360网络安全周报第280期

安全资讯

虽然这一次的网络攻击非常的“成功”,但是他们在高兴之余,却忘记了好好保护自己的“胜利果实”。
2021年01月22日,360CERT监测发现Drupal发布了Drupal 目录穿越漏洞的风险通告,该漏洞编号为CVE-2020-36193,漏洞等级:高危,漏洞评分:7.2。
黑客疏于防范导致自己战利品泄露;比利时医院遭勒索软件攻击;RDP被黑客利用进行DDoS攻击。
2021年01月21日,360CERT监测发现JSOF发布了DNSpooq的风险通告,事件等级:高危,事件评分:8.1。
2020年1月20号,360CERT监测发现 CheckPoint 发布了 FreakOut –利用最新漏洞创建僵尸网络 的分析报告。FreakOut恶意程序利用近期新出的三个漏洞实施扫描,并创建僵尸网络。事件等级: 高危 ,事件评分: 8.5 。
7700万Nitro PDF用户数据泄露;Pixlr近200万数据泄露;微软分享Solarwinds行动中用到的逃避检测策略;乱拍键盘导致的锁定绕过漏洞。
2021年01月20日,360CERT监测发现Oracle官方发布了2021年1月份的安全更新。
Malwarebytes证实受到Solarwinds影响并且内部邮件遭泄露;Solarwinds行动中第四个恶意软件Raindrop被发现;Freakout恶意软件意图感染Linux设备。
2021年01月19日,360CERT监测发现@Jonas Lykkegaard发布了Windows condrv.sys拒绝服务漏洞的风险通告,漏洞等级:中危,漏洞评分:6.5。
特朗普被“出走”之后,选举不实信息暴跌七成;辉瑞疫苗被窃事件续集:黑客应该学着长大;腾讯回应QQ读取浏览器数据:为防止恶意登录。
本周收录安全事件37项,话题集中在恶意程序、漏洞修复方面,涉及的组织有:联合国、西门子、Microsoft、Adobe等。蠕虫病毒突袭,员工安全意识建设不可或缺。
OpenWRT项目论坛被攻击,论坛用户信息被窃取;从2月9日开始,DC默认开启强制模式;Jumpserver 任意命令执行漏洞分析报告。
我是如何窃取数以百万计的Google帐户中的数据;对Fuzzing 的一些理解和基本知识;XNU 内核堆安全特性解读。

安全知识

截止至2021年1月份,英国教育部(DfE)已经向英国全国各地的学校、学院信托基金会(trusts)和地方政府(LAs)交付了八十多万台笔记本电脑和平板电脑。
恶意索赔有风险!从目前已掌握的情况看,恶意索赔中使用的账号、关联的支付账号都可能受到电商平台的风控限制,可能会影响账号的使用。
非常感谢队里师傅的拼搏 打到第三名实属不易。
作为一个物联网入门小白,今天介绍一个近源渗透的简单例子,被“调戏”的是一家国内成立不久的知名网络安全公司。
​ JNDI是Java Naming and Directory Interface(JAVA命名和目录接口)的英文简写,它是为JAVA应用程序提供命名和目录访问服务的API(Application Programing Interface,应用程序编程接口)。
感谢xmzyshypnc 师傅和xxrw师傅手把手教学。
为什么原型链污染能结合模板引擎能达到这样的效果?模板引擎究竟是如何工作的?除了原型链污染,还有其他方式也能达到同样的效果吗?带着这样的疑问,无恒实验室成员决定对nodejs模板引擎的内在机制进行一些探索。
BIOS,全称基本输入输出系统,其诞生之初也曾是门先进的技术,但得益于软硬件的飞速发展,传统 BIOS 由于其开发效率低下(主要使用汇编开发)、安全性差、性能低下等原因,已经逐渐退出历史舞台。取而代之的是 UEFI(个人认为称之为 UEFI BIOS 也可以)。
2020年4月份,ZDI收到一个Linux 内核eBPF模块越界读写漏洞的披露,编号为ZDI-20-1440,影响版本Linux 内核版本4.9~4.13,在Debian 9上应用相关版本的内核。根据ZDI 120天的漏洞披露原则,产商并未给出回应,所以此漏洞现未有相关漏洞补丁,以0day状态被披露。
临近年底,黑客利用钓鱼网站分发恶意软件的热情并未熄火。
CobaltStrike作为先进的红队组件,得到了多个红队和攻击者的喜爱。2020年年底的时候,看到有人在传cs4.2,于是顺便保存了一份。然后一拖就到了今天才打开,关于CobaltStrike外层木马的分析网上已经有很多,但是内层的payload好像没有多少分析文章,那我就刚好借4.2这个契机,详细分析一下CobaltStrike的组件。
近期在内网发现了有个应用之前的开放重定向漏洞的绕过,通过这个漏洞绕过,我又发现了 apache/dubbo 的一个有意思的问题以及 URL 相关的话题。
本文所介绍的内容是emp3r0r框架持久化模块的一部分。
Bypass AV一直都是安全安全圈的热门话题,之前多少也有过接触,由于用不到,就没怎么关注。这次刚好趁假期,来研究研究。(由于很多名词网上解释很多,本文只作记录,故不多加解释)
本文为对英文文章的翻译,加上自己的部分理解,如有不恰当地方,恳求指正。
frida是一款轻量级的 Hook 框架,也可以说是一种动态插桩工具,可以插入一些代码到原生 app 的内存空间去,(动态地监视和修改其行为),这些原生平台可以是Win、Mac、Linux、Android或者iOS。
本文以2020N1CTF题目环境为例介绍CVE-2017-7038、绕过KASLR的通用方法,以及本题最后的解法。
在本系列文章中,我们将为读者深入讲解三星手机的内核防护技术。在本文中,我们为读者介绍了系统的异常处理过程,以及RKP机制相关的命令,在后续的文章中,会有更多精彩内容呈现给大家,敬请期待!
刚开始的时候没看分类,以为是 MISC 题,然后找了半天隐写内容,都没做找到,但是这个文件这么大,肯定是有问题。
在上一篇文章中,我们为读者介绍了本研究所使用的平台,如何在两种平台上面提取二进制文件,如何获取相关的符号/日志字符串,简要介绍了管理程序的框架,最后,详细说明了三种公用的结构体。在本文中,将继续为读者呈现更多精彩内容!
因为之前粗略学习过CVE-2020-14645,感觉CVE-2020-2883可谓是“政启开元,治宏贞观”,其利用链的一部分继承了CVE-2020-2555中ReflectionExtractor的利用链,另一部分找到了PriorityQueue可达的、新的extract()的调用点,为CVE-2020-14645做了准备。
在对大佬们高版本的POC进行分析后,我把重点放在了如何绕过黑名单限制上,那么利用XML可以解析的其它编码格式尝试一下绕过。
2021年01月18日,360CERT监测发现 Jumpserver 发布了 远程命令执行漏洞 的风险通告,漏洞等级:高危,漏洞评分:8.5。
在本文中,我们提出了一种基于抽象语法树的数据处理方法,以提取所有语法特征,减少数据冗余。
近日,据360手机先赔用户反馈,在电商平台购物后,被虚假的快递员以快递丢失给予赔偿为名,骗取支付宝备用金。
本文是笔者在尝试在qemu上运行linux 2.6.10版本内核的实录包括自己在时间时候遇到的各种问题,最终完整编译linux 2.6.10内核,并且通过很多尝试最终发现i386的默认配置是缺少initrd支持的问题的,虽然不是按部就班的给出最优解,但是详细的叙述解决过程,可能对大家更有参考性。
linux作为开源内核,被广泛使用。同时随着用户态安全机制的逐渐完善,攻击成本逐年升高,越来越多的黑客将目光投向linux内核,linux内核安全问题也随之被越来越多的安全研究人员关注。
SerenityOS是一套用于x86计算机的图形化类Unix操作系统。 SerenityOS 2019-12-30之前版本中的Kernel/VM/MemoryManager.cpp文件存在安全漏洞。本地攻击者可通过覆盖返回地址利用该漏洞获取权限。该漏洞来自于hxp 36C3 CTF的wisdom这道题。
偶尔看到一道CTF题目,[BSidesSF2019]bWF0cnlvc2hrYQ,过程中有用到一种加密。那就是GPG,据了解这是一种非对称加密方式。

安全活动

“女娲计划”是针对超高价值的0day漏洞及利用技术研究奖励计划,对包括主流PC及移动操作系统、流行服务端或客户端软件应用、网络设备、虚拟系统逃逸等在内的0day安全漏洞及相关利用技术研究项目提供丰厚的奖金,且最高单个漏洞奖励可达¥20,000,000!
1月12日,安全客2020季刊—第4季再度上线,我们对文章的质量严格把关,对品质始终恪守不渝,只愿为安全爱好者带来最好的干货!
美团SRC好“礼”相助,愿你能元气满满地开启新的一年。
来陌陌参加挖洞人趴踢,用翻倍奖励&福利过年基金开启你新的一年。