安全资讯

  • WebLogic T3协议反序列化 0day 漏洞分析

      0x01 WebLogic T3 简介及漏洞背景 weblogic t3协议指的是weblogic的rmi使用的t3协议,在java rmi中,默认rmi使用的是jrmp协议,weblogic包含了高度优化的RMI实现。T3 这个神奇的协议使得weblogic漏洞层出不穷,正因为他必须使用java反序列化,所以在不影响正常功能的情况下,只能不断的添加黑名单。虽然该修补方式对目前已知的利用链能够立竿见影,但是对于其绕过姿势就没有任何防范能力了,本文结合最近的weblogic漏洞学习下t3协议的反序列化漏洞以及利用链的构造。   0x02 环境搭建 0x1 调试环境 利用D…

    2021年5月29日
    0 26 0
  • Spring内存木马检测思路

      一、内存马概念介绍 木马或是内存马,都是攻击者在“后门阶段”的一种利用方式。按攻击者的攻击套路顺序,“后门阶段”一般是在攻击者“拿到访问权”或是“提权”之后的下一步动作,也叫“权限维持”。 业界通常将木马的种类划分成“有文件马”和“无文件马”两类。“有文件马”也就是我们常见的“二进制木马、网马”;“无文件马”是无文件攻击的一种方式,其常见的类型有:内存马、隐蔽恶意代码启动等。   二、Spring可利用点 从上面可以看到通过getHandler获取HandlerExecutionChain,获取处理器适配器HandlerAdapter执行HandlerAdapter处理…

    2021年5月29日
    0 40 0
  • 一次黑产链接分析引发的渗透测试

      起源 五一在家日常冲浪,无意间看到有人在相亲相爱一家人群里发了一个链接引起了我的注意 点进去一看,是领红包。这不白嫖一波?狗头 他这个这页面做的挺像真的,而且进入到这页面后是无法通过下滑页面来查看对应域名的, 这团伙业务还挺熟练的,年轻人不讲武德。 那么老夫就点击领取看看会怎么样 红包!没错,终于抢到红包了。这页面看着也很真啊。 但是这弟弟提示老夫需要转发到群聊。就这? 钱来的那么容易吗? 看着这里肯定会有人观众要问,这假红包到底有什么用?这就是我转发到群里有什么用?就这?会对我有什么影响吗? 小伙子别慌,听我慢慢道来。 一旦我们进入到这页面后,,如果不直接点击左上角x关闭,每次…

    2021年5月29日
    0 20 0
  • 攻击美国管道公司的“黑暗面”是什么样的黑客组织?

    5月10日, 美国联邦调查局发表声明,确认对美国最大成品油管道运营商科洛尼尔公司(Colonial Pipeline Company)发动网络攻击的是勒索病毒“黑暗面”(DarkSide)。 “黑暗面”病毒由与其同名的黑客组织“黑暗面”研发。该组织已经发表声明,称其行动并非政治性,只是“为了钱”。 美国总统拜登称,“黑暗面”来自俄罗斯,但没有证据证明俄罗斯政府与此次网络攻击有关。拜登计划在此后与俄罗斯总统普京的会谈中讨论此事。 黑客组织“黑暗面”成立于2020年8月,通过窃取公司和机构的机密数据对受害公司进行勒索,以换取赎金。该组织甚至配有客服。 “为了钱” 暗网追踪平台DarkTracer于…

    2021年5月11日
    0 39 0
  • 恶意代码常用API混淆方法及处理方式

      1.摘要 我们在分析恶意代码时经常会遇到,静态分析恶意代码时导入表没有任何导入函数的情况,这种情况通常是恶意代码混淆了API,很多恶意代码尝试混淆它们使用的API来对抗静态分析,API被混淆后静态分析几乎无法得到有效的信息,下面我总结了恶意代码经常用到的混淆API的方法,和处理它们的方法   2.恶意代码常用api混淆方法 第一种恶意代码自己创建IAT,自己实现类似于LoadLibrary和GetProcAddress功能的函数,传入的参数也通常是dll名和函数名的hash值,将函数地址存入指针数组,然后通过指针数组调用不同的函数,下面介绍的mailto勒索软件就属于这…

    2021年4月25日
    0 28 0
  • BlackHat:HTTP 请求走私的新变体、新防御

      0x00 引言 HTTP请求走私(HTTP Request Smuggling,又名HTTP Desyncing)是一种攻击技术,它利用各种HTTP设备之间对非标准HTTP请求流的不同解释,特别是客户端(攻击者)和服务器(包括服务器本身)之间的关系。具体来说,攻击者操纵各种HTTP设备将流分割成单个HTTP请求的方式,就可以将恶意的HTTP请求 “偷渡 “至服务器,滥用对请求流的解释,并取消服务器与中间HTTT设备对这些流之间的差异。通过这种方式,恶意的HTTP请求可以被 “走私 “为之前HTTP请求的一部分。虽然HTTP请求走私是在2005年发明的,但最近又有更多的研究出现。这…

    2021年4月25日
    0 33 0
  • CVE-2021-24074 TCP/IP协议栈漏洞分析

      2021年2月份的微软补丁中,修复了一组Windows TCP/IP协议栈的漏洞,包括两个远程代码执行(RCE)漏洞(CVE-2021-24074、CVE-2021-24094)和一个拒绝服务(DOS)漏洞(CVE-2021-24086)。由于漏洞出现在TCP/IP协议栈中,危险较大,CVSS给出的评分分为9.8/8.4,7.5/6.5。其中,CVE-2021-24086和CVE-2021-24094出现在Windows IPv6堆栈模块中,CVE-2021-24074出现在Windows Ipv4堆栈处理模块中。本篇分析文章重点针对CVE-2021-24074进行分析。 1.初…

    2021年4月24日
    0 40 0
  • 关于nodejs的ejs和jade模板引擎的原型链污染挖掘

      原型链污染的原理 对于语句: object[a][b] = value 如果可以控制a, b, value的值, 将a设置为__proto__, 我们就可以给object对象的原型设置一个b属性, 值为value. 这样所有继承object对象原型的实例对象会在本身不拥有b属性的情况下, 都会拥有b属性, 且值为value. 例子 object_1 = {“a”:”user”, “b”:”ricky”}; object_1.__proto__.words = “nodejs is great!”; console.log(object_1.words) object_2 = {“…

    2021年4月24日
    0 30 0
  • CVE-2021-25646 Apache Druid 远程代码执行漏洞分析

      前置知识 Druid Apache Druid 是用 Java 编写的面向列的开源分布式数据存储, 通常用于商业智能/ OLAP 应用程序 中,以分析大量的实时和历史数据。 Druid提供了JavaScript引擎用来扩展Druid的功能,值得注意的是,Druid的JavaScript不在沙盒中运行,而对机器有完全的访问权限,同时支持运行原生java语句,存在安全性问题,所以默认被关闭了。 见https://druid.apache.org/docs/latest/development/javascript.html Jackson Jackson是一个非常流行且高效的基于Ja…

    2021年4月24日
    0 34 0
  • 多路非对称攻击:HTTP/2服务器上的下一代DDoS

      近年来,使用HTTP协议的分布式拒绝服务(DDoS)攻击正在流行,这个方向上的最新趋势是使用消耗大量计算的请求来发起攻击,这些称为非对称工作负载攻击(Asymmetric Workload Attacks)的攻击可以使用有限的资源关闭服务器,并且极难检测。 HTTP/2的引入受到开发人员的欢迎,它改善了用户体验和效率。通过使用多路复用(Multiplexing)和服务器推送(Server Push)同时传输HTTP请求及其关联的内联资源的能力,使之成为可能。多路复用已使请求流量突发,并且基于连接限制的DDoS检测机制已过时。与其意图相反,复用也可能被滥用以在单个TCP连接中使用多…

    2021年4月24日
    0 32 0
  • Linux服务器被袭击,最终我用这些操作救了命!

    突然,频繁收到一组服务器 ping 监控不可达邮件,赶紧登陆 zabbix 监控系统查看流量状况。 可见流量已经达到了 800M 左右,这肯定不正常了,马上尝试 SSH 登陆系统,不幸的事,由于网络堵塞,登录不上或者卡死。 一、排查问题 第一反应是想马上通知机房运维人员切断该服务器外部网络,通过内网连接查看。可是这样一来流量就会消失,就很难查找攻击源了。 于是联系机房协助解决,授权机房技术登录到系统,先通过 w 命令查看是否有异常用户在登录,再看看登录日志  /var/log/auth.log,预料之中,日志已经清空;最后使用工具找出那个连接占用流量大,我使用了 iftop 工具。 机房技术发…

    2021年4月22日
    0 27 0
  • Google安全团队该不该披露疑似美国政府的黑客行动?

    最近,谷歌安全团队披露了一项黑客攻击行动,但该黑客组织疑似是为美国政府及其盟友工作,进行网络反恐行动…… 3月29日消息,谷歌安全团队发现某个黑客组织在短短9个月内利用了11个零日漏洞,许多谷歌产品受影响,iPhone的Safari浏览器也被波及。 Keynotes 谷歌的安全团队公开揭露了一场历时9个月的黑客行动 这一举动终止了某西方政府正在进行的反恐行动 该举动在谷歌内部和和外界引起争议 谷歌Project Zero团队和威胁分析小组(Threat Analysis Group)在业内享誉盛名。近期,这两个团队意外地发现了一条大鱼:一个专家级黑客组织利用11个强大的漏洞来攻击运行iOS、A…

    2021年4月1日
    0 33 0