2023年 第41周 微信公众号精选安全技术文章总览
洞见网安 2023-10-9
0x1 利用第三方服务对目标进行被动信息收集防止被发现
一个努力的学渣 2023-10-15T16:34:12 一个努力的学渣
本文详细介绍了网络安全中的被动信息收集方法及其目的。被动信息收集通过第三方服务获取目标信息,避免直接与目标系统交互,从而不留痕迹。文章涵盖了信息收集的内容,如网站服务器信息、公司信息、IP地址段、域名信息、邮件地址等。此外,还解释了DNS域名解析原理,包括DNS查询过程、查询方式、DNS信息收集方法等。文章还介绍了如何使用工具如dig进行DNS查询,以及如何查询网站的域名注册信息和备案信息。此外,还讨论了子域名挖掘的重要性、方法和工具,以及如何使用FOFA搜索引擎收集信息。最后,文章还涉及了资产侦察灯塔系统的搭建和使用,以及如何利用Google搜索引擎和漏洞库查询漏洞信息。
被动信息收集 网络安全技术 信息收集工具 网络安全策略 漏洞研究 社会工程学 DNS解析 渗透测试 安全漏洞
0x2 主动信息收集-DDOS 攻击防御-SYN 洪水攻击
一个努力的学渣 2023-10-15T16:34:12 一个努力的学渣
本文详细介绍了网络安全中的主动信息收集原理、特点及方法。首先,阐述了主动信息收集的定义,强调其与目标系统直接交互的特点,并指出其可能留下的访问痕迹和潜在风险。接着,描述了发现目标主机的过程,包括识别存活主机、输出IP地址列表以及使用不同层级的探测方法。文章进一步讲解了OSI七层模型和TCP/IP五层模型的关系,并举例说明了应用层、表示层、会话层、传输层、网络层、数据链路层和物理层的功能。此外,文章还介绍了基于ping命令和arping工具的探测方法,以及netdiscover、fping等被动探测工具的使用。随后,深入解析了TCP三次握手和四次挥手的原理,并通过tcpdump抓包进行验证。最后,文章探讨了Nmap、nc等扫描工具的使用,以及如何通过优化系统参数和防火墙规则来防御SYN洪水攻击和DDoS攻击。
信息收集 DDoS防御 SYN洪水攻击 TCP/IP协议 OSI七层模型 扫描技术 系统优化
0x3 【猫蛋儿钓鱼】鱼饵-winrar捆绑手法
猫蛋儿安全 2023-10-14T12:08:05 ©
试想我们给目标发送木马,对方点击木马后发现没有打开对应的文档或者资料。那么很大几率对方会发现这是一个有问题的文件,从而导致刚上钩的鱼儿迅速脱钩。
0x4 加密流量专题-【顶会论文分享】未知模式加密恶意流量实时检测
辰光信息 2023-10-13T16:49:01 转自绿盟
一. 引言流量加密技术已经被广泛应用于保护互联网信息的传递,但同时也会被一些攻击者利用,用于隐藏其恶意行为,
0x5 一场新的Magecart活动将恶意代码隐藏在404错误页面中
黑猫安全 2023-10-13T09:49:06 鹏鹏同学
Akamai安全情报团队发现了一起针对Magento和WooCommerce网站的Magecart活动,利用404错误页面隐藏恶意代码。攻击者将恶意代码注入网站的第一方资源中,通过加载器、恶意攻击代码和数据泄露三个阶段实施攻击。加载器通过正则表达式匹配404页面中的特定字符串来提取混淆的JavaScript攻击代码。恶意攻击代码负责窃取用户个人信息,并在第三个变体中通过伪造表单覆盖原始支付表单。数据泄露通过Base64编码的字符串发送到攻击者的C2服务器。这种利用404页面隐藏恶意代码的技术新颖,增加了检测和缓解的复杂性。
Magecart攻击 Web注入 404错误页面利用 数据泄露 JavaScript混淆 支付流程干扰 持续威胁
0x6 【猫蛋儿钓鱼】鱼饵-winrar捆绑手法
猫蛋儿安全 2023-10-13T09:02:04 ©
试想我们给目标发送木马,对方点击木马后发现没有打开对应的文档或者资料。那么很大几率对方会发现这是一个有问题的文件,从而导致刚上钩的鱼儿迅速脱钩。
0x7 你对恶意软件的认知有多少?
天津恒御科技有限公司 2023-10-13T08:00:10
对恶意软件,百科做了如下定义:恶意软件是指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序,通过破坏
0x8 任意文件下载(2)
左逆安全攻防 2023-10-12T11:12:24 左逆
HIKVISION iVMS-8700综合安防管理平台 download 任意文件下载漏洞# 漏洞描述HIK
0x9 基于Mirai的DDoS僵尸网络IZ1H9向目标路由器添加了13个有效载荷
黑猫安全 2023-10-12T10:08:38 鹏鹏同学
Fortinet的研究人员发现了一种基于Mirai的新型DDoS僵尸网络IZ1H9,该僵尸网络在2023年9月活动激增,并针对多种品牌路由器及物联网设备添加了13个新的有效载荷。这些载荷利用了包括D-Link、Netis、Sunhillo SureLine、Geutebruck IP摄像机、Yealink、Zyxel、TP-Link Archer、Korenix Jetwave和TOTOLINK等设备上的多个已知漏洞。攻击者通过这些漏洞向目标设备注入恶意代码,并下载名为“l.sh”的shell脚本下载器,该下载器会清除日志并安装僵尸客户端,同时修改iptables规则以阻止特定端口通信。IZ1H9支持多种类型的DDoS攻击,如UDP洪水、HTTP Flood等。专家指出,尽管相关漏洞已有补丁提供,但IZ1H9仍能频繁成功感染未打补丁的设备,显示出快速更新攻击工具库的能力。一旦被控制,受影响设备会被纳入僵尸网络中,用于发动进一步的网络攻击。
DDoS攻击 物联网安全 僵尸网络 漏洞利用 路由器安全 恶意软件 暴力破解 网络安全威胁
0xa Curl 高危漏洞(CVE-2023-38545)漏洞复现【附POC】
猫蛋儿安全 2023-10-12T09:00:06 安天集团
依据Curl发布的公告,本次漏洞主要源于SOCKS5的缓冲区溢出,在调用库的应用设置修改了较小的缓冲区大小或因服务器延迟原因都可能触发此漏洞。
0xb 【漏洞预警】curl开源组件高危漏洞涉及车联网
中机博也汽车技术 2023-10-11T21:25:20 © CMboye实验室
近日,CMboye实验室研究人员监测到开源项目curl存在堆栈缓冲区溢出漏洞(CVE-2023-38545)。
0xc 每秒3.98亿次请求,HTTP/2漏洞导致创纪录的DDoS攻击
看雪学苑 2023-10-11T17:59:10 看雪学苑
本周,AWS、Google和Cloudflare披露了一起由HTTP/2协议的CVE-2023-44487零日漏洞引发的创纪录DDoS攻击。攻击发生在2023年8月28日至29日,攻击峰值分别达到每秒1.55亿次、2.01亿次和3.98亿次请求。HTTP/2协议的流式传输特性被攻击者利用,通过Rapid Reset攻击绕过服务器流限制,导致大量请求被发送和取消,服务器资源被耗尽。这一漏洞对支持HTTP/2的服务器或应用程序构成严重威胁,尽管没有直接的修复补丁,但三大服务提供商已发布缓解措施以应对攻击。
DDoS攻击 HTTP/2协议 零日漏洞 网络安全漏洞 网络安全事件 服务提供商安全 流量监控与防御
0xd 一次逻辑漏洞导致的信息泄露
我刚刚学 2023-10-11T16:25:00 © 安全小鸡仔
文章讨论了逻辑漏洞在信息安全领域的重要性,指出逻辑漏洞是信息泄露的主要原因之一,对个人、组织和社会可能造成严重损害。文章通过一个实际案例,描述了如何发现并利用一个前端逻辑漏洞来获取用户个人信息。案例中,作者通过测试登录页面的密码找回功能,发现了一个逻辑问题,通过抓包和重放请求包,成功获取了用户的账号、手机号和姓名等敏感信息。文章强调了逻辑漏洞的隐蔽性和危害性,呼吁采取积极措施来检测、纠正和预防逻辑漏洞,以保护数字资产的安全。
0xe 【风险通告】微软10月安全更新补丁和多个高危漏洞风险提示
安恒信息CERT 2023-10-11T15:34:57
微软发布了10月安全更新公告,包含了对多个微软产品系列的安全补丁更新,涉及Microsoft Office、Skype for Business、SQL Server、Windows Kernel、Windows Win32K等产品。公告特别强调了几个高风险漏洞,包括Windows 图形组件的特权提升漏洞(CVE-2023-36594、CVE-2023-38159)、Windows Common Log File System Driver的信息泄漏漏洞(CVE-2023-36713)、以及多个Win32k特权提升漏洞(CVE-2023-36731、CVE-2023-36743、CVE-2023-36776)。其中,Microsoft WordPad的信息泄露漏洞(CVE-2023-36563)和Skype for Business的权限提升漏洞(CVE-2023-41763)存在在野利用,建议用户尽快安装安全更新补丁或采取临时缓解措施。这些漏洞的修复对于保护用户系统和数据安全至关重要。微软建议用户通过Windows自动更新或手动检查更新来安装补丁。对于有漏洞相关需求支持的用户,可以联系微软的技术支持获取帮助。
漏洞公告 微软产品 安全更新 CVE漏洞 漏洞修复 权限提升 信息泄露 Windows操作系统 Skype for Business 安全补丁
0xf 【风险通告】Atlassian Confluence 权限提升漏洞(CVE-2023-22515)
安恒信息CERT 2023-10-11T15:34:57
近日,安恒信息CERT监测到Atlassian Confluence存在一个严重权限提升漏洞(CVE-2023-22515),该漏洞允许攻击者利用有访问权限的Confluence Data Center and Server实例,在未授权的情况下创建管理员用户并以管理员权限进入Confluence后台。漏洞影响多个版本,包括8.0.0至8.5.1。CVSS3.1评分高达10分,表明漏洞危害性严重。建议用户尽快更新至最新安全版本或采取临时缓解措施。安恒信息已复现此漏洞,并提供相关产品以支持漏洞检测与防护。
漏洞公告 权限提升漏洞 Atlassian Confluence CVSS评分 应急响应 软件漏洞 安全版本 漏洞利用 漏洞复现 漏洞防护
0x10 [漏洞复现-29]金*OA-EAS-myUploadFile-文件上传漏洞
马赛克安全实验室 2023-10-11T08:00:26 © 马赛克安全实验室
本文详细介绍了金*OA-EAS-myUploadFile文件上传漏洞的复现过程。漏洞存在于/myUploadFile.do接口,攻击者可通过构造恶意请求上传文件,从而获取系统信息,对系统的可用性和安全性构成威胁。文章强调了漏洞的风险,并提供了漏洞详情和修复建议,即建议用户升级到安全版本。同时,文章还介绍了马赛克安全实验室的团队专注领域,包括漏洞复现、渗透测试等,并分享了相关的工具和复现列表。最后,文章声明了免责声明,指出使用文章内技术造成的后果由使用者负责。
文件上传漏洞 系统安全 漏洞复现 网络安全 安全工具 SQL注入
0x11 致盲Windows上的EDR
看雪学苑 2023-10-10T18:09:25 Max_hhg
本文深入探讨了终端检测与响应(EDR)系统的原理和防御机制,以及攻击者如何绕过这些系统。文章首先介绍了Windows内核的基本知识,包括用户模式和内核模式之间的区别,以及内核补丁保护(PatchGuard)的作用。接着,详细解释了EDR系统如何通过内核回调、DLL挂钩和执行流重定向来获取进程的可见性。文章还讨论了攻击者如何通过移除DLL挂钩或内核回调来使EDR传感器失效,包括清零整个回调数组、清零特定进程的通知回调和修改EDR进程通知回调函数等方法。最后,文章介绍了如何使用自定义的恶意驱动程序和应用程序来绕过EDR系统,并强调了在实际操作中应遵守的安全和道德规范。
网络安全 Windows内核 系统调用 驱动程序 内核回调 DLL挂钩 恶意软件 攻击技术 红队技术 逆向工程
0x12 [漏洞复现-28]通*OA-handle逻辑漏洞
马赛克安全实验室 2023-10-10T15:06:14 © 马赛克安全实验室
本文是关于通*OA系统的handle逻辑漏洞的分析。文章首先声明了免责条款,强调文章内容仅供学习使用,禁止用于非法测试。漏洞概述部分指出,攻击者可以通过构造恶意请求来获取系统信息,从而对系统的可用性和安全性构成威胁。受影响的URL包括/share/handle.php和/general/golog.php。漏洞详情描述了漏洞类型为逻辑漏洞,并简要介绍了漏洞的影响。修复建议是建议用户升级到安全版本。文章最后介绍了马赛克安全实验室的团队,以及提供了一些相关工具和复现列表的链接。
逻辑漏洞 系统安全 数据安全 漏洞复现 安全工具 安全实验室
0x13 大规模 CITRIX NETSCALER 网关凭据收集活动利用 CVE-2023-3519
黑猫安全 2023-10-10T09:41:08 鹏鹏同学
IBM的X-Force研究人员发现,威胁行为者正在利用Citrix NetScaler网关中的CVE-2023-3519漏洞进行大规模凭据收集活动。该漏洞允许未经身份验证的远程代码执行,主要影响配置为网关或AAA服务器的设备。美国CISA警告,该漏洞正被用于针对关键基础设施的攻击。Shadowserver Foundation报告称,数百台Citrix设备已被入侵。攻击者通过注入恶意Javascript到登录页来收集用户凭据,并将数据发送到远程服务器。X-Force在事件响应中发现了这一活动,并确定了多个与攻击相关的域和近600个受害IP地址,主要分布在美国和欧洲。尽管无法将活动与已知威胁群体关联,但研究人员已提取出妥协指标(IoCs)。
漏洞利用 远程代码执行 凭据收集 网络外壳部署 关键基础设施 安全响应 隐蔽通信
0x14 3环和0环断链隐藏分析
看雪学苑 2023-10-09T17:59:59 ATrueMan
本文详细介绍了在Windows系统下进行3环和0环断链的实验过程,旨在隐藏dll和进程。文章首先解释了3环断链,即PEB断链的原理和步骤,包括TEB、PEB、ldr结构体的获取和解析,以及如何通过修改_LDR_DATA_TABLE_ENTRY结构体中的链表节点来实现dll的隐藏。接着,文章介绍了0环断链,即EPROCESS断链的原理,包括KPCR、KPRCB、KTHREAD、KAPC_STATE、EPROCESS结构体的获取和解析,以及如何通过修改EPROCESS结构体中的链表节点来实现进程的隐藏。文章还涉及了EPROCESS的获取方法,包括使用内核函数PsGetCurrentProcess和通过汇编获取。最后,文章总结了隐藏模块或进程的本质,并指出CPU调度的基本单位是线程,与进程无关。
操作系统安全 内核安全 驱动开发 逆向工程 漏洞利用 内存安全 Windows API
0x15 libwebp图像库漏洞已在攻击中被利用,CVSS评级满分
水网火安 2023-10-09T15:31:06
近日,Google宣布libwebp图像库存在一个严重的安全漏洞(CVE-2023-5129),该漏洞被评为最高等级的10.0,可能导致系统崩溃、任意代码执行和未经授权访问敏感信息。由于libwebp在尺寸和速度方面的优势,它被广泛用于各种应用程序、代码库、框架和操作系统。这一漏洞的广泛存在显著扩大了攻击面。安全研究员Rezillion发现,许多软件都使用了这个库,包括依赖libwebp的包。目前,漏洞的攻击代码(POC)已经公开,攻击者可以通过创建恶意的WebP文件并将其转换为PNG文件来触发漏洞。
漏洞披露 CVE 软件安全 代码执行漏洞 缓冲区溢出 操作系统安全 恶意软件攻击 安全评级
0x16 分析新BBTok 恶意银行软件变体的服务器端组件
金瀚信安 2023-10-09T11:34:53 工业互联网安全
Check Point Research研究人员最近在拉丁美洲发现了一个活跃活动,该活动正在操作和部署BBT
0x17 绕过CDN查询网站的真实IP地址
LemonSec 2023-10-09T08:40:37 Pluto-123
本文介绍了如何使用工具绕过CDN查询网站的真实IP地址。文章首先介绍了魔改的lijiejie的subDomainsBrute工具,该工具用于子域名称扫描,并根据HTTP响应包长度在扫描出的地址范围内寻找真实IP。文章中提到了requirements.txt文件可能不完整,需要手动安装,并强调输入的目标必须以http/https开头。接着,文章展示了如何使用该工具扫描目标网站,并给出了一个实际的扫描示例,包括扫描过程中发现的真实IP地址。最后,文章提供了一个项目链接,供读者下载和进一步学习。
CDN绕过 子域名扫描 网络安全工具 IP地址查询 脚本语言 漏洞扫描 网络监控
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
