EKFiddle:基于Fiddler研究恶意流量的框架;QRadar远程命令执行细节(CVE-2018-1418 )

Posted 破壳漏洞社区

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了EKFiddle:基于Fiddler研究恶意流量的框架;QRadar远程命令执行细节(CVE-2018-1418 )相关的知识,希望对你有一定的参考价值。

 姿势 



1.绕过GPO策略限制的Powershell使用

参考链接:

https://twitter.com/Bank_Security/status/1001016439795527680


2.通过http参数污染bypassGooglereCAPTCHA

reCAPTCHE网页验证机制,是Google推出以简化用户登陆网络服务的验证程序。HTTP参数污染(HPP)漏洞也是一种注入型的漏洞,攻击者通过在HTTP请求中插入特定的参数来发起攻击。如果Web应用中存在这样的漏洞,可以被攻击者利用来进行客户端或者服务器端的攻击。reCAPTCHA API始终使用请求中的第一个secret 参数,并忽略第二个参数。

EKFiddle:基于Fiddler研究恶意流量的框架;QRadar远程命令执行细节(CVE-2018-1418 )

参考链接:

https://andresriancho.com/recaptcha-bypass-via-http-parameter-pollution/


3.QRadar远程命令执行细节(CVE-2018-1418 )

QRadar中的多个漏洞组合导致允许未授权攻击者可以远程执行任意命令。第一个漏洞为未经身份验证的用户可以将任意SEC和QRadarCSRF值插入到Servlet Cookie HashMaps中,从而绕过了认证。第二个漏洞为获得nobody权限的shell,第三个漏洞利用cron 作业提升权限(从“nobody”用户到root)

EKFiddle:基于Fiddler研究恶意流量的框架;QRadar远程命令执行细节(CVE-2018-1418 )

参考链接:

https://blogs.securiteam.com/index.php/archives/3689


4.将DotNetToJSCript生成的JScript文件代码包装在一个hta文件中,绕过Windows阻止。

EKFiddle:基于Fiddler研究恶意流量的框架;QRadar远程命令执行细节(CVE-2018-1418 )

参考链接:

https://twitter.com/Moriarty_Meng/status/1000432274125471745



 工具 



1.pypykatz: 纯 Python 实现的Mimikatz

pypykatz是用Python语言实现的Mimikatz。mimikatz是由C语言编写的开源小工具,功能非常强大。它支持从Windows系统内存中提取明文密码、哈希、PIN码和Kerberos凭证。

EKFiddle:基于Fiddler研究恶意流量的框架;QRadar远程命令执行细节(CVE-2018-1418 )

参考链接:

https://github.com/skelsec/pypykatz


2.EKFiddle:基于Fiddler研究恶意流量的框架

ELKFiddle是基于Fiddler网络调试器的框架,用于研究恶意广告和流量的漏洞工具包。

EKFiddle:基于Fiddler研究恶意流量的框架;QRadar远程命令执行细节(CVE-2018-1418 )

参考链接:

https://github.com/malwareinfosec/EKFiddle


3.converter.sh:将域名列表转换为 IP 列表

converter.sh是一个shell脚本,用于将域列表转换为IP列表,并对IP列表去重复。

EKFiddle:基于Fiddler研究恶意流量的框架;QRadar远程命令执行细节(CVE-2018-1418 )

参考链接:

https://gist.github.com/xdavidhu/07457247b9087dea4ddaf52858500cce


4.AssassinGo: 基于Go的高并发可拓展式Web渗透框架

AssassinGo是一个可扩展和并发的信息收集和漏洞扫描框架,该框架基于Vue的WebGUI,前后端交互主要采用WebSocket技术,会将结果实时显示在前台。

集成了高可用信息收集、基础攻击向量探测、Google-Hacking综合搜索和PoC自定义添加并对目标进行批量检测等功能的自动化Web渗透框架。

EKFiddle:基于Fiddler研究恶意流量的框架;QRadar远程命令执行细节(CVE-2018-1418 )

参考链接:

https://github.com/AmyangXYZ/AssassinGo



 资讯 



1.360公司Vulcan(伏尔甘)团队披露EOS区块链平台严重漏洞

360安全研究人员发现EOS节点远程代码执行漏洞,由于EOS wasm虚拟机数组越界的内存漏洞导致。

EKFiddle:基于Fiddler研究恶意流量的框架;QRadar远程命令执行细节(CVE-2018-1418 )

参考链接:

http://blogs.360.cn/blog/eos-node-remote-code-execution-vulnerability/


2.windows server组策略密码复杂度支持至少为20个字符,图片来自Windows Server 2016(1607)上进行的测试

参考链接:

https://twitter.com/PyroTek3/status/1000565062501888001


3.两家加拿大银行遭黑客攻击,大量用户数据被盗

黑客瞄准了两家加拿大主流银行,大约90,000名用户的财务信息被泄漏,来自BMO的50,000名顾客和来自CIBC的40,000名顾客受到了影响。

参考链接:

https://www.hackread.com/hackers-demand-1m-ransom-from-2-canadian-banks/


欢迎酷爱技术的你来破壳交流。

↓阅读原文可直通「破壳漏洞社区」


以上是关于EKFiddle:基于Fiddler研究恶意流量的框架;QRadar远程命令执行细节(CVE-2018-1418 )的主要内容,如果未能解决你的问题,请参考以下文章

2017年Q1安卓ROOT类恶意病毒发展趋势研究报告

2017年Q1安卓ROOT类恶意病毒发展趋势研究报告

2017年Q1安卓ROOT类恶意病毒发展趋势研究报告

深度学习之Keras检测恶意流量

基于Memcached的DRDos的研究与攻击复现

接口测试-工具-Fiddler使用二