2020年 第23周 微信公众号精选安全技术文章总览

    洞见网安 2020-6-8


    0x1 Apache Shiro反序列化识别那些事

    蚁景网络安全 2020-06-12T12:00:17 © tkswifty

    Example Image


    本文详细介绍了Apache Shiro框架及其反序列化漏洞。Shiro是一个Java安全框架,提供认证、授权、加密和会话管理功能。文章重点讲解了Shiro反序列化漏洞,特别是在Shiro 1.2.4及以下版本中,由于默认使用CookieRememberMeManager和AES加密key泄露,导致反序列化的cookie可控,从而引发反序列化攻击。识别Shiro框架的方法包括检查cookie中的rememberMe字段,以及响应头部是否有Set-Cookie: rememberMe=deleteMe字段。关键因素包括AES加密key,常见的key有多个,如果存在未知key,可以通过Shiro-721报错逻辑遍历key。文章还介绍了基于OOB、时间延迟和报错等多种漏残识别方法,以及如何通过日志审计(如Tomcat的catalina.out)查看序列化报错信息。最后,提到了合天网安实验室关于Apache Solr远程反序列化代码执行漏洞的信息。


    0x2 铭说 | 基于一类支持向量机的HTTP隐蔽通道检测

    聚铭网络 2020-06-11T17:02:11 © J博士

    Example Image


    结合HTTP隐蔽通道特点,本文抽取HTTP隐蔽通道消息特征进行分类器的训练


    0x3 微软6月安全更新补丁和SMB高危漏洞风险提示

    安恒信息CERT 2020-06-10T14:38:07

    Example Image


    本文介绍了2020年6月微软发布的安全更新公告,其中重点强调了Windows SMB (SMBv1)远程代码执行漏洞。微软针对该漏洞发布了安全补丁,并对已停服的Windows 7也提供了补丁。SMBv1和SMBv3协议均存在安全风险,包括信息泄露和拒绝服务漏洞。文章列出了受影响的系统和版本,并提供了补丁下载链接。此外,文章还提供了其他多个漏洞的简要描述和缓解措施,包括禁用SMBv1和SMBv3压缩等临时措施。

    操作系统安全 漏洞公告 SMB协议漏洞 安全补丁 影响范围 缓解措施 应急响应


    0x4 格式化字符串漏洞及利用_萌新食用

    蚁景网络安全 2020-06-10T11:13:37 © 紫色仰望

    Example Image


    享受积累的过程


    0x5 Windows 10 SMB协议存在信息泄露高危漏洞

    凯信特安全团队 2020-06-10T11:02:59

    Example Image


    今天微软发现了一个新的高危漏洞,该漏洞直接影响服务器消息模块(SMB)协议,攻击者能够远程泄漏内核内存,并且


    0x6 内网主机频繁出现异常性能过高问题案例分析

    安博通 2020-06-09T18:48:54 © 安博通

    Example Image


    为您完整复盘挖矿病毒的查杀过程。

    内网安全 挖矿病毒 防火墙 安全分析平台 威胁情报 系统加固


    0x7 nmap防火墙逃逸

    Linux网络安全 2020-06-09T14:59:20 ©

    Example Image


    本文详细介绍了Nmap在网络安全中用于防火墙逃逸的技术。文章首先解释了防火墙的基本功能和作用,包括对网络流量的分析、过滤和端口隐藏等。接着,文章深入探讨了Nmap的参数及其在防火墙逃逸中的应用。具体包括如何通过报文分段、指定偏移大小、IP欺骗、源地址欺骗、源端口欺骗和MAC地址欺骗等手段来绕过防火墙的限制。文章通过具体的Nmap命令示例,如使用-f进行报文分段、--mtu指定偏移大小、-D进行IP欺骗、-sI进行源地址欺骗、--source-port进行源端口欺骗以及--spoof-mac进行MAC地址欺骗等,展示了如何使用这些技术来逃避防火墙的检测。最后,文章提醒读者在使用这些技术时需要谨慎,并鼓励关注更多相关教程和论坛讨论。

    防火墙安全 网络安全扫描 网络攻击与防御 IP欺骗 端口扫描 MAC地址欺骗 网络协议


    0x8 深究异或webshell原理以及服务器处理免杀的流程

    蚁景网络安全 2020-06-09T10:56:00 © s1mple-safety

    Example Image


    本文深入探讨了异或webshell的原理及其在服务器处理中的免杀流程。作者指出,仅依赖网络上的无数字和字母webshell是不够的,需要理解其细节。文章通过在远程VPS上搭建环境,测试了异或webshell在POST数据提交时的编码问题。作者发现,浏览器对POST数据进行一次urlencode,服务端则需要两次urldecode,导致WAF在解码后的结果上进行匹配。通过实践,作者揭示了不可见字符在绕过WAF中的作用,并解释了如何利用这些字符通过异或操作执行PHP代码。文章还讨论了GET传参的编码问题,指出GET参数同样经过urlencode和urldecode。最后,作者通过一个实际案例,说明了不可见字符在WAF检测中的重要性,并强调了构造有效payload时需要考虑字符种类的数量,以避免被WAF识别。文章最后总结了异或webshell的原理,并鼓励读者探索其他类型的webshell。

    Webshell XOR Webshell 免杀技术 网络安全 WAF绕过 PHP安全 编码技术


    0x9 SMBV3(RDMA)+CVE-2020-0796

    边界骇客 2020-06-08T16:31:31

    Example Image


    本文深入分析了SMBV3(RDMA)协议中的一个严重漏洞CVE-2020-0796。首先介绍了SMBV3协议的背景,包括其新增特性如SMB直接协议(通过RDMA的SMB)、SMB多通道和SMB透明故障转移,以及引入的安全性增强功能。特别解释了RDMA(远程直接内存访问)的概念及其在提升性能中的作用。接着,文章详细分析了CVE-2020-0796漏洞的原理,指出该漏洞存在于SMB 3.1.1协议中处理压缩消息时,攻击者可以通过控制OriginalSize值引发缓冲区溢出,从而远程执行任意代码。文章还提供了影响该漏洞的Windows和Windows Server版本列表,并列举了相关的检测脚本、工具和攻击代码,包括蓝屏POC、本地提权POC和远程利用代码。最后,作者分享了个人的求职经历,表达了对于找到理想工作的渴望。

    SMB协议漏洞 缓冲区溢出 远程代码执行 系统漏洞 漏洞利用 网络安全分析 CVE编号 Windows安全 网络安全防护


    0xa 漏洞通告 | 微软SMBv3 Client/Server远程代码执行漏洞(CVE-2020-0796)

    交大捷普 2020-06-08T15:08:27

    Example Image


    微软SMBv3 Client/Server远程代码执行漏洞(CVE-2020-0796)

    本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。