2024年 第24周 微信公众号精选安全技术文章总览

    洞见网安 2024-6-17


    0x1 通过暂停Event log服务线程来关闭Windows事件日志服务

    TrustedSec 2024-06-16T12:08:02 © yhh

    Example Image


    一、Event logWindows的Event log记录了与Windows操作系统有关的日志,主要分为系统


    0x2 介绍外网打点漏洞jwt

    吾入安全圈的二手程序猿 2024-06-16T10:42:24 © 不知名菜鸟%%

    Example Image


    本文深入探讨了JSON Web Token (JWT) 的基本概念和应用。JWT 是一种开放标准,常用于在各方之间安全地传输信息,特别是在身份验证和信息交换中。文章详细介绍了 JWT 的结构,包括头部(Header)、负载(Payload)和签名(Signature)。特别强调了签名在确保消息完整性和验证中的作用。接着,文章分析了 JWT 存在的漏洞,如弱密钥使用问题,并通过一个示例演示了如何利用这些漏洞来破解密码和构造具有管理员权限的令牌。此外,文章还提到了 GitHub 上有关漏洞代码的更新,以及如何修复常规漏洞、利用序列化与反序列化漏洞链以及 APP 渗透技术。

    身份认证 Web安全 漏洞分析 渗透测试 加密技术 漏洞利用


    0x3 Cobalt Strike特征消除第二篇:配置C2 profile规避流量检测

    霓虹预警 2024-06-14T20:31:03 © r0leG3n7

    Example Image


    本文详细介绍了Cobalt Strike(CS)的Malleable C2 Profile功能,这是用于配置和定制CS客户端(Beacon)的参数,以使其流量特征与正常用户流量相似,从而避免安全设备的检测。文章首先介绍了C2 profile的基础配置,包括配置文件名称、是否使用分阶段载荷、上线后的睡眠时间、抖动值等。接着,文章深入讲解了传输数据最大值配置、窃取令牌相关配置、TCP、SMB和SSH Beacon配置,以及HTTP全局配置。此外,文章还涵盖了process-inject和post-ex beacon的配置,用于控制Beacon注入到远程进程时的行为和创建新进程执行函数的功能。文章最后讨论了如何通过配置https-certificate、http-get和http-post来规避流量检测,并提供了详细的步骤和工具使用说明。文章还包含了一些配置C2 profile的小技巧和总结,强调了C2 profile配置的重要性以及测试过程的重要性。

    网络安全 渗透测试 C2 Profile 免杀技术 流量分析 配置管理 Cobalt Strike


    0x4 木鱼cms 审计小结

    蚁景网安 2024-06-14T17:43:21 标准云

    Example Image


    小小总结


    0x5 2019长安杯介质取证部分WP - 如何使用 X-Ways Forensics 进行介质取证

    金星路406取证人 2024-06-14T09:56:57 © forensics-master

    Example Image


    本文详细记录了一次网络安全取证分析的案例。案例中,分析者使用X-Ways Forensics、火眼取证、DB Browser for SQLite、iBackup Viewer、R-Studio、WireShark、hashcat等工具对嫌疑人笔记本电脑的硬盘镜像文件“检材 4.E01”进行了深入分析。文章中涵盖了多个问题的解答,包括计算文件的SHA-256哈希值、分析操作系统版本、用户登录时间、关机时间、桌面文本文件的哈希值、安装的软件、下载的文件时间、使用的下载工具、连接服务器的时间、下载的文件内容、恶意程序的分析、银行卡信息提取、入侵服务器的时间、登录方式、邮件分析、网站重构、勒索程序解密等多个方面。分析过程中,作者详细描述了使用工具的方法和步骤,以及如何通过这些工具找到关键证据。

    数字取证 注册表分析 哈希值计算 网络取证 密码学 恶意软件分析 操作系统安全 数据恢复 网络攻击分析


    0x6 2019长安杯服务器部分WP - 服务器取证基础及如何使用 X-Ways Forensics 辅助服务器取证

    金星路406取证人 2024-06-13T20:07:19 © forensics-master

    Example Image


    本文详细分析了2019年长安杯网络安全竞赛中的一个电诈案件服务器和计算机检材的取证过程。分析主要依赖于X-Ways Forensics和ssh工具,涵盖了从镜像文件SHA256哈希值计算、操作系统和内核版本识别、硬盘分区分析、LVM逻辑卷信息提取、文件系统识别、网站访问端口定位、Docker应用镜像和容器分析、网站日志解读、数据库服务器配置和操作、VPN服务器软件配置和抓包文件分析等多个方面。文章不仅提供了具体的取证步骤和命令,还对每个步骤的结果进行了详细解释,为网络安全学习者提供了宝贵的实践经验和知识。

    网络安全取证 数字取证 Linux系统安全 网络监控 入侵检测 数据加密 P2P网络安全 虚拟化安全 云安全


    0x7 21008_ctfshow_misc入门_misc8

    长弓三皮 2024-06-13T19:32:48 随波逐流

    Example Image


    [随波逐流]CTF编码工具:一站式编码解码解决方案,您的全能编码解码助手。


    0x8 21002_ctfshow_misc入门_misc2

    长弓三皮 2024-06-13T19:32:48 随波逐流

    Example Image


    [随波逐流]CTF编码工具:一站式编码解码解决方案,您的全能编码解码助手。


    0x9 21000_ctfshow_misc_杂项签到1

    长弓三皮 2024-06-13T19:32:48 随波逐流

    Example Image


    [随波逐流]CTF编码工具:一站式编码解码解决方案,您的全能编码解码助手。


    0xa 【风险通告】Composer PHP依赖项管理器存在命令注入漏洞(CVE-2024-35242)

    安恒信息CERT 2024-06-13T17:40:41

    Example Image


    本文报道了一个影响Composer PHP依赖项管理器的严重命令注入漏洞(CVE-2024-35242)。该漏洞评级为3级,CVSS3.1评分高达8.8,主要影响2.2.24和2.7.7之前的2.x分支。漏洞发生在使用具有特制分支名称的git/hg存储库执行composer install命令时,可能导致命令注入。由于Composer在PHP开发中的广泛应用,该漏洞的危害性很高,建议所有用户尽快自查并更新至安全版本。官方已发布修复方案,并提供了一些缓解措施,如避免克隆可能受到损害的存储库。

    PHP安全 命令注入 依赖项管理 开源软件安全 软件更新


    0xb JOOQ框架常见SQL注入场景

    蚁景网络安全 2024-06-13T16:30:14

    Example Image


    本文详细介绍了JOOQ ORM框架在构建安全SQL语句方面的优势,以及常见的SQL注入场景。JOOQ通过生成Java代码和流畅的API,提供了类型约束的安全SQL操作,主要通过参数绑定来避免SQL注入。文章首先介绍了JOOQ的核心接口DSL和DSLContext,以及常见的参数绑定方式如DSL.param()、Object... bindings和表达式自身处理。接着,文章深入分析了三种常见的SQL注入场景:1) Plain SQL API的使用,由于部分API允许直接拼接SQL,若用户输入未正确处理则可能导致注入;2) 动态表名和列名,若直接使用用户输入作为表名或列名而不进行安全处理,存在注入风险;3) 直接执行SQL,如使用queryResult、execute、fetch等方法执行用户可控的SQL。最后,文章提出使用jooq-checker工具来检查并防止SQL注入,通过@PlainSQL和@Allow.PlainSQL注解来控制Plain SQL API的使用。审计时可通过检索@Allow.PlainSQL关键字来检查SQL使用的安全性。


    0xc 蓝队防守实战

    吉吉说安全 2024-06-13T10:09:58 ©

    Example Image


    本文介绍了在网络架构简单、仅有防火墙的情况下,蓝队如何利用开源工具进行防守。首先,通过部署HFish 3.3.1蜜罐系统来吸引和记录攻击行为,同时在CentOS 7操作系统上进行配置,包括开放特定端口以供web界面和节点通信使用。接着,建议使用MySQL数据库而非SQLite,以避免数据库限制和方便数据管理。文章还详细描述了如何安装和配置v2ray,包括下载、解压、更换配置文件等步骤,并设置全局代理以测试代理配置是否成功。此外,还提到了安装MySQL的具体步骤,包括检查安装、删除旧版本、安装新版本、更新密钥、启动服务和设置密码。最后,文章强调了HFish的配置,建议自定义钓鱼页面以更贴近实际业务,并通过模拟VPN和添加恶意前端代码来增强安全性。文章还提到了圈子内部的工具和资源,以及免责声明,提醒读者自行承担使用信息的风险。

    网络安全 蜜罐技术 系统加固 数据库安全 钓鱼攻击防御 网络安全实战


    0xd 红蓝对抗知多少 | (二)蓝队防守工作要点

    数默科技 2024-06-13T08:40:23 © 小默默

    Example Image


    文章详细介绍了中国网络安全领域的一项重要举措——“HW行动”。自2016年开始实施,该行动随着国家对网络安全的重视而不断扩大参与单位。文章重点解析了蓝队在网络安全对抗演练中的角色和工作内容。蓝队作为防守方,负责保护目标系统的安全,其工作包括前期安全检查、整改与加固,演习期间的网络安全监测、预警、分析、验证和处置,以及后期复盘总结。文章阐述了蓝队的主体构成,包括目标系统运营单位、安全运营团队、攻防专家、安全厂商、软件开发商、网络运维队伍和云提供商等。此外,文章还详细描述了蓝队的组织架构、工作流程和防守工作要点,包括御敌于外、洞若观火、纵深防御和重点防御等核心理论,以及如何通过安全监控、日志监控、情报监控等技术手段来防御攻击。

    网络安全演练 蓝队 网络安全防护 攻防对抗 安全事件响应 安全意识培训 安全产品与技术 安全策略 安全漏洞管理 网络安全评估


    0xe 浅谈内联钩取原理与实现

    蚁景网安 2024-06-12T17:36:40 © hope

    Example Image


    文章介绍了内联钩取(inline hook)的原理与实现,这是一种在程序中劫持函数执行流程的技术。内联钩取与导入地址表钩取不同,它不依赖于导入地址表,因此可以钩取任何函数,包括那些由于延迟加载、动态链接或手动解析而未出现在导入地址表中的函数。文章以CreateProcessW函数为例,展示了如何找到函数的指令地址,将其篡改为跳转指令,从而实现钩取。文章还讨论了32位和64位程序在内联钩取时的不同处理方式,包括机器码的获取和跳转指令的构建。此外,文章指出内联钩取的优势在于其广泛的选择性,但也存在效率问题和多线程写入错误的风险。最后,文章提供了一个GitHub链接,供读者参考更详细的代码实现。

    内联钩取 安全编程 逆向工程 汇编语言 32位与64位钩取 API钩取


    0xf \"成熟后门\"再度投递,银狐变种利用MSI实行远控

    火绒安全 2024-06-12T15:00:46 © 火绒安全

    Example Image


    近期,火绒威胁情报中心发现了一款伪装成MSI安装包的恶意木马,经过分析确认其为“银狐”系列变种木马。该木马通过双击执行后启动多个cmd进程,从远端服务器下载恶意组件,并通过多层文件跳转和解密生成远控模块,实现对受害者机器的完全控制。木马通过VBS脚本补全文件,执行混淆代码,使用SMC解密关键操作代码,并下载执行后续组件。最后,木马会禁用安全软件、创建计划任务,并通过C2服务器实现远程控制。火绒安全产品已可拦截查杀该病毒,建议用户更新病毒库并保持警惕。

    恶意软件分析 后门木马 MSI攻击 远程控制 安全防御 病毒库更新 逆向工程 漏洞利用 安全软件


    0x10 HTB之Blurry

    羽泪云小栈 2024-06-12T11:10:31 © 羽泪云小栈

    Example Image


    赛季5之HTB-Blurry+linux(Medium)+CVE漏洞利用+sudo提权/恶意文件构造


    0x11 【风险通告】微软6月安全更新补丁和多个高危漏洞风险提示

    安恒信息CERT 2024-06-12T10:37:59

    Example Image


    漏洞公告 微软漏洞 CVE漏洞 远程代码执行 权限提升 Windows操作系统漏洞 安全补丁 风险评估


    0x12 【CVE-2024-4577】PHP CGI 远程代码执行漏洞复现附POC

    Z0安全 2024-06-12T08:58:45 Z0安全

    Example Image


    我在个人本地windows10系统上基于情景2搭建了环境,成功复现此漏洞,威胁等级为严重。


    0x13 2024 盘古石决赛 手机部分题解(手工取证版)

    金星路406取证人 2024-06-12T08:50:46 © forensics-master

    Example Image


    本文详细解析了2024年盘古石决赛中手机部分的题目解答,涵盖了手工取证的方法和步骤。文章首先指出,由于文章覆盖范围有限且部分题目没有答案,因此不应将其视为完整的WP(Write-up)。接着,文章介绍了如何使用X-Ways Forensics进行手工取证,包括分析安卓手机和苹果手机的多个方面,如磁盘空间、蓝牙MAC地址、应用数据、浏览器书签、远程控制软件密码、第三方APP数量、Telegram应用登录手机号码、iOS版本升级信息、照片拍摄设备、热点连接密码和连接的手机型号等。对于苹果手机,文章还特别提到了应用快照和宝塔面板信息的分析。文章中包含了许多具体的步骤和截图,旨在帮助读者理解和复现比赛中的分析过程。

    Mobile Forensics Android Security iOS Security Digital Evidence X-Ways Forensics VMOS Analysis App Analysis Network Forensics Data Extraction


    0x14 Java代码审计初探

    R0 Team 2024-06-11T19:38:26 © 小龙_

    Example Image


    本文是一篇关于Java代码审计的初探文章。作者记录了自己在初学Java代码审计过程中的经验和发现,主要包括对因酷教育网校平台进行的SQL注入测试。文章详细描述了如何通过配置IDEA、Tomcat和数据库来导入平台,并分析了平台中的SQL注入漏洞。作者首先通过搜索关键字定位可能的注入点,然后通过分析代码和数据库配置来验证注入的存在。文章还提到了平台中存在的其他安全漏洞,如文件上传漏洞和文件读取漏洞,并给出了相应的绕过方法。此外,文章还讨论了如何使用预编译SQL语句来防止SQL注入,并对代码中的安全措施进行了分析。整体上,这是一篇针对Java代码审计实践的入门级教程,适合网络安全学习者和开发者阅读。

    代码审计 SQL注入 文件上传漏洞 文件读取/下载漏洞 Java安全 MyBatis框架 Web应用安全 实战案例


    0x15 ZoomEye攻击面收敛速查手册

    ZoomEye 2024-06-11T17:01:13 © ZoomEye Team

    Example Image


    ZoomEye助你快速发现攻击面!


    0x16 【工具更新】AWVS最新版v24.5.14中文破解版附详细下载安装教程

    Z0安全 2024-06-11T09:42:38 ©

    Example Image


    成功修改中文并破解至2123年,这个版本还是很好用的。

    Web应用安全 软件破解 安全测试 网络安全法规


    0x17 【蓝队攻防体系建设工具篇】IP自动分析封禁平台-SecAutoBan

    黑客茶话会 2024-06-11T09:21:38

    Example Image


    SecAutoBan是一个用于安全设备告警IP全自动封禁的平台,能够支持百万IP的秒级分析处理。系统由三个主要模块构成:告警日志解析处理模块、核心处理模块以及IP封禁/解禁模块。告警日志模块处理的信息会被传递给核心模块进行去重过滤等处理,随后这些信息会被发送到封禁模块执行封禁操作。核心模块的安装过程包括创建目录、下载必要文件并运行脚本。平台使用Docker容器化技术部署,完成后可通过本地地址访问管理后台并初始化管理员账户。告警模块与封禁模块均需要通过管理后台添加设备来获取设备连接Key,此Key用于运行对应的模块。用户可以查看设备/alarm和device/block路径下的文档来了解具体的使用细节。此外,SecAutoBan支持黑名单与白名单功能,黑名单用于记录已被封禁的IP地址,而白名单则用于排除特定IP地址的封禁。在网络连接方面,核心模块不需要主动建立TCP连接,告警模块需配置安全设备到其UDP端口的连接,并保持与核心模块的WebSocket通信;封禁模块则需保持与核心模块的通信及与封禁设备的连接。

    IP封禁 安全设备集成 自动化处理 去重过滤 黑白名单管理 网络连接配置 Docker部署


    0x18 HTB之Freelancer

    羽泪云小栈 2024-06-10T09:57:05 © 羽泪云小栈

    Example Image


    赛季靶HTB之HTB之Freelancer+windows(hard)+任意注册+越权+约束委派利用


    0x19 一个脚本让你的app自动吐出密钥信息

    吉吉说安全 2024-06-10T08:38:43 ©

    Example Image


    本文介绍了如何利用Frida框架对App进行测试,以获取密钥信息。文章首先概述了Frida框架的安装过程,包括Python环境的配置、Frida模块的安装以及frida-server的下载和传输到目标设备。接着,文章详细说明了如何使用Frida脚本绕过抓包限制,并通过设置Burp证书来实现SSL重绑定。最后,文章展示了如何通过Frida脚本自动解密密钥信息,并提供了相关脚本代码的示例。文章还提到了一些相关的学习资源和工具,以及免责声明和版权信息。

    移动应用安全 动态分析 抓包与代理 密钥泄露 安全开发工具 漏洞利用 逆向工程

    本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。