2023年 第43周 微信公众号精选安全技术文章总览
洞见网安 2023-10-23
0x1 币安智能链(BSC)被利用隐藏恶意代码
水网火安 2023-10-29T18:08:27
币安智能链(BSC)近期成为黑客攻击的新目标,他们利用名为“EtherHiding”或“ClearFake”的新型代码分发技术隐藏恶意脚本。这种技术通过滥用BSC合约,将恶意JS脚本注入被黑网站,并误导用户下载虚假的浏览器更新。黑客最初通过受感染的WordPress网站和Cloudflare Worker服务进行攻击,但随后转向利用区块链的去中心化和匿名特性。这一攻击方式使得恶意行为难以检测和取缔。Guardio Labs的研究人员指出,黑客通过区块链地址创建智能合约,查询BNB智能链以获取第二阶段脚本,然后从黑客控制的服务器下载第三阶段脚本,显示虚假的应用更新页面。如果用户点击更新按钮,就会被重定向到下载恶意可执行文件。这一攻击揭示了用户在软件服务使用中需要及时更新补丁,并保持系统安全的重要性,同时也对区块链的安全使用和监管提出了挑战。
区块链安全 智能合约漏洞 恶意软件攻击 跨平台攻击 钓鱼攻击 安全监管 用户安全意识
0x2 使用Frida在Windows中拦截C++函数
二进制空间安全 2023-10-29T17:12:10 ©
本文介绍了如何使用Frida工具在Windows平台上拦截C++函数。Frida是一款基于Python和JavaScript的动态二进制插桩框架,能够运行在多种操作系统上,并提供了强大的动态调试和Hook功能。文章首先概述了Frida的基本概念和工作原理,包括插桩技术、Frida的能力和常用语法。接着,详细介绍了如何在Windows环境下安装Frida,并展示了如何编写一个简单的测试程序来演示Frida的Hook功能。文章中,作者使用C++编写了一个包含AES加密和解密函数的测试程序,并通过Frida的Python脚本对其进行Hook,成功拦截并打印了函数的参数信息。最后,文章还提供了一些Frida的常用语法示例,包括如何附加进程、创建脚本实例、Hook函数、读写内存以及枚举模块等。
网络安全工具 动态二进制插桩 Hook技术 逆向工程 系统API调用 内存操作 代码注入 开源安全工具
0x3 记一次任意文件下载到Getshell
蚁景网络安全 2023-10-27T17:23:15 © C01D
本文描述了一次利用任意文件下载漏洞进行渗透测试的过程,最终实现Getshell的目标。文章分为几个主要部分:首先介绍了任意文件下载的概念及其作为攻击手段的重要性。随后,在一个具体案例中,作者通过网站的资料下载功能发现了可能存在的任意文件下载漏洞,并成功下载了index.php文件。进一步,作者定位到了数据库配置文件的位置,获取了数据库的账号密码,并成功连接上了数据库。之后,作者通过数据库信息找到了后台管理界面,并利用文件上传功能上传了一个Webshell,尽管初次尝试未能立即生效,但最终通过特定操作获得了对服务器的控制权。文章最后提供了一个原创稿件征集的信息,鼓励读者提交与黑客技术和信息安全相关的文章。
任意文件下载漏洞 ThinkPHP 框架安全 数据库安全 后台管理安全 文件上传漏洞
0x4 【漏洞复现】ThinkPHP5.0.23 远程代码执行漏洞
无痕安全实验室 2023-10-27T16:41:34 R
本文详细介绍了ThinkPHP5.0.23版本中存在的一个远程代码执行漏洞。该漏洞由于在获取method的方法中未正确处理方法名,使得攻击者能够调用Request类的任意方法并构建利用链,从而实现远程代码执行。受影响的版本为ThinkPHP<5.0.24。文章提供了漏洞复现的步骤,包括访问漏洞环境判断具体版本和执行命令的方法,并建议用户升级至5.0.24或更高版本以修复此漏洞。
远程代码执行 ThinkPHP 漏洞复现 安全漏洞 版本更新 Web应用安全
0x5 【风险通告】F5 BIG-IP远程代码执行漏洞(CVE-2023-46747)
安恒信息CERT 2023-10-27T15:35:09
近日,F5公司发布了关于其BIG-IP产品的安全公告,揭露了一个严重的远程代码执行漏洞(CVE-2023-46747)。该漏洞允许攻击者通过Apache httpd转发AJP协议时的请求走私漏洞绕过权限验证,进而通过远程代码执行漏洞获取服务器权限。安恒信息CERT已成功复现此漏洞。F5 BIG-IP是一款集成了多种网络功能的应用交付平台,影响版本包括17.1.0等多个版本。CVSS3.1评分显示该漏洞危害等级极高,建议用户尽快升级至安全版本或采取临时缓解措施。安恒信息的产品已支持该漏洞的检测与防护。
CVE-2023-46747 F5 BIG-IP 远程代码执行 请求走私 安全公告 应急响应 网络攻击 负载均衡 应用交付平台 安全产品 CVSS评分
0x6 近期攻击中,Winter APT组织利用RoundCube Webmail软件中的零日漏洞进行了攻击
黑猫安全 2023-10-27T10:02:07 鹏鹏同学
俄罗斯的Winter Vivern APT组织(也称TA473)在2023年10月11日被发现利用Roundcube webmail软件中的一个零日漏洞进行攻击。这个漏洞与该组织之前利用的CVE-2020-35730不同。Winter Vivern自2020年以来一直活跃,主要针对欧洲和中亚的政府机构。2023年3月,Proofpoint观察到该组织利用Zimbra实例中的CVE-2022-27926漏洞获取敏感电子邮件访问权限。最近,该组织通过发送特制邮件利用Roundcube中的XSS漏洞(CVE-2023-5631),这些邮件伪装成来自team.managment@outlook.com,主题为“Get started in your Outlook”。邮件中的SVG标签含有base64编码的恶意载荷,当解码后会在受害者浏览器中执行。ESET分析发现,即使在完全修补的Roundcube实例上,JavaScript注入也能成功运行,揭示了服务器端脚本rcube_washtml.php中的零日XSS漏洞。Roundcube随后在2023年10月14日修补了该漏洞,影响的版本包括1.6.x(1.6.4之前)、1.5.x(1.5.5之前)和1.4.x(1.4.15之前)。ESET指出,尽管Winter Vivern组织使用的工具技术含量不高,但其通过频繁的网络钓鱼活动和针对未定期更新的互联网应用程序漏洞,对欧洲政府构成持续威胁。
APT攻击 零日漏洞 跨站脚本(XSS) 政府机构 Web应用安全 网络钓鱼
0x7 ILEAKAGE攻击利用Safari窃取苹果设备的数据
黑猫安全 2023-10-27T10:02:07 鹏鹏同学
研究人员开发了一种名为iLeakage的侧信道推测执行攻击,通过Safari浏览器从Mac、iPhone和iPad设备中窃取敏感信息。该攻击类似于Spectre,通过诱使Safari渲染特定网页,利用推测执行来恢复敏感数据。攻击者可能窃取包括Gmail收件箱内容和自动填充密码等重要信息。研究团队结合新技术,实现了从Google等热门服务中提取敏感信息的端到端攻击。由于iOS设备上仅允许使用Safari/WebKit浏览器引擎,几乎所有苹果制造的智能手机和平板设备均易受此攻击。研究人员还展示了从Instagram恢复凭据的视频演示,突显了攻击的实用性。
侧信道攻击 浏览器安全 数据泄露 移动设备安全 推测执行攻击
0x8 漏洞情报 | Apache ActiveMQ 远程代码执行漏洞
斗象智能安全 2023-10-26T18:35:25 诸葛象
近日,Apache ActiveMQ被公开披露存在远程代码执行漏洞。Apache ActiveMQ是一款流行的开源消息代理软件,支持多种消息传递协议,广泛用于构建企业级消息服务系统。该漏洞影响Apache ActiveMQ版本小于5.18.3的所有用户。攻击者通过向61616端口发送恶意数据,即可实现对受影响系统的远程代码执行。斗象科技监控到这一漏洞后,建议用户及时更新至安全版本Apache ActiveMQ 5.18.3,以修复该漏洞。官方已发布修复程序,用户可从Apache ActiveMQ的GitHub标签页下载更新。
远程代码执行 Apache ActiveMQ 开源软件漏洞 Java 消息代理 漏洞修复 安全更新
0x9 x64内核实验-段机制的变化
看雪学苑 2023-10-26T18:07:05 幺幺满地乱爬
本文详细介绍了x86架构下的IA-32e模式,包括其段描述符结构、启动流程以及与32位环境的差异。文章首先概述了IA-32e模式下段描述符的三个主要部分:base、limit和attribute,并解释了在64位环境下base和limit不再使用的原因。接着,文章讨论了IA-32e模式下的系统调用流程,并通过rdmsr命令展示了如何查看MSR寄存器的值以确认当前模式。随后,文章分析了非系统段描述符的变化,包括64位代码段描述符和系统段描述符,并举例说明了如何使用windbg命令查看段描述符的详细信息。此外,文章还介绍了调用门、中断门和任务门在64位环境下的变化,特别是TSS段描述符和中断门的新特性。最后,文章讨论了SMAP和SMEP的作用以及如何通过实验验证其功能。
操作系统安全 内核安全 内存安全 处理器架构安全 系统调用安全 逆向工程 漏洞分析 防护技术
0xa 【风险通告】Apache ActiveMQ远程命令执行漏洞
安恒信息CERT 2023-10-26T17:28:29
近日,安恒信息CERT监测发现Apache ActiveMQ组件存在远程命令执行漏洞。该漏洞允许攻击者通过默认的61616服务端口发送特定请求,从而实现远程命令执行。Apache ActiveMQ是一款流行的开源消息代理,支持多种语言和平台。受影响的版本包括5.18.0至5.18.3和5.17.0至5.17.6。安恒信息研究院已复现此漏洞,并给出了CVSS3.1评分10的高危害等级。建议用户尽快升级至安全版本5.18.3或更高版本,并采取临时缓解措施。此外,安恒信息提供7款产品以覆盖该漏洞的检测与防护。受影响资产主要分布在中国,国内资产数量达到450,554。
远程命令执行漏洞 Apache ActiveMQ 开源软件漏洞 Java消息代理 应急响应 漏洞评分 网络空间资产测绘 漏洞防护
0xb Citrix警告管理员立即修复Netscaler CVE-2023-4966漏洞
黑猫安全 2023-10-26T09:53:05 鹏鹏同学
Citrix近日发布安全公告,警告管理员立即修复NetScaler ADC和Gateway设备中的CVE-2023-4966漏洞,该漏洞已在实际攻击中被利用。漏洞存在于多个版本的NetScaler产品中,Citrix提供了具体的修复版本号,并指出12.1版本已停止支持,建议升级。Mandiant研究人员发现,攻击者可通过该漏洞劫持验证会话,绕过多因素身份验证,可能导致进一步的安全威胁。攻击目标包括专业服务、技术和政府组织。Citrix确认了野外的攻击报告,并强烈建议受影响版本的用户立即安装更新,同时提供了终止会话的命令。该漏洞无解决方法,Citrix仅分享了有限的技术细节以保护客户。
漏洞利用 紧急修复 安全更新 会话劫持 多因素身份验证绕过 零日攻击 横向扩展 目标攻击 产品生命周期结束
0xc 【黑产攻防道03】利用JS参数更新检测黑产的协议破解
极验 2023-10-26T09:01:31 © 极验
本文探讨了网络安全领域中验证码与黑产破解的攻防博弈。文章首先介绍了黑产破解验证码的三种主要方式:图片答案识别、协议破解和模拟器破解。接着,文章以极验为例,详细解释了如何通过设置钓鱼参数来检测协议破解,并举例说明了如何在票务平台事件中应用这一策略。文章进一步分析了黑产破解协议的攻击原理和流程,包括如何通过模拟真实请求和伪造参数来进行攻击。此外,文章还讨论了企业如何定位黑产的协议破解,以及极验如何通过“异常标记”功能来防御黑产攻击。最后,文章强调了验证码与黑产之间的持续博弈,并指出了解攻击方技术和储备更多防御手段的重要性。
网络安全 验证码技术 黑产攻防 HTTP协议 JavaScript混淆 加密算法 动态更新 异常检测 数据分析 防御策略
0xd 无形的注视——蓝牙设备的允许列表侧信道攻击
数缘信安社区 2023-10-26T07:01:38 © 丁景宏
你的蓝牙也许正在泄露你的隐私。
0xe 最新linux漏洞CVE-2023-4911可获得root权限
水网火安 2023-10-25T18:57:09
本文报道了GNU C库(glibc)中一个名为CVE-2023-4911的缓冲区溢出漏洞。glibc是GNU/Linux操作系统的基础组件,其动态加载器在处理GLIBC_TUNABLES环境变量时存在安全漏洞。攻击者可以利用此漏洞获取Linux系统的root权限,对系统安全构成严重威胁。该漏洞影响主流的Linux发行版。文章详细分析了漏洞的触发条件和处理流程,指出parse_tunables()函数在处理GLIBC_TUNABLES变量时的不当操作是漏洞的根本原因。
Linux漏洞 缓冲区溢出 root权限 操作系统安全 动态加载器 glibc
0xf 微软计划在 Windows 11 中取消 NTLM ,使用 Kerberos 进行更强大的身份验证
水网火安 2023-10-25T18:57:09
微软近期宣布将在Windows 11操作系统中取消NTLM身份验证协议,转而使用Kerberos协议提供更强大的身份验证。NTLM协议是早期Windows版本的标准安全协议,但由于其安全性问题,如NTLM中继攻击和哈希传递攻击,微软决定在Windows 11中弃用。Kerberos协议是目前Windows 2000以上所有Windows版本上的域连接设备的默认身份验证协议。为了提高安全性,微软正在开发两个新的Kerberos功能:IAKerb(使用Kerberos进行初始和传递身份验证)和本地KDC(本地密钥分发中心)。这一变化旨在减少安全风险,并增强Windows操作系统的整体安全性。
操作系统安全 身份验证协议 安全漏洞 安全更新 安全最佳实践 恶意软件攻击
0x10 实战 | 记一次管理后台到微信小程序再到管理后台的攻击链
蚁景网络安全 2023-10-25T17:31:11
本文描述了一次从管理后台到微信小程序再回到管理后台的攻击链实例。作者在一个高强度网络攻防演练(HVV)期间,偶然发现了一个与目标后台具有相同标识的小程序。通过分析,发现该小程序允许任何用户使用微信直接登录,并且存在越权访问漏洞,能够使普通用户获取其他用户的敏感信息及修改账户管理功能。利用这一漏洞,作者成功修改了目标用户(教师或管理员)的手机号码。随后,作者利用已修改的手机号码登录最初的管理后台,并通过进一步探索,找到了一个可能上传webshell的位置。尽管初次尝试上传aspx文件失败,但经过一系列的文件扩展名测试后,发现soap文件可以成功绕过防护并获得webshell。这次攻击展示了不同平台资产间的关联性和安全性差异的重要性。
Web应用安全 越权访问 身份验证漏洞 文件上传漏洞 WAF绕过 跨目录文件上传
0x11 核心产品|嘉韦思蜜网欺骗防御系统,部署快见效快的网络安全“药方”
嘉韦思 2023-10-25T17:26:57
让信息安全不再遥远
0x12 内网穿透工具Ngrok加密流量分析
安全牛 2023-10-25T12:36:43 xhbw
本文详细分析了内网穿透工具Ngrok的加密流量。Ngrok是一款基于Go语言开发的内网穿透工具,支持TCP、HTTP和TLS协议。它主要用于解决内网资源无法被外网访问的问题,具有简单易用、快速连接和跨平台等特性。然而,该工具也可能被攻击者利用进行网络渗透。文章指出,攻击者可以通过Ngrok将内网服务映射至公网,如Windows的RDP服务和Linux的SSH服务。由于Ngrok使用TLSv1.3协议加密流量,这使得流量分析和检测变得更加困难。观成科技安全研究团队对Ngrok进行了研究,发现其存在心跳特征,可以通过指纹过滤、特征匹配和流量行为分析等方法进行检测。文章还提到了Ngrok的Web Interface监控界面和配置选项,以及如何通过子域名保持连接地址的不变性。
内网穿透 加密流量分析 网络安全威胁 隐蔽通信 流量行为分析
0x13 【免杀技术】SingleSC 10.25 红队免杀加载器
猫蛋儿安全 2023-10-25T09:02:43 © 猫蛋儿
声明:此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授
0x14 SolarWinds修复了其访问权限管理产品中的三个严重的远程命令执行漏洞
黑猫安全 2023-10-24T09:48:59 鹏鹏同学
SolarWinds Access Rights Manager (ARM)产品被发现存在三个严重的远程代码执行漏洞,这些漏洞被安全研究人员通过Trend Micro的Zero Day Initiative (ZDI)在6月22日报告。这些漏洞分别为CVE-2023-35182、CVE-2023-35185和CVE-2023-35187,均被评为9.8的高严重性级别,允许远程攻击者在无需身份验证的情况下执行任意代码。这些漏洞分别存在于createGlobalServerChannelInternal、OpenFile和OpenClientUpdateFile方法中,主要问题在于对用户提供的数据缺乏适当的验证,导致不受信任数据的反序列化和文件操作。SolarWinds已于10月18日发布了ACM版本2023.2.1,修复了这些安全问题。
远程代码执行 高危漏洞 未认证访问 数据反序列化 文件操作 系统权限执行 补丁发布
0x15 Linux下利用Docker快速部署配置Kafka服务
二进制空间安全 2023-10-23T18:22:19 ©
论文摘要是学术论文中不可或缺的一部分,它简洁明了地传达了研究的核心思想和重要结果。撰写高质量的摘要对于提升论文的见刊率至关重要。摘要通常在论文完成后编写,但也可以提前开始并根据后续进展进行调整。一个优秀的摘要应突出研究的亮点和创新之处,强调其实际价值和意义。此外,摘要还应遵循一定的结构和写作规律,确保内容清晰、准确且易于理解。通过精心打磨摘要,可以提高论文被接受和引用的概率。
0x16 通过条件竞争实现内核提权
蚁景网络安全 2023-10-23T17:30:40 © hope
本文详细介绍了条件竞争漏洞(Race Condition Vulnerability)在内核中的利用,以LK01-4的open模块为例。该漏洞发生在多线程或多进程并发执行时,由于执行顺序不确定或缺乏同步措施,导致多个线程或进程尝试访问和修改共享资源,从而引发安全问题。LK01-4模块在执行open操作后会设置mutex标志,防止重复打开同一文件描述符。然而,在多线程环境下,如果线程1在设置mutex之前和线程2在设置后之间切换,线程2可能会误认为第一次执行open,从而获得指向同一内存区域的文件描述符,导致后续的Use-After-Free(UAF)漏洞。为了验证这一漏洞,文章提供了一个多线程POC程序,通过不断调用open模块并利用CPU亲和性绑定线程到不同CPU核心,提高触发条件竞争的成功率。利用过程包括:通过条件竞争使open模块执行两次,利用UAF漏洞控制堆内存,篡改ops指针执行栈迁移,最终通过prepare_kernel_cred -> commit_creds -> swapgs_restore_regs_and_return_to_usermode序列完成提权操作。
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
