2024年 第14周 微信公众号精选安全技术文章总览
洞见网安 2024-4-8
0x1 Magento漏洞被利用以部署隐藏在XML中的持久后门
黑猫安全 2024-04-07T16:46:34 鹏鹏同学
Sansec研究人员发现攻击者利用Magento的CVE-2024-20720漏洞部署持久后门。该漏洞为操作系统命令注入,CVSS评分9.1,影响Adobe Commerce的多个版本,允许攻击者无需用户交互即可执行任意代码。Adobe在2024年2月的安全更新中修复了此问题。攻击者通过在layout_update数据库表注入XML代码,结合Magento布局解析器和beberlei/assert软件包,执行系统命令。该命令在请求特定结账购物车路径时触发,向CMS控制器添加后门。攻击者利用此机制部署了伪造的Stripe支付窃取器,捕获数据发送至受compromise的Magento商店。专家建议Magento网站管理员升级至安全版本并扫描网站以查找威胁指标。
漏洞利用 持久后门 操作系统命令注入 任意代码执行 Magento安全更新 XML代码注入 远程代码执行 支付信息窃取 电子商务安全
0x2 CVE-2024-29269漏洞复现(POC)
AI与网安 2024-04-07T14:33:05 © fgz
CVE-2024-29269漏洞复现 poc
0x3 研究人员揭露了可用于网络攻击的 Microsoft SCCM 错误配置
嘶吼专业版 2024-04-07T14:00:53 胡金鱼
本文报道了安全研究人员揭露的Microsoft SCCM(系统中心配置管理器)的错误配置,这些配置可能被用于网络攻击。SCCM自1994年以来一直存在,并在许多Active Directory环境中使用,帮助管理员管理Windows网络上的服务器和工作站。研究人员发现,由于错误的配置,攻击者可能执行有效负载或成为域控制器。最常见且最具破坏性的错误配置是具有过多特权的网络访问帐户(NAA),这可能导致从损害标准用户SharePoint帐户到成为域控制器的攻击路径。为了应对这一风险,SpectreOps研究人员发布了Misconfiguration Manager存储库,为管理员提供了了解Microsoft工具和强化安全立场的资源。该存储库描述了22种可用于攻击MCM/SCCM或在其后利用的技术,并为防御者提供了保护措施。
漏洞分析 安全配置 Active Directory 安全 网络攻击 防御策略 管理工具安全 安全研究
0x4 CVE-2024-25600 漏洞利用工具
黑白之道 2024-04-07T09:54:22
本文介绍了针对WordPress Bricks Builder插件中发现的CVE-2024-25600漏洞的利用工具。该工具能够实现未经身份验证的远程代码执行,通过发送特制请求来执行任意命令。工具具备互动模式和批处理模式,支持多种有效负载,包括generic、carousel、container和codeU0001f9f0。文章提供了四个概念验证(PoC)示例,包括针对旧版本的Bricks Builder的PoC。工具的利用过程自动化,并提供了如何使用该工具的详细说明。需要注意的是,该工具仅供安全学习交流使用,禁止用于非法目的。文章最后提醒读者,如果PoC不起作用,可以尝试其他有效负载。
漏洞利用 WordPress安全 远程代码执行(RCE) 自动化攻击工具 安全研究 安全工具
0x5 宝塔WAF 0day漏洞,可直接获取Root权限
黑白之道 2024-04-07T09:54:22
本文揭示了宝塔WAF存在的一个严重漏洞,该漏洞允许攻击者通过宝塔WAF直接获取root权限。作者详细描述了漏洞的发现过程,包括创建防护网站、配置缓存和清除缓存等步骤。在清除缓存的过程中,由于参数校验不当,攻击者可以通过修改site_id参数执行系统命令,从而实现命令注入。作者通过实际操作演示了如何利用该漏洞创建一个临时文件,并指出该漏洞可能导致攻击者控制整个服务器。幸运的是,作者在撰写文章时,最新版本的宝塔WAF已经修复了该漏洞。文章提醒读者,相关技术、思路和工具仅供安全学习交流,禁止非法用途和盈利行为。
网络安全漏洞 Web应用安全 宝塔面板 Root权限获取 命令注入 安全分析 漏洞修复
0x6 绕过 AMSI(反恶意软件扫描接口)和 PowerShell CLM(受限语言模式)
TtTeam 2024-04-07T04:59:09
该工具可以绕过 AMSI(反恶意软件扫描接口)和 PowerShell CLM(受限语言模式)并为您提供 FullLanguage PowerShell 反向 shell。
0x7 Telesquare TLR-2005KSH存在命令执行漏洞(CVE-2024-29269)
舔狗说安全 2024-04-06T21:10:29 © Yuanyi
声明本文仅用于学习交流,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关
0x8 .NET 恶意软件 101:分析 .NET 可执行文件结构
看雪学苑 2024-04-06T19:44:25 梦幻的彼岸 译
本文深入探讨了.NET恶意软件逆向工程的世界,分析了.NET框架的双重用途及其在合法开发和恶意软件制作中的应用。文章首先介绍了.NET框架的特性和其成为恶意软件作者目标的原因,随后详细解释了.NET逆向工程的重要性,包括解读恶意软件机制、发现攻击载体和加强防御。文章还涵盖了.NET可执行文件的格式、逆向工程工具和技术,以及.NET框架的历史和发展。此外,文章讨论了.NET威胁状况,包括勒索软件、凭证窃取程序和银行木马等,并介绍了.NET编译和运行过程,包括中间语言(IL)的生成、程序集的结构、CLR的作用以及非托管函数的使用。最后,文章提供了.NET程序集和元数据的详细分析,包括元数据表、元数据标记和程序集清单的内容。
逆向工程 恶意软件分析 安全研究 网络安全 编程语言 框架类库 编译过程 执行环境 内存管理 安全特性
0x9 泛微E-office 10 atuh-file存在phar反序列化漏洞
舔狗说安全 2024-04-05T12:23:31
泛微E-office 10 atuh-file存在phar反序列化漏洞
0xa OpenMetadata存在命令执行漏洞(CVE-2024-28255)
舔狗说安全 2024-04-04T22:51:12 Yuanyi
声明本文仅用于学习交流,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关
0xb 网络安全红队攻防0-0.9 | 解决连接VPN后,Burp无法抓包问题
洞悉安全团队 2024-04-03T18:18:55 ©
本文讨论了在网络安全渗透测试中,连接VPN后Burp无法抓包的问题。作者在远程渗透测试时遇到了这种情况,通过尝试关闭浏览器代理和使用其他工具(如Yakit)均未能解决问题。经过请教内网专家后,发现这是由于内网代理问题导致的。文章提供了使用gost代理工具的解决方案,详细说明了如何设置gost代理服务、配置Burp代理以及设置浏览器代理,从而实现正常抓包。文章强调了在渗透测试中遇到此类问题时的重要性,并鼓励读者继续关注网络安全领域的更多原创内容。
VPN配置 渗透测试 代理设置 网络代理 抓包分析 内网安全
0xc AutoCAD网络版多用户授权,客户端弹出无法获取许可证如何处理?
企业网络信息安全 2024-04-03T11:39:05 © h\'s\'t
AutoCAD网络版正版授权(AutoCAD机械版2023多用户授权),客户端无法登录,服务器查看授权正常。
0xd 用友nc远程命令执行漏洞分析
网安知识库 2024-04-02T10:00:58
0x00前言这个漏洞是 国家电网公司信息与网络安全重点实验室 发现的,微信公众号做了简要分析,但是没有给出具体
0xe 网络安全红队攻防0-0.9 | 环境搭建-VMware安装
洞悉安全团队 2024-04-01T18:57:08 ©
本文详细介绍了网络安全红队攻防环境搭建中VMware安装的步骤。首先概述了VMware安装前的准备工作,包括确保处理器开启了虚拟化技术,选择合适的官方版本下载链接,并提供了下载文件的详细信息。接着,文章详细描述了VMware的安装步骤,包括安装界面、接受许可协议、选择安装位置、自定义选项、许可证输入等。最后,文章提到了VMware的系统要求、激活状态和版本兼容性,并提供了配套视频链接供读者进一步学习。
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
