2025-01-09 微信公众号精选安全技术文章总览

洞见网安 2025-01-09

0x1 一个sso登录就这么水灵灵的绕过了？

爱国小白帽 2025-01-09 18:03:33

本文探讨了通过SSO登录平台的安全漏洞进行绕过的过程。作者首先发现登录平台的验证码可以轻松绕过，随后通过尝试忘记密码功能，发现登录账号与工号直接关联，从而简化了爆破过程。通过抓包分析，发现验证码和登录包是分开验证的，这使得直接爆破成为可能。作者成功绕过空密码登录机制，进而登录多个系统。在信息搜集过程中，通过内网邮箱找到了VPN使用教程，获得了内网网段和连接地址等信息。作者利用这些信息，成功登录到分配的IP地址，并通过文档中提到的192段定位到了资产。最终，通过利用域内弱口令机器，作者抓取了hash值，获得了域管权限。文章强调了在网络安全测试中，发现漏洞并利用漏洞的过程，同时也提醒了安全防护的重要性。

SSO安全漏洞 密码爆破攻击 信息搜集 内网渗透 弱口令利用 安全测试 安全漏洞分析

0x2 Windows | 利用VS项目.suo文件的定向钓鱼攻击事件分析

TahirSec 2025-01-09 18:00:53

2024年10月，攻击者使用名为0xjiefeng的GitHub账号发布了一个利用.suo文件的钓鱼项目，针对国内安全研究人员进行攻击。.suo文件是Visual Studio解决方案用户选项文件，以二进制格式存储，包含未公开结构的数据。攻击者在VsToolboxService流中植入了可疑的反序列化数据，该数据被解码后释放下一阶段的payload到公共用户目录，并设置自启动注册表项来确保持久性。恶意程序通过合法签名的TraceIndexer.exe加载TTDReplay.dll，后者通过Notion API通信执行命令。此次攻击被归因于东南亚APT组织“海莲花”。微软认为打开VS项目不安全但非安全问题，而.suo文件解析的反序列化漏洞被认为不会被修复。攻击利用了.suo文件默认隐藏、自动运行和自动保存的特点。防护措施包括谨慎对待下载的VS项目，检查并删除.vs隐藏文件夹，以及调整信任检查设置。

钓鱼攻击 APT攻击 社会工程学 代码执行 反序列化漏洞 供应链攻击 持久化攻击 隐蔽数据

0x3 创宇安全智脑 | 四信通信工业路由器 apply.cgi 远程命令执行（CVE-2024-12856）等90个漏洞可检测

创宇安全智脑 2025-01-09 17:53:29

创宇安全智脑本周更新了90个漏洞插件，其中包括9个重点漏洞。这些漏洞涉及多个系统和平台，如明源云ERP、朗速ERP、湖南建研工程检测系统、爱数AnyShare智能云盘管理平台等，主要风险包括SQL注入、任意文件读取、信息泄露和远程命令执行等。这些漏洞可能导致敏感数据泄露、数据库篡改或系统权限获取。建议受影响用户及时更新系统，使用参数化查询、预编译语句、白名单访问控制等安全措施来防范攻击。创宇安全智脑提供了全生命周期的外部攻击面管理能力和实时更新的漏洞情报数据，助力用户快速定位威胁并降低安全风险。

远程命令执行 SQL注入 服务端请求伪造 任意文件读取 信息泄露 安全智能平台 漏洞监测与响应 外部攻击面管理

0x4 警惕！伪装Telegram Premium的安卓恶意软件FireScam窃取数据并控制设备

技术修道场 2025-01-09 16:53:25

一款名为FireScam的安卓恶意软件伪装成Telegram Premium应用，通过仿冒俄罗斯流行应用商店RuStore的钓鱼网站传播。该恶意软件通过多阶段感染，首先诱导用户下载一个名为“GetAppsRu.apk”的恶意APK文件，然后安装主要恶意负载。FireScam能够窃取用户的通知、消息、应用数据等敏感信息，并通过Firebase实时数据库发送。此外，它还获取设备的各种权限，包括远程控制设备。恶意软件会伪造登录页面，窃取用户登录凭据。Cyfirma安全公司指出，FireScam使用了多种混淆和反分析技术，并监控用户的各种活动。安全建议包括谨慎下载应用程序，仅从官方应用商店下载，安装安全软件并及时更新，以及定期检查应用权限。

恶意软件攻击 信息窃取 伪装应用 钓鱼网站 远程控制 移动安全 安全建议

0x5 CS Arsenal-kit免杀套件

kali笔记 2025-01-09 15:39:05

本文介绍了如何使用CobaltStrike官方提供的Arsenal Kit免杀套件来替代原生Artifact Kit，以实现免杀效果。文章首先说明了CS框架自带的payload已无法实现免杀，并提到了之前提到的免杀方式较为复杂。接着，文章详细描述了如何下载、解压Arsenal Kit套件，并修改配置文件arsenal_kit.config来设定绕过方式和内存分配方式。此外，还介绍了如何修改图标信息以及如何打包CS插件。最后，文章指导读者如何在CobaltStrike中导入插件，并创建监听和生成Payload。虽然未测试其他杀毒软件的效果，但强调了了解免杀原理和学习思路的重要性。

网络安全工具 免杀技术 CobaltStrike 漏洞利用 配置修改 逆向工程 安全研究

0x6 ROP 绕过数据执行保护(Bypass DEP)

泷羽Sec-Cicdl 2025-01-09 13:10:00

本文详细介绍了如何在操作系统开启数据执行保护（DEP）的情况下，利用ROP（Return-Oriented Programming）技术绕过DEP保护，实现程序流程的劫持。文章以WIN7操作系统和VulnServer靶机为例，通过触发异常、定位偏移量、排除坏字节、寻找跳转指令、编写shellcode等步骤，展示了如何挖掘和分析漏洞，并最终实现ROP攻击。文章还介绍了如何启动和关闭DEP保护，以及如何生成和利用ROP链。此外，文章还简要介绍了DEP的原理和ROP利用的原理，为读者提供了深入理解和实践网络安全技术的基础。

缓冲区溢出 ROP攻击 数据执行保护（DEP） 漏洞挖掘 漏洞利用 逆向工程 Windows安全 网络安全实践

0x7 【漏洞预警】Redis Lua 远程代码执行漏洞

企业安全实践 2025-01-09 09:30:25

本文针对Redis数据库中存在的一个高危漏洞进行了详细描述。该漏洞存在于具有Lua脚本功能的Redis版本（2.6及以上版本）中，允许经过身份验证的攻击者通过构造恶意的Lua脚本控制垃圾回收器，从而实现远程代码执行。受影响的版本包括7.2.0至7.2.7、2.6至6.2.17以及7.4.0至7.4.2。官方已发布修复版本，建议受影响用户尽快升级至安全版本。目前没有提供临时的缓解方案，但可以通过使用ACL来限制EVAL和EVALSHA命令的执行作为临时解决方案。文章还提供了官方修复信息、CVE详情和相关链接，以供进一步参考。

Redis漏洞 远程代码执行 高危漏洞 数据库安全 版本更新 安全修复 开源软件安全

0x8 无独有偶，通过.NET反序列化漏洞实现 Visual Studio 钓鱼攻击

dotNet安全矩阵 2025-01-09 08:20:35

近期，网络安全领域发生了一起利用Visual Studio反序列化漏洞的攻击事件。攻击者通过植入恶意.suo文件和利用.NET的反序列化漏洞，在开发者打开Visual Studio项目时触发攻击，从而实现定向攻击和敏感数据窃取。攻击方式包括将恶意代码嵌入到资源文件（.resx）中，当开发者打开项目时，Visual Studio自动加载资源文件并触发反序列化，执行恶意代码。文章详细分析了攻击原理、执行过程，并提供了防范措施。同时，文章还介绍了.NET安全矩阵星球的资源，包括社区、专栏文章、工具库等，以帮助开发者提高安全意识，防范类似攻击。

.NET反序列化漏洞 Visual Studio攻击 APT组织海莲花 .NET安全防范

0x9 vulnhub靶场【DC系列】之7

泷羽sec-何生安全 2025-01-09 08:01:25

本文详细记录了在DC-7靶机上进行的一次网络安全学习和渗透测试过程。作者使用kali Linux作为攻击机，通过VMware虚拟化软件进行实验。文章首先介绍了信息收集阶段，使用arp-scan和netdiscover工具扫描同一局域网内的主机，并使用whatweb确认目标主机运行的是Drupal 8 CMS。接着，作者尝试了多种方法来寻找漏洞，包括目录爆破、密码破解、注入测试和代码审计。在代码审计过程中，作者发现了一个指向GitHub项目的线索，通过搜索找到了目标系统的数据库用户名和密码。使用这些凭证尝试登录后，作者发现登录失败，但成功登录了SSH服务。在提权过程中，作者尝试了多种方法，包括利用SUID权限文件和备份脚本，但最终通过Drush工具和PHP模块的安装成功获取了www-data用户的权限，并最终提权至root。文章最后总结了整个渗透测试过程中的关键点和经验教训，并鼓励读者加入网络安全学习社区。

网络安全靶场 信息收集 CMS漏洞利用 SQL注入 暴力破解 代码审计 提权 Drush工具使用 反弹shell 漏洞利用工具 安全测试

0xa 警惕！“Eagerbee”后门攻击席卷中东，政府机构和互联网服务提供商成目标

技术修道场 2025-01-09 08:00:18

卡巴斯基研究人员近期发现一种名为“Eagerbee”的恶意软件框架变种在中东地区针对政府机构和互联网服务提供商发起攻击。该恶意软件曾由中国国家支持的黑客组织“Crimson Palace”使用，此次攻击可能与“CoughingDown”威胁组织有关。攻击者可能利用微软Exchange ProxyLogon漏洞入侵目标系统，通过DLL劫持技术在内存中植入后门。Eagerbee后门具备多种功能模块，包括文件管理、进程管理、远程访问管理、服务管理和网络管理等，能够在受感染系统上执行广泛恶意操作。安全建议包括修补Exchange服务器漏洞、参考攻击指标发现攻击并加强网络安全防护。

恶意软件攻击 政府机构攻击 ISP攻击 后门攻击 漏洞利用 中东地区安全 全球影响 网络安全防护

0xb 应急响应靶机训练-Web3

七芒星实验室 2025-01-09 07:01:41

本文详细介绍了应急响应靶机训练系列中的WEB3靶场的基本情况。该靶场旨在通过模拟真实的网络安全应急响应场景，帮助学习者掌握必要的网络安全技能。文章首先介绍了靶机的环境构建过程，包括下载靶机并使用VMware Workstation打开，以及登录账号和密码。接着，文章详细描述了三个具体的解题步骤：定位攻击者的两个IP地址、发现攻击者隐藏的用户名称，以及寻找三个攻击者留下的flag。在解题过程中，作者使用了D盾进行查杀扫描、Apache日志分析、计划任务检索等方法。最后，文章总结了通过该靶场学习到的关键技能，并推荐了相关阅读材料。

网络安全靶场 应急响应 IP地址追踪 Webshell检测 日志分析 后门检测 漏洞利用 安全工具 安全分析

0xc 【蓝队CTF-1】Brutus_auth.log&wtmp

Zacarx随笔 2025-01-09 07:00:23

本文介绍了网络安全实验“蓝队CTF-1”中的Brutus_auth.log&wtmp日志分析任务。实验旨在通过分析Unix系统中的auth.log和wtmp日志文件，追踪一个通过SSH服务对Confluence服务器进行的暴力破解攻击。文章详细解释了这两个日志文件的用途和包含的字段信息，包括auth.log中用户登录、切换用户等认证活动以及wtmp文件中登录、注销等事件。实验中，攻击者成功访问服务器并执行了其他活动，如权限升级、持久化和命令执行。文章还指导如何使用utmpdump工具解码wtmp文件，并回答了一系列与日志分析相关的问题，如攻击者的IP地址、成功破解的账户、手动登录时间戳、SSH会话编号、新创建的账户名称、持久化技术的MITRE技术编号以及攻击者使用的sudo命令等。

Unix系统安全 日志分析 入侵检测 取证分析 网络攻击 权限维持 漏洞利用 安全响应

0xd 攻防靶场(34)：隐蔽的计划任务提权 Funbox1

OneMoreThink 2025-01-09 01:36:13

本文介绍了攻防靶场中的Funbox1靶场的渗透过程。渗透者首先通过ARP协议获取靶机IP地址，并进行全端口扫描、服务扫描和版本扫描，发现FTP、SSH、HTTP等服务。接着，渗透者通过扫描WordPress后台账号并爆破密码，成功获得admin和joe两个账号的权限。通过修改WordPress插件内容触发反弹shell，渗透者获得了www-data用户权限。使用joe用户密码登录SSH服务，成功获得joe用户权限。最后，渗透者通过分析计划任务，发现系统中存在定时执行的备份脚本，并通过在脚本中插入反弹shell命令，实现了对funny用户和root用户的提权。整个渗透过程涉及侦查、初始访问和权限提升等多个阶段，展示了如何通过多种手段逐步获取目标系统的高权限访问。

靶场测试 权限提升 漏洞利用 Web安全 计划任务攻击 反弹Shell 信息收集 Linux安全

0xe 抓包神器，特别是APP，Android和iOS | API调试+API测试一站化解决方案，Reqable介绍+使用

泷羽Sec-尘宇安全 2025-01-09 00:28:42

本文详细介绍了Reqable，一款新一代的API调试和测试工具，它集成了流量分析和API测试的核心功能，旨在提高程序开发和测试人员的生产力。Reqable支持全平台（Windows、Mac、Linux、Android和iOS），具有免登录、轻量级、高性能和无广告等优点。文章中详细描述了Reqable的功能，包括多协议流量分析、丰富的过滤选项、创建请求测试、请求响应对比、重写、断点和脚本等功能。此外，还介绍了如何使用Reqable对Flutter移动应用进行抓包调试，包括环境准备、安装证书、配置网络安全文件、使用Proxifier强制代理抓包等步骤。文章还提到了其他网络安全工具和资源，如PotatoTool、VulToolsKit、fscan全家桶等，以及OSCP+培训的相关信息。

网络安全工具 中间人攻击（MITM） 抓包分析 证书安装与信任 API测试 移动应用安全 网络安全培训 渗透测试 安全社区

0xf 蓝凌OA任意文件读取(在野)

Kokoxca安全 2025-01-09 00:15:58

本文揭示了蓝凌OA系统中存在的任意文件读取漏洞，该漏洞存在于thirdImSyncForKKWebService接口中。攻击者可以利用此漏洞获取系统敏感信息。漏洞的触发条件是SOAP协议中的XOP扩展，如果服务器端SOAP框架支持XOP且未禁用file://协议，攻击者可以在SOAP请求中插入特定的payload来读取任意文件。文章详细描述了漏洞的指纹信息、复现过程，并提供了相应的漏洞payload示例。此外，文章还指出kmImeetingBookWebService接口中也存在类似的漏洞，通过count参数可以触发文件读取。作者提醒读者，技术文章仅供参考学习，不得用于非法测试和违法行为，使用者需自行承担后果。

任意文件读取 SOAP协议 Web服务安全 XOP扩展 文件包含漏洞 安全公告 POC (概念验证)

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

原文始发于微信公众号（洞见网安）：网安原创文章推荐【2025/1/9】