上周暗网0day售卖情报一览
黑客声称以 1,700,000 美元出售 Outlook RCE 漏洞 0Day
令人担忧的是,一个名为“Cvsp”的威胁参与者宣布出售所谓的 Outlook 远程代码执行 (RCE) 漏洞 0day。这一所谓的漏洞旨在针对跨 x86 和 x64 架构的各种 Microsoft Office 版本,对全球用户构成重大安全威胁。
黑客出售 SonicWALL SSL-VPN 漏洞:声称绕过 2FA 并访问敏感数据
一名黑客出售了针对SonicWALL SSL-VPN系统的漏洞,声称它可以提供对大量敏感信息的未经授权的访问。该漏洞售价 1000 美元,据称允许攻击者绕过双因素身份验证 (2FA) 并访问 SonicWALL 内RADIUS库的记录。
GIT(版本控制系统)远程访问漏洞:披露 CVE-2024-32002 RCE 漏洞
据称,GIT CVE-2024-32002 RCE漏洞的利用已经流传。Git 是一个跟踪文件版本的分布式版本控制系统。它经常被程序员用来控制协作开发软件的源代码。该漏洞演示了如何通过 Git 存储库和 Git 子模块的递归克隆来触发恶意有效负载,以便在递归克隆存储库时在目标系统上执行有效负载
未经身份认证的远程攻击者利用该漏洞使受害者克隆操作期间执行刚刚克隆的代码,从而导致远程代码执行。
漏洞概述 | |||
漏洞名称 | Git 远程代码执行漏洞 | ||
漏洞编号 | QVD-2024-18126,CVE-2024-32002 | ||
公开时间 | 2024-05-14 | 影响量级 | 万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 8.3 |
威胁类型 | 代码执行 | 利用可能性 | 高 |
POC状态 | 已公开 | 在野利用状态 | 未发现 |
EXP状态 | 已公开 | 技术细节状态 | 已公开 |
危害描述:未经身份认证的远程攻击者利用该漏洞使受害者克隆操作期间执行刚刚克隆的代码,从而导致远程代码执行,该漏洞可被用于钓鱼和投毒。 | |||
01 漏洞详情
影响组件
Git是一个分布式版本控制系统,它广泛用于协作开发和管理软件项目。Git可以跟踪文件的变化,记录每一次修改,并且允许多人协作在同一个项目上而不会互相覆盖彼此的工作。
漏洞描述
近日,奇安信CERT监测到官方修复Git 远程代码执行漏洞(CVE-2024-32002),由于Git在支持符号链接的不区分大小写的文件系统上的递归克隆容易受到大小写混淆的影响,未经身份认证的远程攻击者利用该漏洞使受害者克隆操作期间执行刚刚克隆的代码,从而导致远程代码执行。目前该漏洞技术细节与EXP已在互联网上公开,鉴于该漏洞影响范围较大,只影响Windows和Mac系统,建议客户尽快做好自查及防护。
02 影响范围
影响版本
git 2.45.0
git 2.44.0
git 2.43.* < 2.43.4
git 2.42.* < 2.42.2
git 2.41.0
git 2.40.* < 2.40.2
git < 2.39.4
(只影响Windows和Mac系统版本)
其他受影响组件
关于黑客&网络安全学习指南
学好 网络安全不论是就业还是做副业赚钱都不错,但要学会 网络安全 还是要有一个学习规划。最后给大家分享一份全套的 网络安全学习资料,给那些想学习网络安全的小伙伴们一点帮助!
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础等教程,带你从零基础系统性的学好网络安全。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.网络安全视频教程600集和配套电子书
观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
温馨提示:篇幅有限,已打包文件夹,获取方式在:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取:CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
