2025年 第14周 微信公众号精选安全技术文章总览
洞见网安 2025-4-7
0x1 Akira勒索软件团伙利用无防护网络摄像头绕过EDR发起攻击
水网火安 2025-04-13T11:41:21
本文报道了Akira勒索软件团伙利用未受保护的网络摄像头绕过端点检测与响应(EDR)系统发起攻击的事件。攻击者首先通过远程访问工具进入目标网络,尝试部署勒索软件但被EDR系统识别并隔离。随后,攻击者扫描网络寻找未受保护的物联网(IoT)设备,并利用一个存在严重漏洞的网络摄像头成功部署勒索软件。该IoT设备运行轻量级Linux操作系统,成为Akira勒索软件Linux变种的理想目标。事件揭示了IoT设备安全漏洞和网络威胁的演变,以及EDR系统的局限性。文章最后提出了相应的攻击启示和防护建议,包括监控IoT设备网络流量、关闭未使用设备、网络限制和分段、内部网络审计、补丁和设备管理等。
勒索软件攻击 端点检测与响应(EDR) 物联网(IoT)安全 漏洞利用 数据加密 网络监控 安全策略 安全漏洞 恶意软件部署
0x2 Echo在渗透测试中的妙用
雪面科技 2025-04-13T10:13:01 © 韩荟学
本文详细介绍了Echo命令在渗透测试中的应用。Echo命令是一个在Linux命令行界面中常用的工具,它可以用于输出文本到控制台或文件中。文章首先介绍了Echo的基本选项,包括不输出换行符、启用转义字符解释以及禁用转义字符解释等。接着,文章展示了Echo在文件操作中的应用,如追加到文件、覆盖文件、创建多行文件和使用here文档。此外,还介绍了Echo在变量输出、环境变量设置、代理设置、修改DNS服务器、输出MD5、清空命令行历史记录、清空认证记录、FTP传输文件等方面的应用。文章还涉及了一些高级操作,如生成PHP一句话木马、Bash反弹shell、Python反弹shell、设置环境变量、传输文件、修改DNS服务器等。最后,文章列出了相关的参考文献。
渗透测试 Linux命令 系统安全 密码学 网络攻击 安全工具 脚本编写 持久化攻击 数据传输 日志管理
0x3 wpprobe:一款快速的 WordPress 插件枚举工具
棉花糖网络安全工具箱 2025-04-12T17:05:40 棉花糖糖糖
本文介绍了wpprobe,一款高效的WordPress插件扫描工具。该工具通过REST API查询实现非暴力破解的插件检测方案,能够快速识别超过3030个插件版本,降低触发Web应用防火墙的风险。wpprobe的核心技术原理包括从预编译数据库获取已知插件列表,扫描目标网站暴露的REST API路由,与插件特征库进行匹配,读取元数据获取版本信息,并关联CVE漏洞数据库进行风险分析。该工具具有低网络负载、高效检测、隐蔽操作、版本适配和弹性机制等优势。然而,也存在一些限制,如30%的插件未开放REST接口,安全插件屏蔽的版本无法识别,以及依赖持续更新的特征库。wpprobe适用于渗透测试前期资产发现、漏洞影响范围分析和网站安全健康检查。开发团队在GitHub提供安装指南,支持通过go get或Docker部署。文章还提到了当前版本已发现多个存在RCE漏洞的woocommerce扩展组件案例,并建议安全团队重点关注特定版本的插件检测更新。
网络安全工具 WordPress安全 插件扫描 非暴力破解 REST API 漏洞分析 版本识别 报告生成
0x4 【已支持检测】Langflow存在远程代码执行漏洞(CVE-2025-3248)
安恒信息CERT 2025-04-11T17:43:52
Langflow产品存在一个严重的远程代码执行漏洞(CVE-2025-3248),该漏洞评级为1级,CVSS3.1评分高达9.8,属于高危漏洞。未经认证的远程攻击者可以通过构造恶意的HTTP请求来执行任意代码。该漏洞影响Langflow版本低于1.3.0的所有用户。目前,官方已发布修复方案,建议用户更新至安全版本1.3.0或限制其网络访问以降低风险。该漏洞可能对使用Langflow的客户造成严重影响,因此强烈建议用户进行自查和采取防护措施。此外,Langflow Desktop版本的用户可以通过访问版本管理面板来更新至最新安全版本。
远程代码执行漏洞 CVE编号 CVSS评分 Langflow 安全补丁 网络安全漏洞 产品漏洞 版本管理 攻击向量
0x5 Java反序列化漏洞深度剖析:从原理到防御实战指南
POP Star安全 2025-04-10T19:23:26 © POP Star安全
本文深入探讨了Java反序列化漏洞,该漏洞在OWASP TOP 10榜单中一直占据重要位置。文章首先解释了序列化和反序列化的概念,以及Java中实现这些过程的类和方法。接着,文章揭示了反序列化漏洞的产生根源,包括动态类加载、反射机制调用和任意代码执行等危险操作。文章详细介绍了多种主流的反序列化漏洞类型,如Apache Commons Collections链、JNDI注入攻击、Fastjson/Gson漏洞等,并分析了其攻击场景。此外,文章还讨论了Log4j2关联漏洞,并提供了防御与检测的建议,包括Java 17的过滤器机制、JEP 290的绕过与防御方法,以及云原生攻击向量的防御策略。最后,文章推荐了一些检测工具,并强调了开发者应遵循的原则,如“Never deserialize untrusted data”,以及持续关注安全公告和开源组件漏洞情报的重要性。
Java安全漏洞 反序列化攻击 漏洞防御 漏洞检测 OWASP TOP 10 代码审计 开源安全 云原生安全
0x6 漏洞通告 | 2025年4月微软产品漏洞通告
中成信息 2025-04-10T18:58:21 安全实验室
2025年4月9日,微软发布了针对126个安全漏洞的更新,其中12个漏洞被特别关注。其中包括一个在野利用的Windows通用日志文件系统驱动程序权限提升漏洞(CVE-2025-29824),以及11个评级为更可能被利用的漏洞。这些漏洞涉及Windows LDAP、Mark of the Web安全功能、远程桌面服务、Installer、Office、SharePoint、Kerberos和DirectX Graphics内核等多个产品和服务。微软提供了自动更新和手动安装补丁的修复建议,并强调了及时更新系统以防范潜在攻击的重要性。漳州中成信息科技有限公司介绍了其作为网络安全服务提供商的角色和愿景,致力于提供全方位的安全解决方案,并强调了对数字世界安全的承诺。
漏洞通告 微软产品安全更新 Windows系统安全 远程代码执行漏洞 权限提升漏洞 安全功能绕过漏洞 安全咨询与集成 安全运营与研究 网络安全防护
0x7 漏洞通告 | CrushFTP 身份验证绕过漏洞(CVE-2025-2825)
晟晖科技 2025-04-10T11:30:00
CrushFTP是一款由CrushFTP LLC开发的文件传输服务器软件。近期,晟晖安全团队发现了一个名为CVE-2025-2825的身份验证绕过漏洞,该漏洞存在于CrushFTP的多个版本中,包括10.0.0到10.8.3以及11.0.0到11.3.0。该漏洞允许攻击者通过不当处理身份验证标头来绕过认证机制,从而获取管理员权限。这可能导致攻击者获取敏感信息、篡改数据或执行其他恶意操作。官方已经发布了修复该漏洞的更新版本,建议所有受影响的用户进行资产自查,并升级至最新版本以防止潜在的安全威胁。
CVE-2025-2825 CrushFTP 身份验证绕过 文件传输服务器 安全漏洞通告 版本漏洞 安全更新
0x8 Cobalt Strike插件:混淆基于栈帧检测的 EDR,并为 Beacon 和后渗透工具提供内存分配等
棉花糖网络安全工具箱 2025-04-09T20:10:11 棉花糖糖糖
本文介绍了一种名为CobaltstrikeUDRL的Cobalt Strike插件,该插件通过用户定义反射加载器技术,为信标和后渗透工具提供内存分配等功能。它利用合成堆栈帧技术调用NtApi接口,有效规避基于堆栈帧分析的EDR检测。插件支持信标功能,通过BeaconUserData结构传递内存信息,为BOF和睡眠掩码分配内存。在RW内存区域部署信标,并复制虚拟信标后修补IAT和重定位信息。后渗透工具支持Cobaltstrike的部分后渗透组件,如powerpick、execute-assembly、mimikatz等,采用反射式DLL技术。文章还提到了注意事项,如接入后渗透UDRL不保证完全规避检测,需配合自定义注入流程。同时,介绍了隐匿特性的实现方法和兼容性,以及可能触发AMSI修补特征的注意事项。
网络安全工具 EDR对抗 内存管理 后渗透技术 DLL注入 混淆技术 代码审计 漏洞利用
0x9 反序列化漏洞深度剖析:从原理到防御的全方位指南
POP Star安全 2025-04-09T19:42:23 © POP Star安全
本文深入探讨了反序列化漏洞这一网络安全中的重要议题。首先,文章详细解析了序列化与反序列化的概念及其在数据存储和传输中的应用。接着,阐述了反序列化漏洞的原理,指出当应用程序对不可信数据进行反序列化时,若未进行有效验证和过滤,可能导致攻击者执行任意代码。文章进一步分类了反序列化漏洞的类型,包括Java、PHP、Python和.NET等主流技术栈的漏洞,并分析了其典型利用场景。随后,文章从危害层级分析了反序列化漏洞可能导致的远程代码执行、权限提升、敏感数据泄露等风险。针对这些风险,文章提出了防御与修复方案,包括建立防御策略体系、实施具体措施如严格校验数据、使用安全沙箱环境等。最后,文章推荐了一些安全工具,并强调了网络安全法的相关要求。
序列化漏洞 代码安全 Java安全 PHP安全 Python安全 .NET安全 漏洞防御 安全审计 安全工具 网络安全法
0xa 默认密码的安全与防范
寰宇密阁 2025-04-09T18:10:45 ©
网络安全风险 系统漏洞 密码管理 攻击方式 防范措施 设备安全 固件更新 安全意识
0xb 【风险通告】微软4月安全更新补丁和多个高危漏洞风险提示
安恒信息CERT 2025-04-09T17:48:38
微软于4月份发布了安全更新公告,涵盖LDAP客户端、Windows Mark of the Web、远程桌面服务、Office、SharePoint、DirectX图形内核等多个产品的安全更新补丁。公告中特别指出,本月存在一个在野0day漏洞,即Windows通用日志文件系统驱动程序特权提升漏洞(CVE-2025-29824),需要用户重点关注。此外,还披露了多个高危漏洞,包括LDAP客户端远程代码执行漏洞(CVE-2025-26670)、Windows Mark of the Web安全功能绕过漏洞(CVE-2025-27472)等。微软已发布补丁修复这些漏洞,建议用户及时更新以保护系统安全。更新可通过Microsoft Update自动完成,或手动通过“设置”中的“更新和安全”进行。
微软安全更新 漏洞修复 CVE编号 远程代码执行 权限提升 安全功能绕过 LDAP漏洞 SharePoint漏洞 Windows远程桌面服务 Office漏洞 Kerberos漏洞 DirectX漏洞
0xc 【攻防对抗研究】内网渗透 | 横向移动方法梳理(二)
中成信息 2025-04-09T16:58:09 Pinus
本文详细介绍了内网渗透中常用的横向移动手法,包括WinRS、WinRM、RDP等技术。文章首先介绍了WinRM和WinRS的探针可用性、连接执行、上线C2等操作,并探讨了其他解决方法如通过winrm.cmd进行命令执行。接着,文章阐述了RDP远程桌面服务的探针连接和连接执行方法,包括使用socks代理、端口转发映射、mimikatz和SharpRDP等工具。此外,文章还介绍了密码喷射技术,特别是使用CrackMapExec进行域用户登录的PTH方法,以及凭据传递攻击中的PTH、PTT和PTK技术。其中,PTH包括利用直接Hash传递和暴力破解明文两种方法;PTT则涉及利用MS14068漏洞、kekeo、mimikatz和Rubeus等工具进行票据传递和爆破明文;PTK则是在KB2871997补丁环境下使用AES256值进行攻击。文章强调了安全学习和使用规范,强调仅供学习和参考,不得用于非法活动。
内网渗透 WinRM WinRS RDP SOCKS代理 端口转发 Mimikatz CrackMapExec 密码喷射 PTH (Pass The Hash) PTT (Pass The Ticket) PTK (Pass The Key) 域渗透 横向移动 命令执行
0xd 滥用WooCommerce API的梳理工具在PyPI上下载了34000次
嘶吼专业版 2025-04-09T14:01:10
一个名为“disgrasya”的恶意Python包在PyPI上被用于滥用WooCommerce商店验证被盗信用卡,该恶意软件已经通过PyPI平台下载超过34000次。这个脚本专门针对使用CyberSource支付网关的WooCommerce商店,通过模拟购物过程窃取CSRF令牌和卡数据。攻击者将盗取的卡信息发送到一个控制的服务器,以获取假令牌,并尝试完成交易以验证卡的有效性。尽管该软件包已被从PyPI下架,但其高下载量表明了此类恶意操作的大规模使用。恶意软件在版本7.36.9中被引入,可能旨在逃避安全检查。为了阻止这种梳理攻击,建议采取措施,如监控异常高失败率的订单、实施速率限制以及在结账流程中添加CAPTCHA步骤。
恶意软件 供应链攻击 开源平台安全 支付安全 数据泄露 自动化攻击 欺诈检测
0xe 重点防范境外恶意网址和恶意IP
嘶吼专业版 2025-04-09T14:01:10
中国国家网络与信息安全信息通报中心近日发现了一批境外恶意网址和恶意IP,这些网址和IP与特定木马程序相关联,对中国和其他国家发起网络攻击。攻击类型包括建立僵尸网络、挖矿木马、远程控制等。恶意网址和IP主要来自美国、荷兰、英国等地。文章详细列出了多个恶意地址的详细信息,包括关联IP、归属地、威胁类型、病毒家族和描述。同时,提供了排查方法和处置建议,包括查看网络记录、部署检测设备、对可疑文件保持警惕、更新防护规则以及报告公安机关等。
恶意网址 恶意IP 网络攻击 僵尸网络 挖矿木马 远程控制 后门 安全防护 安全监控 威胁情报 法律法规
0xf 记一个狂斩rank的越权思路
愚者sec 2025-04-08T10:26:57 Fisherwithfish
本文详细描述了针对微信服务号和小程序中访客预约功能的安全测试过程。文章首先强调了信息搜集的重要性,通过搜索引擎语法查找目标服务号和小程序。以XX专科学校为例,测试者发现该服务号存在访客预约功能,并利用工具生成虚假访客信息进行预约。在尝试获取被访人信息时,测试者通过进一步的信息搜集成功匹配到相关人员的姓名,并成功提交预约。通过抓包分析,测试者发现多个数据包中包含id参数,修改id参数后成功读取到其他用户的预约详情。此外,测试者还发现了读取和修改他人人脸信息的越权漏洞。文章总结了测试过程中的关键点,包括信息搜集的耗时、测试过程中的细心观察以及对id参数的敏感度。最后,作者分享了通过此测试思路获得的多份测试报告,强调了越权测试思路的有效性。
越权漏洞 Web安全测试 信息搜集 参数篡改 移动应用安全 漏洞利用
0x10 字典攻击与防范
寰宇密阁 2025-04-07T18:10:22 ©
密码学 网络安全 字典攻击 密码破解 防御策略 用户教育 安全意识
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
