2021年第11周微信公众号精选安全技术文章总览

洞见网安 2021-3-15

0x1 新型钓鱼攻击竟然开始利用摩斯密码来隐藏URL

Linux网络安全 2021-03-21T09:30:00 Alpha_h4ck

近期，网络安全研究人员揭露了一种新型网络钓鱼攻击，攻击者利用摩斯密码隐藏恶意URL地址，以此绕过安全邮件网关和邮件过滤器的检测。这种攻击首次出现在2021年2月，通过伪装成公司票据的电子邮件发送含有HTML附件，附件中的JavaScript代码将字母和数字映射为摩斯电码，进而解码为十六进制字符串，最终注入到HTML页面中。攻击者通过这种方式诱使用户输入Office登录密码，并将密码提交至攻击者控制的远程站点。此次攻击针对性强，已有多家公司受到影响。尽管邮件网关的检测能力增强，但网络钓鱼攻击的复杂程度也在提高，因此用户在处理邮件时应保持警惕，并对可疑内容及时报告给网络管理员。

钓鱼攻击摩斯密码网络钓鱼技术恶意软件邮件安全网络安全检测社会工程学企业安全安全意识

0x2 2021 HW 必备工具列表总结

Linux网络安全 2021-03-20T09:30:00

本文提供了一份详尽的网络安全工具列表，涵盖了蜜罐、网络与行为分析、数据分析和相关组件等多个方面。文章详细介绍了蜜罐技术，包括多种不同类型的蜜罐，如针对特定数据库（如MySQL、MongoDB）的蜜罐，以及Web蜜罐和针对特定服务的蜜罐（如SSH、HTTP）。此外，文章还提到了网络流量分析工具、恶意软件分析工具、数据采集和分析工具，以及用于蜜罐数据管理和可视化的工具。文章还涉及了沙盒技术、入侵检测系统（IDS）和蜜网部署等高级主题。最后，文章列出了一些开源项目和工具的下载地址，并强调了版权声明和作者信息的重要性。

蜜罐技术网络安全工具网络行为分析数据分析系统插桩二进制调试移动应用分析虚拟化技术蜜网构建恶意软件分析网络流量分析日志管理入侵检测系统蜜罐数据融合蜜罐可视化蜜罐研究

0x3 HVV应急之Linux入侵排查

安全攻防渗透 2021-03-19T23:59:27 © Co01Fire

本文主要针对Linux系统的网络安全应急响应，提供了详细的入侵排查思路。文章首先介绍了常规命令的使用，如查看用户密码文件、影子文件、系统登录用户、端口连接情况、定时任务等。接着，文章深入探讨了日志分析的重要性，包括查看用户登录信息、系统启动和停机事件等。此外，文章还提供了一些实用的命令和技巧，如使用lastlog、wtmp、last-al、last-f等命令来分析用户登录记录，以及如何通过日志文件查找登录信息。最后，文章提醒读者了解日志目录下文件的作用，以便更好地进行安全分析和应急响应。

0x4 Apache Solr高危漏洞风险提示

安恒信息CERT 2021-03-18T22:21:16 ©

近日，安恒应急响应中心发现Apache Solr存在两个高危漏洞，分别为服务端请求伪造漏洞和任意文件读取漏洞。攻击者可以利用这些漏洞未授权访问Config API，通过构造恶意HTTP请求读取目标Apache Solr服务器的任意文件。全球范围内，Apache Solr的部署情况显示，国内也有一定数量的用户受影响。尽管官方认为这不是一个漏洞，但鉴于漏洞细节和攻击代码已公开，建议用户尽快检查并采取缓解措施。官方建议启用Apache Solr身份验证和配置访问控制策略，以降低风险。安恒应急响应中心于2021年3月发布了这一风险提示。

Apache Solr 漏洞服务端请求伪造任意文件读取网络安全应急响应漏洞公告软件安全

0x5 漏洞复现-Apache Solr 任意文件读取漏洞

谁不想当剑仙 2021-03-18T20:55:58 © yhy

本文详细描述了Apache Solr任意文件读取漏洞的复现过程。该漏洞由于Apache Solr默认安装时未开启身份验证，攻击者可以通过Config API开启requestDispatcher.requestParsers.enableRemoteStreaming开关，从而在未授权的情况下获取目标服务器敏感文件。文章首先介绍了漏洞的描述和影响范围，包括Apache Solr <= 8.8.1版本。接着，作者通过FOFA语法获取目标服务器的core name，并拼接URL进行漏洞复现。文章中还提供了漏洞的POC代码，包括获取core name、设置漏洞条件以及读取敏感文件的过程。最后，作者对整个漏洞复现过程进行了总结，并指出官方对于该漏洞的立场。

漏洞分析漏洞复现 Web应用安全文件读取漏洞 Apache Solr 安全漏洞

0x6 红蓝对抗中，蓝方如何有效提高反制能力？

任子行 2021-03-18T15:38:07

敏感内容

红蓝对抗威胁检测与响应大数据安全分析 ATT&CK框架应用主动防御 UEBA（用户与实体行为分析）

0x7 [HW演练]|蓝队防守必须排查的57个安全漏洞与解决方案

安全攻防渗透 2021-03-18T13:35:52

近期网络安全漏洞频发，涉及多个重要系统和服务。文章总结了近期关注的多个安全漏洞，包括OA系统、E-mail、Web中间件、源代码管理、项目管理系统、开源运维监控和堡垒机等领域的漏洞。其中，泛微OA系统存在远程命令执行和SQL注入漏洞，致远OA存在未授权访问和密码修改漏洞，通达OA存在任意文件删除、上传和用户登录漏洞。E-mail系统如Microsoft Exchange和Coremail也存在远程代码执行、配置信息泄露和接口未授权漏洞。Web中间件Apache Solr和Apache Tika存在远程代码执行和命令注入漏洞。GitLab、Jenkins、Zabbix和Nagios等开源工具也发现了一系列漏洞。堡垒机JumpServer和齐治堡垒机存在远程代码执行漏洞。文章提供了详细的分析和修复建议，提醒用户及时更新和打补丁，以保障网络安全。

OA系统漏洞 E-mail服务漏洞 Web中间件漏洞源代码管理漏洞项目管理系统漏洞开源运维监控漏洞堡垒机漏洞通用安全漏洞

0x8 思维讲堂|浅析敏感信息探测自动化

思维世纪 2021-03-18T12:00:00 © 于凯

0x9 对某棋牌站的一次Getshell

Linux网络安全 2021-03-18T09:30:00 程序员阿甘

本文记录了作者S1xHcL对某棋牌站的一次渗透测试过程。作者通过FOFA搜索发现了目标站点，并发现该站点使用了ThinkPHP框架且开启了Debug模式。通过分析日志文件和利用注入漏洞，作者成功获取了root权限。由于secure_file_priv限制，作者尝试了多种方法最终通过修改日志文件和执行一句话木马获取了Shell。然而，由于服务器限制了函数执行，作者上传了冰蝎3的aspx马绕过限制。最后，作者通过创建隐藏用户和清除日志，成功远程登录服务器并控制了目标站点。文章还简要介绍了如何通过注册表查询RDP服务状态和端口，以及如何利用注册表创建隐藏用户。

Web应用安全 SQL注入 ThinkPHP漏洞渗透测试后门植入 RDP攻击安全防护绕过日志分析

0xa 一次远程命令执行引发的应急响应

猎安云原生安全 2021-03-15T09:51:32

文章详细摘要：在一次网络安全应急响应事件中，作者发现内网服务器的Java进程出现异常行为，包括Dnslog探测和Bash反弹。通过排查异常端口和进程，发现了一个反弹shell命令，该命令与一个外网IP通讯。进一步分析历史命令和web日志，虽然未发现直接的web访问异常，但结合Java进程的行为，推测可能存在远程命令执行漏洞。在web框架组件中，发现低版本的Shiro组件存在已知漏洞。通过复现漏洞，确认了攻击者的入侵路径。最终，文章总结了事件，指出需要升级Shiro组件并替换密钥以增强安全性。

远程命令执行应急响应日志分析安全预警 Web应用安全漏洞管理

0xb Struts2 系列漏洞 - S2-059、S2-061

Medi0cr1ty 2021-03-15T08:58:00 ©

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

2021年 第11周 微信公众号精选安全技术文章总览