2021年 第8周 微信公众号精选安全技术文章总览

    洞见网安 2021-2-22


    0x1 一款为渗透测试设计的多功能网络安全&漏洞利用引擎

    Linux网络安全 2021-02-28T09:30:00

    Example Image


    本文介绍了一款名为NERVE的网络安全和漏洞利用引擎,该工具旨在为渗透测试提供多功能支持。NERVE适用于需要持续安全扫描的场景,如动态环境中的基础设施更新、提前发现异常安全问题以及快速安全响应。它是一款漏洞扫描工具,专注于寻找应用程序配置缺陷、网络服务和未修复的安全漏洞。NERVE能够检测管理面板、子域名接管、开放代码库、废弃/默认Web页面、错误配置等服务,但它不替代认证扫描工具,只能在黑盒模式下运行。NERVE具有自动安装依赖组件和Dockerfile支持,安装过程需要root权限。文章提供了NERVE的安装步骤,包括使用Docker或服务器端安装,并说明了如何访问工具的登录界面、仪表盘、安全评估配置、扫描报告、网络映射、漏洞管理页面和日志终端。NERVE遵循MIT开源许可证协议,项目地址为https://github.com/PaytmLabs/nerve。

    网络安全工具 漏洞扫描 渗透测试 动态环境 持续安全监控 黑盒测试 开源软件 依赖管理 Docker支持


    0x2 HVV中利用office宏代码反弹shell的两种方式

    天策安全技术联盟 2021-02-27T20:05:54 天策安全技术联盟

    Example Image


    本文介绍了在HVV(高级持续性威胁)活动中,利用Office宏代码反弹shell的两种方法:Metasploit和CobaltStrike。首先,文章说明了宏病毒的概念,以及Word中宏代码的自动执行条件。接着,详细描述了使用Metasploit生成VBA后门的过程,包括宏设置、生成vba后门文件、复制代码到Word宏编辑界面,并在MSF中设置监听以接收反弹的shell。第二种方法是使用CobaltStrike,涉及配置服务端和客户端,生成后门,复制代码到Office宏,并保存为特定版本的Word文档。最后,文章提到打开文档并启用宏后,通过CobaltStrike检查连接是否成功。

    宏病毒 Metasploit CobaltStrike 反弹shell 钓鱼邮件 HVV


    0x3 如何识别恶意Cobalt Strike服务器

    Linux网络安全 2021-02-27T09:30:00

    Example Image


    Cobalt Strike是一款由Strategic Cyber LLC公司开发的渗透平台,广泛用于网络安全专业人士进行模拟攻击和后渗透行动。尽管该工具的非法使用受到监管和出口管制,但它已成为同类软件中的热门选择。文章指出,Cobalt Strike被APT32等威胁集团用于初步渗透,并且Cobalt集团严重依赖该框架。识别Cobalt Strike服务器对企业网络的连接对于安全测试人员和防御者至关重要。文章详细介绍了多种检测Cobalt Strike服务器的方法,包括基于默认安全证书的指纹识别、基于NanoHTTPD响应的检测、基于JA3指纹的检测以及基于JARM的检测。这些方法可以帮助防御者建立预警机制,并在蓝队活动前采取行动。文章还讨论了JARM检测的局限性,指出它不能直接用于确定Cobalt Strike的存在,而只能作为辅助手段。

    渗透测试工具 网络安全检测 威胁情报 恶意软件分析 TLS指纹识别 TLS指纹工具 开源工具 SIEM集成 安全研究


    0x4 Windows访问控制

    网络安全透视镜 2021-02-26T23:42:01

    Example Image


    本文详细介绍了Windows操作系统中访问控制的几个关键方面。首先,文章讲述了如何查看和关闭默认共享,提供了通过计算机管理工具、DOS命令和文件资源管理器三种方法来查看共享文件。接着,介绍了如何通过修改注册表关闭默认共享,并强调了查看和设置文件或文件夹的安全权限的重要性。文章还涉及了检查服务器系统的访问控制列表,删除无用的账号,以及如何创建和删除用户。此外,还讨论了如何检查用户权限,包括查看系统分组、分配权限以及使用组策略编辑器管理权限。最后,强调了用户角色分离和管理上的最佳实践,以提高系统的安全性。

    Windows系统安全 访问控制 注册表安全 账号管理 安全策略 网络安全实践


    0x5 从一道题目学习XXE漏洞

    蚁景网络安全 2021-02-26T19:54:25 © L\'s

    Example Image


    本文深入探讨了XXE(XML外部实体注入)漏洞,这是一种在应用程序解析XML输入时发生的漏洞。文章首先介绍了XXE漏洞的概念、危害以及触发点,随后详细解释了XML的基本构成、作用、语法和格式。接着,文章阐述了DTD(文档类型定义)的概念及其在XML中的作用,包括内部实体、外部实体和参数实体。文章通过实际案例展示了如何利用XXE漏洞读取文件,并分析了可能导致XXE漏洞的代码问题。最后,文章提出了防御XXE漏洞的方法,包括禁用外部实体和验证用户提交的XML数据,并提供了相关的参考链接。

    XXE 漏洞 XML 安全 安全漏洞 攻击与防御 网络安全实践 漏洞利用 代码审计 XML解析器


    0x6 【漏洞情报】SaltStack 多个高危漏洞通告

    云弈安全 2021-02-26T16:23:37 榴莲

    Example Image


    SaltStack在2021年2月发布了安全更新的风险通告,披露了多个高危漏洞。这些漏洞包括:CVE-2021-25281,SaltAPI中的代码执行漏洞,攻击者可利用该漏洞执行任意Python代码;CVE-2021-25282和CVE-2021-25283,与CVE-2021-25281结合可实现代码执行;CVE-2021-25284,webutils将明文密码写入日志文件;CVE-2021-3197,SSH模块的命令注入漏洞;CVE-2021-3148和CVE-2021-3144,分别涉及命令注入和eauth令牌使用问题。这些漏洞影响Saltstack 3002.2之前的所有版本。官方建议升级到SaltStack 3002.5、3001.6或3000.8及以上的安全版本,或采取其他缓解措施。

    高危漏洞 SaltStack 代码执行 命令注入 身份验证绕过 目录穿越 配置错误 安全更新 安全通告


    0x7 SaltStack多个高危漏洞

    华顺信安 2021-02-26T16:05:15 华顺信安

    Example Image


    SaltStack是一款基于Python开发的配置管理工具,近期发布了安全更新,修复了多个高危漏洞。这些漏洞包括远程命令执行、目录穿越、服务端模板注入等,可能被攻击者利用执行未授权的远程代码。其中,CVE-2021-25281和CVE-2021-25283被标记为高危漏洞。全球范围内有126个相关服务对外开放,主要分布在美国、加拿大、爱尔兰、德国和英国。为了修复这些漏洞,SaltStack建议用户升级到3002.5、3001.6或3000.8及以上的安全版本,并设置自动更新以获取最新补丁。此外,如果未使用wheel_async模块,用户可以删除其api调用入口以临时缓解漏洞。

    配置管理工具安全 远程代码执行 服务端模板注入 目录穿越 密码泄露 Shell注入 命令注入 SSL/TLS安全 认证安全 特权升级 软件漏洞


    0x8 【技术向】SSH加密隧道流量攻击与检测技术

    星河安全 2021-02-26T11:19:00 © 星河学院

    Example Image


    星河学院作为江苏中新赛克工业互联网安全技术创新中心的安全人才培养摇篮和安全技术创新源泉,专注于工业互联网安全和物联网安全等领域的前沿技术研究与人才培养。文章详细介绍了网络隐蔽通道技术,包括存储和时间隐蔽通道,以及其构建方式,如利用网络协议漏洞和报文时间特性。同时,文章对SSH协议和SSH隧道进行了简介,包括SSH协议的通信协商阶段和SSH隧道的端口转发功能。接着,文章提出了一种攻击设计方案,通过SSH协议的三种端口转发方式搭建隧道,以提高MySQL客户端与服务端通讯的安全性。最后,文章讨论了基于会话行为的模式识别检测方案,包括使用机器学习和深度学习模型进行流量识别和SSH隧道检测,并提供了实验结果和模型设计。

    网络隐蔽通道技术 SSH协议 SSH隧道 攻击方案设计 SSH隧道流量检测与识别 安全隧道 工业互联网安全 物联网安全 网络安全防御


    0x9 8款WebShell扫描检测查杀工具(附下载地址)

    猎安云原生安全 2021-02-26T10:54:11 乌雲安全

    Example Image


    本文介绍了8款WebShell扫描检测查杀工具,包括D盾防火墙、WEBDIR+、WebShellkiller、WEBSHELL.PUB、CloudWalker(牧云)、WebShell Detector、BugScanerkillwebshell以及基于深度学习的PHP Webshell检测模型。这些工具支持多种服务器系统和脚本语言,能够通过不同的技术手段检测和清除WebShell,包括正则表达式、动态监测技术、机器学习等。文章提供了各工具的下载地址或在线检测链接,并强调了它们在防御黑客入侵和保障服务器安全方面的重要性。

    Web安全 恶意软件防护 入侵检测 网络安全工具 开源安全


    0xa 记一次 Linux服务器被入侵后的排查思路

    Linux网络安全 2021-02-26T09:30:00 book4yi

    Example Image


    本文详细介绍了Linux系统中的账号安全、登录信息排查、sudo用户列表、用户登录信息查看、系统日志检查等方面的内容。文章首先解释了用户信息文件(/etc/passwd)和影子文件(/etc/shadow)的格式和作用,以及如何查看可登录用户和sudo权限的用户。接着,文章介绍了如何查看当前登录用户及登录时长,以及如何排查用户登录信息,包括查看最近登录成功的用户及信息和登录失败的用户及信息。此外,文章还讲解了如何使用last命令排查黑客登录时间,以及如何锁定日志文件以防止被删除。文章还涉及了sudo用户列表的入侵排查、禁用或删除多余及可疑的帐号、通过.bash_history文件查看帐号执行过的系统命令等。最后,文章介绍了如何检查端口连接情况、分析进程、检查开机启动项、计划任务排查、查询已安装的服务、查找修改的文件、查看敏感目录、分析系统日志等安全检查方法。

    账号安全 入侵检测 日志分析 系统安全配置 恶意软件查杀 安全工具 Linux系统安全 命令行工具


    0xb 【漏洞复现】CVE-2020-14882 WebLogic 远程代码执行漏洞

    网络安全透视镜 2021-02-25T22:22:53

    Example Image


    本文详细介绍了CVE-2020-14882 WebLogic远程代码执行漏洞。该漏洞于2020年10月30日由Oracle官方发布,漏洞等级严重,评分为9.8。攻击者通过构造特殊HTTP请求,无需身份验证即可接管WebLogic Server Console并在其中执行任意代码。受影响的版本包括Oracle Weblogic Server 10.3.6.0.0至14.1.1.0.0。文章提供了使用Vulhub漏洞环境复现漏洞的步骤,包括未授权访问和执行payload。最后,文章给出了漏洞修复建议,包括关闭对外访问权限并及时安装Oracle官方发布的补丁。

    WebLogic 漏洞 远程代码执行 CVE 编号 Oracle 漏洞 漏洞复现 安全漏洞 安全修复 漏洞评分


    0xc SSRF(服务器端请求伪造)攻击,如何进行内网穿透

    仙网攻城狮 2021-02-25T13:00:34 © 太白

    Example Image


    点击\x26quot;仙网攻城狮”关注我们,回复任意字可以获取到最全视频教程!!!


    0xd LWN 533632: 内核 GPIO 子系统的未来发展方向

    泰晓科技 2021-02-25T11:31:05 ©

    Example Image


    本文介绍了Linux内核中通用目的输入输出(GPIO)API的未来发展方向。目前,GPIO API主要依赖整数类型的引脚标识符,但这种方式存在一些局限性,例如难以描述GPIO引脚的具体功能,且在硬件配置动态变化时容易出错。为了解决这些问题,社区提出了基于描述符的GPIO接口,通过引入struct gpio_desc *指针类型来标识GPIO引脚,并提供了一组新的用户接口函数,如gpiod_direction_input()和gpiod_get_value()等。这些函数使用描述符代替整数编号,使得GPIO引脚的管理更加灵活和可靠。此外,还提出了GPIO组(Block GPIO)的概念,允许将多个GPIO引脚作为一个整体进行操作,提高了GPIO使用的效率。这两个补丁集已经引起了内核社区的积极反响,并有望被合入内核主线。

    Linux内核 GPIO接口 硬件接口安全 内核安全 开发安全


    0xe 漏洞挖掘 | 记一次越权登录

    Linux网络安全 2021-02-25T09:31:07 神奇宝贝训练家

    Example Image


    本文记录了一次越权登录的漏洞挖掘过程。作者通过Fofa工具收集了四个站点信息,发现了一个可以直接通过URL参数登录学生用户的漏洞。随后,作者通过社工获取的管理员账户信息,修改登录参数成功以管理员权限登录后台。在后台发现了一处SSRF漏洞,并利用该漏洞进行了测试。经过几天的观察,作者发现网站进行了修复,但仍然通过抓包绕过了JWT验证。作者还发现了一处暴露的账户和密码。最终,作者在学校的请求下再次尝试挖掘漏洞,并成功绕过了新的安全措施。文章中提到了厂家的修复方案,包括增加登录者身份关系校验和修改参数设置等。

    漏洞挖掘 越权访问 SSRF 黑盒测试 接口安全 安全修复 JWT验证 网络安全事件


    0xf 【漏洞情报】VMware vCenter Server远程代码执行漏洞

    云弈安全 2021-02-24T18:19:48 榴莲

    Example Image


    2021年2月24日,云弈科技发现VMware发布了针对vCenter Server和ESXI的风险通告,披露了两个高危漏洞。攻击者可通过网络端口访问权限利用这些漏洞执行任意代码。受影响的版本包括vCenter Server 7.0/6.7/6.5和ESXi 7.0/6.7/6.5。VMware提供了详细的修复方案,包括升级到特定版本和安全补丁。此外,还提供了临时修补建议。"天视"和"云戟"安全平台已更新插件以支持对这些漏洞的检测。北京云弈科技有限公司,成立于2017年,专注于网络安全解决方案的研发,服务多个行业,旨在提升客户的安全防护能力。

    远程代码执行漏洞 高危漏洞 VMware vCenter Server VMware ESXi 补丁更新 临时修补建议 资产风险监控 安全解决方案提供商


    0x10 Ping一个不存在的IP,防火墙上会发生什么?

    车小胖谈网络 2021-02-24T16:53:58 ©

    Example Image


    有个疑问,就是在nat下面如果一台主机向外部不存活的主机发送数据,那么在nat中相应的映射会不会建立?IP地


    0x11 CSRF(跨站请求伪造)攻击实战

    仙网攻城狮 2021-02-24T11:42:22 © 太白

    Example Image


    点击\x26quot;仙网攻城狮”关注我们,回复任意字可以获取到最全视频教程!!!


    0x12 利用ShadowMove巧妙的隐蔽连接

    星河安全 2021-02-24T11:24:00 © 星河学院

    Example Image


    本文介绍了ShadowMove技术,一种通过复制套接字劫持网络连接的隐蔽连接方法。ShadowMove技术能够在不提权、不建立新连接、不进行额外身份验证或进程注入的情况下,滥用良性进程建立的TCP连接。文章详细分析了ShadowMove的技术原理,包括复用合法连接进行横向移动的三个主要步骤。此外,还提供了ShadowMove的复现实验环境和方法,包括源主机和目标主机的设置以及实现过程的详细描述。文章最后总结了ShadowMove技术的局限性,指出其仅适用于缺乏充分源信息完整性检查的明文传输协议,并讨论了其可能带来的安全风险和防御措施。

    恶意软件攻击 隐蔽连接 横向移动 操作系统安全 安全防御 网络安全研究


    0x13 干货 | 渗透之网站Getshell最全总结

    Linux网络安全 2021-02-24T09:31:19

    Example Image


    本文详细介绍了网络安全领域中获取shell的多种方法,包括直接进入管理员后台获取shell和不进入后台获取shell的技巧。文章首先概述了通过上传Webshell、利用后台数据库备份、修改网站上传类型、解析漏洞、编辑器漏洞、网站配置插马、模板编写、上传插件或更新页面、执行SQL语句、命令执行、文件包含、数据库命令执行、菜刀直连、IIS/Tomcat写权限、上传漏洞、上传会员头像、注入漏洞等多种攻击手段。此外,文章还提到了利用0day漏洞、写入日志、远程命令执行、XXE、SSRF、反序列化等漏洞的组合利用方法。最后,文章强调了网络安全的重要性,并提醒读者关注版权声明。

    Webshell攻击 后台Getshell 文件上传漏洞 解析漏洞 编辑器漏洞 SQL注入 命令执行漏洞 0day漏洞利用 日志写入攻击 IIS/Tomcat漏洞利用 上传漏洞利用 其他漏洞利用


    0x14 H3C综合实验,IRF 、BFD MAD 、VLAN 、TRUNK 、聚合口和静态路由,大赞!

    网络技术联盟站 2021-02-24T08:01:00 点击关注 👉

    Example Image



    0x15 Struts2 系列漏洞 - payload 变化及 S2-045 分析

    Medi0cr1ty 2021-02-24T00:59:42 ©

    Example Image


    宁静在遥远处波动


    0x16 【铭说】恶意软件分析,新版本的Danabot

    聚铭网络 2021-02-23T18:00:00 © J博士

    Example Image


    2021年新年伊始,臭名昭著的银行木马DanaBot更新了版本。DanaBot 是2018年5月首次由pro


    0x17 Linux提权

    网络安全透视镜 2021-02-22T20:21:20

    Example Image


    本文详细探讨了Linux系统的提权方法,包括Spring提权后的操作、常见的提权技术如内核漏洞、以root身份运行的程序、软件漏洞等。文章还介绍了如何通过sudo命令提权,解释了sudo的工作原理和配置文件sudoers的作用。此外,还讨论了如何通过信息收集来判断系统是否为虚拟机,以及如何收集内核、操作系统和设备信息。文章还提到了用户和群组信息、用户权限信息以及环境信息等。最后,文章详细介绍了使用工具如John the Ripper、hashcat等破解密码哈希的方法,以及SUID/GUID文件提权、Docker组提权和内核漏洞提权的具体技术细节和工具使用。

    Linux Security Privilege Escalation System Exploitation Password Security Kernel Vulnerability Sudo Configuration File Permissions Docker Security Exploit Development Security Tools


    0x18 CRLF(HTTP响应拆分漏洞)攻击实战

    仙网攻城狮 2021-02-22T16:53:50 © 太白

    Example Image


    点击\x26quot;仙网攻城狮”关注我们,回复任意字可以获取到最全视频教程!!!


    0x19 一文读懂远程线程注入

    蚁景网络安全 2021-02-22T13:30:23 © 大鱼

    Example Image


    本文深入探讨了远程线程注入技术在网络安全领域中的应用,特别是其在红队行动中对蓝队发起攻击时的作用。文章首先介绍了红队攻击的基本目标和攻击步骤,强调了获取初始访问权的重要性。接着,详细解释了远程线程注入的概念,它通过将shellcode注入到另一个合法进程中,并创建一个新线程来运行payload,以实现攻击目的。文章对比了三种实现远程线程注入的方法:标准Windows API、Native API和直接syscalls。每种方法都有其优缺点,包括易用性、检测可能性以及对不同操作系统版本的支持。文章通过实际代码示例展示了如何使用这些方法,并讨论了如何在不同的Windows版本上运行这些攻击。最后,作者分享了一些关于Windows底层知识和利用syscalls的见解,旨在为网络安全从业者提供启发和灵感。

    远程线程注入 进程注入 Windows API Native API Syscalls 红队攻击 防御技术 恶意软件分析 Windows安全

    本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。