2024-10-29 微信公众号精选安全技术文章总览

洞见网安 2024-10-29

0x1 精彩复现｜JeecgBoot 权限绕过漏洞：AviatorScript 表达式注入问题剖析

东方隐侠安全团队 2024-10-29 21:31:02

关于JeecgBoot 权限绕过AviatorScript表达式注入的漏洞复现与分析

0x2 免杀对抗从0开始（三）

泾弦安全 2024-10-29 20:10:59

本文是关于网络安全中免杀对抗技术的教学文章，旨在带领读者从基础开始，逐步深入终端对抗技术。文章首先介绍了结构体的基本概念、声明、别名、初始化和成员访问方法，并通过学生和学校的例子，展示了结构体的使用。接着，文章讲解了动态调用的必要性，指出动态调用可以规避杀毒软件的静态查杀。通过隐藏VirtualAlloc函数的示例，说明了动态调用的实现方法，并暗示了loadlibrary等函数的隐藏也是必要的。文章为网络安全学习者提供了实用的技术指导和理论支持，强调实践操作和理论知识的结合。

网络安全 红队技术 C语言编程 免杀技术 动态调用

0x3 情况说明 | 非官方火绒剑存在后门风险，请用户谨慎下载使用

火绒安全 2024-10-29 19:53:25

近日，火绒安全团队发现一款名为“火绒剑”的非官方独立版本软件在某论坛流传，该软件原为火绒安全个人版5.0中的工具，被非法提取并植入病毒。该恶意软件会对用户终端安全构成严重威胁。火绒安全软件已升级病毒库支持查杀该样本，并提醒用户通过官方途径下载软件。火绒安全团队声明未推出或授权任何独立版工具，并将采取法律措施追究责任。用户被建议停止使用非官方版本，并通过官网下载官方版本以确保安全。

恶意软件 后门程序 信息泄露 未经授权的软件 数字签名缺失 安全更新 官方声明

0x4 13.Fastjson（.NET）反序列化点后篇

HW专项行动小组 2024-10-29 19:47:21

文章讨论了.NET环境下Fastjson反序列化漏洞的多个攻击向量。首先介绍了AssemblyInstaller类如何通过控制Path属性及利用HelpText属性的get方法触发远程代码执行（RCE）。其次，文章探讨了通过Bindingsource类的DataMember和DataSource属性组合使用，来触发目标类属性的get方法，进而实现RCE。接着，文章分析了WorkflowDesigner类中PropertyInspectorFontAndColorData属性的set操作，通过处理XAML数据达到RCE的目的。对于ResourceDictionary类，文章指出其Source属性可以通过XAML Reader处理远程文件内容实现RCE。最后，文章简要提及ExchangeSettingsProvider类中ByteData属性的set方法可导致二次反序列化攻击。每个部分都包含了具体的技术细节和可能的攻击路径，为理解.NET环境中Fastjson的安全性问题提供了深入视角。

反序列化漏洞 代码执行 远程代码执行 .NET安全 安全研究

0x5 地狱之门进程注入官方免杀插件

白帽子安全笔记 2024-10-29 18:17:34

本文介绍了Cobalt Strike 4.5版本中新增的官方进程注入插件，该插件允许用户定义自己的进程注入技术，以解决内置命令过多导致BOF操作繁琐的问题。文章详细描述了如何使用Kali编译并加载该插件到Cobalt Strike中，以及如何通过插件修改内置命令。作者测试了官方进程注入插件，但发现仍被防病毒软件查杀。随后，文章提供了使用地狱之门间接系统调用和x64 MinGW编译的方法来绕过Defender监控。最后，作者提供了获取技术内容的方式，并推荐了相关阅读材料。

进程注入 免杀技术 Cobalt Strike OPSEC 防御绕过 系统调用 编译技术

0x6 一条命令修改Linux文件ctime

风奕安全 2024-10-29 16:41:11

一条命令修改Linux文件ctime

0x7 命令行禁用、启用Windows系统代理

生有可恋 2024-10-29 16:01:54

本文介绍了在Windows系统中如何通过命令行禁用和启用系统代理。文章首先说明了系统代理的配置是通过注册表项控制的，并提供了具体的命令来禁用（值为0x0）和启用（值为0x1）代理。为了方便操作，建议通过创建批处理文件（proxy.bat和unproxy.bat）来简化命令的输入。文章还提到了设置全局代理的好处，即系统中的所有http连接都会自动走代理。对于需要在特定环境中启用代理的情况，可以通过设置环境变量http_proxy和https_proxy来实现。最后，文章指出浏览器中的局部代理需要使用插件，如Chrome的SwitchyOmega，来进行配置。

系统安全配置 代理设置 注册表操作 环境变量 浏览器安全

0x8 suricata结合ioc检测apt攻击

流浪猫收容所 2024-10-29 15:04:29

0x9 免费！常用中间件安全加固基线。

三沐数安 2024-10-29 13:41:39

本文档旨在指导系统管理人员或安全检查人员进行中间件的安全合规性检查和配置。

0xa 图解TCP三次握手：一步步构建网络会话

攻城狮成长日记 2024-10-29 12:08:16

本文详细介绍了TCP三次握手的过程，旨在解释网络连接的建立机制。文章首先概述了TCP的重要性，然后详细解析了TCP头部的关键字段，如序列号、确认应答号和控制位。接着，文章分步骤讲解了三次握手的具体过程：客户端发送SYN报文，服务端回应SYN+ACK报文，最后客户端发送ACK报文完成连接。文章还通过Wireshark抓包示例直观展示了三次握手的数据包。最后，讨论了三次握手的原因，并介绍了一种网络攻击——TCP SYN Flood攻击及其解决方案。

TCP三次握手 网络攻击 网络安全 Wireshark

0xb 【命令执行】Cyberu200bu200bPanel 命令执行漏洞

小羊安全屋 2024-10-29 10:17:05

0xc 【OSCP-HTB.02】Sauna靶机渗透测试练习

从放弃到入门 2024-10-29 09:30:49

本靶场重点试验kali自带的impacket目录文件夹里面的GetNPUsers.py、secretsdump.py\\x0d\\x0a、psexec.py等文件进行的突破边界和提root权限。

0xd 靶机实战系列之dawn靶机

嗨嗨安全 2024-10-29 09:17:48

这篇文章是关于dawn靶机的实战攻略。首先，通过arp-scan和nmap进行主机发现和端口扫描，发现目标主机开启了139、445端口，并运行着Samba smbd。然后，利用Samba漏洞进行任意文件上传，并通过分析日志文件获取关键信息。接着，通过突破边界，在445服务中写入反弹代码，成功获取反弹shell。最后，通过suid提权，成功提升权限。文章还提供了一些实用工具的下载链接，并提醒读者不要利用文章中的相关技术从事非法测试。

0xe 利用Python程序库加载的窃密木马脚本详细分析

安全分析与研究 2024-10-29 08:47:17

本文详细分析了一例Python Stealer窃密木马。作者在论坛发现该木马，下载并研究后分享。木马通过Gitlab下载，压缩包内看似正常，但恶意代码隐藏在Lib库文件中。它能获取用户信息、浏览器数据，包括登录信息、Cookie和密钥。木马还能解密FireFox登录数据，获取Chrome和Edge登录数据，以及访问特定网站的Cookie。数据被存放在临时文件夹，打包后通过Telegram API上传。这种加载方式不常见，不直接调用恶意脚本，而是通过Python程序库加载。文章提醒，黑客组织不断更新攻击样本和技术，需警惕恶意软件攻击。

木马分析 信息窃取 网络安全 恶意软件 数据泄露预防 源代码分析 浏览器安全 攻击技术 威胁情报

0xf 数据抓包神器 Tcpdump 入坑指南

kali笔记 2024-10-29 08:02:48

本文介绍了数据抓包工具Tcpdump的使用方法。Tcpdump是一个命令行下的抓包工具，能够拦截和显示发送或接收到的TCP/IP和其他数据包。文章详细说明了Tcpdump的安装方法，在Kali系统中已默认安装，其他系统可通过apt-get install tcpdump命令安装。文章还列举了Tcpdump的常用参数，如指定抓取包数量、指定网卡、控制数据流向、包含链路层信息、详细输出等。最后，通过具体示例展示了如何使用Tcpdump保存指定域名的数据包、监视指定网络接口的数据包以及抓取到本机22端口的包，为网络安全学习者和从业者提供了实用的抓包技巧。

0x10 Android安全之Intent Redirect访问受保护组件漏洞

暴暴的皮卡丘 2024-10-29 08:00:14

0x11 MySQL其他四种日志：回滚、错误、通用查询和慢查询日志

大象只为你 2024-10-29 07:45:35

MySQL其他四种日志：回滚、错误、通用查询和慢查询日志

0x12 浏览器口令之痛：Chrome的新Cookie加密系统又被绕过

网空闲话plus 2024-10-29 07:05:01

网络安全研究员亚历山大·哈格纳发布了一款名为“Chrome-App-Bound-Encryption-Decryption”的工具，用于绕过Google Chrome的新App-Bound加密系统，提取保存的凭据。该工具利用Chrome内部服务解密App-Bound加密密钥，增加了Chrome中存储的敏感数据的风险。尽管谷歌表示该工具需要管理员权限，但攻击者已找到绕过方法。谷歌曾希望通过App-Bound加密提高防御，但有专家指出，信息窃取者已能从所有版本的Chrome中窃取cookie。Hagenah的工具发布后，谷歌承认攻击者需要的系统管理员权限并不切实际，因为多数用户实际上拥有这些权限。这一事件再次表明，网络安全是一个动态过程，需要不断适应新威胁。

浏览器安全 加密技术 信息窃取 权限提升 安全研究 恶意软件 安全防护措施

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。