2024年 第14周 微信公众号精选安全技术文章总览
洞见网安 2024-4-8
0x1 漏洞复现-CVE-2024-29269
Adler学安全 2024-04-07T17:27:56 ©
本文介绍了Telesquare TLR-2005 Ksh路由器的远程命令执行漏洞(CVE-2024-29269)。该漏洞存在于Telesquare TLR-2005 Ksh版本1.0.0和1.1.4中,允许未经授权的攻击者通过Cmd参数执行系统命令,从而获取服务器权限。文章提供了漏洞复现的POC,指出了在/cgi-bin/admin.cgi路径中,存在对传入参数的过滤不足,导致远程代码执行(RCE)的风险。此外,文章还提供了网络空间测绘查询的相关信息,并建议用户更新系统或软件至最新版本以修复漏洞。文章最后提供了获取批量验证脚本和渗透测试工具的方法,以及加入安全交流群的途径。
远程命令执行 CVE-2024-29269 Telesquare TLR-2005 Ksh 未授权访问 输入验证不足 漏洞复现 批量检测 软件更新
0x2 甲方安全建设-日志采集和研发安全
蚁景网安 2024-04-07T17:20:13 © Jumbo
没有永远的安全
0x3 Magento漏洞被利用以部署隐藏在XML中的持久后门
黑猫安全 2024-04-07T16:46:34 鹏鹏同学
Sansec研究人员发现攻击者利用Magento的CVE-2024-20720漏洞部署持久后门。该漏洞为操作系统命令注入,CVSS评分9.1,影响Adobe Commerce的多个版本,允许攻击者无需用户交互即可执行任意代码。Adobe在2024年2月的安全更新中修复了此问题。攻击者通过在layout_update数据库表注入XML代码,结合Magento布局解析器和beberlei/assert软件包,执行系统命令。该命令在请求特定结账购物车路径时触发,向CMS控制器添加后门。攻击者利用此机制部署了伪造的Stripe支付窃取器,捕获数据发送至受compromise的Magento商店。专家建议Magento网站管理员升级至安全版本并扫描网站以查找威胁指标。
漏洞利用 持久后门 操作系统命令注入 任意代码执行 Magento安全更新 XML代码注入 远程代码执行 支付信息窃取 电子商务安全
0x4 挖矿木马取证记录----替换系统命令
低语sec 2024-04-07T16:15:53 ©
本文记录了一起挖矿木马的取证分析过程。首先,通过分析发现可疑的启动项和外联域名,利用tcpdump和netstat工具抓取网络流量和查看外联进程。发现系统命令如sshd和ps被恶意替换,并且外联进程在被杀死后会重启。通过md5sum计算文件哈希值,确认了恶意文件的存在。取证过程中使用了关键命令如tcpdump监听DNS请求、rpm -Va检查系统文件是否被替换、netstat查看网络连接、ps查看进程列表、kill强制杀掉进程、md5sum计算文件MD5。最终,通过kill命令终止了恶意进程,删除了恶意文件和启动项,并恢复了被替换的系统命令,以清除木马并恢复系统安全。
0x5 CVE-2024-29269漏洞复现(POC)
AI与网安 2024-04-07T14:33:05 © fgz
CVE-2024-29269漏洞复现 poc
0x6 研究人员揭露了可用于网络攻击的 Microsoft SCCM 错误配置
嘶吼专业版 2024-04-07T14:00:53 胡金鱼
本文报道了安全研究人员揭露的Microsoft SCCM(系统中心配置管理器)的错误配置,这些配置可能被用于网络攻击。SCCM自1994年以来一直存在,并在许多Active Directory环境中使用,帮助管理员管理Windows网络上的服务器和工作站。研究人员发现,由于错误的配置,攻击者可能执行有效负载或成为域控制器。最常见且最具破坏性的错误配置是具有过多特权的网络访问帐户(NAA),这可能导致从损害标准用户SharePoint帐户到成为域控制器的攻击路径。为了应对这一风险,SpectreOps研究人员发布了Misconfiguration Manager存储库,为管理员提供了了解Microsoft工具和强化安全立场的资源。该存储库描述了22种可用于攻击MCM/SCCM或在其后利用的技术,并为防御者提供了保护措施。
漏洞分析 安全配置 Active Directory 安全 网络攻击 防御策略 管理工具安全 安全研究
0x7 迅饶科技X2Modbus网关 -漏洞复现-附[POC]
R0 Team 2024-04-07T11:17:30 © 小龙_
文章介绍了迅饶科技的X2Modbus网关,这是一种用于将不同通信协议转换为Modbus标准协议的设备。通过在个人计算机上进行仿真测试后,可以将配置上传至硬件网关。然而,该网关的GetUser接口存在一个信息泄露漏洞,允许攻击者获取管理员账户的密码和其他凭证信息,从而登录后台管理系统。漏洞复现部分展示了通过发送特定的POST请求至'/soap/GetUserList'路径,包含适当头部信息(如目标主机、Cookie值以及内容长度)和请求体,即可实现对该漏洞的利用。文章强调了使用此类信息需遵守法律,并建议读者仅出于学习目的使用这些知识。最后,文章鼓励对网络安全感兴趣的读者关注公众号'R0安全',以便获得更多关于漏洞复现、SRC漏洞挖掘及技巧分享的信息。
协议转换网关 信息泄露漏洞 漏洞复现 Modbus协议 网络安全测试 SRC漏洞挖掘
0x8 CVE-2024-25600 漏洞利用工具
黑白之道 2024-04-07T09:54:22
本文介绍了针对WordPress Bricks Builder插件中发现的CVE-2024-25600漏洞的利用工具。该工具能够实现未经身份验证的远程代码执行,通过发送特制请求来执行任意命令。工具具备互动模式和批处理模式,支持多种有效负载,包括generic、carousel、container和codeU0001f9f0。文章提供了四个概念验证(PoC)示例,包括针对旧版本的Bricks Builder的PoC。工具的利用过程自动化,并提供了如何使用该工具的详细说明。需要注意的是,该工具仅供安全学习交流使用,禁止用于非法目的。文章最后提醒读者,如果PoC不起作用,可以尝试其他有效负载。
漏洞利用 WordPress安全 远程代码执行(RCE) 自动化攻击工具 安全研究 安全工具
0x9 宝塔WAF 0day漏洞,可直接获取Root权限
黑白之道 2024-04-07T09:54:22
本文揭示了宝塔WAF存在的一个严重漏洞,该漏洞允许攻击者通过宝塔WAF直接获取root权限。作者详细描述了漏洞的发现过程,包括创建防护网站、配置缓存和清除缓存等步骤。在清除缓存的过程中,由于参数校验不当,攻击者可以通过修改site_id参数执行系统命令,从而实现命令注入。作者通过实际操作演示了如何利用该漏洞创建一个临时文件,并指出该漏洞可能导致攻击者控制整个服务器。幸运的是,作者在撰写文章时,最新版本的宝塔WAF已经修复了该漏洞。文章提醒读者,相关技术、思路和工具仅供安全学习交流,禁止非法用途和盈利行为。
网络安全漏洞 Web应用安全 宝塔面板 Root权限获取 命令注入 安全分析 漏洞修复
0xa 绕过 AMSI(反恶意软件扫描接口)和 PowerShell CLM(受限语言模式)
TtTeam 2024-04-07T04:59:09
该工具可以绕过 AMSI(反恶意软件扫描接口)和 PowerShell CLM(受限语言模式)并为您提供 FullLanguage PowerShell 反向 shell。
0xb Telesquare TLR-2005KSH存在命令执行漏洞(CVE-2024-29269)
舔狗说安全 2024-04-06T21:10:29 © Yuanyi
声明本文仅用于学习交流,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关
0xc .NET 恶意软件 101:分析 .NET 可执行文件结构
看雪学苑 2024-04-06T19:44:25 梦幻的彼岸 译
本文深入探讨了.NET恶意软件逆向工程的世界,分析了.NET框架的双重用途及其在合法开发和恶意软件制作中的应用。文章首先介绍了.NET框架的特性和其成为恶意软件作者目标的原因,随后详细解释了.NET逆向工程的重要性,包括解读恶意软件机制、发现攻击载体和加强防御。文章还涵盖了.NET可执行文件的格式、逆向工程工具和技术,以及.NET框架的历史和发展。此外,文章讨论了.NET威胁状况,包括勒索软件、凭证窃取程序和银行木马等,并介绍了.NET编译和运行过程,包括中间语言(IL)的生成、程序集的结构、CLR的作用以及非托管函数的使用。最后,文章提供了.NET程序集和元数据的详细分析,包括元数据表、元数据标记和程序集清单的内容。
逆向工程 恶意软件分析 安全研究 网络安全 编程语言 框架类库 编译过程 执行环境 内存管理 安全特性
0xd 【漏洞复现】用友NC Cloud前台命令执行漏洞
如棠安全 2024-04-06T08:02:34 如棠安全
本文是一篇关于用友NC Cloud前台命令执行漏洞的技术分析文章。文章首先介绍了用友NC Cloud作为大型企业数字化平台的基本情况,并指出了其存在的命令执行漏洞,该漏洞允许攻击者获取服务器控制权。接着,文章提供了系统指纹信息,包括fofa和鹰图的数据,以及如何通过poc上传webshell进行漏洞复现的详细步骤。文章中还包含了执行命令的示例代码和修复建议,强调联系厂商升级系统版本以解决安全问题。文章开头强调了所提供信息的参考性质和合法使用的重要性,以及使用者需对后果负责的声明。
命令执行漏洞 Web应用安全 CVE通报 渗透测试 厂商更新
0xe 泛微E-office 10 atuh-file存在phar反序列化漏洞
舔狗说安全 2024-04-05T12:23:31
泛微E-office 10 atuh-file存在phar反序列化漏洞
0xf OpenMetadata存在命令执行漏洞(CVE-2024-28255)
舔狗说安全 2024-04-04T22:51:12 Yuanyi
声明本文仅用于学习交流,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关
0x10 【漏洞复现】用友NC cloud importhttpscer 存在任意文件上传
如棠安全 2024-04-04T08:10:50 © 如棠安全
本文是一篇关于用友NC Cloud平台中存在的任意文件上传漏洞的技术文章。该漏洞允许攻击者上传恶意文件,从而获取服务器权限。文章首先描述了漏洞的基本情况,然后提供了系统指纹和产品主页的信息。接下来,文章详细复现了漏洞利用的过程,包括发送POST请求上传恶意文件,以及访问上传的文件以执行恶意代码。最后,文章提供了修复建议和批量验证脚本,以帮助用户检测和修复该漏洞。文章还强调了未经授权不得利用文章中的技术资料进行入侵操作,否则后果自负。
文件上传漏洞 服务器权限获取 漏洞复现 安全建议 批量验证脚本
0x11 网络安全红队攻防0-0.9 | 解决连接VPN后,Burp无法抓包问题
洞悉安全团队 2024-04-03T18:18:55 ©
本文讨论了在网络安全渗透测试中,连接VPN后Burp无法抓包的问题。作者在远程渗透测试时遇到了这种情况,通过尝试关闭浏览器代理和使用其他工具(如Yakit)均未能解决问题。经过请教内网专家后,发现这是由于内网代理问题导致的。文章提供了使用gost代理工具的解决方案,详细说明了如何设置gost代理服务、配置Burp代理以及设置浏览器代理,从而实现正常抓包。文章强调了在渗透测试中遇到此类问题时的重要性,并鼓励读者继续关注网络安全领域的更多原创内容。
VPN配置 渗透测试 代理设置 网络代理 抓包分析 内网安全
0x12 AutoCAD网络版多用户授权,客户端弹出无法获取许可证如何处理?
企业网络信息安全 2024-04-03T11:39:05 © h\'s\'t
AutoCAD网络版正版授权(AutoCAD机械版2023多用户授权),客户端无法登录,服务器查看授权正常。
0x13 用友nc远程命令执行漏洞分析
网安知识库 2024-04-02T10:00:58
0x00前言这个漏洞是 国家电网公司信息与网络安全重点实验室 发现的,微信公众号做了简要分析,但是没有给出具体
0x14 网络安全红队攻防0-0.9 | 环境搭建-VMware安装
洞悉安全团队 2024-04-01T18:57:08 ©
本文详细介绍了网络安全红队攻防环境搭建中VMware安装的步骤。首先概述了VMware安装前的准备工作,包括确保处理器开启了虚拟化技术,选择合适的官方版本下载链接,并提供了下载文件的详细信息。接着,文章详细描述了VMware的安装步骤,包括安装界面、接受许可协议、选择安装位置、自定义选项、许可证输入等。最后,文章提到了VMware的系统要求、激活状态和版本兼容性,并提供了配套视频链接供读者进一步学习。
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
