Jay teng Blog

Thinking will not overcome fear but action will.

2019-05-25-cve-2019-0708成因分析及规则说明

RCE

CVE-2019-0708 简要说明: 2019年5月14日,微软发布了本月安全更新补丁,其中包含一个RDP(远程桌面服务)远程代码执行漏洞的补丁更新。远程桌面协议(RDP)本身不易受攻击,但恶意攻击者很可能会针对该漏洞编写一个漏洞利用程序进行恶意利用,更新了安全补丁KB4500705来修复此漏洞,补丁更新地址:https://support.microsoft.com/zh-cn/he...

Posted by DC on May 25, 2019

DNS tunnel 实践及检测思考

DNS tunnel

DNS tunnel 实践及检测思考 DNS协议 DNS协议则是用来将域名转换为IP地址(也可以将IP地址转换为相应的域名地址)。 DNS承载于UDP之上,在特殊情况下也可以使用TCP,端口都是53,当报文大小超过512字节时,DNS报文会进行截取,并将DNS首部的TC置位,这个时候客户端将向服务器发起TCP连接来进行DNS查询。 DNS协议报文格式 Header:...

Posted by DC on May 12, 2019

APT32-海莲花-20190504

APT

APT32-海莲花-20190504 跟进零杀软检出,我国遭到“海莲花”新手法攻击事件。 跟进样本做分析及当次事件ttps矩阵提取(吐槽下零检出这个噱头) TTPS矩阵 战略战术特征     背景 越南背景 目标群体 (此次未标明攻击对象。来...

Posted by DC on May 4, 2019

CVE-2018-1111

RCE

CVE-2018-1111 CVE-2018-1111漏洞的问题主要是Red Hat Enterprise Linux(测试环境在centos7)、多个DHCP客户端软件包中包含NetworkManager的脚本存在命令注入问题。通过恶意DHCP服务响应,可以通过DHCP中NetworkManager的调用造成任意命令执行。 漏洞分析 主要的攻击流程是: DHCPclient ...

Posted by DC on April 27, 2019

CVE-2014-4114

RCE

CVE-2014-4114 分析blackenergy时,该组织采用了cve-2014-4114漏洞进行攻击 漏洞简述: 该漏洞 是OLE包管理INF 任意代码执行漏洞 ,通过使用PowerPoint作为攻击载体,在OLE打包文件(packer.dll)中能够下载并执行类似的INF外部文件,允许攻击者执行命令。 简单分析过程: 分析对象为一个 xx.ppsx 文件 该类型文...

Posted by DC on April 27, 2019

Internet Explorer XXE 0-day exploit

XXE

Internet Explorer XXE 0-day exploit 简介: Internet Explorer是Microsoft开发的一系列Web浏览器,预装在Microsoft Windows系列操作系统中,诱导受害者打开特制的.MHT文件,则会造成Internet Explorer易受XXE攻击,从而实现远程获取受害者本地文件泄漏信息例如安装的程序版本信息等。 XXE说明: ...

Posted by DC on April 24, 2019

TP-Link SR20路由器 远程代码执行漏洞

RCE

TP-Link SR20路由器 远程代码执行漏洞 简述: ​ TP-Link SR20 本地网络远程代码执行漏洞,于3月26日公开。该设备TP-Link SR20 是一款支持 Zigbee 和 Z-Wave 物联网协议可以用来当控制中枢 Hub 的触屏 Wi-Fi 路由器,此远程代码执行漏洞允许用户在设备上以 root 权限执行任意命令。 ​ 漏洞存在于TPlink 调试协议 TDD...

Posted by DC on April 20, 2019

【学习】long UNC伪造利用方法

red&blue

【学习】long UNC伪造利用方法 介绍: Microsoft Windows UNC是Universal Naming Convention或Uniform Naming Convention的缩写,它指定了描述网络资源位置的通用语法,例如共享文件,目录或打印机。Windows系统的UNC语法具有以下通用形式: \\ComputerName\SharedFolder\Resourc...

Posted by DC on March 17, 2019

《Extracting a 19 Year Old Code Execution from WinRAR》winrar目录穿越漏洞分析学习笔记

CVE-2018-20250

《Extracting a 19 Year Old Code Execution from WinRAR》winrar目录穿越漏洞分析学习笔记 背景说明: WinRAR 作为最流行的解压缩软件,支持多种压缩格式的压缩和解压缩功能。其中的一个压缩组件ACE解压缩模块的远程代码执行漏洞(CVE-2018-20250)影响面较广。winrar等调用unacev2.dll库进行ACE格式文件解压...

Posted by DC on February 27, 2019

安全事件推送

NEW

安全资讯列表 20190222 20190221 2019021920 20190218 往期回顾

Posted by DC on February 22, 2019

FEATURED TAGS
honeypot_event RCE VUL APT tool
ABOUT ME

公开出丑可以克服自身各种心理障碍!

✉️ tqwsvues@gmail.com

FRIENDS