记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

关于ProxyShell的NSA Meeting漏洞分析

作为Microsoft Exchange 2021年4月和5月补丁的一部分,几个可能导致代码执行或电子邮件劫持的重要漏洞得到了修复。任何过时的和公开的Exchange服务器都应该被认为已经受到了破坏,因为这些漏洞已经被利用了一段时间。由于仅在2021年报告和修补的Exchange漏洞数量众多,使用漏洞名称比使用它们的CVE编号要容易得多,因为它们可能带有错误的日期。众所周知的、最终可能导致代码执行的Exchange漏洞是ProxyShell和NSA Meeting漏洞。
发布时间:2022-01-17 13:19 | 阅读:2545 | 评论:0 | 标签:漏洞 shell 分析

Linux shell 脚本检查服务进程

Linux上有一些服务或进程偶尔会意外退出,需要一个能实时监控的功能。以下是监控 mysqld 和 httpd 这两个服务进程,每隔 20 秒检查一次 mysqld 和 httpd,如果服务进程不存在则启动。
发布时间:2022-01-17 01:56 | 阅读:3319 | 评论:0 | 标签:Linux linux shell

免杀笔记之 aes 加 lazy_importer 加 shellcode 分离

0x00 前言今天写一篇静态免杀的文章。思路来自于:https://captmeelo.com/redteam/maldev/2021/12/15/lazy-maldev.html 核心是 AES 加密 shellcode + lazy_importer 去符号+shellcode 分离。
发布时间:2022-01-15 09:38 | 阅读:7201 | 评论:0 | 标签:shellcode shell

pwncat:功能强大的反向Shell&BindShell处理工具

pwncat是一款功能强大的反向Shell&BindShell处理工具,同时也是一个针对Linux系统为测试目标的后渗透漏洞利用开发平台。该工具可以帮助广大红队研究人员简化常见的任务操作,同时可以转移来自攻击者机器(而非目标)的代码。之前版本的pwncat仅支持Linux平台,但开发人员近期在增加支持平台方面做出了大量的努力。目前,针对Windows目标廷加了Alpha版本支持。pwncat可以拦截目标与远程shell的原始通信,并允许用户在远程主机上执行自动操作,包括枚举、植入可执行程序甚至实现权限提升等。
发布时间:2022-01-15 09:38 | 阅读:6170 | 评论:0 | 标签:shell

多个勒索软件团伙利用VMware的Log4Shell漏洞

日前,英国国民保健署(NHS)警告称,黑客们正在大肆利用VMware Horizon虚拟桌面平台中的Log4Shell漏洞,以部署勒索软件及其他恶意程序包。随后,微软证实,一个名为DEV-0401的勒索软件团伙在1月4日就利用了VMware Horizon中的漏洞(CVE-2021-44228)。微软表示:“我们的调查表明,这些活动有些已成功入侵目标系统,并部署了NightSky勒索软件。”微软的调查结果为NHS的早期警报提供了新线索,NHS警告称:“攻击者肆意利用VMware Horizon服务器中的Log4Shell漏洞,企图建立Web Shell。
发布时间:2022-01-14 15:10 | 阅读:6812 | 评论:0 | 标签:漏洞 勒索 shell

伊朗APT35黑客组织利用Log4j漏洞部署新型PowerShell后门

2022年1月,美国Check Point软件技术有限公司的研究人员表示,APT35组织正在利用Log4Shell漏洞进行攻击并在Windows PowerShell中植入一种新型后门。APT35组织又被称为‘Charming Kitten(迷人的小猫)’或者‘Phosphorus(磷)’,一个被普遍认定为归属于伊朗国家政府的黑客组织。研究显示,APT35是第一批利用Log4Shell漏洞的组织之一。该组织往往在目标更新安全补丁之前就能够扫描出易受攻击的系统。他们近日部署的新型模块化后门名为“CharmPower”。
发布时间:2022-01-14 13:12 | 阅读:5894 | 评论:0 | 标签:后门 漏洞 apt 黑客 shell log4j

伊朗黑客利用Log4j漏洞部署PowerShell后门

伊朗黑客利用Log4j漏洞部署PowerShell后门 一名伊朗国家赞助的参与者被观察到扫描并试图在公开暴露的Java应用程序中滥用Log4Shell漏洞,以部署迄今为止未记录的基于PowerShell的模块化后门,称为"CharmPower",用于后续开发后。"参与者的攻击设置显然是匆忙的,因为他们使用基本的开源工具进行开发,并将他们的操作基于以前的基础设施,这使得攻击更容易检测和归因,"Check Point的研究人员在本周发表的一份报告中说。
发布时间:2022-01-14 09:52 | 阅读:6274 | 评论:0 | 标签:后门 漏洞 黑客 shell log4j

警告!与Log4Shell相似的Java漏洞出现了

安全研究人员警告称,一个最新的严重的Java错误,其本质与目前在全球范围内利用的臭名昭著的 Log4Shell 漏洞相同 。CVE-2021-42392 尚未在国家漏洞数据库 (NVD) 中正式发布,但据软件企业内JFrog 称,它影响了流行的H2 Java SQL 数据库的控制台。这家安全公司提醒,任何目前运行的暴露于其 LAN 或 WAN 的 H2 控制台的组织立即将数据库更新到 2.0.206 版本,否则攻击者可能会利用它进行未经身份验证的远程代码执行 (RCE)。与 Log4Shell 一样,该错误与 JNDI(Java 命名和目录接口)“远程类加载”有关。
发布时间:2022-01-10 09:36 | 阅读:8860 | 评论:0 | 标签:漏洞 java shell

Squirrelwaffle利用ProxyShell和ProxyLogon实施电子邮件攻击

利用电子邮件发起攻击是各类攻击组织屡试不爽的方式,过去的几年中 Emotet 一直是利用电子邮件发起攻击的大头,但在 Emotet 家族被多国政府执法铲除后,尚未有组织能够成为领头羊。从 2021 年 9 月开始,研究人员陆续发现许多带有恶意 Office 文档附件的垃圾邮件在大量传播。与 Emotet 类似,这些攻击活动利用被盗的电子邮件发起攻击,内容看起来是对已有邮件的回复,其实是包含下载恶意 ZIP 文件的超链接。
发布时间:2022-01-09 13:19 | 阅读:10166 | 评论:0 | 标签:WAF 攻击 shell

Aquatic Panda利用Log4Shell漏洞攻击学术机构

名为Aquatic Panda的网络犯罪分子是一个利用Log4Shell漏洞的最新高级持续威胁组织(APT)。根据周三发布的研究报告,CrowdStrike Falcon OverWatch的研究人员最近在一次针对大型未公开学术机构的攻击中,在易受攻击的VMware安装上扰乱了使用Log4Shell漏洞利用工具的威胁参与者。CrowdStrike报告的作者本杰明·威利(Benjamin Wiley)写道:“Aquatic Panda具有情报收集和工业间谍活动的双重使命。”Wiley表示,研究人员发现了与目标基础设施相关的可疑活动。
发布时间:2022-01-06 13:16 | 阅读:12518 | 评论:0 | 标签:漏洞 攻击 shell

利用log4shell传播的StealthLoader病毒分析后续

概述: 在上篇文章中我们对StealthLoader做了简单的分析,本文将简要分析StealthLoader加载的StealthBot的内容。 从上篇文章结尾处的load的位置dump出样本,发现此样本有混淆,有反调试,通过与”microsoft.com”尝试通信检测网络;并且获取系统信息,最终释放挖矿程序以及账户配置信息等,通过创建开机启动项等实现持久化。 行为分析: 去混淆后可以更清晰的看出程序的逻辑,获取程序执行的路径 获取两次获取系统时间作差检测调试。 创建子线程,休眠 2147367705ms后杀死当前主进程。 尝试解析“microsoft.com”的ip,如果解析不成功则杀死进程。
发布时间:2022-01-06 11:21 | 阅读:10969 | 评论:0 | 标签:dump load log4shell microsoft.com PowerShell StealthLoader

传感器网络安全:一个比Log4shell还严重的漏洞

近日,针对ICS/OT网络安全专家Ankit Suthar的文章“您的智能仪器安全吗?中陈述的事实,即一家石化设施中的3,000多台智能仪器被发现没有设置口令,即使在默认情况下也是如此。国际知名自动化专家、控制系统网络安全专家,Applied Control Solutions公司管理合伙人Joe Weiss指出,这种传感器的明显漏洞,其后果和影响远远超过了Log4shell漏洞。恶意行为者只需插入他的HART通讯设备便可根据需要进行更改。这可能会导致炸毁炼油厂、爆裂管道、释放有毒化学品、接管电力变压器等系列不良后果。Weiss认为,传感器的网络安全需要不断检查和改进。
发布时间:2022-01-06 01:58 | 阅读:15392 | 评论:0 | 标签:漏洞 shell 网络安全 安全 网络

已经有攻击者利用迭代后的Log4Shell漏洞发起攻击

在 12 月初,出现了一个核弹级的系统漏洞,导致众多互联网公司内部服务器被发现,劫持,甚至被植入程序。尽管目前已经出台了修复补丁,但攻击还在继续,因为它出现在最基础的log4j 模块 上。Log4j是Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。
发布时间:2022-01-04 13:17 | 阅读:8665 | 评论:0 | 标签:漏洞 攻击 shell

走进shellcode

前言在做红蓝攻防时,常常要用到cs、msf等工具,使用工具生成shellcode或可执行程序,那么小小的shellcode为何能做这么多事情,拿到shellcode后又该怎么分析。希望这篇文章能给大家带来答案,文章中不正确的地方请及时指出。shellcode定义shellcode是一段用于利用软件漏洞而执行的代码,shellcode为16进制之机械码,以其经常让攻击者获得shell而得名。shellcode常常使用机器语言编写。在寄存器eip溢出后,加入一段可让CPU执行的shellcode机械码,让电脑可以执行攻击者的任意指令。
发布时间:2021-12-31 14:59 | 阅读:10711 | 评论:0 | 标签:shellcode shell

Aggressor Script 开发-Powershell 免杀

前言 在接触到Cobalt Strike的时候就知道有各种插件,想象着那天也可以自己学习编写一个。在之前分析Cobalt Strike powershell木马的时候,正好看到了Win-PS2EXE 项目用来编译为exe,免杀效果还不错且大小只有几十KB。即如此,何不利用Aggressor Script 编写一个cna脚本用来实现Win-PS2EXE编译为exe? Sleep 语言 我们都知道Cobalt Strike的插件现在都由Aggressor Script语言编写,由Sleep语言解析。对于Sleep语言网上学习的资料比较少,还好这个语言学起来也比较简单。
发布时间:2021-12-24 02:07 | 阅读:13410 | 评论:0 | 标签:红队技术 shell

除了 Log4Shell 漏洞 ,Apache 还有别的 bug

#apache 1 个 #服务器 1 个 #网络安全 42 个 #bug 1 个 这段时间提到Apache,安全从业者最大的感受恐怕是“麻了”。毕竟月初爆出的Apache Log4Shell 漏洞堪称“核弹级别”,持续半个月影响还在扩散,全球半数企业纷纷自危,且新的相关漏洞也接连出现。可谓是天长地久有时尽,Log4Shell 漏洞绵绵无绝期。不过在关注Log4Shell进展的同时,也不要忽略了其他影响巨大的漏洞。前两天,Apache 发布更新,修复了同样应用广泛的 HTTPD 服务器中的两个漏洞,两个漏洞都影响 Apache HTTPD Server 2.4.51 及更早版本。
发布时间:2021-12-23 23:08 | 阅读:15860 | 评论:0 | 标签:漏洞 shell

五眼联盟联合警报:Apache Log4Shell漏洞的网络威胁正在逼近

美国CISA、FBI、NSA以及五眼联盟的另外四个国家的网络安全机构当地时间12月22日发布联合网络安全咨询公告,警告称黑客正在“积极利用”最近在Apache日志库log4j中发现的三个漏洞。五国的网络安全机构在这份联合警告中概述了他们对这一漏洞的担忧。
发布时间:2021-12-23 12:28 | 阅读:13301 | 评论:0 | 标签:漏洞 shell 网络

12月23日每日安全热点 - 比利时国防部受到Log4Shell漏洞攻击

漏洞 VulnerabilityRed Hat Enterprise Linux 8 openssl 更新https://access.redhat.com/errata/RHSA-2021:5226QEMU 中修复了拒绝服务漏洞https://lists.gnu.org/archive/html/qemu-devel/2021-02/ms
发布时间:2021-12-23 10:27 | 阅读:16127 | 评论:0 | 标签:漏洞 攻击 shell 安全

新的Log4Shell攻击载体将会威胁本地主机的安全

在本周末,很多企业的网络安全人员正忙得不可开交。Log4j漏洞出现了另外一种攻击载体,它通过使用底层的Javascript WebSocket连接,通过驱动式的破坏,在本地服务器上触发远程代码执行(RCE)漏洞进行攻击。换句话说,攻击者可以利用漏洞攻击那些并不暴露于任何网络内部系统中的以localhost运行的服务。Blumira公司的研究人员指出,这一发现推翻了Log4Shell攻击仅限于暴露的有漏洞的网络服务器的说法。
发布时间:2021-12-21 13:13 | 阅读:15867 | 评论:0 | 标签:攻击 shell 安全

一次未授权的访问到获取系统shell的过程

本文记录了从一次未授权的访问到获取系统shell的渗透测试过程,文中主要阐述了攻击方法、漏洞成因以及防御思路。在进行攻防过程阶段,最重要的工作莫过于信息收集,本文不想记录对信息收集中的数据反复甄别的过程,而是想对一次重大的发现进行过程记录,通过对收集的数据进行反复的筛选发现了2375端口,相信很多在做云原生或者做容器化部署的朋友,应该对这个端口不陌生,没错这个就是docker swarm。从官方的文档可以看出swarm是用来管理docker集群的,本次获取shell权限的过程就与此有着莫大的关系。
发布时间:2021-12-21 12:14 | 阅读:12954 | 评论:0 | 标签:shell

比利时国防部遭受利用 Log4Shell 漏洞的网络攻击

比利时国防部证实它受到了网络攻击,攻击者似乎利用了Log4Shell漏洞。该攻击于周四被发现,今天政府披露了它,但据当地媒体报道,安全漏洞使该部的活动中断了几天。“黑客利用了一个名为 Log4j 的软件漏洞,该漏洞于 12 月初被发现,该部发言人告诉 当地媒体。该部于上周四揭露了这起袭击事件。” 报道政治。目前,比利时国防部尚未提供有关此次袭击的信息。比利时国防部长 Ludivine Dedonder 的发言人说:“过去几天,该部的团队一直在努力保护其网络安全。” 为防止未来发生类似事件,政府将继续投资网络安全。
发布时间:2021-12-21 12:14 | 阅读:16191 | 评论:0 | 标签:漏洞 攻击 shell 网络

继“永恒之蓝”后,TellYouThePass 正利用 Log4Shell卷土重来

据securityaffairs消息,来自KnownSec 404 团队和深信服威胁情报团队的研究人员报告称,TellYouThePass 勒索软件正在利用Apache Log4j CVE-2021-44228漏洞卷土重来,针对 Linux 和 Windows 系统发起进攻。“12月13日,深信服终端安全团队和安服应急响应中心联合监测到一个名为Tellyouthepass的勒索病毒,该团伙已对双平台进行攻击。深信服捕获到大量Tellyouthepass勒索病毒拦截日志。”“值得注意的是,这并不是 Tellyouthepass 勒索软件第一次利用高危漏洞发动攻击。
发布时间:2021-12-20 15:52 | 阅读:13643 | 评论:0 | 标签:shell

〖工具〗log4Shell核弹级漏洞复现&Ladon批量检测

漏洞简介Apache Log4j2是一款优秀的Java日志框架。近日,漏洞银行安全团队注意到了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。漏洞原理Apache Log4j2 中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。
发布时间:2021-12-18 23:39 | 阅读:29004 | 评论:0 | 标签:漏洞 shell

log4Shell核弹级漏洞复现&Ladon批量检测

漏洞简介 Apache Log4j2是一款优秀的Java日志框架。近日,漏洞银行安全团队注意到了Apache Log4j2远程代码执行漏洞。由于Apache Log4j2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 漏洞原理Apache Log4j2 中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。
发布时间:2021-12-17 04:53 | 阅读:22289 | 评论:0 | 标签:业界快讯 Ladon批量检测 log4j2漏洞 漏洞 shell

Log4Shell 重创 Kronos 私有云服务:打乱公司运作 影响节前工资发放

一场严重的勒索软件危机打乱了很多大公司的运作,一些工人则担忧无法在圣诞假期前拿到最后一笔工资。而这一切的魁首就是近期臭名昭著的 Log4Shell 攻击,这让劳务解决方案公司 Kronos 可能要面临持续数周的业务中断。这一安全事件已经影响了纽约市地铁交通局、本田公司、GameStop 等机构的人力资源运作。 一名全食超市的工作人员向 NBC 新闻透露:“我们对即将到来的星期五的工资支票真的很担心”。他说,员工们不得不使用“纸质打卡表来记录我们的工作时间”。 Kronos 私有云是一套人力资源软件,由一家名为 Ultimate Kronos Group(简称 UKG)的公司运营。
发布时间:2021-12-16 15:05 | 阅读:16705 | 评论:0 | 标签:网络攻击 Kronos log4shell shell

BitDefender 发现首个利用Log4Shell漏洞的勒索软件

日前,BitDefender 宣称发现首个通过 Log4Shell 漏洞直接安装的勒索软件,该漏洞利用程序会下载一个 Java 类hxxp://3.145.115[.]94/Main.class(该类由 Log4j 应用程序加载和执行)文件。加载后,它会从同一台服务器下载一个 .NET 二进制文件,该文件是一个安装名为“Khonsari”的新勒索软件。这个名字也被用作加密文件的扩展名和勒索通知,如图1所示。
发布时间:2021-12-16 14:56 | 阅读:12858 | 评论:0 | 标签:漏洞 勒索 shell

失控!Log4Shell漏洞出现六十多个恶性变种

2021年最重大的网络安全灾难莫过于当下肆虐全球的Apache Log4j日志库漏洞利用(又称Log4Shell,编号CVE-2021-44228)。自上周公开披露以来,Log4Shell漏洞像癌症一样在互联网上迅猛扩散,导致全球的企业安全人员都失去了周末假期。根据业界众多网络安全公司的观测,目前大多数Log4Shell漏洞利用主要是挖矿软件,但攻击者也在积极尝试在易受攻击的系统上安装更危险的恶意软件。据微软研究人员称,除了挖矿软件之外,他们还看到了Cobalt Strike的安装,攻击者可以用它来窃取密码,通过横向移动进一步潜入受感染的网络并窃取数据。
发布时间:2021-12-16 04:31 | 阅读:15804 | 评论:0 | 标签:漏洞 shell

新的勒索软件正被部署在 Log4Shell 攻击中

据 bleepingcomputer 消息,上周五,基于Java日志平台的 "Log4Shell "漏洞公开利用程序被发布。Log4j是一个开发框架,允许开发人员在他们的Java应用程序中添加错误及事件日志。该漏洞允许威胁者创建特殊的 JNDI 字符串,当 Log4j 读取这些字符串时,会导致平台连接到 URL 并在其中执行代码。这使得攻击者可以很容易地检测到易受攻击的设备,继而执行由远程站点或通过Base64 编码字符串提供的代码。
发布时间:2021-12-15 21:09 | 阅读:17376 | 评论:0 | 标签:攻击 勒索 shell

Log4shell漏洞研究及其挖矿案例分析

Apache Log4j是Apache的一个开源项目,是一个基于Java的日志记录工具,因其卓越的性能,使用极其广泛。近日该组件编号为CVE-2021-44228的漏洞Log4shell被披露,大量常用框架已经被发现存在该漏洞,本漏洞触发条件极其简单,且无需特殊配置,风险极大。漏洞描述:攻击者可直接构造恶意请求,触发远程代码执行漏洞。
发布时间:2021-12-15 18:26 | 阅读:29712 | 评论:0 | 标签:漏洞 shell 分析

log4shell 分析

作者:lxraa本文为作者投稿,Seebug Paper 期待你的分享,凡经采用即有礼品相送! 投稿邮箱:paper@seebug.org一、漏洞分析调试版本:2.14.11、漏洞触发点:or
发布时间:2021-12-15 18:23 | 阅读:56620 | 评论:0 | 标签:shell 分析

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求打赏·赞助·支持💖

标签云

本页关键词