2024-10-15 微信公众号精选安全技术文章总览

洞见网安 2024-10-15

0x1 目标网络限制严格CS拿不到权限怎么办？试试这个高级玩法—隧道上线

大伯为安全 2024-10-15 20:14:22

文章详细介绍了在目标网络限制严格的情况下，如何利用ICMP隧道和DNS隧道使目标系统上线到CS（Cobalt Strike）或MSF（Metasploit Framework）等C2（Command and Control）平台。首先，通过在Kali Linux上启动CS服务端和客户端，创建两个监听器，一个用于生成木马并设置回连地址为本地，另一个用于监听通过ICMP隧道传来的数据。接着，使用pingtunnel工具在Kali上开启服务端，并在目标系统上运行客户端，建立ICMP隧道。然后，介绍了DNS隧道的搭建过程，包括在公网服务器上启动CS服务端，创建监听器，并生成木马放置于目标系统。最后，通过运行木马并激活目标，实现了目标系统的上线。文章强调了在网络安全渗透测试中，灵活运用隧道技术的重要性。

0x2 TSLA TPMS-RCE(0-click)

安全脉脉 2024-10-15 18:45:52

本文分析了特斯拉汽车TPMS（胎压监测系统）的一个远程代码执行漏洞。该漏洞由SYNACKTIV团队发现，并在2024年温哥华Pwn2own大赛上利用，赢得了20万美元和一辆Model 3。漏洞利用了数组溢出（OOB）来覆盖函数指针，并通过特斯拉的自动学习机制触发了攻击，实现了从1-click到0-click的攻击。VCSEC ECU负责远程控制车辆、NFC解锁和TPMS，其软件运行在FreeRTOS上，通过蓝牙与TPMS通信。逆向分析发现，在处理TPMS证书时存在整数溢出，可以造成任意地址写。攻击者通过覆盖函数指针并触发它来执行shellcode。漏洞利用过程中，攻击者通过模拟传感器和干扰信号，在自动学习期间触发漏洞，最终实现了RCE。文章指出，未经充分时间检验的ECU可能存在更多安全漏洞。

0x3 【$1,060】GitLab HTML 注入漏洞

骨哥说事 2024-10-15 17:23:28

本文介绍了GitLab中的一个HTML注入漏洞，该漏洞存在于使用Soft电子邮件确认设置的GitLab实例中。攻击者可以通过注册账户并更改电子邮件地址，注入HTML代码。当管理员在确认用户电子邮件时，这些HTML代码可能会在确认对话框中执行。文章详细描述了攻击的先决条件、复现步骤以及漏洞的利用过程。漏洞的CVSS评级为低危，GitLab为此向发现者发放了1060美元的赏金。作者强调，该文章仅供安全研究与教学之用，读者若用于其他用途，需自行承担法律责任。

HTML 注入 漏洞利用 电子邮件确认绕过 安全配置 白帽黑客

0x4 [AWVS] 定制你的AWVS

小肥羊安全 2024-10-15 16:25:08

本文介绍了如何定制AWVS（Acunetix Web Vulnerability Scanner）扫描工具，以提高其效率和实用性。作者首先强调了文章内容仅供学习使用，并说明了AWVS在安全领域的重要性。文章详细说明了如何使用GitHub上的awvs-decode脚本解密AWVS的脚本文件，并以修改弱口令扫描规则为例，展示了如何定制扫描逻辑。具体操作包括修改密码字典，添加国内常用的密码组合，并重新打包脚本。最后，文章验证了修改后的扫描规则能够成功识别自定义的强口令，从而证实了AWVS扫描规则的修改是成功的。

漏洞扫描 脚本解密 安全测试 绕过技术 密码学 软件定制

0x5 Java安全-深度剖析内存马&上篇

剑客古月的安全屋 2024-10-15 15:44:50

剖析内存马千字长文-上篇

0x6 HTB之Yummy

羽泪云小栈 2024-10-15 11:32:17

HTB之Yummy+linxu(hard)+本地文件包含-\x26gt;jwt伪造-\x26gt;sudo提权

0x7 CentOS 常见日志文件及路径详解

网络个人修炼 2024-10-15 10:00:27

本文详细介绍了CentOS系统中常见的日志文件及其路径，包括系统日志、应用程序日志、安全相关日志和其他常见日志文件。系统日志文件如messages记录系统信息和警告，secure记录安全事件，boot.log记录启动信息。应用程序日志如httpd的access_log和error_log记录Apache服务器的访问和错误信息。安全日志包括audit.log的审计日志和lastlog的用户登录信息。此外，还介绍了日志管理工具journalctl的使用方法，用于查询和管理systemd日志，提供了查看特定服务日志的命令示例。这些日志文件对于系统管理和故障排除至关重要。

系统监控 安全审计 日志管理 入侵检测 服务监控

0x8 小心你的加密货币，针对加密货币的窃密样本详细分析

安全分析与研究 2024-10-15 08:27:07

小心你的加密货币，针对加密货币的窃密样本详细分析

0x9 应急响应-哥斯拉ekp版本流量分析

SSP安全研究 2024-10-15 08:02:04

0xa ARP协议：局域网的翻译官，IP地址与MAC地址的桥梁

技术修道场 2024-10-15 08:00:44

ARP（Address Resolution Protocol）即地址解析协议，是TCP/IP协议栈链路层的一个关键协议，用于将IP地址转换为对应的MAC地址。文章介绍了ARP协议的工作原理，包括ARP请求、ARP响应和ARP缓存更新的过程。ARP请求时，如果缓存表中没有目标主机的MAC地址，主机将广播一个ARP请求报文。目标主机收到请求后，会发送ARP响应报文，包含其IP地址和MAC地址。收到响应后，发送方会更新自己的ARP缓存表。ARP缓存表用于存储IP地址与MAC地址的映射关系，以提高通信效率。文章还讨论了ARP协议的广播方式、动态更新特点以及安全性问题，指出ARP协议容易受到ARP欺骗等攻击，并提出了一些防范措施，如静态ARP绑定、部署ARP防火墙和启用DHCP Snooping。ARP协议在局域网通信中扮演着重要角色，了解其工作原理和安全问题对网络管理和保护至关重要。

网络安全基础 网络协议分析 网络攻击与防御 网络管理

0xb TCP协议区分windows和linux实践 - 远程系统识别

lufeisec 2024-10-15 08:00:20

本文介绍了通过TCP协议的重试次数来识别不同操作系统的方法。作者首先探讨了网络协议栈和应用类型在系统识别中的作用，然后详细描述了如何利用TCP三次握手中的第二次失败重传次数来区分Linux和Windows系统。Linux系统在未收到RST包时会重传6次，而Windows系统则重传3次。文章中还提供了使用iptables拦截RST包和Scapy工具进行网络测试的实践方法。最后，作者分享了一个Python脚本，该脚本可以收集SYN+ACK返回包的次数并打印TTL值，以辅助识别系统类型，并将这种方法与nmap工具进行了比较，认为前者更为可靠。

网络协议分析 系统识别技术 网络安全工具 iptables规则 渗透测试 脚本编写

0xc 混淆 Mimikatz 下载器以逃避 Defender （2024）

安全狗的自我修养 2024-10-15 07:02:13

本文介绍了一种混淆Mimikatz下载器的方法，以绕过Windows Defender的检测。作者使用Visual Studio和Python环境，以及一个名为InvisibilityCloak的混淆工具对C#项目进行修改，包括更改项目名称和混淆字符串。通过使用DefenderCheck工具分析Defender的检测机制，作者发现了触发检测的变量和函数名称，并通过替换这些名称来逃避检测。文章还讨论了将混淆后的程序放置在Program Files文件夹中以避免触发行为检测的策略。最后，作者强调了混淆技术可能随时间失效，建议读者将本文作为混淆工具学习的起点，并继续研究其他混淆方法。

代码混淆 Mimikatz Windows Defender 绕过 安全研究 恶意软件分析 C# 编程 Python 脚本 DefenderCheck 工具

0xd Windows内核提权漏洞(CVE-2024-30088)被伊朗黑客组织APT34利用

KeepHack1ng 2024-10-15 07:00:59

今年6月，伊朗黑客组织APT34利用了Windows内核提权漏洞CVE-2024-30088。攻击者首先通过WebShell进行内网穿透，然后使用公开的POC进行提权。成功提权后，攻击者在C:WindowsSystem32目录下植入恶意的psgfilter.dll，并修改Windows注册表以注册该恶意DLL，从而在用户更改Exchange密码时窃取密码。此外，攻击者使用StealHook软件，通过调用关键函数从特定文件中获取用户名、密码和电子邮件发送配置信息，进而通过合法邮件流量窃取数据。整个过程展示了攻击者如何精心策划和执行复杂的网络攻击。

漏洞利用 内网渗透 提权攻击 恶意软件 信息窃取 APT攻击 电子邮件攻击

0xe 应急实战(11)：被嫌弃的Windows服务器

OneMoreThink 2024-10-15 01:28:43

本文详细记录了一次Windows服务器的应急响应过程。首先，在准备阶段，作者开启了sysmon、apache和mysql的日志记录，并优化了日志策略，同时部署了牧云HIDS安全设备。在检测阶段，牧云检测到了WebShell后门并产生了告警。在遏制阶段，进行了上机排查，但未发现需要遏制的异常网络连接或进程。在根除阶段，删除了WebShell后门，并对弱口令账号进行了加固。通过分析日志，发现攻击者利用phpMyAdmin弱口令进行攻击，执行了多条SQL语句和WebShell命令，但未发现其他后门。在恢复阶段，恢复了mysql日志记录功能。整个事件中，攻击者对服务器的攻击行为较为单一，似乎对这台服务器并不感兴趣。

日志记录与监控 安全设备部署 威胁检测 应急响应 WebShell处理 弱口令加固 日志分析

0xf 【更新】CS插件一键生成免杀马，过360核晶、火绒5、火绒6

星落安全团队 2024-10-15 00:00:54

本文介绍了一款名为CS插件的一键生成免杀马的最新更新，该插件能够绕过360核晶、火绒5和火绒6的安全检测。作者为满足星球内用户需求，开发了这款插件，无需复杂配置，只需在Cobalt Strike客户端加载指定脚本即可使用。插件支持64位程序，并提供了一系列免杀工具和配置文件。使用方法简单，下载解压到CS客户端目录，通过脚本管理器加载即可。作者还介绍了自己的背景，是一名安全公司攻防实验室的攻击队选手，擅长多种安全技术。文章最后提醒，所提供的技术和工具仅供安全测试和防御研究使用，禁止用于非法目的。

免杀技术 恶意软件生成 安全工具 安全测试 非法活动警告

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

原文始发于微信公众号（洞见网安）：网安原创文章推荐【2024/10/15】