2024-09-11 微信公众号精选安全技术文章总览
洞见网安 2024-09-11
0x1 Http2.0 请求头解压缩
逆向成长日记 2024-09-11 20:09:33
文章讲述了作者在尝试抓取wizz航空APP网络请求时遇到的问题。由于无法直接抓取到数据包,作者尝试了多种方法,包括重新刷机安装证书和HOOK抓包。最终发现问题是由于HTTP2.0的请求头经过了HPACK压缩,导致抓取到的headers是乱码。文章详细介绍了如何通过Netty框架中的DefaultHttp2HeadersDecoder类来解析HTTP2.0的headers帧,并提供了手动解压缩headers的代码示例。作者通过这种方式成功打印出了请求的headers和数据内容,解决了抓包难题。
HTTP2.0协议分析 网络抓包与分析 HPACK压缩 移动应用安全 逆向工程
0x2 Windows 0-Day 漏洞-(CVSS 9.8) CVE-2024-43491
星空网络安全 2024-09-11 19:55:26
文章描述了一个编号为CVE-2024-43491的Windows操作系统中的严重零日漏洞,其CVSS评分高达9.8。此漏洞出现在Windows服务堆栈中,允许远程代码执行。该漏洞源于服务堆栈的一个缺陷,导致Windows 10版本1507中部分可选组件的安全更新被错误地回滚。受影响的组件包括.NET Framework 4.6高级服务、Internet Explorer 11、SMB 1.0/CIFS文件共享支持、Windows媒体播放器和Active Directory轻型目录服务。2024年3月12日后更新的组件因标记错误而恢复到了原始状态,增加了被攻击的风险。尽管该漏洞主要影响已经停止支持的Windows 10版本1507,但对仍在支持的Windows 10 Enterprise 2015 LTSB和Windows 10 IoT Enterprise 2015 LTSB版本也构成了威胁。微软目前没有发现针对此漏洞的实际攻击案例,但已将其分类为‘已检测到利用’。为了应对这一安全威胁,微软发布了Servicing Stack更新(KB5043936)及2024年9月的安全更新(KB5043083),建议用户及时安装以保护系统免受攻击。
零日漏洞 远程代码执行 Windows操作系统 安全更新 CVE 漏洞利用 补丁管理 系统安全
0x3 银狐最新攻击样本使用MSC文件传播
安全分析与研究 2024-09-11 19:53:47
文章介绍了‘银狐’黑产组织最近的攻击活动,其使用了一个MSC文件作为初始传播媒介。该MSC文件内嵌有恶意JS脚本,进一步从网络下载并执行0day.xsl文件。此XSL文件含有两段编码数据,第二阶段数据解码后揭示了一个Payload。此Payload创建特定文件夹,并将相关文件复制到指定位置,同时设置计划任务以实现自启动。此外,它还从远程服务器下载文件,解压Py.zip文件,重命名某些文件,并利用PowerShell从远程下载并执行恶意脚本。下载的ps1.txt脚本解码后显示了ShellCode代码,并且代码尾部带有‘银狐’组织特有的标识。Payload解密后的行为与之前‘银狐’样本类似。最后,文章提到‘银狐’组织通过不断更新攻击样本和采用多种免杀技术来逃避安全检测。
恶意软件分析 MSC文件攻击 JS脚本攻击 0day漏洞利用 下载器功能 计划任务持久化 PowerShell攻击 ShellCode分析 C2通信 黑产活动
0x4 代码审计应用测试:PUMA SCAN
Urkc安全 2024-09-11 18:00:50
0x5 AJ-Report(CNVD-2024-15077)漏洞复现(超详细)
红队蓝军 2024-09-11 18:00:29
0x6 一个记录本机IP的程序
NOP Team 2024-09-11 16:42:39
本文介绍了一个名为IP Recorder的开源工具,由NOP Team开发,用于记录本机IP地址及其归属地,特别适用于IP地址不固定的渗透测试场景。该工具使用Electron框架开发,支持在不同操作系统上运行,并提供了GitHub和百度网盘两种下载方式。在MacOS中,由于使用了electron-store进行数据存储,可能会弹出安全性提示,用户可选择拒绝。程序界面包括控制按钮、当前IP显示区及设置导出区。它通过调用https://myip.ipip.net 和 https://api.ipify.org/?format=json 接口获取IP信息,同时使用https://ip.taobao.com 获取IP归属地。程序支持代理设置、主题模式切换等功能,并在系统托盘中显示图标以便于管理。用户可以在测试结束后导出记录的IP信息。文章最后还提到了有关Electron应用的安全性讨论及其重要性。
IP记录工具 渗透测试 网络安全服务 Electron开发 API接口使用 代理设置 数据加密 开源项目
0x7 【风险提示】天融信关于微软2024年9月安全更新的风险提示
天融信阿尔法实验室 2024-09-11 15:57:51
2024年9月11日,天融信阿尔法实验室监测到微软官方发布了9月安全更新。此次更新共修复79个漏洞,其中7个严重漏洞、71个重要漏洞、1个中危漏洞。
0x8 【漏洞复现】华三 H3C IMC 智能管理中心 autoDeploy RCE
凝聚力安全团队 2024-09-11 14:24:13
华三 H3C IMC 智能管理中心 autoDeploy 存在命令执行漏洞,攻击者可以通过这个漏洞在服务器上执行任意命令,完全控制权,进行非法操作、窃取和篡改敏感数据,甚至完全接管服务器,给系统的安全性带来严重威胁。
0x9 某4国语言抖音点赞系统存在任意文件上传漏洞
星悦安全 2024-09-11 14:15:13
0xa 从0学习CTF-从ctfhub来了解SSRF
CatalyzeSec 2024-09-11 13:45:12
0xb API安全测试 | Postman + BurpSuite 配置证书代理
白帽子左一 2024-09-11 12:00:59
0xc 漏洞挖掘 | 产出如此简单?BigF5内网ip泄漏
掌控安全EDU 2024-09-11 12:00:44
本文由网络安全学习者腾风起投稿,分享了在项目中遇到的F5 BIG-IP应用交付平台的内网IP泄漏漏洞。漏洞存在于HTTP Cookie Insert或HTTP Cookie Rewrite方法中,这些方法包含编码后的目标服务器IP和端口信息。文章详细描述了内网IP和端口的编码规则,并提供了漏洞的特征识别方法。通过解码过程,可以获取到真实的内网IP和端口。作者还提供了一个Python2工具的链接,用于直接解码Cookie值获取内网IP。文章强调,所分享内容仅用于网络安全技术讨论,渗透测试需获取授权。
0xd 网络工程师必知:高危端口大全
网络技术干货圈 2024-09-11 10:39:48
0xe 天穹 | GrimResource来袭!看天穹沙箱精准检出MSC样本
奇安信技术研究院 2024-09-11 10:31:55
天穹团队发现了一个MSC格式的样本,该样本利用了GrimResource技术,通过mmc.exe执行msc文件中的JavaScript代码。此攻击手法利用了apds.dll中的DOM XSS漏洞,允许执行任意JS代码,进而加载CobaltStrike Beacon并与C2服务器通信。该样本还伪装成文档文件以欺骗用户,并释放了两个可执行文件至系统文件夹,其中一个文件利用了DLL侧加载技术执行恶意代码。天穹沙箱成功检测并分析了这一系列行为,并提取了威胁配置信息。此外,文章对比了其他沙箱对此样本的分析效果,指出了一些沙箱在分析MSC格式样本上的不足。文章最后提供了恶意文件的SHA1值及C2地址作为IOC指标,并提醒用户警惕相关风险。
恶意软件分析 漏洞利用 沙箱技术 CobaltStrike DLL侧加载 网络钓鱼 威胁情报
0xf 使用SSH密钥免密登录进行多服务器巡检
网络个人修炼 2024-09-11 10:00:40
本文介绍了一种利用SSH密钥进行免密登录来自动巡检多服务器的方法。首先通过ssh-keygen生成SSH密钥对,并使用ssh-copy-id将公钥部署到目标服务器,确保PubkeyAuthentication设置正确。然后编写巡检脚本来检查服务器的CPU、内存及磁盘使用情况,并记录结果。巡检脚本输出文件名为包含日期的文本文件。接着,创建一个中央控制脚本integration_script.sh,通过SSH免密登录方式执行远程服务器上的巡检脚本,并将结果汇总到一个文件中。为了进一步提高效率,使用for循环遍历服务器列表以收集所有服务器的巡检报告。最后,通过设置crontab定时任务,实现定期自动执行巡检脚本。此方法不仅提高了安全性,还简化了巡检工作流程,使得服务器状态的监控更加高效和系统化。
SSH安全 密钥管理 自动化运维 脚本安全 远程登录安全 数据保护 日志管理 定时任务安全
0x10 [代码审计]*软channel反序列化hsql浅析利用
良月安全 2024-09-11 09:00:59
本文主要分析了在Jackson反序列化利用链中,如何通过一系列漏洞利用和绕过安全补丁,实现对目标系统的攻击。文章首先提到了Jackson原生反序列化利用链,然后指出在高版本中,某些类被加入黑名单,但通过JSONArray类的toString方法仍然可以触发writeValueAsString方法。接着,文章讨论了如何利用javax.swing.UIDefaults.TextAndMnemonicHashMap类的get方法来触发toString,并通过DruidXADataSource类的getXAConnection方法来创建jdbc连接。文章还提到了利用hsqldb的CALL方法和com.fr.third.org.hibernate.internal.util.SerializationHelper类的deserialize方法来实现二次反序列化。最后,文章提供了一个详细的代码示例,展示了如何构造一个完整的攻击载荷,并说明了反序列化调用栈。文章最后提到了相关的参考链接,并鼓励读者加入星球获取更多安全内容和工具。
Python JSON格式化输出 网络安全标签分类 JSON格式输出技巧 物联网网络安全标签
0x11 隔离网络突破又一招:PIXHELL攻击利用屏幕噪音窃取隔离计算机的数据
网空闲话plus 2024-09-11 07:06:47
以色列本古里安大学的研究团队发现了一种名为PIXHELL的新型侧信道攻击方法,该方法通过操纵计算机显示器像素产生的音频噪声来窃取敏感信息。攻击者可以控制屏幕上的像素图案来操纵音频信号的频率,实现数据传输,而无需任何外部音频设备。这种攻击的隐蔽性在于其利用了显示器内部元件在电流通过时产生的振动,产生人耳几乎无法察觉的声音信号。攻击的强度和质量受屏幕设计影响,且屏幕上显示的黑白条纹可能会引起用户注意。为防止此类攻击,建议采取声学干扰、音频监控和限制物理访问等措施。PIXHELL攻击的测试表明,数据泄露的最大距离为2米,数据速率达到20比特每秒。攻击者可以使用开关键控、频移键控或幅移键控等调制方案将敏感数据编码为声音信号,并通过改变液晶屏上的像素模式来传输这些信号。这些信号可以被附近的设备捕获。尽管这种攻击对于大文件传输来说太慢,但实时键盘记录和窃取小文本文件仍然是可能的。
侧信道攻击 隔离网络突破 声学攻击 数据泄露 PIXHELL攻击 LCD显示器安全 硬件安全
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
原文始发于微信公众号(洞见网安):网安原创文章推荐【2024/9/11】
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论