360网络安全周报第247期

安全资讯

368万MobiFriends(约会软件)用户的个人信息被泄露;探索svchost.exe / P标志;如何保护邮件服务器;价值20000美元的Facebook DOM XSS。
据ZDNet报道,本周有4400万巴基斯坦移动用户的详细资料遭到泄露。 上个月,一名黑客试图以210万美元价值的比特币出售一个包含1.15亿巴基斯坦移动用户记录的数据包。
最近,特斯拉车主除了经受一波“被割韭菜”的心塞外,还得遭受数据泄露的危机。
ZOOM收购Keybase;bitdefender发布gogoogle勒索病毒解密工具;黑客自称黑了微软的github账号并获得了500GB的数据,不过真实性可能不高。
当网络攻防对抗牵扯到国家级军队级黑客组织时,不言而喻,它的性质就已是国与国网络战的行列。
最近,黑客科技摇篮般的以色列高校,又研究出了一种让电源发声泄露数据的新型恶意软件。
4400万巴基斯坦移动用户的详细信息在线泄漏;狩猎故事 | 看德当局如何“花式实锤”俄军事情报机构GRU黑客对其联邦议院的网络攻击;黑客组织在过去一周试图劫持900,000个WordPress网站。
成人实时流媒体网站CAM4泄漏1100万份数据库记录,包括电子邮件、私人聊天记录;分析英特尔无线适配器中的远程执行代码错误的三重奏;内容安全策略(CSP)绕过技术。
兼职刷单已是常见骗局,诈骗手法也比较容易识破,然后近期手机先赔收到用户反馈,反映在网上兼职刷单的过程中受骗。
2020年05月04日, 360CERT监测发现 国外安全团队 发布了 SaltStack 存在多个漏洞的风险通告,漏洞编号为 CVE-2020-11651/CVE-2020-11652,漏洞等级:严重
黑客试图窃取英国大学冠状病毒研究;安卓第三方 ROM LineageOS 服务器遭到 SaltStack 漏洞攻击。

安全知识

重启之后的2020,回忆下这张人生表格吧!如果1个格子代表1个月,人生大概是900个格子,在一张A4纸上画一个30X30的表格,每过一个月就涂掉一格。
最近“黑玫瑰露西”恶意软件家族回归并添加了新的勒索软件功能。
这篇博客将讨论图像格式解析器这个老套的漏洞,以流行的Messenger应用无交互触发这一崭新的方式。
流量转发,可以说时内网渗透的基础,网上的文章也挺多的,但是我最近看见别人的粗糙的方式,比如把CS直接传到服务器上这样的操作,我觉得是应该总结一下各种流量转发的场景了,方便渗透中使用。
在Java反序列化漏洞挖掘或利用的时候经常会遇见RMI,本文会讲述什么是RMI、RMI攻击方法、JEP290限制、绕过JEP290限制。
4月27日,国家网信办官网公布了一则消息,引发热议:近日,国家互联网信息办公室、国家发改委等12个部门联合发布了《网络安全审查办法》(以下简称《办法》),今年6月1日起实施。
之前也没接触过无线电相关内容,前段时间入手了块HackRF One板子,本文是对GPS欺骗实验进行复现。
2020年勒索病毒攻击比以往都来的更猛了一点,各种不同的勒索病毒黑客组织都似乎加大了这方面的投入,而且又有一些新的黑客组织加入进来,导致现在勒索病毒攻击越来越频繁了。
学习 Webkit 的漏洞利用,19年realworld ctf final 出了一道 webkit 的题目 FastStructCache, 这里记录一下复现的过程。
随着安全行业的不断发展与延伸,各大安全众测平台层出不穷,白帽群体也在此激励下不断的发展壮大。目前,安全众测平台都存在哪些问题?白帽对安全众测平台的满意度如何?他们对于安全众测平台的未来发展有哪些期待和建议?
其实webpwn类型的题目,对大部分选手来说,主要可能是难在调试环节上,网上基本没有详细介绍的文章,de1CTF那道webpwn,我本地打通了,但是由于libc的问题,导致服务没打通,有点可惜了,这里借此记录一下我个人调试的流程方法,分享给各位师傅。
根据BleeppingComputer透露的消息,就在前两天,一名黑客声称自己成功入侵了微软的隐私GitHub库,并从中窃取了超过500GB的数据。
最近,安全研究员Juan Andres Guerrero-Saade揭露了新的APT组织并命名为Nazer,这是从影子经纪人(Shadow Brokers)最后一次泄露的信息中分析到的。
这里我想讨论的是如何结合非常知名的两种技术,将权限从LOCAL SERVICE或者NETWORK SERVICE提升至SYSTEM。
本文通过对一个ARM路由器缓冲区溢出漏洞的分析,实践逆向数据流跟踪的思路与方法。
据安全研究人员称,“黑玫瑰Lucy”恶意软件僵尸网络已将勒索软件功能纳入其攻击工具包。
做这个靶机我遇到两个坑,一就是searchsploit中原本没有数据,不满足漏洞利用条件,不能盲目的使用EXP;二就是提权时候。整个靶机下来最大感受就是要善于利用搜索引擎以及Github,几乎每次遇到问题上Github都会有意想不到的收获。
本文面向入门IoT固件分析的安全研究员,以一款ARM路由器漏洞为例详细阐述了分析过程中思路判断,以便读者复现及对相关知识的查漏补缺。
虽然近些年来Defender的技术有了显著进步,但依然用到了许多古老的AV技术,这些技术很容易被绕过。在本文中我们分析了其中某些技术,讨论了潜在的绕过方式。
XStream也是一款用的比较多的序列化组件,可以将object转化为XML并能完整的还原回来。他也曾经出现过反序列化漏洞,本文主要整理XStream相关的安全问题。
​ 在刚结束的De1CTF中,遇到了自己不怎么常见的有关ECC问题的一道密码学的题目。由于自己之前没怎么接触过,再加上走了点弯路,自己肝了快一天才把这题做出来。做出来后觉得这个问题也挺有意思的,于是记此文章以记录,若有不当之处,还请大佬们斧正。
XCTF分站赛的第一站De1CTF开始了,这次web题目质量很好 可是太菜了,没做出来多少。
近日苹果发布了iOS 13.5 beta 3, 本次更新修复了我发现的一个Bug。
本地提权,对于任意windows Server 2012以上的windows server版本(win8以上的某些windows版本也行),从Service用户提到System 用户,在windows Server 2012,windows Server 2016,windows Server 2019全补丁的情况都测试成功了。
2020年4月,微软公布了4个严重级别补丁及2个重要级别补丁,修复了SharePoint中的RCE(远程代码执行)漏洞,这些漏洞都属于反序列化漏洞。
8月24号国外安全研究人员公布了些勒索病毒的相关信息,笔者在第一时间对此勒索病毒1.0版本病毒样本进行了详细分析,在随后几个月的发展过程中,此勒索病毒从最开始的1.0版本发展到了最新的3.1版本。
疫情之下,各行各业为了生存发展都在谋求转型,诈骗界也不例外。

安全活动

5月起,ByteSRC双月团队奖正式启动!承包你的“朋友”+“兴趣”+“奖金”,呼唤兄弟一起做些有趣的事儿~每个双月,团队最高额外奖金60000元!
2019年全国共破获电信网络诈骗案件20万起、抓获犯罪嫌疑人16.3万人……电信网络诈骗在连续几年高压治理下,打击成效显著,但诈骗团伙不断更新骗术,设下全新套路,让人防不胜防。
一场突如其来的疫情,让本该书声琅琅的大学校园被迫按下了暂停键。为缓解疫情影响下高校网络安全专业学生学习、求职难等问题,营造网络安全技术交流氛围,搭建人才交流平台,四叶草安全发起正义联盟·安全出击—2020年全国白帽子技术沙龙活动。
一年一度的年中大促即将到来,为数亿用户的安全保驾护航,特上线618安全保卫战活动!理想生活一起挖,多重奖励等你拿,欢迎加入我们!
紧追五一假期的脚步,DXMSRC联合火线平台开启漏洞奖励活动,为你补充五一假期消耗的钱包血槽,各位白帽子走过路过千万不要错过~
劳动最光荣,挖洞冲冲冲!水滴SRC联合火线安全平台给大家带来全等级漏洞双倍安全币奖励活动啦,不仅奖励大幅up,关注公众号并转发活动还能参与抽取500安全币(价值2500元)、周边玩偶哦!大家冲鸭!
SecIN,探索技术与热爱。自社区上线以来,我们收获了许许多多的新朋友,为了感谢大家的支持与热心反馈,SecIN第二轮福利重磅来袭啦。