2023年 第31周 微信公众号精选安全技术文章总览
洞见网安 2023-7-31
0x1 Packer-Fuzzer:自动化API模糊提取与漏洞检测
Y1X1n安全 2023-08-06T21:30:39 © Y1X1n
Packer-Fuzzer快速提取网站JS和API,并对未授权访问、敏感信息泄露、CORS、SQL注入、水平越权、弱口令、任意文件上传七大漏洞进行模糊高效的快速检测
0x2 【内网代理】ICMP代理法-Pingtunnel
猫蛋儿安全 2023-08-06T09:30:59 © 猫蛋儿
Pingtunnel 是一种通过 ICMP 发送 TCP/UDP 流量的工具。如果主机可以ping通目标主机,那我们就可以尝试建立ICMP隧道。
0x3 流量分析与日志溯源实战技巧
LemonSec 2023-08-06T00:00:04
本文详细阐述了日志分析在网络安全溯源中的重要性,并介绍了日志分析的流程和具体方法。文章首先强调了日志分析的基本流程,包括数据统计、威胁发现和报告撰写。在数据统计阶段,可以使用Excel或Python脚本对请求IP、访问地址和HTTP状态码等进行统计。威胁发现阶段则通过关键字过滤、异常请求查看和行为分析来识别潜在的攻击行为。报告撰写阶段则需要重点描述攻击者的画像和行为,以判断攻击来源。文章还深入分析了日志中常见的行为特征,如恶意IP请求、非正常请求、扫描行为、重要接口访问、扫描器特征、关键词查找等,并提供了具体的分析方法和案例。此外,文章特别关注了挖矿病毒的分析,介绍了挖矿病毒的传播方式、特征以及检测方法,特别是针对无文件落地的Powershell马的分析。最后,文章总结了日志分析溯源的局限性,并提出了相应的改进建议。
日志分析 安全溯源 网络流量分析 IDS/WAF 恶意IP检测 挖矿病毒分析 无文件攻击 报告撰写 安全工具
0x4 内网靶场 | 从外网打点到渗透内网域控 NASA
XiAnG学安全 2023-08-05T21:48:04 © X
本文详细记录了从外网打点到渗透内网域控的NASA靶场渗透测试过程。首先通过masscan和nmap进行端口扫描,使用dirsearch进行目录扫描,并利用社工字典暴力破解后台密码。接着发现并利用后台SQL盲注漏洞获取数据库信息,并通过删除漏洞和重装漏洞获取webshell。随后通过suid提权、Docker逃逸等方式提升权限,最终通过内网信息收集、SMB用户密码批量爆破、ms17_010_psexec等技术,成功登录并获取域控权限,获取了所有flag。整个过程涉及了多种渗透测试技术和工具,是网络安全学习者的宝贵实践案例。
渗透测试 外网打点 内网渗透 漏洞利用 权限提升 域渗透 Metasploit Windows Linux
0x5 SSRF漏洞原理攻击与防御(超详细总结)
web安全小白 2023-08-05T20:56:04
本文深入探讨了SSRF(服务器端请求伪造)漏洞的原理、挖掘方法、攻击利用以及防御策略。文章首先解释了SSRF的定义和原理,即攻击者通过构造特殊的请求,使服务端代理发起请求,从而访问内部系统。文章详细列举了可能产生SSRF漏洞的函数,如file_get_contents、fsockopen和curl_exec,并介绍了常见的URL伪协议及其利用方式。此外,文章还讨论了SSRF的绕过方式,包括域名绕过、特殊字符和编码绕过等。最后,文章提出了防御SSRF的五个思路,包括验证返回信息、统一错误信息、限制请求端口、黑名单内网IP和禁用不需要的协议。
网络安全漏洞 Web安全 漏洞挖掘 攻击与防御 PHP安全 URL协议 端口扫描 内网攻击
0x6 HTB-Gofer笔记
Jiyou too beautiful 2023-08-04T21:20:29 ©
首先扫描靶机─(root㉿uu)-[/home/uu/gofer]└─# nmap -sC -sV -T5
0x7 HTB-Coder(Insane)
搁浅安全 2023-08-04T17:59:57 ©
本文记录了作者在一次网络安全学习中对一个insane难度的靶机进行渗透的过程。作者首先通过smbclient工具枚举了靶机开放的共享目录,发现了两个加密文件。使用Dnspy反编译分析发现该程序使用AES加密,且采用了不安全的伪随机数生成器,作者通过在线工具生成了密钥和初始化向量,并使用KeePass CLI解密了文件,得到了一个KeePass数据库和一个密钥文件。通过KeePass数据库,作者获取了TeamCity服务的URL和用户s.blade的凭证,并成功登录。接着,作者通过TeamCity的构建功能,使用diff文件上传了一个包含命令的ps1脚本,成功执行了命令并获取了shell。但是,由于靶机上有杀软,无法使用常规的反弹shell方法。作者尝试使用nc和python启动服务,但shell连接不稳定。随后,作者通过读取TeamCity日志文件,找到了ADCS相关信息,并使用certipy工具发现了s.blade用户对证书模板有写权限。作者利用ADCSTemplate模块创建了一个新的证书模板,并赋予s.blade用户注册权限。最后,作者使用certipy生成了管理员证书,并通过passthecert工具将s.blade用户添加到管理员组,最终获得了管理员权限。整个过程涉及了smbclient、Dnspy、KeePass、certipy、ADCSTemplate和passthecert等多个工具和技术,展示了作者在渗透测试方面的知识和技能。
0x8 “Flash配置不当漏洞”详解
Devil安全 2023-08-04T09:51:25 © 仲瑿
危害可被用来进行跨域访问,可能会导致“跨站点伪造请求”或“跨站点跟踪”(“跨站点脚本编制”的变体)之类的攻击
0x9 HTB-Gofer(Hard)
搁浅安全 2023-08-03T12:10:47 Ge9i4n
SSRF内部SMTP,libreoffice宏攻击,逆向工程
0xa 在CVE-2023-3519攻击中,黑客已经在581台Citrix服务器上安装了网络外壳
黑猫安全 2023-08-03T09:32:12 博士
安全研究人员发现,数百台Citrix Netscaler ADC和Gateway服务器受到CVE-2023-3519漏洞影响,该漏洞允许未经身份验证的远程代码执行。美国CISA警告称,黑客利用此零日漏洞发起攻击,目标为关键基础设施组织的NetScaler ADC设备。Citrix公司已发布警告,并建议客户尽快更新系统。CISA透露,攻击者利用该漏洞部署Web shell,以发现并窃取活动目录数据,尽管尝试横向移动到域控制器但被网络分割控制阻止。非营利组织Shadowserver Foundation报告,至少581台Citrix服务器被成功安装了Web shell,主要位于美国和德国。
远程代码执行(RCE) 零日漏洞 Web shell部署 关键基础设施攻击 网络安全预警 数据窃取 横向移动尝试 加密密码获取 暴露服务器统计
0xb 研究人员发现AWS SSM代理被滥用为隐蔽的远程访问特洛伊木马
黑猫安全 2023-08-03T09:32:12 博士
网络安全研究人员发现了一种新的后渗透技术,该技术滥用亚马逊网络服务(AWS)的系统管理器代理(SSM代理)作为隐蔽的远程访问特洛伊木马。SSM代理原本是管理员用于管理AWS资源的合法工具,但攻击者可以利用它进行持续的恶意活动。攻击者通过获得高权限访问已安装SSM代理的端点,可以维持对被入侵机器的访问并执行多种恶意活动。SSM代理的优势在于它通常被终端安全解决方案信任,无需部署额外的恶意软件。攻击者还可以利用自己的AWS账户作为命令与控制(C2)服务器,远程监视被入侵的SSM代理。Mitiga研究人员详细介绍了如何通过注册SSM代理以“混合”模式运行,使其与不同的AWS账户通信,或者利用Linux的命名空间功能启动第二个SSM代理进程,与攻击者的AWS账户通信。此外,SSM代理功能还可以被滥用以将流量路由到攻击者控制的服务器,包括非AWS账户端点。研究人员建议组织从防病毒解决方案的允许列表中删除SSM二进制文件,并确保EC2实例仅响应来自原始AWS账户的命令,以检测异常活动并防止SSM代理被滥用。
云服务安全 后渗透技术 远程访问木马 权限维持 命令与控制 安全检测规避 勒索软件 加密货币挖矿
0xc 红蓝对抗重点OA系统漏洞利用工具1.2增强版 发布
黑熊安全 2023-08-02T13:28:32
免责声明由于传播、利用本公众号琴音安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,
0xd 网络钓鱼威胁升级:滥用Google AMP绕过电子邮件安全措施
知机安全 2023-08-02T10:07:32 Bill Toulas
网络安全专家警告称,网络钓鱼攻击正日益滥用AMP来绕过电子邮件安全机制。攻击者利用AMP的重定向功能,将恶意链接伪装成合法的Google网页,进而欺骗企业员工。这种新型钓鱼手法对于企业安全构成威胁,需要加强防范措施。
0xe WikiLoader恶意软件即服务针对意大利组织
黑猫安全 2023-08-02T09:18:44 博士
WikiLoader是一种新型恶意软件,被用于针对意大利组织的钓鱼活动中。该恶意软件由TA544等威胁行为者分发,通过将银行木马、窃取者和Ursnif等恶意软件传递给受害者计算机来实施攻击。WikiLoader具有复杂的规避检测机制,它会向维基百科发出请求以检查响应中是否包含特定字符串,从而决定下一步行动。自2022年12月以来,Proofpoint观察到了至少八个使用WikiLoader的活动,其中大部分目标是意大利组织。攻击通常从携带武器化附件(如Microsoft Office文档或PDF)的电子邮件开始,这些附件激活后可启动WikiLoader的安装过程。值得注意的是,尽管许多网络犯罪分子转向其他方法传递恶意软件,但TA544依然偏好使用宏启用的文档作为攻击链的一部分。此外,WikiLoader能够从Discord下载并执行shellcode,进一步执行Ursnif等恶意载荷。为了防范此类威胁,建议组织禁用所有员工计算机上的宏,阻止OneNote文档中的外部文件执行,并调整默认设置使JavaScript文件在安全的应用程序中打开。
恶意软件 钓鱼攻击 规避检测 下载器 定制代码 MaaS(恶意软件即服务) 电子邮件攻击 宏攻击 社会工程学 信息窃取
0xf SonarQube 未授权漏洞
Devil安全 2023-08-02T09:01:54 仲瑿
产品概述SonarQube是一款开源静态代码质量分析管理工具,支持Java、Python、PHP、JavaS
0x10 聊聊虚拟定位工具新宠儿:AnyGo的原理与识别
极验 2023-08-02T09:00:57 © NikoXu
本文探讨了虚拟定位工具在网络安全领域的新趋势,特别是以AnyGo为代表的工具在iOS系统上的应用。随着基于位置服务(LBS)的应用日益普及,黑灰产开始利用虚拟定位工具伪造位置信息以谋取不正当利益。文章首先介绍了LBS的应用场景,然后分析了虚拟定位工具的出现背景和必要性。AnyGo作为一款无需越狱即可实现虚拟定位的工具,其工作原理是通过Xcode的GPX文件模拟服务,利用libimobiledevice库与iOS设备连接,发送命令开启系统全局的虚拟定位服务。文章还介绍了如何通过iOS系统API进行初步的虚拟定位检测,并提及了极验设备验等风控产品在识别虚拟定位风险方面的作用。
网络安全 移动安全 iOS安全 恶意软件 定位服务安全 黑灰产 代码分析 安全检测
0x11 对某非法站点从SQL注入到整站打包与本地搭建全过程
LemonSec 2023-08-02T08:20:03 GuoKer
本文详细记录了一个网络安全学习者在已知存在SQL注入漏洞的情况下,对本地传销站点进行渗透测试的过程。首先,通过Fuzz测试发现程序存在过滤机制,但利用IIS处理%符号的机制成功绕过部分过滤,并使用convert函数获取了版本信息、数据库信息、用户名和计算机名等敏感信息。接着,由于无法直接使用万金油语句,根据安全狗文章中的提示,利用MSSQL中的注释和换行符构造了注入语句,成功获取了部分表名。为了获取所有表名,使用Burp Intruder的Grep-Extract功能解决了重复和无序的问题。在获取到memberadmin表后,通过盲猜列名的方式找到了txt_nickname、nickname、txt_password和password等字段。随后,通过ueditor组件的.NET版本上传漏洞,成功上传了shell并获取了系统权限。最后,使用rar.exe对源码进行分卷打包,并利用后台备份功能导出数据库。在本地搭建了相同的环境,并成功导入数据和修改配置文件。整个过程详细记录了每一步的操作和遇到的坑点,为网络安全学习者提供了宝贵的实践经验和参考。
SQL注入 Bypass过滤 信息收集 Web安全 服务器入侵 文件上传漏洞 后渗透 安全狗 IIS ASP.NET
0x12 【漏洞情报 | 新】CVE-2023-3450 锐捷Ruijie路由器命令执行漏洞
划水但不摆烂 2023-08-01T22:07:08 © 4Zen
2023.07最新锐捷Ruijie路由器命令执行漏洞
0x13 dirsearch Web目录扫描器使用手册-新手入门指南
Y1X1n安全 2023-08-01T19:00:53 © Y1X1n
0x14 Ninja Forms插件中发现多个缺陷导致80万个网站易受攻击
黑猫安全 2023-08-01T09:53:58 博士
WordPress的Ninja Forms插件被发现存在多个安全漏洞,这些漏洞可能使超过80万个网站面临被攻击的风险。Patchstack在其报告中指出,这些漏洞包括CVE-2023-37979、CVE-2023-38386和CVE-2023-38393,影响Ninja Forms版本3.6.25及以下。CVE-2023-37979是一个反射型跨站脚本(XSS)漏洞,允许未经身份验证的用户通过欺骗手段提升权限。CVE-2023-38386和CVE-2023-38393是表单提交导出功能中的破坏性访问控制漏洞,允许具有订阅者和投稿者角色的用户导出所有Ninja Forms提交内容。为了应对这些安全威胁,建议用户升级到Ninja Forms的3.6.26版本。此外,Patchstack还披露了Freemius WordPress软件开发工具包(SDK)的XSS漏洞(CVE-2023-33999),影响2.5.10之前的版本,以及HT Mega插件的一个关键性错误(CVE-2023-37999),影响2.2.0及以下版本,允许未经身份验证的用户提升权限。
跨站脚本攻击(XSS) 权限提升 敏感数据泄露 破坏性访问控制 插件安全漏洞 软件开发工具包(SDK)安全漏洞
0x15 新的安卓恶意软件CherryBlos利用OCR窃取敏感数据
黑猫安全 2023-08-01T09:53:58 博士
一种名为CherryBlos的新安卓恶意软件通过社交媒体平台上的虚假帖子进行分发,能够利用OCR技术从图片中窃取敏感数据,包括加密货币钱包的助记词短语。该恶意软件具有剪贴板替换功能,当检测到特定格式的字符串时会将其替换成攻击者控制的钱包地址。一旦安装,它还会请求额外权限,并且如果用户试图卸载或停止它,它会将用户重定向回主屏幕。此外,CherryBlos能够在合法加密钱包应用上显示假覆盖界面来获取用户的登录凭据并转移资金。趋势科技发现了一款名为Synthnet的相关应用程序,但未包含恶意代码;同时发现了与之相关的另一组名为FakeTrade的诈骗应用,这些应用在Google Play商店中被发现,主要针对亚洲和部分非洲国家的用户。McAfee也报道了针对日本用户的短信钓鱼活动,使用名为SpyNote的恶意软件,伪装成基础设施公司发送信息,以激活设备上的无障碍服务来进行恶意操作。
恶意软件 社交工程 数据泄露 权限滥用 防御规避 钓鱼攻击 应用商店安全 加密货币安全 OCR技术滥用
0x16 新的P2PInfect蠕虫以未记录的漏洞方法攻击Redis服务器
黑猫安全 2023-08-01T09:53:58 博士
P2PInfect蠕虫通过未记录的漏洞方法攻击Redis服务器,利用复制功能侵入易受攻击的实例,并纳入僵尸网络。该恶意软件基于Rust编写,首次由Palo Alto Networks Unit 42记录,可利用Lua沙箱逃逸漏洞(CVE-2022-0543)获取Redis实例的控制权。攻击始于2023年6月29日后,威胁行为者使用多个漏洞进行初始访问,包括滥用SLAVEOF命令和注册恶意cron工作。成功入侵后,恶意软件分发下一阶段载荷,修改防火墙规则,升级自身,并可能部署加密货币挖掘器。P2PInfect僵尸网络无中心C2服务器,节点间相互通信,通过SSH暴力破解和漏洞利用扩展影响。该蠕虫设计精良,利用先进技术,且Rust编写增加了代码移植性和静态分析的难度。
Redis安全漏洞 僵尸网络 恶意软件 初始访问方法 Lua沙箱逃逸漏洞 SSH暴力破解 网络攻击 加密货币挖掘 C2服务器规避 代码移植性
0x17 新发现的P2PInfect蠕虫利用多个漏洞侵入Redis服务器
知机安全 2023-08-01T09:52:08 THN
P2PInfect是一种新型的P2P蠕虫,通过利用未记录的初始访问方法侵入易受攻击的Redis服务器,并将其加入僵尸网络。该恶意软件最早由Palo Alto Networks Unit 42记录,使用Rust语言编写,能够利用CVE-2022-0543漏洞来获取Redis实例的控制权。攻击活动始于2023年6月29日之后,攻击者利用多个漏洞进行初始访问,包括滥用SLAVEOF命令和注册恶意cron任务。成功入侵后,恶意软件会更改iptables规则,升级自身,并可能部署加密货币挖掘器。P2PInfect利用P2P网络进行通信,无需集中式C2服务器。它还通过暴力破解SSH服务器和使用SLAVEOF命令来扩散。研究人员指出,P2PInfect设计先进,利用了复制和C2技术,且由于使用Rust语言,代码在不同平台之间移植性强,静态代码分析困难。
恶意软件 漏洞利用 僵尸网络 加密货币挖掘 横向移动 初始访问 高级持续性威胁(APT)
0x18 HTB-Cerberus(Hard)
搁浅安全 2023-08-01T08:53:45 ©
该文章记录了一个网络安全学习者在 HTB 平台上对 Cerberus 靶机进行渗透测试的过程。首先,使用 nmap 进行端口扫描,发现目标主机开放了 8080 端口,并识别为一个 HTTP 代理。接着,通过 SQLi 和 Fuzz 测试未能找到有效漏洞,但发现icinga.cerberus.local域和读取相关配置文件。配置文件显示数据库连接信息,成功使用 mysql 密码登录数据库。进一步分析发现 Icinga Web 存在 LFI 和 RCE 漏洞,通过利用该漏洞成功提权至 root。然而,由于系统限制,无法直接执行 PHP 代码。随后,通过研究 Icinga 模块机制,成功利用 Firejail 的 CVE-2022-31214 漏洞提权至 root。在 root 权限下,发现系统位于容器或虚拟机中,并尝试多种提权方法均未成功。最后,通过分析 SSSD 和 SMB 服务,成功获取了域管理员密码,并使用evil-winrm登录 Windows 系统。在 Windows 系统中,发现 ADSelfService Plus 存在 CVE-2022-47966 漏洞,但由于环境限制,未能利用该漏洞获取更高权限。
Nmap Firejail SSSD WinRM ADSelfService Plus LFI RCE SQLi Fuzzing Brute Force Exploitation Privilege Escalation Windows Linux Metasploit
0x19 【深度研究】Beelzebub:一款基于ChatGPT的蜜罐
猫蛋儿安全 2023-08-01T08:01:05 © 猫蛋儿
Beelzebub 是一个先进的开源蜜罐框架,旨在为检测和分析网络攻击提供高度安全的环境。它提供了一种易于实现的低代码方法,并利用了由GPT-3(OpenAI语言模型)提供支持的虚拟化技术。
0x1a 漏洞学习|xray报告xss复现
一盅清茶 2023-07-31T20:39:21 tr1tea
xray报告xss复现
0x1b 泛微E-Mobile 6.x 命令执行漏洞
fly的渗透学习笔记 2023-07-31T10:57:20 joyboy
一、免责声明: 本次文章仅限个人学习使用,如有非法用途均与作者无关,且行且珍惜;由于传播、利用本公
0x1c Tomcat遭受攻击:探索Mirai恶意软件及其后续发展
知机安全 2023-07-31T10:47:51 Nitzan Yaakov
Apache Tomcat遭受大规模攻击,利用了弱密码和配置错误。攻击者通过暴力破解获得远程执行代码的权限。
0x1d Ivanti Endpoint Manager Mobile中的新缺陷在野外被积极利用
黑猫安全 2023-07-31T09:40:56 博士
Ivanti Endpoint Manager Mobile(EPMM)被发现存在一个严重的安全漏洞,编号为CVE-2023-35081,CVSS评分为7.8,表明其具有较高的严重性。该漏洞允许经过身份验证的管理员执行任意文件写入操作,攻击者可能结合使用CVE-2023-35078漏洞绕过管理员身份验证和ACL限制。成功利用CVE-2023-35081漏洞,攻击者可以在设备上以tomcat用户身份执行操作系统命令,植入恶意文件。受影响的版本包括11.10、11.9和11.8,旧版本也可能存在风险。美国网络安全和基础设施安全局(CISA)将CVE-2023-35078添加到已知受攻击漏洞目录中,并要求联邦机构在2023年8月15日前修复。值得注意的是,CVE-2023-35078漏洞曾被用于攻击挪威政府的ICT平台,显示了其在野外被积极利用的严重性。
漏洞利用 身份验证绕过 文件写入操作 操作系统命令执行 移动设备管理软件安全 CVSS评分 联邦机构响应 已知受攻击漏洞目录
0x1e HTB-Sau(Easy)
搁浅安全 2023-07-31T08:32:11
文章介绍了作者在HTB平台上的Sau(Easy)靶机渗透测试过程。首先,通过扫描发现目标主机的55555端口开放,识别出该端口运行的是一个请求篮子服务,并存在SSRF漏洞(CVE 2023-27162)。接着,作者利用漏洞通过POST请求尝试访问内部服务。在进一步探索中,发现服务器由Maltrail (v0.53)提供支持,并找到了相关的漏洞利用信息。作者编写了rev.sh脚本,并通过Python服务器传递给目标主机以获取反向shell。最后,通过curl命令执行脚本并反弹shell,发现可以使用systemctl命令进行权限提升,文中提供了两种提权方法:一种是使用script命令,另一种是通过交互式TTY命令执行systemctl。
SSRF漏洞 未授权访问 信息泄露 端口扫描 提权 Web应用安全 漏洞利用
0x1f 【溯源反制】反制手法-蚁剑反制马
猫蛋儿安全 2023-07-31T08:00:53 © 猫蛋儿
一个比较真实的反制马,如果是在实战中或者AWD中还是用处的,在研究的过程中把一些经验分享出来,希望可以给大家解决一下问题。
0x20 Citrix ADC及Citrix Gateway远程代码执行漏洞 (CVE-2023-3519)分析
博智非攻研究院 2023-07-31T06:34:57 © 博智非攻研究院
Citrix最近官方发布公告称在Citrix ADC 及 Citrix Gateway 中存在远程代码执行漏洞,远程未授权攻击者可利用此漏洞在目标设备上执行任意代码,目前已监测到在野利用。
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
