2025-03-17 微信公众号精选安全技术文章总览

洞见网安 2025-03-17

0x1 Android逆向内核攻防实战

哆啦安全 2025-03-17 22:00:55

本文详细介绍了Android内核的逆向攻防实战，涵盖了从Android 11至15版本的源码下载、编译，到系统ROM定制和绕过检测的方法。文章重点讲解了内核逆向攻击技术，包括逆向修改内核绕过反调试、动态调试与Hook技术、内核源码级攻击等。同时，也介绍了内核防御策略，如反调试机制强化、内核加固技术、安全启动与数字签名等。实战案例流程以绕过TracerPid为例，详细描述了提取内核、逆向分析、二进制修改、刷机验证等步骤。此外，文章还推荐了相关的逆向工具、内核处理工具和学习资料，并对攻防发展趋势进行了分析。

Android安全 内核安全 逆向工程 漏洞分析 安全防御 代码审计 编译技术 数字签名 云安全 实战教程

0x2 【OSCP】NullByte靶机渗透-sql注入-权限利用

泷羽Sec-track 2025-03-17 21:39:45

本文详细描述了对NullByte靶机的渗透过程，包括信息收集、Web渗透测试和权限利用等步骤。首先通过nmap和dirsearch工具发现靶机的开放端口和可用目录，接着利用hydra爆破工具获取了Web服务器的初始账户密码。通过抓包分析，发现存在SQL注入漏洞，利用注入技巧获取了数据库的用户名和密码。在尝试登录数据库失败后，通过设置环境变量和二进制文件提取技巧，最终获得了目标服务器的权限。文章还提到了在渗透过程中使用的一些工具和技术，如Burp插件、代码审计工具等，为网络安全学习者提供了实战参考。

渗透测试 靶机学习 SSH安全 SQL注入 密码爆破 权限提升 信息收集 Web安全 二进制安全

0x3 揭秘Windows网络登录的秘密：这项功能每天用却从不知道背后原理

HW安全之路 2025-03-17 21:34:51

本文深入探讨了Windows网络登录的原理和应用场景。文章首先介绍了什么是网络登录，即用户或计算机通过网络远程访问另一台计算机的方式，并解释了其在日常使用中的常见场景，如访问共享文件夹、远程管理服务器和连接远程打印机。接着，文章详细阐述了Windows网络登录的事件日志标识，包括成功登录和失败登录的事件ID。随后，文章介绍了Windows网络登录的身份验证机制，包括Kerberos、NTLM、TLS/SSL和Digest认证，并分析了LSASS进程在安全认证中的作用以及其安全性特点。最后，文章提出了提升Windows网络登录安全性的措施，如禁用NTLM认证、启用Windows Defender Credential Guard以及配置远程管理工具等，以帮助读者更好地理解和提升相关安全防护能力。

Windows登录机制 网络认证协议 安全日志分析 凭证保护 安全防护策略 网络安全攻击 远程访问安全

0x4 SRC漏洞挖掘之未授权漏洞挖掘实战指南

炽汐安全屋 2025-03-17 20:59:52

本文深入探讨了Web应用中常见的未授权访问漏洞，分析了其基本原理、分类、挖掘方法和防御策略。文章指出，未授权访问漏洞通常源于权限验证不足或配置错误，可能导致攻击者绕过权限检查，访问敏感数据或功能。文章详细介绍了未授权访问漏洞的分类，包括垂直权限绕过、水平权限绕过、基于URL的未授权访问和功能级未授权访问。针对这些漏洞，文章提出了挖掘步骤，包括识别敏感资源和功能、分析访问控制机制、手动测试和自动化工具辅助。此外，文章还列举了常见的绕过方法，如修改请求头、参数篡改和路径遍历攻击。最后，文章提供了真实案例分析，并提出了严格的身份验证和授权、基于角色的访问控制、输入验证与过滤、安全配置管理、日志监控与异常检测以及使用安全框架等防御策略，以帮助开发者提升系统的防护能力。

Web安全 漏洞挖掘 权限控制 防御策略 安全配置 自动化工具 安全框架 日志监控

0x5 应急响应实战：windows日志evtx 文件分析

小话安全 2025-03-17 20:49:56

本文主要介绍了在Windows系统中如何通过分析EVTX日志文件进行应急响应。文章详细说明了如何直接在Windows系统中打开EVTX文件进行分析，并提供了事件日志ID的过滤方法，例如过滤登录成功事件（4624）、用户账户属性修改事件（4738）和文件访问事件等。同时，文章列举了安全事件、系统事件、应用程序事件和其他关键事件的详细分类和ID，为网络安全学习者提供了丰富的实战经验。

应急响应 日志分析 事件日志 Windows安全 网络安全 攻击检测

0x6 Stratus Red Team：云攻击模拟 + 日志分析 + 检测规则

SecLink安全空间 2025-03-17 19:31:14

Stratus Red Team是一个用于云环境攻击模拟的框架，支持AWS、Azure、GCP和Kubernetes等平台。该框架旨在帮助安全团队验证其检测能力，通过模拟真实攻击场景，如创建IAM后门用户，来测试云安全措施。文章详细介绍了如何安装Stratus Red Team，包括使用Go、Homebrew、预编译二进制文件、Docker和asdf等多种方法。此外，文章还演示了如何使用Stratus Red Team进行攻击模拟，包括创建后门IAM用户，并分析了相关的CloudTrail日志。文章还提供了使用Splunk和Elasticsearch查询日志的示例，以及如何利用SOAR进行自动化响应的建议。总结中强调了Stratus Red Team在模拟攻击、日志查询和自动化响应中的重要性，并鼓励读者进行实践以提升云安全防护能力。

云安全 红队攻击 日志分析 检测规则 SIEM 自动化响应 AWS安全 IAM安全 Splunk Elasticsearch

0x7 记一次某校情平台水平越权，导致全校学生信息泄露

太乙Sec实验室 2025-03-17 19:21:57

本文记录了一起某校情平台水平越权事件，导致全校学生信息泄露的情况。文章首先介绍了信息收集过程中使用的工具，包括子域名挖掘机、OneForAll、subDomainsBrute、Sublist3r等，以及网络空间测绘工具如360 Quake、奇安信鹰图、ZoomEye和Shodan。接着，文章详细描述了通过Google语法搜索特定文件类型和内容的方法，以及如何通过信息收集获取某校官网的获奖名单和校情数据智能平台的学生信息。文章指出，通过修改URL路径进行垂直越权，可以访问专家账号的功能，并通过Fuzz测试获取全校学生的个人信息。最后，文章强调了对此类事件的关注，并提醒用户确保操作符合法律法规和道德规范。

网络安全漏洞 信息收集工具 子域名枚举 数据泄露 漏洞利用 漏洞报告 安全意识 教育安全

0x8 代理配置管理

安全孺子牛 2025-03-17 17:54:04

本文主要介绍了代理配置管理的相关操作。首先，介绍了如何通过Wazuh管理端升级代理，包括查看需要升级的代理、升级指定代理以及查看代理详情。接着，讲述了如何在平台删除代理，包括在Wazuh服务器上通过输入R删除代理并查看删除结果。然后，详细说明了在不同操作系统上卸载代理的方法，包括Ubuntu和CentOS系统的卸载步骤以及Windows系统的卸载方法。最后，提醒读者关注信息领航，学创未来。

网络安全配置管理 代理服务器管理 系统管理 命令行工具 操作系统安全

0x9 Netgear WN604无线路由器siteSurvey.php存在未授权访问漏洞

不懂知识的小白 2025-03-17 17:41:17

本文讨论了Netgear WN604无线路由器中存在的一个未授权访问漏洞。该漏洞通过访问未授权页面'/siteSurvey.php'可以暴露路由器的一些配置接口。文章提醒读者，该信息仅供学习用途，并强调不要利用文中提供的技术进行非法测试。作者对于因使用该信息造成的任何后果不负责任。

无线路由器漏洞 未授权访问 安全测试 安全漏洞分析 网络设备安全

0xa 路由器安全研究｜D- Link DIR-823G v1.02 B05 复现与利用思路

蚁景网络安全 2025-03-17 17:36:50

本文详细分析了D-Link DIR-823G v1.02 B05路由器中存在的命令注入漏洞。文章首先介绍了漏洞的基本情况，即攻击者可以通过POST请求发送特定构造的请求到/HNAP1路径，从而执行任意操作系统命令。接着，作者通过binwalk工具提取固件，并深入分析了固件的启动项和服务。文章重点讲解了如何通过分析固件中的init.d目录和rcS文件来了解固件的启动过程和服务配置。随后，作者使用grep工具搜索了固件中的HNAP1请求和goahead服务相关信息，并介绍了GoAhead WebServer的相关知识。通过Ghidra工具进行逆向分析，作者找到了漏洞点，并详细解释了漏洞的成因和攻击步骤。最后，文章介绍了如何使用firmadyne和firmware analysis plus（fap）框架进行固件模拟，并展示了如何编写和执行攻击代码来复现漏洞。

固件安全 命令注入漏洞 逆向工程 网络安全 漏洞复现 Web服务器安全 网络安全工具

0xb 20个精选Burp Suite插件集合，渗透测试必备！

Z0安全 2025-03-17 16:26:58

本文旨在为网络安全学习者提供一份精选的Burp Suite插件集合，以辅助进行Web应用安全测试。文章首先强调了合法使用技术的重要性，并提醒读者遵守网络安全法律法规。随后，文章介绍了Burp Suite插件的基本功能和优势，并详细列举了20款精选插件，包括ShiroScan、sqlmap4burp++、FastjsonScan、log4j2scan、Logger++、BurpAPIFinder等，每款插件都附带了项目地址，方便读者下载和使用。文章还提供了插件安装的教程，并简要介绍了每个插件的功能和适用场景，旨在帮助网络安全人员提升渗透测试的效率和质量。

网络安全工具 Web应用安全 渗透测试 Burp Suite插件 漏洞检测 代码审计 漏洞利用 红队/蓝队工具 自动化测试 XSS漏洞

0xc PikaY-一款开源的内存和文件威胁检索工具

事件响应回忆录 2025-03-17 16:00:25

本文介绍了一款名为PikaY的开源内存和文件威胁检索工具。PikaY基于Yara工具，解决了Yara在批量扫描文件或进程时的不便。文章详细描述了如何使用go-yara绑定Yara，实现批量扫描功能。编译PikaY需要MingW64环境，并提供了下载和安装步骤。文中还包含了配置环境变量、安装依赖、下载Yara源码、编译和安装Yara的详细指令。此外，还提供了如何配置GO环境变量以及如何编译和运行PikaY的步骤。文章最后提到了扫描文件和进程的规则来源，并指出Yara规则中可能识别为恶意的文件，仅作测试使用。

开源工具 威胁检测 Yara规则 内存扫描 文件扫描 编译环境 安全开发

0xd 【Fscan】| POC与指纹编写

半只红队 2025-03-17 13:07:59

本文主要介绍了Fscan工具的POC（漏洞利用代码）与指纹编写方法。Fscan集成了600+个POC，并新增了3000+个指纹，主要针对内网监控、运维等设备。文章详细解释了如何编写基于实际情况的POC，包括HTTP请求包的构成、WebPOC的基本格式、如何指定多个headers以及如何使用expression键进行返回包规则验证。此外，文章还介绍了POST WebPOC的格式、特征值expression的用法，以及如何使用fscan内置的函数如base64Decode、hex、url编码等。文章还讨论了Set规则、groups规则、follow_redirects规则、search规则和detail规则的使用，以及如何添加指纹信息到Fscan中。最后，文章简要介绍了Fscan圈子，一个专注于红蓝对抗、武器免杀与二开的学习社区。

网络安全工具 漏洞利用 Web安全 编程语言 红蓝对抗 技术分享 安全社区

0xe 免杀对抗从0开始（八）

泾弦安全 2025-03-17 12:38:54

本文深入探讨了网络安全领域中的免杀对抗技术，特别是通过修改内存属性来加载shellcode的方法。文章首先介绍了内存属性的概念和VEH（向量异常处理）的作用，以及它们在提高程序安全性和防止恶意攻击中的重要性。接着，详细解释了如何通过设置内存属性为不可访问来加载shellcode，并利用VEH来接管内存空间，使得shellcode能够执行而不会被杀软检测。文章还讨论了内存属性的基本和特殊属性，以及如何使用PAGE_GUARD和PAGE_NOACCESS属性来实现类似的功能。最后，总结了使用PAGE_NOACCESS替代PAGE_GUARD的优点，即更难被安全软件检测到。

内存安全 免杀技术 逆向工程 安全研究 漏洞利用 防御机制

0xf (0day)漏洞预警 | Eking管理易系统任意文件下载漏洞

深潜sec安全团队 2025-03-17 10:35:56

Eking管理易系统被发现存在一个高危的任意文件读取漏洞。该漏洞允许未经身份验证的攻击者读取服务器上的任意文件，从而可能获取到敏感信息。漏洞影响所有版本的Eking管理易系统，目前尚未有公开的漏洞利用代码（POC）。官方尚未发布修复版本，建议用户升级到安全版本以避免风险。需要注意的是，任何未经授权的测试或利用漏洞的行为，其后果由使用者承担。

漏洞预警 任意文件读取漏洞 高危漏洞 系统安全 信息泄露 漏洞修复 网络安全

0x10 Escalate_Linux靶机详解

泷羽Sec-pp502的安全笔记 2025-03-17 10:34:38

本文详细介绍了Escalate_Linux靶机的渗透测试过程。首先通过arp-scan和nmap进行主机发现和端口扫描，发现靶机开放了多个端口。接着使用dirb工具进行目录枚举，并通过爆破php后缀路径获得了低权限shell。通过命令拼接执行成功后，尝试了多种提权方法，包括suid提权、全局环境变量劫持提权、计划任务提权、爆破密码提权、vi提权、openssl提权、sudo提权和mysql提权。文章中详细描述了每一步的操作和原理，为网络安全学习者提供了实用的渗透测试经验。

网络安全靶机 主机发现 端口扫描 目录枚举 命令执行 反弹shell 提权攻击 密码爆破 环境变量劫持 计划任务提权 sudo提权 数据库提权 工具使用 实战分析

0x11 不重启Windows系统修改远程桌面端口

生有可恋 2025-03-17 10:11:57

文章介绍了在不重启Windows系统的情况下修改远程桌面端口的方法。通常，修改远程桌面端口需要重启系统以使设置生效。然而，通过重启远程桌面服务，可以避免重启整个系统。文章详细说明了如何通过注册表修改远程桌面端口，并提供了相关的服务名称，如SessionEnv、Remote Desktop Configuration、TermService、UmRdpService等。此外，文章还提供了通过命令行重启远程桌面服务的具体步骤，包括停止和启动TermService服务，以及如何使用netstat命令检查新的端口是否生效。

Windows系统安全 远程桌面安全 系统配置修改 服务管理 命令行工具使用

0x12 Library Card System最新SQL注入漏洞（CNVD-2025-03328、CVE-2025-1356）

护卫神说安全 2025-03-17 09:42:19

Library Card System是一个图书馆管理系统，负责用户借阅权限和记录的管理。该系统存在一个SQL注入漏洞，漏洞编号为CNVD-2025-03328和CVE-2025-1356，该漏洞由card.php文件中id参数缺少对SQL语句的验证引起。攻击者可能利用此漏洞执行非法SQL命令，窃取数据库中的敏感数据。目前，厂商尚未发布修复补丁，但建议使用第三方安全产品如『护卫神·防入侵系统』的SQL注入防护模块来缓解风险。此模块不仅能防护SQL注入漏洞，还能防护XSS跨站脚本攻击，对Library Card System系统的其他安全漏洞也有一定的拦截效果。漏洞于2025年2月21日被国家信息安全漏洞共享平台公布。

0x13 事件响应-Linux 备忘单

三沐数安 2025-03-17 08:35:35

本文详细介绍了在Linux系统中进行事件响应的方法和步骤。文章首先定义了事件响应的概念，强调了对可疑系统和潜在漏洞区域的关注。随后，文章分步骤阐述了事件响应的具体操作，包括用户帐户日志条目的检查、系统资源的调查、服务的分析、网络活动的监控以及文件系统的审查。具体操作涉及使用多种命令和工具，如cat、find、grep、lastlog、free、top、ps、iptables等，以收集和分析系统信息，识别异常行为，并实时取证。文章旨在帮助网络安全学习者掌握Linux系统中的事件响应技巧，提升网络安全防护能力。

事件响应 入侵检测 Linux安全 日志分析 系统资源监控 进程管理 网络监控 文件权限 命令行工具

0x14 Fake CAPTCHA攻击链样本分析

安全分析与研究 2025-03-17 08:30:34

本文详细分析了Fake CAPTCHA攻击链的样本。文章首先介绍了Fake CAPTCHA攻击的活跃情况，并推荐了相关开源项目。接着，从实战应用角度出发，分析了黑客组织如何利用该技术进行钓鱼链攻击和安装恶意软件。文章对攻击链样本进行了详细分析，包括初始PS脚本、下载的恶意脚本、恶意程序的执行过程、恶意代码的解密与执行、以及最终的恶意软件类型。文章强调了恶意软件攻击的普遍性和黑客组织的活跃性，提醒用户时刻保持警惕，并介绍了安全分析与研究团队对全球恶意软件的分析和研究工作。

恶意软件分析 钓鱼攻击 恶意脚本 远程攻击 逆向工程 APT攻击 安全威胁情报

0x15 vulnhub靶场之secarmy靶机，建议打靶一遍，涉及范围广，把要学习的都涉及了

泷羽sec-何生安全 2025-03-17 08:30:18

本文详细记录了在secarmy靶机上的网络安全实战过程。通过Kali Linux作为攻击机，作者使用多种工具和技术进行渗透测试。文章首先介绍了靶机和攻击机的配置，包括IP地址和虚拟机环境。接着，作者通过arp-scan和nmap等工具进行主机发现和端口扫描，收集了目标主机的详细信息。在信息收集阶段，作者利用nmap的脚本功能检测潜在漏洞，并通过FTP和HTTP服务进一步探索。通过目录爆破和密码猜测，作者成功登录FTP服务，并获取了用户密码。之后，作者使用hydra工具进行密码爆破，成功登录SSH服务。文章还涉及了文件下载、解压缩、解码、流量包分析、脚本编写和socat转发流量等技能。最后，作者通过缓冲区溢出漏洞，以root权限获取了靶机的控制权，并总结了这个实战过程涉及的关键技能和知识点。

靶场测试 网络安全学习 主机发现 端口扫描 漏洞扫描 FTP渗透 Web应用渗透 密码爆破 文件解析 编码解码 流量分析 脚本编写 缓冲区溢出 权限提升

0x16 简单制作免杀上线CS的ASP脚本

潇湘信安 2025-03-17 08:30:14

本文主要介绍了一种针对ASP脚本的免杀方法，以绕过安全软件的查杀。文章首先声明了内容来源和转载规定，并提醒读者不要利用技术从事非法测试。接着，作者以火绒为例，说明了ASP脚本被查杀的特征，并介绍了如何通过简单混淆绕过查杀。随后，作者推荐了使用VBScrambler工具进行VBScript代码混淆的方法，并展示了如何将混淆后的VBScript脚本转换为ASP代码。文章还测试了混淆后的脚本在360、火绒和Defender等安全软件中的免杀效果，并指出Defender虽然静态扫描未查杀，但在执行时会被AMSI拦截。最后，文章鼓励读者继续学习网络安全知识。

网络安全脚本 免杀技术 恶意软件 安全工具 脚本混淆 漏洞利用 安全防护

0x17 BucketVulTools 【存储桶配置不当漏洞检测插件】

白帽学子 2025-03-17 08:11:47

云存储安全 漏洞检测 自动化工具 Burpsuite插件 指纹识别 入侵检测 网络安全防护

0x18 深入剖析：朝鲜APT37利用KoSpy间谍软件渗透Google Play，技术手段与防护

技术修道场 2025-03-17 08:06:51

网络安全公司Lookout披露，朝鲜黑客组织APT37利用名为KoSpy的安卓间谍软件通过至少五款恶意应用渗透Google Play和APKPure。这些恶意应用伪装成常用工具，窃取用户隐私数据，自2022年3月活跃。APT37通过虚假广告、短信/即时消息链接和水坑攻击等方式传播恶意应用。KoSpy请求大量权限，包括监控用户操作、读取短信和通话记录、获取位置等。该软件使用Firebase Firestore作为数据中转站，通过C2服务器进行远程控制，并使用AES加密窃取数据。文章分析了APT37的技术手段、攻击流程和反检测技术，并提供了安全建议。

APT攻击 Android安全 移动端安全 恶意软件分析 Google Play安全 隐私数据窃取 云安全 反检测技术

0x19 msi打包的银狐样本分析

ChaMd5安全团队 2025-03-17 08:00:55

本文对一份名为银狐的病毒样本进行了详细分析。样本来源为卡饭论坛，文件类型为MSI。分析过程中发现，该样本在释放文件时，倾向于将文件放置在%APPDATA%目录下，这是一种可疑行为。进一步分析发现，运行MSI程序后，会弹出setup.exe，该文件用于伪装。样本中的11UCore.dll文件被确认为恶意文件，通过动态调试发现，该DLL使用APC注入当前线程，并从ProgramData目录下获取加密数据文件11UCore.cpy，使用密钥mysecretkey解密后，又是一个无导出函数的DLL。最终，通过rc4解密update.cab文件，确认样本为银狐病毒。文章还提供了C2地址和IOC信息，并介绍了ChaMd5 Venom团队在网络安全领域的招新信息。

病毒分析 恶意软件分析 安全漏洞 逆向工程 威胁情报 网络安全防护 样本分析 微步云沙箱

0x1a 内网初探【Frp穿透】

夜风Sec 2025-03-17 08:00:17

本文介绍了使用Frp（Fast Remote Procedure Call）工具进行内网穿透的基本方法和案例。首先，文章概述了Frp工具和环境准备，包括下载Frp工具和配置公网服务端和内网客户端。接着，通过一个CS上线案例，展示了如何配置Frp服务端和客户端，实现将本地端口映射到远程端口，并通过监听器进行连接和上线。文章还介绍了如何使用Frp建立socks节点进行信息搜集，以及如何配置Proxifier使用Frp作为socks代理。此外，还讨论了端口映射转发的方法，用于信息收集和访问服务端资源。最后，文章提供了一些配置示例，包括服务端和客户端的配置文件，以及Proxifier的配置步骤。

网络安全工具 内网穿透 信息收集 端口转发 后门生成 代理服务器 渗透测试

0x1b C3P0 反序列化链 & 不出网利用

Heihu Share 2025-03-17 02:52:57

本文详细分析了C3P0库中存在的反序列化漏洞及其利用方法。文章首先介绍了C3P0库中的PoolBackedDataSourceBase类和ReferenceIndirector类，并解释了其与Serializable接口的关系。接着，文章深入探讨了writeObject和readObject方法中的逻辑，揭示了漏洞的成因。通过分析，作者指出该漏洞可以利用JNDI注入进行远程类加载，但也可以通过URLClassLoader实现不出网利用。文章还提供了构造POC的步骤，包括本地构造和写入序列化数据到硬盘的方法。最后，文章讨论了如何在不使用JNDI注入的情况下进行远程类加载，并介绍了如何使用Tomcat和C3P0库进行环境搭建和姿势复现。

反序列化漏洞 JNDI注入 代码审计 Java安全 安全漏洞利用 安全开发 Web应用安全 安全工具

0x1c JCG-JHR-N835R-后台命令执行漏洞

骇客安全 2025-03-17 00:08:42

命令执行漏洞 后台漏洞 登录凭证泄露 漏洞利用 网络设备安全

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

原文始发于微信公众号（洞见网安）：网安原创文章推荐【2025/3/17】