2022年第27周微信公众号精选安全技术文章总览

洞见网安 2022-7-4

0x1 【由浅入深_打牢基础】一文搞懂XPath 注入漏洞

小惜渗透 2022-07-10T16:15:09 ©

Snipaste_2022-06-07_12-23-02【由浅入深_打牢基础】一文搞懂XPath 注入漏洞1

本文详细介绍了SMB（Server Message Block）协议及其认证过程。SMB协议是微软和英特尔在1987年指定的网络通信协议，用于文件共享、打印和网络浏览等功能。文章首先概述了SMB协议的基础，包括其历史、端口使用、功能以及协议扩展。接着，详细解释了SMB的工作原理，包括客户端与服务器之间的协商、认证、连接建立和资源访问。文章还讨论了SMB与安全认证协议的关系，包括早期使用的LM验证、NTLM和NTLMv2，以及最新的Kerberos验证。此外，文章还介绍了Windows认证的基本知识，包括本地登录、密码存储和NTLM、Kerberos认证方式。最后，文章深入分析了NTLM和Kerberos协议的细节，包括其认证过程、重要概念和步骤。

网络安全协议认证机制 Windows认证访问控制安全漏洞网络攻击安全工具安全审计

0x3 图解网络：什么是DHCP动态主机配置协议？

网络技术联盟站 2022-07-09T23:38:32 © 瑞哥

必须收藏！

0x4 黑客利用Follina漏洞部署Rozena后门

黑猫安全 2022-07-09T21:16:55 鹏鹏同学

近期网络钓鱼活动利用Follina漏洞（CVE-2022-30190）在Windows系统上部署新型后门恶意软件Rozena。该漏洞存在于Microsoft Windows支持诊断工具（MSDT）中，允许远程执行代码。攻击者通过发送武器化的Office文档诱导用户打开，文档连接到Discord CDN URL下载HTML文件，该文件利用PowerShell命令触发MSDT漏洞，下载Rozena后门和相关批处理文件。Rozena后门能够建立与攻击者控制服务器的反向shell连接，允许攻击者远程控制受感染系统。此次攻击链还涉及通过Excel文件、Windows快捷方式（LNK）、ISO映像文件等作为滴管，分发Emotet、QBot、IcedID和Bumblebee等恶意软件。微软在发现攻击后已修补该漏洞，但社交工程攻击依然依赖宏等技术手段传播恶意软件。

漏洞利用后门植入网络钓鱼社会工程学恶意软件分发宏攻击安全防护

0x5 针对可能导致 RCE 攻击的高危漏洞，OpenSSL 发布补丁

铜牛奇安 2022-07-08T16:03:41

OpenSSL，一个广泛使用的通用加密库，近期发布了针对其3.0.4版本的补丁，以解决一个严重的漏洞。该漏洞（CVE-2022-2274）可能导致远程代码执行（RCE），因为它会在RSA私钥操作中引发堆内存损坏。这一漏洞是在2022年6月21日发布的OpenSSL 3.0.4版本中引入的，西安电子科技大学博士生Xi Ruoyao在6月22日向OpenSSL报告了这一漏洞。OpenSSL项目的维护者将其描述为“RSA实现中的严重漏洞”，并建议用户升级到OpenSSL版本3.0.5以减轻潜在威胁。OpenSSL自1998年首次发布，提供了SSL/TLS协议的开源实现，用于生成私钥、创建证书签名请求和安装SSL/TLS证书，是网络安全中不可或缺的一部分。

加密库漏洞远程代码执行（RCE） OpenSSL补丁 CVE编号 RSA私钥操作堆内存损坏安全更新

0x6 实战 | 记一次对某SaaS平台漏洞挖掘

玄武盾网络技术实验室 2022-07-08T10:16:25 玄武盾实验室

本文详细记录了一次针对某SaaS平台的安全测试过程，重点在于发现和验证多种安全漏洞。首先通过Burp Suite获取了目标网站的基本信息，包括开发语言（ASP.NET）、中间件（Tengine）和支持的请求方法等。文章深入分析了该平台中存在的跨站请求伪造（CSRF）漏洞，尤其是在资料修改、文章发布、分类管理、微课上传与管理、资源操作、相册管理、视频功能、动态交互、私信功能、关注功能及设置功能等多个模块。其中，大部分支持GET请求的功能点均存在CSRF漏洞，并且在某些情况下，通过将POST请求改为GET请求可以绕过一些限制实现攻击。此外，还发现了存储型XSS漏洞、文件上传相关的XSS风险以及部分逻辑越权问题。值得注意的是，在处理个人资料修改时，尽管cookie设置了HttpOnly属性，仍存在CSRF漏洞。对于安全邮箱和绑定手机功能，即使密码错误也能进行修改，显示出严重的逻辑漏洞。整个案例强调了严格授权的重要性及对常见Web应用安全漏洞的有效防护措施。

CSRF漏洞 XSS漏洞逻辑越权漏洞 SQL注入漏洞文件上传安全

0x7 OpenSSL 发布了针对可能导致 RCE 攻击的高严重性 bug 的补丁

黑猫安全 2022-07-07T09:47:09 鹏鹏同学

OpenSSL项目维护者发布了针对可能导致远程代码执行（RCE）攻击的高严重性漏洞的补丁。该漏洞被标识为CVE-2022-2274，是在2022年6月21日发布的OpenSSL版本3.0.4中新引入的，涉及RSA私钥操作时的堆内存损坏问题。受影响的主要是运行在支持X86_64架构且具备AVX512IFMA指令集的计算机上的SSL/TLS服务器，特别是那些使用2048位RSA私钥的服务器。此漏洞被描述为RSA实现中的严重错误，可能允许攻击者利用内存损坏执行远程代码。西安电子科技大学的博士生席若瑶在2022年6月22日向OpenSSL报告了这一缺陷。为了缓解潜在威胁，建议用户升级到最新版本的OpenSSL 3.0.5。

远程代码执行（RCE）堆内存损坏 CVE-2022-2274 OpenSSL漏洞 RSA加密安全更新 X86_64架构

0x8 应急响应-Windows挖矿病毒处置

玄武盾网络技术实验室 2022-07-07T00:29:04 玄武盾实验室

本文详细描述了针对Windows系统挖矿病毒的应急响应处理过程。首先，通过资源管理器和网络连接检查发现一台机器持续向公网发送请求，进一步通过PChunter工具定位到恶意进程和文件。在结束恶意进程并扫描确认威胁文件后，对全盘进行扫描，共发现三个威胁文件。随后，删除了这些文件并重新扫描系统，最终通过重启机器和网络连接检查确认病毒已被清除。文章强调了技术文章的来源和用途，并声明了版权信息。

病毒分析应急响应恶意软件安全处置网络监控 Windows安全

0x9 Redis未授权访问利用

小惜渗透 2022-07-06T11:47:37 小惜渗透

Snipaste_2022-06-07_12-26-50Redis未授权访问利用前天邮箱突然收到freebu

0xa 应急响应-勒索病毒处置

玄武盾网络技术实验室 2022-07-06T09:49:20 玄武盾实验室

本文详细描述了一起勒索病毒攻击的应急响应过程。事件发生在一个客户的主机，所有数据被加密，尽管使用了火绒进行病毒查杀，但数据无法恢复。文章首先描述了事件的影响，包括文件访问异常和潜在的数据泄露风险。接着，详细介绍了事件排查的过程，包括确认异常现象、溯源分析、查看启动项、使用威胁情报平台进行验证、分析系统安全日志和远程登录日志。通过这些步骤，确定了攻击者的入侵时间、入侵方式以及攻击流程。文章最后提出了事件分析结论，包括攻击者成功登录、执行恶意程序、加密文件并删除日志的详细时间线。此外，文章还指出了安全隐患，包括账号安全、口令安全、高危端口和安全管理问题，并提出了相应的技术加固和安全管理建议。

勒索病毒应急响应病毒查杀安全漏洞安全日志安全意识端口安全账号安全威胁情报

0xb 更新谷歌浏览器以修补在野外检测到的新零日漏洞

黑猫安全 2022-07-05T22:05:39 鹏鹏同学

谷歌近期发布了Chrome浏览器的安全更新，以修补一个被野外利用的高严重性零日漏洞CVE-2022-2294。该漏洞涉及WebRTC组件的堆溢出问题，可能导致攻击者执行任意代码或造成拒绝服务。WebRTC负责提供浏览器中的实时音视频通信功能。此次更新是Chrome今年第四次修补零日漏洞。谷歌建议用户更新至Windows、macOS和Linux版本103.0.5060.114，以及Android版本103.0.5060.71，以避免潜在威胁。同时，基于Chromium的浏览器用户也应关注并应用相关修复。此次披露紧随Google Project Zero报告之后，该报告指出今年已有18个安全漏洞被用作未修补的零日漏洞。

零日漏洞堆溢出漏洞安全更新 WebRTC CVE Android Chromium Google Project Zero

0xc 铭说 | 网络安全——Webshell浅析

聚铭网络 2022-07-04T17:31:18 © 聚铭安全研究院

本文旨在梳理webshell的利用前提、Payload特征、利用原理、绕过思路。从红蓝对抗的角度简单的讨论

0xd Mimikatz使用

天权信安 2022-07-04T09:00:13

文章详细介绍了Mimikatz工具的使用，包括权限调整、用户凭证提取、Kerberos票据操作、进程管理、LSA信息读取、SID操作、服务管理等模块。重点讲解了sekurlsa模块中提取用户密码、kerberos模块中伪造票据、lsadump模块读取域控哈希、sid模块修改SID等高级功能。同时，文章还包含了如何防御Mimikatz攻击的措施，如禁用cmd和regedit，以及如何应对Skeleton Key等后门技术。文章内容丰富，涵盖了网络安全学习者所需了解的Mimikatz的多种攻击和防御技巧。

网络安全工具渗透测试密码学 Windows系统安全域渗透内存分析权限提升防御策略

0xe u200b防范未授权访问攻击的10项安全措施

恒御科技 2022-07-04T08:00:22

很多时候，未经授权的用户在访问企业的敏感数据库和网络时，并不会被企业所重视，只有在发生安全事故后，企业才会意

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

2022年 第27周 微信公众号精选安全技术文章总览