2021年 第29周 微信公众号精选安全技术文章总览

    洞见网安 2021-7-19


    0x1 可以使任何人获得管理员权限的Windows 10系统漏洞

    信息安全最新论文技术交流 2021-07-24T17:19:00

    Example Image


    文章详细摘要:Windows 10和11操作系统存在一个本地权限提升漏洞,低权限用户可以访问敏感注册表数据库文件,包括含有哈希密码的Security Account Manager (SAM)文件。研究人员发现,由于文件权限设置过低,攻击者可以提取NTLM哈希密码并利用这些信息提升权限。此外,注册表的卷影副本可以被攻击者访问,进一步增加了攻击的可能性。微软在Windows 10 1809版本中引入了权限变化,但具体原因尚不清楚。此漏洞可能被用于Silver Ticket攻击等多种攻击活动。目前,微软尚未明确回应此一漏洞的修复计划。

    操作系统漏洞 注册表安全 权限提升 密码窃取 安全配置 攻击技术 安全漏洞


    0x2 中兴路由器、交换机配置命令大全!

    网络技术联盟站 2021-07-24T09:02:38 点击关注👉

    Example Image



    0x3 Windows 取证之EVTX日志

    蚁景网络安全 2021-07-23T17:32:21 © W汐

    Example Image


    本文详细介绍了EVTX文件格式,它是微软从Windows NT 6.0开始采用的一种新型日志文件格式,用于存储Windows事件查看器中的事件记录。EVTX文件由文件头、数据块和尾部填充空值三部分组成,文件头包含签名、版本信息、区块数量等元数据,每个数据块大小为64KB,包含多个事件记录和未使用空间。事件记录长度不固定,包含事件ID、时间戳和二进制XML编码的信息。文章还介绍了EVTX文件的存储位置和常见日志类型,如System、Application和Security日志,并解释了日志的循环记录机制。此外,文章详细阐述了如何使用Windows事件查看器、Log Parser、Event Log Explorer等工具分析EVTX日志,并通过一个实际案例演示了如何通过日志分析发现异常登录行为,识别攻击者使用的域用户帐户和访问的IP地址。案例中提到攻击者可能使用Mimikatz获取用户哈希,并通过PSExec横向移动渗透到域控制器。最后,文章提供了相关参考资料和实操推荐,帮助读者深入理解和应用EVTX日志分析技术。


    0x4 数据库提权合集

    警戒线安全 2021-07-23T08:48:09

    Example Image


    本文详细介绍了数据库提权的方法和技巧,涵盖了MySQL、SQL Server、Oracle和Redis等数据库系统的提权过程。文章首先介绍了MySQL的udf提权方法,包括udf.dll的放置位置、数据库版本和位数选择等。接着,讲述了SQL Server的xp_cmdshell提权,包括开启xp_cmdshell模块和恢复被删除的xp_cmdshell扩展。然后,介绍了Oracle的DBMS_EXPORT_EXTENSION()漏洞利用,包括创建Java代码和赋予Java权限等步骤。最后,讨论了未授权访问Redis利用SSH key实战,以及如何利用Redis写入webshell。文章最后提醒读者,这些技术仅供安全研究与讨论之用,严禁用于非法用途。

    数据库安全 SQL注入 提权攻击 系统命令执行 未授权访问 SSH密钥利用 安全研究 安全工具


    0x5 WebLogic Server 高危安全漏洞风险提示(7月)

    安恒信息CERT 2021-07-21T14:11:12

    Example Image


    2021年7月20日,Oracle发布了包含WebLogic Server在内的多个产品安全更新公告,其中涉及IIOP、T3协议远程代码执行的高危漏洞,CVE编号分别为CVE-2021-2394、CVE-2021-2397、CVE-2021-2382。这些漏洞影响WebLogic Server 10.3.6.0.0至14.1.1.0.0多个版本。攻击者可通过构造恶意数据包远程执行代码,获取系统管理权限。Oracle已发布修复补丁,建议用户及时更新。同时,提供了一些临时缓解措施,如使用连接筛选器阻止T3/T3s协议访问和禁用IIOP协议,以降低风险。

    WebLogic Server 漏洞 远程代码执行 高危漏洞 Oracle 安全更新 漏洞修复与缓解措施 网络安全应急响应 系统加固


    0x6 以新冠疫苗接种通知为诱饵的Cobalt Strike木马分析

    安恒信息CERT 2021-07-21T14:11:12

    Example Image


    本文分析了名为‘接种新冠疫苗-紧急通知’的恶意软件样本,该样本利用新冠疫苗接种通知为诱饵,使用Cobalt Strike木马进行攻击。样本通过申请内存解压硬编码的shellcode,并通过Windows枚举窗口API回调函数执行shellcode。执行后的shellcode会初始化本地网络API相关动态链接库,并通过HTTP请求回连服务器的7999端口,使Cobalt Strike肉鸡上线。文章还提供了针对CS生成的64位shellcode的YARA规则,并对样本的C2通信进行了分析。最后,文章提出了针对该恶意软件的防护建议,包括拦截C2通信、避免下载不明来历软件、使用文件威胁分析平台检测文件、定期查杀病毒和备份数据等。

    恶意软件分析 红队渗透工具 木马攻击 网络攻击技术 YARA规则 安全防护建议


    0x7 如何利用DNSlog进行更高效率的无回显渗透

    蚁景网络安全 2021-07-19T17:30:00

    Example Image



    0x8 CTFHub RCE(命令执行、文件包含) WriteUP

    仙网攻城狮 2021-07-19T12:24:15 © 太白

    Example Image


    点击“仙网攻城狮”关注我们,回复任意字可以获取到最全视频教程!!!

    本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。