2025年 第6周 微信公众号精选安全技术文章总览
洞见网安 2025-2-10
0x1 CVE-2025-1127 严重漏洞:利用非特权用户执行和未经授权的数据修改
小哆啦安全 2025-02-16T22:36:31 © Trangs
CVE-2025-1127是一个严重的网络安全漏洞,允许攻击者以非特权用户身份在目标系统上执行任意代码并修改文件系统数据。该漏洞利用了特定程序或组件中的漏洞,攻击者可以通过恶意负载远程触发,无需身份验证或授权。这一漏洞可能导致数据泄露、系统完整性受损以及恶意活动在网络中的传播。为了缓解风险,建议及时应用安全补丁、检查系统配置、监控网络活动并提高员工的安全意识。该漏洞的发现强调了定期更新系统和保持网络安全意识的重要性,以保护数据和资产安全。
CVE 漏洞分析 任意代码执行 非特权访问 数据篡改 网络安全意识 入侵检测 漏洞修复 系统更新
0x2 新型设备码钓鱼攻击:利用设备认证窃取身份令牌
商密君 2025-02-16T22:15:14 FreeBuf
微软威胁情报团队揭露了一种名为“设备码钓鱼”的新型网络钓鱼攻击,该攻击由黑客组织 Storm-2372 实施并自2024年8月活跃至今,目标为全球多个行业和政府机构。这种攻击利用设备码认证机制,通过模仿即时通讯应用发送诱饵邮件,诱骗用户在合法登录页面上输入设备码,从而获取用户的身份认证令牌。攻击者一旦获得这些令牌,无需密码即可访问目标账户和数据。微软安全专家建议,组织应限制设备码流程的使用,加强对用户的网络安全教育,实施强身份验证措施,并部署条件访问策略来防御此类攻击。
网络钓鱼 身份认证 安全漏洞 黑客攻击 网络安全 威胁情报 恶意软件 横向移动 数据泄露
0x3 国家网络安全通报中心发布新一批重点防范境外恶意网址和恶意IP
商密君 2025-02-16T22:15:14
中国国家网络与信息安全信息通报中心近期发布通报,揭露了一批境外恶意网址和恶意IP,这些恶意地址与多个木马程序相关,包括挖矿木马、僵尸网络、远程控制等,对中国及其他国家的网络用户构成严重威胁。恶意网址和IP主要分布在包括美国、法国、荷兰、瑞士等国家的服务器上。通报中详细列出了多个恶意地址的详细信息,包括关联的IP地址、归属地、威胁类型、病毒家族和描述。同时,通报还提供了排查方法和处置建议,包括检查网络记录、部署流量检测设备、对可疑设备进行勘验取证,以及更新安全规则和报告相关威胁。
恶意软件攻击 网络攻击 僵尸网络 挖矿木马 安全漏洞 网络监控 安全防范 国际网络安全 网络安全通报
0x4 利用js挖掘漏洞
黑白之道 2025-02-16T21:56:20
本文详细介绍了网络安全中利用JavaScript(JS)进行漏洞挖掘的方法和技巧。文章首先讨论了JS中敏感信息泄露的问题,包括默认用户名密码、硬编码密码和其他秘钥泄露等。接着,分析了JS中的指纹信息,如框架信息、开发商信息和版本信息等。文章重点介绍了JS中的接口泄露,通过敏感字匹配和截取源码寻找隐藏接口,从而发现前端未显示的业务模块代码。此外,还探讨了JS的异步加载机制,以及如何利用异步加载来加速页面内容和源码的加载。文章还提供了实战案例,包括如何通过异步加载发现隐藏的接口,以及如何逆向破解加密算法进行漏洞挖掘。最后,介绍了JSRPC远程调用技术,通过在浏览器控制台注入JSRPC环境,实现远程调用加密函数,简化测试过程。
漏洞挖掘 JavaScript安全 加密参数逆向 异步加载 指纹识别 逆向工程 安全测试 Python脚本 Web安全
0x5 警惕恶意Python脚本制造的虚假蓝屏死机
黑白之道 2025-02-16T21:56:20
近期发现一种利用Python编写的恶意脚本,通过tkinter库创建虚假的蓝屏死机(BSOD)界面,试图欺骗用户。该脚本SHA256哈希值为d716c2edbcdb76c6a6d31b21f154fee7e0f8613617078b69da69c8f4867c9534,检测率低,表明Python可能被用作攻击工具。脚本使用tkinter库创建全屏窗口,模拟Windows BSOD,并移除常规窗口控件,锁定用户。尽管这种虚假的BSOD可能不易长期欺骗有经验的用户,但它可能用于骚扰或延迟恶意软件分析。该案例突显了简单Python工具被用于恶意目的的可能性,以及合法库被滥用的风险。网络安全专家应警惕此类脚本,并考虑将其作为威胁检测策略的一部分。
恶意软件分析 Python脚本 反分析技巧 蓝屏死机(BSOD)模拟 网络安全威胁 Tkinter库滥用 行为分析 沙箱技术 网络安全意识
0x6 通过发现隐藏的参数值实现任意用户登录
迪哥讲事 2025-02-16T21:30:23
本文主要分享了一次通过发现隐藏参数实现任意用户登录的网络安全漏洞挖掘经历。作者在进行一次众测项目时,对目标子域进行渗透测试。通过使用子域名收集工具和爆破技术,发现了名为manage-data.target.com的存活域名,并成功登录。在登录过程中,作者通过暴力破解密码,发现了一个名为soap的隐藏参数,通过该参数成功获取了用户名和密码。作者分析了漏洞的背景、挖掘过程以及与厂商的反馈,并提出了长期坚持学习和探索网络安全的重要性。
漏洞挖掘 渗透测试 子域名枚举 参数爆破 任意用户登录漏洞 信息收集 漏洞赏金 实战经验
0x7 Golang 供应链攻击新手法:利用模块缓存实现恶意代码持久化
RedTeam 2025-02-16T21:28:59 ©
安全团队揭露了一种新型的Golang供应链攻击,攻击者通过注册与流行数据库组件相似的恶意包名,利用开发者拼写错误来植入远程控制后门。恶意软件包通过Go模块代理缓存机制实现永久驻留,即使在GitHub源码被清洗后仍能持续传播。攻击者通过动态解析加密的C2地址和拆解恶意代码到多个文件,来躲避人工审查。恶意软件包被缓存后,攻击者修改GitHub标签以隐藏恶意代码,该恶意软件包在Go模块代理中仍可下载。此次攻击突显了Go模块不可变性设计的双刃剑效应,同时也强调了使用代码行为分析工具和实时监控依赖包运行逻辑的重要性。
供应链攻击 Go 模块安全 代码安全审计 软件包管理 持续监控 恶意软件分析 开源生态安全 C2 通信
0x8 PowerShell 漏洞 - 现代 APT 及其恶意脚本策略
Ots安全 2025-02-16T20:06:04
本文深入探讨了 PowerShell 在网络安全领域的应用,特别是对于红队成员和渗透测试人员。文章首先介绍了 PowerShell 的特性和为什么它成为红队成员的青睐工具,接着详细解释了 PowerShell 的内存加载功能及其在逃避检测中的作用。重点介绍了反恶意软件扫描接口 (AMSI) 的运作机制,并讨论了绕过 AMSI 的方法和技巧,包括使用 PowerShell 命令行和 .NET 功能。文章还涉及了如何滥用 COM 对象和 CLSID 劫持来执行隐形负载,以及如何使用 PowerLoad3r 等高级工具来逃避安全检测。此外,文章提供了绕过卡巴斯基 EDR 的 PoC 和与 CobaltStrike C2 集成的示例,展示了高级持续性威胁 (APT) 的逃避技术。
PowerShell Red-Team Memory-Execution AMSI Obfuscation Invoke-Obfuscation C2-Integration APT CLSID-Hijacking LOLBins PowerLoad3r Security-Evasion Windows-Security
0x9 2025 年 EDR 规避的新趋势
Ots安全 2025-02-16T20:06:04
本文探讨了2025年端点检测和响应(EDR)规避的新趋势。随着EDR技术的发展,攻击者需要采用更高级的技术来绕过检测。文章介绍了六种逃避EDR的新技术,包括高级syscall stomping、使用影子堆栈进行间接系统调用、滥用Windows回调、天堂之门和地狱之门2.0技术、幻影进程以及其他对象回调滥用等。每种技术都详细解释了其概念、优缺点和示例代码。文章最后强调了组合技术的重要性,并鼓励读者进一步研究这些技术,以提升对EDR规避的理解。
Endpoint Detection and Response (EDR) Security Evasion Windows Security System Calls Memory Management Kernel-Level Attacks Malware Analysis Assembly Language C Programming Machine Learning
0xa 一款用于网页敏感信息检测,指纹识别的chrome插件 - SnowEyes
GSDK安全团队 2025-02-16T19:02:44
SnowEyes是一款基于Chrome浏览器的扩展插件,旨在检测和提取网页中的敏感信息。该插件能够帮助用户快速识别和获取网页中的敏感数据,并对这些信息进行分析和处理。它支持多种敏感信息的检测分类,包括但不限于指纹识别。插件具备动态扫描功能,能够实时捕获动态渲染网页中的信息,并支持深度扫描,特别针对某些嵌套JavaScript文件的网站进行深入分析。由于运行在浏览器环境中,SnowEyes与用户正常浏览时的请求相似,这使得它能够绕过爬虫识别和部分WAF(Web应用防火墙)的拦截。需要注意的是,该工具仅限于安全研究和学习使用,作者和发布者不对任何非法用途承担法律责任。所有信息及工具均收集自互联网,使用时请自行评估其真实性和安全性。
网络安全工具 浏览器扩展 敏感信息检测 指纹识别 动态内容分析 绕过防护机制 安全研究与学习
0xb PowerShell 漏洞利用 — 现代 APT 组织及其恶意脚本战术
securitainment 2025-02-16T18:18:22 Hossam Ehab
本文深入探讨了 PowerShell 在现代高级持续性威胁(APT)中的使用和恶意脚本技术。文章从 PowerShell 的介绍开始,解释了它为何成为红队人员首选工具的原因,并探讨了其内存加载功能。接着,文章详细介绍了反恶意软件扫描接口(AMSI)的工作原理,包括其架构和内存扫描能力。随后,文章讨论了绕过 AMSI 的方法,包括理论详解和实践操作,并提供了三个有效的 PowerShell 命令行示例。此外,文章还介绍了如何利用 .NET 功能在不使用 PowerShell 的情况下运行 PowerShell 命令,以及如何使用 Invoke-Obfuscation 等工具来规避检测。文章还涉及了使用 C 语言进行 AMSI 内存补丁的示例,探讨了 APT 如何创建自定义混淆器来规避技术,以及讨论了鲜为人知的 CLSID 劫持等技术。最后,文章介绍了高级工具 PowerLoad3r 的真实案例,并强调了网络安全领域中绕过和测试的重要性。
PowerShell 安全 红队渗透 脚本编写 恶意软件分析 高级持续性威胁 反恶意软件技术 内存执行 绕过技术 C语言漏洞利用 Windows 漏洞
0xc CTF:杂项类型压缩包题目常见题目类型及解题思路
小话安全 2025-02-16T18:11:20 © 小话安全
本文详细分析了CTF比赛中MISC类题目的压缩包题型。文章首先介绍了常见的压缩包题型,包括伪加密、暴力破解、CRC32碰撞、明文攻击、隐藏文件、文件头修复和注释/属性隐藏信息等。针对每种题型,文章提供了相应的解题思路和工具推荐,如010 Editor、binwalk、John the Ripper等。此外,文章还通过例题分析了如何解决实际压缩包题目,包括ZIP伪加密、CRC32碰撞和明文攻击等。最后,文章总结了实战技巧,强调了文件类型识别、流量分析提取压缩包、文件名编码提示和超深嵌套处理的重要性。
CTF 网络安全 压缩包分析 密码学 工具使用 实战技巧 编码解码 系统安全
0xd Tips | 提取java应用内存从而直接获取明文密码和配置信息的方法
sec0nd安全 2025-02-16T17:30:37
本文分享了一种高效提取Java应用内存以获取明文密码和配置信息的方法。文章首先介绍了在渗透测试中遇到Java应用配置文件加密的情况,并指出对于一些常见加密如druid和jasypt,已有现成的工具可以解密。然而,对于开发者自定义的复杂加密逻辑,作者提出了通过获取heapdump文件来提取明文信息的策略。文章详细介绍了三种方法:使用JavaPassDump项目通过JSP生成heapdump文件、利用jmap命令导出内存信息、以及使用jcmd命令导出heapdump文件。这些方法可以帮助安全研究者从Java应用的内存中提取敏感信息,对于网络安全学习和实践具有重要的参考价值。
Java应用安全 内存分析 渗透测试 信息泄露 工具使用 后渗透攻击
0xe S2-007远程代码执行漏洞
0xh4ck3r 2025-02-16T17:22:00 © Hacker
本文详细介绍了S2-007远程代码执行漏洞的成因、复现步骤和利用方法。S2-007漏洞是由于age参数只能接受整数输入,当输入非整数时,struct会将用户输入解释为Ognl表达式执行,从而造成远程代码执行。为了复现这个漏洞,作者准备了攻击机和靶机,并使用了vulhub来启动靶场。复现过程中,攻击机通过访问特定的URL来触发漏洞,通过构造特定的age参数值来执行系统命令。文章中提供了具体的漏洞利用代码和执行结果,证明了漏洞的成功利用。
远程代码执行漏洞 Struts2 漏洞 漏洞复现 Docker 靶场 Java 安全 Web 应用安全
0xf Deepseek 有多强?延时注入检测 POC 只需一步,即可获取完美 POC 模板
搞安全的面具侠 2025-02-16T16:30:01 信安之路
本文介绍了如何使用Deepseek工具来检测延时注入漏洞。作者首先提到了在之前文章中提到的通过一个漏洞数据包一步达到需求的方法,然后转向讨论一个更复杂的需求,即编写Nuclei POC针对延时注入接口进行测试。由于延时注入需要多次请求来确保测试结果的准确性,作者强调了判断条件不是常规的关键词匹配,而是基于请求时间的判断。文章中提供了针对某个通用系统接口存在SQL注入漏洞的Deepseek使用方法,并详细描述了如何通过Deepseek一步获取所需的POC。文章还包含了实际的测试效果展示,并通过sqlmap工具验证了漏洞的真实性。最后,作者提到了该内容的转载信息。
漏洞挖掘 POC开发 SQL注入 网络安全工具 时间检测 实战测试 漏洞验证
0x10 【SRC实战】日期参数查询SQL报错注入
挖个洞先 2025-02-16T14:59:33 © 挖个洞先
本文针对日期参数查询SQL报错注入漏洞进行了详细的分析。首先介绍了实验靶场中的漏洞证明过程,包括排行榜和identifier日期参数注入点的发现,以及通过添加单引号触发的返回包报错。接着,文章展示了如何使用sqlmap工具进行漏洞检测和利用,包括数据包处理和运行sqlmap.py的过程。随后,文章深入探讨了该漏洞的危害,包括敏感数据泄露、数据库控制和破坏,以及攻击者可能通过该漏洞进行的进一步渗透。最后,文章强调了SQL注入攻击的严重性,以及它对企业声誉、法律诉讼和经济损失的影响。
SQL注入 安全漏洞 漏洞利用 安全防护 网络安全 实战分析
0x11 【域渗透】SMB 上的 MSRPC (135/139/445)
moonsec 2025-02-16T14:23:05 © moonsec
本文详细介绍了如何通过枚举SMB服务上的MSRPC协议来获取Windows系统中的网络信息。文章首先解释了MSRPC、NetBIOS和SMB这三种服务的工作原理以及它们之间的相互关系。接着,作者展示了如何使用nmap扫描端口135、139和445来发现目标系统上的SMB服务。然后,文章介绍了如何使用nmap的msrpc-enum脚本和rpcclient工具来枚举MSRPC服务,包括域信息、用户列表、组信息以及共享资源。此外,还提到了enum4linux工具的自动枚举功能。文章最后通过实际操作演示了如何从标准用户升级到系统权限,并强调了枚举过程的重要性。
网络安全 漏洞利用 Windows 系统安全 工具使用 渗透测试 MSRPC NetBIOS SMB 身份验证 权限提升
0x12 CSS注入窃取 OAuth 令牌
Hacking就是好玩 2025-02-16T14:04:17 w8ay
本文详细描述了一起通过CSS数据泄漏导致账户接管的安全事件。安全研究员Amir和YShahinzadeh在参与漏洞赏金项目时,发现了一个HTML注入点,虽然无法触发XSS攻击,但可以注入到