360网络安全周报第323期

安全资讯

APT-C-53(Gamaredon)内网后渗透攻击技战术分析;CVE-2021-42550: Logback 远程代码执行;CVE-2021-45046: Log4j 2 远程代码执行漏洞通告。
在大规模的网络钓鱼攻击中,哪些人才是更容易中招的“衰仔”,近期的一份研究报告给出了不一样的答案。
Log4Shell漏洞一出现就立即对MC服务器下手,尽管官方紧急发布更新,但很多自建服务器还是没有察觉危险。
“Seedworm”袭击者袭击亚洲、中东的电信公司;360CERT发布全网受Log4j库漏洞影响的厂商自查列表;Rh-PostgreSQL12-PostgreSQL的Red Hat软件集合更新。
上周Emotet暂停钓鱼攻击,一下子消失在安全研究员视野中,今天又强势崛起。
印度总理莫迪的推特账户因比特币诈骗被黑客入侵;2021-12 补丁日: 微软多个漏洞安全更新通告;Adobe Experience Manager 中的多个安全漏洞。
2021年12月14日,360CERT监测发现Google发布了安全更新,漏洞编号为CVE-2021-4102,漏洞等级:高危,漏洞评分:8.5,该漏洞已存在在野利用。
命令行工具批量下载ldap下的恶意class文件。
2021年12月15日,Microsoft发布了12月份安全更新,事件等级:严重,事件评分:9.8。
已有10个家族的恶意样本利用Log4j2漏洞传播;CVE-2021-4102:Google Chrome 代码执行漏洞;CVE-2021-43234:Microsoft Windows 传真服务远程代码执行漏洞。
乌克兰执法部门逮捕了51名嫌疑人,这些人涉嫌在全球多个黑客论坛出售数亿个人数据,涵盖乌克兰、美国和欧洲等多个国家地区。
严重的Apache Log4j漏洞威胁企业应用;GOautodial漏洞使呼叫中心网络安全处于危险状态;Red Hat Enterprise Linux 8 Samba 更新。

安全知识

本文介绍基于污染追踪技术的 DOM-XSS 自动检测与验证模型,并对污染源点、污染终点和传播记录方法做详细介绍。最后介绍基于 AST 技术的 payload 生成方法,该方法可以提高 DOM-XSS 的检测效果。
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。
作为我们对 Microsoft Azure Sphere 的持续研究的一部分,我们发现了两个特别危险的漏洞。 要全面了解我们在过去一年中发现的 31 个漏洞,请点击链接https://blog.talosintelligence.com/2021/11/a-review-of-azure-sphere.html 查看完整回顾。
CVE-2014-3936 是发生在 dlink 旗下路由器 dir-505 的缓冲区溢出漏洞,漏洞存在于固件版本 1.07 及以前的 HNAP 处理程序中。
Java类加载机制在Java安全知识体系中有着非常重要的地位,早在之前分析Shiro反序列化漏洞利用,以及学习蚁剑Java马,都和Java ClassLoader打过交道。笔者打算从把ClassLoader的原理、使用场景、自定义方式等多个方面剖析类加载器在Java安全中设计到的知识。
V8 是 chrome 核心组件,重要程度不用多言。本系列文章,讲解 V8 源码,力求做到全面覆盖知识点、有理论支撑,做到细致讲解代码、有实践依据。
近日,虚拟货币集体”闪崩“,惊呆全球投资者。据数据显示,”闪崩“的24小时内,共有41.7万人爆仓,数字货币全网合约爆仓金额达到了25.84亿美元(约合人民币164亿元)。
最近IT圈被爆出的log4j2漏洞闹的沸沸扬扬,log4j2作为一个优秀的java程序日志监控组件,被应用在了各种各样的衍生框架中,同时也是作为目前java全生态中的基础组件之一,这类组件一旦崩塌将造成不可估量的影响。
2021闽盾杯遇到的题,赛后听大佬们说要用AMM算法。
相关代码以及免杀项目实现:https://github.com/crisprss/Shellcode_Memory_Loader。
影响版本:Linux v5.10-rc1 ~ v5.14.15。v5.14.16已修补。高危,可导致远程提权,评分9.8。 默认不加载,需用户配置。
第一次在比较大型的比赛中完全自主的出了一题,虽然题目不算难但也是个人的一点点突破吧,这题题目叫babyrop,很明显是一个ROP类型的题目。
查看RGB三通道的时候发现在RG两个通道是能够看到部分Flag的。
前几天晚上朋友圈算是过了年了,一个log4j大伙都忙了起来,看着朋友圈好久没这么热闹了。Apache 的这个log4j这个影响范围的确是大,包括我自己做开发的时候也会用到log4j,这就很尴尬了。
这是第一届2021暗泉杯(东软杯)的pwn和re题解,这次比赛pwn看似不难,但是还是缺少思路,其中两道题目都是相似的逻辑,应该是一个出题人出的题目,当时没想到爆破,呜呜呜呜。
Apache Log4j是Apache的一个开源项目,是一个基于Java的日志记录工具,因其卓越的性能,使用极其广泛。近日该组件编号为CVE-2021-44228的漏洞Log4shell被披露,大量常用框架已经被发现存在该漏洞,本漏洞触发条件极其简单,且无需特殊配置,风险极大。
还原VMP需要哪些铺垫?(1)定位VMP字节码;(2)分割VMP字节码;(3)还原成SMALI。
这是zer0con2021上chrome exploitation议题对应的v8部分的漏洞,里面有一个在v8在改掉checkbound消除操作后的利用手法,即shift,下面是对应的commit。
在10-10-12分页方式下,物理地址最多可达4GB。但随着硬件发展,4GB的物理地址范围已经无法满足要求,Intel在1996年就已经意识到这个问题了,所以设计了新的分页方式。
log4j漏洞影响面太广,最为一个经常使用strusts2开发的我来说,第一反应就是strusts2也默认使用了该库,所以进行了分析,发现确实能够触发,一点拙见分享出来,希望能够帮助加快行业尽快修复该漏洞,减小其影响。
S2-009是S2-003与S2-005的补丁绕过,当时的补丁是增加了正则以及相关的限制(这些限制可以通过执行OGNL表达式进行修改),主要的防御还是正则。
Windows下有两种处理器访问模式:用户模式(user mode)和内核模式(kernel mode)。
在很多攻击活动中,我们都能看到 CobaltStrike 的身影,所以,对于防御者,了解其在各个攻击阶段的行为特征是非常有必要的。
在Web安全领域,Webshell一直是一个非常重要且热门的话题。
之前有看到goby反制和松鼠A师傅蚁剑反制的文章,再想到之前写过sqlmap的shell免杀,觉得思路其实差不多,就写一篇sqlmap的反制吧。
在上一节中我们对子窗口和在od中如何定位消息处理函数进行了探究,在这一节里面我们来看一下资源文件和如何在od中定位对话框的回调函数。

安全活动

左手“找不同大挑战”福利,右手“群星创作者计划”,邀万千用户共同奔赴一场岁末惊喜,见证安全客官网功能再升级!
2021 INSEC WORLD 成都·世界信息安全大会将于12月14-15日在成都香格里拉大酒店召开。 本届大会以“数字经济 安全为钥”为主题,邀请到中央网信办专家咨询委员会顾问、中国工程院院士沈昌祥院士和国际密码学会前主席、欧洲科学院院士Bart Preneel院士,分别就“打造网络空间安全可信主动免疫新生态“、”安全和隐私的未来“领衔大会主旨演讲。
本年度大赛提供50w+元专项奖励,将发出实习offer+技术终面直通卡共计65+个,孵化选拔优秀高校安全人才~
本届个人能力认证考核由XCTF国际联赛主办、成都信息工程大学承办、Syclover战队命题。通过XCTF国际联赛与网络安全领域高校院部深度协作,采取严格的监管措施,对网安人才的个人能力进行量化和统计分析,联手打造CTFer个人能力认证图谱,实现精准的专项人才画像。
OSRC双旦活动正式上线,2022年限定新春礼盒向你招手~
本届SCTF由XCTF联赛的合作单位Syclover战队组织,由赛宁网安提供技术支持。作为第七届XCTF国际联赛的分站赛,本次比赛将采用在线网络安全夺旗挑战赛的形式,面向全球开放。分站赛冠军队伍将直接晋级第七届XCTF总决赛,其他参赛队伍也将获得相应积分,凭积分争夺总决赛席位。