网络安全日报 2024年08月02日
1、朝鲜黑客组织DEV#POPPER跨平台攻击开发者
https://www.securonix.com/blog/research-update-threat-actors-behind-the-devpopper-campaign-have-retooled-and-are-continuing-to-target-software-developers-via-social-engineering/近日,研究人员发现由朝鲜支持的黑客组织DEV#POPPER正在进行一场针对软件开发者的跨平台恶意软件攻击,目标包括Windows、Linux和macOS系统。该攻击活动主要针对韩国、北美、欧洲和中东的开发者,通过伪装成招聘面试引诱受害者下载受感染
2、XDSpy网络间谍组织对俄罗斯和摩尔多瓦公司开展钓鱼攻击
https://habr.com/ru/companies/f_a_c_c_t/news/831420/研究人员近日发现,一个名为XDSpy的网络间谍组织正在对俄罗斯和摩尔多瓦的公司进行钓鱼攻击。攻击链最终部署了一种名为DSDownloader的恶意软件。XDSpy首次被白俄罗斯计算机应急响应小组在2020年2月发现,其后续分析表明,该组织自2011年以来一直对东欧和巴尔干半岛的政府机构进行信息窃取攻击。最新攻击使用与协议相关的诱饵邮件传播包含合法可执行文件和恶意DLL文件的RAR档案。通过DLL旁加载技术,恶意DLL文件被执行,随后下载并运行DSDownloader。DSDownloader
3、全球领先白银生产商Fresnillo披露网络攻击事件
https://otp.tools.investis.com/clients/uk/fresnillo_plc4/rns/regulatory-story.aspx?cid=191&newsid=1848251&全球最大的白银生产商Fresnillo PLC近日披露,遭遇了一次网络攻击,导致其系统中的数据被未经授权访问。在发现攻击后,Fresnillo立即采取了应对措施来遏制数据泄露,并与外部法证专家合作调查和评估事件的影响。公司表示,此次网络攻击未对其运营产生影响,也不预期会有财务或实质性影响。Fresnillo强调:“所有业务单位继续运营,未经历或预见到任何重大运营或财务影响。情况将持续评
4、俄罗斯黑客利用Sitting Ducks漏洞劫持3万多域名
https://eclypsium.com/blog/ducks-now-sitting-dns-internet-infrastructure-insecurity/据研究人员报道,俄罗斯关联的犯罪分子正通过利用DNS服务漏洞,劫持了超过3万个域名。自2019年以来,这些黑客使用一种名为Sitting Ducks的技术,成功控制了大量域名。该技术最早在2016年由研究人员披露,当时他发现主要云服务提供商如AWS、谷歌和Digital Ocean存在DNS漏洞,导致12万个域名被劫持。Sitting Ducks漏洞源于不完善的商业流程,而非代码错误,因而难以解决。该技术比其他域名劫持方法更容易
5、西悉尼大学披露重大数据泄露事件,被窃取多达580TB数据
https://www.westernsydney.edu.au/news/cyber-incident澳大利亚西悉尼大学近日披露,一次重大数据泄露事件导致黑客在其Microsoft Office 365环境中窃取了多达580TB的数据,包括教职工和学生的个人信息。调查显示,黑客在2023年5月首次入侵,并持续到2024年1月,期间获悉黑客利用了大学的Solar Car实验室基础设施进行部分攻击。此次攻击还涉及大学的Isilon存储平台,黑客于2023年7月入侵,并在2024年3月16日前持续访问存储数据。受影响的数据包括个人身份信息如姓名、联系方式、出生日期、健康信息、政府身份证明文件、税号
6、被利用的漏洞影响2 万个在网上暴露的VMware ESXi实例
https://www.securityweek.com/exploited-vulnerability-could-impact-20k-internet-exposed-vmware-esxi-instances/Shadowserver Foundation 的数据显示,大约有 20,000 台未针对被利用的漏洞进行修补的 VMware ESXi 服务器可通过互联网访问。该漏洞编号为 CVE-2024-37085(CVSS 评分为 6.8),是一种中等严重程度的身份验证绕过漏洞,可让威胁行为者获得对易受攻击的 ESXi 实例的完全访问权限。
7、安全审计发现Homebrew 中的15个漏洞,含多个严重漏洞
https://www.securityweek.com/homebrew-security-audit-finds-25-vulnerabilities/Trail of Bits 安全审计发现,Homebrew 中的多个漏洞可能允许攻击者加载可执行代码并修改二进制构建,从而可能控制 CI/CD 工作流执行并泄露机密。
8、制药巨头 Cencora 的客户个人和健康信息被窃取
https://www.securityweek.com/personal-health-information-stolen-from-pharma-giant-cencora/制药巨头 Cencora 本周证实,个人身份信息 (PII) 和受保护的健康信息 (PHI) 在 2024 年 2 月的网络攻击中遭到窃取。
9、安卓木马BingoMod从受害者银行账户窃取资金并擦除数据
https://securityaffairs.com/166410/malware/bingomod-android-rat.htmlBingoMod 是一种新型 Android 恶意软件,它可以在窃取受害者银行账户中的资金后清除设备数据。
10、巴黎奥运会应用过度收集用户信息并出售给广告商和科技公司
https://cybernews.com/security/paris-2024-olympic-apps-eavesdropping-on-users/2024年巴黎奥运会的应用程序正在追踪用户、提取私人数据,并将其出售给广告商和大型科技公司。此外,它们的过度收集信息超出了所声明的范围。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年08月01日
1、ModiLoader钓鱼攻击针对波兰等国中小企业
https://www.welivesecurity.com/en/eset-research/phishing-targeting-polish-smbs-continues-modiloader/ 研究人员监测到一起针对波兰、罗马尼亚和意大利中小企业的网络钓鱼活动。此次攻击通过ModiLoader下载器传播了包括Rescoms、Agent Tesla和Formbook在内的多个恶意软件家族。研究人员在5月份特别关注了9起显著的ModiLoader钓鱼活动,这些活动通过传播多种恶意软件家族,对这些企业的网络安全构成了严重威胁。攻击者采用了先进的技术手段,通过之前被入侵的账户和服务器来散布恶
2、大规模跨国Android短信OTP窃取活动影响超过113个国家
https://www.zimperium.com/blog/unmasking-the-sms-stealer-targeting-several-countries-with-deceptive-apps/ 团队对一场波及全球的Android短信窃取活动进行了深入研究和跟踪。这场活动通过超过107000个恶意软件样本,利用欺骗性广告和Telegram机器人等手段,针对了多个国家的大量用户。这些恶意软件样本伪装成合法应用程序,请求用户授权短信读取权限,然后与C&C服务器建立联系,收集敏感短信数据,包括用于账户验证的一次性密码(OTP)。攻击者展示了高度的适应性和技术能力,不断更新其策略和工
3、研究人员发现与Zloader相关新PowerShell后门
https://www.infosecurity-magazine.com/news/walmart-powershell-backdoor-zloader/ 研究人员近期揭露了一个与Zloader恶意软件相关的新型PowerShell后门。该后门旨在通过侦察活动为攻击者提供进一步访问权限,并部署包括Zloader在内的其他恶意软件样本。该后门采用了高级混淆技术,可能与新变种的Zloader一起使用,Zloader最初是一种银行木马,但近年来已发展出新功能,并与多个俄罗斯勒索软件组织有关联。
4、研究人员利用OPSEC漏洞渗透了Medusa云存储数据
https://darkatlas.io/blog/medusa-ransomware-group-opsec-failure 研究人员对Medusa勒索软件集团的调查中,发现了该组织的一个OPSEC(操作安全)漏洞。这一失误使得研究人员能够渗透Medusa的云账户,访问并分析其窃取的数据。通过这次访问,研究人员不仅能够查看和下载Medusa从受害者那里窃取的所有数据,还开始删除敏感文件,并联系受害者协助他们恢复数据。为了帮助检测此类事件,研究人员还制定了sigma规则,并通过邮件联系了尽可能多的受害者,提供恢复帮助。
5、Dark Angels勒索软件团伙获7500万美元巨额赎金
https://www.bleepingcomputer.com/news/security/dark-angels-ransomware-receives-record-breaking-75-million-ransom/ 研究报告中披露,一家位列财富50强的公司在2024年年初向Dark Angels勒索软件团伙支付了7500万美元的巨额赎金,该金额刷新了勒索软件赎金的历史记录。此前,最大的一笔已知赎金是CNA保险公司支付的4000万美元。Dark Angels勒索软件行动自2022年5月发起,专注于全球范围内的企业网络,采用“大猎物狩猎”策略,通过入侵企业网络并加密设备,以此作为索要
6、勒索软件攻击 OneBlood 血库,扰乱医疗运营
https://www.securityweek.com/ransomware-attack-hits-oneblood-blood-bank-disrupts-medical-operations/ OneBlood 是一家为美国 300 多家医院提供服务的非营利性血库,目前遭受了破坏性勒索软件攻击。
7、新漏洞使攻击者能够伪造来自2000多万个域名的电子邮件
https://www.securityweek.com/vulnerabilities-enable-attackers-to-spoof-emails-from-20-million-domains/ 两个新发现的漏洞可能允许威胁行为者滥用托管电子邮件服务来欺骗发件人的身份并绕过现有的保护措施,发现这些漏洞的研究人员表示,数百万个域名受到影响。卡内基梅隆大学计算机应急响应小组 (CERT) 协调中心 (CERT/CC)在一份咨询报告中指出,这两个漏洞的编号为CVE -2024-7208和CVE-2024-7209,允许经过身份验证的攻击者伪造共享托管域的身份,并使用网络授权伪造电子邮件发
8、微软称最新的Azure中断是由对DDoS攻击防御引起的
https://www.securityweek.com/microsoft-says-azure-outage-caused-by-ddos-attack-response/ 微软对 Azure 遭受的 DDoS 攻击的响应不但没有减轻攻击的影响,反而扩大了攻击的影响,从而导致了中断。调查显示,针对其系统发起的 DDoS 攻击触发了保护机制,但这些防御机制中的实施错误导致攻击的影响被放大而不是减轻。
9、DigiCert因域名验证疏忽撤销了83,000 多个 SSL 证书
https://thehackernews.com/2024/07/digicert-to-revoke-83000-ssl.html 证书颁发机构 (CA) DigiCert 发出警告称,由于在验证数字证书是否颁发给域名合法所有者的方式上存在疏忽,它将在 24 小时内撤销部分 SSL/TLS 证书。该公司表示,将采取措施撤销没有适当域控制验证(DCV)的证书。
10、黑客窃取并公开了CrowdStrike的10万行IoC数据
https://hackread.com/hacker-scrapes-publishes-crowdstrike-ioc-list/ CrowdStrike对黑客USDoD的声明持审慎态度,并没有直接否定。公司确认了USDoD关于泄露威胁行为者和IoC列表的说法,并分析了黑客提供的样本数据。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年07月31日
1、Mandrake间谍软件潜入Google Play应用
https://securelist.com/mandrake-apps-return-to-google-play/113147/ 经过两年的隐蔽发展,Mandrake Android间谍软件再次在Google Play上被发现。这款恶意软件曾于2020年被分析,现在以新版本的形式回归,携带更高级的混淆和规避技术。在2022至2024年间,至少有五个Mandrake应用程序在Google Play上发布,总安装次数超过32000次,且未被其他安全供应商检测到。新版本恶意软件将核心功能隐藏在本机库中,使用证书固定技术进行C2通信,并通过多种测试来检测是否运行在root设备或模拟环境中。该间谍
2、乌克兰网络攻击致俄罗斯金融系统服务中断
https://hackread.com/ukraine-cyber-attack-disrupted-russian-atm-banking/ 乌克兰近期对俄罗斯发起了一系列网络攻击,这些攻击自7月23日开始,目标直指俄罗斯的金融系统,包括ATM服务和网上银行,造成大规模的服务中断。这场攻势是乌克兰网络战略的一部分,旨在通过网络战能力来对抗俄罗斯经济的关键基础设施。攻击影响了包括Sberbank和VTB银行在内的多家主要金融机构,冻结了客户的银行卡,中断了金融交易和公共交通支付系统。此外,移动和互联网服务提供商也遭受了攻击,影响了数百万用户。
3、Proofpoint漏洞引发EchoSpoofing大规模钓鱼攻击
https://labs.guard.io/echospoofing-a-massive-phishing-campaign-exploiting-proofpoints-email-protection-to-dispatch-3dd6b5417db6 安全研究人员揭露了一起名为“EchoSpoofing”的大规模网络钓鱼活动,该活动利用Proofpoint电子邮件保护服务的漏洞,向全球多家知名企业发送了数百万封伪造电子邮件。受影响的客户包括迪士尼、IBM、耐克等知名品牌。攻击者通过滥用Proofpoint的基础设施,成功绕过SPF和DKIM等主要安全措施,使得这些钓鱼邮件看起来如同官方邮
4、Specula利用Outlook漏洞执行远程代码
https://github.com/trustedsec/specula/wiki 安全机构最近发布了一款名为Specula的新型红队后利用框架,并展示如何将Microsoft Outlook变为C2信标执行远程代码。该框架利用了2017年修补的CVE-2017-11774漏洞,通过WebView创建自定义Outlook主页,即使在最新Office 365版本上也有效。攻击者可通过注册表值设置恶意主页,利用Outlook执行VBscript文件。Specula允许攻击者实现持久性和系统横向传播,且因outlook.exe受信任,易于逃避安全软件。
5、全球数百万网站面临OAuth实施缺陷与XSS结合攻击
https://salt.security/blog/over-1-million-websites-are-at-risk-of-sensitive-information-leakage---xss-is-dead-long-live-xss 安全研究团队近期发现,跨站点脚本(XSS)与OAuth结合后,形成了一种新的网络攻击手段,威胁着超过一百万网站的安全。这种攻击方式可以绕过传统的XSS防护措施,包括内容安全策略和HTTP-Only Cookie属性,通过OAuth流程中的URL重定向读取敏感的OAuth令牌,使攻击者能够完全控制用户账户。这一发现表明,即使网站采取了多种安全措施,仍
6、Apple推出 iOS、macOS等安全更新,修补数十个漏洞
https://www.securityweek.com/apple-rolls-out-security-updates-for-ios-macos/ 苹果公司周一宣布了一系列安全更新,修复了影响新旧 iOS 和 macOS 设备的数十个漏洞。iOS 17.6 和 iPadOS 17.6 针对最新一代 iPhone 和 iPad 设备发布,修复了 35 个安全缺陷,这些缺陷可能导致身份验证和策略绕过、应用程序意外终止或系统关闭、信息泄露、拒绝服务 (DoS) 和内存泄漏。
7、印度 APT 攻击多个国家港口和海事设施
https://www.securityweek.com/indian-apt-targeting-mediterranean-ports-and-maritime-facilities/ 被追踪的高级持续性威胁 (APT) 行为者SideWinder(也称Rattlesnake、Razor Tiger),自 2012 年以来一直活跃,主要针对巴基斯坦、阿富汗、中国和尼泊尔的政府、军队和企业进行网络间谍活动。
8、ClickFix式网络钓鱼活动针对微软OneDrive用户
https://securityaffairs.com/166312/hacking/microsoft-onedrive-phishing.html 攻击者使用社会工程学手段诱使用户运行 PowerShell 脚本,从而入侵他们的系统。诈骗从一封包含 HTML 文件的电子邮件开始,诱骗收件人点击按钮来修复虚假的 DNS 问题。
9、工信部:2024上半年我国信息安全领域收入909亿元
https://www.secrss.com/articles/68549 上半年,我国软件和信息技术服务业(以下简称“软件业”)运行态势良好,软件业务收入和利润均保持两位数增长,软件业务出口收入增速由负转正,主要大省持续向好发展。
10、法国当局启动行动从受感染的系统中删除PlugX恶意软件
https://thehackernews.com/2024/07/french-authorities-launch-operation-to.html 法国司法当局与欧洲刑警组织合作,启动了一项所谓的“消毒行动”,以清除一种名为PlugX的已知恶意软件的受感染主机。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年07月30日
1、针对拉丁美洲的恶意Chrome扩展程序激增
https://securityintelligence.com/posts/unveiling-latest-banking-trojan-threats-latam/ 最新研究揭示,拉丁美洲地区遭遇恶意Chrome扩展程序攻击激增,主要针对金融机构。这些扩展不仅收集技术信息、截图和剪贴板内容,还注入恶意脚本、窃取登录凭据,甚至绕过双因素认证。CyberCartel组织被指为幕后黑手,其利用现有恶意软件服务,针对高价值实体。攻击者通过Telegram更新C2配置,灵活控制恶意活动。地下市场亦出现恶意Chrome扩展程序构建器,降低犯罪门槛,加剧了银行木马威胁。
2、FBI发布关于朝鲜开展全球网络间谍活动的警告
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a 美国联邦调查局(FBI)联合多国网络安全机构发布警告,揭示了朝鲜侦察总局(RGB)第三局支持的网络组织在全球范围内的间谍活动。这些活动主要针对国防、航空航天、核能和工程实体,目的是获取敏感和机密的技术信息和知识产权,以推进朝鲜政权的军事和核计划。这些网络行动不仅局限于特定国家,而是对全球多个行业构成持续威胁。警告指出,这些组织通过勒索软件攻击美国医疗保健实体,为其间谍活动提供资金。此外,他们利用已知软件漏洞如Log4j,广泛获取初始访问权限,部署Web Sh
3、研究人员揭露利用生成式AI热潮进行网络诈骗
https://unit42.paloaltonetworks.com/cybersquatting-using-genai-keywords/ 在生成式人工智能(GenAI)技术快速发展的背景下,网络犯罪分子也试图通过这一热潮进行诈骗攻击。Palo Alto 安全研究人员注意到,自ChatGPT发布以来,含有GenAI相关关键词的新注册域名(NRD)数量显著增加,并且这些域名中相当一部分被标记为可疑。通过分析这些域名的流量和使用情况,研究人员发现了多种网络滥用行为,包括利用GenAI相关域名进行潜在有害程序的交付、垃圾邮件的分发以及通过域名停放进行的货币化操作。
4、CrowdStrike蓝屏故障引发全球网络钓鱼热潮
https://www.cyfirma.com/research/crowdstrike-falcon-sensor-update-worldwide-blue-screen-of-death-bsod-incident-update-ii/ CrowdStrike Falcon传感器的一次更新意外地在全球范围内触发了Windows计算机的蓝屏死机现象,导致众多用户遭遇服务中断。这一安全事件迅速被网络犯罪分子所利用,他们通过精心设计的网络钓鱼手段和恶意域名,试图误导并攻击用户。研究团队对这些攻击活动进行了持续监测和分析,识别出了攻击者所使用的多种恶意软件,包括但不限于Remcos远程访问木马
5、数百万网站可能因 OAuth 实施缺陷遭受 XSS 攻击
https://www.securityweek.com/millions-of-websites-susceptible-xss-attack-via-oauth-implementation-flaw/ API 安全公司 Salt Security 的研究部门 Salt Labs 发现并发布了跨站点脚本 (XSS) 攻击的详细信息,该攻击可能会影响全球数百万个网站。这不是一个可以集中修补的产品漏洞。它更像是 Web 代码和一款非常流行的应用程序(用于社交登录的OAuth)之间的实现问题。
6、微软称勒索软件团伙利用刚修补的VMware ESXi漏洞
https://www.securityweek.com/microsoft-says-ransomware-gangs-exploiting-just-patched-vmware-esxi-flaw/ VMware 为 ESXi 虚拟机管理程序中的一个严重漏洞发布补丁后不到一周,微软威胁情报团队表示,勒索软件团体正在利用该漏洞获取加入域的系统的完全管理访问权限。
7、网络钓鱼活动利用Proofpoint邮件路由漏洞进行欺骗
https://thehackernews.com/2024/07/proofpoint-email-routing-flaw-exploited.html 威胁行为者利用 Proofpoint 电子邮件保护服务中的问题来冒充知名品牌,作为大规模网络钓鱼活动的一部分。作为该活动的一部分,攻击者利用错误配置问题每天可以发送数百万条网络钓鱼消息并绕过电子邮件安全保护。
8、Gh0st RAT木马通过虚假Chrome网站攻击中国Windows用户
https://thehackernews.com/2024/07/gh0st-rat-trojan-targets-chinese.html 名为 Gh0st RAT 的远程访问木马由名为 Gh0stGambit 的“规避式植入程序”传播,是针对中文 Windows 用户的驱动下载计划的一部分。这些感染源自一个虚假网站(“chrome-web[.]com”),该网站伪装成谷歌的 Chrome 浏览器提供恶意安装程序包。
9、ATM机无法取钱,俄银行遭乌克兰大规模网络攻击
https://www.freebuf.com/news/407179.html 乌克兰和俄罗斯之间的网络战大幅升级,乌克兰网络特工针对俄罗斯顶级银行的自动取款机服务发起了大规模网络攻击。此次攻击始于 7 月 23 日上午,严重扰乱了俄罗斯各地的银行业务,导致客户无法提取现金和使用其他金融服务。
10、OpenStack Nova漏洞允许黑客未经授权访问云服务器
https://cybersecuritynews.com/openstack-nova-vulnerability/ 该漏洞被跟踪为 CVE-2024-40767,影响了 Nova 的多个版本,并对全球云基础设施构成严重风险。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年07月29日
1、APT45从网络间谍活动转向勒索软件攻击
https://cloud.google.com/blog/topics/threat-intelligence/apt45-north-korea-digital-military-machine APT45(又称Andariel),一个与朝鲜政府有联系的网络间谍组织,自2009年以来一直活跃在网络空间。该组织最初以政府机构和国防工业为目标进行间谍活动,但近年来已扩展至经济驱动的行动,包括开发勒索软件。APT45对金融部门、关键基础设施、医疗保健和制药行业以及核相关实体的攻击表明,其行动不仅为了自身利益,也可能为朝鲜的其他国家优先事项筹集资金。此外,APT45的活动与朝鲜侦察总局(RGB)
2、黑客组织对阿联酋银行发起创纪录DDoS攻击
https://www.darkreading.com/cyberattacks-data-breaches/pro-palestinian-actor-levels-six-day-ddos-on-uae-bank 黑客组织BlackMeta对阿联酋一家银行发起了长达六天的DDoS攻击,攻击强度平均每秒450万次请求,峰值达到每秒1470万次请求。攻击强度和持续时间创下记录,使合法网络请求的比例降至0.12%。研究报告显示,BlackMeta组织可能使用了InfraShutdown网络犯罪服务,该服务以每周500至625美元的价格提供攻击。
3、ServiceNow RCE漏洞被用于进行凭证窃取
https://www.resecurity.com/blog/article/cve-2024-4879-and-cve-2024-5217-servicenow-rce-exploitation-in-a-global-reconnaissance-campaign 研究团队通报了ServiceNow平台中被标识为CVE-2024-4879和CVE-2024-5217的严重安全漏洞,这些漏洞在全球范围内被侦察活动利用。这些漏洞的CVSSv4评分极高,分别达到9.3和9.2,意味着它们允许攻击者在Now Platform内远程执行代码,造成数据泄露和业务中断的风险。研究团队密切监视了这一活
4、研究人员揭露Confused Function漏洞
https://www.tenable.com/blog/confusedfunction-a-privilege-escalation-vulnerability-impacting-gcp-cloud-functions 研究人员揭露了一个名为ConfusedFunction的漏洞,该漏洞影响Google Cloud Platform的Cloud Functions服务。攻击者可以利用此漏洞通过Cloud Functions的部署过程提升权限,获取对Cloud Build服务账户的访问,进而可能滥用更高权限访问GCP资源。Google Cloud已经确认了该问题,并为新创建的Cloud
5、PKfail事件暴露了UEFI固件安全漏洞
https://www.binarly.io/blog/pkfail-untrusted-platform-keys-undermine-secure-boot-on-uefi-ecosystem 安全研究团队最近揭露了PKfail事件,事件中受影响的设备使用了一个未被替换的测试平台密钥,该密钥由American Megatrends International (AMI)生成,且被标记为“不信任”。这一问题使得攻击者能够绕过安全启动,进而安装恶意软件。受影响的设备制造商包括Acer、Aopen、Dell等知名品牌。Binarly建议供应商采取加密密钥管理最佳实践,并替换测试密钥以降低风险。
6、Meta公司打击尼日利亚金融勒索诈骗活动
https://about.fb.com/news/2024/07/combating-financial-sextortion-scams-from-nigeria/ Meta公司近期宣布,已成功删除约63000个Instagram账户和7200个Facebook资产,这些账户和资产与尼日利亚的金融性勒索诈骗活动有关。这些活动主要由Yahoo Boys执行,他们利用社交媒体平台组织和招募新的诈骗者。Meta公司通过开发新技术信号和专家团队的深入调查,识别并删除了这些账户,同时与执法部门合作,提高对这类犯罪行为的打击力度。
7、西班牙银行用户遭GXC团伙AI钓鱼攻击
https://www.group-ib.com/blog/gxc-team-unmasked/ GXC,一个新兴的网络犯罪团伙,利用人工智能技术针对西班牙银行用户发起攻击。该团伙开发并销售网络钓鱼工具包和能够拦截OTP代码的Android恶意软件,其服务模式为“恶意软件即服务”,客户可购买定制化网络钓鱼资源。据安全团队分析,至少有250个网络钓鱼域和9种Android恶意软件变体被检测到。GXC团伙的AI钓鱼工具不仅技术先进,而且通过集成语音呼叫功能,增加了诈骗的说服力。目前,全球30家机构和西班牙36家银行用户受到威胁。
8、Google修复Chrome密码管理器凭据消失错误
https://www.bleepingcomputer.com/news/google/google-fixes-chrome-password-manager-bug-that-hides-credentials/ 谷歌已修复Chrome浏览器密码管理器的一个错误,该错误导致全球约2%的Windows用户在超过18小时的时间内无法看到其存储的密码。问题始于Chrome 127版本更新后,用户报告密码消失或每次登录后被提示重新保存密码。谷歌发布初步分析报告,确认问题与产品行为改变有关,并已部署修复程序。用户被建议重启Chrome以确保修复生效,或通过特定命令行标志启动浏览器。
9、Acronis公布ACI平台安全漏洞并建议安装修复程序
https://www.bleepingcomputer.com/news/security/acronis-warns-of-cyber-infrastructure-default-password-abused-in-attacks/ Acronis警告客户存在一个严重的网络安全漏洞,该漏洞可能允许攻击者使用默认凭据绕过身份验证。该漏洞影响Acronis Cyber Protect (ACI)平台,该平台被超过20000家服务提供商使用,保护150多个国家的750000多家企业。漏洞CVE-2023-45249允许未经身份验证的攻击者在未修补的ACI服务器上执行远程代码。Acronis
10、GitHub CFOR漏洞允许访问已删除或私有存储库
https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github 安全研究人员发现GitHub存在设计缺陷,允许用户访问已删除和私有的存储库数据,这一漏洞被称为跨分叉对象引用(CFOR)。GitHub确认这是其有意设计的架构功能,并非错误。研究人员展示了三种场景,包括访问已删除分支数据、已删除仓库数据和私有存储库数据。攻击者可以通过GitHub的UI暴力破解提交哈希或利用公共事件API端点来访问数据。研究人员建议密钥轮换作为修复措施,并提醒用户更新秘密扫描工具。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
后门函数技术在二进制对抗中的应用
本次题目跟第七届HWS线下的re2有类似的地方,均有后门函数。
二进制后门可以理解为:我们只需要修改某个字节或某个函数,就可以将加密的过程变成解密的过程,大大节省逆向成本。
本题先对内置的dll进行解密,然后调用其加密函数对我们的txt进行加密,如果我们将加密的函数nop为解密函数,就可以直接解密,类比与RC4动态解密技术。
1、初次分析
0地址异常反调试
本题的一大亮点就是有访问0地址的异常反调试,小伙伴们在做的时候有没有发现调试异常艰难呢
故意访问0地址
然后走作者自定义的处理函数,如果我们在IDA动调的时候不经过处理函数,程序就会卡在哪里不能继续运行。
做法很简单:将访问0地址的代码和异常处理函数完全给nop掉
(说白了:就是将所有跟异常有关的汇编都给nop掉就完事)
处理函数也是完整nop
返回处也nop,跟开头相对应
main函数
分析main函数,发现反编译爆红
很正常,查看汇编代码,发现了异常反调试和异常花指令干扰分析
做法很简单:直接nop即可
具体做法参考:上面一小节,0地址异常反调试
nop
成功生成函数
TLS回调函数
尝试运行,发现直接退出,发现了TLS反调试函数
nop即可
生成函数
将exit函数nop掉即可,不用管反调试的事情了
2、内置DLL资源解密
使用工具打开file_encrypt
发现内置 pe程序,猜测key为0x33,解密
这是程序使用0x33解密
发现了很多加密函数和解密函数(Crypt开头),因此本题程序使用本dll进行加密和解密操作
在后面的分析中,也发现了函数加载了我们的dll
3、关键函数分析
sub_401320
使用IDA动调发现了很多bug,莫名其妙断下,改用x64dbg
sub_402000
路径和盘符有关,比如我在C盘
C:......\document\1.txt
找到1.txt
sub_4017E0
加载dll
sub_4013E0
4、解密
既然使用了encrypto,那么我们改为decrypto就可以啦
I added the missing CryptDecrypt call to the binary's import table and patched the executable to decrypt the files. The decryption call takes one parameter less than the encryption one, so I NOP'ed one push to the
stack as well:
网络安全日报 2024年07月26日
1、研究人员揭露利用GitHub分发恶意软件服务
https://research.checkpoint.com/2024/stargazers-ghost-network/ 研究人员揭露了名为Stargazers Ghost Network(观星者幽灵网络)的复杂恶意软件分发服务。该网络利用GitHub平台,通过多个账户分发恶意链接和软件,伪装成合法项目以逃避检测。研究发现,此网络由Stargazer Goblin组织运营,涉及多种恶意软件家族,包括Atlantida Stealer和Rhadamanthys。自2022年起,该网络已通过高度自动化和面向受害者的策略,成功感染了数千名用户,估计非法收入高达10万美元。此外,研究还发现该网络
2、网络安全公司KnowBe4误聘朝鲜黑客引发安全威胁
https://blog.knowbe4.com/how-a-north-korean-fake-it-worker-tried-to-infiltrate-us 网络安全培训公司KnowBe4遭遇了一起精心策划的内部威胁事件。一名冒充软件工程师的朝鲜IT工作者通过伪造身份和AI增强照片成功应聘,企图渗透公司系统。尽管进行了视频面试和背景调查,该假冒者仍然未被发现。事件中,该公司的终端检测和响应(EDR)软件发挥了关键作用,及时检测到恶意行为并发出警报。通过与执法机构合作,KnowBe4揭露了这起由朝鲜支持的网络犯罪活动。
3、研究人员提示警惕新型恶意加载器Krampus
https://cybersecuritynews.com/beware-of-new-krampus-loader/ 一种名为Krampus的新型恶意软件加载器在地下网站中流行开来,其多功能性和易用性受到威胁行为体的青睐。Krampus支持处理多种文件类型,包括存档文件和PowerShell脚本,并具备侧载加密货币挖掘软件的能力。此外,它还能够嵌入档案文件中逃避检测,支持安装合法软件以掩盖其恶意行为,并提供用户友好的面板界面。Krampus的文件未经签名且无需加密,这增加了其隐蔽性,使其成为一个重大的安全威胁。
4、CrowdStrike公布Windows蓝屏故障调查结果
https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/ 2024年7月24日,网络安全公司CrowdStrike发布声明,解释了上周五导致数百万Windows设备崩溃的事件。该公司表示,问题出在7月19日UTC时间04:09发布的一个内容配置更新上,该更新旨在收集新威胁技术的遥测数据。不幸的是,更新中的错误导致了Windows系统崩溃。受影响的主要是安装了7.11及以上版本的Windows主机,而Apple macOS和Linux系统则未受影响。CrowdStrike已经采取措施修复问题,
5、攻击者利用漏洞绕过SmartScreen传播恶意软件
https://www.fortinet.com/blog/threat-research/exploiting-cve-2024-21412-stealer-campaign-unleashed 安全研究人员发现,利用CVE-2024-21412漏洞的数据窃取活动正在迅速蔓延。攻击者通过诱导用户点击恶意链接,下载并执行LNK文件,该文件携带HTA脚本,悄无声息地下载诱饵PDF和恶意shell代码注入器。受影响的Windows系统被用于传播包括HijackLoader、ACR窃取程序和Meduza Stealer在内的多种恶意软件。研究人员建议用户提高警惕,避免从不可信来源下载或运行文件。
6、研究人员发现LangChain AI框架存在高危漏洞
https://unit42.paloaltonetworks.com/langchain-vulnerabilities/ 最新研究发现,开源AI框架LangChain存在两个高危漏洞,编号分别为CVE-2023-46229与CVE-2023-44467,可能被攻击者利用来远程执行代码和窃取敏感信息。LangChain迅速响应,发布补丁修复了这些安全风险。研究人员建议所有使用LangChain的组织和开发者立即更新至最新版本。
7、BIND 更新解决高严重性 DoS 漏洞
https://www.securityweek.com/bind-updates-resolve-high-severity-dos-vulnerabilities/ 最新的 BIND 安全更新解决了导致拒绝服务的远程利用漏洞。
8、威胁行为者创建了3000多个GitHub账户用于传播恶意软件
https://www.securityweek.com/network-of-3000-github-accounts-used-for-malware-distribution/ Stargazer Goblin 创建了一个由 3,000 多个 GitHub 帐户组成的网络,通过网络钓鱼存储库分发恶意软件。
9、Nvidia 修补 AI、网络产品中的高危漏洞
https://www.securityweek.com/nvidia-patches-high-severity-vulnerabilities-in-ai-networking-products/ Nvidia 已修补其 Jetson、Mellanox OS、OnyX、Skyway 和 MetroX 产品中的高严重性漏洞。
10、多产的DDoS 市场DigitallStress被英国执法部门关闭
https://www.infosecurity-magazine.com/news/ddos-marketplace-shut-down-uk-law/ 英国执法机构已经渗透并摧毁了DigitallStress,这是世界上最多产的地下市场,提供分布式拒绝服务(DDoS)服务。国家犯罪局(NCA)表示,该局已于7月2日与北爱尔兰警察局(PSNI)合作接管并禁用了 digitalstress[.]su。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年07月25日
1、乌克兰科研机构遭遇APT28组织网络间谍攻击
https://cert.gov.ua/article/6280129 2024年7月,乌克兰科研机构成为了一起精心策划的网络钓鱼攻击的目标,攻击中使用了HATVIBE和CHERRYSPY两种恶意软件。乌克兰计算机应急响应小组(CERT-UA)将此次攻击归因于UAC-0063,一个与俄罗斯的APT28组织有联系的威胁行为者。攻击者通过获取该机构员工的电子邮件账户,向数十个收件人发送了带有恶意宏的Microsoft Word文档。当这些宏被启用时,它们会触发一个HTA文件的执行,该文件通过创建计划任务在受害者计算机上实现持久性,并为CHERRYSPY后门铺平了道路。
2、RA World勒索软件针对全球进行攻击
https://unit42.paloaltonetworks.com/ra-world-ransomware-group-updates-tool-set/ 安全研究人员对勒索软件组织RA Group(现更名为RA World)的活动进行了深入分析。自2024年3月以来,RA World的活动显著增加,其暗网泄密网站上约37%的帖子均为近期发布,突显了该组织作为新兴威胁的重要性。RA World采用多重勒索策略,先窃取敏感数据再加密,随后利用这些数据作为筹码威胁受害者支付赎金。该组织对医疗保健行业的组织特别感兴趣,但到2024年中期,制造业成为主要受害行业。美国是受攻击最严重的国家,其次是
3、DeFi交易所dYdX v3网站遭遇DNS劫持攻击
https://status.dydx.exchange/incidents/lzyhxm4wp22w DeFi加密货币交易所dYdX遭遇安全警报,其v3交易平台网站被DNS劫持。攻击者通过部署假冒网站,利用PERMIT2交易批准机制,试图盗取用户代币。dYdX迅速响应,通知用户不要访问受攻击的网站,并确保智能合约和用户资产安全。此次安全事件与一系列针对Squarespace注册商的DNS劫持攻击有关,暴露了在域名转移过程中MFA被关闭的安全漏洞。
4、研究人员发现针对HamsterKombat玩家的恶意软件
https://www.welivesecurity.com/en/eset-research/tap-estry-threats-targeting-hamster-kombat-players/ 研究人员揭露了针对流行的Telegram点击游戏HamsterKombat玩家的新型网络威胁。随着该游戏迅速走红,网络犯罪分子开始利用其热度进行多种恶意活动。研究发现,这些威胁包括伪装成HamsterKombat的Android间谍软件Ratel、虚假应用商店,以及在GitHub上伪装成游戏自动化工具实则传播LummaStealer恶意软件的加密器。这些恶意活动不仅针对Android用户,Win
5、Magento网站遭信用卡盗刷器攻击
https://thehackernews.com/2024/07/magento-sites-targeted-with-sneaky.html 网络安全研究人员揭露了一起针对Magento电子商务网站的新型信用卡盗刷攻击。攻击者巧妙地使用交换文件技术来隐藏其恶意软件,使得即使在多次清理尝试后,该恶意软件仍然能够存活。这种窃取器不仅能够捕获网站上所有信用卡表格的数据,还能将详细信息泄露到攻击者控制的域名。研究人员指出攻击者利用域名与流行产品和服务相似的策略来逃避检测。
6、R0bl0ch0n TDS-新型附属欺诈计划波及全球1.1亿互联网用户
https://www.freebuf.com/news/406861.html 世界观察组织的专家团队揭露了一种新型流量分配系统(TDS),该系统与附属营销紧密相关,并在多起欺诈计划中被积极利用。由于其URL重定向中独特的“0/0/0”序列,这一系统被命名为R0bl0ch0n TDS,已经对全球约1.1亿互联网用户造成了影响。
7、网约车外挂犯罪团伙被打掉:17 人被抓,22 万余个账号被封停
https://mp.weixin.qq.com/s/SZ7Fady2ZKFxTgNCeu65kA 阜新市居民李某在多个司机群以“外挂”软件能实现虚拟定位、优先抢单、随意变换计费路程等名义,发布出售“朱雀”、“猪猪侠”、“钵钵鸡”等多款网约车外挂非法获利。
8、微软为受 Crowdstrike 影响的机器发布恢复工具
https://techcommunity.microsoft.com/t5/intune-customer-success/new-recovery-tool-to-help-with-crowdstrike-issue-impacting/ba-p/4196959 微软对无法自动接收 Crowdstrike 最新补丁的机器提供了一个创建可启动 U 盘的恢复工具。该恢复工具通过 USB 启动到 Windows PE 环境,访问磁盘,然后自动删除有问题的 CrowdStrike 文件,从而允许计算机正常启动。
9、Docker修补了可追溯至2018 年的严重AuthZ插件绕过漏洞
https://www.securityweek.com/docker-patches-critical-authz-plugin-bypass-vulnerability-dating-back-to-2018/ Docker 发布了紧急安全公告,修复了某些版本 Docker Engine 中的一个严重漏洞,该漏洞允许攻击者在特定情况下绕过授权插件(AuthZ)。 该漏洞被标记为CVE-2024-41110,CVSS 严重性评分为 10/10,最初于 2018 年发现并修复,但令人费解的是,2019 年 1 月的补丁并未延续到后来的主要版本,导致漏洞回归。
10、Chrome 127 版本修复了 24 个漏洞
https://www.securityweek.com/chrome-127-patches-24-vulnerabilities/ 谷歌周二宣布向稳定版频道发布 Chrome 127,其中修补了 24 个漏洞,其中包括外部研究人员报告的 16 个漏洞。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2024年07月24日
1、黑客组织滥用Google Cloud进行网络钓鱼
https://thehackernews.com/2024/07/pineapple-and-fluxroot-hacker-groups.html 今日研究人员发现两个黑客组织PINEAPPLE和FLUXROOT滥用Google Cloud服务进行凭证网络钓鱼攻击。FLUXROOT,一个以拉丁美洲为基地的攻击者,利用Google Cloud无服务器项目策划网络钓鱼活动,意图收集与在线支付平台Mercado Pago相关的登录信息。PINEAPPLE组织则利用Google Cloud传播Astaroth(又名Guildma)窃取恶意软件,主要针对巴西用户。他们通过创建受感染的Google
2、SocGholish利用BOINC平台进行持久性攻击
https://www.huntress.com/blog/fake-browser-updates-lead-to-boinc-volunteer-computing-software 究人员揭露了一种名为SocGholish的恶意软件,该软件通过伪装成浏览器更新,利用BOINC(伯克利开放基础设施网络计算)项目进行隐蔽网络攻击。BOINC原本是一个由加州大学维护的志愿计算平台,旨在利用家庭计算机进行大规模分布式计算。攻击者通过控制域连接受感染主机,收集数据并推送命令。目前,已有超过一万个客户端被连接到恶意服务器,存在被进一步利用的风险。项目维护人员正在积极应对,寻找解决方案。
3、Ubuntu修复Azure云系统内核漏洞
https://tuxcare.com/blog/several-linux-kernel-azure-vulnerabilities-fixed-in-ubuntu 近日发布的安全更新针对Ubuntu 16.04 ESM和Ubuntu 18.04 ESM中的Linux内核漏洞进行了修复。这些漏洞主要影响Microsoft Azure云系统,攻击者可能利用它们导致系统崩溃、信息泄露或执行恶意代码。修复的漏洞包括但不限于CVE-2021-33631、CVE-2023-6270和CVE-2024-23307,严重性评分均较高。
4、Telegram安卓版修补零日漏洞EvilVideo
https://www.bleepingcomputer.com/news/security/telegram-zero-day-allowed-sending-malicious-android-apks-as-videos/ 研究人员揭露了一个针对Telegram Android应用的安全漏洞“EvilVideo”。该漏洞允许攻击者通过伪装成视频文件的方式发送恶意Android APK。据称,该漏洞首次由一个名为“Ancryno”的黑客在6月6日的论坛上出售。研究人员在Telegram的一个公共频道上观察到了这个漏洞的演示,并确认了它在Telegram v10.14.4及更早版本中的存在
5、FrostyGoop ICS 恶意软件针对乌克兰关键基础设施
https://securityaffairs.com/166087/malware/frostygoop-ics-malware-modbus.html 2024 年 4 月,Dragos 研究人员发现了一种名为 FrostyGoop 的新 ICS 恶意软件,该恶意软件使用 Modbus 协议与工业控制系统交互。FrostyGoop 是发现的第九种 ICS 恶意软件,被国家行为者用于野外攻击。专家报告称,FrostyGoop 被用于 2024 年 1 月对乌克兰利沃夫一家供暖公司的攻击。与俄罗斯有关的威胁行为者利用了 Mikrotik 路由器的一个漏洞,导致 600 栋建筑近两天没有供暖。
6、Google 将在 Chrome 中保留第三方 Cookie
https://www.securityweek.com/google-will-keep-third-party-cookies-in-chrome/ Google 不再计划在 Chrome 中弃用第三方 Cookie,并且正在研究更新的方法。
7、攻击者正滥用邮件网关URL保护服务来隐藏网络钓鱼链接
https://www.freebuf.com/news/406740.html 据网络安全公司Barracuda近期的一项研究报告,一些攻击者正滥用电子邮件安全服务隐藏恶意链接并传播钓鱼邮件,到目前为止这些攻击已针对至少数百家公司。
8、WPS:不存在文档被用作 AI 训练的情况,未与豆包合作
有网友在社交平台发文称“WPS 改版了用我们的文章喂给 AI 了”“WPS 疑似把我的审签内容喂给抖音豆包 AI”。对此 WPS 进行了回应,所有用户的文档不会被用于任何 AI 训练目的,也不会在未经用户同意的情况下用于任何场景。WPS AI 与豆包在 AI 层面目前并未开展任何形式的合作,不存在文档被用作 AI 训练的情况。
9、特朗普集会枪手手机被以色列公司的软件在 40 分钟内破解
https://9to5mac.com/2024/07/18/trump-shooter-android-phone-cellebrite/ 枪手使用的三星的一款较新型的 Android 手机,FBI 首先尝试利用以色列数据情报公司 Cellebrite 的软件去绕过或识别手机密码,但未能成功。FBI 随后直接联络 Cellebrite 寻求帮助。Cellebrite 之后提供了该公司仍然在开发中的新软件。FBI 利用新的软件在 40 分钟内解锁了手机。
10、尼日利亚指控Meta窃取个人数据,对其处以 2.2 亿美元罚款
https://www.ithome.com/0/783/210.htm 当地时间 7 月 20 日,尼日利亚政府宣布对 Meta 处以 2.2 亿美元的罚款,称其调查发现 Facebook 和 WhatsApp 上多次违反该国的数据保护和消费者权益法。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
某个OA系统的代码审计
2023年HVV中爆出来的洞了,但是有一些漏洞点修复了,刚好地市级的攻防演练中遇到了一个,想着把可能出现问题的点全部审计一下,顺便熟悉一下.net代码审计。ps:感兴趣的师傅们可以自行根据poc搜索源码。
0x1 反编译
好吧,当我没说,下载dnspy反编译即可,但是首先要找到web逻辑代码才能开始审计,因为这套oa是使用了mvc开发模式,简单介绍一下mvc,其实就是model,controller,view,其中的view是视图也就是html等展示给用户看的东西,model是模型也就是控制数据库的代码。controller是控制器负责执行代码的逻辑,也就是我们需要审计的地方了。
然后找到controller就是web的主要逻辑了。
0x2 身份校验绕过
首先可以随便点入一个controller,发现filesController继承自TopVisionApi。
然后我们发现IsAuthorityCheck()这个函数用于判断权限。
首先看到第一行代码getByValue这个函数,其实Request.Properties["MS_HttpContext"]).Request[value]就是获取http请求中的某个参数,而value就是调用传过来的参数,在这里是token,那么这段代码就是获取http中的token参数。
然后if判断了token是不是空值然后再判断token参数的值是不是等于"zxh",如果登录则直接返回一个UserInfo对象。
然后回到filesController的身份判断,发现只判断了IsAuthorityCheck返回是否为null,所以只需要让token参数是zxh的时候,那么就可以绕过身份校验了。
0x3 任意文件下载
还是 filesController 这个控制器 DownloadRptFile方法。这时我们已经绕过了身份认证,所以只需要看之后代码即可。requestFileName就是我们传递的http参数,
然后跟进代码。并未发现任何过滤../的行为,直接传递给getBinaryFile函数
getBinaryFile函数如下。
结果证明: (读取文件内容会以base64返回)
0x4 信息泄露
发现GetCurrentUserList方法查询了所有用户信息。并且返回给前台。
<UserInfo>是c#中的泛型,这里是用来查询数据库的。可以看到遍历了dicUserList这个数组。这个数组就是初始化的用户信息数组了。
直接访问:
0x5 任意文件删除
发现DeleteFile2方法是一个删除文件方法。这里也没有发现过滤../以及过滤删除文件的后缀名。
虽然是有限制了文件路径,但是全然没有过滤../,而且filename参数也是完全可控的。所以这里其实是存在任意文件删除漏洞的。
ps: 这里就不放验证截图了,感兴趣的师傅们可以自行本地验证。
0x6 任意文件上传
UploadFile2方法中获取了各种参数,然后传入UploadFile2
跟进该方法。pathType就是限制文件上传到哪个文件夹的。
pathType详解:
fs参数是我们传递的byte数组也就是文件的内容。
startPoint等于0就好这样才能创建一个新的文件,datasize则是数组的长度。
漏洞验证:
0x7 SQL注入
InventoryController的GetProductInv方法,直接从参数获取boxNoName未经过过滤直接通过string.Format拼接至sql语句中,导致了sql注入。
验证:直接sqlmap即可
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页
蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~
扫码咨询客服了解招生最新内容和活动

