2021年 第48周 微信公众号精选安全技术文章总览
洞见网安 2021-11-29
0x1 VMware 修补文件读取、vCenter Server 中的 SSRF 漏洞【软件安全(本)】
水网火安 2021-12-05T09:47:26
VMware近日发布了针对其vCenter Server产品的两个安全漏洞的补丁。第一个漏洞CVE-2021-21980,被评级为高严重性,允许攻击者通过访问vCenter Server的端口443来读取任意文件并获取敏感信息。第二个漏洞CVE-2021-22049,评级为中等严重性,影响vSphere Web Client和vSAN Web Client插件,攻击者可能通过访问外部URL或内部服务来利用此问题。VMware已发布补丁,但用户需尽快安装以防止潜在攻击。此外,VMware还提醒用户,由于补丁尚未发布,应采取变通措施。近期,VMware还发布了针对其他vCenter Server漏洞的补丁,但部分补丁尚未可用。
漏洞披露 文件读取漏洞 服务器端请求伪造(SSRF) VMware vCenter Server 安全补丁 网络攻击 漏洞利用 安全最佳实践
0x2 恶意PyPI Python,窃取Discord安装shell【软件安全(本)】
水网火安 2021-12-05T09:47:26
网络安全研究人员近期揭露了11个恶意Python包,这些包在Python包索引(PyPI)上累计下载超过41,000次,主要用于窃取Discord访问令牌和密码。这些恶意软件包被伪装成合法依赖项,包括“importantpackage”、“10Cent10”及其变体,它们在受感染的机器上获得了反向外壳,使攻击者能够完全控制系统。另外两个包“ipboards”和“trrfab”则利用依赖项混淆技术自动导入。JFrog的高级研究主管Menashe指出,恶意软件包使用高级规避技术,如信息外泄和DNS隧道传输数据,这表明攻击者在攻击开源软件时能够更好地隐藏其行为,这一趋势令人担忧。
恶意软件攻击 开源软件安全 软件供应链攻击 依赖项混淆 信息泄露 DNS隧道 网络安全趋势 Python安全
0x3 泛微 e-office v9.0任意文件上传漏洞(CNVD-2021-49104)
Y1X1n安全 2021-12-05T08:00:00 © srn7sec
泛微e-office v9.0存在任意文件上传漏洞(CNVD-2021-49104),攻击者可通过上传恶意代码获取服务器控制权。漏洞源于上传模块对用户输入处理不当,当uploadType参数设为eoffice_logo时,未对文件进行校验。通过构造特定数据包,攻击者可在服务器上执行任意代码。该漏洞影响泛微e-office V9.0版本。复现漏洞的POC已公开,涉及上传包含PHP代码的文件,并通过eval()函数执行任意命令。修复方案已由厂商提供,建议用户下载并应用安全补丁。该信息仅供网络安全爱好者技术讨论,禁止用于非法途径。
文件上传漏洞 代码执行 服务器控制权获取 漏洞复现 修复方案 安全预警
0x4 几分钟内可利用的常见云错误配置报告
天津恒御科技有限公司 2021-12-04T08:00:00
研究清楚地表明,鉴于“这些面向互联网的服务大多连接到其他云工作负载,”这些常见的错误配置能以多快的速度导致数据泄露或攻击者破坏整个网络,Chen写道。他说,这强化了快速缓解和修补安全问题的重要性。
0x5 psexec 工具
墨守安全 2021-12-03T09:00:00 © 键盘侠
psexec工具是一种轻量级的telnet替代品,属于Sysinternals的PsTools套件,用于在其他系统上执行进程并保持控制台应用程序的交互性。该工具无需安装客户端软件即可在Windows NT 4.0及以上版本的系统上工作。psexec通过在远程目标机器上创建一个名为“PSEXESVC”的二进制文件的服务来实现远程执行,并在命令执行完毕后自动删除该服务。文章详细介绍了psexec的语法、使用环境、原理以及如何在远程系统上使用psexec来执行命令。此外,文章还讨论了psexec的使用条件,如需要远程系统开启admin$共享,并提供了实际使用psexec的步骤和示例。
远程执行 系统工具 Windows渗透测试 网络攻击 IPC共享 安全漏洞利用
0x6 0day通用DLL生成器-MS17010演示
K8实验室 2021-12-02T08:19:17 k8gege
本文介绍了一款名为Ladon8.9的Windows 0day漏洞通用DLL注入生成器。该工具能够在5KB大小的DLL文件中嵌入恶意代码,适用于0day攻击场景。文章详细描述了该工具的更新功能和用法,包括对CVE-2021-40444 Microsoft MSHTML远程代码执行漏洞的支持,以及如何利用MS17010等溢出漏洞执行命令。此外,文章还介绍了如何使用Ladon GUI进行DLL生成和测试,以及如何利用该工具通过MS17010漏洞进行CS上线和NC反弹shell。文章提供了具体的命令示例和步骤,以便用户能够理解和使用Ladon工具进行安全测试和漏洞利用。
漏洞利用 DLL注入 远程代码执行 Windows漏洞 渗透测试工具 Cobalt Strike 内网渗透 漏洞复现 脚本语言
0x7 收集资产顺便捡几个漏洞
信安灯塔 2021-11-30T18:01:41 waffle
本文主要介绍了网络安全中的资产收集和漏洞挖掘技巧。通过多种方式定位资产,包括主域名、C段、证书和ICP备案信息,结合资产查询语法和漏洞查询语法,可以快速识别资产中可能存在的漏洞。文章详细列举了如何通过关键词搜索来发现敏感信息泄漏、目录遍历、备份文件泄漏、Swagger API文档泄露、弱口令登录等安全问题。此外,还强调了即使当前没有存活信息,历史信息也可能含有有价值的信息,并建议在查询时选择不限时间选项。
0x8 一种利用EXCEL的BazarLoader攻击
星河安全 2021-11-30T17:04:00 © 星河Salaxy
文章介绍了BazarLoader攻击的案例,该恶意软件主要通过带有宏病毒的Excel文件(.xlsb)传播,伪装成DocuSign文档诱骗用户启用宏。一旦宏被激活,恶意代码会从指定URL下载BazarLoader DLL,并利用regsvr32.exe执行。DLL文件最初保存为tru.dll,后重命名为kibuyuink.exe以实现持久化。BazarLoader建立C2通信,使用HTTPS协议与控制服务器交互。随后部署Cobalt Strike进行网络侦察,感染约41分钟后开始活动,针对AD环境收集信息,使用AdFind.exe工具及批处理文件adf.bat枚举用户、计算机等敏感数据。此类攻击展示了从初始感染到侦察的完整过程,若目标价值高,攻击者将尝试横向移动并可能部署勒索软件。防御建议包括不随意打开未知文档,尤其是禁用宏功能,强化垃圾邮件过滤和系统更新。
恶意软件分析 网络钓鱼 宏病毒 横向移动 Cobalt Strike AD侦查 勒索软件 防御策略
0x9 原创 | CVE-2021-35052:WinRAR远程代码执行漏洞分析
安帝Andisec 2021-11-30T12:00:00
该文章分析了CVE-2021-35052漏洞,这是一个影响WinRAR 5.70试用版及之前版本的远程代码执行漏洞。漏洞允许攻击者通过拦截和修改请求来执行恶意代码。复现环境包括Windows 10虚拟机、WinRAR 5.70试用版以及BurpSuite抓包工具。在试用期结束后,WinRAR.exe程序会显示JavaScript错误通知窗口,此过程由MSHTML.dll实现。攻击者可通过ARP欺骗进行中间人攻击,将流量重定向到恶意域并利用该漏洞运行各种应用程序或打开系统文件。尽管有安全警告,某些文件类型如.docx、.pdf等可以在不显示警告的情况下执行。结合CVE-2018-20250漏洞,可以进一步实现无提示的远程代码执行。为了缓解这一风险,建议用户更新至WinRAR 6.02或更高版本。
远程代码执行漏洞 中间人攻击 软件漏洞 DNS劫持 ARP欺骗 安全更新 工业网络安全
0xa 如何在 Ubuntu 20.04 上安装 Grafana 8
网络技术联盟站 2021-11-30T09:03:25 瑞哥
0xb 如何在Debian11上安装 Mysql Server 8
网络技术联盟站 2021-11-30T09:03:25 瑞哥
0xc Windows installer新0 day漏洞
金瀚信安 2021-11-29T17:57:48 信息安全服务商
研究人员发现CVE-2021-41379漏洞补丁绕过,可实现权限提升。CVE-2021-41379漏洞补丁绕
0xd 数字签名及对称加密与非对称加密介绍
河南信安世纪 2021-11-29T16:47:11
前言数字签名、信息加密是前后端开发都经常需要使用到的技术,应用场景包括了用户登入、交易、信息通讯、oauth
0xe Mac book M1 2021 使用intellj idea配置jdk、tomcat运行javaweb
必火安全 2021-11-29T12:11:33 ©
本文详细介绍了在MacBook M1 2021上配置Java开发环境的过程。首先,作者介绍了如何下载并安装IntelliJ IDEA,并进行了激活操作。接着,文章指导读者如何安装Java Development Kit (JDK) 1.8,包括在终端中编辑bash_profile文件来配置JAVA_HOME、PATH和CLASSPATH环境变量。随后,作者说明了如何下载和安装Apache Tomcat服务器,并展示了如何启动和关闭Tomcat服务。最后,文章指导读者如何在IntelliJ IDEA中配置Java Web项目,包括设置项目SDK、添加Web框架支持、配置Tomcat服务器路径等步骤。文章中还提到了一些常见的问题和解决方案,如访问系统文件权限设置等。
操作系统安全 虚拟化安全 软件安装与配置 网络服务安全 漏洞利用与防御 终端安全
0xf 伊朗黑客利用MSHTML漏洞窃取目标的Google和Instagram凭据【软件安全(本)】
水网火安 2021-11-29T10:29:12
SafeBreachLabs的研究人员揭露了一起由伊朗黑客发起的网络攻击,该攻击利用了Microsoft MSHTML远程代码执行漏洞(CVE-2021-40444)来窃取目标用户的Google和Instagram凭据。攻击者通过发送含有恶意Winword附件的鱼叉式网络钓鱼邮件,诱使受害者打开邮件并执行攻击脚本。该漏洞被命名为“PowerShortShell”,因为它是一个简短的PowerShell脚本,能够收集包括屏幕截图、电报文件、文档以及其他有关受害者环境的大量数据。攻击的目标主要是居住在国外的伊朗人,攻击者使用“Corona massacre”作为诱饵。一旦恶意文档被打开,DLL文件将在目标系统上部署,并执行PowerShortShell脚本,从而为攻击者提供敏感信息。
漏洞利用 恶意软件 网络钓鱼 凭证窃取 跨站脚本执行(XSS) 区域特定攻击 APT攻击
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
