2024-04-15 微信公众号精选安全技术文章总览

洞见网安 2024-04-15

0x1 甲方安全建设-内网安全（IDS）

中国白客联盟 2024-04-15 23:33:38

本文主要介绍了如何在CentOS 8系统中安装和配置Suricata进行内网攻击检测。作者首先尝试了根据官方文档进行源码安装，但遇到了缺少./configure文件的问题。随后尝试了yum安装和Compilation安装，均因缺少依赖而失败。通过查阅Advanced Installation文档和网上资源，作者发现并解决了pcap.h缺失的问题，并成功安装了所需依赖。在源码安装过程中，作者还解决了rust版本过低的问题，并通过更新rust版本来解决编译错误。安装完成后，作者通过解决动态链接库问题和配置文件问题，最终成功运行了Suricata。文章还介绍了如何编写规则来检测SSH爆破和端口扫描行为，并利用logstash将Suricata的日志外发到Elasticsearch中进行进一步分析。通过实践，作者展示了Suricata在内网安全检测中的有效性和灵活性。

0x2 漏洞预警丨Palo Alto Networks PAN-OS 命令注入漏洞(CVE-2024-3400)

Beacon Tower Lab 2024-04-15 20:55:16

Palo Alto Networks PAN-OS软件的GlobalProtect功能存在严重的命令注入漏洞(CVE-2024-3400)，影响版本包括PAN-OS 11.1.*, PAN-OS 11.0.*, 和 PAN-OS 10.2.*。攻击者利用该漏洞可在未经身份验证的情况下以root权限执行任意代码。Volexity发现了一名网络安全监控客户对该漏洞进行零日利用，攻击者可利用漏洞创建反向shell、下载工具、窃取配置数据并横向移动。Palo Alto Networks PSIRT 团队已确认该漏洞，并发布了修复方案。受影响用户应及时更新至安全版本。近半年国内风险资产主要分布在台湾省。

0x3 安全卫士 | 魔方安全漏洞周报

魔方安全 2024-04-15 18:30:13

本期漏洞周报涵盖了多个安全领域的漏洞情况。其中，Apache发布了安全公告修复了HTTP响应拆分和拒绝服务等漏洞，影响版本为2.4.58及以下。GitLab也发布了多个安全公告，涉及存储型XSS和拒绝服务等高危漏洞，建议受影响用户及时下载安装官方发布的安全版本。另外，金蝶云星空存在信息泄露漏洞，用户可参考官方方式进行修复。还有其他漏洞如pgAdmin 4的远程命令执行漏洞、Ivanti Connect Secure的堆越界写漏洞、D-Link NAS设备的命令注入漏洞、Spring Framework的URL解析与主机验证缺陷漏洞以及Rust的命令注入漏洞。这些漏洞的修复建议和下载链接均已提供，希望用户及时关注并采取相应的安全措施。

0x4 【Vulnhub靶场系列】DC-1

老鑫安全 2024-04-15 17:57:07

0x5 写的第二款工具 --> DLL_Finder 白加黑_DLL挖掘辅助工具

小惜渗透 2024-04-15 15:04:46

DLL_Finder是一款用于白加黑DLL挖掘的辅助工具，作者在创建技术交流群后，发现现有的DLL挖掘工具不太好用，于是决定自己写一个。该工具解决了一些问题，但仍存在一些待解决的困难，作者欢迎大佬提供解决方案。工具运行过程中可能会有一些报错，作者推荐在虚拟机内运行。使用说明包括通过Process Monitor筛选出未找到的DLL信息，并在配置文件中修改后即可运行。作者鼓励大家多点star并提出bug或建议。

0x6 POC&EXP编写—EXP编写实战(1)

剁椒鱼头没剁椒 2024-04-15 14:41:30

我是真的菜，内容如果有你觉得错误的地方，请自行百度搜索结果，如果确定是我的错，请告知我，如果不想告知也可以，只要你自己学到知识即可。

0x7 自动化溯源思考实践

企业安全实践 2024-04-15 14:29:43

网络安全领域中，自动化溯源成为重要工具。企业安全设备捕获大量威胁信息，尤其在蜜网环境下，获取攻击者网络ID和对应攻击IP。追溯这些信息丰富了攻击者画像，帮助区分白帽子和真实攻击者。通过实例阐述溯源思路，首先利用百度贴吧等平台搜索泄露信息，再结合SGK等工具识别攻击者身份。若攻击者未使用贴吧，则从攻击IP入手，通过VT等工具关联文件，再结合人工分析提取微信号等信息。总结强调溯源需要遵循法律法规，尊重隐私权，并采取隐私保护措施。

0x8 BGP 技术连载：BGP 状态机

网络技术联盟站 2024-04-15 13:45:48

学网络，尽在网络技术联盟站！

0x9 漏洞挖掘 | SQL注入实战

掌控安全EDU 2024-04-15 12:00:54

本文介绍了如何进行SQL注入漏洞挖掘的实战过程。作者首先提到了资产搜集的重要性，指出在搜索时不仅限于明文传参，还可以尝试编码或加密后的值，以扩大测试范围。接着详细介绍了SQL注入的常规流程，包括判断传参类型、判断是否存在漏洞、判断列数、判断显错位以及获取数据库信息和表字段值等步骤。作者还提到了使用sqlmap验证漏洞的方法，并指出在传参需要进行base64编码时需要使用tamper脚本中的base64encode.py脚本。最后总结了测试SQL注入时的注意事项，强调了不仅局限于明文传输，也要注意编码或加密后的值。文章以实战案例为主，对SQL注入漏洞挖掘过程进行了详细讲解，适合网络安全学习者参考。

0xa 伊朗APT组织Charming Kitt更新Powerstar后门

紫队安全研究 2024-04-15 11:51:46

伊朗APT组织Charming Kitt更新了Powerstar后门。这个恶意软件变种复杂，可能由自定义服务器端组件支持，可自动执行更简单的操作。利用分布式文件协议部署定制的网络钓鱼链接。使用星际文件系统等功能，并将解密功能和配置详细信息远程托管在可公开访问的云主机上。Charming Kitten利用鱼叉式网络钓鱼活动，冒充以色列媒体组织的记者发送带有恶意附件的电子邮件。攻击者通过发送一系列问题的电子邮件建立信任，然后发送受密码保护的RAR文件含恶意LNK文件。恶意软件用于截取屏幕截图上传到攻击者控制的C2服务器，识别防病毒软件，建立持久性，收集系统信息，并使用清理模块删除证据。Charming Kitten使用云托管提供商托管恶意软件代码和网络钓鱼内容。

0xb 攻防|一篇文章带你搞懂蜜罐

亿人安全 2024-04-15 10:51:55

0xc 【漏洞复现】网康应用安全网关(NS-ASG)-add_ikev2-SQL注入(CVE-2024-3458)

知黑守白 2024-04-15 10:06:02

免责声明此内容仅供技术交流与学习，请勿用于未经授权的场景。请遵循相关法律与道德规范。

0xd 泛微-漏洞复现

TKing的安全圈 2024-04-15 09:03:42

文章介绍了两个泛微漏洞：泛微E-Mobile-client.do存在命令执行漏洞和泛微e-cology-ProcessOverRequestByXml接口存在任意文件读取漏洞。第一个漏洞允许攻击者通过恶意请求执行任意命令，利用漏洞执行命令的示例包括创建别名、调用别名执行命令等。第二个漏洞可导致任意文件读取，攻击者可以通过构造恶意请求读取系统敏感文件，如windows下的win.ini文件。两个漏洞均存在安全风险，需要及时修复以防止攻击者利用。

0xe vulnhub之InfinityStones的实践

云计算和网络安全技术实践 2024-04-15 08:57:21

本实践基于vulnhub的InfinityStones镜像展开，通过地址扫描和端口扫描发现靶机服务，包括ssh、http、https以及jenkins。利用https服务获取brainfuck编码内容，并在线解密得到用户名密码，进而登录jenkins服务。利用Metasploit获取反弹shell，从靶机下载并破解morag.kdbx文件，得到新的用户名密码，用于SSH登录靶机。通过sudo -l发现ftp具有root权限，利用GTFOBins提权，最终成功获取root权限。

0xf 接口漏洞-DVWS(XXE+鉴权)+阿里云KEY

小黑子安全 2024-04-15 08:05:56

文章介绍了DVWS(XXE+鉴权)+阿里云KEY的接口漏洞。首先通过修改JWT绕过验证，成功进入Admin Area。然后利用XXE漏洞在搜索用户信息接口中成功获取敏感信息。最后讨论了阿里云KEY信息泄漏的安全问题，指出攻击者可以利用AccessKey ID和AccessKey Secret值获取账户完全权限，进而修改实例密码等操作。

0x10 钓鱼邮件如何确定office附件宏的打开者身份？| 总第241周

君哥的体历 2024-04-15 07:30:23

钓鱼邮件演练中，如何确定office附件宏的打开者身份成为本周话题。建议在宏中加入获取计算机信息的内容，并附带标识，以便追踪。针对批量发送，建议使用DNS记录访问标识，并考虑用户名和访问IP的绑定。钓鱼邮件场景中，手机打开的处理方式包括每人发不同链接或在宏中调用HTTP请求。钓鱼邮件的精确度和追踪性受到平台RID的影响。对于拦截EXE附件的邮件网关，可尝试将文件放入ISO镜像中或提供下载链接。安全建设实践群讨论包括SOC关联分析、国密算法下的安全保护、数据库加解密平台等话题。

0x11 JSONP劫持原理

信安路漫漫 2024-04-15 07:00:12

前言前面有一篇文章说了蜜罐获取个人敏感信息的方式，其中一个就是JSONP劫持。再来具体看看JSONP劫持漏洞到底是如何去实现的。

0x12 msf Exploit+ssh priKey：DerpnStink1靶机

MicroPest 2024-04-15 00:06:02

这篇文章详细介绍了针对DerpnStink1靶机进行的网络安全攻击过程。攻击涉及多个知识点，包括设置ssh私钥权限、处理ssh证书失效、使用Metasploit进行漏洞利用、扫描目录、WordPress漏洞利用、MySQL连接、John密码爆破、FTP登录、流量包分析、SSH私钥登录问题排查、提权等。攻击过程包括发现flag1、flag2、通过John爆破获得第二个用户密码、FTP登录、解决SSH私钥登录问题、流量包分析获得密码、SSH登录另一用户、提权成功并获取flag4。

0x13 五种用来挖掘API端点的方法

骨哥说事 2024-04-15 00:00:28

API端点挖掘方法主要包括API文档、公开源信息收集、应用程序的HTML与JS、APP应用分析以及主动扫描与Fuzz。在渗透目标时，API是重要的测试对象，因为它们负责后端的大部分工作，并且更新频繁。通过API文档可了解端点的数据需求、请求头和响应等信息。公开源信息收集包括Google Dorking、Wayback以及GitHub等方式。应用程序的HTML与JS也是寻找API端点的途径之一，可以发现隐藏的端点。对于移动APP，可通过反编译或移动APP分析平台获取API端点信息。主动扫描与Fuzz则是使用工具对API端点进行测试，使用工具如Burp Intruder、FFUF等。字典对Fuzz测试至关重要。

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

原文始发于微信公众号（洞见网安）：网安简报【2024/4/15】