2024-11-20 微信公众号精选安全技术文章总览

洞见网安 2024-11-20

0x1 恶意软件分析-权限维持

Relay学安全 2024-11-20 20:00:21

本文探讨了恶意软件如何通过修改注册表、添加计划任务及利用启动文件夹等手段实现权限维持。文中列举了几个具体的注册表位置，包括当前用户和本地计算机下的启动项注册表，它们常被用于指定系统启动时自动执行的程序。此外，还介绍了一种通过创建计划任务来定期执行恶意文件的方法，如示例中提到的ssub.exe创建了名为MyAPP的计划任务来执行service.exe。文章进一步讨论了启动文件夹的利用，区分了用户级和系统级启动文件夹，并以bllb.exe为例，展示了其如何通过Explorer.exe启动并在启动文件夹中创建快捷方式来维持持久性。接着，文章提到了IFEO（图像文件执行选项）的滥用，解释了攻击者如何通过设置恶意软件为调试器来干扰合法程序的执行。最后，通过对dhic.exe和bas.exe的分析，揭示了恶意软件如何通过修改注册表来干扰安全工具的使用，如禁用任务管理器和注册表编辑器，以及如何通过命令行恢复这些工具的功能。

恶意软件分析 注册表劫持 计划任务 启动项权限维持 IFEO调试器技术 反分析技术

0x2 中间件常见漏洞总结

红队蓝军 2024-11-20 18:07:29

0x3 【Pikachu】SSRF(Server-Side Request Forgery)服务器端请求伪造实战

儒道易行 2024-11-20 18:00:25

本文详细解析了SSRF（服务器端请求伪造）攻击及其防范方法。SSRF是一种攻击者通过操纵服务器向指定目标发起请求的安全漏洞，常因服务器缺乏对外部或内部请求的有效验证而发生。攻击流程涉及攻击者提交恶意URL，服务器未经适当验证即发起请求，最终可能泄露敏感信息、实现内网穿透、造成拒绝服务或执行远程代码。文中列举了PHP中可能导致SSRF的函数，如file_get_contents()、fsockopen()和curl_exec()，并强调了攻击者如何利用这些函数控制请求目标。为防范SSRF，建议实施严格的URL验证和过滤、限制协议和端口范围、使用DNS解析与IP地址校验、采用安全的HTTP客户端、遵循最小权限原则以及设置访问控制和日志监控。文章最后提供了SSRF实战示例，通过修改URL请求百度页面展示了SSRF的基本原理，并附带了免责声明和转载声明，指明了文章的版权归属和使用规则。

SSRF 网络安全漏洞 内网渗透 信息泄露 拒绝服务攻击 PHP安全 安全防范措施

0x4 几个常见的越权漏洞挖掘案例

起凡安全 2024-11-20 17:31:05

几个常见的越权漏洞挖掘案例

水平越权 垂直越权 接口安全 数据泄露 模糊查询越权

0x5 警惕！反追踪型僵尸网络家族XorBot改头换面，来势汹汹

绿盟科技威胁情报 2024-11-20 17:30:38

根据绿盟科技的监测，自2024年初以来，一个具有高度反追踪意识的新型僵尸网络家族—XorBot不断更新其版本并引入新功能，已经发生了显著的变化。

0x6 CNNVD关于Apache OFBiz安全漏洞的通报

CNNVD安全动态 2024-11-20 17:05:00

近日，国家信息安全漏洞库（CNNVD）收到关于Apache OFBiz安全漏洞（CNNVD-202411-2279、CVE-2024-47208）情况的报送。

0x7 Palo Alto Networks零日防火墙漏洞是由开发人员的基本错误导致的

信息安全D1net 2024-11-20 16:52:55

Palo Alto Networks近期爆出两个严重漏洞，攻击者可利用这两个漏洞通过PAN-OS管理Web界面绕过身份验证并提升权限至root，从而完全控制设备。第一个漏洞（CVE-2024-0012）允许攻击者绕过身份验证，第二个漏洞（CVE-2024-9474）为命令注入漏洞，可提升权限。这些漏洞源于开发过程中的基本错误，安全公司watchTowr的研究人员进行了分析。Palo Alto已发布修复程序，并建议管理员更新防火墙版本，限制管理界面访问权限。此外，研究人员指出，将PAN-OS管理界面暴露在互联网上极为危险，管理员应采取额外措施确保安全。

防火墙漏洞 身份验证绕过 权限提升 远程代码执行 安全更新 网络安全研究 软件设计缺陷 网络安全防护

0x8 taocms 3.0.1 本地文件泄露漏洞（CVE-2021-44983）

Nick安全 2024-11-20 15:54:31

taocms 3.0.1 登陆后台后文件管理处存在任意文件下载漏洞。

0x9 一次黑盒转变白盒前台漏洞审计过程

进击安全 2024-11-20 14:11:10

0xa SpringBoot+403绕过拿下信息泄露

UF安全团队 2024-11-20 12:35:24

一次简单src案例分享

0xb edu小程序挖掘严重支付逻辑漏洞

掌控安全EDU 2024-11-20 12:04:10

敏感信息泄露 垂直越权 支付逻辑漏洞 数据遍历 代理抓包

0xc 同样都用于内网与外网之间的通信，端口转发和端口映射到底有啥区别？

网络技术联盟站 2024-11-20 11:53:12

文章详细介绍了端口转发和端口映射的概念、工作原理、主要区别以及实际应用场景。端口转发是通过路由器或防火墙将外部请求转发到内网设备的技术，而端口映射则是在NAT环境下建立内网与外网端口的一一对应关系。两者虽然都用于内外网通信，但端口转发更侧重于动态转发，而端口映射则强调静态映射。文章还列举了远程办公、游戏服务器等端口转发的应用场景，以及内网设备主动通信、远程备份等端口映射的应用场景，并提供了配置示例和常见误区分析。

0xd 通用Linux系统密码劫持记录研究总结

山石网科安全技术研究院 2024-11-20 10:46:08

本文是一篇关于Linux系统密码劫持记录的研究总结。文章首先解释了密码劫持的概念，即记录用户在终端中输入的密码，特别是使用su、sudo、ssh等命令时的密码。接着，详细介绍了密码劫持的四种实现原理：终端拦截、环境变量和别名、使用LD_PRELOAD技术以及日志记录。文章通过一个假设场景，说明了如何在获取普通用户shell的情况下，通过在.bashrc文件中添加别名来记录管理员输入的密码。最后，提供了一段Go语言代码，演示了如何创建一个伪终端来执行su命令，并捕获用户输入的密码，同时将输入输出分别转发到伪终端和主终端。

0xe 安全加固(1)

青春计协 2024-11-20 10:17:18

本文主要分享了IIS主机安全加固的详细步骤，包括基本设置检查、身份验证和授权检查、ASP.Net配置检查、请求过滤和限制检查以及IIS日志记录检查。文章详细介绍了如何检查和加固Web内容位置、目录浏览、WebDav功能、错误页面替换、上传执行权限等，并提供了具体的操作命令和方法。同时，还涵盖了如何配置SSL、关闭debug功能、自定义错误消息、移除敏感头部信息等安全措施。最后，文章强调了日志记录的重要性，并指导如何更改日志位置和启用高级日志记录。

IIS安全加固 Web服务器安全 身份验证与授权 ASP.Net安全配置 请求过滤与限制 防御DOS攻击 日志记录与监控

0xf fofa-web 2.0 发布

和光同尘hugh 2024-11-20 10:00:50

一个非常简单的空间搜索引擎api 调用工具：fofa-web.2.0

信息收集 搜索引擎API 数据库安全 Python编程 网络应用安全

0x10 [技术分享]冰蝎自定义代码注入内存马

良月安全 2024-11-20 10:00:18

[技术分享]冰蝎自定义代码注入内存马

0x11 eking管理易Html5Upload接口处存在任意文件上传漏洞【漏洞复现|附nuclei-POC】

脚本小子 2024-11-20 08:43:07

0x12 【补齐最后短板】单文件一键击溃windows defender进程

星落安全团队 2024-11-20 00:00:33

本文介绍了如何针对Windows Defender这一安全防护软件进行进程击溃的方法。文章首先指出，在攻防演练中，目标机器依赖Windows系统自带的Defender，其强大的内存查杀能力对内网渗透构成挑战。为应对这一挑战，作者提出需要开发定制化的免杀工具。文章详细描述了一个名为killhuorong.exe的程序，它能够嵌入资源文件中的驱动，以管理员权限运行后，能够成功强制关闭Defender的核心进程MsMpEng.exe，从而绕过其防御。作者还介绍了自己的背景和经验，以及提供了一系列其他相关的免杀工具和资源。最后，文章强调这些技术和工具仅用于安全测试和防御研究，提醒读者切勿用于非法用途。

免杀技术 进程击溃 内网渗透 安全工具开发 安全测试 防御绕过 代码审计

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

原文始发于微信公众号（洞见网安）：网安原创文章推荐【2024/11/20】