原创 淺析bro網絡流量分析
0x00 概述 BRO 是一個開源功能強大的流量分析工具,主要用於協議解析(conn/dce_rpc/dhcp/dnp3/dns/ftp/http/irc /kerberos/modbus/mysql/ntlm/radius/rdp/rf
2020-07-04 01:35:06
31
原创 PHP源碼調試分析
前言 在看代碼的時候遇到了PHP的一些函數,有些函數的特性很魔性,並不好理解。 於是嘗試搭建環境對PHP源碼進行調試,希望更加深入的一些理解PHP的特性。 必備安裝 目標:在Windows環境下,構建PHP7.2的源代碼編譯和調試
2020-07-04 01:35:06
4
原创 無文件挖礦應急響應處置報告
一、情況概述 1.1 情況拓撲 由於運維過程中可能存在違規操作、過失操作或者防護能力不足導致被惡意操作使得主機遭受挖礦程序的侵害,該挖礦程序會下載惡意程序至WMI中,實現無文件挖礦和內網滲透,並下載DDOS攻擊程序和通過任務計劃每隔20分
2020-07-04 01:34:56
原创 代碼審計Day1 – in_array函數缺陷
前言 大家好,我們是紅日安全-代碼審計小組。最近我們小組正在做一個PHP代碼審計的項目,供大家學習交流,我們給這個項目起了一個名字叫 PHP-Audit-Labs 。現在大家所看到的系列文章,屬於項目 第一階段 的內容,本階段的內容題目均
2020-07-04 01:34:56
2
原创 基於E-Mail的隱蔽控制:機理與防禦
全機制進行了完善,目前普通的垃圾郵件或釣魚郵件已經無法逃脫郵箱服務器的檢測。針對以上問題,攻擊者對基於郵箱的惡意活動的安全性也進行了如下改進。 3.1 信息加密 對於遠程控制過程中命令的傳遞和竊取信息的回傳進行加密。加密方式有對稱加密和非
2020-07-04 01:34:56
原创 APT29 ATT&CK知識庫評測分析指南
ATT&CK真實情況分析報告 本報告結合真實數據對ATT&CK的技術矩陣情況和APT29評測進行數據統計分析 In [1]: from attackcti import attack_client import pandas as pd
2020-07-04 01:34:45
27
原创 Obtrusities: Where the Abstruse Meets the Obtuse
Obtrusities: Where the Abstruse Meets the Obtuse Wednesday, July 18, 2018 Oracle Privilege Escalation via Deseriali
2020-07-04 01:34:45
原创 Peach原理簡介與實戰:以Fuzz Web API爲例
0×0 此文目的 Fuzz即模糊測試,是一種使用大量的隨機數據測試系統安全的方法,Peach就是一種這樣的工具。網上零零星星有些介紹Peach的文章,也有少部分使用Peach測試某種文件的教程(其實就是直接翻譯官方文檔),並沒有針對實際協
2020-02-21 09:47:14
1
原创 Windows XML Event Log (EVTX)單條日誌清除(二)——程序實現刪除evtx文件的單條日誌記錄
0x00 前言 Windows XML Event Log (EVTX)單條日誌清除系列文章的第二篇,介紹對指定evtx文件的單條日誌刪除方法,解決在程序設計上需要考慮的多個問題,開源實現代碼。 0x01 簡介 本文將要介紹以下內容:
2020-02-21 09:47:13
原创 ICMP隱蔽隧道從入門到精通
概述 衆所周知傳統socket隧道已極少,tcp、upd大量被防禦系統攔截,dns、icmp、http/https等難於禁止的協議(當然還有各種xx over dns/icmp/http,後續再講)已成爲黑客控制隧道的主流。 本文從技術原
2020-02-21 09:47:13
原创 利用SSH隧道加密、隱蔽C&C通信流量
*嚴正聲明:本文僅限於技術討論與分享,嚴禁用於非法途徑。 一、背景簡介 在網絡攻防博弈中,網絡流量特徵分析類安全防禦措施得到了廣泛應用。衆多廠商和企業對網絡流量進行惡意流量分析檢測,從而針對性的採取防禦措施,如各級ISP在骨幹網絡設備上大
2019-07-30 18:56:54
2
原创 挖洞經驗丨有上傳文件的文件名處發現的時間延遲注入漏洞
*本文中涉及到的相關漏洞已報送廠商並得到修復,本文僅限技術研究與討論,嚴禁用於非法用途,否則產生的一切後果自行承擔。 該Writeup是作者在邀請測試項目中發現的,在上傳文件的文件名處(filename)的一個時間延遲盲注漏洞,這種姿勢相
2019-07-30 18:56:54
原创 看我如何發現Bol.com網站的XXE漏洞併成功利用
背景 在之前的報告中,我們學到了許多有關在訪問者的瀏覽器中執行代碼的知識;反射型XSS和存儲型XSS。此外,我們還快速查看了錯誤配置的服務器設置和Open Redirect(開放式重定向)。 今天,我們將探討的是如何從服務器竊取私有文件。
2019-07-30 18:56:54
1
原创 投遞惡意lnk使用JwsclTerminalServer實現遠程控制和信息獲取
*嚴正聲明:本文僅限於技術討論與分享,嚴禁用於非法途徑。 一、背景 最近捕獲到一枚惡意lnk,雙擊之後會觸發後續的攻擊鏈,執行流程如下圖所示。 二、詳細分析 雙擊lnk後會調用cmd執行被混淆後的腳本 "C:\Windows\syst
2019-07-13 17:46:22
原创 記一次入侵應急響應分析 -20190404
一、情況簡介 1.1發現存在入侵 2018年12月06日,我司“雲悉”互聯網安全監測平臺監測到某政府單位網站存在被植入惡意鏈接。我司“捕影”應急響應小組進行分析後確認爲真實入侵事件後,立即進入應急響應。 1.2應急處理分析結果 經過分析,
2019-04-04 18:19:45