2025-03-13 微信公众号精选安全技术文章总览

洞见网安 2025-03-13

0x1 记一次双向认证绕过

湘安无事 2025-03-13 23:36:16

本文记录了一次针对金融App的双向认证绕过过程。作者在测试过程中发现App使用了双向认证，通过抓包发现无法抓取返回包，推测是服务端对客户端证书进行了校验。作者通过分析安装包中的证书文件，发现多个证书使用弱密码，并通过逆向工程定位到证书加载的入口。在尝试通过Hook获取密码的过程中，作者发现密码被SM4算法加密，最终通过Frida工具成功获取了密码并绕过了双向认证。文章详细描述了从抓包分析、寻找证书、逆向定位到密码获取的整个过程，并提供了相关的代码示例和工具使用方法。

网络安全测试 双向认证 证书破解 逆向工程 抓包分析 Android安全 密码学 漏洞挖掘

0x2 Wazuh4.7部署

安全孺子牛 2025-03-13 22:45:02

本文详细介绍了Wazuh 4.7版本的部署过程。文章首先概述了部署所需的硬件和操作系统要求，包括对CPU、内存和磁盘空间的具体要求，以及推荐的操作系统版本。接着，提供了不同操作系统版本的下载地址。文章接着描述了测试环境所需的资源，包括Wazuh服务器、代理和攻击测试机的配置。部署过程分为快速安装和基础配置两个阶段。快速安装阶段涉及时间配置、NTP设置、安装Wazuh安装助手、配置仓库地址、更新软件包列表以及运行安装脚本。基础配置阶段包括添加组管理、配置服务、编辑配置文件以及设置日志收集、邮件发送、策略监控、系统收集和漏洞检测等功能。最后，文章强调了配置完成后重启服务的重要性，并鼓励读者以学习为帆，以成长为岸，成为信息安全的坚守者。

网络安全监控 安全配置管理 操作系统安全 安全审计与合规 安全工具使用 数据安全 漏洞管理

0x3 Hacking a VW Golf EPS - Part 1

安全脉脉 2025-03-13 21:53:23

本文记录了作者对2010年大众高尔夫MK6电子动力转向（EPS）ECU固件的修改经历。文章介绍了项目背景，即车辆EPS的限制措施可能对安全造成影响，因此作者计划修改固件。文章详细描述了获取ECU零件编号、购买二手ECU、连接ECU与计算机进行诊断通信的过程。作者在连接过程中遇到了一些挑战，包括难以识别CPU类型和连接调试器。文章还探讨了ECU的内部结构，并提出了可能的CPU类型和调试方法。最后，文章介绍了使用Volkswagen Transport Protocol 2.0 (TP 2.0)建立通信的过程，并总结了第一部分工作的成果和下一步计划。

Car Hacking Reverse Engineering ECU Firmware Modification Security Research CAN Bus Security Open Source Automotive Security

0x4 Rust后门样本加载与传播方式演变过程分析

火绒安全 2025-03-13 20:26:05

本文分析了Rust语言在恶意软件中的应用及其传播方式。随着Rust在系统编程领域的广泛应用，基于Rust的恶意软件样本数量显著增长。Rust的特性，如直接访问硬件、内存安全特性、跨平台兼容性和高性能，使得恶意软件更难被检测和防御。文章详细探讨了Rust在恶意软件中的应用场景，包括Shellcode、Cobalt Strike、Rootkit等，并分析了最新捕获的Rust样本。这些样本通过MSI安装包、EXE可执行文件等方式传播，具有高隐蔽性和复杂性。文章还介绍了火绒安全软件在检测和查杀这些恶意样本方面的能力，并强调了用户及时更新安全软件的重要性。

Rust语言安全 恶意软件分析 内存安全 跨平台攻击 后门程序 反编译难度 Shellcode Rootkit 威胁情报 安全防护

0x5 Apache Tomcat远程代码执行漏洞(CVE-2025-24813)

安全技术达人 2025-03-13 19:09:02

本文详细介绍了Apache Tomcat远程代码执行漏洞（CVE-2025-24813）的相关信息。该漏洞存在于9.0.0.M1至11.0.204版本的Tomcat中，攻击者需要满足四个条件才能利用此漏洞。这些条件包括应用程序启用DefaultServlet写入功能、支持partial PUT请求、使用Tomcat的文件会话持久化以及包含存在反序列化漏洞的库。文章提供了漏洞复现的详细步骤，包括环境准备、依赖文件安装和配置修改等。此外，还提到了漏洞可能对应用程序造成的影响以及防范措施。

漏洞分析 Web服务器安全 Java安全 代码执行漏洞 反序列化漏洞 安全配置 漏洞复现

0x6 告别流量拦截！手把手教你配置哥斯拉动态特征

老鑫安全 2025-03-13 13:40:31

文章详细分析了哥斯拉恶意软件的HTTP请求特征。指出其请求中Host头位于数据包header顺序的后面，这是一个异常特征，有助于防御人员快速识别非正常请求。文章深入探讨了哥斯拉利用HttpURLConnection发送请求的不足，以及如何通过引入okhttp库来解决这个问题。详细描述了使用okhttp发送HTTP请求的方法，包括设置代理、构建请求体、处理header等。此外，文章还介绍了对响应的处理方法，包括处理header和读取数据。最后，讨论了如何修改常规请求方法以适应哥斯拉的行为。

恶意软件分析 网络攻击技术 安全防御策略 编程安全 代理服务器 Web安全 代码审计 开源软件

0x7 【漏洞复现】(CVE-2025-24813)Apache Tomcat 远程代码执行漏洞复现

Z0安全 2025-03-13 13:29:15

本文详细介绍了Apache Tomcat CVE-2025-24813远程代码执行漏洞的复现过程。文章首先声明了免责条款，提醒读者不要将技术用于非法测试。接着，文章介绍了漏洞的背景信息，包括漏洞触发条件、影响范围以及漏洞原理。漏洞触发条件较为苛刻，包括应用程序启用了DefaultServlet写入功能、支持partial PUT请求、使用Tomcat的文件会话持久化以及存在反序列化漏洞的库。文章还提供了漏洞环境搭建的步骤，包括配置web.xml和context.xml文件，以及添加存在漏洞的库文件。随后，文章通过Yakit工具展示了漏洞复现的过程，并分析了漏洞的原理。最后，文章给出了漏洞的修复建议，包括升级到最新版本和缓解方案，如禁用servlet写入功能并检查应用程序依赖库。

漏洞复现 Apache Tomcat 远程代码执行 安全漏洞 漏洞利用 安全配置 Java安全 代码审计

0x8 某APP加密解密

BH安全 2025-03-13 12:26:35

本文详细描述了对某APP的加密解密过程。首先，通过查壳工具发现APP使用了邦邦企业壳，并使用Frida进行逆向HOOK检测。在Frida反调试的情况下，通过hook open函数重定向文件读取，绕过反调试机制。接着，通过抓包分析数据包，使用objection工具搜索相关加密类，最终确定了加密类所在位置。通过hook加密类的handleRequestBody方法，成功获取到明文数据，实现了对APP加密解密机制的分析。文章还涉及了Frida脚本编写和Android Hooking技术的应用。

0x9 复现完毕 | Apache Tomcat远程代码执行，内含脚本（CVE-2025-24813）

犀利猪安全 2025-03-13 11:51:38

本文详细介绍了Apache Tomcat远程代码执行漏洞CVE-2025-24813的复现过程。文章首先声明了免责声明，强调了文章内容仅限于授权测试或学习使用，并明确了法律责任。接着，文章描述了该漏洞的背景，包括漏洞的发布日期、影响版本、漏洞描述和利用条件。文章详细说明了漏洞的产生原因、利用条件以及环境配置步骤，包括下载安装包、修改配置文件、下载依赖库等。最后，文章提供了漏洞复现的详细步骤，包括发送数据包、触发反序列化以及执行远程代码的过程。文章还提到了相关资源，如内部文库和群交流信息。

0xa APT攻击全链溯源：基于多阶段载荷投递的Windows 11定向渗透技术深度解构

Khan安全团队 2025-03-13 08:42:08

本文深入分析了基于多阶段载荷投递的Windows 11定向渗透技术，揭示了APT攻击的全链溯源。攻击者通过电子邮件发送伪装的压缩文件，利用Windows 11系统原生ZIP处理机制漏洞，以及命令行解释器绕过技术，成功植入恶意软件。文章详细解析了攻击向量的工程化分析，包括邮件载荷构造技术、Windows 11特性利用、以及多阶段攻击链技术。此外，还探讨了持久化技术，如启动项植入、防御规避技术等。通过案例分析，揭示了攻击者的通信流量、受感染主机的IP地址查询行为，以及攻击链中使用的工具和文件。

APT攻击 邮件钓鱼 恶意软件 Windows漏洞 社会工程学 多阶段攻击 持久化攻击 防御规避 网络监控

0xb vulnhub靶场之devguru靶机，两个cve的利用及复现

泷羽sec-何生安全 2025-03-13 08:31:03

本文详细记录了对devguru靶机的渗透测试过程。渗透测试者使用kali Linux作为攻击机，对靶机IP地址为192.168.10.12的虚拟机进行攻击。文章首先介绍了主机发现和端口扫描的步骤，使用nmap工具进行网络扫描和端口扫描，发现靶机开放了80端口和8585端口。随后，渗透测试者通过dirb工具进行目录爆破，发现并访问了.git目录，进一步获取了网站的源代码。通过GitHack工具，渗透测试者成功获取了数据库连接信息，并利用adminer.php工具连接到数据库。在80端口网站中，渗透测试者发现了命令执行漏洞，并通过构造特定代码成功反弹shell。在8585端口网站中，渗透测试者利用Gitea的Git钩子功能，通过post-receive和pre-receive钩子触发反弹shell。最后，渗透测试者通过sudo命令和CVE-2019-14287漏洞实现了权限提升。文章详细描述了每个步骤的技术细节，并提供了相关的命令和脚本。

靶场安全 主机发现 端口扫描 服务识别 漏洞扫描 网站安全 信息收集 渗透测试 漏洞利用 提权 开源安全 实战经验

0xc 深度揭秘 | “盲鹰”APT组织如何利用Windows漏洞和代码托管平台渗透哥伦比亚

技术修道场 2025-03-13 08:14:33

Check Point近期发布了一份关于“盲鹰”APT组织针对哥伦比亚的复杂网络攻击活动的深度报告。该组织自2024年11月开始攻击，并在12月达到高峰，受害者超过1600人。攻击者利用了微软NTLM漏洞（CVE-2024-43451）和鱼叉式钓鱼邮件进行社会工程学攻击。技术细节显示，攻击者迅速开发了漏洞变种，并使用了HeartCrypt、PureCrypter和Remcos RAT等多种工具。攻击者还利用Bitbucket和GitHub等代码托管平台分发恶意载荷，以逃避传统安全检测。报告强调了及时更新系统和软件、警惕可疑邮件、使用安全软件以及加强员工安全意识培训的重要性。

APT攻击 漏洞利用 社会工程学 代码托管平台攻击 远程访问木马 网络安全意识 安全补丁管理 安全检测与防范

0xd GoSearch 【数字足迹及泄露密码追踪 OSINT工具】

白帽学子 2025-03-13 08:11:50

本文介绍了GoSearch这款开源的数字足迹及泄露密码追踪OSINT工具。该工具通过自动关联BreachDirectory等泄露库，帮助网络安全人员快速定位员工在历史数据泄露中暴露的明文或哈希密码。文章详细描述了GoSearch的两个关键功能：智能邮箱生成和自定义检测规则。此外，还提到了GoSearch如何结合AD域账号自动生成检测任务，以及集成HudsonRock犯罪情报库的潜力。文章强调了数据泄露追踪、密码安全、数据加密技术、网络犯罪情报整合、多因素认证与权限控制、网络流量分析与威胁阻断等网络安全关键技术点，并提供了下载链接。

数据泄露追踪 密码安全 入侵检测 威胁情报 多因素认证 网络流量分析 安全工具 OSINT

0xe Wireshark TS | 关闭连接和超时重传

Echo Reply 2025-03-13 08:08:40

本文讨论了TCP超时重传机制在实际应用中的行为。文章首先介绍了TCP连接的两种关闭方式：优雅的关闭（四次挥手）和强制关闭（RST）。通过packetdrill脚本和tcpdump工具，作者模拟了数据段超时重传过程中上层应用主动关闭连接的情况。实验结果显示，在优雅关闭连接时，即使应用在重传间隔内关闭了连接，TCP连接仍然会尝试发送FIN包，但不会进行超时重传。而在强制关闭连接时，一旦发送了RST包，超时重传立即停止。文章通过具体的实验数据和抓包分析，详细解释了这两种情况下的TCP行为，并对TCP连接的关闭机制进行了深入探讨。

TCP协议分析 网络编程 网络安全测试 异常处理 Python脚本 Wireshark

0xf Windows应急响应及隐患排查

计算机与网络安全 2025-03-13 07:58:09

0x10 CTF web 解题思路

计算机与网络安全 2025-03-13 07:58:09

本文详细介绍了CTF Web类题目的解题思路。首先，通过信息收集阶段，包括查看网页源码、检查robots.txt文件、使用工具扫描目录和文件、检查HTTP响应头以及使用Wappalyzer识别网站技术栈，来收集目标网站的信息。接着，进行漏洞探测，寻找SQL注入、XSS、文件包含、文件上传漏洞、命令注入、SSRF、反序列化漏洞和逻辑漏洞等常见漏洞。在漏洞利用阶段，根据不同漏洞类型采取相应的利用方法，如SQL注入利用UNION SELECT提取信息，XSS注入恶意脚本窃取Cookie等。随后，目标是提升权限，可能涉及查找SUID/SGID文件、可写目录、内核漏洞或服务漏洞提权等。最后，获取Flag，可能位于网页源码、服务器文件系统、数据库表或环境变量中。文章还提到了常用的工具和技巧，如Burp Suite、sqlmap、dirb/gobuster、Wappalyzer、Postman、Nmap、ysoserial等，以及编码绕过、正则绕过、WAF绕过和盲注利用等技巧。整个解题流程概括为信息收集、漏洞探测、漏洞利用、权限提升和获取Flag。

网络安全 CTF Web安全 漏洞利用 代码审计 渗透测试 漏洞分析 安全工具 漏洞防御

0x11 CVE-2025-24813 Apache Tomcat 远程命令执行漏洞分析与总结

自在安全 2025-03-13 07:20:58

本文分析了CVE-2025-24813 Apache Tomcat远程命令执行漏洞。该漏洞影响特定版本的Apache Tomcat，通过未修复的executePartialPut函数，攻击者可以创建恶意文件并可能导致远程命令执行。漏洞利用需要满足特定条件，包括开启PUT模式、基于文件的Session持久化机制以及存在可利用的反序列化gadget。文章详细描述了漏洞的触发条件和利用方法，包括如何通过PUT请求创建特定的.session文件，并利用Session持久化机制和classpath环境中的gadget实现远程命令执行。同时，文章也强调了漏洞触发条件的苛刻性，并提醒使用相关信息可能导致的责任归属问题。

远程命令执行漏洞 Apache Tomcat 漏洞 漏洞分析 漏洞利用 软件安全 漏洞补丁 反序列化漏洞 配置安全

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

原文始发于微信公众号（洞见网安）：网安原创文章推荐【2025/3/13】