洞见简报【2024/1/9】
2024-1-12 08:16:22 Author: 洞见网安(查看原文) 阅读量:5 收藏

洞见网安 2024-01-09


0x1 学习干货|实战中的钓鱼邮件分析

州弟学安全 2024-01-09 20:46:58

本文介绍了一次实战中的钓鱼邮件分析,通过某公司遭受钓鱼邮件攻击的场景展开。攻击者利用钓鱼邮件成功攻陷多名员工终端,成为内网系统的跳板。文章提供了相关题目,要求分析攻击者发送钓鱼邮件时使用的IP、木马程序的控制端IP、在被控服务器上创建的webshell文件名,以及内网代理隐蔽通信隧道的文件名和路径。具体分析方法包括通过邮件头部的"Received"记录追溯邮件发送IP,使用沙箱或动态分析工具获取木马程序的控制端IP,以及在被控服务器上通过命令工具和函数筛选定位webshell和代理隧道程序的文件名和路径。最后,文章强调了在日常服务和HV期间流量巡检的重要性,以保障网络安全。


0x2 NTLM重放攻击

Ms08067安全实验室 2024-01-09 20:01:16

NTLM重放攻击是一种中间人攻击,主要用于Kerberos域网络中,通过截取NTLM认证相关报文,篡改后发送给目标主机,欺骗目标系统,破坏认证正确性。攻击方式包括SMB、HTTP协议,演化至各种基于NTLM认证的协议,如Exchange Web Service、IMAP、POP3、SMTP。攻击原理通过中间人伪造SMB服务,诱导高权限账号访问,截取NTLM认证信息,重放至目标服务器,获取高访问权限。微软采取多项安全措施对抗NTLM重放攻击,包括强制SMB签名、通信会话签名、消息完整性代码、增强型身份验证保护、强制LDAPS签名。其中,SMB签名使用会话密钥实现,通过MD4或HMAC_MD5算法生成SessionKey,用于签名保护。签名机制防止中间人攻击者获取或解开密钥,使得攻击者无法与应用服务器进行后续会话操作。然而,部分系统不支持签名,需协商是否需要签名。部分应用层协议不支持签名,如HTTP,或已加密,如LDAPS,不再需要签名。这导致了一些典型漏洞,如老版本Windows系统不支持签名,攻击者可绕过签名进行NTLM重放攻击。在维护网络安全时,了解NTLM重放攻击原理和微软的安全措施对于防范这类攻击至关重要。


0x3 记一次某运营商逻辑漏洞挖掘

狐狸说安全 2024-01-09 18:30:21

这篇文章讨论了在挖掘某运营商逻辑漏洞的过程中发现的各种业务逻辑漏洞。作者介绍了逻辑漏洞的概念,并列举了常见的逻辑漏洞类型,如交易支付、密码修改、越权操作等。在挖掘逻辑漏洞时,作者强调了需要一些技巧和非常规思路,类似于边缘测试的思想。作者分享了具体的案例,包括在购物App中购买数量和代金券的漏洞、在外卖平台中修改送餐员评价和商品评价的漏洞、在社交应用中的举报和加好友漏洞等。文章还提到了在注册、登录和密码找回功能中发现的逻辑漏洞。其中,通过越权查询通讯录信息的案例引起关注。最后,作者强调了挖掘逻辑漏洞需要对业务有深刻理解和逻辑思维能力,并鼓励开放性思维和大胆尝试各种不同形式的逻辑测试。


0x4 钓鱼邮件攻击态势和技术发展

信息安全与通信保密杂志社 2024-01-09 18:06:14

网安智库


0x5 隐影追踪:获取用户设备IP和GPS位置,抓取目标照片

大仙安全说 2024-01-09 16:01:56

本文介绍了一款名为r4ven的工具,通过托管一个假网站并使用iframe显示合法网站,可以获取目标的GPS位置、摄像头、IP地址和设备信息。该工具的主要功能包括IP地址和地理位置跟踪、设备系统信息收集、从设备的相机捕获图像等。工具的局限性包括需要进行端口转发以确保在智能手机浏览器上正常工作,不适用于没有GPS或摄像头的设备,以及不适用于启用了VPN或IP欺骗的目标。作者还介绍了工具的安装和使用方法,并说明了如何进行端口转发。文章还提到了IP位置与GPS定位的差异,强调了GPS获取几乎精确的位置信息。最后,文章提到了通过Discord的内置Webhook进行数据呈现的方式,以及如何选择Discord Webhook的原因。在结语中,作者建议蓝队可以结合蜜罐部署思路,利用类似的工具诱导攻击者并收集其行为和身份信息。


0x6 记一次若依站点简单渗透测试

红蓝攻防实验室 2024-01-09 09:00:32

文章记录了一次对若依站点的简单渗透测试。通过老登录接口和验证码漏洞,尝试默认账号密码,成功获取登录token。然后寻找未授权接口,使用Packer-Fuzzer等工具扫描未授权漏洞。通过替换getRoutes接口返回值,发现一些页面,但权限受限。利用数据库连接池蹲守数据监控页面,找到未授权接口获取用户信息。继续寻找oss上传接口,成功构造参数上传文件。尝试破解redis,成功获取数据库名。最后,作者分享了使用的工具和破解插件的来源。


0x7 内网渗透-代理Socks协议+路由不出网+后渗透通讯+CS-MSF控制上线

小黑子安全 2024-01-09 08:56:21

本文介绍了一种内网渗透的方法,通过代理Socks协议、路由配置和后渗透通讯实现目标内网主机权限的获取。首先,通过Metasploit(MSF)和CS建立网络通讯,添加路由和配置Socks代理,使攻击机能够通过代理服务器与目标内网通讯。然后,通过Proxifier工具配置代理规则,实现CS控制上线。最后,详细描述了CS和MSF的正向连接方法,生成木马程序,上传到目标主机,实现控制上线。整个过程包括路由添加、节点建立、Socks代理配置、代理转发、CS监听器添加等步骤。通过这些操作,攻击者可以在目标内网中获取其他主机权限,实现网络渗透。


0x8 Windows权限维持(基础到高级)0x1

安全小白团 2024-01-09 08:31:42

文章主题为Windows权限维持,介绍了持久性和后门的概念及其重要性。作者分析了建立持久性的原因,包括重新利用可能不稳定、获得立足点难以重现以及蓝队的追踪。在实践层面,文章首先讲解了通过创建新用户实现持久性的方法,包括创建帐户、使用户成为管理员、设置远程协议等。其次,通过利用已有用户实现持久性,包括列出低权限用户、使用户成为高权限组成员、设置远程协议等。文章使用实例演示了在非域环境中创建本地用户,添加到高权限组,打开RDP端口,最终通过RDP访问目标。另外,文章还介绍了利用已有用户进行权限维持的方法,包括使用户成为Backup Operators组的一部分,设置远程协议等。作者提到了一些工具和技术,如Evil-WinRM用于远程访问,以及SecretDump用于转储系统上所有用户的哈希值。最后,文章附带了参考链接。


0x9 工控IDS规则构建及验证实战

威努特工控安全 2024-01-09 08:03:10

本文主要介绍工控IDS规则编写及测试优化。


0xa 【在野1day】用友GRP-U8 ufgovbank XXE漏洞

AI与网安 2024-01-09 07:18:38

本文介绍了用友GRP-U8 ufgovbank存在的XXE漏洞,XXE漏洞是XML外部实体注入漏洞,通过构造恶意XML文件,攻击者可导致文件读取、命令执行、内网扫描等危害。漏洞影响用友GRP-U8行政事业内控管理软件,攻击者可在ufgovbank接口构造恶意命令,危害包括文件读取、命令执行、内网扫描、攻击内网网站、发起DoS攻击。文章提供了FOFA搜索语句和漏洞复现步骤,包括注册DNSlog平台账号、发送构造的数据包等。漏洞已被整理为nuclei POC文件,方便漏洞检测。最后,用友安全中心发布了漏洞补丁,建议用户及时升级。文章中还提供了福利,通过关注公众号可获取工具包和电子书资源。


0xb Apache Struts2 CVE-2023-50164漏洞复现

安全笔记 2024-01-09 00:00:11

本文介绍了Apache Struts2框架中的远程代码执行漏洞CVE-2023-50164,该漏洞源于文件上传逻辑缺陷,允许攻击者通过上传文件参数进行路径遍历,导致远程代码执行。漏洞影响范围为2.5.0 <= Apache Struts2 <= 2.5.32以及6.0.0 <= Apache Struts2 <= 6.3.0。文章提供了漏洞的详细复现步骤,包括导入tomcat配置、启动Struts2环境以及利用不同的POC成功上传恶意文件。最后,建议受影响用户升级到官方修复的安全版本,官方下载链接为https://struts.apache.org/download.cgi。


本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxNzg3NzMyNQ==&mid=2247487045&idx=2&sn=de7ab31cbf8d30541db3c9be7340e9e9&chksm=9ab9e6cf02ebbfdb0bd3c4d224a1c49145ebbd4d15f538740b4ba47edc53ff4e1ec9fdee0e3c&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh