2019年 第28周 微信公众号精选安全技术文章总览

    洞见网安 2019-7-15


    0x1 技术分享 | Linux 入侵检测中的进程创建监控

    网易易盾 2019-07-20T19:20:50 张博

    Example Image


    及时获取新进程创建信息,能帮助我们快速地定位攻击行为。


    0x2 《关于PHP网站存在的XXE复现》

    凯信特安全团队 2019-07-20T16:00:57 caseyfult

    Example Image


    “XXE:全称(XML External Entity Injection),XML外部实体,也就是XML外部实体注入攻击,漏洞是在对不安全的外部实体数据进行处理时引发的安全问题。

    XXE攻击 网络安全测试 漏洞利用 防御措施


    0x3 Gaza Cybergang在移动端对阿拉伯语地区的攻击事件

    安天移动安全 2019-07-19T20:18:18 © 安天移动安全

    Example Image


    安天移动安全对网络犯罪组织Gaza Cybergang进行深层揭秘


    0x4 【漏洞预警】Atlassian Crowd存在未授权文件上传导致远程代码执行(CVE-2019-11580)

    云弈安全 2019-07-19T19:00:06

    Example Image


    本文为关于CVE-2019-11580漏洞的预警分析,涉及Atlassian Crowd和Atlassian Crowd Data Center产品。这些产品由于错误地启用了pdkinstall开发插件,存在未授权文件上传的安全漏洞,攻击者可利用此漏洞安装恶意插件,执行任意代码,获取服务器权限。漏洞影响多个版本,威胁等级为高危。文章提供了漏洞复现方法,并给出了修复建议,包括升级到最新版本和限制相关接口的访问。同时,提到了“恺撒天视”威胁感知系统已更新插件以检测此漏洞,并附上了相关参考链接。

    未授权访问 远程代码执行 高危漏洞 Atlassian Crowd 文件上传漏洞


    0x5 微软Outlook for Android移动应用的XSS漏洞分析

    云弈安全 2019-07-19T19:00:06

    Example Image


    本文介绍了一个关于Outlook for Android移动应用中的存储型XSS漏洞的分析报告。漏洞发现者最初是在帮助朋友分析一封含有特殊JavaScript代码的邮件时注意到这一问题的。进一步的研究表明,该应用在处理包含特定格式iframe标签的邮件时存在安全隐患,尤其是这些iframe标签能够绕过应用的安全设置BlockExternalImages。攻击者可以利用这一点,通过发送带有恶意JavaScript代码的邮件,一旦受害者使用Outlook for Android打开邮件,即可触发XSS攻击,从而窃取用户的敏感信息,如cookies和tokens等。尽管最初微软安全团队难以复现该漏洞,但经过发现者多次尝试与调整,最终提供了一个能够在不同地区设置下复现的POC,使得微软确认了该漏洞的存在,并于2019年6月20日发布了修复补丁,漏洞被标记为CVE-2019-1105。此案例强调了持续软件更新以及安全研究的重要性。

    XSS漏洞 移动应用安全 漏洞复现 安全漏洞上报 客户端安全 存储型XSS


    0x6 Palo Alto GlobalProtect 远程代码执行漏洞预警

    安恒信息CERT 2019-07-19T15:34:59

    Example Image


    本文报道了Palo Alto Networks官方于2019年7月18日发布的关于GlobalProtect Portal/Gateway接口远程代码执行漏洞的安全公告。该漏洞通过攻击/sslmgr接口的POST提交格式化字符串触发,影响多个版本的PAN-OS操作系统,包括7.1.18、8.0.11和8.1.2之前的版本。安恒研究院SUMAP平台的统计显示,该漏洞可能影响全球和国内的Palo Alto GlobalProtect资产。Palo Alto Networks已发布补丁,建议用户尽快更新到相应版本或进行安全加固配置。由于公开的利用代码已经出现,建议用户采取紧急措施,以防止恶意攻击者利用此漏洞进行攻击。文章还提醒了企业关注官方安全更新公告,并定期审计管理端口的异常登录请求和设备补丁更新状态。

    漏洞预警 远程代码执行 VPN安全 Palo Alto 补丁更新 网络安全


    0x7 CentOS6下记录后台操作日志的两种方式

    WalkingCloud 2019-07-17T21:57:44 ©

    Example Image


    本文介绍了在CentOS6系统下记录后台操作日志的两种方法。第一种方法是使用script和scriptreplay工具,script工具可以记录当前终端的所有操作和输出内容,并保存为文本文件。scriptreplay工具可以回放这些记录。第二种方法是记录history命令的历史记录到日志文件中,通过创建一个脚本文件并将它追加到/etc/profile文件中,实现自动记录登录用户的历史命令。这两种方法可以帮助用户跟踪和分析系统操作日志,增强系统安全性。

    系统日志管理 Linux系统安全 命令行工具 脚本编程 日志回放


    0x8 新DNS变换器恶意软件Extenbro曝光,阻止用户访问安全网站

    ISEC安全e站 2019-07-17T11:48:23 ISEC安全e站

    Example Image


    研究人员发现了一种新的DNS更换器恶意软件Extenbro,该软件能够阻止用户从受感染的系统中移除黑客安装的广告软件。Extenbro通过更改设备的DNS设置,阻止用户访问安全供应商的网站,并创建计划任务以确保在计算机重启后DNS设置被实时更改。此外,该恶意软件还会修改Windows根证书集和Firefox的user.js文件,禁用IPv6,强制使用新的DNS服务器。为了清除恶意软件,研究人员提供了详细的解决方案,建议用户在高级TCP/IP设置中恢复DNS设置,并使用安全工具进行清理。专家提醒,只有在能够再次访问安全站点的情况下才删除恶意软件,避免重启系统以防黑客恢复恶意设置。

    恶意软件 DNS篡改 广告软件 系统安全 网络安全工具


    0x9 内网穿透SMB自认证

    边界骇客 2019-07-17T08:42:02 no--root

    Example Image


    本文详细介绍了利用SMB(网络文件共享)进行内网穿透和凭证窃取的攻击方法。文章首先解释了SMB认证过程,然后通过一个实验环境模拟了攻击者如何利用SMB中继攻击窃取凭证。实验中,攻击者通过在公司网站主页插入JavaScript代码,利用SMB自动认证机制,使得员工访问网站时自动进行认证,从而获取认证信息。接着,攻击者将SMB服务器的445端口转发到外网VPS,通过MSF框架进行中继攻击,成功获取SMB服务器的权限。文章还介绍了另一种攻击方法,即攻击者伪装成SMB服务器,让其他用户进行认证,从而抓取hash值。最后,文章通过hashcat工具破解密码,并使用psexec进行命令执行,成功删除了目标PC中的证据文件。

    内网安全 端口转发 SMB中继攻击 凭证窃取 Windows漏洞利用 彩虹表攻击 杀毒软件防御 网络钓鱼


    0xa LWN 121845: 内核 2.6 中地址空间的随机化

    泰晓科技 2019-07-16T18:30:00 ©

    Example Image


    在Linux内核2.6的开发周期中,Arjan van de Ven提出了一项重要的安全特性——地址空间布局随机化(ASLR)的补丁集。此补丁集旨在通过随机化进程的栈空间及mmap()映射区域(如共享库等)的基地址来提高系统的安全性。这项改动加强了内核的安全基础设施,使得依赖于静态地址的缓冲区溢出攻击变得更为复杂。在没有ASLR的情况下,攻击者可以预知特定程序的内存布局,并硬编码特定地址来执行恶意代码。然而,ASLR通过每次启动时改变这些地址,使得攻击者难以预测有效的内存位置,从而增加了利用这类漏洞的难度。尽管如此,文章也指出,ASLR并非万能,它并不能独立解决所有安全问题,但它确实提高了攻击者的门槛,增强了系统的整体防御能力。

    地址空间布局随机化 内核安全 缓冲区溢出防护 操作系统安全


    0xb 原创干货 | WannaMine蠕虫清理

    云众可信 2019-07-16T18:01:07 © Sp4ce

    Example Image


    本文详细描述了一次针对WannaMine蠕虫的网络安全事件处理过程。文章首先介绍了事件背景,包括监测到主机对外扫描445端口,并使用了两台虚拟服务器进行监测。接着,作者编写了一个Python脚本,用于监听445端口并记录连接IP。文章详细展示了脚本的功能和代码实现。随后,作者分析了诱捕机被病毒植入的过程,包括关闭防火墙、植入病毒、释放恶意DLL文件以及创建随机服务名等。最后,文章提供了清理WannaMine蠕虫的步骤,包括禁用随机服务、卸载异常模块、结束异常进程、删除病毒文件和安装安全补丁等。


    0xc kali Dmitry 简单利用

    河南信安世纪 2019-07-16T15:03:50 爱信安世纪

    Example Image


    DMitry(Deepmagic Information Gathering Tool)是一个一体化的信息收


    0xd 路由器抓包分析之SMB篇

    边界骇客 2019-07-16T11:07:21 no--root

    Example Image


    本文探讨了网络安全领域中路由器抓包分析的重要性,特别是针对SMB(Server Message Block)协议的抓包分析。文章首先指出边界设备如路由器在网络安全中的关键作用及其安全问题常被忽视的原因。接着,文章介绍了通过抓包进行流量监听的方法,以探测管理员密码和了解管理员上网行为。文章详细描述了SMB认证过程,包括客户端和服务器之间的交互步骤,并使用Wireshark工具进行抓包分析。此外,文章对比了Net-ntlm v1和Net-ntlm v2两个版本的协议,解释了它们的数据包结构和拼接方式。最后,文章强调了边界设备安全的重要性,呼吁管理员重视这一领域的安全问题。

    网络安全分析 路由器安全 SMB协议 网络设备漏洞 密码破解 Wireshark 安全意识


    0xe 网段起始IP,终点IP快速算法

    车小胖谈网络 2019-07-16T10:55:58 ©

    Example Image


    文章介绍了一种快速计算网段起始IP和结束IP的方法。传统的计算方法是将IP地址和子网掩码转换为二进制后进行按位与操作,但这种方法不适用于快速计算。文章提出了一种速算方法,首先在子网掩码中找到非255的字节,并计算256减去该数字,得到的差值表示每个网段的步长。以IP地址192.168.9.10和子网掩码255.255.248.0为例,计算出步长为8。文章接着解释了如何根据步长确定网段的起始点和结束点,以及如何确定有效使用的IP起始点和结束点。在本例中,第二个网段的有效起始IP是192.168.8.1,结束IP是192.168.15.254。最后,文章解释了如何计算子网的主机位数,得出该子网使用了11位,因此网段位使用了32-11=21位,用掩码长度表示为/21。

    IP地址计算 子网划分 网络安全基础 网络管理


    0xf 渗透测试:利用 Web 漏洞利用获取 webshell

    河南信安世纪 2019-07-15T15:24:03 爱信安世纪

    Example Image


    利用Web漏洞利用获取 webshell漏洞测试准备根据课程学习资料搭建好环境,漏洞代码如下:我们可以直接利

    本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。