2022年 第50周 微信公众号精选安全技术文章总览

    洞见网安 2022-12-12


    0x1 安全运营内刊—威胁分析与响应能力—数据擦除恶意软件HermeticWipe分析

    天融信教育 2022-12-18T09:00:29

    Example Image


    需注意的是,该恶意软件为了隐藏自身踪迹,还会设法破坏$LogFile和Windows事件等相关文件。


    0x2 HackTheBox:FriendZone

    loochSec 2022-12-18T01:20:51 © looch

    Example Image


    Hackthebox:FriendZone 难度不高,第一个htb靶机实战。


    0x3 了解越权攻击及5种常见攻击技术

    观初科技 2022-12-16T18:01:10 Ivy

    Example Image


    本文深入探讨了越权攻击的概念、类型、原因和常见攻击手法。越权攻击是一种通过利用系统漏洞或配置错误来获得未经授权的访问权限的网络攻击。文章首先介绍了越权攻击的分类,包括水平越权和垂直越权。接着,讨论了越权攻击的重要性,包括其可能导致的安全风险,如数据泄露、恶意软件感染和权限提升等。随后,详细描述了越权攻击的实施过程,包括漏洞利用、口令攻击、恶意软件、错误配置和社会工程学等手段。最后,文章提供了防御越权攻击的策略,如强化身份认证、最小权限原则、高级应用程序控制、监控特权会话、强化系统和应用程序、漏洞管理以及安全远程访问等。通过这些措施,企业和组织可以更好地保护其系统和数据不受越权攻击的侵害。

    网络安全 越权攻击 权限提升 攻击防御 漏洞利用 密码安全 恶意软件 社会工程学 访问控制 身份认证


    0x4 常规特殊字符被过滤的一种绕过技巧

    蚁景网络安全 2022-12-16T17:22:53

    Example Image


    本文探讨了在PHP+MySQL环境下,如何绕过对特殊字符的过滤以实现SQL注入攻击。文章以一个通过HTTP GET参数接收用户输入并插入SQL查询的PHP代码为例,说明了在特殊字符被过滤的情况下,攻击者如何利用盲注技术进行攻击。文章详细介绍了如何使用十六进制编码的LIKE子句来绕过过滤,并通过具体的例子展示了如何提取数据库中的表名、列名和数据。此外,文章还提出了一些防御措施,如增加过滤关键词和注释符,以防止此类攻击。

    SQL注入 绕过过滤 盲注技术 安全防御 PHP安全 Mysql安全


    0x5 关于webshell免杀的应用思路

    SafeTime 2022-12-16T10:35:15

    Example Image


    本文详细介绍了在网络安全攻防场景中,如何针对ASPX和ASP类型的Webshell进行内容拦截和免杀处理。文章首先分析了ASPX类型Webshell的免杀技巧,包括使用Unicode编码、空字符串连接、特殊符号@、头部替换、注释、花括号和分号混淆、以及其他声明标签等。通过结合这些特性,可以对冰蝎马等Webshell进行有效的免杀处理。接着,文章探讨了ASP类型的Webshell免杀方法,主要利用变量赋值替换和换行组合的方式,例如通过变量赋值替换实现D盾免杀,并展示了如何利用中间马的方式绕过WAF写入Webshell。文章还提到了在测试中利用写文件功能往目标服务器写入Webshell的技巧,并结合函数混淆实现免杀。这些方法对于网络安全学习者和从业者来说,提供了在攻防实战中绕过Webshell检测的有效策略。


    0x6 谷歌发现用于部署间谍软件的 Windows 漏洞利用框架【软件安全(研)】

    水网火安 2022-12-15T19:59:49

    Example Image


    谷歌威胁分析小组(TAG)揭露了一家西班牙软件公司试图通过Chrome、Firefox浏览器以及Microsoft Defender安全应用程序中的漏洞进行间谍活动。该公司利用名为Heliconia的框架,针对Chrome、Firefox和Microsoft Defender中的N-day漏洞,提供了部署有效载荷的工具。Heliconia框架包含多个组件,包括用于Chrome的Web框架、针对Windows Defender的PDF Web框架,以及针对Firefox的Linux和Windows漏洞利用。该框架旨在部署名为“agent_simple”的代理。虽然谷歌、Mozilla和微软已修复这些漏洞,但TAG担心这些漏洞可能在野外被用作零日漏洞,尽管目前没有证据表明目标漏洞已被积极利用。

    漏洞利用 间谍软件 跨平台攻击 浏览器安全 操作系统安全 安全漏洞修复 零日漏洞


    0x7 Chrome支持无密码身份验证Passkeysu200b【软件安全(研)】

    水网火安 2022-12-15T19:59:49

    Example Image


    Google近期宣布,Chrome Stable M108版本开始支持无密码身份验证Passkeys。这一更新旨在解决传统密码易受钓鱼攻击和泄露的问题。Passkeys作为一种新型身份验证方式,具有不可复用性和不易泄露的特点。用户在登录应用或网站时,系统会向已配对的手机发送验证请求,用户通过手机完成身份验证。Chrome最新版本在Windows 11、macOS和Android平台上均支持Passkeys,其中在Android平台上,Passkeys将通过Google Password Manager或其他支持Passkeys的密码管理器进行同步。

    密码管理 身份验证 移动安全 浏览器安全 Google安全 网络安全趋势


    0x8 DNS从入门到放弃系列(5)

    网络小斐 2022-12-15T11:44:26 ©

    Example Image


    本文详细介绍了Local DNS的搭建过程,包括负载均衡器和递归解析服务器的安装与配置,以及数据库安装和主从配置,最后还有权威服务器的安装和配置。文章首先介绍了服务器的统一安装和时区设置,然后部署了dnsdist和pdns-recursor作为负载均衡器和递归解析服务器,并对它们进行了详细的配置。接着,文章介绍了数据库的安装和主从配置,包括MySQL的安装、主从复制设置以及Keepalived高可用配置。最后,文章介绍了PowerDNS Authoritative Nameserver的安装和配置,包括主从权威服务器的配置和MySQL数据库的配置。文章还提到了一些注意事项和问题解决方法,例如如何解决服务区上使用VIP连接数据库登录失败的问题。总体来说,本文提供了一套完整的Local DNS搭建方案,对于网络安全学习者来说是一个很好的参考。


    0x9 漏洞复现 D-Link DSL-28881A 远程命令执行

    HK安全小屋 2022-12-15T09:28:02 PeterPan_HK

    Example Image


    D-Link路由器系统存在远程代码执行漏洞,攻击者通过漏洞可以获取服务器权限。


    0xa 一次盲注漏洞的手工测试过程

    蚁景网络安全 2022-12-14T17:30:12

    Example Image


    在一次安全测试中,发现了一个ASP.NET + IIS架构的网站存在SQL注入漏洞。通过输入不同数量的单引号,观察到页面跳转规律:奇数个单引号导致页面跳转至错误页面,偶数个则跳转至拒绝访问页面。基于此规律,采用布尔盲注技术,结合MSSQL的IIF和convert函数,逐步猜测数据库名称的每个字符。测试过程使用了BurpSuite的Intruder功能,通过Cluster Bomb攻击模式和Grep-Extract规则,自动化地猜测并获取了数据库名称。文章还提到了其他SQL查询语句,用于获取主机名、表名、列名和指定数据,以及在特殊情况下手动测试的重要性。

    SQL注入 盲注测试 Web安全 渗透测试 信息泄露


    0xb Citrix Gateway和Citrix ADC远程代码执行漏洞风险提示(CVE-2022-27518)

    安恒信息CERT 2022-12-14T17:28:00

    Example Image


    近日,Citrix官方发布了安全公告,修复了Citrix Gateway和Citrix ADC远程代码执行漏洞(CVE-2022-27518),该漏洞CVSS评分为9.8,且已发现在野利用。漏洞前提是当Citrix ADC和Citrix Gateway配置为SAML服务提供商(SP)或SAML身份提供商(IdP)时,未经身份验证的远程攻击者可利用此漏洞执行任意代码。受影响的版本包括Citrix ADC/Citrix Gateway 13.0-x < 13.0-58.32等多个版本。官方已发布安全版本,建议用户及时更新。同时,提供了漏洞自查方法和缓解措施,包括通过YARA签名验证恶意软件、升级至安全版本以及临时缓解措施。

    远程代码执行漏洞 Citrix产品安全 SAML协议安全 漏洞利用 安全更新 网络安全风险


    0xc 微软12月安全更新补丁和多个高危漏洞风险提示

    安恒信息CERT 2022-12-14T17:28:00

    Example Image


    微软官方发布了12月安全更新公告,其中包含了对多个微软软件的安全更新补丁,涉及Microsoft Office、Windows Hyper-V、Windows Kernel、Microsoft Edge (Chromium-based)、Windows PowerShell等。公告特别强调了几个高风险漏洞,包括Windows客户端服务器运行时子系统(CSRSS)特权提升漏洞(CVE-2022-44673)、Windows Bluetooth Driver特权提升漏洞(CVE-2022-44675)、Windows Kernel特权提升漏洞(CVE-2022-44683)以及Windows SmartScreen安全功能绕过漏洞(CVE-2022-44698)。其中,CVE-2022-44698存在在野利用,建议用户尽快安装安全更新补丁或采取临时缓解措施。公告还提供了受影响系统的详细列表,包括多个Windows客户端和服务器版本。此外,还列出了其他多个漏洞的快速阅读指引。用户应通过Windows更新自动或手动下载并安装相关补丁,以修复这些漏洞。

    漏洞公告 CVE 特权提升 远程代码执行 安全功能绕过 微软产品 Windows系统 补丁更新 高风险 在野利用


    0xd Fortinet FortiOS SSL-VPN远程代码执行漏洞风险提示(CVE-2022-42475)

    安恒信息CERT 2022-12-14T17:28:00

    Example Image


    近日,Fortinet FortiOS官方发布安全公告,修复了一个远程代码执行漏洞(CVE-2022-42475),该漏洞CVSS评分为9.3。漏洞存在于FortiOS sslvpnd中,可能导致未经验证的远程攻击者通过特制的请求执行任意代码或命令。受影响的FortiOS版本包括7.2.0至7.2.27、6.4.10至6.4.11、6.2.11至6.2.12等。Fortinet已发布安全版本修复该漏洞,建议用户尽快升级至安全版本。目前已有在野利用情况,但漏洞细节和测试代码未公开。安恒信息CERT已验证该漏洞的可利用性,并提供了缓解措施,包括升级至安全版本、检查日志文件、文件系统以及防火墙连接等。

    漏洞公告 远程代码执行 FortiOS 缓冲区溢出 安全更新 网络安全 威胁情报 漏洞分析


    0xe phpaacms未授权访问漏洞

    HK安全小屋 2022-12-14T09:21:31 h4yes

    Example Image


    POCPOST /admin/user.action.php HTTP/1.1Host: {{hostnam


    0xf 《海莲花组织Denes木马变种利用DNS隐蔽信道加密通信》分析报告

    中孚信息 2022-12-13T18:05:16 安全牛

    Example Image


    海莲花组织是一个高度组织化的国家级黑客组织,自2012年起针对中国政府机构展开网络攻击。他们使用鱼叉攻击和水坑攻击等方法,配合社会工程学手段进行渗透,传播特种木马程序以窃取机密资料。该组织的攻击武器包括Denes、CobaltStrike等,其中Denes木马是一种强反检测、强反分析的木马。最近,中孚信息分析人员捕获到的Denes木马变种利用了DNS隐蔽信道传输加密数据,以逃避安全设备检测。该变种在运行后释放了三个文件,其中一个是白签名的火狐浏览器安装程序,另外两个是真正的木马程序。恶意程序被加载后,会产生异常DNS请求,并夹带加密数据。中孚信息分析人员已还原加密算法并编写了解密脚本。海莲花组织的攻击方式多样且复杂,但核心攻击技术和最终投递载荷较为固定。

    APT攻击 钓鱼攻击 社会工程学 木马程序 隐蔽信道 加密通信 远控功能 安全检测 威胁情报


    0x10 浅析JWT Attack

    蚁景网络安全 2022-12-13T17:30:17 © quan9i

    Example Image


    本文详细介绍了JSON Web Token (JWT) 的相关知识及其常见攻击方式。JWT 是一种用于在通信双方之间传递安全信息的简洁、URL 安全的表述性声明规范,通常用于身份认证、会话处理和访问控制。文章首先解释了 JWT 的三个组成部分:头部 (Headers)、有效载荷 (Payload) 和签名 (Signature),并说明了每个部分的作用和常见算法。接着,文章深入分析了 JWT 的攻击方式,包括敏感信息泄露、算法修改攻击、未验证签名、空加密算法、爆破密钥和 Kid 参数注入等。文章通过多个 CTF 实战案例和靶场演示,如 CTFshow 系列的 Web345、Web346、Web347、Web348、Web349 和 Web350,以及祥云杯 2022 和 CISCN2019 华北赛区 Day1 Web2 等题目,详细展示了如何利用 JWT 的漏洞进行攻击。最后,文章总结了 JWT 的常见靶场和参考资料,并鼓励读者进一步学习和实践。


    0x11 AWD攻防竞赛经验技巧分享

    网络安全007 2022-12-13T16:43:20 © 网络安全007

    Example Image


    AWD攻防竞赛经验技巧分享,让你在各大AWD攻防竞赛中尽情展现自己的能力!!!


    0x12 Burp Suite Professional 2022.11.4 破解

    安全小姿势 2022-12-13T14:06:23 ©

    Example Image


    前言从 BP 的 2022.9 版本开始, BP 官方换了注册机制,最近网站评论网友反馈之前文章破解的方式不


    0x13 vulnhub--DC-3

    HK安全小屋 2022-12-13T09:42:50 juzi

    Example Image


    Vulnhub--DC-3一,部署方法1.在官网上下载zip压缩包2.下载到本地上解压缩后使用虚拟机导入.o


    0x14 Thinkphp 多语言远程命令执行漏洞复现

    网络安全透视镜 2022-12-12T21:03:03 ©

    Example Image


    本文详细介绍了Thinkphp多语言远程命令执行(RCE)漏洞的复现过程。该漏洞存在于Thinkphp v6.0.1至v6.0.13以及v5.0.x和v5.1.x版本中,当程序开启多语言功能且安装了pear扩展时,攻击者可以通过特定的参数设置实现目录穿越和文件包含,进而利用pearcmd文件包含漏洞执行远程命令。文章提供了漏洞的利用条件、影响范围、复现步骤,并分析了漏洞的产生原因。同时,文章还给出了修复建议,包括关闭多语言功能、升级至安全版本等,以帮助开发者及时修复漏洞,提高系统的安全性。

    远程命令执行(RCE) 多语言功能漏洞 目录穿越和文件包含 Thinkphp 漏洞 PHP 漏洞 漏洞复现 版本漏洞 安全建议


    0x15 ThinkPHP 多语言模块文件包含rce漏洞复现

    小阿辉谈安全 2022-12-12T19:46:00 ©

    Example Image


    ThinkPHP框架存在代码执行漏洞,当ThinkPHP开启了多语言功能时,攻击者可以通过lang参数和目录穿越实现文件包含,当存在其他扩展模块如 pear 扩展时,攻击者可进一步利用文件包含实现远程代码执行


    0x16 如何能够看懂TCP/IP 协议细节?

    车小胖谈网络 2022-12-12T18:57:37 ©

    Example Image


    01高门槛,勿入在Cisco平台上有一个很有用的Traceback\x0d\x0alog功能,实时记录当前Code运行到特


    0x17 浅谈ASN.1编码在商用密码中的应用与安全性评估

    极客安全 2022-12-12T16:25:01 © 张帆

    Example Image


    本文简要介绍ASN.1的基本语法、编码规则和应用,给出对基于ASN.1编码的X.509数字证书数据、RSA/SM2公私钥数据、SM2签名/加密数据、安全电子签章数据等进行分析的内容和目的、思路和方法,希望为密评工作的开展提供借鉴和参考。

    本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。