2024年 第28周 微信公众号精选安全技术文章总览
洞见网安 2024-7-15
0x1 [随波逐流]CTF编码工具 V6.0 20240708
长弓三皮 2024-07-13T10:21:14 ©
[随波逐流]CTF编码工具:一站式编码解码解决方案,您的全能编码解码助手。
0x2 玄机-应急响应-vulntarget-k-01
Hacking Group 0371B 2024-07-13T09:56:29 © 陳睡不醒
文章讲述了应急响应工程师小王在处理一个安全事件时的过程。事件中,小王发现服务器被植入了恶意文件。通过nmap扫描,他发现服务器仅开放了8081和9999端口,并判断存在XXL-job的漏洞。利用该漏洞,可以未授权访问executor并执行任意命令。文章详细描述了漏洞的原理、影响版本以及利用方法。在应急响应过程中,小王无法利用常规的8080端口进入控制台,因此选择了利用executor的未授权访问漏洞,通过写入内存马进行连接。在拿到权限后,他快速定位攻击者的行为,通过分析数据库操作来还原攻击者的所有操作。文章最后总结了应急响应的思路,并提醒在实际操作中要注意可能对攻击路径的影响,建议先固定镜像。同时,文章鼓励读者关注玄机应急靶场,以进行更多的练习和交流。
漏洞分析 应急响应 端口扫描 漏洞扫描 反弹shell 数据库安全 内存马 电子取证
0x3 红队快速打点
ccwork 2024-07-12T18:01:47 ©
本文是关于网络安全领域中红队快速打点的指南,主要面向网络安全学习者。文章首先声明了免责声明,强调所有技术、信息或工具仅供学习和研究使用,禁止用于非法活动。接着,文章介绍了红队快速打点的两个关键步骤:信息收集和漏洞探测。在信息收集阶段,推荐使用各种搜索引擎如hunter、fofa、zoomEye等来整理和去重资产,形成资产列表。同时,提到了SiftScan工具可以帮助梳理资产。在漏洞探测阶段,推荐使用多种工具如ehole、afrog、nuclei和Super Xray等进行漏洞扫描。文章还强调了资产收集的重要性,包括WAF探测、子域名收集、端口扫描、目录扫描、指纹识别等,以扩大资产面并发现潜在的薄弱点。此外,还推荐了一些工具和命令来辅助这些过程。最后,文章鼓励读者通过学习和实践来提高自己的打点能力,并提到了未来可能会分享的资源和社区。
0x4 Syscall免杀的高阶对抗
蚁景网络安全 2024-07-12T16:30:56
本文详细介绍了免杀技术在网络安全中的重要性,特别是系统调用(syscall)在免杀过程中的应用。文章首先概述了syscall逐渐成为主流的原因,指出早期恶意程序开发者通过使用ntdll中的函数而非kernel32中的函数来实现免杀效果,因为前者更难被杀毒软件检测。随着杀毒软件技术的发展,它们开始hook ntdll,但r3层hook已不再是主流。文章深入讲解了syscall的工作原理,包括ntdll与系统调用的关系、Zw与Nt系统调用的区别、syscall的结构等。此外,文章还讨论了直接和间接系统调用的实现方式及其优缺点,指出直接系统调用虽然可以绕过用户空间钩子,但调用链不够完整;间接系统调用则更容易躲避安全解决方案的检查。最后,文章介绍了unhook技术和伪造syscall调用链的方法,以实现更长期的稳定运行,并提供了相关代码和项目参考。
0x5 Microsoft Office远程代码执行漏洞 -CVE-2024-38021
观初科技 2024-07-12T09:56:55 小初团队-Reed
Microsoft Office远程代码执行漏洞(CVE-2024-38021)是一种严重的安全漏洞,允许攻击者通过Microsoft Office应用程序中的安全漏洞在受害者计算机上远程执行任意代码。这种漏洞风险高,可能使攻击者完全控制受害者的系统。该漏洞影响广泛的Microsoft Office版本,包括2013、2016、2019以及Microsoft 365 Apps for Enterprise。为了解决这个问题,微软建议用户更新到最新版本的Microsoft Office,启用自动更新功能,并配置安全设置以禁用宏和受保护视图。此外,文章还提到了Tenable和Qualys等安全工具在检测和修复该漏洞中的作用,以及微软发布的安全更新和补丁的具体信息。
漏洞分析 远程代码执行 Microsoft Office 软件漏洞 安全补丁 漏洞利用 风险评估 安全更新
0x6 2024年第二季度邮件安全观察:二维码钓鱼邮件攻击仍在持续
天津恒御科技有限公司 2024-07-12T08:02:00
u200b根据Asia Spam-message Research Center研究中心的监测观察,2024年第二季度,网络攻击的分工越来越细致,从攻击趋势分析结果看,可明显分为初始入侵和后续的横向移动或深入攻击两大阶段,而初始入侵主要通过漏洞利
0x7 通过MSF利用PHP后门反弹连接
鼠标猴子爱吃香蕉 2024-07-11T19:04:15 © Devil
本文介绍了如何通过Metasploit框架利用PHP后门进行反弹连接的渗透测试过程。首先,需要准备DVWA靶场环境,包括下载DVWA、配置PHP7.0以上版本、Nginx环境以及数据库密码。接着,通过浏览器访问DVWA的安装页面,解决可能遇到的红字问题,并替换缺失的reCAPTCHA密钥。此外,还需确保PHP配置文件中allow_url_include选项被启用。在Metasploit配置阶段,使用exploit/multi/handler模块设置监控,并配置攻击载荷,包括设置payload和监听IP与端口。随后,通过msfvenom命令生成PHP后门文件shell.php,并通过Python的简易web服务传播该后门文件。最后,执行攻击并获取meterpreter会话,从而进行进一步的渗透操作,如查看屏幕和获取当前用户账号信息。
渗透测试 漏洞利用 后门植入 环境搭建 Metasploit 信息收集
0x8 【风险通告】GitLab存在身份验证绕过漏洞(CVE-2024-6385)
安恒信息CERT 2024-07-11T17:38:47
GitLab近日发布安全通告,指出存在一个身份验证绕过漏洞(CVE-2024-6385),该漏洞评级为1级,CVSS3.1评分为9.6,属于严重等级。此漏洞允许攻击者在特定条件下以其他用户的身份触发pipeline,影响版本包括GitLab CE/EE 15.8至17.1.2。官方已发布修复方案,建议用户更新至安全版本。安恒CERT监测数据显示,受影响资产主要分布在中国、美国和德国等国家,其中中国境内资产为76575。该漏洞可能被用于改变机密性、影响完整性和可用性,因此强烈建议用户尽快自查并采取防护措施。
身份验证漏洞 GitLab漏洞 访问控制错误 安全更新 网络安全事件 高危害性 网络攻击
0x9 从一道CTF题浅谈MyBatis与Ognl的那些事
蚁景网络安全 2024-07-11T16:30:37
本文深入探讨了MyBatis框架与OGNL表达式的结合在使用中可能引发的安全风险,以一道CTF题目为例,分析了MyBatis在动态SQL中使用OGNL表达式可能导致SQL注入和OGNL注入的风险。文章详细介绍了MyBatis封装SQL的流程,从配置解析到SQL执行的过程,揭示了MyBatis中${}和#{}的处理方式,以及如何通过OGNL表达式进行SQL注入和执行恶意代码。文章进一步分析了MyBatis中XML配置、普通注解和Provider注解的使用方式,并探讨了这些方式中可能存在的安全缺陷。最后,文章提出了相应的修复建议,包括使用预编译的#{}进行查询和加强用户输入的安全检查,以及从3.5.4版本开始MyBatis引入的黑名单机制及其局限性。
SQL注入 MyBatis安全 OGNL注入 动态SQL 代码审计 安全漏洞 安全防护
0xa Windows Win32k特权提升漏洞 - CVE-2024-38059/ CVE-2024-38066
观初科技 2024-07-11T13:46:29 小初团队-Reed
本文详细介绍了Windows操作系统中的Win32k特权提升漏洞,漏洞编号为CVE-2024-38059和CVE-2024-38066。该漏洞可能导致应用程序崩溃、敏感信息泄露、远程代码执行以及权限提升等问题。Win32k是Windows子系统的内核模式部分,负责提供系统服务并与Windows内核紧密接触,因此容易成为攻击目标。受影响的Windows版本包括Windows 10和Windows 11的多个版本以及Windows Server 2022。为了解决此漏洞,微软已发布补丁程序,建议受影响的用户及时更新系统以防止潜在的安全威胁。
操作系统漏洞 特权提升 Windows漏洞 代码执行 数据泄露 安全补丁 CVE编号
0xb 电子数据取证每日一练-流量取证
金星路406取证人 2024-07-11T13:26:14 © Q1anfang2
本文是一篇关于网络安全电子数据取证的教程,主要针对Tomcat Takeover Blue Team Challenge中的流量取证部分进行详细分析。文章介绍了流量取证的基本思路和所需工具,包括Wireshark和NetworkMiner。教程通过具体的题目实例,指导读者如何通过流量分析识别攻击者的IP地址、来源城市、扫描的端口、使用的工具、管理面板的目录、登录凭证、恶意文件以及攻击者维持存在所运行的命令。文章强调了流量取证的重要性,并提供了相关的知识点和工具介绍,适合网络安全学习和实践者阅读。
网络安全取证 流量分析 CTF挑战 网络协议 漏洞利用 渗透测试 Wireshark NetworkMiner Webshell
0xc 【漏洞预警】Apache HTTP Server信息泄露漏洞CVE-2024-38475
飓风网络安全 2024-07-10T21:45:56 cexlife
本文报道了Apache HTTP Server的一个信息泄露漏洞(CVE-2024-38475)。该漏洞是由于不当的输出转义导致攻击者可以将URL映射到无法直接访问的文件系统位置,从而可能执行代码或泄露源代码。这个漏洞会影响Apache HTTP Server 2.4.59及更早版本。为了修复这个问题,厂商已经发布了补丁,建议用户尽快升级到Apache HTTP Server 2.4.60或更高版本。同时,用户应进行资产自查和预防措施,以防止遭受黑客攻击。详细的修复信息和资产自查指南可以通过提供的参考链接获取。
0xd 【漏洞预警】IBM WebSphere Application Server需授权代码注入漏洞
飓风网络安全 2024-07-10T21:45:56 cexlife
本文报道了IBM WebSphere应用服务器存在的一个严重漏洞,该漏洞可能允许远程经过身份验证的攻击者通过特别构建的输入执行任意代码。IBM WebSphere应用程序服务器8.5和9.0版本受到影响,攻击者需要已获得对管理控制台的授权访问权限。IBM已经发布了补丁来修复这个漏洞,建议用户尽快更新至安全版本IBM WebSphere Application Server >=9.0.5.21和IBM WebSphere Application Server >=8.5.5.26。同时,用户应进行资产自查和预防措施,以防止遭受黑客攻击。本文还提供了官方补丁的参考链接,方便用户获取详细的安全更新信息。
漏洞预警 IBM WebSphere 授权代码注入 Java EE 应用服务器 远程攻击 代码执行 安全补丁 资产自查
0xe google浏览器导入导出插件
进击的HACK 2024-07-10T20:56:54 © 进击的hack
google浏览器导入导出插件以及如何在ubuntu安装google
0xf Exchange/Coremail/Postfix等主流邮件系统数据存储格式介绍
mailabc 2024-07-10T20:07:21 © 小胡子大魔王
本文详细介绍了主流邮件系统(如Exchange、Coremail、Postfix)的数据存储格式。首先,文章对比了Mbox和Maildir两种开源邮件系统的存储格式,解释了它们的优缺点,并指出Maildir在安全性、效率等方面更胜一筹。接着,文章深入探讨了Exchange服务器的数据存储机制,包括可扩展存储引擎(ESE)的工作原理和数据库结构。最后,文章介绍了Coremail邮件系统的数据存储设计,包括其独特的“信筒”模型和“信桶”存储机制,以及如何通过索引与数据分离来提高性能和安全性。全文旨在帮助读者对邮件系统的底层结构有更深入的理解。
邮件系统安全 数据存储安全 邮件格式标准 Exchange安全 Coremail安全 系统架构安全 安全性能比较
0x10 如何使用Vger对已经过身份验证的Jupyter实例进行安全检测
FreeBuf 2024-07-10T19:00:04 Alpha_h4ck
本文介绍了如何使用Vger工具对已经过身份验证的Jupyter实例进行安全检测。Vger是一款基于Python 3开发的交互式命令行应用程序,适用于红队和蓝队研究人员。它可以帮助红队研究人员在获取Jupyter凭证后了解目标服务器的功能,降低操作被发现的可能性,并在内存中执行测试向量。对于蓝队研究人员,Vger可以帮助他们了解Jupyter部署的实时日志记录,并执行重复性工作。文章详细介绍了Vger的安装方法、使用命令以及各个功能模块的解析。Vger支持的功能包括识别目标实例中导入的模块、注入代码、启动新的JupyterLab实例、查看历史命令、运行shell命令、列出或获取文件、上传和删除文件、查找和下载模型、监视实例执行情况以及执行重复性任务。Vger遵循GPL-3.0开源许可协议。
网络安全工具 红蓝队攻击 Jupyter安全 Python开发 人工智能安全 开源软件
0x11 【在野利用】Rejetto HTTP File Server模板注入漏洞风险通告
亚信安全 2024-07-10T18:48:37 你信任的
亚信安全CERT今日监控到Rejetto HTTP File Server存在模板注入漏洞(CVE-2024-23692),影响版本为2.x。未经身份验证的攻击者可利用此漏洞执行任意代码,控制服务器。尽管2.x版本已不再支持,官方仍发布修复版本。建议用户升级至3.x系列。亚信安全怒狮引擎已更新检测规则,用户需及时更新TDA、AE产品特征库。受影响用户可通过官方链接下载修复补丁,并谨慎验证下载安全性。相关漏洞信息和复现情况已公开,存在在野利用风险。
远程代码执行漏洞 高危漏洞 产品安全更新 漏洞利用公开 安全通告
0x12 2024-07微软漏洞通告
火绒安全 2024-07-10T18:47:47 火绒安全
2024年7月,微软发布了安全更新,针对142个漏洞进行了修复。这些漏洞包括59个远程执行代码漏洞、26个特权提升漏洞等,其中5个漏洞被标记为“Critical”(高危),134个为“Important”(严重)。涉及的主要组件包括.NET and Visual Studio、Active Directory Federation Services、Azure系列服务、Microsoft Office等。特别需要注意的是Windows Hyper-V特权提升漏洞(CVE-2024-38080)和Windows MSHTML平台欺骗漏洞(CVE-2024-38112),它们已经被检测到在野利用。火绒安全软件建议用户及时更新补丁,并禁用不必要的远程桌面授权服务。微软官方提供了详细的补丁下载链接和完整通告,建议用户关注并采取相应措施以保障系统安全。
操作系统漏洞 软件更新 安全通告 漏洞利用 安全建议 远程桌面服务 Microsoft Office 漏洞 系统权限提升 漏洞等级分类
0x13 【风险通告】微软7月安全更新补丁和多个高危漏洞风险提示
安恒信息CERT 2024-07-10T17:43:51
微软发布了7月安全更新公告,包含多个微软软件的安全更新补丁,涉及Windows Hyper-V、Microsoft Office、Win32k、Windows Graphics Component、Kernel Streaming WOW Thunk Service Driver和Microsoft Windows Codecs Library等。公告中特别指出,Windows Hyper-V 特权提升漏洞(CVE-2024-38080)和Windows MSHTML Platform 欺骗漏洞(CVE-2024-38112)为本月在野0day,风险较大。这些漏洞类型包括特权提升、远程代码执行和欺骗,CVSS3.1评分均在7.5至8.8之间,对机密性、完整性和可用性均造成高影响。受影响的Windows和Server版本众多,从Windows 10到Windows 11,以及多个Server版本。微软建议用户尽快安装安全更新补丁或采取临时缓解措施加固系统。补丁可通过Microsoft Update自动或手动更新获取。
漏洞公告 微软补丁 CVE漏洞 权限提升 远程代码执行 欺骗漏洞 高危漏洞 0day漏洞 安全更新
0x14 Confluence远程代码执行漏洞(CVE-2024-21683)
蚁景网络安全 2024-07-10T16:30:36
本文详细介绍了Atlassian Confluence软件中发现的CVE-2024-21683远程代码执行漏洞。Confluence是一款用于企业团队协作和知识管理的软件,该漏洞允许经过认证的远程攻击者在受影响实例上执行任意代码。文章中概述了漏洞的影响、影响版本、环境搭建过程,包括使用vulhub提供的Docker环境。接着,文章通过具体步骤展示了漏洞的复现过程,包括配置代码宏、上传恶意JavaScript文件,并展示了如何利用该漏洞执行系统命令。最后,文章对漏洞的原理进行了深入分析,包括远程调试的设置、漏洞点定位以及修复方法的介绍。官方已发布安全更新,受影响用户应更新至最新版本以消除安全风险。
0x15 【涨知识】Websocket协议代理隧道加密流量分析与检测
北京观成科技 2024-07-10T16:05:11 © 小余同学
本文详细分析了Websocket协议在网络安全中的应用,特别是其在代理隧道加密流量中的作用。文章首先介绍了Websocket协议在攻防场景下的常见用途,包括搭建低延迟、双向实时数据传输的隧道。文中以wstunnel工具为例,说明了客户端使用HTTP Upgrade机制完成握手阶段,以及使用Websocket协议进行全双工通信的过程。接着,文章解释了Websocket协议中的Mask标志位用于数据加密的机制,以及客户端和服务器在加密方面的不同要求。此外,文章还讨论了Websocket Secure(WSS)属性如何通过TLS加密协议增强数据传输的安全性。最后,文章列举了几款支持Websocket隧道的工具,并介绍了如何使用观成科技的安全团队提出的检测方法来检测Websocket加密通信的流量,以保障网络安全。
Websocket协议 代理隧道 加密流量分析 网络安全工具 流量检测 攻防演练 网络监控
0x16 针对ddp协议的物联网设备的脆弱性分析
博智非攻研究院 2024-07-09T19:53:00 博智非攻研究院
本文主要针对DDP协议基于tcp/ip的数据传输方式进行了分析研究。
0x17 浅谈WiFi反认证Deauth攻击
鼠标猴子爱吃香蕉 2024-07-09T16:19:06 © Devil
本文介绍了WiFi反认证(Deauth)攻击的基本原理及其实施过程。Deauth攻击是一种拒绝服务攻击,通过向目标设备发送伪造的解除认证数据包,使得设备与无线网络断开连接。由于WiFi管理数据帧未加密,攻击者可以轻易伪造这些帧来执行攻击。文章详细描述了进行此类攻击所需的准备工作,包括使用支持监听模式的Kali Linux系统及无线网卡,并提供了具体的命令行指令,例如使用airmon-ng将网卡置于监听模式以及使用airodump-ng扫描附近的WiFi网络。此外,还解释了如何识别和选择攻击目标,以及如何使用aireplay-ng发起Deauth攻击。文中强调了实验仅限于个人WiFi网络的安全测试,避免非法入侵他人网络。实验结果显示,攻击成功使所有连接至目标WiFi的设备断网,停止攻击后网络连接恢复正常。
WiFi安全 拒绝服务攻击 网络嗅探 Kali Linux 无线网络攻击 网络安全实验
0x18 电子数据取证每日一练-服务器部分2
金星路406取证人 2024-07-09T13:04:21 © Q1anfang2
本文针对2023年龙信杯网络安全比赛的题目进行分析,分享了解题思路。文章首先介绍了案情背景,涉及一起通过即时通讯工具进行诈骗的案件,其中诈骗团伙利用木马APP和录音录像进行威胁。接着,文章详细解析了比赛中的题目,包括宝塔面板默认建站目录、数据库表结构分析、网站域名解析、数据库用户密码还原、网站重建、产品数量统计、充值地址分析、充值金额统计、用户绑定信息查询、交易价格分析、订单平仓时间查询、系统访问请求分析以及root账户密码破解等。文章还介绍了数据库文件、表定义文件、日志文件、配置文件、控制文件、临时文件、锁文件等概念,以及hashcat破解密码的用法。最后,文章总结了这套题目主要涉及的服务器取证技巧和数据分析方法,并推荐了相关往期内容。
电子数据取证 网络安全竞赛 网络犯罪调查 数据库安全 哈希破解 服务器取证 SQL语言
0x19 b2640_[bagku] [MISC]_baby_flag.txt writeup
长弓三皮 2024-07-08T20:22:05 ©
[随波逐流]CTF编码工具:一站式编码解码解决方案,您的全能编码解码助手。
0x1a XXL-JOB默认accessToken身份认证绕过
蚁景网络安全 2024-07-08T16:30:55
XXL-JOB是一个开源的分布式任务调度平台,但存在安全漏洞。在默认配置下,其accessToken未随机生成,而是使用预设值。攻击者可利用此漏洞绕过认证,调用executor执行任意代码,获取服务器权限。受影响版本为2.4.0及以下。搭建环境时,可通过Docker拉取镜像、创建数据库、运行SQL文件、配置容器启动参数等步骤进行。漏洞复现的POC包括构造特定HTTP请求,利用默认accessToken值执行任务调度。修复方式是修改调度中心和执行器的配置项,为xxl.job.accessToken设置新的、相同的值。
0x1b HTB之PermX
羽泪云小栈 2024-07-08T16:09:33 © 羽泪云小栈
赛季靶5HTB之permx+linux(eazy)+CVE-2023-4220+配置文件数据库凭证泄露+ssh密码重用+sudo提权
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
