2025-01-08 微信公众号精选安全技术文章总览

洞见网安 2025-01-08

0x1 shell脚本基础用法

泷羽Sec-小篮子 2025-01-08 23:19:26

文章介绍了Linux下的Shell脚本基础用法，涵盖创建与执行、变量定义与使用、引号规则、条件控制语句（如if、case）、循环结构（for、while、until）、用户交互、数值运算、函数封装及调用等内容。Shell脚本以.sh为扩展名，通过解释器如bash执行。变量通过$符号引用，支持局部和全局变量，并能进行字符串操作。条件判断中，[ ]或test命令用于逻辑测试，[[ ]]提供更丰富的字符串比较功能。循环结构允许遍历列表、数字范围或文件输出。用户交互利用read命令获取输入。数值运算可通过$(( ))或expr实现，配合bc工具可处理浮点数。函数封装提高代码复用性，重定向操作符（<, >, 2>）用于标准输入输出和错误信息的重定位。此外，文章还提及了OSCP培训资源，但主要篇幅集中于Shell脚本的基础语法和编程技巧，适合初学者了解Shell脚本编写的基本概念和实践方法。

Linux Shell 脚本编写 变量与运算 参数传递 条件控制 循环结构 系统变量 文件操作 函数与脚本调用 网络安全基础

0x2 蓝凌0A任意文件读取(在野)

Kokoxca安全 2025-01-08 23:12:39

本文分析了蓝凌0A软件中存在的任意文件读取漏洞。该漏洞存在于thirdImSyncForKKWebService接口中，攻击者可利用此漏洞获取系统敏感信息。漏洞的触发条件是SOAP协议中的XOP扩展，如果服务器端SOAP框架支持XOP且未禁用file://协议，攻击者可以在SOAP请求中插入payload来读取任意文件。文章中还提到了kmImeetingBookWebService接口也存在类似漏洞，触发条件是在service接口中带有count或type参数。文章强调了使用技术信息或代码工具进行非法测试和违法行为的后果由使用者本人负责，并提醒使用者遵守法律法规，尊重他人合法权益。

漏洞分析 Web服务安全 文件读取漏洞 企业应用安全 代码审计

0x3 【oscp】稀有靶机-Readme

泷羽Sec 2025-01-08 22:30:50

本文是关于一个稀有靶机Readme的渗透测试学习记录。作者首先进行了主机发现和端口扫描，发现了一个开启的HTTP服务。通过访问网页和目录扫描，作者发现了一些有趣的文件和路径。在尝试SQL注入未果后，作者转向了MySQL服务的配置，通过开启远程连接和设置密码，成功连接到了MySQL数据库。随后，作者利用Local File Include漏洞读取了靶机上的文件，但遇到了一些障碍。文章详细描述了作者如何解决这些问题，包括设置正确的SQL语句和绕过安全限制。最后，作者通过分析C语言源码和反汇编技术，成功获取了密码并登录到系统，继续进行信息收集和漏洞利用。文章中提到了多个工具和技术，如sqlmap、gdb、nasm等，展现了渗透测试的详细过程和作者的思考。

靶场渗透测试 网络安全漏洞 逆向工程 汇编语言 MySQL安全 信息收集 密码学 操作系统安全 编程技巧

0x4 Cobalt Strike | UDRL简单配置

0x00实验室 2025-01-08 21:30:34

本文介绍了Cobalt Strike 4.9版本的UDRL（Universal Dynamic Remote Loader）的简单配置过程。首先，提供了下载链接，包括Visual Studio 2022和相关插件。接着，详细说明了如何启动Cobalt Strike，解压下载的套件，并在Visual Studio中设置项目。文章还指导读者如何配置CS服务端的example.profile文件，并在UDRL-VS文件夹中下载第三方库。接着，指导如何创建一个监听器并生成一个RAW的payload。最后，详细解释了如何在Visual Studio中运行和配置obfuscation-loader，以及如何在Cobalt Strike中加载脚本并完成UDRL的配置。整个配置过程涵盖了从环境搭建到最终上线的关键步骤，并提供了可能遇到的错误及其解决方法。

网络安全工具 恶意软件分析 代码混淆 漏洞利用 逆向工程 Python脚本 开发环境配置 渗透测试

0x5 Windows新方法权限维持！

秋风的安全之路 2025-01-08 20:39:35

本文介绍了一种新的Windows系统权限维持方法。通过监控系统最近使用项目目录，当用户点击文件时，会在该目录下创建一个新的ink文件。利用这一特性，作者通过Python脚本实现了在用户点击特定文件（如txt或图片）时自动执行calc程序，从而实现权限维持。文章中提到，为了适应不同用户名的设备，作者使用了通配符%APPDATA%来动态获取用户目录，并拼接相应的路径。尽管脚本未进行免杀处理，但在VT报毒中仍有6个警报。文章提供了完整的源代码，并包含了对watchdog库的使用，以实现目录监控和事件处理。

Windows漏洞利用 脚本攻击 文件监控 权限维持 后门技术 自动化攻击

0x6 Coremail邮箱客户端安装与账户配置（统信UOS信创版）

mailabc 2025-01-08 19:02:34

本文详细介绍了Coremail邮箱客户端的安装与账户配置过程，特别针对统信UOS v20信创环境下的安装配置方法进行了说明。Coremail邮箱客户端是一款面向企业级客户的邮箱客户端软件，支持多种操作系统，并具备实时同步通讯录、多帐号同步管理等功能。文章首先介绍了Coremail客户端的下载安装步骤，包括双击安装包、输入密码验证、完成安装等。接着，文章重点讲解了Coremail邮箱客户端的账号配置，包括选择邮件协议、输入接收服务器地址、设置安全证书等。对于未在Coremail公司备案或需要手动调整配置的用户，文章提供了详细的设置指导。最后，文章提醒了针对不同服务端和邮箱类型应选择合适的协议，并推荐了其他相关配置方法。

网络安全软件 邮件安全 跨平台安全 用户认证安全 数据同步安全 系统适配安全

0x7 2024年零日漏洞攻击的七大演变趋势

再说安全 2025-01-08 18:24:37

本文分析了2024年网络安全领域中的关键趋势，重点关注零日漏洞的利用情况。文章指出，由于没有可用的补丁，零日漏洞使攻击者在网络安全防御团队面前占据先机。文章详细列举了针对网络安全设备、远程监控与管理系统、托管文件传输系统、CI/CD工具、供应链和AI平台的攻击案例，强调了这些漏洞的严重性和创新性。文章还提到了安全功能绕过的问题，以及勒索软件团伙对SmartScreen提示的绕过技术。此外，文章呼吁网络安全团队关注这些趋势，并采取措施加强防御。

零日漏洞 网络安全设备 远程监控与管理 托管文件传输系统 CI/CD漏洞 供应链攻击 AI安全 安全功能绕过

0x8 ADB深入探究 (二)

安全脉脉 2025-01-08 18:08:57

本文深入探讨了Android设备与ADB服务器之间的通信协议。文章首先介绍了Host-to-device协议，该协议使用消息进行通信，与之前的协议不同，它不依赖于人类可读性，且可以通过TCP/IP或USB传输。文章详细解释了消息的结构，包括头部和数据的组成，以及如何通过Wireshark分析流量和设备响应。接着，文章描述了认证过程，包括设备连接到计算机时的认证机制，以及如何处理密钥指纹和公钥交换。此外，文章还讨论了如何在设备上运行命令，以及如何使用同步命令将文件推送到设备。最后，文章提供了通过ADB协议在设备上推送文件的协议概述。

协议分析 网络安全 USB安全 加密技术 数据传输 移动设备安全

0x9 【国际视野】卡巴斯基：EAGERBEE后门变种瞄准中东

天极智库 2025-01-08 18:00:15

卡巴斯基近日发布了针对EAGERBEE后门的详细分析报告。报告揭示了EAGERBEE后门的功能，包括服务注入器、插件编排器模块和相关插件。EAGERBEE后门被发现在中东地区的互联网服务提供商和政府机构中被部署。分析发现，攻击者使用了新颖的服务注入器来将后门注入运行中的服务，并部署了以前未记录的插件以支持恶意活动。后门能够收集系统信息，并具有执行日期和时间检查功能。EAGERBEE后门通过代理或直接连接到C2服务器进行通信，并能够下载插件以执行各种恶意活动。报告还讨论了EAGERBEE后门与CoughingDown威胁组织的潜在联系，并指出攻击者利用了ProxyLogon漏洞进行入侵。

后门分析 恶意软件框架 服务注入技术 插件技术 网络攻击分析 威胁情报 安全漏洞利用 内存驻留技术 恶意软件检测

0xa 警惕境外APT组织在GitHub投毒，攻击国内安全从业者、指定大企业

微步在线研究响应中心 2025-01-08 17:04:03

近期网络安全从业人员使用的某提权工具被植入后门，导致身份和数据泄露。经微步研判，此事件为东南亚APT组织“海莲花”利用GitHub发布带有木马的Cobalt Strike漏洞利用插件，针对网络安全人员进行的定向攻击。攻击者通过GitHub发布恶意项目，伪装成国内安全研究员，诱导受害者下载并使用带有后门的工具。攻击手法新颖，通过Visual Studio工程中的.suo文件执行恶意代码，具有隐蔽性。微步情报局已掌握攻击事件，并已定位到攻击者GitHub账号。此次攻击事件影响范围广，涉及国内多家安全相关公众号。攻击目的包括远程控制和情报窃密，对特定大型科技企业用户进行定向攻击。

APT攻击 定向攻击 GitHub投毒 开源项目攻击 恶意软件分析 安全从业者攻击 Visual Studio攻击 木马攻击 情报窃密 威胁情报

0xb ALPC 之殇 - 8月未知 Windows 在野提权 Nday 漏洞研究

奇安信威胁情报中心 2025-01-08 17:01:17

该漏洞样本分析报告揭示了微软补丁中修复的一个未知nday漏洞，该漏洞最早被上传时仅有6个查杀。漏洞利用涉及调用核心函数fun_vulstar进行系统版本判断和API函数地址获取，并通过新线程调用漏洞利用函数fun_expProc。fun_expProc进一步调用fun_IoRingandPipeinit，根据系统版本决定是否使用I/O ring提权方式。漏洞利用过程中，通过动态内存构造和NtAlpcSendWaitReceivePort函数调用，实现了对内核对象的修改，进而获取全局读写权限。分析发现，漏洞利用依赖于NtRegisterThreadTerminatePort和NtAlpcSendWaitReceivePort两个ALPC函数，并通过内存重用和指针修改实现了提权。该漏洞在2024年8月的微软补丁中被修复，利用过程中涉及多个系统函数和内核对象，揭示了复杂的攻击链和提权机制。

漏洞分析 微软漏洞 内核提权 ALPC通信 I/O Ring 内存破坏 Windows系统安全 威胁情报

0xc vulnhub靶场【DC系列】之6

泷羽sec-何生安全 2025-01-08 15:09:03

0xd Gayfemboy：一个利用四信工业路由0DAY传播的僵尸网络

奇安信XLab 2025-01-08 13:25:27

文章描述了名为Gayfemboy的僵尸网络的发展历程及其特性。该僵尸网络首次出现于2024年2月初，最初是基于Mirai源码的一个普通变种，但其开发者通过不断迭代更新，使它逐渐进化为一个具有0day漏洞利用能力的强大僵尸网络。Gayfemboy主要利用四信工业路由器的CVE-2024-12856漏洞以及其它未知漏洞进行传播，感染规模达到日活跃节点超过1.5万个，分布在中国、美国、伊朗等地。在2024年11月，安全研究人员注册了部分C2域名以监测Gayfemboy的行为，随后遭到来自该僵尸网络的报复性DDoS攻击。Gayfemboy支持多种DDoS攻击指令，并且具备自更新功能，可以下载新的恶意软件版本。它的样本使用了魔改UPX壳和独特的幻数，同时保留了Mirai的基本指令格式，但上线报文被修改为'gayfemboy'。此外，Gayfemboy还尝试隐藏自身进程，通过特定技术使得进程在/proc文件系统中不可见。最后，文章强调了DDoS攻击对网络资源构成的重大威胁，呼吁各方加强防御措施。

僵尸网络 Mirai变种 路由器漏洞 DDoS攻击 网络攻击分析 网络安全防护

0xe Java安全小记-Commons-Collections2反序列化

土拨鼠的安全屋 2025-01-08 12:00:47

文章详细分析了利用Apache Commons Collections4的cc2利用链进行远程代码执行（RCE）的过程。首先，文章指出由于版本差异，需要下载并添加commons-collections4的4.0版本依赖。接着，文章解释了利用链的调用方式，包括通过PriorityQueue的siftDownUsingComparator方法和TransformingComparator的compare方法触发RCE。文章还提供了两种调用方式，一种是修改comparator为TransformingComparator，另一种是通过动态加载字节码的方式触发RCE。文章中包含了详细的调用链和构造poc的步骤，并针对几个问题进行了分析和解答，包括如何避免在add方法中触发RCE，为什么只需要传入一个templates对象等问题。

Java反序列化漏洞 CommonsCollections4 安全漏洞利用 Transformer利用 反射攻击 代码审计 动态字节码加载 优先队列利用

0xf Java安全小记-Commons-Collections3反序列化

土拨鼠的安全屋 2025-01-08 11:36:00

0x10 CobaltStrike隐匿专题

红细胞安全实验室 2025-01-08 11:23:43

0x11 【漏洞与预防】RDP弱口令漏洞预防

solar专业应急响应团队 2025-01-08 10:47:49

0x12 PE-Loader/RDI的TLS之殇

ChainReactor 2025-01-08 10:30:47

0x13 Windows环境下JDK与Tomcat的安装与配置指南

网络个人修炼 2025-01-08 10:00:39

0x14 禅道的前世今生-上

天命团队 2025-01-08 09:00:46

0x15 Wireshark & Packetdrill | TCP 连接之 Keep-Alive

Echo Reply 2025-01-08 08:08:19

0x16 vulnhub靶场【DC系列】之5

泷羽sec-何生安全 2025-01-08 08:00:42

0x17 【应急响应】应急响应靶机训练-Web2

七芒星实验室 2025-01-08 07:03:55

0x18 Axios 的代理问题探究

NOP Team 2025-01-08 01:03:52

在最坚硬的石头上刻一朵小花

Web安全 环境变量安全 代理配置错误 Node.js安全 Electron安全 代理滥用 网络请求安全

0x19 干货 | 通过杀软白名单机制 击溃杀软进程 上线CobaltStrike

星落安全团队 2025-01-08 00:01:17

通过杀软白名单机制 读取360安全卫士、火绒5、火绒6、defender白名单信息

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

原文始发于微信公众号（洞见网安）：网安原创文章推荐【2025/1/8】