2022年 第16周 微信公众号精选安全技术文章总览
洞见网安 2022-4-18
0x1 【漏洞复现】Weblogic 任意文件上传漏洞(CVE-2018-2894)
御林安全 2022-04-24T16:17:51 © donx
0x2 Spring Framework远程代码执行漏洞(CVE-2022-22965)
HK安全小屋 2022-04-23T23:09:38 Dzd_Hk
Spring Framework远程代码执行漏洞(CVE-2022-22965)
0x3 浅谈资产收集
X的碎碎念 2022-04-23T15:00:37 © Xavier
本文详细介绍了资产收集的方法和工具。首先定义了有效资产的范围,包括域名、IP、网站应用、移动应用、小程序和公众号等。接着,文章分步骤讲述了如何收集资产,包括梳理公司架构、Web资产收集、移动端资产收集和敏感信息收集。对于Web资产,提到了备案查询、证书查询、子域名搜集、IP段查询和C段查询等方法,并推荐了相关工具和平台。移动端资产收集则涉及应用市场检索和小程序、公众号的搜索。敏感信息收集部分,提到了代码托管平台和社交平台的搜索。最后,文章强调了持续监控的重要性,并推荐了几个开源项目用于监控企业动态和资产变化。
0x4 App逆向分析之某印sign参数(第一期)
逆向与爬虫的故事 2022-04-23T12:30:00 ©
时隔多日,我们又见面了。从今天开始,将会有一个新的逆向章节《App逆向》陪伴我们,希望大家能够喜欢。文章若有错误的地方,欢迎各位读者多多交流指正,希望通过分享这些文章能让大家有所收获!☀️
0x5 QNAP 建议用户更新 NAS 固件以修补 Apache HTTP 漏洞
黑猫安全 2022-04-23T09:49:41 鹏鹏同学
NAS 设备制造商 QNAP 周四表示正在调查其阵容受上个月在 Apache HTTP 服务器中两个安全漏洞的潜在影响,严重缺陷的严重性评级为 9.8,影响版本 2.4.52 及更早版本。漏洞包括缓冲区可能溢出和越界写入,相关漏洞已在 2.4.53 版本修复。QNAP 称虽然有些漏洞不影响其产品,但部分漏洞会影响 32 位 QNAP NAS 型号及在其设备上启用 Apache HTTP Server mod_sed 的用户。在无安全更新的情况下,QNAP 提供了一些解决方案,如保留预设值和停用 mod_sed 等。该公告是在其披露解决其他漏洞后近一个月发布的。
漏洞通报 固件更新 缓冲区溢出 越界写入 安全防护措施 CVSS评分 Apache HTTP服务器 QNAP NAS设备
0x6 【漏洞复现】JNDI注入高版本利用
御林安全 2022-04-22T13:48:11 © cokeBeer
本文详细介绍了JNDI注入高版本利用的漏洞复现过程。文章首先声明了内容仅供学习交流,并提醒使用者对传播利用技术造成的不良后果负责。接着,文章指出jdk8u191以后版本因默认关闭了trustURLCodebase,导致无法直接加载远程恶意类,但可以通过加载本地环境中的工厂类来绕过。文章详细分析了调试过程,包括RegistryContext#lookup和RegistryContext#decodeObject的调用,以及如何通过设置Reference对象来跳过trustURLCodebase的判断。最后,文章说明了如何利用BeanFactory类加载javax.el.ELProcessor类,并通过forceString字段控制反射调用,执行任意代码。文章提供了参考工具链接,并鼓励读者关注公众号以获取更多信息。
0x7 思科保护伞中的静态 SSH 主机密钥允许窃取管理员凭据
黑猫安全 2022-04-22T09:37:01 鹏鹏同学
思科官方已经修复了其Cisco Umbrella虚拟设备(VA)中存在的一项高危漏洞(CVE-2022-20773)。这一漏洞与Umbrella VA中的静态SSH主机密钥有关,可能导致未认证的攻击者通过中间人攻击的方式,窃取管理员的登录凭证,进而修改配置或者重启VA。然而,思科强调,默认情况下SSH服务并不是开启状态。受到影响的是那些运行在VMWare ESXi和Hyper-V平台上,且软件版本低于3.3.2的Cisco Umbrella虚拟设备。思科建议用户将设备更新至已修复此漏洞的版本3.3.2及以上。值得注意的是,思科产品安全事件响应团队(PSIRT)至今尚未发现该漏洞在实际环境中被恶意利用的情况。此漏洞是由Pinnacol Assurance的Fraser Hess发现并上报给思科的。
SSH 安全 身份验证漏洞 中间人攻击 思科产品安全 云安全 软件更新与补丁
0x8 HTB靶机08-Knife-WriteUp
X的碎碎念 2022-04-22T09:00:00 © Xavier
Knife,Easy,考点:信息搜集+提权;
0x9 【铭说】域渗透中ZeroLogon的利用及分析,AD域安全不容忽视
聚铭网络 2022-04-21T17:31:32 © 聚铭安全研究院
在较大的企业、政企、高校等单位的网络信息化建设中,域环境常常是内部网络建设的重要一部分。而从现有网络安全
0xa Snort的Modbus预处理器中的CVE-2022-20685漏洞使其无法使用
黑猫安全 2022-04-21T17:13:31 鹏鹏同学
Snort的Modbus预处理器中存在CVE-2022-20685漏洞,这是一个整数溢出问题,可能导致DoS攻击。该漏洞影响所有早于2.9.19和3.1.11.0版本的开源Snort项目。攻击者可远程发送特制数据包,触发无限循环,使Snort对恶意流量无效。此漏洞由Claroty的安全研究员Uri Katz发现,Cisco已发布安全公告。该漏洞对企业和OT网络可能产生破坏性影响。
网络入侵检测系统(IDS) 网络入侵防御系统(IPS) DoS攻击 整数溢出 Modbus协议 工业控制系统(ICS) 远程代码执行(RCE) 漏洞分析
0xb 【漏洞分析】Struts2S2-062远程代码执行漏洞(CVE-2021-31805)分析
安博通 2022-04-21T15:35:03 © 安博通
安博通,可视化网络安全技术创新者
0xc Oracle四月补丁更新及多个高危漏洞风险提示
安恒信息CERT 2022-04-20T18:02:03 ©
2022年4月20日,Oracle发布了其家族WebLogic Server等多个产品的安全更新公告,其中包含两个高危漏洞:CVE-2022-23305和CVE-2022-21420。CVE-2022-23305是Oracle WebLogic Server的远程代码执行漏洞,由于使用了Apache Log4j,未经身份验证的攻击者可通过HTTP访问破坏服务器。CVE-2022-21420是Oracle Coherence的远程代码执行漏洞,攻击者可通过T3访问破坏产品。这两个漏洞都存在被在野利用的风险。Oracle已发布补丁修复这些漏洞,建议用户及时更新。此外,文章还提供了漏洞影响的版本列表、检测方法和缓解措施,包括限制T3协议访问和禁用IIOP协议等。
Oracle 漏洞 远程代码执行 WebLogic Server Coherence 安全补丁 漏洞利用 Nmap 安全运营
0xd 【涨知识】 Ghostwriter攻击活动中的加密通信
北京观成科技 2022-04-19T17:05:35 © St
本文分析了APT组织UNC1151在“Ghostwriter”活动中针对乌克兰等国家的网络攻击。攻击者通过鱼叉式网络钓鱼发送攻击样本,使用CHM格式文件作为诱饵,通过内置的HTML代码执行攻击。攻击后门MicroBackdoor使用RSA+RC4混合加密方式与C2服务器通信。通信过程分为验证和命令交互阶段,使用RSA进行身份验证,RC4进行数据加密。文章详细描述了攻击的流程、加密通信过程和流量分析,并指出获取服务端私钥是解密流量的关键。此外,文章还指出APT组织越来越倾向于使用自定义加密方式,给流量检测带来挑战。
APT攻击 网络钓鱼 加密通信 后门程序 域渗透 网络安全事件 恶意软件分析
0xe ~信息收集怎么少的了-google hack
小惜渗透 2022-04-19T12:38:36 小惜渗透
wp6055086 这也是我之前学的然后自己整理了一遍,感觉我目前用的最多的就是filetype有一些可
0xf TP-LINK路由器的登录用户名密码是什么?
网络技术联盟站 2022-04-19T08:30:00 瑞哥
0x10 0x00靶机GoldenEye
安全诸子 2022-04-18T23:45:23 陈看山
本文详细记录了一个网络安全学习者在渗透测试中针对“詹士邦系列电影——GoldenEye”靶机进行攻击的过程。首先,通过开启靶机和Kali Linux,并配置网络连接为net模式,确定了靶机和Kali的IP段。接着,使用nmap扫描同网段下的IP,收集目标IP地址,并验证开放端口和服务。通过访问80端口,发现了一个Web应用程序,并在目录/xx/中找到js文件,进一步获取有效信息如用户名和密码。此外,还发现了pop3服务器在55006和55007端口运行,通过爆破邮箱账户名,成功登录并收集更多信息,包括一个名为GoldenEye的访问代码附件。在靶机重启后,地址变为192.168.64.149,尝试使用MSF远程代码执行漏洞提权失败,最终通过内核提权获取root权限。整个过程涉及信息收集、漏洞利用、提权等多个环节,展示了渗透测试的基本流程和技巧。
靶场渗透测试 Nmap扫描 Web安全 POP3服务 密码破解 DNS劫持/修改 内核提权 漏洞利用 Metasploit(MSF)
0x11 [GUET-CTF2019]虚假的压缩包
DarkZone 2022-04-18T23:04:56 plat0
本文详细解析了[GUET-CTF2019]虚假的压缩包这道题目的解法。首先,通过下载提供的附件获得两个压缩文件,其中一个为伪加密的虚假压缩包。通过特定脚本计算得到解压密码为5,并利用此密码解压得到真实的压缩包文件。在检查这些文件时,发现一个JPG文件实际上是一个PNG文件,通过修改文件后缀并调整其宽高参数,可以获取到隐藏的信息。进一步分析显示,需要对某个数据进行单字符异或操作(与前面步骤中提到的异或加密思路一致),通过给定的Python脚本处理这个数据,最终生成了一个.doc文档。打开该文档即可看到flag:flag{th2_7ru8_2iP}。题目主要考察点包括RSA加解密算法的理解和应用、识别和修正文件头信息以揭示隐藏内容的能力以及使用异或加密技术进行数据处理的方法。
网络安全竞赛 RSA加密 压缩包分析 图片处理 脚本编写 编码转换 漏洞利用
0x12 【漏洞复现】Weblogic未授权远程命令执行漏洞 (CVE-2020-14882, CVE-2020-14883)
御林安全 2022-04-18T18:39:35 © donx
本文介绍了Weblogic服务器的两个安全漏洞CVE-2020-14882和CVE-2020-14883的复现过程。CVE-2020-14882允许未授权用户绕过权限验证访问后台,CVE-2020-14883则允许通过HTTP协议执行任意命令。文章通过docker-compose启动Weblogic 12.2.1.3版本环境,并演示了如何通过构造特定URL未授权访问管理后台。接着,展示了两种利用CVE-2020-14883漏洞的方法:一种是利用com.tangosol.coherence.mvel2.sh.ShellSession类执行命令,另一种是利用com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext类加载恶意XML文件执行命令。文章强调了这些漏洞的严重性,并提醒读者仅将这些信息用于学习交流,避免非法利用。
远程代码执行 权限绕过 Weblogic漏洞 未授权访问 漏洞复现
0x13 【总结篇】电子邮箱调查方法总结
百灵猫开源情报分析师 2022-04-18T12:15:02 ©
0x14 真香系列:7张图详解域名系统DNS
网络技术联盟站 2022-04-18T08:00:00 © 瑞哥
原创文章,值得一读!
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
