2021年 第45周 微信公众号精选安全技术文章总览
洞见网安 2021-11-8
0x1 记一次APP抓包笔记
小白安全记录 2021-11-14T22:31:00 小白
本文是作者在进行网络安全研究时的一次APP抓包实践笔记。作者在对某个公众号的APP进行安全测试时,发现APP对抓包进行了限制,使得使用burp等工具无法捕获到请求数据包。通过反编译APP,作者发现APP通过检测系统属性来判断是否设置了代理,从而阻止了抓包行为。尽管尝试了多种方法,包括使用VPN和Charles等工具,但都未能成功抓包,且在尝试过程中APP提示网络状态异常。作者怀疑可能是SSL pinning的问题,但检查源码后并未发现相关限制。最终,作者通过在App Store下载iOS版本的APP,并配合使用shadoweocket工具,成功绕过了抓包限制。文章最后,作者提出了使用VPN工具绕过API检测代理上网的方法,并鼓励读者在网络安全领域不断探索和学习。
APP抓包 逆向工程 SSL Pinning 网络代理 API检测 网络安全
0x2 利用MAC绕过防火墙探测存活主机
K8实验室 2021-11-14T22:18:13 k8gege
Ladon中28种探测存活主机方法(含绕过防火墙探测)
网络安全 内网渗透 网络扫描 防火墙 操作系统 漏洞扫描 工具使用 实验分析
0x3 内网文件传输技术-Windows篇
X的碎碎念 2021-11-13T19:51:36 Xavier
本文简述内网Windows主机文件传输技术,包括利用ftp、VBScript、powershell、certutil.exe、bitsadmin、Xcopy,都是些老技术,整理分享。
0x4 APP加固攻防梳理
京数安 2021-11-12T08:10:00
撰写论文摘要是学术写作中的重要环节,它不仅是对论文内容的精炼概括,也是吸引读者继续阅读的关键。摘要应简洁明了,包含研究背景、目的、方法、结果和结论等关键信息。好的摘要具有独立性、内容性和新颖性,能够准确传达论文的核心观点和创新点。在写作过程中,作者需要确定摘要的关键信息,避免使用冗长复杂的语句,并确保语言简练易懂。摘要的结构应符合整篇论文的结构,即按照目的、方法、结果和结论的顺序进行描述。此外,摘要还应遵循特定的规范要求,如字数限制和避免引证举例等。通过遵循这些技巧和原则,可以撰写出高质量的论文摘要,提升论文的整体质量和影响力。
APP加固 逆向工程 安全防护 Android安全 代码保护
0x5 VMware vCenter Server权限提升漏洞风险提示
安恒信息CERT 2021-11-11T17:44:19
2021年11月10日,VMware发布了安全公告,修复了vCenter Server的一个权限提升漏洞(CVE-2021-22048)。该漏洞允许攻击者通过vCenter Server的IWA(集成Windows身份验证)认证机制提升其普通用户权限至更高权限组。受影响的版本包括VMware vCenter Server 7.0和6.7版本,以及Cloud Foundation (vCenter Server) 4.x和3.x版本。由于漏洞细节和利用代码尚未公开,VMware官方尚未提供修复补丁。建议用户将SSO身份源配置从IWA切换到Active Directory over LDAPs或AD FS的身份提供者联合,以缓解风险。安恒应急响应中心提供了详细的处置建议和参考链接。
漏洞公告 权限提升 VMware vCenter Server CVE-2021-22048 安全漏洞 身份验证 缓解措施 应急响应 软件安全
0x6 从一个信息泄露获取多本cnvd证书的过程
蚁景网络安全 2021-11-11T16:22:43 © 空城
文章讲述了作者在CNVD官网上寻找并挖掘web应用漏洞的过程,以获取证书。作者首先选择了一个厂商作为目标,利用fofa搜索引擎查找该厂商的系统或设备。在确定目标网站使用的是Spring Boot框架后,作者使用xray等工具进行扫描,发现了信息泄露漏洞,通过解密获取的用户密码成功登录系统,获得了第一本证书。接着,作者在进一步分析中发现了未授权访问漏洞,通过访问特定目录获得了第二本证书。在尝试获取更多证书的过程中,作者还发现了其他潜在漏洞,但最终未通过CNVD的审核。文章最后强调了运气和细心的重要性,并推荐了Springboot未授权访问的实验,以帮助读者更好地理解漏洞产生的原因和加固方案。
信息泄露 未授权访问 Web应用漏洞 密码安全 漏洞挖掘 网络安全实验
0x7 铭说 | Redis未授权访问漏洞Getshell
聚铭网络 2021-11-10T17:49:57 © 聚铭安全研究院
Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。
0x8 微软11月安全更新补丁和多个高危漏洞风险提示
安恒信息CERT 2021-11-10T17:32:55
微软在2021年11月9日发布了安全更新公告,针对其家族多个软件的55个安全漏洞进行了修复,其中包括6个严重漏洞和多个高危漏洞。这些受影响的软件包括Windows、Azure、Exchange Server、Microsoft Office、Microsoft Dynamics、Microsoft Edge等。公告中特别提到了几个高风险漏洞,如Microsoft虚拟机总线(VMBus)远程代码执行漏洞(CVE-2021-26443)、OpenSSL SM2解密缓冲区溢出漏洞(CVE-2021-3711)、远程桌面客户端远程代码执行漏洞(CVE-2021-38666)等,建议用户尽快安装安全更新补丁或采取临时缓解措施。公告还提供了详细的受影响范围和漏洞描述,以及Windows自动更新和手动更新的步骤,并指导用户参考官方通告及时下载更新补丁。
漏洞公告 微软补丁 远程代码执行 缓冲区溢出 内存损坏 信息泄露 特权提升 拒绝服务 欺骗 远程桌面 Office Exchange Server Azure Visual Studio Windows
0x9 关于FreeMarker模板注入
星河安全 2021-11-09T17:47:59 © 星河Salaxy
本文详细介绍了FreeMarker模板注入的概念、原理、漏洞演示、发现漏洞与利用方法以及防御措施。FreeMarker是一款模板引擎,用于生成HTML网页、电子邮件等输出文本。然而,如果服务端接收了用户的恶意输入并将其作为模板内容的一部分,可能会引发敏感信息泄露、代码执行等问题。文章通过实例代码和漏洞演示,展示了如何利用FreeMarker模板注入漏洞,并提供了发现漏洞的方法和利用内建函数new的技巧。同时,文章还介绍了FreeMarker的安全机制,包括限制内置函数new对类的访问、限制api内建函数的使用、禁用危险方法以及引入基于MemberAccessPolicy的新沙箱。最后,文章提出了防止模板注入的最佳实践,如不允许用户修改或提交新模板,使用“无逻辑”模板引擎,以及在沙盒环境中执行用户代码。
模板注入 网络安全漏洞 Java安全 Web安全 安全防御 代码审计
0xa 记一次注入绕过之绕了个寂寞
蚁景网络安全 2021-11-09T16:20:00
本文记录了一次网络安全学习者尝试绕过WAF进行SQL注入的过程。学习者首先通过不同方法判断数据库类型,然后尝试确定注入类型,发现是数字型注入。在绕过WAF的过程中,学习者发现了一些拦截规则,并通过修改payload成功绕过了一些拦截。然而,在尝试使用union select等payload时,遇到了难题,最终怀疑是预编译导致注入失败。尽管最终未能成功注入,但学习者记录了整个尝试过程,以便日后参考和提醒。
0xb 准确识别APT攻击的安全技术
国联易安 2021-11-09T10:22:36 © 国联君
本文详细分析了APT(高级持续性威胁)攻击的特点和识别方法。文章指出,APT攻击具有攻击者专业、目的明确、手段多样、持续时间长、隐蔽性强和间接攻击等特点。与传统网络攻击相比,APT攻击针对性强、组织严密、持续时间长、隐蔽性强。文章还介绍了APT攻击的常见特征,如针对性强、组织严密、持续时间长、隐蔽性强和间接攻击等。此外,文章回顾了近期活跃的APT组织及其攻击活动,并强调了APT攻击的威胁性。为了应对APT攻击,文章推荐了国联易安自主研发的国联恶意代码检测系统,该系统具备AI仿真诱捕技术、机器学习、根因分析、威胁情报等功能,能够有效识别和定位APT攻击。
APT攻击 网络安全技术 恶意代码检测 威胁情报 网络安全防御 网络安全趋势 网络安全产品 网络安全分析
0xc 在野完整Chrome浏览器漏洞利用攻击链分析【软件安全(本)】
水网火安 2021-11-09T08:56:21
近日,奇安信威胁情报中心红雨滴团队成功监测到多例利用Chrome浏览器高危漏洞及Windows内核权限提升漏洞的攻击案例。这些攻击旨在穿透Chrome浏览器的沙盒,实现远程代码执行。这是全球范围内首次监测到此类攻击,攻击链与PuzzleMaker组织今年6月针对多家公司的高度针对性攻击活动所用漏洞攻击链相似。红雨滴团队捕获了完整的漏洞利用攻击链,并分析了相关技术细节,以便安全厂商采取防护措施。奇安信的多款安全产品已支持对此类威胁的检测,建议用户升级至最新版本和规则库以增强安全性。
漏洞分析 浏览器安全 APT攻击 威胁情报 漏洞利用 终端安全 软件安全
0xd 瑞星捕获最新窃密木马 国内已有金融企业遭受攻击【软件安全(本)】
水网火安 2021-11-09T08:56:21
近日,瑞星威胁情报中心发现了一种名为AgentTesla的窃密木马病毒的新型变种,该病毒通过钓鱼邮件传播,诱导用户运行恶意附件。病毒能够收集用户的浏览器、邮件、FTP、VPN、即时通讯等软件的账号密码,以及屏幕截图和键盘击键等信息。瑞星公司指出,已有国内金融企业遭受了该病毒的攻击。为应对这一威胁,瑞星建议用户不打开可疑文件,部署网络安全态势感知和预警系统,安装有效的杀毒软件,并及时更新系统补丁。瑞星的ESM防病毒终端安全防护系统等产品能够拦截并查杀该病毒,帮助用户规避安全风险。
木马病毒 钓鱼邮件 窃密攻击 金融安全 终端安全 安全防护 威胁情报 漏洞利用
0xe 红蓝对抗|备战大型攻防演练,这一篇就够了
天津恒御科技有限公司 2021-11-09T08:01:13
在以往的安全观念中,攻击者如需从外网突破,势必要经历初始入侵、维持权限、信息搜集、横向提权的多个循环,直至最后获得服务器的管理员权限。
0xf 等保APP测评漏洞修复方案 - iOS篇
京数安 2021-11-08T23:31:57
撰写论文摘要是学术写作中的重要环节,它不仅是对整篇论文的精炼概括,也是吸引读者继续阅读的关键。摘要应包含研究背景、目的、方法、结果和结论等核心内容,确保语言简洁明了且易于理解。在写作过程中,作者需明确关键信息,避免冗长复杂的语句,并使用清晰直观的词汇。摘要的结构应与论文整体结构一致,通常按照目的、方法、结果和结论的顺序进行描述。此外,摘要还应具有独立性、内容性和新颖性,体现文章的创新点。不同的学术领域和机构对摘要的字数有具体要求,一般中文摘要不超过300字,英文摘要不超过250个实词。
0x10 安全周报
金瀚信安 2021-11-08T18:00:00
本周安全态势综述本周共收录安全漏洞60个,值得关注的是Cisco Policy Suite静态SSH密钥漏洞
0x11 Dll注入
蚁景网络安全 2021-11-08T16:20:00
本文介绍了DLL注入技术的原理、实现方法和应用场景。DLL注入是指向一个正在运行的进程插入/注入代码的过程,通常以动态链接库(DLL)的形式存在。文章详细解释了进程空间隔离的概念,即每个进程拥有独立的地址空间,只能修改自己的空间内的数据。DLL注入技术可以用于为目标进程添加新功能、辅助调试或安装钩子程序(API Hook)。钩子是Windows消息处理机制的一部分,允许应用程序截获并处理特定窗口的消息。文章还介绍了全局钩子和线程钩子的概念,以及如何使用SetWindowsHookEx函数设置钩子。此外,文章还讨论了远程线程注入和APC注入技术,包括使用CreateRemoteThread、VirtualAllocEx、WriteProcessMemory等函数进行远程线程注入,以及使用QueueUserAPC函数进行APC注入。最后,文章推荐了PythonHacking靶场进行实践操作,以加深对DLL注入技术的理解。
网络安全 恶意软件 提权 Windows安全 编程 攻防技术
0x12 CVE-2021-43267: Linux TIPC模块任意代码执行漏洞
信息安全最新论文技术交流 2021-11-08T12:27:00
研究人员发现Linux kernel TIPC模块任意代码执行漏洞。
0x13 压缩软件WinRAR爆安全漏洞,攻击者可以远程执行任意代码【软件安全(本)】
水网火安 2021-11-08T11:25:35
本文报道了Windows系统上压缩软件WinRAR试用版的一个新安全漏洞,漏洞编号为CVE-2021-35052,影响了5.70版本的WinRAR试用版。该漏洞使得攻击者能够拦截并修改发送给应用程序用户的请求,进而实现远程代码执行(RCE)攻击。这种攻击方式允许攻击者在受害者的计算机上执行任意代码。软件漏洞对软件安全构成重大威胁,因此,软件在正式上线前必须经过严格的安全处理和测试。一旦发现软件漏洞,应立即处理,以防止不法分子利用这些漏洞进行非法获利等不法行为。
软件漏洞 远程代码执行(RCE) Windows安全 网络安全事件 安全漏洞处理
0x14 缓冲区溢出
墨守安全 2021-11-08T09:30:00 © 江左盟宗主
本文详细介绍了常见的保护措施及其在防范内存损坏漏洞中的作用。首先,ASLR(地址空间布局随机化)通过随机化进程关键数据区域的地址空间来防止攻击者利用已知地址进行攻击。Linux下可通过/proc/sys/kernel/randomize_va_space查看其状态,Windows下默认开启ASLR,但可通过设置关闭。其次,DEP(数据执行保护)中的NX(No-Execute)技术将数据所在内存页标识为不可执行,防止恶意代码在栈上执行。PIE(位置独立可执行文件)通过随机化ELF装载内存的基址,使得反汇编后的地址用偏移表示而非绝对地址。Canary保护在函数返回前插入cookie信息,用于验证返回地址是否被篡改,防止栈溢出攻击。RELRO(重定位只读)通过设置符号重定位表格为只读或解析并绑定所有动态符号,减少GOT攻击。文章还通过一个32位程序示例,详细讲解了栈溢出的原理、利用方法、坏字节检测以及Exploit的编写,包括两种shellcode布局方式(Payload+shellcode+填充+jmp esp地址和Payload+jmp esp地址+shellcode)及其对应的Python和C语言利用代码。
ASLR DEP PIE Canary RELRO 栈溢出 缓冲区溢出 Exploit开发 坏字节 shellcode 安全配置
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
