2023年 第25周 微信公众号精选安全技术文章总览
洞见网安 2023-6-19
0x1 【风险通告】kubernetes kops存在权限提升漏洞(CVE-2023-1943)
安恒信息CERT 2023-06-25T15:59:22
近日,安恒信息CERT监测发现,Kubernetes的kops组件存在一个严重的安全漏洞(CVE-2023-1943),该漏洞允许攻击者在Gossip模式下通过节点服务账户凭证检索状态存储桶中的敏感信息,并有可能提升至集群管理员权限。kops是一组用于简化Kubernetes集群创建、配置、升级和管理的命令行工具,支持包括AWS、GCP、Azure和OpenStack在内的多种云平台。漏洞影响版本为(-∞, 1.25.4)以及[1.26.0, 1.26.1],而官方已发布安全版本1.26.2和1.25.4以修复该漏洞。CVSS3.1评分显示该漏洞危害等级为高危,建议用户尽快更新至安全版本,并采取临时缓解措施,如非必要不建议将系统暴露在公网。
Kubernetes 安全漏洞 权限提升漏洞 CVE编号 云平台安全 应急响应 软件开发组件 高危漏洞
0x2 Windows多个版本java冲突的处理办法
进击的HACK 2023-06-25T10:46:33 进击的HACK
作为一个安全人员,电脑里不可避免装着多个版本的java。像最新版的burpsuite不支持java8,而一些
0x3 研究人员发布了Cisco AnyConnect Secure中CVE-2023-20178漏洞的PoC漏洞
黑猫安全 2023-06-25T09:30:30 博士
安全研究人员发布了针对Cisco AnyConnect Secure Mobility Client和Secure Client for Windows的高危漏洞CVE-2023-20178的概念验证(PoC)代码。该漏洞(CVSS评分7.8)允许低权限的本地已认证攻击者在成功建立VPN连接后,通过客户端更新过程中不正确的权限分配,提升权限至SYSTEM级别。攻击者可利用Windows安装程序进程的特定功能,滥用创建的临时文件夹进行权限提升。研究人员Filip Dragovic发布的PoC展示了如何利用vpndownloader.exe进程在c:\windows\temp目录下创建的默认权限文件夹,通过触发回滚过程,实现任意文件删除并执行恶意代码。该PoC在Secure Client版本5.0.01242和AnyConnect Secure Mobility Client版本4.10.06079上成功运行。思科感谢Filip Dragovic的贡献,并确认目前未收到利用此漏洞的攻击报告。
漏洞利用 权限提升 软件更新安全 远程访问安全 Windows安全 文件系统安全 零日漏洞
0x4 新的加密货币挖掘活动针对Linux系统和物联网设备
黑猫安全 2023-06-25T09:30:30 博士
针对Linux系统和物联网设备的加密货币挖掘活动日益增多,微软威胁情报研究员Rotem Sde-Or指出,攻击者通过后门部署rootkit和IRC机器人等工具,窃取设备资源进行非法挖矿。这些攻击者通过暴力破解获得初始访问权限,然后禁用shell历史记录,获取并安装植入木马的OpenSSH版本,实现对设备的持久控制。此外,攻击者还安装了Diamorphine和Reptile等开源rootkit,清除日志以掩盖活动痕迹,并通过消除竞争挖矿进程来垄断资源。攻击还涉及运行基于IRC的ZiggyStarTux DDoS客户端,该客户端基于Kaiten僵尸网络恶意软件。攻击者利用东南亚金融机构子域名进行C2通信,以掩盖恶意流量。此次攻击与安全公司ASEC描述的针对暴露Linux服务器的挖矿恶意软件和Tsunami僵尸网络变种的攻击相似。攻击者asterzeu在恶意软件即服务市场上出售工具包。同时,Mirai僵尸网络恶意软件也在积极利用路由器、数字视频录像机等网络设备的漏洞进行部署。
加密货币挖掘 Linux系统安全 物联网安全 后门攻击 SSH安全 僵尸网络 恶意软件 安全漏洞利用 横向移动 日志清除
0x5 新的Cactus勒索软件可自行加密,以逃避反病毒软件
天唯信息安全 2023-06-25T06:00:56 天唯科技
新的Cactus勒索软件可自行加密,以逃避反病毒软件
0x6 什么是域名流量劫持?
天融信教育 2023-06-24T09:30:04
不论是对于用户还是企业,域名流量劫持都将造成严重的后果,因此采取适当的预防措施以确保域名和网站安全非常重要。
0x7 一次攻防演练简单记录
进击的HACK 2023-06-23T23:38:29
声明:本次演练中,所有测试设备均由主办方提供,所有流量均有留档可审计,所有操作均在授权下完成,所有数据在结束
0x8 记一次shiro绕waf的记录
进击的HACK 2023-06-22T12:34:17
日常渗透项目,9月初扫描出一个shiro漏洞且可以成功利用,但是非目标资产,一个月后确认了是目标资产,再次利
0x9 0DAY PoC 投毒钓鱼浅析
安全奇点 2023-06-21T23:36:59 © xF0rk
2023 年 6 月 14 日 VulnCheck 公司宣称自 5 月以来 GitHub 上有假冒安全研究员投毒 0Day PoC 诱骗其他安全从业者,笔者跟踪后发现国内已有公司于 5 月中旬发布类似预警,投毒最早发生于 4 月 24 日
0xa linux应急响应手册笔记记录(hw在即,蓝队必备)
ListSec 2023-06-21T20:30:59 © 凉城
hw在即,蓝队必备。
0xb 【漏洞预警】海康威视综合安防平台files任意文件上传漏洞复现+POC
白帽文库 2023-06-21T20:10:11
本文为一篇网络安全领域的漏洞预警文章,主要介绍了海康威视综合安防管理平台存在的任意文件上传漏洞。该漏洞允许攻击者执行系统命令,直接获取服务器权限。文章详细描述了漏洞的复现过程,包括使用FOFA网络测绘语法定位受影响的平台,以及利用Nuclei Poc验证脚本来验证漏洞的存在。同时,文章强调了该漏洞的严重性,并提供了修复方案,包括关闭互联网暴露面访问权限、加强文件上传模块的权限认证,并提醒用户关注官方补丁及时升级。
漏洞预警 海康威视 任意文件上传漏洞 系统命令执行 POC验证 修复方案
0xc Prometheus自定义告警
网络小斐 2023-06-21T18:03:19 © 小斐
本文介绍了如何在Prometheus中进行自定义告警配置。首先,文章介绍了Alertmanager模块,这是一个用于接收Prometheus发送的告警信息的报警模块,支持丰富的告警通知渠道。然后,文章详细描述了如何部署Alertmanager,包括二进制安装、docker或k8s部署等方式。接下来,文章介绍了如何部署prometheus-webhook-dingtalk,这是一个通过内部钉钉webhook作为告警媒介的工具。最后,文章讲解了如何配置alertmanager和编写告警规则文件,包括SMTP、告警模版文件、路由分组、接收器和抑制器等相关配置,并提供了一个深信服出口链路故障告警规则的示例。
0xd 新的海啸僵尸网络以Linux SSH服务器为目标
黑猫安全 2023-06-21T09:50:33 博士
安全应急响应中心(ASEC)的研究人员揭露了一场针对Linux SSH服务器的黑客攻击活动,攻击者利用Tsunami DDoS僵尸网络(也称为Kaiten)进行攻击。攻击者还安装了ShellBot、XMRig CoinMiner和Log Cleaner等其他恶意软件。Tsunami DDoS僵尸网络通过IRC进行C2通信,其源代码公开,使得多个威胁行为者能够创建僵尸网络。攻击者通过暴力攻击物联网设备和Linux服务器,使用Bash脚本下载和运行恶意软件,创建后门SSH账户,生成新的SSH密钥以实现持久性访问。此次攻击中使用的Tsunami bot变种名为Ziggy,它通过修改“/etc/rc.local”文件保持持久性,并尝试伪装成正常进程以避免检测。Tsunami支持多种DDoS攻击技术,并具备收集系统信息、执行shell命令、建立反向shell、更新自身、下载附加有效载荷和自我销毁的能力。攻击者还使用特权升级恶意软件提升权限。报告建议管理员使用复杂密码、定期更改密码、更新补丁、使用防火墙限制访问,并更新到最新版本以防止恶意软件感染。
DDoS攻击 Linux SSH安全 僵尸网络 恶意软件 密码安全 系统加固 网络安全防护 隐私泄露 入侵检测
0xe 【漏洞预警】海康威视综合安防平台files任意文件上传漏洞复现+POC
罗德攻防实验室 2023-06-21T00:00:55 © Ashton
本文详细介绍了海康威视综合安防平台存在的一个任意文件上传漏洞。该漏洞允许攻击者上传任意文件,并可能执行系统命令,从而直接获取服务器权限。文章中提到了漏洞的基本描述、复现步骤,包括使用Nuclei POC验证脚本的过程,并提供了漏洞复现的截图。同时,文章还指出了修复方案,包括关闭互联网暴露面访问权限、加强文件上传模块的权限认证,以及及时升级官方补丁的重要性。文章强调,未经授权的转载和非法测试将产生不良后果,与作者和公众号无关。
漏洞预警 文件上传漏洞 服务器权限获取 海康威视 综合安防平台 网络安全 POC复现 修复方案
0xf 海康威视iVMS综合安防系统任意文件上传漏洞复现
南风漏洞复现文库 2023-06-20T22:20:34
海康威视iVMS综合安防系统任意文件上传漏洞复现版权声明:本文为CSDN博主「OidBoy_G」的原创文章,
网络安全漏洞 文件上传漏洞 安全防范系统 CVE编号 漏洞复现 PoC检测脚本 安全加固建议
0x10 一次偶然的CobaltStrike木马钓鱼邮件分析
web安全小白 2023-06-20T22:01:16
免责声明由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及
钓鱼邮件 CobaltStrike Yara规则 域前置 恶意软件分析 网络安全 免杀技术 动态分析
0x11 Nuxt开发模式下远程代码执行漏洞(CVE-2023-3224)
Medi0cr1ty 2023-06-20T19:07:09
漏洞很简单,仅进行部分补充及记录
0x12 内存规避Shellcodeloader
SafeTime 2023-06-20T18:16:02 © Wangfly
本文介绍了内存规避Shellcodeloader的技术细节。文章首先概述了Shellcode的加密流程,包括异或xor加密、Base64编码、AES加密、字符串反转等步骤。接着,讨论了URL加密的目的和实现方法,以及远程线程注入技术,特别是使用Syswhispers生成远程线程注入函数。文章还提到了内存规避技术,如HOOK Sleep函数、内存xor加密和以System权限打开句柄。此外,还涉及了反虚拟机的多种检测方法。最后,文章提供了操作步骤,包括使用工具生成加密的Shellcode和部署服务器端,以及一些免杀技巧和注意事项。
内存规避技术 Shellcode加载 反虚拟机检测 恶意软件通信 系统权限提升
0x13 如何在 Linux 中配置 IPv4 和 IPv6 地址?
网络技术联盟站 2023-06-20T17:06:35 © 瑞哥 👉👉
0x14 奇淫技巧-DNS服务器劫持流量下发木马
XxSec 2023-06-20T14:11:34
奇淫技巧-dns流量劫持
0x15 一款新的webshell管理工具
摸鱼网安人 2023-06-19T19:30:54 upzhu
本文介绍了一款名为Alien的新型Webshell管理工具。该工具使用C# .NET Framework V4.8开发,具备文件管理、虚拟终端、数据库注册表监控和截图系统信息等功能。Alien支持多种类型的Webshell,包括PHP、ASP、ASPX、JSP和NodeJS,并且可以显示图片和进行文件搜索。文章中还提到了一句话木马的制作方法,以及如何利用eval()函数执行任意代码。此外,文章还提到了工具中的Payloads文件夹,其中包含可能被防毒软件删除的恶意程序Payload。最后,文章提供了项目地址和公众号链接,并推荐了其他相关工具和资源。
Webshell 渗透测试 C#开发 代码执行 数据库管理 恶意软件分析 开源项目 安全工具
0x16 如何在Linux上查找上次登录信息?
网络技术联盟站 2023-06-19T18:35:27 © 瑞哥 👉👉
0x17 ChamelDoH:新的Linux后门,利用DNS over HTTPS隧道进行隐蔽CnCn
黑猫安全 2023-06-19T09:47:10 博士
ChamelGang威胁行为者被发现在Linux系统中使用一种名为ChamelDoH的新后门工具,该工具通过DNS-over-HTTPS(DoH)隧道进行隐蔽通信。ChamelDoH是基于C++开发的,能够捕获系统信息,并执行远程访问操作,如文件上传、下载、删除和shell命令执行。该后门利用DoH协议的HTTPS特性,使得其通信难以被拦截和检测,为攻击者提供了隐蔽的命令和控制(C2)通道。ChamelGang此前攻击了多个国家和行业的燃料、能源和航空生产行业,现在其能力有所扩展,开始针对Linux系统。Stairwell的研究员Daniel Mayer指出,这种通信方式类似于域前置技术,难以预防和检测。
Linux后门 DNS over HTTPS APT攻击 数据窃取 加密通信 隐蔽C2 跨平台攻击
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
