记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华DLink RCE漏洞CVE-2019-17621分析
上一篇文章分了一下ARM系统的路由器漏洞,本次打算尝试一下MIPS系统,于是选了最近DLink路由器的漏洞CVE-2019-17621作为目标。同样一路走来各种踩坑不断,“纸上得来终觉浅,绝知此事要躬行”,对整个过程做一下梳理。
1、环境搭建
运行环境安装配置之前须了解你所使用的Linux系统的版本以及Qemu的版本,因为这直接影响着你后续选择安装各种依赖包、mips qemu镜像等的版本,各种版本都对应上,最终系统才能正确运行。本次漏洞分析的基础环境为前期的Ubuntu18.04虚拟机和基于qemu-4.0.0源码编译安装的Qemu运行环境:
从站点https://people.debian.org/~aurel32/qemu/mips/下载debianmips qemu镜像,由于虚拟机是Ubuntu li
权限维持及后门持久化技巧总结
一、前言
在攻击者利用漏洞获取到某台机器的控制权限之后,会考虑将该机器作为一个持久化的据点,种植一个具备持久化的后门,从而随时可以连接该被控机器进行深入渗透。本文从Windows持久化,Linux持久化和Web持久化对现有技术进行了总结,对于持久化的攻击形式,主要是靠edr、av等终端产品进行检测。
二、Windows后门
2.1辅助功能镜像劫持
为了使电脑更易于使用和访问,Windows 添加了一些辅助功能。这些功能可以在用户登录之前以组合键启动。根据这个特征,一些恶意软件无需登录到系统,通过远程桌面协议就可以执行恶意代码。
一些常见的辅助功能如:
C:WindowsSystem32sethc.exe 粘滞键
境外黑产团伙也复工,针对国内相关单位发起钓鱼攻击
概述
近日,奇安信病毒响应中心在日常样本监控过程中发现境外黑客团伙以国内某银行的名义向相关单位发送钓鱼邮件诱导收件人打开附件,从而运行恶意程序,导致单位信息、机密文件被窃取。
样本使用目前流行的混淆器,在执行过程中多次内存加载,最终运行NanoCore远控,连接远程服务器上传敏感数据。
通过奇安信大数据平台监测,已有国内相关单位中招,为防止威胁进一步扩散,病毒响应中心负责任地对相关样本进行披露和分析。
邮件分析
其发件人高仿中航船舶的邮件系统(@avicships.com),而中航船舶真实的邮箱地址为@avicship.com,差一个”s”,非常具有迷惑性。
附件内容如下:
从附件名称可以判断该黑客团伙似乎
RobbinHood勒索软件另辟渠道,通过驱动漏洞干翻杀毒软件
概述
2月初,奇安信病毒响应中心在日常样本监控过程中发现了一款名为“RobbinHood”的勒索软件通过使用“另类”的方式关闭并删除杀软,经分析,在执行过程中会释放并加载带有漏洞的技嘉驱动程序,之后会对该驱动程序进行漏洞利用,关闭Windows DSE机制,一旦利用成功便会迅速加载没有签名的Rootkit,Rootkit主要功能为结束并删除指定的进程和杀软,上述操作完成后开始加密。
威胁细节
在以往的勒索软件中,Nemty勒索使用Taskkill来结束指定的进程和服务,Snatch勒索会进入安全模式来加密文件,Sodinokibi勒索会使用CVE-2018-8453内核提权漏洞来提升自己的权限结束相关进程和服务。而本文的主角“RobbinHood”结束进程和服务的方式要比上述“残暴”不少。
RobbinHood
更新:补丁发布 | Microsoft Windows SMBv3.0服务远程代码执行漏洞(CVE-2020-0796)通告
文档信息
编号
QiAnXinTI-SV-2020-0008
关键字
SMB CVE-2020-0796
发布日期
2020年03月11日
更新日期
2020年03月12日
TLP
WHITE
分析团队
奇安信威胁情报中心
通告背景
2020年3月11日,某国外安全公司发布了一个近期微软安全补丁包所涉及漏洞的综述,其中谈到了一个威胁等级被标记为Critical的SMB服务远程代码执行漏洞(CVE-2020-0796),攻击者可以利用此漏洞远程无需用户验证通过发送构造特殊的恶意数据导致在目标系统上执行恶意代码,从而获取机器的完全控制。此漏洞主要影响支持SMBv3.0的设备,理论上存在蠕虫化的可
技术分析:针对gMSA密码的NTLM中继攻击
概述
gMSA,英文全称为“Group Managed Service Accounts”,即活动目录AD中的组托管服务账户。gMSA账户会将它们的密码存储在一个名叫“msDS-ManagedPassword”的LDAP属性中,DC每隔三十天就会自动对这个值进行重置,授权管理员以及安装它们的服务器都可以检索到这些密码。msDS-ManagedPassword是一个加密的数据块,名为“MSDS-MANAGEDPASSWORD_BLOB”,并且只有当连接是安全的时候(LDAPS或认证类型为‘Sealing&Secure’)才可以被检索到。
其实在此之前,我个人对gMSA了解的并不多,但是在观看了由Wald0和CptJesus主办的《Bloodhound 3.0》网络研讨会之
看我如何绕过Windows 10的用户组策略
在这篇文章中,我们将教大家如何利用Windows系统中的一个功能来绕过Windows 10的用户组策略。虽然绕过用户组策略并不意味着就是“世界末日”了,但是这毕竟是一种违规的危险操作,而且根据不同的用户组策略配置,这种绕过行为也会产生不同的安全后果。目前,我们已在Windows 7和Windows 10 64位企业版(10.18363 1909)中进行了测试,而且利用过程不需要管理员权限。这种技术跟系统在用户登录时对用户账号注册表的加载过程有关,因此我们首先需要了解Windows账号的登录过程。
用户登录
当用户登录一个Windows账号时会发生很多事情,其中一个就是为该账号加载用户定义的设置。这些设置是从用户的注册表配置单元中加载的,也就是HKEY_CURRENT_USER下的子项。这个注册表项中包含的都是
网空威胁情报(CTI)日益成熟: 2020年SANS CTI调查结果解读
一、报告核心观点
2020年2月份,SANS如期公布了《2020 SANS Cyber Threat Intelligence(CTI) Survey》,报告中首先强调了一下CTI的定义:网空威胁情报(CTI)是分析关于满足利益相关方特定需求的对手的能力、机会和意图的信息。组织利用网空威胁情报项目来聚焦于他们所面临的威胁,并提供具体的信息来帮助组织抵御这些威胁。
2020年的这篇报告受访组织数高达1006,几乎是2019年受访者的2倍。相比2019年,在2020年的调查报告中SANS听到了受访者们更多成熟的回答。SANS研究所在本次调研报告中,探讨了网空威胁情报在过去一年中的发展,下面摘录了《2020 SANS Cyber Threat Intelligence (CTI) Survey
如何使用Frida绕过Android网络安全配置
写在前面的话
在这篇文章中,我们将演示如何利用Frida脚本来绕过Android的网络安全配置,这是一种绕过网络安全配置的新技术。除此之外,我们还将演示如何在其他场景来测试该脚本,并分析脚本的运行机制。
在之前的一次Android应用程序安全审计过程中,首先我们要做的就是准备渗透测试的环境,并配置应用程序来绕过网络安全配置。由于我个人比较喜欢Frida,因此它也就成为了我的首选工具。
当时我下载了两到三个脚本,但是当我在Android 7.1.0中运行脚本时,没有一个可以成功的。这也就是为什么我想研究网络安全配置的运行机制,并且如何用Frida绕过它们。
我所做的第一件事就是生成不同的测试用例,我尝试选择了几款比较常见的:
1、OKHttp
2、HttpsURLConnection
3、WebView
接下
远控免杀从入门到实践(8)-shellcode免杀实践
郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
《远控免杀从入门到实践》系列文章目录:
1、远控免杀从入门到实践 (1)基础篇
2、远控免杀从入门到实践 (2)工具总结篇
3、远控免杀从入门到实践 (3)代码篇-C/C++
4、远控免杀从入门到实践 (4)代码篇-C#
5、远控免杀从入门到实践 (5)代码篇-Python
6、远控免杀从入门到实践 (6)代码篇-Powershell
7、远控免杀从入门到实践 (7)代码篇-Golang+Ruby
8、远控免杀从入门到实践(8)-shellcode免杀实践
前言
最近在研究shellcode的免杀技术,因本人以前主要是搞逆向的,shellcode免杀方面还是个小白,所以就想着去看
Windows Service Tracing中的权限提升漏洞分析 CVE-2020-0668
在这篇文章中,我们将讨论Windows Service Tracing中的一个任意文件移动漏洞。在我们的测试过程中,该漏洞将影响从Windows Vista至Windows 10的所有版本操作系统,但是Windows XP也很有可能会受此漏洞影响,因为XP系统中也有这项功能。
Windows Service Tracing
Service Tracing这项服务在Windows平台上历史悠久,早在XP就已经引入了这个功能。该功能可以给分析人员提供当前正在运行的服务及模块的相关基本调试信息,任意本地用户都可以通过编辑注册表键值(HKLMSOFTWAREMicrosoftTracing)来对其进行配置。
在Windows中,每一个服务或模块都对应了一个注册表键,每一个键包含
发布时间:2020-03-07 16:14 |
阅读:11024 | 评论:0 |
标签:漏洞 系统安全 CVE-2020-0668 Windows Service Tracing 权限提升 漏洞分析 CVE
如何从内存加载DLL
本教程介绍了一种技术,该技术可如何从内存中加载动态链接库(DLL)。
文章结尾将给出github地址
Windows可执行文件– PE格式
首先我们先看看pe的结构
DOS headerDOS stub
PE header
Section header
Section 1
Section 2
. . .
远控免杀从入门到实践(6)-代码篇-Powershell
郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
《远控免杀从入门到实践》系列文章目录:
1、远控免杀从入门到实践 (1)基础篇
2、远控免杀从入门到实践 (2)工具总结篇
3、远控免杀从入门到实践 (3)代码篇-C/C++
4、远控免杀从入门到实践 (4)代码篇-C#
5、远控免杀从入门到实践 (5)代码篇-Python
6、远控免杀从入门到实践 (6)代码篇-Powershell
7、远控免杀从入门到实践 (7)代码篇-Golang+Ruby
8、远控免杀从入门到实践 (8)白名单总结篇
9、远控免杀从入门到实践 (9)深入免杀 (暂定)
10、远控免杀从入门到实践 (10
在IPA中重签名iOS应用程序
当我们在对iOS应用程序执行黑盒安全测试时,我们一般只能从AppStore来访问和获取iOS应用程序。但是在大多数情况下,客户都会给我们提供一个IPA文件。在黑盒测试过程中,我们无法访问目标应用的源代码,因此通过Xcode将其部署到设备并进行测试,几乎是不可能的。但是有一种可行的解决方案,即使用我们手头上的配置文件来重新启动应用程序,并将其部署到我们的测试设备上。
在这篇文章中,我们将演示如何重新对一个iOS应用程序签名,并生成一个IPA文件,然后将其部署到我们的测试设备上。
代码签名
代码签名作为一种安全保护措施,苹果要求所有在其设备上运行的代码都必须由他们信任的开发人员进行数字签名,而数字(代码)签名的签名的工作方式与SSL证书在网站上的工作方式类似。
苹果
构造关联用户搜索的LNK文件研究
在此之前,Forensic的研究人员曾使用LNK快捷方式文件来恢复关于目标用户近期访问文件的元数据,其中包括那些访问过之后就删除的文件。在近期的一次研究过程中,FireEye Mandiant的研究人员遇到了一种能够验证攻击者是否访问目标文件的LNK文件,其中就包括Windows资源管理器中的搜索结果。根据我们的经验,结合上述这两种技术将能够设计出一种全新的取证方式。在这篇文章中,我们将跟大家分享这一个能够更好地映射出攻击者活动的技术。
Windows LNK格式
.lnk后缀是Windows中的一种文件格式,这种代码格式文件包含的信息可以用来访问Windows Shell中的其他数据对象。
LNK快捷方式文件时一种Shell Item类型,当用户通过一个支持的应用程序
远控免杀从入门到实践(4):代码篇-C#
郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
《远控免杀从入门到实践》系列文章目录:
1、远控免杀从入门到实践 (1)基础篇
2、远控免杀从入门到实践 (2)工具总结篇
3、远控免杀从入门到实践 (3)代码篇-C/C++
4、远控免杀从入门到实践 (4)代码篇-C#
5、远控免杀从入门到实践 (5)代码篇-Python
6、远控免杀从入门到实践 (6)代码篇-Powershell
7、远控免杀从入门到实践 (7)代码篇-Golang+Ruby
8、远控免杀从入门到实践 (8)白名单总结篇
9、远控免杀从入门到实践 (9)深入免杀 (暂定)
10、远控免杀从入门到实践 (10
公告
九层之台,起于累土;黑客之术,始于阅读