洞见网安 2023-12-25
leveryd 2023-12-25 21:21:06
本文介绍了开源WAF规则运营入门的背景,强调了ModSecurity引擎的强大功能和对HTTP解析后字段的支持。作者指出了ModSecurity官方文档中一些关于变量字段的不清晰之处,并提供了通过lua插件和SecRuleScript指令进行调试的方法。文章通过示例展示了打印PATH_INFO变量的过程,并探讨了ARGS_GET和参数污染的问题。作者通过测试得出ModSecurity在解析参数时不会存在参数污染问题,并展示了相关日志。进一步讨论了与路径相关的变量,强调了在处理路径时需要关注url解码、../、./、///等处理逻辑。文章提出了一个自定义规则的问题,并暗示读者需要考虑路径相关变量的处理逻辑来绕过规则。最后,作者详细解释了ModSecurity中常用的路径相关变量(REQUEST_URI、PATH_INFO等)的处理逻辑,包括url解码和特殊字符处理。总结指出,变量的细节影响规则质量,而ModSecurity文档并不一定准确,建议通过lua插件打印变量进行测试。参考了开源的CRS规则集和ModSecurity官方文档。
山海之关 2023-12-25 20:34:15
招新捏~
渗透安全HackTwo 2023-12-25 17:35:18
本文讲述了一次从Git源码泄露到获取目标服务器root权限的经过。起初在A域名的Git泄露中发现数据库账号密码,尝试撞后台admin密码,成功登录admin.a.com,但未能获取shell。后来发现B.com是WordPress,通过CVE-2017-5487泄露用户名,爆破成功。然而,用常规字典爆破数据库密码失败,用WordPress工具才成功。进入B.com后,发现3个子域都有相同账号密码,但目标是A.com。通过查询旁站发现A域名,成功登录并获取shell。提权使用Cve-2022-0847漏洞成功获取root权限。文章总结了从密码撞取到权限获取过程中的经验,强调了细心和耐心的重要性。最后,提到内部VIP知识星球,欢迎加入。免责声明强调了工具仅用于合法授权和测试,禁止非法用途。
安恒信息安全服务 2023-12-25 16:27:17
本文介绍了一种通过进程注入实现强制关闭部分杀软进程的方法,使用了thread-hijacking等技术。作者初衷是学习关于致盲EDR或使杀软失效的方法。方法无需驱动程序,仅需管理员权限即可。研究始于dump系统密码的学习,但作者突然想到将注入的dll执行shellcode或进行其他操作。核心思路是编写一个注入器和一个DLL,注入器将DLL注入到lsass进程中,DLL的作用是结束杀软相关的进程。文章提供了相关代码和开源项目地址。测试时,发现部分进程被成功终结,验证了思路的可行性。作者还解决了单文件问题和注入拦截问题,建议对特定API进行HOOK。最后,提供了修复建议,包括保护自身进程和拦截关键API。文章由安恒信息安全服务团队成员撰写,团队职责包括红队持续突破、橙队赋能、黄队建设、绿队改进、青队快速处置、蓝队实时防御、紫队优化、暗队情报研究、白队运营管理。
XINYU2428 2023-12-25 14:00:26
利用Windows线程池的代码注入
狐狸说安全 2023-12-25 13:46:55
在本地监听8888端口title: Vulnhub-GlodenEye-1categories: - Vu
洪椒攻防实验室 2023-12-25 12:52:27
本文描述了一次在安全测试中遇到的前端加密数据包解密的案例。作者首先发现站点返回的数据均被加密,通过分析前端JS源码找到了加密算法(AES.ECB.Pkcs7)。作者在代码中找到了密钥和偏移量,使用在线工具成功解密返回的数据包。另一种思路是通过查看开发者源码逻辑,找到调用解密函数的地方,并利用断点调试完成解密。作者总结指出,随着数据安全重视,加密作为数据传输中的安全保障手段将被广泛使用。文章提供了在特定情境下提高测试效率的方法,建议测试人员参考。
掌控安全EDU 2023-12-25 12:00:49
本文总结了多种绕过PHP Webshell检测的方法,涵盖了异或运算、获取注释、字符运算符、end函数、常量绕过、字符串拼接、函数定义、类定义、多传参等多种技术。其中,通过异或运算绕过检测,将Shell加密并放入注释,再通过类的反射机制获取注释并解密生成Shell,是一种有效方法。此外,利用字符运算符、end函数、常量绕过、字符串拼接等手段也展示了对Webshell检测的绕过策略。文章指出,以上方法在经过安全狗检测后均能成功通过。然而,作者强调使用这些方法需要获得授权,切勿违法,否则后果自负。文章鼓励学习者持续关注新的绕过方法并在合法的框架内学习。
Bypass 2023-12-25 11:09:15
K8s攻击案例:组件未授权访问导致集群入侵。文章详细分析了API Server、kubelet、etcd、kube-proxy、Dashboard五个组件的未授权访问漏洞,以及相应的攻击场景和过程。API Server的未授权访问通过修改配置文件,暴露8080端口,可利用kubectl创建恶意Pod接管集群。kubelet的漏洞在于将anonymous修改为true,通过kubeletctl获取Node权限,从而向API Server验证,获取集群权限。etcd的攻击场景包括将client-cert-auth改为false、将listen-client-urls修改为0.0.0.0,成功访问etcd并获取关键信息。kube-proxy通过kubectl proxy命令设置API server接收所有请求,可直接接管集群。Dashboard的漏洞在于开启enable-skip-login,并将默认的Kubernetes-dashboard绑定cluster-admin,进入控制面板即可接管整个集群。文章提供了详细的攻击步骤和防范建议,对于K8s集群的安全配置具有指导意义。
亿人安全 2023-12-25 10:48:36
信安之路 2023-12-25 09:49:40
文章讨论了针对 Sqlmap 的反制脚本,通过在远程 VPS 启动监听,制作反制链接,并将接口参数带入命令行,成功实现反制。该过程核心利用 unix 系统中命令行的倒引号特性,与 Sqlmap 无直接关系。反制效果需要目标系统是 unix 操作系统,且脚本小子不了解 sqlmap 命令中的具体内容。为避免此问题,建议统一过滤接口参数内容或直接过滤倒引号。总结指出问题与 Sqlmap 并无直接关联,可适用于其他命令行程序。在漏洞复现时建议仔细检查接口内容,过滤参数以防被利用。整个过程利用操作系统特性,在特定条件下执行命令。
A9 Team 2023-12-25 09:36:49
本文详细分析了一起钓鱼邮件事件,涉及WPS 0Day漏洞的威胁和应对。攻击者使用具有吸引力的主题和内容的钓鱼邮件,其中包含一个指向存储桶的超链接。打开附件后,触发了WPS Office软件中的0Day漏洞,导致恶意文件执行。分析发现漏洞利用白名单匹配项,通过浏览器对象实现0click攻击。文章通过对文档结构、IOC信息和漏洞原理的深入分析,揭示了攻击者远程下载文件的路径。在应急阶段,作者根据最新情报信息加固了系统,幸运的是大部分终端已升级至不受影响的WPS企业版。文章强调了对个人版用户的应急处理,以及通过作者信息溯源攻击者。漏洞原理涉及WPS内部浏览器的漏洞,调用系统API实现文件下载和执行,导致远程代码执行。最后,作者提供了修复和防护手段,包括升级WPS到最新版本、避免点击不明链接等。文章指出国产软件漏洞频发,呼吁对国内软件进行更严格的安全防护。整体分析了钓鱼邮件的生命周期,为蓝队安全运营提供了有益的经验和教训。
风信Purrs 2023-12-25 09:34:32
本文介绍了一款名为Seeker的红队工具,通过模拟位置请求的虚假页面,获取目标的经度、纬度、准确性、海拔高度、方向、速度等位置信息。同时,工具还收集设备信息,包括Canvas指纹识别ID、设备型号、操作系统、CPU核心数量、RAM量、屏幕分辨率、GPU信息、浏览器名称和版本以及公共IP地址等。Seeker作为概念证明,旨在教育用户不要随意点击链接并授予关键权限,强调了恶意网站可能收集的用户及设备信息。与其他IP地理位置工具不同,Seeker使用HTML API和设备中的GPS硬件获取位置信息,精度约为30米。文章还提到了工具支持的模板,如NearYou、Google Drive、WhatsApp等。最后,作者警示用户在使用Seeker时要考虑设备、浏览器和GPS校准等因素可能影响信息的准确性。
新蜂网络安全实验室 2023-12-25 09:00:57
本文描述了一起关于恶意域名的DNS查询响应的安全事件。起因于内网DNS服务器向某负载均衡设备IP发送恶意域名(ilo.brenz.pl)的dns解析响应。经过恶意域名分析发现与该域名关联的恶意样本主要涉及Agent、Dzan、MicroFake恶意样本家族,属于木马类型。告警信息表明接收响应的主机(IP1)可能运行恶意程序,可能连接到对应命令与控制服务器。处置方法包括定位真实源IP,通过科来网络回溯分析系统或tcpdump捕获数据包,使用wireshark和ngrep分析数据包,找到发出DNS解析请求的真实源IP。清除木马进程后,登录受影响主机,按照Linux系统入侵排查的checklist逐一分析和处置进程、日志、木马后门等。整个事件的详细处理过程在文章中有详尽阐述。
潇湘信安 2023-12-25 08:30:33
本文记述了一次在VirtualBox虚拟机中备份数据的艰难过程。作者的Kali系统由于某些原因无法进入,尝试各种修复方法均失败,于是决定备份重要数据并重新安装Kali。文章详细描述了问题的发现与尝试修复的过程,包括在GRUB引导菜单中尝试修复、但因无法使用systemctl命令而失败。在数据备份阶段,作者遇到了无法通过DiskGenius工具备份数据的问题,通过VirtualBox社区的探索和VBoxManage命令成功将快照.vdi文件克隆为新的VDI文件,最终完成数据备份。文章提供了解决问题的多种方案,包括VBoxManage命令和010 editor的使用。在解决问题的过程中,作者强调了多搜索、多思考、多尝试的重要性。最后,文章附有参考链接供读者深入学习。
kali笔记 2023-12-25 08:00:21
本文讨论了当前常见的密码破解手段及防御措施。键盘记录通过木马记录键盘操作并发送到指定邮箱,虽然过时但仍有改良版,危害大。暴力破解通过构造密码字典对账号进行枚举,成功与密码强度有关,对电脑性能要求高。钓鱼攻击者搭建伪装网站,收集用户输入保存至数据库,通过二维码和短链接伪装恶意URL,危害巨大。爬虫通过网络爬虫收集信息,获取敏感信息和已泄露密码。信息泄露导致账号密码泄露,攻击者利用泄露账号在其他网站尝试。AI通过OCR记录屏幕文字、操作记录、账号密码,更加隐匿、危险。硬件支持攻击在键盘、手机等添加监听硬件,通过物联网发送信息。社工攻击伪装客户索要验证码,修改账号密码造成财产损失。
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。
具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。 所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。 由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。