360网络安全周报第309期

安全资讯

新的 SideWalk 后门瞄准了美国的计算机零售业务;FBI Flash 警报警告 OnePercent Group 勒索软件攻击;cloudflare 遭 DDoS - 每秒收到1720万次http请求。
一键假装在法国,旧款iPhone返老还新;三星远程锁定失窃电视,使绊非法劫掠者;iCloud漫游:裸照难寻,罪名易定。
地下黑客论坛出售7000万AT&T用户的私人信息;3800 万条记录因 Microsoft 配置错误而暴露;数十万台设备使用 Mirai 僵尸网络针对的 Realtek SDK。
《关键信息基础设施安全保护条例》(以下简称《条例》)于近日公布,8月24日国务院新闻办公室举行国务院政策例行吹风会,介绍《条例》有关情况。
各行各业的公司都采用了机器学习来分析人们的欲望、喜好和面部信息。一些研究者如今提出了一个不同的问题:我们怎么让机器“忘记”?
LockFile勒索软件通过ProxyShell攻击Exchange;Confucius - 利用Pegasus间谍软件相关诱饵向巴基斯坦发起攻击;Lazarus攻击全球安全研究人员样本的详细技术分析报告。
乌克兰反盗版公司大显身手,却反闹乌龙;狐假虎威式勒索骗局,Pegasus 间谍软件竟还可以这样用?AI证据翻车,男子关押一年后撤案。
Elkeid提供从内核级别的防护能力,其基于内核态采集进程、网络、文件相关数据,具备比典型用户态HIDS更全面的数据采集功能,这带来了更强的入侵检测能力与更低的性能开销。
全球高级持续性威胁(APT)2021年中报告;黑客攻击后,Liquid货币交易所损失超过 9000 万美元;XStream修复多个高危漏洞。
现如今,影像篡改伪造已经越来越常见,一些恶意的行为所带来的安全问题也越来越严重,如何有效地鉴别影像真伪成为了一个迫切需要解决的问题。
最近对伊朗的袭击是由因陀罗组织策划的;黑客利用奥运会主题进行网络攻击;假加密货币挖矿应用程序诱使受害者观看广告、支付订阅服务。
可能是受到勒索团伙LockBit 的启发,尼日利亚也有人蠢蠢欲动起来,他们用一百万美元招募黑客进行合作,尝试在其他公司服务器上部署勒索软件盈利。

安全知识

在前不久结束的 2021 DASCTF July X CBCTF 4th 比赛中,有一道名为 cybercms 的 web 题目。
因为main函数太大,ida默认反编译函数的大小只有64K,所以这里会反编译会失败。
开始着手对Weblogic历史漏洞进行剖析,周末分析了Weblogic历史上的严重漏洞,一次针对CVE-2015-4852漏洞的补丁绕过。
如今Node.js凭借其跨平台、高性能的JavaScript执行环境,被广泛应用于服务器端和桌面程序(如Skype)的开发。
上月中旬,CVE-2021-22555被公开披露,该漏洞在KCTF中被用于攻击kubernetes pod容器实现虚拟化逃逸。
从一开始接触Java序列化漏洞就经常看到以Java集合作为反序列化入口,但是也没有仔细思考过原因。分析的Gadget多了觉得很多东西有必要总结一下,所以有了本篇文章。
先看第一题,自己实现了一个分配器, 空闲的chunk组成一个单链表。
最近的laravel框架爆出的rce吸引了我的注意力。此文中,在可使用的协议受到约束的条件下,他们选择使用ftp协议攻击php-fpm达到rce。出于此,笔者决定探究ftp协议在ssrf中都有哪些应用。
这个身份验证绕过漏洞产生的根本原因在于对请求的URL 验证不严格,本来”/image”是用来用户请求前端静态资源时,默认不需要通过验证,最终导致通过“/image/” 绕过登录。
openssl在8月24日发布了openssl 1.1.1l的稳定版,其中修复了一个高危漏洞:CVE-2021-3711。该漏洞会影响openssl 1.1.1l 之前的所有包含SM2商密算法版本,其中也包括基于openssl改造过的版本:阿里巴巴的babassl。
本文已经对针对 NLP 系统的文本编码漏洞进行了系统的探索。对这些攻击进行了分类,并详细探讨了它们如何被用来误导和毒化机器翻译、投毒内容检测和文本蕴涵分类系统。
在前一篇《利用MS-SAMR协议修改用户密码》中介绍了利用MS-SAMR修改用户密码并还原的技巧。在本篇文章中,我们继续介绍MS-SAMR协议的一些其它利用。
在我的印象中large bin attack在glibc 2.27之后就没办法使用了,但是这周末打了祥云杯中的一道题目,让我见识到了Glibc 2.31下 Large bin attack的再次利用。
在一次渗透测试中遇到了一个基于Thinkphp5.0.10的站,站点具有非常多的disabled function(phpinfo和scandir等常见函数也在里面),最终想到的办法是采用反序列化的方法写shell。
在渗透测试过程中遇到了MSSQL数据库,市面上也有一些文章,不过大多数讲述的都是如何快速利用注入漏洞getshell的,对于MSSQL数据库的注入漏洞没有很详细地描述。
0RAYS-祥云杯writeup-misc。
芜湖,这次祥云杯又是神仙打架,密码学一共有四道题,个人觉得最后一道题目有意思一些。
Lodash 是一个 JavaScript 库,包含简化字符串、数字、数组、函数和对象编程的工具,可以帮助程序员更有效地编写和维护 JavaScript 代码。
横向移动,是攻击者侵入企业系统时,获取相关权限及重要数据的常见攻击手法。了解横向移动的原理有助于个人和企业更好地维护网络安全。
尽管最后呈现出来有效修复仅有一行,但为了找出这一行着实花了很长的时间。而发掘这些“土法”之前,面对完全不知从何下手的问题现场是很让人痛苦的。
近期,360手机先赔用户反馈,在网络刷单过程中受骗。通过深入研究发现,电商刷单诈骗过程环节发生了悄然的改变。
对程序的感觉从一开始什么都不知道的黑盒,到最后清楚明白程序怎么运行的白盒,才是逆向这个方面吸引我的魅力。
这是BalsnCTF中以 ERC20的闪电贷 和 Continuous Token 的概念为基础所出的一道题目。
MITRE Engage是一个讨论和规划对手交战(adversary engagement)、欺骗(deception)和拒绝活动的框架。
大多数 EMV 交易需要发卡机构的在线授权。
近年来,笔者在国内外 CTF 竞赛中见到不少与 AI 相关的题目。有一些是需要选手自行实现一个 AI,来自动化某些操作;有些是给出了一个目标 AI 模型,要求选手进行破解。本文主要谈论后者——在 CTF 竞赛中,我们如何欺骗题目给出的 AI?
实战中,利用 Java 反序列化实现远程命令执行的案例增长趋势明显。
第二届“祥云杯”网络安全大赛暨吉林省第四届大学生网络安全大赛 WEB WP。
本文提及的IPC fuzzer方法通过程序拆解和分析应用程序的字节码来实现fuzz功能,而且该fuzzer支持输入生成分析和输出后结果分析,这些结果可以使我们了解崩溃原因详情。
gomarkdown/markdown 是 Go 语言的一个流行模块,它旨在快速地将 Markdown 文档转化为 HTML 页面。而此次发现的漏洞,来源于作者在编写其语法树 Parser 的时候无意的一次 unescape。
祥云杯 By 天璇Merak。
最近在使用 Golang 的 regexp 对网络流量做正则匹配时,发现有些情况无法正确进行匹配,找到资料发现 regexp 内部以 UTF-8 编码的方式来处理正则表达式,而网络流量是字节序列,由其中的非 UTF-8 字符造成的问题。
前段时间P牛在他的星球发了一个XSS的小挑战(关于挑战的更多细节和解法见P牛的博客或者星球),我用的是DOM clobbering的方式完成。事后P牛给出了另一个trick,我看不懂但大受震撼,所以本文就来探讨一下这个trick的原理。
最近一直在进行有关Electron的研究,写这篇文章的目的主要是想记录针对Electron应用的一些攻击面研究。
在实战化漏洞扫描后,对于高危漏洞的利用,不仅仅只在 whoami 上,而是要进入后渗透阶段,那么对于 Windows 机器而言,上线 CS 是必不可少的操作,会让后渗透如鱼得水。
这是一个关于v8的turbofan的漏洞,对于这种类型的漏洞一般poc都较难构造,这是笔者着手分析的第一个turbofan类型的漏洞。

安全活动

CCS 2021成都网络安全大会已重新定档于2021年9月26、27日在成都市 “中国-欧洲中心”开幕。截止今日,已开启大会开幕倒计时30日。
拿好这份“首页2.0时代,解锁新地图”打卡活动攻略锦囊,提前锁定安全客焕新惊喜大礼!