2025-01-23 微信公众号精选安全技术文章总览

洞见网安 2025-01-23

0x1 kioptrix-1靶机的补充

泷羽sec-何生安全 2025-01-23 22:44:28

0x2 EvilNotion深度分析-剑指境内红队的强对抗定向攻击

M01N Team 2025-01-23 18:04:02

近期，境外攻击组织针对国内Cobalt Strike技术生态圈发起定向供应链攻击。攻击者伪造红队开发者账号，在GitHub平台上传多个武器化工具项目

0x3 创宇安全智脑 | 泛微OA ReceiveTodoRequestByXml XML实体注入等97个漏洞可检测

创宇安全智脑 2025-01-23 17:33:05

创宇安全智脑是基于知道创宇16年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台

0x4 很好SCA规则，爱来自Syntaxflow

Yak Project 2025-01-23 17:30:34

本文主要介绍了SyntaxFlow工具在网络安全中的应用，特别是在依赖关系分析和漏洞检测方面的功能。文章首先解释了如何使用SyntaxFlow内置的变量__dependency__来获取依赖信息，包括版本和文件信息。接着，详细说明了如何使用version_in语法来定义版本区间，以便检测依赖版本是否落在特定的漏洞版本范围内。文章还提供了一个使用SyntaxFlow内置规则进行安全审计的示例，展示了如何通过脚本生成SCA规则，以及如何利用CVE信息库进行CVE合规的自动生成。最后，文章以yakit工具为例，演示了如何生成和测试针对特定依赖库的CVE合规规则，并提供了Yak语言和Yakit工具的官方资源链接。

网络安全工具 依赖关系管理 安全漏洞检测 静态代码分析 CVE合规性 脚本自动化 Java安全 版本控制

0x5 『漏洞复现』XXL-JOB 默认 accessToken 身份绕过 RCE 漏洞分析及复现

宸极实验室 2025-01-23 17:00:57

本文详细分析了XXL-JOB分布式任务调度平台中存在的默认accessToken身份认证绕过RCE漏洞。文章首先介绍了XXL-JOB的基本功能和accessToken的作用，随后阐述了漏洞成因，包括默认accessToken、accessToken验证缺失和accessToken泄露等问题。接着，文章分析了受影响版本，并对漏洞环境进行了说明。随后，通过代码分析，揭示了漏洞的执行流程和攻击者可能利用的路径。文章还提供了漏洞复现的详细步骤，包括使用DNSLog进行探测和反弹shell等操作。最后，文章提出了批量漏洞挖掘的方法和修复建议，包括修改默认accessToken、加强accessToken验证、防止accessToken泄露和及时更新版本等，旨在帮助用户提高系统的安全性。

漏洞分析 RCE漏洞 身份认证 XXL-JOB 漏洞复现 安全工具 安全防护 网络安全

0x6 技战法：巧用黑客攻击手法，被动积累技能

太乙Sec实验室 2025-01-23 16:19:59

本文介绍了网络安全学习者如何通过实战演练来提升技能。文章首先声明了实验环境的搭建和使用限制，强调实验内容仅限于学习和研究。接着，文章描述了近期云服务器遭受频繁攻击的情况，并介绍了如何通过部署蜜罐（如HFish和科来蜜罐）来收集攻击数据。文章详细解释了蜜罐的工作原理，包括如何通过MySQL蜜罐捕获攻击者的IP和读取本地文件。此外，文章还提供了溯源黑客的思路，包括获取Windows用户名、微信ID、微信号和手机号的方法，以及如何进行IP定位。最后，文章鼓励读者关注更多相关知识和技能提升的内容。

蜜罐技术 黑客攻击手法 网络安全研究 安全防护 威胁情报 IP定位 实战案例分析

0x7 哥斯拉二开从0到1-4(流量优化)

Cloud Security lab 2025-01-23 15:06:19

本文主要介绍了网络安全工具哥斯拉在流量优化方面的改进。作者在前文中提到了动态免杀和基于时间的密钥动态处理，在此基础上，进一步探讨了如何将用户代理（UA）和数据包内容动态化，以增加攻击的隐蔽性。文章详细说明了如何在哥斯拉中修改代码，实现左右追加数据的动态化，并通过随机生成键值对来增加混淆。此外，作者还介绍了如何优化请求头，包括随机选择User-Agent和Accept-Language，以及添加X-Forwarded-For头部来迷惑检测设备。最后，文章总结了这些改进措施，并提到了后续版本中可能添加的新功能，如木马的免杀和动态密钥。作者还鼓励读者参与社区，共同改进和优化工具。

动态免杀技术 数据包篡改 用户代理（UA）伪装 响应头优化 X-Forwarded-For欺骗 网络安全测试工具 网络流量分析 加密技术

0x8 App对抗系列—应用检测对抗

不止Security 2025-01-23 15:05:26

本文介绍了App对抗系列中的应用检测对抗策略。首先说明了应用检测的重要性以及隐私保护的需要。文章详细阐述了如何使用Hide-My-Applist模块来对抗应用检测，包括安装LSPosed框架、启用隐藏应用列表模块、设置黑名单等步骤。此外，还介绍了如何将隐藏列表应用于特定应用，以防止恶意软件检测到敏感信息。最后，提供了工具下载链接和相关往期精彩内容。文章旨在帮助网络安全学习者了解和应用对抗应用检测的技术，提高安全防护能力。

应用安全 移动安全 隐私保护 恶意软件检测 安全工具 Xposed框架 Magisk Android安全

0x9 图形化-Windiows日志分析工具

土拨鼠的安全屋 2025-01-23 11:38:33

本文介绍了WindowsLog_Check V3.4版本的日志分析工具的主要更新和功能。该工具解决了之前版本中数据库锁定的问题，并增加了日志数据的关键字筛选功能。此外，还新增了对系统日志、应用程序日志和安全性日志的部分展示，以及威胁检索子功能的弹窗提示。V3.4版本在运行时会自动分析工具目录下的Eventlog.db文件，减少重复分析日志的时间。免责声明提醒用户，此工具仅限安全研究使用，使用者需自行承担相关法律责任。文章还介绍了V3.3版本的更新，包括将命令行界面换成GUI操作，增加内存字符串检索、文件联动微步分析、MD5值检索和样本企微同步功能。V3.3版本还改变了日志存储和查询逻辑，将日志存于SQLite数据库中，并增加了兼容性优化。文章还详细介绍了工具的原理，包括使用Go调用Windows API获取日志信息，并存储到数据库中。最后，文章提到了工具的内存检索、微步MD5分析、文件同步等高级功能，以及如何使用该工具来分析主机信息，如进程列表、用户信息、任务计划和服务信息。

日志分析工具 网络安全 Windows系统 数据库应用 GUI工具 威胁检测 安全研究 开源软件

0xa 【病毒分析】“美杜莎”勒索家族：从入侵到结束的全流程深度解析

solar应急响应团队 2025-01-23 09:28:32

文章深入解析了名为Medusa的勒索软件即服务（RaaS）家族，自2021年6月活跃，并在2023年初因活动升级而闻名。Medusa主要针对Windows环境，攻击集中在美国、英国等国家，影响医疗保健、制造业等多个行业。该勒索软件通过Tor网络进行通信，设有数据泄露页、详情页和谈判页，用于展示受害者信息并进行赎金谈判。病毒文件47386EE20A6A94830EE4FA38B419A6F7.exe使用msvc编译，大小为626KB，采用AES-256加密算法，对不同大小的文件有不同的加密策略。感染途径包括钓鱼邮件和web漏洞利用。一旦感染，病毒会遍历文件夹，根据白名单规则加密文件，并留下勒索信要求支付赎金以恢复文件。Medusa还会结束安全软件进程和服务，删除卷影备份，确保无法轻易恢复数据。此外，文章还提到了病毒启动后的具体行为流程，如读取命令行参数定制行为、设置PowerShell执行策略、加载密钥、加密文件及最后可能的自删除。文章最后提供了多个参考资料链接，以及solar安全团队处理过的其他常见勒索病毒案例，强调了防护措施的重要性，包括定期更新补丁、备份数据等。

勒索软件 RaaS Windows攻击 暗网活动 数据泄露 加密算法 逆向工程 安全防护 恶意软件分析

0xb vulnhub靶场【kioptrix-1】靶机

泷羽sec-何生安全 2025-01-23 08:03:05

0xc 内网渗透之DNS隧道构建使用

七芒星实验室 2025-01-23 07:01:04

DNS协议作为一种难以被禁用的网络协议，因其报文穿透防火墙的能力，成为攻击者构建隐蔽隧道通信的主流渠道。在僵尸网络和APT攻击中，DNS隧道扮演着重要角色，用于管理僵尸网络和进行APT攻击的C&C服务器（命令及控制服务器）通过DNS隧道进行通信。文章介绍了DNS隧道的工作原理，即利用DNS协议的查询和应答机制，将数据封装在DNS请求中传输。DnsCat2和Iodine是两种常用的DNS隧道工具，它们通过预共享密钥进行身份验证，并支持加密通信和多个会话。DnsCat2工具可以用于内网安全演练，而Iodine工具则支持16个并发连接，并具备强制密码机制等多种安全特性。文章还提供了DnsCat2和Iodine的安装和使用步骤，以及相关安全链接推荐。

DNS隧道 网络安全 内网渗透 C&C通信 隐蔽通道 攻击工具 漏洞利用 防御策略

0xd 你的口令安好？2024年超十亿口令失窃

网空闲话plus 2025-01-23 06:55:34

近日，Outpost24公司的旗下的Specops Softwares发布了其关于2024年度口令安全最新的研究报告，报告分析了通过恶意软件窃取的10.89亿条口令数据，揭示了当前口令安全的现状、攻击者的手段以及组织如何降低口令风险。

0xe 【oscp】vulnix靶场：smtp用户名枚举，finger协议，ssh爆破，nfs挂载，ssh公钥写入，nsf提权

泷羽Sec-尘宇安全 2025-01-23 02:51:21

本文详细介绍了在Hacklab-Vulnix靶场进行OSCP（Offensive Security Certified Professional）备考的过程。文章首先概述了靶场的背景和涉及的挑战，包括SMTP用户名枚举、Finger协议、SSH爆破、NFS挂载、SSH公钥写入和NSF提权。作者通过nmap扫描识别了开放的服务端口，并使用smtp-user-enum工具进行SMTP用户名枚举。接着，通过SSH爆破获得了低权限shell，并利用NFS服务进行提权。文章还详细描述了如何通过SSH公钥写入提升权限，并最终成功获取root权限。此外，文章还提供了学习资源和交流群的链接，方便读者进一步学习和交流。

渗透测试 靶场练习 漏洞利用 提权 Nmap Hydra NFS SSH OpenSSH 漏洞扫描

0xf Burpsuite之token绕过

泷羽Sec-Z1eaf 2025-01-23 02:33:19

本文深入探讨了在网络安全领域，特别是身份认证和授权系统中Token的作用。Token作为一种验证用户身份和权限的字符串，其动态变化特性为系统提供了额外的安全性。文章以Burpsuite工具为例，详细介绍了如何绕过Token限制。首先解释了Token的基本概念和其优点，如无状态性、跨域通信能力和灵活性。接着，通过具体的操作步骤，包括抓包、添加宏、设置规则等，展示了如何在Burpsuite中实现Token的绕过。最后，文章说明了如何利用爆破模块配合Token绕过进行测试，并提供了相应的设置和注意事项，以确保绕过过程的有效性和安全性。

网络安全防护 身份认证 漏洞分析 渗透测试 Web应用安全 漏洞利用 工具使用

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

原文始发于微信公众号（洞见网安）：网安原创文章推荐【2025/1/23】