2022年 第30周 微信公众号精选安全技术文章总览
洞见网安 2022-7-25
0x1 实战 | 记一次授权的渗透测试
玄武盾网络技术实验室 2022-07-31T21:49:37 玄武盾实验室
本文详细记录了一次授权的渗透测试过程,包括多个不同系统的漏洞挖掘和利用。文章首先描述了针对帝国CMS的后台漏洞,通过版本探测和密码猜测成功获取后台shell,但未提权。接着,介绍了针对某营销系统实训室的逻辑漏洞,通过构造特定的POST请求修改用户密码。文章还提到了C-xxxx打印服务系统未授权访问漏洞,以及tomcat弱口令漏洞的利用。此外,针对某卓越营销实践系统的SQL注入漏洞和ThinkSNS管理员弱口令漏洞也进行了详细分析。文章最后讨论了文件共享信息泄露和某卓越市场营销模拟平台的垂直越权登录问题,强调了弱口令在网络安全中的重要性。
渗透测试 GETSHELL 逻辑漏洞 未授权访问 SQL注入 弱口令 垂直越权
0x2 【SRC挖掘】验证码OCR识别在线接口搭建
御林安全 2022-07-31T14:39:07 © 小小火
本文介绍了在SRC挖掘过程中,如何搭建一个在线验证码OCR识别接口。文章基于TrWebOCR项目进行改造,通过Dockerfile构建,并添加了身份认证逻辑。详细说明了如何修改接口代码,以及如何构建和运行Docker镜像。提供了两种调用示例,一种是使用File上传文件,另一种是使用Base64编码。测试表明,在2核3G内存的云服务器上,单开启CPU运算,识别速度和成功率均达到一定水平。最后,文章还推荐了其他几个优秀的验证码识别项目,并提供了链接。
SRC挖掘 验证码识别 OCR技术 API安全 Docker容器化
0x3 C2合集
零威胁 2022-07-30T12:15:54 pontus
C2合集
0x4 BUU刷题记录(二)
搁浅安全 2022-07-30T11:31:57 © 搁浅
本文记录了作者在网络安全学习过程中遇到的几个CTF(Capture The Flag)题目的解题过程。首先,作者介绍了在Kali Linux系统中使用file挂载和取消挂载的方法,以及如何使用extundelete工具恢复被删除的文件。接着,作者探讨了FireFox Forensics题目,讲解了如何使用Firepwd工具破解Firefox浏览器的登录凭证。文章还提到了使用binwalk和zsteg工具从图片中提取隐藏信息的方法,以及如何使用testdisk分析磁盘镜像。此外,作者还分享了使用LSB技术从图片中提取隐藏信息的经验,并介绍了Nihilist密码的原理和破解方法。最后,作者描述了如何从文本文件中提取信息并恢复zip文件的过程,以及如何通过修改文件头将zip文件转换为jpg格式。这些内容涵盖了文件系统恢复、密码破解、隐写分析等多个网络安全领域的关键技能。
0x5 linux环境下的开源杀毒神器 --ClamAV
黑猫安全 2022-07-30T09:40:22 © 鹏鹏同学
ClamAV是一个开源的防病毒工具包,主要设计用于邮件网关上的电子邮件扫描。它提供多线程守护程序、命令行扫描程序和自动数据库更新工具。ClamAV能够检测数百万种病毒、蠕虫、特洛伊木马和其他恶意软件,包括Microsoft Office宏病毒和移动恶意软件。安装ClamAV需要创建专用用户和目录,下载并解压安装包,安装依赖,编译安装,配置服务,启动服务,更新病毒库。ClamAV提供了多种扫描工具,如clamdscan和clamscan,支持递归扫描、显示病毒文件、删除病毒文件等功能。此外,还可以设置定时任务,自动更新病毒库和执行扫描。
开源软件 防病毒工具 Linux环境 恶意软件检测 安全工具 自动化更新 多线程 命令行工具
0x6 实战|某次攻防演练中的分析溯源
Linux网络安全 2022-07-29T20:12:46
本文详细记录了一次网络安全攻防演练中,通过GitHub信息泄漏发现钓鱼攻击的事件。攻击者利用一个泄露的GitHub仓库,通过弱口令登录后台,获取了VPN客户端的解压密码。进一步分析发现,VPN客户端是用Python编写的,其中包含后门程序,通过请求OSS存储中的图片来加载shellcode。通过分析shellcode的加载方式,研究人员提取了攻击者的CS回连地址,并最终溯源到攻击者所在的宿舍和具体人员。文章强调了在网络安全攻防演练中保持警惕的重要性,并提醒读者不要将所学技术用于非法用途。
信息收集 漏洞利用 后门分析 逆向工程 钓鱼攻击 溯源分析 安全意识 Python脚本 系统安全
0x7 NTLM的加密与解密详解
御林安全 2022-07-29T11:00:42 © 落花
0x8 实战 | 记一次企业钓鱼演练
玄武盾网络技术实验室 2022-07-28T16:56:34 玄武盾实验室
本文详细介绍了如何进行一次网络安全钓鱼演练。作者首先概述了演练的背景和动机,即为了提升公司员工的网络安全意识。文章详细描述了演练的思路和环境搭建,包括使用gophish平台进行钓鱼攻击、搭建邮件服务器以及使用mip22工具生成钓鱼网页。作者详细介绍了各个工具的安装和配置过程,包括gophish的下载和配置、ewomail邮件服务器的搭建和配置、mip22的安装和使用。此外,文章还介绍了如何使用frp工具将邮件服务器映射到外网,以及如何配置gophish和mip22与邮件服务器进行联动。最后,作者总结了演练过程中的一些问题和解决方案,并强调了发送邮件时的拦截机制问题,提出了相应的解决方法。整个演练过程旨在通过模拟真实场景,提高员工对钓鱼攻击的警惕性。
钓鱼攻击 安全意识培训 网络攻防技术 数据隐私保护 合规与法律风险
0x9 施耐德ControlExpert绕过PLC仿真器和项目认证过程漏洞:CVE-2020-28211
安帝Andisec 2022-07-28T12:00:00 © VulEye-小菜逼
施耐德电气的EcoStruxure Control Expert编程软件(版本V14.1及以下)存在一个高危安全漏洞(CVE-2020-28211),该漏洞允许攻击者绕过项目的身份验证机制。该漏洞的利用不需要特殊权限,通过调试器或其他手段覆盖内存即可实现。漏洞的复现过程包括安装特定版本的软件,创建并设置密码的项目,然后通过调试工具在错误密码输入后覆盖内存,从而绕过密码保护。漏洞的成因是身份验证的关键点仅依赖于一个函数的返回值,没有采用加密措施来保护工程文件。推荐的修复措施包括升级软件至最新版本和安装主机卫士等安全防护措施。北京安帝科技有限公司作为工业网络安全能力供应商,专注于提供安全产品、服务和解决方案,帮助企业构建主动防御和纵深防御相结合的安全保障体系。
身份验证绕过 软件漏洞 工业控制系统安全 漏洞复现 安全建议
0xa 恶意IIS扩展在网络犯罪分子中越来越受欢迎,以实现持久访问
黑猫安全 2022-07-28T11:01:02 鹏鹏同学
根据Microsoft 365 Defender研究团队的最新警告,网络犯罪分子正日益滥用IIS(互联网信息服务)的扩展来建立持久化后门。这些后门难以检测,因为它们与合法模块共存并具有相似的代码结构。攻击者首先利用应用程序中的漏洞获得初始访问权限,然后部署脚本Web shell作为第一阶段的有效负载,接着安装恶意的IIS模块,实现隐蔽和持久的访问。卡巴斯基研究人员揭露了Gelsemium集团利用ProxyLogon漏洞部署名为SessionManager的IIS恶意软件的活动。此外,还有攻击者通过ProxyShell漏洞部署了名为“FinanceSvcModel.dll”的后门。这些后门具备执行Exchange管理操作的能力。为防范此类攻击,建议及时更新服务器组件、保持防病毒软件启用、审查敏感权限并通过最小权限原则和良好凭据管理来限制访问。
IIS后门 Web Shell Exchange服务器漏洞 后门部署 安全防护建议
0xb 红队可疑ip地址
黑猫安全 2022-07-28T11:01:02 鹏鹏同学
本文列出了一系列可疑的IP地址,这些地址被认为可能参与了网络攻击行为,如目录扫描和尝试部署webshell。文章建议对这些IP地址进行封堵,以防止潜在的安全威胁。列出的IP地址包括但不限于114.44.153.246、182.124.160.147、18.130.225.0、106.13.182.247、112.80.138.33、112.87.102.128、114.231.108.142、114.239.151.247、114.239.29.29、117.81.172.228、117.94.115.61、117.94.121.221、117.94.125.178、117.95.198.201、117.95.46.25、121.226.187.72、180.101.146.187、180.105.210.97、180.122.204.38、21.231.60.31、58.209.189.105、61.160.237.39、139.170.202.34、10.177.183.79、1.85.219.172、112.115.155.205、112.66.109.114、175.152.28.188、125.84.238.136、111.224.235.67、144.255.31.136、175.17.179.18、158.19.44.160、59.52.179.11、258.217.205、36.106.166.105、123.160.173.91等。这些IP地址的异常行为表明它们可能被用于网络攻击,因此需要采取相应的安全措施来保护网络系统。
0xc C2工具-GotoHTTP
零威胁 2022-07-28T09:30:12 yuema
0x01工具介绍不同于传统C2C模式的远程控制工具,GotoHTTP工作在B2C模式。
远程控制 内网穿透 权限提升 安全软件规避 跨平台工具 文件传输 合法声明
0xd 【靶机记录】vulntarget-d打靶记录
御林安全 2022-07-27T13:33:36 © 落花
本文是一篇关于vulntarget-d靶机的打靶记录。记录了在Ubuntu环境下,通过查看IP和网络配置,成功访问到一个宝塔的错误界面。使用fscan扫描发现81端口存在一个骑士PHPCMS,并利用其历史漏洞成功执行phpinfo。在禁用大量函数的环境下,成功利用未禁用的eval函数写入webshell。此外,记录还描述了在Windows7环境下的信息收集、MSF上线、抓取密码以及远程桌面连接的过程。最终,成功拿下flag并完成打靶。本文内容仅供学习交流,强调了技术使用的个人责任,并提供了转载和内容修改的相关要求。
渗透测试 漏洞利用 提权 代理工具使用 权限维持 密码抓取 远程桌面
0xe BUU刷题记录(一)
搁浅安全 2022-07-27T12:59:54 © 搁浅
本文是作者BUU的刷题记录,主要介绍了Linux下一些有趣的命令,如sl,并通过一个示例展示了如何使用十六进制编辑器、TrID工具和Python脚本处理文件,最终获取flag。文章还涉及了使用Python脚本处理tar.xz压缩文件,以及使用Wireshark和foremost工具分析网络流量和提取文件。特别提到了使用mimikatz工具分析lsass.dmp文件获取Windows登录密码的过程,强调了关闭杀毒软件的重要性。此外,还介绍了如何使用usbkeyboard脚本解密USB键盘记录,以及使用breakautokey脚本破解AutoKey密码。最后,记录了一个简单的Linux SSH爆破过程,通过请求不同用户名和密码组合来尝试登录。文章还简要介绍了mimikatz的基本用法。
0xf 红蓝对抗 --webshell在线查杀
黑猫安全 2022-07-27T10:26:09
本文介绍了在网站服务器遭受入侵时,使用Webshell检测工具的必要性,以帮助发现webshell并排查潜在的安全漏洞。文章列举了多个在线Webshell查杀服务,包括河马在线查杀、百度webshell查杀、牧云在线查杀、阿里云webshell检测以及WebShell Detector。这些服务提供了免费的在线检测工具,以便用户能够及时检测并处理webshell问题。文章强调,这些信息仅供学习交流使用,不应用于非法目的。
Webshell检测 网络安全 系统安全 在线工具 防御措施
0x10 黑客利用PrestaShop零日从在线商店窃取支付数据
黑猫安全 2022-07-27T10:26:09 鹏鹏同学
开源PrestaShop电子商务平台被发现存在零日漏洞,恶意行为者利用该漏洞注入恶意代码,窃取在线商店的支付数据。攻击者通过漏洞执行任意代码,主要针对使用过时版本软件或易受攻击第三方模块的商店。PrestaShop已发布安全修复,增强了MySQL Smarty缓存存储以防止代码注入攻击,并在1.7.8.7版本中解决了该问题。受影响的版本包括1.6.0.10或更高,漏洞被追踪为CVE-2022-36408,允许攻击者提交特制请求以执行任意指令,例如在结账页面注入虚假付款表单。此次安全事件是继针对MenuDrive、Harbortouch和InTouchPOS的Magecart攻击之后的又一网络安全威胁。
零日漏洞 恶意代码注入 代码执行 SQL注入 第三方模块漏洞 支付数据窃取
0x11 黑客利用 DLL 旁加载来传播 Qakbot 恶意软件
黑猫安全 2022-07-27T10:26:09 鹏鹏同学
Qakbot恶意软件通过利用Windows计算器应用程序进行DLL旁加载攻击,以传播其恶意有效负载。安全专家ProxyLife和Cyble发现,攻击者将恶意DLL文件放置在Windows的WinSxS目录中,诱导操作系统加载这些文件而非合法文件。这种技术至少从7月11日起被使用。Qakbot,也称为QBot、QuackBot和Pinkslipbot,是一种自2008年以来一直活跃的信息窃取恶意软件,通过垃圾邮件活动传播。在最新的攻击中,垃圾邮件包含一个HTML文件,其中包含base64编码的图像和一个受密码保护的ZIP文件,后者包含一个ISO文件。ISO文件中包含伪装成PDF的.lnk文件,指向Windows计算器应用。执行计算器后,它会尝试加载同一文件夹中的DLL文件,如果存在恶意DLL,将被执行。此次攻击针对Windows 7计算器,因为Windows 10及更高版本的Calc.exe不受影响。Cyble共享了MITRE ATT&CK技术和IoC以帮助识别和防御此类攻击。
DLL旁加载攻击 信息窃取恶意软件 垃圾邮件传播 社会工程学 逃避检测技术 Windows操作系统漏洞利用 MITRE ATT&CK框架
0x12 CodeX—验证码后台登录辅助爆破工具
零威胁 2022-07-27T09:10:59 © mlxwl
一款针对后台存在验证码的爆破工具
0x13 万能网站密码爆破测试工具:BurpCrypto
Linux网络安全 2022-07-26T10:45:20
BurpCrypto是一款针对BurpSuite的插件,旨在帮助网络安全学习者应对网站系统中复杂的加密算法。该插件支持多种加密算法,如RSA、AES、DES,并提供ExecJS模块以手动编写处理代码。文章详细介绍了如何编译、安装和使用BurpCrypto,包括基础加密模块的使用方法、编码方式的辨别、不同加密算法的配置示例,以及如何通过ExecJS模块编写简单的JS脚本。此外,文章还提到了插件内置的JS库、如何通过插件进行加密和解密操作,以及如何使用插件中的功能如QuickCrypto和Intruder。最后,文章强调了插件更新计划和对安全学习者的使用建议。
密码学 渗透测试 安全工具 加密算法 前端加密 BurpSuite插件 JS代码执行
0x14 浣熊偷窃者回来了 - 如何保护您的组织
黑猫安全 2022-07-26T10:25:42 鹏鹏同学
浣熊偷窃者(Racoon Stealer)是一款恶名昭彰的恶意软件,近年来经过升级,其破坏性和功能都有所增强。新版本能够窃取浏览器中的密码、Cookie、自动填充数据,包括信用卡信息。此外,它还能攻击加密货币钱包和浏览器插件,窃取文件,不受文件所在磁盘位置的限制。最新版本还能捕获计算机上安装的应用程序列表,帮助攻击者定位有价值的数据文件。最危险的是,它能捕获屏幕截图,用于多种恶意目的,如窃取付款信息或作为网络勒索的依据。
恶意软件 信息窃取 加密货币安全 数据泄露 屏幕捕获 网络勒索
0x15 攻防演练 | 观成瞰云有效检出冰蝎4.0加密流量
北京观成科技 2022-07-26T07:25:54
文章介绍了知名Webshell管理工具“冰蝎”(Behinder)发布的4.0版更新,该版本引入了更复杂的加密和传输特性。新版本取消了硬编码通信协议,并允许完全自定义传输协议,同时提供了五种不同的加密方式(xor、xor_base64、aes、json和image),并且每种加密方式均支持自定义加解密代码。此外,冰蝎4.0采用了okhttp3客户端,这导致HTTP与TLS协议交互模式相较于3.0版有了显著变化。
观成科技的安全研究团队针对这些变化进行了深入分析,并对检测方案进行了升级。他们专注于在两种场景下抓取和分析流量:一是TLS未解密的场景,二是TLS解密后的HTTP协议流量。通过此次升级,观成瞰云(ENS)系统已经能够有效检出冰蝎4.0的各种加密流量。
观成瞰云-加密威胁智能检测系统(ENS)是观成科技自主研发的产品,它结合了人工智能与安全检测技术,可以检测恶意软件、黑客工具及非法应用等加密威胁。这款产品解决了恶意加密流量检测的难题,填补了市场和技术上的空白。文章还提及了之前的文章,讨论了在攻防演练中对其他热门黑客工具如哥斯拉和CobaltStrike的加密流量检测情况。
Webshell 加密流量检测 网络安全产品 攻防演练 恶意软件检测 TLS协议 人工智能在安全中的应用
0x16 【红队笔记】痕迹清理技术要点与实战方法总结
天融信教育 2022-07-25T19:00:04 方寸明光
痕迹清理技术要点说明痕迹清理,是清理自己在目标机器上留下的所有操作痕迹。
0x17 从窃取cookie到BEC:攻击者使用AiTM钓鱼网站作为进一步财务欺诈的入口
金瀚信安 2022-07-25T17:19:13 工业互联网安全
使用中间人攻击(AiTM)网络钓鱼网站的大规模网络钓鱼活动窃取了用户的密码,劫持了用户的登录会话,即使用户启
0x18 红蓝对抗最全漏洞利用工具整理
玄武盾网络技术实验室 2022-07-25T16:13:28 玄武盾实验室
免责声明由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号玄
漏洞扫描工具 漏洞利用工具 自动化攻击框架 Web应用安全 中间件安全 云安全 代码审计工具 爆破工具 字典收集工具 其他安全工具
0x19 关于macOS M1系列渗透测试配置
信星安全 2022-07-25T16:12:21 © conan
由于m1系列的mac便宜,高续航,高性能且轻薄导致一大堆师傅想换m1系。可是又因为害怕不兼容之类的问题
macOS 渗透测试 安全配置 软件安装 硬件兼容性 环境搭建 工具使用 教程分享 技术博客
0x1a 【靶机记录】vulntarget-c打靶记录
御林安全 2022-07-25T15:30:11 © 落花
0x1b 「神剑攻防演练宝典」之妙手部署“云蜜罐”
斗象科技 2022-07-25T13:10:12
本文详细介绍了网络安全中蜜罐技术的部署和应用。蜜罐作为一种防御手段,通过模拟真实服务或应用来诱捕攻击者,从而帮助防守方识别和防御攻击。文章首先阐述了蜜罐技术的重要性,指出其在攻防演练中的作用,即通过欺骗诱捕技术帮助防守方逆转被动防御局面。接着,文章对比了蜜罐部署的几种不同策略,包括传统的蜜罐部署方案、基于业务页面仿真的部署以及云蜜罐部署。特别强调了云蜜罐部署的优势,如直接部署于云端、使用企业二级域名映射等。文章还详细描述了云蜜罐的部署技巧,包括灵活使用溯源模块、精心设计诱捕场景、利用攻击者客户端漏洞进行反制等。最后,文章指出蜜罐技术在提升防御体系和溯源反制能力方面的作用,并推荐其在金融、政府、运营商、互联网等敏感信息企事业单位中的应用。
蜜罐技术 网络安全防御 攻防演练 云安全 信息收集与分析 溯源技术 漏洞利用 恶意文件捕获 实时监控
0x1c Vulnhub DC-2靶场实战详解
零威胁 2022-07-25T08:50:19 Haosir
打开DC-2 虚拟机,advanced_ip_scanner扫描一波,发现dc2192.168.1.172.
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
