洞见网安 2023-12-25

0x1 开源WAF规则运营入门

leveryd 2023-12-25 21:21:06

本文介绍了开源WAF规则运营入门的背景，强调了ModSecurity引擎的强大功能和对HTTP解析后字段的支持。作者指出了ModSecurity官方文档中一些关于变量字段的不清晰之处，并提供了通过lua插件和SecRuleScript指令进行调试的方法。文章通过示例展示了打印PATH_INFO变量的过程，并探讨了ARGS_GET和参数污染的问题。作者通过测试得出ModSecurity在解析参数时不会存在参数污染问题，并展示了相关日志。进一步讨论了与路径相关的变量，强调了在处理路径时需要关注url解码、../、./、///等处理逻辑。文章提出了一个自定义规则的问题，并暗示读者需要考虑路径相关变量的处理逻辑来绕过规则。最后，作者详细解释了ModSecurity中常用的路径相关变量（REQUEST_URI、PATH_INFO等）的处理逻辑，包括url解码和特殊字符处理。总结指出，变量的细节影响规则质量，而ModSecurity文档并不一定准确，建议通过lua插件打印变量进行测试。参考了开源的CRS规则集和ModSecurity官方文档。

0x2 2023 NCTF writeup by Arr3stY0u

山海之关 2023-12-25 20:34:15

招新捏~

0x3 记一次从Git原码泄露到Get到目标服务器root权限

渗透安全HackTwo 2023-12-25 17:35:18

本文讲述了一次从Git源码泄露到获取目标服务器root权限的经过。起初在A域名的Git泄露中发现数据库账号密码，尝试撞后台admin密码，成功登录admin.a.com，但未能获取shell。后来发现B.com是WordPress，通过CVE-2017-5487泄露用户名，爆破成功。然而，用常规字典爆破数据库密码失败，用WordPress工具才成功。进入B.com后，发现3个子域都有相同账号密码，但目标是A.com。通过查询旁站发现A域名，成功登录并获取shell。提权使用Cve-2022-0847漏洞成功获取root权限。文章总结了从密码撞取到权限获取过程中的经验，强调了细心和耐心的重要性。最后，提到内部VIP知识星球，欢迎加入。免责声明强调了工具仅用于合法授权和测试，禁止非法用途。

0x4 九维团队-红队（突破）| 通过进程注入方法绕过杀软测试

安恒信息安全服务 2023-12-25 16:27:17

本文介绍了一种通过进程注入实现强制关闭部分杀软进程的方法，使用了thread-hijacking等技术。作者初衷是学习关于致盲EDR或使杀软失效的方法。方法无需驱动程序，仅需管理员权限即可。研究始于dump系统密码的学习，但作者突然想到将注入的dll执行shellcode或进行其他操作。核心思路是编写一个注入器和一个DLL，注入器将DLL注入到lsass进程中，DLL的作用是结束杀软相关的进程。文章提供了相关代码和开源项目地址。测试时，发现部分进程被成功终结，验证了思路的可行性。作者还解决了单文件问题和注入拦截问题，建议对特定API进行HOOK。最后，提供了修复建议，包括保护自身进程和拦截关键API。文章由安恒信息安全服务团队成员撰写，团队职责包括红队持续突破、橙队赋能、黄队建设、绿队改进、青队快速处置、蓝队实时防御、紫队优化、暗队情报研究、白队运营管理。

0x5 利用Windows线程池的代码注入

XINYU2428 2023-12-25 14:00:26

利用Windows线程池的代码注入

0x6 Vulnhub GlodenEye-1

狐狸说安全 2023-12-25 13:46:55

在本地监听8888端口title: Vulnhub-GlodenEye-1categories: - Vu

0x7 一则利用js解密数据包的案例

洪椒攻防实验室 2023-12-25 12:52:27

本文描述了一次在安全测试中遇到的前端加密数据包解密的案例。作者首先发现站点返回的数据均被加密，通过分析前端JS源码找到了加密算法（AES.ECB.Pkcs7）。作者在代码中找到了密钥和偏移量，使用在线工具成功解密返回的数据包。另一种思路是通过查看开发者源码逻辑，找到调用解密函数的地方，并利用断点调试完成解密。作者总结指出，随着数据安全重视，加密作为数据传输中的安全保障手段将被广泛使用。文章提供了在特定情境下提高测试效率的方法，建议测试人员参考。

0x8 渗透测试 | php的webshell绕过方法总结

掌控安全EDU 2023-12-25 12:00:49

本文总结了多种绕过PHP Webshell检测的方法，涵盖了异或运算、获取注释、字符运算符、end函数、常量绕过、字符串拼接、函数定义、类定义、多传参等多种技术。其中，通过异或运算绕过检测，将Shell加密并放入注释，再通过类的反射机制获取注释并解密生成Shell，是一种有效方法。此外，利用字符运算符、end函数、常量绕过、字符串拼接等手段也展示了对Webshell检测的绕过策略。文章指出，以上方法在经过安全狗检测后均能成功通过。然而，作者强调使用这些方法需要获得授权，切勿违法，否则后果自负。文章鼓励学习者持续关注新的绕过方法并在合法的框架内学习。

0x9 K8s攻击案例：组件未授权访问导致集群入侵

Bypass 2023-12-25 11:09:15

K8s攻击案例：组件未授权访问导致集群入侵。文章详细分析了API Server、kubelet、etcd、kube-proxy、Dashboard五个组件的未授权访问漏洞，以及相应的攻击场景和过程。API Server的未授权访问通过修改配置文件，暴露8080端口，可利用kubectl创建恶意Pod接管集群。kubelet的漏洞在于将anonymous修改为true，通过kubeletctl获取Node权限，从而向API Server验证，获取集群权限。etcd的攻击场景包括将client-cert-auth改为false、将listen-client-urls修改为0.0.0.0，成功访问etcd并获取关键信息。kube-proxy通过kubectl proxy命令设置API server接收所有请求，可直接接管集群。Dashboard的漏洞在于开启enable-skip-login，并将默认的Kubernetes-dashboard绑定cluster-admin，进入控制面板即可接管整个集群。文章提供了详细的攻击步骤和防范建议，对于K8s集群的安全配置具有指导意义。

0xa Docker容器逃逸

亿人安全 2023-12-25 10:48:36

0xb Sqlmap 反制 ？？？

信安之路 2023-12-25 09:49:40

文章讨论了针对 Sqlmap 的反制脚本，通过在远程 VPS 启动监听，制作反制链接，并将接口参数带入命令行，成功实现反制。该过程核心利用 unix 系统中命令行的倒引号特性，与 Sqlmap 无直接关系。反制效果需要目标系统是 unix 操作系统，且脚本小子不了解 sqlmap 命令中的具体内容。为避免此问题，建议统一过滤接口参数内容或直接过滤倒引号。总结指出问题与 Sqlmap 并无直接关联，可适用于其他命令行程序。在漏洞复现时建议仔细检查接口内容，过滤参数以防被利用。整个过程利用操作系统特性，在特定条件下执行命令。

0xc 钓鱼邮件：WPS 0Day漏洞的威胁和应对

A9 Team 2023-12-25 09:36:49

本文详细分析了一起钓鱼邮件事件，涉及WPS 0Day漏洞的威胁和应对。攻击者使用具有吸引力的主题和内容的钓鱼邮件，其中包含一个指向存储桶的超链接。打开附件后，触发了WPS Office软件中的0Day漏洞，导致恶意文件执行。分析发现漏洞利用白名单匹配项，通过浏览器对象实现0click攻击。文章通过对文档结构、IOC信息和漏洞原理的深入分析，揭示了攻击者远程下载文件的路径。在应急阶段，作者根据最新情报信息加固了系统，幸运的是大部分终端已升级至不受影响的WPS企业版。文章强调了对个人版用户的应急处理，以及通过作者信息溯源攻击者。漏洞原理涉及WPS内部浏览器的漏洞，调用系统API实现文件下载和执行，导致远程代码执行。最后，作者提供了修复和防护手段，包括升级WPS到最新版本、避免点击不明链接等。文章指出国产软件漏洞频发，呼吁对国内软件进行更严格的安全防护。整体分析了钓鱼邮件的生命周期，为蓝队安全运营提供了有益的经验和教训。

0xd 红队之 Seeker 钓鱼定位日穿家门

风信Purrs 2023-12-25 09:34:32

本文介绍了一款名为Seeker的红队工具，通过模拟位置请求的虚假页面，获取目标的经度、纬度、准确性、海拔高度、方向、速度等位置信息。同时，工具还收集设备信息，包括Canvas指纹识别ID、设备型号、操作系统、CPU核心数量、RAM量、屏幕分辨率、GPU信息、浏览器名称和版本以及公共IP地址等。Seeker作为概念证明，旨在教育用户不要随意点击链接并授予关键权限，强调了恶意网站可能收集的用户及设备信息。与其他IP地理位置工具不同，Seeker使用HTML API和设备中的GPS硬件获取位置信息，精度约为30米。文章还提到了工具支持的模板，如NearYou、Google Drive、WhatsApp等。最后，作者警示用户在使用Seeker时要考虑设备、浏览器和GPS校准等因素可能影响信息的准确性。

0xe 恶意域名的dns查询响应

新蜂网络安全实验室 2023-12-25 09:00:57

本文描述了一起关于恶意域名的DNS查询响应的安全事件。起因于内网DNS服务器向某负载均衡设备IP发送恶意域名（ilo.brenz.pl）的dns解析响应。经过恶意域名分析发现与该域名关联的恶意样本主要涉及Agent、Dzan、MicroFake恶意样本家族，属于木马类型。告警信息表明接收响应的主机（IP1）可能运行恶意程序，可能连接到对应命令与控制服务器。处置方法包括定位真实源IP，通过科来网络回溯分析系统或tcpdump捕获数据包，使用wireshark和ngrep分析数据包，找到发出DNS解析请求的真实源IP。清除木马进程后，登录受影响主机，按照Linux系统入侵排查的checklist逐一分析和处置进程、日志、木马后门等。整个事件的详细处理过程在文章中有详尽阐述。

0xf 记一次VirtualBox艰难备份数据过程

潇湘信安 2023-12-25 08:30:33

本文记述了一次在VirtualBox虚拟机中备份数据的艰难过程。作者的Kali系统由于某些原因无法进入，尝试各种修复方法均失败，于是决定备份重要数据并重新安装Kali。文章详细描述了问题的发现与尝试修复的过程，包括在GRUB引导菜单中尝试修复、但因无法使用systemctl命令而失败。在数据备份阶段，作者遇到了无法通过DiskGenius工具备份数据的问题，通过VirtualBox社区的探索和VBoxManage命令成功将快照.vdi文件克隆为新的VDI文件，最终完成数据备份。文章提供了解决问题的多种方案，包括VBoxManage命令和010 editor的使用。在解决问题的过程中，作者强调了多搜索、多思考、多尝试的重要性。最后，文章附有参考链接供读者深入学习。

0x10 当今常见密码破解的手段

kali笔记 2023-12-25 08:00:21

本文讨论了当前常见的密码破解手段及防御措施。键盘记录通过木马记录键盘操作并发送到指定邮箱，虽然过时但仍有改良版，危害大。暴力破解通过构造密码字典对账号进行枚举，成功与密码强度有关，对电脑性能要求高。钓鱼攻击者搭建伪装网站，收集用户输入保存至数据库，通过二维码和短链接伪装恶意URL，危害巨大。爬虫通过网络爬虫收集信息，获取敏感信息和已泄露密码。信息泄露导致账号密码泄露，攻击者利用泄露账号在其他网站尝试。AI通过OCR记录屏幕文字、操作记录、账号密码，更加隐匿、危险。硬件支持攻击在键盘、手机等添加监听硬件，通过物联网发送信息。社工攻击伪装客户索要验证码，修改账号密码造成财产损失。

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。