2024年第15周微信公众号精选安全技术文章总览

洞见网安 2024-4-15

0x1 js逆向基础-示例aes解密

舔狗说安全 2024-04-12T21:19:21 © Eon

js逆向基础-示例AES解密

0x2 SharifCTF 2016 – Asian Cheetah writeup

长弓三皮 2024-04-12T17:00:52 © 随波逐流

SharifCTF 2016 – Asian Cheetah writerup

本文深入探讨了Rootkit的技术原理和检测方法。文章首先阐述了Rootkit的基本概念，指出理论上不存在毫无痕迹的Rootkit，因为其运作需要与操作系统底层紧密交互。接着，文章详细分析了Rootkit如何通过隐藏自身在/proc/modules和/sys/module等系统文件中，以及如何通过eBPF技术实现用户空间内存修改和系统调用修改。此外，文章还介绍了XDP（eXpress Data Path）技术及其在Rootkit中的应用，以及如何利用binfmt_misc内核功能进行容器逃逸。最后，文章探讨了eBPF技术在检测Rootkit方面的应用，包括检测系统调用劫持、命令执行等恶意行为。

Rootkit 内核安全 eBPF 系统调用网络安全检测 Linux内核虚拟文件系统安全漏洞沙盒技术

0x4 【应急响应】无回显Nday漏洞响应分析

安全驾驶舱 2024-04-12T10:50:31 xxxh

这篇文章将以响应处理CVE-2023-38646作为范例为大家展现针对时效漏洞响应的大致操作流程以及遇到的一些常见的问题的解决方案。

0x5 【风险通告】Rust存在命令注入漏洞（CVE-2024-24576）

安恒信息CERT 2024-04-11T21:10:13

本文介绍了Rust编程语言中的一个严重命令注入漏洞（CVE-2024-24576），该漏洞评级为1级，CVSS3.1评分达到10.0，属于高危漏洞。该漏洞允许攻击者通过绕过参数转义，向派生进程传递恶意参数，从而执行任意shell命令。Rust是一种高性能、安全性的编程语言，广泛应用于操作系统、游戏引擎等领域。目前，官方已发布修复方案，建议受影响的用户更新至安全版本。此漏洞目前尚未发现实际利用，但安全研究者正在分析中。

编程语言漏洞命令注入 Rust 操作系统安全高严重性漏洞安全响应 CVE编号 NVD

0x6 最新提权\'\'骚操作\'\'

必火安全 2024-04-11T19:12:57

本文介绍了利用组策略首选项提权漏洞的详细过程。该漏洞存在于活动目录的SYSVOL文件夹中，该文件夹存储了登录脚本、组策略数据等域信息。由于所有域用户和域信任用户都具有读权限，攻击者可以访问包含加密密码的XML文件。文章详细描述了如何搭建靶场环境，包括配置Windows 2012域环境、修改组策略、删除相关补丁以及更改本地管理员账户信息。此外，文章还说明了如何通过解密SYSVOL中的密码文件来获取明文密码，从而控制域中所有使用该账号的本地管理员计算机。

Active Directory Security Group Policy Privilege Escalation Lateral Movement Patch Management Password Management Encryption Vulnerability Exploitation Windows Server

0x7 网络监控：网络设备指标采集配置如何写

网络小斐 2024-04-10T15:10:38 ©

本文详细介绍了基于SNMP协议采集网络设备监控指标的方法，旨在提升网络的可观测性。文章首先阐述了SNMP协议的重要性，作为网络管理的事实标准，它能够统一管理不同厂商的网络设备。接着，文章深入讲解了SNMP协议的三个版本、系统组成以及MIB的概念和结构，帮助读者理解SNMP协议的基本原理。文章重点介绍了三种开源采集器：SNMP Exporter、Categraf和Telegraf，并详细说明了它们的工作原理和配置方法。其中，SNMP Exporter通过配置文件生成器生成采集配置文件，而Categraf则依赖MIB文件进行采集。文章还介绍了SNMP中两种基本数据结构：标量和表格，以及如何通过OID区分它们。最后，文章以具体的配置示例展示了如何使用这些采集器进行网络设备指标的采集。

SNMP 网络设备监控 MIB OID Categraf SNMP Exporter Telegraf 网络可观测性 Prometheus 监控2.0

0x8 【风险通告】微软4月安全更新补丁和多个高危漏洞风险提示

安恒信息CERT 2024-04-10T11:09:38

微软发布了4月安全更新公告，其中包含了对多个微软产品系列的安全补丁更新。这些产品包括Microsoft Install Service、Windows Remote Access Connection Manager、Windows Kernel、Windows Telephony Server、libarchive和Microsoft Defender for IoT等。公告特别指出，此次更新中包含的多个漏洞风险较大，包括Microsoft Install Service权限提升漏洞（CVE-2024-26158）、Windows Remote Access Connection Manager权限提升漏洞（CVE-2024-26211）、Windows内核权限提升漏洞（CVE-2024-26218）、Windows Telephony Server权限提升漏洞（CVE-2024-26230）、libarchive远程代码执行漏洞（CVE-2024-26256）以及Microsoft Defender for IoT远程代码执行漏洞（CVE-2024-29053）。这些漏洞的CVSS3.1评分均在7.8分以上，尤其是Microsoft Defender for IoT远程代码执行漏洞的评分高达8.8分，表明其危害性极高。公告建议用户尽快安装安全更新补丁，或采取临时缓解措施加固系统。微软提供了官方修复方案，用户可以通过Windows Update自动或手动更新补丁。受影响的系统版本范围广泛，涵盖了从Windows 10到Windows Server的多个版本。详细的漏洞信息和修复方案可以参考微软官方通告和补丁获取链接。

漏洞公告权限提升远程代码执行高危漏洞微软产品安全补丁 CVE编号

0x9 SSRF绕过域名白名单的一种方式——CVE-2024-24806（影响大量nodejs服务）

混入安全圈的程序猿 2024-04-10T10:44:33 © 安全猿

本文讨论了一个编号为CVE-2024-24806的安全漏洞，该漏洞影响Node.js v10及以后的版本，并已在v20.11.1中得到修复。此漏洞源于Node.js所依赖的异步IO库libuv中的一个问题，即当输入的域名超过256字节时，libuv库内部会对其进行截断处理，随后调用getaddrinfo进行域名解析。攻击者可以构造特定的payload，利用这一特性绕过服务器设置的域名白名单，从而访问内部API接口。文章举例说明，如目标服务器仅允许访问demo.com的请求，攻击者可通过构造包含256字节的特殊字符串，其中包含目标IP地址的十六进制形式（例如127.0.0.1的'7f000001'），并使其在截断后成为有效的内部IP地址。这样即使服务端检测到的域名在白名单内，实际发起的请求也会指向内部地址。此漏洞揭示了代码审计的重要性，并提供了漏洞报告及payload的链接供进一步研究。

SSRF漏洞 Node.js安全 libuv库 DNS解析 CTF竞赛白名单绕过

0xa BOOMSLANG（树蚺）移动欺诈家族分析

LianSecurity链安 2024-04-10T08:30:40 © 链安博客

概述经监测，我们截获了一起与未知家族有关的欺诈性 Android 应用传播事件。

Android 恶意软件源代码篡改欺诈行为网络钓鱼 DoH技术利用混淆技术动态DNS 网络安全分析恶意软件追踪移动安全

0xb TP-Link TDDP 缓冲区溢出安全漏洞解析

LianSecurity链安 2024-04-10T08:30:40 © 链安博客

TP-Link TDDP 缓冲区溢出安全漏洞解析

缓冲区溢出内存安全漏洞逆向工程漏洞分析 TDDP协议网络协议安全嵌入式设备安全 CVE编号

0xc Incinerator——Android 恶意软件逆向分析终极利器

LianSecurity链安 2024-04-10T08:30:40 链安博客

想要轻松掌握 Android 恶意软件的逆转技术吗？Incinerator 将是你在这场网络攻防战中的得力伙伴

Android安全逆向工程恶意软件分析安全漏洞检测沙箱技术代码审计威胁情报团队开发开源软件操作系统安全

0xd FileCatalyst Workflow Web Portal 存在文件上传漏洞(CVE-2024-25153)

舔狗说安全 2024-04-10T07:00:26 © Yuanyi

声明本文仅用于学习交流，请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关

0xe java反序列化基础

舔狗说安全 2024-04-09T20:41:36

序列化/反序列化原理简单来说就是：writeObject()方法序列化readObject()方法反序列化一

0xf 【涨知识】加密C2框架Merlin流量分析

北京观成科技 2024-04-09T11:03:12 © xhbw

本文详细介绍了网络安全工具Merlin的特点和工作原理。Merlin是一款支持多种协议的后渗透测试工具，采用Go语言开发，具备跨平台优势。它使用JWE（JSON Web Encryption）格式加密数据传输，增强了通信数据的隐蔽性。文章分析了Merlin的部署、工作流程、验证过程和加密解密方式，包括对HTTP和HTTPS流量的分析。文章还讨论了Merlin的检测方法和安全研究团队对此类工具的追踪研究，指出加密通信C2工具在网络安全中的挑战。

网络安全工具后渗透测试加密通信流量分析 C2框架跨平台恶意软件分析

0x10 D-Link产品远程命令执行漏洞(CVE-2024-3273)

舔狗说安全 2024-04-08T20:04:33 © Yuanyi

本文介绍了D-Link产品中的一个远程命令执行漏洞（CVE-2024-3273），该漏洞存在于“/cgi-bin/nas_sharing.cgi”脚本中，影响HTTP GET请求处理程序组件。漏洞的产生是由于硬编码账户（用户名为“messagebus”和空密码）以及通过“system”参数的命令注入问题。Telesquare TLR-2005Ksh 1.0.0和1.1.4版本受此漏洞影响，攻击者可利用此漏洞未经Cmd参数授权执行系统命令并获取服务器权限。受影响的版本包括DNS-320L、DNS-325、DNS-327L和DNS-340L。文章中展示了如何通过base64编码的命令插入到system参数中复现漏洞。官方已发布补丁修复此漏洞，建议用户升级至最新版本。

漏洞分析远程命令执行安全漏洞后门分析命令注入安全补丁

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

2024年 第15周 微信公众号精选安全技术文章总览