1、电子处方提供商MediSecure遭遇大规模勒索软件导致数据泄露 https://www.medisecure.com.au/ 澳大利亚的电子处方提供商MediSecure由于疑似来自第三方供应商的勒索软件攻击，已经关闭了其网站和电话线。该事件影响了个人和健康信息，但目前影响程度尚不清楚。MediSecure自2009年以来一直运营，为医疗专业人士提供管理和分发药物的数字工具。公司通过其私人和州支持的eRx系统发出了数百万份电子处方。直到2009年11月，它是澳大利亚仅有的两个无纸化处方网络之一。今天，该公司宣布其受到服务供应商之一的网络安全事件的间接影响，导致数据泄露。“MediSecure已确定一起网络安全事件，影响了个人和健康信息。我们已采取紧急措施 2、大型保险公司WebTPA遭遇数据泄露影响240万保单持有人 https://www.bleepingcomputer.com/news/security/webtpa-data-breach-impacts-24-million-insurance-policyholders/ 美国卫生与公众服务部（HHS）指出，本月早些时候披露的WebTPA雇主服务（WebTPA）数据泄露事件影响了近250万人。部分受影响的人是大型保险公司（如The Hartford、Transamerica和Gerber Life Insurance）的客户。WebTPA是GuideWell Mutual Holding Corporation的子公司，是一家第三方管理公司（T 3、微软将于7月开始实施Azure多重身份验证 https://www.bleepingcomputer.com/news/microsoft/microsoft-will-start-enforcing-azure-multi-factor-authentication-MFA-in-july-2024/ 从七月开始，微软将逐步对所有登录Azure进行资源管理的用户强制实施多因素认证(MFA)。在首先完成对Azure门户的推广之后，MFA的强制实施将会在CLI、PowerShell和Terraform中进行类似的推广。客户还将通过电子邮件和官方通知收到有关MFA强制实施的更多信息。服务主体、托管身份、工作负载身份和用于自动化的类似基于令 4、QNAP 紧急修补 NAS 设备中的代码执行漏洞 https://www.securityweek.com/qnap-rushes-patch-for-code-execution-flaw-in-nas-devices/ 总部位于台湾的 QNAP Systems 周二发布了针对其网络附加存储 (NAS) 设备中多个漏洞的补丁，其中包括上周发布概念验证代码的一个漏洞。 5、Zoom 为产品添加后量子端到端加密 https://www.securityweek.com/zoom-adding-post-quantum-end-to-end-encryption-to-products/ 视频通信巨头 Zoom 周二宣布，Zoom Workplace 已添加后量子端到端加密 (E2EE)。该功能利用Kyber 768密钥封装方法，目前在全球范围内的 Zoom Meetings 中可用，Zoom Phone 和 Zoom Rooms 也即将推出。 6、主流云、科技公司使用的Fluent Bit 实用程序中发现严重漏洞 https://www.securityweek.com/vulnerability-found-in-fluent-bit-utility-used-by-major-cloud-tech-companies/ 据网络安全公司 Tenable 称，Fluent Bit 是多家大公司使用的流行日志记录实用程序，受到一个严重漏洞的影响，该漏洞可能导致拒绝服务 (DoS) 攻击、信息泄露，甚至可能导致远程代码执行 (RCE)。 7、BLACKBASTA勒索软件称入侵了美国最大石油分销商之一 ATLAS https://securityaffairs.com/163489/cyber-crime/blackbasta-claims-atlas-hack.html Blackbasta 勒索组织声称入侵了美国最大的全国燃料分销商之一阿特拉斯 (Atlas)。该团伙声称从 ATLAS 窃取了 730GB 数据，包括公司数据：账户、人力资源、财务、高管、部门数据以及用户和员工数据。 8、GitHub Enterprise Server 严重漏洞允许绕过身份验证 https://thehackernews.com/2024/05/critical-github-enterprise-server-flaw.html GitHub 已推出修复程序，以解决 GitHub Enterprise Server (GHES) 中的最严重缺陷，该缺陷可能允许攻击者绕过身份验证保护。该问题被追踪为CVE-2024-4985（CVSS 评分：10.0），可能允许对实例进行未经授权的访问，而无需事先进行身份验证。 9、 国内多地 3 万余条新生儿信息被倒卖，背后非法产业链曝光 https://www.secrss.com/articles/66247 近日，杭州互联网法院审理了一起个人信息保护民事公益诉讼案，该案涉及的新生儿个人信息达 3 万余条。 10、Grandoreiro 木马重浮水面，全球 1500 多家组织遭殃 https://thehackernews.com/2024/05/grandoreiro-banking-trojan-resurfaces.html 研究人员发现基于 Windows 的 Grandoreiro 特洛伊银行木马再次重新浮出水面。据悉，这是该木马在 2024 年 3 月份之后，又一次在全球范围内发动攻击。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

为深入贯彻落实我国“十四五”规划和2035年远景目标纲要对网络安全工作的重要部署，把握当前国际国内、教育系统网络安全工作面临的新形势，加强网络安全宣传教育和人才培养，赋能高校打造经验丰富的网安教学师资队伍，全面提升网络安全技能的实战教学水平。针对渗透测试实战攻防技术等网安教学热点需求，特举办此次“2024年网络安全高级研修班”。 一、组织单位 指导单位：中国网络空间安全人才教育论坛 主办单位：湖南蚁景科技有限公司 　　　　　成都为辰信息科技有限公司 　　　　　电子科技大学嵌入式软件工程中心 二、培训内容 1、渗透测试基础与环境搭建 学习渗透测试的基本流程和原理，包括渗透测试的各个阶段：信息收集、漏洞分析、利用攻击、后期利用和报告撰写。安装和配置渗透测试所需的工具和环境，为实际操作打下基础。 2、渗透测试执行与战术框架 掌握渗透测试的执行标准，了解如何按照既定的方法和流程进行测试。学习MITRE ATT&CK框架，一个用于描述网络攻击生命周期的模型，帮助理解攻击者可能采取的策略和战术。 3、渗透测试技术深入与场景应用 深入学习渗透测试中的各种技术，包括外网信息收集、漏洞扫描、攻击利用、命令控制、内网穿透和权限提升。通过搭建不同的渗透测试场景，实践和应用所学技术，增强实战能力。 4、渗透测试攻击技术与防守技术总结 分析红队（攻击方）和蓝队（防守方）的攻击与防守技术，了解双方的策略和方法。学习如何总结攻击事件，包括应急响应流程和入侵溯源排查，提高对安全事件的响应能力。 5、渗透测试实战与案例分析 通过实际案例分析，加深对渗透测试技术的理解，学习如何将理论知识应用到实际场景中。强化对渗透测试流程的掌握，提高解决实际安全问题的能力。 三、培训对象 全国高校、职业院校计算机相关专业（信息安全、计算机科学与技术、网络安全、信息科学与工程、软件工程、网络工程等）专业负责人、学科带头人、专业骨干教师、实验室人员等。 四、预期收获 1、理论知识：对渗透测试的整个流程和相关概念有深入的理解。 2、技术技能：掌握一系列渗透测试工具的使用方法和技巧，能够独立进行系统的渗透测试。 3、实战经验：通过模拟场景和案例分析，获得宝贵的实战经验，提高解决实际安全问题的能力。 4、安全意识：增强对网络安全威胁的认识，理解攻击者的思维和行为模式。 5、应急响应：学习如何对安全事件进行快速响应和有效处理，包括入侵检测和事后溯源。 6、个人发展：为从事网络安全相关工作打下坚实基础，提升个人在信息安全领域的竞争力。 7、结业证书：获得由蚁景科技、为辰信安和电子科技大学嵌入式软件工程中心联合签章颁发的结业证书。 五、培训安排 1、培训方式：线下培训 + 线上直播 2、培训时间：2024年7月29日-8月2日（7月28日报到） 3、培训地点：成都市月牙濠璟酒店 4、会议规模：100人 六、报名方式 1、报名时间：即日起至2024年7月28日 2、报名邮箱：EDU@antvsion.com 3、电话咨询：黄老师 18774948349 4、培训费用：3680元/人（含培训资料，路费和食宿费用自理，自备电脑） 5、付款方式：      ◆ 线上汇款： （请务必在备注栏里注明“学校名+参会者姓名”）         公司名称：湖南蚁景科技有限公司         开户行名称：建设银行长沙金星支行         开户行账号：4305 0178 4836 0000 0935      ◆ 现场缴费：现金、扫码或刷卡（银行卡、公务卡均可）  具体课程内容 扫描下方二维码即可报名：

1、Grandoreiro银行木马针对1500多家银行发起攻击 https://securityintelligence.com/x-force/grandoreiro-banking-trojan-unleashed/ 自2024年3月执法部门于1月取缔以来，基于Windows的Grandoreiro银行木马背后的威胁行为者又在全球范围内卷土重来。这些大规模网络钓鱼攻击很可能是由其他网络犯罪分子通过恶意软件即服务(MaaS)模式发起的，针对全球1500多家银行，涵盖中南美洲、非洲、欧洲和中东地区的60多个国家。这些攻击从网络钓鱼电子邮件开始，指示收件人点击链接查看发票或付款，具体取决于诱饵的性质和消息中冒充的政府实体。 2、美国无线电中继联盟遭遇网络攻击导致其IT系统和在线运营中断 https://www.bleepingcomputer.com/news/security/arrl-cyberattack-takes-logbook-of-the-world-offline/ 美国无线电中继联盟(ARRL)警告称，它遭受了网络攻击，导致其IT系统和在线运营中断，包括电子邮件和Logbook of The World。ARRL是美国业余无线电的全国协会，代表业余无线电利益向政府监管机构进行申诉，提供技术建议，并为全国各地的爱好者推广活动和教育计划。周四，ARRL宣布遭受网络攻击，导致其网络和系统中断，包括该组织托管的各种在线服务。ARRL在一份新闻稿中解释说：“我们正在 3、谷歌修复了一个被利用的Chrome零日漏洞CVE-2024-4947 https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_15.html 谷歌已经推出了修复程序，以解决其Chrome浏览器中的九个安全问题，其中包括一个已被广泛利用的新的零日漏洞。该漏洞的CVE标识符为CVE-2024-4947，与V8 JavaScript和WebAssembly引擎中的类型混淆错误有关。当程序尝试访问类型不兼容的资源时，就会出现类型混淆漏洞。它可能会产生严重影响，因为该漏洞允许威胁参与者执行越界内存访问、导致崩溃并执行任意代码。此次修复是继CVE-2024-4671和C 4、Kimsuky针对韩国发起网络攻击并部署Linux后门Gomir https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/springtail-kimsuky-backdoor-espionage Kimsuky（又名Springtail）高级持续威胁(APT)组织部署了Linux版本的GoBear后门以发起网络攻击活动。GoBear于2024年2月上旬首次被韩国安全公司记录，该活动与传播名为Troll Stealer（又名TrollAgent）的恶意软件的活动有关，该恶意软件与AppleSeed和AlphaSeed等已知的Kimsuky恶意软件系列重叠。该恶意软件是 5、英特尔披露其人工智能模型压缩软件中的严重漏洞 https://www.anquanke.com/post/id/296632 英特尔披露了其用于人工智能模型压缩的英特尔神经压缩软件的某些版本中存在一个最严重的漏洞。该漏洞编号为CVE-2024-22476，为未经身份验证的攻击者提供了一种在运行受影响软件版本的英特尔系统上执行任意代码的方法。该漏洞是该公司本周在41 个安全公告中披露的数十个缺陷中最严重的一个。 6、挪威国家网络安全中心建议放弃 SSLVPN 和 WebVPN https://www.anquanke.com/post/id/296604 挪威国家网络安全中心 (NCSC) 发布了一项建议，建议各组织使用更安全的替代方案替换 SSLVPN 和 WebVPN 解决方案，因为过去多次利用边缘网络设备中的漏洞，导致攻击者能够破坏企业网络。 7、联合国举办首届全球网络安全能力建设高级别圆桌会议 https://www.secrss.com/articles/66152 联合国在信息和通信技术安全与使用问题不限成员名额工作组（OEWG）的主持下，举办了首届全球网络安全能力建设高级别圆桌会议，该会议旨在弥补全球在信息和通信技术安全方面的能力差距。 8、严重的Git漏洞允许在克隆包含子模块的存储库时进行RCE https://www.helpnetsecurity.com/2024/05/16/git-cve-2024-32002/ CVE-2024-32004 还允许远程代码执行，但仅限于多用户计算机：“攻击者可以准备一个本地存储库，使其看起来像缺少对象的部分克隆，这样，当克隆此存储库时，Git 将在操作期间执行任意代码，并具有执行克隆的用户的完全权限。 9、网络攻击导致佳士得 8.4 亿美元艺术品拍卖会中断 https://www.infosecurity-magazine.com/news/cyber-attack-disrupts-christies/ 网络攻击导致佳士得网站下线（可能是上周），潜在买家无法在线查看拍品。这并非第一次与拍卖有关的攻击。甚至还有一类被称为'eBay 攻击'的漏洞，攻击者曾经利用五分钟的账户锁定期来阻止其他竞拍者提高他们想赢得的商品的价格。 10、福昕 PDF 阅读器漏洞被黑客利用，传播多种恶意软件 https://thehackernews.com/2024/05/foxit-pdf-reader-flaw-exploited-by.html 多个威胁参与者正在利用 Foxit PDF Reader 中的设计缺陷来传播各种恶意软件，例如 Agent Tesla、AsyncRAT、DCRat、NanoCore RAT、NjRAT、Pony、Remcos RAT 和 XWorm。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

拿到这个网站，通过对比查询，我们发现 闭合参数 finsh 时，查询出的内容更多 经过进一步判断，确实存在漏洞 不过在测试的时候发现存在一定的过滤 但是可以通过内联注释进行绕过。 这里也是加深了解了内联注释的知识点，之前只会简单的利用 /*!50000UniON SeLeCt*/ /*!12345union*/不知其所以然，有这样一段解释，在 mysql 中 /*!...*/不是注释，mysql 为了保持兼容，它把一些特有的仅在 mysql 上用的语句放在 /*!...*/中，这样这些语句如果在其他数据库中是不会被执行，但是在 mysql 中它会执行。当后面接的数据库版本号小于自身版本号，就会将注释中的内容执行，当后面接的数据库版本号大于等于自身版本号，就会当做注释来处理。如下语句 /*!50001UniON SeLeCt*/ 这里的 50001 表示假如数据库的版本是 我们首先查询出数据库的版本信息 当前面的数字为 50723 及小于这个数的五位数字组合都可以利用成功 当前面的数字为 50724 及大于这个数的五位数字组合无法利用成功 我们已经手工验证过了存在 SQL 注入漏洞，但是却无法利用 sqlmap 识别出联合注入，是因为存在检测，需要内联注释进行绕过 我们需要编写一个Tamper脚本 我们打开 sqlmap-master\tamper 下的一个文件 htmlencode.py 我们看到就是一个查找替换的操作 我们目前已经知道需要利用内联注释来实现绕过检测的操作 我们修改代码 import re from lib.core.enums import PRIORITY __priority__ = PRIORITY.LOW def dependencies():    pass def tamper(payload, **kwargs):    """   HTML encode (using code points) all non-alphanumeric characters (e.g. ' -> &#39;)   >>> tamper("1' AND SLEEP(5)#")   '1'/!*00000AND SLEEP(5)*/#'   """    if payload:        replaced_text = payload        replace_code = re.search(r"'(.*?)(#|--)", payload)        if replace_code:             replaced_text = re.sub(r"(?<=')(.*?)(?=#|--)", r"/!*00000\1*/", payload)      return replaced_text 成功生效

1、Kimsuky组织利用Facebook Messenger传播恶意软件 https://www.genians.co.kr/blog/threat_intelligence/facebook 与朝鲜有联系的Kimsuky黑客组织被归因于一种新的社会工程攻击，该攻击利用虚构的Facebook帐户通过Messenger攻击目标，并最终传播恶意软件。攻击者创建了一个Facebook帐户，其身份伪装成在朝鲜人权领域工作的公职人员。声明指出，这次冒充合法个人的多阶段攻击活动旨在针对朝鲜人权和反朝领域的活动人士。该方法与典型的基于电子邮件的鱼叉式网络钓鱼策略不同，它利用社交媒体平台通过Facebook Messenger接近目标，并诱骗他们打开由该角色编写的看似私人的文档。 2、研究人员发现GE HealthCare超声机的11个安全漏洞 https://www.nozominetworks.com/blog/ge-healthcare-vivid-ultrasound-vulnerabilities 安全研究人员披露了影响GE HealthCare Vivid Ultrasound产品系列的近十几个安全漏洞，恶意行为者可能会利用这些漏洞篡改患者数据，甚至在某些情况下安装勒索软件。这些缺陷造成的影响是多方面的：从在超声波机器上植入勒索软件，到访问和操纵易受攻击的设备上存储的患者数据。这些安全问题影响Vivid T9超声系统及其预装的Common Service Desktop Web应用程序，该应用程序暴露在设备的本地主机界面 3、微软修复了NTLM身份验证失败的Windows Server错误 https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows-server-bug-causing-crashes-ntlm-auth-failures/ Microsoft修复了安装上个月的Windows Server安全更新后导致NTLM身份验证失败和域控制器重新启动的已知问题。根据Windows运行状况仪表板条目，此问题仅影响具有大量NTLM流量和少量主DC的组织中的Windows域控制器。在受影响的系统上，部署4月份的Windows Server安全更新后，管理员还会看到高负载，并且在极少数情况下，域控 4、MITRE推出EMB3D嵌入式设备威胁建模框架 https://www.mitre.org/news-insights/news-release/mitre-releases-emb3d-cybersecurity-threat-model-embedded-devices MITRE公司已正式为关键基础设施环境中使用的嵌入式设备制造商提供了名为EMB3D的新威胁建模框架。该非营利组织在宣布此举的帖子中表示：“该模型提供了嵌入式设备网络威胁的丰富知识库，提供了对这些威胁的共同理解以及缓解这些威胁所需的安全机制。”EMB3D与ATT&CK框架一样，预计将成为一个“活框架”，随着新参与者、漏洞和攻击媒介的出现，新的缓解措施会随着时间的推移而添 5、Phorpiex发送数百万钓鱼邮件进行LockBit 勒索活动 https://www.bleepingcomputer.com/news/security/botnet-sent-millions-of-emails-in-lockbit-black-ransomware-campaign/ 自4月份以来，已通过Phorpiex僵尸网络发送了数百万封钓鱼电子邮件，以开展大规模的LockBit Black勒索软件活动。攻击者使用包含部署LockBit Black有效负载的可执行文件的ZIP附件，该有效负载一旦启动就会对接收者的系统进行加密。这些攻击中部署的LockBit Black加密器很可能是使用一名心怀不满的开发人员于2022年9月在Twitter上 6、恶意PyPi包使用Sliver C2套件在Mac上安装后门 https://blog.phylum.io/malicious-go-binary-delivered-via-steganography-in-pypi/ 一个新包模仿了Python包索引(PyPI)上流行的“请求”库，以带有Sliver C2对抗框架的macOS设备为目标，用于获得对企业网络的初始访问权限。研究人员发现，该活动涉及多个步骤和混淆层，包括在PNG图像文件中使用隐写术在目标上秘密安装Sliver有效负载。截至撰写本文时，恶意PyPI软件包已被删除，但它的发现是Sliver越来越多地采用远程访问企业网络的另一个迹象。Sliver是一款跨平台（Windows、macOS、Lin 7、微软修复了QakBot恶意软件攻击中利用的Windows零日漏洞 https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-windows-zero-day-exploited-in-qakbot-malware-attacks/ 微软修复了一个零日漏洞，该漏洞被利用来在易受攻击的Windows系统上传播QakBot和其他恶意软件负载。此权限提升错误被追踪为CVE-2024-30051，是由DWM（桌面窗口管理器）核心库中基于堆的缓冲区溢出引起的。成功利用该漏洞后，攻击者可以获得系统权限。桌面窗口管理器是Windows Vista中引入的一项Windows服务，允许操作系统在渲染玻璃窗框 8、CISA警告D-Link路由器漏洞被积极利用应当立刻修补 https://www.cisa.gov/news-events/alerts/2024/05/16/cisa-adds-three-known-exploited-vulnerabilities-catalog 美国网络安全和基础设施安全局(CISA)周四根据活跃利用的证据，将两个影响D-Link路由器的安全漏洞添加到其已知被利用的漏洞(KEV)目录中。CVE-2014-100005：影响D-Link DIR-600路由器的跨站点请求伪造(CSRF)漏洞，允许攻击者通过劫持现有管理员会话来更改路由器配置。CVE-2021-40655：影响D-Link DIR-605路由器的信息泄露漏洞，允 9、Slack抓取客户数据用于AI 模型训练，引发用户强烈抗议 https://www.securityweek.com/user-outcry-as-slack-scrapes-customer-data-for-ai-model-training/ Slack 透露，它一直在根据客户数据（包括消息、文件和使用信息）训练 AI/ML 模型。默认情况下它是选择加入的。企业工作场所协作平台 Slack 被曝一直在抓取客户数据（包括消息和文件）以开发新的人工智能和机器学习模型，引发了隐私方面的强烈反对。 10、一名美国妇女被指控帮助朝鲜IT人员渗透数百家美国公司 https://securityaffairs.com/163349/intelligence/north-korea-linked-it-workers-infiltrated-us-firms.html 美国政府已宣布指控、扣押、逮捕和奖励，以阻止朝鲜 IT 工人渗透到数百家公司并为朝鲜赚取数百万美元的计划。美国司法部周四宣布对来自亚利桑那州的 49 岁克里斯蒂娜·玛丽·查普曼 (Christina Marie Chapman) 提出指控，指控她在 2020 年 10 月至 2023 年 10 月期间协助朝鲜 IT 工人在美国找到工作。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

0x01 获取webshell 在各种信息搜集中，发现某个ip的端口挂着一个比较老的服务。 首先看到了员工工号和手机号的双重验证，也不知道账号是什么结构组成的，基本上放弃字典爆破这一条路。于是乎打开之前用灯塔的扫描结果，看看文件泄露是否有什么可用的点。发现其中有一个略显突出的help.html。可能是系统的帮助文档 看得出来也是一个年久失修的系统了，图片的链接都已经404了。但是这里得到了一个示例账号zs001，也知道了初始密码是123456（吐槽：果然年久失修了，这个系统就没有输入密码的input，只有一个手机号验证码）。 知道了账号，这里还缺一个手机号。感觉这个系统应该没做验证，毕竟看上去是一个老旧的系统，估计有没有人用用都不好说，可能是单位那种废弃了但是还没下架的边缘资产。然后随便输入一个手机号上去。果然！ 然后随便找个手机接码平台等待验证码发过来，然后过了十几分钟无果，想到可能是废弃资产的原因验证码接口早就失效了。于是没办法只能掏出burp开始爆破，估计验证码也是四位数，如果是六位数验证码大概率没系了。但是这波运气还算可以。也是成功爆破出来了。 然后登录后台直接上传一个木马，没有任何过滤。emmmmmmm开始怀念过去。那时候的洞是真好挖啊。 但是访问的时候出现了一个坏消息。404了，404了怎么办呢。想到了可能目标服务器上有杀软之类的东西。木马可能是上传到服务器上了，然后再上传到服务器之后被杀软自动隔离，那么这时候访问就会出现404。 0x02 webshell免杀 这里中途又替换了几个github上的免杀木马，均无效。ps:我是懒狗，免杀什么的能不写代码就不写代码。php这玩意有个好处，就是语法特别脏，各种免杀手法层出不穷，花里胡哨。这里就简单的介绍几种比较偷懒的方法。 2.1 无字母webshell 个人在实际渗透过程中还算挺好用的，无字母webshell本来是ctf的一些题目，但是事实上免杀效果确实也挺强，而且适应性也比较高，适合一句话木马。之后可以直接上蚁剑链接。 举例： ps：当然都说了偷懒，肯定不是我写的，直接去ctf平台的题目的writeup偷一个就好了。或者直接百度搜索无字母webshell。 免杀效果如下： ps: emmmmmmm，我只能说，无敌好吧。 2.2 一键免杀工具免杀 这里不多说了，去github直接找就是，但是github特征过于明显，以至于被多个杀软厂商标记。现在感觉免杀的效果也不太好了。基本上start高一些的工具生成的webshell都是秒杀。但是可以找一些start数量少的，效果也还不错。 2.3 混淆免杀 混淆免杀，php有很多在线混淆的网站，也就是在不改变代码的功能情况下打乱语法的结构使得代码变为不可读或者可读性很差的代码防止其他人去修改。 可以直接去网上搜索php混淆 这里就是用的就是在线混淆php代码的方式直接过了目标主机上的杀软。 0x03 绕过杀软上线 接下来就是传frp代理，上cs的操作了。这里先上一个cs，但是由于目标机器上有杀软，所以采用shellcode加加载器的方式去进行绕过。众所周知，cs的特征较为明显，很容易就会被杀软拦截。 首先是shellcode免杀，shellcode免杀可以使用github上的sgn加密工具，免杀效果能达到vt0检测。github链接:https://github.com/EgeBalci/sgn 使用方法也很简单，把cs生成的shellcode放在sgn文件夹中执行 ,***.sgn就是免杀之后的shellcode了。 sgn.exe shellcode文件名 免杀前效果 免杀后效果 剩下的就是加载器本身的免杀了，这里我就用github随便clone下来的加载器。可以看到编译完成都没来得及运行就直接被杀了。那么怎么在不动加载器的源代码的情况下。完成免杀效果呢。 其实有一个比较抽象的技巧，就是当文件足够大之后，杀软的沙箱就不会去运行该程序，从而实现绕过杀软的检测。比如一个几百m的exe杀软就不会去检测。 那么怎么能让文件变得足够大呢？就是不断往文件后面填充垃圾字符，比如\x00这样既不会影响exe执行，又能够让exe变得足够大。比如我用python不断往文件后面追加\x00字符。 这里上代码 with open('1.exe', 'ab') as f:\f.write(b'\x00' * 1024 * 1024 * 100) 可以看到每次运行add.py 1.exe就大了100m。 然后多次运行，当1.exe达到2g的时候，根据每个杀毒软件版本不一定能用。有些新的杀软不会检测文件大小判断是否运行。（这个方法很玄学，不是很稳定，有时候能有有时候不能用。但是还是值得一试，毕竟是老前辈传承下来的经典免杀手法。） 但是问题来了，2个g的文件怎么上传到服务器又是一个问题，这里就要说明一下\x00的好处了，可以通过压缩成zip的方式把exe压缩，压缩文件的体积其实还是和之前编译好的文件差不多大。然后只能很方便的就能够把压缩包上传到服务器，然后通过服务器的命令去进行解压。也可以通过webshell去实现解压文件的功能。 0x04 内网移动 之后便是熟悉的内网横向环节了。首先是看到了一个弱口令，然后直接链接数据库然后getshell。 然后直接net user add，之后3389链接上服务器，翻出了一个密码本。 找到一个双网卡的sql server服务器，然后上线，扫一波SMB 最后找到重要系统10.x.x.x 这个系统，看着是java写的后端,也是一个看起来很老的界面了。 扫了一下路径发现存在druid。 原本想找session登录的，然后想了一下试一下运气直接怼一波st2，成功拿下（也是运气爆棚）

近日，蚁景科技在由中国网络空间安全教育论坛（简称“网教盟”）主办、广州大学方滨兴院士班承办的第七期“方班演武堂”课程活动赛（第135届广交会网络平台众测行动）中，以出色的表现和专业技能赢得了团体积分第二名的荣誉。这是蚁景科技继上一届广交会测试赛团体积分获得第2名后，再次获得亚军殊荣。 在这场竞争激烈的比赛中，蚁景科技的12名讲师及学员展现出了卓越的网安技术实力和深厚的专业能力。特别是在选手个人榜排名中，蚁景科技的Mingy讲师与一叶讲师分别以第2名和第7名的成绩登上了排行榜的前十，这些成绩充分证明了蚁景科技在网络安全人才培养领域的领先地位和人才优势。 蚁景科技又一次的突破性成就，不仅展示了公司在网络安全领域的专业能力，也凸显了其持续投入于人才培养和技术研发的决心。通过参与这样的高水平竞赛实战，蚁景科技在提升学员技术水平的同时，也为推动网络安全领域发展做出了贡献。 关于蚁景科技 湖南蚁景科技有限公司，作为专业的“网络安全人才培养服务提供商”，致力于配合国家网络安全人才培养战略，精准对接行业人才市场的需求。公司秉承提升网络安全实战能力为核心的培养目标，紧密结合用人单位在网络安全岗位上的技能要求，提供前沿、系统且专业的网络安全实战技能培训。同时也针对政企单位、科研院所等行业客户，量身定制网络安全培训方案，以满足其特定的培训需求。 此外，蚁景科技紧密结合高校网络安全人才培养体系，基于对“互联网+教育”的精准把握，依托自主研发的网络安全人才实训平台——蚁景网安实验室，高效构建多样化的网络安全实验场景，全面满足高校教师的在线实验教学需求，同时也为网络安全爱好者提供了优质的在线实操学习环境。

1、苹果修复了Pwn2Own中利用的Safari WebKit零日漏洞 https://www.bleepingcomputer.com/news/apple/apple-fixes-safari-webkit-zero-day-flaw-exploited-at-pwn2own/ Apple发布了安全更新，以修复今年Pwn2Own温哥华黑客竞赛中被利用的Safari网络浏览器中的零日漏洞。该公司通过改进的检查解决了运行macOS Monterey和macOS Ventura的系统上的安全漏洞（追踪为CVE-2024-27834）。苹果在周一的公告中解释说：“具有任意读写能力的攻击者可能能够绕过指针身份验证。”Arm64e架构上使用指针身份验证代码(PAC)来检 2、D-Link EXO AX4800路由器中的RCE零日漏洞PoC漏洞已发布 https://ssd-disclosure.com/ssd-advisory-d-link-dir-x4860-security-vulnerabilities/ D-Link EXO AX4800 (DIR-X4860)路由器容易受到未经身份验证的远程命令执行的攻击，这可能导致有权访问HNAP端口的攻击者完全接管设备。D-Link DIR-X4860路由器是一款高性能Wi-Fi 6路由器，速度高达4800 Mbps，并具有OFDMA、MU-MIMO和BSS Coloring等高级功能，可提高效率并减少干扰。该设备在加拿大特别受欢迎，根据D-Link网站，它在全球市场上销售，并且仍然受到供 3、微软修复了4月份Windows更新导致的VPN故障 https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-vpn-failures-caused-by-april-windows-updates/ 今天，微软修复了安装2024年4月Windows安全更新后导致客户端和服务器平台之间VPN连接中断的已知问题。安装2024年4月安全更新或2024年4月非安全预览更新后，Windows设备可能会面临VPN连接失败。受影响的Windows版本列表包括Windows 11、Windows 10和Windows Server 2008及更高版本。虽然微软没有提供这些VPN故障的根本 4、Nissan 数据泄露影响 53,000 名员工 https://www.securityweek.com/nissan-data-breach-impacts-53000-employees/ 日产北美公司本周通知缅因州总检察长，去年发起的勒索软件攻击导致员工的个人信息遭到泄露。 5、 INC勒索软件源代码在黑客论坛上以30万美元出售 https://www.secrss.com/articles/66098 在涉嫌出售同时，INC Ransom的运营也在发生变化，这可能表明其核心团队成员之间出现分歧，或者计划进入一个涉及使用新的加密器的阶段。 6、CISA 及其合作伙伴发布民间社会组织网络安全指南 https://www.infosecurity-magazine.com/news/cisa-unveil-cybersecurity-guide/ 指南特别强调了保持软件更新、实施防网络钓鱼的多因素身份验证、审计和禁用未使用的账户以及应用最小特权原则以尽量减少访问漏洞的重要性。 7、泰国对外贸易促进委员会50万用户数据库遭泄露 https://www.secrss.com/articles/66127 泰国对外贸易促进委员会（Department of International Trade Promotion）泄露的数据包括个人身份信息 (PII)，例如名字、姓氏、用户名、身份证号码、DITP ID、单点登录 (SSO) ID、电话号码、电子邮件地址、公司名称、出口商详细信息、地址、密码等。上述内容皆已被黑客公开。 8、30% 的 CVE 漏洞利用事件再次发现 Log4Shell https://www.helpnetsecurity.com/2024/05/14/log4j-wan-insecure-protocols/ 虽然零日安全漏洞在业内备受关注，但研究人员发现，威胁攻击者往往不会使用新漏洞，反而喜欢针对未打补丁的系统（有很多带有漏洞的系统，不进行补丁修复安全漏洞），开展网络攻击行动。 9、警惕，Foxit PDF 阅读器存在安全”缺陷“ https://www.freebuf.com/news/401073.html Check Point Research 近日发现了一种针对 Foxit Reader 用户的 PDF 安全漏洞利用的异常操作模式，该安全漏洞会触发安全警告，诱使毫无戒心的用户执行”有害“命令。目前，该安全漏洞的变体在野外正被积极利用 10、新的 Wi-Fi 漏洞可通过降级攻击进行网络窃听 https://thehackernews.com/2024/05/new-wi-fi-vulnerability-enabling.html 研究人员发现了一个新的安全漏洞，该漏洞源自 IEEE 802.11 Wi-Fi 标准中的设计缺陷，该漏洞会诱骗受害者连接到安全性较低的无线网络并窃听其网络流量。SSID混淆攻击（编号为 CVE-2023-52424）会影响所有操作系统和 Wi-Fi 客户端，包括基于 WEP、WPA3、802.11X/EAP 和 AMPE 协议的家庭和网状网络。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、微软修补了61个漏洞包括两个被积极利用的零日漏洞 https://msrc.microsoft.com/update-guide/releaseNote/2024-May 作为2024年5月补丁星期二更新的一部分，微软已解决了其软件中总共61个新的安全漏洞，其中包括两个已被广泛利用的零日漏洞。在61个缺陷中，1个缺陷的严重程度被评为“严重”，59个缺陷的严重程度被评为“重要”，1个缺陷的严重程度被评为“中等”。过去一个月，基于Chromium的Edge浏览器解决了30个漏洞，其中包括两个最近披露的零日漏洞（CVE-2024-4671和CVE-2024-4761），这些漏洞已被标记为在攻击中被利用。 2、勒索攻击组织采用新型社工手段诱导目标安装远控工具 https://www.rapid7.com/blog/post/2024/05/10/ongoing-social-engineering-campaign-linked-to-black-basta-ransomware-operators 研究人员发现了一项正在进行的社会工程活动，该活动用垃圾邮件轰炸企业，其目的是获得对其环境的初始访问权限以进行后续利用。该事件涉及威胁行为者用垃圾邮件淹没用户的电子邮件，并致电用户提供帮助。威胁行为者会提示受影响的用户下载AnyDesk等远程监控和管理软件，或利用Microsoft的内置快速协助功能来建立远程连接。据称，这一新颖的活动自2024年4月下 3、VMware修复了Workstation和Fusion产品中的严重安全漏洞 https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24280 VMware Workstation和Fusion产品中已披露多个安全漏洞，威胁行为者可利用这些漏洞访问敏感信息、触发拒绝服务(DoS)条件并在某些情况下执行代码。Broadcom旗下的虚拟化服务提供商表示，这四个漏洞影响Workstation版本17.x和Fusion版本13.x，修复程序分别在版本17.5.2和13.5.2中提供。 4、新的Chrome零日漏洞CVE-2024-4761正在被利用 https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_13.html 谷歌周一发布了紧急修复程序，以解决Chrome网络浏览器中的一个新的零日漏洞，该漏洞已被广泛利用。该高严重性漏洞（编号为CVE-2024-4761）是一个影响V8 JavaScript和WebAssembly引擎的越界写入错误。该消息于2024年5月9日匿名报道。越界写入错误通常可能被恶意行为者利用来破坏数据、引发崩溃或在受感染的主机上执行任意代码。 5、Cacti框架中的严重漏洞可能会让攻击者执行恶意代码 https://thehackernews.com/2024/05/critical-flaws-in-cacti-framework-could.html Cacti开源网络监控和故障管理框架的维护者已经解决了十几个安全漏洞，其中包括两个可能导致执行任意代码的关键问题。最严重的漏洞为CVE-2024-25641（CVSS评分：9.1）：“包导入”功能中存在任意文件写入漏洞，允许具有“导入模板”权限的经过身份验证的用户在Web服务器上执行任意PHP代码，从而导致远程代码执行。CVE-2024-29895（CVSS评分：10.0）：当PHP的“register_argc_argv”选项打开时， 6、苹果和谷歌推出跨平台功能来检测恶意蓝牙跟踪设备 https://www.apple.com/newsroom/2023/05/apple-google-partner-on-an-industry-specification-to-address-unwanted-tracking 苹果和谷歌周一正式宣布推出一项新功能，如果蓝牙跟踪设备被用来在用户不知情或未经同意的情况下秘密监视他们，该功能会通知iOS和Android的用户。两家公司在一份联合声明中表示：“这将有助于减少旨在帮助跟踪财物的设备的滥用情况。”并补充说，其目的是解决“用户隐私和安全的潜在风险”。跨平台解决方案的提案最初是在一年前由两家科技巨头推出的。 7、英特尔针对 90 多个漏洞发布 41 条安全公告 https://www.securityweek.com/intel-publishes-41-security-advisories-for-over-90-vulnerabilities/ 本周二补丁，英特尔发布了 41 条新的安全公告，涵盖该公司产品中发现的总共 90 多个漏洞。 8、FBI 再次查封 BreachForums，敦促用户举报犯罪活动 https://thehackernews.com/2024/05/fbi-seizes-breachforums-again-urges.html 执法机构一年内第二次正式控制了兜售被盗数据而闻名的BreachForums平台。该行动是澳大利亚、冰岛、新西兰、瑞士、英国、美国和乌克兰当局合作执行的。FBI 还控制了Baphomet 运营的Telegram 频道，Baphomet 在其前任 Conor Brian Fitzpatrick（又名pompompurin）去年 3 月被捕后成为该论坛的管理员。 9、Adobe 修复了 Acrobat 和 Reader 中的多个严重漏洞 https://securityaffairs.com/163194/security/adobe-flaws-acrobat-reader.html Adobe 解决了多种产品（包括 Adobe Acrobat 和 Reader）中的多个代码执行漏洞。 10、谷歌为 Android 设备推出人工智能防盗数据保护功能 https://thehackernews.com/2024/05/google-adds-ai-powered-theft-protection.html 谷歌在 Android 中宣布了一系列隐私和安全功能，其中包括一套高级保护功能，可在发生盗窃时帮助保护用户的设备和数据。这家科技巨头表示，这些功能旨在帮助在盗窃企图之前、期间和之后保护数据，并补充说，预计这些功能将通过运行 Android 10 及更高版本的设备的 Google Play 服务更新提供。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Careto组织针对拉丁美洲和中非组织发起网络间谍活动 https://www.darkreading.com/cyberattacks-data-breaches/-the-mask-espionage-group-resurfaces-after-10-year-hiatus 十多年来失踪的高级持续威胁(APT)组织突然在针对拉丁美洲和中非组织的网络间谍活动中重新出现。该组织名为“Careto”或“The Mask”，于2007年开始运作，然后在2013年似乎消失得无影无踪。在此期间，这个讲西班牙语的威胁行为者在美国、英国等31个国家/地区造成了大约380名不同的受害者、法国、德国、中国和巴西。研究人员在10年前追踪过Careto，最近也发现 2、欧洲刑警组织确认网站遭到破坏但是没有操作数据被盗 https://www.bleepingcomputer.com/news/security/europol-confirms-web-portal-breach-says-no-operational-data-stolen/ 欧盟执法机构欧洲刑警组织确认其欧洲刑警组织专家平台(EPE)门户遭到破坏，目前正在调查这一事件，此前一名威胁行为者声称他们窃取了包含机密数据的仅供官方使用(FOUO)文件。EPE是执法专家用来“分享犯罪知识、最佳实践和非个人数据”的在线平台。欧洲刑警组织已了解这一事件，正在评估情况。已经采取了初步行动。该事件涉及欧洲刑警组织专家平台(EPE)封闭用户组。此EPE应用 3、研究人员披露恶意安卓远程访问木马可窃取用户凭证 https://blog.sonicwall.com/en-us/2024/04/android-remote-access-trojan-equipped-to-harvest-credentials/ 据观察，伪装成Google、Instagram、Snapchat、WhatsApp和X（以前称为Twitter）的恶意Android应用程序会从受感染的设备中窃取用户的凭据。该恶意软件使用著名的Android应用程序图标来误导用户并诱骗受害者在其设备上安装恶意应用程序。该活动的分布向量目前尚不清楚。但是，一旦该应用程序安装在用户的手机上，它就会要求用户授予其访问辅助服务和设备管理员API的 4、澳大利亚最大的非银行贷款机构Firstmac Limited遭遇数据泄露 https://www.bleepingcomputer.com/news/security/largest-non-bank-lender-in-australia-warns-of-a-data-breach/ Firstmac Limited警告客户，在新的Embargo网络勒索组织泄露了据称从该公司窃取的超过500GB数据的第二天，该公司遭遇了数据泄露。Firstmac是澳大利亚金融服务行业的重要参与者，主要专注于抵押贷款、投资管理和证券化服务。该公司总部位于昆士兰州布里斯班，拥有460名员工，已发放10万笔住房贷款，目前管理着150亿美元的抵押贷款。昨天，Have I Been P 5、The Post Millennial新闻网遭遇网络攻击导致2600万人数据泄露 https://www.bleepingcomputer.com/news/security/the-post-millennial-hack-leaked-data-impacting-26-million-people/ Have I Been Pwned添加了26818266人的信息，这些人的数据在The Post Millennial保守派新闻网站最近遭到黑客攻击时被泄露。The Post Millennial是加拿大保守派在线新闻杂志，隶属于Human Events媒体集团，该集团还运营着美国的Human Events新闻平台。本月早些时候，这两个新闻平台均遭到黑客攻击，其网站的首 6、研究发现部分AI已学会“说谎”，未来或演变成更高级欺骗形式 https://www.cell.com/patterns/fulltext/S2666-3899(24)00103-X 美国麻省理工学院的研究团队近日发布成果称，部分 AI 已经“学会欺骗人类”，该成果刊登在最新一期的期刊《模式》（Pattern）上。 7、合成 ID 欺诈在汽车贷款行业上升了 98% https://www.inforisktoday.com/synthetic-id-fraud-rises-98-in-auto-lending-industry-a-25157 合成身份欺诈者最主要针对汽车贷款行业，导致 2023 年的尝试次数增加了 98%，该行业损失高达 79 亿美元。Point Predictive 对 1.8 亿份贷款申请的研究发现，收入和就业虚假陈述、合成身份和信用清洗占汽车贷款人面临的风险的近 75%。 8、严重Next.js漏洞能让攻击者破坏服务器 https://cybersecuritynews.com/next-js-server-compromise/ 根据分享的报告，当威胁行为者利用此漏洞时，可能会导致Next.js的响应不同步，进而导致响应队列中毒。 9、黑客组织 FIN7 借用 Google Ads 传播恶意软件 https://www.freebuf.com/news/400742.html 近日，网络安全研究人员发现黑客组织 FIN7 滥用 Google Ads ，散播、部署恶意软件 NetSupport RAT。 10、微软警告被利用的零日漏洞，修补了 60 个 Windows 漏洞 https://www.securityweek.com/microsoft-patches-60-windows-vulns-warns-of-active-zero-day-exploitation/ 星期二补丁：微软记录了多个软件产品中的 60 个安全漏洞，并标记了一个被积极利用的 Windows 零日漏洞，以供紧急关注。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。