2024-11-02 微信公众号精选安全技术文章总览
洞见网安 2024-11-02
OneMoreThink 2024-11-02 23:47:45
基于ATT\\x26amp;CK的靶机WalkThrough
信息收集
数据窃取
初始访问
凭据访问
权限提升
攻击路径
东方隐侠安全团队 2024-11-02 23:45:26
东方隐侠团队发现CyberPanel控制面板存在远程命令执行漏洞(QVD-2024-44346),该漏洞影响CyberPanel的upgrademysqlstatus接口。由于该接口未进行身份验证和参数过滤,未授权攻击者可执行任意命令,可能导致数据泄露和服务器被接管。漏洞细节和利用代码已公开,影响范围广泛。通过分析补丁,发现修复措施是在相关文件中增加了权限验证。漏洞复现过程中,通过发送特定的HTTP请求方法绕过过滤器执行命令。官方已在V2.3.7版本修复此漏洞。
安全分析与研究 2024-11-02 22:00:55
WikiLoader是一款新型恶意软件,首次曝光于2022年12月,由TA544黑客组织传播,用于加载Ursnif恶意软件攻击意大利组织。该恶意软件是一个复杂的下载器,包含多层ShellCode代码,通过加载和修改注入系统DLL模块执行恶意ShellCode代码。分析显示,攻击样本初始为PDF恶意文档,点击下载后获取JS恶意脚本,去混淆后下载另一个JS脚本和zip压缩包。解压后得到notepad程序,其目录下的mimeTools.dll恶意模块在程序启动时自动加载。动态调试该模块,调用VirtualAlloc分配内存,创建线程执行代码,获取函数地址,打开并读取certificate.pem文件到内存,加载加密库模块并解码数据。加载bcrypt.dll获取加解密函数,设置AES解密算法模式,解密得到第一阶段ShellCode代码,设置内存属性后执行。通过LoadLibraryA动态加载bingmaps.dll,修改模块入口函数代码,将ShellCode代码注入到bingmaps.dll模块的GetBingsMapFactory导出函数中,最后跳转到修改注入后的ShellCode代码执行。文章强调,黑客组织利用恶意软件进行攻击活动无处不在,需要时刻警惕,防范恶意软件的感染和攻击。
恶意软件分析
攻击链追踪
ShellCode技术
DLL注入
加密与解密
APT攻击
威胁情报
SSP安全研究 2024-11-02 21:35:22
Port Scanning
Web Enumeration
Weak Password
File Upload Vulnerability
Local Privilege Escalation
Password Cracking
Command Injection
Webshell
KeepHack1ng 2024-11-02 20:32:13
本文讲述了作者在Hack The Box平台上对名为Cicada的靶机进行渗透测试的过程。作者首先进行了服务扫描,发现了开启的139和445端口,推测靶机可能开启了SMB服务。通过netexec工具,作者找到了一个具有可读写权限的目录,并从中获取了一份文件,文件内容是关于新员工加入Cicada Corp的欢迎信息,并强调了更改默认密码的重要性。作者尝试使用默认密码进行smb用户爆破,但遇到了未知错误。随后,通过netexec爆破RID得到用户名,并在smb共享目录中未发现更多线索。作者转而使用ldapsearch检索出另一位用户的密码,并通过WinRM服务尝试提权。在尝试导出注册表SAM文件内容时,发现需要SYSTEM文件,但由于网速问题,操作未能继续。
渗透测试
SMB服务
密码学
LDAP
WinRM服务
权限提升
leison安全 2024-11-02 18:08:11
本文作者分享了一次与众不同的任意文件读取漏洞挖掘经历。在一个允许用户注册并运行Python代码的平台上,作者尝试使用了如`os.system('ls')`等危险函数来探索系统权限,但因系统限制未能成功。随后,作者利用pandas库尝试读取系统文件`/etc/passwd`,该库通常被认为是安全的,未被平台封锁。通过指定分隔符为冒号,pandas成功读取了文件内容,证明了该平台存在任意文件读取的潜在风险。作者认为这是个安全隐患,提交了CVE报告,最初获得了CVSS 7.5的评分,但后续被官方拒绝,原因是经过复审后认为这不是一个真正的安全漏洞。尽管如此,作者仍然认为这种情况具有一定的安全风险,并提出疑问,询问读者对于此类情况的看法。
文件读取漏洞
Python安全
CVE提交
误报
fkalis 2024-11-02 18:06:35
本文介绍了Django框架及其安全性特点,重点讨论了在生产环境中将Django配置为Debug模式的风险。作者通过实际案例展示了如何利用Django应用的Debug模式开启状态,未经身份验证便获得管理后台的访问权限,从而揭示了这一配置错误可能导致的安全威胁。文章还提供了识别Django应用的方法,以及如何判断一个Django应用是否处于调试模式下的技巧。此外,作者分享了信息收集过程中的技术细节,包括使用多种工具进行子域名枚举、存活检测等步骤,最终通过特定路径的访问发现了未授权访问漏洞。最后,文章提到了作者提供的服务范围,涵盖了渗透测试、代码审计、攻防演练等多个方面,旨在帮助企业和个人提升网络安全防护能力。
Web安全
漏洞挖掘
渗透测试
开源工具
Django框架
安全配置
错误处理
信息收集
安全风险
再说安全 2024-11-02 17:59:16
超过18个漏洞,包括 Netflix、Hulu 和 Salesforce
泷羽Sec 2024-11-02 08:32:48
