2023年 第21周 微信公众号精选安全技术文章总览
洞见网安 2023-5-22
0x1 基于HTTP报文的登陆爆破工具 内嵌弱口令生成框架
摸鱼网安人 2023-05-28T19:53:04
本文介绍了一款基于HTTP报文的登录爆破工具,该工具旨在通过动态爆破弱口令来增强网络安全。工具能够读取HTTP报文,自动定位或手动定位用户名和密码参数,并使用账号密码字典进行循环替换和多线程报文重放。工具已实现多种功能,包括支持多种请求体类型的参数更新,能够在Burp中直接调用脚本,支持直接输入用户名密码对或编写动态字典规则,以及仅爆破账号或密码。此外,工具还支持动态分析爆破结果,对请求头上的账号密码进行爆破,并支持参数值加密、编码以及自定义脚本处理。工具具备多线程操作和日志记录功能,并能够自动记录已爆破成功的账号密码,避免重复爆破。文章最后提供了工具的下载地址和GitHub链接,并提醒读者不要利用该技术进行非法测试。
网络安全工具 弱口令检测 爆破攻击 HTTP协议分析 自动化测试 多线程处理 脚本编程 日志记录 开源项目
0x2 漏洞验证及利用工具--poc2jar
摸鱼网安人 2023-05-27T22:25:20
Java编写,Python作为辅助依赖的漏洞验证、利用工具,添加了进程查找模块、编码模块、命令模块、常见漏洞利用GUI模块、shiro rememberMe解密模块,加快测试效率
漏洞验证工具 Java应用 Python脚本 自动化测试 GUI工具 加密模块 编码转换 项目更新 社区开源项目
0x3 强大!Nginx 配置在线一键生成“神器”
运维安全入门 2023-05-27T09:01:20 不懂安全的运维
本文介绍了一个名为NGINXConfig的在线NGINX配置文件生成器,它能够快速生成高性能、安全、稳定的NGINX服务器配置文件。该工具支持HTTPS、HTTP/2、IPv6等多种配置选项,包括安全标头、SSL配置、OCSP解析器等。用户只需访问官方网站https://nginxconfig.io/,根据需求选择预设配置或手动输入域名等信息,即可生成配置文件。此外,用户还可以进行全局配置,包括SSL配置、安全、性能等。该工具在GitHub上开源,允许用户本地安装或进行个性化修改。文章强调了NGINXConfig的实用性和易用性,推荐给需要简化NGINX配置过程的用户。
配置生成器 服务器安全 性能优化 反向代理 Web服务器 开源工具 本地部署 代码质量
0x4 u200bHasura GraphQL Engine 存在远程命令执行漏洞
南风漏洞复现文库 2023-05-26T22:50:19 ©
本文介绍了Hasura GraphQL Engine存在的一个远程命令执行漏洞。Hasura GraphQL Engine是一个快速的GraphQL服务器,该漏洞可能导致攻击者远程执行任意命令。文章中详细描述了漏洞的CVE编号、影响版本、fofa查询语句以及漏洞复现过程。同时,提供了漏洞复现的链接和具体的数据包内容。文章还提醒读者不要利用这些信息进行非法测试,并建议用户关注厂商升级补丁以修复漏洞,并提供了补丁获取链接。此外,文章还回顾了其他相关的安全漏洞信息。
漏洞分析 开源软件安全 命令执行漏洞 CVE编号 软件升级 复现指南 安全学习
0x5 burp 插件 xia_Yue(瞎越) 主要用于测试越权、未授权
摸鱼网安人 2023-05-26T19:02:25
本文介绍了一款名为xia_Yue(瞎越)的burp插件,该插件主要用于网络安全测试中的越权与未授权问题。作者声明,文章内容主要来源于个人学习笔记,并强调未经授权严禁转载。插件的主要功能是通过比较返回数据包的大小与原始数据的大小,来判断是否存在越权或未授权的情况。文章中提到了插件的不同版本更新,包括优化URL显示、避免重复发送相同数据包、优化UI设计以方便截图和报告编写,以及优化静态文件后缀等。此外,还提供了插件的下载地址和GitHub项目链接。文章最后列出了其他相关网络安全工具和资源的链接,如云安全工具、数据库管理工具、注入利用工具等,以及一些安全研发和漏洞基础相关的资源。
Burp Suite 插件 漏洞测试 代码审计 网络安全 Python 安全工具 开源项目
0x6 DVWA靶机安装教程
运维安全入门 2023-05-26T18:15:16 © 不懂安全的运维
DVWA(Damn Vulnerable Web Application)是一个PHP/MySQL Web应用,用于安全脆弱性鉴定,旨在为安全专业人员提供一个合法环境来测试技能和工具,同时帮助Web开发者理解Web应用安全。DVWA允许用户手动调整安全级别,包括Low、Medium、High和Impossible,级别越高,安全防护越严格。安装DVWA需要PHP/MySQL环境,推荐使用XAMPP或PhpStudy。安装步骤包括下载并安装环境、下载DVWA、解压并重命名、修改配置文件、生成安全密钥、创建数据库和登录。DVWA也可以通过Docker或Kali Linux快速部署。Docker部署需要拉取镜像并运行,而Kali Linux则可以直接安装和启动DVWA。
Web Application Security Vulnerability Assessment Penetration Testing PHP/MySQL Environment Installation Guide Docker Deployment Kali Linux
0x7 冰蝎4.0流量分析及魔改
捷润MWH攻防团队 2023-05-26T16:59:34 王半仙
冰蝎v4.0魔改
0x8 CVE-2022-24521:Windows CLFS 本地提权漏洞
安帝Andisec 2023-05-26T12:30:44 © CSX安全实验室
CVE-2022-24521是一个高危的Windows CLFS本地提权漏洞,允许攻击者通过精心构造的日志文件执行任意代码,绕过安全限制,从而获得系统管理员权限。该漏洞存在于Windows Vista和Windows Server 2003 R2中引入的日志框架CLFS,影响未安装相关补丁的Win7至Win11以及Windows Server2008至2022系统。漏洞复现环境为Windows 10版本1903,利用程序执行后可将当前用户权限提升至system。漏洞分析指出,CLFS中的几个关键函数处理不当,导致可控的代码地址被错误地作为虚表指针调用,从而触发权限提升。修复建议是安装微软官方提供的补丁。北京安帝科技有限公司提供更多漏洞情报和处置建议,致力于工业网络安全技术、产品、服务的创新研究和实践探索。
本地提权漏洞 高危漏洞 Windows系统漏洞 CLFS漏洞 缓冲区溢出 未公开漏洞细节
0x9 看我如何绕过滑块验证码拿到高危漏洞
小惜渗透 2023-05-26T09:50:54 ©
看我如何绕过滑块验证码拿到高危漏洞文章首发先知---https://xz.aliyun.com/t/1255
0xa 简析攻防演练活动中的加密流量利用
苏说安全 2023-05-26T07:00:13 观成科技
文章主要分析了攻防演练活动中加密流量的利用情况。随着加密流量在攻防对抗中的频繁使用,检测失陷资产后的加密C&C通信成为企业网络安全的关键。攻击者通过加密、编码、伪装等手段隐藏通信信道,以维持对失陷资产的控制。文章将加密流量分为正向C&C加密通道和反弹C&C加密通道两大类。正向C&C包括HTTP/HTTPS Webshell连接和HTTP隧道代理,而反弹C&C则包括TLS/SSL木马回连和隐蔽隧道通信。文章还提到了观成科技利用多模型机器学习、指纹检测等技术进行加密威胁检测的方法。此外,文章还探讨了攻击者如何利用免费或自签名证书、Fake TLS、Shadow TLS技术以及DNS隧道和ICMP隧道等隐蔽隧道进行C&C通信,以及如何通过组合使用各种隧道和代理工具实现远程控制。
加密流量分析 Webshell通信 HTTP隧道代理 TLS/SSL加密通信 隐蔽隧道 木马回连技术 网络安全防护 攻防演练
0xb 【已复现】GitLab CE/EE 任意文件读取漏洞(CVE-2023-2825)二次更新
安恒信息CERT 2023-05-25T11:45:13
近日,安恒信息CERT监测并复现了GitLab CE/EE中的一个严重漏洞(CVE-2023-2825),该漏洞允许未经身份验证的攻击者读取GitLab CE/EE服务器上的任意文件。该漏洞存在于GitLab CE/EE 16.0.0版本中,一个附件存在于至少五个组内嵌套的公共项目中。安恒信息已成功复现该漏洞,并指出其危害性需要重新评估。GitLab是一个开源的Git代码仓库系统,广泛用于构建私有的代码托管平台和项目管理系统。官方已发布修复方案,建议受影响的用户升级到GitLab 16.0.1版本。安恒信息的安全分析人员利用Sumap全球网络空间超级雷达进行了资产测绘,发现GitLab CE/EE在国内外的网络中均有部署。安恒信息已有8款产品覆盖该漏洞的检测与防护。
GitLab 漏洞 任意文件读取 CVE-2023-2825 安全产品 代码仓库系统 网络安全 漏洞复现 修复方案 资产测绘
0xc Earthworm-EW内网穿透工具/资源分享
在社会的拍打中挣扎着寻找希望 2023-05-25T10:19:18 小意思
Earthworm-EW是一款便携式网络穿透工具,主要功能包括SOCKS v5服务架设与端口转发,适用于复杂网络环境下的内网穿透。该工具支持多种操作系统如Linux、Windows、MacOS及Arm-Linux等,并提供了六种命令格式以实现正向SOCKS v5服务器、反弹SOCKS v5服务器以及多级级联等功能。通过这些命令,用户可以在不同主机之间建立隧道连接,从而绕过防火墙或其他网络限制访问目标资源。此外,EW还具有超时机制,默认设置为10秒,可调整;它能用于TCP协议上任何服务的端口转发。值得注意的是,尽管EW是一个强大的网络工具,但使用时需遵循法律法规,不得用于非法目的。
内网穿透 网络隧道 SOCKS代理 端口转发 网络安全工具 合法使用警告
0xd 【风险通告】GitLab CE/EE 任意文件读取漏洞(CVE-2023-2825)
安恒信息CERT 2023-05-24T13:58:51
近日,安恒信息CERT监测发现GitLab CE/EE代码管理平台存在一个严重的安全漏洞(CVE-2023-2825),该漏洞允许未经身份验证的攻击者读取服务器上的任意文件。此漏洞影响GitLab CE/EE 16.0.0版本,攻击者无需任何前置条件即可利用此漏洞。GitLab作为一个流行的代码托管平台,其用户遍布多个行业。官方已发布修复方案,建议受影响的用户升级到GitLab 16.0.1版本以修复该漏洞。安恒信息CERT的安全分析人员通过资产测绘发现,GitLab CE/EE在全球范围内有广泛的部署,包括内网和互联网。因此,所有使用该版本的用户应尽快进行自查和升级,以避免潜在的安全风险。
GitLab漏洞 代码仓库安全 任意文件读取 未经身份验证访问 版本更新 安全通告 CVE编号 网络安全
0xe 新的WinTapix.sys恶意软件在中东地区进行多阶段攻击
黑猫安全 2023-05-24T09:59:32 博士
自2020年5月以来,一种名为WinTapix.sys的恶意软件在中东地区进行多阶段攻击,主要针对沙特阿拉伯、约旦、卡塔尔和阿拉伯联合酋长国。该软件被Fortinet Fortiguard实验室归因于伊朗威胁行为者,其主要功能是作为一个加载器,通过执行shell代码加载下一阶段的攻击。WinTapix.sys利用无效签名绕过安全机制,获得对目标系统的深层访问权限。它通过修改Windows注册表建立持久性,即使在安全模式下也能加载。该恶意软件还嵌入了使用开源Donut项目创建的外壳代码,并具备后门和代理功能,能够执行命令、下载和上传文件。研究人员指出,WinTapix.sys可能与伊朗威胁行为者利用Exchange服务器漏洞的攻击有关。此外,文章还提到了ALPHV勒索软件集团利用恶意签名驱动程序破坏安全防御的行为,以及趋势科技披露的ktgn.sys驱动程序,这是POORTRY的更新版本,用于终止安全软件的功能。
恶意软件 APT攻击 伊朗威胁行为者 驱动程序签名 注册表修改 后门和代理功能 Exchange服务器攻击 勒索软件 端点安全
0xf 即时通信的安全加密通信模型研究
金瀚信安 2023-05-24T09:54:43
摘u2003 要即时通信已经广泛应用于人们的日常生活和工作之中,其安全性和易用性是使用者关心的核心问题。分析了国内外
0x10 可免杀绕过360核晶与Defender
摸鱼网安人 2023-05-23T20:48:22
SysWhispers3WinHttp 基于SysWhispers3项目增添WinHttp分离加载功能,可免杀绕过360核晶与Defender。
免杀技术 网络安全研究 恶意软件分析 Windows系统安全 安全开发 漏洞利用 Python脚本 编译技术
0x11 密码模块非入侵式攻击及其缓解技术GMT0083-2020
水网火安 2023-05-23T14:06:01
密码模块非入侵式攻击是一种通过非直接访问密码模块来获取用户凭证的攻击方式。攻击者利用钓鱼邮件、社交工程等手段诱骗用户输入凭证,然后使用这些凭证访问密码模块。相较于其他攻击方式,这种攻击的危害性较小,因为攻击者无法直接破解密码模块。GM/T0083-2020标准提供了针对密码模块非入侵式攻击的方法、缓解技术和测试方法。攻击者通过侧信道信息如计算时间、能量消耗和电磁辐射来进行攻击,包括计时分析、能量分析和电磁分析。针对这些攻击,提出了多种缓解措施,如平衡指令分支技术、随机延迟插入技术、隐藏技术、低功耗技术等,以降低攻击的成功率。用户应通过谨慎的网络行为来避免此类攻击。
密码学攻击 非入侵式攻击 侧信道攻击 安全防护 网络安全测试 社会工程学 漏洞分析 加密算法
0x12 简单讲讲应急响应
玄武盾网络技术实验室 2023-05-23T11:07:28 南方以南
本文详细介绍了网络安全中的应急响应概念、流程和常见事件分类。应急响应是网络安全工作中应对紧急情况的关键环节,包括准备、检测、抑制、根除、恢复和跟踪总结等步骤。文章首先阐述了应急响应的定义和重要性,接着详细描述了应急响应的流程和基本思路。随后,文章针对Web入侵、系统入侵和网络攻击等常见安全事件进行了分类,并针对Linux和Windows系统提供了具体的应急响应步骤和检查方法。此外,文章还分析了挖矿病毒、勒索病毒等典型安全威胁的特点、感染症状和处理方法,并推荐了相应的安全工具和资源。最后,文章强调了备份、安全意识和定期扫描等预防措施的重要性。
网络安全应急响应 网络安全事件处理 网络安全防护 网络安全分析 网络安全工具 网络安全意识
0x13 印尼网络犯罪分子利用AWS进行有利可图的加密采矿业务
黑猫安全 2023-05-23T09:38:21 博士
一篇报道指出,一个名为GUI vil的印尼网络犯罪组织自2021年11月以来被云安全公司Permiso P0实验室监测到,该组织利用Amazon Web Services(AWS)的EC2实例来进行非法的加密货币挖矿。这个组织偏好使用图形用户界面工具,尤其是S3浏览器的特定版本作为初次攻击的手法。他们通过获取AWS控制台的访问权,并利用GitHub上的公开源码或是攻击GitLab的安全漏洞来获取初始访问权。一旦进入,他们就会尝试提高权限并侦察受害者的S3存储桶,以寻找可以利用的资源和服务。为了在受害者环境中持续存在,GUI vil会创建新的用户账户,并模仿现有的命名规则,同时为没有登录配置文件的用户创建新的配置文件,以此方式避免引起注意。该组织与印尼的联系在于其活动相关的源IP地址与印尼的两个ASN有关。他们的主要目的是创建用于加密货币挖矿的EC2实例,而所获得的收益往往低于受害者组织运行这些实例的成本。
云服务安全 非法加密挖矿 初始访问权限获取 权限提升与内部侦察 身份伪造与持续存在 地理定位
0x14 u200bnps内网穿透代理服务器存在默认口令admin:123
南风漏洞复现文库 2023-05-22T23:38:34 ©
本文揭示了轻量级、高性能的内网穿透代理服务器nps存在一个严重的安全漏洞。该漏洞导致nps默认口令为admin:123,容易被攻击者利用进行未经授权的访问。nps支持多种协议和功能,包括TCP、UDP流量转发、内网HTTP代理、内网SOCKS5代理等。文章中提到了漏洞的CVE编号、CNNVD编号,并提供了FOFA查询语句以识别受影响的系统。文章还提供了漏洞复现的步骤,包括发送特定数据包进行登录验证。作者建议用户修改默认口令,并强调了口令的安全性要求。最后,文章提醒读者不要利用文章提供的信息进行非法测试,并声明了文章仅供学习用途。
内网安全 默认口令漏洞 代理服务器安全 漏洞复现 安全加固 网络安全意识
0x15 可以自定义规则的密码字典生成器
摸鱼网安人 2023-05-22T19:48:15
本文介绍了一个可以自定义规则的密码字典生成器项目。该项目支持图形界面操作,用户可以自定义密码生成规则,如结合域名、年份、特殊字符、键盘弱密码等元素来生成密码。文章详细说明了如何通过修改配置文件来定义密码的种子和组成规则,包括首字母大写处理、变形处理等。此外,还介绍了如何通过命令行交互和图形界面来配置和生成密码字典。项目地址提供给了读者,并提醒用户不要利用技术从事非法测试。
0x16 nginx安全性:如何强化服务器配置
运维安全入门 2023-05-22T18:34:33 不懂安全的运维
本文提供了强化Nginx服务器安全性的详细步骤。首先,建议禁用所有不需要的Nginx模块以减少潜在攻击面。其次,应禁用server_tokens以隐藏Nginx版本信息,防止信息泄露。接着,通过设置缓冲区大小限制来控制资源和限制,以防止DoS攻击。此外,建议禁用所有不必要的HTTP方法,如DELETE和TRACE,只允许GET、HEAD和POST方法。安装ModSecurity作为Web应用程序防火墙,以增强安全性。配置访问和错误日志,使用error_log和access_log指令,并监视日志文件以及时发现攻击尝试和性能问题。为Nginx添加安全HTTP标头,如X-Frame-Options、HSTS、CSP和X-XSS-Protection,以防止点击劫持、数据注入等攻击。配置SSL和密码套件,仅支持安全的TLS版本和密码,使用ssl_protocols和ssl_ciphers指令。最后,定期更新Nginx到最新版本,并使用Gixy检查配置文件,确保没有错误配置。
Web服务器安全 配置管理 访问控制 日志与监控 加密与协议安全 安全更新 安全工具
0x17 Nginx配置检查工具 Gixy
运维安全入门 2023-05-22T18:34:33 © 不懂安全的运维
Gixy 是一款专门用于分析 Nginx 配置的工具,旨在防止安全配置错误和自动化缺陷检测。它支持 Python 版本 2.7、3.5、3.6 和 3.7。Gixy 的功能包括检测服务器端请求伪造、HTTP拆分、referrer/origin 问题、Response Headers 重新定义、主机头伪造、valid_referers 空值、多行主机头以及通过错误配置的别名进行路径遍历等问题。Gixy 可以通过 pip 安装,并默认分析 /etc/nginx/nginx.conf 文件,但用户可以指定其他路径。运行 Gixy 后,它会输出分析结果,包括问题描述、原因和伪配置示例。用户还可以通过 --skips 参数跳过某些测试。Gixy 还支持 Docker 环境,可以通过 Docker 映像运行,并与包含 Nginx 配置的容器共享配置文件。此外,文章提供了获取 Gixy 下载链接的方式。
配置分析 安全漏洞检测 自动化工具 HTTP 分裂 请求伪造 Docker 使用
0x18 应急响应|某金融企业被钓鱼邮件攻击
网络安全007 2023-05-22T17:19:44 © 网络安全007
在即将到来的HW期间,某金融企业遭遇钓鱼邮件攻击,影响了大量员工账号。两封邮件分别诱导用户提交个人信息和进行金融诈骗。经过分析,邮件虽无直接病毒传播风险,但存在信息收集和诈骗行为。通过邮件请求头和网站研判,发现了攻击者的IP和相关资产。调查发现,攻击者利用了假期后员工的心理状态和公司的关怀,降低了员工的防备心理。事件最终因及时发现未造成重大损失,但强调了网络安全的重要性,提醒人们在涉及金钱交易时需多方确认,提高防范意识。
0x19 由于持续的攻击,PyPI存储库暂时暂停用户注册和包上传
黑猫安全 2023-05-22T09:41:46 博士
Python软件库PyPI因遭受持续攻击而暂时关闭了用户注册和包上传功能。攻击者在过去一周内创建了大量恶意用户和项目,超出了维护人员的应对能力,尤其是在多名管理员休假期间。攻击者通过发布恶意软件包并使用社会工程技巧诱骗开发者使用这些软件包,目标是实施供应链攻击。ReversingLabs研究人员在npm存储库中发现了包含信息窃取程序TurkoRat的恶意包,该程序能窃取敏感数据并具备反沙箱功能。今年2月,Phylum研究人员在PyPI上发现451个Python包试图传播clipper恶意软件,该活动仍在继续。
0x1a 能过卡巴、核晶、defender等杀软的dump lsass进程工具
LemonSec 2023-05-22T09:00:26 seventeenman
本文介绍了一种能够绕过卡巴斯基、defender等杀软的dump lsass进程工具。该工具名为CallBackDump,其原理是通过minidumpCallback实现,对缓冲区中的内存进行修改后再写入磁盘。使用该工具可以将lsass进程转储成log文件,并通过特定的命令进行解密。需要注意的是,使用该工具时不要将其上传到云沙箱,且该工具本身没有任何网络行为。文章中还提到了一些网络安全相关的热门话题,包括蓝队应急响应、Linux通过DNSLOG回显验证漏洞、服务器被种挖矿溯源、内网渗透实战、恶意PDF执行XSS漏洞免杀技术、内网信息查看常用命令、漏洞基础知识、任意账号密码重置方法、横向移动与域控权限维持方法,以及Linux提权等。
恶意软件 后门攻击 内存转储 漏洞利用 杀软绕过 Windows系统安全 安全研究
0x1b 黑客如何绕过多因素身份验证?
天津恒御科技有限公司 2023-05-22T08:00:11
多因素身份验证(MFA)是当今最流行、最有效的网络安全措施之一。然而尽管这种防御措施很强大,但它们并不完美。
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
