每日攻防资讯简报[Dec.14th]

0x00漏洞

1、一个严重的 AWS ECR Public 漏洞, 允许外部参与者通过滥用未记录的内部 ECR Public API 在属于其他 AWS 账户的注册表和存储库中删除、更新和创建 ECR Public 图像、层和标签动作

https://blog.lightspin.io/aws-ecr-public-vulnerability

2、严重的 Citrix ADC 漏洞在野被利用
https://www.citrix.com/blogs/2022/12/13/critical-security-update-now-available-for-citrix-adc-citrix-gateway/

3、当ThinkPHP开启了多语言功能时, 攻击者可以通过语言参数和目录穿越实现文件包含, 进而通过文件包含实现远程代码执行
https://github.com/Mr-xn/thinkphp_lang_RCE

4、Cacti remote_agent.php 未经身份验证的命令注入 (CVE-2022-46169)
https://github.com/0xf4n9x/CVE-2022-46169

0x01工具

1、GhidraEmu: Ghidra 插件, 用于轻松处理原生 pcode 仿真, 不再需要脚本, 只需使用 Ghidra 中的脚本即可
https://github.com/Nalen98/GhidraEmu

2、IATelligence: 将提取 PE 文件的 IAT 并请求 GPT 以获取有关 API 和 ATT&CK 矩阵相关的更多信息
https://github.com/fr0gger/IATelligence

3、RustChain: 使用 ROP 和硬件断点隐藏内存工件.
https://github.com/Kudaes/RustChain

4、apk.sh: 使逆向 Android 应用程序更容易, 自动执行一些重复性任务, 如提取、解码、重建和修补 APK.
https://github.com/ax/apk.sh

0x02恶意代码

1、深入了解 BianLian 勒索软件

https://resources.securityscorecard.com/research/bian-lian-deep-dive#page=1

2、用于 VMWare ESXi 服务器的自定义 Python 后门
https://blogs.juniper.net/en-us/threat-research/a-custom-python-backdoor-for-vmware-esxi-servers

0x03技术

1、最近添加到 PyPy JIT 测试基础设施中的使用 SMT 求解器和 Fuzzing 查找错误的技术
https://www.pypy.org/posts/2022/12/jit-bug-finding-smt-fuzzing.html

2、IIS 模块: Web shell 的演变以及如何检测它们
https://www.microsoft.com/en-us/security/blog/2022/12/12/iis-modules-the-evolution-of-web-shells-and-how-to-detect-them/

天融信阿尔法实验室成立于2011年，一直以来，阿尔法实验室秉承“攻防一体”的理念，汇聚众多专业技术研究人员，从事攻防技术研究，在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队，阿尔法实验室精湛的专业技术水平、丰富的排异经验，为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。

天融信

阿尔法实验室

长按二维码关注我们