2024-05-15 微信公众号精选安全技术文章总览

洞见网安 2024-05-15

0x1 NtTestAlert加载shellcode

MicroPest 2024-05-15 23:53:55

文章主要分析了NtTestAlert这一未公开的Windows API函数，它用于测试系统向应用程序生成异步过程调用(APC)的能力。NtTestAlert不接受参数，返回一个NTSTATUS值，如果APC成功排队则返回STATUS_SUCCESS，否则返回错误代码。该函数在调试和性能调优中非常有用。文章还介绍了木马中使用NtTestAlert的两种方式：基础版和增强版。基础版利用线程被唤醒时执行APC队列中的注册函数来执行DLL加载代码，完成DLL注入。增强版则通过修改内存区域的保护属性为可执行、可读、可写，获取NtTestAlert函数地址，向当前线程的APC队列添加执行Shellcode的任务，并通过调用NtTestAlert触发APC队列中的任务执行，实现Shellcode的加载和执行。文章最后提供了测试例子，包括生成shellcode、编译生成shellcode加载器exe、在msf中配置监听、执行shellcode加载器后获取meterpreter，以及使用ida查看源码和汇编的过程。

0x2 漏洞复现 | 瑞友天翼应用虚拟化系统 AgentBoard.XGI 存在SQL注入漏洞【附poc】

实战安全研究 2024-05-15 22:04:37

敏感内容

0x3 JEP290攻防对抗录

七芒星实验室 2024-05-15 18:10:22

JEP290是针对Java反序列化安全问题提出的一项增强机制，旨在缓解反序列化攻击。该机制最初为Java 9设计，后向下兼容至JDK 6、7、8的更新版本。JEP290通过提供限制反序列化类的机制（如白名单或黑名单）、限制反序列化的深度和复杂度、为RMI远程调用对象提供验证机制，以及定义可配置的过滤机制来增强安全性。在RMI服务中，JEP290通过内置过滤器和自定义过滤器来控制反序列化过程，从而防止未授权的类被反序列化。尽管JEP290提供了安全增强，但攻击者仍可能通过注入gadget、利用Object参数类型的方法、或者通过RASP和YouDebug等工具来尝试绕过这些安全措施。文章还介绍了如何通过系统属性或配置文件设置全局过滤器，以及如何实现自定义过滤器来进一步提高安全性。

0x4 内网穿透之IPv6隧道

七芒星实验室 2024-05-15 18:10:22

文章详细摘要：本文主要讨论了内网穿透中的IPv6隧道技术。首先，介绍了网络通信隧道技术的概念，它用于在受限网络中追踪数据流向和在非信任网络中实现安全数据传输。文章列举了不同层的隧道技术，包括网络层的IPv6、ICMP、GRE隧道，传输层的TCP、UDP隧道，以及应用层的SSH、HTTP、HTTPS、DNS隧道。接着，文章详细说明了如何判断内网连通性，包括使用ICMP协议的ping命令，TCP协议的netcat工具，HTTP协议的curl命令，以及DNS协议的nslookup和dig命令。文章还提到了代理服务器的判断方法。然后，文章重点介绍了IPv6隧道技术，包括IPv6隧道的基本概念、工作原理、不同模式（配置隧道和自动隧道），以及封装方式。文章还简要介绍了几个支持IPv6的隧道工具，如socat、6tunnel、nt6tunnel，并给出了6tunnel的使用示例。最后，文章讨论了IPv6隧道的防范措施，建议通过了解IPv6漏洞、结合其他协议、使用防火墙和深度防御系统来过滤IPv6通信，以及提高主机和应用程序的安全性。

0x5 不使用VirtualProtect且无需动内存绕过AMSI

TIPFactory情报工厂 2024-05-15 18:00:26

本文介绍了如何在不使用VirtualProtect函数且不直接修改内存的情况下绕过Windows 10及更高版本中的反恶意软件扫描接口（AMSI）。作者发现了一个存在于System.Management.Automation.dll中的可写条目，该条目包含了AMSI关键组件AmsiScanBuffer的地址。正常情况下，这个地址应该被标记为只读。通过分析AmsiScanBuffer的调用过程，作者发现了一个漏洞：在.NET Framework的即时（JIT）编译过程中，AmsiScanBuffer的地址被写入DLL中，但写入后并没有将权限更改回只读。这意味着攻击者可以在不调用VirtualProtect的情况下，通过覆盖这个地址来绕过AMSI的检测。文章详细介绍了这个漏洞的发现过程，包括使用windbg工具对内存地址的分析，以及CLR的初始化过程。最后，作者提供了一个概念验证（PoC）脚本的链接，但由于不同的计算机和CLR版本，地址偏移可能会有所不同。

0x6 【玄机】第一章-应急响应-WebShell 查杀

靶场手记 2024-05-15 17:34:31

敏感内容

0x7 Xeno-RAT通信模型剖析及自动化解密脚本实现

T0daySeeker 2024-05-15 17:28:12

文章《Xeno-RAT通信模型剖析及自动化解密脚本实现》由T0daySeeker撰写，首发于先知社区。文章深入分析了Kimsuky组织使用Powershell加载的Xeno-RAT远控程序，该程序针对美国和韩国进行钓鱼攻击。Xeno-RAT是一款开源远控工具，首次发布于2023年10月17日，由C#编写，具备Client端、Server端和Plugin插件模块。文章从多个角度对Xeno-RAT进行剖析，包括开源项目分析、配置信息提取、功能原理分析、通信模型分析，以及模拟构建通信解密程序。文章指出，Xeno-RAT的通信加密使用AES算法，并可能使用ntdll.dll库中的RtlCompressBuffer和RtlDecompressBuffer函数进行数据压缩和解压缩。Xeno-RAT的远控功能通过动态加载插件DLL实现，包括聊天、文件管理、进程管理、注册表管理等。文章还提供了模拟构建的通信解密程序的代码实现，用于批量解密Xeno-RAT木马通信数据。

0x8 HTB-SolarLab笔记

Jiyou too beautiful 2024-05-15 16:29:53

CVE-2023-33733是一个远程代码执行（RCE）漏洞，存在于流行的Python库Reportlab的HTML解析功能中，该库用于从HTML数据生成PDF文档。该漏洞允许攻击者在运行Reportlab漏洞版本的系统上执行任意代码。Reportlab的HTML解析器未能妥善处理某些缺乏正确关闭标签的HTML元素，攻击者可以通过构建包含未关闭的标签的恶意HTML片段来利用此漏洞。当Reportlab尝试解析此元素时，由于解析器处理后续内容的方式，缺少关闭标签可能导致意外执行代码。成功的利用可以导致系统的完全破坏，允许攻击者安装恶意软件、窃取数据或在网络内转向其他系统。为了构建攻击的证明概念（PoC），文章中提供了一个使用Reportlab 3.6.12版本的Flask应用程序，该版本易受CVE-2023-33733的影响。文章还提供了一个恶意HTML文件的示例，该文件利用了Reportlab的漏洞，并通过嵌套函数调用尝试执行系统命令。文章最后强调了更新Reportlab到修补该漏洞的版本以及在应用程序中实施严格的输入验证和清理的重要性。

0x9 【风险提示】天融信关于微软2024年05月安全更新的风险提示

天融信阿尔法实验室 2024-05-15 15:06:47

2024年5月15日，天融信阿尔法实验室监测到微软发布了05月的安全更新，共修复了60个漏洞，包括1个严重漏洞、57个重要漏洞、1个中危漏洞和1个低危漏洞。这些漏洞涉及权限提升、远程代码执行、信息泄露、拒绝服务、欺骗、安全功能绕过和篡改等多个方面。受影响的组件包括Windows MSHTML Platform、Windows DWM Core Library、Windows Common Log File System Driver等。特别地，CVE-2024-30040和CVE-2024-30051已被发现在野利用，且CVE-2024-30051还被公开披露。这些漏洞的利用可能导致攻击者获得目标系统的SYSTEM权限或执行远程代码。微软建议用户通过Windows自动更新或手动下载补丁来修复这些漏洞。天融信阿尔法实验室强调，任何因传播或利用此公告造成的后果由使用者自行负责，实验室不承担任何责任。

0xa 二维码防伪平台

HexaGoners 2024-05-15 15:03:29

敏感内容

0xb 记一次有趣的漏洞挖掘

Cyb3rES3c 2024-05-15 12:47:57

敏感内容

0xc 【1day】美特crm 任意文件上传漏洞复现

爱喝酒烫头的曹操 2024-05-15 11:54:48

敏感内容

0xd Docker逃逸中被忽略的 pid namespace

破壳平台 2024-05-15 11:49:51

本文探讨了基于内核漏洞进行Docker逃逸的原理，分析了Docker逃逸漏洞的分类，包括Docker配置问题、Docker实现问题和Linux内核问题。文章详细解释了Docker依赖的内核安全机制，如capability、namespace、seccomp、apparmor/selinux和cgroups，并提供了如何查看这些机制状态的方法。接着，文章回顾了利用Linux内核漏洞进行Docker逃逸的三种方法，包括ret2usr、改cap+ns v1.0和改cap+ns v2.0，并对每种方法进行了深入分析。特别指出了公开exp中pid namespace切换失败的原因，并提供了解决方案。此外，文章还探讨了seccomp机制的绕过方法。最后，作者总结了在Linux 5.15.0 + Docker 24.0.6环境中，如何通过内核漏洞利用突破Docker的安全机制，包括capability、namespace和seccomp，并提供了详细的环境搭建教程和参考文章。

0xe 加密通信的最后一公里 - ECH（Encrypted Client Hello）

imBobby的自留地 2024-05-15 10:30:47

敏感内容

0xf 都是套路！Steam游戏虚假入库的黑灰产手法刨析，当心变肉鸡！

帅仔回忆录 2024-05-15 09:10:22

文章主要分析了Steam游戏激活码（CDK）在电商平台上低价销售背后隐藏的虚假激活入库的黑灰产手法。作者通过个人经历引出主题，指出这些低价CDK背后可能涉及的木马脚本或.exe程序，这些程序在执行所谓的“激活操作”时，实际上进行的是破解操作，存在极大风险导致用户Steam账号被封，从而丢失游戏和存档。文章详细分析了商家提供的PowerShell指令和脚本，揭示了其自删除、获取Steam安装路径、以管理员权限运行、关闭安全软件进程、删除Steam缓存和特定文件、下载破解包等恶意行为。此外，还提到了通过开源威胁情报平台发现的C++编译的木马样本，功能与PowerShell脚本一致。最后，作者提醒读者在购买CDK时要小心，一旦中招，应立即卸载并重装Steam。

0x10 代码审计-ASP.NET项目-未授权访问漏洞

小黑子安全 2024-05-15 09:05:01

敏感内容

0x11 【工具】Nacos漏洞综合利用工具v6.0

Sec探索者 2024-05-15 08:59:15

敏感内容

0x12 .Net代码审计之某OA系统任意文件上传

HackingWiki漏洞感知 2024-05-15 08:00:24

本文详细分析了.NET框架下某OA系统的文件上传漏洞。作者首先介绍了该OA系统的文件存储结构，指出了/resource目录用于存储静态文件且不解析，而上传文件需要穿越到/C6目录下。接着，通过搜索上传相关的关键字，定位到Web.Module.dll文件中的Save方法。进一步分析发现，文件上传过程中，系统对文件路径进行了多次处理，包括大小写转换、路径替换等，但存在漏洞：对目录穿越符号'../'的处理不彻底，可以通过双写'..'来绕过。这使得攻击者可以上传恶意文件到任意目录，包括代码所在的/C6目录。文章最后展示了如何构造数据包上传ASPX一句话木马，并成功连接，证明了漏洞的利用链。

0x13 【漏洞复现】瑞友天翼应用虚拟化系统漏洞合集

道一安全 2024-05-15 07:38:56

本文是关于瑞友天翼应用虚拟化系统的安全漏洞分析。文章首先声明了免责声明，指出所提供的信息仅供网络安全人员进行检测或维护，严禁用于非法入侵。接着，文章详细描述了四个主要的安全漏洞及其影响版本范围，包括5.x至7.0.2.1版本。 第一个漏洞是ConsoleExternalUploadApi远程代码执行漏洞，攻击者可以通过连接数据库将文件写入WebRoot目录下。第二个漏洞是index.php反序列化注入Getshell，旧版本中存在反序列化漏洞，可以利用该漏洞写入恶意文件控制服务器。第三个漏洞是GetBSAppUrl SQL注入，攻击者可以通过构造的请求执行任意代码。第四个漏洞是AgentBoard.XGI远程代码执行，该漏洞允许攻击者通过特定请求执行远程代码。 文章还提供了每个漏洞的POC（Proof of Concept，概念验证），包括HTTP请求的具体参数和值，这些信息对于安全人员理解漏洞原理和进行安全检测至关重要。最后，文章提到了一些未复现的漏洞，并提供了相关的链接和提示。整体而言，文章为网络安全人员提供了宝贵的漏洞信息和检测方法，有助于提升系统的安全性。

0x14 【漏洞复现】联软安渡 UniNXG 安全数据交换系统 poserver接口处存在任意文件读取漏洞

伟大航路D 2024-05-15 07:07:12

敏感内容

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

原文始发于微信公众号（洞见网安）：网安简报【2024/5/15】