2025-04-25 微信公众号精选安全技术文章总览
洞见网安 2025-04-25
0x1 Honeypot 蜜罐系统 - honeypot
GSDK安全团队 2025-04-25 23:55:54
本文介绍了基于Go语言开发的分布式蜜罐系统Honeypot,该系统旨在用于网络安全监测、攻击行为捕获与分析。Honeypot系统由多个组件构成,包括Agent代理服务,负责网络流量捕获与分析、非监听端口扫描检测和高交互服务流量转发;Server组件,提供高交互服务、多协议服务模拟(如SSH、MySQL、Redis和Web)以及攻击者行为记录和真实IP提取与追踪;LogServer组件,负责集中日志接收与存储,并提供API认证与安全控制;MongoDB用于数据持久化,支持攻击行为分析。需要注意的是,该工具仅供安全研究与学习之用,使用者需自行承担法律及连带责任。
蜜罐技术 Go语言 分布式系统 网络安全监测 攻击行为分析 多协议服务模拟 日志服务 数据持久化 API安全
0x2 Tomcat Multipart类型参数处理
安全之道 2025-04-25 23:04:59
本文详细分析了Tomcat服务器在处理请求时对multipart/form-data类型请求参数的解析过程。文章首先介绍了Tomcat如何调用org.apache.catalina.connector.Request#parseParts方法处理请求参数,并解释了当请求的Content-Type为multipart/form-data时,如何调用org.apache.catalina.connector.Request#parseParts方法。接着,文章深入探讨了parseParts方法中的核心逻辑,包括如何处理Multipart请求参数,如何在临时目录生成对应参数的临时文件,以及如何将参数的请求值拷贝到这些临时文件中。此外,文章还分析了org.apache.tomcat.util.http.fileupload.FileUploadBase#parseRequest方法的调用过程,以及org.apache.tomcat.util.http.fileupload.disk.DiskFileItemFactory如何创建FileItem并生成临时文件。最后,文章指出了临时文件名的生成机制,并强调了在控制器处理请求时,这些临时文件是存在于磁盘上的。
Tomcat 安全漏洞 文件上传漏洞 Multipart 解析 Web 应用安全 临时文件管理
0x3 最新版 ThinkPHP (8.1.2) 反序列化漏洞挖掘
Heihu Share 2025-04-25 20:53:34
本文分析了ThinkPHP 8.1.2版本中的反序列化漏洞。文章首先介绍了环境搭建过程,包括PHP和ThinkPHP版本的安装。接着,作者创建了一个控制器用于触发反序列化漏洞,并详细分析了漏洞的触发条件和利用链路。文章重点分析了两个不同的利用场景:任意文件写入和远程命令执行。在任意文件写入场景中,作者通过全局搜索相关方法,找到了文件写入操作。在远程命令执行场景中,作者通过分析类和方法,找到了可以利用的方法和属性,最终实现了远程代码执行。文章还讨论了如何绕过disable_function限制,并提供了相应的POC代码。整个分析过程详细且步骤清晰,为网络安全学习者提供了宝贵的学习材料。
PHP漏洞 代码执行 漏洞挖掘 ThinkPHP 反序列化攻击 安全研究 安全工具
0x4 SideCopy APT组织利用开源远控进行攻击-样本分析记录
红蓝攻防研究实验室 2025-04-25 19:00:32
本文详细分析了通过邮件投递的恶意软件攻击样本。样本包含一个伪装成PDF的LNK文件,该文件指向一个远程的恶意hta脚本。脚本经过混淆,解混淆后显示其包含两个payload数据。第一个payload用于绕过.NET反序列化安全机制,而第二个payload包含核心恶意逻辑。分析发现,恶意软件会释放和打开一个PDF诱饵文件,并释放后续攻击组件zuidrt.pdf。zuidrt.pdf进一步释放Myapp.exe,该程序从资源中读取数据进行操作。Myapp.exe提取并解密一个.NET二进制文件,最终执行一个名为DevApp.exe的木马程序,该程序包含C2配置信息。文章最后提供了相关的IOCs(指标和威胁情报)。
恶意软件分析 钓鱼攻击 文件伪装 hta脚本 .NET反序列化漏洞 持久化攻击 加密技术 远程控制木马 APT攻击
0x5 尽快更新Redis,最新漏洞可导致服务器遭受拒绝服务攻击(CVE-2025-21605)
天翁安全 2025-04-25 18:15:00
本文介绍了Redis数据库的最新安全漏洞CVE-2025-21605,这是一个高危漏洞,可能导致服务器遭受拒绝服务攻击。漏洞源于Redis配置中输出缓冲区大小的限制不足,攻击者可以通过未经认证的客户端滥用这一特性,导致服务耗尽内存资源。该漏洞无需认证即可触发,可远程利用,攻击复杂度低,可能完全耗尽系统内存资源。Redis官方已发布补丁,建议用户尽快更新到指定版本。同时,文章还提供了临时缓解措施,如限制网络访问、强制使用TLS和网络隔离等,以及检测漏洞的潜在迹象。
Redis漏洞 拒绝服务攻击 内存耗尽 软件更新 网络安全 漏洞披露 安全补丁 临时缓解措施
0x6 一起进程隐藏的SSH横向挖矿事件
草蛇灰线马迹蛛丝 2025-04-25 18:00:25
本文记录了一起利用SSH暴破进行横向挖矿的网络安全事件。事件中,攻击者通过SSH横向移动在内网服务器上部署挖矿进程,并通过挂载隐藏技术将挖矿进程的PID信息从进程列表中移除。作者详细描述了事件背景、现场排查过程,包括挖矿进程的发现、挖掘矿池地址的确认、挂载点的处理、攻击者入侵行为的追踪等。文章还讨论了隐藏挖矿进程的原理和技术手段,如挂载点隐藏、库文件劫持、配置劫持、rootkit和eBPF等。最终,作者确定了攻击源头和攻击者通过SSH映射到公网的行为,并对可能被感染的其他服务器进行了排查。
网络安全事件分析 SSH暴力破解 横向移动攻击 进程隐藏 挖矿攻击 内网安全 日志分析 安全响应
0x7 SDL序列课程-第39篇-安全需求-登录注册需求-深入剖析:登录后的安全卫士——URL跳转白名单策略
软件开发安全生命周期 2025-04-25 17:49:01
本文深入探讨了网络应用中登录成功后的URL跳转机制所潜在的安全风险。文章指出,看似便捷的URL跳转功能,如果处理不当,可能成为攻击者利用的突破口,如钓鱼网站、恶意软件传播和访问控制绕过等。为了抵御这类攻击,文章强调了白名单策略的重要性,即只允许跳转到预先定义的可信URL列表。文章提供了Java代码示例,展示了如何实现白名单的基本功能。此外,文章还讨论了实施白名单策略时可能遇到的挑战,如白名单范围与用户体验的平衡、白名单的管理和维护、白名单自身的安全性以及处理相对URL的问题。最后,文章提出了一套综合防御策略,包括强制实施白名单、使用内部跳转标识、利用HTTP状态码、加强内容安全策略和用户安全教育,以构建一个既安全又用户友好的重定向流程。
URL跳转攻击 开放重定向 白名单策略 安全编码实践 网络安全防御 用户体验与安全平衡 白名单维护 安全配置 安全意识教育 多层防御策略
0x8 分享常见的逻辑漏洞挖掘方法(第一部分)
LA安全实验室 2025-04-25 17:33:49
本文针对网络安全学习者,详细介绍了逻辑漏洞挖掘的方法。文章首先阐述了逻辑漏洞的定义,指出其是由于应用程序设计或实现上的错误导致的,攻击者可以通过合法功能的不预期使用来获取非法利益或破坏系统运行。接着,文章重点介绍了两种常见的逻辑漏洞:越权漏洞和任意用户注册漏洞。越权漏洞包括横向和纵向两种类型,文中通过实际代码示例展示了如何通过修改参数实现越权操作。任意用户注册漏洞则是因为应用程序在用户注册过程中缺乏足够的验证和限制机制,导致攻击者可以无限制创建新用户账户。文章最后提到,还有其他逻辑漏洞,如任意密码重置和支付漏洞,将在后续文章中进行演示。
网络安全 逻辑漏洞 漏洞挖掘 越权漏洞 任意用户注册漏洞 密码重置漏洞 支付漏洞 WAF 安全检测工具 开发安全
0x9 国家护网行动如何防止不被打穿?战前篇
信息安全笔记 2025-04-25 17:03:50
本文深入探讨了国家护网行动中的备战策略,强调了提前准备的重要性。文章指出,许多企业在护网行动开始前才进行备战,这往往导致容易受到攻击。作者建议至少提前一个月开始准备,包括资产梳理、暴露面管理、漏洞治理、安全培训、安全有效性验证和应急预案等方面。文章详细介绍了每个阶段的任务,如使用专业工具进行网络空间测绘、收敛暴露面、修复已知漏洞、进行安全培训以提升员工安全意识、验证安全措施的有效性以及制定应急预案以应对可能的攻击。文章还强调了在护网期间可能面临的攻击手段,如钓鱼攻击、水坑攻击和近源攻击,并提供了相应的防御措施。
网络安全策略 攻防演练 资产安全 漏洞管理 员工安全意识 应急响应 安全设备与工具 安全培训
0xa 「Burp插件」AutoFuzz让挖洞变easy!!!
浩凯信安 2025-04-25 15:42:18
本文介绍了一款名为AutoFuzz的Burp插件,该插件旨在提高安全测试的效率。AutoFuzz能够自动识别请求中的参数,并根据预设的payload进行逐个发包测试。文章详细说明了插件的安装步骤和主要功能,包括基本功能的启用、监听Proxy和Repeater捕获请求、清空请求记录等。此外,文章还介绍了如何设置域名/IP、添加payload、编辑和删除payload以及设置Auth Header等。AutoFuzz还支持查找功能和右键菜单发送到插件,无视域名/IP范围和去重限制。文章最后回答了关于AutoFuzz的一些常见问题,并提到了插件正在完善中的功能,如接口去重、缓存Payload、优化多参数下的右键等待时间等。
网络安全工具 Burp Suite插件 自动化测试 漏洞挖掘 安全测试 代码审计
0xb 【漏洞预警】泛微 E-cology 远程代码执行漏洞
太乙Sec实验室 2025-04-25 15:12:05
本文由太乙Sec实验室发布,对泛微E-cology企业级协同办公自动化系统中的一个高危远程代码执行漏洞进行了预警。该漏洞编号为CNVD-2025-07886,公开日期为2025年4月22日,危害级别被评定为高。漏洞类型为命令执行漏洞,通过SQL注入链实现远程代码执行。受影响的产品版本包括所有小于10.74的e-cology版本,尤其是部署在互联网边界的e-cology服务器风险极高。官方已发布修复方案,建议用户升级至10.74及以上版本,并提供了补丁下载链接。同时,文章提醒用户在进行操作前备份数据库和系统文件,并在升级后验证版本号。
远程代码执行漏洞 SQL注入 企业级应用安全 身份认证漏洞 系统权限提升 漏洞预警 安全修复建议
0xc 内网篇 |【干货】探秘高版本系统:密码抓取技术与方法解析,建议收藏!!!
零日安全实验室 2025-04-25 13:11:43
本文详细介绍了网络安全领域中的几种密码抓取技术。首先,文章概述了在高版本Windows系统(如Windows 10、Windows 8、Windows 11、Windows 2012、Windows 2016)中,由于系统安全策略的改变,传统的密码抓取方法不再有效,因为这些系统中内存中不再存储明文密码。接着,文章介绍了通过修改Wdigest注册表来获取系统密码的方法,该方法适用于Windows 2012、Windows 2016和Windows 10系统,攻击者需要通过修改注册表来允许在内存中存储明文密码,并在用户重新登录后进行抓取。此外,文章还介绍了内存注入SSP(Security Support Provider)来获取系统密码的技术,这种方法同样适用于上述系统,通过注入恶意的SSP到内存中的Lsass进程,可以记录明文密码。最后,文章还提到了将SSP添加到注册表中的方法,以实现系统重启后依然能够获取明文密码。文章中包含了详细的操作步骤和命令,以及注意事项,为网络安全学习者提供了实用的技术参考。
密码抓取 Windows系统安全 内存注入 注册表修改 Mimikatz工具 安全漏洞利用 渗透测试
0xd 某GPS定位系统存在前台SQL注入漏洞
星悦安全 2025-04-25 12:26:13
本文分析了某GPS定位系统存在的前台SQL注入漏洞。该系统通过手机端强制打开GPS,定期获取用户位置信息,并将数据提交至后台数据库。后台使用PHP处理数据,并通过百度地图API绘制轨迹。研究发现,/userActivity.php页面在处理POST请求时,未对参数进行过滤,直接将参数拼接到SQL查询中,导致SQL注入漏洞。攻击者可以利用该漏洞执行任意SQL语句。文章提供了漏洞复现的步骤和示例Payload,并提醒读者该系统可能存在攻击性,仅供安全研究与教学之用。
SQL注入 代码审计 渗透测试 系统安全 通用漏洞 漏洞利用 安全研究 教学案例
0xe 警惕!APT组织利用ESET软件漏洞悄然植入恶意软件
紫队安全研究 2025-04-25 12:00:49
近期,网络安全领域再次敲响警钟,APT组织ToddyCat利用ESET软件中的一个漏洞(CVE-2024-11859)成功植入恶意软件。该漏洞属于DLL搜索顺序劫持问题,攻击者可利用管理员权限加载恶意动态链接库并执行代码。卡巴斯基研究人员发现,攻击者使用了一种名为TCESB的C++工具,该工具能够绕过保护工具,悄然执行有效载荷。TCESB利用DLL代理技术运行恶意代码,而ESET的命令行扫描器(ecls)在加载version.dll时存在安全隐患,导致恶意DLL有机会被加载。ESET已于2025年1月修复了该漏洞。此次事件凸显了网络安全形势的严峻性,提醒企业和机构需密切关注软件漏洞信息,及时更新安全防护措施。
0xf 【在野利用】SAP NetWeaver MetadataUploader 文件上传漏洞(CVE-2025-31324)
安全探索者 2025-04-25 11:56:43
↑点击关注,获取更多漏洞预警,技术分享0x01 组件介绍 SAP NetWeaver是SAP的集成技术
SAP 漏洞 文件上传漏洞 零日漏洞 CVSS评分10.0 企业安全 安全补丁 漏洞利用
0x10 实战阻止SQL Server提权入侵
护卫神说安全 2025-04-25 10:13:15
本文详细介绍了如何防止SQL Server数据库管理系统遭受提权入侵。首先强调了SQL Server在企业级数据管理中的广泛应用及其潜在的安全隐患。文章指出,通过禁用xp_cmdshell功能、及时打上安全补丁、对运行身份进行降权以及部署专业的安全防护系统是提高SQL Server安全性的关键措施。具体操作包括在SQL Server查询分析器中执行禁用xp_cmdshell的脚本、确保安装必要的补丁KB3171021、在SQL Server配置管理器中更改登录身份、推荐使用《护卫神.防入侵系统》进行安全防护,以及如果可能的话,关闭SQL Server的默认端口以阻止未授权访问。
数据库安全 SQL注入防护 权限管理 安全补丁 入侵检测与防御 系统配置 端口安全
0x11 每周高级威胁情报解读(2025.04.18~04.24)
奇安信威胁情报中心 2025-04-25 10:03:00
与 Konni 组织相关的多阶段恶意软件活动分析;UTG-Q-017:“短平快”体系下的高级窃密组织;APT-C-27(黄金鼠)新攻击武器曝光;TaxOff组织利用Chrome零日漏洞发动攻击
0x12 渗透测试实战—利用防火墙突破网络隔离
网安日记本 2025-04-25 09:44:26
本文详细记录了一次渗透测试实战,其中通过发现并利用华为防火墙的配置漏洞,成功突破网络隔离并进入内网。文章首先介绍了测试背景和资产发现过程,指出通过IP扫描发现了配置有华为USG防火墙的站点。接着,文章详细描述了如何登录防火墙后台,创建测试账户和自定义安全策略,包括创建服务、配置接口和设置SSL VPN规则。最后,介绍了如何使用SecoClient工具连接VPN,成功接入内网并进行渗透测试。文章强调了合法合规进行渗透测试的重要性,并提醒读者不要利用文章中的技术进行非法测试。
0x13 一种利用路径变形绕过权限校验的思路:那些容易被忽视的 .NET 漏洞触发点
dotNet安全矩阵 2025-04-25 08:36:04
.NET 安全漏洞 代码审计 路径变形攻击 身份认证绕过 红队打点 安全测试
0x14 Hawkeye Windows综合应急响应工具
白帽学子 2025-04-25 08:11:37
防火墙技术 数据加密技术 入侵检测与防御 身份认证技术 零信任架构 应急响应 开源工具 红队演练 恶意软件分析
0x15 全网最全!FastJSON 静态规则图鉴,写了就能查!
季升安全 2025-04-25 08:10:59
0x16 nginxWebui后台任意文件读取漏洞&rce分析-0day&nday
深潜sec安全团队 2025-04-25 08:10:40
免责声明免责声明:文中所有涉及的内容均不针对任何厂商或个人,同时由于传播、利用文中所发布的技术或工具造成的任何
0x17 【工具推荐】一款图形化Windows应急工具
小白爱学习Sec 2025-04-25 08:00:26
网络安全工具 应急响应 事件响应 DFIR Windows安全 Go语言开发 Yara扫描 API调用 图形化界面 数据复制
0x18 在Yakit “浏览器”中添加本地插件
进击的HACK 2025-04-25 07:50:52
本文详细介绍了如何在Yakit浏览器中添加本地插件的方法。首先,作者声明了文章内容仅供安全学习交流使用。文章中提到,由于Yakit浏览器的免配置特性,传统方法添加插件不可行。作者通过两种方法实现了插件添加:第一种是通过修改Yakit的sqlite数据库文件,添加新的参数来绕过限制;第二种方法则是复制Yakit启动的命令行,修改插件路径后重新配置。文章还提到,Yakit对用户输入的参数名进行严格校验,但对从数据库中获取的参数名则没有进行严格校验,这为添加插件提供了可能。最后,作者总结了一个关于系统设计的观点,即对外部输入严格校验,对内部数据信任度较高,这可能是导致某些安全漏洞的原因之一。
网络安全研究 系统安全 数据库安全 Web安全 漏洞利用 逆向工程
0x19 如何搭建局域网DNS
生有可恋 2025-04-25 07:21:02
本文详细介绍了如何搭建局域网DNS服务。文章首先指出,对于简单的转发上游DNS和解析内网域名需求,没有必要使用复杂的DNS服务如bind,因为其配置复杂且维护麻烦。文章推荐使用AdGuardHome作为替代,它易于配置和维护,并自带Web管理界面。文章还提到了AdGuardHome的DNS重写功能以及如何在多个实例之间平衡负载,解决稳定性问题。然而,随着内部域名数量的增加,管理配置文件变得复杂。为了简化过程,文章介绍了一种使用正则匹配批量更改配置文件的方法。此外,文章还提到了另一种简单的DNS服务dnsmasq,它适用于软路由环境,配置简单,便于维护。文章最后提供了一个dnsmasq配置示例,说明了如何设置上游DNS服务器和本地域名解析。
DNS安全 内部网络安全 配置管理 开源软件安全 容器安全 流量监控
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
原文始发于微信公众号(洞见网安):网安原创文章推荐【2025/4/25】
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论