2024-03-30 微信公众号精选安全技术文章总览

洞见网安 2024-03-30

0x1 致远OA ucpcLogin密码重置（可组合拳GetShell）

暗影网安实验室 2024-03-30 22:02:35

致远OA存在前台密码重置漏洞，可以重置系统中默认账户，使用重置后的密码通过接口获取cookie后可

0x2 命令注入漏洞挖掘

PwnPigPig 2024-03-30 20:29:58

文章描述了在一个职位列表网站中发现的命令注入漏洞。作者使用简单的概念证明了该漏洞的存在性，测试了易受攻击的参数filename。通过执行不同延迟的命令，如“sleep 5”和“sleep 10”，作者验证了漏洞的可利用性。作者还通过使用ping命令和ngrok工具进行了进一步测试，最终成功从易受攻击的服务器上读取文件，并将其发送到自己的ngrok地址。漏洞暴露了服务器易受攻击的性质，强调了命令注入漏洞的严重性。

0x3 要重视但别慌，XZ-Utils被植入后门投毒事件分析

墨菲安全实验室 2024-03-30 19:56:06

u200b2024年3月30日凌晨墨菲安全实验室监测发现，微软工程师Andres Freund在排查sshd服务异常时发现xz-utils的上游tarball包被投毒，并报告给oss-security社区。

0x4 记一次攻防中分析排查

安全逐梦人 2024-03-30 18:31:27

一场攻防演练后，公司发现内网被攻击，初步怀疑是jdbc反序列化漏洞。然而，后续排查发现漏洞存在于后台，需要登录系统才可利用。攻击队利用添加用户接口绕过权限限制，成功添加管理员用户。虽然web日志被清理，但在数据库中发现了新增用户记录，内容经jwt加密，解密后发现是jdbc链接，IP指向攻击队构造的恶意mysql服务。攻击流程梳理：1、未授权添加管理员用户；2、利用后台jdbc反序列化漏洞。相关参考文章提供了更多信息。

0x5 内网靶场 | 渗透攻击红队APT域渗透靶场

XiAnG学安全 2024-03-30 18:28:48

“ 本次靶场相较于前两篇文章稍复杂一些，考察的也是不同的漏洞利用方法，可用于熟悉一些域内提权、跨域攻击、深入信

0x6 xz xz-utils供应链攻击CVE-2024-3094初步分析

落水轩 2024-03-30 15:28:24

该文章详细介绍了关于xz和xz-utils供应链攻击CVE-2024-3094的初步分析。攻击利用了恶意代码植入在压缩包文件中，主要影响x86-64 Linux系统，尤其是测试版。针对Debian和一些Linux发行版中，openssh依赖systemd，systemd依赖lzma，因此在ssh时会执行lzma中的恶意代码。虽然目前没有发现恶意代码的外连功能，但仍需警惕后续演变。建议采取降级措施至不受影响的版本，并持续关注官方权威信息以获取最新进展。供应链攻击水平高，应引起高度警惕。

0x7 【漏洞通告】XZ-Utils供应链后门漏洞（CVE-2024-3094）

绿盟科技CERT 2024-03-30 14:41:00

本文介绍了XZ-Utils供应链后门漏洞（CVE-2024-3094）。该漏洞影响XZ Utils版本1.01，可能导致攻击者通过SSH未授权访问系统。开发者JiaT75在xz的开发中植入后门，通过构建过程中的后门程序感染liblzma库，使得受影响系统上的SSH认证被绕过，进而执行任意代码。影响范围包括Fedora Rawhide、Fedora 41、MACOS HomeBrew、openSUSE Tumbleweed及MicroOS、Kali Linux、Debian等，建议用户降级至5.4或之前版本，或者使用其他组件替代。修复建议包括降级xz-utils版本、在应用中替换为7zip等。但截至发文时官方尚未发布修复公告。

0x8 紧急排查！liblzma/xz官方库被植入后门

微步在线研究响应中心 2024-03-30 12:12:37

针对liblzma/xz官方库被植入后门的紧急排查事件，该事件发现于xz的上游tarball包中，恶意代码通过复杂混淆手段修改了liblzma代码，可能导致数据交互被拦截和修改。已确认影响的版本为5.6.0至5.6.1，可能影响的发行版包括Fedora、Debian、Alpine等。攻击方式涉及到混淆恶意代码的供应链攻击，可能使SSH认证过程受到影响。建议排查受影响软件版本并使用自查脚本检测是否存在后门。官方已更新至5.6.4版本，建议尽快升级。目前尚未观察到利用后门代码的情况，但建议持续关注漏洞进展。

0x9 朝鲜APT 积极利用JETBRAINS TEAMCITY 缺陷

紫队安全研究 2024-03-30 10:55:20

文章指出朝鲜APT组织积极利用JetBrains TeamCity的漏洞CVE-2023-42793进行攻击。该漏洞为身份验证绕过问题，可能导致源代码泄露及服务机密和私钥被窃取。攻击链包括Diamond Sleet和Onyx Sleet两个APT组织，它们使用ForestTiger后门和DLL搜索顺序劫持等攻击手段。建议采取更新或缓解措施解决漏洞，调查潜在入侵并阻止相关IP流量。同时建议使用Microsoft Defender等防御工具，立即隔离受感染设备，并检查可能被投放的其他攻击工具。此外，建议设置安全DLL搜索模式及开启攻击面减少规则以提高安全性。

0xa 通用漏洞-CRLF注入+URL重定向+WEB拒绝服务

小黑子安全 2024-03-30 09:06:57

本文介绍了通用漏洞包括CRLF注入、URL重定向以及WEB拒绝服务漏洞。CRLF注入是由于Web应用未对用户输入进行严格验证导致的漏洞，攻击者可注入恶意字符从而进行HTTP响应拆分。URL重定向漏洞常因开发者未考虑到任意URL跳转风险而产生，攻击者可利用此漏洞进行钓鱼攻击获取用户账号密码。WEB拒绝服务漏洞则因服务器未对客户端控制的资源生成进行大小限制而导致服务器资源耗尽。文章还提供了相应漏洞检测工具以及具体案例演示。

0xb 通过 Gitlab API 获取项目列表

生有可恋 2024-03-30 06:13:56

本文介绍了如何通过 Gitlab API 获取项目列表。作者首先描述了在内网搭建 Gitab 时，项目列表并不直观的情况，特别是当项目数量较多时，需要翻页才能查看全部内容。作者希望通过获取项目信息后生成 markdown 列表，使得挂到 Wiki 中更加直观。文章详细介绍了 Gitlab 运行在 docker 中的配置以及如何通过 Gitlab API 获取项目信息。作者提供了使用 curl 和 python requests 库的示例代码，并指出了获取指定用户项目列表时 URL 需要做出的修改。

0xc 最新AWVS/Acunetix Premium V24.2.2402高级版漏洞扫描器Windows/Linux下载

渗透安全HackTwo 2024-03-30 00:00:47

Acunetix Premium是一种Web应用程序安全解决方案，旨在管理多个网站、Web应用程序和API的安全。它提供自动化DevOps和问题管理基础架构的功能。主要功能包括自动扫描和手动渗透测试，以及报告仪表板。新版本更新包括从详细模板中删除请求/响应详细信息、客户在PCI报告上显示公司名称的选项、重新扫描先前扫描目标的功能等。此外，还添加了新的安全检查、实现了对FreshService API V2的支持等功能。更新还包括修复了多个bug和错误。使用/安装方法包括修改hosts文件、替换license_info.Json和wa_data.dat文件、设置文件夹为只读等步骤。免责声明强调了工具仅用于合法授权的企业安全建设行为，并警示用户在使用工具时需确保行为符合当地法律法规并已获得足够授权，不得对非授权目标进行扫描。

0xd 恶意软件上传攻击攻击 PyPI 存储库

河南等级保护测评 2024-03-30 00:00:34

根据代码安全公司GitGuardian的警告，近3000个PyPI包中存在数千个硬编码凭证，其中有760多个是有效的。这些秘密涵盖了各种类型，包括AWS、Azure AD、GitHub、Dropbox、Auth0等的凭证。GitGuardian表示，虽然他们能够验证近800个凭据，但这并不意味着其他泄露的凭据无效。此外，PyPI存储库中泄露的秘密数量不断增加，新增的有效凭证数量也在稳步增加，过去一年就新增了1000多个秘密。最近，多个恶意Python包被上传到PyPI上，通过拼写错误抢注技术推送，其中包含恶意代码，尝试从受害者的计算机中获取敏感信息并提供持久性机制。GitGuardian和Checkmarx的警告突显了软件开发生态系统中持续存在的网络安全威胁。

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

原文始发于微信公众号（洞见网安）：网安简报【2024/3/30】