2022年 第19周 微信公众号精选安全技术文章总览

    洞见网安 2022-5-9

    0x1 [UTCTF2020]File Carving

    DarkZone 2022-05-15T23:38:11 plat0

    Example Image


    本文介绍了UTCTF2020的一道网络安全挑战题目 '[UTCTF2020]File Carving' 的解题过程。题目要求通过binwalk和foremost命令在Linux环境下进行文件 carving,从png文件中提取出隐藏的zip文件,并进一步解压得到执行文件。通过编辑执行文件,最终在Linux环境下执行得到flag。解题过程中涉及了binwalk和foremost命令的使用,以及Linux环境下的文件处理技巧。

    文件雕刻 CTF挑战 binwalk使用 foremost使用 Linux命令行操作

    0x2 【漏洞复现】CVE-2022-0664 netmaker hard-coded cryptographic key

    御林安全 2022-05-15T15:20:34 © cokeBeer

    Example Image


    本文介绍了netmaker软件中的一个加密key硬编码漏洞(CVE-2022-0664),该漏洞存在于netmaker 0.8.5、0.9.4、0.10.0和0.10.1版本中。文章指出,漏洞出现在JWT处理模块,其中定义了一个名为jwtSecretKey的变量,其默认值为硬编码的字符串'(BytesOverTheWire)',这导致了权限绕过的风险。文章还提到了两个补丁,第一个补丁尝试从数据库获取JWT密钥,如果失败则使用随机64位字符串;第二个补丁使用GenerateCryptoString函数生成JWT密钥。该函数通过随机选择字符生成长度为n的字符串。文章最后提供了参考链接,并提醒读者文章内容仅供学习交流,使用者需自行承担因传播利用相关技术造成的不良后果。

    漏洞复现 硬编码密钥 JWT安全 权限绕过 代码修复 CVE-2022-0664

    0x3 TRY HACK ME | Skynet「SMB信息搜集+TAR提权」

    航安全 2022-05-14T12:30:50 © AKAHRZ

    Example Image


    本文详细介绍了TRY HACK ME渗透测试靶场中的Skynet房间挑战。该房间以终结者为主题,旨在帮助网络安全学习者通过实战演练提升技能。文章首先介绍了如何通过nmap和enum4linux工具进行信息搜集,发现SMB服务并利用匿名账户获取敏感信息。接着,通过gobuster扫描发现邮件服务squirrelmail,并从中获取管理员Miles Dyson的密码,进一步登录管理员SMB服务获取更多敏感信息。文章还介绍了如何利用SMB服务的漏洞获取初始shell,并通过tar命令行工具的漏洞提权至root权限。最后,文章总结了Skynet房间的学习要点,并鼓励读者反复练习以加深理解。

    渗透测试 SMB攻击 信息搜集 漏洞利用 提权 CTF 安全意识 漏洞分析 工具使用 实战经验

    0x4 信呼OA任意文件上传漏洞 (CNVD-2022-01406)

    零幺sec 2022-05-14T00:00:00 © 匹夫

    Example Image


    信呼OA系统Rockoa <=v2.3.2版本存在文件上传漏洞(CNVD-2022-01406),攻击者可利用该漏洞上传PHP文件以获取服务器shell。漏洞主要源于qcloudCosAction.php文件,通过特定路由访问。攻击者可利用fileid值定位上传文件,并通过getone()函数获取相关数组,进一步利用数据库中的filepath字段值访问上传文件路径。文件上传后,系统会将不在白名单内的后缀文件替换为.uptemp,并将数据保存在数据库中,这一机制存在关键漏洞。攻击者可通过任意上传点上传PHP文件,并利用特定POST和GET请求执行恶意代码。

    文件上传漏洞 服务器安全 Web应用安全 代码审计 白名单机制

    0x5 DotCMS未授权文件上传漏洞风险提示(CVE-2022-26352)

    安恒信息CERT 2022-05-13T23:25:11

    Example Image


    近日,安恒信息CERT监测到DotCMS官方发布安全公告,揭示了DotCMS中的一个严重未授权文件上传漏洞(CVE-2022-26352)。该漏洞使得未经身份验证的远程攻击者能够通过构造特殊请求上传恶意文件,进而获取服务器权限。受影响的DotCMS版本包括低于22.03、21.06.7和5.3.8.10的版本。漏洞的原因是DotCMS存在未授权的文件上传接口,对文件名和内容过滤不严格。官方已发布修复版本22.03、5.3.8.10_lts或21.06.7_lts,并提供了临时缓解措施,如部署修补程序插件、设置WAF规则和禁用匿名内容提交等。安恒信息的多款安全产品已经集成了该漏洞的防护能力,并提供了相应的规则升级包。

    文件上传漏洞 未授权访问 CVE编号 安全公告 DotCMS 安全更新 WAF防护 漏洞利用 安全防护方案

    0x6 [watevrCTF 2019]Evil Cuteness

    DarkZone 2022-05-13T23:10:55 plat0

    Example Image


    本文介绍了watevrCTF 2019比赛中的Evil Cuteness题目。题目涉及文件分离的考点,要求参赛者通过下载题目附件,使用binwalk命令从jpg文件中提取zip文件,再用foremost命令分离文件,最终解压得到的abc文件中获取flag。解题过程中,参赛者需要仔细分析文件内容,理解文件分离的技术,并通过实践操作来完成任务。题目提供了一个有趣的场景,让网络安全学习者能够通过实战来提升自己的技能。

    文件格式分析 文件提取 漏洞利用 逆向工程 数字取证 网络安全竞赛

    0x7 【漏洞复现】CVE-2022-27313 gitea arbitrary file deletion

    御林安全 2022-05-13T12:10:18 © cokeBeer

    Example Image


    本文介绍了一个存在于Gitea版本1.16.4之前的任意文件删除漏洞(CVE-2022-27313)。Gitea是一个使用Go语言编写的Git服务,漏洞出现在其LFS(大文件存储)功能中。由于LFS删除操作未对oid参数进行过滤,导致攻击者可以通过构造特定的oid值来删除服务器上的任意文件。漏洞分析指出,删除操作首先尝试在数据库中删除LFS文件,如果未找到则在本地文件系统中删除。攻击者可以利用路径穿越漏洞删除任意文件。文章提供了一个简单的测试代码示例,展示了如何通过构造oid参数来删除特定文件。最后,文章建议通过在目录操作前验证路径有效性来修复该漏洞,并提供了相关参考链接。

    任意文件删除 目录遍历 CVE-2022-27313 Gitea漏洞 LFS功能点漏洞 Go语言安全 漏洞复现 安全修复

    0x8 【涨知识】新型Android APP注入工具产生恶意加密流量

    北京观成科技 2022-05-13T11:34:34 © Zz

    Example Image


    本文详细介绍了近期发现的新型Android APP注入工具。该工具通过MSF生成加密反弹Payload,注入到目标apk中,使得在目标apk安装并运行后,可以连接到远程C2服务器获取权限,从而造成安全隐患。与传统的MSF生成的app相比,该工具具有无感知运行、无安全提示等优势。尽管该工具在针对加固类apk和高版本Android系统支持方面存在不足,但其在移动应用领域产生恶意加密流量的趋势不容忽视。文章还介绍了该工具的APK注入流程、测试流程以及加密流量分析,指出该工具在流量侧的行为特征依然难以避免,并提出了检测需求。

    Android安全 恶意软件分析 移动安全 加密流量检测 渗透测试 C2通信

    0x9 黑客在被黑客入侵的MS Exchange服务器上部署IceApple Exploitation Framework

    黑猫安全 2022-05-13T09:57:54 鹏鹏同学

    Example Image


    研究人员发现了一种名为IceApple的基于.NET的开发后框架,该框架被部署在Microsoft Exchange服务器上,用于侦察和数据泄露。IceApple疑似由国家支持的对手开发,截至2022年5月,已观察到18个模块在企业环境中使用。这种复杂的恶意软件于2021年底被发现,影响了多个行业和地理位置。IceApple作为一个内存框架,旨在减少法医足迹并逃避检测,适合长期情报收集。它不仅限于Exchange服务器,还能在IIS Web应用程序下运行,具备多种功能模块,如文件操作、凭据窃取和敏感数据导出。开发者对IIS有深入了解,预防措施包括定期打补丁以阻止IceApple的入侵。

    APT攻击 后利用框架 内存框架 数据泄露 Microsoft Exchange服务器漏洞 IIS Web应用程序漏洞 凭据窃取 Active Directory攻击 网络安全公司发现 多部门目标

    0xa 数以千计的WordPress网站被黑客入侵,将访问者重定向到诈骗网站

    黑猫安全 2022-05-13T09:57:54 鹏鹏同学

    Example Image


    网络安全研究人员发现了一起大规模的黑客活动,该活动通过向受感染的WordPress网站注入恶意JavaScript代码,将访问者重定向至诈骗页面和其他恶意网站,以此产生非法流量。这些网站普遍存在恶意代码注入问题,影响了包括核心WordPress文件在内的多个文件和数据库。攻击者通过感染常见JavaScript文件并在页面加载时执行混淆代码,实现重定向。GoDaddy的安全公司指出,这些重定向的最终目的地可能用于展示广告、网络钓鱼、传播恶意软件或进一步的重定向。用户可能遭遇伪装成操作系统提示的流氓广告。此活动自5月9日起,已影响至少322个网站,是上月检测到的类似攻击的延续。四月份,超过6500个网站遭到类似攻击。攻击者利用WordPress插件和主题的多个漏洞来破坏网站并注入恶意脚本。

    网站安全 恶意软件 重定向攻击 插件和主题漏洞 网络钓鱼 非法流量生成

    0xb Delta Industrial Automation COMMGR缓冲区溢出漏洞:CVE-2018-10594复现

    安帝Andisec 2022-05-12T12:22:41 VulEye-Snail

    Example Image


    台达电子的Delta Industrial Automation COMMGR软件存在缓冲区溢出漏洞(CVE-2018-10594),影响了1.08及之前版本。该漏洞由于COMMGR.exe在调用recv函数时未对字符串长度进行判断,导致远程攻击者可能执行任意代码或使应用程序崩溃。漏洞复现实验在Windows XP SP3环境下进行,通过发送特制的数据包触发漏洞,成功弹出计算器。修复建议是升级到COMMGR v1.09或更高版本。北京安帝科技有限公司提供了漏洞分析和修复建议,强调了工业网络安全的重要性,并介绍了其在该领域的产品和服务。

    缓冲区溢出漏洞 远程代码执行 工业控制系统安全 漏洞复现 软件漏洞 网络安全防护

    0xc Apisix漏洞检测工具实践

    玉兔安全 2022-05-12T10:21:40 ©

    Example Image


    Apisxi漏洞检测工具实践

    0xd 微软5月安全更新补丁和多个高危漏洞风险提示

    安恒信息CERT 2022-05-11T20:31:51

    Example Image


    微软官方发布了5月安全更新公告,其中包含了针对多个微软家族软件的安全更新补丁,如Microsoft Windows、Microsoft Office、.NET Framework、Hyper-V等。公告中特别强调了几种高风险漏洞,包括Windows远程桌面客户端远程代码执行漏洞(CVE-2022-22017)、Windows点对点隧道协议远程代码执行漏洞(CVE-2022-23270)、Windows ALPC 特权提升漏洞(CVE-2022-23279)、Windows Active Directory 域服务特权提升漏洞(CVE-2022-26923)、Windows LSA 欺骗漏洞(CVE-2022-26925)以及Windows 网络文件系统远程代码执行漏洞(CVE-2022-26937)。这些漏洞的影响范围广泛,涉及多个版本的Windows和服务器系统。微软建议用户尽快安装安全更新补丁或采取临时缓解措施,如禁用NFSV2和NFSV3以缓解Windows网络文件系统远程代码执行漏洞。安恒信息也将在产品更新中加入相关攻击检测和防护能力。用户可通过微软官方链接获取更多信息和补丁。

    漏洞公告 CVE漏洞 远程代码执行 特权提升 信息泄露 拒绝服务 微软产品 安全更新 缓解措施 风险评估

    0xe 铭说 | AD域安全之Windows Print Spooler权限提升漏洞(CVE-2021-1675)浅析

    聚铭网络 2022-05-11T17:31:34 聚铭安全研究院

    Example Image


    在较大的企业、政企、高校等单位的网络信息化建设中,域环境常常是内部网络建设的重要一部分,从现有网络安

    0xf 威胁告警:Barbies 邮件APT攻击

    网际思安 2022-05-11T10:29:25 © 麦赛安全实验室

    Example Image


    网际思安麦赛安全实验室近期发现了一起名为Barbies的APT邮件攻击,该攻击源自中东地区的双尾蝎组织。攻击通过色情邮件诱惑员工解压携带病毒的RAR附件,进而执行伪装的黑客程序。一旦触发,恶意程序将驻留在计算机中,窃取数据。攻击过程包括钓鱼邮件发送、恶意附件解压、恶意程序执行、沙箱检测躲避、连接僵尸网络、下载安装后门程序以及数据盗窃。建议企业使用邮件安全网关和威胁情报平台进行防护。

    0x10 Microsoft 缓解影响 Azure Synapse 和 Data Factory 的 RCE 漏洞

    黑猫安全 2022-05-11T09:05:35 鹏鹏同学

    Example Image


    微软近期缓解了一个影响Azure Synapse和Azure数据工厂的安全漏洞,该漏洞被标记为CVE-2022-29972,由Orca Security的研究人员发现并报告。漏洞存在于连接Azure Synapse管道到Amazon Redshift和Azure Data Factory Integration Runtime的ODBC驱动程序中,可能允许攻击者远程执行代码,跨越不同租户的基础架构。尽管微软未发现与此漏洞相关的滥用行为,仍在与驱动程序供应商合作,增强第三方数据连接器的安全性,并提供了相应的防护措施。这是继“AutoWarp”和“ExtraReplica”漏洞之后,微软在Azure服务中解决的又一安全问题。

    RCE漏洞 Azure Synapse Azure数据工厂 CVE-2022-29972 SynLapse ODBC驱动程序 租户隔离失效 微软修复 安全更新 第三方数据连接器安全性

    0x11 Gamaredon钓鱼样本分析

    安恒信息CERT 2022-05-10T22:47:42 ©

    Example Image


    本文分析了Gamaredon组织近期制作的一例钓鱼样本。Gamaredon组织是俄罗斯FSB下属的网络间谍组织,长期针对乌克兰政府进行攻击。该样本为SFX自解压文件,包含名为watchta.exe的程序和prem.docx诱饵文档。执行后,批处理脚本会释放诱饵文档,并重命名和执行watchta.exe,该程序具有远程控制功能,使用合法的VNC管理软件以避免杀软查杀。分析发现,watchta.exe连接到Gamaredon组织的控制端。文章提供了IOC信息,并给出了加固建议,包括定期检测系统漏洞、更新补丁、修改用户名密码、避免打开不明邮件附件等,以增强网络安全。

    网络钓鱼 定向攻击 恶意软件分析 VNC远程控制 证书滥用 安全建议 威胁情报 应急响应

    0x12 攻防演练场景下的加密流量概况

    信息安全与通信保密杂志社 2022-05-10T16:56:55 Jo

    Example Image


    本文详细分析了攻防演练场景下的加密流量概况。随着攻防演练的持续开展和对抗烈度的增强,加密流量逐年增多。文章首先对攻防演练场景下的加密流量进行了分类,包括出联、入联和横向三类。出联威胁涉及资产受控后与外部进行通信的流量,入联威胁包括攻击者对资产的探测和攻击流量,横向威胁则指攻击者在横向移动阶段产生的资产间流量。文章进一步介绍了信息搜集、初始打点、横向移动和命中靶标等阶段产生的加密流量类型。此外,文章还分析了攻击工具的来源和类型,包括原始工具、魔改工具和自研工具,并举例说明了在攻防演练中常见的加密流量类型,如RDP暴力破解、SSH暴力破解、WEB漏洞扫描、端口转发、加密转发、反弹shell、C2回联、隐蔽隧道和CDN隐藏等。最后,文章强调了加密流量检测在攻防演练中的重要性,并指出后续将介绍针对加密流量的检测方法。

    网络安全攻防 加密流量分析 网络安全检测 攻击工具分析 网络威胁识别 网络攻击技术 网络安全演练

    0x13 几款实用的内网穿透工具

    Linux网络安全 2022-05-10T14:13:35

    Example Image


    本文详细介绍了四种常用的内网穿透和代理工具:NPS、Frp、EW和Ngrok。NPS是一款支持多种协议的内网穿透代理服务器,具备强大的web管理端;Frp是一个高性能的反向代理应用,支持多种协议,并具有端口复用和跨平台特性;EW是一套轻量级的网络穿透工具,支持SOCKS v5代理服务;Ngrok则是一个稳定的反向代理工具,通过建立安全通道实现内网服务的外网访问。文章中详细说明了每个工具的简介、特点和使用方法,包括配置文件修改、启动命令以及如何通过这些工具实现内网穿透和代理服务。

    内网穿透 安全隧道 反向代理 端口转发 跨平台支持 Web管理界面 加密通信 流量压缩 带宽限制 多级代理

    0x14 研究人员为最新的 F5 BIG-IP 漏洞开发 RCE 漏洞

    黑猫安全 2022-05-10T09:10:34 鹏鹏同学

    Example Image


    安全研究人员在F5发布其BIG-IP系列产品远程代码执行漏洞补丁后不久,成功开发出针对该漏洞的利用方法。该漏洞编号为CVE-2022-1388,CVSS分数高达9.8,涉及iControl REST身份验证绕过,可能导致远程代码执行。攻击者可能利用此漏洞进行加密货币挖矿、部署网络外壳,进一步实施信息盗窃和勒索软件攻击。受影响的产品版本广泛,包括多个旧版本,其中11.x和12.x版本将不再接收安全更新。多个国家的网络安全机构已联合警告,威胁行为者正积极利用此漏洞攻击全球范围内的组织,呼吁受影响组织尽快应用补丁以防止潜在攻击。

    远程代码执行漏洞 身份验证绕过 加密货币矿工 网络外壳 信息盗窃 勒索软件 安全补丁 系统升级 网络安全预警

    0x15 攻防演练场景下的加密流量概况

    北京观成科技 2022-05-10T08:00:00 © Jo

    Example Image


    本文详细分析了攻防演练场景下的加密流量概况。随着攻防演练的持续开展和对抗烈度的增强,加密流量逐年增多。文章首先将加密流量分为出联、入联和横向三类,并详细描述了每个类别在不同攻击阶段(如信息搜集、初始打点、横向移动、命中靶标)中的表现。接着,文章讨论了攻击工具的来源及其对攻击质量的影响,从原始工具到魔改工具,再到自研工具,攻击者使用的工具越来越复杂。文章还列举了攻防演练场景中常见的工具及其产生的流量类型和类别。最后,文章通过具体示例,如RDP暴力破解、SSH暴力破解、WEB漏洞扫描、端口转发、加密转发、反弹shell、C2回联、隐蔽隧道和CDN隐藏等,展示了加密流量的具体应用和检测的重要性。

    网络安全攻防 加密流量分析 网络安全工具 横向移动 数据回传 隐蔽隧道 C2通信 安全检测

    0x16 cve-2020-0870 gogs SSRF

    御林安全 2022-05-09T16:01:49 © cokeBeer

    Example Image


    该文章描述了CVE-2020-0870漏洞,这是一个存在于Gogs(一个用Go语言编写的Git服务)中的SSRF(Server-Side Request Forgery,服务器端请求伪造)漏洞。漏洞影响的版本为<0.12.5。当用户提交迁移仓库请求时,会触发MigrateRepository函数,该函数内部通过git.Clone方法发送请求。在调用此方法前,会先经过一系列验证,其中包括对远程地址的合法性检查。具体来说,会调用IsLocalHostname方法来检查输入的URL是否指向本地主机。然而,在修复前,该检查存在不足之处,导致可能绕过此安全检查。修复措施包括更新localHostnames黑名单,并改进isLocalHostname方法,首先进行DNS查询,然后与更新后的黑名单进行比对,以此防止潜在的SSRF攻击。参考链接提供了更详细的漏洞分析和修复方案。

    SSRF漏洞 CRLF注入 黑名单绕过 Git服务器安全 代码审计

    0x17 免杀技术有一套(免杀方法大集结)(Anti-AntiVirus)

    Linux网络安全 2022-05-09T11:00:00

    Example Image


    本文详细介绍了网络安全中的免杀技术,包括静态免杀和动态行为免杀。静态免杀主要针对杀毒软件的文件扫描和云查杀,通过修改特征码来实现,涉及工具查找特征码、手工查找和修改特征码等方法。动态行为免杀则是针对运行时的恶意行为拦截,包括API替换、未导出API利用、API重写、绕过API拦截等技术。文章强调了灵活组合变化多种方法的重要性,并提供了实际操作技巧和注意事项,旨在提高网络安全学习者的免杀技术水平,但强调技术应用于合法防御而非恶意行为。

    网络安全 反病毒技术 免杀攻防 二进制分析 模糊哈希 逆向工程 API调用 PE文件 加壳技术 动态行为分析

    0x18 HTB靶机10-Devel-WriteUp

    X的碎碎念 2022-05-09T09:20:00 © Xavier

    Example Image


    本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。