2021年第3周微信公众号精选安全技术文章总览

洞见网安 2021-1-18

0x1 Windows主机入侵痕迹排查办法

Linux网络安全 2021-01-24T20:24:40

本文针对网络安全中的主机入侵痕迹排查服务进行了详细的分析。文章首先强调了在攻防演练保障期间，一线工程师面临的挑战，如时间紧迫、任务繁重以及需要排查的主机数量众多。为了提高效率和质量，作者分享了一些排查经验，包括如何初步筛选排查资产、确定排查资产的范围以及实际操作中的排查内容。文章详细介绍了针对Windows主机的排查步骤，包括网络连接、敏感目录、后门文件、后门账号、自启动项和日志等方面的排查方法。此外，文章还强调了操作中的注意事项，如保持与客户的沟通，确保操作合法合规。

网络安全排查入侵检测主机安全攻防演练威胁情报 Windows系统安全漏洞利用

0x2 Struts2 系列漏洞 - S2-012

Medi0cr1ty 2021-01-22T22:22:00 ©

看完这个漏洞，不知道为什么就是真实的感受到了说攻防之间的博弈，可能这么说也不太恰当，就是觉得有趣，你成功吸引了我的注意这样哈哈哈【是不是哪个大佬转发了文章竟然涨了好几粉，就开心，谢谢】

OGNL表达式注入 Struts2漏洞命令执行漏洞复现安全修复

0x3 【技术向】搭建虚拟工控环境，西门子PLC研究报告

星河安全 2021-01-22T14:33:43 © 星河学院

星河学院作为江苏中新赛克工业互联网安全技术创新中心的安全人才培养基地，专注于工业互联网安全和物联网安全领域的研究和人才培养。文章介绍了SIMATIC WinAC工控虚拟环境的搭建，这是一种基于PC控制的核心组件，能够扩展SIMATIC S7的控制范围。SIMATIC WinAC提供了多种产品，包括WinAC Basis、WinAC PN、WinAC RTX、WinAC MP和WinAC Slot 412/416，以满足不同控制任务的需求。文章详细描述了基于WinAC RTX搭建虚拟工控仿真系统环境的过程，包括研究环境、具体步骤、WinAC RTX的安装和配置，以及如何使用Step7进行硬件组态。此外，文章还提供了相关链接，供读者进一步学习和了解相关内容。

工控系统安全虚拟化技术软件PLC 实时操作系统协议分析教育培训

0x4 Linux提权的几种常用方式

猎安云原生安全 2021-01-22T10:57:38

点击蓝字关注我们在渗透测试过程中，提升权限是非常关键的一步，攻击者往往可以通过利用内核漏洞/权限配置不当/r

0x5 WEB渗透技巧 | XRAY与Burp、AppScan、AWVS联动批量扫描绝技

天策安全技术联盟 2021-01-21T19:12:53

文章介绍了使用XRAY扫描器与多种安全工具如Burp、AppScan和AWVS联动进行WEB渗透测试的方法。首先，介绍了如何加入学习圈子获取资源以及VIP公开课的领取方式。接着，详细说明了XRAY的代理模式设置步骤，包括生成CA证书、安装证书到火狐浏览器、开启FoxyProxy插件代理，并通过编辑config.yml文件来配置扫描目标域名。文章还提供了具体的命令示例用于启动XRAY监听并生成漏洞报告。此外，文章展示了如何将XRAY与Burp、AppScan和AWVS等工具联动，实现更全面的WEB安全检测。每种工具的联动都需要正确配置代理服务器指向XRAY的监听地址，并确保_config.yaml中允许扫描的域配置正确。

WEB安全漏洞扫描渗透测试网络安全工具代理模式

0x6 出题报告: nday_container_escape

石头的安全料理屋 2021-01-21T18:30:00 © st0n3

xctf-hwc_qualifier_2020/container/nday_container_escape

0x7 Struts2 系列漏洞 - S2-009

Medi0cr1ty 2021-01-21T00:33:00 ©

是不是看完 S2-003、S2-005 就很想看怎么绕过的。是不是是不是，反正我是了

Struts2漏洞代码执行安全复现漏洞分析漏洞修复

0x8 Struts2 系列漏洞 - S2-007

Medi0cr1ty 2021-01-20T23:58:55 ©

看着积压的文档以及积压的任务，告诉自己耗子尾汁。。本来想直接看 9 ，但是中间隔了个 7 ，就不舒服。。。

0x9 WebLogic Server 高危安全漏洞风险提示（1月）

安恒信息CERT 2021-01-20T18:25:00 ©

2021年1月19日，Oracle发布了包含WebLogic Server在内的多个产品安全更新公告，其中涉及HTTP（Console）、IIOP、T3协议的远程代码执行高危漏洞。这些漏洞包括CVE-2021-2109、CVE-2021-1994、CVE-2021-2047、CVE-2021-2064、CVE-2021-2108、CVE-2021-2075，可能被用于远程执行代码，获取目标系统管理权限。受影响的WebLogic Server版本包括10.3.6.0.0至14.1.1.0.0不等。安恒SUMAP平台统计显示，国内存在这些漏洞的WebLogic Server部署较为普遍。攻击者可能通过HTTP协议端口或默认开启的IIOP、T3协议进行攻击。Oracle建议用户尽快部署漏洞修复补丁或采取缓解措施，如使用连接筛选器临时阻止外部访问。安恒应急响应中心已验证漏洞的可利用性，并建议及时测试和升级到修复版本。

WebLogic Server 远程代码执行安全漏洞 Oracle 安全补丁网络安全漏洞利用应急响应

0xa Windows提权-BypassUAC之劫持注册表实验

谁不想当剑仙 2021-01-20T07:10:36 © yhy

本文详细介绍了在Windows操作系统中通过绕过用户账号控制（UAC）进行提权的实验方法。首先，文章概述了UAC的概念和作用，强调了其在Windows系统安全性中的重要性。接着，文章讨论了UAC的设置和不同安全级别对系统程序的影响。重点介绍了利用系统自带的UAC白名单程序进行提权的技巧，包括如何查找这些白名单程序和如何使用Sigcheck工具检测程序的autoElevate属性。文章还介绍了通过修改注册表键值来绕过UAC的方法，以事件查看器（eventvwr.exe）为例，详细说明了如何使用Process Monitor工具来监控程序运行时的文件和注册表访问，以及如何通过修改注册表来以高权限启动程序。最后，文章通过一个实际的测试案例展示了如何修改注册表键值，以及如何使用生成的木马程序来绕过UAC提权，并提醒了执行相关操作后需要清除注册表项以避免潜在的安全风险。

Windows 安全提权攻击注册表安全 UAC 绕过系统漏洞利用安全实验恶意软件分析

0xb 越权漏洞

必火安全 2021-01-19T19:57:00 必火男神

本文主要讨论了网络安全中的越权漏洞问题，包括平行越权访问漏洞和垂直越权访问漏洞两种类型。平行越权访问漏洞发生在权限相同的用户之间，由于开发者疏忽未正确判断操作信息归属，导致用户可以操作他人信息。垂直越权访问漏洞则涉及权限不同的用户之间，低权限用户可访问高权限用户的信息。文章以某站为例，说明了攻击者通过截取登录请求数据包，修改role参数值，逐级提升权限，实现越权访问。同时，文章还展示了相关截图，以帮助读者更好地理解越权漏洞的原理和攻击过程。

漏洞分析权限控制网络安全渗透测试代码审计

0xc 【技术向】CVE-2019-1040漏洞分析&防御报告

星河安全 2021-01-19T10:57:54 © 星河Salaxy

本文详细分析了CVE-2019-1040漏洞，这是一个允许攻击者绕过NTLM MIC保护的漏洞，通过中间人攻击将身份验证流量中继到目标服务器。该漏洞使得攻击者能够在拥有普通域账号的情况下远程控制Windows域内的任何机器，包括域控服务器。文章介绍了漏洞的利用原理、影响范围、攻击过程，包括针对Exchange服务器的攻击和Kerberos委派攻击。此外，还提供了防御建议，如安装官方补丁、强制执行SMB签名、禁用NTLMv1、启用强制LDAPS Channel Binding和强制LDAP Signing等，以减少漏洞被利用的风险。

CVE-2019-1040 NTLM中继攻击 Windows域安全 Active Directory攻击漏洞分析安全补丁安全配置 Kerberos攻击安全工具安全预警

0xd 2020年漏洞分析(二)

企业网络信息安全 2021-01-19T09:41:11

2020年CVE漏洞利用率Top10，1.1 CVE-2017-11882 Office远程代码执行漏洞，1.2 CVE-2010-2568 Windows LNK快捷方式漏洞...

0xe Getshell最全总结

必火安全 2021-01-18T19:53:00 必火男神

本文详细介绍了Getshell的多种方法，主要分为进入管理员后台Getshell和不进后台Getshell。进入后台后，可以通过直接上传Webshell、数据库备份、修改文件名穿越目录等手段获取服务器控制权；还可以利用网站配置插马、编辑器模版、上传插件等方式Getshell。此外，文章还探讨了通过执行SQL语句写入Webshell、命令执行、文件包含、数据库命令执行等多种技术手段。对于不进入后台的情况，文中提到了利用0day漏洞、写入日志、IIS/Tomcat写权限、上传漏洞、注入漏洞等方法实现Getshell。特别地，针对不同的服务器环境（如IIS6.0、Nginx<8.0、Apache）存在特定的解析漏洞可以被利用来Getshell。最后，作者还提及了远程命令执行和其他漏洞（XXE、SSRF、反序列化等）组合利用以实现Getshell的方法。

Webshell 渗透测试漏洞利用后门数据库攻击服务器安全文件上传漏洞代码执行漏洞配置错误 0day攻击

0xf Apache Tomcat高危安全漏洞风险提示

安恒信息CERT 2021-01-18T16:00:00 ©

近日，安恒应急响应中心发现Apache Tomcat存在一个信息泄漏漏洞（CVE-2021-24122），该漏洞允许未授权用户查看JSP源代码，可能导致敏感信息泄露。漏洞主要影响Apache Tomcat 10.x、9.x、8.5.x和7.x版本。建议用户立即更新到修复漏洞的最新版本。官方已发布修复补丁，用户可通过Apache Tomcat官方网站或GitHub下载。安恒应急响应中心提醒，尽管漏洞细节和利用代码尚未公开，但存在被恶意利用的风险，建议及时采取缓解措施。

Apache Tomcat 信息泄露高危漏洞 CVE编号安全公告漏洞修复 Windows系统 JSP源代码安全应急响应

0x10 JumpServer高危漏洞风险提示