分类目录归档:渗透技术

穿透内网防线,USB自动渗透手法总结【转】

USB(Universal Serial Bus)原意是指通用串行总线,是一个外部总线标准,用于规范电脑与外部设备的连接和通讯,这套标准在1994年底由英特尔、康柏、IBM、Microsoft等多家公司联合提出,提出之后经过一个快速的发展成功替代串口和并口等标准,成为一个世界认可的统一标准,被当代的海量设备使用,而我们口中常说的USB其实是指采用USB接口标准的可移动存储介质,那么以下为了叙述方便我们便用USB或U盘指代采用USB接口标准的可移动存储介质来详细介绍常见的三种利用该类型设备的渗透手法。

一、autorun.inf自动播放

在早期的互联网发展中,计算机之间的数据交换受限于网络带宽,因此可移动存储介质(软盘、U盘等)受到人们的追捧,人们也在想方设法使这些设备能够更加方便快捷的帮助人们完成某些数据的转移使用,而自动播放功能就是在这个背景下被工程师们开发出来,原本的自动播放主要是针对CD/DVD多媒体光盘,使这类设备能够实现插入即播放的功能,而针对Windows安装介质,插入就能立即弹出安装程序,在可移动存储介质的根目录下的autorun.inf文件就负责自动播放的功能,如图1所示:

图1 autorun.inf文件示例

相比如插入光盘的操作,USB的可操作性更好,能够在不经意间便安放到指定的设备中去,因此如果这里的autorun.inf文件是存放在USB根目录中,并且在根目录下同样存放一个名为setup.exe的病毒文件,那么将该USB插到指定的设备上便可以自动运行病毒使主机在不知不觉中便被病毒感染。

当然,攻击者能够使用此类方式进行有效的攻击的同时,微软也给出了相对应的解决方案,早在2011年2月8日,微软就提供了名为KB967940的补丁,该补丁限定Windows XP、Windows …

发表在 未分类, 渗透技术 | 穿透内网防线,USB自动渗透手法总结【转】已关闭评论

一个真实利用Struts2最新漏洞的高级攻击全程解析[转]

一个真实利用Struts2最新漏洞的高级攻击全程解析

  新漏洞刚被发现发布时,对很多企业网络来说可能是最危险的时刻,应对不及时而造成的危害可能是巨大的,特别是像Struts2 S2-045这样会搞死人的漏洞,显然黑客对他们的关注度比很多企业的安管人员要高的多。这不Struts2 S2-045漏洞没公布几天,我们就发现了成功利用该漏洞对目标主机实现有效控制的高级攻击实例。

首先说明,我们不是分析Struts2 S2-045漏洞,很偶然,某中国500强企业集团公司的互联网出口防火墙CPU利用率持续保持在80%左右,防火墙高负载工作导致服务器网络缓慢。由于该服务器上承载着大量公司核心业务,造成了严重影响。

幸运的是他们的核心交换机上部署了科来网络回溯分析系统,进行7*24小时全流量监控,并完整记录保存了所有网络通讯数据(其工作模式可以简单理解为部署在大型网络环境中的“行车记录仪”)。技术人员首先想到的是通过该系统分析什么原因导致了防火墙CPU利用率超高,网络缓慢。

分析发现防火墙高负载与*.35服务器超常规大量发送数据包有关,服务器*.35一天多的时间共产生大量未知TCP应用流量47.48G,其中与意大利IP62.149.175.81通讯流量达到44.21GB,行为极为可疑。

发表在 未分类, 渗透技术 | 一个真实利用Struts2最新漏洞的高级攻击全程解析[转]已关闭评论

一条命令引发的思考[转]

一条命令引发的思考

Author:Sevck

1.1   起因

今天在搜索关于Linux下的后门姿势时,发现一条命令如下:

软链接后门:

ln -sf /usr/sbin/sshd /tmp/su; 
发表在 未分类, 渗透技术 | 一条命令引发的思考[转]已关闭评论

域名背后的真相,一个黑产团伙的沦陷【转】

域名背后的真相,一个黑产团伙的沦陷

2017-02-22 g0v@金乌实验室 FreeBuf

*原创作者:g0v@金乌网络安全实验室,本文属FreeBuf原创奖励计划,未经许可禁止转载

前言

很多小伙伴溯源一般只追查到whois信息,但个人认为该信息未必是真实有效的,挖掘背后的信息才是正章。

起因

今天在朋友圈,看到朋友发了一条信息,说收到带病毒短信。

分析

发表在 安全教学, 未分类, 渗透技术 | 域名背后的真相,一个黑产团伙的沦陷【转】已关闭评论

浅谈XXE攻击【转】

浅谈XXE攻击

2017-02-21 wenjian_tk0 FreeBuf

0×00. 介绍

现在越来越多主要的web程序被发现和报告存在XXE(XML External Entity attack)漏洞,比如说facebook、paypal等等。

发表在 渗透技术 | 标签为 | 浅谈XXE攻击【转】已关闭评论

Lcx的多种用法:3个功能+9个参数,你会怎么玩?【转】

Lcx的多种用法:3个功能+9个参数,你会怎么玩?

2017-02-20 ForWhat FreeBuf

*原创作者:ForWhat,本文属FreeBuf原创奖励计划,未经许可禁止转载

前言

记得刚开始接触黑客技术的时候是2014年,那时候struts2漏洞利用工具正流行,当时也下载了一个玩玩,上传了很多的菜刀木马,不过这时候就有个问题:无法连接到被控制计算机的3389。

百度一下,原来对面的服务器是在内网中,没有做映射是连接不到的,但是可以借助一个工具进行端口转发来实现连接处于内网的3389服务器,原文链接(百度搜索lcx第一条出现的):http://sec.chinabyte.com/225/8848725.shtml

随着时间的推移,对于这个工具的认识也在不断加深中,现在我来分享一下。

第一次写文章,有些错误欢迎大牛指正,中间会有些感(fei)悟(hua)不想看的可以直接看进阶篇,高级篇或者总结。

发表在 未分类, 渗透技术 | Lcx的多种用法:3个功能+9个参数,你会怎么玩?【转】已关闭评论

美国DHS发布《“灰熊草原”网络攻击活动深入分析报告》【转】

美国DHS发布《“灰熊草原”网络攻击活动深入分析报告》

2017-02-20 clouds FreeBuf

近期,美国DHS继续公布了一份《”灰熊草原”网络攻击活动的深入分析》报告(Enhanced Analysis of GRIZZLY STEPPE Activity),与上次的联合分析报告(JAR-16-20296)不同,此次报告中给出了更多关于俄罗斯黑客活动的检测响应技术性证据。

发表在 安全资讯, 未分类, 渗透技术 | 标签为 , | 美国DHS发布《“灰熊草原”网络攻击活动深入分析报告》【转】已关闭评论

域名爆破的原理与工具

自容来自《安全小课堂第四十五期【域名爆破的原理与工具】》的总结

域名爆破是通过枚举的方式来实现的

枚举域名的A记录比如要爆破xx.com的子域名,

首先的访问一个随机并不存在的域chorashuai.xx.com,

取得A记录后保存,

然后开始枚举a-z0-9,比如1.xx.com、 2.xx.com 、3.xx.com之类的。接下来的步骤就分为两种方式了。

其中一种:直接获取1.xx.com

发表在 渗透技术 | 标签为 , , | 域名爆破的原理与工具已关闭评论

基于机器学习的web异常检测【转】

2017-02-11 阿里聚安全 FreeBuf FreeBuf

Web防火墙是信息安全的第一道防线。随着网络技术的快速更新,新的黑客技术也层出不穷,为传统规则防火墙带来了挑战。传统web入侵检测技术通过维护规则集对入侵访问进行拦截。一方面,硬规则在灵活的黑客面前,很容易被绕过,且基于以往知识的规则集难以应对0day攻击;另一方面,攻防对抗水涨船高,防守方规则的构造和维护门槛高、成本大。 

基于机器学习技术的新一代web入侵检测技术有望弥补传统规则集方法的不足,为web对抗的防守端带来新的发展和突破。机器学习方法能够基于大量数据进行自动化学习和训练,已经在图像、语音、自然语言处理等方面广泛应用。

然而,机器学习应用于web入侵检测也存在挑战,其中最大的困难就是标签数据的缺乏。尽管有大量的正常访问流量数据,但web入侵样本稀少,且变化多样,对模型的学习和训练造成困难。

因此,目前大多数web入侵检测都是基于无监督的方法,针对大量正常日志建立模型(Profile),而与正常流量不符的则被识别为异常。这个思路与拦截规则的构造恰恰相反。拦截规则意在识别入侵行为,因而需要在对抗中“随机应变”;而基于profile的方法旨在建模正常流量,在对抗中“以不变应万变”,且更难被绕过。

 

发表在 产品设计, 渗透技术 | 标签为 , , , | 基于机器学习的web异常检测【转】已关闭评论

漏洞利用工具包

漏洞利用工具包

近期的RIG、Sundown和Magnitude漏洞利用工具包。

RIG漏洞利用工具包利用了:

CVE-2012-0507、CVE-2013-0074、CVE-2013-2465、CVE-2013-2471、CVE-2013-2551、CVE-2013-3896、CVE-2014-0311、CVE-2014-0322、CVE-2014-0497、CVE-2014-6332、CVE-2015-0313、CVE-2015-2419、CVE-2015-3090、CVE-2015-5119、CVE-2015-5122、CVE-2015-5560、CVE-2015-7645、CVE-2015-8651、CVE-2016-0034、CVE-2016-0189、CVE-2016-1019、CVE-2016-4117、CVE-2016-7200、CVE-2016-7201、CVE-2016-3298

Sundown漏洞利用工具包利用了:

CVE-2012-1876、CVE-2013-7331、CVE-2014-0556、CVE-2014-0569、CVE-2014-6332、CVE-2015-2444、CVE-2015-0311、CVE-2015-0313、CVE-2015-5119、CVE-2015-2419、CVE-2016-0034、CVE-2016-4117、CVE-2016-0189、CVE-2016-7200、CVE-2016-7201

Magnitude漏洞利用工具包利用了:

CVE-2011-3402、CVE-2012-0507、CVE-2013-2551、CVE-2013-2643、CVE-2015-0311、CVE-2015-7645、CVE-2015-3113、CVE-2016-1015、CVE-2016-1016、CVE-2016-1017、CVE-2016-1019、CVE-2016-4117

发表在 渗透技术 | 标签为 , | 漏洞利用工具包已关闭评论