2022年 第31周 微信公众号精选安全技术文章总览
洞见网安 2022-8-1
0x1 〖教程〗Ladon自定义密码爆破&自定义端口(SSH例子)
K8实验室 2022-08-07T22:12:13 ©
本文介绍了一种名为Ladon的网络安全工具,该工具支持自定义端口和密码爆破功能,以SSH密码爆破为例。文章首先说明了Ladon工具的功能和用法,包括如何指定端口进行扫描,以及如何使用批量的IP段和网段进行扫描。接着,文章详细介绍了Ladon的批量验证主机帐密功能,并举例说明了如何使用该功能进行密码验证。此外,文章还提到了Ladon可以调用第三方工具进行自定义密码爆破,并提供了具体的配置方法和例子。最后,文章讨论了Ladon相对于其他工具的优势,例如其支持批量操作、模块化设计以及易于使用等特点。
网络安全工具 密码爆破 端口扫描 漏洞检测 内网安全 自定义脚本 脚本开发 实战经验
0x2 什么是反向代理?Nginx反向代理如何配置?
网络技术联盟站 2022-08-07T14:02:49
nginx在日常工作中是一个不可缺少的服务,其中使用nginx做的事情最多的就是反反向代理,今天笔者带大家详
0x3 Slack 在 Bug 暴露某些用户的哈希密码后重置密码
黑猫安全 2022-08-07T10:07:26 鹏鹏同学
Slack因为一个漏洞导致大约0.5%的用户密码哈希被暴露,这个漏洞发生在用户创建或撤销工作区共享邀请链接时。虽然哈希密码本身对任何Slack客户端不可见,但为了安全起见,Slack重置了受影响用户的密码。该漏洞影响了2017年4月17日至2022年7月17日之间的用户操作,由一位独立安全研究员发现并报告。Slack没有透露其使用的哈希算法,但建议用户开启双因素身份验证,并创建唯一密码以增强账户安全。
密码泄露 密码重置 哈希加密 加盐哈希 安全漏洞 双因素认证
0x4 Fofa常用语法小总结
零威胁 2022-08-07T09:30:21 © zhiliao
0x01 前言作为一个初入行业的小菜鸡看着师傅们交的洞都很羡慕,他们的资产是如何搜集的呢?你一定听过Fofa
0x5 通过代码审计大型OA系统拿到CNVD证书
零幺sec 2022-08-06T23:18:22 © 匹夫
本文介绍了作者通过代码审计北京通达信科科技有限公司的通达OA系统,发现并利用了其中的XXE漏洞,最终获得了CNVD证书。通达OA是一款商用软件,作者通过官网下载试用版进行审计。在审计过程中,作者发现通达OA的源码文件通过Zend加密,需要使用工具解密。在日程安排功能点,作者发现了可以上传XML格式文档的漏洞。通过抓包分析,作者定位到具体的代码文件和方法,发现simplexml_load_file()函数存在解析XML外部实体的风险。由于通达OA使用的libxml版本低于2.9.1,存在XXE漏洞。作者通过搭建远程服务器和Python Web服务,利用bind XXE技术将服务器上的文件外带出来。文章最后鼓励对代码审计感兴趣的人勇于尝试,即使面对困难也不应放弃。
代码审计 XXE漏洞 OA系统安全 Web应用安全 数据泄露 安全证书
0x6 内网渗透 | CobaltStrike上线不出网的内网主机
零威胁 2022-08-06T16:34:38
CobaltStrike上线内网主机
0x7 溯源反制常用宝藏网站大全
小惜渗透 2022-08-06T11:13:51 ©
image-20220806110652186溯源反制常用宝藏网站大全最开始想写个研判思路来着,但是感觉有些
0x8 wLogger---Web日志管理工具
网络安全运维技术 2022-08-06T09:00:16
wLogger 是一款集合 日志采集,日志解析持久化存储,web流量实时监控 。三位一体的web服务流量监控应用。 三大功能模块均可独立部署启用互不干扰。
0x9 利用PHP的特性做免杀Webshell
蚁景网络安全 2022-08-05T17:30:30 © H3h3QAQ
本文深入探讨了利用PHP特性制作免杀Webshell的技术。文章首先介绍了Webshell检测技术的发展,从传统的基于字符串特征的正则检测,到如今的新技术如词法分析、污点追踪和恶意代码检测。接着,文章详细分析了传统Webshell检测机制的局限性,特别是在面对0day样本时检测效果不佳的问题。为了应对这些挑战,文章介绍了新型Webshell检测技术,包括污点追踪和词法分析,以及如何通过加密还原等技术来绕过检测。文章还提供了多个示例,展示了如何通过不同的方法绕过新型检测引擎,包括利用PHP的特性来阻断污点追踪过程。最后,文章总结了在构造Webshell时如何避免被检测,并鼓励读者深入研究PHP文档和原生类,以找到更好的绕过检测的方法。
Webshell PHP安全 免杀技术 网络安全检测 漏洞利用 代码混淆 动态分析 静态分析 安全研究
0xa Thinphp5漏洞利用
零威胁 2022-08-05T14:47:52 © zhiliao
Thinkphp5漏洞利用的学习发现。
0xb 黑客利用Atlassian Confluence Bug部署Ljl后门进行间谍活动
黑猫安全 2022-08-05T14:05:58 鹏鹏同学
一篇报道指出,威胁参与者很可能利用了过时的Atlassian Confluence服务器中的CVE-2022-26134安全漏洞,针对研究和技术服务领域的某组织部署了一种新的后门程序,即Ljl后门。此次攻击发生在一个多星期的时间内,由网络安全公司Deepwatch追踪到的威胁活动集群TAC-040实施。攻击者通过在Tomcat9父进程中执行恶意命令来实现对Atlassian Confluence目录的控制。在初步妥协后,威胁参与者执行了多个命令来枚举本地系统、网络和Active Directory环境。此外,报告推测攻击者可能还利用了Spring4Shell漏洞(CVE-2022-22965)获取对Confluence Web应用程序的初始访问权。尽管TAC-040的具体情况尚不清楚,但据信该组织可能以间谍活动为目标,不排除其出于经济动机的行为,因为发现了XMRig加密货币挖矿程序的加载器。尽管没有直接证据显示挖矿程序被执行,但与攻击者相关的门罗币地址已通过非法挖矿获得了至少652个XMR(约106,000美元)。此次事件中,估计有700MB的数据被泄露。Ljl后门具备收集文件、用户账户信息、加载任意.NET有效负载等功能。受害者采取措施使服务器脱机,以阻止攻击者在网络中横向移动,从而防止更多敏感数据泄露。
漏洞利用 后门植入 间谍活动 横向移动 信息泄露 加密货币挖矿 系统枚举 特洛伊木马
0xc 十二、Android安全之使用frida绕过安卓ssl pinning
安全进化论 2022-08-05T10:21:58
本文介绍了在Android安全测试中,如何使用Frida工具绕过SSL Pinning机制。文章首先阐述了SSL Pinning的原理及其在移动端安全测试中的应用,指出了SSL Pinning对中间人攻击的防御作用。接着,文章分类讨论了客户端证书处理逻辑,并详细解释了Frida绕过SSL Pinning的原理。具体操作步骤包括:在安卓手机上安装Frida服务端,准备Burpsuite证书,编写和注入Frida脚本,以及配置代理进行抓包。文章还提到了Frida绕过SSL Pinning的局限性,例如无法绕过所有APP的SSL Pinning机制,以及对于Socket通信的包截取方法的不足。最后,文章对Frida绕过SSL Pinning的适用性和局限性进行了总结。
Android 安全 中间人攻击 SSL Pinning Frida 漏洞利用 证书管理 移动端安全测试 网络安全工具
0xd Google Android拒绝服务漏洞(CNVD-2022-54348)
安全进化论 2022-08-05T10:21:58
Google Android系统近日被披露存在一个拒绝服务漏洞(CNVD-2022-54348),公开日期为2022年7月29日。该漏洞的CVSS评分显示其危害级别为低,影响的产品是Google Android 12.0版本。漏洞描述指出,本地攻击者可以利用此漏洞进行工厂重置,导致系统拒绝服务。目前,谷歌公司已经发布了针对此漏洞的升级补丁,用户可以通过官方链接获取并应用补丁以修复漏洞。该漏洞的详细信息和补丁获取链接可以在谷歌的官方Android安全公告中找到。
Android安全漏洞 拒绝服务漏洞 CVE编号 开源软件安全 补丁更新
0xe 自动化web漏洞检测工具 Find-Vulnerability
网络安全运维技术 2022-08-05T09:53:03 ITOM
F-vuln(全称:Find-Vulnerability)是为了自己工作方便专门编写的一款自动化工具,主要适用于日常安全服务、渗透测试人员和RedTeam红队人员.
0xf Http-Sumggling-缓存漏洞
蚁景网络安全 2022-08-04T17:30:13 BlackWatch
文章主要介绍了Http Sumggling缓存漏洞,这是当HTTP请求走私与Web缓存结合时产生的一种漏洞。首先,文章解释了Web缓存的概念,即网站的静态文件在访问时被服务器缓存,以优化用户体验和减少服务器访问。然后,文章描述了Web缓存漏洞,攻击者通过修改请求包发送到后端,导致后端返回恶意数据,由于缓存机制,后续正常用户访问时会读取到恶意缓存。接着,文章介绍了HTTP请求走私,这是一种干扰网站处理HTTP请求序列的技术,由于不同服务器对RFC标准的实现不一,存在多种类型的漏洞。最后,文章以一个靶场为例,演示了如何判断是否存在走私,并找到缓存投毒的位置,利用漏洞进行攻击。文章还提到了未来漏洞的发展趋势,将不再单一,而是多种漏洞的复合。
HTTP Request Smuggling Web Cache Poisoning Cache Mechanism XSS Injection Attacks Security Research
0x10 Advantech WebAccess 远程命令执行漏洞:CVE-2017-16720复现
安帝Andisec 2022-08-04T12:00:50 © VulEye-Snail
Advantech WebAccess是中国台湾研华公司的一套HMI/SCADA软件,存在远程命令执行漏洞(CVE-2017-16720),影响8.3.2及之前版本。该漏洞由于webvrpcs进程中0x2711 IOCTL的实现不当,未对用户提供的路径进行验证,允许攻击者通过RPC协议在TCP端口4592上以管理员权限执行远程命令。复现实验在Windows Server 2008 R2和Windows 7 64位系统上进行,使用Python 2.7执行POC脚本可成功触发漏洞,导致计算器程序被执行。漏洞分析显示,drawsrv.dll中的sub_100017B0函数调用CreateProcessA()时未对参数进行安全检查。修复建议是升级到WebAccess 8.3.3或更高版本。北京安帝科技有限公司提供工业网络安全解决方案,服务于多个关键基础设施行业。
远程代码执行 目录遍历 身份验证绕过 SCADA系统安全 工业控制系统安全 漏洞复现 漏洞分析 安全修复建议
0x11 VirusTotal 揭示了恶意软件攻击中大多数模拟软件
黑猫安全 2022-08-04T10:00:40 鹏鹏同学
根据VirusTotal的分析报告,威胁行为者正在利用模仿合法应用程序如Skype、Adobe Reader和VLC Player等手段来实施恶意软件攻击。这些恶意软件通常带有合法程序的图标,以增强欺骗性。VirusTotal指出,除了上述应用外,7-Zip、TeamViewer、CCleaner、Microsoft Edge、Steam、Zoom和WhatsApp也是常见的被模仿对象。此外,恶意软件通过利用真实域名(如discord[.]com、squarespace[.]com、amazonaws[.]com、mediafire[.]com以及qq[.]com)来规避基于IP的防御机制。报告中提到,自2021年以来,发现的超过一百万个恶意样本中有87%在首次上传时拥有合法签名。VirusTotal还检测到伪装成合法软件的1,816个样本,它们通过捆绑在如Google Chrome、Malwarebytes、Zoom、Brave、Firefox和Proton VPN等软件的安装程序中传播。这种情况可能导致供应链攻击,当攻击者侵入合法软件的更新服务器或将恶意代码注入源码时。另一种方法是在恶意软件中嵌入合法安装程序作为可移植的可执行资源,以制造正常安装的假象。
社会工程攻击 恶意软件 域名滥用 供应链攻击 证书滥用 通信平台滥用 软件捆绑 可执行资源合并
0x12 Google Android信息泄露漏洞(CNVD-2022-54347)
安全进化论 2022-08-04T09:43:59
本文介绍了Google Android操作系统中的一个信息泄露漏洞(CNVD-2022-54347),该漏洞的公开日期为2022年7月29日,被评定为低危害级别。漏洞类型为通用型漏洞,攻击者可能利用该漏洞获取敏感信息。受影响的产品是Google Android 12.0版本。目前,谷歌公司已经发布了升级补丁来修复该漏洞,并提供了补丁获取链接。该漏洞的CVE编号为CVE-2021-1015,属于NVD数据库中的一个漏洞。由于目前没有提供补丁验证信息,用户应尽快安装补丁以保护系统安全。该漏洞的报送时间为2022年7月19日,收录和更新时间均为2022年7月29日。
信息泄露 Android安全漏洞 CVE编号 补丁修复 开源操作系统 漏洞等级
0x13 【2022护网情报更新】护网漏洞更新,含POC
网络安全透视镜 2022-08-04T00:41:52 ©
本文分析了多个网络安全漏洞,包括Apache Spark UI命令注入漏洞(CVE-2022-33891)、Fastjson代码执行漏洞(CVE-2022-25845)、H3C CVM前台任意文件上传漏洞、H3C企业路由器任意用户登录/命令执行漏洞、Roxy-WI未经身份验证的远程代码执行漏洞、TRS-MAS测试文件testCommandExecutor.jsp远程命令执行漏洞、TRS-WAS远程命令执行漏洞、WebLogic反序列化远程命令执行路径探测漏洞、Zabbix SAML SSO登录绕过漏洞(CVE-2022-23131)、帆软报表反序列化漏洞、泛微OA-0day管理员任意登录漏洞、海康威视综合运营管理平台RCE漏洞、用友GRP-U8财务管理软件任意文件上传漏洞、用友时空KSOA软件前台文件上传漏洞、红帆医疗云OA医用版前台SQL注入漏洞、绿盟下一代防火墙resourse.php任意文件上传漏洞。这些漏洞涉及命令注入、文件上传、反序列化、SQL注入等多种攻击类型,对系统的安全性构成了严重威胁。攻击者可以利用这些漏洞执行任意命令、获取webshell、控制服务器权限、读取敏感信息等。为了防范这些漏洞,建议及时更新系统补丁、使用防御设备、禁止对危险路径的访问等。
0x14 Wavlink WN530HG4密码泄露-POC
零威胁 2022-08-03T18:35:02 © yuema
Wavlink WN530HG4是Wavlink(睿因)开发的双频千兆无线路由器,
0x15 IPFS成为钓鱼攻击的温床
信息安全最新论文技术交流 2022-08-03T12:19:19
研究人员发现越来越多的钓鱼攻击开始使用去中心化的IPFS网络。
0x16 VMware 修复了关键身份验证绕过漏洞
黑猫安全 2022-08-03T12:10:01 鹏鹏同学
VMware 近期修复了编号为 CVE-2022-31656 的关键身份验证绕过安全漏洞,该漏洞允许未经身份验证的攻击者获取管理员权限,影响 Workspace ONE Access、Identity Manager 和 vRealize Automation 等多个产品。此漏洞的 CVSS v3 基本得分高达 9.8,表明其严重性。VMware 还解决了其他多个安全漏洞,包括 URL 注入、JDBC 注入、SQL 注入、本地权限提升、路径遍历和跨站点脚本(XSS)等,这些漏洞同样影响 VMware 的多个关键产品。VMware 强调了修补或缓解这些问题的紧迫性,并感谢 VNG Security 的 PetrusViet 报告了 CVE-2022-31656 漏洞。
身份验证绕过 管理员权限获取 严重漏洞 远程代码执行 SQL注入 权限提升 路径遍历 跨站点脚本(XSS) URL注入
0x17 linux内存分配之初识slab(二)
deepcoder 2022-08-03T09:30:00 ©
slab分配内存原理,先分析liteos中的少量代码,帮助理解linux。
0x18 【Android 逆向】Linux 文件权限
安全进化论 2022-08-03T08:32:17
本文深入探讨了Android系统中Linux文件权限的相关知识。文章首先介绍了Linux文件权限的基本概念,包括文件的读写执行权限以及特殊权限的说明。通过ls -ll命令展示了Linux文件系统中目录和文件的权限设置,并对权限标识进行了详细解释。接着,文章分别阐述了系统权限、用户权限以及匿名用户权限的概念,并通过具体实例说明了这些权限在实际文件系统中的应用。最后,文章还特别指出了匿名用户权限对安全性的影响,并说明了为何在不获取root权限的情况下,用户无法访问某些目录的原因。
操作系统安全 文件权限管理 Android安全 用户权限控制 安全配置与审计
0x19 Google Android信息泄露漏洞(CNVD-2022-54346)
安全进化论 2022-08-03T08:32:17
本文介绍了Google Android操作系统中的一个信息泄露漏洞(CNVD-2022-54346),该漏洞公开日期为2022年7月29日,被评定为低危害级别。漏洞存在于Google Android 12.0版本中,攻击者可能利用该漏洞获取敏感信息。漏洞的CVE编号为CVE-2021-1012,属于通用型漏洞。谷歌公司已经发布了补丁来修复这个漏洞,补丁可以通过官方链接获取。目前,尚未提供补丁的验证信息。该漏洞的报送时间为2022年7月19日,收录和更新时间均为2022年7月29日。
Android安全漏洞 信息泄露 CVE编号 补丁更新 开源软件安全
0x1a RISC-V Linux 进程创建与执行流程代码分析
泰晓科技 2022-08-02T20:09:45 ©
本文详细分析了Linux内核在RISC-V架构下进程创建的流程,重点关注了fork()系统调用的实现及其内部调用链。文章首先介绍了fork()系统调用如何通过调用kernel_clone()函数来创建新进程,并说明了kernel_clone()函数的主要步骤,包括调用copy_process()函数创建进程描述符、获取新进程的PID、唤醒子进程等。接着,文章深入剖析了copy_process()函数的实现细节,包括dup_task_struct()函数的进程描述符复制、sched_fork()函数的调度相关字段初始化、以及copy_mm()和copy_thread()函数的内存描述符和线程上下文复制。特别地,文章详细解释了RISC-V架构下内核栈和线程上下文的处理方式,以及如何通过ret_from_fork函数实现子进程的启动。最后,文章讨论了wake_up_new_task()函数如何将新进程加入运行队列等待调度,并解释了新进程被调度后的执行流程。通过本文的分析,读者可以全面了解Linux内核在RISC-V架构下进程创建的详细过程及其与处理器架构相关的特性。
操作系统安全 内核安全 RISC-V架构 进程管理 内存安全 系统调用
0x1b CS免杀姿势
蚁景网络安全 2022-08-02T17:35:18 © Ggoodstudy
论文摘要是研究内容的精要概括,包括研究背景、目的、方法、结果和结论。它具有独立性、内容性和新颖性,能够帮助读者快速了解文章的核心观点和发现。撰写时需注意简洁明了,避免冗繁拖沓,并突出研究亮点和价值。摘要应具备与全文同等量的主要信息,使读者无需阅读全文即可获得必要信息。
0x1c 攻防演练 | 隐蔽隧道怎么防?
北京观成科技 2022-08-02T09:48:03 © 观成科技
文章探讨了隐蔽隧道攻击及其防范措施。隐蔽隧道攻击是攻击者建立的隐藏通信渠道,用以维持权限并进行横向移动,具有使用多种协议、数据加密方式多变等特点,使得防御变得困难。隐蔽隧道可以分为网络层(如ICMP隧道)、传输层(如TCP/UDP隧道)和应用层(如DNS/HTTP隧道),每种类型的隧道都有其特点和检测难度。攻击者利用各种工具建立隐蔽隧道,包括ICMP隐蔽隧道工具(如icmpTunnel)、TCP/UDP隐蔽隧道工具(如frp)以及HTTP和DNS隐蔽隧道工具等。为了有效防范隐蔽隧道,应采取体系化的防御策略:减少不必要的协议暴露面,针对关键协议实施特定检测方法,例如通过统计分析技术检测ICMP隧道,基于信息熵等指标检测TCP/UDP隧道,从异常记录和上下行数据分析DNS隧道,结合规则与机器学习识别HTTP隧道。此外,还需对业务流量进行排查,确认是否为正常业务流量。观成瞰云提供了一套全面支持隐蔽隧道检测的加密威胁智能检测系统,该系统融合人工智能与安全检测技术,能够有效检出恶意加密流量,解决了市场上的技术空白。
网络安全攻防 隐蔽隧道攻击 网络安全检测 网络安全工具 网络安全协议 网络安全防护
0x1d Nginx \"0day\" 远程命令执行漏洞影响范围可能比你想得更大
网络安全透视镜 2022-08-02T06:00:11 ©
本文深入分析了Nginx“0day”远程命令执行漏洞的影响范围。文章首先介绍了LDAP(轻量级目录访问协议)的作用和其在身份验证中的应用,随后讨论了Nginx与LDAP的关系,以及如何通过Nginx配置LDAP实现登录认证。文章重点分析了Nginx 0day漏洞的可能影响范围,指出该漏洞可能比预想的更广,并可能与全国多个重要系统信息泄露有关。文章还探讨了该漏洞可能被国外黑客组织利用的可能性,并强调了在当前国际环境下,及时了解和应对这类网络安全威胁的重要性。
Web安全 漏洞分析 身份认证 系统架构 漏洞利用 信息泄露 国际安全
0x1e FastJson | CVE-2017-18349复现
零威胁 2022-08-01T20:13:33 © mlxwl
本文介绍了Fastjson CVE-2017-18349漏洞的复现过程。Fastjson是一个Java库,用于Java对象与JSON格式之间的转换。文章首先指出了漏洞的影响范围,即fastjson版本小于等于1.2.24。接着,详细描述了环境搭建的过程,包括靶机IP地址、攻击机IP地址以及所需访问的端口。文章还提到了攻击机需要具备javac环境和maven服务。然后,作者提供了漏洞复现的具体步骤,包括编译exp代码、开启http服务、编译marshalsec为jar包以及开启nc监听。最后,通过修改POST请求参数并添加特定的payload,成功实现了远程代码执行,即getshell。
0x1f Google Android信息泄露漏洞(CNVD-2022-54345)
安全进化论 2022-08-01T11:14:35
本文介绍了Google Android操作系统中的一个信息泄露漏洞(CNVD-2022-54345),该漏洞的公开日期为2022年7月29日,被评定为低级别危害。该漏洞存在于Google Android系统中,攻击者可能利用此漏洞获取敏感信息。漏洞的严重性评估为低(AV:L/AC:L/Au:N/C:P/I:N/A:N),影响的产品是Google Android。目前,谷歌公司已经发布了升级补丁来修复这个漏洞,用户应关注厂商主页获取详细信息。漏洞的CVE编号为CVE-2021-1046,具体的技术细节和解决方案可以通过官方链接获取。目前尚未提供补丁验证信息。该漏洞的报送、收录和更新时间均为2022年7月。
Android 安全漏洞 信息泄露 CVE-2021-1046 开源软件安全 安全补丁
0x20 Google Play商店上的十几个Android应用程序被发现丢弃银行恶意软件
黑猫安全 2022-08-01T10:54:04 鹏鹏同学
近期,安全研究人员在Google Play商店中发现了一项恶意活动,涉及17个名为DawDropper的Android滴管应用程序。这些应用程序伪装成文档扫描仪、QR码阅读器、VPN服务和通话记录器等实用工具,实则通过Firebase Realtime Database动态获取恶意软件下载地址,并在GitHub上托管恶意负载。这些滴管应用程序在通过Google的安全检查后,用于下载更强大的恶意软件,如Octo、Coper、Hydra、Ermac和TeaBot。这些恶意软件能够禁用Google Play Protect,使用VNC记录屏幕,窃取银行凭证等敏感信息。此次活动中,一个名为“Unicc QR Scanner”的应用程序被特别标记为分发Coper银行木马。研究人员指出,网络犯罪分子不断寻找新方法逃避检测,导致滴管即服务(DaaS)模型的兴起。
恶意软件 银行木马 应用商店安全 云服务滥用 数据泄露 动态加载 移动安全
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
