2019年10月_systemino

原创 Kerberos中继攻击：滥用无约束委派（下）

上一篇文章，我只讲了中继攻击的基本理论，这篇文章，我会举两个示例来及具体说明。示例1：使用计算机帐户和SpoolService漏洞获取DC同步权限在第一种情况下，我们将滥用我的internal.corp实验室域中的计算机帐户的无约束委派权限。通过攻击用户testuser获得了此主机的管理权限，该用户是该主机上Administrators组的成员。我们将按照上面列出的步骤，首先获取Kerbe...

2019-10-10 16:20:29 1057

原创新WhiteShadow下载器用Microsoft SQL提取恶意软件

攻击活动分析2019年8月，Proofpoint研究人员发现了一系列的传播含有WhiteShadow下载器VB宏的word和Excel附件的恶意邮件活动。图1: AWhiteShadow攻击活动中的恶意邮件WhiteShadow是一种恶意软件交付服务，其中包含Microsoft SQL Server实例来保存下载器提取的主机payload。下面是攻击活动的概览：...

2019-10-10 16:12:09 169

模糊测试是现在最常用的漏洞挖掘技术，Fuzzer将半随机输入喂到到测试程序，目的是找到触发错误的输入。模糊测试在查找C或C ++程序中的内存破坏漏洞时特别有用。通常情况下，建议选择一个众所周知但很少探索的库，这个库在解析时很重要。历史上，像libjpeg，libpng和libyaml这样的东西都是完美的目标。如今找到一个好目标更难 – 一切似乎都已经被模糊化了。这是好事！我猜软件越来越好了！我...

2019-10-10 16:04:49 1833

原创云端数据提取的发展历程

在iOS取证中，当无法进行物理采集时，云端数据提取确实是一种可行的替代方案。在即将发布的iOS 13版本中，苹果攻击附加了额外的安全措施，无疑将使物理访问变得更加困难。虽然下载iCloud备份的能力已经被很多人掌握了，但对于如何获取用户登录名和密码以及双因素身份验证，很多人是无法逾越这个门槛的。早在2014年，就有研究人员介绍了如何使用身份验证令牌来访问没有密码的iCloud备份...

2019-10-10 15:56:58 960

原创滥用 ESI 详解（上）

在进行安全性评估时，我们注意到了标记语言 Edge Side Includes (ESI)中的一个意外行为，这种语言用于许多流行的 HTTP 代理(反向代理、负载平衡器、缓存服务器、代理服务器)。我们发现成功的 ESI 攻击可以导致服务器端请求伪造(SSRF)、各种绕过 HTTPOnly cookie 缓解标志的跨站脚本向量(XSS)和服务器端分布式拒绝服务攻击。我们称这种技术为 ESI 注入...

2019-10-10 15:54:04 2422

原创 CloudGoat 官方演练教程：Capital One 泄密事件的启发

引言云安全，特别是AWS安全，再次成为了新闻的焦点。这次是银行业巨头Capital One公司的一个重大漏洞。受影响的用户有1亿，是迄今为止最大的数据泄露事件之一。Capital One现在加入了成为AWS和其他云安全平台固有风险受害者的大量公司的行列。为了让其他人了解AWS的安全风险，我们犀牛安全实验室创建了CloudGoat。CloudGoat是一个“设计...

2019-10-10 15:47:19 583

原创如何在Windows上重现macOS上的取证技巧

当你执行Apple iCloud提取时，虽然无所谓是在Windows还是在macOS平台。但仍然有些差异，因为macOS具有更好或本机iCloud支持。虽然逻辑提取也可以在任何平台上完成，但是，当使用Elcomsoft iOS Forensic Toolkit进行越狱设备的完整文件系统提取时，强烈建议使用macOS。但是，如果你擅长于使用Windows，那么接下来我们就会给你讲解一些关于如何在Wi...

2019-10-10 15:35:20 380

原创 CVE-2019-16920：D-link RCE漏洞

简介2019年9月，Fortinet FortiGuard实验室发现并报告了D-Link 产品中的有个非认证的命令注入漏洞——CVE-2019-16920，成功利用该漏洞可以导致远程代码执行。因为该漏洞可以在不经过认证的情况下远程触发，因此研究人员将该漏洞评为中危。受影响的产品包括D-Link的：·DIR-655·DIR-866L·DIR-652·DHP-1565...

2019-10-10 15:29:21 1770

原创安全预警：Buran勒索病毒传入我国，用户宜小心处理不明邮件

一、概述腾讯安全御见威胁情报系统捕获到一款通过邮件向用户投递附带恶意宏的word文档，若用户下载邮件附件，启用宏代码，就会下载激活勒索病毒，导致磁盘文件被加密。该勒索病毒会在注册表和加密文件中写入“buran”字符串，故命名为buran勒索病毒。根据腾讯安全御见威胁情报中心的监测数据，该勒索病毒的感染主要在境外，有个别案例已在国内出现，腾讯安全专家提醒中国用户小心处理来历不明的邮件，不打...

2019-10-10 15:21:04 1068

原创以macOS.GMERA恶意软件为例，揭秘macOS环境下行为检测的原理及优势

概述上周，Trend Micro的研究人员在野外发现了一个新型的macOS恶意软件，该恶意软件会对真正的股票交易应用程序进行欺骗，开启后门，并运行恶意代码。在本文中，我们主要分析该恶意软件的工作原理，并以这一恶意软件为示例，讨论不同的检测和响应策略，特别重点说明在macOS上进行行为检测的原理和优势。GMERA恶意软件概述首先，让我们看一下这个新型macOS恶意软件的技术细节。研究...

2019-10-09 19:28:32 430

原创对一个chakra引擎中RCE漏洞的完整分析

篇文章是一篇关于ChakraCore的RCE漏洞的分析，从我发现它差不多已经过去一年了。我之前从未报告过此漏洞的原因是Chakra很长一段时间没有推出新版本，因此这个bug从未作为Edge的一部分被发布。我仍然可以向MSRC报告此漏洞，并且可能会收到一封感谢信，或者获得赏金。但是很不幸的是，这个洞最近被修补了，但是在安全开发团队发布补丁的同一天我绕过了补丁，让我们深入研究一下。利用条件...

2019-10-09 19:11:23 443

原创三起利用ODT文件格式绕过杀毒引擎的攻击案例分析

近期，思科Talos观察到利用Office应用程序的开放文档格式（OpenDocument，ODT）来绕过防病毒引擎的攻击行为。ODT是一个ZIP存档，其中包含Microsoft Office等软件使用的基于XML的文件。杀毒引擎往往将ODT文件视为标准归档文件，并且没有应用与Office文档相同的规则，另外还有一些沙箱也无法分析ODT文档，因为它被认为是归档文件，并且沙箱不会以Microso...

2019-10-09 19:07:59 367

原创来自TransparentTribe APT组织的窃密

01背景近期，深信服安全团队通过对海外第三方数据样本的监控，捕获到疑似TransparentTribe APT组织变种样本（当前在国内尚未发现该病毒活动迹象）。该组织又被称为ProjectM、C-Major，通常通过鱼叉式钓鱼邮件对特定国家政府发起针对性的攻击，主要为窃取受害者主机的敏感信息。02详细分析STEP1启用宏之后，诱饵文件正文如下，该诱饵文件伪装为“2019英勇奖名单...

2019-10-09 19:02:50 363

原创如何攻破PDF加密

为了确保机密性，PDF文件是加密的。通过加密可以在没有其他保护机制的情况下，实现敏感文件的安全传输和存储。发送者和接收者之间的密钥管理是基于口令或公钥的。如果是基于口令的，那么接收者必须知道发送者所使用的口令，或者口令必须通过安全通道来进行传输。如果是基于公钥的，那么发送者必须知道接收者的X.509证书。安全问题研究人员分析发现的pdf安全问题包括：在没有对应口令的情况下...

2019-10-09 18:48:47 545

原创 xHunt：针对科威特航运组织的攻击行动

概要2019年5月至6月，unit42安全团队在一起针对科威特航运业的攻击事件中，检测到了一个新后门工具——Hisoka，它的作用是下载几个的定制工具进行后漏洞利用，所有工具似乎都由同一个开发人员创建，最早的一个工具其版本可以追溯到2018年7月。工具的名称都借用了动漫《全职猎人》中的人物名字，这也是此次行动“xHunt”名称的来源，如后门工具Sakabota、Hisoka、Netero和...

2019-10-09 11:28:09 689

原创 Django 开发中你不可不知的 7 个 Web 安全头

Web是一个不断发展的平台，有很多向后兼容的问题。新的web安全实践通常来自于对存在缺陷的旧功能的认识。与其通过改变这些功能来破坏旧网站，还不如选择加入一些更安全的设置。你可以通过设置HTTP头来实现这一点。Securityheaders.com是一个由安全顾问Scott Helme运行的工具，它可以在这些安全头上创建一个报告。它为任何URL提供从F到A+的...

2019-10-08 23:24:57 521

原创无文件形式的恶意软件：了解非恶意软件攻击（一）

与基于文件的攻击不同，无文件恶意软件不会利用传统的可执行文件。无文件攻击滥用了操作系统内置的工具来进行攻击。从本质上讲，Windows是反对自己的。没有可执行文件，杀毒软件就无法检测到签名，这就是无文件攻击如此危险的原因，因为它们能够轻松逃避防病毒产品。利用MITRE ATT&CK框架防御这些攻击，MITRE ATT&CK是一款可以加速检测与响应的最新工具（对手战...

2019-10-08 23:22:26 1416

原创在 AWS 云环境中滥用 VPC 流量镜像抓取网络流量

云环境下的网络检测问题人们可能希望监视云环境中的网络流量有很多原因——出于攻击和防御的目的。被动的网络检查在云环境中可能很困难，而且在这之前需要对网络配置进行重大修改，以确保每台主机都被监控，并且不会被恶意用户绕过。这意味着作为一个攻击者，监视整个网络会产生数量难以置信的噪声，而且破坏任何东西也变得非常危险。对于在云端进行通用网络检查遇到的困难，渗透测试人员采用了其他更简单的方法，比如...

2019-10-08 23:20:36 1102

原创无文件形式的恶意软件：了解非恶意软件攻击（2）

上篇文章，我们介绍了非恶意软件如何工作？在攻击中使用非文件恶意软件的原因,以及PowerShell,什么是POWERSHELL合法使用？为什么要使用POWERSHELL进行无文件攻击？本篇文章，我们将继续介绍indows管理工具（WMI），以及为什么要使用WMI进行无文件攻击？另外还对.NET框架以及为什么要使用.NET进行无文件攻击都做了介绍。Windows管理工具（WMI）W...

2019-10-08 23:17:32 469

原创鱼叉式网络钓鱼攻击——一份关于攻击动机、技术和预防方法的完整指南

每天都有成千上万的鱼叉式钓鱼邮件发送给全世界的受害者。攻击有很多不同的路径，不管怎样攻击，都会对您的网络造成伤害。所以，准确的、有针对性的进行分析和执行是至关重要的。在本指南中，我们将介绍鱼叉式网络钓鱼攻击，包括技术、示例、缓解程序和一些最佳办法。鱼叉式网络钓鱼是什么？鱼叉式网络钓鱼是一种通过电子邮件活动执行的恶意行为，黑客可以通过电子邮件活动研究用户的目标，了解用户的喜好，并...

2019-10-08 23:15:26 2570 1

原创 CVE-2019-16219: WordPress (Core)存储型XSS漏洞

漏洞概述WordPress是最主流的内容管理系统（CMS），占全球CMS市场份额的60.4%，远高于第二的Joomla!（5.2%）。因此，有超过1/3的网站使用WordPress。FortiGuard研究人员近期发现一个WordPress中的存储型XSS 0day漏洞。该0day漏洞是由于WordPress 5.0中新内置的Gutenberg引发的XSS漏洞。该编辑器没有超过过滤Shortc...

2019-10-08 23:10:26 1191

原创渗透基础——从Exchange服务器上搜索和导出邮件

0x00 前言在渗透测试中，如果我们获得了Exchange服务器的管理权限，下一步就需要对Exchange服务器的邮件进行搜索和导出，本文将要介绍常用的两种方法，开源4个powershell脚本，分享脚本编写细节。0x01 简介本文将要介绍以下内容：·管理Exchange服务器上邮件的两种方法·导出邮件的两种方法·搜索邮件的两种方法注：本文介绍的方法均为power...

2019-10-08 23:03:41 3124

原创值得收藏！史上最全Windows安全工具锦集

“工欲善其事，必先利其器。”近日，深信服安全团队整理了一些常见的PE工具、调试反汇编工具、应急工具、流量分析工具和WebShell查杀工具，希望可以帮助到一些安全行业的初学者。PE工具篇PEiD一款著名的PE侦壳工具，可以检测PE常见的一些壳，但是目前已经无法从官网获得：EXEInfoPEPE侦壳工具，PEiD的加强版，可以查看EXE/DLL文件编译器信息、是否...

2019-10-08 22:57:51 1434

systemino的博客