2024年 第11周 微信公众号精选安全技术文章总览

    洞见网安 2024-3-18


    0x1 深入浅出:SQLMap Tamper使用手册

    Ncko 2024-03-17T17:30:38 niuko

    Example Image


    本文深入介绍了SQLMap Tamper脚本的使用方法,SQLMap是一款强大的SQL注入工具,而Tamper脚本是其绕过数据库防火墙、入侵检测系统和入侵防御系统等安全设施的关键功能。文章首先阐述了Tamper脚本的使用场景,包括WAF、IDS/IPS和过滤规则等防护措施的绕过。接着,详细说明了Tamper脚本的基本使用方法,包括如何通过--tamper参数指定脚本,并举例说明了如何使用space2comment脚本进行绕过。文章还列举了一些常用的Tamper脚本及其功能,如space2commentrandomcasecharunicodeencodebetween等,并介绍了如何组合使用多个脚本以增强绕过效果。最后,文章强调了使用Tamper脚本时的注意事项,包括合法性、谨慎性和定期更新脚本的重要性。

    SQL注入 渗透测试 安全工具 WAF绕过 IDS/IPS 网络安全防护 编码技巧 安全实践


    0x2 关于Cuckoo Filter的动态网络流量分析与安全防护方案

    微辣安全 2024-03-16T18:06:07 © 项少羽(vela)

    Example Image


    本文介绍了Cuckoo Filter在动态网络流量分析与安全防护方案中的应用,特别是针对CC攻击防护和频率限制方面。Cuckoo Filter作为一种高效的过滤器,相较于Bloom Filter具有更低的误判率和更好的空间利用率。文中提到,在安全防护中常遇到的问题是如何从多个维度限制请求频率,例如基于IP或Cookie限制URI数量和UID数量。传统的Nginx和OpenResty中的限流策略只能实现单一维度的限制。作者提出了一种结合Cuckoo Filter的解决方案,该方案能够有效地统计同一IP下的页面访问数量、Cookie数量及UID数量,从而实现多维度的流量控制。此方案采用了C和Lua混合编程,并兼容APIsix、OpenResty等Web框架。实验结果显示,通过配置适当的参数,可以成功地限制异常请求,提高系统的安全性。此外,文章还讨论了Cuckoo Filter的编码和解码过程,以及为何选择Snappy压缩算法来优化内存使用。最后,作者指出该方案已开发有Redis共享版本,并考虑未来开发FFI版本以进一步提升性能。

    入侵检测 DDoS防护 频率限制 数据结构优化 Web安全 算法实现 性能优化


    0x3 HTB之FormulaX

    羽泪云小栈 2024-03-16T14:36:36 © 羽泪云小栈

    Example Image


    HTB赛季靶之FormulaX+linux(hard)+xss敏感信息获取+simple-git漏洞利用+mongodb数据库信息泄露+ssh -L端口转发+webshell获取+敏感配置文件信息获取+OpenOffice漏洞利用


    0x4 CVE-2024-21412:DarkGate 运营者在0-day攻击中利用SmartScreen 进行绕过

    独眼情报 2024-03-15T16:29:27 趋势科技

    Example Image


    零日计划 (ZDI) 发现的 DarkGate 活动利用虚假软件安装程序和 Google DoubleClick 数字营销 (DDM) 的开放重定向来攻击用户。攻击者通过 PDF 文件中的按钮诱骗用户,将其重定向到托管微软 Windows SmartScreen 绕过漏洞 CVE-2024-21412 的恶意网站,下载伪装成合法软件的恶意 MSI 安装程序。该安装程序包含侧载的 DLL 文件,解密并部署 DarkGate 恶意软件。DarkGate 采用恶意软件即服务 (MaaS) 模式,常用于攻击北美、欧洲、亚洲和非洲的组织。该活动涉及多个阶段:利用开放重定向绕过 Windows Defender SmartScreen,通过 MSI 安装程序侧载 DLL 文件,使用 AutoIt 脚本解密并加载 DarkGate RAT。DarkGate RAT 具有多种功能,如进程注入、信息窃取和 shell 命令执行,并采用多种规避技术,如动态解析 API 函数和 XOR 加密配置,以逃避检测。ZDI 和趋势科技等安全公司提供针对该漏洞的补丁和保护措施。

    零日漏洞利用 网络钓鱼 恶意软件即服务 (MaaS) DLL 侧载 AutoIt 脚本 XOR 加密 远程访问木马 (RAT) 反混淆技术 系统调用 Hooking C&C 通信 Water Hydra APT


    0x5 Shiro权限绕过详解

    AtomsTeam 2024-03-15T09:30:15 © 七十七

    Example Image


    本文详细分析了Shiro和Spring MVC在请求路径处理上的差异,以及这些差异如何导致权限绕过漏洞。文章首先介绍了Shiro的配置和使用流程,包括SecurityManager、ShiroFilterFactoryBean和Realm的配置。接着,深入剖析了Shiro的请求解析过程,特别是路径标准化过程中与Spring MVC的差异。文章指出,Shiro在路径标准化时会删除分号后的所有内容,而Spring MVC只会删除分号本身,这种差异导致了CVE-2020-19571漏洞的产生。此外,文章还分析了CVE-2020-11989、CVE-2020-13933和CVE-2020-17523等漏洞,这些漏洞都是利用Shiro和Spring MVC在路径处理上的不同而实现的权限绕过。最后,文章提出了相应的修复措施,如修改请求路径获取方式、避免二次URL解码和使用全局过滤器等。这些修复措施可以有效防止权限绕过漏洞的发生。


    0x6 红日靶场-红队实战(二):环境搭建

    道玄网安驿站 2024-03-14T14:49:56 ©

    Example Image


    本文介绍了“红日靶场-红队实战(二):环境搭建”的详细过程。首先,作者提供了靶机的下载地址,并指导读者如何根据拓扑新建一个10.10.10.0/24的网段。在启动靶机时,作者遇到了web靶机账户密码错误的问题,并通过删除多余的快照解决了这个问题。接着,作者提供了使用初始账户密码登录靶机的方法,并强调了登录后需要更改密码。此外,还说明了如何修改靶机的静态IP地址以适应NAT网段。文章还提到了如何启动Weblogic服务并访问后台管理界面,以及PC靶机的静态地址修改。最后,作者提醒读者所有操作应在实验环境下进行,不得用于非法用途,并附上了免责声明。

    环境搭建 漏洞利用 WebLogic服务器 静态IP配置 法律合规


    0x7 金和OA jc6 RCE

    克莱因蓝的灰色空间 2024-03-14T13:40:44 薄雾清晨

    Example Image


    本文主要分析了金和OA软件中一个名为jc6的RCE(远程代码执行)漏洞。该漏洞存在于金和OA的viewConTemplate.action接口,攻击者可以通过这个漏洞获取服务器的权限。文章中详细描述了该漏洞的Fofa搜索语法,并提供了漏洞复现的POC(Proof of Concept)。同时,文章强调了免责声明,指出漏洞可能并非所有系统都存在,且未修复,并提醒读者未经授权的攻击属于非法行为。作者对因使用本文提供的信息而产生的后果不承担任何责任。

    漏洞分析 RCE 漏洞 金和OA Fofa 语法 安全防护


    0x8 没用的技术之红蓝运维管理工具Global Socket

    AtomsTeam 2024-03-14T10:30:26 © 狩猎

    Example Image


    本文介绍了一个名为Global Socket的红蓝运维管理工具,它可以通过单个命令自动化部署反向登录shell,并远程访问加密后的shell。Global Socket支持不同专用网络上的两个工作站相互通信,被认为是快速访问系统的最快方式。文章提供了安装、卸载和访问的命令,并介绍了高级玩法,如通过防火墙和NAT访问、多人协同端口转发、隧道代理以及文件传输。同时,文章强调了使用该工具的安全规范,包括不进行未授权的安全检测、不干扰业务、不查看敏感数据等,并提醒用户发现漏洞后应通过企业SRC报告。最后,提供了交流群的联系方式。

    网络安全工具 红蓝对抗 渗透测试 反向shell 加密通信 端口转发 文件传输 NAT穿透 免杀技术


    0x9 【黑产攻防道05】针对伪造环境的检测

    极验 2024-03-14T09:00:22 © 极验

    Example Image


    本文深入探讨了网络安全中的环境检测问题,分析了黑产如何通过环境伪造来绕过安全防御机制。文章首先阐述了环境检测的本质,即通过识别和策略来区分合法请求和模拟请求,类似于货币防伪。接着,文章分析了黑产进行环境伪造的动机,包括突破浏览器限制和绕过检测与防御机制。文中提到,黑产使用自动化工具和特殊浏览器来提高攻击效率,并通过篡改用户环境参数来欺骗服务器。文章还讨论了环境检测的限制,即如何区分伪造的危险请求。通过一个实际案例,文章展示了如何通过多种手段验证用户身份,并结合IP地址、Cookie、用户自动化特征等浏览器指纹信息进行识别。文章强调了极验在检测自动化工具和环境篡改方面的技术优势,包括多种检测策略和环境数据收集展现产品方案。最后,文章总结了伪造环境是黑产常用的手段,并呼吁加强安全防护,以应对日益猖獗的黑产攻击。

    网络安全 环境检测 黑产攻防 验证码技术 自动化攻击 浏览器指纹 社会工程学 安全防御策略 技术分析 案例分析


    0xa CVE-2024-21378作者教你Outlook远程代码执行,等你来写 exp

    独眼情报 2024-03-13T20:47:09 NetSPI

    Example Image


    2023年,NetSPI发现Microsoft Outlook存在远程代码执行(RCE)漏洞CVE-2024-21378,并介绍了利用SensePost发布的Outlook渗透测试工具Ruler进行武器化的过程。该漏洞源于Outlook表单对象中的VBScript代码,微软最初通过补丁强制将自定义表单中的脚本代码列入允许列表,但表单对象的同步功能未变更。NetSPI通过代码审计发现,可以创建任意文件并安装任意注册表项,从而实现RCE。他们使用MFCMAPI和ProcMon深入分析Outlook的底层技术,并确定了绕过Outlook表单的拒绝列表检查的方法。最终,NetSPI修改了Ruler工具,使其能够通过受损的访问令牌对Exchange Online进行身份验证,并发送包含执行任意COM兼容DLL的表单,实现远程代码执行。文章还提供了实际利用的示例,并强调了防御团队应关注微软发布的检测和补救Outlook规则和表单滥用的指导意见。

    远程代码执行 (RCE) Outlook 漏洞 表单对象 MAPI 注册表操作 文件操作 COM 对象 身份验证利用 漏洞利用工具 红队演练


    0xb 你的流量真的走代理了吗?

    河马安全区 2024-03-13T19:00:30

    Example Image


    本文主要探讨了在使用代理软件时的一些常见误区,并提供了确保流量全部走代理的方法。作者首先指出了过度信任Clash和Proxifier可能导致的问题,说明了这些软件在默认配置下并不能保证所有流量都通过代理。接着,提出了一种解决方案,包括使用虚拟机、Proxifier以及正确的网络配置来确保流量安全。文章还强调了Proxifier除了流量截获功能之外的代理链和分发调度功能,对于需要多跳环境的使用者非常有用。最后,提供了相关资源的参考链接。

    代理安全 隐私保护 流量捕获 系统代理设置 网络配置 软件使用教程


    0xc Qemu源码浅析之v0.1.6

    看雪学苑 2024-03-13T18:02:13 h1J4cker

    Example Image


    本文主要探讨了作者在实现IoT模糊测试(Fuzz)过程中遇到的挑战,并尝试通过阅读QEMU源码来解决问题。由于QEMU项目庞大,作者选择从历史版本入手,分析了v0.1.6、v0.10.6和v2.10.0版本中的v0.1.6版本。文章详细分析了v0.1.6版本的源码,包括参数解析、内存清零、ELF文件加载、结构体定义、信号处理、任务状态管理、寄存器初始化以及CPU模拟执行过程。作者通过这些分析,对QEMU的实现有了初步的认识,并希望对其他初学者有所帮助。文章还提到了相关的参考链接和看雪论坛的优秀文章推荐。

    IoT安全 源码分析 模糊测试 操作系统安全 漏洞挖掘 逆向工程 系统调用模拟


    0xd 【风险通告】Fortinet FortiOS & FortiProxy 多个高危漏洞风险提示

    安恒信息CERT 2024-03-13T17:37:50

    Example Image


    近日,Fortinet发布了针对FortiOS和FortiProxy的三个高危漏洞,CVE-2023-42789、CVE-2023-42790和CVE-2024-23112。这些漏洞可能被用于越界写入、缓冲区溢出和身份验证绕过,对系统安全构成严重威胁。CVSS评分显示,这些漏洞的严重性从8.0到9.8不等。受影响的FortiOS版本从6.2.0到7.4.17,FortiProxy版本从2.0.0到7.0.12。Fortinet已发布修复方案,建议用户尽快更新至安全版本以降低风险。安恒信息CERT提醒用户,由于这些漏洞的影响范围广泛,客户应立即进行自查和防护措施。

    网络安全漏洞 漏洞通告 CVE编号 安全补丁 网络安全产品 缓冲区溢出 越界写入 身份验证绕过 应急响应 CVSS评分


    0xe 【风险通告】微软3月安全更新补丁和多个高危漏洞风险提示

    安恒信息CERT 2024-03-13T17:37:50

    Example Image



    0xf JWT 身份验证绕过

    偏远酒馆 2024-03-13T17:06:43 © Ra7ing

    Example Image


    知彼知己者,百战不殆


    0x10 OfficeWeb365 SaveDraw任意文件上传漏洞

    vhack 2024-03-13T13:09:32 © V0WKeep3r

    Example Image


    本文详细介绍了OfficeWeb365 SaveDraw任意文件上传漏洞。该漏洞存在于OfficeWeb365 SaveDraw接口,攻击者可以利用路径穿越和字符串类型参数idx,上传任意文件至服务器,从而获取服务器权限。漏洞编号/披露日期为2023-08-11,被评估为高危。文章提供了漏洞的利用方法、POC/EXP示例,以及可能的修复方案,包括联系厂商确认补丁和通过代码修改idx数据类型。此外,还建议使用nginx屏蔽接口或通过正则表达式进行防护。

    文件上传漏洞 路径穿越 任意文件写入 .NET应用安全 高危漏洞 漏洞修复 漏洞利用技巧 漏洞分析


    0x11 常见漏洞丨PHP反序列化

    网安淬锋研习社 2024-03-13T11:26:32 © 安全盾

    Example Image


    本文深入探讨了PHP反序列化漏洞,首先介绍了PHP的基础知识和序列化概念,为理解反序列化漏洞打下基础。文章详细阐述了漏洞的原理,包括序列化与反序列化的数据一致性保证、用户操纵的原因以及触发条件。接着,文章介绍了漏洞的利用方法,强调了敏感函数利用和类重构在攻击中的重要性。通过pikachu靶场的实战案例,展示了如何利用反序列化漏洞执行恶意代码。文章还分析了漏洞的危害,并提出了防范措施,如控制用户输入、使用白名单验证和避免危险函数。最后,文章提醒读者在使用提供的信息和技术时应遵守法律法规,并强调了免责声明的内容。

    PHP安全 漏洞分析 代码执行漏洞 序列化/反序列化安全 魔法方法 XSS攻击 防御策略


    0x12 PHP简介及序列化简要说明

    网安淬锋研习社 2024-03-13T11:26:32 © 安全盾

    Example Image


    本文首先介绍了PHP的基本概念,包括PHP是什么、PHP文件的特点、PHP能做什么以及为什么选择PHP。接着,文章详细解释了PHP序列化的概念和过程,包括序列化的定义、如何使用serialize()函数进行序列化,以及序列化后的字符串格式和常见字母标识的含义。此外,文章还讨论了PHP反序列化的过程、反序列化的严格要求以及如何使用unserialize()函数进行反序列化。最后,文章简要介绍了序列化的用途,如数据传输、存储、缓存和减少内存浪费,以及魔术方法在PHP中的作用。

    编程语言 网络安全 序列化 反序列化 魔术方法 安全编码


    0x13 OfficeWeb365 /Pic/Indexs存在文件读取漏洞

    vhack 2024-03-12T23:55:13 © V0WKeep3r

    Example Image


    本文详细分析了OfficeWeb365平台中存在的文件读取漏洞。该漏洞被命名为“OfficeWeb365任意文件读取漏洞”,编号为/披露日期2024-01-31。漏洞存在于/Pic/Indexs接口,攻击者可以通过特定的加密方式读取任意文件,从而获取服务器敏感信息,威胁等级被评定为高危。漏洞的利用需要知道准确的文件名,因此实际利用难度较高,但仍然存在安全风险。文章提供了漏洞的利用POC/EXP,包括加密和解密脚本,并分析了漏洞的原理,指出漏洞出现在Dx.OfficeView.Controllers.PicController.cs中的代码逻辑。目前尚无官方补丁,建议用户联系厂商确认,并在代码层面通过解密后过滤特定路径来实现临时修复。同时,文章还建议使用nginx屏蔽接口/Pic/Indexs,以防止恶意访问。

    文件读取漏洞 高危漏洞 OfficeWeb365 .NET开发 加密漏洞 硬编码 代码审计 漏洞利用POC 安全防护


    0x14 Fscan 自实现loader免杀规避

    AtomsTeam 2024-03-12T09:27:43 © g4tkey

    Example Image


    本文介绍了如何使用Fscan工具进行网络安全研究和实验性教学,并详细说明了如何通过修改Fscan源代码、去除特征、混淆DLL文件以及使用loader.exe加载DLL来实现免杀规避。文章首先强调了免责声明和使用规范,然后从基本思路、DLL去除特征和混淆、loader调用指定DLL以及loader自实现getprocess调用dll等方面进行了详细说明。文章还提到了编译过程和需要注意的位数一致性问题,最后通过测试效果展示了方法的可行性,但也指出了由于对Go语言不熟练而遗留的一个问题。

    网络安全工具 免杀技术 Golang开发 DLL加载 混淆技术 安全研究 法律法规


    0x15 apt 组织Evasive Panda(在逃熊猫)利用祈愿节来针对藏人

    独眼情报 2024-03-12T09:09:42 ESET

    Example Image


    ESET 研究人员发现了一项网络间谍活动,至少自 2023 年 9 月以来,该活动一直通过有针对性的水坑(也称

    网络间谍活动 水坑攻击 供应链攻击 恶意软件 APT组织 跨平台攻击 社会工程学 后门程序 IP地址扫描与定位 持久化


    0x16 Quaser RAT入侵检测,通讯流量特征分析及自动化检测实现

    帅仔回忆录 2024-03-12T09:02:19 © qianlan

    Example Image


    本文是关于Quaser RAT系列文章的第三篇,主要分析了Quaser RAT的通讯流量特征,并探讨了如何实现自动化检测。文章首先回顾了Quaser RAT的版本更新和通讯架构变化,特别是v1.4.0版本中引入的TLS1.2加密和Protobuf消息序列化。接着,详细分析了TLS加密套件、证书CN值、证书固定hex流、心跳包载荷、流量大小比较以及TCP心跳机制等特征。文章还提供了检测平台和示例数据包,以及如何利用这些特征进行告警信息分析。最后,作者提到了后续可能更新的情报类内容。

    木马分析 加密流量检测 入侵检测系统 网络流量分析 恶意软件特征 安全研究


    0x17 变脸BianLian用PowerShell重写了后门

    独眼情报 2024-03-11T21:58:25 Drew Schmitt

    Example Image


    本文深入分析了网络安全组织GuidePoint的研究与情报团队(GRIT)对BianLian勒索软件组织的研究。自Avast发布了解密工具后,BianLian转向了仅勒索的运营模式。GRIT团队对一起利用TeamCity服务器漏洞的事件进行了应急响应,其中BianLian使用PowerShell重写了BianLian GO后门。文章详细描述了攻击者如何利用TeamCity漏洞进行初始访问,并在受害者网络中横向移动,最终部署PowerShell后门。文章重点分析了PowerShell后门的实现细节,包括混淆技术、网络功能以及与BianLian GO后门的关联。此外,文章还讨论了BianLian组织如何适应环境变化,并提出了针对此类攻击的防御建议。

    勒索软件 后门分析 PowerShell恶意软件 TeamCity漏洞利用 漏洞分析 安全响应 威胁情报 网络安全防御


    0x18 一款好用的Thinkphp漏洞利用工具

    CH1N安全 2024-03-11T20:33:02 CH1N

    Example Image


    针对Thinkphp2.x-6.x版本的Thinkphp图形化工具


    0x19 Quaser RAT加解密技术剖析

    帅仔回忆录 2024-03-11T18:57:14 © qianlan

    Example Image


    本文深入剖析了Quasar RAT(远程访问木马)的加解密技术。首先介绍了Quasar RAT的背景和使用示例,接着详细解析了其配置信息解密过程,包括AES算法解密Base64编码的密文字符串,以及密钥派生和整体解密流程。文章还提供了外连地址的解密示例,并说明了客户端标识、版本信息、文件路径名等信息的解密方式。其次,文章分析了Quasar RAT的通讯数据解密,涉及TLS1.2加密、序列化和反序列化操作,以及服务端RSA私钥的提取。此外,文章还讨论了TLS通讯加密的细节,包括密钥协商过程和加密套件的选择。最后,文章介绍了如何通过修改SChannel配置或编辑注册表来解密TLS通讯流量,并提供了使用wireshark进行解密的具体操作步骤。


    0x1a 内网过waf检测扫描工具(文末下载)

    SecNL安全团队 2024-03-11T17:35:16 佛系白猫

    Example Image


    该文章介绍了一款名为MASSCAN的TCP端口扫描工具,其特点是能够异步发送SYN数据包,并且其功能类似于知名的端口扫描工具nmap。然而,在实现机制上,MASSCAN与scanrand、unicornscan以及ZMap更为相似,均采用了异步传输技术。MASSCAN作为一款灵活的工具,支持用户自定义扫描的目标地址及端口范围。为了应对WAF(Web应用防火墙)的检测,MASSCAN进行了特定的调整,例如当扫描常见的HTTP端口80时,通常的MASSCAN数据包中会包含'.masscan.'字样,而这版MASSCAN通过反编译手段去除了这一标识符,从而使得WAF难以识别其扫描行为。文章结尾处提供了获取该工具的方法,即通过关注指定的公众号并回复关键词'masscan'来获取。文中提到此工具是由一个名为佛系白猫的团队提供的。

    内网安全 WAF绕过 端口扫描 安全工具 渗透测试

    本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。