2023年 第33周 微信公众号精选安全技术文章总览
洞见网安 2023-8-14
0x1 用友GRP-U8存在信息泄露
Devil安全 2023-08-20T09:20:20
该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载
0x2 系统调用过程
我真不会渗透 2023-08-20T02:33:13 © rkabyss
本文详细分析了在不同操作系统(x86 OS和x64 OS)下,执行不同位宽程序(x86exe和x64exe)的系统调用过程。通过一个示例程序,展示了OpenProcess函数的调用流程,包括在用户态和内核态之间的跳转。文章指出,系统调用可能通过int 2E、sysenter、syscall三种方式进入内核,并介绍了系统服务号在SSDT中的作用。在x86 OS上运行x86exe程序时,调用链经过kernel32.dll、kernelbase.dll到ntdll.dll,最终通过sysenter进入内核。在x64 OS上运行x86exe程序时,会通过Wow64Transition进行模拟的32位环境转发。而在x64 OS上运行x64exe程序时,会尝试使用syscall,如果不可用则回退到int 2E方式。文章为网络安全学习者提供了深入理解系统调用机制的详细分析。
系统调用 API安全 调试技术 操作系统兼容性 内核态与用户态交互 软件漏洞利用
0x3 读取本机RDP的内外网登录记录
Khan安全团队 2023-08-20T00:01:02 Heart-Sky
本文介绍了一种使用C#技术读取本机RDP(远程桌面协议)内外网登录记录的方法。该技术旨在内网渗透过程中,帮助获取更多可通内网网段信息以及定位运维管理人员的主机。文章详细解释了对外RDP连接记录的存储位置和读取方式,指出这些记录保存在注册表的特定路径下,并且需要相应的权限才能读取。对于对内RDP连接记录,则说明了它们存储在Windows事件日志中,并提供了通过事件ID筛选登录成功和失败事件的方法。最后,文章列举了这种技术在内网渗透中的应用场景,包括获取可通网段信息和定位关键主机项目地址。
Windows系统安全 注册表分析 事件日志分析 权限要求 内网渗透 RDP安全
0x4 shell脚本实现GrayLog配置的定期备份
WalkingCloud 2023-08-20T00:00:29 ©
本文介绍了如何使用shell脚本实现GrayLog配置的定期备份。文章首先阐述了备份GrayLog配置的需求,并指出GrayLog的配置存储在MongoDB数据库中,因此备份MongoDB数据库即可。文章详细描述了实现备份的步骤,包括使用mongodump命令进行数据库备份、压缩备份文件、通过SCP免密上传到NAS进行存储,并结合钉钉机器人发送通知。此外,文章还提供了备份脚本的示例代码,并解释了脚本中各个变量的作用。最后,文章演示了如何使用备份文件进行恢复,并提供了结合crontab进行每天定时备份的示例。
数据库安全 脚本安全 自动化运维 备份策略 日志管理 SSH安全
0x5 红雨滴云沙箱:盗用“正版软件检查”之名的恶意样本分析
奇安信威胁情报中心 2023-08-19T21:19:03 © 红雨滴团队
本文分析了奇安信威胁情报中心通过红雨滴云沙箱捕获的恶意样本,揭示了攻击者利用“正版软件检查工具客户端V2.3.exe”等伪装文件诱骗受害者运行木马程序的手段。文章详细描述了恶意样本的捕获过程、样本特征、分析方法和最终发现的行为模式。红雨滴云沙箱作为分析工具,展示了其如何识别可疑文件、分析网络行为,并最终揭示了攻击者可能使用开源工具捆绑文件进行攻击的事实。同时,文章还提到了红雨滴云沙箱的技术特点、集成情况和在威胁情报领域的应用价值。
0x6 惊艳!Linux 中迷人的 Shell 脚本工具
LemonSec 2023-08-19T20:38:59
本文详细介绍了Linux中的Shell脚本工具,首先解释了Shell脚本的基本概念和作用,以及常见的Unix/Linux shell环境。接着,文章重点介绍了Gum工具,这是一个预打包了即用型和高度可配置的实用程序,帮助用户通过几行代码创建实用的Shell脚本和点文件别名。文章详细说明了如何在不同的Linux发行版上安装Gum,包括使用Homebrew、Debian/Ubuntu和Arch/Manjaro等。随后,文章展示了Gum的基本用法,如选择、输入、筛选、确认和显示spinner等操作。最后,文章提供了一个简单的Shell脚本示例,并说明了如何使脚本可执行和运行。
Linux安全 Shell脚本安全 安全工具 脚本编写 渗透测试
0x7 通过GraphQL API把XSS存储到Account Takeover (ATO)
嘶吼专业版 2023-08-19T12:00:08 xiaohui
去年年底,研究人员在HackerOne平台上发现了一个严重的安全漏洞,该漏洞允许攻击者通过XSS攻击接管受害者的账户。该漏洞与HackerOne的支付处理API有关,攻击者能够通过提交包含XSS有效负载的确认URL来利用这个漏洞。攻击者通过GraphQL API在不同的域名上提交请求,然后在主网站上看到一个唯一的静态URL,其中包含他们的有效负载。研究人员尝试了多种方法来绕过限制,包括编码和修改JavaScript代码,最终成功构建了一个自动接管账户的有效负载。然而,由于CSP的限制和重定向行为,攻击过程变得复杂。最终,研究人员通过控制重定向和利用特定的JavaScript构造函数,成功实现了攻击。这个案例展示了高级XSS攻击的复杂性,以及如何绕过安全措施来执行高级攻击。
XSS攻击 漏洞发现 支付系统安全 GraphQL API安全 CSP绕过 跨站请求伪造(CSRF) 安全研究 HackerOne平台
0x8 【安全漏洞】WinRAR 代码执行漏洞 (CVE-2023-40477)
安全漏洞 2023-08-19T11:50:27
摘要应概括全文主要内容,用语简洁、准确、客观,不加解释、评价,字数应控制在300字之内。自然科学类按目的(即要解决的问题)、方法(介绍研究途径、采用的手段、模型、试验)、结果、结论(是从论文中摘录出来的,论文中没有提及的信息不应包含在内)。摘要的文字切莫冗繁拖沓,直抒胸臆即可,千万不能为了凑字数而降低整篇文章的层次。一般学术期刊小论文和本科毕业论文的摘要字数控制在300字以内,硕士和博士的毕业论文摘要控制在1000字以内。
漏洞分析 软件安全 代码执行漏洞 缓冲区溢出 安全更新 远程攻击 漏洞利用 CVE
0x9 一些C2的隐藏方法记录
赛博之眼CyberEye 2023-08-19T08:09:00 © SecPlus
本文记录了几种隐藏C2(网络攻击者用于远程控制受感染计算机的基础架构)的方法。首先,介绍了使用CDN隐藏C2的方法,包括注册免费域名、使用免费CDN服务、设置DNS解析和缓存,以及配置Cobalt Strike监听器。其次,介绍了域前置技术,通过请求高可信域名但使用自定义Host头来实现C2的隐藏。最后,介绍了使用重定向机器隐藏C2的方法,通过将受害者流量重定向到高信誉域名来隐藏真实C2服务器。这些方法利用了CDN和域名解析的技术特点,使得C2服务器更难以被检测和追踪。
0xa vpn_rce工具投毒事件分析
Khan安全团队 2023-08-19T00:23:53 遥遥
本文分析了近期网络安全领域发生的一起VPN工具投毒事件。事件中,攻击者利用GitHub平台上传了一个名为xaq-vpn-pwn的工具,该工具于2023年8月15日上传,并托管在IP地址为108.61.89.77的服务器上。该工具使用Java编写,并包含一个未签名的jar文件。分析发现,恶意代码隐藏在pwnAction.class文件中,其中包含Shellcode代码,用于执行远程连接。尽管微步查杀将该样本判定为恶意,但由于样本的免杀特性,检测引擎未能识别。样本的免杀能力主要归因于增加了参数,使得无参执行不会触发外联行为,以及Java编译器底层smali代码的混淆特性。
漏洞分析 恶意软件分析 Java安全 钓鱼攻击 网络安全事件 沙箱逃逸 代码审计
0xb sqlmap新玩法-新增目录扫描及hash爆破
LemonSec 2023-08-18T23:08:02
本文介绍了SQLMap的新功能——SQLMate,这是一款基于SQLMap的工具,旨在增强SQL注入测试的能力。SQLMate增加了目录扫描和哈希破解功能,可以帮助安全研究员更有效地寻找和管理易受攻击的网站。它能够快速查找常见的管理面板位置,并提供多种选项进行哈希破解,包括MD5、SHA1和SHA 2。文章详细描述了SQLMate的使用方法,包括如何下载、安装和运行,以及如何使用不同的命令行选项进行目标扫描和管理面板的查找。此外,还提供了一些示例命令,展示了SQLMate在实际操作中的应用。
SQL注入攻击 安全工具 哈希破解 目录扫描 管理面板发现 安全漏洞利用 渗透测试
0xc 实战|一次不一样的逻辑漏洞的挖掘
LemonSec 2023-08-18T23:08:02
本文分享了一次独特的逻辑漏洞挖掘过程。作者从预约系统的越权可能性入手,通过抓包分析发现预约信息和删除预约按钮的参数都进行了加密处理。尽管对加密算法不熟悉,作者通过替换预约信息中的id参数成功越权查看他人预约信息。随后,作者发现提交预约信息后可以进行修改,而在修改过程中,修改处的参数是不加密的。通过修改appid参数,作者成功将加密参数替换为id参数,实现了越权查看他人预约信息。最后,作者通过编写脚本批量遍历加密字典,成功遍历id参数,完成了越权操作。整个过程揭示了在网络安全中,逻辑漏洞的挖掘往往需要耐心和细致的观察。
逻辑漏洞挖掘 加密处理分析 越权访问 安全测试方法 网络安全实战 漏洞利用 脚本编写 编码转换工具
0xd 红雨滴云沙箱:“七夕活动”陷阱,层层伪装的攻击样本分析
奇安信威胁情报中心 2023-08-18T20:40:15 © 红雨滴团队
本文详细分析了红雨滴云沙箱捕获的多个以“七夕活动”为诱饵的恶意样本。攻击者利用七夕节的热门话题,将恶意程序伪装成文档文件,通过红雨滴云沙箱分析发现,这些样本使用多种手段检测运行环境,包括检查时区、连接特定域名、检查文件路径和主机名等。一旦检测到沙箱环境,样本会向华为域名发送请求以伪装合法程序。成功通过检测后,样本从阿里云服务下载后续载荷,并注入到wordpad.exe进程中执行。红雨滴云沙箱提供了详尽的分析报告,帮助安全研究人员识别和防御此类攻击。
恶意软件分析 APT攻击 沙箱技术 威胁情报 网络钓鱼 恶意域名 沙箱检测手段 恶意行为检测
0xe 每周高级威胁情报解读(2023.08.10~08.17)
奇安信威胁情报中心 2023-08-18T20:40:15 © 威胁情报中心
近期网络安全领域发生了一系列重要事件。攻击团伙Storm-0978利用CVE-2023-36884漏洞部署Underground勒索软件,APT-C-35(肚脑虫)组织在移动端采用新的投递方式,疑似APT29组织使用德国大使馆外交内容作为诱饵传播恶意PDF文件。国内航空航天领域面临APT组织CNC窃密攻击风险。MoustachedBouncer针对白俄罗斯外交官的间谍活动,Boat僵尸网络家族针对能源公司发动利用二维码的大型网络钓鱼活动。KmsdBot僵尸网络瞄准物联网领域,隐藏在Python包索引中的OSS供应链攻击者通过Telegram和Discord平台销售QwixxRAT。针对npm开发者的供应链攻击活动,未知攻击者使用DroxiDat和Cobalt Strike攻击南非电力公司。银狐木马技术分析,Raccoon Stealer恶意软件带着新版本回归,Monti勒索软件为Linux推出新加密器。针对攻击队成员的Github工具携带恶意代码,LummaC窃取者利用Amadey Bot部署SectopRAT,大量Mac设备被AdLoad感染为代理服务器节点。JanelaRAT作为BX Rat变种,瞄准拉丁美洲金融科技。对新LOKLEK样本和不断发展的策略进行深入分析。Smartbi Token回调地址漏洞安全风险通告。
勒索软件 APT攻击 移动端攻击 网络钓鱼 物联网攻击 供应链攻击 间谍活动 僵尸网络 恶意软件分析 漏洞利用 安全风险通告 恶意代码 安全工具 Mac攻击 区域攻击
0xf 社会工程学密码生成器,是一个利用个人信息生成密码的工具
摸鱼网安人 2023-08-18T17:57:50 upzhu
本文介绍了一个名为“社会工程学密码生成器”的工具,该工具基于个人信息生成密码,灵感来源于亦思社会工程学字典生成器。由于原软件多年未更新且密码生成量有限,作者重新设计并开源了这款工具。该工具完全使用原生JavaScript实现,不访问任何外部资源,并鼓励用户下载index.html文件在浏览器中打开进行测试。文章提醒读者不要利用文章中的技术进行非法测试,并声明未经授权严禁转载。此外,文章还提到了一些相关的网络安全工具和资源,包括毒液爬行器、团队小老弟的内网打靶记录、云环境利用框架等,并提供了相关下载链接和交流群二维码。
社会工程学 密码学 网络安全工具 开源软件 JavaScript 信息泄露 安全意识
0x10 全球各地的工业PLC受到CODESYS V3 RCE漏洞的影响
嘶吼专业版 2023-08-18T14:09:01 布加迪
全球数百万工业PLC因CODESYS V3 SDK中的15个漏洞面临风险,这些漏洞可能导致远程代码执行(RCE)和拒绝服务(DoS)攻击。这些PLC由全球500多家设备制造商使用,根据IEC 61131-3标准编程,广泛应用于工业自动化。微软研究人员发现这些漏洞,并已向CODESYS报告。CODESYS已于2023年4月发布安全更新。其中12个漏洞是缓冲区溢出,主要影响SDK的标记解码机制。虽然这些漏洞需要身份验证,但存在绕过认证的方法。受影响的PLC型号众多,包括CODESYS Control系列和CODESYS Development System V3等。微软建议升级至最新版本,并断开PLC与互联网的连接以降低风险。
工业控制系统安全 CVE漏洞 远程代码执行(RCE) 拒绝服务(DoS) 缓冲区溢出 软件开发工具包(SDK) 安全更新 安全意识提升 工业网络攻击
0x11 金某云某空任意文件读取漏洞(附exp)
深白网安 2023-08-18T11:07:29
“ 人性的背后是白云苍狗,愿你我都是生活的高手。”声明:文章中涉及的所有内容,仅供安全研究与教学之用,读
0x12 Matrix SEC每日安全简报(2023.08.18)
Matrix SEC 2023-08-18T11:05:40 Matrix SEC
Matrix SEC每日安全简报(2023.08.18)
恶意软件 数据泄露 源代码泄露 漏洞 安全研究 网络钓鱼 勒索软件 安全事件 技术支持诈骗 认证过程
0x13 [工具分享] [LECmd]一款LNK文件分析工具
Matrix SEC 2023-08-18T11:05:40
请勿使用本文中所提供的任何技术信息或代码工具进行非法测试和违法行为。若使用者利用本文中技术信息或代码工具对任何计算机系统造成的任何直接或者间接的后果及损失,均由使用者本人负责。
0x14 2023 HW漏洞情报 DAY9 08.17
Matrix SEC 2023-08-18T11:05:40 Matrix SEC
本文汇总了2023年HW漏洞情报DAY9的多个网络安全漏洞信息。涉及多个系统和产品,包括百卓Smart S85F的SQL注入漏洞,华天动力OA8000的任意文件读取漏洞,TP-LINK TL-WR940N的命令执行漏洞(CVE-2023-33538),泛微OA的uploadify.php代码执行漏洞,致远OA的任意文件读取漏洞,时空智友企业流程化管控系统的login文件读取漏洞,禅道18.0~18.3版本的backstage命令注入漏洞,以及华测监测预警系统的任意文件读取漏洞和数据库泄露漏洞。这些漏洞可能被利用来进行非法数据访问、系统控制或信息泄露,对企业和个人用户构成安全威胁。
0x15 应急响应(一)-- Linux应急排查
赛博之眼CyberEye 2023-08-18T09:55:24 © SecPlus
HW后期了。准备点应急技能防身了
0x16 发现未被察觉的攻击方法:NoFilter滥用Windows Filtering Platform
知机安全 2023-08-18T09:46:10 THN
最近,研究人员发现了一种名为\x26quot;NoFilter\x26quot;的新攻击方法,它滥用Windows Filtering Platform来实现特权提升。
Privilege Escalation Windows Filtering Platform (WFP) Abuse Token Manipulation Kernel-Level Exploitation Stealth Techniques NoFilter Attack Method
0x17 一次大规模的攻击活动向40万台Windows系统发送了一个代理服务器应用程序。
黑猫安全 2023-08-18T09:39:13 博士
AT&T Alien Labs的研究人员揭露了一次影响至少40万台Windows系统的大规模攻击活动,攻击者通过传播一个经过签名的代理服务器应用程序来实现。这个应用程序利用Go编程语言编写,能够感染包括macOS和Windows在内的操作系统。研究发现,该代理程序被隐藏在破解软件和游戏中,安装过程无需用户互动。恶意软件通过Inno Setup静默安装代理程序,并创建注册表键和计划任务以保持持久性。代理程序收集机器信息,以确保性能和响应能力。此次攻击背后的公司通过提供代理服务来盈利,而代理程序的秘密安装则用于未经授权的经济收益。报告还强调了面对网络威胁时保持警惕和适应性的重要性。
恶意软件传播 代理服务滥用 系统入侵 持久化攻击 信息收集 隐藏技术 网络犯罪盈利模式 威胁指标(IOCs)
0x18 从攻击者的角度针对性防御
捷润MWH攻防团队 2023-08-18T08:28:07 © 王半仙
攻防演练中,防守方如何应对红队不同维度的进攻渗透,企业资产信息繁多/信息系统维护不全/防
0x19 最易受攻击的五大开源组件!这些组件你用了吗?
安势信息 2023-08-17T18:04:56 安势信息
本文带来了亚洲地区最易受攻击的五大开源组件的详细描述及攻击机制,并提供了相关的修复建议。
0x1a 二维码网络钓鱼: 如何识别和防范这种新型威胁
知机安全 2023-08-17T10:04:52 Bill Toulas
文章详细摘要:近期,一项针对美国知名能源公司的网络钓鱼活动引起了关注,活动中使用了二维码作为新的攻击手段。据Cofense报告,此次活动约有三分之一的钓鱼邮件针对一家美国大型能源公司,其余则分布在制造业、保险业、技术行业和金融服务行业。攻击者通过发送声称需要更新Microsoft 365账户设置的钓鱼邮件,并附上含有二维码的附件,诱使收件人扫描以验证账户。二维码被用来绕过电子邮件安全工具的检测,并将受害者重定向到伪装的登录页面。此次活动中,攻击者还利用了Bing、Salesforce和Cloudflare的Web3服务进行重定向,以及使用base64编码隐藏重定向URL。虽然二维码在绕过保护措施方面效果显著,但受害者需主动扫描才能受攻击,且现代智能手机的二维码扫描器通常会在启动浏览器前要求验证URL,这为防范提供了一定程度的保护。Cofense建议,除了对员工进行培训外,组织还应使用图像识别工具作为钓鱼保护措施的一部分。
0x1b writeup:易受攻击的安卓WebView程序
一盅清茶 2023-08-17T09:29:53 ©
WebView是Android类的扩展,允许将网页显示在Activity页面布局中,但是没有所有的Web浏览器的功能,如导航栏或者地址栏。默认只显示一个网页。
0x1c CVE-2023-38408(OpenSSH-ssh-agent 远程代码执行)漏洞复现
赛博之眼CyberEye 2023-08-16T19:55:15 © SecPlus
SSH-Agent 是 SSH 的一部分,它是一个用于管理私钥并支持公钥身份验证的程序。用户使用 SSH-Agent 转发代理功能连接攻击者恶意服务器时,攻击者实现远程代码执行。
0x1d Azure云服务用户提示‼️ 多用户被黑客入侵
企业网络信息安全 2023-08-16T18:10:34
Azure云服务用户提示‼️最近遇到2个客户账号被入侵,大批量创建高性能虚拟机,一天产生了几十万费用的问题,在....云服务器被入侵,与程序存在漏洞,软件或密码等级较低、信息泄密...
0x1e 0Day CVE-2023-26616:某路由器缓冲区溢出漏洞分析
安帝Andisec 2023-08-16T12:00:35 CSX安全实验室
本文详细分析了编号为CVE-2023-26616的某路由器缓冲区溢出漏洞。漏洞等级为9.8高危,目前状态已公开。通过使用路由器模拟器,验证了漏洞的存在,并观察到运行PoC后浏览器崩溃的现象。分析发现,漏洞源于web程序使用了不安全的strncpy函数,未对输入字符串大小进行检查,导致可以向固定大小的局部数组写入超出其容量的数据。进一步分析揭示了攻击者如何通过控制特定URL元素触发漏洞。目前厂商尚未发布修复措施,建议用户关注厂商安全公告以获取最新信息。文章由北京安帝科技有限公司提供,强调了工业网络安全的重要性。
缓冲区溢出 高危漏洞 路由器安全 漏洞分析 CVE 0Day漏洞 安全建议
0x1f pyLoad远程代码执行漏洞(CVE-2023-0297)复现以及原理流量特征分析
深白网安 2023-08-16T11:27:07 © 深白网安
“ 人性的背后是白云苍狗,愿你我都是生活的高手。”声明:文章中涉及的所有内容,仅供安全研究与教学之用,读者
0x20 2023 HW漏洞情报 DAY7 08.15
Matrix SEC 2023-08-16T11:00:50 Matrix SEC
2023 HW漏洞情报 DAY7 08.15
0x21 逃避检测的钓鱼活动滥用Cloudflare R2和Turnstile窃取云凭据
知机安全 2023-08-16T09:53:04 THN
近年来,网络安全威胁行为者开始滥用Cloudflare R2和Turnstile服务来托管和隐藏钓鱼页面,以此来窃取用户的云服务凭据。据Netskope安全研究员Jan Michael透露,过去六个月里,使用Cloudflare R2托管钓鱼页面的恶意活动增加了61倍,主要目标是微软的登录凭据。Cloudflare R2是一种云端数据存储服务,与Amazon Web Service S3、Google Cloud Storage和Azure Blob Storage类似。恶意行为者不仅使用Cloudflare R2分发静态钓鱼页面,还利用Turnstile服务,这是一种CAPTCHA替代方案,将钓鱼页面置于反机器人屏障之后,以逃避检测。此外,恶意网站还采用特定条件加载内容,以进一步躲避扫描器的检测。这种行为使得传统的在线扫描器如urlscan.io无法访问实际的钓鱼网站。如果没有正确传递URL参数,访问者会被重定向到Google。此前,该公司还发现了一起钓鱼活动,该活动使用AWS Amplify托管虚假登录页面,并通过Telegram的Bot API窃取用户的银行和Microsoft 365凭据以及卡支付详情。这些案例表明,网络犯罪分子不断寻找新的方法来规避安全措施,窃取用户的敏感信息。
钓鱼攻击 滥用云服务 反机器人机制规避 恶意软件下载 凭据窃取
0x22 Monti勒索软件团伙推出了一款新的Linux加密机
黑猫安全 2023-08-16T09:30:43 博士
蒙蒂勒索软件团伙在休息两个月后回归,推出了新的Linux加密器,主要针对政府和法律部门。新变种与旧版本及Conti勒索软件有相似之处,但采用了不同的加密器,并添加了新行为。新变种使用AES-256-CTR加密,加密过程依赖于文件大小,并引入“-whitelist”参数避免加密虚拟机。勒索软件在加密后会添加“MONTI”标记,并对不同大小的文件采取不同的加密策略。研究人员认为,蒙蒂团伙可能仍基于Conti源代码,但进行了重大更改以增强逃避检测的能力。
勒索软件 Linux安全 加密技术 网络攻击 恶意软件分析 代码篡改 Conti勒索软件
0x23 正在进行的叙鲁姆攻击目标是Magento 2家电子商店
黑猫安全 2023-08-16T09:30:43 博士
Akamai的研究人员发现了一项名为Xurum的持续性攻击活动,主要针对运行Magento 2内容管理系统的电子商务网站。攻击者利用了被标记为CVE-2022-24086的安全漏洞(CVSS评分9.8),此漏洞存在于Adobe Commerce和Magento Open Source中。Xurum攻击至少从2023年1月开始活跃,其目的是获取目标商店内最近10天的订单支付信息,并在某些情况下部署软件窃取器来收集信用卡数据。研究表明,这可能由俄罗斯的威胁行为者发起,尽管相关服务器位于荷兰。攻击过程包括两个阶段的有效载荷:首先通过file_get_contents函数探测易受攻击的服务器,随后下载并执行第二阶段的PHP恶意代码,这些代码经过Base64编码以逃避检测。此外,攻击者注册了一个伪装成'GoogleShoppingAds'的新Magento组件作为后门,使用高级Webshell 'wso-ng'控制受害系统,并创建虚假管理员账户进一步扩大访问权限。值得注意的是,研究还发现了公开于xurum.com上的Dirty COW(CVE-2016-5195)利用工具。整个攻击行动显示了对手对Magento平台的深入了解及精心策划。
服务器端模板注入 电子商务安全 信用卡信息窃取 网络钓鱼 Webshell 后门程序 漏洞利用 高级持续性威胁(APT)
0x24 铭说|针对新型恶意软件Redis P2Pinfect的发现与研究分析
聚铭网络 2023-08-15T16:39:54
近期,研究人员发现了一种名为“P2Pinfect”的新型恶意软件,针对Redis数据存储系统。该恶意软件由Rust编写,具有跨平台兼容性,主要功能是充当僵尸网络代理。它利用CVE-2022-0543漏洞进行传播,通过Redis的复制功能实现初始访问,加载恶意模块以获取反向shell。P2Pinfect使用多种规避技术,对Redis和SSH服务器进行扫描,并以蠕虫方式自我复制。其有效载荷使用Rust和C语言编写,具有复杂的持久性和通信机制,包括修改SSH配置、设置iptables规则和监控进程。僵尸网络通信采用HTTPS,使用硬编码证书。P2Pinfect可能会在大多数Linux主机上运行,不论云托管还是本地部署。
恶意软件分析 僵尸网络 漏洞利用 跨平台攻击 Rust编程语言 云安全 网络安全研究
0x25 [工具分享] [fuso]一款轻量化内网穿透和端口转发工具
Matrix SEC 2023-08-15T10:47:47
[工具分享] [fuso]一款轻量化内网穿透和端口转发工具
0x26 专家揭示QwixxRAT木马:隐藏在电子通讯平台的新威胁
知机安全 2023-08-15T09:56:27 THN
QwixxRAT是一种新的远程访问木马(RAT),通过Telegram和Discord平台销售。该木马秘密收集受害者Windows设备上的敏感数据,如浏览器历史记录、书签、Cookie、信用卡信息等,并将其发送给攻击者的Telegram机器人。QwixxRAT由网络安全公司Uptycs发现,具有反分析功能以避免检测,包括延迟执行和沙箱检测。它还能监视特定进程,并在检测到这些进程时停止活动。该RAT还具备剪贴板监听功能,可用于非法资金转移。通过Telegram机器人进行命令与控制,可以执行数据收集、音频和摄像头录制,甚至远程关闭或重启被感染主机。QwixxRAT提供每周150卢布的访问价格和500卢布的终身许可证,并有免费版本。此木马的发现紧随另外两种RAT变种RevolutionRAT和Venom Control RAT的披露,这些RAT也在Telegram上宣传。
0x27 网神 SecGate 3600 防火墙 obj_app_upfile上传漏洞
fly的渗透学习笔记 2023-08-15T08:54:36 joyboy
一、免责声明:本次文章仅限个人学习使用,如有非法用途均与作者无关,且行且珍惜;由于传播、利用本公众号所提供的
0x28 某我行CRM系统SQL注入漏洞-1day(附POC)
深白网安 2023-08-14T23:01:42
“ 人性的背后是白云苍狗,愿你我都是生活的高手。”声明:文章中涉及的所有内容,仅供安全研究与教学之用,读
0x29 【安全漏洞】Python URL 解析漏洞可导致命令执行攻击(CVE-2023-24329)
安全漏洞 2023-08-14T20:39:23
Python URL 解析函数中存在一个高危安全漏洞(CVE-2023-24329),该漏洞可能被利用来绕过通过拦截清单实现的域或协议过滤方法,导致任意文件读取和命令执行攻击。漏洞的CVSS评分为7.5,表明其具有中等严重性。CERT协调中心(CERT/CC)在公告中指出,当URL以空白字符开头时,urlparse的解析会出现问题,影响主机名和方案的解析,进而使拦截列表方法失效。安全研究员Yebo Cao在2022年8月报告了这一问题。该漏洞影响多个Python版本,但已在3.12及以上版本、3.11.x 3.11.4及以上版本、3.10.x 3.10.12及以上版本、3.9.x 3.9.17及以上版本、3.8.x 3.8.17及以上版本以及3.7.x 3.7.17及以上版本中得到修复。urllib.parse是一个广泛使用的函数,能够分解URL为其组成部分或将这些部分合并为一个URL字符串。该漏洞的存在表明了输入验证的重要性,以及在多种场景下可能助力服务器端请求伪造(SSRF)和远程代码执行(RCE)的风险。
0x2a 帝国CMS梅开二度代码审计(文件删除+重装写入)
零幺sec 2023-08-14T17:46:26
本文是关于帝国CMS v7.5版本的代码审计分析,作者针对该版本的文件删除和重装写入漏洞进行了深入研究。文章首先回顾了之前发布的低危文件删除漏洞,并指出常规审计思路已难以获得新的发现。作者通过敏感函数定位,发现fputs函数在写入配置文件时存在安全问题,进一步分析发现变量$data内容可控,可能导致任意内容写入config.php文件。通过跟踪Setup方法和RepEcmsConfig方法,作者确定了漏洞触发点。在漏洞复现部分,作者详细描述了如何利用文件删除漏洞来重装帝国CMS,并在重装过程中通过构造payload写入危险函数到config.php文件,最终实现代码执行。文章最后强调,该漏洞虽常见,但在此基础上的文件写入是一个新的发现,并已提交至CNVD漏洞平台。
代码审计 文件写入漏洞 文件删除漏洞 Web应用安全 CNVD漏洞平台
0x2b 新的Python URL解析缺陷可能引发命令执行攻击
黑猫安全 2023-08-14T10:07:07 博士
Python的URL解析函数urllib.parse中存在一个严重的安全漏洞,该漏洞被指定为CVE-2023-24329,CVSS评分为7.5。该漏洞允许攻击者通过提供以空格字符开头的URL来绕过使用黑名单实施的域名或协议过滤方法,可能导致任意文件读取和命令执行。CERT协调中心(CERT/CC)在警告中指出,当整个URL以空格字符开头时,urlparse存在解析问题,影响主机名和协议的解析,使得黑名单方法失效。安全研究人员Yebo Cao在2022年8月发现并报告了该问题。该漏洞已在Python的多个版本中得到修复,包括3.123.11.x、3.11.43.10.x、3.10.123.9.x、3.9.173.8.x、3.8.17和3.7.x版本。由于urllib.parse广泛用于将URL分解为各个组成部分或合并为URL字符串,缺乏输入验证导致该漏洞的产生。攻击者可以利用此漏洞绕过开发者对协议和主机设置的保护,预期在各种场景中帮助实现服务器端请求伪造(SSRF)和远程代码执行(RCE)。
漏洞利用 命令执行 URL解析 输入验证 安全更新 服务器端请求伪造(SSRF)
0x2c 危险的MaginotDNS攻击:剖析DNS缓存污染的攻击方法
知机安全 2023-08-14T09:53:54 Bill Toulas
加州大学尔湾分校和清华大学的研究团队开发了一种名为“MaginotDNS”的新型DNS缓存污染攻击方法,主要针对有条件DNS(CDNS)解析器,能够破坏整个顶级域名(TLDs)。攻击的实现依赖于不同DNS软件和服务器模式中安全检查的不一致性,这使得约三分之一的CDNS服务器容易受到攻击。研究人员在Black Hat 2023会议上展示了这种攻击,并已在软件层面解决了问题。DNS缓存污染是一种将伪造答案注入DNS解析器缓存,导致用户被引导到错误IP地址的攻击方法。MaginotDNS攻击通过攻击CDNS的转发模式,可以克服已有的防御措施。研究人员发现了包括BIND9、Knot Resolver、Microsoft DNS和Technitium在内的著名DNS软件中bailiwick检查的不一致性,并成功预测了攻击所需的源端口和事务ID。他们扫描了互联网上的DNS解析器,发现了易受攻击的CDNS服务器,相关软件供应商已确认并修复了这些缺陷。
DNS 安全 缓存污染 网络安全攻击 DNS 缓存保护 软件漏洞 网络入侵
0x2d 一文详解网络安全事件的防护与响应
恒御科技 2023-08-14T08:02:59
网络安全事件的发生,往往意味着一家企业的生产经营活动受到影响,甚至数据资产遭到泄露。日益复杂的威胁形势使现代
0x2e 详解 HTTP Host 头攻击
LemonSec 2023-08-14T00:01:12 angry_program
HTTP Host头攻击是一种利用HTTP请求中的Host头字段进行的网络安全攻击。该攻击主要利用服务器在处理多个域名或应用程序时,对Host头的校验不足,导致攻击者可以伪造Host头值,从而操纵服务器行为。HTTP Host头的作用是帮助服务器识别客户端要与之通信的后端组件,尤其是在虚拟主机和反向代理等场景中。攻击者通过修改Host头值,可能导致服务器将请求发送到错误的后端,或者执行恶意操作,如密码重置中毒、缓存投毒、绕过访问控制以及结合SSRF进行内网攻击。发掘该漏洞的方法包括修改Host值、添加重复Host头、使用绝对路径URL、注入覆盖Host头的字段等。防护措施包括避免在服务器端代码中完全使用Host头、正确配置绝对域名URL、白名单校验Host头的域以及不支持主机头覆盖。通过这些方法,可以有效防止Host头攻击,保障服务器安全。
HTTP_HOST 主机头攻击 Web安全 服务器配置 漏洞利用 密码重置中毒 缓存投毒 访问控制绕过 SSRF 安全防护 安全测试 CSP
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
