2023年 第15周 微信公众号精选安全技术文章总览

    洞见网安 2023-4-10

    0x1 漏洞复现 Oracle GlassFish Server 任意文件读取漏洞(CVE-2017-1000028)

    南风漏洞复现文库 2023-04-16T20:01:53 ©

    Example Image


    本文详细介绍了Oracle GlassFish Server Open Source Edition 4.1版本中存在的任意文件读取漏洞(CVE-2017-1000028)。该漏洞允许攻击者通过特定的HTTP GET请求访问敏感数据。文章首先介绍了GlassFish Server的基本信息,随后描述了漏洞的详细情况,包括影响版本和CVE编号。接着,文章提供了漏洞的复现步骤,包括Linux和Windows下的漏洞地址。此外,文章还提供了一个POC工具的下载地址,并提醒读者关注厂商主页以获取漏洞修复方案。最后,文章强调了合法使用技术的重要性,并指出任何非法测试的责任由使用者本人承担。

    0x2 利用虚假网站在中国传播的FatalRAT通信分析

    信息安全与通信保密杂志社 2023-04-16T19:50:41 Ly

    Example Image


    本文分析了近期观成安全研究团队发现的一起针对中国大陆及香港和台湾地区的攻击活动,该活动利用木马安装程序传播名为FatalRAT的恶意软件。攻击者通过在Google搜索结果中植入误导性广告,诱使受害者访问虚假网站并下载恶意软件。FatalRAT木马通过TCP协议与C&C服务器通信,使用多种加密方法传输数据。文章详细描述了样本的执行流程、通信过程,包括上线包的加密和传输过程,以及控制指令的解析和执行。此外,文章还介绍了观成瞰云(ENS)加密威胁智能检测系统对这种恶意TCP流量的检测能力,并总结了利用Google广告传播恶意软件的趋势和挑战。

    恶意软件分析 网络钓鱼攻击 恶意软件传播 C&C通信 TCP协议滥用 安全检测 地区针对性攻击 加密技术

    0x3 Spring Framework远程代码执行(CVE-2022-22965)

    贫僧法号云空 2023-04-16T13:00:45 © 贫僧法号云空

    Example Image


    2022年3月,Spring Framework爆出严重级别的安全漏洞CVE-2022-22965,该漏洞允许在JDK 9及以上版本环境下,未经授权的攻击者远程执行任意代码。漏洞的成因是Java 9引入的class.module.classLoader机制,绕过了CVE-2010-1622漏洞的补丁。受影响的组件包括直接或间接使用Spring-beans包的Spring Framework版本低于5.3.18和5.2.20。官方迅速发布了修复补丁,建议用户更新至最新版本。环境搭建可通过vulhub进行,复现漏洞需要使用BrupSuite代理并拦截请求,通过特定POC脚本更改Apache Tomcat的日志记录配置,将日志写入JSP文件,从而创建JSP webshell执行命令。修复方案包括更新spring-beans版本至官方修复的版本,以修补该漏洞。

    远程代码执行漏洞 Spring Framework CVE-2022-22965 Java 安全漏洞修复

    0x4 微软 Azure 曝“设计缺陷”,暴露存储账户

    FreeBuf 2023-04-16T10:36:24 james_23

    Example Image


    微软Azure平台近日被曝出存在一个设计缺陷,该缺陷允许攻击者通过操纵Azure功能窃取更高特权身份的访问令牌,进而实现横向移动、秘密访问关键业务资产和执行远程代码。这一漏洞源于Azure在创建存储账户时生成的两个512位存储账户访问密钥,这些密钥可以被攻击者利用。研究人员指出,攻击者一旦获得具有强托管身份的Function应用程序的存储账户,就可以代表自己运行代码,从而提升权限、横向移动、访问新资源,并在虚拟机上执行反向shell。为了缓解这一风险,Orca建议企业禁用Azure共享密钥授权,改用Azure活动目录认证,同时微软也计划更新Functions客户端工具与存储账户的工作方式。此外,微软近期已修补了其他影响Azure的漏洞,包括Azure Active Directory的错误配置漏洞和Azure Service Fabric Explorer中的XSS漏洞。

    云安全漏洞 设计缺陷 横向移动 远程代码执行 特权提升 安全配置 身份验证 SAS令牌 Azure服务

    0x5 高危漏洞利用工具Apt_t00ls

    进击的HACK 2023-04-15T21:07:01 White-hua

    Example Image


    Apt_t00ls 高危漏洞利用工具

    0x6 漏洞复现 用友畅捷通T+任意文件上传漏洞(CNVD-2022-60632)

    南风漏洞复现文库 2023-04-15T16:42:27 ©

    Example Image


    本文详细介绍了用友畅捷通T+软件中的一个严重漏洞,即任意文件上传漏洞(CNVD-2022-60632)。该漏洞允许未经身份认证的攻击者绕过系统鉴权,在特定配置环境下上传任意文件,从而执行任意代码并可能获得服务器控制权限。文章中提供了漏洞的简要介绍、影响版本、漏洞复现的详细步骤以及相关的Fofa查询语句。此外,文章还提醒读者不要利用文中提供的技术进行非法测试,并强调了使用该漏洞进行勒索病毒攻击的风险。文章最后建议受影响的用户和单位升级至最新版本以修复漏洞。

    漏洞分析 漏洞复现 软件漏洞 任意文件上传 服务器安全 安全补丁 网络安全意识

    0x7 实战 | 记一次渗透从App到网站

    LemonSec 2023-04-15T00:02:54 山山而川

    Example Image


    本文详细记录了一次针对某App的渗透测试过程,从信息收集到最终获取网站shell的全过程。作者首先通过模拟器抓包获取App的域名,然后使用工具进行敏感目录扫描,发现并利用了admin目录中的管理后台存在的账号枚举漏洞。通过爆破获得了管理员账号和密码,成功登录后台。接着,作者在后台发现了文件上传功能,并尝试上传了带有特定后缀的文件,成功上传。为了确定网站使用的脚本语言,作者通过搜索公司招聘信息推断出可能是Java。随后,作者尝试上传jsp文件并连接冰蝎马子,但没有反应。文章中包含了大量的截图和命令行输出,展示了整个渗透测试的过程,包括工具的使用、漏洞的发现和利用、以及最终的权限提升。

    App渗透测试 抓包分析 敏感目录扫描 账号枚举漏洞 密码爆破 后台管理漏洞 文件上传漏洞 脚本语言识别 后门部署 实战案例

    0x8 一款图形化FOFA渗透工具

    LemonSec 2023-04-15T00:02:54

    Example Image


    本文介绍了一款基于Python 3和tkinter开发的图形化FOFA渗透工具。该工具通过FOFA API获取资产信息,支持存活检测,并添加了icon_hash转换功能,方便获取指定应用的源码进行代码审计。工具打包后内存较大,但通过转换为CSV格式和使用upx压缩后,内存占用有所减少。使用该工具时,需要放置三个文件在同一目录下,包括fofa.json配置文件。工具还提供了导出表格功能,支持备份文件检测。文章中还包含工具的截图和使用方法,以及相关安全热文推荐。

    渗透测试工具 Python开发 网络安全 代码审计 FOFA API 图标哈希转换 压缩工具

    0x9 u200b禅道项目管理系统存在远程命令执行漏洞(RCE)

    南风漏洞复现文库 2023-04-14T22:28:30 ©

    Example Image


    本文详细介绍了禅道项目管理系统存在的一个远程命令执行漏洞(RCE)。禅道是一款国产的开源项目管理软件,广泛应用于国内项目管理领域。该漏洞由于权限认证缺陷导致,攻击者可以在未授权的情况下执行任意命令。文章中提到了受影响的版本范围,并提供了漏洞复现的步骤和POC工具的获取方式。同时,文章也给出了官方发布的修复补丁和临时修复建议,提醒用户尽快升级至安全版本或采取其他措施以防止漏洞被利用。此外,文章还提到了其他相关漏洞的复现信息,并提供了下载链接。

    漏洞分析 安全漏洞 项目管理软件 漏洞复现 安全修复 开源软件 权限认证

    0xa 瑞友天翼应用虚拟化系统 RCE 浅析

    安全奇点 2023-04-14T19:09:51 © xF0rk

    Example Image


    2023 年 4 月 10 日,微步在线公司发布瑞友天翼应用虚拟化系统存在远程代码执行漏洞安全预警,其漏洞版本为 5.X - 7.0.2.1 ,4 月 11 日长亭科技发布瑞友天翼远程代码执行漏洞的检测工具。

    0xb VM2沙箱逃逸漏洞分析

    ADLab 2023-04-14T17:37:07 启明星辰

    Example Image


    文章《VM2沙箱逃逸漏洞分析》详细介绍了两个在Node.js模块vm2中发现的严重级别的沙箱逃逸漏洞CVE-2023-29017和CVE-2023-29199。这些漏洞均被CVSSv3评为10.0分,表明其具有极高的安全风险。首先描述的是CVE-2023-29017,该漏洞通过Error.prepareStackTrace函数绕过沙箱保护机制,允许宿主对象未经代理直接使用,从而执行任意代码。修复措施包括确保传递给prepareStackTrace的栈帧数组是经过proxy处理的对象。第二个漏洞CVE-2023-29199则是利用了沙箱预处理代码的过程,通过对catch语句块中的代码进行特定插入来实现沙箱逃逸。此漏洞通过修改变量替换逻辑,在后续版本中得到修复。启明星辰ADLab对这两个漏洞进行了深入分析,并提供了修复建议。ADLab作为中国最早的安全攻防技术研究实验室之一,持续为网络安全领域贡献力量。

    沙箱逃逸 Node.js安全 CVE漏洞分析 代码执行漏洞 JavaScript安全性

    0xc Spring Cloud Gateway Actuator API SpEL表达式注入命令执行(CVE-2022-22947)

    贫僧法号云空 2023-04-14T13:00:07 © 贫僧法号云空

    Example Image


    本文详细介绍了Spring Cloud Gateway Actuator API中的一个SpEL表达式注入漏洞(CVE-2022-22947),影响版本为Spring Cloud Gateway 3.1.0及3.0.6(含)之前。攻击者通过访问Actuator API可以利用该漏洞执行任意命令。文章首先概述了漏洞背景,然后提供了环境搭建方法,使用vulhub漏洞靶场进行演示。接着,给出了POC/EXP脚本链接和利用方法,包括如何添加包含恶意SpEL表达式的路由并执行命令。文章还详细描述了手工复现步骤,包括发送数据包添加路由、刷新路由、查看执行结果以及清理现场。最后,提出了修复建议,包括升级到安全版本和禁用Gateway Actuator端点。

    漏洞分析 命令执行 API安全 SpEL注入 漏洞复现 安全修复

    0xd 京瓷安卓打印应用程序中的一个缺陷可能被滥用以投放恶意软件

    黑猫安全 2023-04-14T09:17:27 鹏鹏同学

    Example Image


    京瓷安卓打印应用程序中的一个缺陷(CVE-2023-25954)可能被滥用以投放恶意软件。该漏洞源于不当意图处理问题,导致资源暴露在错误的控制范围内,为非故意行为者提供了对资源的不适当访问。当恶意应用程序安装在受害者用户的Android设备上时,可能会发送意图,指示受影响的应用程序在没有通知的情况下将恶意文件或应用程序下载到设备。该漏洞影响了多个应用程序,包括KYOCERA Mobile Print、UTAX/TA Mobile Print和Olivetti Mobile Print。KYOCERA通过发布版本3.2.0.230227解决了该漏洞。攻击场景涉及在目标设备上运行KYOCERA应用程序的第二个恶意应用程序。即将推出的Android 14版本将使利用此类问题变得更加困难。

    CVE 移动应用安全 恶意软件传播 代码漏洞 不当意图处理 资源暴露

    0xe 浅谈多角度去代码审计DVWA及修复方法

    web安全小白 2023-04-14T09:02:20 © web安全小白

    Example Image


    免责声明由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及

    代码审计 SQL注入 XSS攻击 CSRF攻击 文件上传漏洞 命令注入 密码存储 输入验证 安全编码实践 网络攻击防范

    0xf 行业资讯 | 新勒索软件团伙 Dark Power 浮出水面

    天唯信息安全 2023-04-14T06:00:42 天唯科技

    Example Image


    u200b新勒索软件团伙 Dark Power 浮出水面

    0x10 实战 | SRC中的URL跳转限制绕过

    进击的HACK 2023-04-13T21:56:51 © 进击的HACK

    Example Image


    SRC中的URL跳转绕过

    0x11 Fastjson 1.2.24-rce漏洞(CVE-2017-18349)

    贫僧法号云空 2023-04-13T13:00:23 © 贫僧法号云空

    Example Image


    Fastjson 1.2.24版本存在反序列化漏洞(CVE-2017-18349),该漏洞允许攻击者通过构造恶意的JSON数据包,实现任意文件写入、服务端请求伪造等攻击,可能导致服务器权限被窃取和敏感信息泄漏。漏洞影响fastjson 1.2.80及之前所有版本。复现漏洞需要准备marshalsec工具和编译Getshell.java代码生成class文件,然后通过启动LDAP服务器和发送特定数据包到目标服务器来获取shell。修复建议包括升级到最新版本1.2.83、启用safeMode加固以及升级至Fastjson v2版本。

    反序列化漏洞 服务端请求伪造(SSRF) 任意文件写入 权限提升 敏感信息泄露 漏洞复现 安全修复

    0x12 CVE-2022-30190:Microsoft Windows诊断工具(MSDT)远程代码执行漏洞

    安帝Andisec 2023-04-13T12:20:12 © CSX安全实验室

    Example Image


    微软支持诊断工具(MSDT)存在远程代码执行漏洞(CVE-2022-30190),该漏洞允许攻击者通过URL协议调用MSDT,利用特殊构造的网页执行任意代码。攻击者可利用此漏洞以调用应用程序的权限运行代码,从而安装程序、查看、更改或删除数据,或创建新账户。漏洞影响Windows 7至Windows 11以及Windows Server 2008至2022的多个版本。微软已发布更新补丁,并建议用户安装更新。此外,提供了禁用MSDT URL协议的缓解措施,以防通过链接启动诊断工具。北京安帝科技有限公司提供进一步的漏洞情报和处置建议,以帮助企业防范此类安全威胁。

    漏洞利用 微软产品安全 高危漏洞 补丁管理 攻击向量分析 缓解措施

    0x13 漏洞复现 红帆OA udfmr.asmx SQL注入漏洞

    HK安全小屋 2023-04-13T11:13:24 PeterPan_HK

    Example Image


    本文介绍了红帆iOffice.net中udfmr.asmx接口存在的SQL注入漏洞。该漏洞允许攻击者获取数据库权限,具体表现为攻击者可以通过特定的POC(Proof of Concept)查询到MSSQL数据库中的第一个数据库名称,通常是master数据库。文章中给出了一个详细的漏洞复现过程,包括构造的SOAP请求和预期的响应。此请求通过特定的XML格式发送,包含了一个SQL注入条件,即'1=db_name(1)'。文章强调,本文内容仅用于技术交流学习,严禁用于任何违法行为。

    SQL注入 漏洞复现 网络安全 技术交流

    0x14 XSS-跨站脚本攻击漏洞/原理(web安全一)

    在社会的拍打中挣扎着寻找希望 2023-04-13T09:47:59 © 小意思

    Example Image


    跨站脚本攻击(XSS)是一种常见的Web应用程序安全漏洞,允许攻击者将恶意脚本代码注入到网页中,从而在其他用户浏览时执行。XSS漏洞通常由Web应用程序对用户输入过滤不足引起,攻击者利用这些漏洞可以进行Cookie窃取、会话劫持、钓鱼欺骗等。XSS攻击的危害包括盗取用户账号、控制企业数据、盗窃商业资料、非法转账等。XSS漏洞可分为存储型、反射型和DOM型,每种类型根据恶意代码存储和执行的位置不同而有所区别。为了防范XSS攻击,通常采用输入过滤和输出转义的方法,如使用白名单过滤恶意字符,对输出内容进行HTML实体编码等。文章还提供了一个简单的DOM型XSS利用示例,并预告了下一期将详细介绍XSS漏洞的利用方法。

    跨站脚本攻击 Web安全漏洞 代码注入 用户输入过滤 前端安全 数据保护 漏洞利用 安全防护措施

    0x15 Microsoft Azure中的“按设计”缺陷可能允许存储帐户接管

    黑猫安全 2023-04-13T09:24:53 鹏鹏同学

    Example Image


    Orca安全公司的研究人员发现,Microsoft Azure中存在一个设计缺陷,可能导致存储帐户被接管。通过滥用共享密钥授权,攻击者可以获得存储帐户的完全访问权限,并可能横向移动或执行远程代码。尽管微软建议使用Azure Active Directory身份验证替代共享密钥授权,但默认情况下创建存储帐户时仍启用共享密钥。攻击者一旦获取存储帐户访问密钥,即可访问和控制存储帐户中的数据。此外,攻击者可以通过操纵Azure功能窃取更高特权的访问令牌,从而升级权限并横向移动。微软承认这是一个设计缺陷,而非漏洞,并计划通过更新Azure功能客户端工具来解决此问题,以更好地支持基于身份的连接。

    云安全 身份认证 横向移动 远程代码执行 设计缺陷 数据泄露

    0x16 PHP 代码审计常规漏洞的步骤和技巧

    web安全小白 2023-04-13T09:00:03 © web安全小白

    Example Image


    本文深入探讨了网络安全中代码审计的重要性,特别针对SQL注入、XSS、CSRF、文件上传漏洞等常见安全问题进行了详细的分析。文章提供了针对SQL注入的常规步骤和技巧,包括查找SQL查询语句、使用正确的转义函数、检查拼接语句和参数来源等。对于XSS攻击,文章强调了检查输出点、过滤输入参数和编码的重要性。文件上传漏洞的审计涉及检查上传机制、文件类型检查和存储路径限制。代码执行漏洞的审计关注执行外部命令、文件包含和反序列化等问题。此外,文章还讨论了CSRF、SSRF和未授权访问等安全漏洞的审计方法和逻辑漏洞的检测技巧。全文强调了代码审计的自动化检测和手工审计相结合的重要性,以及使用安全工具和遵循最佳实践的必要性。

    代码审计 SQL注入 XSS攻击 CSRF攻击 文件上传漏洞 代码执行漏洞 文件包含漏洞 未授权访问 逻辑漏洞 网络安全

    0x17 渗透工具|无状态子域名爆破工具(1秒扫160万个子域)

    玄武盾网络技术实验室 2023-04-13T02:14:16 稻草人

    Example Image


    本文介绍了一款名为ksubdomain的无状态子域名爆破工具,该工具能够在Windows、Linux和Mac操作系统上运行,具备快速扫描大量子域名的功能。ksubdomain利用异步DNS包和pcap技术,理论上在Linux系统上可以达到每秒160万个子域名的扫描速度,而在Mac和Windows上也能达到每秒30万个子域名的速度。工具具备丢包重发机制,确保每个DNS请求都能收到服务器的响应,减少漏报的可能性。ksubdomain支持枚举模式和验证模式,并内置了10万个子域名字典,用户可以通过参数-b来限制网卡发包速度。此外,工具还支持安装libpcap环境,并提供了一系列常用命令,如使用内置字典进行爆破、通过管道验证域名等。文章还提供了详细的安装步骤和视频演示链接,方便用户学习和使用。

    子域枚举 DNS爆破工具 网络安全工具 无状态工具 跨平台工具 性能优化 编程语言 安装配置 命令行工具

    0x18 微软4月安全更新补丁和多个高危漏洞风险提示

    安恒信息CERT 2023-04-13T00:03:08

    Example Image


    微软官方发布了4月安全更新公告,其中包含了对微软家族多个软件的安全更新补丁,涉及.NET Core、Microsoft Office、Microsoft Bluetooth Driver、Microsoft Defender for Endpoint、Microsoft Printer Drivers、SQL Server、Visual Studio、Windows Kernel、Windows RDP Client、Windows Win32K等多个产品的CVE安全漏洞补丁。公告特别指出,此次更新中修复的Windows Win32k 特权提升漏洞(CVE-2023-28274)、Microsoft 消息队列远程代码执行漏洞(CVE-2023-21554)、Windows 图形组件特权提升漏洞(CVE-2023-24912)、Windows辅助功能驱动WinSock提升特权漏洞(CVE-2023-28218)、隧道协议远程代码执行漏洞(CVE-2023-28219、CVE-2023-28220)、Windows 蓝牙驱动程序远程代码执行漏洞(CVE-2023-28227)、DHCP 服务器服务远程代码执行漏洞(CVE-2023-28231)、Windows 通用日志文件系统驱动程序信息泄露漏洞(CVE-2023-28266)、Windows 通用日志文件系统驱动程序特权提升漏洞(CVE-2023-28252)风险较大。其中,Windows 通用日志文件系统驱动程序特权提升漏洞(CVE-2023-28252)存在在野利用,建议尽快安装安全更新补丁或采取临时缓解措施加固系统。公告还提供了详细的受影响范围和漏洞描述,并建议用户通过Windows更新自动或手动安装补丁,或从微软官方通告中获取补丁。

    0x19 瑞友天翼应用虚拟化系统远程代码执行漏洞风险提示

    安恒信息CERT 2023-04-13T00:03:08

    Example Image


    近日,瑞友天翼应用虚拟化系统被发现存在远程代码执行漏洞,该漏洞允许未经身份验证的攻击者通过构造特制的请求来执行远程命令,进而获取服务器权限。该漏洞影响5.x至7.0.3.1版本的系统。瑞友官方已发布安全更新,建议用户升级至7.0.3.1版本以修复漏洞。安恒信息CERT已验证该漏洞的可利用性,并提供了缓解措施,包括及时升级到安全版本和利用安恒信息提供的防护类产品进行防护。受影响的用户应尽快采取行动,以防止潜在的攻击。

    远程代码执行漏洞 应用虚拟化系统安全 瑞友天翼 安全更新 漏洞影响范围 安全措施建议 漏洞利用 防护方案 安恒信息

    0x1a 攻击者利用事件日志来隐藏无文件恶意软件

    安全小白团 2023-04-12T20:34:27 安全小白团译文

    Example Image


    攻击者使用事件日志来隐藏无文件恶意软件

    0x1b u200bApache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)

    贫僧法号云空 2023-04-12T13:00:37 © 贫僧法号云空

    Example Image


    Apache Shiro 1.2.4及之前版本存在反序列化漏洞(CVE-2016-4437),该漏洞允许攻击者通过remember-me Cookie中的加密用户信息进行攻击。攻击者利用Shiro的默认密钥伪造Cookie,触发Java反序列化漏洞,从而在目标机器上执行任意命令。环境搭建使用vulhub靶场,通过ShiroExploit工具进行漏洞扫描和利用,展示了反弹shell的过程。修复建议包括更新Shiro版本至1.2.4以上,不使用默认加密密钥,并针对Shiro-721漏洞,建议关闭rememberMe功能或升级至安全版本。

    反序列化漏洞 Apache Shiro 命令注入 Cookie安全 加密与解密 安全漏洞修复

    0x1c Jeecg-Boot 存在前台SQL注入漏洞(CVE-2023-1454)

    南风漏洞复现文库 2023-04-11T19:50:38 © 南风网络安全

    Example Image


    本文介绍了Jeecg-Boot 3.5.0版本存在的一个SQL注入漏洞(CVE-2023-1454),该漏洞可能导致敏感信息泄露。漏洞源于文件jmreport/qurestSql的安全问题,通过特定的apiSelectId参数可以实现SQL注入攻击。文章详细描述了漏洞的影响范围、复现过程,并提供了漏洞的Fofa查询语句。由于厂商尚未发布修复措施,建议用户关注厂商主页或参考GitHub获取解决办法。同时,文章也提醒读者不要利用文中技术从事非法测试,并强调使用者本人对使用该信息或工具所造成的后果负责。

    SQL注入漏洞 CVE-2023-1454 Jeecg-Boot 低代码平台 安全漏洞 开源软件 软件安全

    0x1d Aapache Tomcat AJP 文件包含漏洞(CVE-2020-1938)

    贫僧法号云空 2023-04-11T15:49:56 © 贫僧法号云空

    Example Image


    本文详细分析了Apache Tomcat AJP文件包含漏洞(CVE-2020-1938),该漏洞由长亭科技安全研究员发现,存在于Tomcat的AJP协议中。由于AJP协议设计上的缺陷,攻击者可以通过Tomcat AJP Connector读取或包含Tomcat上所有webapp目录下的任意文件,如读取配置文件或源代码。在存在文件上传功能的应用中,配合文件包含的利用,攻击者可能实现远程代码执行。文章介绍了使用vulhub搭建靶场环境,并提供了复现步骤,包括准备POC、启动Python脚本进行文件读取,以及手动上传shell文件以进行反弹shell操作。最后,文章提出了修复建议,包括关闭AJP协议的端口和更新官方最新补丁。

    文件包含漏洞 远程代码执行 信息泄露 Apache Tomcat CVE-2020-1938 AJP协议漏洞

    0x1e 代码审计之织梦后台getshell漏洞

    在社会的拍打中挣扎着寻找希望 2023-04-11T14:32:47 © 小意思

    Example Image


    文章介绍了织梦后台的一个getshell漏洞,该漏洞存在于/dede/article_string_mix.php文件中。后端通过POST请求接收前端数据,并进行过滤操作后保存到固定路径。攻击者可以通过简单的参数绕过,利用过滤规则保存恶意的PHP文件。文章中展示了漏洞代码块,其中包括对恶意函数的过滤和检测,但存在绕过方法。通过构造特定的POST请求,可以成功保存webshell,从而获取服务器的控制权。文章最后提到,这是一个可前端操作的漏洞,简化了攻击者的利用过程。作者以一个代码审计初学者的身份,希望与安全圈的小伙伴们共同学习进步。

    代码审计 漏洞利用 安全防护绕过 WebShell PHP安全

    0x1f 【涨知识】利用虚假网站在中国传播的FatalRAT通信分析

    北京观成科技 2023-04-11T14:26:37 © Ly

    Example Image


    近期,观成安全研究团队揭露了一起针对中国大陆、香港和台湾地区的恶意软件传播活动。攻击者利用虚假网站和Google搜索结果中的误导性广告,诱骗用户下载包含FatalRAT恶意软件的安装程序。该恶意软件通过TCP协议与远程控制服务器进行通信,并使用多种加密方法来保护其通信数据。攻击流程分为四个阶段,包括执行安装程序、加载组件、解密最终载荷以及与C2服务器通信。观成科技的研究显示,这种利用自定义加密通信的攻击方式越来越普遍,给检测和防御带来了挑战。观成科技通过其加密威胁智能检测系统对这种恶意软件进行了检测,并强调了对新型威胁的持续跟踪和应对策略的更新。

    恶意软件分析 网络攻击 木马传播 C&C通信 TCP协议 加密技术 网络安全检测 安全趋势

    0x20 一篇文章教会你如何编写poc

    web安全小白 2023-04-11T09:02:30 © web安全小白

    Example Image


    本文详细介绍了POC(概念验证)脚本在网络安全领域的应用和重要性。POC脚本用于验证特定安全漏洞的存在,检测漏洞的可利用性,以及评估漏洞的危害范围。文章首先解释了POC脚本的基本概念和编写意义,包括检测漏洞、确认漏洞可利用性、辅助漏洞修复和推动安全产品发展。接着,文章讲解了Python编程语言中的一些基础知识,如循环函数、正则表达式函数库re,以及文件读写操作。此外,还介绍了Python中常用的爬虫函数库requests和BeautifulSoup,以及json模块在处理JSON数据时的应用。实战篇中,提供了利用Python进行网站批量存活检测、文本处理(添加、删除前缀,去重)以及从百度搜索结果和FOFA结果中获取信息的示例代码。文章最后推荐了一些网络安全相关的技术方法和工具,如Windows和Linux提权方法、短信验证码漏洞、信息收集等。

    网络安全研究 漏洞利用 安全工具 编程语言 安全漏洞检测 安全产品评估 安全运维 网络安全意识

    0x21 深信服EDR任意用户登录

    南风漏洞复现文库 2023-04-10T11:38:05 © 南风网络安全

    Example Image


    本文介绍了深信服终端检测响应平台(EDR)的任意用户登录漏洞。深信服EDR是一款终端安全解决方案,由端点安全软件和管理平台组成,提供终端资产管理、病毒查杀、合规检查等功能。然而,该平台存在一个任意用户登录漏洞,攻击者通过构造HTTP请求可以未授权访问平台后台。文章详细描述了EDR的简介、漏洞描述、影响版本、漏洞复现步骤,并提供了漏洞复现工具的下载地址。需要注意的是,本文中的技术信息仅供学习和研究之用,禁止用于非法测试。

    终端安全 漏洞分析 入侵防御 安全事件响应 安全产品 云安全 威胁情报 代码审计

    0x22 常见的系统权限维持方法

    web安全小白 2023-04-10T09:00:55 © web安全小白

    Example Image


    本文详细介绍了网络安全领域中常见的系统权限维持方法。权限维持是黑客攻击的关键环节,一旦攻击者获得系统管理员权限,便能完全控制系统。文章中提到了多种维持权限的方法,包括通过注册表启动项、服务启动项、计划任务、Windows服务提供程序、进程注入、DLL劫持、系统文件替换、COM劫持、自启动目录、系统服务启动项、系统服务DLL代理劫持以及编写恶意驱动程序等。这些方法仅供学习和研究使用,并强调了不应将它们用于非法用途。文章最后提醒系统管理员和安全人员应加强系统安全防护,及时修复系统漏洞,以避免被攻击。

    系统权限维持 注册表攻击 服务管理攻击 计划任务攻击 Windows服务攻击 进程注入攻击 DLL劫持攻击 系统文件攻击 COM劫持攻击 自启动攻击 系统服务攻击 系统服务DLL代理攻击 恶意驱动攻击 网络安全防护

    0x23 Nexus安卓木马分析报告

    LianSecurity链安 2023-04-10T09:00:33 链安博客

    Example Image


    2023 年 3 月 21 日晚上,链安与中睿天下联合研发的监控系统检测到一种新型安卓木马。

    Android木马 恶意软件变种 移动安全 隐私泄露 逆向工程 设备管理员权限 无障碍功能滥用 安全分析 安全威胁情报

    本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。