Yikesnews第21期夜谈:新型攻击方式—构造含马视频字幕文件||linux Samba漏洞,可远程代码执行...

于 2017-05-24 23:59:40 发布
阅读量134 收藏
点赞数
原文链接:http://www.blovb.com/twentyone/
版权

点击阅读原文可点击链接,求波关注

夜深,试一下效果

当你在看盗版影片的时候,很多时候一些播放器会自带搜索字幕的功能

这个攻击方式就是上传带有木马的字幕

然后,

就中了。

相关链接

http://blog.checkpoint.com/2017/05/23/hacked-in-translation/

攻击演示视频:

https://twitter.com/360CoreSec

该情报来源:qz安全情报分析

0?wx_fmt=png

CVE-2017-7494 :linux Samba漏洞,可远程代码执行

Samba 4.6.4, 4.5.10 and 4.4.14 Available for Download

0?wx_fmt=png

要在共享可以写入的状态下可利用成功

https://lists.samba.org/archive/samba-announce/2017/000406.html

Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件,由服务器及客户端程序构成。SMB(Server Messages Block,信息服务块)是一种在局域网上共享文件和打印机的一种通信协议,它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。SMB协议是客户机/服务器型协议,客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。通过设置“NetBIOS over TCP/IP”使得Samba不但能与局域网络主机分享资源,还能与全世界的电脑分享资源。

资源技术:

XSSI 攻击技术白皮书

Cross Site Script Inclusion (XSSI) 跨站脚本包含是一种允许攻击者通过恶意JS绕过边界窃取信息的攻击技术。

http://www.mbsd.jp/Whitepaper/xssi.pdf

相关中文学习链接:

http://www.freebuf.com/articles/web/87374.html

分析静态编译加剥离的ELF文件的一些方法

这个我是觉得真的牛,解决了很多问题,根据这篇文章将来能研究的东西更多了,谢谢兰云

http://www.freebuf.com/articles/terminal/134980.html

PinDemonium通用动态脱壳工具

这个也是真厉害,这个概念老,但是很值得关注,很有用,想脱哪脱哪

http://www.freebuf.com/sectool/135217.html

github移动安全方向的资料

https://github.com/secmobi/wiki.secmobi.com

ChakraCore 一起读代码 - 01 - 字节码的生成http://www.nul.pw/2017/05/14/223.html

还有这次会议结束,很多不错的ppt,后续会跟进并发出来

0?wx_fmt=png

blackorbird
关注
Linux环境下Samba远程代码执行漏洞探析.pdf
09-06
"Linux环境下Samba远程代码执行漏洞探析" 本文探讨了 Linux 环境下 Samba 远程代码执行漏洞的成因、影响版本、利用条件和防范措施。SambaLinux 和 UNIX 系统的 SMB 协议服务软件,可以实现与其他操作系统(如...
Linux下的文件共享服务器Samba安装文件及其配置说明 samba-4.14.5.tar
09-28
Linux环境中,Samba是一个非常重要的工具,它允许Linux系统与Windows系统之间进行文件和打印服务的共享。本文将详细讲解如何在CentOS系统上安装Samba 4.14.5并进行配置。 首先,我们需要了解Samba的核心概念。...
samba-latest.tar.gz_Linux 文件共享_samba
09-14
Samba是一款强大的软件,它使得Linux和Unix系统能够无缝地集成到Windows网络环境中,实现文件和打印服务的共享。在标题“samba-latest.tar.gz_Linux 文件共享_samba”中,"samba-latest.tar.gz"是Samba最新版本的...
Linux运维-4.服务管理-005SAMBA-2视频-053 概述.avi
11-02
Linux运维-4.服务管理-005SAMBA-2视频-053 概述.avi
Linux网络操作系统基础:samba文件共享.pptx
06-16
Linux网络操作系统基础:Samba文件共享】 在Linux操作系统中,Samba是一个强大的工具,它使得Linux系统能够兼容Microsoft的网络通信协议,尤其是Server Message Block (SMB)协议,从而实现Linux与Windows之间的...
基于asp.net的工作流程审批系统设计与实现.docx
09-30
基于asp.net的工作流程审批系统设计与实现.docx
这是各种对象检测数据集的预处理相关工具脚本的集合.zip
09-30
这是各种对象检测数据集的预处理相关工具脚本的集合
基于asp.net的驾校理论考试网上模拟系统设计与实现.docx
09-30
基于asp.net的驾校理论考试网上模拟系统设计与实现.docx
基于Python与Shell的阿里巴巴智能运维竞赛排名14设计源码
09-30
该项目为阿里巴巴智能运维竞赛排名14的设计源码,采用Python和Shell两种编程语言,共包含27个文件,包括2个Python脚本、1个PDF文档、1个Markdown文件、1个文本文件、1个CSV文件、1个Shell脚本以及5个特定数据模型文件。该解决方案旨在提升运维效率,适用于大型企业的智能运维场景。
DRF完整项目及uwsgi部署配置
09-30
DRF完整项目及uwsgi部署配置
2022国庆旅游消费趋势报告.pdf
09-30
2022国庆旅游消费趋势报告.pdf
模型预测控制(MPC)在混合动力汽车能量管理策略开发上的运用 1利用车速预测模型(BP或者RBF神经网络,预测模型资料也有
09-30
模型预测控制(MPC)在混合动力汽车能量管理策略开发上的运用。 [1]利用车速预测模型(BP或者RBF神经网络,预测模型资料也有发在其他链接)根据预测的信息对车辆进行优化控制,可以对混动汽车的能量管理具有一定的参考意义。 [2]动态规划算法作为全局优化的代表,恰好作为模型预测控制的算法求解器,再与车速预测模型结合实现基于模型预测(MPC)的能量管理策略的预测时预内的局部最优近似全局最优的优化效果,实现混动车辆的燃油经济性最优 和模型预测MPC结合运用,上预测模型可实现在线预测近似实时最优 逆向迭代,正向求解(混动整车能量管理做到全局最优) 提供动态规划算法程序(DP) 神经网络预测模型程序(GA-BP RBF)=模型预测控制
基于SSM框架与layui的前后端分离校园论坛设计源码
09-30
本项目为校园论坛设计源码,采用SSM框架与layui实现前后端分离。源码共包含874个文件,涵盖198个JavaScript文件、193个PNG图片文件、94个GIF图片文件、84个CSS样式文件、79个HTML文件、56个Java文件、50个XML文件、15个JAR包文件、14个JPG图片文件、14个Less样式文件。前端采用HTML、CSS、JavaScript、jQuery和layui,集成百度富文本编辑器,实现前后端数据交互,后端返回数据格式为JSON。
27页-智慧校园建设规划方案.pdf
09-30
# 高校智慧校园解决方案摘要 智慧校园解决方案是针对高校信息化建设的核心工程,旨在通过物联网技术实现数字化校园的智能化升级。该方案通过融合计算机技术、网络通信技术、数据库技术和IC卡识别技术,初步实现了校园一卡通系统,进而通过人脸识别技术实现了更精准的校园安全管理、生活管理、教务管理和资源管理。 方案包括多个管理系统:智慧校园管理平台、一卡通卡务管理系统、一卡通人脸库管理平台、智能人脸识别消费管理系统、疫情防控管理系统、人脸识别无感识别管理系统、会议签到管理系统、人脸识别通道管理系统和图书馆对接管理系统。这些系统共同构成了智慧校园的信息化基础,通过统一数据库和操作平台,实现了数据共享和信息一致性。 智能人脸识别消费管理系统通过人脸识别终端,在无需接触的情况下快速完成消费支付过程,提升了校园服务效率。疫情防控管理系统利用热成像测温技术、视频智能分析等手段,实现了对校园人员体温监测和疫情信息实时上报,提高了校园公共卫生事件的预防和控制能力。 会议签到管理系统和人脸识别通道管理系统均基于人脸识别技术,实现了会议的快速签到和图书馆等场所的高效通行管理。与图书馆对接管理系统实现了一卡通系统与图书馆管理系统的无缝集成,提升了图书借阅的便捷性。 总体而言,该智慧校园解决方案通过集成的信息化管理系统,提升了校园管理的智能化水平,优化了校园生活体验,增强了校园安全,并提高了教学和科研的效率。
【精品毕设推荐】基于微信小程序的乐室预约小程序设计与实现【程序员VIP专用】.zip
最新发布
09-30
【项目简介】 可辅助在本地配置运行 本文以实际运用为开发背景,运用软件工程原理和开发方法,它主要是采用java语言技术和mysql数据库来完成对系统的设计。整个开发过程首先对乐室预约小程序进行需求分析,得出乐室预约小程序主要功能。接着对乐室预约小程序进行总体设计和详细设计。 总体设计主要包括小程序功能设计、小程序总体结构设计、小程序数据结构设计和小程序安全设计等;详细设计主要包括乐室预约小程序数据库访问的实现,主要功能模块的具体实现,模块实现关键代码等。 最后对乐室预约小程序进行了功能测试,并对测试结果进行了分析总结,得出乐室预约小程序存在的不足及需要改进的地方,为以后的乐室预约小程序维护提供了方便,同时也为今后开发类似乐室预约小程序提供了借鉴和帮助。 乐室预约小程序开发使系统能够更方便快捷,同时也促使乐室预约小程序变的更系统化、有序化。系统界面较友好,易于操作。 关键词:乐室预约小程序;java语言 Mysql 数据库 SSM框架
基于Python实现的深度学习光纤传感模式识别设计源码
09-30
本项目为基于Python的深度学习光纤传感模式识别设计源码,包含155个文件,包括66个Python源代码文件、65个PNG图像文件、7个Python字节码文件、6个文本文件、4个XML文件、2个Git忽略文件、2个Markdown文件、1个名称文件、1个Idea项目文件以及1个CAJ文档文件。该系统致力于实现光纤传感数据的模式识别,适用于相关领域的研究与应用。
基于Python的一键生成API脚手架的UI自动化测试初始化设计源码
09-30
该项目为Python编写的一键生成API脚手架的UI自动化测试初始化设计源码,包含49个文件,包括46个Python源文件、1个Git忽略文件、1个Markdown文档和1个文本文件。该工具旨在简化API脚手架的构建过程,适用于自动化测试开发领域。
基于拓展卡尔曼滤波的车辆质量与道路坡度估计 车辆坡度与质量识别模型,基于扩展卡尔曼滤波,估计曲线与实际误差合理 先用递归最小二
09-30
基于拓展卡尔曼滤波的车辆质量与道路坡度估计 车辆坡度与质量识别模型,基于扩展卡尔曼滤波,估计曲线与实际误差合理。 先用递归最小二乘法(RLS)质量识别,最后利用扩展卡尔曼坡度识别(EKF)。 送纹献 Matlab simulink模型 2019以上版本
ByteTrack超详细教程---训练自己的数据集(VOC格式)&实时摄像头检测和跟踪_ ByteTrack.zip
09-30
ByteTrack超详细教程---训练自己的数据集(VOC格式)&实时摄像头检测和跟踪_ ByteTrack
Linux Samba配置详解:实现局域网文件共享
Linux系统中设置和配置Samba服务器以实现文件共享是一项常见的任务,它允许你在不同操作系统之间共享资源。以下是一系列详细的步骤,帮助你完成这一过程。 首先,确认Samba服务器所需的包已安装。通过运行`rpm -...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值