2022年 第47周 微信公众号精选安全技术文章总览
洞见网安 2022-11-21
0x1 实战 | crm系统getshell
小楊安全 2022-11-27T16:43:51 小楊
文章主要介绍了一次针对悟空CRM系统的实战攻击过程。悟空软件是一家提供企业管理软件研发、实施等服务的公司。攻击者通过常用登录后台路径和弱口令成功登录系统后台。随后,攻击者利用文件上传漏洞,通过BurpSuite抓包并替换文件后缀和内容,成功上传恶意PHP代码,从而获得系统Shell。此外,攻击者还利用SQL注入漏洞,通过BurpSuite抓取并修改请求参数,使用SQLMap工具进一步攻击,最终也成功拿下系统Shell。整个过程展示了攻击者如何利用系统漏洞进行攻击,并提醒了系统管理员需要注意的安全问题。
0x2 软件常见漏洞的解析
Linux网络安全 2022-11-26T12:00:40
本文详细解析了软件常见漏洞的类型、成因和影响。首先介绍了漏洞的定义和分类,包括0 day、1 day和历史漏洞,以及低级、中等、重要和严重漏洞等级。接着,文章重点分析了缓冲区漏洞,解释了其成因、常见类型(栈内和堆内溢出)以及如何利用。此外,还讨论了字符串漏洞和整数漏洞的常见问题,以及不正确的权限或身份验证漏洞的风险。最后,文章提出了预防措施,包括安全编码、代码审计、静态和动态测试,以及最小化特权和多重身份验证,强调了通过细致的软件设计和快速响应来减少漏洞和降低风险的重要性。
软件漏洞 缓冲区溢出 编码安全 输入验证 安全函数 静态测试 动态测试 网络安全
0x3 七种常见的电子邮件安全协议简析
天津恒御科技有限公司 2022-11-26T08:00:39
受新冠疫情影响,全球大部分企业开启远程办公模式,企业对电子邮件的依赖也达到了前所未有的程度。与此同时,电子邮
0x4 IPS双机直路部署
网络安全运维技术 2022-11-25T08:08:20
服务器区部署了多台应用服务器对外提供服务,服务器经常受到来自Internet的攻击和威胁。如图所示,企业部署IPS来保护应用服务器,主要防御针对服务器的入侵攻击和病毒攻击。为了避免单点故障,希望IPS双机部署在三层路由器和交换机之间。
0x5 记一系列文件上传漏洞的flag的挖掘过程
HK安全小屋 2022-11-24T19:24:06 juzi
A题解题过程:1.访问目标网站,发现是一个登录框,用户名和密码都已经填好的2.登陆后,发现是一个在线管理系统
0x6 安全运营内刊—威胁分析与响应能力—高隐匿性恶意软件Symbiote分析
天融信教育 2022-11-24T11:55:22
Symbiote是一种针对Linux平台的恶意软件,使用了多种hook技术藏匿自身行为,具有非常好的免杀性,主要功能是窃取登录凭据并在被感染机器上植入后门。
0x7 微软发布带外更新以修复由 CVE-2022-37966 补丁引起的 Kerberos 身份验证问题
黑猫安全 2022-11-24T09:56:44 鹏鹏同学
微软针对CVE-2022-37966漏洞发布了一个带外更新,该漏洞是一个影响Windows Server的权限升级漏洞,在2022年11月的周二补丁日得到了修复。然而,这个修复引起了Kerberos认证问题,导致用户、计算机、服务以及GMSA账户在安装了2022年11月8日发布的安全更新后可能出现认证失败的情况。微软对此进行了调查,并推出了一个带外更新来解决这个问题。该带外更新于2022年11月17日及之后通过Microsoft更新目录发布。微软建议尚未安装11月8日安全更新的客户直接安装带外更新;而已经安装了11月8日更新并且遇到认证问题的客户也应当安装这个带外更新。根据微软的说法,目前尚未发现有实际的攻击利用了CVE-2022-37966漏洞。
0x8 网络钓鱼19式
天津恒御科技有限公司 2022-11-24T08:00:30
根据《2021年网络安全威胁趋势报告》指出,网络钓鱼攻击占所有数据泄露的90%以上,远远超过恶意软件和勒索软
0x9 IPS单机直路部署
网络安全运维技术 2022-11-24T07:24:09
企业内网所有PC都可以访问Internet,企业部署了IPS来防御Internet针对客户端的入侵,并对内网用户下载的文件进行病毒扫描防止病毒扩散;同时防止员工对网络的滥用,上班时间不允许使用IM软件(如QQ、MSN等)。
0xa Vulnhub靶机-
loochSec 2022-11-24T00:00:08 © looch
Vulnhub靶机-myCmsms信息收集nmap -sV -sT -p- -sC 192.168.1.29
0xb 移动安全-SO文件安全与调用
午夜安全 2022-11-23T23:09:50 © 云痴
本文详细介绍了SO文件在移动安全中的重要性及其安全挑战。SO文件是Linux下的动态链接库,通常用C或C++编写,因其破解难度相对较高,常被用于存放APP的核心算法和敏感信息,并通过JAVA代码调用。尽管SO文件相对安全,但黑客仍会通过反编译等手段获取程序敏感信息,进行二次打包等恶意行为。为此,业界开发了多种SO文件加固技术,包括源码混淆、文件加壳、源码虚拟化、Linker加密压缩和防调用授权绑定等,以增强SO文件的安全性。文章还阐述了SO文件与JAVA的调用关系,通过一个具体的示例,指导读者如何新建Android项目,实现JAVA调用SO文件的功能,包括编写JAVA类、生成头文件、实现C函数、使用ndk-build生成SO文件,以及在APP中配置和调用SO文件。本文为移动程序分析提供了基础知识,有助于理解SO文件在移动安全中的角色和防护措施。
移动安全 SO文件 Android开发 JNI 逆向工程 代码安全 安全加固
0xc IPS旁路检测部署
网络安全运维技术 2022-11-23T17:49:53
介绍IPS旁路部署在交换机旁,接收交换机镜像流量进行检测的配置指导。此时IPS相当于IDS设备,只检测威胁不干预转发。
0xd 七种常见的电子邮件安全协议简析
天融信教育 2022-11-23T11:55:14
本文收集整理了目前常用的邮件安全协议并对其进行简单介绍。
0xe 防溯源连接webshell
星航安全实验室 2022-11-23T08:40:00 © 星航安全实验室
本文探讨了使用云函数隐藏连接Webshell本机IP地址的方法,以防止溯源。文章中提供了一个云函数创建的示例代码,该代码通过将Webshell地址作为参数传入云函数API中,在服务端重组地址和POST命令内容,然后将请求转发给Webshell。通过这种方式,每次请求都会显示为来自不同IP地址的上海地区腾讯云用户,从而实现隐藏真实IP地址的目的。文章还提到,可以使用蚁剑连接Webshell,并通过API网关触发云函数。此外,为了进一步增强隐秘性,建议对Webshell流量进行加解密操作,以逃避流量检测。
Webshell利用 反向代理与IP隐藏 流量加密与检测规避 云服务滥用
0xf 漏洞复现 JGraph draw.io服务器端请求伪造漏洞(CVE-2022-1713)
HK安全小屋 2022-11-23T00:00:07 h4yes
JGraph draw.io 18.0.4之前版本存在服务器端请求伪造漏洞。攻击者可利用该漏洞获取敏感信息。
0x10 Vulnhub靶机-No_name
loochSec 2022-11-22T22:10:58 © looch
Vulnhub靶机-NoName,该靶机难度较低,但是重点在于如何发现问题,解决问题。
信息收集 目录遍历 漏洞探测 Web安全 命令执行 权限提升 渗透测试
0x11 警惕 ! 新的网络钓鱼攻击使用 Windows 安全绕过 0 day 漏洞来投放恶意软件
软件评测中心 2022-11-22T18:00:13
本文详细介绍了近期一种新型的网络钓鱼攻击方式,该攻击利用了Windows的0day漏洞来绕过安全警告,投放Qbot恶意软件。攻击者通过从不受信任的远程位置下载文件时添加特殊的Web标记(MoTW)属性,在用户尝试打开文件时不会显示安全警告。分析发现,攻击者使用JavaScript文件分发Magniber勒索软件,并利用Windows脚本宿主(wscript.exe)执行带有“.JS”扩展名的独立文件。此外,攻击者还使用格式错误的签名来利用Windows 0day漏洞,使得恶意文件运行时不会触发安全警告。QBot恶意软件活动使用Windows 0day漏洞,通过分发包含ISO映像的受密码保护的ZIP存档来分发恶意软件。Microsoft已经在2022年11月的补丁星期二中发布了修复此问题的安全更新。文章还提到了QBot恶意软件的详细信息,包括其发展历程和可能的攻击目标。
0x12 Atlassian Bitbucket Server and Data Center命令注入漏洞风险提示
安恒信息CERT 2022-11-22T14:59:01
近日,安恒信息CERT监测到Atlassian发布的Bitbucket Server and Data Center软件存在一个命令注入漏洞(CVE-2022-43781),该漏洞CVSS评分为9.8,属于高危漏洞。该漏洞允许攻击者通过具有控制用户名权限的方式,利用环境变量执行系统命令。漏洞影响范围包括7.0至7.21版本(部分版本在特定配置下也受影响),以及8.0至8.4版本。官方已发布安全版本进行修复,建议用户尽快升级以避免安全风险。同时,由于漏洞细节未公开,存在被恶意利用的风险,用户应采取临时缓解措施,如关闭前台注册功能等。
命令注入漏洞 系统安全 版本更新 Git存储库管理 Atlassian产品 安全公告 漏洞影响范围 缓解措施
0x13 谷歌提供了检测数十个破解版本的Cobalt Strike的规则
黑猫安全 2022-11-22T09:42:58 鹏鹏同学
谷歌云研究人员发现了34个不同的Cobalt Strike黑客版本,这些版本中共有275个独特的JAR文件。Cobalt Strike是一种付费渗透测试产品,允许攻击者在受害者机器上部署代理以执行各种恶意活动。研究人员开发了一套YARA规则,以高度准确地检测这些变种。他们注意到每个版本都包含约10到100个攻击模板二进制文件,并编目了自1.44版以来使用的XOR编码。此外,他们发现野外攻击中使用的破解版本通常至少落后一个发布版本。因此,谷歌研究人员专注于这些版本,制作了数百个独特的签名,并将其集成到VirusTotal中,同时也作为开源发布,以提高整个行业的开源安全性。
渗透测试工具 恶意软件检测 网络安全威胁情报 开源安全 版本控制
0x14 【涨知识】疑似OilRig组织Powershell后门分析
北京观成科技 2022-11-21T16:02:20 © hmj
近期,观成科技安全团队对疑似OilRig组织的恶意文档进行了深入分析。该文档通过宏代码释放三个脚本文件,并创建计划任务以实现持久化。主要恶意行为包括通过Powershell脚本与服务器通信,使用AES-256-CBC算法加密命令和执行结果,并通过HTTP协议传输。通信过程中,脚本会获取默认浏览器信息,并根据不同的UserAgent发送请求。指令类型包括获取命令、执行命令并上传结果、以及文件操作指令。观成科技的安全系统已经能够检测此类Powershell后门。
恶意软件分析 Powershell后门 加密通信 网络钓鱼 持久化攻击 威胁情报 安全检测
0x15 Burp自定义参数替换插件CPH插件实战案例
博智非攻研究院 2022-11-21T15:42:17 © 赵光红
渗透测试过程中往往会碰到CSRF-TOKEN或者凭证泄漏等情况,此时一般需要将返回包进行替换,替换的方式很多例如header头替换、响应包替换给请求包等。本文使用burp-宏以及burp插件burp-cph实现响应包替换,完成对应的测试项。
0x16 【样本获取】通过WireShark将pacp数据包传输的文件还原
小阿辉谈安全 2022-11-21T15:08:06 ©
蓝队技能,文件流量还原技术
0x17 记一次某云平台高危sql注入漏洞的挖掘思路和最新案例
ATZXC红蓝对抗 2022-11-21T12:59:59 清泉
本文详细介绍了某云平台高危SQL注入漏洞的挖掘思路和最新案例。文章首先讲述了如何通过谷歌搜索找到潜在注入点,并对比了谷歌与百度的搜索结果差异。接着,列举了SQL注入的常见绕过方式,如大小写变换、编码绕过、溢出绕过等,并强调了结合不同方法的重要性。文章还提到了伪静态页面和非常见位置的SQL注入测试方法,以及如何利用base64编码绕过WAF。最后,通过两个实际案例,展示了如何手动挖掘SQL注入漏洞,包括信息泄露、账号密码获取、数据库名暴露等关键步骤,为网络安全学习者提供了宝贵的实战经验。
0x18 JBOSS反序列化远程代码执行漏洞分析
Zner sec 2022-11-21T11:08:14 © Zner sec
本文详细分析了JBOSS反序列化远程代码执行漏洞。该漏洞存在于JBoss AS 4.x及之前的版本中,特别是JbossMQ实现过程中的HTTPServerILServlet.java文件。攻击者可以利用该漏洞通过特制的序列化数据执行任意代码,从而控制目标主机或服务器。文章介绍了JBOSS的基本信息,包括其作为J2EE应用服务器的角色和功能。漏洞的危害被描述为攻击者可以执行远程代码,影响版本信息列出了多个受影响的JBoss产品版本。文章还提供了漏洞复现的步骤,包括环境搭建、存在漏洞路径、反序列化调用过程和漏洞验证。接着,文章深入分析了漏洞的根源,即ObjectInputStream类没有对反序列化时生成的对象类型进行限制。最后,文章提供了漏洞修复的建议,包括升级到JBOSS AS7和临时解决方案。
远程代码执行(RCE) JBOSS 漏洞 Java 序列化漏洞 Web 应用安全 代码审计 漏洞利用链 安全修复 安全工具
0x19 漏洞复现--西迪特 Wi-Fi Web管理系统--未授权RCE漏洞
HK安全小屋 2022-11-21T09:21:45 juzi
本文介绍了西迪特Wi-Fi Web管理系统中的一个未授权远程代码执行漏洞。该漏洞存在于西迪特提供的Wireless解决方案中,该解决方案提供了一套云管理、高可靠性、覆盖范围广的无线组网产品。攻击者可以利用这个漏洞获取服务器的权限。文章详细描述了如何通过抓包和构造数据包来复现这个漏洞,提供了相应的HTTP请求示例,包括请求方法和参数。成功复现了漏洞,并提醒读者不要利用文章中的技术进行非法测试,避免产生不良后果。
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
