2019年 第42周 微信公众号精选安全技术文章总览
洞见网安 2019-10-21
0x1 原创干货 | 【恶意代码分析技巧】13-HOOK与注入
云众可信 2019-10-25T18:06:50 © elfbin
本文深入探讨了网络安全领域中常见的挂钩(HOOK)和注入技术,这些技术被恶意代码广泛使用以提高其隐蔽性和执行难度。文章首先介绍了挂钩技术的不同类型,包括消息钩子、IAT钩子、Inline钩子等,并详细解释了如何使用SetWindowsHookEx和SetWinEventHook等API来实现消息和事件钩取。接着,文章讨论了DLL劫持技术,包括AppInit_DLLs和AppCert DLL,这些技术允许攻击者在注册表中注入恶意DLL,从而实现DLL注入。此外,文章还介绍了跨进程写内存技术,如VirtualAlloc和WriteProcessMemory,以及如何利用共享内存进行注入。最后,文章探讨了远程线程注入、APC注入和Hollowing技术,这些技术都是攻击者常用的手段来控制或注入恶意代码到目标进程中。
恶意代码分析 Windows系统安全 API Hook DLL注入 跨进程攻击 远程注入 APC注入 傀儡进程 线程执行劫持 网络安全防御
0x2 thinkCMS 文件包含简单分析
頭髪的特計 2019-10-25T15:23:52 P1an0
文章分析了thinkCMS文件包含漏洞,该漏洞存在于HomeBaseController.class.php和AdminBaseController.class.php文件中的fetch和display函数。这两个函数调用了view.class.php中的fetch函数,而fetch函数在处理模板文件时存在安全风险。具体漏洞位置在view.class.php的第112行,代码中对模板文件的包含操作没有进行严格的输入限制,导致攻击者可以通过修改参数来包含恶意文件。文章建议通过限制fetch和display函数的访问权限来修复此漏洞,并指出了具体的修复措施。此外,文章还提到了通过修改配置文件来启用PHP原生模板引擎,以及如何通过Hook机制进行视图解析和内容过滤。攻击者可以利用该漏洞通过指定参数aPOC:index.php?a=display&tempFile=readme.txt来触发文件包含攻击。
0x3 如何进行子域名收集?
ListSec 2019-10-25T08:00:00 © 凉城
本文详细介绍了子域名收集在渗透测试中的重要性,由于主站安全措施严密,渗透测试者往往需要从子站入手。文章推荐了多个在线子域名查询网站和工具,包括phpinfo.me、virustotal以及多个实用工具如subDomainsBrute、findomain、Theharvester、layer子域挖掘机和Sublist3r。这些工具通过不同的方法如字典爆破、证书透明日志、API等来发现子域。此外,还介绍了如何使用GitHub和搜索引擎如Google、fofa.so来查找子域。文章强调,虽然工具众多,但只需掌握几个好用的工具即可满足日常渗透测试需求。
信息收集 渗透测试 子域名爆破 网络安全工具 在线服务 开源工具 跨平台 搜索引擎利用
0x4 PHP FPM远程代码执行预警
安恒信息CERT 2019-10-24T10:13:42 ©
本文介绍了PHP FPM远程代码执行漏洞(CVE-2019-11043)的相关信息。2019年9月26日,PHP官方发布了关于该漏洞的补丁公告,指出在NGINX搭载PHP FPM的组合下,若FastCGI配置不安全,将存在远程代码执行风险。该漏洞可通过精心构造的payload触发,攻击者可能利用该漏洞在网站目录下写入Webshell,创建后门。文章详细分析了漏洞的触发条件、影响版本和缓解措施,建议用户及时更新安全补丁或启用官方推荐的配置示例,并部署WAF等安全防护设备。同时,文章也提醒企业应关注安全更新公告,并通过安全开发代码加固用户输入过滤。
远程代码执行 PHP漏洞 FastCGI配置 CVE编号 Web服务器安全 安全补丁 安全开发
0x5 PHP-FPM 远程代码执行漏洞(CVE-2019-11043)
ListSec 2019-10-24T08:01:18 凉城
在使用一些有错误的Nginx配置的情况下,通过恶意构造的数据包,即可让PHP-FPM执行任意代码。
0x6 Microsoft SQL Server新恶意软件曝光,允许黑客秘密控制系统
ISEC安全e站 2019-10-23T14:02:45 ISEC安全e站
ESET的安全研究人员发现了一种名为“skip-2.0”的新恶意软件,该软件专门针对微软SQL Server(MSSQL)系统,影响MSSQL Server 11和12版本。这种恶意软件能够让黑客使用特定的魔术密码连接到任何MSSQL帐户,并且自动隐藏这些连接的日志,使其活动难以被检测。恶意软件通过在后门导入sqlserv.exe进程中加载sqllang.dll来实现绕过身份验证、禁用日志和事件发布机制等功能,从而允许黑客在MSSQL服务器中长时间执行命令而不被发现。尽管MSSQL Server 11和12并非最新版本,但它们是最广泛使用的版本。因此,专家建议用户尽快升级到最新版本的安全更新,并采用更复杂的密码以提高安全性。
恶意软件 SQL Server 安全 后门攻击 系统潜伏 安全更新 密码安全
0x7 原创干货 | 利用屏幕保护程序进行权限维持
云众可信 2019-10-22T18:00:00 © Jaky
本文深入探讨了利用屏幕保护程序进行权限维持的网络安全技巧。文章首先介绍了屏幕保护程序的历史设计和功能,强调了攻击者可能利用这一特性来隐藏恶意程序,实现权限维持的目的。接着,文章详细描述了利用屏幕保护程序进行攻击的具体过程,包括恶意程序的存放位置、植入方式(通过CMD和Powershell),以及如何设置监听和执行exploit来获取shell。文章还提到了用户在线使用电脑时屏幕保护程序不会启动的问题,并建议制作与系统相似的屏幕保护程序以增强隐蔽性,同时强调了进行免杀处理的重要性。最后,文章以敌不动我动、敌动我不动的策略提醒网络安全的重要性。
屏幕保护程序攻击 权限维持 恶意软件植入 注册表修改 免杀处理 网络安全防御 渗透测试
0x8 Linux严重Wi-Fi漏洞曝光
ISEC安全e站 2019-10-22T14:12:57 ISEC安全e站
据报道,研究人员近期发现Linux中存在严重安全漏洞,追踪为CVE-2019-17666,会导致附近使用 WiFi 信号的设备崩溃......
0x9 泛微e-cology OA系统 WorkflowCenterTreeData SQL注入
ListSec 2019-10-22T00:00:25 凉城
泛微e-cology OA系统的WorkflowCenterTreeData接口在使用Oracle数据库时存在SQL注入漏洞。该漏洞源于内置SQL语句拼接不严密,允许攻击者远程发送精心构造的SQL语句,从而未经授权获取数据库敏感信息。受影响的产品版本包括泛微e-cology OA系统的JSP版本。攻击者通过POST请求,利用大量的换行符和特定的SQL语句,可以获取数据库参数的值。此漏洞已被CNVD收录,并在GitHub上提供了相关检测脚本和漏洞详情。
SQL注入 OA系统漏洞 Oracle数据库 远程代码执行 信息安全
0xa 在Server 2016中创建AD用户和组
ListSec 2019-10-20T16:03:42 凉城
本文详细介绍了在Server 2016系统中创建活动目录(AD)用户和组的过程。首先,文章区分了两类用户:标准用户和域管理用户,并指出了它们的权限差异。接着,作者描述了创建用户的具体步骤,包括复制Administrator账户、填写用户信息、设置满足复杂度要求的密码,并将用户移动到相应的组织单位(OU)。文章还提到了创建用户时的一个小技巧,即使用“复制”功能以提高效率。最后,文章说明了创建组的步骤,包括新建组、填写组名、添加组成员,并确保所有操作顺利完成。整个过程旨在为IT系统管理员提供清晰的操作指南。
身份验证与访问控制 密码策略 组织单位(OU)管理 域环境安全 用户账户管理 组策略管理
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
