2024年4月9日17:08:43评论11 views字数 1984阅读6分36秒阅读模式

2024-04-08 微信公众号精选安全技术文章总览

洞见网安 2024-04-08

0x1 安全卫士 | 魔方安全漏洞周报

魔方安全 2024-04-08 18:30:15

网安简报【2024/4/8】

成事在微，筑防于先。魔方安全提醒您:注意企业网络空间资产安全!

0x2 验证码不寻常对抗系列1: 双重验证的破解之法

一个不正经的黑客 2024-04-08 18:11:01

网安简报【2024/4/8】

若阁下问我此文意欲何为？阐述验证码不寻常对抗系列1: 双重验证的破解之法

0x3 一种有趣的权限维持的方式

Relay学安全 2024-04-08 18:04:59

网安简报【2024/4/8】

0x4 漏洞复现-CVE-2024-24498

Adler学安全 2024-04-08 17:49:55

网安简报【2024/4/8】

文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任，一旦造成后果请自行负责。如有侵权烦请告知，我会立即删除并致歉。谢谢！

0x5 RISC-V Linux 内核 UEFI 启动过程分析（Part2）：内核侧 UEFI 支持

泰晓科技 2024-04-08 17:18:43

网安简报【2024/4/8】

本周继续连载 Risc-v Linux Uefi 系列文章，记得收藏分享+关注，合集：https://tinylab.org/riscv-linux

0x6 Unix系列(15)--IFUNC机制初探

青衣十三楼飞花堂 2024-04-08 17:13:52

网安简报【2024/4/8】

本文从正常程序员角度初探IFUNC机制，与liblzma后门并非强相关，但也不是无关

0x7 记一次文件权限维持

T大4的小圈圈 2024-04-08 16:45:16

网安简报【2024/4/8】

本文描述了一次文件权限维持的经历。作者分享了与好友钦原交流样本的经历，以及后续针对文件权限维持的探讨。在分析服务器形式时，提到了挂载在VM上并映射端口出来的情况。作者介绍了使用everything和devtunnel工具实现全白流量的方法，以及在目标上进行图标隐藏的步骤。此外，还提到了使用云服务时遇到的限制，如AWS明令禁止使用pacu工具，最终作者使用了AWS官方工具进行攻击。

0x8 Bizarre Adventure之Sticky Fingers靶机

MicroPest 2024-04-08 13:10:26

网安简报【2024/4/8】

0x9 PHP变量覆盖

嗜心 2024-04-08 11:07:21

网安简报【2024/4/8】

当PHP开发者在编写代码时，很多时候为了方便会直接完全信任用户的输入，不做校验地赋值到自己程序的变量中。

0xa 【漏洞复现】浙大恩特CRM-SQL注入-RegulatePriceAction

知黑守白 2024-04-08 09:02:01

网安简报【2024/4/8】

免责声明此内容仅供技术交流与学习，请勿用于未经授权的场景。请遵循相关法律与道德规范。

0xb 有手就会？记一次绕过防重放的漏洞挖掘

权说安全 2024-04-08 08:20:12

网安简报【2024/4/8】

你学废了吗

0xc 跨平台多客户端远程访问RAT工具-pyFUD

kali笔记 2024-04-08 08:02:07

网安简报【2024/4/8】

本文为大家介绍一款基于Python的远程连接工具pyFUD。可以使用该工具快速实现远程访问与安全研究测试。

0xd 中间件安全-CVE漏洞复现-Weblogic+JBoss+GlassFish

小黑子安全 2024-04-08 07:54:09

网安简报【2024/4/8】

本文介绍了中间件安全方面的漏洞复现，包括Weblogic、JBoss、GlassFish三种中间件的安全漏洞。首先使用vulfocus靶场对Weblogic漏洞CVE-2020-14883进行了复现，然后通过fofa搜索漏洞资产，并使用弱口令成功登录JBoss控制台。接着介绍了使用bash反弹shell的方法，并使用ysoserial生成反弹shell的poc文件。最后演示了GlassFish的任意文件读取漏洞CVE-2017-1000028，包括读取密码文件和敏感文件。文章内容涵盖漏洞复现步骤、工具使用方法以及实例演示，对于网络安全学习者具有一定的参考价值。

0xe 实战 | 记一次某报表系统漏洞挖掘

小黑说安全 2024-04-08 00:03:31

网安简报【2024/4/8】

文章描述了作者发现并利用某报表系统的漏洞过程。通过分析网站返回信息及关键字搜索代码，发现一个接口存在漏洞。作者使用脚本遍历目录并搜索文本，成功发现了上传路径存在的漏洞，通过路径穿越漏洞成功上传了恶意文件。漏洞利用过程简单且成功，作者最终成功利用该漏洞上传了马。文章结尾邀请读者加入小密圈，并附上了优惠券。

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

原文始发于微信公众号（洞见网安）：网安简报【2024/4/8】

左青龙
微信扫一扫

右白虎
微信扫一扫

网安简报【2024/4/8】

2024-04-08 微信公众号精选安全技术文章总览

0x1 安全卫士 | 魔方安全漏洞周报

0x2 验证码不寻常对抗系列1: 双重验证的破解之法

0x3 一种有趣的权限维持的方式

0x4 漏洞复现-CVE-2024-24498

0x5 RISC-V Linux 内核 UEFI 启动过程分析（Part2）：内核侧 UEFI 支持

0x6 Unix系列(15)--IFUNC机制初探

0x7 记一次文件权限维持

0x8 Bizarre Adventure之Sticky Fingers靶机

0x9 PHP变量覆盖

0xa 【漏洞复现】浙大恩特CRM-SQL注入-RegulatePriceAction

0xb 有手就会？记一次绕过防重放的漏洞挖掘

0xc 跨平台多客户端远程访问RAT工具-pyFUD

0xd 中间件安全-CVE漏洞复现-Weblogic+JBoss+GlassFish

0xe 实战 | 记一次某报表系统漏洞挖掘

DataTrove：一款针对大规模文本数据的处理、过滤和消除重复数据工具

PlugX又有新变种，感染250万个服务器

实验性 Morris II 蠕虫病毒可以利用流行的人工智能服务窃取数据并传播恶意软件

蚂蚁集团韦韬：DKCF可信框架大模型从砖家到专家还有多远？

一次勒索攻击案例追踪 | 从最初的漏洞利用到最终的部署勒索软件历时29天

谷歌Play 商店拒绝了 228 万款有风险的 Android 应用

Forrester：2024年五大网络安全新威胁

新的R编程漏洞暴露项目面临供应链攻击

SpaceX 遭攻击，泄露近150GB数据以及多份图纸

为什么使用微软AI会加剧现有的数据质量和隐私问题

发表评论

在线咨询

微信