2024年 第4周 微信公众号精选安全技术文章总览
洞见网安 2024-1-29
0x1 Win32 API · 进程与线程
走在网安路上的哥布林 2024-01-28T00:46:33 © GOWLSJ125
本文详细介绍了Windows操作系统下进程和线程的创建、管理和操作相关的API函数及其使用方法。首先,介绍了CreateProcessA函数,用于创建新进程及其主线程,并详细解释了其参数和返回值。接着,介绍了GetModuleFileNameExA函数,用于获取指定模块的文件的完全限定路径。然后,介绍了TerminateProcess和OpenProcess函数,用于终止进程和打开进程对象。此外,还介绍了CreateToolhelp32Snapshot、Process32First和Process32Next函数,用于创建进程快照并枚举系统中的进程。在创建线程方面,介绍了CreateThread函数,用于在调用进程的虚拟地址空间内执行线程,并提供了示例代码。最后,介绍了CreateRemoteThread函数,用于在另一个进程的虚拟地址空间中创建线程,并演示了一个简单的shellcode注入示例,展示了如何使用VirtualAllocEx和WriteProcessMemory函数在远程进程的内存中写入shellcode并执行。这些API函数和示例代码对于理解和操作Windows进程和线程具有重要的参考价值。
Windows API 进程管理 线程管理 内存操作 Shellcode注入 恶意软件分析 安全攻防
0x2 【二次更新】Jenkins存在任意文件读取漏洞(CVE-2024-23897)
安恒信息CERT 2024-01-26T20:55:16
本文介绍了Jenkins存在的一个严重漏洞(CVE-2024-23897),该漏洞允许未经身份验证的攻击者读取Jenkins控制器文件系统上的任意文件。该漏洞的CVSS评分高达9.8,属于严重级别。Jenkins是一个广泛使用的开源自动化服务器软件,用于构建、测试和部署软件项目。该漏洞影响Jenkins版本2.441和LTS2.426.2之前的版本。官方已发布修复方案,建议受影响的用户尽快更新至安全版本。此外,文章还提供了漏洞的详细描述、影响范围、修复方案和相关产品能力覆盖信息,并建议客户进行资产排查和采取临时缓解措施。
漏洞披露 Jenkins 漏洞 任意文件读取 CVSS评分 应急响应 软件安全 开源软件 网络安全
0x3 【已复现】安全通告 |Jenkins任意文件读取漏洞(CVE-2024-23897)
蓝鸟安全 2024-01-26T18:50:10
本文介绍了Jenkins任意文件读取漏洞(CVE-2024-23897)的相关信息。Jenkins是一款开源的持续集成和持续部署(CI/CD)工具,该漏洞存在于Jenkins的命令行界面(CLI)中,由于args4j库处理CLI命令时的expandAtFile功能存在文件读取漏洞,未经身份认证的攻击者可以读取部分文件的内容。如果攻击者已经通过身份验证或者目标Jenkins配置了默认的“Security”配置,则可以读取任意文件。该漏洞影响了Jenkins <= 2.441和Jenkins LTS <= 2.426.202版本。建议用户尽快禁用CLI或限制访问,并更新到最新版本以修复漏洞。全球共有2732001条Jenkins使用记录,其中中国有1332235条。官方已发布补丁,建议用户尽快更新。
漏洞分析 开源软件安全 CI/CD安全 文件读取漏洞 CVE编号 安全通告
0x4 Atlassian Confluence 模板注入代码执行漏洞(CVE-2023-22527)
蚁景网络安全 2024-01-26T17:31:24
本文详细分析了Atlassian Confluence模板注入代码执行漏洞(CVE-2023-22527)。Atlassian Confluence是一款企业级团队协作和知识管理软件,该漏洞允许攻击者在无需登录的情况下,通过构造恶意请求执行远程代码。漏洞影响版本包括8.5.0至8.5.38.0.x,以及8.1.x至8.4.x系列。漏洞成因在于Confluence中的Velocity模板引擎处理.vm文件时,存在模板注入风险。攻击者可以利用这一漏洞,通过特定的OGNL表达式绕过沙箱限制,执行任意代码。文章深入探讨了漏洞的成因、影响范围、攻击过程以及复现方法,为网络安全学习者提供了宝贵的参考信息。
漏洞分析 远程代码执行 应用安全 模板注入 Java安全 安全漏洞 漏洞复现 知识库安全
0x5 Atlassian Confluence 模板注入漏洞分析(CVE-2023-22527)
中孚安全技术研究 2024-01-26T17:30:26 © 元亨-blckder02
Confluence 存在 Velocity 模板注入漏洞,未经身份验证的攻击者可以直接访问*.vm文件传入恶意 Ognl 表达式来实现 RCE。
0x6 【云安全】云密钥Key泄露,该如何攻击利用及监控防御?
安全驾驶舱 2024-01-26T13:53:16 © FFF
随着互联网经济的发展,越来越多的传统企业将业务迁移云上完成,也致使云上业务所面临的安全问题愈发突出,给企业带来不同程度的经济损失及品牌影响。大型企业在上云过程中会根据需求选择不同云服务厂商搭建自己的业务
0x7 一次曲折又有趣的安卓高危信息漏洞复现过程
大山子雪人 2024-01-26T12:30:56 © 做安全的小明同学
安卓media_session服务信息泄露漏洞分析和复现
0x8 从前端验签与加解密学习Yakit中WebFuzzer热加载
LY网络安全团队 2024-01-26T11:46:06
本文深入探讨了数据安全领域中前端加解密与验签的安全性问题。文章首先介绍了签名验证的原理和两种主流的验证方法:KEY+哈希算法和基于非对称加密的签名。通过Yakit靶场,作者分析了HMAC-SHA256签名验证的机制,并探讨了如何绕过签名验证进行数据篡改。接着,文章转向前端加密表单的渗透测试,详细介绍了AES加密算法,包括其密钥、填充方式和加密模式。作者通过CryptoJS库和Yaklang的热加载功能,演示了如何通过编写脚本绕过AES加密的登录表单。最后,文章探讨了RSA加密AES密钥的使用,以及如何结合RSA和AES进行数据加密和密钥交换。文章强调了掌握加密和解密流程的重要性,并提供了实际操作案例,帮助读者理解和应用这些安全机制。
0x9 天融信TOPSEC cookie远程命令执行【附POC+检测工具】
玄知安全实验室 2024-01-26T08:00:12 © alpha
天融信TopSec 安全管理系统存在远程命令执行(RCE)漏洞,该漏洞位于Cookie参数中,允许攻击者通过特定数据包执行高危操作,如文件写入和命令执行,从而威胁系统安全。受影响的版本包括天融信TOPSEC综合管理系统。利用FoFa平台和其他搜索平台可以进行资产测绘,通过特定搜索语句定位受影响系统。漏洞复现的POC(概念验证)包括发送包含恶意Cookie的HTTP请求,成功执行命令后,可以通过访问特定文件来验证。为检测漏洞,提供了批量检测工具,使用pocsuite运行相关脚本即可。修复建议是联系厂商获取并应用修复补丁,以确保系统安全。文章最后提供了获取检测工具的途径。
远程命令执行(RCE) Web应用安全 漏洞利用(Exploit) 安全漏洞 风险评估 安全工具
0xa Windows APIの目录与文件
走在网安路上的哥布林 2024-01-25T23:47:15 © GOWLSJ125
本文详细介绍了Windows API中与目录和文件操作相关的函数及其使用方法。文章首先介绍了创建目录的CreateDirectory和createDirectoryEx函数,并提供了创建目录的代码示例。接着,文章讲述了删除目录的RemoveDirectory函数,并说明了只能删除空目录的限制。此外,文章还介绍了创建或打开文件的createFile函数,以及如何使用WriteFile和ReadFile函数进行文件的写入和读取操作。文章还涉及了移动目录或文件、删除文件、列出目录中的文件和文件夹等操作,并提供了相应的函数和代码示例。最后,文章简要提到了文件属性常量和本地文件系统等相关概念。
操作系统安全 文件操作安全 API安全 编程语言安全 代码审计 文件权限管理 安全漏洞预防
0xb 【风险通告】Jenkins存在任意文件读取漏洞(CVE-2024-23897)
安恒信息CERT 2024-01-25T19:33:29
本文介绍了Jenkins存在的一个严重漏洞(CVE-2024-23897),该漏洞允许未经身份验证的攻击者读取Jenkins控制器文件系统上的任意文件。漏洞的CVSS3.1评分高达9.8,属于高风险等级。影响版本包括Jenkins <=2.441和Jenkins <=LTS2.426.2。官方已发布修复方案,建议用户更新至安全版本。同时,建议用户进行资产排查,以确保网络空间的安全。此外,还提供了一些缓解措施,如禁用Jenkins CLI,并附上了相关的技术支持联系方式。
漏洞通告 CVE编号 Jenkins漏洞 文件读取漏洞 CVSS评分 安全响应等级 开源软件安全 软件更新 网络空间资产
0xc 探幽寻秘,一网打尽—多版本银狐木马加密要素揭秘
信息安全与通信保密杂志社 2024-01-25T17:44:37 lzy
本文详细分析了自2023年起在国内广泛传播的“银狐”木马。文章指出,“银狐”木马版本多样,攻击手段多变,其加密方式包括XOR加密、XOR+加减法加密、Zlib压缩、加法+XOR+Zlib压缩和AES加密等。每种加密方式都有其特定的加密密钥和通信格式。文章详细描述了每种加密方式的工作原理和样本特征,并提供了通信数据结构和加密过程的图示。此外,文章还介绍了观成安全研究团队针对“银狐”木马开发的加密威胁智能检测系统,以及针对可能变化的密钥或标识符的行为检测方法。最后,文章总结了“银狐”木马的多版本特性及其带来的检测难度,并强调了观成安全研究团队在木马检测方面的研究成果和解决方案。
恶意软件分析 加密技术 网络安全检测 威胁情报 木马家族分析 网络安全防御
0xd 安全大厂零日漏洞失控,16万VPN设备暴露
金瀚信安 2024-01-25T14:42:24 工业互联网安全
网络安全和IT管理软件巨头Ivanti的两款产品(Connect Secure VPN和Ivanti Poli
0xe CNNVD信息安全漏洞周报(2024年第4期)
金瀚信安 2024-01-25T14:42:24 工业互联网安全
根据国家信息安全漏洞库(CNNVD)统计,本周(2024年1月15日至2024年1月21日)安全漏洞情况如下:
0xf 【VulnHub靶场】Cute-v1.0.2
sixone安全团队 2024-01-25T13:04:24 © StarYan
【VulnHub靶场】Cute-v1.0.2
0x10 广联达 Linkworks XXE漏洞
克莱因蓝的灰色空间 2024-01-25T10:40:55 © 薄雾清晨
一、免责声明漏洞不是所有系统都存在,而且基本并未修复,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为
XML外部实体注入(XXE) 网络安全漏洞 Web应用安全 漏洞利用 信息收集 安全工具 漏洞评估
0x11 Fiddler抓包(浏览器网页抓包、手机端App抓包、PC客户端(C/S)抓包)
玄武盾网络技术实验室 2024-01-25T09:14:19 稻草人
本文详细介绍了使用Fiddler工具进行网络安全分析的方法,包括浏览器网页抓包、手机端App抓包以及PC客户端(C/S)抓包。首先,文章阐述了抓包的重要性,以及在抓包过程中如何分析客户端与服务器之间的请求/响应。接着,针对不同的抓包场景,文章提供了具体的操作步骤。对于PC端浏览器网页抓包,文章介绍了如何通过Fiddler作为本地代理服务器来转发客户端和服务器之间的请求和响应,并设置断点、过滤请求、修改请求数据和响应数据等。对于手机端App抓包,文章说明了手机端需要与PC在同一局域网内,并设置相应的代理。最后,针对PC客户端(C/S)抓包,文章介绍了使用Proxifer工具来帮助不支持代理的C/S客户端进行抓包。文章最后提醒读者,所有技术文章均为学习记录之用,并提供了知识共享平台的链接。
网络安全工具 网络抓包 浏览器调试 移动应用安全 客户端/服务器通信 代理服务器 网络协议分析
0x12 HTB之analysis
羽泪云小栈 2024-01-24T15:24:57 © 羽泪云小栈
HTB赛季4-analysis+windows(hard)+fuzz+kerbrute+ldap注入+dll劫持提权
0x13 用友的反序列化链
小肥羊安全 2024-01-24T14:08:09 qbhyu
从goby中找了用友的CC6和CC7的生成规则。结合用友的反序列化路径可以执行无回显命令。
0x14 IDS入侵检测
网安淬锋研习社 2024-01-23T18:58:29 © 安全盾
本文主要介绍了入侵检测系统(IDS)的基本概念、作用、组成和部署方式。首先,文章强调了使用网络安全技术信息时的责任自负,并简要介绍了防火墙的概念及其局限性。接着,文章深入探讨了IDS与防火墙的关系,指出IDS作为防火墙的补充,能够对恶意流量进行监控、检测和报警。详细介绍了入侵检测系统的基本介绍,包括其作用、标准化工作以及两个重要的参数:误报和漏报。文章还解释了入侵检测系统的组成,包括事件产生器、事件分析器、响应单元和事件数据库。此外,文章介绍了IDS的主要检测方法,如异常检测和特征检测,并总结了两种检测模型的区别。最后,文章讨论了IDS的部署方式,包括分布式和集中式部署,并提醒读者在使用相关技术时应遵守法律法规。
网络安全入侵检测 防火墙技术 安全防护手段 异常检测 特征检测 网络安全策略 安全审计 网络安全标准化
0x15 【已复现】安全通告 | Confluence远程代码执行漏洞(CVE-2023-22527)
蓝鸟安全 2024-01-23T18:02:11
中睿天下安全团队监测到Confluence远程代码执行漏洞(CVE-2023-22527),该漏洞源于Confluence对OGNL表达式过滤不严谨,导致存在OGNL表达式注入漏洞,鉴于该漏洞影响较大,建议客户尽快做好自查及防护
漏洞分析 远程代码执行 Confluence 企业安全 安全通告
0x16 铭说 | 基于Linux平台新型Python挖矿木马的分析
聚铭网络 2024-01-23T17:13:34
警惕!PyPI Python软件包存在多种恶意代码
0x17 安全大厂零日漏洞失控,16万VPN设备暴露
安全新说 2024-01-23T15:57:32
网络安全和IT管理软件巨头Ivanti的两款产品Connect Secure VPN和Ivanti Policy Secure网络访问控制设备曝出两个零日漏洞CVE-2023-46805和CVE-2024-21887,被全球范围内的攻击者利用以部署后门、挖矿软件和自定义恶意软件。Volexity公司于去年12月首次发现这些漏洞的野外利用情况。攻击者通过组合利用这两个漏洞,能在受影响的设备上执行任意命令,进行横向移动、数据窃取,并通过后门建立持久访问权限。据Shadowserver的监控,全球有超过16.2万个在线暴露的ICS VPN设备,其中超过4700个在美国。CISA发布2024年首个紧急指令ED24-01,要求联邦机构立即执行Ivanti的缓解措施,使用外部完整性检查工具,并采取一系列措施应对安全威胁。Mandiant安全专家发现,攻击者在被入侵的Ivanti客户系统上部署了五种定制恶意软件,目标是窃取凭据、部署Webshell和其他恶意负载。攻击中使用的工具包括Zipline被动后门、Thinspool Dropper、Wirefire Web shell等,其中Zipline后门具备拦截网络流量和提供文件传输等功能。此外,攻击者还被发现部署XMRig挖矿程序。去年Ivanti产品也曾曝出多次零日漏洞被利用的情况。
零日漏洞 VPN安全 ICS安全 后门攻击 挖矿软件 数据泄露 应急响应 恶意软件
0x18 【涨知识】探幽寻秘,一网打尽-多版本银狐木马加密要素揭秘
北京观成科技 2024-01-23T15:25:08 © lzy
本文深入分析了自2023年起在国内广泛传播的“银狐”木马。该木马版本多样,攻击手段各异,加密方式复杂。文章详细介绍了五种不同的加密方式:XOR加密、XOR+减法加密、Zlib压缩、加法+XOR+Zlib压缩和AES加密,并分析了每种加密方式的具体实现和特点。文章还讨论了攻击者如何通过更改通信端口、加密密钥、通信标识符和通信格式来规避特征检测。最后,文章介绍了观成安全研究团队针对“银狐”木马开发的加密威胁智能检测系统,以及如何结合特征检测、行为检测和AI模型进行全方位的检测。
木马分析 网络安全 加密技术 威胁情报 恶意软件检测 XOR加密 AES加密 Zlib压缩
0x19 关于CVE-2023-28432漏洞的复现和修复建议
观初科技 2024-01-23T10:25:38 小初团队-Jerry
本文针对Minio对象存储服务中的一个安全漏洞CVE-2023-28432进行了详细的分析。Minio是一种高性能的对象存储服务,兼容Amazon S3 API,常用于存储非结构化数据。该漏洞允许未授权的攻击者通过发送恶意的HTTP请求获取Minio环境变量中的敏感信息,如MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD。获取这些信息后,攻击者可以利用管理员权限登录到Minion,可能导致存储桶中的数据泄露。此外,对于一些旧版本的Minio,攻击者可能获取公有云的AK/SK,如果身份访问管理配置不当,可能导致公有云账号被完全控制。文章提供了漏洞影响范围、指纹信息和复现方法,并建议用户更新到安全版本以修复该漏洞。
Minio 漏洞 对象存储 安全漏洞 HTTP 请求 敏感信息泄露 公有云安全 渗透测试 软件修复
0x1a 一文了解“中间人攻击(MITM)”
天津恒御科技有限公司 2024-01-23T08:00:08
你可能听说过“中间人攻击(MiTM)”这个词,甚至可能对它还存在一个模糊的概念。但是,你仍旧会想“到底什么才是中间人攻击?
0x1b 利用OSINT追踪勒索组织活动
蚁景网络安全 2024-01-22T18:14:57
本文深入探讨了利用开源情报(OSINT)技术追踪和分析勒索组织活动的方法。文章首先介绍了勒索软件的定义和运作原理,随后解释了OSINT的概念及其在情报分析中的应用。接着,文章分析了为什么勒索组织偏爱使用加密货币,并探讨了如何通过分析加密货币的流动来追踪勒索组织的活动。文章还详细介绍了使用OSINT收集勒索组织相关信息的方法,如勒索页面、钱包地址、电子邮件号码等,以及如何利用这些信息来分析勒索组织的攻击偏好和动态。此外,文章还提供了一系列措施和工具,如Maltego、UserSearch和Mitaka等,用于支持OSINT的调查工作。最后,文章强调了实施网络安全措施的重要性,包括电子邮件系统保护、文件完整性监控、网络安全分段和备份策略等,以帮助企业防范和应对勒索软件攻击。
勒索软件 开源情报 加密货币 区块链取证 网络安全防护 网络安全分析 网络安全意识
0x1c 2024-服务器取证解析WP
取证与溯源 2024-01-22T17:14:10 ©
本文是一份关于服务器取证的解析报告。报告首先提供了涉案服务器的系统发行版本号,并查询了服务器的历史命令、登录信息、端口开放情况等。报告指出,嫌疑人在服务器中操作的第11条命令是'bt',root用户第一次登录服务器的IP地址是36.22.230.45,33端口没有正常开放,SSH端口是22。此外,报告还揭示了宝塔面板的默认账号密码、服务器上网站的数量、嫌疑人绑定的手机号等信息。报告还分析了商城网站的URL、支付方式,并找到了历史命令备份文件的位置。最后,报告提供了嫌疑人初次成功登录网站后台的时间、被篡改的二维码和图片的MD5值、色情聊天室的URL等关键信息,以及嫌疑人访问系统所用的IP地址和备份的数据库文件的MD5值。
0x1d 如何应对利用加密隧道发起的网络攻击?
恒御科技 2024-01-22T08:00:29
《2023年加密攻击态势调查报告》,报告数据显示,目前85.9%的网络威胁是通过加密通道发起的,包括恶意软件、
0x1e 云主机AK/SK泄露挖掘
玄知安全实验室 2024-01-22T08:00:12 ©
本文介绍了云主机AK/SK(Access Key ID/Secret Access Key)的概念及其重要性。AK/SK是公有云平台用于认证用户身份和保证通信安全的重要凭证,其中SK尤其需要严格保密。文章列举了多种可能导致AK/SK泄露的场景,包括错误页面显示、代码仓库搜索、网站配置文件、前端脚本、源码反编译、文件上传下载过程及HeapDump文件等。文中提供了两个具体的案例来说明如何发现和利用AK/SK的泄露:第一个案例涉及通过反编译应用程序并搜索关键词来定位泄露的AK/SK,从而接管云服务;第二个案例则是通过分析HeapDump文件获取AK/SK,进而控制云服务器并执行命令。为了帮助读者进一步了解相关工具和技术,文章还提供了外部链接作为参考,并提示读者可以通过特定方式获取到文中提到的一些工具。
云安全 API安全 数据泄露 漏洞挖掘 信息泄露 安全最佳实践
0x1f Inductive Automation Ignition CVE-2023-39475复现
博智非攻研究院 2024-01-22T06:02:25 博智非攻研究院
Inductive Automation Ignition CVE-2023-39475复现研究
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
