;安全日志配置,包括审核系统事件;以及其他相关安全设置,如及时更新补丁和关闭空连接。文章还提醒在生产环境中进行补丁更新时需进行测试,以确保业务系统的安全和正常运行。
Windows服务器安全 网络安全配置 系统服务管理 账户安全 日志审计 系统更新 注册表编辑
0xa Laravel 8 反序列化分析
蚁景网络安全 2021-03-09T17:30:00 © S1mple
本文分析了Laravel 8版本中的一个反序列化漏洞,该漏洞实际上是laravel的mockery组件漏洞。文章详细描述了漏洞的触发点和利用过程,包括PendingBroadcast.php中的析构函数、Dispatcher.php中的dispatch函数以及EvalLoader类中的load方法。作者通过分析发现,攻击者可以通过控制queueResolver变量和commandShouldBeQueued函数的返回值,进入dispatchToQueue函数,并利用call_user_func函数执行任意类下的任意方法。进一步分析发现,通过MockDefinition类和MockConfiguration类的配合,可以绕过安全检查并执行eval函数,从而实现远程代码执行。文章还提供了相应的Exp代码示例,帮助读者理解漏洞的具体利用方法。此外,文章还提到了该漏洞在低版本Laravel上同样存在,并强调了安全审计的重要性。
Laravel 安全漏洞 Web应用安全 代码审计 反序列化攻击 框架漏洞 漏洞利用 安全研究
0xb Linux内核AF_VSOCK套接字条件竞争漏洞(CVE-2021-26708)分析
ADLab 2021-03-09T17:26:17 启明星辰
该漏洞是由于错误加锁导致,可以在低权限下触发并自动加载易受攻击驱动模块创建AF_VSOCK套接字,进而导致本地权限提升。该漏洞补丁已经合并到Linux内核主线中。
0xc 漏洞挖掘 | 登录某大学VPN系统
蚁景网络安全 2021-03-08T13:20:00
本文描述了一次针对某大学VPN系统的漏洞挖掘过程。作者首先通过信息搜集找到了一些可能的突破口,包括从类似表白墙的地方获取到了学生的QQ号,并进一步收集到了大量学生的信息,如学号和姓名等。通过进一步的研究,作者发现了一个包含2800多名研究生信息的文件。利用这些信息,作者了解到该校的SSO系统需要学号和身份证后六位进行登录。由于智慧校园的部分功能缺乏验证码保护,存在被暴力破解的风险。然而,密码采用了AES加密,这使得直接破解变得困难。不过,作者发现加密过程在前端实现,因此可以通过下载相关JS文件来逆向工程加密密钥,并编写PHP脚本来批量加密密码字典,以便于后续的破解尝试。最终,作者通过这种方式成功获得了有效的账号密码,并能够登录学校的内部资源。文章结尾指出,所提到的漏洞已经被修复,并鼓励读者通过靶场环境来学习相关的技术。
信息搜集 社会工程学 漏洞利用 密码学 网络渗透 Web安全 身份认证绕过 数据泄露
0xd cobaltstrike邮箱提醒团队作战(附工具下载)
黑客街安全团队 2021-03-08T12:52:32 © 一个萝卜
本文介绍了一种利用 Cobalt Strike 工具进行团队协作时,通过邮箱提醒功能提高协作效率的方法。作者首先介绍了编写脚本的背景和目的,即为了解决团队成员不能及时收到通知的问题。文章详细描述了如何配置 QQ 邮箱的 SMTP 服务以发送邮件,以及如何创建和使用一个脚本来自动化这个过程。脚本需要用户填写邮箱和授权码,并在 VPS 上运行。文章还提供了具体的命令来创建后台任务,并展示了如何查看任务状态。最后,作者提醒读者该工具仅用于学习,并提供了下载链接和联系方式,以便读者在遇到问题时寻求帮助。
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
