Jeeseen123的博客

0x00 远线程注入远线程注入是指一个进程在另一个进程中创建线程的技术。0x01 函数介绍OpenProcess作用： 打开现有的本地进程对象。函数声明：HANDLE WINAPI OpenProcess( _In_ DWORD dwDesiredAccess, _In_ BOOL bInheritHandle, _In_ DWORD dwProcessId)参数：dwDesiredAccess：想拥有该进程的访问权限，若进程启动了SeDebugPrivile

SSH软链接后门利用和原理本文由锦行科技的安全研究团队提供，主要介绍SSH软连接后门的利用和相关原理。00 利用前提ssh配置中开启了PAM进行身份验证查看是否使用PAM进行身份验证：cat/etc/ssh/sshd_config|grep UsePAM01 建立后门建立软连接后门：ln-sf/usr/sbin/sshd/tmp/su;/tmp/su-oPort=1234注意：软链接的路径不是绝对的，但名字不是随便命名的，使用命令find/etc/pam.d|xargs grep "pam_r

PHAR (“Php ARchive”) 是PHP中的打包文件，相当于Java中的JAR文件，在php5.3或者更高的版本中默认开启。PHAR文件缺省状态是只读的，当我们要创建一个Phar文件需要修改php.ini中的phar.readonly，修改为：phar.readonly = 0当通过phar://协议对phar文件进行文件操作时，将会对phar文件中的Meta-data进行反序列化操作，可能造成一些反序列化漏洞。本文由锦行科技的安全研究团队提供，从攻击者的角度展示了PHAR反序列化攻击的原理和

摘要基于诱捕节点，蜜罐可以实现攻击欺骗转移和资产隔离防护。但是现有诱捕节点的实现技术存在IP地址资源的分配和冲突的风险，日常维护要求高，需要配备专业的网管人员，增加人力成本。本文锦行科技提出了一种新的基于windows操作系统的诱捕节点实现技术，利用Libuv库以及采用多进程服务架构技术，在诱捕节点模拟主机网络服务，并通过采用linux虚拟网卡技术的中间层服务实时转发到蜜罐主机中，实现整个攻击者攻击行为的监控及告警功能，解决了现有技术中存在IP地址资源的分配和冲突的风险，增加诱捕节点密度，同时降低了部署

Fastjson提供autotype功能，允许用户在反序列化数据中通过 @type 指定反序列化的类型，其次Fastjson自定义的反序列化会调用指定类中的setter方法和部分getter方法。当组件开启autotype并且反序列化不可信的数据时，攻击者构造的数据（恶意代码）会进入特定类的setter或getter方法中，可能会被恶意利用。影响版本Fastjson1.2.47以及之前的版本复现1.1 环境准备攻击机1用于接受反弹shell系统：Win10 x64安装nc，burpsuit

5月9日，美国交通部发布一份“区域紧急状态声明”，美国最大燃油管道运营商Colonial Pipeline因受勒索软件攻击，被迫临时关闭其美国东部沿海各州供油的关键燃油网络。此次勒索攻击使美国三个区域受到了断油的影响，共涉及17个州。这是美国首次因网络攻击事件而进入国家紧急状态，这次事件也敲响了关键基础设施网络安全的警钟。

git多个版本中，对符号链接处理不严格。在大小写敏感（例如Linux）的文件系统上传文件到git后，使用大小写不敏感文件系统（例如Windows）的主机克隆恶意仓库时可能导致远程命令执行。本文由锦行科技的安全研究团队提供，从攻击者的角度还原了Git-RCE的渗透过程。触发条件：仓库中存在同名的链接符号和目录符号链接指向特殊目录（目前看来是.git/hooks）受害机需要有足够权限执行恶意命令01 复现01 环境准备①仓库准备：系统：ubuntux64需安装 git、git-lfs