2024-04-03 微信公众号精选安全技术文章总览

洞见网安 2024-04-03

0x1 【分析复现】XZ供应链后门漏洞（CVE-2024-3094）处置手册

绿盟科技CERT 2024-04-03 19:36:37

近期发现XZ-Utils存在供应链后门漏洞(CVE-2024-3094)，可导致SSH未授权代码执行，影响版本为5.6.0-5.6.1。攻击者利用恶意动态库中的代码劫持RSA_public_decrypt函数，通过SSH登录请求触发，执行任意代码。影响Linux发行版包括Fedora、openSUSE、Kali Linux等，建议降级至5.4版本以及加强软件供应链管理制度。相关检测命令和工具已提供，如ldd、hexdump等。修复措施包括升级至5.8.0版本或替换为7zip等组件。此安全公告旨在警示并提供解决方案，使用者需自行承担风险。

0x2 Coff Loader 第二部分：一步步实现COFF加载器

无名之 2024-04-03 18:00:29

一步步实现自己的COFF加载器

0x3 创宇安全智脑 | 泛微 E-Office atuh-file 远程代码执行等21个漏洞可检测

创宇安全智脑 2024-04-03 15:41:37

本文介绍了创宇安全智脑发布的21个漏洞插件，其中包括浙大恩特客户资源管理系统、红海云eHR、易宝OA、用友U8 Cloud等知名系统存在的高危漏洞。这些漏洞涉及SQL注入、任意文件上传、任意文件读取以及远程代码执行等多种安全问题，攻击者可利用漏洞执行恶意操作，包括获取敏感数据、篡改数据库或获取系统权限。建议系统管理员及时更新至最新版本，并采取措施防止漏洞被利用，如使用参数化查询、预编译语句和过滤验证输入等。此外，文章还介绍了创宇安全智脑提供的安全产品和服务，如ScanV、WebSOC和ZoomEye Pro等，以帮助企业发现和应对安全威胁，提升整体安全防护能力。

0x4 XZ计划中的后门手法 - “NOBUS”

天御攻防实验室 2024-04-03 12:17:47

本文详细分析了名为XZ计划中的一种后门技术——“NOBUS”。NOBUS后门通过使用高级加密技术和特定的安全机制，确保只有拥有对应私钥的攻击者能够触发和使用后门，从而达到“只有我们能用”的效果。具体技术包括：1. 硬编码ED448公钥，仅允许持有对应私钥的攻击者触发后门；2. 绑定ED448签名和目标主机公钥，避免后门在其他主机上被重放；3. 使用ChaCha20加密技术和ED448公钥解密有效载荷，进一步确保后门的独占性；4. 通过检查命令字节的方式，实现简单的认证机制。此外，文章提到了通过RSA_public_decrypt函数挂钩，实现对服务器主机密钥签名的验证，这不仅展示了后门的高级技术实现，还体现了开发者的强大密码学和逆向工程能力。文章还简要介绍了NSA的NOBUS原则，即在认为其他人无法利用某漏洞时，NSA会保留该漏洞以支持自身的间谍活动。通过引用包括Stuxnet事件和Dual EC加密标准中NSA植入的后门案例，文章强调了NOBUS原则在实际情况中的应用和潜在风险。

0x5 恶意勒索Word文档模版注入分析

Ots安全 2024-04-03 12:15:48

前言此次是简单的分析过程，主要用于困难环境下使用手动进行分析，在根据实际情况对相关的文档进行恶意分析！

0x6 某办公系统反序列化漏洞分析复现

雁行安全团队 2024-04-03 12:00:43

某办公系统存在反序列化漏洞，版本介于20180516和20240222之间，漏洞利用过程涉及文件上传、目录穿越和phar反序列化。利用了Laravel框架的Getgad Chains，通过注册授权处上传phar序列化数据，然后穿越目录指定文件位置，最后导入造成反序列化。漏洞利用过程分为两种方法：一是使用phpggc生成phar文件，二是直接写POP链。后者更简洁，但需要考虑免杀问题。建议使用该系统的用户立即升级维护。

0x7 最新AWVS高级版|内置一键破解工具|win/linux|漏洞扫描工具

淮橘安全 2024-04-03 12:00:32

本文介绍了Acunetix Web Vulnerability Scanner（AWVS）是一款知名的Web网络漏洞扫描工具，提供收费和免费两种版本。文章提供了AWVS的官方网站和下载地址，并介绍了内置一键破解工具的使用方法。通过修改hosts文件和替换license_info.Json文件和wlet_data2.dat文件，可以实现破解。最后，文章提供了项目下载链接。作者强调不得利用文章内的相关技术进行非法测试，否则后果自负。

0x8 Android逆向分析62--ELF文件分析

安全后厨 2024-04-03 11:45:34

0x9 IoT设备常见Web Server漏洞挖掘思路分析

破壳平台 2024-04-03 11:30:51

本文针对IoT设备中常见的Web服务器GoAhead和mini_httpd，结合源码对框架自身、真实设备中的漏洞进行分析，提供了较为通用的漏洞挖掘思路。

0xa 丝滑之逻辑缺陷挖掘

安全无界 2024-04-03 11:24:06

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

0xb liblzma/xz库被植入恶意后门(CVE-2024-3094)

深白网安 2024-04-03 11:22:40

免责声明：文章中内容来源于互联网，涉及的所有内容仅供安全研究与教学之用，读者将其信息做其他用途而造成的任何直接

0xc 解密https流量

二进制空间安全 2024-04-03 10:36:56

当浏览器通过SSL/TLS协议与服务器进行安全通信时，会生成会话密钥用于加密和解密HTTPS流量。通过设置SSLKEYLOGFILE环境变量，并在Wireshark中导入SSL密钥，可以解密HTTPS流量。文章通过案例分析钓鱼网站流量解密过程，包括设置环境变量、捕获流量、导入SSL密钥、分析凭据等步骤。进一步介绍了使用Wireshark进行流量分析，并通过OSINT检查IP地址和域名，最终总结了快速分析所用的命令和工具。文章重点强调了解密HTTPS流量的原理和实践，以及对钓鱼网站流量的分析过程。

0xd 常见协议数据包解析

A9 Team 2024-04-03 10:05:00

本文详细解析了常见的网络协议数据包，包括 ICMP、TCP、UDP 和 DNS。对于 ICMP 协议数据包，解析了数据帧、以太网帧头部信息以及 ICMP 协议信息的组成，以及当目标IP无响应后禁ping的情况。针对 TCP 协议数据包，讲解了其结构以及握手失败、握手成功后的数据传输过程，以及断开连接时的四次挥手数据包。UDP 协议数据包结构也进行了分析，特别强调了其无序传输的特点和与 TCP 不同的结构。最后，对 DNS 协议数据包进行了解析，包括查询/应答头部信息中的各个字段含义。文章内容详实，是网络安全学习者理解网络协议数据包的重要参考。

0xe 华为交换机配置指引（包含安全配置部分）以 S5735S-L48T4S-A1 配置为例

技术修道场 2024-04-03 09:03:47

本文介绍了华为S5735S-L48T4S-A1千兆以太网交换机的配置指引，包括基本配置和安全配置。基本配置包括连接交换机、登录、配置管理IP地址、配置接口IP地址和子网掩码、以及配置VLAN等。安全配置方面涵盖创建本地用户并设置密码、配置用户权限、端口安全限制、配置ACL规则控制网络流量、启用SSH并设置加密算法、以及配置SNMP社区和安全级别。此指引供参考，但在实际配置时需要根据实际网络环境进行相应调整，并建议在进行任何配置更改之前备份交换机配置。

0xf JumpServer远程代码执行漏洞(CVE-2024-29201,CVE-2024-29202)复现

Crush Sec 2024-04-03 09:01:39

JumpServer 是一款开源堡垒主机和运维安全审计系统。

0x10 Winnti 黑客组织使用新的 UNAPIMON 工具可隐藏安全软件中的恶意软件

会杀毒的单反狗 2024-04-03 09:00:14

Winnti黑客组织被曝光使用一种新型恶意软件UNAPIMON，该软件能够使恶意进程在不被发现的情况下运行。Winnti是一个自2012年以来活跃的高级网络间谍威胁组织，其攻击目标广泛，涵盖政府、硬件供应商、软件开发商等多个领域。趋势科技的报告深入分析了Earth Freybug集群使用的这种未知恶意软件。UNAPIMON通过注入合法的VMware Tools进程，执行远程任务来收集系统信息，并通过DLL侧加载以及利用SessionEnv服务的方式，将恶意软件加载到内存中并注入到cmd.exe进程。该恶意软件使用Microsoft Detours挂钩CreateProcessW API函数，通过一系列复杂的步骤来取消安全工具的API挂钩，从而实现逃避检测的目的。这种技术的使用显示了恶意软件编写者的高超编码能力和创新思维。Winnti黑客以其逃避检测的能力而闻名，过去曾利用Windows打印处理器和Cobalt Strike信标分割等手段进行攻击。

0x11 科荣AIO UtilServlet 前台RCE漏洞复现

揽月安全团队 2024-04-03 08:50:39

科荣AIO UtilServlet 是一个存在严重漏洞的接口，允许未经身份验证的攻击者远程执行恶意代码，导致写入后门文件并获取服务器权限。漏洞的复现步骤包括使用特定搜索语法获取测试目标，发送命令执行测试数据包以验证漏洞，以及持续尝试深度挖掘漏洞。同时，文章强调了技术、思路和工具的合法使用，警告不得将其用于非法目的及盈利。这篇文章提供了一种学习交流的场景，但也警示着对网络安全问题的严峻性和必要性。

0x12 [漏洞复现] JunmpServer CVE-2024-20291远程命令执行 CVE-2024-20292模板注入

不够安全 2024-04-03 08:30:17

JumpServer是一款开源堡垒主机和运维安全审计系统，存在两个漏洞：CVE-2024-20291和CVE-2024-20292。CVE-2024-20291允许攻击者绕过输入验证，在Celery容器中执行任意代码。CVE-2024-20292允许攻击者利用Jinja2模板注入漏洞执行任意代码。影响版本为v3.0.0 ≤ JumpServer ≤ v3.10.6。攻击者可以通过创建恶意Playbook作业来利用这些漏洞。用户应尽快升级到修复版本，以免受到攻击。相关链接包括NVD漏洞详情和GitHub安全通告。

0x13 批量Poc漏洞扫描工具

kali笔记 2024-04-03 08:03:38

批量Poc漏洞扫描工具是一种利用Poc漏洞扫描工具，能够快速扫描站点是否存在已知漏洞的方式。这些漏洞包括任意文件上传、反序列化、SQL注入等高危漏洞。工具的使用方便安全测试人员进行站点维护。但需要注意遵守相关法律法规，否则可能面临法律责任。POC bomber是一款漏洞检测/利用工具，主要用于利用大量高危害漏洞的POC/EXP快速获取目标服务器权限。其安装和使用方法包括克隆git仓库、安装依赖、查看帮助、设置常用参数等。常用参数包括指定目标url、指定生成报告文件、指定单个或多个poc进行检测、指定线程池最大并发数量等。工具还支持展示poc/exp详细信息和使用poc文件中的exp进行攻击。在运行程序前，需先安装requirements.txt依赖库，并避免对非授权目标进行扫描。

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

原文始发于微信公众号（洞见网安）：网安简报【2024/4/3】