网安原创文章推荐【2024/8/31】

admin 2024年9月1日16:45:14评论18 views字数 2782阅读9分16秒阅读模式

2024-08-31 微信公众号精选安全技术文章总览

洞见网安 2024-08-31

0x1 ssrf之黑名单绕过

迪哥讲事 2024-08-31 23:00:49

网安原创文章推荐【2024/8/31】

本文讨论了服务器端请求伪造(SSRF)攻击的一种常见绕过技术,即通过使用IPv6地址格式来绕过黑名单。文章首先介绍了Slack集成功能的正常请求流程,然后详细分析了攻击者如何利用SSRF漏洞,通过构造恶意的HTTP请求来访问内部服务。攻击者通过将URL中的主机名设置为IPv6地址的特定表示法[::],成功绕过黑名单,使得服务器尝试访问攻击者指定的内部网络端口。文章进一步解释了攻击的五个步骤:发现漏洞、构造恶意请求、发送请求、分析响应和利用漏洞进行进一步攻击。最后,文章指出Slack使用的黑名单机制存在缺陷,可以通过特定技巧绕过,提醒用户注意这种安全风险,并参考了HackerOne上的一个相关报告。

SSRF漏洞 黑名单绕过 网络安全攻击 IPv6利用 内部服务访问

0x2 【SRC实战】Window客户端本地文件实现远控

挖个洞先 2024-08-31 18:32:35

网安原创文章推荐【2024/8/31】

该文章描述了一个针对Windows客户端的远控漏洞,其特点是可以静默安装并且其鉴权文件未经过严格验证。具体表现为一个可执行文件(xxx.exe)可以通过命令行参数/S进行静默安装,并且在默认安装路径下存在两个配置文件:config.ini存储了uuid,而user_info.ini则保存了deviceId、token及userId。文中指出这些标识符之间没有强制关联,系统只对JWT格式的token进行了鉴权检查,因此攻击者可以替换这些值并在系统重启后实现远程控制。此漏洞的危害包括:1) 未经授权的远程访问,允许攻击者在受害者不知情的情况下控制计算机;2) 数据泄露风险,攻击者可利用泄露的信息模拟受害者身份并获取更多敏感数据;3) 系统完整性受损,通过修改配置文件中的token等字段,攻击者能轻易破坏系统完整性和可靠性,部署恶意软件,甚至导致系统崩溃。

本地文件包含漏洞 未授权远程访问 配置文件安全 静默安装漏洞 身份验证漏洞 数据泄露风险 系统完整性受损

0x3 某视频云平台存在未授权窃取用户凭据漏洞

儒道易行 2024-08-31 18:03:27

网安原创文章推荐【2024/8/31】

本文揭示了某视频云平台存在的未授权访问漏洞,攻击者能够直接访问API接口文档,导致系统API接口信息泄露。通过构造特定payload,攻击者可以获取用户账户密码信息,如示例中的URL所示。文章作者通过利用泄露的用户信息,成功登录视频监控系统,证实了漏洞的存在。作者强调,该漏洞的利用可能造成直接或间接的后果及损失,使用者需自行承担责任。同时,作者保留对文章的修改和解释权,并声明未经允许不得用于商业目的。

未授权访问漏洞 信息泄露 API安全 账户安全 网络安全实战

0x4 一个针对微信和钉钉用户的MacOS后台木马,安装源居然指向mihoyo.com?是蜜罐还是被黑?

合规渗透 2024-08-31 17:39:15

网安原创文章推荐【2024/8/31】

2024年6月,研究人员发现了一个针对macOS用户的HZ Rat后门程序,主要针对微信和钉钉用户。该恶意软件通过伪装成OpenVPN Connect安装包进行分发,包含两个恶意文件exe和init。init文件是后门程序,能与C2服务器建立加密连接,支持执行shell命令、文件操作等。后门程序会收集受害者的系统信息、应用程序列表、微信和钉钉用户信息等,并以纯文本形式存储。研究发现,所有C2服务器几乎都位于中国,但有美国和荷兰的例外。安装包曾指向原神开发商MiHoYo的域,存在两种可能:一是DNS被劫持,二是作为蜜罐部署。该木马未进行常规的编译信息清除和加壳保护,不符合常规RAT操作,原因尚不明确。

0x5 一次针对PHP项目的代码审计

进击安全 2024-08-31 15:06:04

网安原创文章推荐【2024/8/31】

本文旨在分享一次针对PHP项目的代码审计过程,特别是一个基于ThinkPHP框架开发的项目的权限绕过漏洞。文章首先声明了其内容仅供信息安全防御技术学习使用,并强调了合法合规的重要性。随后介绍了审计案例背景,该项目存在一个允许未授权访问的漏洞。通过分析源码入口文件index.php及其登录逻辑,发现系统接收用户名和密码参数,并使用UserModel类的login方法进行验证。若验证成功,则生成包含用户名信息的JWT。进一步研究发现JWT密钥被硬编码,这意味着攻击者可能利用此漏洞伪造JWT,进而实现任意用户的假冒登录。文章描述了如何利用这一缺陷,通过抓取HTTP请求并修改JWT值,最终成功以超级管理员身份登录系统。最后,文章总结了整个漏洞利用的过程,并提醒读者注意安全性和合法性。

代码审计 ThinkPHP框架 权限绕过漏洞 SQL注入风险 JWT安全 硬编码密钥 信息安全培训

0x6 深入剖析针对中国用户的攻击活动(判断为Hvv样本被捕获了,红队速来认领)

独眼情报 2024-08-31 12:58:49

网安原创文章推荐【2024/8/31】

Securonix威胁研究团队揭露了一个针对讲中文用户的隐蔽活动,该活动使用Cobalt Strike有效载荷

0x7 新手必看 | 信息收集打点篇

掌控安全EDU 2024-08-31 12:02:48

网安原创文章推荐【2024/8/31】

0x8 [译] 威胁分析报告:12.APT29利用spy软件供应商创建的IOS、Chrome漏洞

娜璋AI安全之家 2024-08-31 09:04:32

网安原创文章推荐【2024/8/31】

该译文介绍APT29利用IOS和Chrome漏洞发起攻击,希望对您有帮助!

0x9 『POC』CVE-2024-38063(Windows TCP/IP IPv6远程拒绝服务/代码执行漏洞)

7coinSec 2024-08-31 00:46:03

网安原创文章推荐【2024/8/31】

本文介绍了一个影响Windows TCP/IP组件的整数下溢漏洞CVE-2024-38063,该漏洞可能导致缓冲区溢出。未经身份验证的远程攻击者可以通过发送特制的IPv6数据包触发目标Windows系统蓝屏崩溃,且存在远程代码执行的风险。该漏洞波及多个Windows版本,包括即将发布的Windows 11 24H2版本。文章强调禁用IPv6的系统不受此漏洞影响,而启用IPv6的系统则面临较大风险。作者提醒读者,文章仅用于信息安全防御技术分享,严禁非法测试,并声明所有后果由使用者自负。

远程拒绝服务 潜在远程代码执行 整数下溢漏洞 Windows TCP/IP组件 CVE-2024-38063

本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。

原文始发于微信公众号(洞见网安):网安原创文章推荐【2024/8/31】

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月1日16:45:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网安原创文章推荐【2024/8/31】http://cn-sec.com/archives/3118226.html

发表评论

匿名网友 填写信息