2023年第18周微信公众号精选安全技术文章总览

洞见网安 2023-5-1

0x1 FakeTelegram 木马浅析

安全奇点 2023-05-07T22:33:47 © xF0rk

供应链捆绑木马的攻击持续增长，攻击者通过捆绑、重打包等方式污染非官方渠道的开发、运维工具或软件，同时伪造高仿的软件下载页面，在各大搜索引擎投放广告，引导用户下载并安装捆绑木马的恶意安装包。

0x2 F5 BIG-IP 存在远程命令执行漏洞(CVE-2022-1388)

南风漏洞复现文库 2023-05-06T23:23:02 ©

本文介绍了F5 BIG-IP设备存在的一个远程命令执行漏洞（CVE-2022-1388）。该漏洞允许攻击者通过未公开的请求绕过iControl REST身份验证，从而控制受影响的系统。漏洞影响多个版本的BIG-IP，包括16.1.0至16.1.2和15.1.0至15.1.5等。文章提供了漏洞的详细描述、影响版本、FOFA查询语句以及漏洞复现步骤。此外，还提供了获取漏洞利用工具的途径和厂商发布的补丁链接，以及如何获取补丁的建议。文章强调，读者不应利用这些信息进行非法测试，并提醒使用者本人对使用该信息可能产生的后果负责。

漏洞分析安全漏洞应用安全命令执行 F5 BIG-IP 补丁更新漏洞复现

0x3 burpsuit插件-captcha-killer验证码识别

进击的HACK 2023-05-06T22:41:57

学网安渗透扫码加我吧免费\x26amp;进群来Track安全社区投稿~ 千

0x4 关于Acooly开发框架存在Webshell后门风险提示

安恒信息CERT 2023-05-06T20:58:38

近日，安恒信息水滴实验室与雷神众测团队发现Acooly开发框架存在Webshell后门漏洞。该漏洞允许攻击者通过访问特定路径的后门，在服务器上执行任意操作。受影响版本为Acooly ≤ 4.2.0，主要应用于第三方支付系统和大数据系统。建议用户升级至4.2以上版本，并通过Web应用防火墙限制对特定路径的访问。安恒信息已提供相关防护方案，包括升级策略包、检测规则等。此外，文章还强调了供应链安全的重要性，建议用户从官方渠道下载软件，定期更新补丁，设置强密码，并加强安全意识培训。

Webshell漏洞开发框架安全供应链安全漏洞公告安全修复建议网络安全意识

0x5 HTTP协议栈远程执行代码漏洞—CVE-2021-31166

Devil安全 2023-05-06T13:28:14 © 仲瑿

HTTP全称是Hyper Transfer protocol ，即超文本传输协议，有些态势感知平台经常会检测到HTTP协议栈远程执行代码漏洞—CVE-2021-31166这就和poc有关了。

0x6 新安卓恶意软件“FluHorse”以欺骗策略瞄准东亚市场

黑猫安全 2023-05-06T09:35:36 鹏鹏同学

东亚市场遭遇了名为FluHorse的新安卓恶意软件攻击，该软件通过电子邮件网络钓鱼活动传播，滥用Flutter软件开发框架。FluHorse模仿了台湾和越南的ETC和VPBank Neo等合法应用程序，这些应用程序的安装量超过百万次。自2022年5月以来，该恶意软件通过简单的网络钓鱼计划，诱导受害者点击虚假网站链接，下载并安装恶意APK文件。一旦安装，FluHorse会请求短信权限，窃取受害者的凭据和信用卡信息，并通过拦截2FA代码来绕过安全措施。此外，还发现一款约会应用程序将中文用户重定向到获取信用卡信息的恶意登录页面。FluHorse的恶意功能使用Flutter实现，这种跨平台开发工具包的使用使得恶意软件难以分析，从而绕过许多安全解决方案。

网络钓鱼攻击恶意软件数据泄露跨平台开发安全漏洞利用欺骗策略

0x7 【技术文章】文件上传getshell-构建恶意rpm包

酷酷信安 2023-05-06T08:08:13 © 酷酷信安

在文件上传中思路会是到上传脚本文件、图片马、定时任务等方式getshell，如果这些思路都不行，尝试上传一个恶意的rpm安装包同样可以getshell，重要问题来了：1.如何制作自己命令的rpm包 2.什么场景使用恶意rpm包。

0x8 文件包含之利用php伪协议

进击的HACK 2023-05-05T23:13:13

文件包含简介文件包含，是一个功能。在各种开发语言中都提供了内置的文件包含函数，可以使开发人员在一个代码文件中

0x9 后台扫描器：okadminfinder3

摸鱼网安人 2023-05-05T10:00:15 © x9sec

本文介绍了一个名为OKadminFinder的网络安全工具，这是一个基于Apache2许可的实用程序，用Python 3.x重写，旨在帮助管理员和渗透测试员查找网站管理面板和后台地址。该工具具有多平台兼容性，支持Windows、Linux和MacOS系统，易于安装和更新。OKadminFinder包含超过1000个潜在的管理面板控制台，支持随机试剂和HTTP/HTTPS代理、Socks4/5以及Tor代理。文章中还提供了Windows和Linux系统的安装步骤，并提醒用户请勿利用文章内的技术进行非法测试，以免产生不良后果。最后，文章提供了下载链接获取工具，并推荐了一些相关资源。

网络安全工具渗透测试 Python开发代理使用跨平台安装与配置漏洞扫描

0xa BurpCrypto: 万能网站密码爆破测试工具

玄武盾网络技术实验室 2023-05-05T09:52:31 稻草人

BurpCrypto是一款功能强大的BurpSuite插件，旨在帮助网络安全学习者应对日益复杂的网站加密算法。该插件支持多种加密算法，包括RSA、AES、DES等，并允许用户通过ExecJS模块直接编写JavaScript代码来处理复杂的加密接口。文章详细介绍了如何编译、安装和使用BurpCrypto，包括其基础加密模块、编码方式、加密算法以及如何使用ExecJS模块编写简单的JavaScript脚本。此外，文章还提供了关于如何调用插件进行加密、解密以及如何在BurpSuite的其他模块中使用该插件的具体指导。最后，文章提及了插件的未来开发计划，包括对国密算法的支持和ExecJS远程模块的引入。

网络安全工具加密算法分析密码学 BurpSuite插件渗透测试密码破解编码解码

0xb 一个基于浏览器端 JS 实现的在线代理

LemonSec 2023-05-05T08:40:08 uedbox

jsproxy是一个基于浏览器端的JavaScript实现的在线代理项目，旨在提供类似Google镜像等服务的定制化代理功能。该项目通过使用Service Worker技术，在浏览器端拦截和自定义网页请求，从而减少服务器的CPU资源消耗。与传统在线代理不同，jsproxy通过注入JavaScript代码来虚拟化API，确保动态URL和网页API的正确处理。服务端使用nginx进行反向代理，不修改内容，仅修改HTTP头，以避免内容处理和流量压缩的开销。jsproxy支持一键自动部署，且支持自定义域名和前后端分离部署。项目还提供了详细的安装指南和维护方法，包括重启服务和查看代理日志等。

浏览器安全代理服务安全 JavaScript安全 API安全服务器安全网络流量安全自动化部署安全域名安全

0xc Linux网络抓包分析工具

LemonSec 2023-05-05T08:40:08

本文详细介绍了网络抓包工具 tcpdump 和 Wireshark 的作用、命令选项、捕获方式以及常用过滤条件。tcpdump 是一个用于捕获和分析网络数据包的工具，支持多种协议和过滤条件，可以指定网络接口、数据包大小、捕获次数等选项。Wireshark 是一个图形化的网络封包分析软件，可以显示详细的网络封包资料，并支持命令行工具 tshark。tshark 是 Wireshark 的命令行版本，功能与 tcpdump 类似，但提供更详细的输出。文章还介绍了如何将 tcpdump 捕获的数据包保存为 .pcap 文件，并使用 Wireshark 进行进一步分析。此外，文章还列举了常用的过滤条件，如逻辑运算符（and、or、not）、协议类型（ip、arp、udp）、地址类型（host、net）、端口等，以及如何使用这些条件进行精确的抓包和分析。

网络抓包 tcpdump Wireshark 网络分析命令行工具网络协议网络安全监控网络故障排查

0xd 谷歌为谷歌账户推出无密码安全登录

黑猫安全 2023-05-04T09:40:20 鹏鹏同学

谷歌推出了一种无密码登录解决方案，旨在提高账户安全性。这项服务利用FIDO联盟支持的密钥技术，允许用户通过生物识别或本地PIN来安全登录应用程序和网站，无需传统密码。与传统密码相比，密钥能够抵御网络钓鱼等攻击，并且一旦创建，将本地存储在设备上，不会与任何第三方共享。此外，使用密钥登录可以省去双因素身份验证的步骤，因为它本身就证明了用户能够访问并解锁设备。用户可以为每台设备创建独立的密钥，并且密钥在不同设备间是通用的。谷歌密码管理器和iCloud钥匙链都采用端到端加密来保护密钥隐私，防止用户在无法访问设备时被锁定。用户还可以通过蓝牙和端到端加密连接，临时使用其他设备的密钥进行一次性登录。尽管谷歌认为这可能是密码终结的开始，但公司仍计划在可预见的未来继续支持密码和双因素身份验证等传统登录方法。同时，谷歌建议不要在共享设备上创建密钥，以避免破坏安全保护。

无密码登录生物特征识别网络钓鱼防护端到端加密双因素身份验证蓝牙安全连接设备共享安全

0xe u200bApache Superset 存在未授权访问漏洞(CVE-2023-27524) 详细利用过程

南风漏洞复现文库 2023-05-03T23:40:05 ©

本文详细介绍了Apache Superset数据可视化平台存在的一个未授权访问漏洞（CVE-2023-27524）。该漏洞允许攻击者验证和访问未经授权的资源。文章首先介绍了Apache Superset的基本信息，包括其是由Apache基金会维护的一个数据可视化和数据探索平台。接着，文章描述了漏洞的具体情况，包括影响版本、CVE编号和CNNVD编号。文章还提供了漏洞的复现过程，包括使用漏洞利用工具检测漏洞、获取cookie值、利用该cookie值登录Apache Superset管理后台，并执行SQL语句。此外，文章还提供了获取漏洞利用程序的途径和厂商发布的升级补丁链接，以帮助用户修复漏洞。最后，文章提醒读者不要利用文章中的技术从事非法测试，并强调了文章仅供学习用途。

漏洞分析数据可视化平台未授权访问 CVE编号安全漏洞漏洞复现 Apache基金会安全补丁

0xf FunboxEasyEnum | Easy-Intermediate

航安全 2023-05-02T21:51:42 ©

本文介绍了一个网络安全学习者的实战经验，涉及对目标网站的枚举和信息搜集。首先，通过nmap扫描和gobuster目录扫描发现了一个上传页面，并成功上传了一个木马。接着，通过反弹shell获取了webshell权限，并进一步渗透到系统内部。在获得稳定shell后，通过上传Linpeas工具扫描数据库信息，并成功获取了较高权限的用户名。最后，通过尝试SSH服务并获取用户名，成功提升权限至bash shell。文章作者对整个渗透过程进行了复盘总结，强调了目录扫描、上传木马和横向渗透的重要性。

网络安全基础漏洞利用权限提升横向移动靶场实战工具使用信息搜集 Web安全

0x10 绕过WAF运行命令执行漏洞的方法

进击的HACK 2023-05-01T21:59:55

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严

0x11 DC-1 | Easy-Easy Proving Ground Play

航安全 2023-05-01T13:06:06 ©

本文主要记录了一次网络安全学习者在DC-1靶场的一次实战演练。文章首先介绍了信息搜集阶段，通过nmap扫描和whatweb工具发现目标网站使用的是Drupal 7版本，随后利用msf框架尝试获取权限。在权限获取阶段，通过搜索包含sudo命令的内容找到了find命令，从而成功获得root权限。文章最后简单总结了OSCP刷靶记录，并表示会持续更新靶场练习。整个过程中，作者分享了自己的经验和心得，强调了坚持不懈和果断决策的重要性。

渗透测试靶场练习 Drupal漏洞 MSF利用信息搜集工具权限提升靶场记录安全学习

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

2023年 第18周 微信公众号精选安全技术文章总览