2020年 第14周 微信公众号精选安全技术文章总览

    洞见网安 2020-4-6


    0x1 使用WireShark 抓包及常用协议分析并获取老师IP

    天策安全技术联盟 2020-04-12T17:15:14 白色中的黑色

    Example Image


    本文介绍了WireShark这一网络封包分析软件的基本概念、应用场景以及如何使用它进行数据包的捕获和分析。WireShark能够详细显示网络封包资料,适用于网络管理员、安全工程师、开发者和普通用户。文章强调了正确选择捕获位置、使用捕获过滤器和显示过滤器、着色规则、构建图表和重组数据等技巧,以提高分析效率。实战部分详细讲解了如何使用WireShark抓包,包括启动软件、选择网卡、设置混杂模式和使用过滤器等步骤。特别提到了通过设置过滤器来筛选特定协议的数据包,如TCP、ARP、HTTP等,以获取特定信息,例如老师的IP地址。文章最后提到,更多高级内容和技巧包含在VIP学习资料中,鼓励读者通过扫描二维码联系作者以获取更多信息。

    网络监听 数据包分析 协议分析 信息安全 Wireshark使用 网络安全工具 网络攻击


    0x2 Wannaren有温度的勒索病毒

    珞安科技 2020-04-10T16:56:49 © 长连接安全实验室

    Example Image


    文章介绍了一种名为Wannaren的勒索病毒。该病毒最早在4月4日被发现,感染者被要求支付0.05比特币的赎金,赎金通知以TXT或图片形式出现。病毒通过加密文件并更改后缀名为wannaren来实施勒索。尽管安装了火绒和360安全卫士等杀毒软件,但系统仍被感染。病毒样本上传至VirScan平台后,主流杀毒软件未能检测出来。病毒行为包括加壳、键盘记录、ICMP网络行为和加载其他模块。攻击者提供的比特币钱包地址显示,目前仅有两笔转账,总额不到5元人民币,远低于勒索要求。病毒作者据信为国人,主要通过QQ群、论坛、下载站等途径传播。作者后来因忏悔而公布了密钥,使得解密工具得以迅速开发。文章最后提供了解密工具的下载链接和使用方法。

    勒索病毒 恶意软件分析 网络安全事件 加密技术 比特币交易 安全防护措施 解密工具 网络传播途径


    0x3 栈溢出漏洞原理详解与利用

    蚁景网络安全 2020-04-10T10:31:37 © threepwn

    Example Image


    本文详细介绍了栈溢出漏洞的原理和利用方法。文章首先解释了程序运行的过程,特别是函数调用和栈的使用。通过设置断点和单步调试,作者展示了函数执行时的栈操作,包括参数传递、栈帧的创建和恢复。接着,文章深入分析了栈溢出的概念,指出栈溢出是由于向栈中写入超出预期大小的数据导致的。作者通过一个具体的代码示例,演示了如何利用栈溢出漏洞来控制程序执行流程,最终实现执行任意代码。文章最后,作者强调了栈溢出漏洞的危害性,并提供了进一步学习的资源链接。

    栈溢出漏洞 缓冲区溢出 程序执行原理 网络安全 漏洞利用技术


    0x4 Google Hacking工具katana

    ListSec 2020-04-09T21:00:00 凉城

    Example Image


    Katana是一款基于Python开发的网络安全工具,专门用于自动化执行Google Hacking(即Google Dorking)操作。它支持与GHDB(Google Hacking Database)结合使用,增强了搜索的针对性。Katana提供了多种运行模式,包括Google模式、SCADA模式、Tor模式和代理模式。在Google模式下,它可以进行常规的Google搜索;SCADA模式下则专注于搜索工业控制系统相关信息;Tor模式允许用户在匿名网络中进行搜索,但需先开启Tor代理;代理模式则用于查找并打印出可用的代理服务器列表。安装Katana需要下载源代码,安装依赖项,并通过命令行参数来选择不同的功能模式。


    0x5 Windows SMB Ghost(CVE-2020-0796)漏洞分析

    ADLab 2020-04-09T20:07:03 启明星辰

    Example Image


    2020年3月10日,微软发布了一项安全公告,指出其Windows SMBv3版本的客户端和服务端存在远程代码执行漏洞,CVE编号为CVE-2020-0796。该漏洞存在于Windows驱动srv2.sys中,是由于处理SMBv3压缩数据包时未严格校验数据包中的OriginalCompressedSegmentSize和Offset/Length字段,导致内存分配不当。启明星辰ADLab安全研究人员对漏洞进行了深入分析并在Windows 10系统上复现。漏洞利用过程涉及创建SMB会话、发送畸形压缩数据、触发漏洞、修改权限数据以及最终提权。该漏洞可能导致远程代码执行,因此受影响版本的Windows用户应尽快采取防护措施。启明星辰ADLab作为安全行业领先的研究实验室,对这一漏洞进行了详细分析,并提供了相应的修复建议。

    漏洞分析 远程代码执行 内存破坏 提权 协议安全


    0x6 解密工具 /密钥公开|新型勒索软件WannaRen风险通告

    凯信特安全团队 2020-04-09T19:28:57

    Example Image


    解密工具 /密钥公开|新型勒索软件WannaRen风险通告


    0x7 原创干货 | kerberos认证过程及攻击方式总结

    云众可信 2020-04-09T18:00:00 © lengyi

    Example Image


    本文详细介绍了Kerberos认证协议,一种由MIT提出的网络身份验证协议,旨在为客户端/服务器应用程序提供强身份验证。文章首先解释了Kerberos的工作原理和设计目标,包括其不依赖于主机操作系统认证、无需基于主机地址的信任等特点。接着,文章描述了Kerberos认证过程中的各个角色,如客户端、服务器、密钥分发中心(KDC)、票据等,并详细讲解了Kerberos认证的流程,包括认证服务(AS)、票据授予服务(TGS)和客户端与服务器之间的交互。此外,文章还介绍了类似于本地SAM数据库的Active Directory(AD)以及PAC(特权属性证书)和SPN(服务主体名称)的概念。最后,文章探讨了Kerberos的一些攻击方式,如白银票据和黄金票据攻击,以及相应的防御措施。

    认证协议 网络安全 密钥管理 域认证 票据 Kerberos攻击 防御策略 密码学 Windows系统 AD域


    0x8 通过捆绑PowerShell脚本和污染下载站点传播恶意软件风险提示

    安恒信息CERT 2020-04-09T12:32:22

    Example Image


    本文分析了近期流行的勒索病毒“WannaRen”的传播方式和攻击链。病毒通过捆绑PowerShell脚本和污染下载站点进行传播,利用白加黑技术加载恶意模块,并设置服务态启动,使勒索过程在重启后触发。病毒主要通过下载恶意工具程序,如绿色版安装包、BT下载器和Office激活器等,并在用户下载时释放恶意文件。病毒还具备路径劫持和反调试功能,以逃避检测。文章还提供了防范措施,包括下载软件时选择官方渠道、限制或卸载PowerShell组件、及时安装系统补丁等。此外,文章还提到了通过EDR和APT安全设备识别和阻止恶意软件的方法。

    勒索软件 PowerShell攻击 恶意软件传播 白加黑技术 路径劫持 反调试技术 挖矿程序 永恒之蓝漏洞 安全防护 威胁情报


    0x9 【软件安全】黑客利用后门对香港iOS用户发起水坑攻击

    水网火安 2020-04-09T11:19:27

    Example Image


    近日,网络安全公司Trend Micro发现了一针对香港iOS用户的水坑攻击事件,被称为“中毒新闻行动”。攻击者通过在论坛上发布新闻并附带指向恶意链接的隐藏iframe,诱导用户点击,从而下载并运行恶意软件。恶意软件利用了iOS 12.1和12.2的安全漏洞,能够在用户设备上安装后门程序,实现对用户信息的监视和控制。攻击者通过恶意软件可以访问用户的WiFi历史记录、联系人、GPS位置、硬件信息、iOS钥匙串、电话和浏览器历史记录等。此次攻击的目的是通过移动设备进行后门和监视,而非直接针对受害者。

    水坑攻击 iOS安全漏洞 恶意软件 后门 移动设备安全 钓鱼攻击 监控与间谍软件


    0xa 欺骗诱捕产品阻断、转移WannaRen勒索病毒

    数据机器人 2020-04-09T07:56:58 © recco

    Example Image


    近期,名为“WannaRen”的勒索病毒通过类似“永恒之蓝”的方式大规模传播,主要感染Windows 10和Windows 7系统。该病毒加密几乎所有文件,并索要0.05BTC赎金。360安全团队分析指出,该病毒由“匿影”组织制作。为应对WannaRen勒索病毒,欺骗诱捕技术被采用,通过部署诱饵和仿真主机,诱使病毒攻击仿真环境,从而阻断和转移攻击。该技术包括检测感染、安装后门、文件加密等步骤,并隐藏真实机器,引导攻击者攻击仿真主机。元支点公司专注于该技术,研发了针对主机、网络、Web的欺骗诱捕产品,形成了一套完整的解决方案。


    0xb CTF中的命令执行绕过

    蚁景网络安全 2020-04-08T10:30:00 © Smity

    Example Image


    本文深入探讨了CTF(Capture The Flag)竞赛中常见的命令执行绕过技术。文章首先区分了命令注入与远程代码执行的区别,强调了命令注入是通过调用操作系统命令来执行,而非服务器代码。文章详细介绍了代码执行的动态调用方法,并分析了PHP中的常见命令执行函数,如system、passthru、exec等。接着,文章讨论了在CTF中常见的命令执行绕过情况,包括disable_function过滤字符和过滤字符限制。对于disable_function过滤,文章介绍了ld_preload和php_gc两种绕过方法。对于过滤字符,文章提出了使用空格代替空格、截断符号、base编码绕过、连接符和反斜杠等技巧。此外,文章还讨论了命令执行结果返回长度受限制的情况,并提供了反弹shell和curl反弹shell的解决方案。最后,文章推荐了一个命令执行漏洞的实验,供读者进一步学习和实践。

    CTF 命令注入 网络安全 PHP安全 绕过技术 Web安全 渗透测试


    0xc 强化 web 攻击神器 Burp Suite (二) — 切换ip技能点

    数智安全研究院 2020-04-07T19:00:24 © Yaseng

    Example Image


    本文介绍了如何在Burp Suite中添加自动化切换IP的功能。通过动态设置HTTP代理,实现对请求目标和请求header的修改。文章首先分析了HTTP代理的原理,并通过对比正常访问和代理访问的数据包,展示了它们在数据层的差异。然后,文章提供了具体的代码实现,包括实例化IHttpListener类并重写processHttpMessage方法。最后,文章还提到了如何将该功能与代理平台或AWS等进行对接,并在实战演练中进行了演示。本文的参考文献包括HTTP代理原理及实现的相关文章、Burp Suite官方文档以及使用AWS API网关动态绕过防火墙的教程。

    渗透测试 代理技术 Burp Suite扩展开发 网络安全工具使用 动态IP切换


    0xd 原创干货 | Java代码审计之图形验证码模块

    云众可信 2020-04-07T18:00:00 © tkswifty

    Example Image


    本文详细介绍了图形验证码的实现方式、常见漏洞场景及审计方法。文章首先描述了图形验证码的常见实现方式,包括在服务端生成验证码并保存到session中,通过Java绘制类图输出图片,并增加干扰线以提高安全级别。接着,文章列举了图形验证码的常见漏洞场景,如验证码大小可控导致的拒绝服务攻击、验证码可复用、图形验证码可识别、验证码失效等问题,并针对这些问题提供了相应的审计方法。最后,文章总结了图形验证码业务模块的关键点,并指出业务逻辑的审查对于发现漏洞至关重要。


    0xe 深信服SSL VPN设备被攻击利用事件通告,捷普入侵防御系统已支持相关检测

    交大捷普 2020-04-07T17:39:36

    Example Image



    0xf OUTLOOK主页滥用

    边界骇客 2020-04-07T13:28:55 noroot

    Example Image


    本文详细分析了Outlook主页滥用安全风险。首先介绍了Outlook主页样式可以调用内部IE浏览器执行ACTIVEX,即使禁用ACTIVEX设置也不影响内部IE浏览器。接着阐述了Outlook规则滥用(远程唤起)的方法,通过制定规则远程唤醒恶意脚本。然后讨论了Exchange EWS接口支持NTLM认证,利用NTLM凭证操控本地用户的Outlook配置。最后,介绍了NTLM中继和域内用户相互信任机制,通过在邮件中插入JS和NTLM中继快速获取NTLM凭证,从而控制用户权限。文章还提供了一些示例代码和截图,以帮助读者更好地理解这些安全风险。

    Outlook 安全漏洞 邮件客户端安全 ACTIVEX 漏洞利用 NTLM 中继攻击 内部网络安全 JavaScript 漏洞利用 安全配置管理


    0x10 深信服SSL VPN设备被APT攻击利用风险提示

    安恒信息CERT 2020-04-06T18:16:41 ©

    Example Image


    2020年4月6日,深信服科技发布了一则关于境外APT组织利用其SSL VPN设备漏洞进行APT攻击的公告。攻击者通过漏洞获取设备权限后,利用SSL VPN设备Windows客户端升级模块签名验证机制的缺陷植入后门。受影响的设备版本包括M6.3R1和M6.1版本。深信服已发布紧急修复补丁,并建议用户安装补丁或采取缓解措施,如排查恶意程序、限制对设备控制台管理端口的访问、启用密码复杂性策略等。此外,安恒研究院统计显示,国内有大量深信服SSL VPN设备暴露在互联网上,存在安全风险。

    漏洞利用 APT攻击 供应链攻击 安全补丁 VPN安全 恶意软件分析 网络安全应急响应 威胁情报

    本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。