2024年 第15周 微信公众号精选安全技术文章总览

    洞见网安 2024-4-15


    0x1 【漏洞复现】泛微E-Mobile 6.0 client.do存在命令执行漏洞

    如棠安全 2024-04-14T11:44:26 如棠安全

    Example Image


    JSON(JavaScript Object Notation)是一种轻量级的数据交换格式,易于人阅读和编写,同时也易于机器解析和生成。它基于JavaScript Programming Language, Standard ECMA-262 3rd Edition - December 1999的一个子集。JSON由键值对组成,类似于JavaScript中的对象,但更加简洁和通用化。这种数据格式在Web开发中用于数据的格式化和传输,已成为各种应用程序之间数据交换和通信的主流格式。

    命令注入漏洞 Web应用安全 系统指纹 漏洞复现 安全维护


    0x2 js逆向基础-示例aes解密

    舔狗说安全 2024-04-12T21:19:21 © Eon

    Example Image


    js逆向基础-示例AES解密


    0x3 SharifCTF 2016 – Asian Cheetah writeup

    长弓三皮 2024-04-12T17:00:52 © 随波逐流

    Example Image


    SharifCTF 2016 – Asian Cheetah writerup


    0x4 攻亦是防,防亦是攻——Linux内核视角看权限维持

    也总想挖RCE 2024-04-12T15:24:25 一位离群索居者

    Example Image


    本文深入探讨了Rootkit的技术原理和检测方法。文章首先阐述了Rootkit的基本概念,指出理论上不存在毫无痕迹的Rootkit,因为其运作需要与操作系统底层紧密交互。接着,文章详细分析了Rootkit如何通过隐藏自身在/proc/modules和/sys/module等系统文件中,以及如何通过eBPF技术实现用户空间内存修改和系统调用修改。此外,文章还介绍了XDP(eXpress Data Path)技术及其在Rootkit中的应用,以及如何利用binfmt_misc内核功能进行容器逃逸。最后,文章探讨了eBPF技术在检测Rootkit方面的应用,包括检测系统调用劫持、命令执行等恶意行为。

    Rootkit 内核安全 eBPF 系统调用 网络安全检测 Linux内核 虚拟文件系统 安全漏洞 沙盒技术


    0x5 【应急响应】无回显Nday漏洞响应分析

    安全驾驶舱 2024-04-12T10:50:31 xxxh

    Example Image


    这篇文章将以响应处理CVE-2023-38646作为范例为大家展现针对时效漏洞响应的大致操作流程以及遇到的一些常见的问题的解决方案。


    0x6 【漏洞复现】用友GRP-U8 obr_zdybxd_check sql注入

    如棠安全 2024-04-12T07:55:58 如棠安全

    Example Image


    本文介绍了用友GRP-U8软件中的一个SQL注入漏洞。用友GRP-U8是一款企业级管理软件,其'obr_zdybxd_check'接口由于未对用户输入参数进行有效过滤,直接拼接到SQL查询语句中,导致SQL注入漏洞。攻击者可以利用此漏洞获取数据库敏感信息。文章提供了系统指纹特征、漏洞复现的HTTP请求示例和sqlmap测试命令。修复建议是联系厂商升级系统版本。此外,还提供了批量验证脚本的获取方式。文章强调,所提供的信息仅供网络安全人员进行检测或维护,未经授权不得用于非法入侵,使用者需自行承担由此产生的后果。

    SQL注入 漏洞复现 系统升级 安全工具


    0x7 【风险通告】Rust存在命令注入漏洞(CVE-2024-24576)

    安恒信息CERT 2024-04-11T21:10:13

    Example Image


    本文介绍了Rust编程语言中的一个严重命令注入漏洞(CVE-2024-24576),该漏洞评级为1级,CVSS3.1评分达到10.0,属于高危漏洞。该漏洞允许攻击者通过绕过参数转义,向派生进程传递恶意参数,从而执行任意shell命令。Rust是一种高性能、安全性的编程语言,广泛应用于操作系统、游戏引擎等领域。目前,官方已发布修复方案,建议受影响的用户更新至安全版本。此漏洞目前尚未发现实际利用,但安全研究者正在分析中。

    编程语言漏洞 命令注入 Rust 操作系统安全 高严重性漏洞 安全响应 CVE编号 NVD


    0x8 最新提权\'\'骚操作\'\'

    必火安全 2024-04-11T19:12:57

    Example Image


    本文介绍了利用组策略首选项提权漏洞的详细过程。该漏洞存在于活动目录的SYSVOL文件夹中,该文件夹存储了登录脚本、组策略数据等域信息。由于所有域用户和域信任用户都具有读权限,攻击者可以访问包含加密密码的XML文件。文章详细描述了如何搭建靶场环境,包括配置Windows 2012域环境、修改组策略、删除相关补丁以及更改本地管理员账户信息。此外,文章还说明了如何通过解密SYSVOL中的密码文件来获取明文密码,从而控制域中所有使用该账号的本地管理员计算机。

    Active Directory Security Group Policy Privilege Escalation Lateral Movement Patch Management Password Management Encryption Vulnerability Exploitation Windows Server


    0x9 从CVE复现看栈溢出漏洞利用

    蚁景网安 2024-04-11T17:15:54 © 5ma11wh1t3

    Example Image


    本文详细分析了两个栈溢出漏洞CVE-2017-9430和CVE-2017-13089的复现过程。文章首先介绍了CVE-2017-9430漏洞,该漏洞存在于DNStracer 1.9版本中,攻击者可以通过命令行参数的栈溢出执行任意代码。文章详细描述了环境搭建、漏洞成因、漏洞利用过程,并展示了相应的Python脚本和汇编代码。接着,文章分析了CVE-2017-13089漏洞,该漏洞存在于wget软件中,攻击者可以通过构造特定的HTTP请求触发栈溢出。文章同样介绍了环境搭建、漏洞成因、漏洞利用,并展示了如何通过ROP gadgets绕过ASLR保护。最后,文章总结了复现过程中的经验和遇到的问题,强调了理解程序汇编对于漏洞利用的重要性。

    漏洞复现 栈溢出 安全漏洞 漏洞利用 缓冲区溢出 安全编程 逆向工程 漏洞分析 渗透测试 Linux安全


    0xa 网络监控:网络设备指标采集配置如何写

    网络小斐 2024-04-10T15:10:38 ©

    Example Image


    本文详细介绍了基于SNMP协议采集网络设备监控指标的方法,旨在提升网络的可观测性。文章首先阐述了SNMP协议的重要性,作为网络管理的事实标准,它能够统一管理不同厂商的网络设备。接着,文章深入讲解了SNMP协议的三个版本、系统组成以及MIB的概念和结构,帮助读者理解SNMP协议的基本原理。文章重点介绍了三种开源采集器:SNMP Exporter、Categraf和Telegraf,并详细说明了它们的工作原理和配置方法。其中,SNMP Exporter通过配置文件生成器生成采集配置文件,而Categraf则依赖MIB文件进行采集。文章还介绍了SNMP中两种基本数据结构:标量和表格,以及如何通过OID区分它们。最后,文章以具体的配置示例展示了如何使用这些采集器进行网络设备指标的采集。

    SNMP 网络设备监控 MIB OID Categraf SNMP Exporter Telegraf 网络可观测性 Prometheus 监控2.0


    0xb 【风险通告】微软4月安全更新补丁和多个高危漏洞风险提示

    安恒信息CERT 2024-04-10T11:09:38

    Example Image


    微软发布了4月安全更新公告,其中包含了对多个微软产品系列的安全补丁更新。这些产品包括Microsoft Install Service、Windows Remote Access Connection Manager、Windows Kernel、Windows Telephony Server、libarchive和Microsoft Defender for IoT等。公告特别指出,此次更新中包含的多个漏洞风险较大,包括Microsoft Install Service权限提升漏洞(CVE-2024-26158)、Windows Remote Access Connection Manager权限提升漏洞(CVE-2024-26211)、Windows内核权限提升漏洞(CVE-2024-26218)、Windows Telephony Server权限提升漏洞(CVE-2024-26230)、libarchive远程代码执行漏洞(CVE-2024-26256)以及Microsoft Defender for IoT远程代码执行漏洞(CVE-2024-29053)。这些漏洞的CVSS3.1评分均在7.8分以上,尤其是Microsoft Defender for IoT远程代码执行漏洞的评分高达8.8分,表明其危害性极高。公告建议用户尽快安装安全更新补丁,或采取临时缓解措施加固系统。微软提供了官方修复方案,用户可以通过Windows Update自动或手动更新补丁。受影响的系统版本范围广泛,涵盖了从Windows 10到Windows Server的多个版本。详细的漏洞信息和修复方案可以参考微软官方通告和补丁获取链接。

    漏洞公告 权限提升 远程代码执行 高危漏洞 微软产品 安全补丁 CVE编号


    0xc SSRF绕过域名白名单的一种方式——CVE-2024-24806(影响大量nodejs服务)

    混入安全圈的程序猿 2024-04-10T10:44:33 © 安全猿

    Example Image


    本文讨论了一个编号为CVE-2024-24806的安全漏洞,该漏洞影响Node.js v10及以后的版本,并已在v20.11.1中得到修复。此漏洞源于Node.js所依赖的异步IO库libuv中的一个问题,即当输入的域名超过256字节时,libuv库内部会对其进行截断处理,随后调用getaddrinfo进行域名解析。攻击者可以构造特定的payload,利用这一特性绕过服务器设置的域名白名单,从而访问内部API接口。文章举例说明,如目标服务器仅允许访问demo.com的请求,攻击者可通过构造包含256字节的特殊字符串,其中包含目标IP地址的十六进制形式(例如127.0.0.1的'7f000001'),并使其在截断后成为有效的内部IP地址。这样即使服务端检测到的域名在白名单内,实际发起的请求也会指向内部地址。此漏洞揭示了代码审计的重要性,并提供了漏洞报告及payload的链接供进一步研究。

    SSRF漏洞 Node.js安全 libuv库 DNS解析 CTF竞赛 白名单绕过


    0xd BOOMSLANG(树蚺)移动欺诈家族分析

    LianSecurity链安 2024-04-10T08:30:40 © 链安博客

    Example Image


    概述经监测,我们截获了一起与未知家族有关的欺诈性 Android 应用传播事件。

    Android 恶意软件 源代码篡改 欺诈行为 网络钓鱼 DoH技术利用 混淆技术 动态DNS 网络安全分析 恶意软件追踪 移动安全


    0xe TP-Link TDDP 缓冲区溢出安全漏洞解析

    LianSecurity链安 2024-04-10T08:30:40 © 链安博客

    Example Image


    TP-Link TDDP 缓冲区溢出安全漏洞解析

    缓冲区溢出 内存安全漏洞 逆向工程 漏洞分析 TDDP协议 网络协议安全 嵌入式设备安全 CVE编号


    0xf Incinerator——Android 恶意软件逆向分析终极利器

    LianSecurity链安 2024-04-10T08:30:40 链安博客

    Example Image


    想要轻松掌握 Android 恶意软件的逆转技术吗?Incinerator 将是你在这场网络攻防战中的得力伙伴

    Android安全 逆向工程 恶意软件分析 安全漏洞检测 沙箱技术 代码审计 威胁情报 团队开发 开源软件 操作系统安全


    0x10 FileCatalyst Workflow Web Portal 存在文件上传漏洞(CVE-2024-25153)

    舔狗说安全 2024-04-10T07:00:26 © Yuanyi

    Example Image


    声明本文仅用于学习交流,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关


    0x11 java反序列化基础

    舔狗说安全 2024-04-09T20:41:36

    Example Image


    序列化/反序列化原理简单来说就是:writeObject()方法序列化readObject()方法反序列化一


    0x12 关于转义符 \ 在php正则中的匹配问题

    蚁景网安 2024-04-09T17:14:29 y1zh3e7

    Example Image


    文章《关于转义符 \ 在php正则中的匹配问题》探讨了PHP中转义符 \ 的解析和匹配问题。首先,通过代码示例解释了PHP解析字符串和正则表达式的两个步骤,指出在字符串中 \ 通常不会被当作转义符,除非它可能导致混淆。接着,文章通过分析一个CTF题目,解释了在正则表达式中正确匹配 \ 的方法,即在正则表达式中使用四个 \ 来确保在解析后保留一个 \。文章还讨论了在正则表达式中过滤特定字符时,如何避免由于转义符导致的解析错误。最后,作者分享了通过深入分析和调试代码,发现并解决正则表达式匹配问题的过程,强调了深入思考和耐心调试的重要性。

    PHP安全 正则表达式 代码审计 CTF竞赛


    0x13 【涨知识】加密C2框架Merlin流量分析

    北京观成科技 2024-04-09T11:03:12 © xhbw

    Example Image


    本文详细介绍了网络安全工具Merlin的特点和工作原理。Merlin是一款支持多种协议的后渗透测试工具,采用Go语言开发,具备跨平台优势。它使用JWE(JSON Web Encryption)格式加密数据传输,增强了通信数据的隐蔽性。文章分析了Merlin的部署、工作流程、验证过程和加密解密方式,包括对HTTP和HTTPS流量的分析。文章还讨论了Merlin的检测方法和安全研究团队对此类工具的追踪研究,指出加密通信C2工具在网络安全中的挑战。

    网络安全工具 后渗透测试 加密通信 流量分析 C2框架 跨平台 恶意软件分析


    0x14 威胁狩猎:Latrodectus最新分析

    独眼情报 2024-04-08T22:39:17 © Proofpoint

    Example Image


    Proofpoint在2023年11月首次观察到名为Latrodectus的新恶意软件,其使用量在2023年底至2024年初有所下降,但在2024年2月和3月再次增加。Latrodectus最初由TA577分发,后来主要由TA578使用。它是一种下载器,具有多种沙箱规避功能,虽然与IcedID相似,但被确认是一种全新的恶意软件,可能由IcedID开发人员创建。Latrodectus的基础设施与IcedID的重叠,并且活动ID中发现了新的独特模式,这些模式指定了威胁参与者在之前的IcedID活动中的使用情况。Latrodectus通过电子邮件威胁活动分发,并尝试下载有效负载并执行任意命令。恶意软件分析显示,Latrodectus通过哈希动态解析Windows API函数,检查是否存在调试器,收集操作系统信息,并确保计算机上没有运行现有的Latrodectus感染。它还尝试自行安装、设置自动运行密钥并创建计划任务以实现持久性。Latrodectus将加密的系统信息发布到C2服务器并请求下载机器人。恶意软件本身发生了一些小变化,但总体上仍相当初级。字符串解密例程从复杂的伪随机数生成器算法简化为滚动XOR密钥。恶意软件初始化包括解析各种功能的批量API,执行虚拟化检查,确保在合适的环境中运行,并注册一个名为“runnung”的互斥锁。Latrodectus为安装恶意软件的每个唯一主机生成机器人ID,并通过主机的序列ID生成。恶意软件通信与IcedID类似,在POST请求中发送注册信息,并使用RC4加密和base64编码。支持的命令包括检查字符串、下载文件、执行命令和退出。Latrodectus基础设施Tier 1分析显示,C2服务器具有特定的特征,如开放的端口和Banner Hash。C2生命周期显示,活动在2023年9月至12月期间较为活跃,而在2024年1月至3月期间有所增加。Tier 2分析显示,T2服务器于2023年8月左右建立,并维护与IcedID相关后端基础设施的连接。连接到IcedID的分析表明,负责IcedID的同一威胁参与者也参与了Latrodectus的运营。标准IcedID更新显示,活动ID中存在特定的模式,可以帮助识别威胁参与者。Proofpoint预计Latrodectus将越来越多地被威胁行为者使用,尤其是那些之前提供过IcedID的人。

    恶意软件分析 初始访问代理 (IAB) 恶意软件分发 沙箱规避 基础设施分析 与 IcedID 的关联 威胁行为者归因


    0x15 D-Link产品远程命令执行漏洞(CVE-2024-3273)

    舔狗说安全 2024-04-08T20:04:33 © Yuanyi

    Example Image


    本文介绍了D-Link产品中的一个远程命令执行漏洞(CVE-2024-3273),该漏洞存在于“/cgi-bin/nas_sharing.cgi”脚本中,影响HTTP GET请求处理程序组件。漏洞的产生是由于硬编码账户(用户名为“messagebus”和空密码)以及通过“system”参数的命令注入问题。Telesquare TLR-2005Ksh 1.0.0和1.1.4版本受此漏洞影响,攻击者可利用此漏洞未经Cmd参数授权执行系统命令并获取服务器权限。受影响的版本包括DNS-320L、DNS-325、DNS-327L和DNS-340L。文章中展示了如何通过base64编码的命令插入到system参数中复现漏洞。官方已发布补丁修复此漏洞,建议用户升级至最新版本。

    漏洞分析 远程命令执行 安全漏洞 后门分析 命令注入 安全补丁


    0x16 【漏洞复现】用友畅捷通TPlus GetStoreWarehouseByStore .net反序列化漏洞

    如棠安全 2024-04-08T08:07:55 如棠安全

    Example Image


    本文介绍了畅捷通TPlus软件中的一个安全漏洞,该漏洞属于.NET反序列化场景中的JavaScriptSerializer反序列化漏洞。畅捷通TPlus是一款面向企业的一体化管理软件,涉及财务管理、业务管理等多个方面。漏洞发生在.NET处理Ajax应用时,如果开发者使用JavaScriptSerializer类的Deserialize或DeserializeObject方法处理不安全的Json数据,可能会遭受反序列化攻击,导致远程RCE(远程代码执行)漏洞。文章提供了系统指纹信息、漏洞复现的详细步骤和批量验证脚本。复现过程包括发送特定POST请求触发漏洞,并通过GET请求查看回显来验证漏洞存在。修复建议是升级系统版本。文章强调,所提供的信息和工具仅供学习使用,禁止未授权用于非法入侵。

    JSON格式化 JSON解析 JSON编辑 JSON压缩

    本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。