360网络安全周报第203期

安全资讯

Facebook 最近爆出不少安全问题,刚刚该公司宣布称,数亿 Facebook 和 Instagram 用户的密码多年来被以明文形式存储在内部数据存储系统中。
Pwn2Own 2019第一天Apple, Oracle, VMware等公司产品被攻破;facebook多年来一直明文存储用户密码;疑似MuddyWater APT组织针对伊拉克移动运营商Korek Telecom的最新攻击活动分析。
Fin7通过两个新的恶意软件样本加强了活动;自动监控目标子域,助你快速挖洞——Sublert;CVE-2019-5786:Chrome 0day 分析;总结海莲花最新活动,新技术和新诱饵。
Ghidra 从 XXE 到 RCE;CVE-2019-3863:libssh2整型溢出;C2工具:Pupy;2018年里80%的主要漏洞利用都是针对微软;IntelliJ IDEA的Java安全性分析。
89%的欧盟政府网站被广告追踪脚本渗透;针对企业无线演示系统和超级信号电视的新Mirai木马变种;具有异构组件临界级别的网络监控游戏;面向零件物流优化的智能解决方案系统。
在 Windows 10 Insider Preview Build 18358 的发布公告,微软表明其已经开发并开始测试了一种针对 Chrome 和 Firefox 的 Windows Defender Application Guard 扩展。
入侵钓鱼站并溯源;工信部要求应用商店全面下架“社保掌上通”APP,不安全的数据库泄露中国3300万份简历;黑客在黑暗网站上出售2600万个新账户。

安全知识

北京时间2019年2月18日,安全狗海青实验室的安全研究人员发现了一个PHPMyWind的任意密码重置漏洞。
本文为对Avira VPN的两处提权漏洞简要分析。
本报告是威胁猎人鬼谷实验室出品的黑产大数据系列报告的第3篇,上篇我们深扒在线视频流量行业的黑灰产现状。这次,我们将重点关注短视频和在线直播行业的虚假流量现状。
在2018年11月,360观星实验室接到某客户Linux服务器挖矿,发现这是一起通过consul服务的RCE漏洞进行传播和植入的挖矿恶意木马。
近期,360威胁情报中心截获到一个针对伊拉克移动运营商(Korek Telecom)的定向攻击样本。
本文介绍了James和MSRC团队之间的合作,双方在windows内核及其驱动程序中发现了新的漏洞类,并进一步阐述了微软的工程师团队是如何修复这些漏洞,以及第三方驱动开发者如何避免类似漏洞。
修改配置时,大多数情况下都会对配置文件/缓存文件/数据库进行操作,而在这个过程中不论如何实现,几乎都会对“管理员” 所做的修改输入有过滤。当绕过了这些过滤方法之后,通常可以达到同一个目的:代码执行。
本文对PDF文件及其数字签名机制进行了分析,并提出了三种针对PDF签名的攻击方式。
windows调试艺术主要是记录我自己学习的windows知识,并希望尽可能将这些东西在某些实际方面体现出来。
本文提出了一种定义明确的方法来绕过跨站点脚本(XSS)安全机制,通过发送探针并编写payload用于检测恶意字符串的规则。拟议的方法包括三个阶段:确定payload结构,测试和混淆。
虽然一个命令注入漏洞通常是简单明了的,但是在本文你将看到要实现完整的代码执行或命令注入仍需克服一些障碍。这是Java执行系统命令的方法以及Apahce Tika代码自身的特性导致的。
最近在研究过waf的技巧,期间还是很有趣的,在这里与大家分享一下,仅个人见解,哪里写的不好欢迎各位师傅斧正!本文只研究MySQL数据库,其余有机会在分享。
前端时间有机会做了这个比赛的题目,当时一直在看WaterDragon这道题目,比赛结束了也没有做出来。这道题目考察的侧重于源代码的审计(当然也有例外,比如WaterDragon,找不到洞,大佬的wp我也找不到),所以记录一下这类题目。
最近学习了一下java的反序列化漏洞,对一些之前爆出来的一些开源组件的反序列化漏洞的进行了简单的分析,并总结到这篇文章中。
关于复用socket/链接这类shellcode,我想与大家分享另一种技术,这种技术在针对Windows系统的某些远程利用场景中非常有用。
近期谷歌威胁分析团队(Google's Threat Analysis Group)发现了一例野外攻击中的Chrome远程代码执行漏洞:CVE-2019-5786。攻击者利用该漏洞配合一个win32k.sys的内核提权(CVE-2019-0808 )可以在win7上穿越Chrome沙箱。
在.NET处理 Ajax应用的时候,通常序列化功能由JavaScriptSerializer类提供,但在某些场景下开发者使用Deserialize 或DeserializeObject方法处理不安全的Json数据时会造成反序列化攻击从而实现远程RCE漏洞。
本文对Microsoft Edge的CVE-2019-0539漏洞进行了详细的分析,并利用漏洞实现完全的读写控制,最终实现RCE。
前一篇讲到了 ROP 链的构造,最后直接使用调用 execve 函数的 shellcode 就可以直接 getshell,但是在实际路由器溢出的情况下都不会那么简单。
在Steam和其他V社游戏(比如CSGO,Half-Life,TF2)中,内置了一种寻找服务器浏览器(server browser,一种游戏服务器)的功能。我们fuzz了几个参数,发现Steam客户端在从自定义服务器接收回复时崩溃了。
假期研究了一款智能打印机,后来某厂送来了一系列的待检测设备,惊讶的发现,和我研究的打印机工作机制如此类似。因此我觉得这个打印机就有了一定的代表性。写了这篇文章,总结一下IOT的一些攻击思路。
假期研究了一款智能打印机,后来某厂送来了一系列的待检测设备,惊讶的发现,和我研究的打印机工作机制如此类似。因此我觉得这个打印机就有了一定的代表性。写了这篇文章,总结一下IOT的一些攻击思路。
2019年3月17日,360威胁情报中心截获了首个利用WinRAR漏洞(CVE-2018-20250[4])传播未知恶意勒索软件的ACE文件。该恶意压缩文件名为vk_4221345.rar,当受害者在本地计算机上通过WinRAR解压该文件后便会触发漏洞。
2019年3月10日上午,埃塞俄比亚航空一架载157人的737 MAX 8型航班坠毁。令人气愤的是,于2019年3月14日,360威胁情报中心捕获到一起专门针对此次事件进行钓鱼攻击的电子邮件,附件为一个Java编写的远控木马。
2019年3月13日, RIPS团队公开了一篇关于WordPress 5.1.1的XSS漏洞详情,标题起的很响亮,叫做wordpress csrf to rce,下面我们就来详细聊聊这个漏洞。
上个月,微软针对两个 SharePoint 的远程代码执行 (RCE) 漏洞发布了修复补丁。在 SharePoint 应用池的上下文和 SharePoint 的服务器账户中,攻击者可以发送一个特殊构造的请求来执行攻击者的代码。
在这篇文章中,我提供了两种VBA技术,用于伪造新进程的父进程和命令行参数。这种实现技术允许制作更隐蔽的Office宏,使宏生成的进程看起来像是由另一个程序(如explorer.exe)创建的,并具有正常的命令行参数。
eval和assert的特性经常把我搞懵,所以在这里记录一下。
代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,已经成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。
这篇文章主要介绍了 CVE-2019-0626 漏洞的基本原理,以及我对它的发现过程。这个漏洞只存在与 Windows Server 系统中,因此下文中的演示都是位于虚拟机的 Windows Server 2016 中,对应的补丁为 KB4487026。
在前两节中说到了关于Kerberos的扫描和Kerberoasting以及金票的利用,本文主要说明一下在kerberos体系中关于委派的利用方式。

安全活动

在冬雪初融的3月,我们踏春而来,寻找这片黑土地上的最强白帽,本次沙龙我们带着超级干货的技术议题,精心准备的礼品,还有一个超想撸串的心,期待着与你的相遇! 
看雪2019安全开发者峰会,现竭诚邀请安全技术专家投稿参加,与安全开发者和安全企业面对面交流,共话安全领域焦点话题。
提交一个有效漏洞即得一件定制帽衫,还有翻倍公仔等你拿~
EISS-2019企业信息安全峰会之北京站确定于2019年3月29(周五)在北京举行。约有300位来自于各行业的企业信息安全负责人、安全专家出席本次峰会,共同探讨企业信息安全现状及未来。