2022年 第18周 微信公众号精选安全技术文章总览
洞见网安 2022-5-2
0x1 tomcat任意文件写入(CVE-2017-12615)
小惜渗透 2022-05-08T10:45:40 小惜渗透
Snipaste_2022-05-03_18-11-31tomcat任意文件写入(CVE-2017-1261
文件上传漏洞 路径遍历 CVE Apache Tomcat Windows环境漏洞 配置错误
0x2 [GKCTF 2021]签到
DarkZone 2022-05-07T22:50:37 © plat0
本文详细分析了[GKCTF 2021]签到题目。首先提供了题目地址链接,并指出解题需要下载一个名为tmpshell.pcapng的附件,使用Wireshark打开并过滤http请求以发现线索。在分析过程中,发现了倒序返回的信息595852685a4331336433634b,通过逐个解密最终找到了命令QER1=cat+%2Fetc%2Fpasswd的结果,但并未直接显示flag。进一步分析揭示可能包含flag的数据包,作者编写了解密脚本来处理加密信息。解密过程涉及URL编码、base64编码转换以及文本的倒序读取等步骤。文章还提到处理加密字符串时遇到双写字符的问题,需进行去重处理,但注意到保留特定数量的'C'字符的重要性。最终,经过一系列尝试和调整,得出了正确的flag:flag{Welc0me_GkC4F_m1siCCCCCC!}。该题目主要考察了对网络协议的理解、数据编码转换技巧以及逻辑思维能力。
网络安全 网络协议分析 数据包捕获 解码技术 编码转换 脚本编写 网络安全竞赛 漏洞挖掘 逆向工程
0x3 Jira Seraph身份验证绕过漏洞风险提示(CVE-2022-0540)
安恒信息CERT 2022-05-07T19:46:45
安恒信息近期监测到Jira Seraph身份验证绕过漏洞(CVE-2022-0540),该漏洞可能被攻击者利用以绕过权限校验,导致敏感信息泄露或远程执行命令。该漏洞影响Jira Core Server、Jira Software Server、Jira Software Data Center以及Jira Service Management Server、Jira Service Management Data Center的多个版本。官方已发布修复补丁,建议用户及时升级到安全版本。同时,安恒信息的相关产品已实现对该漏洞的检测和防护,用户可通过升级策略包或规则包来增强安全防护能力。
身份验证漏洞 Jira安全漏洞 敏感信息泄露 远程命令执行 软件补丁 漏洞利用 版本控制 网络安全产品
0x4 【漏洞复现】CVE-2022-0415 gogs RCE
御林安全 2022-05-07T14:48:59 © cokeBeer
本文是一篇关于CVE-2022-0415漏洞的复现文章,该漏洞存在于gogs版本小于0.12.6中。漏洞类型为文件上传漏洞,攻击者可以利用该漏洞上传恶意文件到.git目录,并通过sshCommand参数执行命令。文章详细分析了漏洞的成因,并给出了利用方法和修复方式。利用方法主要是通过控制TreePath参数来上传文件到.git目录,并在上传的文件中设置sshCommand参数以执行命令。修复方式则是对treePath和upload.Name进行过滤,以防止恶意文件的上传。
0x5 这个新的无文件恶意软件在Windows事件日志中隐藏外壳代码
黑猫安全 2022-05-07T14:45:34 鹏鹏同学
一篇报道揭示了一种新型无文件恶意软件活动,该活动通过在Windows事件日志中隐藏shellcode块来实现其隐蔽性,从而绕过传统的安全检测手段。此恶意活动最早可追溯到2021年9月,攻击者通过诱使目标下载含有Cobalt Strike和Silent Break组件的RAR压缩包来实施攻击。之后,通过模拟软件模块将恶意代码注入Windows系统进程或可信应用程序中。为了进一步规避检测,攻击者还使用了反检测包装器,并采用了独特的技术将加密的shellcode碎片存储在8KB大小的日志记录中,随后这些碎片会被组合起来执行。最终的恶意载荷是一系列具备多种通信方式(如RC4加密的HTTP和未加密的命名管道)的特洛伊木马,这些载荷可以执行命令、下载文件、提权及截屏等操作。此外,威胁行动者还会根据初步侦察获得的信息来定制后续攻击阶段,并利用看似合法的远程服务器。研究人员认为此次攻击背后的主体具有相当高的技术水平,其编写代码的独特性表明它与已知的恶意软件家族无关。此外,文章还提到Sysdig研究人员展示了如何利用Redis服务器的关键漏洞,在内存中执行无文件恶意软件来破坏只读容器。
无文件恶意软件 shellcode注入 加密通信 命名管道通信 权限提升 屏幕截图截取 逃避检测 信息收集 Cobalt Strike Silent Break Redis服务器漏洞利用
0x6 TRY HACK ME | GAME ZONE 「SQLMAP+利用反向SSH提权」
航安全 2022-05-07T12:30:00 © AKAHRZ
TRY HACK ME 渗透测试靶场,以基础为主层层深入,知识点讲解详细,对于想实现从零到一飞跃的白客,TR
SQL注入 渗透测试 漏洞利用 SSH隧道 Metasploit 安全工具 信息搜集 靶场训练
0x7 干货--打造最强BurpSuite 规则库
红队笔记录 2022-05-06T23:23:35
本文深入探讨了如何打造一个强大的BurpSuite规则库,以提高网络安全测试的效率。文章首先强调了选择合适的工具的重要性,指出BurpSuite对于高级渗透测试者的价值。接着,文章详细介绍了如何通过BurpSuite的规则功能查找隐藏的UI元素、禁用并启用按钮、替换敏感值以模拟管理员权限、绕过WAF等。此外,还提到了如何绕过XSS过滤、查找IDOR漏洞,以及如何利用正则表达式搜索常见的泄露密钥。文章内容丰富,为网络安全学习者提供了宝贵的实战技巧。
BurpSuite Web应用安全 安全工具 安全规则库 漏洞利用 编码技巧 安全测试 正则表达式
0x8 F5 BIG-IP iControl REST身份验证绕过漏洞风险提示(CVE-2022-1388)
安恒信息CERT 2022-05-06T21:04:34
近日,F5官方发布安全公告,修复了存在于BIG-IP iControl REST中的身份验证绕过漏洞(CVE-2022-1388)。该漏洞允许未经身份验证的攻击者通过网络访问BIG-IP系统,执行任意系统命令、创建或删除文件以及禁用服务。受影响版本包括BIG-IP 16.1.0-16.1.2等多个版本,而12.1.0-12.1.6和11.6.1-11.6.5版本可能不会受到修复。官方已发布安全更新,建议用户及时升级。同时,提供了临时缓解措施,如限制iControl REST的访问,以降低风险。
漏洞披露 CVE编号 网络安全漏洞 F5 BIG-IP 身份验证绕过 系统命令执行 文件操作 服务禁用 影响范围 安全更新
0x9 攻防论道 | 浅谈DNS重绑定攻击
聚铭网络 2022-05-06T17:30:00 © J博士
DNS重绑定攻击是网络安全中不可避免的一个问题,在web访问中,用户每点击一个可疑的链接,DNS重绑定攻
0xa Heroku 在 GitHub OAuth 令牌被盗后强制重置用户密码
黑猫安全 2022-05-06T08:57:44 鹏鹏同学
Heroku,Salesforce的子公司,近日承认GitHub集成的OAuth令牌被盗,导致未经授权访问内部客户数据库。攻击者利用受损的令牌破坏数据库,泄露了客户账户的散列和盐渍密码。作为响应,Salesforce宣布将重置所有Heroku用户的密码,并刷新可能受影响的凭据。同时,Heroku内部的凭据已轮换,额外的安全检测也已实施。此次安全事件始于2022年4月7日,攻击者获取了Heroku数据库的访问权限,并下载了存储客户OAuth访问令牌。随后,攻击者利用这些令牌下载了Heroku私有仓库的元数据和数据。GitHub在4月12日发现攻击活动,指出这是一起高度针对性的攻击,攻击者仅列出了特定组织的账户,以便有选择地下载私人仓库。Heroku随后撤销了所有访问令牌,并暂时删除了通过Heroku仪表板从GitHub部署应用程序的功能,以确保在重新启用前集成的安全性。
数据泄露 密码重置 OAuth令牌安全 内部凭据轮换 第三方集成风险 针对性攻击 安全事件响应
0xb 谷歌将为Android和Chrome添加无密码身份验证支持
黑猫安全 2022-05-06T08:57:44 鹏鹏同学
Google宣布计划在Android操作系统和Chrome浏览器中引入无密码登录支持,使用户能够跨设备、网站和应用进行无缝且安全的身份验证,无需依赖传统密码。此功能预计也将得到苹果和微软的支持,涵盖其各自的操作系统iOS、macOS、Windows及浏览器Safari、Edge。无密码登录基于FIDO标准,用户可以通过指纹、面部识别或设备PIN码等生物特征来验证身份,这种方式比传统的密码和一次性验证码更为安全,能够有效抵御网络钓鱼攻击。此外,如果用户丢失手机,FIDO密钥可以从云端安全同步至新设备,保持登录凭证的连续性。预计这一功能将在未来一年内在各大平台推出。与此同时,代码托管服务GitHub也声明,将要求所有贡献者在2023年底之前启用双因素认证(2FA),以增强账户安全性,防范账户被恶意接管的风险。
无密码身份验证 多平台支持 FIDO联盟 双因素身份验证 账户安全
0xc F5 警告新的严重 BIG-IP 远程执行代码漏洞
黑猫安全 2022-05-06T08:57:44 鹏鹏同学
F5发布了针对其产品的补丁,修复了43个错误,其中最主要的漏洞是CVE-2022-1388,CVSS得分为9.8分,源于缺乏身份验证检查,可能允许攻击者控制受影响的系统。该漏洞可能允许未经身份验证的攻击者通过管理端口和/或自身IP地址对BIG-IP系统进行网络访问,以执行任意系统命令,创建或删除文件或禁用服务。F5提供了临时解决方法,并在相关版本中引入了修补程序。其他值得注意的错误包括可能允许经过身份验证的攻击者绕过设备模式限制并在当前登录用户的上下文中执行任意JavaScript代码的错误。组织必须快速应用修补程序以防止威胁参与者利用攻击媒介进行初始访问。
远程执行代码漏洞 身份认证绕过 软件补丁 企业级安全 控制平面漏洞 CISA已知被利用漏洞
0xd [安洵杯 2019]easy misc
DarkZone 2022-05-05T23:57:25 © plat0
本文详细分析了安洵杯2019比赛中的一道名为easy misc的网络安全题目。解题过程包括以下几个步骤:首先,通过解压提供的decode.zip文件,发现需要爆破ZIP密码,通过掩码爆破技术得到密码为2019456。解压后得到的decode.txt文件包含一段盲水印信息,通过使用解密脚本提取出图片,并进一步解密得到图片中的信息。接着,通过统计11.txt文件中字符出现频率最高的16个字符,结合字频隐写技术,将得到的字符进行转换,解密得到base64编码的flag。最终,通过base64解码和base85解码,成功得到flag。解题过程中涉及到了掩码爆破、盲水印、字频隐写和编码解码等多个网络安全知识点。
0xe 一剑开天门系列-OSPF路由协议基础
网络小斐 2022-05-05T17:47:57 ©
本文详细介绍了OSPF路由协议的基础知识。OSPF(开放式最短路径优先)是IETF开发的基于链路状态的内部网关协议,分为IPv4的OSPF Version 2和IPv6的OSPF Version 3。文章解释了OSPF出现的原因,即为了解决日益庞大的网络选路问题,相较于早期的RIP协议,OSPF能够更好地解决其缺陷。文章还阐述了OSPF的五个关键报文类型和三个关键表:邻居表、链路状态数据库(LSDB)和OSPF路由表。最后,文章概述了OSPF的协议原理,包括Hello包的发送、邻居关系的建立、LSA的泛洪、LSDB的建立、最短路径树的构建以及路由计算和加载过程。
0xf 红蓝对抗之近源渗透
内蒙古等保测评 2022-05-05T15:48:22
本文深入探讨了近源渗透(物理渗透)在红蓝对抗演练中的重要性,指出许多企业虽然在线上部署了各种安全设备,但在物理安全方面存在明显短板。文章首先定义了红蓝对抗和近源渗透的概念,强调近源渗透测试人员靠近或位于目标建筑内部,利用无线通信技术、物理接口和智能设备进行渗透测试。文章详细分析了近源渗透的测试目标,包括无线渗透、HID攻击、LockPicking(开锁)和物理潜入等,并列举了实际案例和攻击手法。特别强调了无线渗透是近源渗透中的主要测试手段,许多企业对无线安全的建设处于模糊和薄弱阶段。文章还展望了近源渗透的未来发展趋势,随着物联网的蓬勃发展,近源渗透测试将更多地涉及物联网设备的安全挑战。最后,文章提出企业应采取一系列管控措施,如确认用户身份、控制设备网络权限、确认设备安全配置等,以应对全方位的安全威胁,并指出零信任安全体系是应对这些挑战的有效方案。
近源渗透 物理安全 无线安全 红蓝对抗 HID攻击 物联网安全 社会工程学 渗透测试 零信任
0x10 小程序反编译以及抓包渗透测试
hack boy 2022-05-05T14:04:45 hack boy
本文主要介绍了微信小程序的反编译和抓包渗透测试方法。首先,作者详细讲解了如何安装微信PC端,并进入小程序文件管理进行操作。接着,描述了如何找到小程序的存储位置,并解密加密的.wxapkg文件。解密后,使用反编译工具处理.wxapkg文件,生成反编译的JavaScript文件等。此外,文章还介绍了如何在PC端进行微信小程序和公众号的抓包操作,包括Mac和Windows系统的具体设置方法。
微信安全 移动应用安全 数据抓取 反编译技术 渗透测试 网络安全工具
0x11 施耐德 PLC 仿真器远程代码执行漏洞CVE-2020-7559研究
安帝Andisec 2022-05-05T12:02:16 VulEye-小菜逼
施耐德电气的EcoStruxure Control Expert软件中的PLC仿真器存在远程代码执行漏洞(CVE-2020-7559),该漏洞允许攻击者通过Modbus协议发送恶意请求,导致程序崩溃或执行任意代码。漏洞影响版本小于等于v14.1,已在2020年底公开。通过复现环境搭建和测试脚本运行,证实了漏洞的存在。分析发现,攻击者需绕过栈Cookie校验、SafeSEH检测和DEP保护才能实现远程代码执行。建议用户升级软件或使用流量检测设备监控异常Modbus数据包,并设置通讯白名单以缓解风险。北京安帝科技有限公司提供了相关情报和处置建议,旨在帮助企业应对工业网络安全威胁。
远程代码执行 PLC安全 Modbus协议 栈溢出 漏洞复现 漏洞分析 工业控制系统 安全防护建议
0x12 【漏洞复现】CVE-2020-26279 go-ipfs path traversal
御林安全 2022-05-05T10:47:22 © cokeBeer
本文介绍了go-ipfs在版本v0.8.0-rc1中存在的目录遍历漏洞(CVE-2020-26279)。go-ipfs是一个使用Go语言编写的文件服务器,它在GitHub上拥有13.3k的星标。漏洞的成因是go-ipfs依赖的tar-utils库在处理tar文件时未能正确过滤'../'路径,导致攻击者可以通过构造特定的tar文件实现目录遍历,进而访问或修改服务器上的任意文件。文章详细分析了漏洞的调用链,从tarReader读取tar文件到处理不同类型的文件(目录、普通文件、符号链接),并指出了漏洞的直接调用点。为了修复此漏洞,tar-utils库添加了对'../'的过滤代码。文章最后提供了相关安全修复的参考链接。
目录遍历漏洞 go-ipfs tar-utils GitHub 安全修复
0x13 在 dotCMS 内容管理软件中报告了严重的 RCE 错误
黑猫安全 2022-05-05T08:35:57 鹏鹏同学
dotCMS内容管理系统中存在一个严重的远程代码执行(RCE)漏洞,该漏洞被追踪为CVE-2022-26352。这个漏洞允许攻击者通过目录遍历攻击上传任意文件,进而在底层系统上执行任意命令。攻击者可以利用这个缺陷上传JSP文件到Tomcat的根目录,实现代码执行,从而获得命令执行的能力。此外,攻击者还可以利用这个漏洞替换系统中已存在的文件,用Web shell获得持久的远程访问。该漏洞在2022年2月21日被发现并报告,dotCMS随后在版本22.03、5.3.8.10和21.06.7中发布了补丁。漏洞的成因是dotCMS在通过内容API上传文件时,未能清理多部分请求标头传入的文件名,导致临时文件名称未被适当清理,使得攻击者能够上传特殊的.jsp文件到webapp/ROOT目录,从而触发远程代码执行。
远程代码执行(RCE) 目录遍历 文件上传漏洞 Web shell CVE-2022-26352 补丁发布
0x14 信息泄露利用工具 (swagger-exp)
玄武盾网络技术实验室 2022-05-04T22:13:26 玄武盾实验室
本文介绍了一个名为swagger-exp的Swagger REST API信息泄露利用工具。该工具由lijiejie开发,主要功能包括遍历所有API接口并自动填充参数、尝试访问所有GET/POST接口以分析其响应、检测敏感参数和潜在的SSRF漏洞、认证绕过漏洞以及本地监听Web服务器以便在Swagger UI界面中分析接口。此外,工具还支持禁用CORS以解决跨域请求问题,并在检测到HTTP认证绕过漏洞时拦截API文档以便在Swagger UI中直接测试。文章还提供了使用方法说明和下载地址,方便用户获取和使用该工具。
信息泄露工具 API安全 漏洞检测 Web应用安全 自动化测试
0x15 未修补的 DNS 相关漏洞影响各种 IoT 设备
黑猫安全 2022-05-04T20:09:10 鹏鹏同学
网络安全研究人员近期披露了一个影响物联网产品的未修补安全漏洞,该漏洞可能对数百万设备构成严重风险。该漏洞最初于2021年9月报告,涉及两个流行的C库uClibc和uClibc-ng,这两个库被用于开发嵌入式Linux系统。uClibc被多个主要供应商如Linksys、Netgear和Axis以及嵌入式Gentoo等Linux发行版使用。漏洞的根源在于库生成的DNS请求中交易ID的可预测性,这使得攻击者可能对目标设备进行DNS中毒攻击。DNS中毒是一种技术,通过破坏DNS解析程序缓存来将用户重定向到恶意网站。由于uClibc和uClibc-ng为每个DNS查找分配了可预测的事务ID并静态使用源端口53,破坏了源端口随机化保护。成功利用该漏洞的攻击者可以执行中间人攻击,破坏DNS缓存,并将互联网流量重新路由到其控制的服务器。Nozomi Networks警告,如果操作系统配置为使用固定或可预测的源端口,该漏洞可以被轻松利用。攻击者可以窃取和操纵用户信息,并对设备进行其他攻击,完全破坏它们。
DNS漏洞 IoT安全 中间人攻击 源端口随机化 嵌入式系统安全
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
