2023年 第10周 微信公众号精选安全技术文章总览
洞见网安 2023-3-6
0x1 LUMMA 木马浅析
安全奇点 2023-03-12T00:03:05 © xF0rk
本文对LUMMA木马进行了详细分析,LUMMA是一个提供窃密木马MaaS订阅式服务的平台,允许用户直接在平台构建木马,并支持解析、提取、检索所窃取的信息。LUMMA技术团队通过不断更新木马程序,完善其窃取数据的功能,支持窃取浏览器数据、虚拟币密钥、KEEPASS密码库等。为对抗杀软,LUMMA采用字符串混淆方案,称为MORPHER方案。文章通过静态分析工具DIE和IDA,以及动态调试工具XDBG,对木马样本进行了深入分析。分析发现木马程序具有模块化结构,采用MORPHER混淆模式对抗杀毒软件。动态调试过程中,文章介绍了如何绕过木马的反调试检测,并通过网络请求断点获取了木马与远程服务器的通信信息,包括木马搜集的敏感信息目录和HTTP上报数据的方式。
木马分析 MaaS服务 反调试技术 数据窃取 字符串混淆 网络安全动态分析 HTTP通信
0x2 objection绕过双进程保护
进击的HACK 2023-03-11T21:58:20 进击的HACK
objection绕过双进程保护
0x3 Apache Dubbo反序列化远程代码执行漏洞(CVE-2023-23638)风险提示
安恒信息CERT 2023-03-11T17:00:34
近日,Apache Dubbo官方发布安全更新,修复了一处编号为CVE-2023-23638的反序列化远程代码执行漏洞。该漏洞允许具有访问权限的攻击者通过构造恶意请求绕过Dubbo的序列化检查,触发反序列化执行恶意代码。受影响的版本包括Apache Dubbo 3.1.x <= 3.1.5、3.0.x <= 3.0.13和2.7.x <= 2.7.21。官方已发布安全版本,建议用户尽快升级。同时,安恒信息已在其防护类产品中集成该漏洞的防护能力,用户可以通过升级策略包来保护系统。
漏洞公告 远程代码执行 反序列化漏洞 Dubbo框架 Apache软件基金会 微服务安全 安全更新 漏洞影响范围 安全缓解措施 安全防护产品
0x4 LAPLAS CLIPPER 木马浅析
安全奇点 2023-03-11T10:37:46 © xF0rk
LAPLAS CLIPPER,窃密木马 MaaS 订阅式服务,用户可直接在平台构建木马程序,并可自定义设置代理服务器、持久化配置项名称等。木马程序监控受害者剪切板中内容,若与钱包地址正则匹配成功,则直接替换成攻击者钱包地址,实现欺诈转账。
恶意软件分析 网络攻击技术 网络安全防御 编程语言安全 数据加密
0x5 恶意软件BazarLoaderr主加载程序分析
天融信教育 2023-03-11T09:00:55
请勿复现!
0x6 漏洞复现-weblogic XMLDecoder反序列化
贫僧法号云空 2023-03-11T09:00:17 © 贫僧法号云空
本文详细介绍了Weblogic XMLDecoder反序列化漏洞(CVE-2017-10271)的复现过程。漏洞存在于Weblogic的WLS Security组件中,由于XMLDecoder解析用户传入的XML数据时未进行适当限制,导致可以执行任意命令。受影响的版本包括10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0, 12.2.1.2.0。文章首先使用vulhub搭建了测试环境,然后通过WeblogicVuln工具和手工方式利用漏洞。具体步骤包括构造恶意的XML数据包,通过Burp Suite抓包并修改数据包,最终实现远程代码执行。文章最后提供了官方补丁的修复方案,建议用户前往Oracle官网下载相应的安全补丁以解决此漏洞。
Weblogic漏洞 反序列化攻击 远程代码执行 漏洞复现 CVE-2017-10271 渗透测试 漏洞修复
0x7 【技术分析】剖析WinSock 的 Windows 辅助功能驱动程序特权提升漏洞(CVE-2023-21768)
赛博昆仑CERT 2023-03-10T17:38:58 © 赛博昆仑CERT
-赛博昆仑漏洞安全通告-【技术分析】剖析WinSock 的 Windows 辅助功能驱动程序特权提升漏洞(CVE-2023-21768)
0x8 蓝队初级护网总结
星航安全实验室 2023-03-10T11:49:35 星航安全实验室
本文是对网络安全蓝队初级护网实践经验的总结。文章首先讨论了设备误报的处理方法,包括策略升级和内网误报的处理。接着,文章详细介绍了网站被上传webshell后的处理步骤,包括关闭网站、服务器隔离、使用工具和手工检测,以及备份和替换操作。此外,文章强调了加强安全策略的重要性,如定期备份、安装补丁、更新软件和修改密码。文章还涉及了系统加固的方法,包括账户安全、服务与端口收敛、文件权限管理和系统日志审计。接着,文章讨论了WAF的分类和原理,以及常见的框架漏洞,如log4j、Fastjson和Shiro的反序列化漏洞,并提供了相应的判断和利用方法。最后,文章简要介绍了如何处理无回显的情况和相关的安全实践。
网络安全防护 安全设备管理 Web安全 安全加固 WAF技术 安全漏洞 安全策略 日志审计 网络控制 账户安全
0x9 iOS逆向之frida检测绕过
进击的HACK 2023-03-10T10:28:39
在做iOS APP渗透时,越狱设备启动APP闪退,尝试使用多个越狱检测屏蔽插件无效后,有可能是因为APP启动
0xa 黑客利用远程桌面软件缺陷部署PlugX恶意软件
黑猫安全 2023-03-10T09:24:10 鹏鹏同学
威胁行为者正在利用Sunlogin和AweSun等远程桌面程序的安全漏洞来部署PlugX恶意软件,这是根据AhnLab安全应急响应中心(ASEC)的最新分析得出的结果。此类攻击活动显示了威胁分子持续滥用漏洞的行为,这些漏洞允许他们在受害者的计算机上安装多种恶意有效载荷,如Sliver后开发框架、XMRig加密货币矿工、Gh0st RAT和Paradise勒索软件等。PlugX是一种模块化的恶意软件,具有信息窃取和系统控制的功能,常被中国的威胁分子使用,并持续更新其功能以逃避检测。ASEC记录的攻击案例中,威胁分子在成功利用漏洞后,通过执行PowerShell命令从远程位置获取可执行文件和DLL文件。值得注意的是,这些可执行文件之一是ESET公司的合法HTTP服务器服务,它被用来通过DLL侧加载技术加载恶意DLL文件,并最终在内存中运行PlugX。此外,PlugX还可以启动任意服务、下载并执行来自外部源的文件,并通过远程桌面协议(RDP)传播,使威胁分子能够秘密地控制受感染系统。
远程桌面漏洞利用 PlugX恶意软件 模块化恶意软件 系统控制与信息窃取 DLL侧加载攻击 后门程序 远程桌面协议(RDP)
0xb 漏洞复现-weblogic任意文件读取
贫僧法号云空 2023-03-10T09:00:56 © 贫僧法号云空
摘要是论文中不可或缺的一部分,其作用在于对全文内容进行简洁、明确的概括。撰写摘要时,应遵循一定的结构和技巧,以确保信息的完整性和准确性。首先,确定摘要的类型,如描述性、解释性和说明性摘要,并根据论文的目的选择合适的类型。其次,仔细阅读并理解全文,明确研究的目的、方法、结果和结论,这是撰写高质量摘要的基础[[7, 18]]。在写作过程中,摘要通常位于论文完成之后,但也可以提前撰写,以便后续调整。摘要的字数控制在300-400字之间,避免冗长和不必要的细节[[9, 16]]。此外,摘要应突出研究的亮点和价值,强调研究的重要性和实际意义,以吸引读者的兴趣。最后,反复修改和完善摘要,确保语言表达的准确性和逻辑结构的清晰性,必要时可请同行或导师评审和修改。
0xc 浅谈短信验证码漏洞
web安全小白 2023-03-09T19:33:08
本文详细分析了网络安全中常见的短信验证码安全问题。文章首先介绍了短信轰炸漏洞,包括无限制轰炸、带验证码轰炸、特殊字符填充、发送间隔太短、IP限制绕过和图片验证码可置为空等。接着,讨论了验证码可以枚举、手机号码可以篡改、自定义验证码内容以及验证码客户端绕过等问题。最后,文章总结了提高短信验证码安全性的几个通用方法,如不在前端设置验证方式、限制发送周期和次数、绑定手机号和验证码、使用复杂验证码以及禁止用户自定义短信内容等。
网络安全漏洞 短信验证码安全 认证与授权 漏洞利用 防护措施 Python脚本 自动化测试
0xd 漏洞复现-log4j2远程代码执行漏洞
贫僧法号云空 2023-03-09T09:00:46 © 贫僧法号云空
本文介绍了Apache Log4j2中的远程代码执行漏洞(CVE-2021-44228),该漏洞是由于log4j2存在JNDI注入问题,允许攻击者通过记录用户输入的数据来触发漏洞,执行任意代码。受影响的版本为2.0至2.15.0-rc1。文章详细描述了如何使用Vulhub环境搭建靶场,并提供了JNDI注入工具JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar的下载链接。漏洞复现部分展示了如何构造payload进行攻击,包括使用JNDI注入反弹shell的方法,以及如何使用工具进行注入。为了验证攻击是否成功,文章还介绍了如何通过创建文件来检测。最后,文章提供了修复方案,建议限制用户输入特定字符,并升级Apache Log4j到最新版本。
远程代码执行漏洞 Java 漏洞 Apache Log4j Vulnerability Analysis Exploit Development Security Patching Network Security JNDI Injection
0xe Hackbar 2.3.1破解之license验证绕过
网络安全007 2023-03-08T16:36:10 © mir1ce
Hackbar 2.3.1破解之license验证绕过
0xf Microsoft Word远程代码执行漏洞(CVE-2023-21716)风险提示
安恒信息CERT 2023-03-08T16:17:22
近日,安恒信息CERT监测到针对Microsoft Word的远程代码执行漏洞(CVE-2023-21716)的漏洞利用代码已在互联网上公开。该漏洞存在于Microsoft Word的RTF解析器(wwlib)中,当处理的字体表包含过多字体时会导致堆损坏,攻击者可以通过发送恶意RTF文件的方式利用此漏洞在目标系统上执行任意代码。该漏洞影响范围广泛,包括多个版本的Microsoft Office和Word软件。微软已发布安全补丁,建议受影响的用户尽快更新系统以修复此漏洞。同时,微软还提供了临时缓解措施,如使用纯文本格式阅读邮件和使用文件阻止策略来降低风险。
漏洞披露 远程代码执行 Microsoft Office 安全更新 漏洞影响范围 安全缓解措施 网络安全
0x10 [漏洞复现]CVE-2023-21839 Weblogic RCE
零威胁 2023-03-08T11:10:44 © mlxwl
Weblogic-CVE-2023-21839
0x11 干货|渗透测试中如何利用40x
进击的HACK 2023-03-08T09:53:26 进击的HACK
我们在做渗透测试时经常会碰到40x的资产。有一些40x的页面是可以绕过的,下面将介绍一些方法。
0x12 Windows提权-MySQL提权
贫僧法号云空 2023-03-08T09:00:08 © 贫僧法号云空
本文详细介绍了在Windows环境下利用MySQL进行提权的两种方法:MOF提权和UDF提权。首先,通过爆破获取MySQL数据库密码,然后使用msfconsole工具执行相应的攻击模块来获取shell并提权。在MOF提权中,通过创建新用户并添加到管理员组来维持权限,并通过远程桌面进行连接。在UDF提权中,确认MySQL的写文件权限和插件目录,上传自定义函数的DLL文件,创建用户自定义函数,并利用该函数执行系统命令以添加新用户到管理员组,从而实现权限维持。整个过程涉及到攻击机与靶机的网络配置和具体的攻击步骤。
0x13 利用Azure AD Kerberos票据,实现到云端的横向移动
安全小白团 2023-03-08T08:41:59 安全小白团译文
利用Azure AD Kerberos票据,实现到云端的横向移动
0x14 【涨知识】Lazarus组织木马化开源软件的加密通信分析
北京观成科技 2023-03-07T14:42:34 © lzy
Lazarus组织近期利用社交平台进行新型钓鱼攻击,通过改造成木马的开源软件UltraVNC来获取受害者主机控制权限。UltraVNC是一款开源的远程管理工具,被Lazarus组织嵌入恶意下载器。下载器从C&C服务器获取恶意DLL,在内存中加载,并与服务器通信时使用HTTPS加密协议,并进行二次加密。攻击过程包括木马上线、解密释放恶意DLL、上传系统信息、URI生成以及下发后续攻击载荷。Lazarus组织在攻击中使用了多种加密和混淆技术,使得攻击流量难以被检测和追踪。
恶意软件分析 开源软件安全 钓鱼攻击 加密通信 C&C服务器 网络攻击分析 系统信息泄露 加密算法分析
0x15 HTB-Stocker
HK安全小屋 2023-03-07T09:54:28 PeterPan_HK
HTB-stocker
0x16 Windows-烂土豆提权
贫僧法号云空 2023-03-07T09:00:47 © 贫僧法号云空
文章介绍了利用CVE-2016-3225(MS16-075)漏洞进行提权的方法。该漏洞存在于Microsoft服务器消息块(SMB)中,当攻击者转发适用于同一计算机上运行的其他服务的身份验证请求时,可以导致特权提升。成功利用此漏洞的攻击者能够以提升的权限执行任意代码。受影响的操作系统版本包括Windows 7、8.1、10及对应的服务器版本等,若未打补丁,则可能存在风险。实验环境中使用了Windows 10作为攻击机和Kali Linux,并且靶机安装了IIS 8.0以及上传了一个ASP一句话木马。在漏洞复现部分,通过菜刀连接到WebShell后,检查了当前用户的权限,发现具有SeImpersonate权限。接着上传了JuicyPotato工具用于提权,在虚拟终端里切换到upload目录并通过JuicyPotato执行命令完成提权操作。
提权漏洞 Windows系统安全 SMB漏洞 Web服务器安全 一句话木马 JuicyPotato工具 权限提升
0x17 几款实用的内网穿透工具
Linux网络安全 2023-03-07T07:30:45
0x18 使用frida-ios-dump砸壳
进击的HACK 2023-03-06T20:56:40 © 进击的HACK
使用frida-ios-dump砸壳
0x19 DoH,隐蔽隧道又添利器,强盾在何方?
信息安全与通信保密杂志社 2023-03-06T19:30:17 韦云川
本文深入探讨了DNS over HTTPS (DoH)技术的诞生背景、工作原理及其在网络安全领域的影响。文章首先分析了传统DNS的隐私和安全问题,指出明文传输导致的隐私泄露和安全隐患。随后,介绍了DoH技术如何通过HTTPS加密DNS请求和响应来保护用户隐私和安全。文章详细解释了DoH的工作机制,包括其如何与HTTP生态融合,提高网络应用的性能。然而,DoH也因其隐蔽性被用于隐蔽隧道攻击,文章探讨了DNS隧道攻击的原理和DoH如何成为攻击工具。为了应对这一挑战,文章讨论了DoH流量识别和检测技术,包括基于TLS指纹和机器学习模型的检测方法。最后,文章总结了DoH技术带来的机遇和挑战,并提出了未来研究的方向。
DNS安全 隐私保护 隐蔽隧道攻击 加密通信 网络安全技术 恶意软件分析 威胁检测与防御 网络安全趋势
0x1a 自建Python爬虫IP代理池
零威胁 2023-03-06T10:59:55 pontus
自建Python爬虫IP代理池
0x1b TPM 2.0库中的新缺陷对数十亿的物联网和企业设备构成威胁
黑猫安全 2023-03-06T09:49:58 鹏鹏同学
TPM 2.0可信平台模块参考库中发现了两个严重安全缺陷,这可能使数十亿物联网和企业设备面临信息泄露或权限升级的风险。这两个缺陷分别被标识为CVE-2023-1017和CVE-2023-118,前者涉及越界写入,后者为越界读取。这些漏洞是由网络安全公司Quarkslab在2022年11月发现并向可信计算集团(TCG)报告的。TCG警告称,由于缺乏必要的长度检查,这些缺陷可能导致缓冲区溢出,从而允许本地信息泄露或特权升级。受影响的技术供应商和服务商应当采取措施,应用TCG及其他相关供应商提供的更新,以修补这些漏洞。此外,CERT协调中心建议高保证计算环境中的用户应利用TPM远程认证来检测设备更改,并确保其TPM模块具备防篡改特性。TPM作为一种基于硬件的安全解决方案,主要用于提供加密服务和防止篡改,其常见的功能包括系统完整性测量及密钥管理。
0x1c Python读取Excel的设备信息,批量执行命令(华为)
网络安全运维技术 2023-03-06T09:35:44
Python读取Excel中的的设备信息,批量执行命令(华为)
0x1d Linux-Poolkit提权
贫僧法号云空 2023-03-06T09:25:14 © 贫僧法号云空
Linux Polkit权限提升漏洞(CVE-2021-4034)是一个影响多个Linux发行版的重要安全漏洞,该漏洞存在于polkit的pkexec工具中。Polkit是一个授权管理器,用于控制系统范围内的权限,而pkexec允许用户以另一个用户身份执行命令。漏洞允许攻击者以root用户身份执行命令,从而获得系统提权。受影响的版本包括Ubuntu 21.10、Ubuntu 20.04 LTS、Ubuntu 18.04 LTS等多个Linux发行版。攻击者可以通过下载并运行漏洞利用代码(POC)来利用此漏洞。修复方法包括更新官方补丁、根据厂商的安全通告进行防护,或者临时移除pkexec的suid位。
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
