2024-12-08 微信公众号精选安全技术文章总览

洞见网安 2024-12-08

0x1 网络工程师必知：5种常见的防火墙类型

网络技术联盟站 2024-12-08 20:01:42

学网络，尽在网络技术联盟站！

防火墙技术 网络安全防护 网络工程师知识 企业网络安全 数据包过滤 网络安全策略

0x2 HTB_Vintage（思路）

羽泪云小栈 2024-12-08 20:00:10

本文是关于HTB_Vintage靶场的渗透测试总结，作者通过一系列步骤详细描述了从获取初始凭证到最终提升至域管理员权限的过程。首先，使用ldapsearch获取域信息，并通过pre2k工具发现旧版Windows计算机对象fs01$。接着，利用bloodyAD工具操作组权限和属性，获取gmsa01$的票据，并尝试修改svc_sql的密码。文章还提到了使用kerbrute进行密码喷洒攻击，以及通过evil-winrm使用krb5协议登录。最后，作者通过dpapi解密得到c.neri_adm的权限，并将svc_sql加入DELE组，最终冒充L.BIANCHI_ADM用户获取域管理员权限。文章还强调了时间同步的重要性，并提供了相关的配置文件和参考链接。

域渗透 票据攻击 密码攻击 权限提升 工具使用 时间同步 配置文件 信息收集 横向移动

0x3 第一届数证杯个人赛——APK分析部分

金星路406取证人 2024-12-08 19:34:30

本文是关于第一届数证杯个人赛APK分析部分的解题思路分享，主要针对Java代码审计和静态分析apk能力的考查。文章详细介绍了如何分析APK检材，包括程序申请的系统权限、入口邀请码的提取、恶意行为时使用的加密算法和密钥，以及上传文件的URL。通过分析，作者指出了程序中存在的恶意行为，即开启前置摄像头，并提供了详细的步骤和代码片段来支持分析结果。文章旨在知识分享，提醒读者勿用于违法活动，并鼓励同行指正可能存在的错误。

APK分析 Java代码审计 逆向工程 加密算法分析 恶意行为检测 系统权限分析 网络通信分析

0x4 Hooka - 多功能Shellcode加载器生成器

sec0nd安全 2024-12-08 18:35:19

Hooka是一款基于Go语言开发的多功能Shellcode加载器生成器，它集成了多种Shellcode注入技术，如SuspendedProcess、ProcessHollowing、NtCreateThreadEx等，并提供了强大的防御和规避功能。支持从不同来源获取Shellcode，并能生成EXE或DLL格式的加载器。Hooka具备加密和混淆Shellcode的能力，默认启用AMSI和ETW补丁，还包含反沙箱检测、ACG Guard保护等高级功能。使用Hooka需要指定输入的Shellcode、输出文件名和格式，还可以通过参数配置执行技术、加密算法、防御措施等。该项目仍在开发中，计划添加更多系统调用支持和OPSEC功能。

0x5 PE文件结构：NT头部

风铃Sec 2024-12-08 15:48:48

文章深入解析了PE文件格式中的NT头部，它是操作系统加载PE文件时的核心结构。NT头部由PE标识符、文件头和可选头三部分组成，其中PE标识符是一个固定的4字节签名，用于标识PE文件。文件头包含了目标机器类型、节区数量等基本信息；而可选头则包含程序入口点地址、图像基地址等关键信息，尽管名为“可选”，实为必须。文章详细介绍了文件头中Machine字段指明了支持的硬件平台，NumberOfSections定义了文件中的节区数，TimeDateStamp记录文件创建时间。对于可选头，Magic字段区分32位与64位PE文件，AddressOfEntryPoint定义程序执行起点。此外，ImageBase指定默认加载地址，SectionAlignment和FileAlignment规定了内存和磁盘上的对齐方式。MajorOperatingSystemVersion和MinorOperatingSystemVersion字段描述了程序所需的操作系统版本。最后，文章还探讨了如SizeOfImage、CheckSum、Subsystem等字段的作用，以及DllCharacteristics字段所指示的DLL特性，包括是否支持ASLR、NX兼容性等。这些内容共同构成了PE文件加载和执行的关键配置。

PE文件结构 Windows执行文件分析 二进制逆向工程 恶意软件分析 程序开发与调试 安全编码实践

0x6 RDP连接多开方法与利用思路

七芒星实验室 2024-12-08 15:04:48

本文详细介绍了在网络安全领域中进行RDP（远程桌面协议）连接多开的两种方法及其利用思路。首先，文章通过实际测试环境展示了在默认情况下，无论是同一账户还是不同账户，RDP连接都无法实现多开，用户会被强制下线。接着，文章提供了两种多开RDP连接的方法：一是使用mimikatz工具的privilege::Debug和ts::multirdp命令，该方法对于不同账户有效，但同一账户仍会被强制下线；二是使用rdpwrap工具，通过安装和配置后，可以实现同一账户和不同账户的同时登录。文章还补充了远程桌面开启状态的检查方法、端口号查询、以及如何在meterpreter中开启和关闭远程桌面等扩展知识。最后，文章指出虽然多开RDP连接在某些情况下实用性有限，但在团队协作进行渗透测试时仍具有一定的辅助作用。

远程桌面协议（RDP） 渗透测试 多用户同时登录 mimikatz工具使用 rdpwrap工具使用 Windows操作系统安全 注册表修改 防火墙配置

0x7 MalleableC2配置详解

魔影安全实验室 2024-12-08 14:26:49

文章详细解析了Malleable C2配置的各个部分，包括公共选项、http-get、http-post、http-config、stage、process-inject、post-ex、code-signer、TCP Beacon、SMB Beacon、DNS Beacon等。这些配置项可以用于定制C2通信，以规避流量检测。文章还介绍了如何设置多种配置，以及如何避免GET和POST名过长等注意事项。参考了malleable-c2和Cobalt Strike的官方文档，以及相关博客文章。

['Malleable C2 Profile', 'Cobalt Strike', 'Malleable C2']

0x8 一文看懂安卓JSB风险漏洞挖掘

暴暴的皮卡丘 2024-12-08 13:16:14

本文详细介绍了安卓JSB（JavaScript Bridge）风险漏洞的挖掘方法。文章首先解释了JSB的基本原理，包括addJavascriptInterface方法和URL拦截模式两种通信方式。接着，通过具体代码示例展示了安卓中JSB的使用案例，并分析了JSB的安全风险，包括未授权方法调用、跨域恶意注入和数据注入与代码执行等。文章还提供了漏洞挖掘的步骤和常用Payload，以及动态调试和静态分析的工具推荐。最后，文章提出了JSB的安全防护措施，如严格控制暴露接口、绑定安全域和输入参数校验等，以增强安卓应用的安全性。

移动安全 Web安全 漏洞分析 漏洞挖掘 防护措施

0x9 Mitre_Att&ck框架T1056.002(图形界面输入捕获）的简单实现

新蜂网络安全实验室 2024-12-08 13:00:48

文章探讨了Mitre Att&ck框架中的T1056.002（图形界面输入捕获）技术，该技术属于‘凭据访问’战术，旨在通过模仿操作系统GUI组件来诱骗用户提供凭证。攻击者利用这一技术可以创建看似合法的提示，如伪造的安装程序或恶意软件移除工具，以获取用户凭据。此外，攻击还可以结合用户活动监控，在用户访问敏感信息时进行欺骗。在Linux环境中，攻击者可能通过shell脚本启动对话框来收集凭证。 文中详细描述了一种基于Linux系统的攻击实现方法：攻击者首先入侵目标主机并获得root权限后，创建一个名为backdoor_sudo.sh的后门脚本文件，该脚本伪装成sudo命令，当用户尝试使用sudo执行命令时，会提示用户输入密码，并将输入的密码记录到日志文件中。然后，攻击者将系统中的sudo命令替换为这个后门脚本，一旦用户上当，其密码就会被记录下来。最后，攻击者能够查看这些密码，并在完成攻击后恢复原始的sudo命令，删除所有痕迹，包括后门脚本和日志文件。此过程展示了攻击者如何巧妙地利用操作系统特性来窃取用户凭证，同时强调了此类攻击的隐蔽性和危险性。

凭据访问 输入捕获 社会工程学 后门植入 权限提升 Linux安全

0xa 【MalDev-08】反虚拟机

高级红队专家 2024-12-08 12:06:18

文章详细介绍了反虚拟机技术的几种方法，包括文件系统检测、硬件检测、基于时间的沙箱逃逸和注册表检测。首先，通过检测特定虚拟机的特征文件来判断系统是否为虚拟机。其次，利用DeviceIoControl函数获取硬盘供应商ID，以识别虚拟机。再次，通过比较系统睡眠前后的时间差，来判断是否在沙箱环境中。最后，检查注册表项和值，以确定是否为VirtualBox虚拟机。文章还提供了相应的代码示例和编译方法，以及如何在实际环境中应用这些技术。

反虚拟机技术 文件系统检测 硬件检测 注册表检测 沙箱逃逸 恶意代码编写

0xb 渗透测试 | 记一次信息泄露到学工系统

掌控安全EDU 2024-12-08 12:02:22

文章《渗透测试 | 记一次信息泄露到学工系统》讲述了作者通过信息搜集和漏洞利用成功进入某高校学工系统的经历。文中首先介绍了信息搜集的方法，包括浏览器搜索、使用Fofa查询特定关键字、访问学校官网以及社交平台等途径来获取学生个人信息如学号和身份证号码。接着，作者描述了如何利用搜集到的信息对学校的内部系统进行测试，并发现学工系统存在默认密码问题（身份证后六位），从而得以登录并进一步探索系统。作者还详细说明了针对不同编程语言框架的测试策略，特别是对于.NET应用中的SQL注入攻击方法，包括报错注入和布尔盲注的具体实施步骤。此外，作者提到了在家庭信息模块发现了逻辑越权漏洞，并成功触发了XSS攻击。最后总结强调了信息搜集的重要性、全面测试每个功能点以提高发现漏洞的概率，同时提醒读者所有渗透活动均需获得授权，不可用于非法目的。

信息搜集 默认凭证利用 SQL注入 越权访问 XSS攻击 渗透测试 安全意识

0xc 基于包长语义的隧道内部攻击流量识别

赛博新经济 2024-12-08 11:35:58

文章介绍了发表于ACM CCS 2024的一项研究，该研究旨在解决加密隧道内攻击流量识别的问题。随着加密隧道协议的广泛应用，它们在保护用户隐私的同时，也为攻击者提供了隐藏恶意流量的手段。传统攻击流量检测系统依赖于数据包头和负载特征提取，但在加密隧道场景下失效，因为这些信息被完全加密。为此，研究人员提出了一种基于包长语义分析的新方法，专注于分析包长度之间的关联性来检测攻击流量。 研究发现，攻击数据包的长度往往具有显著的相似性和周期性，这为检测提供了线索。通过使用神经网络，特别是卷积神经网络，研究团队设计了一个两部分的解决方案：一是长度模式提取，它从时间尺度和空间尺度上同时处理包长度特征；二是语义分割网络，用于抽取并分类包长模式的关联信息。实验结果显示，该方案不仅能够有效地检测多种隧道内的攻击流量，而且其准确性与现有系统检测非加密流量时相匹配，同时在线检测吞吐量超过了9 MPPS，表现出极低的延迟和高效的性能。

加密流量分析 深度学习应用 入侵检测系统（IDS） 网络流量分析 隐私保护与安全 洪泛攻击检测

0xd 利用不安全的反序列化漏洞

老付话安全 2024-12-08 08:54:29

本文详细分析了网络安全中的不安全反序列化漏洞。文章首先介绍了PHP和Java序列化的格式和特点，然后阐述了如何通过修改序列化对象属性和数据类型来利用反序列化漏洞。接着，文章深入探讨了魔术方法在反序列化过程中的作用，以及如何通过小工具链构建攻击链。最后，文章提出了PHAR反序列化的概念，并说明了其在攻击中的应用。文章旨在提高网络安全学习者的实战能力，强调了对源代码的深入研究和理解在挖掘和利用漏洞中的重要性。

反序列化漏洞 代码注入 权限提升 魔术方法攻击 小工具链 PHAR反序列化 安全研究

0xe 渗透测试实战—利用防火墙突破网络隔离

网安日记本 2024-12-08 07:00:47

文章描述了一次渗透测试的实战经历，特别聚焦于如何利用华为USG防火墙配置SSL VPN策略来突破网络隔离。作者首先声明了本文仅供学习用途，强调了合法性和责任自负的原则。在资产发现阶段，作者对分配的资产进行了信息收集，注意到一个IP通过不同端口映射了多个站点，并发现了华为USG防火墙的存在。接着，使用默认凭证（admin/Admin@123）成功登录到防火墙后台。为了进一步操作，创建了一个名为testadmin的测试账户并设置为default组成员。随后，作者详细介绍了配置安全策略、服务和SSL VPN规则的过程，包括选择源和目的安全区域、定义服务协议和端口、指定网关地址及端口等关键步骤。此外，还配置了可分配的IP地址池范围以及可访问内网网段列表，并完成了角色授权。最后，使用SecoClient工具连接至配置好的SSL VPN，成功接入内网，实现了网络隔离的突破。然而，由于内网部分资产单一，此次渗透并未取得显著成果。总结中提到，在攻防演练中，除了突破网络隔离外，还需要深入内部获取有价值的数据以获得更高的评价。

0xf 新型 C2 技术利用二维码绕过浏览器隔离

网络研究观 2024-12-08 00:00:35

Mandiant研究人员发现了一种利用二维码绕过浏览器隔离技术的新方法，通过在隔离环境中建立命令与控制(C2)通信。该方法涉及攻击者发送包含二维码的网页，恶意植入程序在无头浏览器中捕获并解码二维码以提取命令。这种技术揭示了浏览器隔离解决方案的弱点，尽管它有效抵御了许多传统威胁。Mandiant的PoC实现使用了Google Chrome无头浏览器和Cobalt Strike的外部C2功能。尽管基于二维码的C2方法存在数据大小限制和延迟问题，但它展示了隔离措施的不足，需要组织采用多层次防御策略来应对。

C2 通信绕过 浏览器隔离技术 二维码利用 无头浏览器 安全漏洞 防御策略

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

原文始发于微信公众号（洞见网安）：网安原创文章推荐【2024/12/8】