2023年 第48周 微信公众号精选安全技术文章总览
洞见网安 2023-11-27
0x1 vulnhub-DERPNSTINK: 1
羽泪云小栈 2023-12-02T22:12:04 © 羽泪云小栈
vulnhub-DERPNSTINK: 1 弱口令+文件上传
0x2 安全通告|Apache ActiveMQ Jolokia 代码执行漏洞
蓝鸟安全 2023-12-01T11:40:44
Apache ActiveMQ是一个流行的开源消息代理和集成模式服务器,近日被曝出存在一个严重的代码执行漏洞(CVE-2022-41678)。该漏洞允许经过身份验证的远程攻击者通过特定的API接口操作MBean,从而可能实现远程代码执行。中睿天下安全团队已经复现了这一漏洞,并发现全球有超过170万个APACHE-ActiveMQ系统可能受到影响,其中中国有超过168万个。Apache官方已经发布了补丁来修复这一漏洞,建议所有受影响的用户尽快更新到安全版本,以防止潜在的攻击。
消息中间件漏洞 代码执行漏洞 CVE编号 Apache Software Foundation 远程攻击 版本更新
0x3 干货|对某梆企业加固APP抓包实战
三十的安全屋 2023-12-01T08:00:22 sanshiOK
本文介绍了对某梆企业加固APP进行抓包的实战过程。首先,使用appmsg工具查看了APP的基本信息。接着,针对APP的加固特性,如root检测、模拟器检测、代理检测、VPN检测、Frida检测和动态调试检测等,作者采取了相应的绕过措施。特别地,通过面具的Shamiko模块绕过了root检测,使用poster工具绕过了代理检测,并通过修改Frida端口绕过了Frida检测。文章还提到了SSL Pinning的问题,并通过Frida hook脚本进行了绕过。最后,作者成功抓取了加密的数据包,并提到了脱壳修复和解密方法,但指出企业脱壳超出了讨论范围。文章末尾提供了获取工具的方式。
应用加固 抓包分析 证书安装 检测绕过 Frida使用 网络安全工具
0x4 漏洞复现-飞企互联FE业务协作平台ShowImageServlet任意文件读取
Adler学安全 2023-11-30T18:54:43 © Amica
本文介绍了飞企互联FE业务协作平台中存在的一个安全漏洞,该漏洞允许攻击者通过ShowImageServlet进行任意文件读取。漏洞影响的版本为v6.6.0及以下。文章通过fofa查询工具定位了可能受影响的系统,并提供了具体的漏洞复现方法,包括构造特定的HTTP请求来访问受限文件。作者强调,文章内容仅供学习交流,严禁未授权的攻击行为,并提醒读者注意法律责任。最后,文章给出了修复建议,建议使用白名单机制限制文件访问,避免文件包含漏洞和目录遍历漏洞,确保系统安全。
漏洞复现 任意文件读取漏洞 网络空间测绘 安全建议 法律风险提示
0x5 漏洞复现-安恒明御安全网关 aaa_local_web_preview 任意文件上传
Adler学安全 2023-11-30T18:54:43 © Amica.
本文详细描述了安恒明御安全网关产品中的一个文件上传漏洞。该漏洞存在于aaa_local_web_preview端点,攻击者可以通过构造特定的POST请求上传任意文件,包括可能包含恶意代码的PHP文件。文章提供了漏洞复现的具体步骤和POC代码,展示了如何上传文件并成功解析。同时,指出了漏洞影响的版本,并通过FOFA网络空间测绘查询提供了可能受影响的网关列表。最后,文章提出了修复建议,包括对错误信息进行统计返回和模糊化处理,以及对敏感信息文件进行加密储存,以防止信息泄露。文章强调,分享的漏洞信息仅供学习交流,未经授权的攻击行为属于非法。
文件上传漏洞 网络安全产品 漏洞复现 安全防护建议 网络空间测绘
0x6 针对黑客的Windows文件传输总结
蚁景网络安全 2023-11-30T17:26:03
本文详细探讨了文件传输技术,涵盖了从攻击者计算机到受害者Windows 10主机的下载以及反向的上传方法。文章首先介绍了在攻击者机器上设置HTTP服务器的两种常见方法:使用Python或Apache,并通过浏览器、PowerShell、cmd.exe、certutil.exe和cURL等方式从服务器下载文件。接着,文章讲解了如何设置HTTP服务器以接受文件上传,并使用浏览器、PowerShell和cmd.exe等方法上传文件到攻击者服务器。此外,文章还介绍了使用FTP服务器和SMB服务器进行文件传输的方法,包括使用pyftpdlib设置FTP服务器,以及使用cmd.exe、PowerShell和ftp.exe等工具进行文件传输。最后,文章还介绍了使用Netcat和Meterpreter进行文件传输的方法,以及使用evil-winrm直接在受害者上执行文件和脚本的功能。文章强调了网络安全的重要性,并提醒读者不要利用所学技术从事非法活动。
网络攻击 文件传输 Windows安全 恶意软件传输 后渗透 工具使用
0x7 OpenSBI RISC-V ISA 扩展检测与支持方式分析
泰晓科技 2023-11-30T14:30:16 © 晓泰
本文详细分析了OpenSBI在RISC-V扩展检测与支持方面的机制。文章首先介绍了SBI(Supervisor Binary Interface)的概念及其在RISC-V系统中的作用,即作为硬件与S模式软件之间的接口。SBI规范本身不指定硬件检测机制,通常由Device Tree或ACPI等机制实现。文章以OpenSBI v1.3.1和QEMU v8.1.0-rc0为例,探讨了OpenSBI如何检测和报告RISC-V ISA扩展。启动时,OpenSBI通过读取MISA寄存器获取Base ISA信息,并通过mscratch寄存器中的hfeatures结构体获取ISA Extension信息。对于未实现MISA寄存器的设备,OpenSBI会调用平台特定的检测函数。文章还提到了OpenSBI在启动日志中输出支持的扩展,如time、sstc等,并指出最新的开发版本中新增了对更多扩展的支持,如SMAIA、SMEPMP等。总结来说,OpenSBI通过多种机制检测和报告RISC-V扩展,为系统提供了灵活的硬件支持方式。
RISC-V OpenSBI 硬件检测 扩展支持 SBI 规范 MISA 寄存器 MScratch 寄存器 Device Tree 内核开发 Firmware
0x8 PHP安全介绍-实现文章阅读功能
小黑子安全 2023-11-30T09:17:33 © xiaoheizi
本文是一篇关于PHP安全介绍的文章,主要讲述了如何使用PHP语言实现文章阅读功能。作者详细描述了使用Navicat操作数据库,Dreamweaver设计前端页面,PhpStorm编写PHP代码,以及PhpStudy搭建环境的过程。文章中提到,在编写代码时遇到了运行错误,原因是PHP 7.0以上版本中的一些函数需要修改。作者通过在函数名后添加'i'并调整参数位置解决了问题。此外,文章还强调了源码安全的重要性,指出通过获取网站源码可以查看数据库配置文件,从而获取数据库账号密码。最后,文章提到了根据用户提交的变量获取数据库内容时可能产生的SQL注入漏洞。
0x9 【日志分析】什么?远控程序被黑客利用了?
也总想挖RCE 2023-11-30T08:30:19 © 爱做梦的大米饭
本文主要分析了网络安全中常见的远程控制软件被黑客利用的情况。文章以ToDesk、RayLink和向日葵三种远程控制软件为例,详细介绍了它们在被控端生成的日志文件及其分析要点。作者指出,在主机被内网横向攻击时,如果没有发现明显的弱密码、漏洞或web服务,那么远程控制软件的日志分析将变得尤为重要。通过分析远程控制软件的日志,可以定位到控制主机的IP地址和操作历史,从而发现可能的攻击行为。文章强调了在网络安全中,对于远程控制软件的日志应给予足够的重视,以便及时发现和应对潜在的安全威胁。
远程控制软件安全 日志分析 供应链安全 内网安全 安全应急响应 漏洞利用
0xa 开源项目CVE详细指南:从SQL注入到Shell的完整探索
蚁景网络安全 2023-11-29T17:30:19
本文详细介绍了如何通过审计开源GitHub项目获取CVE漏洞编号。作者首先推荐筛选GitHub项目,优先选择Star数量大于300且独立IP在500以上的项目进行审计。以项目'lylme_spage'为例,作者发现并利用了前台SQL注入和后台文件上传漏洞,最终实现无限制GetShell。文章详细描述了审计过程,包括鉴权机制分析、漏洞挖掘技巧、利用脚本编写以及自动化利用实现。作者强调了在挖掘漏洞时不应轻易放弃,应尽可能提高漏洞的利用性和危害性。此外,文章还介绍了如何提交漏洞报告申请CVE编号,并提供了完整的CVE申请流程和注意事项。最后,作者通过提交PR修复漏洞,展示了如何以攻促防,促进开源项目的安全性和透明度。
0xb 铭说|使用Cobalt Strike 针对Apache服务器的挖矿活动
聚铭网络 2023-11-29T16:53:11
本期铭说将带您一起了解使用Cobalt Strike针对Apache服务器的挖矿活动
0xc 漏洞复现-phpstudy_2016-2018_rce远程代码执行
Adler学安全 2023-11-29T16:52:53 © Amica.
文章介绍了PHPStudy软件中的一个远程代码执行漏洞,即phpstudy_backdoor漏洞。该漏洞影响PHPStudy 2016至2018版本。文章首先描述了漏洞的基本信息,然后提供了漏洞影响的版本和环境配置,包括操作系统和Web服务器的版本。接着,文章详细阐述了如何使用burp工具进行漏洞复现,包括设置特定的HTTP头信息来触发漏洞。此外,还提供了Python环境的配置信息和用于漏洞验证的Python脚本。文章最后强调了渗透测试的合法性,提醒读者所有渗透活动都必须获得授权。
远程代码执行 漏洞复现 安全研究 PHPStudy RCE漏洞利用 Python脚本 信息安全
0xd 漏洞复现-捷诚管理信息系统多处SQL注入
Adler学安全 2023-11-29T16:52:53 © Amica.
本文详细描述了捷诚管理信息系统中的SQL注入漏洞。该系统是一款全面的管理软件,支持自营、联营和外柜租赁,并带有工作流管理工具。文章中提到,该系统中的CWSFinanceCommon.asmx、CWSHr.asmx、cwsoa.asmx等多个接口存在SQL注入漏洞。文章提供了针对这些漏洞的复现过程,包括具体的POC(Proof of Concept,概念证明)代码和验证脚本。文章强调了漏洞复现的目的仅限于学习,并提醒读者未经授权的攻击是非法行为。同时,作者建议用户联系厂家获取修复补丁以修复这些漏洞。文章还包含了对漏洞影响的版本说明,以及如何使用FOFA进行网络空间测绘的信息。
SQL注入 漏洞复现 信息泄露 Web应用安全 漏洞修复 安全工具
0xe 应急响应-常见内存马查杀工具
也总想挖RCE 2023-11-29T09:14:29 © 爱做梦的大米饭
本文主要讨论了网络安全中的应急响应,特别是针对常见的内存马查杀工具。文章首先介绍了webshell的概念和攻击手段,包括通过上传业务、后台管理工具、数据库备份等功能上传webshell,以及通过代码注入和命令注入写入webshell。接着,文章列举了常见的内存马查杀工具,如D盾、河马、深信服等,并强调了加强管理员安全意识、定期更新服务器补丁和杀毒软件的重要性。此外,文章详细介绍了内存马的概念、原理和分类,以及php、java、C#等语言类型的内存马实现方式。最后,文章探讨了内存马的查杀方法,包括使用java-memshell-scanner、河马内存马查杀工具、COP.jar、arthas.jar和FindShell等工具进行查杀,并提供了相应的使用方法和下载链接。
网络安全 应急响应 Web安全 内存马查杀 工具技术 安全防护 代码审计 漏洞利用 攻防演练 JVM安全
0xf 安网智能AC管理系统信息漏洞
揽月安全团队 2023-11-29T08:50:07 © xingyun
安网智能AC管理系统信息漏洞
0x10 Easy | PHP中如何执行系统命令?
大伯为安全 2023-11-28T19:00:08 © d0ublewei
文章介绍了在PHP中执行系统命令的几种常见方法,包括使用反引号、exec和system函数。特别指出在Windows环境下,执行系统命令可能需要管理员权限。文章还讨论了在Linux系统中,Apache如何读取外部文件和执行系统命令。提到了权限问题,例如Apache用户默认为daemon,执行某些命令需要root权限。为了解决权限问题,可以修改Apache的配置文件,将用户改为root,或者通过编辑sudoers文件为daemon用户添加无密码执行特定命令的权限。文章最后提醒,出于安全考虑,不建议将Apache用户设置为root。
0x11 间谍软件加解密通讯模块分析
帅仔回忆录 2023-11-28T18:48:41 © qianlan
国家计算机病毒应急处理中心关于《西北工业大学遭美国NSA网络攻击事件调查报告》中的在类unix操作系统中使用的主战武器通讯分析
网络攻击分析 恶意软件分析 加密算法 逆向工程 网络安全防护
0x12 【涨知识】加密C2框架Octopus流量分析
北京观成科技 2023-11-28T18:08:33 © Zy
本文详细分析了加密C2框架Octopus的流量特征。Octopus是一个基于Python的开源C2框架,支持通过HTTP/HTTPS协议进行加密通信。文章首先介绍了Octopus的工作原理,包括三个阶段:被控制端主动连接、控制端响应并返回配置信息、以及被控制端发送用户信息和心跳。接着,文章分析了Octopus的加密方式,包括AES-256加密和SSL/TLS加密通道。此外,文章还讨论了Octopus的检测方法,包括行为分析、特征指纹和机器学习模型。最后,文章总结了Octopus的通信方式和检测技术,指出加密通信的C2工具越来越普遍,而智能检测系统是应对这种威胁的关键。
C2框架分析 加密通信 网络安全工具 流量分析 行为分析 机器学习 安全检测技术
0x13 开源软件又出大事件,ownCloud 曝出三个严重漏洞
软件评测中心 2023-11-28T18:00:58
开源文件共享软件ownCloud近日发布安全警告,指出存在三个严重漏洞,其中CVE-2023-49103漏洞可能导致管理员密码和邮件服务器凭证泄露,CVSS v3最高分为10分。漏洞影响了graphapi组件,建议删除相关文件、禁用phpinfo函数并更改机密信息。第二个漏洞影响核心库,涉及身份验证旁路问题,CVSS v3得分为9.8。第三个漏洞影响oauth2库,涉及子域验证绕过,CVSS v3得分为9。ownCloud安装量达20万次,拥有600家企业客户和2亿用户,官方建议管理员立即应用修复程序以降低风险。
0x14 应急响应中Linux常用命令
也总想挖RCE 2023-11-28T08:54:41 © 爱做梦的大米饭
文章详细介绍了Linux系统中用于应急响应的常用命令,涵盖进程/线程排查、资源占用排查、网络连接检查、日志查看及文件传输等方面。ps命令及其参数被用来显示不同类型的进程信息,如所有用户的进程、用户特定进程、无控制终端的进程等,并能展示线程详情。对于资源占用情况,free命令用于查看内存使用状况,top命令则以CPU或内存占用排序展示当前资源消耗。netstat和lsof命令帮助定位网络连接和文件占用情况。tcpdump用于网络抓包分析,journalctl查看系统日志。文本处理命令如cat、more、less、awk等用于查看和过滤文本内容。文件查找方面,find命令支持按类型、名称、大小、权限、时间等多种条件搜索文件。针对恶意文件无法删除的问题,提出通过终止相关进程或修改文件属性解决。此外,还涉及了服务状态检查、隐藏进程检测、RootKit检查以及各类服务器(Apache、Tomcat、IIS、Nginx、JBoss)的日志位置和配置解析。最后,简要提及了Java Web应用程序目录结构中的关键部分,包括web.xml配置文件、classes目录下的类文件和lib目录下的外部库。
系统监控 进程管理 线程分析 资源监控 文件分析 网络分析 日志分析 应急响应 Rootkit检测 安全配置 脚本和自动化 Web安全
0x15 Windows权限维持及排查
也总想挖RCE 2023-11-27T19:04:44 © 爱做梦的大米饭
本文详细探讨了网络安全中权限维持技术的重要性,针对Windows操作系统,分析了多种权限维持方法。文章首先介绍了注册表和组策略的概念及其在操作系统中的作用,随后深入讲解了影子账号、克隆账号、Webshell/后门/文件隐藏、计划任务、组策略脚本、辅助功能镜像劫持、映像劫持、Winlogon无落地文件维持、IIS后门权限维持、开机自启动/服务、屏幕保护程序利用以及Logon Scripts后门等多种权限维持技术。每种技术都包含了维权方式和排查方式,为安全工程师提供了应急响应和应急处置的参考。此外,文章还简要介绍了DLL劫持技术及其在权限维持中的应用。
0x16 Webshell混淆免杀的一些思路
蚁景网络安全 2023-11-27T17:30:45 © 1q1ng
本文深入探讨了Webshell混淆免杀的技术和方法。为了避免被杀软检测到,黑客会使用多种手段对Webshell进行混淆,以实现免杀目的。文章首先介绍了静态免杀的概念,即通过混淆、加密等技术手段,使Webshell在静态分析阶段难以被检测。接着,详细阐述了三种主要的混淆方法:混淆字符、利用注释和改变代码特征。混淆字符通过替换原有字符编码来降低代码特征;利用注释则利用部分杀软不识别注释的特性;改变代码特征则是通过修改代码写法而不改变其功能。文章还提到了混合使用多种方法来提高免杀效果,并举例说明了Java和PHP语言的混淆实现。最后,文章强调了多种手法混用的重要性,并鼓励读者通过实战提升免杀技能。
Webshell 网络安全 免杀技术 混淆技术 静态分析 安全防护 恶意软件检测 编程语言
0x17 如何有效避免7个常见的身份验证漏洞
恒御科技 2023-11-27T08:01:03
随着网络威胁的数量不断增加,了解学习可能会危及到客户在线身份的常见身份验证漏洞就显得格外重要。如果需要在网上
0x18 用Go自定义生成带中心图片二维码
二进制空间安全 2023-11-27T08:00:40 ©
本文深入探讨了使用Go语言自定义生成带中心图片的二维码的方法。文章详细介绍了如何通过Go语言实现这一功能,包括用户自定义二维码的URL跳转地址、中心显示图片的路径、二维码图片的大小以及最终生成二维码的宽度和高度。文章中展示了如何使用Go语言的多协程在短时间内生成多个可定制的二维码。此外,文章还介绍了如何引入和利用go-qrcode和github.com/nfnt/resize两个库来实现二维码的生成和图片的缩放。详细描述了二维码的初始化、图片的解码、缩放、居中显示以及最终的编码和保存过程。最后,文章提供了一个结构体和一系列功能函数的封装,以方便第三方调用和参数的动态接受。
网络安全编程 二维码安全 图像处理安全 数据编码安全 错误处理安全
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
