2021年 第8周 微信公众号精选安全技术文章总览
洞见网安 2021-2-22
0x1 一款为渗透测试设计的多功能网络安全&漏洞利用引擎
Linux网络安全 2021-02-28T09:30:00
本文介绍了一款名为NERVE的网络安全和漏洞利用引擎,该工具旨在为渗透测试提供多功能支持。NERVE适用于需要持续安全扫描的场景,如动态环境中的基础设施更新、提前发现异常安全问题以及快速安全响应。它是一款漏洞扫描工具,专注于寻找应用程序配置缺陷、网络服务和未修复的安全漏洞。NERVE能够检测管理面板、子域名接管、开放代码库、废弃/默认Web页面、错误配置等服务,但它不替代认证扫描工具,只能在黑盒模式下运行。NERVE具有自动安装依赖组件和Dockerfile支持,安装过程需要root权限。文章提供了NERVE的安装步骤,包括使用Docker或服务器端安装,并说明了如何访问工具的登录界面、仪表盘、安全评估配置、扫描报告、网络映射、漏洞管理页面和日志终端。NERVE遵循MIT开源许可证协议,项目地址为https://github.com/PaytmLabs/nerve。
网络安全工具 漏洞扫描 渗透测试 动态环境 持续安全监控 黑盒测试 开源软件 依赖管理 Docker支持
0x2 HVV中利用office宏代码反弹shell的两种方式
天策安全技术联盟 2021-02-27T20:05:54 天策安全技术联盟
本文介绍了在HVV(高级持续性威胁)活动中,利用Office宏代码反弹shell的两种方法:Metasploit和CobaltStrike。首先,文章说明了宏病毒的概念,以及Word中宏代码的自动执行条件。接着,详细描述了使用Metasploit生成VBA后门的过程,包括宏设置、生成vba后门文件、复制代码到Word宏编辑界面,并在MSF中设置监听以接收反弹的shell。第二种方法是使用CobaltStrike,涉及配置服务端和客户端,生成后门,复制代码到Office宏,并保存为特定版本的Word文档。最后,文章提到打开文档并启用宏后,通过CobaltStrike检查连接是否成功。
宏病毒 Metasploit CobaltStrike 反弹shell 钓鱼邮件 HVV
0x3 如何识别恶意Cobalt Strike服务器
Linux网络安全 2021-02-27T09:30:00
Cobalt Strike是一款由Strategic Cyber LLC公司开发的渗透平台,广泛用于网络安全专业人士进行模拟攻击和后渗透行动。尽管该工具的非法使用受到监管和出口管制,但它已成为同类软件中的热门选择。文章指出,Cobalt Strike被APT32等威胁集团用于初步渗透,并且Cobalt集团严重依赖该框架。识别Cobalt Strike服务器对企业网络的连接对于安全测试人员和防御者至关重要。文章详细介绍了多种检测Cobalt Strike服务器的方法,包括基于默认安全证书的指纹识别、基于NanoHTTPD响应的检测、基于JA3指纹的检测以及基于JARM的检测。这些方法可以帮助防御者建立预警机制,并在蓝队活动前采取行动。文章还讨论了JARM检测的局限性,指出它不能直接用于确定Cobalt Strike的存在,而只能作为辅助手段。
渗透测试工具 网络安全检测 威胁情报 恶意软件分析 TLS指纹识别 TLS指纹工具 开源工具 SIEM集成 安全研究
0x4 SaltStack多个高危漏洞
华顺信安 2021-02-26T16:05:15 华顺信安
SaltStack是一款基于Python开发的配置管理工具,近期发布了安全更新,修复了多个高危漏洞。这些漏洞包括远程命令执行、目录穿越、服务端模板注入等,可能被攻击者利用执行未授权的远程代码。其中,CVE-2021-25281和CVE-2021-25283被标记为高危漏洞。全球范围内有126个相关服务对外开放,主要分布在美国、加拿大、爱尔兰、德国和英国。为了修复这些漏洞,SaltStack建议用户升级到3002.5、3001.6或3000.8及以上的安全版本,并设置自动更新以获取最新补丁。此外,如果未使用wheel_async模块,用户可以删除其api调用入口以临时缓解漏洞。
配置管理工具安全 远程代码执行 服务端模板注入 目录穿越 密码泄露 Shell注入 命令注入 SSL/TLS安全 认证安全 特权升级 软件漏洞
0x5 【技术向】SSH加密隧道流量攻击与检测技术
星河安全 2021-02-26T11:19:00 © 星河学院
星河学院作为江苏中新赛克工业互联网安全技术创新中心的安全人才培养摇篮和安全技术创新源泉,专注于工业互联网安全和物联网安全等领域的前沿技术研究与人才培养。文章详细介绍了网络隐蔽通道技术,包括存储和时间隐蔽通道,以及其构建方式,如利用网络协议漏洞和报文时间特性。同时,文章对SSH协议和SSH隧道进行了简介,包括SSH协议的通信协商阶段和SSH隧道的端口转发功能。接着,文章提出了一种攻击设计方案,通过SSH协议的三种端口转发方式搭建隧道,以提高MySQL客户端与服务端通讯的安全性。最后,文章讨论了基于会话行为的模式识别检测方案,包括使用机器学习和深度学习模型进行流量识别和SSH隧道检测,并提供了实验结果和模型设计。
网络隐蔽通道技术 SSH协议 SSH隧道 攻击方案设计 SSH隧道流量检测与识别 安全隧道 工业互联网安全 物联网安全 网络安全防御
0x6 8款WebShell扫描检测查杀工具(附下载地址)
猎安云原生安全 2021-02-26T10:54:11 乌雲安全
本文介绍了8款WebShell扫描检测查杀工具,包括D盾防火墙、WEBDIR+、WebShellkiller、WEBSHELL.PUB、CloudWalker(牧云)、WebShell Detector、BugScanerkillwebshell以及基于深度学习的PHP Webshell检测模型。这些工具支持多种服务器系统和脚本语言,能够通过不同的技术手段检测和清除WebShell,包括正则表达式、动态监测技术、机器学习等。文章提供了各工具的下载地址或在线检测链接,并强调了它们在防御黑客入侵和保障服务器安全方面的重要性。
0x7 记一次 Linux服务器被入侵后的排查思路
Linux网络安全 2021-02-26T09:30:00 book4yi
本文详细介绍了Linux系统中的账号安全、登录信息排查、sudo用户列表、用户登录信息查看、系统日志检查等方面的内容。文章首先解释了用户信息文件(/etc/passwd)和影子文件(/etc/shadow)的格式和作用,以及如何查看可登录用户和sudo权限的用户。接着,文章介绍了如何查看当前登录用户及登录时长,以及如何排查用户登录信息,包括查看最近登录成功的用户及信息和登录失败的用户及信息。此外,文章还讲解了如何使用last命令排查黑客登录时间,以及如何锁定日志文件以防止被删除。文章还涉及了sudo用户列表的入侵排查、禁用或删除多余及可疑的帐号、通过.bash_history文件查看帐号执行过的系统命令等。最后,文章介绍了如何检查端口连接情况、分析进程、检查开机启动项、计划任务排查、查询已安装的服务、查找修改的文件、查看敏感目录、分析系统日志等安全检查方法。
账号安全 入侵检测 日志分析 系统安全配置 恶意软件查杀 安全工具 Linux系统安全 命令行工具
0x8 SSRF(服务器端请求伪造)攻击,如何进行内网穿透
仙网攻城狮 2021-02-25T13:00:34 © 太白
点击\x26quot;仙网攻城狮”关注我们,回复任意字可以获取到最全视频教程!!!
0x9 漏洞挖掘 | 记一次越权登录
Linux网络安全 2021-02-25T09:31:07 神奇宝贝训练家
本文记录了一次越权登录的漏洞挖掘过程。作者通过Fofa工具收集了四个站点信息,发现了一个可以直接通过URL参数登录学生用户的漏洞。随后,作者通过社工获取的管理员账户信息,修改登录参数成功以管理员权限登录后台。在后台发现了一处SSRF漏洞,并利用该漏洞进行了测试。经过几天的观察,作者发现网站进行了修复,但仍然通过抓包绕过了JWT验证。作者还发现了一处暴露的账户和密码。最终,作者在学校的请求下再次尝试挖掘漏洞,并成功绕过了新的安全措施。文章中提到了厂家的修复方案,包括增加登录者身份关系校验和修改参数设置等。
漏洞挖掘 越权访问 SSRF 黑盒测试 接口安全 安全修复 JWT验证 网络安全事件
0xa Ping一个不存在的IP,防火墙上会发生什么?
车小胖谈网络 2021-02-24T16:53:58 ©
有个疑问,就是在nat下面如果一台主机向外部不存活的主机发送数据,那么在nat中相应的映射会不会建立?IP地
0xb CSRF(跨站请求伪造)攻击实战
仙网攻城狮 2021-02-24T11:42:22 © 太白
点击\x26quot;仙网攻城狮”关注我们,回复任意字可以获取到最全视频教程!!!
0xc 利用ShadowMove巧妙的隐蔽连接
星河安全 2021-02-24T11:24:00 © 星河学院
本文介绍了ShadowMove技术,一种通过复制套接字劫持网络连接的隐蔽连接方法。ShadowMove技术能够在不提权、不建立新连接、不进行额外身份验证或进程注入的情况下,滥用良性进程建立的TCP连接。文章详细分析了ShadowMove的技术原理,包括复用合法连接进行横向移动的三个主要步骤。此外,还提供了ShadowMove的复现实验环境和方法,包括源主机和目标主机的设置以及实现过程的详细描述。文章最后总结了ShadowMove技术的局限性,指出其仅适用于缺乏充分源信息完整性检查的明文传输协议,并讨论了其可能带来的安全风险和防御措施。
恶意软件攻击 隐蔽连接 横向移动 操作系统安全 安全防御 网络安全研究
0xd 干货 | 渗透之网站Getshell最全总结
Linux网络安全 2021-02-24T09:31:19
本文详细介绍了网络安全领域中获取shell的多种方法,包括直接进入管理员后台获取shell和不进入后台获取shell的技巧。文章首先概述了通过上传Webshell、利用后台数据库备份、修改网站上传类型、解析漏洞、编辑器漏洞、网站配置插马、模板编写、上传插件或更新页面、执行SQL语句、命令执行、文件包含、数据库命令执行、菜刀直连、IIS/Tomcat写权限、上传漏洞、上传会员头像、注入漏洞等多种攻击手段。此外,文章还提到了利用0day漏洞、写入日志、远程命令执行、XXE、SSRF、反序列化等漏洞的组合利用方法。最后,文章强调了网络安全的重要性,并提醒读者关注版权声明。
Webshell攻击 后台Getshell 文件上传漏洞 解析漏洞 编辑器漏洞 SQL注入 命令执行漏洞 0day漏洞利用 日志写入攻击 IIS/Tomcat漏洞利用 上传漏洞利用 其他漏洞利用
0xe H3C综合实验,IRF 、BFD MAD 、VLAN 、TRUNK 、聚合口和静态路由,大赞!
网络技术联盟站 2021-02-24T08:01:00 点击关注 👉
0xf Struts2 系列漏洞 - payload 变化及 S2-045 分析
Medi0cr1ty 2021-02-24T00:59:42 ©
宁静在遥远处波动
0x10 【铭说】恶意软件分析,新版本的Danabot
聚铭网络 2021-02-23T18:00:00 © J博士
2021年新年伊始,臭名昭著的银行木马DanaBot更新了版本。DanaBot 是2018年5月首次由pro
0x11 CRLF(HTTP响应拆分漏洞)攻击实战
仙网攻城狮 2021-02-22T16:53:50 © 太白
点击\x26quot;仙网攻城狮”关注我们,回复任意字可以获取到最全视频教程!!!
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
