2020年 第5周 微信公众号精选安全技术文章总览

    洞见网安 2020-2-3

    0x1 Cisco 2月安全公告修复多个漏洞风险提示

    安恒信息CERT 2020-02-07T16:24:06 ©

    Example Image


    本文介绍了Cisco在2020年2月发布的安全公告,其中修复了多个软件产品中的远程代码执行漏洞。公告中提到的严重漏洞包括CVE-2020-3110至CVE-2020-3120,这些漏洞主要影响NX-OS、IP Phone、IP Cameras、IOS XR等软件。漏洞的产生是由于思科设备发现协议(CDP)未正确验证输入,可能导致缓冲区溢出,进而被恶意攻击者利用执行任意代码或导致拒绝服务。文章详细列出了每个漏洞的影响范围和不受影响的版本,并提供了漏洞公告链接。同时,文章还提供了缓解措施,包括升级安全补丁或临时禁用CDP协议,以及在不同Cisco设备上如何查看和禁用CDP协议的配置示例。

    设备漏洞 协议漏洞 缓冲区溢出 安全补丁 网络安全公告 思科设备 网络攻击 系统加固

    0x2 RouterOS 从 DNS 污染到 GetShell

    HackSee 2020-02-05T15:10:51 © HackSee安全团队

    Example Image


    本文详细分析了MikroTik RouterOS的四个漏洞(CVE-2019-3976至CVE-2019-3979)的利用链,包括DNS缓存污染和系统降级漏洞。通过设置恶意的DNS服务器,攻击者可以污染RouterOS的DNS缓存,将系统更新域名解析到攻击者控制的IP。利用CVE-2019-3977,攻击者通过修改系统升级包的版本号和时间戳,诱骗路由器下载旧版本系统,实现降级攻击。降级后,密码被清空,可以利用已知后门获取Root Busybox Shell。文章提供了详细的攻击步骤和所需工具,以及相关参考链接。

    漏洞分析 DNS污染 系统降级攻击 后门利用 网络协议分析 逆向工程

    0x3 MetInfo 任意文件上传漏洞分析

    HackSee 2020-02-04T14:42:40 © HackSee安全团队

    Example Image


    MetInfo企业建站系统是一款基于PHP+Mysql架构的软件,它因对SEO友好、功能全面、安全稳定而受到企业青睐。然而,MetInfo 6.2.0及以下版本在低版本PHP环境下存在任意文件上传漏洞。该漏洞位于uploadify类中的doupfile方法,此方法无需登录即可调用。攻击者可以通过构造savepath属性值,绕过文件后缀名的黑白名单校验,上传恶意文件。在文件上传过程中,尽管存在黑名单和白名单校验,但通过特殊构造文件名,如利用PHP中iconv函数的字符截断问题,攻击者可以绕过这些限制。此外,MetInfo在处理用户数据时使用了daddslashes函数,但在admin/index.php页面中,由于设置了IN_ADMIN常量,savepath会经过sqlinsert处理,从而允许路径穿越。通过搭建测试环境,可以复现漏洞并成功上传恶意文件,进而执行PHP代码。

    文件上传漏洞 PHP漏洞 路径穿越 Web应用安全 代码审计 MetInfo CMS

    0x4 网络空间威胁狩猎的研究综述

    信息安全与通信保密杂志社 2020-02-04T11:24:04 © Cismag

    Example Image


    本文详细探讨了网络安全领域中威胁狩猎的概念、技术和工具。随着网络普及和信息化水平的提升,公司企业将重要信息存储在联网计算机上,面临网络攻击的威胁。文章首先介绍了网络空间威胁的定义和攻击流程模型,阐述了威胁狩猎的定义和核心技术,包括取证技术和分析技术。接着,文章描述了威胁狩猎使用的工具,如Osquery、Sysmon、Sigma等,并概括了现有的主流威胁狩猎框架,如MITRE的ATT&CK、JPCERT/CC的Sysmon Search、Sqrrl等,比较了这些框架的优缺点。最后,文章提出了威胁狩猎的发展方向,强调了数据挖掘、多元数据利用和提升狩猎准确性与即时性的重要性。

    网络安全威胁 网络攻击防御 APT攻击 威胁狩猎 安全工具 攻击生命周期 取证技术 日志分析 网络分析 数据安全

    0x5 Gitlab 远程命令执行漏洞分析

    HackSee 2020-02-03T14:49:29 © HackSee安全团队

    Example Image


    GitLab是一个基于Ruby_on_Rails的开源版本管理系统,提供类似GitHub的功能,如代码浏览、缺陷管理、团队访问控制等。然而,在8.9.0及以下版本中,GitLab存在一个远程代码执行漏洞,允许攻击者远程控制服务器。漏洞位于file_import.rb文件中,当用户导入项目时,如果存在符号链接,remove_symlinks函数本应删除这些链接。但由于正则表达式匹配问题,含有换行符的文件名无法被正确匹配,导致恶意符号链接文件可以绕过检测。攻击者利用这一点,通过创建特定符号链接文件,将恶意文件写入服务器的uploads文件夹。漏洞复现包括搭建GitLab环境,使用POC构造符号链接文件和恶意压缩包,通过Web页面导入压缩包,最终实现ssh公钥写入,允许攻击者以git用户身份远程登录服务器。

    远程代码执行 符号链接绕过 文件上传漏洞 SSH公钥注入 Gitlab漏洞

    0x6 I2P匿名通信流量特征分析与识别

    信息安全与通信保密杂志社 2020-02-03T11:05:59 © Cismag

    Example Image


    本文深入分析了匿名通信网络,特别是I2P网络的流量识别问题。文章首先介绍了匿名通信网络的使用现状及其带来的监管挑战,尤其是I2P网络因其强大的匿名性而成为违法信息发布的重要渠道。接着,文章回顾了I2P网络的基本原理,包括网络数据库、隧道建立和传输层协议(SSU、NTCP和NTCP2)。通过对I2P数据流的特征分析,包括载荷长度、载荷长度序列、载荷特征、首部标志、端口号和确认到达时间差等,文章提取了I2P数据流的统计学特征。在此基础上,设计并实现了一套I2P流量识别算法,并通过实验验证了其高精确度和召回率。文章最后讨论了未来对I2P流量识别算法的优化方向,包括数据流种类的丰富、直接使用路由节点信息识别数据流以及利用机器学习算法提高识别精确度。

    匿名通信网络 网络安全监管 流量识别算法 数据包分析 网络安全挑战 I2P网络 网络安全研究 网络协议分析 信息安全策略

    0x7 DedeCMS 前台文件上传绕过漏洞分析

    HackSee 2020-02-02T20:08:57 © HackSee安全团队

    Example Image


    织梦DedeCMS-V5.7-UTF8-SP2版本存在前台文件上传绕过漏洞。攻击者可以在会员文章发表页面利用CKEditor编辑器上传恶意脚本文件。漏洞主要位于select_images_post.php文件,该文件在处理上传图片时,通过正则表达式对文件名进行过滤,删除异常字符,并检查后缀名是否为支持的图片格式。攻击者可通过构造特殊文件名,如将php后缀改为p*hp或p?hp,利用文件名过滤机制删除特殊字符后变为php,从而绕过上传限制。漏洞复现包括访问漏洞页面、使用Burpsuite抓包、修改数据包满足上传限制,并使用一句话木马连接工具进行连接。

    文件上传漏洞 织梦CMS漏洞 CKEditor编辑器漏洞 正则表达式绕过 图片木马上传 服务器端漏洞 文件名处理不当

    本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。