2017年 第25周 微信公众号精选安全技术文章总览

    洞见网安 2017-6-19

    0x1 通过耳机接口攻击手机设备

    红山瑞达 2017-06-25T08:14:57 Alpha_h4ck

    Example Image


    2017年3月,Nexus 9设备被发现存在一个严重漏洞CVE-2017-0510,该漏洞允许通过恶意耳机进行攻击。尽管Google试图通过减少FIQ Debugger的功能来修复此漏洞,但补丁效果有限,导致CVE-2017-0648的出现。CVE-2017-0648允许在设备启动过程中短暂访问FIQ Debugger和SysRq命令,尽管存在补丁。文章回顾了CVE-2017-0510的漏洞细节,分析了补丁为何无效,并展示了如何利用漏洞进行攻击。Google最终在2017年6月的Android安全公告中修复了CVE-2017-0648,通过将SYSRQ_DEFAULT_ENABLE的值设置为0来防止不受限制的临时访问。

    硬件安全 固件安全 恶意软件攻击 供应链攻击 Android安全 本地提权 信息泄露 设备恢复出厂设置 远程攻击

    0x2 【漏洞预警】WebLogic 反序列化漏洞重现江湖,CVE-2017-3248成功绕过之前的官方修复

    ADLab 2017-06-25T02:10:24 启明星辰

    Example Image


    本文分析了WebLogic反序列化漏洞CVE-2017-3248,该漏洞绕过了之前官方的修复措施。文章详细描述了漏洞的描述、影响范围、漏洞分析与验证过程,包括如何通过JRMP协议执行任意反序列化payload。文章指出,该漏洞影响多个WebLogic版本,且官方尚未发布针对该漏洞的补丁。此外,还对比了CVE-2016-0638漏洞的利用方法,并给出了漏洞修复的建议,包括升级JDK版本、WebLogic版本和删除不安全的第三方库。文章强调了持续关注WebLogic官方补丁的重要性,并简要介绍了启明星辰积极防御实验室(ADLab)的研究方向和成果。

    漏洞预警 反序列化漏洞 WebLogic CVE编号 漏洞复现 JRMP协议 补丁分析

    0x3 CVE-2017-0213: Windows COM Elevation of Privilege Vulnerability

    ListSec 2017-06-22T10:41:43 DO SON

    Example Image


    CVE-2017-0213是Windows COM集合封送器中的一个权限提升漏洞,影响Windows 7、8、10和Server版本。攻击者通过运行特制的应用程序可以利用此漏洞,成功利用后可在系统上执行任意代码。虽然漏洞本身不直接允许任意代码执行,但若与其他漏洞如远程代码执行漏洞结合,则可在运行时获得提升的权限。该漏洞的POC(概念验证代码)和SHA256校验和已公开,分别适用于x86和x64系统。详细信息可在GitHub和Security Online Info网站上找到。

    权限提升漏洞 本地漏洞利用 Windows操作系统漏洞 COM组件漏洞 CVE编号 POC公开

    0x4 对某管理系统的一次渗透测试

    能信安资讯 2017-06-21T17:26:47 © Anakin

    Example Image


    本文记录了一次针对某管理系统的渗透测试过程。测试者在校园网络排查中发现了一个Post型的SQL注入漏洞,并成功利用此漏洞获得了系统管理员权限。通过一系列操作,测试者成功写入了shell脚本,获取了服务器的外网地址,并在长时间等待后成功上传数据。由于服务器存在外网地址,测试者避免了端口转发的麻烦。随后,测试者通过mimikatz工具在lsass进程中抓取了Windows登录明文密码,成功登录到另一台机器。测试者发现这是一个通杀漏洞,并已向学校相关部门报告,漏洞已得到修复。文章强调了网络安全的重要性,指出一个未过滤的代码漏洞可能导致整个系统信息泄露和内网服务器被控制。

    SQL注入 渗透测试 系统漏洞 安全漏洞修复 安全意识 密码破解 域渗透 后门攻击 管理员权限

    0x5 用这个隐藏于PHP模块中的rootkit,就能持久接管服务器

    安全张之家 2017-06-20T23:54:24

    Example Image


    荷兰研究人员Luke Paris创建了一个隐藏在PHP服务器模块中的rootkit,攻击者可以利用这个rootkit接管Web服务器,接管过程是通过一个很少使用的攻击向量(Apache模块)实现的。

    0x6 如何防范服务器被 SSH 爆破

    能信安资讯 2017-06-19T17:01:33 © Wulasite

    Example Image


    本文主要讲述了如何防范服务器被SSH爆破的问题。作者分享了自己在VPS服务器上遭遇SSH爆破的经历,并详细介绍了如何检测到服务器被爆破、如何封禁爆破者IP以及如何通过自动化脚本定期执行封禁操作。文章首先通过分析日志文件找出频繁尝试登录的IP地址,然后使用hosts.deny文件或iptables进行封禁。为了实现自动化,作者介绍了如何使用crontab定时执行封禁脚本,确保服务器安全。

    服务器安全 SSH安全 入侵检测 防火墙配置 自动化运维 日志分析 应急响应

    0x7 “潜盗者”APT渗透攻击揭秘

    三未信安 2017-06-19T16:28:22 腾讯电脑管家

    Example Image


    哈勃流量引擎近期捕获了一起名为“潜盗者”的APT攻击事件,攻击者通过钓鱼邮件诱骗用户点击恶意附件。该攻击针对欧美企业的财务人员,木马在用户电脑上长期潜伏,接受云端控制,窃取隐私并操控电脑。分析显示,攻击者使用JS脚本作为远控木马的下载者,木马运行后会请求云端文件,进行文件命名、密钥协商和加密通信。分析分为流量分析和样本分析两部分,流量分析揭示了恶意邮件和木马与C&C服务器之间的交互,样本分析则深入到了木马的工作流程和加密机制。该事件展示了成熟黑客团伙的能力,并且对用户隐私安全构成严重威胁。

    APT攻击 钓鱼邮件 恶意软件 远程控制木马 加密通信 数据窃取 安全分析 网络流量分析 恶意软件分析

    本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。