2024-04-30 微信公众号精选安全技术文章总览

洞见网安 2024-04-30

0x1 【红队】lnk钓鱼的奇思妙想(你应该没见过)

安全小将李坦然 2024-04-30 21:46:16

lnk钓鱼的奇思妙想(你应该没见过)

0x2 【红蓝/演练】-事前准备(6)之互联网风险收敛

十九线菜鸟学安全 2024-04-30 20:01:09

本章为该系列的第6篇，也是事前准备阶段的第6篇，这一节让我们聊聊办公环境的风险收敛。

0x3 渗透测试|一次丝滑的渗透测试记录

州弟学安全 2024-04-30 18:30:34

本文记录了一次成功的渗透测试案例，以 target.com 为目标。测试者首先进行了信息收集，并利用了某框架的历史漏洞，成功获取了 webshell。随后，通过不断尝试，利用了 TP 框架的多个漏洞，包括任意文件读取和命令执行等。在拿到最高权限后，测试者尝试创建用户并加入管理员组，以便进一步横向渗透。然而，由于目标环境中有安全软件，部分操作受到限制，最终未能实现完整的内网渗透。文章强调了实战经验的重要性，并表达了对未来学习的期待。

0x4 记一次对抗中的钓鱼

弱口令验证机器人 2024-04-30 18:04:50

本文作者分享了一次在网络安全项目中的钓鱼攻击经验。作者首先强调了合法性，指出文章目的仅用于学习和交流，禁止用于非法攻击。文章中提到，在外网打点受阻的情况下，可以采用钓鱼方式突破到内网。作者通过搜集目标单位的邮箱，仿造之前的节日放假通知发送钓鱼邮件，成功吸引了目标员工的注意。邮件中附带的木马文件采用了多种伪装技巧，如修改图标、隐藏exe文件等。一旦有员工点击邮件中的链接并下载木马，攻击者就可以在内网进行进一步的权限维持和内网探测。文章还提到了一些实用的工具和技术，如CS上线提醒、进程迁移插件等。作者还提到了日常网络安全测试中，除了钓取主机权限，钓取账户密码也是非常重要的。文章最后提醒，实战中钓鱼攻击可能会遇到各种挑战，如社交媒体封禁、木马免杀失败等。本文是作者的个人学习和经验分享，旨在提高网络安全意识，不应用于非法目的。

0x5 四月份68个0day/1day/nday漏洞汇总

山海之关 2024-04-30 18:01:55

本文是一份四月份公布的68个0day/1day/nday漏洞的汇总。这些漏洞涉及多个软件系统，包括快普软件、金和OA、JumpServer、用友U8cloud、WordPress等。其中，部分漏洞已经被利用，具体包括JumpServer的远程代码执行漏洞(CVE-2024-29201)和模板注入漏洞(CVE-2024-29202)，以及其他多个SQL注入、文件上传、命令执行等漏洞。这些漏洞的详细信息和利用方式已经上传至追洞学苑知识星球。此外，文章还提到了SpringBlade框架、Apache Zeppelin、医院一站式后勤管理系统等多个存在的漏洞。追洞学苑会分享最新的漏洞nday/1day/0day poc，并欢迎蓝队朋友们加入，也支持投稿原创漏洞或复现文章加入。关注本公众号满3个月可以在后台私信领取30元五一优惠券（限5.1-5.5使用）。

0x6 Windows | AV/EDR对抗之BYOVD技术

TahirSec 2024-04-30 18:00:36

BYOVD（Bring Your Own Vulnerable Driver）是一种网络安全攻击技术，攻击者通过向目标环境植入带有漏洞的合法驱动程序，利用这些驱动程序的漏洞获得内核权限，实现任意代码执行或终止高权限进程。BYOVD攻击通常用于直接终止安全软件核心进程，以便进行后续恶意活动。该技术曾主要被APT组织使用，但随着开源项目的增多，攻击成本降低，应用范围变广。 文章介绍了内核驱动通信的基本过程，包括用户态进程如何通过Windows API函数与内核驱动通信，以及I/O请求数据包（IRP）和IO_STACK_LOCATION结构体的作用。特别关注了IRP_MJ_DEVICE_CONTROL、IRP_MJ_CREATE和IRP_MJ_CLOSE等MajorFunction参数，以及DeviceIoControl结构体中的IoControlCode，这些是驱动程序通信的关键。 文章还探讨了如何挖掘具备潜在BYOVD利用条件的驱动程序，包括分析驱动程序是否导入了获取和终止进程的函数，以及是否对调用者进行了校验。通过反编译viragt64.sys和amsdk.sys两个驱动程序，文章展示了如何找到可用于终止任意进程的IOCTL代码，并给出了相应的攻击步骤。 最后，文章讨论了BYOVD利用痕迹，指出攻击者通常不会删除创建的设备链接符号，这些可以通过工具如WinObj.exe检测，同时系统日志也能提供服务创建和启动的时间信息。

0x7 从未授权使用破解软件到VenomRAT木马的应急响应

Desync InfoSec 2024-04-30 17:13:18

本文介绍了作者在网络安全工作中遇到的一起VenomRAT木马感染事件。在接到告警后，作者通过修改本地hosts文件并利用网络工具，成功定位到可疑进程。在调查过程中，发现恶意请求是由Microsoft的InstallUtil.exe程序发起，疑似存在进程注入或DLL侧载的情况。通过工具pe-sieve扫描，确认了进程注入并转储出了程序。上传至沙箱分析后，发现程序会请求恶意域名，进一步确认破解软件被插入后门。作者指出，当系统合法进程发起可疑DNS请求时，可以通过修改hosts文件的方式，让恶意域名解析成功并建立TCP连接，从而便于定位具体可疑进程。同时，建议企业在应急响应中，建立完善的软件合规策略，禁止使用未授权的软件，尤其是破解软件。

0x8 SRC中低危漏洞的挖掘实例

探幽安全 2024-04-30 14:37:57

免责声明：请不要利用文章内的相关知识点进行非法渗透，仅做学习使用，产生的一切后果与文章作者和本公众号无关。

0x9 【漏洞复现】kkFileView远程代码执行漏洞

安全攻防屋 2024-04-30 13:29:08

kkFileView 4.2.0 到4.4.0-beta版本中文件上传功能存在zip路径穿越问题，导致攻击者可以通过上传恶意构造的zip包，覆盖任意文件。

0xa 初遇内嵌WebShell的pdf文件

OnionSec 2024-04-30 12:57:08

本文是作者作为一名网络安全学习者对一次实际工作中遇到的内嵌WebShell的pdf文件进行分析的记录。文章首先回顾了作者从Web安全转向恶意代码分析，再到APT追踪与挖掘，最终聚焦于恶意代码自动化检测和沙箱优化的心路历程。在此基础上，作者描述了此次分析的过程：一个同事转发的XXX告警WebShell事件，其中的pdf文件在初次分析中被判定为无害，但作者认为该文件存在恶意。作者通过检查文件名、直接打开文件和利用PdfStreamDumper工具，最终在pdf文件的Stream中找到了冰蝎ASP代码WebShell的痕迹，从而证实了该文件的恶意性质。文章最后提到，尽管这是一个简单的案例，但它勾起了作者对Web安全基础知识的回顾，并强调了在实际攻防场景中，快速准确地识别和应对恶意代码的挑战。

0xb zyxel 路由器 export_log文件读取

非攻安全实验室 2024-04-30 12:11:32

文章主要分享了网络安全学习者在web渗透、内网渗透、漏洞复现和工具开发等方面的日常学习经验。作者希望通过技术共享和交流，不断提升自己的能力，为网络安全领域做出贡献。文章中提到了ZyXEL路由器存在任意文件读取漏洞的问题，该漏洞可能允许攻击者获取用户的敏感信息，如密码等。为了复现这一漏洞，作者提供了fofa搜索语法和部分界面截图，但具体的利用方式需要加入特定的帮会才能获取。此外，文章还给出了一些修复建议，比如升级到安全的版本。作者还提到了一个名为“知识大陆”的平台，该平台持续更新未公开或小范围公开的漏洞信息，目前已更新超过453个漏洞。文章最后列出了一系列不同系统的安全漏洞，包括但不限于文件上传、SQL注入、远程命令执行等，涉及多个知名品牌和软件，强调了网络安全的重要性和紧迫性。

0xc 上周暗网0day 售卖情报（NAS、iMessage0day）

OSINT研习社 2024-04-30 10:34:36

本文介绍了近期暗网中销售的0day漏洞情报，主要包括针对多家公司客户数据的泄露以及QNAP NAS设备软件套件中的三个严重缺陷。威胁行为者声称可以访问苹果、三星和其他知名公司的客户信息，包括帐单、送货地址、序列号等。同时，QNAP发现了三个严重漏洞，包括操作系统命令注入和未经授权的服务访问，这些漏洞可能导致数据泄露、恶意软件安装或NAS设备被接管。此外，文章还提到了iMessage的0day漏洞，该漏洞允许攻击者无需用户交互即可控制iOS设备。为保护用户安全，QNAP建议用户立即更新至最新版本，以应用安全补丁。同时，文章提供了一些NAS安全最佳实践，如使用强密码、定期更新、限制互联网暴露和定期备份数据等。总之，本文强调了网络安全的重要性，并提醒用户采取措施保护自己的设备和数据安全。

0xd “朝鲜黑客利用Windows漏洞使用Rootkit进行攻击”。

深网知识库 2024-04-30 09:30:54

文章详细摘要：文章报告了朝鲜黑客组织Lazarus利用Windows系统中的一个名为CVE-2024-21338的漏洞，通过在操作系统内核级别创建直接读/写机制，来传播一种名为FudModule的Rootkit。这个Rootkit的新版本增强了隐蔽性，并能够禁用多种安全软件，包括AhnLab V3 Endpoint Security、Windows Defender、CrowdStrike Falcon和HitmanPro。最初，微软的漏洞公告并未提及该漏洞已被实际利用，但后来更新了通知，警告该漏洞仍在被利用。网络安全公司Avast提供了该漏洞的详细技术描述，并指出黑客通过利用此漏洞，可以最大限度地减少保存或下载其他恶意驱动程序的需求。此外，Avast还追踪到Lazarus活动使用了一种新的远程访问木马（RAT），其详细信息将在稍后公布。

0xe WAF绕过-漏洞发现-AWVS+Xray+Goby+sqlmap-绕过waf

小黑子安全 2024-04-30 09:04:11

敏感内容

0xf 【工具】海康威视 漏洞综合利用工具

Sec探索者 2024-04-30 08:57:05

海康威视漏洞综合利用工具

0x10 OSCP-习题第九章第四个靶机思路

道玄网安驿站 2024-04-30 08:34:52

本文主要分享了作者在OSCP第九章命令注入的第四个靶机上的实践经验。靶机存在文件上传漏洞，但上传页面位于8000端口的default目录，而在80端口无法扫描出来。作者上传了一个aspx文件后，通过蚁剑连接成功 exploit了该漏洞。文章还提到了作者的星球：重生者安全，该星球每天会分享OSCP备考、车联网、渗透红队以及漏洞挖掘工具等信息。文章最后强调了所有操作都在实验环境下进行，请勿用于其他用途，否则后果自负。

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

原文始发于微信公众号（洞见网安）：网安简报【2024/4/30】