2024-04-30 微信公众号精选安全技术文章总览
洞见网安 2024-04-30
安全小将李坦然 2024-04-30 21:46:16
lnk钓鱼的奇思妙想(你应该没见过)
十九线菜鸟学安全 2024-04-30 20:01:09
本章为该系列的第6篇,也是事前准备阶段的第6篇,这一节让我们聊聊办公环境的风险收敛。
州弟学安全 2024-04-30 18:30:34
本文记录了一次成功的渗透测试案例,以 target.com 为目标。测试者首先进行了信息收集,并利用了某框架的历史漏洞,成功获取了 webshell。随后,通过不断尝试,利用了 TP 框架的多个漏洞,包括任意文件读取和命令执行等。在拿到最高权限后,测试者尝试创建用户并加入管理员组,以便进一步横向渗透。然而,由于目标环境中有安全软件,部分操作受到限制,最终未能实现完整的内网渗透。文章强调了实战经验的重要性,并表达了对未来学习的期待。
弱口令验证机器人 2024-04-30 18:04:50
本文作者分享了一次在网络安全项目中的钓鱼攻击经验。作者首先强调了合法性,指出文章目的仅用于学习和交流,禁止用于非法攻击。文章中提到,在外网打点受阻的情况下,可以采用钓鱼方式突破到内网。作者通过搜集目标单位的邮箱,仿造之前的节日放假通知发送钓鱼邮件,成功吸引了目标员工的注意。邮件中附带的木马文件采用了多种伪装技巧,如修改图标、隐藏exe文件等。一旦有员工点击邮件中的链接并下载木马,攻击者就可以在内网进行进一步的权限维持和内网探测。文章还提到了一些实用的工具和技术,如CS上线提醒、进程迁移插件等。作者还提到了日常网络安全测试中,除了钓取主机权限,钓取账户密码也是非常重要的。文章最后提醒,实战中钓鱼攻击可能会遇到各种挑战,如社交媒体封禁、木马免杀失败等。本文是作者的个人学习和经验分享,旨在提高网络安全意识,不应用于非法目的。
山海之关 2024-04-30 18:01:55
本文是一份四月份公布的68个0day/1day/nday漏洞的汇总。这些漏洞涉及多个软件系统,包括快普软件、金和OA、JumpServer、用友U8cloud、WordPress等。其中,部分漏洞已经被利用,具体包括JumpServer的远程代码执行漏洞(CVE-2024-29201)和模板注入漏洞(CVE-2024-29202),以及其他多个SQL注入、文件上传、命令执行等漏洞。这些漏洞的详细信息和利用方式已经上传至追洞学苑知识星球。此外,文章还提到了SpringBlade框架、Apache Zeppelin、医院一站式后勤管理系统等多个存在的漏洞。追洞学苑会分享最新的漏洞nday/1day/0day poc,并欢迎蓝队朋友们加入,也支持投稿原创漏洞或复现文章加入。关注本公众号满3个月可以在后台私信领取30元五一优惠券(限5.1-5.5使用)。
TahirSec 2024-04-30 18:00:36
BYOVD(Bring Your Own Vulnerable Driver)是一种网络安全攻击技术,攻击者通过向目标环境植入带有漏洞的合法驱动程序,利用这些驱动程序的漏洞获得内核权限,实现任意代码执行或终止高权限进程。BYOVD攻击通常用于直接终止安全软件核心进程,以便进行后续恶意活动。该技术曾主要被APT组织使用,但随着开源项目的增多,攻击成本降低,应用范围变广。 文章介绍了内核驱动通信的基本过程,包括用户态进程如何通过Windows API函数与内核驱动通信,以及I/O请求数据包(IRP)和IO_STACK_LOCATION结构体的作用。特别关注了IRP_MJ_DEVICE_CONTROL、IRP_MJ_CREATE和IRP_MJ_CLOSE等MajorFunction参数,以及DeviceIoControl结构体中的IoControlCode,这些是驱动程序通信的关键。 文章还探讨了如何挖掘具备潜在BYOVD利用条件的驱动程序,包括分析驱动程序是否导入了获取和终止进程的函数,以及是否对调用者进行了校验。通过反编译viragt64.sys和amsdk.sys两个驱动程序,文章展示了如何找到可用于终止任意进程的IOCTL代码,并给出了相应的攻击步骤。 最后,文章讨论了BYOVD利用痕迹,指出攻击者通常不会删除创建的设备链接符号,这些可以通过工具如WinObj.exe检测,同时系统日志也能提供服务创建和启动的时间信息。
Desync InfoSec 2024-04-30 17:13:18
本文介绍了作者在网络安全工作中遇到的一起VenomRAT木马感染事件。在接到告警后,作者通过修改本地hosts文件并利用网络工具,成功定位到可疑进程。在调查过程中,发现恶意请求是由Microsoft的InstallUtil.exe程序发起,疑似存在进程注入或DLL侧载的情况。通过工具pe-sieve扫描,确认了进程注入并转储出了程序。上传至沙箱分析后,发现程序会请求恶意域名,进一步确认破解软件被插入后门。作者指出,当系统合法进程发起可疑DNS请求时,可以通过修改hosts文件的方式,让恶意域名解析成功并建立TCP连接,从而便于定位具体可疑进程。同时,建议企业在应急响应中,建立完善的软件合规策略,禁止使用未授权的软件,尤其是破解软件。
探幽安全 2024-04-30 14:37:57
免责声明:请不要利用文章内的相关知识点进行非法渗透,仅做学习使用,产生的一切后果与文章作者和本公众号无关。
安全攻防屋 2024-04-30 13:29:08
kkFileView 4.2.0 到4.4.0-beta版本中文件上传功能存在zip路径穿越问题,导致攻击者可以通过上传恶意构造的zip包,覆盖任意文件。
OnionSec 2024-04-30 12:57:08
本文是作者作为一名网络安全学习者对一次实际工作中遇到的内嵌WebShell的pdf文件进行分析的记录。文章首先回顾了作者从Web安全转向恶意代码分析,再到APT追踪与挖掘,最终聚焦于恶意代码自动化检测和沙箱优化的心路历程。在此基础上,作者描述了此次分析的过程:一个同事转发的XXX告警WebShell事件,其中的pdf文件在初次分析中被判定为无害,但作者认为该文件存在恶意。作者通过检查文件名、直接打开文件和利用PdfStreamDumper工具,最终在pdf文件的Stream中找到了冰蝎ASP代码WebShell的痕迹,从而证实了该文件的恶意性质。文章最后提到,尽管这是一个简单的案例,但它勾起了作者对Web安全基础知识的回顾,并强调了在实际攻防场景中,快速准确地识别和应对恶意代码的挑战。
非攻安全实验室 2024-04-30 12:11:32
文章主要分享了网络安全学习者在web渗透、内网渗透、漏洞复现和工具开发等方面的日常学习经验。作者希望通过技术共享和交流,不断提升自己的能力,为网络安全领域做出贡献。文章中提到了ZyXEL路由器存在任意文件读取漏洞的问题,该漏洞可能允许攻击者获取用户的敏感信息,如密码等。为了复现这一漏洞,作者提供了fofa搜索语法和部分界面截图,但具体的利用方式需要加入特定的帮会才能获取。此外,文章还给出了一些修复建议,比如升级到安全的版本。作者还提到了一个名为“知识大陆”的平台,该平台持续更新未公开或小范围公开的漏洞信息,目前已更新超过453个漏洞。文章最后列出了一系列不同系统的安全漏洞,包括但不限于文件上传、SQL注入、远程命令执行等,涉及多个知名品牌和软件,强调了网络安全的重要性和紧迫性。
OSINT研习社 2024-04-30 10:34:36
本文介绍了近期暗网中销售的0day漏洞情报,主要包括针对多家公司客户数据的泄露以及QNAP NAS设备软件套件中的三个严重缺陷。威胁行为者声称可以访问苹果、三星和其他知名公司的客户信息,包括帐单、送货地址、序列号等。同时,QNAP发现了三个严重漏洞,包括操作系统命令注入和未经授权的服务访问,这些漏洞可能导致数据泄露、恶意软件安装或NAS设备被接管。此外,文章还提到了iMessage的0day漏洞,该漏洞允许攻击者无需用户交互即可控制iOS设备。为保护用户安全,QNAP建议用户立即更新至最新版本,以应用安全补丁。同时,文章提供了一些NAS安全最佳实践,如使用强密码、定期更新、限制互联网暴露和定期备份数据等。总之,本文强调了网络安全的重要性,并提醒用户采取措施保护自己的设备和数据安全。
