2023年第5周微信公众号精选安全技术文章总览

洞见网安 2023-1-30

0x1 内存马检测工具shell-analyzer（1）最初版展示与设计思路

Y4Sec Team 2023-02-05T00:05:55 4ra1n

01 介绍内存马如何检测一直是比较麻烦的问题，前有 c0ny1 师傅编写的 java-memshell-sc

0x2 ThinkPHP 多语言本地文件包含漏洞(lang-rce)复现

炽汐安全屋 2023-02-04T20:31:24 © 炽汐安全屋

ThinkPHP 多语言本地文件包含漏洞(lang-rce)复现

0x3 F5 BIG-IP格式化字符串错误漏洞(CVE-2023-22374)风险提示

安恒信息CERT 2023-02-03T21:00:01

近日，F5官方发布了安全公告，修复了F5 BIG-IP格式化字符串错误漏洞（CVE-2023-22374）。该漏洞存在于F5 BIG-IP的iControl SOAP接口中，允许经过身份认证的远程攻击者利用此漏洞使iControl SOAP CGI进程崩溃或执行任意代码。受影响的版本包括F5 BIG-IP 17.0.016.1.2.2至F5 BIG-IP 14.1.5。安恒信息CERT建议受影响用户尽快采取安全措施，包括限制对BIG-IP系统的管理接口和IP地址的访问，以及禁用iControl SOAP API的访问。目前，官方尚未发布补丁，但提供了临时缓解措施。

漏洞分析 CVE 安全漏洞 F5 BIG-IP 格式化字符串漏洞安全公告网络设备安全应急响应

0x4 ImageMagick多个高危漏洞风险提示

安恒信息CERT 2023-02-03T21:00:01

近日，安恒信息CERT监测发现ImageMagick软件存在两个高危漏洞CVE-2022-44267和CVE-2022-44268，这两个漏洞均由ImageMagick解析PNG图像时代码处理不当导致。CVE-2022-44267为拒绝服务漏洞，可能导致转换进程因无法处理其他图像而等待stdin输入，引发服务拒绝攻击；CVE-2022-44268为任意文件读取漏洞，可能使生成的图像嵌入任意远程文件内容，造成信息泄露或任意文件读取的风险。受影响版本包括ImageMagick 7.1.x <= 7.1.0-51、7.0.x、6.9.x以及6.8.3-10 <= 6.8.x <= 6.8.9-10。官方已发布安全版本，建议用户尽快升级至安全版本以缓解风险。

软件漏洞拒绝服务攻击信息泄露开源软件安全安全更新 PNG图像处理

0x5 Linux内核漏洞CVE-2022-47939分析

博智非攻研究院 2023-02-03T15:52:18 © 博智非攻研究院

KSMBD是一个linux Kernel 服务器，本文对ksmbd涉及的一个高危漏洞进行了分析和验证。

0x6 如何应对恶意邮件的攻击

深信达 2023-02-03T10:41:28

深信达MCK主机加固系统基于可信计算技术，锁定工作场景、实行严格场景白名单控制，受保护的主机只能做白名单规定的事情，任何白名单之外的陌生程序都无法运行。

钓鱼邮件勒索病毒附件病毒数据窃听网络安全意识主机加固系统可信计算文件保护集中管控

0x7 钓鱼第二弹-邮件+qq客服群

葡萄不只会安全 2023-02-03T05:51:55 © 葡萄

论文摘要是整篇文章的缩影，是对全文内容的高度浓缩和提炼。它不仅是对研究课题的最后总结，也是对自己研究的一个交代，更是对受众最简短和最直接的汇报。摘要的主要功能包括让读者尽快了解论文的主要内容，并为科技情报文献检索数据库的建设和维护提供方便。撰写时需明确指出研究的目的、范围、任务、前提及重要性，避免重复主题。优秀的摘要能有效抓住读者兴趣，通常出现在论文的最前面，但应在其主要部分完成后编写。摘要中涉及他人的工作或研究成果时，应列出相关名字并组成符合语法规则和逻辑规则的完整句子。此外，摘要应当写成论文的概述，重点突出研究的成果和意义，先写论文后写摘要，在句子顺序上可以按照目的、方法、结果和结论等要点进行排列。

邮件钓鱼社会工程学 SPF防护绕过搭建SMTP服务器 lnk文件钓鱼 CHM文件钓鱼宏病毒

0x8 CVE_2022_22890 Spring Data MongoDB SpEL表达式注入漏洞复现

炽汐安全屋 2023-02-02T22:33:23 炽汐安全屋

CVE_2022_22890 Spring Data MongoDB SpEL表达式注入漏洞复现

0x9 NetGear路由器多个RCE漏洞复现

K8实验室 2023-02-01T23:57:09 k8gege

本文详细介绍了NetGear路由器中存在的多个RCE（远程代码执行）漏洞的复现过程。文章首先介绍了NETGEAR公司及其产品，然后重点分析了两个具体的RCE漏洞：CVE-2016-6277和CVE-2020-27867。对于CVE-2016-6277，文章说明了由于许多用户不更新路由器固件，这个旧漏洞依然可能被利用。作者通过Ladon工具和LadonExp一键生成POC（漏洞利用代码）来演示了漏洞的利用过程。对于CVE-2020-27867，文章提供了复现步骤，并强调了不同SSL版本可能对漏洞利用的影响。此外，文章还提到了NetGear路由器密码读取的方法，包括使用GitHub上的py脚本和Ladon模块。最后，文章总结了实战中可能遇到的不同情况，如超时、SSL版本问题以及人为后门的可能存在，并强调了使用不同工具和版本的重要性。

路由器漏洞远程代码执行内网渗透漏洞复现网络安全工具密码审计固件更新供应链攻击 SSL/TLS

0xa tomcat漏洞CVE-2020-1938利用工具

进击的HACK 2023-02-01T22:58:49 OldHammer

tomcat漏洞CVE-2020-1938利用工具

0xb Kerberos身份验证剖析（AD基础0x1）

安全小白团 2023-02-01T18:19:24 安全小白团译文

本文详细介绍了Kerberos身份验证协议的工作原理，它是Microsoft Active Directory服务中广泛使用的身份验证机制。文章首先解释了Kerberos的重要性，尤其是在渗透测试和红队活动中。接着，文章分六个步骤剖析了Kerberos身份验证过程：1. 客户端向KDC发送身份验证服务请求（AS-REQ）；2. KDC响应TGT（票证授予票证）给客户端（AS-REP）；3. 客户端使用TGT请求TGS票证（TGS-REQ）；4. KDC验证TGT后，返回TGS票证（TGS-REP）；5. 客户端使用TGS票证连接到资源服务器（AP-REQ）；6. 资源服务器响应客户端的访问请求（AP-REP）。文章最后强调了了解Kerberos对网络安全专业人士的重要性，并提供了进一步学习的资源。

身份验证协议 Active Directory 渗透测试 KDC（密钥分发中心）票据授予服务安全协议分析

0xc 基于Gost工具的ICMP隐蔽隧道通信分析

信息安全与通信保密杂志社 2023-02-01T17:49:31 St

近期，观成科技安全研究团队发现了一种利用Gost工具实现的加密隧道攻击行为。Gost是一款支持多种协议的隧道工具，使用Go语言编写，支持TCP/UDP、Websocket、HTTP/2、QUIC、TLS等多种协议。Gost V3版本新增了ICMP隧道功能，通过利用ICMP协议的Echo类型报文进行数据传输，并在其上使用QUIC协议实现安全可靠的数据传输。ICMP隧道由客户端和服务端组成，客户端负责接收socks5代理协议，将数据封装成ICMP协议发送，服务端接收后解析成原始流量并转发。数据传输由MessageHeader和QUIC数据两部分构成，其中QUIC数据舍弃了公共包头，直接传输帧包。观成科技的安全检测系统可以检测Gost工具产生的ICMP隐蔽隧道流量，而攻击者利用此类隧道可以隐藏攻击流量，降低被发现的可能性。

网络安全工具隐蔽通信协议分析加密隧道攻击检测流量分析

0xd VSFTP2.3.4 笑脸漏洞复现

炽汐安全屋 2023-02-01T17:35:34 © 炽汐安全屋

在vsftpd2.3.4中在6200端口存在一个shell,使得任何人都可以进行连接，并且VSFTPD v2.3.4 服务，是以 root 权限运行的，最终获取到的权限也是root

0xe Cisco基于目的地址的策略路由

网络安全运维技术 2023-02-01T15:43:11

为实现客户端访问不同地址通过策略路由的方式将流量送至不同出口。

0xf 使用BurpSuite进行微信公众号抓包

XiAnG学安全 2023-02-01T10:54:10 © X

本文介绍了如何使用BurpSuite对微信公众号进行抓包，以方便进行漏洞挖掘。首先，需要准备一台装有BurpSuite的电脑和一部手机或平板，并确保它们连接到同一个WiFi。接着，在BurpSuite中配置代理监听器，选择一个未被占用的端口。然后在手机/平板上设置WIFI代理，下载并安装BurpSuite的CA证书。完成这些配置后，就可以开始抓取微信公众号的数据包。文章强调，这种方法仅适用于公众号，不适用于小程序，且仅供个人学习使用。

代理抓包网络安全测试证书安装移动设备安全 WiFi安全微信公众号安全

0x10 【涨知识】基于Gost工具的ICMP隐蔽隧道通信分析

北京观成科技 2023-02-01T10:26:22 © St

文章介绍了Gost工具在2022年11月更新的V3版本中新增加的ICMP隧道功能。Gost是一款用Go语言编写的多协议隧道工具，新版本支持TCP/UDP、Websocket、HTTP/2、QUIC和TLS等协议，并引入了通过ICMP Echo请求（ping）报文进行数据传输的能力，构建了一种QUIC-over-ICMP的数据通道。这种加密隧道使用QUIC协议确保通信的安全性和可靠性。隧道工作原理涉及客户端和服务端之间的交互：客户端将socks5代理流量封装为ICMP报文发送给服务端，服务端解包并转发原始流量。ICMP隧道中的数据分为MessageHeader和QUIC数据两部分，前者包含一个固定字符串“GOST”作为标识以及后续载荷长度；后者直接携带QUIC帧包，省略了公共包头，仅保留帧类型信息，如STREAM帧用于数据传输，ACK帧保证数据可靠传输。由于QUIC是一种加密协议，从流量中无法直接解析出具体数据内容，但可以通过数据包长度特征识别不同类型的帧。观成科技的安全研究团队指出，隐蔽隧道加密通信使得攻击流量更难被检测到，他们开发的观成瞰云(ENS)系统可以智能检测此类威胁。文中还提到，随着技术的发展，越来越多的攻击者倾向于使用ICMP或DNS等常规协议来规避网络监控，因此需要持续关注和研究相关工具和技术。

网络安全工具隧道技术 ICMP协议 QUIC协议隐蔽通信加密通信流量分析威胁检测

0x11 【工具推荐】高危漏洞利用工具Apt_t00ls

KJ安全渗透 2023-01-31T19:55:31 ddd

内置大量高危漏洞poc，文件上传指令生成，Tasklist敏感进程检测，反弹shell命令生成的GUI工具使

0x12 【原创】从废弃接口中寻找漏洞（技巧篇）

内蒙古等保测评 2023-01-31T15:56:57 © 思沃科技

本文介绍了一种网络安全技巧，即从废弃接口中寻找漏洞。文章首先推荐了OneForAll工具，用于通过域名收集网址和IP地址，然后通过编写脚本将IP地址转换成每行一个且不重复的格式，以便于其他工具扫描。接着，文章介绍了fscan工具，它主要用于内网扫描，但同样适用于外网探测。文章还推荐了JSFinder工具，用于从JS文件中提取URL和子域名。文章强调了在信息收集阶段后，通过脚本处理筛选URL，并使用sqlmap进行批量扫描的重要性。最后，文章列举了一些常见的敏感接口和跳转参数，这些参数可能成为寻找漏洞的切入点。

子域名收集 IP地址提取内网扫描 JS文件分析 URL参数分析漏洞扫描敏感信息泄露渗透测试

0x13 CVE-2021-31166：http协议栈远程代码执行漏洞

安帝Andisec 2023-01-31T12:08:33 © CSX安全实验室

本文详细分析了CVE-2021-31166，一个影响Windows 10和Windows Server的http协议栈远程代码执行漏洞。漏洞存在于http.sys内核模式设备驱动中，由于链表管理不当导致释放重引用(UAF)问题。攻击者可通过构造恶意请求包触发蓝屏或执行任意代码。漏洞细节、POC和EXP已公开，但尚未发现在野利用。分析显示，通过特定构造的Accept-Encoding字段内容，可导致UlpParseContentCoding函数返回特定值，进而触发漏洞。该漏洞已在KB5003173补丁中修复，建议用户及时安装补丁以防止潜在攻击。文章由北京安帝科技有限公司提供，旨在提升工业网络安全防护能力。

远程代码执行释放重引用漏洞高危漏洞 HTTP协议栈 Windows系统漏洞补丁修复 IIS漏洞

0x14 MS14-068原理浅析

Zner sec 2023-01-31T09:47:59 © 0R@NGE

本文详细分析了MS14-068漏洞，这是一个影响全版本Windows服务器的严重漏洞。该漏洞允许任意域成员提权为域管权限，前提是域控未打KB3011780补丁，且攻击者拥有域用户权限和相应的凭据。漏洞利用依赖于Kerberos协议中的认证问题，特别是PAC（票据授权缓存）的处理。攻击者可以伪造PAC，从而在TGT中插入任意PAC，进而伪造票据获得管理员权限。文章介绍了Kerberos认证流程，解释了PAC的作用和漏洞成因，并提供了相关的工具下载链接。

漏洞分析 Kerberos协议 Windows安全安全漏洞提权攻击工具使用代码实现

0x15 sql注入过waf速查表and姿势

葡萄不只会安全 2023-01-31T00:19:52 © 在摆烂的葡萄

本文详细介绍了SQL注入攻击中绕过WAF（Web应用防火墙）的各种技巧和编码方式。文章首先列举了不同服务器和Web框架下对参数名和参数值的编码方式，包括Nginx、uWSGI、Django、IBM编码、Apache-Tomcat、IIS等。接着，文章介绍了如何使用不同的函数和变量进行绕过，如hex()、bin()、sleep()、benchmark()、concat_ws()、mid()、substr()等。此外，文章还提到了如何利用XML函数、PCRE绕过限制、盲注技术、分块传输编码、X-Forwarded-For伪造请求、白名单绕过、静态文件绕过、过滤逻辑绕过、Unicode编码绕过、宽字节绕过、逗号绕过、hex逻辑绕过、substr逻辑绕过、编码绕过等技巧。最后，文章还提供了一些实际的SQL注入示例，帮助读者更好地理解和应用这些技巧。

SQL注入网络安全 Web应用安全 WAF绕过编码技巧数据库安全攻击技术防御策略

0x16 PHP8.1.0dev后门命令执行漏洞复现

炽汐安全屋 2023-01-30T20:56:59 © 炽汐安全屋

PHP8.1.0dev后门命令执行漏洞复现

0x17 Zoho ManageEngine OnPremise多款产品远程代码执行漏洞(CVE-2022-47966)风险提示

安恒信息CERT 2023-01-30T17:41:05

近日，ManageEngine官方发布了安全公告，修复了Zoho ManageEngine OnPremise多款产品中存在的远程代码执行漏洞（CVE-2022-47966），CVSS评分高达9.8。该漏洞允许未经授权的远程攻击者在启用SAML单点登录的情况下，在目标服务器上执行任意代码。受影响的版本包括Access Manager Plus、Active Directory 360、ADAudit Plus等多款产品。ManageEngine是提供IT管理软件和网管软件的品牌，其产品被广泛应用于企业级IT运维管理。官方已发布安全版本，建议受影响用户尽快升级。此外，安恒信息等安全厂商已经提供了相应的防护措施和升级策略，以帮助用户应对这一安全风险。

远程代码执行漏洞 Zoho ManageEngine SAML单点登录 IT管理软件安全公告 CVSS评分在野利用漏洞修复安全版本升级网络安全

0x18 VMware vRealize Log Insight多个高危漏洞风险提示