免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、Splunk 修补了 9 个企业产品中的高危漏洞 https://www.securityweek.com/splunk-patches-9-high-severity-vulnerabilities-enterprise-product 2、LockBit 勒索软件团伙声称已入侵跨国集团 Continental https://securityaffairs.co/wordpress/138062/cyber-crime/lockbit-gang-claims-continental-hack.html 3、安全研究人员将 Black Basta 勒索软件与 FIN7 网络犯罪团伙关联 https://securityaffairs.co/wordpress/138037/cyber-crime/black-basta-linked-fin7.html 4、黑客使用恶意版本的 KeePass 和 SolarWinds 软件分发 RomCom RAT https://thehackernews.com/2022/11/hackers-using-rogue-versions-of-keepass.html 5、Drinik 恶意软件现在针对 18 家印度银行 https://cyware.com/news/drinik-malware-now-targets-18-indian-banks-1921d2bc 6、Emotet 僵尸网络在沉寂 5 个月后再次开始传播恶意软件 https://www.bleepingcomputer.com/news/security/emotet-botnet-starts-blasting-malware-again-after-5-month-break/ 7、超过 250 个美国新闻网站遭供应链攻击传播恶意软件 https://www.securityweek.com/over-250-us-news-websites-deliver-malware-supply-chain-attack 8、研究人员在数十个PyPI软件包中发现W4SP窃密木马 https://www.bleepingcomputer.com/news/security/dozens-of-pypi-packages-caught-dropping-w4sp-info-stealing-malware/ 9、研究人员发现新型Laplas Clipper通过SmokeLoader进行传播 https://blog.cyble.com/2022/11/02/new-laplas-clipper-distributed-by-smokeloader/ 10、OPERA1ER APT 黑客针对非洲数十家金融组织 https://thehackernews.com/2022/11/researchers-detail-opera1er-apt-attacks.html

前言 一次授权的渗透测试，过程比较详细，充满了巧合，也算比较有意思直接记录一下，图片打码比较严重，应该是不影响阅读！！！！ 前端RCE 信息搜集拿到的资产，通过序列化实现的RCE，但是这里只能执行命令并不能上传等操作，并且服务器还有杀软，所以互联网实现RCE需要做免杀。 http://xxx.xxx.xxx.xxx:xxxx这个不用多说了直接上工具就ok了，这里是windwos系统并不能反弹，所以使用命令上线CS还是可以的。 cs起监听，生成hta文件。 生成的hta文件是没有原生的木马，这里基本上常见的杀软都是过不掉的，所以这里需要做免杀，因为一般的上线方式也都尝试过了，powershell等方式也都不行，有杀软的情况下一般poweshell的执行都会被拦掉，所以这里使用mstha上线，免杀的思路之前的文章CS免杀姿势可以看到，总的来讲思路大差不差。 之前的文章中没有介绍进程注入的免杀手段，如果说一般钓鱼的话使用进程注入的免杀手段是为了避免进程被提前终止或者因为关联的进程树被终止导致CS的连接断掉，mstha上线本来就是弹窗执行，针对服务器的话根本不需要考虑这种情况。 上传到web服务器。 上传免杀后的hta文件，选择一个端口，避免端口冲突。 执行命令 目标服务器成功上线。 发现使用的杀软为360杀毒，简单的加壳是过了360安全卫士的，但是被是杀掉了，所以混淆之后的文件特征且加壳是过杀毒的，360杀毒和安全卫士使用的肯定是同一个病毒库，为什么过了安全卫士杀毒过不掉杀毒，刚开始我以为360杀毒确实比360安全卫士np，后来问过做jinshan杀毒的大佬之后了解到，因为360的病毒库确实大，在文件落地的时候可能会出现检测不到病毒特征的情况，所以说查杀确实存在玄学问题。 虽然是administrator还是获取不到用户名密码，提权。 kill掉360杀毒的进程，提权。 winserver 2008，直接土豆提权，获取system权限。 获取凭证拿到administrator的密码，其实这里也可以直接该密码的。 shell net user administrator xxxxxxxx 这里因为能提权还是算了。 内网穿透 做隧道的时候看个人习惯，比如说frp、proxy-admin、nps等，这里还是根据情况选择，frp做穿透配置文件要求直接写死，修改端口比较麻烦；proxy-admin做穿透，不支持socks协议，仅支持tcp、http、udp协议，等等。所以我个人还是比较喜欢使用nps的，上线之后隧道随意搭建即可。 新增客户端之后，目标服务器上传客户端和配置文件。 目标服务器上线。 搭建隧道即可，查询RDP开放情况。 利用tcp隧道端口转发。 连接远程桌面。 这里有向日葵是一直开放的进程，也获取到了向日葵的控制码，但是不建议连接向日葵，目前版本的向日葵因为需要登录连接，连接的时候会显示主机名，且这个日志官方是有的，我这里是授权的，非授权的情况下是完全可以溯源的。 查询RDP连接记录，发现一台机器可直接远程桌面。 另一台服务器权限拿到，但是不出网。 转发上线 因为不出网转发上线，第二服务器，这里称为B，关闭B的杀软和防火墙。 上传exe，执行，实现转发上线。 发现B为A的数据库服务器，且内网有报表系统，但是没有用户和密码，而后发现有意思的一点儿是，这台服务器上有。 套账解码工具，管理员可能也经常忘记密码吧，解码获取内网报表的系统账号。 内网系统端口转发出来，走http代理，成功登录系统。 内网扫描 这里使用了几种工具做的内网扫描，扫描了10的A段和192、172的A段。 总结 整体来说难度不大，没有域，难点在免杀，能拿报表系统是巧合，转发上线没意外，似乎内网环境比较大，但是在进行端口扫描的时候发现无端口开放情况，且不同的工具探测到的存活主机数目也不相同，可能是DMZ区也说不定，但是也没探测到该段有任何安全设备，这个是比较奇怪的地方。文件都比较老了都是几年前的数据，这里可能服务器已经很早就做了隔离，但是能拿到的数据和能拿到的权限都已经拿到了，可以结束了。

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、Fortinet 修补影响多个产品的6 个高危漏洞 https://www.securityweek.com/fortinet-patches-6-high-severity-vulnerabilities 2、一种新的安卓恶意软件-SandStrike针对讲波斯语的宗教少数群体 https://securityaffairs.co/wordpress/137990/hacking/sandstrike-malware-cyberespionage.html 3、Dropbox 披露安全漏洞，攻击者未经授权访问了 130 个 GitHub 源码库 https://securityaffairs.co/wordpress/137975/hacking/dropbox-account-hacked-2fa-jpg.html 4、OpenSSL 项目修复了两个高危漏洞 https://securityaffairs.co/wordpress/137965/security/openssl-fixed-two-vulnerabilities.html 5、Checkmk IT Infrastructure监控软件存在多个漏洞 https://thehackernews.com/2022/11/multiple-vulnerabilities-reported-in.html 6、微软修补了Azure Cosmos DB中的漏洞 https://www.securityweek.com/microsoft-patches-azure-cosmos-db-flaw-leading-remote-code-execution 7、Fodcha DDoS 僵尸网络重出江湖，增加勒索功能 https://thehackernews.com/2022/10/fodcha-ddos-botnet-resurfaces-with-new.html 8、澳大利亚国防部通信平台遭黑客攻击 https://www.anquanke.com/post/id/282400 9、Mozilla Firefox 修复了Windows 11新功能导致死机的BUG https://www.bleepingcomputer.com/news/security/mozilla-firefox-fixes-freezes-caused-by-new-windows-11-feature/ 10、美国财政部：2021年金融机构因勒索攻击损失超12亿美元 https://www.secrss.com/articles/48587

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、安天发布疑似Lazarus组织针对韩国的攻击活动分析 https://mp.weixin.qq.com/s/w-KF5HUNe8-KlmFl6zLkZw 2、黑客以400万美元的价格出售全球576个企业网络的访问权限 https://www.bleepingcomputer.com/news/security/hackers-selling-access-to-576-corporate-networks-for-4-million/ 3、明年 2 月起，微软 Win10 系统将永久禁用 IE11 https://www.ithome.com/0/649/960.htm 4、工信部拟规定：智能网联汽车生产商应建立车辆产品网络安全等制度 https://www.chinanews.com.cn/cj/2022/10-28/9881839.shtml 5、中国台湾全岛个人信息被放在网上兜售，黑客开价5000美元 https://www.freebuf.com/news/348462.html 6、苹果推出新的安全研究网站，加快对漏洞报告的响应 https://www.ithome.com/0/649/517.htm 7、LockBit 3.0团伙声称从法国国防和技术集团泰雷兹窃取了数据 https://securityaffairs.co/wordpress/137955/cyber-crime/lockbit-3-0-thales.html 8、ConnectWise 解决了服务器备份解决方案中的关键RCE漏洞 https://securityaffairs.co/wordpress/137946/uncategorized/connectwise-rce.html 9、VMware 警告近期针对NSX-V 漏洞的利用 https://www.securityweek.com/vmware-warns-exploit-recent-nsx-v-vulnerability 10、 欧盟委员会推出首个欧盟GDPR认证机制 https://www.secrss.com/articles/48524

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、黑客正在对新西兰航空公司发起撞库攻击 https://securityaffairs.co/wordpress/137793/cyber-crime/air-new-zealand-breach.html 2、0patch发布Windows MoTW零日漏洞非官方补丁 https://www.bleepingcomputer.com/news/microsoft/actively-exploited-windows-motw-zero-day-gets-unofficial-patch/ 3、BlackByte勒索软件攻击了Asahi Group Holdings公司 https://securityaffairs.co/wordpress/137803/cyber-crime/blackbyte-ransomware-asahi-group-holdings.html 4、三星 Galaxy Store 漏洞可能让黑客在目标设备上秘密安装应用 https://thehackernews.com/2022/10/samsung-galaxy-store-bug-couldve-let.html 5、Snatch 勒索团伙声称已入侵军事供应商 HENSOLDT France https://securityaffairs.co/wordpress/137886/cyber-crime/snatch-hensoldt-france-ransomware.html 6、Fodcha DDoS 僵尸网络以新功能重新出现 https://thehackernews.com/2022/10/fodcha-ddos-botnet-resurfaces-with-new.html 7、2023年1月1日施行！《网络产品安全漏洞收集平台备案管理办法》发布 https://www.freebuf.com/news/348234.html 8、VMware 修补了NSX-V中一个危险等级 9.8/10 高危漏洞 https://www.solidot.org/story?sid=73209 9、新的"Azoz勒索软件"擦拭器试图陷害安全研究人员 https://www.bleepingcomputer.com/news/security/new-azov-data-wiper-tries-to-frame-researchers-and-bleepingcomputer/ 10、谷歌发布紧急 Chrome 107 更新以修补被利用的零日漏洞 https://www.securityweek.com/google-releases-emergency-chrome-107-update-patch-actively-exploited-zero-day

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、Drinik恶意软件针对印度银行的用户发起攻击 https://blog.cyble.com/2022/10/27/drinik-malware-returns-with-advanced-capabilities-targeting-indian-taxpayers/ 2、疑似TeamTNT组织开启新一轮挖矿行动 https://thehackernews.com/2022/10/new-cryptojacking-campaign-targeting.html 3、微软发现Raspberry Robin蠕虫与Clop勒索软件存在联系 https://www.bleepingcomputer.com/news/security/microsoft-links-raspberry-robin-worm-to-clop-ransomware-attacks/ 4、GitHub修复了将存储库暴露给攻击者的关键漏洞 https://www.hackread.com/github-high-severity-repositories-vulnerability/ 5、Juniper中的Junos OS组件存在严重缺陷 https://thehackernews.com/2022/10/high-severity-flaws-in-juniper-junos-os.html 6、东欧国家首都的议会IT系统遭网络攻击 https://www.govinfosecurity.com/cyber-events-disrupt-polish-slovakian-parliament-systems-a-20358 7、Twilio表示Smishing攻击受害者人数不断增加 https://www.govinfosecurity.com/final-twilio-smishing-victim-count-reaches-209-a-20362 8、欧盟最大铜生产商Aurubis遭受网络攻击 https://www.bleepingcomputer.com/news/security/largest-eu-copper-producer-aurubis-suffers-cyberattack-it-outage/ 9、Azure CLI存在代码注入漏洞 https://securityboulevard.com/2022/10/azure-cli-code-injection-cve-2022-39327-hits-9-8-10-cvss-score/ 10、英国前首相利兹特拉斯的手机被怀疑遭俄罗斯间谍窃听 https://securityaffairs.co/wordpress/137826/intelligence/liz-truss-phone-hacked.html

前言 上一篇文章介绍了cisco路由器设备的2个漏洞案例，这次补充cisco ip电话设备和安全设备的漏洞案例。 CISCO-UCM ConfigFileCacheList.txt 泄漏 CISCO-UCM 全称Cisco Unified Communications Manager,是用于集成CISCO的语音视频通话、消息传递和移动协作的基础设施 部分 CUCM 服务器在端口 TCP/6970 上有一个 HTTP 服务,其中存在 ConfigFileCacheList.txt 文件,包含位于 TFTP 目录中的所有文件名 fofa语句 product=="CISCO-UCM" shodan语句 http.html:"Cisco Unified Communications Manager" payload x.x.x.x:6970/ConfigFileCacheList.txt 在目标文件中包含了许多SEP开头的文件，那是ip电话的配置文件，sep后面接的是mac地址 可以遍历下载这个ConfigFileCacheList.txt文件内容中的所有文件 在下载的配置文件中，包含ip，描述，端口等配置信息 甚至有的还会包含明文的账号密码 可以用egrep批量查找 egrep -r 'Password' *.xml 在配置文件中获得了账号密码后，可以尝试登录UCM的web后台 当然这个 ConfigFileCacheList.txt 泄漏比较少见，如果遇到UCM可以试试访问/cucm-uds/users路径,可以泄漏用户名信息，再针对用户名进一步爆破弱口令 CVE-2018-0296 Cisco ASA 目录遍历漏洞 Cisco ASA是思科的防火墙设备，一般用于在企业边界，包含了ips，avc，wse等应用功能。 fofa语句 app="CISCO-ASA-5520" 根据文章 https://www.anquanke.com/post/id/171916 中的描述,CVE-2018-0296在不同型号设备上存在2种利用场景，一种是拒绝服务造成设备崩溃重启，一种是目录遍历获得敏感信息 在修复方案中则是增加了对./和../的处理逻辑，以防止目录遍历 拒绝服务这里就不具体测试了，主要看下目录遍历的利用 检测poc /+CSCOU+/../+CSCOE+/files/file_list.json 注意，类似的poc不能在浏览器里直接粘贴访问，因为浏览器会自动将访问的路径类似/../解析为上一级目录，也就是访问的为/+CSCOE+/files/file_list.json 列出 /sessions 目录的内容 /+CSCOU+/../+CSCOE+/files/file_list.json?path=/sessions 提取登录用户的登录信息 /+CSCOU+/../+CSCOE+/files/file_list.json?path=/sessions/[name] CVE-2020-3452 Cisco ASA 目录遍历漏洞 CVE-2020-3452漏洞可以在未验证的情况下进行任意文件读取 该漏洞源于 ASA 和 FTD 的 web 服务接口在处理 HTTP 请求的 URL 时缺乏正确的输入验证，导致攻击者可以在目标设备上查看系统内的web目录文件。 此漏洞不能用于获取对 ASA 或 FTD 系统文件或底层操作系统 (OS) 文件的访问，所以只能读取 web 系统目录的文件，比如 webvpn 的配置文件、书签、网络 cookies、部分网络内容和超文本传输协议网址等信息。 作者在推特分享的检测poc https://twitter.com/aboul3la/status/1286141887716503553/+CSCOT+/oem-customization?app=AnyConnect&type=oem&platform=..&resource-type=..&name=%2bCSCOE%2b/portal_inc.lua /+CSCOT+/translation-table?type=mst&textdomain=/%2bCSCOE%2b/portal_inc.lua&default-language&lang=../ 读取 /+CSCOE+/portal_inc.lua 文件 至于进一步利用，有研究人员给出了一些已知文件列表 https://twitter.com/HackerGautam/status/1286652700432662528https://raw.githubusercontent.com/3ndG4me/CVE-2020-3452-Exploit/master/cisco_asa_file_list.txt不过实际测试，除了session.js 跑出了一个乱码的内容以外，其他的文件多是一些资源文件，难以进一步利用。

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、Raspberry Robin蠕虫向勒索团伙出售受损企业网络的访问权限 https://securityaffairs.co/wordpress/137722/malware/raspberry-robin-clop-ransomware.html 2、跨国媒体集团 Thomson Reuters泄露了3TB敏感数据 https://securityaffairs.co/wordpress/137718/data-breach/thomson-reuters-database-exposed.html 3、SiriSpy 漏洞允许窃听用户与 Siri 的对话 https://securityaffairs.co/wordpress/137710/security/sirispy-apple-flaw-spy-conversations.html 4、GitHub 帐户重命名可能导致供应链攻击 https://www.securityweek.com/github-account-renaming-could-have-led-supply-chain-attacks 5、研究人员公开了 80 多个恶意软件ShadowPad的 C2 服务器 https://thehackernews.com/2022/10/researchers-expose-over-80-shadowpad.html 6、安天发布白象组织近期网络攻击活动分析报告 https://mp.weixin.qq.com/s/BXjZ6fEgNmLY_l8cZt1FXQ 7、Vice Society组织使用多种勒索软件发起攻击 https://thehackernews.com/2022/10/vice-society-hackers-are-behind-several.html 8、LV勒索软件利用ProxyShell攻击一家位于约旦的公司 https://www.trendmicro.com/en_us/research/22/j/lv-ransomware-exploits-proxyshell-in-attack.html 9、黑客部署RomCom RAT对乌克兰军方发起攻击 https://thehackernews.com/2022/10/romcom-hackers-circulating-malicious.html 10、新的挖矿活动针对易受攻击的Docker和Kubernetes实例 https://thehackernews.com/2022/10/new-cryptojacking-campaign-targeting.html

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、谷歌浏览器将于 2023 年 2 月放弃对 Windows 7 / 8.1 的支持 https://www.bleepingcomputer.com/news/google/google-chrome-to-drop-support-for-windows-7-81-in-feb-2023/ 2、 韩首次参加美主导的“网络旗帜”多国联合网络攻防演习 https://m.gmw.cn/baijia/2022-10/25/1303177306.html 3、伊朗原子能组织遭黑客攻击，大量敏感数据泄露 https://www.secrss.com/articles/48251 4、OpenSSL 修补自 2016 年以来的第一个严重漏洞 https://www.securityweek.com/openssl-patch-first-critical-vulnerability-2016 5、国际票务公司 See Tickets 披露数据泄露事件，客户支付卡信息泄露 https://securityaffairs.co/wordpress/137673/data-breach/see-tickets-data-breach.html 6、VMware 修复了 VMware Cloud Foundation 中的严重 RCE漏洞 https://securityaffairs.co/wordpress/137640/hacking/vmware-cloud-foundation-rce.html 7、Cisco AnyConnect 客户端中的两个漏洞被利用 https://securityaffairs.co/wordpress/137654/security/cisco-anyconnect-secure-mobility-flaws.html 8、Melis Platform CMS修补了关键RCE漏洞 https://portswigger.net/daily-swig/melis-platform-cms-patched-for-critical-rce-flaw 9、工业互联网总体网络架构国家标准正式发布 https://www.secrss.com/articles/48266 10、Kimsuky 使用 3 个新的 Android 恶意软件针对韩国人 https://thehackernews.com/2022/10/kimsuky-hackers-spotted-using-3-new.html

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、LockBit勒索软件团伙攻击了汽车经销商Pendragon https://www.bleepingcomputer.com/news/security/pendragon-car-dealer-refuses-60-million-lockbit-ransomware-demand/ 2、Abode Home Security Kit中的严重缺陷允许黑客劫持、禁用摄像头 https://cert.gov.ua/article/2394117 3、SQLite 数据库一个存在 22 年之久的高危漏洞被披露 https://thehackernews.com/2022/10/22-year-old-vulnerability-reported-in.html 4、Hive 勒索软件开始泄露从 Tata Power Energy 公司窃取的数据 https://thehackernews.com/2022/10/hive-ransomware-hackers-begin-leaking.html 5、研究人员披露了Windows 事件日志的两个漏洞详细信息 https://thehackernews.com/2022/10/researchers-detail-windows-event-log.html 6、Apple 发布 macOS Ventura 13 修补了 100 多个漏洞 https://www.securityweek.com/apple-patches-over-100-vulnerabilities-release-macos-ventura-13 7、Jira Align 漏洞使 Atlassian 基础设施受到攻击 https://www.securityweek.com/jira-align-vulnerabilities-exposed-atlassian-infrastructure-attacks 8、恶意软件活动Dormant Colors 通过Chrome 扩展程序劫持浏览器 https://www.bleepingcomputer.com/news/security/chrome-extensions-with-1-million-installs-hijack-targets-browsers/ 9、Orca Security披露Azure SFX漏洞FabriXss细节 https://www.anquanke.com/post/id/282019 10、两个 PoS 恶意软件窃取了 167,000 多张信用卡数据 https://securityaffairs.co/wordpress/137608/malware/pos-malware-stolen-card-data.html