2024年 第34周 微信公众号精选安全技术文章总览
洞见网安 2024-8-26
0x1 CVE-2024-22116|Zabbix远程代码执行漏洞(POC)
信安百科 2024-08-25T18:00:56 alicy
Zabbix是一个开源的网络监控工具,它通过Zabbix server和Zabbix agent来监控服务器和网络状态。近期发现Zabbix存在一个远程代码执行漏洞,编号为CVE-2024-22116。该漏洞允许具有受限权限的攻击者通过构造特制输入,利用Ping脚本执行任意命令或代码,从而控制服务器。受影响的版本包括Zabbix 6.4.0至6.4.15以及7.0.0alpha1至7.0.0rc2。文章还提供了漏洞的详细描述和参考链接,强调了信息安全的重要性,并提醒读者传播和利用这些信息可能带来的后果。
0x2 b2697_[bagku] [MISC]_Where is flag Plus writeup
长弓三皮 2024-08-25T14:31:16 ©
[随波逐流]CTF编码工具:一站式编码解码解决方案,您的全能编码解码助手。
0x3 改写RingQ加载器实现规避安全厂商监控免杀
无夜安全 2024-08-25T12:55:14 ©
本文是一篇关于如何修改RingQ加载器源码以实现免杀的技术学习笔记。作者强调内容仅供学习参考,禁止用于违法用途。文章首先介绍了RingQ的基本信息和使用方法,然后指出由于RingQ开源,存在被安全厂商监控的问题。接着,详细说明了修改RingQ加载器源码的步骤,包括静态免杀和动态免杀两个方面。静态免杀涉及改写源码的静态特征和添加注释,而动态免杀则关注于修改shellcode的加载方式,作者使用了堆加载的方法。文章还提供了隐藏运行时弹窗的技巧,并说明了编译时的运行库选择。最终,作者测试了修改后的加载器体积和免杀效果,证实了其有效性,并表达了对生活目标的感慨。
免杀技术 源码修改 安全研究 RingQ加载器 shellcode加载 安全规避 软件体积优化
0x4 安卓逆向常用命令
攻有道 2024-08-25T09:15:10 © Cha111Ng1
本文详细介绍了安卓逆向工程中常用的命令和工具。文章首先介绍了如何使用virtualenv创建和管理Python虚拟环境,以及如何使用adb进行远程连接和文件操作。接着,文章介绍了objection和frida等工具的使用方法,包括如何进行进程注入、内存漫游和hook操作。此外,文章还提到了frida的进阶使用和objection插件wallbreaker的介绍。接着,文章转向apktool和drozer等工具的使用,包括如何使用apktool解包和重打包apk文件,以及如何使用drozer进行本地漏洞测试。最后,文章简要介绍了安卓加固技术的发展历程,并列出了一些常见的加固库,如libchaosvmp.so和libddog.so等,为读者提供了丰富的逆向工程资源。
移动安全 安卓逆向工程 应用程序安全 网络安全工具 安全加固技术 漏洞检测与利用 内存分析
0x5 新的恶意程序被部署到电影资源中
独眼情报 2024-08-24T12:34:13
网络安全研究人员发现了一种新型植入程序,该程序通过伪装成盗版电影的ZIP档案中的Windows快捷方式(LNK)文件传播。这些LNK文件利用驱动下载技术,连接到内容分发网络(CDN)获取混淆的内存JavaScript植入程序。一旦执行,植入程序会运行PEAKLIGHT PowerShell下载程序,该程序是多阶段恶意软件执行链的一部分,用于检查特定文件路径中的ZIP存档。如果存档不存在,PEAKLIGHT将从CDN下载并保存到磁盘。此外,该恶意软件还下载合法的电影预告片作为掩饰。PEAKLIGHT能够下载多种恶意软件,如Lumma Stealer、Hijack Loader和CryptBot,它们在恶意软件即服务(SaaS)模式下进行宣传。Mandiant研究人员Aaron Lee和Praveeth D'Souza指出,PEAKLIGHT是一个基于混淆的PowerShell下载程序,其目的是在受感染的系统上部署下一阶段的恶意软件。
0x6 HTB之Lantern(root部分)
羽泪云小栈 2024-08-24T11:56:21 © 羽泪云小栈
赛季6HTB之Lantern+db文件BLOB数据查看
0x7 内网渗透利器,Cobal_Strike汉化使用指南
泷羽Sec 2024-08-24T07:45:44 ©
本文详细介绍了Cobalt Strike(CS)这一内网渗透工具的汉化使用指南。CS是一款功能强大的团队作战渗透测试工具,具有高度灵活的架构,支持客户端与服务端的多对多连接。文章首先概述了CS的基本功能和架构,然后逐步介绍了工具的基本使用方法,包括设置本地IP地址和密码、添加监听器、生成payload等。接着,文章详细讲解了如何在Windows和Linux系统上使用CS,包括如何通过HTTP服务或VMware的VMtools将文件传输到靶机。此外,文章还介绍了CS的web投递功能、上线后的操作、日志查看、插件使用、网站克隆以及视图功能。最后,文章简要提到了CS的更多高级功能和未来文章的推荐内容。
网络安全工具 渗透测试 内网渗透 C2服务器 远程控制 Windows系统 Linux系统 脚本编写 漏洞利用 日志分析 插件开发
0x8 Windows进程字符串检索工具
黑白之道 2024-08-24T07:41:09
本文介绍了一款基于Go语言开发的Windows进程字符串检索工具,由骁师傅投稿。该工具支持通过指定字符串或单个进程PID进行检索。不填写PID时,工具会遍历所有进程,并以表格形式输出pid、进程名和进程路径,结果保存至'Memory_search_result'文件。指定PID检索会打印出对应内存地址的字符部分,默认长度为50。使用场景包括追踪webshell中的攻击命令、检查mimikatz密码抓取行为等。工具可在服务器未重启的情况下,帮助安全研究者查看攻击者的历史操作记录。此外,工具可能也适用于定位内存马,但尚未测试。工具下载地址位于GitHub。文章提醒,相关技术仅供安全学习交流,禁止非法用途。
进程监控 内存检索 安全分析 恶意软件检测 应急响应 开源工具
0x9 甲方安全建设- 利用crowdsec做IPS初体验
中国白客联盟 2024-08-23T21:00:47 ©
甲方安全建设- 利用crowdsec做IPS初体验
0xa 每周高级威胁情报解读(2024.08.16~08.22)
奇安信威胁情报中心 2024-08-23T20:05:15 © 威胁情报中心
2024年8月,网络安全领域发生了多起重要事件。伊朗黑客组织TA453利用新型AnvilEcho恶意软件针对著名犹太人物进行攻击,旨在收集情报。奇安信发布了《网络安全威胁2024年中报告》,报告了APT攻击、勒索软件、互联网黑产和0day漏洞利用等威胁。BlindEagle组织针对拉丁美洲进行攻击,使用钓鱼邮件和远程访问木马。Sidewinder组织针对巴基斯坦进行网络钓鱼,使用IntelX和DSC等RAT工具。FIN7网络犯罪集团的新基础设施被发现,可能与Stark Industries有关。微软官方安全补丁导致大规模“蓝屏事件”,Windows 0day漏洞与朝鲜Lazarus APT组织有关。Rhysida勒索家族和MoonPeak木马病毒等恶意软件活动也被揭露。同时,针对Android和iPhone用户的新的网络钓鱼方法,以及Linux特马攻击和UULoader恶意软件的威胁也被报告。F5修补了BIG-IP和NGINX Plus中的高严重性漏洞。
APT攻击 网络钓鱼 恶意软件 勒索软件 漏洞利用 漏洞补丁 钓鱼攻击 移动设备攻击 恶意代码分析 安全报告 攻击团伙情报 地域攻击 基础设施攻击 云服务攻击 数据窃取
0xb 常规密码题-武功山杯CTF密码题复现
NUX战队 2024-08-23T19:27:45 秦子轩
本文详细分析了武功山杯CTF中的常规密码题。题目涉及到维吉尼亚密码和RSA加密的解密过程。首先,通过维吉尼亚密码的加密规则,对给定的base64编码的密文进行解密,得到RSA算法中的公钥参数。接着,使用RSA算法进行解密,解密过程中涉及到素数分解、欧拉函数的计算和模逆的计算。最终,通过RSA解密得到flag。文章中包含了维吉尼亚加密的实现代码、RSA解密的过程和相关的计算步骤,为网络安全学习者提供了实际操作的参考。
密码学 加密技术 网络安全 CTF竞赛 RSA 维吉尼亚密码 基密钥扩展 素数分解
0xc 苹果IOS 配置邮箱账号(IMAP协议)
mailabc 2024-08-23T19:03:18 © 小胡子大魔王
本文详细介绍了如何在苹果iOS设备上配置电子邮件账号,特别是针对IMAP协议的配置过程。文章以mailabc.cn邮箱为例,首先强调了在配置前需要确认的账号、密码以及邮件服务器地址等信息。对于不同类型的邮箱,如免费个人邮箱和企业邮箱,文章提供了相应的配置指南。文章还介绍了如何在iOS电子邮件APP中配置邮箱账号,包括选择协议、输入服务器地址和账号密码等步骤。此外,还提供了修改邮箱账户配置的方法,包括如何进入设置、选择账户进行修改以及如何调整收件服务器和发件服务器的配置。最后,文章简要推荐了其他相关配置文章和资源。
操作系统安全 邮件安全 客户端配置安全 安全协议 网络通信安全 用户授权与认证 安全配置指导
0xd [漏洞预警]IM某信内置浏览器 1 click RCE 灭火团队已复现
安全灭火器团队 2024-08-23T18:21:53 admin
本文报道了一个关于IM某信内置浏览器的安全漏洞,该漏洞允许攻击者通过诱导用户点击恶意链接来获取敏感信息或执行代码。该漏洞影响的是某信内置浏览器的Chrome/122.0.0.0版本,存在沙箱穿越漏洞,已被评级为高危,CVSS 3.1评分为8.0。目前受影响的版本包括某信3.9.11及以下版本。官方尚未发布安全更新,建议用户不要随意点击未知链接,并关注后续的安全更新。灭火安全团队已成功复现该漏洞,并建议用户尽快自查和防护。
0xe 利用子域的System权限通往父域
蚁景网络安全 2024-08-23T17:35:22 © Jumbo
本文探讨了通过子域的System权限实现对父域权限突破的技术。实验环境包括子域187(sub.cs.org)和父域197(cs.org)。通过在子域域控制器上使用mmc.exe工具连接ADSI并配置,观察到子域配置命名上下文指向父域cs.org,表明子域可能包含父域的部分信息。尽管子域无法直接修改配置对象的ACL,SYSTEM权限的存在允许不受域内身份限制地控制对象。利用这一特性,文章展示了如何使用SYSTEM权限修改父域配置命名上下文中的对象。具体利用方法之一是通过组策略对象(GPO),即在子域创建GPO,并利用SYSTEM权限将其链接到父域。通过刷新父域的组策略,验证了子域GPO的成功应用及执行,如启动notepad.exe程序。此技术为除SidHistory外提供了一种新的从子域突破至父域的方法。
Active Directory Privilege Escalation Group Policy Subdomain Takeover Security Research
0xf 域渗透-横向移动命令总结
编码安全研究 2024-08-23T15:13:50
0x10 一款快速等保核查、资产扫描工具
编码安全研究 2024-08-23T15:13:50
本文介绍了一款网络安全领域的工具,主要用于等保核查和资产扫描。工具具备多项功能,包括主机存活探测、漏洞扫描、子域名扫描、端口扫描等。它支持多种网络协议和服务,如SSH、RDP、FTP、MySQL等,并能识别300余种WEB组件。在弱口令和未授权访问方面,支持40余种类型。工具还具备多线程、指定端口、IP扫描、排除特定端口或主机、探测主机存活、打乱主机顺序等功能。对于WEB扫描,支持XSS扫描、漏洞扫描、目录泄露等。此外,工具还支持自动化测评,适用于多种操作系统。使用方式多样,可以通过命令行参数进行详细配置,以满足不同扫描需求。项目开源,可在GitHub上找到相关代码。
网络安全 漏洞扫描 主机安全 弱口令检测 Web安全 自动化测评
0x11 信息收集利器|一款功能强大的子域收集工具
魔都安全札记 2024-08-23T14:58:45
本文介绍了一款名为OneForAll的强大子域收集工具,适用于网络安全信息收集阶段。该工具综合了多种信息收集方法,包括证书透明度、常规检查、网络爬虫档案、DNS数据集、DNS查询、威胁情报平台数据和搜索引擎等。OneForAll具有以下特点:强大的收集能力、友好易用的界面、定期维护、高效的多线程和异步协程技术。工具支持子域爆破、验证、爬取、置换和接管等功能,并能自动去除无效子域,筛选有效子域,拓展子域信息,并支持多种导出格式。文章还提供了使用演示和结果说明,并强调了工具的免责声明和使用注意事项。
网络安全工具 子域收集 渗透测试 信息收集 DNS安全 威胁情报 多线程/多进程 开源项目
0x12 [poc] hw情报-泛微 e-cology v10 远程代码执行漏洞
魔都安全札记 2024-08-23T14:58:45 皮仔在魔都想退休
本文介绍了一项针对泛微e-cology v10产品的远程代码执行漏洞。该漏洞允许攻击者通过特定的接口获取管理员访问令牌,并利用H2数据库的JDBC反序列化漏洞来执行远程代码。泛微公司已披露该漏洞,并提供了修复版本。文章提醒用户应尽快升级至安全补丁包10.69及以上版本以防止漏洞被利用。此外,文章还包含了如何获取漏洞利用POC的方法和免责声明,强调了在使用相关工具时需遵守法律法规并取得充分授权。
远程代码执行漏洞 JDBC反序列化漏洞 泛微e-cology 安全漏洞披露 版本更新与补丁 靶机环境搭建 法律法规遵守
0x13 【Tools】被动扫描工具 EPScan
LemonSec 2024-08-23T14:14:32
本文详细介绍了被动扫描工具EPScan的功能和使用方法。EPScan是一款能够被动收集资产并自动进行多种安全检测的工具,包括SQL注入检测、XSS检测、RCE检测和敏感信息检测。文章首先介绍了EPScan的插件化设计和自动Bypass功能,接着说明了如何安装和使用该工具,包括常用参数的命令、安装证书的必要性以及如何配置监听端口和测试插件。此外,文章还提供了EPScan的GitHub链接,方便用户下载和使用。最后,文章展示了EPScan的运行日志截图,包括加载Bypass插件、监听端口、检测参数注入等操作,以及扫描结束的信息。
0x14 渗透测试实战—教育站点(若依系统的shiro反序列化利用)
网安日记本 2024-08-23T11:51:40 © haosha
渗透测试实战—教育站点(若依系统的shiro反序列化利用)——站点已经整改,只有部分漏洞报告截图
0x15 基于SQLite数据库的指纹识别-漏洞POC管理扫描工具
TKing的安全圈 2024-08-23T09:07:06
本文介绍了一款基于SQLite数据库的指纹识别-漏洞POC管理扫描工具。该工具旨在帮助用户存储和管理网站指纹信息以及降低批量漏洞扫描POC脚本的编写和管理难度。工具支持类似nuclei poc脚本的部分功能,如base64解密、正则表达式匹配和提取json字段,并计划根据需要更新更多功能。工具的指纹数据库通过网站title、body、图标hash和header等信息识别网站框架。基本功能包括资产信息识别、开启代理检测、资产识别加漏洞扫描等。编写poc时,目前支持正则表达式、json提取、base64加密三种高级函数。文章还提到了工具的合规使用声明,强调本工具仅用于交流和学习,禁止非法使用。同时,文章还介绍了如何与作者沟通以及如何获取更多资源。
网络安全 漏洞扫描 数据库安全 Web安全 代理技术 安全测试 合规性
0x16 WPS Office两个严重漏洞曝光,已被武器化且在野利用
TKing的安全圈 2024-08-23T09:07:06
WPS Office近期曝光了两个严重漏洞(CVE-2024-7262和CVE-2024-7263),均存在于promecefpluginhost.exe组件中。CVE-2024-7262影响版本为12.2.0.13110至12.2.0.13489,已被武器化并在野外被积极利用,攻击者通过诱骗用户打开特制文档来执行任意代码。CVE-2024-7263影响版本为12.2.0.13110至12.2.0.17153,是CVE-2024-7262修复补丁的绕过漏洞。这两个漏洞的CVSS评分高达9.3,表明其严重性和易利用性。为缓解风险,用户应立即更新到12.2.0.17153或更高版本,并采取额外安全措施,如不打开未知来源文件、启用防火墙和反病毒软件,以及关注安全公告。
远程代码执行 漏洞利用 办公软件安全 CVSS评分 安全补丁 信息泄露风险 勒索软件 系统破坏 安全防护措施
0x17 泛X微24HVV相关POC/EXP
TKing的安全圈 2024-08-23T09:07:06
0x18 CVE-2024-38077:Web应用安全中的新挑战与利用解析
云梦安全 2024-08-23T09:02:13 云梦DC
本文深入分析了CVE-2024-38077漏洞,这是一个影响特定Web应用程序的高危漏洞,攻击者可以利用它执行任意代码并完全控制服务器。该漏洞因应用程序未能正确处理用户输入而产生,其严重性评级为9.8,利用难度较低,影响广泛。文章提供了一个简化的POC示例,展示如何发送恶意请求触发漏洞。为了防护,建议及时更新系统,加强输入验证和过滤,部署WAF,并定期进行安全审计和测试。
Web应用安全 代码注入漏洞 高危漏洞 漏洞利用(Exploit) 安全防护
0x19 oneshell 加密反弹shell生成器 仅使用echo和chmod命令
云梦安全 2024-08-23T09:02:13 云梦DC
本文介绍了一种名为oneshell的加密反弹shell生成器,该工具能够在没有openssl或ncat工具的情况下,仅使用echo和chmod命令来运行加密的反向shell。oneshell适用于在目标机器上实现远程代码执行后,需要提升权限的场景。它通过生成临时MTLS证书,实现双向TLS保护,确保数据传输安全。oneshell可以通过Docker容器或本地安装的方式使用,支持连接到本地或远程服务器。文章详细介绍了oneshell的安装方法、基本用法以及成功载荷的详细条件,并提供了视频演示和GitHub链接供读者参考。
Reverse Shell Encryption Command Injection Docker Security Tools Exploitation Metasploit Linux TLS ARM64
0x1a 【玄机】第三章 权限维持-linux权限维持-隐藏
momo安全 2024-08-23T09:00:43 © 蟑螂恶霸
本文主要探讨了Linux系统中的权限维持技巧。文章首先介绍了隐藏文件和目录的查找命令,以及如何通过webshell手工查杀恶意文件。接着,详细介绍了SUID提权的相关知识,包括SUID的概念、查找具有SUID权限的文件的方法,以及一些常见的具有SUID权限的文件。文章还深入探讨了/proc目录下的文件和目录及其含义,如系统启动参数、CPU信息、内存信息等。随后,文章通过一个实例分析了如何通过隐藏文件、反弹shell的IP和端口、提权命令、恶意代码工具以及执行隐藏文件等步骤来维持权限。最后,文章提供了靶场地址和获取玄机邀请码的方式,旨在帮助读者更好地理解和实践网络安全知识。
Linux安全 权限维持 Webshell查杀 恶意代码分析 系统提权 应急响应 渗透测试 红蓝对抗
0x1b BypassUAC姿势二|通过DLL劫持BypassUAC提权(带脚本和编译程序)
卫界安全-阿呆攻防 2024-08-23T08:00:20 ©
本文由aoman安全研究师傅撰写,介绍了通过DLL劫持BypassUAC提权的方法。文章首先回顾了BypassUAC的基本原理,并详细解释了DLL劫持的基本原理,即利用应用程序加载DLL时的搜索顺序,将恶意DLL放置在搜索路径中,从而执行恶意代码。接着,文章阐述了利用条件,即寻找具有autoElevate属性且存在DLL劫持缺陷的程序。文章以iscsicpl.exe为例,说明了利用过程,包括寻找目标程序、修改注册表以改变环境变量路径、以及编写和编译payload DLL。最后,文章提供了相关的工具和脚本,并强调所有行为与本公众号无关,旨在知识共享。
网络安全 UAC绕过 DLL劫持 提权 免杀技术 脚本技术 病毒分析 技术分享
0x1c 网络安全宣传周 - Windows系统的USB设备安全
TtTeam 2024-08-23T00:00:57
引言USB设备的安全问题日益突出,特别是在这些设备能够利用操作系统的漏洞进行自动化攻击的情况下。
0x1d EvilnoVNC 钓鱼工具
Khan安全团队 2024-08-23T00:00:40
本文介绍了EvilnoVNC,一款独特的网络钓鱼工具。EvilnoVNC不同于传统的网络钓鱼技术,它通过noVNC连接,使用真实浏览器绕过双因素认证(2FA)。该工具提供了实时监控受害者所有操作的功能,包括对下载文件的访问和整个浏览器配置文件的查看,如cookie、保存的密码和浏览历史记录等。文章中还提供了EvilnoVNC的使用说明,包括如何启动工具和指定分辨率及URL。此外,文章还提供了工具的GitHub链接,以便用户进一步了解和使用。
网络钓鱼 远程访问 二步验证绕过 浏览器监控 脚本工具 开源工具 网络安全漏洞利用
0x1e 山石网科:关于网传WAF漏洞说明
山石网科 2024-08-22T23:55:45 优质可靠的
山石网科近日发布安全公告,指出其WAF产品存在潜在安全漏洞,影响版本范围为5.5R6-2.6.7至5.5R6-2.8.13。该漏洞已在5.5R6-2.8.14版本中得到修复。公司建议受影响客户升级至该版本或更高版本,或通过配置可信主机访问来缓解风险。山石网科强调其遵守网络安全漏洞管理规范,并在官网发布安全公告。公告还介绍了山石网科的发展历程、技术实力和产品服务,强调其在中国网络安全行业的技术创新领导地位。
WAF漏洞 安全漏洞管理 产品安全公告 安全升级 网络安全事件响应 安全配置建议 客户支持 网络安全意识 网络安全行业 技术创新
0x1f 如何在 HV 后有效封锁 IP 地址:开源威胁情报它来了!
星空网络安全 2024-08-22T21:02:45 © 星空浪子
本文探讨了在安全漏洞评估(HV)之后如何有效封锁IP地址,并介绍了C2 Tracker这一开源威胁情报工具。文章指出,HV期间企业会迅速封锁可疑IP,但HV结束后,持续的网络威胁需要通过社区驱动的工具来应对。C2 Tracker通过集成Shodan和Censys,收集恶意软件、僵尸网络和C2基础设施的相关IP地址,提供早期预警。文章强调了封IP只是第一步,持续获取威胁情报并采取防御措施是确保网络安全的关键。此外,还介绍了C2 Tracker的社区驱动特性、工作原理以及如何使用,并提到了其他国内提供威胁情报资源的平台。最后,文章强调了C2 Tracker在网络安全研究中的重要性,鼓励读者探索和使用这一工具。
威胁情报 网络安全工具 IP地址封锁 恶意软件 僵尸网络 红队操作 社区驱动的安全 防御策略
0x20 CTF比赛PWN题解题思路(一)
小话安全 2024-08-22T19:15:15 © 小话安全
文章《CTF比赛PWN题解题思路(一)》介绍了四个CTF竞赛中的PWN题目及其解题方法。首先,对于题目一,程序存在栈溢出漏洞,在输入用户名时若不正确处理可能导致安全问题。通过IDA逆向工程分析得知,只有输入'admin'才能继续。利用gdb调试工具,通过在main函数设断点、单步执行等操作,找到可以覆盖返回地址的字符串长度(56字节),并使用已知的shell函数地址(0x405D36)构造payload,最终获得shell权限。对于题目二,通过查看伪代码和gdb调试发现,只要使变量v7与v5相等就能获取shell。由于data输入可覆盖v7的地址空间,因此通过精心构造输入数据即可达成目标。题目三中,存在栈溢出且有'system'函数和'/bin/sh'字符串可用,但需要先输入特定字符串触发漏洞。通过获取RDI寄存器值编写脚本实现攻击。最后,题目四与三类似,但缺少'/bin/sh'字符串,需用gets函数写入,并借助vmmap命令找到可写入的地址空间,编写脚本来完成攻击,最终成功获取shell。
CTF PWN 逆向工程 栈溢出 GDB调试 Shellcode 自动化脚本
0x21 魔形女再袭?最新Android通杀漏洞CVE-2024-31317分析与利用研究
Flanker论安全 2024-08-22T18:56:10 Flanker
本文深入分析了Android用户态通杀漏洞CVE-2024-31317的起因,并详细分享了笔者的利用研究和方法。该漏洞允许攻击者获取任意uid的权限,类似于突破Android沙箱获取任意app的权限,其威力堪比当年发现的魔形女漏洞。文章指出,CVE-2024-0044因简单直接已在技术社区得到广泛分析,而CVE-2024-31317尽管威力更大(能获取system-uid权限),但尚未有公开的详细分析和exp。该漏洞的发现令人惊讶,因为在2024年依然能在Android的核心组件Zygote中找到命令注入漏洞。文章强调了两个漏洞都需要特定的前提条件,例如CVE-2024-31317需要WRITE_SECURE_SETTINGS权限。文章还详细阐述了Zygote fork机制的工作原理,以及system_server与Zygote的交互过程,并深入分析了漏洞本身,即Zygote盲目解析从system_server接收到的buffer导致的命令注入。针对Android 12及以上版本带来的挑战,文章提出了一种通过大量逗号延长for循环消耗时间的方法,以增加第一次socket write和第二次socket write之间的时间间隔,从而实现命令注入。文章还探讨了多种利用方法,包括控制Zygote以某个uid执行指定包名、使用app-lib目录中的文件获取system shell,以及借用jdwp flag开启application的debuggable属性进行代码注入。整体而言,本文为理解和利用CVE-2024-31317漏洞提供了宝贵的 insights 和技术细节。
0x22 2024 KCTF 大赛 | 第四题《神秘信号》设计思路及解析
看雪学苑 2024-08-22T17:59:58 © 2024 KCTF
2024年KCTF大赛于8月15日开启,比赛包含多维度的评分体系,旨在提高竞赛的挑战性和趣味性。第四题《神秘信号》在比赛期间迅速被【Li0kle】战队解决,其他战队紧随其后。题目涉及pyinstaller打包程序和base64编码,需要参赛者逆向工程以解决。出题战队提供了详细的设计思路,包括对pyc文件的反编译和替换,以及一个特殊的解码函数。参赛者需要通过分析代码和内存,发现CrackMe模块实际上是base64模块,并且被修改以实现特定的逻辑。此外,题目中还涉及到对input函数的修改,需要参赛者逆向Python内置函数以发现实际的输入处理过程。最终,参赛者需要结合逆向工程和代码分析来找到正确的验证码。
网络安全竞赛 逆向工程 Python安全 二进制分析 编码和解码 shellcode 内存注入 钩子技术 代码混淆 调试技巧
0x23 午夜闲谈-Fastjson漏洞各版本POC比较
午夜安全 2024-08-22T08:25:00 © 云痴
本文是《午夜闲谈》系列第二篇,主要分析了Fastjson不同版本中存在的漏洞及其对应的POC。文章从Fastjson的序列化和反序列化、AutoType、版本判断与漏洞利用等方面进行了介绍。作者详细比较了不同版本Fastjson的漏洞POC,包括1.2.24版本利用JNDI注入实现RCE的方法,1.2.25-1.2.41版本的黑名单机制及其绕过方法,以及1.2.42版本对L和;字符的处理等。此外,文章还讨论了1.2.47版本及以下如何绕过黑名单,以及1.2.48-1.2.67版本修复了JSON内置绕过的问题。最后,作者介绍了1.2.68版本利用AutoCloseable进行漏洞利用的方法,并提供了相应的POC。
Fastjson 漏洞 Java 漏洞 序列化反序列化 JNDI 注入 代码审计 漏洞修复 安全研究
0x24 黑客的隐秘武器:SQL注入与防御全攻略
天津恒御科技有限公司 2024-08-22T08:00:48
SQL注入(SQL Injection)是一种常见的网络攻击手段,通过将恶意SQL代码插入到应用程序的输入字段
0x25 免杀笔记 -- 02
Glass的网安笔记 2024-08-22T02:33:27 © glass
免杀笔记--02 数组指针的一些理解。视频4。
0x26 HTB之Lantern(user部分)
羽泪云小栈 2024-08-22T01:29:16 © 羽泪云小栈
赛季6HTB之Lantern+linux(hard)+ssrf+dll反编译+dll反弹shell
0x27 【2024-08-21】每日安全资讯
知机安全 2024-08-21T10:15:11 © 知机安全
本文包含五则网络安全资讯。首先介绍了如何通过监控AWS云环境中的CloudTrail日志来识别潜在的API密钥盗用事件,并提供了减少风险的策略。其次,报道了一种新型网络钓鱼攻击,利用渐进式网页应用程序(PWA)针对捷克共和国的移动用户,企图窃取银行账户凭据。第三则资讯提到台湾一所大学遭遇使用新后门Msupedge的网络攻击,同时UTG-Q-010威胁组利用开源恶意软件Pupy RAT进行攻击。第四则详细探讨了Log4Shell漏洞的攻击机制,以及应用检测和响应(ADR)技术如何保护系统。最后一则资讯揭露了名为盲鹰的威胁行为者,他们针对拉丁美洲多国进行攻击,利用钓鱼邮件和远程访问特洛伊木马传播恶意软件。
0x28 kkFileView-RCE-远程代码执行漏洞分析
网安知识库 2024-08-21T10:00:16 © kiand
0x29 揭秘横向移动的众多操作之探测存活主机篇
三沐数安 2024-08-21T08:30:57 三沐
本文详细介绍了网络安全中的横向移动攻击及其探测存活主机的多种方法。文章强调了横向移动在勒索软件、数据外泄、间谍活动和僵尸网络感染等多种攻击类型中的重要性。文中列举了多种探测存活主机的工具和技术,包括Ping命令、NbtScan、NetDiscover、NMAP等,并提供了相应的命令示例。同时,文章也讨论了横向移动的预防措施,如渗透测试、网络安全域划分、终端安全和身份访问管理(IAM)等策略,以帮助组织减少横向移动的风险。
网络安全策略 网络攻击技术 漏洞利用 内网安全 渗透测试 安全工具 安全配置 应急响应
0x2a 网络安全宣传周 - 特种木马攻击
TtTeam 2024-08-21T00:01:44 © 安全回忆录
网络安全宣传周 - 特种木马攻击
0x2b 信息收集之子域名收集技巧总结
黑战士 2024-08-20T22:04:51 ©
本文是一篇关于子域名收集技巧的总结,旨在帮助渗透测试人员更有效地进行信息收集。文章首先强调了信息收集在渗透测试中的重要性,特别是子域名的收集对于了解目标网络架构和资产的关键作用。接着,详细介绍了子域名收集的多种方法,包括使用搜索引擎、备案查询、企业关系查询、Whois反查、证书透明度查询、在线子域名查询网站、威胁情报平台、爬虫技术、DNS记录查询工具、自动化工具、DNS历史记录查询服务、JS文件分析以及子域名爆破等。文章还推荐了几款实用的工具,如Subfinder、OneForAll、Layer子域名挖掘机等,并提醒读者注意合法合规地进行渗透测试。
信息收集 子域名收集 渗透测试 网络安全工具 DNS查询 网络安全法律
0x2c Docker-TCP-Scan 云安全武器流量分析
渊龙Sec安全团队 2024-08-20T19:31:53
让我们跟随神风静默师傅的脚步,深入学习和利用Docker Remote API接口的利用,该缺陷利用容易、危害巨大,要注重云上安全啦~
0x2d “李鬼”软件暗设后门,对抗杀软侵蚀系统
火绒安全 2024-08-20T18:00:20 © 火绒安全
近期,火绒威胁情报中心发现一款伪装成有道翻译安装包的恶意软件样本。该样本采用多种技术手段进行免杀,包括白加黑、反射加载DLL等,最终实现下载后门代码控制受害者主机。恶意软件会绕过UAC无弹窗执行,并创建服务实现自启动。火绒安全产品可拦截查杀该病毒,建议用户更新病毒库提高防御能力。分析显示,恶意软件通过修改内存跳入关键代码,解密加密的恶意代码,并在内存中反射加载DLL。此外,恶意软件还具备绕过UAC、创建服务、下载后门模块、记录键盘和剪切板数据等行为,具备强大的远程控制功能。
恶意软件分析 后门攻击 免杀技术 UAC 绕过 持久化驻留 安全防御 动态调试 逆向工程 网络钓鱼 文件签名
0x2e 手机联动burp抓包教程
东南网络安全 2024-08-20T15:36:07 ©
本文是一篇关于使用Burp工具进行手机APP抓包的教程。文章首先声明了本教程无恶意引导,并列出所需的设备,包括一台安装有Burp的电脑、一部能上网的安卓手机以及一个WiFi网络。教程以华为nova7手机为例,详细介绍了电脑端和手机端的配置步骤。电脑端需要查询IP地址并配置Burp代理,手机端则需要设置手动代理并导入Burp的CA证书。完成这些步骤后,就可以开始进行抓包操作。教程最后展示了抓包的结果,并强调了以上步骤即为详细的Burp抓包手机APP的过程。
0x2f CVE-2024-21733 Tomcat 请求走私
观初科技 2024-08-20T15:34:25 小初团队-Olivia
CVE-2024-21733是一个影响Apache Tomcat的漏洞,该漏洞允许攻击者通过构造特定的POST请求,利用Web服务器未能正确处理内容长度的漏洞,导致客户端和服务器之间的连接失去同步。攻击者可以利用这个漏洞窃取敏感数据,或在异常页面中输出其他用户的请求数据,造成信息泄露。漏洞存在于Tomcat处理POST请求时对Content-Length头字段的解析不当,可能导致服务器返回包含其他用户数据的响应。受影响的Tomcat版本包括8.5.7至8.5.63和9.0.0-M11至9.0.43。为了修复这个漏洞,用户应升级到至少Tomcat 9.0.44或8.5.64的版本。该漏洞的严重性被评为中等,并且已经通过更新Tomcat软件来修复。
漏洞分析 Web服务器安全 POST请求走私 信息泄露 CVE 软件更新 漏洞修复
0x30 实战|应急响应之门罗币挖矿木马
HACK之道 2024-08-20T14:26:22 苏苏的五彩棒
本文详细描述了一起门罗币挖矿木马感染客户服务器的网络安全事件。事件起因是客户服务器遭受了phpunit RCE漏洞利用攻击,导致服务器被Confluence RCE漏洞控制。攻击者首先尝试卸载主机安全软件,并删除部分挖矿docker镜像。通过分析,发现恶意脚本名为ldr.sh,属于Sysrv-hello僵尸网络的门罗币挖矿程序较新变种。该脚本会尝试卸载主机安全软件,并删除部分挖矿docker镜像。攻击者还利用FTP上传了cmd.vm文件,用于控制肉鸡权限。通过logwatch恢复的登录记录,发现可疑IP以root身份成功登录并下载了openvpn工具,疑似利用openvpn代理下载境外挖矿脚本及漏洞利用脚本。该木马通过漏洞利用获取主机权限,并通过蠕虫传播执行门罗币挖矿脚本。分析还发现,该木马文件处于频繁更新变种状态,且近期活动频繁。钱包地址为49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa,矿池地址包括f2pool.com、nanopool.org、minexmr.com、supportxmr.com、c3pool.com。
挖矿木马 僵尸网络 远程命令执行 (RCE) 恶意脚本 恶意IP C2通信 蠕虫传播 安全软件对抗 日志清除 漏洞利用
0x31 【玄机】第二章日志分析-redis应急响应
momo安全 2024-08-20T14:22:41 © 蟑螂恶霸
本文详细介绍了网络安全中针对Redis服务器的应急响应和日志分析。首先,文章列出了Linux系统中常用的日志路径,包括Apache、Nginx、MySQL、PostgreSQL、PHP、SSH和Redis等服务的日志位置。接着,文章分析了Redis常见的攻击手法,如未授权访问、写webshell、利用公私钥认证获取root权限以及利用crontab反弹shell等。文中通过实际案例展示了如何通过日志分析来溯源攻击者,包括攻击IP、上传的恶意文件、反弹shell的IP、攻击者用户名和篡改的命令等。文章还提供了具体的命令和步骤,如如何查找日志中的IP地址、如何识别恶意文件、如何查看计划任务等。最后,文章强调了在应急响应过程中需要注意的细节和技巧,以及如何使用工具如find、awk、ls和rpm等来辅助分析。
日志分析 Redis安全 应急响应 入侵检测 漏洞利用 Linux安全 网络攻击 工具使用 漏洞挖掘
0x32 微软禁用 BitLocker 安全修复程序,建议手动缓解
嘶吼专业版 2024-08-20T14:00:45 胡金鱼
微软近日因固件兼容性问题,决定禁用针对CVE-2024-38058漏洞的BitLocker安全修复程序。该漏洞允许攻击者绕过BitLocker加密功能,通过物理访问设备获取加密数据。由于修复程序与某些设备的固件不兼容,导致这些设备进入BitLocker恢复模式。微软建议受影响的用户通过应用KB5025885公告中描述的缓解措施来保护数据和系统,这些措施涉及多个步骤和多次重启设备。此外,微软还提醒用户,一旦在启用安全启动功能的设备上应用了缓解措施,即使重新格式化磁盘,也无法撤销这些措施。微软同时修复了7月Windows安全更新引发的问题,导致部分设备启动到BitLocker恢复模式,但没有提供更多关于根本原因或解决方法的信息。受影响的用户被建议安装最新更新以获得改进和问题解决。
Windows 安全漏洞 加密技术 固件兼容性问题 安全更新 缓解措施 物理访问安全 安全启动 补丁星期二
0x33 实战 | 内存马分析查杀
奉天安全团队 2024-08-20T12:14:37
本文详细介绍了内存马的分析与查杀方法。首先,通过搭建bt+tomcat+ubuntu环境,使用bt内置的tomcat启动项目并注入webshell。在注入内存马时,需注意默认的tomcat启动命令降权后的www用户权限问题。接着,通过冰蝎内存连接webshell,注入内置Agent内存马,并分析其特征。文章还介绍了内存马的原理,包括其动态变化的数据特征和远程加载方法。此外,文章探讨了内存马的持久化问题,包括veo师傅的vagent项目和rebeyond师傅的memShell项目中的持久化方法。最后,文章提供了内存马查杀的技巧和策略。
0x34 Linux 内核漏洞让攻击者绕过 CPU 并获得读/写访问权限
独眼情报 2024-08-20T10:47:17 flyme
研究人员发现Linux内核中的dmam_free_coherent()函数存在一个编号为CVE-2024-43856的严重漏洞。该漏洞由释放DMA分配和管理相关资源时操作顺序不正确导致的竞争条件引起,可能允许攻击者绕过CPU保护,获得对系统内存的未授权访问。DMA是硬件设备直接从系统内存传输数据的关键机制,而dmam_free_coherent()函数负责释放DMA分配。由于缺陷,系统可能不稳定、数据损坏,甚至崩溃。为解决此问题,Greg Kroah-Hartman提交了由Lance Richardson编写的补丁,修改了函数以交换调用顺序,防止并发任务干扰清理过程。该补丁已在Google的kokonut项目中测试,并得到Christoph Hellwig和Sasha Levin的签名,准备纳入主线Linux内核。这一措施体现了开发者社区对识别和纠正潜在错误的努力,对维护全球系统的安全性和完整性至关重要。
Linux内核漏洞 DMA漏洞 内存管理 系统漏洞修复 开源社区
0x35 【PoC】Windows 0dayCVE-2024-38202 和 CVE-2024-21302 的 PoC 漏洞利用已发布
独眼情报 2024-08-20T10:47:17 flyme
SafeBreach安全研究员Alon Leviev在Black Hat 2024会议上披露了Windows中的两个关键零日漏洞CVE-2024-38202和CVE-2024-21302的技术细节和概念验证(PoC)代码。这些漏洞可通过一个名为'Windows Downdate'的新工具来利用,该工具允许攻击者接管Windows更新流程,将系统组件回滚到易受攻击的旧版本,从而重新引入已修复的安全漏洞。CVE-2024-38202涉及备份权限提升缺陷,而CVE-2024-21302则与安全内核模式特权提升相关。通过利用这些漏洞,攻击者能降级关键操作系统组件,如DLL、NT内核、Credential Guard的安全内核及Hyper-V的虚拟机管理程序等。由于降级攻击的隐蔽性,即使系统被降级,Windows Update也会显示系统是完全更新的,这给EDR解决方案带来了挑战。微软已在2024年8月的补丁星期二发布了相应的补丁,并建议用户和管理员采取缓解措施以降低风险。尽管目前尚未发现实际的攻击案例,但PoC代码的公开增加了漏洞利用的可能性。
0x36 逃避基于 Windows 事件跟踪 (ETW) 的检测
黄豆安全实验室 2024-08-20T10:43:47 © 骇帝
本文详细介绍了 Windows 事件跟踪 (ETW) 的工作机制及其在网络安全中的应用,特别是如何通过规避技术绕过基于 ETW 的检测。文章首先解释了 ETW 的核心组件,包括提供者、会话、控制器和用户,以及它们在事件跟踪会话中的角色。接着,文章探讨了 ETW 的主要特性,如低开销、高性能、丰富的语义和系统覆盖范围。文章还深入分析了内核中与 ETW 相关的函数,以及它们如何触发事件。为了展示规避技术,文章演示了三种方法:干扰攻击,通过停止 ETW 提供程序来阻止事件日志收集;拦截 Procmon 会话,通过劫持 Procmon 会话来阻止其读取事件;以及事件泛滥,通过过度注册和注销 ETW 提供程序来干扰系统。最后,文章介绍了如何通过修补 ETW 函数来绕过检测,并以一个 Sliver C2 案例展示了如何结合加密引导加载程序和修补 ETW 来执行恶意代码。这些技术展示了攻击者如何规避基于 ETW 的检测,并为网络安全专业人员提供了对抗这些威胁的思路。
Windows ETW 安全检测规避 EDR 规避 内核攻击 恶意软件开发 逆向工程
0x37 揭秘SQL注入新境界:Burp+Sqlmap,解锁POST报错注入奥义,流量特征一触即发!
熠安全 2024-08-20T10:35:40 ©
【新技能get√】跟随我们,深入SQL注入的隐秘角落!Burp Suite与Sqlmap强强联合,一键解锁POST报错注入的高级玩法。揭秘流量特征,让你在攻防战中步步为营,抢占先机!
0x38 CRTO | 认证信息窃取
高级红队专家 2024-08-20T10:08:49 红蓝精英
本文深入探讨了网络安全领域中认证信息窃取的多种方法。文章首先概述了在获得机器权限后,如何窃取经过身份验证的其他用户的凭证信息,包括纯文本、哈希和Kerberos票据等形式。接着,详细介绍了使用Beacon和Mimikatz工具在Cobalt Strike框架中提取各种凭证的过程,包括如何执行Mimikatz命令、使用Beacon的命令约定和修饰符。文章还提到了Mimikatz的sekurlsa模块,用于从内存中转储明文密码和NTLM哈希,以及sekurlsa::ekeys模块用于提取Kerberos加密密钥。此外,还介绍了如何使用lsadump::sam模块读取SAM数据库,以及lsadump::cache模块提取域缓存凭证。最后,文章讨论了使用Rubeus工具提取Kerberos票证和DCSync技术从域控制器中提取用户名和凭据数据的方法,并强调了操作过程中的安全和审计考虑。
凭证窃取 Mimikatz工具 Cobalt Strike Kerberos攻击 DCSync攻击 Windows系统安全 横向移动 密码破解 安全审计 安全工具
0x39 【2024-08-20】每日安全资讯
知机安全 2024-08-20T09:53:56 © 知机安全
本文总结了近期网络安全领域的几项重要资讯。首先,UULoader恶意软件被发现,它通过伪装成韩语和中文用户的恶意应用程序安装程序来传播,并能够分发Gh0st RAT和Mimikatz等载荷。同时,FakeBat恶意软件的传播活动泛滥,利用特洛伊木马MSIX安装程序感染目标,并与Eugenfest黑客有关。Nudge Security平台能够帮助IT专业人士自动化下架离职员工的SaaS账户,以减少安全风险。此外,Xeon Sender工具被用于大规模的SMS网络钓鱼攻击,通过滥用合法服务发送短信。最后,北朝鲜的Lazarus小组利用新发现的Microsoft Windows安全漏洞CVE-2024-38193进行零日攻击,这一漏洞允许攻击者获得系统特权。这些事件凸显了网络安全领域不断变化的威胁和防御措施的重要性。
0x3a Burpsuite漏洞扫描检测插件
黑白之道 2024-08-20T09:49:19
本文介绍了由@Xm17师傅开发的一款名为gatherBurp的Burpsuite漏洞扫描检测插件。该插件具备多种功能,包括fastjson扫描权限绕过、未授权检测扫描、SQL注入检测、多层级路由扫描、工具调用、log4j检测、复杂数据提交、一键生成nuclei模板、代理池功能和子域名收集等。插件支持配置dns、ip、回显、报错等,并提供了一键生成随机字符串和代理池功能。此外,文章还详细说明了如何使用该插件进行各种扫描和检测,并提供了编译打包和使用说明。需要注意的是,插件中的某些功能可能存在bug,如工具调用生成文件的问题。文章最后提醒用户,插件中的技术、思路和工具仅供安全学习交流使用,禁止用于非法目的。
漏洞扫描 Web安全 Burpsuite插件 安全工具 JSON数据处理 代理池 子域名收集 日志分析 代码审计
0x3b Linux中Find命令也能提权?提权方式一文通透
泷羽Sec 2024-08-20T07:45:52 ©
本文深入探讨了Linux系统中find命令的安全风险,特别是当find命令被赋予SUID权限时可能导致的权限提升攻击。文章首先介绍了find命令的常规用法和参数,包括路径、文件名、权限、大小、类型等参数的用法。接着,通过实例演示了find命令的多种使用场景,如查找特定文件、根据大小筛选文件、执行特定命令等。文章重点分析了find命令被赋予SUID权限后的安全风险,通过模拟攻击过程,展示了如何利用具有SUID权限的find命令执行系统命令,实现权限提升。最后,文章总结了防范措施,强调定期检查系统命令权限设置和进行权限审计的重要性,以防止不当权限提升行为。
Linux 安全 系统权限 文件查找工具 权限提升 安全漏洞 防御策略
0x3c Kerberos协议认证
AlertSec 2024-08-19T19:01:21 © AlertSec
Kerberos协议是一种网络认证协议,涉及客户端、服务端和密钥分发中心(KDC)三个角色。KDC由认证服务器(AS)和票据授予服务器(TGS)组成。认证流程开始于客户端向AS发送身份信息请求认证,AS验证通过后发放TGT(票据授予票据)。客户端使用TGT向TGS请求服务票据(ST),TGS验证TGT后发放ST。客户端凭借ST访问服务端资源。整个过程中,信息通过加密确保安全。使用kekeo和Wireshark工具可以模拟和抓包分析Kerberos认证过程,包括请求TGT和ST的命令,以及分析AS-REQ、AS-REP、TGS-REQ、TGS-REP、Client_Request和Server_Response等数据包。
0x3d x64 PWN与ret2csu
刑天攻防实验室 2024-08-19T17:42:56 © 刑天攻防实验室
本文介绍了64位系统的基础知识,包括寄存器的扩展、参数传递的差异以及堆栈上的参数排布差异。文章以蒸米师傅的例子为基础,展示了如何利用栈溢出漏洞进行攻击。首先,通过分析代码发现存在溢出漏洞,并利用gdb调试定位到溢出报错的位置。接着,文章介绍了如何使用ROP技术来获取shell。在X64的程序中,__libc_csu_init函数可以满足我们的需要,通过构造ROP链来泄露write函数的真实地址,间接得到libc加载的基址,并将execve和'/bin/sh'写入.bss段中,最后调用写入到.bss段中的execve/system函数来获取shell。文章还提到了XMM和YMM对齐的问题,以及如何解决它。整个过程涉及到对寄存器、堆栈和内存的理解,需要一定的汇编知识和调试技巧。
X64架构 栈溢出 ROP ret2text ret2csu 内存对齐 Gadget libc地址泄漏 shellcode 漏洞利用
0x3e 记一次参数走私导致的权限绕过
蚁景网络安全 2024-08-19T16:30:22
在实际业务中,请求参数解析和鉴权处理是避免平行越权风险的关键措施。然而,若拦截器与Controller的参数解析方式存在差异,可能存在安全漏洞。由于HTTP协议的无状态特性,服务端无法确认请求者的身份,若关键参数未与用户身份凭证绑定,可能导致不同权限的用户互相访问其业务模块。文中以Java Web为例,分析了拦截器在鉴权处理中的实现方式,包括从请求中提取资源ID并结合用户认证信息进行权限检查的流程。然而,当Fastjson与Jackson在解析JSON参数时存在差异,如处理重复键的行为不一致,可能导致拦截器获取到的资源ID与Controller解析到的资源ID不同,从而绕过鉴权逻辑实现平行越权。此外,@RequestMapping的灵活性也可能被利用,通过Multipart方式请求非公开接口,利用拦截器中AuthParam资源ID内容为null而实际Controller能解析对应的值的差异,绕过鉴权措施。文中建议使用Spring中的Aspect进行鉴权,通过@Pointcut()切入指定范围的方法进行拦截,避免解析差异导致的安全风险。
越权攻击 JSON解析差异 参数解析 安全审计 Spring框架 Web安全 接口安全
0x3f 暴露面收集
CatalyzeSec 2024-08-19T16:04:54 ©
文章主要讨论了网络安全领域中的暴露面收集问题,即如何识别和收集可能被黑客利用的系统、设备和信息。作者指出,暴露面可能隐藏在不易察觉的地方,如供应链、合作商或特定应用服务中,容易被忽视。文章介绍了多种工具和方法来收集暴露面信息,包括利用企业名称扩展信息、ICP备案号查询、域名信息收集、查找真实IP以及信息整合发现脆弱资产。作者推荐了Enscan和CatalyzeICP等工具,这些工具可以帮助安全人员通过企业名称或备案号查询相关信息。文章还提到了子域名爆破、IP筛选和资产指纹识别等技术,以及如何利用这些信息发现潜在的安全漏洞。最后,作者提到了知识星球社区,这是一个专注于安全知识分享和技能提升的平台。
JSON格式化输出 Python Linux命令行工具 Java MySQL JavaScript Powershell 网络安全文本分类
0x40 网络安全态势周报(8月12日-8月18日)2024年第32期
网安观察室XQ 2024-08-19T15:20:19 © 网安观察室
本周网络安全态势周报显示,通过态势感知平台共发现2起网络安全隐患,涉及一家企业系统存在任意用户登录和敏感信息泄漏问题。该企业系统的漏洞允许攻击者以管理员身份登录,并由于权限控制不当,可能导致用户个人信息泄露。尽管如此,本周辖区内互联网设施运行总体平稳,未发生重大网络安全事件。此外,本周对485个站点的44679个关键页面进行了387.2万次监测,发现网络入侵事件93起,与上周相比增加1起。任意用户登录和敏感信息泄漏的安全隐患与上周持平。
任意用户登录漏洞 敏感信息泄漏 网络安全监测 网络入侵事件 信息安全防范措施
0x41 警惕针对 0-Click RCE tcp/ip 内核漏洞 CVE-2024-38063 的虚假PoC
独眼情报 2024-08-19T11:50:34 © flyme
安全研究人员揭露了一系列针对Windows系统的严重漏洞CVE-2024-38063的虚假概念验证(PoC)代码。这些代码在GitHub上被发现,不仅具有误导性,还被用作传播恶意软件的工具。CVE-2024-38063是一个关键漏洞,影响Windows 10、Windows 11和Windows Server系统,允许未经身份验证的攻击者远程执行任意代码。昆仑实验室的XiaoWei发现该漏洞,微软警告称攻击者可能开发出可靠的漏洞利用代码。然而,EclecticIQ的网络威胁情报分析师Arda Büyükkaya证实,GitHub上的所谓PoC代码实际上是恶意软件。这些恶意样本在VirusTotal上的检测率为23/75。安全专家建议用户应用微软的最新补丁,禁用IPv6,并在GitHub上谨慎行事,避免成为虚假PoC的受害者。
漏洞利用 虚假PoC 恶意软件传播 IPv6安全 系统安全更新 网络安全研究
0x42 【PoC】CVE-2024-7646(8.8) Kubernetes 集群的ingress-nginx控制器存在严重漏洞
独眼情报 2024-08-19T11:50:34 flyme
文章报道了一个影响广泛使用的Kubernetes ingress-nginx控制器的安全漏洞CVE-2024-7646,该漏洞CVSS评分为8.8,表明其具有高度危险性。此安全问题允许拥有创建Ingress对象权限的用户绕过注释验证机制,进而可能注入任意命令,并非法获取集群敏感凭证。Ingress-nginx控制器主要用于管理集群内部服务与外部网络之间的连接,而此漏洞则针对其注释验证流程。若被成功利用,攻击者能够通过构建特殊Ingress对象来执行恶意代码,从而取得ingress-nginx控制器的凭证,进一步获取对集群内全部秘密信息的访问权。尤其在多租户环境中,该漏洞的危害性更为突出,非管理员级别的用户可能会利用这一漏洞进行权限提升操作,威胁到整个集群的安全。此漏洞由André Storfjord Kristiansen发现并报告。检测系统是否受到影响的方法是使用kubectl命令行工具查询集群中的ingress-nginx实例。对于运行在v1.11.2之前版本的ingress-nginx,存在被此漏洞影响的风险。为了缓解这一漏洞带来的威胁,官方发布了修复版本v1.11.2,更新后的版本增强了注释验证机制,阻止了命令注入的可能性。管理员应定期审查Kubernetes审计日志,寻找异常的Ingress对象,特别是那些包含回车符(\r)的注释。
Kubernetes CVE-2024-7646 高危漏洞 注释验证绕过 命令注入 敏感信息泄露 多租户环境 权限提升 软件更新
0x43 【玄机】第二章日志分析-mysql应急响应
momo安全 2024-08-19T11:14:17 © 蟑螂恶霸
本文主要介绍了MySQL应急响应中的日志分析,包括Linux系统中常用日志路径的介绍,MySQL密码存储路径的说明,以及常见的MySQL提权方式,如MOF提权、UDF提权等。文章详细阐述了UDF提权的原理和实施步骤,包括如何利用UDF(用户自定义函数)在MySQL中实现特殊功能,以及如何通过上传特定的udf.dll文件来提权。此外,文章还提供了MySQL应急响应的具体案例,包括黑客如何通过SSH账号登录、反弹shell、提权文件上传以及获取权限等步骤,并通过日志分析来识别黑客行为。最后,文章还提供了靶场地址和获取玄机邀请码的方法。
网络安全日志分析 MySQL安全漏洞 应急响应 提权攻击 Linux系统安全 木马分析 入侵检测
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
