2022年 第31周 微信公众号精选安全技术文章总览
洞见网安 2022-8-1
0x1 〖教程〗Ladon自定义密码爆破&自定义端口(SSH例子)
K8实验室 2022-08-07T22:12:13 ©
本文介绍了一种名为Ladon的网络安全工具,该工具支持自定义端口和密码爆破功能,以SSH密码爆破为例。文章首先说明了Ladon工具的功能和用法,包括如何指定端口进行扫描,以及如何使用批量的IP段和网段进行扫描。接着,文章详细介绍了Ladon的批量验证主机帐密功能,并举例说明了如何使用该功能进行密码验证。此外,文章还提到了Ladon可以调用第三方工具进行自定义密码爆破,并提供了具体的配置方法和例子。最后,文章讨论了Ladon相对于其他工具的优势,例如其支持批量操作、模块化设计以及易于使用等特点。
网络安全工具 密码爆破 端口扫描 漏洞检测 内网安全 自定义脚本 脚本开发 实战经验
0x2 什么是反向代理?Nginx反向代理如何配置?
网络技术联盟站 2022-08-07T14:02:49
nginx在日常工作中是一个不可缺少的服务,其中使用nginx做的事情最多的就是反反向代理,今天笔者带大家详
0x3 Slack 在 Bug 暴露某些用户的哈希密码后重置密码
黑猫安全 2022-08-07T10:07:26 鹏鹏同学
Slack因为一个漏洞导致大约0.5%的用户密码哈希被暴露,这个漏洞发生在用户创建或撤销工作区共享邀请链接时。虽然哈希密码本身对任何Slack客户端不可见,但为了安全起见,Slack重置了受影响用户的密码。该漏洞影响了2017年4月17日至2022年7月17日之间的用户操作,由一位独立安全研究员发现并报告。Slack没有透露其使用的哈希算法,但建议用户开启双因素身份验证,并创建唯一密码以增强账户安全。
密码泄露 密码重置 哈希加密 加盐哈希 安全漏洞 双因素认证
0x4 Fofa常用语法小总结
零威胁 2022-08-07T09:30:21 © zhiliao
0x01 前言作为一个初入行业的小菜鸡看着师傅们交的洞都很羡慕,他们的资产是如何搜集的呢?你一定听过Fofa
0x5 通过代码审计大型OA系统拿到CNVD证书
零幺sec 2022-08-06T23:18:22 © 匹夫
本文介绍了作者通过代码审计北京通达信科科技有限公司的通达OA系统,发现并利用了其中的XXE漏洞,最终获得了CNVD证书。通达OA是一款商用软件,作者通过官网下载试用版进行审计。在审计过程中,作者发现通达OA的源码文件通过Zend加密,需要使用工具解密。在日程安排功能点,作者发现了可以上传XML格式文档的漏洞。通过抓包分析,作者定位到具体的代码文件和方法,发现simplexml_load_file()函数存在解析XML外部实体的风险。由于通达OA使用的libxml版本低于2.9.1,存在XXE漏洞。作者通过搭建远程服务器和Python Web服务,利用bind XXE技术将服务器上的文件外带出来。文章最后鼓励对代码审计感兴趣的人勇于尝试,即使面对困难也不应放弃。
代码审计 XXE漏洞 OA系统安全 Web应用安全 数据泄露 安全证书
0x6 内网渗透 | CobaltStrike上线不出网的内网主机
零威胁 2022-08-06T16:34:38
CobaltStrike上线内网主机
0x7 溯源反制常用宝藏网站大全
小惜渗透 2022-08-06T11:13:51 ©
image-20220806110652186溯源反制常用宝藏网站大全最开始想写个研判思路来着,但是感觉有些
0x8 wLogger---Web日志管理工具
网络安全运维技术 2022-08-06T09:00:16
wLogger 是一款集合 日志采集,日志解析持久化存储,web流量实时监控 。三位一体的web服务流量监控应用。 三大功能模块均可独立部署启用互不干扰。
0x9 Thinphp5漏洞利用
零威胁 2022-08-05T14:47:52 © zhiliao
Thinkphp5漏洞利用的学习发现。
0xa 黑客利用Atlassian Confluence Bug部署Ljl后门进行间谍活动
黑猫安全 2022-08-05T14:05:58 鹏鹏同学
一篇报道指出,威胁参与者很可能利用了过时的Atlassian Confluence服务器中的CVE-2022-26134安全漏洞,针对研究和技术服务领域的某组织部署了一种新的后门程序,即Ljl后门。此次攻击发生在一个多星期的时间内,由网络安全公司Deepwatch追踪到的威胁活动集群TAC-040实施。攻击者通过在Tomcat9父进程中执行恶意命令来实现对Atlassian Confluence目录的控制。在初步妥协后,威胁参与者执行了多个命令来枚举本地系统、网络和Active Directory环境。此外,报告推测攻击者可能还利用了Spring4Shell漏洞(CVE-2022-22965)获取对Confluence Web应用程序的初始访问权。尽管TAC-040的具体情况尚不清楚,但据信该组织可能以间谍活动为目标,不排除其出于经济动机的行为,因为发现了XMRig加密货币挖矿程序的加载器。尽管没有直接证据显示挖矿程序被执行,但与攻击者相关的门罗币地址已通过非法挖矿获得了至少652个XMR(约106,000美元)。此次事件中,估计有700MB的数据被泄露。Ljl后门具备收集文件、用户账户信息、加载任意.NET有效负载等功能。受害者采取措施使服务器脱机,以阻止攻击者在网络中横向移动,从而防止更多敏感数据泄露。
漏洞利用 后门植入 间谍活动 横向移动 信息泄露 加密货币挖矿 系统枚举 特洛伊木马
0xb 自动化web漏洞检测工具 Find-Vulnerability
网络安全运维技术 2022-08-05T09:53:03 ITOM
F-vuln(全称:Find-Vulnerability)是为了自己工作方便专门编写的一款自动化工具,主要适用于日常安全服务、渗透测试人员和RedTeam红队人员.
0xc Advantech WebAccess 远程命令执行漏洞:CVE-2017-16720复现
安帝Andisec 2022-08-04T12:00:50 © VulEye-Snail
Advantech WebAccess是中国台湾研华公司的一套HMI/SCADA软件,存在远程命令执行漏洞(CVE-2017-16720),影响8.3.2及之前版本。该漏洞由于webvrpcs进程中0x2711 IOCTL的实现不当,未对用户提供的路径进行验证,允许攻击者通过RPC协议在TCP端口4592上以管理员权限执行远程命令。复现实验在Windows Server 2008 R2和Windows 7 64位系统上进行,使用Python 2.7执行POC脚本可成功触发漏洞,导致计算器程序被执行。漏洞分析显示,drawsrv.dll中的sub_100017B0函数调用CreateProcessA()时未对参数进行安全检查。修复建议是升级到WebAccess 8.3.3或更高版本。北京安帝科技有限公司提供工业网络安全解决方案,服务于多个关键基础设施行业。
远程代码执行 目录遍历 身份验证绕过 SCADA系统安全 工业控制系统安全 漏洞复现 漏洞分析 安全修复建议
0xd VirusTotal 揭示了恶意软件攻击中大多数模拟软件
黑猫安全 2022-08-04T10:00:40 鹏鹏同学
根据VirusTotal的分析报告,威胁行为者正在利用模仿合法应用程序如Skype、Adobe Reader和VLC Player等手段来实施恶意软件攻击。这些恶意软件通常带有合法程序的图标,以增强欺骗性。VirusTotal指出,除了上述应用外,7-Zip、TeamViewer、CCleaner、Microsoft Edge、Steam、Zoom和WhatsApp也是常见的被模仿对象。此外,恶意软件通过利用真实域名(如discord[.]com、squarespace[.]com、amazonaws[.]com、mediafire[.]com以及qq[.]com)来规避基于IP的防御机制。报告中提到,自2021年以来,发现的超过一百万个恶意样本中有87%在首次上传时拥有合法签名。VirusTotal还检测到伪装成合法软件的1,816个样本,它们通过捆绑在如Google Chrome、Malwarebytes、Zoom、Brave、Firefox和Proton VPN等软件的安装程序中传播。这种情况可能导致供应链攻击,当攻击者侵入合法软件的更新服务器或将恶意代码注入源码时。另一种方法是在恶意软件中嵌入合法安装程序作为可移植的可执行资源,以制造正常安装的假象。
社会工程攻击 恶意软件 域名滥用 供应链攻击 证书滥用 通信平台滥用 软件捆绑 可执行资源合并
0xe Wavlink WN530HG4密码泄露-POC
零威胁 2022-08-03T18:35:02 © yuema
Wavlink WN530HG4是Wavlink(睿因)开发的双频千兆无线路由器,
0xf IPFS成为钓鱼攻击的温床
信息安全最新论文技术交流 2022-08-03T12:19:19
研究人员发现越来越多的钓鱼攻击开始使用去中心化的IPFS网络。
0x10 VMware 修复了关键身份验证绕过漏洞
黑猫安全 2022-08-03T12:10:01 鹏鹏同学
VMware 近期修复了编号为 CVE-2022-31656 的关键身份验证绕过安全漏洞,该漏洞允许未经身份验证的攻击者获取管理员权限,影响 Workspace ONE Access、Identity Manager 和 vRealize Automation 等多个产品。此漏洞的 CVSS v3 基本得分高达 9.8,表明其严重性。VMware 还解决了其他多个安全漏洞,包括 URL 注入、JDBC 注入、SQL 注入、本地权限提升、路径遍历和跨站点脚本(XSS)等,这些漏洞同样影响 VMware 的多个关键产品。VMware 强调了修补或缓解这些问题的紧迫性,并感谢 VNG Security 的 PetrusViet 报告了 CVE-2022-31656 漏洞。
身份验证绕过 管理员权限获取 严重漏洞 远程代码执行 SQL注入 权限提升 路径遍历 跨站点脚本(XSS) URL注入
0x11 linux内存分配之初识slab(二)
deepcoder 2022-08-03T09:30:00 ©
slab分配内存原理,先分析liteos中的少量代码,帮助理解linux。
0x12 攻防演练 | 隐蔽隧道怎么防?
北京观成科技 2022-08-02T09:48:03 © 观成科技
文章探讨了隐蔽隧道攻击及其防范措施。隐蔽隧道攻击是攻击者建立的隐藏通信渠道,用以维持权限并进行横向移动,具有使用多种协议、数据加密方式多变等特点,使得防御变得困难。隐蔽隧道可以分为网络层(如ICMP隧道)、传输层(如TCP/UDP隧道)和应用层(如DNS/HTTP隧道),每种类型的隧道都有其特点和检测难度。攻击者利用各种工具建立隐蔽隧道,包括ICMP隐蔽隧道工具(如icmpTunnel)、TCP/UDP隐蔽隧道工具(如frp)以及HTTP和DNS隐蔽隧道工具等。为了有效防范隐蔽隧道,应采取体系化的防御策略:减少不必要的协议暴露面,针对关键协议实施特定检测方法,例如通过统计分析技术检测ICMP隧道,基于信息熵等指标检测TCP/UDP隧道,从异常记录和上下行数据分析DNS隧道,结合规则与机器学习识别HTTP隧道。此外,还需对业务流量进行排查,确认是否为正常业务流量。观成瞰云提供了一套全面支持隐蔽隧道检测的加密威胁智能检测系统,该系统融合人工智能与安全检测技术,能够有效检出恶意加密流量,解决了市场上的技术空白。
网络安全攻防 隐蔽隧道攻击 网络安全检测 网络安全工具 网络安全协议 网络安全防护
0x13 FastJson | CVE-2017-18349复现
零威胁 2022-08-01T20:13:33 © mlxwl
本文介绍了Fastjson CVE-2017-18349漏洞的复现过程。Fastjson是一个Java库,用于Java对象与JSON格式之间的转换。文章首先指出了漏洞的影响范围,即fastjson版本小于等于1.2.24。接着,详细描述了环境搭建的过程,包括靶机IP地址、攻击机IP地址以及所需访问的端口。文章还提到了攻击机需要具备javac环境和maven服务。然后,作者提供了漏洞复现的具体步骤,包括编译exp代码、开启http服务、编译marshalsec为jar包以及开启nc监听。最后,通过修改POST请求参数并添加特定的payload,成功实现了远程代码执行,即getshell。
0x14 Google Play商店上的十几个Android应用程序被发现丢弃银行恶意软件
黑猫安全 2022-08-01T10:54:04 鹏鹏同学
近期,安全研究人员在Google Play商店中发现了一项恶意活动,涉及17个名为DawDropper的Android滴管应用程序。这些应用程序伪装成文档扫描仪、QR码阅读器、VPN服务和通话记录器等实用工具,实则通过Firebase Realtime Database动态获取恶意软件下载地址,并在GitHub上托管恶意负载。这些滴管应用程序在通过Google的安全检查后,用于下载更强大的恶意软件,如Octo、Coper、Hydra、Ermac和TeaBot。这些恶意软件能够禁用Google Play Protect,使用VNC记录屏幕,窃取银行凭证等敏感信息。此次活动中,一个名为“Unicc QR Scanner”的应用程序被特别标记为分发Coper银行木马。研究人员指出,网络犯罪分子不断寻找新方法逃避检测,导致滴管即服务(DaaS)模型的兴起。
恶意软件 银行木马 应用商店安全 云服务滥用 数据泄露 动态加载 移动安全
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
