2024年 第29周 微信公众号精选安全技术文章总览
洞见网安 2024-7-22
0x1 Windows Defender特点以及常见的Bypass技巧
霓虹预警 2024-07-21T22:01:29 © r0leG3n7
本文详细介绍了Windows Defender(WD)这款内置杀毒软件的组成、特点以及一些常见的绕过技巧。文章首先概述了WD作为Windows系统内置杀软的优势,包括高兼容性、低误报率和高效资源利用。接着,文章深入分析了WD的核心组件,如SmartScreen、MOTW、ASR规则、AppLocker、MpCmdRun和本地沙箱,并介绍了它们的功能和绕过方法。此外,文章还提到了如何通过排除项、摘除WD令牌特权、安装假杀软、修改注册表和关闭实时保护等手段来绕过WD。最后,文章总结了WD的检测点,并强调了“白加黑”策略在免杀对抗中的重要性。
Windows Defender 网络安全 杀毒软件 安全漏洞 恶意软件检测 操作系统安全 技术研究 免杀技术
0x2 俄罗斯政府遭受最新APT组织CloudSorcerer(云巫师)攻击
SecLink安全空间 2024-07-20T18:40:16 Michael
2024年5月,网络安全研究人员发现了一种针对俄罗斯政府实体的高级持续性威胁(APT)——CloudSorcerer。这是一种复杂的网络间谍工具,利用Microsoft Graph、Yandex Cloud和Dropbox等云服务进行隐身监控和数据收集。CloudSorcerer利用GitHub作为初始C2服务器,并通过API访问云资源。恶意软件由攻击者手动执行,根据运行的进程激活不同的功能,包括后门模块和数据收集模块。后门模块收集系统信息,并通过命名管道与C2模块通信。C2模块通过GitHub页面获取硬编码的令牌和指令,与云服务进行交互。此外,恶意软件还尝试从my.mail.ru获取数据。CloudSorcerer的发现揭示了其与2023年报道的CloudWizard APT的相似之处,但恶意软件代码完全不同。
APT攻击 云安全 恶意软件分析 命令与控制(C2) 数据收集 进程注入 Windows API滥用 加密和编码 云服务滥用 威胁情报
0x3 21033_ctfshow_misc入门_misc33 writeup
长弓三皮 2024-07-19T16:55:48 ©
[随波逐流]CTF编码工具:一站式编码解码解决方案,您的全能编码解码助手。
0x4 21032_ctfshow_misc入门_misc32 writeup
长弓三皮 2024-07-19T16:55:48 ©
[随波逐流]CTF编码工具:一站式编码解码解决方案,您的全能编码解码助手。
0x5 Cisco Smart Software Manager On-Prem漏洞-CVE-2024-20419
观初科技 2024-07-19T15:43:18 小初团队-Reed
思科智能软件管理器On-Prem(Cisco SSM On-Prem)存在安全漏洞,漏洞源于密码更改过程的实施不当,可能导致未经身份验证的远程攻击者更改任何用户的密码,包括管理员用户。攻击者通过发送特制的HTTP请求可利用此漏洞,成功利用后可以以受影响用户的权限访问Web UI或API,对设备进行未经授权的管理控制。思科已发布安全公告,指出该漏洞可能允许攻击者以受感染用户的权限访问系统,尽管目前没有证据表明实际攻击发生,但所有受影响的系统都存在潜在风险,建议尽快升级至官方推荐的固件版本以修复漏洞。
网络设备漏洞 身份验证漏洞 远程攻击 权限提升 思科产品安全 软件更新
0x6 【风险通告】JumpServer 存在多个高危漏洞风险提示
安恒信息CERT 2024-07-18T17:42:59
近日,安恒信息CERT监测发现JumpServer存在多个高危漏洞,包括CVE-2024-40628和CVE-2024-40629。CVE-2024-40628漏洞允许攻击者通过ansible playbook读取celery容器中的任意文件,可能导致敏感信息泄露;CVE-2024-40629漏洞则允许攻击者利用Ansible playbook写入任意文件,以root身份运行并具有数据库访问权限。这两个漏洞均被评定为高危,CVSS评分均为8.8。JumpServer产品广泛应用于多个行业,漏洞危害性极高。官方已发布修复方案,建议用户尽快升级至安全版本JumpServer>= v3.10.12或JumpServer>= v4.0.0,或临时关闭作业中心功能以缓解风险。
JumpServer 漏洞 文件读取漏洞 远程代码执行漏洞 敏感信息泄露 高危漏洞 安全修复 漏洞公告 网络安全
0x7 浅谈Apache Commons Text RCE(CVE-2022-42889)
蚁景网络安全 2024-07-18T16:30:42
Apache Commons Text 是一个处理字符串和文本块的开源项目,其受影响版本存在远程代码执行漏洞。该漏洞源于默认使用的 Lookup 实例集包括可能导致任意代码执行或与远程服务器信息交换的插值器Interpolator,如script、dns、url等。攻击者可利用该漏洞进行远程代码执行,甚至接管服务所在服务器。影响版本为1.5.0至1.10.0,利用条件是使用了StringSubstitutor.createInterpolator.replace()方式去解析用户输入的内容。漏洞原理涉及StringSubstitutor、StringSubstitutor.Result、InterpolatorStringLookup等类,通过解析${}中间的内容并调用ScriptEngine#eval执行代码,实现RCE。漏洞复现示例展示了如何使用Script插值器执行远程代码。此外,文章还探讨了其他利用方式,如FunctionStringLookup获取系统环境变量、JavaPlatformStringLookup读取系统信息、PropertiesStringLookup读取properties配置文件信息、ResourceBundleStringLookup获取配置项、FileStringLookup读取文件内容、XmlStringLookup实现XXE效果、UrlStringLookup进行任意文件读取和SSRF、ScriptStringLookup调用js引擎、DnsStringLookup发起dns请求等。最新版本默认情况下已不支持UrlStringLookup、ScriptStringLookup、DnsStringLookup,但可主动调用,需额外关注。修复方式是在创建lookup时排除存在风险的lookup,如ScriptStringLookup、DnsStringLookup等。
远程代码执行 (RCE) Web 安全 Java 安全 字符串处理 配置错误 信息泄露 服务器端请求伪造 (SSRF) 任意文件读取 DNS 查询 漏洞利用 Apache Commons Text 版本依赖
0x8 21026_ctfshow_misc入门_misc26 writeup
长弓三皮 2024-07-18T16:27:26 ©
[随波逐流]CTF编码工具:一站式编码解码解决方案,您的全能编码解码助手。
0x9 21025_ctfshow_misc入门_misc25 writeup
长弓三皮 2024-07-18T16:27:26 ©
[随波逐流]CTF编码工具:一站式编码解码解决方案,您的全能编码解码助手。
0xa 21027_ctfshow_misc入门_misc27 writeup
长弓三皮 2024-07-18T16:27:26 ©
[随波逐流]CTF编码工具:一站式编码解码解决方案,您的全能编码解码助手。
0xb 【0day漏洞预警】-赛蓝企业管理系统前台任意文件上传
Km说安全 2024-07-18T16:10:07 Km说安全
免责声明文章所涉及内容仅供安全研究与教学所用,任何非授权传播、利用本文所提供的信息而造成的任何直接或者间接的后
0xc CyberSploit:1靶机
不懂知识的小白 2024-07-18T15:56:37 © 不懂知识的小白
本文详细介绍了如何利用CyberSploit:1靶机进行网络安全学习。首先,通过Nmap扫描发现80和22端口,并访问80端口查看页面源码。接着,通过分析robots.txt文件发现base64加密的密文,解密后获取第一个flag。进一步分析发现SSH登录信息,使用默认密码成功登录。在系统中找到flag2的加密信息,解密后获得第二个flag。通过CyberChef工具查看服务版本,并使用linpeas.sh脚本进行漏洞扫描,发现内核漏洞。根据漏洞信息,上传并编译脚本成功提权,最终获得第三个flag。整个过程中,作者详细描述了每个步骤和所使用的工具,为网络安全学习者提供了宝贵的实践经验。
靶场安全 漏洞挖掘 密码学 脚本攻击 权限提升 SSH安全 服务版本检测 漏洞利用 Linux安全
0xd ServiceNowUI Jelly模板注入漏洞(CVE-2024-4879)
CH1N安全 2024-07-18T10:03:14 CH1N
Bricks Builder是一款用于WordPress的开发主题,提供直观的拖放界面,用于设计和构建WordPress网站。WordPress配置安装的Brick Builder主题在低于\x26lt;= 1.9.6版本中存在远程代码执行漏洞。
0xe windows10仿真及绕密
金星路406取证人 2024-07-18T06:01:06 ©
本文详细介绍了Windows 10仿真及绕过密码的方法。作者推荐使用Imager3.3版本进行Windows 10仿真,并提供了详细的仿真步骤,包括选择UEFI引导磁盘、使用管理员模式启动虚拟机工具、选择物理磁盘等。文章还介绍了两种密码绕过方式:一是使用猕猴桃+hashcat爆破SAM文件获取密码;二是利用Windows粘滞键功能,通过替换sethc应用程序为cmd来实现提权。最后,文章提醒了仿真过程中可能遇到的问题及解决方法,并指出手动仿真存在一定风险。
系统仿真 密码绕过 取证分析 安全工具 权限提升 系统漏洞利用
0xf PostMessage:分析JS实现XSS
玲珑安全 2024-07-17T18:03:26 玲珑安全官方
PostMessage是一个用于在网页间安全地发送消息的浏览器 API。它允许不同的窗口(例如,来自同一域名下的不同页面或者不同域名下的跨域页面)进行通信,而无需通过服务器。
0x10 【App渗透】BurpSuite插件-Brida 2024最新自动加解密Custom plugins演示
Eureka安全团队 2024-07-16T17:25:54 © zangcc
本文详细介绍了如何使用BurpSuite插件Brida进行App渗透测试,特别是自动加解密功能。文章首先介绍了Brida的安装和配置,包括Brida js-hook脚本的简单配置和调试。接着,作者展示了如何开发一个简单的测试App,并使用Python编写了服务端代码。文章重点讲解了如何在BurpSuite中设置代理,并使用JEB工具反编译apk文件,寻找加密和解密函数。随后,作者详细介绍了如何编写Brida的hook脚本,包括如何使用Frida API进行加密和解密操作。最后,文章展示了如何通过Brida的Custom plugins功能实现自动加解密,并通过实际操作演示了如何使用明文字典进行密码破解。此外,文章还推荐了一本关于二进制安全基础的书籍,并提供了抽奖送书活动信息。
App渗透测试 移动应用安全 逆向工程 加密解密 BurpSuite插件 Frida框架 网络安全工具
0x11 一次CTF比赛记录-杂项
不懂知识的小白 2024-07-16T16:40:45 © 不懂知识的小白
本文记录了一次网络安全CTF比赛中的杂项题目解题过程。文章详细描述了多个题目的解题步骤,包括数字谜题、代码补全、信息拼接、二维码识别、图片处理、文件属性分析等。其中,数字谜题通过解析一甲子的数字和对应表得出密文;代码补全题通过补全核心价值观文字后的代码得到flag;信息拼接题通过文本格式化拼接得到密文;二维码识别题通过扫描二维码获取flag;图片处理题通过修改图片尺寸和属性得到flag;文件属性分析题通过查看文件属性和分离文件内容得到flag。文章最后附有作者博客链接,供读者进一步学习。
0x12 Arsenal-kit免杀套件编译与测试
蚁景网络安全 2024-07-16T16:30:34
本文详细介绍了如何使用CobaltStrike官方的Arsenal Kit免杀套件来替代原生Artifact Kit,以提高在主流杀软中的免杀效果。文章首先介绍了Arsenal Kit的组成和功能,包括其支持的CobaltStrike版本和插件。接着,作者指导读者如何在Kali Linux环境下编译Arsenal Kit,包括配置文件、编译脚本以及如何选择不同的绕过技术和内存分配方式。文章还提供了修改资源文件以添加版本和图标信息的步骤。最后,作者通过测试不同配置的免杀效果,推荐了HeapAlloc + mailslot组合作为最佳选择,并指出该套件已集成到PostExpKit插件中,方便下载使用。
网络安全工具 免杀技术 恶意软件分析 漏洞利用 Windows系统安全 源码分析 编译技术
0x13 【漏洞复现】nacos_sqli_RCE
Cloud Security lab 2024-07-16T15:37:59 ©
文章介绍了一个在Github上发现的nacos SQL注入漏洞复现过程。通过下载相关py文件,利用nacos-docker搭建环境,可以本地复现漏洞。漏洞利用涉及批量POST请求removal接口和GET请求derby接口,通过sql注入执行命令。文章分析了漏洞的成因,指出了nacos的configOpsController.java文件中importDerby方法未严格校验导致恶意文件上传,以及derbyOps方法未过滤用户输入导致SQL注入。漏洞利用需要满足特定条件,如nacos映射到公网、使用Derby数据库、存在默认jwt或身份绕过等。作者认为虽然漏洞利用在理论上可行,但在实际攻防场景中可能难以遇到,因为生产环境通常不会将nacos暴露在公网,且多使用MySQL数据库。最后,作者预测nacos可能还存在其他未被发现的漏洞。
漏洞复现 nacos SQL注入 远程代码执行 权限绕过 安全漏洞 docker容器安全
0x14 (0day)Nacos RCE复现及分析
CH1N安全 2024-07-16T10:44:06 © CH1N
nacos rce复现及分析
0x15 通达OA最新工具
CH1N安全 2024-07-16T10:44:06 CH1N
通达OA42个漏洞利用工具
0x16 OSCP靶场练习从零到一之BSIDES VANCOUVER: 2018
雪莲安全 2024-07-16T09:35:19 © 東雪蓮
本文记录了作者在名为BSIDES VANCOUVER: 2018的VulnHub靶场中的渗透测试过程。首先通过Nmap进行信息收集,发现目标使用WordPress并找到了版本号及两个用户名john和admin。接着使用WPScan工具扫描并结合密码字典对john用户进行了成功的登录。登录后,作者创建了一个PHP反弹Shell脚本,用于远程控制目标机器。在提权阶段,作者遇到了一些挑战,但在WordPress上发现了可以匿名连接的FTP账号,并通过爆破得到了anne/princess这对凭证,最终利用sudo命令获得了root权限并拿到了flag。整个过程中,作者强调了信息收集的重要性以及密码爆破的有效性。
渗透测试 信息收集 密码爆破 Web应用安全 提权 靶场练习
0x17 最新Nacos RCE 0day 漏洞复现(详细漏洞复现过程)
天汉Sec 2024-07-16T09:20:08 D.K
本文详细介绍了Nacos最新RCE 0day漏洞的复现过程。Nacos是阿里巴巴推出的开源项目,用于动态服务发现、配置管理和服务管理。文章首先指导读者如何通过Docker或手动部署Nacos环境,接着提供了漏洞利用的具体步骤,包括安装依赖、配置和执行POC。读者需要修改service.py和exploit.py中的参数,运行后可远程执行命令。文章强调,技术仅供学习使用,非法使用后果自负。
服务发现漏洞 远程代码执行 环境搭建 漏洞复现 Python脚本利用 GitHub POC
0x18 通过修改 shadow 的方式实现 Linux 绕过密码仿真
金星路406取证人 2024-07-16T07:00:22 © forensics-master
本文介绍了一种在Linux系统中绕过密码验证的方法,即通过修改shadow文件的内容来实现。文章详细说明了使用FTK Imager、Ext4Fsd和VMWare等工具进行磁盘镜像挂载和文件编辑的步骤。首先,介绍了Ext4Fsd工具的安装和功能,该工具允许Windows系统支持ext2/3/4文件系统,以便挂载磁盘镜像。接着,使用FTK Imager挂载磁盘镜像,并确保在读写模式下进行操作。然后,文章指导读者如何编辑shadow文件,将已知的密码对应的哈希值替换到文件中,从而绕过密码验证。最后,文章提供了一个手工仿真的链接,供读者进一步学习和实践。
Linux Security Password Hacking Forensics File System Manipulation Security Tutorial Ext4 File System
0x19 NACOS RCE 0day细节
CH1N安全 2024-07-15T20:57:46 CH1N
海康威视漏洞利用工具
0x1a hvv在即,Nacos爆出0day RCE!(已验证)(附漏洞利用工具)
天翁安全 2024-07-15T19:30:50 © a1batr0ss
本文报道了一起关于Nacos开源分布式服务发现和配置管理平台的严重安全漏洞。该漏洞被标记为0day RCE(远程代码执行),影响版本包括nacos2.3.2和nacos2.4.0。文章中提供了详细的漏洞复现步骤,包括下载和安装受影响的Nacos版本,以及如何使用一个Python POC(漏洞利用代码)来进行攻击。文章强调了免责声明,指出提供的信息仅供网络安全学习参考,并警告不要将技术用于非法测试。此外,文章还提供了一个漏洞利用工具的下载链接,以及Nacos环境安装包的获取方式。
漏洞披露 开源软件安全 服务端漏洞 代码执行漏洞 漏洞利用工具 网络安全学习 动态DNS服务 微服务架构
0x1b 【已复现】泛微 E-COLOGY存在SQL注入漏洞
安恒信息CERT 2024-07-15T18:18:13
本文报道了泛微E-COLOGY企业协同管理软件存在的SQL注入漏洞。该漏洞评级为1级,CVSS3.1评分为9.8,属于严重级别。漏洞编号尚未分配。攻击者可以利用该漏洞远程未授权获取敏感信息,并可能进一步获取目标系统权限。泛微E-COLOGY软件广泛用于中大型组织,漏洞危害性高。受影响的版本为低于10.64.1的版本,而安全版本为10.64.1及以上。官方已提供修复方案,并建议用户尽快自查和更新。该漏洞影响了多个产品,包括AiLPHA大数据平台、APT攻击预警平台、明鉴漏洞扫描系统和玄武盾等。受影响的用户可以通过400-6059-110联系技术支持获取帮助。
SQL注入漏洞 企业协同管理软件漏洞 高危漏洞 远程攻击 数据泄露风险 权限提升风险 软件补丁 网络安全事件
0x1c 【0day漏洞】Nacos 最新RCE-0day 漏洞公开并复现
Z0安全 2024-07-15T18:16:30 ©
Nacos最新0day,成功复现!!
0x1d java 反序列化入门CommonsCollections1 analyze
p1的安全小屋 2024-07-15T17:45:00
本文详细分析了 CommonsCollections1 漏洞的利用链,涵盖了 TransformMap 和 LazyMap 两个版本。TransformMap 版本通过 InvokerTransformer 类触发 RCE,利用链涉及 checkSetValue 方法、TransformedMap 构造方法以及 Map 的 setValue 方法。LazyMap 版本则通过 LazyMap 的 get 方法触发 RCE,利用链涉及 AnnotationInvocationHandler 的 invoke 方法和 readObject 方法。文章还讨论了如何绕过 readObject 方法的两个 if 条件,以及如何结合 ConstantTransformer 和 ChainedTransformer 构造最终的利用链。最后,文章提供了详细的代码示例和思维导图,帮助读者更好地理解 CommonsCollections1 漏洞的利用过程。
Java反序列化 CommonsCollections RCE InvokerTransformer TransformedMap LazyMap AnnotationInvocationHandler 远程代码执行 (RCE) 链式利用 Java序列化
0x1e Ebean框架常见SQL注入场景
蚁景网络安全 2024-07-15T16:27:34
本文详细介绍了Ebean ORM框架在处理SQL注入风险时的常见场景和应对策略。文章首先概述了Ebean框架的基本使用方法和参数绑定方式,包括实体类继承、查询执行和Q实体增强类等。接着,文章重点分析了Ebean框架在处理OrderBy排序、执行任意SQL、函数和存储过程、执行自定义SQL以及动态列名查询等场景下可能出现的SQL注入风险,并给出了相应的防范措施,如使用预编译处理、白名单验证和间接引用等。最后,文章提醒开发者在使用Ebean框架时应注意安全加固,并提供了相关参考资料,以供读者进一步学习。
0x1f 内网安全工具揭秘(二):Windows凭证获取之Mimikatz
慧安天下 2024-07-15T12:05:40 © 爱吃东坡肘子
本文详细介绍了Windows平台下常用的凭据获取工具mimikatz及其使用方法。mimikatz是一款由法国开发者Gentil Kiwi编写的工具,它能够从LSASS进程内存中提取密码、密钥、PIN码、哈希和票证等信息。文章首先介绍了mimikatz的编译技巧,包括如何将警告视为错误改为否,以便成功编译。接着,文章深入探讨了mimikatz的各个模块,如process、crypto、Kerberos、sekurlsa、lsadump、privilege、Sid、Service、ts、event、token和misc等,并重点介绍了sekurlsa模块的使用,包括其从LSASS进程中提取用户凭证的功能。此外,文章还详细解释了sekurlsa模块中的具体命令及其实现原理,例如sekurlsa::msv和sekurlsa::wdigest等,以及NTLM本地登录认证过程。最后,文章提到了在 Credential Guard 启用的系统上使用mimikatz的注意事项。
凭证获取 Mimikatz LSASS Kerberos攻击 权限提升 Windows安全 源码分析 安全测试
0x20 X-Ways Forensics 入门指南(二)——使用技巧
金星路406取证人 2024-07-15T08:00:25 © forensics-master
本文是一篇关于X-Ways Forensics使用技巧的入门指南。文章首先介绍了X-Ways Forensics在网络安全领域的应用,特别是在现场勘验中的优势。接着,详细讲解了如何配置X-Ways Forensics以便携方式运行,包括设置临时文件目录、镜像目录、案件目录等。此外,文章还提供了提高处理速度的技巧,如配置磁盘快照选项、调整目录浏览及过滤设置、增加同步搜索线程等。文中还介绍了如何创建磁盘镜像,以及如何调整列宽及顺序以优化显示。最后,文章提到了X-Ways Investigator版本的使用,适合初学者快速熟悉X-Ways Forensics的主要功能。
数字取证 网络安全工具 数据恢复 现场勘验 磁盘镜像 文件分析 操作系统兼容性 用户界面设计
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
