2024年 第34周 微信公众号精选安全技术文章总览
洞见网安 2024-8-26
0x1 b2697_[bagku] [MISC]_Where is flag Plus writeup
长弓三皮 2024-08-25T14:31:16 ©
[随波逐流]CTF编码工具:一站式编码解码解决方案,您的全能编码解码助手。
0x2 改写RingQ加载器实现规避安全厂商监控免杀
无夜安全 2024-08-25T12:55:14 ©
本文是一篇关于如何修改RingQ加载器源码以实现免杀的技术学习笔记。作者强调内容仅供学习参考,禁止用于违法用途。文章首先介绍了RingQ的基本信息和使用方法,然后指出由于RingQ开源,存在被安全厂商监控的问题。接着,详细说明了修改RingQ加载器源码的步骤,包括静态免杀和动态免杀两个方面。静态免杀涉及改写源码的静态特征和添加注释,而动态免杀则关注于修改shellcode的加载方式,作者使用了堆加载的方法。文章还提供了隐藏运行时弹窗的技巧,并说明了编译时的运行库选择。最终,作者测试了修改后的加载器体积和免杀效果,证实了其有效性,并表达了对生活目标的感慨。
免杀技术 源码修改 安全研究 RingQ加载器 shellcode加载 安全规避 软件体积优化
0x3 HTB之Lantern(root部分)
羽泪云小栈 2024-08-24T11:56:21 © 羽泪云小栈
赛季6HTB之Lantern+db文件BLOB数据查看
0x4 内网渗透利器,Cobal_Strike汉化使用指南
泷羽Sec 2024-08-24T07:45:44 ©
本文详细介绍了Cobalt Strike(CS)这一内网渗透工具的汉化使用指南。CS是一款功能强大的团队作战渗透测试工具,具有高度灵活的架构,支持客户端与服务端的多对多连接。文章首先概述了CS的基本功能和架构,然后逐步介绍了工具的基本使用方法,包括设置本地IP地址和密码、添加监听器、生成payload等。接着,文章详细讲解了如何在Windows和Linux系统上使用CS,包括如何通过HTTP服务或VMware的VMtools将文件传输到靶机。此外,文章还介绍了CS的web投递功能、上线后的操作、日志查看、插件使用、网站克隆以及视图功能。最后,文章简要提到了CS的更多高级功能和未来文章的推荐内容。
网络安全工具 渗透测试 内网渗透 C2服务器 远程控制 Windows系统 Linux系统 脚本编写 漏洞利用 日志分析 插件开发
0x5 Windows进程字符串检索工具
黑白之道 2024-08-24T07:41:09
本文介绍了一款基于Go语言开发的Windows进程字符串检索工具,由骁师傅投稿。该工具支持通过指定字符串或单个进程PID进行检索。不填写PID时,工具会遍历所有进程,并以表格形式输出pid、进程名和进程路径,结果保存至'Memory_search_result'文件。指定PID检索会打印出对应内存地址的字符部分,默认长度为50。使用场景包括追踪webshell中的攻击命令、检查mimikatz密码抓取行为等。工具可在服务器未重启的情况下,帮助安全研究者查看攻击者的历史操作记录。此外,工具可能也适用于定位内存马,但尚未测试。工具下载地址位于GitHub。文章提醒,相关技术仅供安全学习交流,禁止非法用途。
进程监控 内存检索 安全分析 恶意软件检测 应急响应 开源工具
0x6 甲方安全建设- 利用crowdsec做IPS初体验
中国白客联盟 2024-08-23T21:00:47 ©
甲方安全建设- 利用crowdsec做IPS初体验
0x7 每周高级威胁情报解读(2024.08.16~08.22)
奇安信威胁情报中心 2024-08-23T20:05:15 © 威胁情报中心
2024年8月,网络安全领域发生了多起重要事件。伊朗黑客组织TA453利用新型AnvilEcho恶意软件针对著名犹太人物进行攻击,旨在收集情报。奇安信发布了《网络安全威胁2024年中报告》,报告了APT攻击、勒索软件、互联网黑产和0day漏洞利用等威胁。BlindEagle组织针对拉丁美洲进行攻击,使用钓鱼邮件和远程访问木马。Sidewinder组织针对巴基斯坦进行网络钓鱼,使用IntelX和DSC等RAT工具。FIN7网络犯罪集团的新基础设施被发现,可能与Stark Industries有关。微软官方安全补丁导致大规模“蓝屏事件”,Windows 0day漏洞与朝鲜Lazarus APT组织有关。Rhysida勒索家族和MoonPeak木马病毒等恶意软件活动也被揭露。同时,针对Android和iPhone用户的新的网络钓鱼方法,以及Linux特马攻击和UULoader恶意软件的威胁也被报告。F5修补了BIG-IP和NGINX Plus中的高严重性漏洞。
APT攻击 网络钓鱼 恶意软件 勒索软件 漏洞利用 漏洞补丁 钓鱼攻击 移动设备攻击 恶意代码分析 安全报告 攻击团伙情报 地域攻击 基础设施攻击 云服务攻击 数据窃取
0x8 常规密码题-武功山杯CTF密码题复现
NUX战队 2024-08-23T19:27:45 秦子轩
本文详细分析了武功山杯CTF中的常规密码题。题目涉及到维吉尼亚密码和RSA加密的解密过程。首先,通过维吉尼亚密码的加密规则,对给定的base64编码的密文进行解密,得到RSA算法中的公钥参数。接着,使用RSA算法进行解密,解密过程中涉及到素数分解、欧拉函数的计算和模逆的计算。最终,通过RSA解密得到flag。文章中包含了维吉尼亚加密的实现代码、RSA解密的过程和相关的计算步骤,为网络安全学习者提供了实际操作的参考。
密码学 加密技术 网络安全 CTF竞赛 RSA 维吉尼亚密码 基密钥扩展 素数分解
0x9 苹果IOS 配置邮箱账号(IMAP协议)
mailabc 2024-08-23T19:03:18 © 小胡子大魔王
本文详细介绍了如何在苹果iOS设备上配置电子邮件账号,特别是针对IMAP协议的配置过程。文章以mailabc.cn邮箱为例,首先强调了在配置前需要确认的账号、密码以及邮件服务器地址等信息。对于不同类型的邮箱,如免费个人邮箱和企业邮箱,文章提供了相应的配置指南。文章还介绍了如何在iOS电子邮件APP中配置邮箱账号,包括选择协议、输入服务器地址和账号密码等步骤。此外,还提供了修改邮箱账户配置的方法,包括如何进入设置、选择账户进行修改以及如何调整收件服务器和发件服务器的配置。最后,文章简要推荐了其他相关配置文章和资源。
操作系统安全 邮件安全 客户端配置安全 安全协议 网络通信安全 用户授权与认证 安全配置指导
0xa [漏洞预警]IM某信内置浏览器 1 click RCE 灭火团队已复现
安全灭火器团队 2024-08-23T18:21:53 admin
本文报道了一个关于IM某信内置浏览器的安全漏洞,该漏洞允许攻击者通过诱导用户点击恶意链接来获取敏感信息或执行代码。该漏洞影响的是某信内置浏览器的Chrome/122.0.0.0版本,存在沙箱穿越漏洞,已被评级为高危,CVSS 3.1评分为8.0。目前受影响的版本包括某信3.9.11及以下版本。官方尚未发布安全更新,建议用户不要随意点击未知链接,并关注后续的安全更新。灭火安全团队已成功复现该漏洞,并建议用户尽快自查和防护。
0xb 域渗透-横向移动命令总结
编码安全研究 2024-08-23T15:13:50
0xc 一款快速等保核查、资产扫描工具
编码安全研究 2024-08-23T15:13:50
本文介绍了一款网络安全领域的工具,主要用于等保核查和资产扫描。工具具备多项功能,包括主机存活探测、漏洞扫描、子域名扫描、端口扫描等。它支持多种网络协议和服务,如SSH、RDP、FTP、MySQL等,并能识别300余种WEB组件。在弱口令和未授权访问方面,支持40余种类型。工具还具备多线程、指定端口、IP扫描、排除特定端口或主机、探测主机存活、打乱主机顺序等功能。对于WEB扫描,支持XSS扫描、漏洞扫描、目录泄露等。此外,工具还支持自动化测评,适用于多种操作系统。使用方式多样,可以通过命令行参数进行详细配置,以满足不同扫描需求。项目开源,可在GitHub上找到相关代码。
网络安全 漏洞扫描 主机安全 弱口令检测 Web安全 自动化测评
0xd 信息收集利器|一款功能强大的子域收集工具
魔都安全札记 2024-08-23T14:58:45
本文介绍了一款名为OneForAll的强大子域收集工具,适用于网络安全信息收集阶段。该工具综合了多种信息收集方法,包括证书透明度、常规检查、网络爬虫档案、DNS数据集、DNS查询、威胁情报平台数据和搜索引擎等。OneForAll具有以下特点:强大的收集能力、友好易用的界面、定期维护、高效的多线程和异步协程技术。工具支持子域爆破、验证、爬取、置换和接管等功能,并能自动去除无效子域,筛选有效子域,拓展子域信息,并支持多种导出格式。文章还提供了使用演示和结果说明,并强调了工具的免责声明和使用注意事项。
网络安全工具 子域收集 渗透测试 信息收集 DNS安全 威胁情报 多线程/多进程 开源项目
0xe [poc] hw情报-泛微 e-cology v10 远程代码执行漏洞
魔都安全札记 2024-08-23T14:58:45 皮仔在魔都想退休
本文介绍了一项针对泛微e-cology v10产品的远程代码执行漏洞。该漏洞允许攻击者通过特定的接口获取管理员访问令牌,并利用H2数据库的JDBC反序列化漏洞来执行远程代码。泛微公司已披露该漏洞,并提供了修复版本。文章提醒用户应尽快升级至安全补丁包10.69及以上版本以防止漏洞被利用。此外,文章还包含了如何获取漏洞利用POC的方法和免责声明,强调了在使用相关工具时需遵守法律法规并取得充分授权。
远程代码执行漏洞 JDBC反序列化漏洞 泛微e-cology 安全漏洞披露 版本更新与补丁 靶机环境搭建 法律法规遵守
0xf 【Tools】被动扫描工具 EPScan
LemonSec 2024-08-23T14:14:32
本文详细介绍了被动扫描工具EPScan的功能和使用方法。EPScan是一款能够被动收集资产并自动进行多种安全检测的工具,包括SQL注入检测、XSS检测、RCE检测和敏感信息检测。文章首先介绍了EPScan的插件化设计和自动Bypass功能,接着说明了如何安装和使用该工具,包括常用参数的命令、安装证书的必要性以及如何配置监听端口和测试插件。此外,文章还提供了EPScan的GitHub链接,方便用户下载和使用。最后,文章展示了EPScan的运行日志截图,包括加载Bypass插件、监听端口、检测参数注入等操作,以及扫描结束的信息。
0x10 渗透测试实战—教育站点(若依系统的shiro反序列化利用)
网安日记本 2024-08-23T11:51:40 © haosha
渗透测试实战—教育站点(若依系统的shiro反序列化利用)——站点已经整改,只有部分漏洞报告截图
0x11 基于SQLite数据库的指纹识别-漏洞POC管理扫描工具
TKing的安全圈 2024-08-23T09:07:06
本文介绍了一款基于SQLite数据库的指纹识别-漏洞POC管理扫描工具。该工具旨在帮助用户存储和管理网站指纹信息以及降低批量漏洞扫描POC脚本的编写和管理难度。工具支持类似nuclei poc脚本的部分功能,如base64解密、正则表达式匹配和提取json字段,并计划根据需要更新更多功能。工具的指纹数据库通过网站title、body、图标hash和header等信息识别网站框架。基本功能包括资产信息识别、开启代理检测、资产识别加漏洞扫描等。编写poc时,目前支持正则表达式、json提取、base64加密三种高级函数。文章还提到了工具的合规使用声明,强调本工具仅用于交流和学习,禁止非法使用。同时,文章还介绍了如何与作者沟通以及如何获取更多资源。
网络安全 漏洞扫描 数据库安全 Web安全 代理技术 安全测试 合规性
0x12 WPS Office两个严重漏洞曝光,已被武器化且在野利用
TKing的安全圈 2024-08-23T09:07:06
WPS Office近期曝光了两个严重漏洞(CVE-2024-7262和CVE-2024-7263),均存在于promecefpluginhost.exe组件中。CVE-2024-7262影响版本为12.2.0.13110至12.2.0.13489,已被武器化并在野外被积极利用,攻击者通过诱骗用户打开特制文档来执行任意代码。CVE-2024-7263影响版本为12.2.0.13110至12.2.0.17153,是CVE-2024-7262修复补丁的绕过漏洞。这两个漏洞的CVSS评分高达9.3,表明其严重性和易利用性。为缓解风险,用户应立即更新到12.2.0.17153或更高版本,并采取额外安全措施,如不打开未知来源文件、启用防火墙和反病毒软件,以及关注安全公告。
远程代码执行 漏洞利用 办公软件安全 CVSS评分 安全补丁 信息泄露风险 勒索软件 系统破坏 安全防护措施
0x13 泛X微24HVV相关POC/EXP
TKing的安全圈 2024-08-23T09:07:06
0x14 【玄机】第三章 权限维持-linux权限维持-隐藏
momo安全 2024-08-23T09:00:43 © 蟑螂恶霸
本文主要探讨了Linux系统中的权限维持技巧。文章首先介绍了隐藏文件和目录的查找命令,以及如何通过webshell手工查杀恶意文件。接着,详细介绍了SUID提权的相关知识,包括SUID的概念、查找具有SUID权限的文件的方法,以及一些常见的具有SUID权限的文件。文章还深入探讨了/proc目录下的文件和目录及其含义,如系统启动参数、CPU信息、内存信息等。随后,文章通过一个实例分析了如何通过隐藏文件、反弹shell的IP和端口、提权命令、恶意代码工具以及执行隐藏文件等步骤来维持权限。最后,文章提供了靶场地址和获取玄机邀请码的方式,旨在帮助读者更好地理解和实践网络安全知识。
Linux安全 权限维持 Webshell查杀 恶意代码分析 系统提权 应急响应 渗透测试 红蓝对抗
0x15 BypassUAC姿势二|通过DLL劫持BypassUAC提权(带脚本和编译程序)
卫界安全-阿呆攻防 2024-08-23T08:00:20 ©
本文由aoman安全研究师傅撰写,介绍了通过DLL劫持BypassUAC提权的方法。文章首先回顾了BypassUAC的基本原理,并详细解释了DLL劫持的基本原理,即利用应用程序加载DLL时的搜索顺序,将恶意DLL放置在搜索路径中,从而执行恶意代码。接着,文章阐述了利用条件,即寻找具有autoElevate属性且存在DLL劫持缺陷的程序。文章以iscsicpl.exe为例,说明了利用过程,包括寻找目标程序、修改注册表以改变环境变量路径、以及编写和编译payload DLL。最后,文章提供了相关的工具和脚本,并强调所有行为与本公众号无关,旨在知识共享。
网络安全 UAC绕过 DLL劫持 提权 免杀技术 脚本技术 病毒分析 技术分享
0x16 网络安全宣传周 - Windows系统的USB设备安全
TtTeam 2024-08-23T00:00:57
引言USB设备的安全问题日益突出,特别是在这些设备能够利用操作系统的漏洞进行自动化攻击的情况下。
0x17 EvilnoVNC 钓鱼工具
Khan安全团队 2024-08-23T00:00:40
本文介绍了EvilnoVNC,一款独特的网络钓鱼工具。EvilnoVNC不同于传统的网络钓鱼技术,它通过noVNC连接,使用真实浏览器绕过双因素认证(2FA)。该工具提供了实时监控受害者所有操作的功能,包括对下载文件的访问和整个浏览器配置文件的查看,如cookie、保存的密码和浏览历史记录等。文章中还提供了EvilnoVNC的使用说明,包括如何启动工具和指定分辨率及URL。此外,文章还提供了工具的GitHub链接,以便用户进一步了解和使用。
网络钓鱼 远程访问 二步验证绕过 浏览器监控 脚本工具 开源工具 网络安全漏洞利用
0x18 山石网科:关于网传WAF漏洞说明
山石网科 2024-08-22T23:55:45 优质可靠的
山石网科近日发布安全公告,指出其WAF产品存在潜在安全漏洞,影响版本范围为5.5R6-2.6.7至5.5R6-2.8.13。该漏洞已在5.5R6-2.8.14版本中得到修复。公司建议受影响客户升级至该版本或更高版本,或通过配置可信主机访问来缓解风险。山石网科强调其遵守网络安全漏洞管理规范,并在官网发布安全公告。公告还介绍了山石网科的发展历程、技术实力和产品服务,强调其在中国网络安全行业的技术创新领导地位。
WAF漏洞 安全漏洞管理 产品安全公告 安全升级 网络安全事件响应 安全配置建议 客户支持 网络安全意识 网络安全行业 技术创新
0x19 CTF比赛PWN题解题思路(一)
小话安全 2024-08-22T19:15:15 © 小话安全
文章《CTF比赛PWN题解题思路(一)》介绍了四个CTF竞赛中的PWN题目及其解题方法。首先,对于题目一,程序存在栈溢出漏洞,在输入用户名时若不正确处理可能导致安全问题。通过IDA逆向工程分析得知,只有输入'admin'才能继续。利用gdb调试工具,通过在main函数设断点、单步执行等操作,找到可以覆盖返回地址的字符串长度(56字节),并使用已知的shell函数地址(0x405D36)构造payload,最终获得shell权限。对于题目二,通过查看伪代码和gdb调试发现,只要使变量v7与v5相等就能获取shell。由于data输入可覆盖v7的地址空间,因此通过精心构造输入数据即可达成目标。题目三中,存在栈溢出且有'system'函数和'/bin/sh'字符串可用,但需要先输入特定字符串触发漏洞。通过获取RDI寄存器值编写脚本实现攻击。最后,题目四与三类似,但缺少'/bin/sh'字符串,需用gets函数写入,并借助vmmap命令找到可写入的地址空间,编写脚本来完成攻击,最终成功获取shell。
CTF PWN 逆向工程 栈溢出 GDB调试 Shellcode 自动化脚本
0x1a 2024 KCTF 大赛 | 第四题《神秘信号》设计思路及解析
看雪学苑 2024-08-22T17:59:58 © 2024 KCTF
2024年KCTF大赛于8月15日开启,比赛包含多维度的评分体系,旨在提高竞赛的挑战性和趣味性。第四题《神秘信号》在比赛期间迅速被【Li0kle】战队解决,其他战队紧随其后。题目涉及pyinstaller打包程序和base64编码,需要参赛者逆向工程以解决。出题战队提供了详细的设计思路,包括对pyc文件的反编译和替换,以及一个特殊的解码函数。参赛者需要通过分析代码和内存,发现CrackMe模块实际上是base64模块,并且被修改以实现特定的逻辑。此外,题目中还涉及到对input函数的修改,需要参赛者逆向Python内置函数以发现实际的输入处理过程。最终,参赛者需要结合逆向工程和代码分析来找到正确的验证码。
网络安全竞赛 逆向工程 Python安全 二进制分析 编码和解码 shellcode 内存注入 钩子技术 代码混淆 调试技巧
0x1b 午夜闲谈-Fastjson漏洞各版本POC比较
午夜安全 2024-08-22T08:25:00 © 云痴
本文是《午夜闲谈》系列第二篇,主要分析了Fastjson不同版本中存在的漏洞及其对应的POC。文章从Fastjson的序列化和反序列化、AutoType、版本判断与漏洞利用等方面进行了介绍。作者详细比较了不同版本Fastjson的漏洞POC,包括1.2.24版本利用JNDI注入实现RCE的方法,1.2.25-1.2.41版本的黑名单机制及其绕过方法,以及1.2.42版本对L和;字符的处理等。此外,文章还讨论了1.2.47版本及以下如何绕过黑名单,以及1.2.48-1.2.67版本修复了JSON内置绕过的问题。最后,作者介绍了1.2.68版本利用AutoCloseable进行漏洞利用的方法,并提供了相应的POC。
Fastjson 漏洞 Java 漏洞 序列化反序列化 JNDI 注入 代码审计 漏洞修复 安全研究
0x1c 黑客的隐秘武器:SQL注入与防御全攻略
天津恒御科技有限公司 2024-08-22T08:00:48
SQL注入(SQL Injection)是一种常见的网络攻击手段,通过将恶意SQL代码插入到应用程序的输入字段
0x1d 免杀笔记 -- 02
Glass的网安笔记 2024-08-22T02:33:27 © glass
免杀笔记--02 数组指针的一些理解。视频4。
0x1e HTB之Lantern(user部分)
羽泪云小栈 2024-08-22T01:29:16 © 羽泪云小栈
赛季6HTB之Lantern+linux(hard)+ssrf+dll反编译+dll反弹shell
0x1f 【2024-08-21】每日安全资讯
知机安全 2024-08-21T10:15:11 © 知机安全
本文包含五则网络安全资讯。首先介绍了如何通过监控AWS云环境中的CloudTrail日志来识别潜在的API密钥盗用事件,并提供了减少风险的策略。其次,报道了一种新型网络钓鱼攻击,利用渐进式网页应用程序(PWA)针对捷克共和国的移动用户,企图窃取银行账户凭据。第三则资讯提到台湾一所大学遭遇使用新后门Msupedge的网络攻击,同时UTG-Q-010威胁组利用开源恶意软件Pupy RAT进行攻击。第四则详细探讨了Log4Shell漏洞的攻击机制,以及应用检测和响应(ADR)技术如何保护系统。最后一则资讯揭露了名为盲鹰的威胁行为者,他们针对拉丁美洲多国进行攻击,利用钓鱼邮件和远程访问特洛伊木马传播恶意软件。
0x20 kkFileView-RCE-远程代码执行漏洞分析
网安知识库 2024-08-21T10:00:16 © kiand
0x21 揭秘横向移动的众多操作之探测存活主机篇
三沐数安 2024-08-21T08:30:57 三沐
本文详细介绍了网络安全中的横向移动攻击及其探测存活主机的多种方法。文章强调了横向移动在勒索软件、数据外泄、间谍活动和僵尸网络感染等多种攻击类型中的重要性。文中列举了多种探测存活主机的工具和技术,包括Ping命令、NbtScan、NetDiscover、NMAP等,并提供了相应的命令示例。同时,文章也讨论了横向移动的预防措施,如渗透测试、网络安全域划分、终端安全和身份访问管理(IAM)等策略,以帮助组织减少横向移动的风险。
网络安全策略 网络攻击技术 漏洞利用 内网安全 渗透测试 安全工具 安全配置 应急响应
0x22 网络安全宣传周 - 特种木马攻击
TtTeam 2024-08-21T00:01:44 © 安全回忆录
网络安全宣传周 - 特种木马攻击
0x23 信息收集之子域名收集技巧总结
黑战士 2024-08-20T22:04:51 ©
本文是一篇关于子域名收集技巧的总结,旨在帮助渗透测试人员更有效地进行信息收集。文章首先强调了信息收集在渗透测试中的重要性,特别是子域名的收集对于了解目标网络架构和资产的关键作用。接着,详细介绍了子域名收集的多种方法,包括使用搜索引擎、备案查询、企业关系查询、Whois反查、证书透明度查询、在线子域名查询网站、威胁情报平台、爬虫技术、DNS记录查询工具、自动化工具、DNS历史记录查询服务、JS文件分析以及子域名爆破等。文章还推荐了几款实用的工具,如Subfinder、OneForAll、Layer子域名挖掘机等,并提醒读者注意合法合规地进行渗透测试。
信息收集 子域名收集 渗透测试 网络安全工具 DNS查询 网络安全法律
0x24 Docker-TCP-Scan 云安全武器流量分析
渊龙Sec安全团队 2024-08-20T19:31:53
让我们跟随神风静默师傅的脚步,深入学习和利用Docker Remote API接口的利用,该缺陷利用容易、危害巨大,要注重云上安全啦~
0x25 “李鬼”软件暗设后门,对抗杀软侵蚀系统
火绒安全 2024-08-20T18:00:20 © 火绒安全
近期,火绒威胁情报中心发现一款伪装成有道翻译安装包的恶意软件样本。该样本采用多种技术手段进行免杀,包括白加黑、反射加载DLL等,最终实现下载后门代码控制受害者主机。恶意软件会绕过UAC无弹窗执行,并创建服务实现自启动。火绒安全产品可拦截查杀该病毒,建议用户更新病毒库提高防御能力。分析显示,恶意软件通过修改内存跳入关键代码,解密加密的恶意代码,并在内存中反射加载DLL。此外,恶意软件还具备绕过UAC、创建服务、下载后门模块、记录键盘和剪切板数据等行为,具备强大的远程控制功能。
恶意软件分析 后门攻击 免杀技术 UAC 绕过 持久化驻留 安全防御 动态调试 逆向工程 网络钓鱼 文件签名
0x26 手机联动burp抓包教程
东南网络安全 2024-08-20T15:36:07 ©
本文是一篇关于使用Burp工具进行手机APP抓包的教程。文章首先声明了本教程无恶意引导,并列出所需的设备,包括一台安装有Burp的电脑、一部能上网的安卓手机以及一个WiFi网络。教程以华为nova7手机为例,详细介绍了电脑端和手机端的配置步骤。电脑端需要查询IP地址并配置Burp代理,手机端则需要设置手动代理并导入Burp的CA证书。完成这些步骤后,就可以开始进行抓包操作。教程最后展示了抓包的结果,并强调了以上步骤即为详细的Burp抓包手机APP的过程。
0x27 实战|应急响应之门罗币挖矿木马
HACK之道 2024-08-20T14:26:22 苏苏的五彩棒
本文详细描述了一起门罗币挖矿木马感染客户服务器的网络安全事件。事件起因是客户服务器遭受了phpunit RCE漏洞利用攻击,导致服务器被Confluence RCE漏洞控制。攻击者首先尝试卸载主机安全软件,并删除部分挖矿docker镜像。通过分析,发现恶意脚本名为ldr.sh,属于Sysrv-hello僵尸网络的门罗币挖矿程序较新变种。该脚本会尝试卸载主机安全软件,并删除部分挖矿docker镜像。攻击者还利用FTP上传了cmd.vm文件,用于控制肉鸡权限。通过logwatch恢复的登录记录,发现可疑IP以root身份成功登录并下载了openvpn工具,疑似利用openvpn代理下载境外挖矿脚本及漏洞利用脚本。该木马通过漏洞利用获取主机权限,并通过蠕虫传播执行门罗币挖矿脚本。分析还发现,该木马文件处于频繁更新变种状态,且近期活动频繁。钱包地址为49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa,矿池地址包括f2pool.com、nanopool.org、minexmr.com、supportxmr.com、c3pool.com。
挖矿木马 僵尸网络 远程命令执行 (RCE) 恶意脚本 恶意IP C2通信 蠕虫传播 安全软件对抗 日志清除 漏洞利用
0x28 【玄机】第二章日志分析-redis应急响应
momo安全 2024-08-20T14:22:41 © 蟑螂恶霸
本文详细介绍了网络安全中针对Redis服务器的应急响应和日志分析。首先,文章列出了Linux系统中常用的日志路径,包括Apache、Nginx、MySQL、PostgreSQL、PHP、SSH和Redis等服务的日志位置。接着,文章分析了Redis常见的攻击手法,如未授权访问、写webshell、利用公私钥认证获取root权限以及利用crontab反弹shell等。文中通过实际案例展示了如何通过日志分析来溯源攻击者,包括攻击IP、上传的恶意文件、反弹shell的IP、攻击者用户名和篡改的命令等。文章还提供了具体的命令和步骤,如如何查找日志中的IP地址、如何识别恶意文件、如何查看计划任务等。最后,文章强调了在应急响应过程中需要注意的细节和技巧,以及如何使用工具如find、awk、ls和rpm等来辅助分析。
日志分析 Redis安全 应急响应 入侵检测 漏洞利用 Linux安全 网络攻击 工具使用 漏洞挖掘
0x29 微软禁用 BitLocker 安全修复程序,建议手动缓解
嘶吼专业版 2024-08-20T14:00:45 胡金鱼
微软近日因固件兼容性问题,决定禁用针对CVE-2024-38058漏洞的BitLocker安全修复程序。该漏洞允许攻击者绕过BitLocker加密功能,通过物理访问设备获取加密数据。由于修复程序与某些设备的固件不兼容,导致这些设备进入BitLocker恢复模式。微软建议受影响的用户通过应用KB5025885公告中描述的缓解措施来保护数据和系统,这些措施涉及多个步骤和多次重启设备。此外,微软还提醒用户,一旦在启用安全启动功能的设备上应用了缓解措施,即使重新格式化磁盘,也无法撤销这些措施。微软同时修复了7月Windows安全更新引发的问题,导致部分设备启动到BitLocker恢复模式,但没有提供更多关于根本原因或解决方法的信息。受影响的用户被建议安装最新更新以获得改进和问题解决。
Windows 安全漏洞 加密技术 固件兼容性问题 安全更新 缓解措施 物理访问安全 安全启动 补丁星期二
0x2a 实战 | 内存马分析查杀
奉天安全团队 2024-08-20T12:14:37
本文详细介绍了内存马的分析与查杀方法。首先,通过搭建bt+tomcat+ubuntu环境,使用bt内置的tomcat启动项目并注入webshell。在注入内存马时,需注意默认的tomcat启动命令降权后的www用户权限问题。接着,通过冰蝎内存连接webshell,注入内置Agent内存马,并分析其特征。文章还介绍了内存马的原理,包括其动态变化的数据特征和远程加载方法。此外,文章探讨了内存马的持久化问题,包括veo师傅的vagent项目和rebeyond师傅的memShell项目中的持久化方法。最后,文章提供了内存马查杀的技巧和策略。
0x2b 逃避基于 Windows 事件跟踪 (ETW) 的检测
黄豆安全实验室 2024-08-20T10:43:47 © 骇帝
本文详细介绍了 Windows 事件跟踪 (ETW) 的工作机制及其在网络安全中的应用,特别是如何通过规避技术绕过基于 ETW 的检测。文章首先解释了 ETW 的核心组件,包括提供者、会话、控制器和用户,以及它们在事件跟踪会话中的角色。接着,文章探讨了 ETW 的主要特性,如低开销、高性能、丰富的语义和系统覆盖范围。文章还深入分析了内核中与 ETW 相关的函数,以及它们如何触发事件。为了展示规避技术,文章演示了三种方法:干扰攻击,通过停止 ETW 提供程序来阻止事件日志收集;拦截 Procmon 会话,通过劫持 Procmon 会话来阻止其读取事件;以及事件泛滥,通过过度注册和注销 ETW 提供程序来干扰系统。最后,文章介绍了如何通过修补 ETW 函数来绕过检测,并以一个 Sliver C2 案例展示了如何结合加密引导加载程序和修补 ETW 来执行恶意代码。这些技术展示了攻击者如何规避基于 ETW 的检测,并为网络安全专业人员提供了对抗这些威胁的思路。
Windows ETW 安全检测规避 EDR 规避 内核攻击 恶意软件开发 逆向工程
0x2c 揭秘SQL注入新境界:Burp+Sqlmap,解锁POST报错注入奥义,流量特征一触即发!
熠安全 2024-08-20T10:35:40 ©
【新技能get√】跟随我们,深入SQL注入的隐秘角落!Burp Suite与Sqlmap强强联合,一键解锁POST报错注入的高级玩法。揭秘流量特征,让你在攻防战中步步为营,抢占先机!
0x2d CRTO | 认证信息窃取
高级红队专家 2024-08-20T10:08:49 红蓝精英
本文深入探讨了网络安全领域中认证信息窃取的多种方法。文章首先概述了在获得机器权限后,如何窃取经过身份验证的其他用户的凭证信息,包括纯文本、哈希和Kerberos票据等形式。接着,详细介绍了使用Beacon和Mimikatz工具在Cobalt Strike框架中提取各种凭证的过程,包括如何执行Mimikatz命令、使用Beacon的命令约定和修饰符。文章还提到了Mimikatz的sekurlsa模块,用于从内存中转储明文密码和NTLM哈希,以及sekurlsa::ekeys模块用于提取Kerberos加密密钥。此外,还介绍了如何使用lsadump::sam模块读取SAM数据库,以及lsadump::cache模块提取域缓存凭证。最后,文章讨论了使用Rubeus工具提取Kerberos票证和DCSync技术从域控制器中提取用户名和凭据数据的方法,并强调了操作过程中的安全和审计考虑。
凭证窃取 Mimikatz工具 Cobalt Strike Kerberos攻击 DCSync攻击 Windows系统安全 横向移动 密码破解 安全审计 安全工具
0x2e 【2024-08-20】每日安全资讯
知机安全 2024-08-20T09:53:56 © 知机安全
本文总结了近期网络安全领域的几项重要资讯。首先,UULoader恶意软件被发现,它通过伪装成韩语和中文用户的恶意应用程序安装程序来传播,并能够分发Gh0st RAT和Mimikatz等载荷。同时,FakeBat恶意软件的传播活动泛滥,利用特洛伊木马MSIX安装程序感染目标,并与Eugenfest黑客有关。Nudge Security平台能够帮助IT专业人士自动化下架离职员工的SaaS账户,以减少安全风险。此外,Xeon Sender工具被用于大规模的SMS网络钓鱼攻击,通过滥用合法服务发送短信。最后,北朝鲜的Lazarus小组利用新发现的Microsoft Windows安全漏洞CVE-2024-38193进行零日攻击,这一漏洞允许攻击者获得系统特权。这些事件凸显了网络安全领域不断变化的威胁和防御措施的重要性。
0x2f Burpsuite漏洞扫描检测插件
黑白之道 2024-08-20T09:49:19
本文介绍了由@Xm17师傅开发的一款名为gatherBurp的Burpsuite漏洞扫描检测插件。该插件具备多种功能,包括fastjson扫描权限绕过、未授权检测扫描、SQL注入检测、多层级路由扫描、工具调用、log4j检测、复杂数据提交、一键生成nuclei模板、代理池功能和子域名收集等。插件支持配置dns、ip、回显、报错等,并提供了一键生成随机字符串和代理池功能。此外,文章还详细说明了如何使用该插件进行各种扫描和检测,并提供了编译打包和使用说明。需要注意的是,插件中的某些功能可能存在bug,如工具调用生成文件的问题。文章最后提醒用户,插件中的技术、思路和工具仅供安全学习交流使用,禁止用于非法目的。
漏洞扫描 Web安全 Burpsuite插件 安全工具 JSON数据处理 代理池 子域名收集 日志分析 代码审计
0x30 Linux中Find命令也能提权?提权方式一文通透
泷羽Sec 2024-08-20T07:45:52 ©
本文深入探讨了Linux系统中find命令的安全风险,特别是当find命令被赋予SUID权限时可能导致的权限提升攻击。文章首先介绍了find命令的常规用法和参数,包括路径、文件名、权限、大小、类型等参数的用法。接着,通过实例演示了find命令的多种使用场景,如查找特定文件、根据大小筛选文件、执行特定命令等。文章重点分析了find命令被赋予SUID权限后的安全风险,通过模拟攻击过程,展示了如何利用具有SUID权限的find命令执行系统命令,实现权限提升。最后,文章总结了防范措施,强调定期检查系统命令权限设置和进行权限审计的重要性,以防止不当权限提升行为。
Linux 安全 系统权限 文件查找工具 权限提升 安全漏洞 防御策略
0x31 【玄机】第二章日志分析-mysql应急响应
momo安全 2024-08-19T11:14:17 © 蟑螂恶霸
本文主要介绍了MySQL应急响应中的日志分析,包括Linux系统中常用日志路径的介绍,MySQL密码存储路径的说明,以及常见的MySQL提权方式,如MOF提权、UDF提权等。文章详细阐述了UDF提权的原理和实施步骤,包括如何利用UDF(用户自定义函数)在MySQL中实现特殊功能,以及如何通过上传特定的udf.dll文件来提权。此外,文章还提供了MySQL应急响应的具体案例,包括黑客如何通过SSH账号登录、反弹shell、提权文件上传以及获取权限等步骤,并通过日志分析来识别黑客行为。最后,文章还提供了靶场地址和获取玄机邀请码的方法。
网络安全日志分析 MySQL安全漏洞 应急响应 提权攻击 Linux系统安全 木马分析 入侵检测
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
