2024年 第32周 微信公众号精选安全技术文章总览
洞见网安 2024-8-12
0x1 HTB之Sea
羽泪云小栈 2024-08-11T21:44:27 © 羽泪云小栈
赛季6HTB之Sea+linux(eazy)+cms_nday利用+hash爆破+端口转发+命令执行
0x2 Cobaltstrike内网渗透神器
W-L安全社 2024-08-11T17:42:43 W-L
本文详细介绍了Cobalt Strike这款网络安全渗透测试工具的使用方法。首先,文章概述了Cobalt Strike的安装过程,包括环境要求、服务端启动命令以及客户端连接设置。接着,文章讲解了如何使用Cobalt Strike获取权限,包括配置监听器、生成木马payload、执行目标主机操作等。此外,文章还介绍了如何进行权限提升、抓取明文密码以及实现内网穿透。最后,文章强调了合法使用网络安全知识的重要性,并提醒读者不要利用所学知识进行恶意攻击。
渗透测试工具 内网渗透 木马技术 权限提升 安全漏洞利用 代理转发 网络安全意识
0x3 关于Windows远程桌面许可服务存在远程代码执行漏洞的安全公告
魔都安全札记 2024-08-11T09:00:38
本文报道了国家信息安全漏洞共享平台(CNVD)收录的Windows远程桌面许可服务远程代码执行漏洞(CNVD-2024-34918,CVE-2024-38077)。该漏洞允许未经身份认证的攻击者远程执行代码,获取Windows Server服务器控制权限。漏洞影响包括多个版本的Windows Server操作系统。微软已在7月补丁日发布了修复补丁,建议受影响用户和单位及时更新。同时,若无法立即更新,微软建议在非必要情况下关闭RDL服务以作为临时防范措施。
漏洞披露 远程桌面协议 远程代码执行 高危漏洞 安全更新 Windows服务器 缓冲区溢出 安全防范
0x4 CVE-2022-9484 Apache Tomcat Session 漏洞利用
泷羽Sec-静安 2024-08-11T08:10:20 ©
文章详细介绍了CVE-2022-9484漏洞的利用过程,包括配置靶场环境、Docker命令操作、Groovy执行漏洞测试、Payload构造和利用等内容。利用该漏洞,攻击者可以通过上传恶意session文件或通过其他方式写入session文件,然后通过访问特定路径触发执行恶意代码。文章还提供了JSP木马的构造方法,并演示了如何通过Base64编码绕过检测。最后,文章介绍了如何在攻击机上进行武器化操作,包括克隆相关项目、下载漏洞利用工具、修改和执行攻击脚本等步骤。文章提供了多个参考链接,以便读者深入了解相关内容。
Docker 安全 靶场搭建 漏洞利用 文件上传漏洞 Groovy 漏洞 Java 安全 Web 应用安全 漏洞分析 渗透测试 工具使用
0x5 渗透测试实战-菠菜站渗透测试(Nacos反序列化漏洞利用)
网安日记本 2024-08-11T07:51:34 © haosha
免责声明:文章来源于真实渗透测试,已获得授权,且关键信息已经打码处理,请勿利用文章内的相关技术从事非法测试,由
0x6 电子数据取证每日一练-服务器取证5-docker容器
金星路406取证人 2024-08-10T20:18:25 © Q1anfang2
本文针对电子数据取证领域的实践技能进行分享,主要聚焦于Docker容器服务器取证。文章详细介绍了Docker容器的基本存储映射方式,包括卷和绑定挂载,以及如何使用docker inspect命令查看存储映射地址。此外,文章还提供了Docker常用指令的示例,包括容器和镜像的管理命令。文章通过一个案例分析,展示了如何通过Docker容器进行服务器取证,包括破解root账号密码、识别监听端口的程序、确定网站依赖的数据库类型、恢复MySQL数据库和识别涉案网站调用的MySQL数据库名。最后,文章强调了掌握Docker基本技能的重要性,以应对电子数据取证比赛中的挑战。
网络安全取证 Docker安全 数据库安全 加密技术 服务器安全 虚拟化安全 实战技能 竞赛准备
0x7 【已复现,尽快排查修复】Windows RDL存在远程代码执行漏洞(CVE-2024-38077)
安恒信息CERT 2024-08-10T14:16:08
本文介绍了Windows远程桌面授权服务(RDL)中的一个远程代码执行漏洞(CVE-2024-38077),该漏洞评级为1级,CVSS3.1评分高达9.8。漏洞源于RDL中一个堆溢出问题,攻击者可以通过构造特定输入触发漏洞,无需用户交互即可完全控制受影响的服务器。受影响的Windows服务器版本包括Windows Server 2008至Windows Server 2022等。微软已发布补丁修复该漏洞,用户应尽快更新系统。同时,提供了临时缓解方案和排查方案,包括禁用RDL服务和使用自研远程检测工具。
漏洞分析 远程代码执行 Windows系统安全 漏洞修复 安全漏洞检测 CVSS评分 系统更新
0x8 【机翻】CrowdStrike事件外部技术根本原因分析-通道文件291
安天垂直响应平台 2024-08-10T11:43:53
本文详细分析了CrowdStrike事件的外部技术根本原因。事件起因于CrowdStrike Falcon平台传感器版本7.11中引入的一种新的进程间通信模板类型。该模板类型定义了21个输入参数字段,但集成代码只提供了20个输入值。由于测试过程中对第21个输入使用了通配符匹配,未发现参数计数失配问题。然而,当新版本模板实例引入非通配符匹配时,传感器在处理第21个输入时发生了越界读取,导致系统崩溃。CrowdStrike随后采取了一系列缓解措施,包括验证模板类型中输入字段的数量、添加运行时数组边界检查、更新模板类型测试覆盖率、修改内容验证器逻辑错误、更新内容配置系统测试程序以及提供对快速响应内容更新的控制。这些措施旨在增强平台的弹性并防止未来类似事件的发生。
漏洞分析 安全漏洞 安全响应 内核安全 漏洞修复 安全配置 威胁检测 机器学习 操作系统安全
0x9 [随波逐流]CTF编码工具 V6.1 20240809
长弓三皮 2024-08-10T00:01:41 ©
[随波逐流]CTF编码工具:一站式编码解码解决方案,您的全能编码解码助手。
0xa 漏洞研究-JBoss-CVE-2017-12149、CVE-2015-7501、CVE-2017-7504
泷羽Sec-静安 2024-08-10T00:01:06 ©
本文详细分析了三个JBoss漏洞:CVE-2017-12149、CVE-2015-7501和CVE-2017-7504。CVE-2017-12149是一个代码执行漏洞,影响JBoss 5.x/6.x版本,攻击者可以通过构造序列化代码来执行任意代码。CVE-2015-7501是一个JMXInvokerServlet反序列化漏洞,影响多个JBoss产品版本,利用Apache Commons Collections中的Gadget可以执行任意代码。CVE-2017-7504是JbossMQ JMS反序列化漏洞,影响JBoss <=4.x版本,攻击者可以通过特制的序列化数据执行任意代码。文章提供了漏洞复现步骤和利用工具,包括如何使用CVE工具和JavaDeserH2HC工具来生成payload和反弹shell。
Java漏洞 反序列化漏洞 JBoss漏洞 代码执行 靶场利用 漏洞复现 安全工具
0xb Outlook 2016配置邮箱账号(POP3/IMAP协议)
mailabc 2024-08-09T19:10:26 © 小胡子大魔王
本文详细介绍了如何在Outlook 2016客户端中配置邮箱账号,包括使用POP3和IMAP协议。文章首先强调了配置前的准备工作,包括确认账号和密码、邮件服务器地址以及选择合适的协议。对于个人邮箱用户,推荐使用IMAP协议以实现多端数据同步,而企业用户则需要根据内部政策选择协议。接着,文章分步骤指导读者如何配置IMAP和POP3协议,包括设置账户类型、输入服务器地址、用户名和密码,以及高级设置中的端口配置和安全连接选项。最后,文章提供了配置完成后的测试方法,确保账户设置正确无误。
电子邮件安全配置 网络安全协议 网络账号管理 系统配置指南 安全最佳实践
0xc 【已有检测工具】Windows RDL存在远程代码执行漏洞(CVE-2024-38077)
安恒信息CERT 2024-08-09T18:40:30
本文介绍了Windows远程桌面授权服务(RDL)中的一个严重远程代码执行漏洞(CVE-2024-38077)。该漏洞由堆溢出问题引起,攻击者可以通过构造特定输入来触发漏洞,无需用户交互即可完全控制受影响的服务器。漏洞影响多个Windows服务器版本,包括Windows Server 2008至2022年发布的版本。微软已发布补丁修复此漏洞,建议用户及时更新系统。此外,文章还提供了获取补丁的方法和临时缓解措施,如禁用未使用的远程桌面授权服务。安恒CERT将该漏洞评级为1级,CVSS3.1评分为9.8,表明其危害性极高。
远程桌面漏洞 Windows系统安全 代码执行漏洞 堆溢出 高危漏洞 补丁修复 系统更新 安全防护
0xd Windows 远程桌面授权服务存在远程代码执行漏洞分析(MadLicense)
墨菲安全实验室 2024-08-09T16:25:58 © 墨菲安全实验室
受影响版本的 Windows 远程桌面许可服务中CDataCoding::DecodeData函数用于管理连接到服务器的Terminal Services CALs,存在堆溢出漏洞
0xe 物理入侵-BadUSB
网络安全直通车 2024-08-09T14:44:29 David
BadUSB是一种通过重写U盘固件伪装成USB输入设备,用于恶意用途的USB设备。这种设备可以绕过杀毒软件的防御,对办公机器造成安全隐患。文章强调了在办公环境中,特别是对研发、财务等敏感区域,应采取管理和技术措施限制移动存储设备的使用,并定期检查。此外,建议使用终端安全软件的U盘管控和封堵功能,以及对个人安全意识的加强,避免在电脑上使用来源不明的USB设备,如小台灯、数据线等,以防止主机失陷。
硬件安全 社会工程学 数据泄露 企业安全策略 终端保护 个人网络安全意识
0xf 朔源小技巧—github查邮箱
Joker One Security 2024-08-09T14:30:58 ©
本文介绍了一种通过GitHub查找用户注册邮箱的技术方法。作者指出,此方法仅适用于技术讨论和学习,并强调使用者本人应对利用此信息造成的任何后果负责。具体操作步骤包括进入GitHub项目页面,点击commits查看详细文档,复制其中某个commit的URL,并在末尾添加.patch后缀,从而获取用户的注册邮箱号。此技巧为网络安全学习者和研究者提供了一种了解潜在威胁来源的途径,但需注意其合法性和道德性。
0x10 【玄机】第一章 应急响应-Linux日志分析
momo安全 2024-08-09T14:21:58 © 蟑螂恶霸
文章《【玄机】第一章 应急响应-Linux日志分析》主要讲述了Linux环境下日志文件的位置及常用文本处理命令的使用,旨在帮助读者理解如何通过分析日志来应对安全事件。文中列举了不同服务的日志路径,例如Apache、Nginx、MySQL等,并介绍了几个重要的Linux命令如cat、grep、awk、sort和uniq的作用与用法,这些命令可用于查看、搜索、处理和排序文本文件内容。针对一个假设的安全问题场景,文章提供了五个具体的问题解答指南:首先确定有多少IP地址尝试爆破SSH root账号,这需要检查/var/log下的secure或auth.log文件,通过特定命令组合统计出尝试爆破的IP地址;其次识别哪些IP成功登录,关注日志中的Accepted关键字;再者探讨了爆破所使用的用户名字典,通过解析日志中Failed password条目获得;还计算了成功登录IP的爆破次数;最后指出黑客可能创建的新用户,通过查找new user记录。这些问题的回答都依赖于对系统日志的深入理解和有效利用命令行工具进行数据挖掘。
网络安全日志分析 Linux系统安全 入侵检测 应急响应 文本处理工具 SSH安全
0x11 下一个“永恒之蓝”?“狂躁许可”利用脚本已公开!
天翁安全 2024-08-09T11:29:18 © a1batr0ss
本文报道了Windows平台一个严重的安全漏洞CVE-2024-38077,该漏洞允许远程零点击或认证前执行远程代码,被研究者命名为“狂躁许可”。这是自2017年“永恒之蓝”漏洞以来,近十年来Windows平台罕见的远程代码执行漏洞。该漏洞影响所有开启Windows Remote Desktop Licensing(RDL)服务的Windows服务器,版本从Windows Server 2000到Windows Server 2025。文章提醒用户采取应急措施,包括打上微软最新发布的补丁、关闭RDL服务和远程桌面连接端口,并警告用户警惕可能的钓鱼攻击。同时,文章提供了获取漏洞利用工具的途径,包括通过公众号后台回复获取或通过GitHub和百度云链接下载。
漏洞分析 Windows安全 远程代码执行 应急响应 钓鱼攻击预防 安全漏洞
0x12 【漏洞预警】Windows又一核弹级漏洞CVE-2024-38077来袭!!
博智非攻研究院 2024-08-09T11:08:45 博智非攻研究院
2024年8月9日,国外网站公开了微软Windows操作系统又一个高危漏洞(CVE-2024-38077)的漏洞和POC,该漏洞CVSS评分高达9.8分。
0x13 【核弹级漏洞】微软RDL服务极危远程代码执行漏洞(CVE-2024-38077)
Z0安全 2024-08-09T11:07:54 Z0安全
免责声明:请勿利用文章内的相关技术从事非法测试。
漏洞公告 远程代码执行 缓冲区溢出 安全更新 PoC Windows Server 安全建议
0x14 CTF刷题-奇怪的杂项-反编译隐写
泷羽Sec-静安 2024-08-09T00:00:50 ©
本文探讨了CTF(Capture The Flag)比赛中的杂项题目,通过分析一个看似无内容的Python编译文件,揭示了反编译技术在网络安全学习中的应用。文章首先介绍了如何通过反编译网站查看Python编译文件的代码,接着详细解读了代码中的Base58编码实现,以及如何使用Base58编码进行字符串的编码和解码。文章指出,该Python编译文件实际上是一种隐写,其中包含了flag信息。作者通过使用stegosaurus工具成功解密了隐写文件,并最终找到了flag。文章最后提供了一个flag的示例,并提示读者在PyC文件中寻找flag,同时强调了在网络安全学习中反编译和隐写分析的重要性。
逆向工程 隐写术 网络安全 加密技术 CTF(Capture The Flag)
0x15 阿里云托管第三方实例并远程登陆执行代码的方法
泷羽Sec-静安 2024-08-08T19:20:23 © Bugatti100Peagle
本文介绍了如何利用阿里云托管第三方实例并远程登陆执行代码的方法。首先,通过访问阿里云控制台中的云助手功能,创建注册码并设置IP限制和有效期。然后,根据靶机系统选择相应的安装脚本,将其复制到靶机上并执行。在靶机系统上创建一个安装文件,编辑并保存脚本内容。接下来,在云助手界面刷新,即可看到监管的靶机系统,并可以进行执行命令、远程连接和上传文件等操作。文章还提到了靶机agent的权限限制和安装文件夹的设置,以及Windows系统和挂代理出网访问的详细方法。最后,提供了一个参考链接,供读者进一步了解相关操作。
云安全 远程访问安全 代码执行安全 权限管理 脚本安全 安全漏洞
0x16 【风险通告】Kibana存在远程代码执行漏洞(CVE-2024-37287)
安恒信息CERT 2024-08-08T18:18:54
本文报道了Kibana存在一个严重的远程代码执行漏洞(CVE-2024-37287),该漏洞评级为1级,CVSS3.1评分为9.9,属于原型污染(Prototype Pollution)漏洞类型。该漏洞允许具有特定权限的攻击者执行任意代码,对Kibana的自管理和基于云的实例构成重大风险。漏洞影响Kibana 7.x < 7.17.23和Kibana 8.x < 8.14.2版本。官方已发布修复方案,建议用户尽快更新至安全版本以避免潜在的安全威胁。
远程代码执行 原型污染 Kibana Elasticsearch 安全漏洞 紧急修复 版本更新 网络安全
0x17 亿赛通NoticeConfigAjax接口存在SQL注入漏洞
CH1N安全 2024-08-08T12:34:07 CH1N
亿赛通NoticeAjax接口存在任意文件上传漏洞,攻击者通过漏洞可以上传任意文件到服务器中,获取主机权限。
0x18 亿赛通NoticeAjax接口存在SQL注入漏洞
CH1N安全 2024-08-08T12:34:07 CH1N
亿赛通NoticeAjax接口存在任意文件上传漏洞,攻击者通过漏洞可以上传任意文件到服务器中,获取主机权限。
0x19 渗透测试实战-HFS远程RCE漏洞利用
网安日记本 2024-08-08T09:40:10 © haosha
渗透测试实战-HFS远程RCE漏洞利用
0x1a HTB之Resource(user部分)
羽泪云小栈 2024-08-07T18:46:40 © 羽泪云小栈
Season6+HTB之Resource+本地文件包含+敏感信息泄露(zipgrep)+CA签名登录
0x1b 【涨知识】海莲花活跃木马KSRAT加密通信分析
北京观成科技 2024-08-07T16:25:03 © hmj
海莲花组织自2023年8月以来,利用KSRAT远控木马对我国发起多次攻击。KSRAT通过HTTP协议与C&C服务器通信,采用不同的URL和加密策略,包括XOR算法和XOR+AES-128-CBC组合。心跳包填充随机数据以变化载荷长度,但特征显著。样本执行后,内存中解密shellcode和dll文件,与服务器通信。控制指令包和数据回传包加密方式不同,攻击者可下发多种指令。尽管KSRAT通信方式独特,但心跳包的XOR密钥和数据结构未变,可通过特征值检测。观成瞰云(ENS)系统能有效检出KSRAT。
APT攻击 远程控制木马 加密通信 XOR加密 AES加密 恶意软件检测 编程语言分析 流量分析 网络威胁监测
0x1c 网络钓鱼攻击:看不见的鱼钩,如何防范?
河南信安世纪 2024-08-06T18:41:03
一、什么是钓鱼攻击?钓鱼攻击主要基于社会工程学原理,利用人的心理弱点和信任,通过欺骗手段获取受害者的敏感信息或诱导其执行有害操作。
0x1d MySQL的模糊查询在渗透测试当中的实际应用(其一)
Spade sec 2024-08-06T15:00:10 © 0xsdeo
0x00 前言前两期文章在发布以后,陆续又有很多朋友关注本公众号,在这里向大家表示感谢。
0x1e 【实战攻防】通过简单的越权获得不敏感数据后的深入利用
momo安全 2024-08-06T10:15:28 © 蟑螂恶霸
本文记录了一次网络安全实战攻防案例,描述了攻击者通过简单的越权漏洞获取不敏感数据后,如何深入利用这些数据。案例中,攻击者发现了一个存在遍历越权问题的接口,可以遍历全平台用户数据,虽然这些数据不敏感,但攻击者通过分析接口文档,发现可以利用这些数据创建鉴权参数,进而以任意用户权限创建订单。此外,攻击者还通过手机号爆破成功修改了管理员密码,进一步获取了管理员权限。整个案例揭示了越权漏洞的危害性,以及攻击者如何利用这些漏洞进行深入攻击。
越权漏洞 接口安全 数据泄露 实战攻防 脚本攻击 密码爆破 身份验证安全
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
