360网络安全周报第277期

安全资讯

芬兰议会在本周周一时对外表示,有网络犯罪分子通过网络攻击等手段成功入侵了他们的内部互联网信息系统,并非法访问了一些议员的电子邮件帐户。
通过MITER ATT&CK发现APT攻击;价值600美元的HTML注入;vulmap:Web漏洞扫描和验证工具;CVEHeatMap:使用CalPlot的CVE热图。
2020年12月30日,360CERT监测发现SSL VPN发布了SSL VPN 命令注入漏洞的风险通告,该漏洞暂无编号 ,漏洞等级:高危,漏洞评分:9.8。
2020,不平凡的一年,网络安全数据泄露,网络攻击、个人隐私安全事件频发。
中间件内存马注入&冰蝎连接;卡巴斯基的数字足迹报告;DNS漏洞和云的历史。
整形医院数据被盗,既丢照片也失面子;光荣特库摩数据泄露,搭乘游戏开发商受害者末班车;重庆宣判首例疫情相关隐私侵权案。
Emotet的历史;【经典漏洞回顾】Microsoft Windows Win32k本地提权漏洞分析(CVE-2015-0057);越南发生了复杂的供应链攻击。
本周收录安全事件 35 项,话题集中在 网络攻击 、 勒索软件 方面,涉及的组织有: SolarWinds 、 Dell 、Citrix 、 美国财政部 等。供应链攻击持续发酵,各大下游用户尽快进行补丁升级。
cobalt strike笔记-listener利用手法和分析;浅谈安全运营平台中数据分析交互逻辑的设计;CVE-2020-26217/26259 Xstream远程代码执行/任意文件删除漏洞分析。
“灵猫”组织针对中东地区的攻击活动分析报告;SolarWinds Orion插件的其他技术细节;Microsoft SQL Server Reporting Services权限提升漏洞复现(CVE-2020-0618)。
Clop勒索软件攻击了香精香料生产商Symrise;clairvoyance:进程内存地址空间可视化工具;手机设备的数据安全现状分析报告;Palo Alto 团队的公开安全报告。
本次报告主要对2020年下半年的所有《安全事件周报》所写的国际安全事件数据进行一个简单的回顾,同时从大家感兴趣的方向出发,做一个简单的阐述。
CVE-2020-0423 android内核提权漏洞分析;安全事件分析报告-2020下半年;英国大型整容医院遭勒索攻击,近1TB病人照片泄露。

安全知识

2020XCTF网络安全专题挑战赛(华为系列CTF)HarmonyOS和HMS专场PWN WriteUp。
本系列文章分为两个部分,第一部分的翻译在2018年7月18日已经在安全客上发表过了,当我看完它觉得意犹未尽,想要看第二部分的时候,发现原译者并没有进行翻译。
基于现阶段红蓝对抗强度的提升,诸如WAF动态防御、态势感知、IDS恶意流量分析监测、文件多维特征监测、日志监测等手段,能够及时有效地检测、告警甚至阻断针对传统通过文件上传落地的Webshell或需以文件形式持续驻留目标服务器的恶意后门。
结合Turbolizer来分析34c3ctf-v9的v8逃逸题。
本篇文章将探究Cobalt Strike Beacon Object Files(BOF)中直接系统调用的应用。
SSRF(Server-Side Request Forgery,服务器请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况下,SSRF攻击的目标是外网无法访问的内网系统(正因为请求时由服务端发起的,所以服务端能请求到与自身相连而与外网隔绝的内部系统)。
一款国外的游戏,u3d引擎,没有mono,使用Il2CppDumper一番操作。
这次漏洞复现是我第一次没有借助已有复现文章和已有的poc复现的漏洞,所以写了这篇文章记录下,如果文章出现什么错误,恳请各位师傅斧正。
在上一篇文章中,我们为读者详细介绍了模版注入漏洞的概念,模版引擎的识别方法,以及两种模版引擎相关的注入漏洞。在本文中,我们将继续为读者介绍其他四种模版引擎相关的注入漏洞。
不安全的反序列化漏洞已成为针对Java Web应用程序的研究者的普遍目标。这些漏洞通常会导致RCE,并且通常不容易彻完全修补。CVE-2020-2555就属于这一类。
本文记录某项目,在开始尝试各类漏洞未果的情况下,利用平台的逻辑缺陷,打造出一份高质量的用户名和密码字典,巧妙的通过VPN突破内网的经历。
本文《 命令执行底层原理探究-PHP (四) 》主要讲述的是第四部分:针对Linux平台下,PHP命令执行函数的底层原理分析。
我将讨论已发现的漏洞CVE-2020-35616,并建议如何更新解决此漏洞。
近年来,Python语言凭借其入门简单、功能强大和开发效率高等特性逐渐成为最受欢迎的开发语言,与此同时,Python在安全领域的应用也渐趋广泛,开始被用在黑客和渗透测试的各个领域。
在参加比赛之前,团队大师傅为了让我们知道怎么打,特意给我们搭的环境,在经过了好多天的模拟之后,我也大致了解了awd该怎么去玩。
所谓模板注入,又称服务器端模板注入(SSTI),是2015年出现的一类安全漏洞。James Kettle在2015年黑帽大会上进行的演讲,为多个模板引擎的漏洞利用技术奠定了坚实的基础。要想利用这类安全漏洞,需要对相关的模板库或相关的语言有一定程度的了解。
从两道题学习v8中JIT优化的CheckBounds消除在漏洞中的利用。
本文《 命令执行底层原理探究-PHP (三) 》主要讲述的是第三部分:针对Windows平台下,PHP命令执行函数的底层原理分析。
纵横杯线上初赛部分题解。
为什么网络博彩是骗人的把戏?为什么逢赌必输?“庄家”一票否决的权利,看完你就能明白。
安全的本质是对抗,只有熟悉了黑灰产常用的攻击方式,才能做到遇事不慌。Linux 下进程隐藏的方式远远不止以上几种,笔者只是介绍了在应急响应场景下遇到的一些情况,想要了解更多,且听下回分解。
在反序列化漏洞里面就经典的还是莫过于weblogic的反序列化漏洞,在weblogic里面其实反序列化漏洞利用中大致分为两种,一个是基于T3协议的反序列化漏洞,一个是基于XML的反序列化漏洞。当然也还会有一些SSRF和任意文件上传漏洞,但是在这里暂且不谈。
最近工作中测试一款客户端exe程序,web框架基于CEF,认证用的是jwt。在查阅了大量的国内以及国外文献后,经过大量的代码编写以及测试,写下此篇攻击指南。
在本文中,我们进行了一项比较研究,以评估不同因素的影响,包括分类模型和预处理方法。我们验证了这些因素对三种类型的脆弱性的影响。
本文为入侵检测系列1的最后一篇文章,在此,我将详细叙述TeamViewer的加密与身份验证内容模块。
Zoho企业的产品 Zoho ManageEngine ServiceDesk Plus 是一套IT互联网服务管理软件,拥有资产管理、采购管理、合同管理等功能模块,提供一流的IT支持服务。
这个题目很容易看到这是执行shellcode,但是长度最大只有0x40字节。这个题目和天翼杯的safebox的题目类似,都是写入shellcode爆破flag。
渗透能力的体现不只是储备0day的多少,许多站点能否被突破,对本身基础漏洞的熟练的配合利用也是一场考验,故事正是因机缘巧合拿到shell的一次记录总结。
本文《 命令执行底层原理探究-PHP (二) 》主要讲述的是第二部分:以PHP语言为对象,针对不同平台,进行环境准备、PHP内核源码的编译、运行、调试等。
总结几道OOB类型的v8逃逸的利用方法,它们大多的利用手法都极为相似。
ImageMagick是一款图像处理软件,可以创建、编辑、合成或转换位图图像。该软件支持读取和写入各种格式(超过200种)的图像,其中包括PNG、JPEG、GIF、HEIC、TIFF、DPX、EXR、WebP、Postscript、PDF和SVG,等等。

安全活动

SecIN礼物大放送,快来领走你的专属惊喜吧!
2020年度网络安全标准论坛暨第十二期标准宣贯培训会已于12月27日-28日在京召开。
等你一起在完美世界决战江湖。