2024-12-25 微信公众号精选安全技术文章总览

洞见网安 2024-12-25

0x1 网安瞭望台第18期：警惕新型攻击利用Windows Defender绕过终端检测、CVE-2024-50379 漏洞利用工具分享

东方隐侠安全团队 2024-12-25 20:31:30

文章报道了近期网络安全领域的重要发现与威胁。首先，Fortinet FortiGuard Labs 发现并标记了上传至 PyPI 的两个恶意软件包 zebo 和 cometlogger，分别有118次和164次下载。这两个包能够窃取按键记录、截屏、收集系统信息，并上传数据至图床或远程服务器，且具备持久化机制和规避虚拟环境检测的能力。其次，一种新型攻击手段被揭露，该攻击利用 Windows Defender 应用控制（WDAC）绕过终端检测与响应（EDR）传感器，通过部署自定义 WDAC 策略，阻止 EDR 传感器加载，使攻击者能在无安全约束下行动。此攻击属于 MITRE ATT&CK 框架中的 '削弱防御' 类别，已被开发出概念验证工具 “Krueger”。再者，Apache Traffic Control 被发现存在 SQL 注入漏洞 CVE-2024-45387，影响版本8.0.0至8.0.1，CVSS评分为9.9，允许特权用户执行任意SQL命令，对受影响的CDN运营构成严重威胁。最后，文章介绍了CVE-2024-50379 漏洞利用工具，针对Tomcat服务器，可用于条件竞争文件上传测试，强调仅在合法授权范围内使用。这些事件提醒各组织强化访问控制、定期审计策略，并迅速应用补丁或缓解措施以应对新出现的安全威胁。

恶意软件分析 攻击技术 漏洞披露 安全工具 缓解措施 合规性与法律

0x2 CobaltStrike Bof开发(1)

Relay学安全 2024-12-25 20:05:52

本文详细介绍了CobaltStrike Bof（Beacon Object Files）的开发过程。Bof允许用户在CobaltStrike的Beacon上执行自定义C代码。文章首先解释了Bof的概念，然后指导如何构建开发环境，包括下载和配置Visual Studio的Bof模板。接着，作者展示了如何创建和编译Bof代码，以及如何使用CobaltStrike的inline-execute命令加载和执行.obj文件。文章还详细解释了Bof代码的关键部分，包括bofdefs.h头文件和入口函数go。最后，文章列举了几个常用的CobaltStrike Bof函数，如BeaconPrintf、BeaconDataParse、BeaconFormatAlloc和BeaconIsAdmin，并提供了它们的用法示例。

CobaltStrike Beacon Object Files (BOF) 开发与编程 安全研究 免杀技术

0x3 免杀对抗从0开始（七）

泾弦安全 2024-12-25 19:50:33

文章《免杀对抗从0开始（七）》深入探讨了构建隐蔽且安全的shellcode加载与执行框架的技术细节，旨在为网络安全研究人员提供研究和防御高级持续性威胁（APT）等复杂挑战的新工具。文中首先强调了加密技术的应用，如采用RC4或AES算法对shellcode进行加密，确保loader中不含明文形式的shellcode，通过独立工具生成加密后的代码和密钥，在运行时解密并加载到内存中。为了减少静态分析工具检测风险，文章介绍了动态函数调用技术，利用GetProcAddress获取API函数地址，并通过函数指针调用，以及将syscall调用封装进自定义函数，隐藏系统调用细节，提升代码隐蔽性和安全性。此外，还提到了代码的安全性与可读性的保障措施，包括对外部输入的严格检查、使用清晰结构体和函数接口等。白加黑技术的应用使得loader能够隐藏在合法程序或系统文件中，绕过安全检测。最后，通过动态调用文件操作函数及syscall直接执行shellcode，进一步增强了代码隐蔽性。总结来说，该框架不仅提高了代码的安全性和可读性，而且有效规避了常见的安全检测机制，实现了基本的免杀功能。

免杀技术 加密与解密 动态函数调用 Syscall封装 代码安全实践 白加黑技术 Shellcode加载执行 高级持续性威胁研究

0x4 一款wifi数据抓包破解工具Wireshark

渗透测试知识学习 2024-12-25 19:35:56

wife数据包破解

0x5 银狐黑产组织最新免杀样本详细分析

安全分析与研究 2024-12-25 18:30:13

银狐黑产组织最新免杀样本详细分析

0x6 【漏洞文字】博斯外贸管理软件 SQL注入

小羊安全屋 2024-12-25 17:01:56

0x7 The Hackers Labs MICROCHOFT靶场

鼎新安全 2024-12-25 16:38:47

文章介绍了The Hackers Labs提供的MICROCHOFT靶场，这是一个基于Windows 7系统的练习环境，旨在为网络安全学习者提供实践机会。文中描述了如何使用nmap工具扫描靶机的开放端口和服务，特别是通过指定参数如-sS、-sC、-sV等进行TCP SYN扫描、服务版本检测以及应用默认脚本以识别潜在漏洞。为了提高扫描效率，作者建议使用--min-rate和-n参数来增加扫描速度并减少DNS解析时间。特别地，文章指出445端口是检查EternalBlue（永恒之蓝）漏洞的关键，该漏洞在2017年被WannaCry勒索软件利用造成全球性影响。文中还展示了如何利用Metasploit框架中的ms17-010模块对存在漏洞的目标机器实施攻击，并成功获取系统权限。最后，作者强调了在搭建和测试靶场时，考虑已知Nday漏洞的重要性，并提醒读者注意遵守版权说明，不得擅自修改或用于商业用途。

0x8 【漏洞通告】Adobe ColdFusion任意文件读取漏洞（CVE-2024-53961）

绿盟科技CERT 2024-12-25 16:03:19

近日，绿盟科技CERT监测到Adobe发布安全公告，修复了Adobe ColdFusion中的任意文件读取漏洞（CVE-2024-53961）。CVSS评分7.4，目前已有PoC存在，请相关用户尽快采取措施进行防护。

0x9 无影v2.6.7—代理池管理功能上线

Tide安全团队 2024-12-25 16:00:51

无影上线代理池管理功能模块，通过多种代理录入、多种场景切换、多种协议支持、自动验证和删除等功能，为安全测试人员提供了更便捷的代理池管理功能。

0xa web漏洞挖掘方法 - 文件上传篇

信安一把索 2024-12-25 14:37:15

0xb Oracle WebLogic Server反序列化漏洞(CVE-2024-21216)

白帽攻防 2024-12-25 14:01:17

Oracle WebLogic Server反序列化漏洞（CVE-2024-21216）

0xc Frida hook常用脚本合集

黑熊安全 2024-12-25 12:32:09

文章介绍了Frida Hook技术在逆向工程和安全研究中的应用，特别是针对安卓平台的安全性分析。文中提到的Frida是一种动态代码插桩工具，允许开发者编写JavaScript脚本来hook任意函数或方法，以实现对目标应用程序行为的监控和修改。作者分享了一组常用于Frida环境下的Hook脚本，这些脚本能够帮助研究者拦截并解析多种加密算法（如MD5、SHA、MAC、DES、3DES、AES、RSA以及数字签名）调用过程中的明文与密文数据。举例来说，通过Hook特定加密库的底层函数，可以捕获到登录请求中涉及的加密信息，包括但不限于用户名、密码及时间戳等，并进一步揭示出sign字段背后的加密机制。值得注意的是，文中强调所有内容仅供个人学习使用，任何非法用途均不在支持范围内。此外，作者还提到了计划将收集到的资源贡献给开源社区，鼓励更多人参与到安卓安全领域的探索与交流中来。同时，文中提及了PET和CISP证书的相关信息以及一些业务承接广告，但这并非文章主要内容。

Frida Hook 逆向工程 安全测试 加密算法 移动安全 法律免责声明 社区贡献

0xd 使用 ssh 投递恶意文件的"骚操作"

独眼情报 2024-12-25 11:00:01

0xe 蚁剑魔改--添加自定义编码/解码器

Spade sec 2024-12-25 09:00:28

0xf 蚁剑魔改--修改黑名单URL

Spade sec 2024-12-25 09:00:28

0x10 Pipe管道利用

ZeroPointZero安全团队 2024-12-25 09:00:20

0x11 红队利器Evil-WinRM工具---WIndows渗透功能使用

泷羽Sec-Blanks 2024-12-25 08:32:58

如果Windows主机启用了WinRM服务，那第一个想到的工具就是Evil-WinRM，绕过安全策略、远程脚本执行、木马传输等等

0x12 Edit堆溢出打fastbin任意地址修改

智佳网络安全 2024-12-25 08:25:32

Edit堆溢出2.23libc打fastbin任意地址修改

0x13 远程 SSH  - MobaXterm 密码转储工具

SecretTeam安全团队 2024-12-25 08:12:37

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

原文始发于微信公众号（洞见网安）：网安原创文章推荐【2024/12/25】