2023年第6周微信公众号精选安全技术文章总览

洞见网安 2023-2-6

0x1 HackTheBox::Ambassador

loochSec 2023-02-12T17:12:06 © looch

HackTheBox::Ambassador信息收集访问页面：给出提示，需要用ssh连接。nmap -sC

0x2 安全运营内刊—威胁分析与响应能力—沙箱检测与反沙箱技术浅析

天融信教育 2023-02-12T08:59:03

目前没有一种特定的方法可以彻底解决这类逃避手段，只能具体问题具体解决。

0x3 一文详解网络安全事件的防护与响应

安全新说 2023-02-10T11:13:22

网络安全事件的发生，往往意味着一家企业的生产经营活动受到影响，甚至数据资产遭到泄露。日益复杂的威胁形势使现代

本文介绍了作者如何对一款手游广告代充诈骗网站进行渗透测试的过程。作者首先通过广告联系方式加入骗子的QQ群，获取网站地址，并使用Burp Suite进行渗透测试。在尝试弱口令攻击未果后，作者发现了管理后台的目录，并通过已知的Nday漏洞成功探测到网站的漏洞。由于系统禁用了一些函数并且是Linux系统，作者没有尝试提权，而是直接通过网页代理获取了MySQL的密码。在经历了密码加密方式猜测的波折后，作者最终成功更改了管理密码，拿到了应用系统后台权限。通过后台，作者发现了诈骗者的话术和受害者的情况，并在操作完成后删除了日志和命令痕迹，恢复了所有密码。

渗透测试漏洞利用密码破解权限提升日志清理社会工程学

0x5 JD-GUI 反序列化 XSS

Y4Sec Team 2023-02-10T00:06:21 4ra1n

上周和Y4tacker师傅交流学习，偶然间发现 JD-GUI 在开启某项配置的情况下，会监听端口并反序列化任

0x6 换个角度理解计算机网络，搭建计网知识框架

进击的HACK 2023-02-09T19:06:49

分享大厂面试真题原创题解 \x26amp; 成长经验推荐订阅 #大厂面试 #校招扫盲个人网站: cswiki.top所谓换

0x7 【星课堂】浅谈内网穿透

星河安全 2023-02-09T13:55:06 星河君

本文深入浅出地介绍了内网穿透技术，即NAT穿透。首先，文章解释了内网穿透的背景，由于IPv4公网地址的有限性，内网设备通常分配私有IP地址，导致内网设备无法被直接访问。内网穿透技术旨在解决这一问题，使得不同内网中的设备能够直接通信。文章详细介绍了NAT（网络地址转换）的原理，特别是NAPT（网络地址端口转换）的工作机制。接着，文章阐述了不同类型的NAT，包括全锥形NAT、地址受限锥形NAT、端口受限锥形NAT和对称NAT，并说明了它们之间的区别。随后，文章讨论了内网穿透的具体实现方法，包括在全锥形网络中的简单实现以及在受限网络中采取的额外措施。最后，文章提到了内网穿透技术的局限性，例如在对称NAT中无法实现穿透，并推荐了进一步阅读的相关资料。

内网安全 NAT穿透网络地址转换 IP地址分配网络安全策略端口映射网络安全防御

0x8 Oracle Web Applications Desktop Integrator漏洞（CVE-2022-21587）POC

HK安全小屋 2023-02-09T10:29:33 PeterPan_HK

Oracle Web Applications Desktop Integrator漏洞（CVE-2022-21587）POC

0x9 Weblogic远程代码执行（CVE-2023-21839）漏洞复现

小阿辉谈安全 2023-02-09T10:24:47 ©

本文讨论了WebLogic远程代码执行漏洞（CVE-2023-21839），该漏洞允许未经授权的攻击者通过T3或IIOP协议向WebLogic服务器发送特制的恶意请求，从而接管服务器并执行任意命令。受影响的WebLogic版本包括12.2.1.3.0、12.2.1.4.0和14.1.1.0.0。漏洞的核心在于WebLogic对T3/IIOP协议处理反序列化过程中对特定类的支持，特别是当这些类继承自OpaqueReference时，攻击者可利用此机制通过JNDI查找远程对象来触发远程代码执行。为了复现此漏洞，建议使用低于JDK Ⅷu191的版本，并且需要正确的WebLogic环境设置。文章还提供了具体的漏洞利用代码示例（POC），说明了如何创建必要的客户端JAR文件以进行漏洞测试。最后，给出了针对该漏洞的官方补丁发布链接。

漏洞复现远程代码执行 WebLogic Java应用安全安全修补渗透测试

0xa 免杀第一弹特征码免杀

葡萄不只会安全 2023-02-09T07:07:45 © 葡萄

本文是关于网络安全中特特征码免杀技术的入门级教程。作者分享了自己的学习笔记，提到了一些免杀的基本概念和方法，包括特征码的定位和修改。文章首先解释了什么是特征码，并通过一个例子说明了如何通过分割文件来定位特征码。接着，介绍了使用国产特征码定位软件ccl的原理和方法。文章还提供了一个实验，使用myccl软件和特定的马子样本，指导读者如何通过填充数据来定位和修改特征码。最后，作者列举了几种修改特征码的方法，包括空白区域跳转、等价汇编语句互换、修改程序入口点和添加花指令等。文章结尾，作者提到了自己的学习计划，包括编写一个c++的壳。

免杀技术特征码定位病毒样本分析汇编语言加壳技术网络安全工具

0xb Hack The Box -Sequel

HK安全小屋 2023-02-08T21:15:07 PeterPan_HK

Hack The Box -Sequel 入门靶机教学

0xc ESXiArgs勒索病毒传播风险通告

赛博昆仑CERT 2023-02-08T18:16:58 赛博昆仑CERT

-赛博昆仑事件安全通告-勒索软件利用ESXiArgs漏洞传播事件预警

0xd Apache Kafka Connect远程代码执行漏洞(CVE-2023-25194)风险提示

安恒信息CERT 2023-02-08T17:30:31

近日，Apache官方发布安全公告，修复了Apache Kafka Connect的一个远程代码执行漏洞（CVE-2023-25194）。该漏洞允许攻击者通过访问Kafka Connect worker，利用任意Kafka客户端SASL JAAS配置和基于SASL的安全协议，在系统上创建或修改连接器，从而实现远程代码执行。受影响的Apache Kafka版本为2.3.0至3.3.2，官方已发布安全版本3.4.0。建议受影响的用户尽快升级至安全版本，以防止潜在的安全风险。安恒信息CERT提醒用户，目前漏洞测试代码已公开，存在被利用的风险。官方提供了安全版本的下载链接，供用户及时更新使用。

远程代码执行 Apache Kafka Kafka Connect SASL JAAS 安全公告漏洞修复安全升级开源软件安全

0xe 漏洞复现-永恒之蓝(MS17-010)

贫僧法号云空 2023-02-08T12:06:44 © 贫僧法号云空

撰写论文摘要是一项重要的学术写作任务，它需要高度概括研究的目的、方法、结果和结论。根据不同的研究领域和期刊要求，摘要的字数通常在300到400字之间[[11, 14]]。摘要应以第三人称写作，具有独立性，即使不看全文也能理解主要内容。撰写时需注意避免复杂术语和缩写词，保持语言简练且客观中立。此外，摘要还应突出研究的新贡献和创新点，以吸引读者继续阅读。

漏洞复现 SMB漏洞渗透测试后渗透 Windows安全

0xf 反弹Shell方式总结

Zner sec 2023-02-08T09:34:51 © Marcus_Holloway

本文详细介绍了在渗透测试实战中，特别是在Linux系统环境下，如何实现反弹shell的技术。文章首先解释了什么是反弹shell，以及为什么在目标机防火墙受限、端口被占用或IP动态变化时，使用反弹shell技术的重要性。接着，文章介绍了反向连接的概念，并列举了多种实现反弹shell的方法，包括利用netcat、Bash、Curl、定时任务、Socat、Telnet以及各种脚本语言（如Python、PHP、Perl、Ruby）等。此外，文章还介绍了如何使用Metasploit生成反弹shell的一句话脚本，以及如何获取模拟终端和加密shell的方法。最后，文章简要介绍了OpenSSL在实现加密shell中的作用和用法。

渗透测试 Linux安全反弹shell 网络安全工具网络攻击技术安全漏洞利用安全防护脚本语言 Metasploit 加密通信

0x10 实战渗透从弱口令到getshell

进击的HACK 2023-02-08T09:26:41

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部

0x11 phpstudy小皮面板 XSS导致的RCE漏洞

红蓝信息安全实验室 2023-02-07T21:47:12 © Misc

本文详细分析了phpstudy小皮面板存在的一个XSS漏洞及其导致的RCE（远程代码执行）风险。该漏洞存在于后台登录入口的代码中，通过存储型XSS漏洞，攻击者可以在管理员登录后台时触发XSS攻击，并在操作日志中记录恶意用户名。攻击者可以利用这一漏洞在另一台服务器上部署JavaScript文件，通过XSS漏洞执行代码，从而在目标服务器上写入计划任务并执行远程命令。文章提供了漏洞复现的步骤，包括在登录框处测试XSS漏洞，以及在成功触发XSS后自动访问部署的JavaScript文件以写入计划任务。此外，文章还提到了在利用此漏洞时需要删除日志文件和计划任务以避免环境崩溃，并鼓励读者加入交流群以获取更多信息。

XSS漏洞 RCE漏洞 CSRF攻击计划任务 phpstudy小皮面板

0x12 CVE-2022-23131 Zabbix身份认证绕过漏洞复现

炽汐安全屋 2023-02-07T14:22:42 © 炽汐安全屋

描述：Zabbix对客户端提交的Cookie会话存在不安全的存储方式，导致在启动SAML SSO认证模式的前

0x13 【涨知识】Donot组织多阶段通信过程分析

北京观成科技 2023-02-07T14:20:16 © hmj

本文分析了Donot组织（肚脑虫）的攻击活动，该组织自2016年起活跃，主要针对南亚国家和地区的政府机构、军事部门等进行攻击。文章详细描述了Donot组织使用钓鱼邮件作为初始接入手段，通过宏代码加载下一阶段载荷，并下载各类功能插件，如键盘记录、屏幕捕捉、文件窃取等。文章进一步分析了Donot组织的一个恶意文档样本的执行过程，其中通信过程分为三个阶段：从服务器A获取模块下载器，通过TLS协议从服务器B获取插件，以及插件将窃取的数据通过TLS协议上传到服务器C。文章还介绍了Donot组织在攻击过程中使用不同的服务器和加密通信技术，以增加攻击的隐蔽性和难以检测性。最后，文章提到了观成科技开发的加密威胁智能检测系统（观成瞰云）能够检测Donot组织的恶意TLS流量。

APT攻击钓鱼邮件宏代码攻击恶意文档多阶段通信 TLS加密数据窃取加密技术恶意软件分析网络安全检测

0x14 蠕虫攻击|worm-type virus（信息总结）

Devil安全 2023-02-07T10:52:04 © 仲瑿

定义蠕虫病毒是一种常见的计算机病毒，是无须计算机使用者干预即可运行的独立程序，它通过不停的获得网络中存在漏洞

0x15 XML-XSS

御林安全 2023-02-07T10:00:05 © r3col

本文记录了一次由XML导致的XSS漏洞分析过程。通过在XML中使用特定的命名空间URI http://www.w3.org/1999/xhtml，并结合XHTML的解析规则，可以实现在XML中执行JavaScript代码。文章详细解释了XML命名空间、XHTML标准以及MIME类型对浏览器解析方式的影响。最终得出结论：当使用XML实现XHTML，且MIME类型为application/xhtml+xml、application/xml或text/xml时，浏览器会将XML当作XHTML解析，从而可能引发XSS漏洞。文章还提供了一些防御措施，如修改文件后缀、使用白名单、指定MIME类型为text/plain等。

XSS攻击 Web安全浏览器安全内容安全策略

0x16 浅谈溯源反制与防溯源

Zner sec 2023-02-07T08:27:24

本文探讨了网络安全中的溯源反制策略，从攻击源捕获、日志审计、服务器异常捕获等多个角度介绍了如何获取攻击者的信息。文章强调了攻击源捕获的重要性，包括获取攻击时间、手法、漏洞、入口点等，以及如何通过边界防护、日志审计和安全设备等手段进行攻击源捕获。此外，文章还介绍了溯源反制的几种方法，如IP定位法、蜜罐捕获法、渗透反打、恶意样本分析等，并详细说明了每种方法的实施步骤和注意事项。最后，文章讨论了如何构建攻击者画像，以及如何在攻防演练中采取防溯源的小技巧，如使用虚拟机、关闭社交平台权限、定期进行虚拟机快照恢复等，以提高个人和组织的网络安全防护能力。

网络安全溯源网络安全防御网络攻击分析安全设备应用恶意样本分析网络安全意识网络安全工具

0x17 Docker逃逸那些事儿

进击的HACK 2023-02-06T21:41:19

什么是DockerDocker是一个开源的引擎,可以轻松的为任何应用创建一个轻量级的、可移植的、自给自足的容

0x18 IBM WebSphere Application Server远程代码执行漏洞(CVE-2023-23477)风险提示

安恒信息CERT 2023-02-06T18:31:00

近日，IBM官方发布安全公告，修复了其WebSphere Application Server产品中的远程代码执行漏洞（CVE-2023-23477）。该漏洞允许远程攻击者通过构造特制的序列化对象序列在受影响系统上执行任意代码。受影响的版本包括9.0.0.0至9.0.5.78.5和8.5.5.0至8.5.5.19。IBM已发布安全版本，建议用户升级以修复漏洞。目前漏洞细节和利用代码尚未公开，但恶意攻击者可能通过补丁对比分析出漏洞触发点。安恒信息CERT建议受影响用户尽快采取安全措施，包括更新至安全版本。

远程代码执行漏洞 IBM WebSphere Application Server 应用服务器安全软件漏洞修复安全更新安全风险提示

0x19 Jira Service Management Server和Data Center身份认证绕过漏洞风险提示