2018年第29周微信公众号精选安全技术文章总览

洞见网安 2018-7-23

0x1 macOS Calisto木马分析

信息安全最新论文技术交流 2018-07-21T19:53:21

研究人员近期发现一个macOS后门Calisto，Calisto木马可能是Proto恶意软件家族的第一个成员。本文将对Calisto进行深入分析。

本文详细介绍了如何使用Burp Suite（简称BP）抓取安卓模拟器中的请求包，旨在帮助网络安全学习者深入理解APP渗透。文章首先介绍了使用逍遥模拟器进行实验的背景，并说明了与真实手机设置的不同之处。接着，文章详细描述了如何设置代理IP和端口，并在模拟器中配置WiFi代理。由于HTTPS请求需要CA证书认证，文章还解释了为什么抓取HTTPS请求包时会弹出警告，并指导读者如何在模拟器中添加代理证书。最后，文章指出完成这些设置后，可以正常抓取HTTPS请求包，为后续的APP渗透研究打下基础。

网络安全应用安全渗透测试代理设置证书管理 HTTP抓包 HTTPS抓包安卓安全

0x3 低权限php结合高权限python进行socket通信后门

Linux网络安全 2018-07-20T10:26:41 ©

本文探讨了一种利用低权限PHP脚本与高权限Python脚本进行socket通信的后门技术。作者在获取到服务器webshell但权限不足root的情况下，通过Python的ttyshell反弹获取root权限。为了实现更隐蔽且方便的控制，作者想到了利用web进行root权限的控制。具体方法是以root权限运行Python脚本，监听本地端口，并通过PHP后门连接该端口发送命令。Python脚本接收命令后执行，并将结果返回给PHP脚本。文章中提供了Python和PHP的代码示例，展示了如何实现这一过程。

后门攻击 Webshell 提权攻击 Python脚本 PHP后门 Socket通信隐蔽攻击内网攻击

0x4 Windows进程注入payload分析

Linux网络安全 2018-07-20T10:26:41 ©

本文深入探讨了Windows进程注入的payload分析，涵盖了多种注入方法和技巧。文章首先介绍了使用传统Win32 API和Nt/Zw API进行进程注入的基本步骤，包括分配内存、写入payload、执行和取消分配。接着，讨论了使用section object进行进程注入的方法，以及如何利用现有的section object和ROP链执行payload。文章还介绍了PowerLoader恶意程序使用UI共享内存执行进程的技术，以及如何利用桌面堆栈进行代码注入。此外，探讨了基于主机的入侵防御系统如何检测进程注入，并介绍了使用进程间通信（IPC）的方法，如WM_COPYDATA和COM，来共享数据。最后，文章探讨了通过User-Mode回调进行内核攻击的可能性，并提供了详细的调试和执行示例，总结了避免使用常规API来部署和执行payload可以增加检测难度。

Windows进程注入网络安全恶意软件分析 API滥用内存管理 ROP链共享内存用户模式内核攻击进程间通信

0x5 【漏洞预警】Weblogic反序列化远程代码执行漏洞（CVE-2018-2893）

交大捷普 2018-07-19T19:23:27

Oracle官方发布了7月份的关键补丁更新,其中包含一个其他安全研究团队发现的高危Weblogic反序列化漏洞(CVE-2018-2893)。

0x6 预警通告|关于Oracle WebLogic Server存在反序列化远程代码执行漏洞安全预警通告

EversecTechInc 2018-07-18T22:59:44

关于Oracle WebLogic Server存在反序列化远程代码执行漏洞安全预警通告1 漏洞描述近期，互

0x7 WebLogic（CVE-2018-2893）安全漏洞预警

安恒信息CERT 2018-07-18T22:21:19

2018年7月，Oracle官方针对WebLogic Server发布了一个高危漏洞CVE-2018-2893，该漏洞允许攻击者在未授权的情况下远程执行代码。该漏洞是由于之前发布的补丁修补不善导致的。受影响的版本包括Oracle WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.2和12.2.1.3。攻击者通过发送精心构造的T3协议数据即可实现远程代码执行。Oracle建议受影响的用户尽快安装官方补丁，并根据业务需求考虑禁用T3协议。此外，该漏洞可能被恶意攻击者用于开发自动化攻击程序，植入后门程序或释放恶意软件，影响网站服务的正常运行。据分析，中国境内开放WebLogic RMI端口的数量大约有5万左右。

Web应用安全 Oracle漏洞远程代码执行（RCE）漏洞利用漏洞预警安全补丁端口扫描自动化攻击 DDoS攻击威胁情报

0x8 WebLogic反序列化漏洞CVE-2018-2893预警附检测地址

河南信安世纪 2018-07-18T17:37:55 爱信安世纪张老师

1.漏洞概述Oracle官方发布了7月份的关键补丁更新CPU（Critical Patch Update），

0x9 云天安全安全通告- WebLogic反序列化漏洞(CVE-2018-2893)预警

云天网络空间安全 2018-07-18T15:00:00 云天安全

北京时间2018年7月18日凌晨，Oracle官方发布了7月份的关键补丁更新CPU，其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2893)，通过漏洞，攻击者可以在未授权的情况下远程执行代码并可能获取目标系统的最高权限。

0xa 【ADLab原创漏洞】WebLogic反序列化漏洞CVE-2018-2893预警

ADLab 2018-07-18T10:12:46 启明星辰

Oracle官方发布了7月份的关键补丁更新CPU（Critical Patch Update），其中包括启明星辰ADLab安全研究人员发现的一个高危远程代码执行漏洞（CVE-2018-2893）。该漏洞通过JRMP协议利用RMI机制的缺陷，允许攻击者在未授权的情况下远程执行任意代码。漏洞影响了多个版本的WebLogic服务器，包括10.3.6.0、12.1.3.0和12.2.1.2等。启明星辰ADLab研究发现，攻击者可以绕过WebLogic的黑名单和commons.collections限制，通过构造特定的payload进行攻击。为了防止此类攻击，建议升级到JDK-8u20以上的版本，并控制T3协议的访问。启明星辰ADLab成立于1999年，是中国安全行业最早成立的攻防技术研究实验室之一，专注于多个安全领域的研究。

漏洞分析 WebLogic 反序列化漏洞远程代码执行安全补丁 RMI机制 JRMP协议网络安全防护安全研究实验室

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

2018年 第29周 微信公众号精选安全技术文章总览