2022年 第52周 微信公众号精选安全技术文章总览

    洞见网安 2022-12-26


    0x1 快速识别网络钓鱼攻击的8种迹象

    恒御科技 2023-01-01T02:08:37

    Example Image


    本文详细分析了快速识别网络钓鱼攻击的8种迹象,包括陌生号码来电、公式化邮件问候、非官方邮件地址、邮件语法错误、威胁性邮件内容、不合理附件、索要个人信息以及社交媒体上的陌生人好友申请。文章强调了网络钓鱼攻击的狡诈性和对企业业务安全的威胁,提出了保持警惕和多层防御的重要性。通过识别这些迹象,个人和企业可以更好地防范网络钓鱼,保护个人信息和财产安全。

    网络钓鱼 安全防护 个人信息保护 电子邮件安全 社交媒体安全


    0x2 浅谈Nacos 漏洞之攻防两用

    网络安全007 2022-12-30T23:01:10 © 网络安全007

    Example Image


    浅谈Nacos 漏洞之攻防两用,充分了解这款产品的价值。


    0x3 【涨知识】新版Shadow-TLS隐蔽加密通道流量分析

    北京观成科技 2022-12-30T19:12:43 © Zy

    Example Image


    本文主要分析了Shadow-TLS-V2版本的加密通信工具及其改进。Shadow-TLS-V2在客户端转发流量进行混淆处理,将转发信息封装成TLS协议Application Data消息形式,以规避流量检测设备的检测。同时,服务端增加了校验,将非客户端访问进行重定向,返回可信网站的响应结果,降低服务端被发现的概率。文章详细介绍了Shadow-TLS-V2的工作流程,包括客户端与服务端之间的TLS握手、数据封装和HMAC校验等过程。虽然Shadow-TLS-V2在数据封装和数据校验方面有所改进,但仍然存在可检测的异常点。文章最后指出,类似Shadow-TLS的流量混淆工具在攻防演练等场景下呈现多样、多变的趋势,并强调了对这类工具的密切跟踪研究。

    加密通信工具 流量分析 网络隐蔽通道 网络安全检测 漏洞分析 TLS协议 安全研究


    0x4 在路由器中如何抓包

    OpenWrt 2022-12-30T19:00:49 © dest

    Example Image


    很多人都知道在windows下通过wireshark抓包,但如何抓取手机wifi发出的包呢


    0x5 冰蝎各版本工具分析与魔改思路

    蚁景网络安全 2022-12-30T17:35:59

    Example Image


    本文深入分析了冰蝎工具的各版本特点及其流量特征,并探讨了相应的魔改思路。V2版本通过动态密钥协商机制,客户端与服务端首次连接时生成128位密钥,后续通信通过AES加密和base64编码,具有动态解析二进制class文件和客户端编译类参数化的特点。V3版本去除动态密钥协商,采用预共享密钥,全程无明文交互。V4版本允许自定义加密解密协议,增强了安全性。文章还提出了多种魔改思路,包括更换加密算法、去除base64编码特征、修改请求协议等,以绕过安全设备的检测。通过这些方法,冰蝎工具能够有效规避安全设备的检测,提高其隐蔽性和安全性。

    WebShell管理工具 加密通信 流量分析 安全检测绕过 加密算法 恶意代码分析 安全研究


    0x6 某游戏社区App | So层逆向分析

    逆向与爬虫的故事 2022-12-30T09:30:06 ©

    Example Image


    大家好,我是TheWeiJun,不知不觉已经来到了2022年底。回顾这一年,发生了太多太多;有挫折、有喜悦,其中最开心的是结交了许多志同道合的朋友。本文将是笔者2022年最后一篇文章收官之战,全程高能,在阅读的同时不要忘记点赞+关注哦⛽️


    0x7 思沃原创之——Tomcat中间件测评的方法

    内蒙古等保测评 2022-12-30T08:50:11 © 思沃科技

    Example Image


    Tomcat中间件测评方法涵盖了对Tomcat目录结构的分析和安全功能的评估。文章首先介绍了Tomcat的目录结构,包括bin目录中的启动和停止脚本,以及conf目录中的配置文件,如catalina.policy、context.xml、logging.properties、server.xml和tomcat-user.xml等。特别指出,catalina.policy文件在启用-security参数时用于增强项目安全。接着,文章讨论了Tomcat的安全身份鉴别功能,包括账号密码验证、登录失败处理和HTTPS加密传输。访问控制方面,通过tomcat-user.xml文件可以为用户分配权限,但指出了默认口令的安全性问题。最后,文章强调了安全审计的重要性,通过logging.properties配置日志记录,以监控和分析Tomcat的运行状态和安全事件。

    Web服务器安全 身份验证 访问控制 安全审计 加密传输


    0x8 内存抓取凭据探索

    SafeTime 2022-12-29T18:30:20 © rotgrass

    Example Image


    本文介绍了一种通过内存抓取凭据的新方法,以ToDesk为例,展示了如何通过分析程序的内存来获取密码明文。作者指出,传统的密码抓取方法依赖于逆向分析和代码实现加解密算法,存在局限性。因此,提出了一种简化的方法,即直接从内存中读取密码明文。文章详细描述了如何使用Cheat Engine工具定位ToDesk.exe进程中的密码字段,并找到内存中的锚点,通过固定的偏移量获取密码明文。作者还提供了实现这一过程的代码逻辑,并在不同操作系统和ToDesk版本上进行了测试。最后,文章也指出了这种方法存在的问题,如寻找锚点的困难、程序可能销毁内存空间以及不同环境下偏移量的变化等。

    密码抓取 逆向工程 内存分析 安全漏洞利用 工具分析 网络安全


    0x9 linux跟踪技术之ebpf

    蚁景网络安全 2022-12-29T17:30:46 © un3ch1

    Example Image


    eBPF(Extended Berkeley Packet Filter)是一项革命性的技术,起源于Linux内核,可以在内核等特权上下文中运行沙盒程序,安全有效地扩展内核功能,无需修改内核源代码或加载内核模块。eBPF可以追踪任何内核导出函数的参数和返回值,实现kernel hook效果,还可以在网络封包到达内核协议栈之前进行处理,实现流量控制或隐蔽通信。eBPF本质上是一个运行在Linux内核中的虚拟机,通常与Linux内核自带的追踪功能搭配使用,如kprobe、uprobe、tracepoint和USDT。常用的eBPF工具包括BCC、libbpf和bpftrace。BCC是一个用于创建高效内核跟踪和操作程序的工具包,利用扩展的BPF(Berkeley Packet Filters)。libbpf是Linux源码树中的eBPF开发包,而libbpf-bootstrap是一个使用libbpf和BPF CO-RE进行eBPF应用程序开发的脚手架项目。bpftrace提供了一种类似awk的脚本语言,通过编写脚本,配合bpftrace支持的追踪点,可以实现强大的追踪功能。文章还详细介绍了BCC和bpftrace的使用方法和示例,以及libbpf-bootstrap项目的结构和功能。


    0xa XStream拒绝服务漏洞风险提示(CVE-2022-41966)

    安恒信息CERT 2022-12-29T17:30:22

    Example Image


    近日,安恒信息CERT监测到XStream官方发布安全公告,修复了XStream拒绝服务漏洞(CVE-2022-41966),CVSS评分为8.2。该漏洞源于XStream中的堆栈溢出问题,攻击者可通过操纵输入流注入或替换对象导致堆栈溢出,进而造成拒绝服务。此漏洞影响范围广泛,XStream版本低于1.4.20的均受影响。官方已发布安全版本1.4.20及以后版本,建议用户尽快升级以避免安全风险。安恒信息CERT已验证漏洞的可利用性,并提供了缓解措施,包括升级至安全版本、捕获异常、设置安全模式和拒绝特定类型等。

    漏洞公告 拒绝服务漏洞 XStream Java安全 CVSS评分 影响范围 漏洞利用 安全建议 安全更新


    0xb 【漏洞复现】CVE-2022-38580 skipper SSRF

    御林安全 2022-12-29T15:38:19 © cokeBeer

    Example Image


    本文是一篇关于CVE-2022-38580漏洞的复现报告,该漏洞存在于skipper版本小于0.13.237中。Skipper是一个使用Go语言实现的代理服务器,在GitHub上已有2.4k个star。漏洞类型为SSRF,通过特殊header可以控制转发URL。文章详细分析了漏洞的成因,包括请求逻辑、核心文件proxy/proxy.go中的方法调用顺序,以及Transport结构体和proxyFromHeader函数的作用。最后,文章提供了使用BurpSuite构造报文和Ncat监听8000端口的实验步骤,并给出了修复漏洞的方法,即使用proxyFromContext替换默认的Proxy函数并删除backendIsProxyHeader头的定义。

    SSRF漏洞 Go语言 漏洞复现 HTTP代理 安全修复


    0xc 微软发现 macOS 存在漏洞,允许攻击者绕过安全审查部署恶意软件【软件安全(研)】

    水网火安 2022-12-29T14:47:32

    Example Image


    微软发现 macOS 存在安全漏洞 CVE-2022-42821,该漏洞允许攻击者绕过 Gatekeeper 安全机制,在易受攻击的 macOS 设备上部署恶意软件。这一漏洞由微软首席安全研究员 Jonathan Bar Or 发现并报告,苹果公司已在 macOS 13(Ventura)、macOS 12.6.2(Monterey)和 macOS 1.7.2(Big Sur)中修复。攻击者可以利用该漏洞制作有效载荷,通过限制性 ACL 绕过网关管理员 Gatekeeper 的检查,使得恶意软件能够在目标系统上启动。此外,文章还提到了过去几年中 macOS Gatekeeper 出现的其他漏洞,如 Shrootless 和 powerdir,以及安全研究人员发布的利用代码,这些漏洞和代码同样威胁着 macOS 设备的安全性。

    操作系统安全 恶意软件部署 漏洞披露 软件安全 代码审计 安全更新 用户教育


    0xd Microsoft Exchange Server OWASSRF漏洞风险提示

    安恒信息CERT 2022-12-28T17:31:28

    Example Image


    近日,网络安全公司安恒信息CERT监测到针对Microsoft Exchange Server的OWASSRF漏洞利用链在互联网上公开。该利用链涉及两个漏洞:CVE-2022-41080和CVE-2022-41082。CVE-2022-41080是权限提升漏洞,攻击者通过Outlook Web Application (OWA)端点获得系统上下文中执行PowerShell的权限。CVE-2022-41082是远程代码执行漏洞,攻击者利用这两个漏洞可在目标系统上执行任意代码。此利用链绕过了微软官方的缓解措施,影响范围包括Microsoft Exchange Server 2019、2016和2013多个版本。微软已发布补丁修复这些漏洞,建议受影响的用户尽快更新系统,并采取临时缓解措施,如禁用OWA、限制远程PowerShell访问等。

    漏洞公告 CVE-2022-41080 CVE-2022-41082 权限提升漏洞 远程代码执行漏洞 Microsoft Exchange Server Outlook Web Application (OWA) 安全更新 缓解措施 网络安全


    0xe 快速识别网络钓鱼攻击的8种迹象

    天津恒御科技有限公司 2022-12-28T08:00:04

    Example Image


    2022年,网络钓鱼已成为最常见、也最容易得逞的攻击手段之一。随着网络技术的不断发展,钓鱼攻击的伪装手段也变


    0xf 从发现SQL注入到ssh连接

    蚁景网络安全 2022-12-27T17:30:17 © Huck Lim

    Example Image


    本文详细记录了一次网络安全渗透测试的过程。作者从一个教育站点开始,首先尝试SQL注入,但未能成功,随后发现时间盲注并尝试获取站点路径。通过分析源码,作者发现了配置文件的位置,并成功读取了数据库账号密码。在尝试直接写马失败后,作者转向数据库查询管理员密码,并发现了一个上传漏洞,通过该漏洞成功获取了webshell。接着,作者使用脏牛提权方法提升权限,并最终通过SSH连接到服务器。在连接过程中,作者巧妙地恢复了root用户,并创建了新的管理员账户,最终保持了root权限。文章最后,作者总结了渗透过程中的心得,并提到了后续可能会更新的内网渗透尝试。

    SQL注入 源代码分析 文件读取 数据库安全 上传漏洞 XSS攻击 CSRF攻击 会话固定 WebShell获取 权限提升 SSH连接 内网渗透


    0x10 漏洞复现 Kyan 密码泄露+远程命令执行漏洞

    HK安全小屋 2022-12-27T16:42:00 PeterPan_HK

    Example Image


    Kyan系统存在密码泄露+远程命令执行漏洞,攻击者通过漏洞可以获取服务器权限,导致服务器失陷。


    0x11 Burp Suite2022.11.1专业版(中英文)破解版

    零威胁 2022-12-27T14:00:54 Haosir

    Example Image


    Burp Suite是一款集成化的渗透测试工具,包含了很多功能,可以帮助我们高效地完成对Web应用程序的渗透


    0x12 RISC-V Ftrace 实现原理(2)- 编译时原理

    泰晓科技 2022-12-27T12:32:20 ©

    Example Image


    本周继续连载 RISC-V Ftrace 系列文章,记得收藏分享+关注,写文章领补贴:gitee.com/tinylab/riscv-linux


    0x13 几款Linux常用远程连接工具

    白帽文库 2022-12-26T19:01:36

    Example Image


    本文介绍了几款Linux系统中常用的远程连接工具,包括Xshell、SecureCRT、WinSCP、PuTTY、MobaXterm和FinalShell。Xshell支持SSH1、SSH2和TELNET协议,适用于Windows平台。SecureCRT支持SSH、Telnet和rlogin协议,适用于连接多种操作系统。WinSCP是一个图形化的SFTP客户端,支持SSH和SCP协议,主要用于文件传输。PuTTY是一个流行的SSH和telnet客户端,适用于Windows平台,包含多个组件。MobaXterm提供全面的远程网络工具和Unix命令,功能丰富。FinalShell是一款一体化的服务器网络管理软件,既是ssh客户端也是开发运维工具,满足多种需求。

    SSH客户端安全 远程连接安全 文件传输安全 加密技术 终端模拟软件安全 开源软件安全


    0x14 拓展gogo的能力-指纹识别篇

    ChainReactor 2022-12-26T16:34:52 © M09ic

    Example Image


    本文详细介绍了gogo工具在指纹识别方面的配置与拓展。文章首先概述了gogo的更新和作者的个人情况,接着深入讲解了gogo指纹插件的使用,包括如何编写指纹插件、匹配规则、版本号提取以及特殊场景下的指纹识别。文章通过多个案例展示了如何配置gogo插件以识别不同的服务,如Tomcat和Nacos,并介绍了如何标记重点指纹和指纹来源。此外,文章还讨论了TCP指纹插件的编写,以及gogo 2.10.*版本的新特性,如指纹来源的合并显示、指纹tag的添加和过滤条件的配置。最后,文章总结了gogo指纹识别的多样性和实用性,并提到了后续将介绍gogo与POC的联动功能。

    网络安全工具 指纹识别 漏洞评估 Web安全 TCP指纹 主动扫描 被动扫描 版本识别 插件开发 Nmap

    本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。