5月6日-每日安全知识热点

meterpreter cheatsheet(主要用于Post Exploit时,包括收集信息,嗅探,提权等命令) ,而这篇文章http://buffered.io/posts/continued-meterpreter-development/可以作为一个补充,告诉你可以通过powershell扩展模块实现反向端口转发,通过命名管道实现Pivots

https://scadahacker.com/library/Documents/Cheat_Sheets/Hacking%20-%20Meterpreter%20Cheat%20%20Sheet.pdf

Target=”_blank” 最容易被低估的漏洞 (本文主要将当打开新标签或者页面时,容易被钓鱼,防护方法主要有添加rel="noopener"属性,当然不同的浏览器,支持的标准不一样)

https://medium.com/@jitbit/target-blank-the-most-underestimated-vulnerability-ever-96e328301f4c#.anr6syf1v

在Visual Studio编译器中编写和优化WIN32 SHELLCODE

http://winternl.com/2016/05/02/hello-world/

命令行下的开源DLL注入工具

https://code.google.com/archive/p/injector/

Jaku僵尸网络在常见的僵尸网络噪音中隐藏自己攻击的目标,具体技术文档可以参考https://www.forcepoint.com/sites/default/files/resources/files/report_jaku_analysis_of_botnet_campaign_en_0.pdf

https://www.helpnetsecurity.com/2016/05/05/jaku-botnet-targeted-attacks/

缓解密码攻击,在云中保护身份认证

https://blogs.microsoft.com/cybertrust/2016/05/05/protecting-identities-in-the-cloud-mitigating-password-attacks/

寻找恶意二进制文件中的相似性,一个针对Regin和Qwerty的案例学习

https://hal.inria.fr/hal-01263123/document

使用Cerbero Profiler2.6分析PDF/XDP恶意文件,不错的工具,想尝试下的朋友可以通过https://store.cerbero.io/profiler/download/下载试用版

http://cerbero-blog.com/?p=1612

2016年第一季度的DDoS攻击报告,可以看出NTP反射放大攻击还是比较流行的攻击方式

http://www.nexusguard.com/hubfs/Threat_Report_Q1_2016_Final.pdf?utm_referrer=https%3A%2F%2Ft.co%2FADAg2h1NF4

CVE-2016–3714漏洞的主题网站,中文分析可以参考http://drops.wooyun.org/papers/15589(CVE-2016-3714 – ImageMagick 命令执行分析)以及 http://blogs.360.cn/blog/imagetragickcve-2016-3714%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ (Imagetragick(CVE-2016-3714)漏洞分析),防护方面启明ADLAB的ImageMagick漏洞的检测工具(https://mp.weixin.qq.com/s?__biz=MzAwNTI1NDI3MQ==&mid=502128084&idx=1&sn=8cbe0b331ba234be3d1019127aecc604&scene=1&srcid=0506tlzzUoSgGukv2as8Isnb&pass_ticket=XPKwigcPfzXRazs%2F3kXOiuAvjnkOe1iU9cIV3VP6KG44pW9AvWqTbXYanthemsA6#rd),他检测分2部分,一个是检测系统是否存在有漏洞版本的Imagemagick软件,一个是检测上传目录中的图片是否包含恶意字符(思路类似https://github.com/NSAKEY/tragick-discovery)。

https://imagetragick.com/

OPENSSH正在计划逐步取消对 SSH protocol 1的支持 (针对 SSH protocol 1的攻击实际渗透中可以中间人劫持明文密码,也有针对 SSH protocol 2降级攻击的风险)

http://lists.mindrot.org/pipermail/openssh-unix-dev/2016-May/035069.html

“Squoison”攻击:Squid代理服务器严重性漏洞允许缓存投毒攻击 (由清华大学的Jianjun Chen发现squid不符合RFC7230标准,攻击者可以通过恶意构造http头实现投毒攻击,演示视频在https://drive.google.com/file/d/0ByM36MBckzBaQUFES0VYRlZydUE/view)

http://blog.ptsecurity.com/2016/05/squoison-attack-high-severity.html

Hardening the media stack

https://android-developers.blogspot.tw/2016/05/hardening-media-stack.html

从 QSEE 劫持linux内核

https://bits-please.blogspot.tw/2016/05/war-of-worlds-hijacking-linux-kernel.html

法国神器mimikatz 发行2.1 alpha 20160506 (oe.eo) 版,支持修改SID

https://github.com/gentilkiwi/mimikatz/releases

新的Infostealer木马(针对美国和墨西哥银行用户)使用Fiddler代理和Json.NET

https://www.zscaler.com/blogs/research/new-infostealer-trojan-uses-fiddler-proxy-jsonnet

Linux Kernel 4.4.x (Ubuntu 16.04) – Use-After-Free via double-fdput() in bpf(BPF_PROG_LOAD) Error Path Local Root Exploit

https://www.exploit-db.com/exploits/39772/

利用 CA Process Automation(默认口令)获取system权限的命令执行

https://securityriskadvisors.com/blog/post/using-ca-process-automation-to-get-command-execution-as-system/