2023年 第42周 微信公众号精选安全技术文章总览
洞见网安 2023-10-16
0x1 u200b内网穿透工具Ngrok加密流量分析
信息安全与通信保密杂志社 2023-10-20T19:23:05 xhbw
本文详细分析了内网穿透工具Ngrok的加密流量。Ngrok是一款使用Go语言开发的内网穿透工具,支持TCP、HTTP和TLS协议,主要用于解决外网客户端无法访问内网资源的问题。文章首先介绍了Ngrok的概述、原理和使用方法,包括攻击者如何利用Ngrok将内网服务映射至公网。接着,分析了Ngrok的流量分析,指出Ngrok在TLS通信过程中维持长连接,具有规律的心跳特征。最后,文章讨论了如何通过指纹过滤、特征匹配和流量行为分析等方法检测Ngrok工具的TLS流量,并总结了Ngrok工具的使用对网络安全带来的挑战和检测的难度。
内网安全 网络安全工具 加密通信 流量分析 网络渗透 安全检测
0x2 MATA 恶意软件利用EDR攻击东欧能源企业和国防工业
FreeBuf 2023-10-20T19:02:18 小王斯基
Bleeping Computer 披露,2022年8月至2023年5月,网络安全研究人员在针对东欧石油天然气公司和国防工业的攻击中发现了MATA后门框架的新变种。攻击者通过鱼叉式网络钓鱼邮件诱使目标下载恶意文件,利用CVE-2021-26411漏洞启动感染链。MATA框架包含加载器、主木马和信息窃取器,实现网络中的后门和持久化。卡巴斯基发现多个MATA恶意软件样本,攻击者破坏了财务软件服务器的网络系统,并访问安全解决方案的管理面板。MATA恶意软件有多个版本,包括适用于Linux服务器的ELF文件形式。最新版本支持多种操作和命令,包括与C2服务器的连接、流量转发和信息收集。攻击者还利用CVE-2021-40449漏洞绕过EDR和安全工具。MATA恶意软件的来源存在疑点,可能与Lazarus黑客组织有关,但新变种与Purple、Magenta和Green Lambert等APT组织相似。
恶意软件攻击 鱼叉式网络钓鱼 CVE漏洞利用 端点检测与响应(EDR) 信息窃取 持久化攻击 APT组织 跨平台攻击 安全漏洞利用 网络钓鱼攻击
0x3 类型 | PHP数据特征分类大揭秘!看看你的西瓜和傻瓜有什么区别?
大伯为安全 2023-10-20T17:00:27 © d0ublewei
撰写论文摘要时,应简洁明了地概括论文的主要信息,使读者能够在短时间内了解论文的概貌。摘要应避免冗长和复杂的句子,尽量使用简练的语言。摘要是整篇文章的浓缩预览,被排放在论文的首要位置,很多老师审稿时通过摘要了解论文的研究内容及层次。摘要应当包括研究背景、目的、方法、结果和结论等要素[[6, 13]]。摘要字数要求在300~400字之间,具有独立性,即使不看论文全文的内容,仍然可以理解论文的主要内容。
0x4 实战|记一次反诈骗的渗透测试
LemonSec 2023-10-20T12:32:16 耳旁有首歌
该文章讲述了一位网络安全学习者如何通过朋友被骗的案件进行渗透测试的故事。学习者获取了诈骗网站的地址,并通过对端口、后台路径的探测,成功以admin:123456登录了网站后台。在尝试获取shell时,遭遇了云盾封禁的函数限制,但通过使用带有bypass功能的工具成功执行了命令。由于www用户权限有限,学习者发现了一个杀猪盘工具,并强调了微信交易的重要性。在尝试访问数据库时遇到问题,搭建了frp进行访问,但由于权限限制无法直接提权。最后,学习者利用CVE-2018-18955漏洞成功提权,并将收集到的信息提交给朋友和警方,未再深入挖掘。整个过程展示了网络安全学习者在实战中的思路和方法。
网络钓鱼 Web安全 服务器安全 漏洞利用 数据库安全 内网渗透 应急响应
0x5 极验账户后台验证数据的观察方法与案例分享
极验 2023-10-20T09:02:29 © 极验
本文深入探讨了极验账户后台验证数据的观察方法与案例分享。文章首先介绍了极验后台如何展示验证请求量、验证交互量、验证校验量等数据,并强调了极验不仅仅是一个安全产品,更是提供全过程业务安全服务的平台。文章详细解释了验证码的验证流程,涉及C端用户、网站/APP平台和验证码提供商三个主体。接着,文章针对行为验3.0和4.0的后台数据进行了说明,并分析了不同数据指标的含义。文章通过实际案例,如某在线教育平台短信接口被滥用的情况,展示了如何通过数据分析解决实际问题。最后,文章强调了正确应用数据指标的重要性,以及极验致力于提供专业客户服务,帮助客户优化安全措施,确保在线业务安全。
0x6 【漏洞分析】JMX漏洞-攻击方法
猫蛋儿安全 2023-10-20T09:00:20 ©
JMX是一个为应用程序、设备、系统等植入管理功能的框架。JMX可以跨越一系列异构操作系统平台、系统体系结构和网络传输协议,灵活的开发无缝集成的系统、网络和服务管理应用。在审计代码的时候总是发现很多框架对于jmx都没有进行防护。
0x7 Metasploit 渗透测试之制作隐藏后门
一个努力的学渣 2023-10-19T22:42:40 一个努力的学渣
本文详细介绍了利用Metasploit框架进行网络安全渗透测试,特别是针对Windows 10系统的CVE-2020-0796漏洞(永恒之黑)的利用过程。文章首先强调了隐藏后门的重要性,随后详细讲解了如何利用该漏洞获取目标计算机的最高权限,并演示了如何创建隐藏后门以维持持久性访问。文章还包括了如何在目标主机上开启远程桌面服务、创建RDP用户、以及如何通过修改注册表关闭网络级身份验证(NLA)以实现远程桌面连接。此外,文章还探讨了如何收集目标主机用户信息、植入后门程序、隐藏进程、清理系统日志以及如何通过脚本自动化创建后门的过程。
网络安全漏洞 渗透测试 后门技术 远程桌面协议 Linux无文件木马 脚本编写 日志清理 Windows系统安全 Linux系统安全
0x8 thinkphp rce-log4j2-宏感染-安卓客户端渗透
一个努力的学渣 2023-10-19T22:42:40 一个努力的学渣
本文详细介绍了Vulhub靶场环境的搭建过程,包括安装Docker环境、配置国内yum源、安装Docker和docker-compose等步骤。文章首先讲解了如何安装Docker环境,包括安装依赖、配置国内yum源和安装Docker-ce。接着,文章介绍了如何配置Docker镜像加速,以加快镜像下载速度。随后,文章详细说明了如何使用vulhub靶场,包括下载和安装vulhub靶场环境、启动靶场环境、复现漏洞等步骤。文章以ThinkPHP 5.0.23 RCE漏洞和Apache Log4j2漏洞为例,展示了如何通过Docker和docker-compose启动靶场环境,并通过相应的复现步骤进行漏洞测试。此外,文章还介绍了如何使用MSF进行漏洞利用,包括生成后门、配置监听、执行payload等操作。最后,文章简要提到了利用宏感染Word文档获取shell和安卓客户端渗透的方法。
网络安全环境搭建 Docker应用 漏洞复现 漏洞分析 渗透测试 代码审计 恶意代码分析 移动安全 操作系统安全
0x9 Metasploit安全审计之信息收集
一个努力的学渣 2023-10-19T22:42:40 一个努力的学渣
本文详细介绍了使用Kali Linux和Metasploit框架进行网络安全渗透测试的方法和技巧。文章首先介绍了Kali Linux的更新命令和Metasploit框架的基本使用,包括如何启动MSFdb、使用nmap和arp_sweep收集主机信息。接着,文章详细讲解了如何使用Metasploit进行TCP端口扫描、密码嗅探,以及如何利用SMB、SNMP和SSH协议收集主机信息。具体内容包括使用smb_version扫描SMB协议版本、使用snmp_enum进行SNMP枚举、使用smb_enumshares枚举SMB共享文件、使用smb_lookupsid扫描系统用户信息,以及基于SSH和FTP协议进行版本扫描、登录尝试和暴力破解。文章还提到了如何通过搜索sploit数据库查找特定漏洞的利用模块,以及如何使用这些模块进行攻击。
网络安全工具 渗透测试 信息收集 漏洞利用 字典攻击 端口扫描 密码嗅探 系统枚举 SSH服务 FTP服务
0xa 使用windows和linux客户端进行渗透的审计
一个努力的学渣 2023-10-19T22:42:40 一个努力的学渣
本文详细介绍了客户端渗透的原理和技巧,包括利用社会工程学诱骗受害者执行恶意程序,以及如何通过免杀技术躲避安全软件的查杀。文章重点讲解了使用Metasploit框架(MSF)进行客户端渗透的步骤,包括生成恶意程序、捆绑后门文件、设置自动播放病毒、注册机捆绑恶意程序上线MSF等。此外,文章还介绍了如何制作针对Linux系统的恶意软件,包括生成Linux可执行文件、制作恶意deb软件包和恶意rpm软件包,以及如何触发后门。全文提供了详细的命令行操作步骤和注意事项,对于网络安全学习和研究具有一定的参考价值。
网络安全 渗透测试 恶意软件 社会工程学 免杀技术 漏洞利用 操作系统安全 软件打包 虚拟化安全 安全工具
0xb 【涨知识】内网穿透工具Ngrok加密流量分析
北京观成科技 2023-10-19T13:41:55 © xhbw
本文详细介绍了内网穿透工具Ngrok的原理、使用方法、流量分析以及产品检测。Ngrok是一款基于Go语言开发的内网穿透工具,支持TCP、HTTP和TLS协议,主要用于解决外网客户端无法访问内网资源的问题。文章首先概述了Ngrok的功能和特点,随后解释了其工作原理,包括攻击者如何将内网服务映射至公网,例如Windows的RDP服务和Linux的SSH服务。接着,文章分析了Ngrok的流量特征,包括其使用TLS1.3协议进行加密通信,以及心跳特征的周期性变化。最后,文章介绍了如何通过指纹过滤、特征匹配和流量行为分析等方法检测Ngrok的TLS流量,并强调了Ngrok在隐藏攻击信息和意图方面的挑战。观成科技安全研究团队对此类工具进行了持续的研究,以帮助客户及时发现内网穿透攻击行为或潜在风险。
网络安全工具 内网安全 网络渗透 流量加密 流量分析 安全检测 安全研究
0xc \"毒鼠\"后门病毒再升级 通过伪造官网传播
火绒安全 2023-10-18T18:05:30 © 火绒安全实验室
近期,火绒威胁情报系统发现一批通过伪造官网传播的盗版软件安装包,其中包含名为“毒鼠”的后门病毒。该病毒能够执行截取屏幕图像、远程控制等恶意行为,且具备多种免杀手段。火绒安全产品可拦截查杀该病毒,建议用户及时更新病毒库。病毒通过伪造的Telegram官网诱导用户下载,释放恶意文件并执行多种恶意操作。病毒样本分析显示,其基于“银狐”变种,与“谷堕大盗”、“游蛇”、“Xidu”等黑产组织相关联。病毒通过复杂的执行流程,包括下载、解密、执行shellcode等步骤,实现持久化和远程控制。此外,病毒作者还托管了其他类型的远控木马及其变种,表明其背后有较大的黑产团伙支持。
0xd 免杀之玩坏ChatGPT——铁树开花-基础本地加载
猫蛋儿安全 2023-10-18T09:24:04 © MDSEC
免杀之玩坏ChatGPT——铁树开花-基础本地加载过360,火绒等,附带源码
0xe 铭说|在野DNS隧道流量研究
聚铭网络 2023-10-17T17:36:01
本期铭说将带您一起了解在野DNS隧道流量研究。
0xf NMAP高级使用技巧和漏洞扫描发现
一个努力的学渣 2023-10-17T15:09:46 一个努力的学渣
本文详细介绍了网络安全工具Nmap的功能和用法。Nmap是一款网络探测和安全扫描程序,可以用于扫描大型网络,获取主机状态和服务信息。文章涵盖了Nmap支持的多种扫描技术,如UDP、TCP全连接、SYN扫描等,以及如何使用Nmap进行端口扫描、主机发现、端口发现、服务发现、操作系统检测等。此外,文章还介绍了Nmap的语法和示例,包括如何使用Nmap扫描特定端口、扫描特定IP地址、扫描IP范围、使用半开扫描和TCP Connect扫描等。最后,文章提到了Nmap的图形界面工具Zenmap的使用方法和Nmap脚本的基本类型,以及如何使用Nessus进行漏洞检测和插件升级。
网络安全工具 网络扫描 端口扫描 漏洞检测 操作系统识别 防火墙绕过 安全脚本 离线安装 插件管理 安全配置
0x10 WireShark抓包及常用协议分析
一个努力的学渣 2023-10-17T15:09:46 一个努力的学渣
WireShark是一款强大的网络封包分析软件,它通过WinPCAP接口直接与网卡交换数据报文。该软件能够截取网络封包,并提供详细的网络封包信息。WireShark在统计方面表现出色,可以帮助用户了解网络流量和会话信息。它适用于网络管理员、网络安全工程师、开发者和普通用户,用于网络问题检测、安全相关问题检查、协议排错和学习网络协议知识。文章中介绍了WireShark的使用技巧,包括确定物理位置、选择捕获接口、使用捕获和显示过滤器、着色规则、构建图表和重组数据。此外,还讲解了WireShark的混杂模式、过滤器使用方法,以及如何分析常用协议如ARP、ICMP、TCP和HTTP的抓包原理。最后,文章通过一个案例展示了如何使用WireShark解决服务器被黑导致无法上网的问题,包括TTL值的修改和MTR工具的使用。
网络分析工具 协议分析 抓包技巧 过滤器使用 混杂模式 网络安全实践 学习资源
0x11 Openfire身份认证绕过漏洞(CVE-2023-32315)
水网火安 2023-10-17T11:22:39
近日,绿盟科技CERT监测到Openfire控制台存在身份认证绕过漏洞(CVE-2023-32315)。该漏洞允许未经身份验证的攻击者通过路径遍历攻击访问管理员用户界面,从而获取服务器权限并执行任意代码。Openfire是一个基于XMPP协议的实时协作服务器,提供多种通讯服务。受影响的用户应尽快升级至最新版本或采取限制访问、使用身份验证过滤清理器插件等措施进行防护。官方已发布补丁程序和安全更新,建议用户及时关注官方安全公告并实施网络安全措施,以降低风险。
身份认证漏洞 路径遍历攻击 XMPP协议 Java开源软件 实时协作服务器 安全公告 网络安全措施 漏洞防护
0x12 Google 采用密钥作为所有用户的默认登录方式
水网火安 2023-10-17T11:22:39
Google近期宣布将密钥作为所有用户的默认登录方式,这一举措标志着无密码登录标准的推广。用户将不再需要依赖传统的用户名和密码进行身份验证,而是通过创建和使用密钥来简化登录过程。密钥作为一种新型身份验证方式,不仅消除了记忆密码的困扰,还提供了额外的安全保护,如抗网络钓鱼功能,以防止账户被接管攻击。这一变化旨在提升用户体验的同时,增强账户的安全性。相关信息可在以下网址找到:Google adopts passkeys as default sign-in method。
0x13 DarkGate恶意软件活动滥用Skype和Teams
黑猫安全 2023-10-17T09:42:09 鹏鹏同学
趋势科技的研究人员在7月至9月期间发现了一个恶意活动,名为DarkGate,它滥用Skype和Teams等即时通讯平台向受害者投递VBA加载器脚本。这些脚本含有DarkGate恶意软件的AutoIT脚本,该恶意软件支持多种功能,包括远程访问、加密货币挖矿、键盘记录和信息窃取等。攻击者通过泄露的凭据获取即时通讯应用的起源账户,并利用两个组织之间的信任关系,欺骗接收者执行VBA脚本。在Skype中,VBS文件被伪装成PDF文档,而在Teams中,攻击者隐藏了.LNK文件。大部分攻击发生在美洲地区,其次是亚洲、中东和非洲。趋势科技警告,任何新应用程序的引入都需仔细审查,以防止扩大攻击面,因为网络犯罪分子可以利用这些载荷感染系统。
恶意软件 社会工程学 即时通讯平台安全 信息窃取 加密货币挖矿 远程访问软件 键盘记录 特权提升 文件伪装 网络安全防范
0x14 思科(CISCO)警告称,正在活跃利用IOS XE的零日漏洞
黑猫安全 2023-10-17T09:42:09 鹏鹏同学
思科警告称其IOS XE软件中存在一个被追踪为CVE-2023-20198的零日漏洞,CVSS得分为10,表明该漏洞极为严重。攻击者利用此漏洞可以在受影响系统上创建具有管理员权限(15级访问权限)的账户,进而控制路由器。该漏洞影响启用了Web UI功能且使用HTTP或HTTPS服务器的设备。思科建议检查系统日志以识别潜在的入侵迹象,并特别指出要留意用户名为cisco_tac_admin、cisco-support等异常本地用户账户的创建活动。根据思科Talos的研究,从2023年9月28日至10月12日期间,已经观察到至少两波针对该漏洞的攻击尝试,这些攻击可能来自同一威胁行为者。为了减轻风险,思科强烈推荐在所有面向互联网的系统上禁用HTTP和HTTPS服务器功能,并通过执行特定配置命令来确保这些服务不会意外重新启用。目前尚无官方修复程序可用。
零日漏洞 远程代码执行 未授权访问 网络设备安全 漏洞利用 持久化攻击 紧急响应
0x15 SlientSC 10.17 红队免杀加载器分享
猫蛋儿安全 2023-10-17T09:01:15 猫蛋儿
声明:此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授
0x16 金蝶EAS myUploadFile任意文件上传漏洞
揽月安全团队 2023-10-16T08:50:51 © 法老
金蝶EAS myUploadFile任意文件上传漏洞
0x17 你对恶意软件的认知有多少?
恒御科技 2023-10-16T08:00:26
本文详细介绍了恶意软件的定义、分类、传播方式及其危害。恶意软件包括病毒、蠕虫、特洛伊木马等,它们通过破坏软件进程来实施控制,常见的传播途径包括浏览恶意网站、下载不安全程序等。文章对病毒、蠕虫、木马等恶意软件的特点进行了阐述,并提到了混合型恶意软件、机器人程序、勒索软件、无文件恶意软件、广告软件、恶意广告、间谍软件等。同时,文章也提供了避免恶意软件入侵的建议,如不点击邮件中的可疑链接、不轻信网页广告、拒绝不安全的插件安装请求等。
恶意软件 病毒 蠕虫 木马 混合型恶意软件 勒索软件 无文件恶意软件 广告软件 间谍软件 网络安全防护
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
