2024-05-29 微信公众号精选安全技术文章总览

洞见网安 2024-05-29

---

0x1 Hvv前排查分析浅谈

漏洞之星 2024-05-29 22:49:29

最近陆陆续续开始hvv，这里就简单的介绍一下应急响应中需要注意的一些点。

---

0x2 你需要知道的护网红队信息收集思路（一）

CatalyzeSec 2024-05-29 20:00:20

---

0x3 学习干货|HVV必学远控工具及Webshell流量合集分析(建议收藏+附面试题)

州弟学安全 2024-05-29 19:00:11

本文总结了当前流行的Webshell远程工具及其流量分析，主要包括CobaltStrike、蚁剑、哥斯拉和冰蝎等工具。文章首先介绍了CobaltStrike（CS）工具，它是一款常用于攻击操作的远控工具，通过客户端和服务端的交互实现团队协同作战。文章分析了CS的流量过程，包括心跳包的发送规律、HTTP请求的特征以及如何通过工具解密流量中的明文。接着，文章探讨了蚁剑工具，它以简单易用而著称，流量特征包括随机或固定的User-Agent头、POST传参方式等。文章还介绍了哥斯拉工具，由BeichenDream开发，支持多种加密方式和后渗透插件。最后，文章分析了冰蝎工具，它通过动态密钥生成和对称加密技术，使得流量难以被监测。文中还提供了一些面试题，涉及工具的流量特征和原理，旨在帮助读者更好地理解这些工具的内部工作机制及其在网络安全领域的应用。

---

0x4 内网渗透之巧用ADCS进行权限维持

七芒星实验室 2024-05-29 18:10:12

---

0x5 溯源防护过程 流量分析是关键一环

网安守护 2024-05-29 17:58:34

在攻防演练期间，攻击者会利用防守方注意力分散的机会进行攻击，目的在于窃取信息、破坏系统或扰乱网络。防守方需加强网络监控、漏洞修复、安全意识培训、实施多层防御和定期演练应急响应等措施，以提高对抗不明目的攻击的能力。案例分析中，某公司内网遭黑客入侵，使用Wireshark工具分析流量包，通过过滤命令定位攻击者使用的扫描器和IP地址，追踪后台登录地址，并分析登录行为，最终确定攻击者通过爆破登录后台。进一步分析发现攻击者上传webshell，并通过Cobalt Strike等工具进行持久化控制。文章还探讨了Cobalt Strike的HTTP和HTTPS隧道特征，强调了流量分析在网络安全中的重要性，推荐了综合使用多种技术手段进行流量监控和分析，以及利用机器学习和人工智能技术提高自动化分析和检测能力。

---

0x6 shellcode加载器学习

安全小白 2024-05-29 17:34:52

---

0x7 安服团队-蓝队（防御）之《钓鱼邮件系列》钓鱼邮件研判

常行科技 2024-05-29 16:37:32

本文介绍了钓鱼邮件的处置方式以及人工排查方式，帮助安全运维团队在攻防演练期间有效地研判并防范钓鱼邮件威胁。

---

0x8 【攻防实战】某行业hw-如何利用nday拿下n个靶标

攻防实战指南 2024-05-29 16:27:33

未经本公众号书面授权，禁止任何形式的转载、摘编、复制或建立镜像。

---

0x9 【GeekCon 2024】TI C2000 DSP Chip Hacking: 绕过德州仪器C2000芯片的安全保护机制

破壳平台 2024-05-29 11:31:12

在GeekCon 2024 Singapore大会上，赵海安全研究员发表了对德州仪器TI C2000 DSP芯片的破解研究。他成功绕过了TMS320F28375D芯片的CSM/DCSM安全保护机制，读取了“安全U盘”中存储的文件。赵海分享了德州仪器TMS320F28x芯片的CSM/DCSM安全保护机制的突破细节，并披露了存在20多年的CSM/DCSM锁密机制绕过漏洞。DSP芯片广泛应用于各种设备，而C2000系列是其中历史最悠久的产品线之一。CSM保护机制通过128位密码锁定芯片，防止未授权访问。DCSM则提供了更高级的保护，将内存划分为两个独立区域，各自设有独立的密码。赵海的研究发现，CSM/DCSM在软件层面上存在漏洞，可以利用这些漏洞间接访问保护区中的数据。他详细介绍了如何通过ROP gadgets技术绕过读写保护，即使是在EXEONLY保护模式下。此外，他还展示了如何绕过Flash刷写保护，即使是在DCSM保护下的芯片。这一研究揭示了C2000芯片保护机制的弱点，对DSP芯片的安全性提出了挑战。

---

0xa Fiddler抓包从入门到放弃（一）菜单介绍

kali笔记 2024-05-29 10:02:56

Fiddler 是一个 HTTP 协议调试代理工具，是由 C# 写出来的，可以记录并检查所有客户端和服务器之间

---

0xb 使用rsync+inotify实现触发式实时文件同步

网络个人修炼 2024-05-29 10:01:36

实时同步能够在文件发生变化时立即进行同步，可以最大程度地减少数据丢失的风险，确保数据的及时性和准确性。

---

0xc 漏洞复现 | 科拓全智能停车收费系统 Webservice.asmx 任意文件上传漏洞【附poc】

实战安全研究 2024-05-29 10:00:27

---

0xd 【实战】某友文件上传漏洞分析

悦海数安 2024-05-29 09:39:54

本文对文件上传漏洞的成因进行了分析。通过导入源码并检查web.xml，发现只有一个filter，主要处理编码。Servlet部分显示使用了log4j、springboot和pushlet。进一步分析spring-mvc.xml，发现存在LoginInterceptor拦截器，该拦截器通过检查用户是否登录来决定请求是否继续。然而，通过包含IGNORE_URI中的URL可以绕过权限认证。文章接着分析了UploadFileServlet，这是一个处理文件上传的Servlet，它通过检查请求是否为multipart类型来确定是否可以上传文件。如果文件大小超过32MB，则返回错误信息。上传成功后，调用消息服务接口上传文件，但存在问题，文件没有被删除。最后，通过分析uploadFile方法，发现pluginCode参数是必要的，如果未正确设置，则无法生成systemvo，导致文件上传后无法删除。文章通过复现过程揭示了漏洞的成因，并指出了修复漏洞的重要性。

---

0xe Amass 工具介绍：全面的网络资产发现与子域名扫描利器

云梦安全 2024-05-29 09:01:48

在当今数字化的世界中，企业和个人都依赖于多种网络服务和资产来支持其在线业务。然而，未被发现的子域名和其他网络资产可能会成为潜在的安全隐患。

---

0xf 【未公开】万户ezEIP-命令执行-success

知黑守白 2024-05-29 08:55:54

免责声明此内容仅供技术交流与学习，请勿用于未经授权的场景。请遵循相关法律与道德规范。

---

0x10 一次用户端DNS劫持引发的DNS安全研究

KK安全说 2024-05-29 08:51:45

文章讨论了互联网协议中的一些关键缺陷，特别是域名服务（DNS）的安全性问题。DNS缓存中毒是主要的威胁之一，它允许恶意主机播下错误的域名信息，导致网络其他部分解析错误。为了解决这个问题，提出了域名系统安全扩展（DNSSEC），它通过数字签名来保护DNS响应，确保DNS解析能够验证信息是否由受信任的主机签名。尽管DNSSEC提供了来源认证和数据完整性，但它并不提供数据的机密性，也不能防止拒绝服务攻击。文章还提到了IPv4地址耗尽的问题，以及迁移到IPv6的挑战，指出尽管NAT技术缓解了地址耗尽问题，但IPv6和DNSSEC协议并未广泛流行。SSL/TLS协议和PKI（公钥基础设施）提供了一定程度的安全性，但DNS基础设施仍然容易受到攻击，如DDoS攻击，这可能导致整个互联网瘫痪。文章最后强调了互联网基础设施的脆弱性，以及需要采取的措施来提高其安全性和稳定性。

---

0x11 CVE-2024-5350漏洞复现（POC）

AI与网安 2024-05-29 07:00:52

本文详细介绍了CVE-2024-5350漏洞的复现过程，该漏洞存在于AJ-Report系统中，影响了1.4.1及以下版本。漏洞位于/pageList文件中的pageList函数，由于对参数p的处理不当，导致存在SQL注入风险。攻击者可以通过远程方式发起攻击，漏洞的详细信息已经公开，可能已被利用。文章中提供了FOFA搜索语句来定位可能受影响的系统，并详细分析了漏洞产生的原因。漏洞分析指出，com.anji.plus.gaea.curd.controller.GaeaBaseController#pageList函数直接查询了dataSource的信息，并将Dto信息全部直接返回，导致配置信息泄露，包括数据库账号和密码。文章还提供了POC数据包和批量漏洞扫描的nuclei poc文件内容。最后，文章给出了修复建议，建议用户更新系统或软件至最新版以修复漏洞。

---

0x12 技巧收集之文件上传：WAF绕过

重生之成为赛博女保安 2024-05-29 07:00:40

这个系列（合集 技巧收集）会写的比较杂，比较细。由于知识点比较多（不如说，需要死记硬背的知识点比较多），文章会偏短，更倾向于成为需时翻阅的资料，而非作为坐而论道的论文。

---

0x13 进程注入之Dirty Vanity

Bits 2024-05-29 03:00:23

Dirty Vanity是2022年blackhat大会提出的一种新型进程注入方法，主要利用Windows的fork函数和RtlCreateProcessReflection函数来实现。该方法通过创建目标进程的副本，将shellcode写入共享内存段，并在目标进程中创建新线程来执行shellcode，从而实现进程注入。Dirty Vanity的攻击方式利用了未被监控的api调用和跨进程的内存页分配写入，使得传统的检测方法无法有效察觉此类注入攻击。Dirty Vanity的基本步骤包括：分配内存，写入shellcode，获取RtlCreateProcessReflection未导出函数，创建目标进程的Reflection镜像等。Dirty Vanity的提出，为网络安全领域提供了一种新的进程注入思路，也为安全防护带来了新的挑战。

---

0x14 关于BlackHat2023上JWT三个新攻击方式的学习笔记

小陈的Life 2024-05-29 00:05:51

本文介绍了针对JSON Web Token（JWT）的三种新攻击方式。首先，文章复现了BlackHat会议提出的签名加密混淆算法攻击，这种攻击利用开发人员对加密算法理解不足，通过使用非对称加密算法如RS256来签名JWT，导致安全风险。其次，文章探讨了Polyglot token攻击，这是一种库类解析时存在的代币攻击，攻击者可以利用JWT库在解析时的格式差异来伪造令牌。最后，文章讨论了Billion hashes attack，这种攻击利用JWE标准中的PBES2算法参数p2c，通过设置高的p2c值来增加服务器计算成本，实现拒绝服务攻击。文章还提供了相应的修复方法和安全建议，以及如何通过使用各种工具和库来防范这些攻击。

---

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

原文始发于微信公众号（洞见网安）：网安简报【2024/5/29】