网安简报【2024/4/30】

admin 2024年5月1日15:17:03评论9 views字数 4738阅读15分47秒阅读模式

2024-04-30 微信公众号精选安全技术文章总览

洞见网安 2024-04-30

0x1 【红队】lnk钓鱼的奇思妙想(你应该没见过)

安全小将李坦然 2024-04-30 21:46:16

网安简报【2024/4/30】

lnk钓鱼的奇思妙想(你应该没见过)

0x2 【红蓝/演练】-事前准备(6)之互联网风险收敛

十九线菜鸟学安全 2024-04-30 20:01:09

网安简报【2024/4/30】

本章为该系列的第6篇,也是事前准备阶段的第6篇,这一节让我们聊聊办公环境的风险收敛。

0x3 渗透测试|一次丝滑的渗透测试记录

州弟学安全 2024-04-30 18:30:34

网安简报【2024/4/30】

本文记录了一次成功的渗透测试案例,以 target.com 为目标。测试者首先进行了信息收集,并利用了某框架的历史漏洞,成功获取了 webshell。随后,通过不断尝试,利用了 TP 框架的多个漏洞,包括任意文件读取和命令执行等。在拿到最高权限后,测试者尝试创建用户并加入管理员组,以便进一步横向渗透。然而,由于目标环境中有安全软件,部分操作受到限制,最终未能实现完整的内网渗透。文章强调了实战经验的重要性,并表达了对未来学习的期待。

0x4 记一次对抗中的钓鱼

弱口令验证机器人 2024-04-30 18:04:50

网安简报【2024/4/30】

本文作者分享了一次在网络安全项目中的钓鱼攻击经验。作者首先强调了合法性,指出文章目的仅用于学习和交流,禁止用于非法攻击。文章中提到,在外网打点受阻的情况下,可以采用钓鱼方式突破到内网。作者通过搜集目标单位的邮箱,仿造之前的节日放假通知发送钓鱼邮件,成功吸引了目标员工的注意。邮件中附带的木马文件采用了多种伪装技巧,如修改图标、隐藏exe文件等。一旦有员工点击邮件中的链接并下载木马,攻击者就可以在内网进行进一步的权限维持和内网探测。文章还提到了一些实用的工具和技术,如CS上线提醒、进程迁移插件等。作者还提到了日常网络安全测试中,除了钓取主机权限,钓取账户密码也是非常重要的。文章最后提醒,实战中钓鱼攻击可能会遇到各种挑战,如社交媒体封禁、木马免杀失败等。本文是作者的个人学习和经验分享,旨在提高网络安全意识,不应用于非法目的。

0x5 四月份68个0day/1day/nday漏洞汇总

山海之关 2024-04-30 18:01:55

网安简报【2024/4/30】

本文是一份四月份公布的68个0day/1day/nday漏洞的汇总。这些漏洞涉及多个软件系统,包括快普软件、金和OA、JumpServer、用友U8cloud、WordPress等。其中,部分漏洞已经被利用,具体包括JumpServer的远程代码执行漏洞(CVE-2024-29201)和模板注入漏洞(CVE-2024-29202),以及其他多个SQL注入、文件上传、命令执行等漏洞。这些漏洞的详细信息和利用方式已经上传至追洞学苑知识星球。此外,文章还提到了SpringBlade框架、Apache Zeppelin、医院一站式后勤管理系统等多个存在的漏洞。追洞学苑会分享最新的漏洞nday/1day/0day poc,并欢迎蓝队朋友们加入,也支持投稿原创漏洞或复现文章加入。关注本公众号满3个月可以在后台私信领取30元五一优惠券(限5.1-5.5使用)。

0x6 Windows | AV/EDR对抗之BYOVD技术

TahirSec 2024-04-30 18:00:36

网安简报【2024/4/30】

BYOVD(Bring Your Own Vulnerable Driver)是一种网络安全攻击技术,攻击者通过向目标环境植入带有漏洞的合法驱动程序,利用这些驱动程序的漏洞获得内核权限,实现任意代码执行或终止高权限进程。BYOVD攻击通常用于直接终止安全软件核心进程,以便进行后续恶意活动。该技术曾主要被APT组织使用,但随着开源项目的增多,攻击成本降低,应用范围变广。 文章介绍了内核驱动通信的基本过程,包括用户态进程如何通过Windows API函数与内核驱动通信,以及I/O请求数据包(IRP)和IO_STACK_LOCATION结构体的作用。特别关注了IRP_MJ_DEVICE_CONTROL、IRP_MJ_CREATE和IRP_MJ_CLOSE等MajorFunction参数,以及DeviceIoControl结构体中的IoControlCode,这些是驱动程序通信的关键。 文章还探讨了如何挖掘具备潜在BYOVD利用条件的驱动程序,包括分析驱动程序是否导入了获取和终止进程的函数,以及是否对调用者进行了校验。通过反编译viragt64.sys和amsdk.sys两个驱动程序,文章展示了如何找到可用于终止任意进程的IOCTL代码,并给出了相应的攻击步骤。 最后,文章讨论了BYOVD利用痕迹,指出攻击者通常不会删除创建的设备链接符号,这些可以通过工具如WinObj.exe检测,同时系统日志也能提供服务创建和启动的时间信息。

0x7 从未授权使用破解软件到VenomRAT木马的应急响应

Desync InfoSec 2024-04-30 17:13:18

网安简报【2024/4/30】

本文介绍了作者在网络安全工作中遇到的一起VenomRAT木马感染事件。在接到告警后,作者通过修改本地hosts文件并利用网络工具,成功定位到可疑进程。在调查过程中,发现恶意请求是由Microsoft的InstallUtil.exe程序发起,疑似存在进程注入或DLL侧载的情况。通过工具pe-sieve扫描,确认了进程注入并转储出了程序。上传至沙箱分析后,发现程序会请求恶意域名,进一步确认破解软件被插入后门。作者指出,当系统合法进程发起可疑DNS请求时,可以通过修改hosts文件的方式,让恶意域名解析成功并建立TCP连接,从而便于定位具体可疑进程。同时,建议企业在应急响应中,建立完善的软件合规策略,禁止使用未授权的软件,尤其是破解软件。

0x8 SRC中低危漏洞的挖掘实例

探幽安全 2024-04-30 14:37:57

网安简报【2024/4/30】

免责声明:请不要利用文章内的相关知识点进行非法渗透,仅做学习使用,产生的一切后果与文章作者和本公众号无关。

0x9 【漏洞复现】kkFileView远程代码执行漏洞

安全攻防屋 2024-04-30 13:29:08

网安简报【2024/4/30】

kkFileView 4.2.0 到4.4.0-beta版本中文件上传功能存在zip路径穿越问题,导致攻击者可以通过上传恶意构造的zip包,覆盖任意文件。

0xa 初遇内嵌WebShell的pdf文件

OnionSec 2024-04-30 12:57:08

网安简报【2024/4/30】

本文是作者作为一名网络安全学习者对一次实际工作中遇到的内嵌WebShell的pdf文件进行分析的记录。文章首先回顾了作者从Web安全转向恶意代码分析,再到APT追踪与挖掘,最终聚焦于恶意代码自动化检测和沙箱优化的心路历程。在此基础上,作者描述了此次分析的过程:一个同事转发的XXX告警WebShell事件,其中的pdf文件在初次分析中被判定为无害,但作者认为该文件存在恶意。作者通过检查文件名、直接打开文件和利用PdfStreamDumper工具,最终在pdf文件的Stream中找到了冰蝎ASP代码WebShell的痕迹,从而证实了该文件的恶意性质。文章最后提到,尽管这是一个简单的案例,但它勾起了作者对Web安全基础知识的回顾,并强调了在实际攻防场景中,快速准确地识别和应对恶意代码的挑战。

0xb zyxel 路由器 export_log文件读取

非攻安全实验室 2024-04-30 12:11:32

网安简报【2024/4/30】

文章主要分享了网络安全学习者在web渗透、内网渗透、漏洞复现和工具开发等方面的日常学习经验。作者希望通过技术共享和交流,不断提升自己的能力,为网络安全领域做出贡献。文章中提到了ZyXEL路由器存在任意文件读取漏洞的问题,该漏洞可能允许攻击者获取用户的敏感信息,如密码等。为了复现这一漏洞,作者提供了fofa搜索语法和部分界面截图,但具体的利用方式需要加入特定的帮会才能获取。此外,文章还给出了一些修复建议,比如升级到安全的版本。作者还提到了一个名为“知识大陆”的平台,该平台持续更新未公开或小范围公开的漏洞信息,目前已更新超过453个漏洞。文章最后列出了一系列不同系统的安全漏洞,包括但不限于文件上传、SQL注入、远程命令执行等,涉及多个知名品牌和软件,强调了网络安全的重要性和紧迫性。

0xc 上周暗网0day 售卖情报(NAS、iMessage0day)

OSINT研习社 2024-04-30 10:34:36

网安简报【2024/4/30】

本文介绍了近期暗网中销售的0day漏洞情报,主要包括针对多家公司客户数据的泄露以及QNAP NAS设备软件套件中的三个严重缺陷。威胁行为者声称可以访问苹果、三星和其他知名公司的客户信息,包括帐单、送货地址、序列号等。同时,QNAP发现了三个严重漏洞,包括操作系统命令注入和未经授权的服务访问,这些漏洞可能导致数据泄露、恶意软件安装或NAS设备被接管。此外,文章还提到了iMessage的0day漏洞,该漏洞允许攻击者无需用户交互即可控制iOS设备。为保护用户安全,QNAP建议用户立即更新至最新版本,以应用安全补丁。同时,文章提供了一些NAS安全最佳实践,如使用强密码、定期更新、限制互联网暴露和定期备份数据等。总之,本文强调了网络安全的重要性,并提醒用户采取措施保护自己的设备和数据安全。

0xd “朝鲜黑客利用Windows漏洞使用Rootkit进行攻击”。

深网知识库 2024-04-30 09:30:54

网安简报【2024/4/30】

文章详细摘要:文章报告了朝鲜黑客组织Lazarus利用Windows系统中的一个名为CVE-2024-21338的漏洞,通过在操作系统内核级别创建直接读/写机制,来传播一种名为FudModule的Rootkit。这个Rootkit的新版本增强了隐蔽性,并能够禁用多种安全软件,包括AhnLab V3 Endpoint Security、Windows Defender、CrowdStrike Falcon和HitmanPro。最初,微软的漏洞公告并未提及该漏洞已被实际利用,但后来更新了通知,警告该漏洞仍在被利用。网络安全公司Avast提供了该漏洞的详细技术描述,并指出黑客通过利用此漏洞,可以最大限度地减少保存或下载其他恶意驱动程序的需求。此外,Avast还追踪到Lazarus活动使用了一种新的远程访问木马(RAT),其详细信息将在稍后公布。

0xe WAF绕过-漏洞发现-AWVS+Xray+Goby+sqlmap-绕过waf

小黑子安全 2024-04-30 09:04:11

网安简报【2024/4/30】

敏感内容

0xf 【工具】海康威视 漏洞综合利用工具

Sec探索者 2024-04-30 08:57:05

网安简报【2024/4/30】

海康威视漏洞综合利用工具

0x10 OSCP-习题第九章第四个靶机思路

道玄网安驿站 2024-04-30 08:34:52

网安简报【2024/4/30】

本文主要分享了作者在OSCP第九章命令注入的第四个靶机上的实践经验。靶机存在文件上传漏洞,但上传页面位于8000端口的default目录,而在80端口无法扫描出来。作者上传了一个aspx文件后,通过蚁剑连接成功 exploit了该漏洞。文章还提到了作者的星球:重生者安全,该星球每天会分享OSCP备考、车联网、渗透红队以及漏洞挖掘工具等信息。文章最后强调了所有操作都在实验环境下进行,请勿用于其他用途,否则后果自负。

本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。

原文始发于微信公众号(洞见网安):网安简报【2024/4/30】

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月1日15:17:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网安简报【2024/4/30】https://cn-sec.com/archives/2703861.html

发表评论

匿名网友 填写信息