记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华【安全热点周报】第183期:PoC和EXP流出,CVE-2021-21972 vCente远程代码执行漏洞经验证危害较大
收录于话题
Saltstack存在多个高危漏洞,可导致远程代码执行
收录于话题 编者荐语: 漏洞影响较大,最严重的可导致远程代码执行。建议受影响用户及时升级最新版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。 以下文章来源于网络安全威胁和漏洞信息共享平台 ,作者CSTIS 网络安全威胁和漏洞信息共享平台 联合行业力量,构建网络安全实时监测数据的海量数据库,形成集威胁实时分析、研判、溯源、处置为一体的解决体系。平台为用户开放威胁信息共享,提供信息查询和订阅服务,实现互通有无、相存相依、良性共生的网络安全威胁共享生态圈。
【漏洞分析】Apache SkyWalking远程代码执行漏洞
收录于话题 #经典漏洞回顾 7个 漏洞名称 : Apache SkyWalking远程代码执行漏洞组件名称 : Apache SkyWalking威胁等级 : 高危影响范围 : Apache SkyWalking < v8.4.0漏洞类型 : 远程代码执行利用条件 : 1、用户认证:不需要用户认证2、触发方式:远程造成后果 : 攻击者可以构造恶意请求查询数据库敏感信息,结合H2数据库特性进一步造成远程代码执行漏洞。
CVE-2021-21972 vCenter 远程命令执行漏洞分析
收录于话题 报告编号:B6-2021-022501报告来源:360NoahLab报告作者:Ricter更新日期:2021-02-250x01漏洞简介vSphere 是 VMware 推出的虚拟化平台套件,包含 ESXi、vCenter Server 等一系列的软件。其中 vCenter Server 为 ESXi 的控制中心,可从单一控制点统一管理数据中心的所有 vSphere 主机和虚拟机,使得 IT 管理员能够提高控制能力,简化入场任务,并降低 IT 环境的管理复杂性与成本。vSphere Client(HTML5)在 vCenter Server 插件中存在一个远程执行代码漏洞。
HW行动执行官联盟建立!专治护网失信人员
收录于话题 开普勒安全团队 Author Alan 开普勒安全团队 开普勒安全团队秉着四项基本原则:互相尊重团队,互不攻击诽谤、合作共赢、共同提升安全技术。希望与其他安全团队,共同为中国的互联网安全做一份贡献。 0x00前言:HW行动迫在眉睫,各大厂商相继已开始招收2021年HW行动人员。“HW行动”是国家应对网络安全问题所做的重要布局之一。“HW行动”从2016年开始,随着我国对网络安全的重视,涉及单位不断扩大,越来越多都加入到“HW2021”行动中,网络安全对抗演练越来越贴近实际情况,各机构对待网络安全需求也从被动构建,升级为业务保障刚需。
发布时间:2021-02-25 12:03 |
阅读:5160 | 评论:0 |
标签:执行
Windows TCP/IP 远程代码执行漏洞(CVE-2021-24074)通告
文章目录一、 漏洞概述二、影响范围三、漏洞防护3.1官方升级3.2临时防护措施声明阅读: 2一、 漏洞概述2月10日,绿盟科技监测到微软在2月的补丁更新中修复了Windows TCP/IP远程代码执行漏洞(CVE-2021-24074),该漏洞位于IPv4源路由中,攻击者通过构造特殊的IP数据包,可远程在目标主机上执行任意代码。CVSS评分为9.8,影响系统广泛,请相关用户更新补丁进行防护。
发布时间:2021-02-24 18:58 |
阅读:10728 | 评论:0 |
标签:威胁通告 CVE-2021-24074 Windows TCP/IP 微软 漏洞 CVE windows 远程 执行
IBM QRadar SIEM远程代码执行漏洞 (CVE-2020-4888 POC)
收录于话题 IBM QRadar SIEM是美国IBM公司的一套利用安全智能保护资产和信息远离高级威胁的解决方案。该方案提供对整个IT架构范围进行监督、生成详细的数据访问和用户活动报告等功能。
带你搞懂符号执行的前世今生与最近技术
iddm带你读论文——SymQEMU:Compilation-based symbolic execution for binaries本篇文章收录于2021年网络安全顶会NDSS,介绍了最新的符号执行技术,并且清晰地比较了
发布时间:2021-02-23 16:48 |
阅读:5601 | 评论:0 |
标签:执行
Lazarus APT攻击手法之利用Build Events特性执行代码复现
收录于话题 近日,GoogleTAG安全部门披露了一起利用推特等社交媒体针对不同公司和组织从事漏洞研究和开发的安全研究人员的社会工程学攻击事件,经绿盟科技伏影实验室分析,确认此次事件为Lazarus组织针对网络安全行业的一次针对性网络攻击,并猜测其可能有更深层次的攻击意图和行动。绿盟科技攻击对抗技术研究团队M01NTeam也针对此次事件展开了全面的分析研判,认定本次事件是一个典型的“明修栈道、暗渡陈仓”社会工程学攻击事件,也将在本文中揭秘该事件中Lazarus组织使用的一种新型间接命令执行攻击技术。Lazarus组织是一支来自朝鲜半岛的APT组织。
利用angr符号执行去除虚假控制流
收录于话题 本文为看雪论坛优秀文章看雪论坛作者ID:34r7hm4n接触OLLVM也有好长一段时间了,但一直停留在应用层面,接下来一段时间打算从进一步研究OLLVM。
发布时间:2021-02-20 23:55 |
阅读:9571 | 评论:0 |
标签:执行
Apache Solr Velocity 注入远程命令执行漏洞 (CVE-2019-17558)
0x00简介Solr 是一个开源的企业级搜索服务器,底层使用易于扩展和修改的Java 来实现。服务器通信使用标准的HTTP 和XML,所以如果使用Solr 了解Java 技术会有用却不是必须的要求。Solr 主要特性有:强大的全文检索功能,高亮显示检索结果,动态集群,数据库接口和电子文档(Word ,PDF 等)的处理。而且Solr 具有高度的可扩展,支持分布搜索和索引的复制。0x01漏洞概述Apache Solr 5.0.0版本至8.3.1版本中存在输入验证错误漏洞。攻击者可借助Velocity模板利用该漏洞在系统上执行任意代码。
CVE-2021-3129:Laravel远程代码执行复现分析
收录于话题 #漏洞复现文章合集 79个 上方蓝色字体关注我们,一起学安全!作者:Xz&hatjwe@Timeline Sec本文字数:5952阅读时长:10~11min声明:请勿用作违法用途,否则后果自负0x01 简介Laravel 是一套简洁、优雅的PHP Web开发框架(PHP Web Framework)。它可以让你从面条一样杂乱的代码中解脱出来;它可以帮你构建一个完美的网络APP,而且每行代码都可以简洁、富于表达力。
Windows DNS Server远程代码执行漏洞(CVE-2021-24078)的详细原理分析
漏洞简介Windows DNS Server 是 Windows Server 服务器上的一项重要功能组件, 负责调度和处理域内主机的所有DNS相关服务。奇安信代码安全实验室的研究员在Windows DNS Server中发现一个严重的远程代码执行漏洞。它是首个由国内安全研究员发现并提交的蠕虫级漏洞,危害巨大,CVSS 评分为9.8分,堪比微软去年修复的另外一个 Windows DNS Server RCE漏洞 (CVE-2020-1350)。
Windows Defender远程代码执行漏洞(CVE-2021-1647)
01月13日,根据微软官方发布的漏洞安全通告显示,修复了Windows Defender远程代码执行漏洞;攻击者可通过向目标受害者发送邮件或恶意链接等方式诱导受害者下载攻击者构造的恶意文件,从而使Windows Defender在自动扫描恶意文件时触发利用该漏洞,最终控制受害者计算机。根据微软官方描述,CVE-2021-1647目前仍在传播利用中,在此提醒校园网用户尽快安装补丁阻止漏洞攻击,做好资产自检和预防工作,以免遭受攻击。一、漏洞情况分析Microsoft Defender是Windows的一款防病毒软件,具有病毒和威胁防护、账户保护,防火墙与网络保护,应用和浏览器控制等功能。
【漏洞通告】Windows TCP/IP 远程代码执行漏洞(CVE-2021-24074)
收录于话题 通告编号:NS-2021-00072021-02-10TAG:Windows、TCP/IP、CVE-2021-24074漏洞危害:攻击者利用此漏洞,可实现远程代码执行。版本:1.01漏洞概述2月10日,绿盟科技监测到微软在2月的补丁更新中修复了Windows TCP/IP远程代码执行漏洞(CVE-2021-24074),该漏洞位于IPv4源路由中,Windows默认配置下不启用此功能,攻击者可通过构造特殊的IP数据包,在目标主机上远程执行任意代码。CVSS评分为9.8,影响系统广泛,请相关用户更新补丁进行防护。
Windows TCP/IP 远程代码执行漏洞通告
0x01漏洞简述2021年02月10日,360CERT监测发现微软发布了Windows TCP/IP 远程代码执行漏洞的风险通告,该漏洞编号为CVE-2021-24074,漏洞等级:严重,漏洞评分:9.8。WIndows TCP/IP 协议中存在远程代码执行漏洞,攻击者通过精心构造的IP数据包,可直接在远程目标主机上执行任意代码。对此,360CERT建议广大用户及时将windows升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
Apache Skywalking GraphQL注入与远程代码执行漏洞风险通告,腾讯安全全面检测
收录于话题 2021年2月7日,Apache Skywalking官方发布安全更新公告,修复了Apache Skywalking SQL注入与远程代码执行漏洞。1漏洞详情ApacheSkyWalking的某GraphQL功能存在SQL注入漏洞,攻击者可以构造恶意请求查询数据库敏感信息,或利用H2数据库特性进一步造成远程代码执行。 ApacheSkyWalking是一款应用性能监控(APM)工具,对微服务、云原生和容器化应用提供自动化、高性能的监控方案。其官方网站显示,大量的国内互联网、银行、民航等领域的公司在使用此工具。
针对攻击目标量身定制 Cobalt Strike 的 Beacon 执行
收录于话题 你也许经历过这样的事情:完成了最初的侦察,发送了电子邮件收集 HTTP Header,配置合适的配置参数,设置 CDN 启动了流量重定向。接着什么都没有发生,但从 DNS 中可以看到 Beacon 已经被执行了。当然可以再次修改 Payload 重新发送钓鱼邮件,但是为时已晚,所有人已经收到了群发消息,要求谨慎打开可疑的邮件。钓鱼也正在变得越来越困难,尽量可以毕其功于一役,为第一次 Payload 执行提供更多的成功可能。一种可行的方案是在启动 Beacon 之前分析执行环境并检查可连接性,再令 C&C 的配置文件生效。
Skywalking远程代码执行漏洞预警
收录于话题 01时间轴2021-01-23蚂蚁安全非攻实验室 @fatansyC4t 向Apache官方报告了Apache Skywalking远程代码执行漏洞2021-02-04Apache Skywalking官方发布了补丁,修复了该漏洞。2021-02-07阿里云安全发布漏洞风险提示。02漏洞分析Skywalking历史上存在两次sql注入漏洞,CVE-2020-9483、CVE-2020-13921。经过源码分析,发现两次sql注入漏洞修复并不完善,仍存在一处sql注入漏洞。
恶意软件分析:利用Speakeasy仿真执行内核态Rootkits
0x00 概述在2020年8月,我们发布了一篇文章,内容涉及到如何使用Speakeasy仿真框架来模拟用户模式的恶意软件,例如Shellcode。我们建议还没有读过这篇文章的读者首先阅读这篇文章。除了用户模式仿真之外,Speakeasy还支持内核模式Windows二进制文件的仿真。当恶意软件作者使用内核模式的恶意软件时,通常会采用设备驱动程序的形式,其最终目标是完全感染目标系统。该恶意软件通常不与硬件交互,而是利用内核模式完全破坏系统并保持隐蔽性。0x01 动态分析内核恶意软件面临的挑战理想情况下,可以使用反汇编程序之类的工具对内核模式的样本进行静态分析。
发布时间:2021-02-07 09:56 |
阅读:5463 | 评论:0 |
标签:执行
Microsoft IE远程命令执行在野0day漏洞通告
通告概要2021年2月4日,韩国安全公司ENKI发布了据称是Lazarus组织针对安全研究人员的攻击活动后续补充分析,提到通过发送MHTML文件诱导目标人员点击并触发后续的Interne Explorer 浏览器相关0day漏洞,以此获取攻击者机器的控制权。该恶意MHTML文件下载后续恶意利用的域名为codevexillium.org,此域名为之前活动所使用的网络基础设施。奇安信威胁情报中心红雨滴团队第一时间跟进了该漏洞并确认该漏洞存在,鉴于该漏洞目前处于无补丁的0day状态而且已经被发现在野外利用,已构成现实的威胁。
Microsoft IE远程命令执行在野 0day 漏洞通告
收录于话题 #漏洞通告 2个 通告概要2021年2月4日,韩国安全公司ENKI发布了据称是Lazarus组织针对安全研究人员的攻击活动后续补充分析,提到通过发送MHTML文件诱导目标人员点击并触发后续的Interne Explorer 浏览器相关0day漏洞,以此获取攻击者机器的控制权。该恶意MHTML文件下载后续恶意利用的域名为codevexillium.org,此域名为之前活动所使用的网络基础设施。奇安信威胁情报中心红雨滴团队第一时间跟进了该漏洞并确认该漏洞存在,鉴于该漏洞目前处于无补丁的0day状态而且已经被发现在野外利用,已构成现实的威胁。
Apache Druid 远程代码执行漏洞分析(CVE-2021-25646)
作者:Skay@QAX A-TEAM原文链接:https://mp.weixin.qq.com/s/m7WLwJX-566WQ29Tuv7dtg一、调试环境https://archive.apache.org/dist/druid/0.20.1/这里尝试了几种常规的调试方法都不
在内存的目标文件上执行shellcode
收录于话题 在后渗透利用开发中,反射型DLL和shellcode注入仍然是最大的威胁,因为其执行仅在内存中进行,且不会把任何内容拖放到磁盘上。但是,大多数offsec工具只有在初始访问或利用易受攻击的服务和进程时,才会注入shellcode。后渗透利用的攻击者通常会选择可以直接加载到内存的反射性DLL和C#可执行文件。但如果我们可以用更高级的语言(例如C语言)编写shellcode呢?本文将深入探讨链接器和编译器的滥用,用C语言编写shellcode,然后进行提取。
Cisco修复SMB VPN路由器中的多个代码执行漏洞;安全公司Stormshield遭到攻击,部分源代码泄露
收录于话题 维他命安全简讯05星期五2021年02月【漏洞补丁】Cisco修复SMB VPN路由器中的多个代码执行漏洞【安全漏洞】Sudo提权漏洞影响macOS Big Sur,尚未发
CVE-2021-2109:Weblogic远程代码执行分析复现
收录于话题 #漏洞复现文章合集 78个 上方蓝色字体关注我们,一起学安全!作者:Whippet@Timeline Sec本文字数:2006阅读时长:7~8min声明:请勿用作违法用途,否则后果自负0x01 简介WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。
IBM QRadar SIEM远程代码执行漏洞 (CVE-2020-4888) 预警
一、基本情况近日,IBM发布IBM QRadar SIEM远程代码执行漏洞的风险通告,该漏洞CVE编号:CVE-2020-4888。远程攻击者可利用该漏洞在系统上执行任意命令。目前,该漏洞的利用细节已在互联网公开,建议受影响用户及时更新至最新版本,做好资产自查以及预防工作,以免遭受黑客攻击。二、漏洞等级高危三、漏洞描述IBM QRadar SIEM是美国IBM公司的一套利用安全智能保护资产和信息远离高级威胁的解决方案。该方案提供对整个IT架构范围进行监督,生成详细的数据访问和用户活动报告等功能。
漏洞复现: Apache Druid 远程代码执行漏洞 (CVE-2021-25646)
作者:Ja0k本文为作者投稿,Seebug Paper 期待你的分享,凡经采用即有礼品相送!投稿邮箱:paper@seebug.org 一.漏洞概要Apache Druid 是用Java编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据,并在数据之上提供低延迟查询。Apache Druid 默认情况下缺乏授权认证,攻击者可以发送特制请求,利用Druid服务器上进程的特权执行任意代码。
Apache druid未授权命令执行漏洞复现
收录于话题 #Web安全 46个 喜欢就关注我吧,订阅更多最新消息简介Apache Druid是一个实时分析型数据库,旨在对大型数据集进行快速的查询分析("OLAP"查询)。Druid最常被当做数据库来用以支持实时摄取、高性能查询和高稳定运行的应用场景,同时,Druid也通常被用来助力分析型应用的图形化界面,或者当做需要快速聚合的高并发后端API,Druid最适合应用于面向事件类型的数据。
Apache Druid 远程代码执行漏洞 (CVE-2021-25646) 漏洞复现
环境搭建:Docker https://github.com/apache/druid/tree/master/distribution/docker Build From the root of the repo, run docker build -t apache/druid:tag -f distribution/docker/Dockerfile .
公告
❤人人都能成为掌握黑客技术的英雄⛄️