2023年 第11周 微信公众号精选安全技术文章总览
洞见网安 2023-3-13
0x1 Java反序列化RMI篇
搁浅安全 2023-03-19T14:52:29 Ge9i4n
Java反序列化RMI篇
0x2 信息收集 -- gscan
YuanQiu安全 2023-03-18T23:53:04
本文介绍了一个名为gscan的工具,其目的是为了协助安全应急响应人员在处理Linux主机安全事件时,能够更有效地进行检查和溯源工作。此工具通过自动化检测流程,依据丰富的恶意特征数据库(包含超过10万条记录),帮助用户识别潜在的安全威胁,并提供了攻击路径的溯源功能。文中强调了使用者需自行承担因不当使用该工具所带来的任何风险与法律责任,并明确指出工具的正确使用应当符合《网络安全法》的规定。此外,还提供了gscan的安装步骤,包括从GitHub仓库克隆代码、安装必要的Python依赖库以及如何运行程序的具体命令。
信息安全 漏洞扫描 恶意软件检测 自动化分析 开源工具 合规性
0x3 漏洞复现|tomcat后台getshell
进击的HACK 2023-03-18T19:40:40 进击的HACK
漏洞复现|tomcat后台getshell
0x4 Shiro反序列化漏洞篇
搁浅安全 2023-03-17T18:32:35 Ge9i4n
Shiro-550反序列化漏洞自2016年被披露后,由于Shiro框架的广泛使用以及攻击载荷经过AES加密难以被安全设备识别,逐渐成为当时最实用的远程代码执行(RCE)漏洞之一。攻击者通过勾选登录页面的'rememberMe'选项,利用抓包工具分析请求,发现Cookie中的'rememberMe'字段采用AES+base64加密。由于存在JSESSIONID,直接修改'rememberMe'值无效,因此需删除JSESSIONID来触发漏洞。Shiro-550漏洞的关键在于加密key的固定性。攻击者需要在mvn依赖中添加jsp版本信息,并在pom文件中加入cc依赖来构建利用链。由于shiro默认不带CC依赖,攻击者通过组合cc3、cc2、6等组件构建攻击链。shiro本身自带的commons-beanutils提供了完整的反序列化利用链,但需要修改为不依赖cc的版本,方法是自定义一个Comparator(如AttrCompare),并遵循bean语法。
反序列化漏洞 远程代码执行(RCE) AES加密 Web应用安全 安全防护绕过 Java安全
0x5 列目录引起的一系列高危漏洞并获取一万五千元赏金记录
网络安全之旅 2023-03-17T12:18:49 ©
一次很偏的子域名列目录所引起的一系列高危漏洞,教你薅厂商羊毛。
0x6 OpenSSH 9.3 发布
黑猫安全 2023-03-17T09:24:55 鹏鹏同学
论文摘要是学术写作中不可或缺的一部分,它以简洁、明确的语言对全文内容进行概括,提炼出研究的主要信息。撰写摘要时需遵循一定的结构和技巧,包括确定摘要类型、阅读并理解全文、选择关键句子等步骤。摘要应独立于正文存在,能够提供文献的主要信息而不需额外阅读原文。在写作过程中,建议先完成论文主体部分后再撰写摘要,确保摘要准确反映研究的核心成果和意义。此外,摘要的字数通常有严格要求,中文摘要不宜超过300字,英文摘要则不超过250个实词。优秀的摘要不仅有助于提高论文的可读性和吸引力,还能增加其被引用的概率。
安全漏洞修复 功能更新 性能优化 兼容性改进 安全性强化 测试与质量保证
0x7 漏洞利用:5 种不寻常的身份验证绕过技术
安全小白团 2023-03-17T08:41:10 安全小白团译文
五种真实的身份验证绕过技术
身份验证绕过 刷新令牌配置错误 SSO配置不正确 CMS安全配置 JWT令牌安全 身份验证类型漏洞 业务逻辑漏洞 手工安全测试
0x8 Parameter is null引发的一次五千漏洞赏金记录
网络安全之旅 2023-03-16T10:51:12 © 小乳酸
Missing parameter?Parameter is null?一次众测实战教你如何高效的找出缺少的参数。
0x9 网洛者-反反爬虫练习平台之简单题另类方法通杀
御林安全 2023-03-16T10:00:12 © 落花
本文介绍了网洛者-反反爬虫练习平台简单题的另类方法通杀技巧。文章以第三题AAEncode加密为例,详细说明了如何通过取巧的方式绕过加密,直接获取页面数字。作者指出,通过在Element中找到数字对应的位置并下Dom断点,可以发现数字是通过ajax请求获取的。通过构造不同的页面请求,可以获取全部数字。文章提供了完整的代码示例,包括如何定义请求函数、处理数据累加和循环请求,最终得到数字总和。作者还提到,同样的方法适用于challenge-2和challenge-4。文章强调内容仅供学习交流,使用者需对后果负责。
反爬虫技术 Web安全 JavaScript 数据抓取 网络安全
0xa 恒安嘉新云眼 | 技术速递-逻辑漏洞之越权漏洞
EversecTechInc 2023-03-15T17:27:14
云眼服务平台为您带来最新技术文章,关注我们查看更多!2023逻辑漏洞之越权漏洞云眼服务平台一漏洞原理越权漏洞
0xb Lazarus组织木马化开源软件的加密通信分析
信息安全与通信保密杂志社 2023-03-15T14:07:38 lzy
本文分析了Lazarus组织近期利用社交平台实施的新型钓鱼攻击,该攻击通过诱导受害者使用被木马化的开源软件UltraVNC来获取受害主机的控制权限。研究发现,Lazarus组织在UltraVNC中嵌入了恶意下载器,下载器从C&C服务器获取恶意DLL并在内存中加载,通信过程使用HTTPS加密协议,且对数据进行二次加密。攻击者通过社交平台诱导受害者连接到预定的IP地址,计算IP哈希值作为密钥解密恶意DLL文件,并在内存中运行。恶意DLL会上传系统信息到C&C服务器,并通过HTTPS上传加密后的数据。此外,攻击者通过随机生成的URI参数来发送心跳包,以获取后续攻击载荷。Lazarus组织利用失陷主机的TLS证书隐藏攻击流量,使得攻击特征与正常流量相似,增加了检测难度。
恶意软件分析 开源软件安全 网络钓鱼攻击 加密通信 C&C服务器 系统信息泄露 攻击载荷分发 安全研究
0xc CVE-2021-40444 Microsoft MSHTML远程命令执行漏洞
安帝Andisec 2023-03-15T12:00:08 © CSX安全实验室
本文详细分析了CVE-2021-40444,即Microsoft MSHTML远程命令执行漏洞。该漏洞存在于Windows系统中的MSHTML组件,攻击者通过构造恶意ActiveX控件和特制的.cab文件,可在受害者打开文档时执行恶意代码。漏洞影响未安装补丁的Windows 7至10及Windows Server 2008至2022。文章通过PoC复现了攻击过程,展示了如何利用漏洞执行计算器程序。分析指出,漏洞利用过程中,.inf文件被稳定释放在可执行路径,且不会被删除。微软已发布补丁修复此漏洞,建议用户禁用ActiveX或安装相应补丁以缓解风险。
漏洞利用 远程命令执行 ActiveX控件 MSHTML组件 安全补丁
0xd Microsoft修补程序星期二修复Outlook零日漏洞
黑猫安全 2023-03-15T09:37:51 鹏鹏同学
2023年3月的Microsoft补丁星期二安全更新共解决了74个新漏洞,涉及Windows系统、Office组件、Edge浏览器等多个领域。其中,6个漏洞被评为严重,67个被评为重要,1个为中等。特别值得关注的是两个正在被野外积极利用的漏洞:CVE-2023-23397和CVE-2023-24880。CVE-2023-23397是Outlook的欺骗漏洞,允许未经验证的远程攻击者通过发送特制邮件访问用户的Net-NTLMv2哈希,进而可能用于NTLM中继攻击。攻击者可以通过发送精心设计的邮件触发此漏洞,即使在邮件预览窗格中查看之前也可能被攻击。CVE-2023-24880是Windows SmartScreen安全功能的绕过漏洞,攻击者可以利用它绕过网络标记(MOTW)防御,从而绕过Office SmartScreen和Protected View等安全功能,部署恶意软件如Magniber勒索软件。
零日漏洞 身份验证绕过 NTLM中继攻击 电子邮件攻击 安全更新 SmartScreen绕过 恶意软件传播 勒索软件
0xe Adobe修复了ColdFusion缺陷,被列为处于主动攻击状态
黑猫安全 2023-03-15T09:37:51 鹏鹏同学
Adobe发布了ColdFusion版本2021和2018的安全更新,修复了一个关键缺陷CVE-2023-26360,该缺陷在非常有限的攻击中被利用。该漏洞是一个不正确的访问控制,可允许远程攻击者执行任意代码,还可能导致任意文件系统读取和内存泄漏。此外,还修复了Adobe ColdFusion中的关键反序列化问题CVE-2023-26359,可能导致任意代码执行。同时,修复了ColdFusion对受限目录路径名的不当限制CVE-2023-26361,可能导致内存泄漏。2023年3月,Adobe发布了八个补丁,解决了Photoshop、Experience Manager等产品中的105个漏洞,其中77个是通过ZDI程序报告的。这次更新被认为是‘相当一段时间以来最大的Adobe更新’。
漏洞利用 远程代码执行 文件系统读取 内存泄漏 反序列化问题 路径遍历 安全更新 补丁发布
0xf 应急|工具busybox编译
网络安全007 2023-03-14T16:25:10 © 网络安全007
应急响应之工具busybox编译过程解读
0x10 漏洞复现 web弱口令集合(一)
白帽文库 2023-03-13T19:09:02
本文是天擎攻防实验室发布的关于WEB弱口令漏洞的分析文章。文章首先声明了使用须知,强调技术信息仅供网络安全人员检测和维护使用,未经授权不得进行入侵操作,且使用者需自行承担后果。接着,文章详细介绍了三个常见的WEB应用的弱口令问题:Zabbix、RabbitMQ和Apache ActiveMQ。Zabbix是一个企业级的开源监控解决方案,文章指出存在大量使用默认弱口令(用户名:admin,密码:zabbix)的资产。RabbitMQ是一个开源消息代理软件,同样存在大量使用默认弱口令(用户名:admin,密码:admin)的资产。Apache ActiveMQ是Apache软件基金会开发的开源消息中间件,也存在类似问题。文章最后提供了修复方案,建议修改默认密码为强密码,并采用至少8位及以上的密码策略,包含数字、大小写字母及特殊字符,以增强安全性。
0x11 Hack The Box -Dancing
HK安全小屋 2023-03-13T17:46:57 PeterPan_HK
Hack The Box -Dancing 入门靶机教学
0x12 伪造SSID 能窃取路由器密码吗?
车小胖谈网络 2023-03-13T16:55:22 ©
是否可以伪造SSID 窃取路由器密码?我发现很多系统是以 SSID -\x26gt; 密码的映射存储 wifi 密码的,
0x13 红队打点之外网信息收集思路篇
web安全小白 2023-03-13T16:26:41 © web安全小白
本文详细介绍了渗透测试的流程,包括外网信息收集、入口权限突破、内网信息收集、权限提升、横向渗透、权限维持和痕迹清理等关键步骤。文章首先阐述了信息收集的重要性,包括主动和被动收集方法,以及常见的目录扫描、域名收集、端口扫描、CDN绕过、旁站查询、CMS指纹识别、Web容器识别、JS爬取、WAF识别、Whois信息查询、SSL/TLS证书查询、服务器操作系统和数据库类型识别等方法。此外,文章还提到了利用Hack语法和搜索引擎进行数据库信息泄露搜索的策略,以及收集APP、小程序、公众号和公司个人敏感信息的注意事项。
渗透测试 网络安全 信息收集 漏洞利用 权限提升 内网渗透 痕迹清理 Web安全 工具使用 安全防护
0x14 Cisco修复了影响企业路由器的CVE-2023-20049 DoS漏洞
黑猫安全 2023-03-13T09:54:56 鹏鹏同学
Cisco近期发布了针对企业级路由器中存在的高危拒绝服务(DoS)漏洞CVE-2023-20049的安全更新。该漏洞影响Cisco ASR 9000系列等路由器使用的IOS XR软件,允许未经验证的远程攻击者通过发送特制的IPv4 BFD数据包触发线路卡重置,导致服务中断。受影响的设备包括ASR 9000系列、ASR 9902紧凑型高性能路由器和ASR 9903紧凑型高功能路由器,且仅限于运行特定易受攻击的IOS XR 64位软件版本并启用BFD硬件卸载的设备。Cisco指出,该漏洞不会影响到IOS软件、IOS XE软件以及未在咨询中列出的IOS XR平台。作为修复措施,Cisco建议用户禁用BFD硬件卸载并设置基础设施访问控制列表。此外,Cisco通过发布IOS XR版本7.5.3、7.6.2和7.7.1来解决这一安全问题。
DoS漏洞 远程攻击 Cisco路由器 CVE编号 安全更新 BFD硬件卸载
0x15 weblogic-JAVA反序列化(CVE-2018-2628)
贫僧法号云空 2023-03-13T09:00:49 © 贫僧法号云空
本文介绍了weblogic-JAVA反序列化(CVE-2018-2628)漏洞的复现过程。该漏洞通过t3协议触发,可导致未授权的用户在远程服务器执行任意命令。文章指出,该漏洞影响Weblogic的多个版本,包括10.3.6.0、12.1.3.0、12.2.1.2和12.2.1.3。复现该漏洞需要java8的环境和python2的环境。文章详细描述了环境搭建和复现步骤,包括下载ysoserial、启动JRMP Server、构造反弹shell以及执行利用脚本。最后,文章提供了修复建议,包括关闭T3服务或控制其访问权限,以及更新Oracle官方发布的最新补丁。
Java反序列化漏洞 远程代码执行 Weblogic安全 漏洞复现 漏洞利用工具 安全修复建议
0x16 LPK 蠕虫病毒浅析
安全奇点 2023-03-13T05:53:08 © xF0rk
LPK 蠕虫病毒是一种通过劫持系统 LPK DLL 实现恶意代码注入的病毒。病毒成功劫持后,会在指定目录释放 EXE 文件并创建系统服务以实现持久化。病毒会遍历扫描全盘文件,自动在存在 EXE 程序的目录释放恶意 LPK DLL 文件,若发现压缩包,则将自身添加至压缩包中,实现扩散。病毒还能与控制服务器通信,实现命令控制,包括 Flood 攻击、流量转发、HTTP 请求等。逆向分析显示,恶意 LPK DLL 中包含资源节,其中包含 HRL TMP 病毒程序,该程序具有基本的木马功能,如创建服务、解密远程控制服务端地址、采集感染计算机的信息以及执行远程命令控制。HRL TMP 木马还能进行 Flood 攻击、发起 HTTP 请求和转发 TCP/UDP 流量。
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
