2024-07-26 微信公众号精选安全技术文章总览

洞见网安 2024-07-26

0x1 Suricata检测Nacos默认密钥攻击

Desync InfoSec 2024-07-26 21:57:45

本文介绍了如何使用Suricata检测Nacos服务中由于默认JWT密钥导致的攻击行为。Nacos是一个服务发现和配置管理平台，在2.2.0.1版本前使用固定的默认密钥，攻击者可利用此密钥生成有效的JWT令牌，绕过身份验证。文章首先概述了Nacos和漏洞背景，然后详细说明了检测该攻击的思路，包括分析HTTP请求中的accessToken参数。由于Suricata缺乏JWT校验功能，作者通过修改源码并引入libjwt-dev库来实现这一功能。最后，文章展示了如何编写Lua脚本和Suricata规则来检测和告警此类攻击流量，并通过测试验证了检测机制的有效性。

服务端安全 身份认证漏洞 JWT安全 入侵检测 安全配置 微服务安全

0x2 帆软报表最新前台SQL漏洞复现

安全逐梦人 2024-07-26 21:40:29

文章介绍了帆软报表前台SQL漏洞的复现过程。首先从官网下载并安装环境，将相关目录复制到Tomcat中并启动。接着通过访问特定URL并设置密码来测试内置和外置数据库。文章还展示了如何利用SQL注入漏洞在本地测试环境中创建webshell，并使用蚁剑进行连接。具体步骤包括通过构造特定的HTTP请求来实现数据库的附加、表的创建和数据的插入。文章还提供了相关参考链接，帮助读者更深入地了解和利用这一漏洞。

0x3 2024HW之《向日葵远程RCE》

杰哥就是逊 2024-07-26 19:13:15

本文主要介绍了向日葵远程控制软件中的一个远程代码执行（RCE）漏洞。文章首先声明了免责声明，强调任何非法使用技术或工具造成的后果由使用者自己承担，文章内容仅供学习使用。接着，文章指出了漏洞的关键信息：通过信息泄漏，攻击者能够获取用户的ID和密码，进而远程连接并接管对方的电脑。此外，文章还提到了该漏洞影响的是向日葵软件的所有版本。最后，文章提供了获取更多漏洞详情的方式，即关注公众号并私信关键词【向日葵】以获取相关链接。

远程代码执行(RCE) 信息泄露 漏洞利用 安全教育 软件安全

0x4 一文带你了解路由器7个端口：RJ-45、AUI 、高速同步串口、ISDN BRI、异步串口、Console、AUX

网络技术干货圈 2024-07-26 18:26:19

0x5 【天穹】HVV专题：火眼金睛-伪装为灰黑产软件的反沙箱木马

奇安信技术研究院 2024-07-26 18:23:20

近期HVV行动，天穹沙箱分析人员持续关注沙箱样本的投递情况。在近几日的监测中，发现一个钓鱼样本被大量用户重复投递，这一高频率出现的样本岂能逃过分析人员的火眼金睛？

0x6 应急响应--windows入侵检查思路及流程

红队蓝军 2024-07-26 18:04:29

文章详细介绍了Windows系统入侵检查的思路和流程，包括应急响应的时机和事件分类，如Web入侵、系统入侵和网络攻击。文章还提供了具体的排查方法，如检查系统账号安全、查看异常端口和进程、检查启动项和计划任务、分析系统日志等。此外，文章还提到了使用各种工具进行查杀，如卡巴斯基、火绒安全软件、D盾_Web查杀和Safe3，并提供了工具的下载地址和相关资源。

应急响应 Windows安全 入侵检测 安全工具 日志分析 安全配置

0x7 某友 MxServlet反序列化漏洞分析复现

刑天攻防实验室 2024-07-26 17:44:55

本文分析了某友 MxServlet中的反序列化漏洞，并提供了复现步骤。漏洞出现在nc.bs.framework.mx.monitor.MxServlet类的doAction()方法中，该方法未对用户提交的序列化数据进行有效验证即进行反序列化操作，导致潜在攻击者可利用此漏洞执行任意代码。通过使用ysoserial工具生成恶意序列化流并利用Postman发送至目标系统，成功触发漏洞并弹出计算器窗口验证了漏洞的存在。官方已在2023年4月14日发布了补丁修复该问题，补丁主要涉及两个文件：UnSerialObjectInputStream.java用于检查传入的类是否在白名单内；MxServlet.java则限制了可以反序列化的类仅限于三个特定类，从而防止了远程命令执行的风险。

反序列化漏洞 漏洞复现 漏洞修复 Java安全 Web安全

0x8 蓝队技战法-自动溯源小脚本

Ting丶的安全笔记 2024-07-26 17:16:08

文章介绍了一种自动溯源脚本的编写和使用，旨在提高网络安全分析人员在面对大量攻击IP时的工作效率。当手动查询攻击IP及其相关信息变得繁琐时，该脚本能够批量处理IP，检查它们是否绑定了域名，并进一步查询域名的备案人信息。脚本首先从安全设备中提取攻击IP，并通过去重和过滤内网IP来收集有效数据。然后，使用securitytrails.com的API进行IP反查域名，再利用爱站网的接口查询域名的备案信息。此外，脚本还能探测IP是否开放了高危端口，如SSH、Redis等，以判断其是否为攻击机或跳板机。文章还提供了脚本的Python代码，包括IP去重、提取、过滤，端口扫描等功能，并通过示例展示了脚本的使用方式和效果。

网络安全 脚本开发 信息收集 安全工具

0x9 【漏洞通报】最新帆软工具RCE漏洞POC

光剑安全 2024-07-26 16:31:13

本文通报了一个帆软工具的远程代码执行（RCE）漏洞。漏洞存在于帆软FineReport的/view/ReportServer接口，由于SSTI模板注入问题，攻击者可以通过构造特殊的URI请求参数注入模板，从而执行任意代码，控制服务器。受影响的版本包括帆软FineReport V10、V11（最新版）以及FineDataLink 4.1.10.3及以下版本。文章提供了三种修复措施：删除sqlite驱动文件、调整配置文件添加规则、安装并配置Web应用防火墙插件。同时，文章末尾提供了获取POC的途径，即关注公众号并发送指定代码。

远程代码执行（RCE） 服务器端模板注入（SSTI） 漏洞修复 帆软FineReport 漏洞利用POC

0xa Check Point【CVE-2024-24919】漏洞分析

骨哥说事 2024-07-26 13:59:22

Check Point CVE-2024-24919漏洞分析文章详细阐述了安全研究人员如何发现并分析了Check Point的'CloudGuard Network Security'设备的严重安全漏洞。该漏洞允许攻击者在设备连接到互联网并启用VPN后读取网关上的敏感信息。研究人员通过补丁差异分析，发现了路径遍历漏洞的迹象，并进一步通过反编译代码，揭示了漏洞的具体细节。他们发现，通过构造特定的POST请求，可以读取系统上的任意文件，包括关键的密码文件。文章还提到，尽管Check Point发布了补丁，但其修复建议和对漏洞严重性的描述似乎轻描淡写，未能充分反映漏洞的实际危害。文章最后强调了持续安全测试的重要性，以及对新兴威胁和漏洞的快速响应能力。

漏洞分析 网络安全 路径遍历 远程访问VPN 安全测试 Check Point

0xb 红队技术-揭示存储在进程内存中的 Excel 密码秘密

影域实验室 2024-07-26 12:29:58

本文介绍了红队技术中如何从Excel进程内存中提取密码的方法。作者首先声明了免责声明，强调技术仅供学习和参考，禁止用于非法活动。在红队演习中，作者团队尝试通过逆向工程分析“Excel.exe”来了解Excel如何处理密码，并在“PasswordDialog”函数上设置断点，追踪到“HrFullSaveFlushPkgEx”函数，进一步发现“mso20win32client!MsoHrLoadCryptSession”函数负责处理密码。通过GitHub上的Windows XP源代码，作者了解到密码用于生成密钥。在验证密码过程中，发现密码可能存储在堆内存中。通过进一步分析，作者找到了内存分配函数“FHpAllocCore”和“BltB”函数，确认密码被存储在堆中。文章最后介绍了作者开发的“officedump”工具，该工具利用发现的签名和偏移量从进程内存中提取密码，并在Windows 10/11上进行了测试。

Red Teaming Reverse Engineering Password Recovery Memory Forensics Microsoft Office Security Tool Development

0xc 如何用find命令按文件大小快速查找并美化输出显示

攻城狮成长日记 2024-07-26 12:20:37

文章介绍了如何使用find命令结合ls命令查找并显示系统中大于指定大小的文件，同时对输出结果进行着色处理以提高可读性。首先，通过脚本确保用户输入查找目录和文件大小限制，使用find命令查找符合条件的文件。然后，利用ls命令显示文件大小，并使用--color=auto选项对输出进行着色。脚本还提供了默认查找目录和文件大小限制，用户可以通过read命令输入或使用默认值。文章还提供了脚本的使用方法，包括创建脚本文件、赋予执行权限和运行脚本。最后，作者提供了脚本的获取方式，鼓励用户访问Gitee仓库获取更多实用脚本。

文件系统管理 脚本编程 命令行工具使用 数据可视化 网络安全

0xd 安全开发之身份鉴别

透明魔方 2024-07-26 12:00:10

本文主要讨论了安全开发中身份鉴别的重要性和实施策略。文章指出，许多开发者在初创企业中急于实现功能，而忽视了安全问题，这可能导致产品上线后遭受黑客攻击或安全通报，影响产品发展。作者提出编写安全开发系列文章，帮助开发者和产品经理在设计功能时考虑安全问题。文章首先强调了身份唯一性的重要性，并指出密码复杂度的必要性，建议设置强密码以防止暴力破解。此外，还提到了登录失败处理功能、图形验证码等安全措施，以及密码重置的友好体验设计。文章还强调了密码存储的安全性，建议加密存储而非明文，以减少被攻击的风险。最后，作者总结了一些安全开发中应考虑的要点，包括密码信息的加密存储、登录失败处理、用户身份标识唯一性检查、重要操作的身份再次验证、密码复杂度检查、严格的登录策略等，以满足合规要求并防范安全风险。

身份鉴别 密码安全 安全策略 数据保护 用户账户安全 多因子认证 合规性

0xe 【漏洞预警】Spring Cloud Data Flow 远程代码执行漏洞（CVE-2024-37084）

安全聚 2024-07-26 11:30:35

近日，安全聚实验室发现 Spring Cloud Data Flow 存在远程代码执行漏洞（CVE-2024-37084），CVSS 评分为 9.8，属于高危漏洞。该漏洞允许具有 Skipper 服务器 API 访问权限的恶意用户通过上传请求将任意文件写入文件系统，从而实现远程代码执行。影响范围包括 Spring Cloud Data Flow 版本 2.11.0 至 2.11.30。厂商已发布修复版本 2.11.4 及以上，建议用户尽快更新以修复漏洞。

远程代码执行 文件上传漏洞 Spring Cloud Data Flow CVE-2024-37084 高危漏洞 安全更新

0xf 银狐样本母体加载过程详细分析

安全分析与研究 2024-07-26 09:52:09

本文详细分析了银狐黑产团伙的母体样本加载过程。文章首先从样本的start函数开始分析，然后跳转到恶意代码执行延时操作。接着，恶意ShellCode被分配到内存空间并执行，其中包含解密操作以解密后续的恶意代码。文章还提到了ShellCode核心代码的执行，以及其对环境的检测，如调用DllGetClassObject检查返回值，获取进程信息和SID，创建互斥变量判断程序是否重复运行，以及检查管理员权限等。此外，文章还涉及了反调试技术，如时间间隔和RDTSC指令，以及对360安全软件和系统进程的检测。最后，文章指出了样本通过远程服务器下载数据并解密的过程，但由于URL失效，无法获取后续数据。文章总结指出，银狐黑产团伙持续活跃，不断更新攻击样本，采用多种免杀手段逃避检测，对抗手法不断升级。

逆向工程 恶意软件分析 反调试技术 免杀技术 网络安全 黑产团伙

0x10 【漏洞复现】某微E-Mobile installOperate.do SSRF漏洞

nday POC 2024-07-26 09:51:50

某微e-Mobile移动管理平台是泛微软件开发的企业级移动办公解决方案，支持员工通过移动设备进行办公和协作。该平台的installOperate.do接口存在服务器请求伪造（SSRF）漏洞，允许未经身份验证的攻击者发起内网扫描和端口探测，获取服务信息，甚至发起进一步的网络攻击，导致敏感信息泄露。搜索引擎可通过特定的header值识别该平台。漏洞复现步骤包括构造特定的HTTP GET请求，利用该请求可以进行漏洞验证。修复漏洞的建议包括关闭不必要的互联网暴露面、设置接口访问权限，以及尽快升级到官方发布的安全补丁版本。

SSRF漏洞 移动办公安全 身份验证 信息泄露 网络安全漏洞修复

0x11 phpStudy 小皮 Windows面板 存在RCE漏洞（图文复现）

小羽网安 2024-07-26 09:41:52

phpStudy小皮Windows面板存在一个RCE漏洞，该漏洞实际上是由存储型XSS引发的。攻击者可以通过在用户名输入处插入XSS代码，利用系统后台自动添加计划任务的功能来实现远程代码执行。文章详细描述了漏洞复现的步骤：首先在登录界面的用户名处输入XSS代码，即使登录失败，系统也会记录操作日志，成功登录后，系统会加载js代码脚本。接着，通过本地Python服务器上的poc脚本，攻击者可以远程添加一个计划任务，该任务会创建一个恶意的PHP文件。最后，通过修改exp脚本，攻击者可以成功访问并执行这个PHP木马文件，实现对目标网站的控制。文章还提到了使用蚁剑工具连接到目标网站的过程。

XSS漏洞 RCE漏洞 存储型XSS 计划任务 一句话木马 服务器配置 安全工具

0x12 洞察进程奥秘：Windows查看指定进程名方法大盘点

技术修道场 2024-07-26 07:25:27

本文详细介绍了在Windows系统中查看指定进程名的方法，强调了这对于IT运维、管理及安全人员的重要性。文章提到了使用任务管理器、命令行工具如tasklist和wmic，以及第三方工具如Process Explorer和Sysinternals Process Monitor来查看进程。同时，文章也提醒了进程名可能不唯一，部分进程可能隐藏，以及查看进程信息可能影响系统性能等注意事项。最后，作者建议IT安全人员应掌握多种方法，并根据实际情况选择合适的方法来保障系统安全稳定。

进程管理 系统监控 安全分析 命令行工具 第三方工具 隐藏进程

0x13 【蓝队福利】D-eyes木马查杀与微步的一次巧妙结合

七芒星实验室 2024-07-26 07:02:05

D-Eyes是绿盟科技推出的一款网络安全检测与响应工具，主要用于辅助安全工程师进行勒索挖矿病毒、Webshell等恶意样本的排查检测。它可以帮助用户在应急响应时快速定位入侵痕迹和恶意样本。文章介绍了D-Eyes的安装方法，包括项目地址和扫描规则库的GitHub链接，以及如何使用PowerShell查看工具参数说明。文章还详细说明了如何进行磁盘扫描、进程扫描、计划任务和自启动项的扫描探测，强调了D-Eyes结合微步查杀规则的能力，可以在隔离环境中进行本地查杀操作。此外，文章还提到了D-Eyes在进程探测和计划任务扫描方面的功能，这些功能对于应急排查分析非常有帮助。最后，文章推荐了其他一些网络安全工具，如RuoYI漏洞利用工具、Shiro反序列化漏洞工具等，供读者进一步阅读和参考。

网络安全工具 应急响应 恶意软件检测 微步查杀规则 磁盘扫描 进程扫描 计划任务扫描 自启动项扫描

0x14 1Panel服务器管理控制面板SQL注入CVE-2024-39907漏洞复现

TEST安全 2024-07-26 07:00:48

1Panel是一款基于Web的Linux服务器管理控制面板，近期发现存在多个SQL注入漏洞，可能导致任意文件写入和远程代码执行（RCE）。这些漏洞在1.10.12-tls版本中得到修复。文章详细介绍了漏洞的复现过程，包括1Panel安装包的下载、解压、安装步骤以及登录后的操作界面。提供了具体的POC（Proof of Concept）示例，展示了如何通过改变参数来探测数据库列数。虽然这些注入点需要有效的Session才能利用，但后台已有文件上传和数据库信息等功能，使得直接利用这些功能可能更为直接。作者认为，尽管存在漏洞，但其实际利用价值有限。相关漏洞信息和修复版本已在GitHub和Tenable网站上发布。

SQL注入 漏洞复现 文件写入 远程代码执行(RCE) 版本更新 安全建议 漏洞分析

0x15 用友畅捷通T+ 前台SQL注入漏洞复现

船山信安 2024-07-26 00:00:13

本文介绍了用友畅捷通T+软件的SQL注入漏洞。该漏洞存在于13.0和16.0版本中，攻击者可以利用该漏洞绕过权限校验，并在权限绕过后执行SQL注入攻击，最终实现远程命令执行。文章提供了漏洞复现的FOFA语法和POC代码，并演示了如何通过构造布尔盲注payload来验证SQL注入的存在。最后，文章强调了该内容仅用于学习目的，不应被用于非法活动。

SQL注入 权限绕过 远程命令执行 漏洞复现 网络安全 技术学习

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

原文始发于微信公众号（洞见网安）：网安原创文章推荐【2024/7/26】