俞敏洪把当下社会分析的太真实了，他说，现在中国的一些小城市，尤其是县级或者地级市的城市，后面有着纵横交错的关系，人与人之间的相互勾连，会导致大部分没有背景和关系的人，很难混进去。 大城市，虽然表面看上去竞争很激烈，但是相互之间，并没有那么多乱七八糟的关系，所以在大城市混，凭借自己的能力想要出人头地，相比小城市更大一些。 所以这就是为什么，大城市，虽然身累但心会轻松，因为凭本事吃饭，靠的就是实力。只要你有能力有专业，不怕辛苦，你就有机会出头。 但小城市不一样，小城市是心累但身轻松，小城市不需要你在外奔波，不需要你掌握那么强的专业能力，可能把关系维护好了，这碗饭你就可以一直端着。 所以我劝各位年轻人，如果家庭条件允许，有一定的基础，那就守家在地吧，因为大城市几乎没有什么幸福指数可言。 相反，如果你有一腔热血，也有一股不达目的不罢休的精神，那你可以选择来大城市，这里不需要你维护谁的关系，更不需要你喝酒陪唱，只要你有本事，无数个平台都会给你施展手脚的机会。 @复见-今日头条...

人们普遍认为macOS比Windows更安全，于是乎很多中小企业就利用macOS来追求安全性，但对于完全依赖macOS来保证安全的中小型企业来说，这是非常危险的。比如，用户将找不到macOS中内置的类似Defender的安全中心。 在这篇文章中，我们将从三方面介绍macOS安全性，这对于目前没有在macOS设备上部署额外终端保护的企业来说是至关重要的。 苹果的平台安全策略 苹果关于在macOS上防范恶意软件介绍的最近一次更新是在2022年5月，最新公开文件指出，其恶意软件防御分为三方面： 防止恶意软件启动或执行：App Store或Gatekeeper与Notarisation的结合； 阻止恶意软件在客户系统上运行：Gatekeeper、Notarisation和XProtect； 修复已执行的恶意软件：XProtect，macOS 内建了称为 XProtect 的防病毒技术，可基于签名检测和移除恶意软件。系统使用由 Apple 定期更新的 YARA 签名，YARA 是一款用来基于签名检测恶意软件的工具。你可以认为它是 macOS 系统中的“Defender”。 不过这些技术的透明性和可做作性都不是太好，例如，不可能允许或排除用户或设备之间的特定应用程序或代码。在单个设备上，用户可以制定非常广泛的系统策略决策，例如允许或拒绝来自App Store外部的所有应用程序，但即便如此，除非系统由移动设备管理平台(MDM)解决方案管理，否则本地用户在没有管理员权限的情况下也可以覆盖该策略。 从企业安全的角度来看，更令人担忧的是，几乎看不到哪些代码被阻止，何时以及为什么被阻止，也不清楚这些扫描是何时执行的，也不知道它们的有效性。另外就是恶意软件修复会在后台悄无声息地发生，而不会向用户发出提示或警告。在企业环境中，这些远远不够的，因为安全维护人员无法掌握信息。如果要充分保护企业，安全团队需要了解恶意软件是何时出现在系统的，存在了多长时间以及恶意软件的攻击源在哪里等。 1. XProtect签名经常会忽略一些最新的恶意软件 根据苹果的说法，macOS内置了名为XProtect的防病毒技术，用于基于签名的恶意软件检测和删除。该系统使用YARA签名，这是一种用于进行基于签名的恶意软件检测的工具，苹果会定期更新。 苹果XProtect的最后一次更新，包含这些YARA签名的bundle是在6月29日开发的，但根据设备的位置，更新可能要几天后才能发布。 不幸的是，这次更新没有包括对文件签名的任何更改，苹果称这些更改增强了XProtect的阻止能力。YARA文件具有与去年2月更新的版本2166相同的哈希。 如果从版本号来看，在过去的12个月里，XProtect的YARA规则应该有7次更新，但实际上在网络安全公司SentinelOne的测试设备中只观察到3次。此外，去年11月发布的2165版本与最近发布的版本之间的区别仅仅是增加了针对两个恶意软件家族的规则：一个针对Keysteal，2019年2月7日。德国安全研究人员 Linus Henze 发现了 macOS 零日漏洞,名为“KeySteal”,它可以用来获取 Mac 用户在钥匙串访问应用中存储的所有敏感数据；另两个是Honkbox。 由于在过去的几个月里，SentinelOne和许多其他供应商都报告了多种新的macOS恶意软件，因此完全依赖XProtect规则的用户和管理员应该提高防护意识。 2. XProtectRemediator会隐藏攻击痕迹 XProtect Remediator 是对现有 XProtect 系统工具的补充。去年九月，在 macOS 12.3 Monterey 发布前后，苹果悄悄为其 XProtect 服务推出了一种新的 XProtect Remediator 工具，该工具可在后台检查恶意软件。XProtect Remediator 会更频繁地查找恶意软件并在检测到恶意软件时对其进行修复。尽管苹果的主要恶意软件拦截工具缺乏更新，但其一直在定期地更新其MRT替代工具XProtectRemeditor。XProtectRemeditor每天每隔6小时运行一次，查找已知恶意软件家族。 对于信息窃取者来说，6个小时的时间太长了，尤其是他们只需要几秒钟就可以完成工作。会话cookie是攻击者进一步潜入组织的主要目标，并将单个Mac的攻击转化为严重的漏洞，例如最近在CircleCI发生的情况。CircleCI是一个非常流行的CI/CD持续集成开发平台，号称向超过一百万软件工程师用户提供“快速可靠的”开发服务。 如上所述，macOS上没有用户界面来让用户了解哪些恶意软件已被修复，何时以及如何被引入系统。然而，从macOS Ventura开始，没有第三方可见性工具的系统管理员可以尝试利用macOS 13引入的eslogger工具。Apple 并不经常为我们提供专门针对安全性的新工具，但 ESLogger 看起来对安全从业人员、恶意软件分析师和威胁检测工程师来说可能非常有用。根据发布的该工具的手册页，ESLogger 与 Endpoint Security 框架共同记录 ES 事件，这些事件可以输出到文件、标准输出或统一的日志系统。Apple 还通过向 ES 框架添加更多 NOTIFY 事件来重申其对第三方安全产品的承诺，并且 ESLogger 支持现在在 macOS Ventura 中可用的所有 80 个 NOTIFY 事件。ESLogger 为研究人员提供了对安全相关事件的急需且方便的可见性，而无需部署完整的 ES 客户端。 不幸的是，eslogger并没有考虑到企业规模。这将需要一些基础设施和外部工具，以便将整个检测结果带入一个可以监控和挖掘数据的中央数据库。在这两种情况下，除非安全团队积极主动，否则苹果的XProtectRemediator将会在发现恶意软件时悄悄地将其删除，而不会提醒用户或管理员曾经发生过攻击。类似地，该工具既不会警告也不会记录可疑恶意活动，因为它没有明确地编程工具来检测。 对企业和苹果来说，依靠这种补救方式来提高自身安全是一种高风险的策略。在这种情况下，误报的风险可能会对用户和企业造成严重伤害，所以苹果很可能在检测和默默删除方面设计了非常保守的工具。 对于企业来说，无法接收警报和难以检查日志意味着，XProtectRemeditor几乎不可能发现遗漏的感染，也不可能追踪其删除的感染的根本原因，也不太可能进一步调查事件及其对组织的影响。 3.XProtectBehaviorService：隐藏检测活动 苹果公司最近增加了一项恶意软件检测技术，该技术尚未公开发布，名称为XProtectBehaviorService。 目前，该服务只是静默地记录违反某些预编程行为规则的应用程序的详细信息，这些规则目前在/usr/libexec/syspolicyd中定义。 这些规则(内部称为“堡垒规则”)在位于/var/protected/xprotect/ xpdb的隐藏sqlite数据库中记录违规行为。值得称赞的是，苹果正在记录对Slack和Teams等企业应用程序以及各种浏览器和聊天应用程序中数据的访问。然而，问题仍然存在，苹果打算为用户，特别是管理、IT和安全团队提供什么访问权限，以及在进一步操作过程中收集的信息。例如，这些日志最近被用于调查APT攻击，该攻击感染了四个macOS Ventura系统，XProtect既没有成功阻止该攻击，XProtectRemediator也没有将其删除。 尽管这些数据现在可以由事件响应人员找到，但收集这些数据并学习如何使用这些数据却落在了负责安全的人员的肩上。上述示例说明那些完全依赖苹果提供保护的It团队，必须主动分析他们的macOS设备，并挖掘苹果隐藏的日志和监测数据。 总结 如上所述，苹果在安全方面的做法与其他操作系统供应商不同，这本身并无好坏之分，重要的是管理员要清楚地知道他们的操作系统是如何处理安全事件的。一个好的、安静的系统并不一定意味着一个安全可靠的系统。 了解公司终端上发生的事情是保护设备的第一步，在macOS后端发生的与安全相关的事件比面上看到的要多得多。...

警方破获非法注册贩卖微信号300余万个新型高科技犯罪团伙； 2023年8月13日，据报道，山东淄博一犯罪团伙利用境外通讯软件Telegram联络，非法注册微信号300余万个，非法获利达到1000余万元，该网点已被当地公安查获并彻底打掉。警方介绍，犯罪窝点的客厅内摆放了四个铁架子，上面布满手机，且每台手机均自动输入手机号、密码完成微信账号注册流程。 而这些自动生成的微信号，则通过Telegram与境外团伙完成微信账号买卖交易。经侦查人员清点发现，该犯罪窝点拥有用来注册微信号的手机达3000余台，前后总共注册微信号300余万个，用于电信诈骗、网络**屏蔽敏感词**等犯罪活动。此前，中央政法委日前召开全体会议指出，当前境外电信网络诈骗集团手段多样、胁迫毒辣、金额庞大、组织严密、分工明确、诈骗手段日趋多样。同时，提出坚持系统治理、依法治理、源头治理，依法从重打击境外电信网络诈骗等违法犯罪活动，依法从重打击境内协同犯罪人员，坚决维护人民群众切身利益。 广西一公司泄露22万个人信息，当地公安依据网络安全法罚款20万元   近日，广西北海公安网安部门在查处一起涉个人信息保护违法案件时发现，北海某网站存在数据泄露问题，网站约22万个人信息数据被挂在境外论坛售卖。经查，涉案公司主要提供网上咨询服务，建设有一网站，在日常工作中收集了个人和企业等大量公民信息，但未能按照《中华人民共和国数据安全法》《中华人民共和国网络安全法》以及有关等级保护工作要求落实网络安全保护主体责任。公司网站服务器安全防护措施不足，仅能对SQL注入、XSS、WebShell等简单攻击手段进行防御，网站存在被多个境外IP攻击入侵的情况。此外，公司未采取数据加密等有效的技术保护措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失，且在发现公司发生个人信息泄露的情况下，未及时告知用户和主动向公安机关报告。该公司还存在网站日志只存储30日，网络日志留存不足六个月及相关安全管理制度缺失等问题。 对此，广西北海公安机关根据《中华人民共和国网络安全法》第四十二条的规定，对公司及直接负责人员分别作出罚款20万元、3万元的行政处罚。同时，北海网安部门应用网络与信息安全信息通报机制，将该案例通报各党政机关单位，监督指导其落实主体责任，提升网络安全保护能力和水平。下一步，公安机关将继续严格落实《网络安全法》《数据安全法》及《关键信息基础设施安全保护条例》等法律法规要求，全方位加强网络安全监督检查，持续高压严打违法行为，监督指导网络运营者依法履行安全保护责任和义务，做好源头防控，减少违法犯罪发生，坚决维护国家网络安全和数据安全。...

在HVV期间，蓝队主要就是通过安全设备看告警信息，后续进行分析研判得出结论及处置建议，在此期间要注意以下内容。   内网攻击告警需格外谨慎，可能是进行内网渗透。 1.攻击IP是内网IP，攻击行为不定，主要包括：扫描探测行为、爆破行为、命令执行等漏扫行为。 2.资产属性-内网攻击IP资产属性。 3.研判告警行为是否为攻击动作，如弱口令、SQL注入漏洞可能是业务行为。 4.上级排查与客户一起进一步确认设备问题。 企图类告警需格外谨慎，可能是“已经成功”。 1.告警主要包括：后门程序、代码行为、命令执行行为。 2.资产属性+流量确认。 3.综合判断告警是否成功（成功的话就需要提供证据给规则反馈）。 4.上级排查与客户一起进一步确认设备问题。   爆破攻击告警需格外谨慎，可能是“正在进行时”。 1.告警主要包括：客户对外端口的服务对外开放。 2.资产属性+流量确认。 3.综合判断业务是否对外开放（及时确认是否需要规避风险点）。   成功失陷追仔细，可能是”溯源不够细致，遗漏蛛丝马迹“。 1.告警主要包括：成功+失陷的告警。 2.资产属性+流量确认+告警确认+数据分析+兄弟产品跟进。 3.协助客户上机排查，书写防守或溯源报告。   常见溯源方式         在发现资产被攻击之后，防守方需要及时进行溯源和排查，通常情况下，溯源需要获取到目标攻击者的一部分个人信息，比如手机号，邮箱，QQ 号，微信号等，通过这些信息在互联网可以进一步追溯攻击者的更多暴露信息。方便进一步溯源，下述介绍了一些整理了一些常见的方法和工具。         1. 域名、ip 反查目标个人信息 首先通过威胁情报平台确认攻击ip是否为威胁 ip，常用的平台通常有如下 https://x.threatbook.cn/ 微步在线威胁情报社区 https://ti.qianxin.com/ 奇安信威胁情报中心 https://ti.360.cn/ 360威胁情报中心 https://www.venuseye.com.cn/  VenusEye威胁情报中心   当发现IP的为攻击IP后，可以尝试通过此IP去溯源攻击者，具体实现过程通常会用到下述方法：          1.ip 反查域名        2.域名查 whois 注册信息        3.域名查备案信息、反查邮箱、反查注册人        4.邮箱反查下属域名        5.注册人反查下属域名   2. 攻击者ID等方式追踪  定位到攻击者ip后，可以通过sgk、社交软件、指纹库等其它方式捕获到攻击者个人社交账号捕获到更精准的敏感信息，可以采取以下思路。  1.支付宝转账，确定目标姓氏  2.进行QQ账号、论坛、贴吧、等同名方式去搜索  3.淘宝找回密码，确定目标名字  4.企业微信手机号查公司名称  5.度娘、谷歌、src、微博、微信、知乎、脉脉等知道的各大平台上搜索          3. 通过攻击程序分析 攻击者如果在恶意攻击过程中对目标资产上传攻击程序（如后门、恶意脚本、钓鱼程序等），我们可通过对攻击者上传的恶意程序进行分析，并通过IP定位等技术手段对攻击进行分析溯源，常用的恶意程序分析网站有：  微步在线云沙箱：https://s.threatbook.cn/      腾讯哈勃：https://habo.qq.com/      Virustotal：https://www.virustotal.com/gui/home/upload      火眼：https://fireeye.ijinshan.com      魔盾安全分析：https://www.maldun.com/analysis/        4.  蜜罐  蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。   蜜罐溯源的两种常见方式： 一种是在伪装的网站上插入特定的js文件，该js文件使用攻击者浏览器中缓存的cookies去对各大社交系统的jsonp接口获取攻击者的ID和手机号等。另一种是在伪装的网站上显示需要下载某插件，该插件一般为反制木马，控制了攻击者的主机后查询敏感文件、浏览器访问记录等个人敏感信息从而锁定攻击者。          5.  常见案例链接分享 整理了一下常见的溯源案例链接，希望能对大家起到帮助 https://www.freebuf.com/articles/web/246060.html  //记一次蜜罐溯源 https://www.freebuf.com/articles/web/254538.html  //从溯源中学到新姿势 https://www.secpulse.com/archives/141438.html  //蓝队实战溯源反制手册分享 https://blog.csdn.net/u014789708/article/details/104938252  //记一次溯源恶意ip僵尸网络主机的全过程 https://mp.weixin.qq.com/s/xW2u4s8xCTnLCkpDoK5Yzw  //记一次反制追踪溯本求源   常见反制方式  通过蜜罐反制 主要就是下述反制手段做操作 1.可克隆相关系统页面，伪装“漏洞”系统 2.互联网端投饵，一般会在Github、Gitee、Coding上投放蜜标（有可能是个单独的网站地址、也有可能是个密码本引诱中招） 3.利用JSONP、XSS、CSRF等前端类漏洞获取访问蜜标的攻击者网络身份（网络画像）   邮件钓鱼反制 安全防护基础较好的厂商，一般来说除了出动0day，物理近源渗透以外，最常见的就是邮件钓鱼了，在厂商收到邮件钓鱼的情况下，我们可以采取化被动为主动的方式，假装咬钩，实际上诱导攻击者进入蜜网。   渗透工具漏洞 可以尝试挖掘蚁剑、冰蝎、菜刀、BurpSuite、SQLmap、AWVS的0day漏洞（需要一定的技术水平），或利用历史漏洞部署相关环境进行反打    盲打攻击反制  攻击者可能通过盲打漏洞方式来获取权限，一般盲打都具备一个数据回传接口（攻击者需要接收Cookie之类的数据），接口在JavaScript代码中是可以寻找到的，我们可以利用数据回传接口做以下两件事情，并后续引导攻击者进入我们部署好的蜜罐。 1.打脏数据回传给XSS平台 2.打虚假数据回传给XSS平台   通过攻击服务器端口/web 等漏洞  攻击者可能是通过自己搭建的公网服务器进行攻击的，或者是通过此服务器与后门进行通讯。其中服务器可能运行诸多服务，且未打补丁或设置强密码，导致防守方可以进行反打。   应急响应工具箱  在hvv期间，或者是在平常工作时间段，难免会碰到一些应急场景，这里推荐GitHub上一个大佬的应急工具箱，整合了诸多的分析文章和常见工具。 地址链接： https://github.com/No-Github/1earn/blob/master/1earn/Security/BlueTeam/%E5%BA%94%E6%80%A5.md 参考链接： https://www.freebuf.com/articles/neopoints/252229.html https://www.freebuf.com//261597.html 2021HW之蓝队溯源手册 https://mp.weixin.qq.com/s/AsiPMJmDl6J1XPO8B0m0xg 浅谈蓝队反制手段 https://mp.weixin.qq.com/s/qjM7Fh0u0Edsz5C7L_ErGQ 天眼分析经验总结 https://www.cnblogs.com/123456ZJJ/p/13261049.html...

就算离地千里、时速万里，遨游太空的计算机仍然是计算机，并没有变成其他什么神奇物种。而每台联网计算机都存在其攻击面。 长期以来，研究人员、国家，甚至普通网络罪犯都展示过如何劫持卫星技术的控制与通信。就在去年，特别军事行动发起之日，俄罗斯黑客就搞垮了乌克兰卫星互联网服务提供商Viasat。而在11月18日，亲俄罗斯的激进黑客组织Killnet对SpaceX的星链系统发起了分布式拒绝服务（DDoS）攻击，试图阻止该公司为乌克兰边境地区提供网络服务。最近，瓦格纳集团宣称为俄罗斯互联网提供商Dozor-Teleport的临时中断负责。据称，该雇佣兵组织通过将恶意软件上传到多个卫星终端来实现了这一点。 很明显，黑客可以破坏卫星链路，那么卫星本身及盘旋在地球上空的那些固件和软件呢？都是暴露在太空的设备。 在拉斯维加斯举行的2023年美国黑客大会上，德国波鸿鲁尔大学博士研究生Johannes Willbold将演示黑客如何将卫星玩弄于股掌之间。 Willbold坦承：“确实存在隐匿式安全，但除此之外，很多卫星并未采取任何其他措施来防止滥用。” 01 卫星依靠隐匿式安全   在今年早些时候发布的一篇论文中，Willbold和五位同事咨询了代表17种不同型号卫星的19位工程师和开发人员。这17个案例的其中三个受访者承认卫星没有采取任何措施来防止第三方入侵。在五个案例中，受访者不确定或拒绝置评，而其余九个案例里确实实现了一些防御措施。不过，即便是表现稍好的那些也不是固若金汤，比如说，这九个案例中只有五个实现了某种形式的访问控制。 “除了隐匿式安全，我们观察的卫星有太多就这么毫无防护地高悬空中。”Willbold称。 在这个问题上，卫星制造商可以蒙混过关，因为这个行业是如此封闭。长期以来，行业专业人士同时充当着看门人的角色，阻止潜在攻击者和安全分析人员窥探卫星内部。 Willbold及其团队直面这一现实。他们花了整整四个月才招募到这19名受访者。在论文中，Willbold团队哀叹：“总体而言，人们非常不情愿透露关于他们卫星及其安全方面的任何细节。” 问题在于，卫星不再像以前看起来那么晦涩难懂了。 02 卫星的构成   Willbold解释道：“可以想见，昂贵的大型卫星上装载着各种非常专业的抗辐射硬件，这是深入太空所明确需要的。” 但是，大多数卫星都漂在近地轨道（LEO）上，不需要那么专业的抗辐射硬件。 “近地轨道上的计算硬件跟地球上的嵌入式设备没什么两样，因为这种东西都是现成的，而且很便宜。”Willbold解释称。比如说，“你可能会在LEO卫星上发现常规ARM板，就跟地球上常见的嵌入式设备一样——汽车行业所用同款处理器。” 在软件方面，卫星往往采用VxWorks之类实时操作系统（RTOS），甚或基本的Linux，比如SpaceX的星链就用了Linux。最近几年，卫星开始采用更为现成的开源组件，而且以多种方式连接的通信和控制系统还能连接普通企业网络。 这些熟悉的技术打开了各种潜在的入侵之门，例如通过现成组件进行的供应链攻击。 或许，借助不设防的通信链路劫持航天器还来得更为容易。 “只需要花1万美元搞个直径两米的碟形天线，黑客就能拥有自己的超高频（UHF）和甚高频（VHF）地面站。然后你就能跟大量近地轨道卫星通信了。”Willbold警告称。 然而，时机是个主要障碍。Willbold指出，卫星链路已经很慢了，“而由于地球的形状，你每次看到卫星的时间也就能持续10分钟”。 近地轨道卫星时速上万公里，大约90分钟绕地球转一圈。 “如果你想延长与卫星通信的时间，你就需要多个地面站。只要有足够多的地面站，你最终就能一直与卫星通联，但这显然会变得非常昂贵。” 03 劫持卫星危害很大   卫星撑起了我们生活中一些最为关键的部分和一些相当日常的方面。卫星给我们提供了GPS和电视信号。我们借助卫星跟踪并预测天气，通过卫星与万里之外的人联系。工程师、研究人员、农民和军事情报官员都依赖太空探测器。 “结果明显取决于你实际突破了卫星的哪个部分。”Willbold说道，“比如说，入侵了观测卫星的总线系统。那你或许就能将你的技术升级到有效载荷系统。然后，你就可以盗取本无权访问的图像，甚至可能引入伪影或将伪影从图像中移除，就像数据篡改一样。” 自此，染指卫星的种种可能性只会变得更加异想天开，尤其是你开始考虑航天器的推进器时。 举个例子，未经授权的操作员可能会将卫星转向太阳，造成物理损坏和拒绝服务，或者改变卫星的轨道导致碰撞。 “如果两个轨道匹配，”他解释道，“那你至少就有可能试图撞击其他卫星，或者对轨道上的其他人造成威胁。” 04 卫星安全的未来   最依赖卫星的政府和军方处在卫星防御的最前线。 为开始应对这一威胁，2022年3月，美国联邦调查局（FBI）和网络安全与基础设施安全局（CISA）建议卫星通信提供商实施加密、监控和修复等基本安全预防措施。两个月后，美国太空军第6太空三角翼部队（Space Delta 6）新增四个中队，促进军事防御并使老化的卫星控制基础设施现代化。美国国家标准与技术研究所（NIST）和MITRE，以及非营利政府承包商Aerospace Corp.，针对太空威胁进行了威胁建模分析、遭遇太空威胁的应对框架。 整个安全界也都参与了进来。6月6日，美国空军和太空军与非营利政府承包商Aerospace联合举办了“黑掉卫星”（Hack-a-Sat）夺旗赛，这是围绕在轨黑客沙箱“Moonlighter”展开的一场卫星黑客竞赛。在其他地方，开发人员还测试了抗量子计算的信道，用于同航天器进行数据传输。 未来几年里卫星安全将走向何方我们不得而知。 “航天工业已经延续了几十年。”Willbold说道，但另一方面，“我们又有多少次见证了几十年来一直以一种方式运作的东西瞬间改变？”...

Python URL 解析函数中的一个高严重性安全漏洞已被披露，该漏洞可绕过 blocklist 实现的域或协议过滤方法，导致任意文件读取和命令执行。 CERT 协调中心（CERT/CC）在周五的一份公告中说：当整个 URL 都以空白字符开头时，urlparse 就会出现解析问题。"这个问题会影响主机名和方案的解析，最终导致任何拦截列表方法失效"。 该漏洞为 CVE-2023-24329，CVSS 得分为 7.5。安全研究员 Yebo Cao 于 2022 年 8 月发现并报告了该漏洞。该漏洞已在以下版本中得到解决： >= 3.12 3.11.x >= 3.11.4 3.10.x >= 3.10.12 3.9.x >= 3.9.17 3.8.x >= 3.8.17 3.7.x >= 3.7.17 urllib.parse 是一个广泛使用的解析函数，可将 URL 分解为各个组成部分，或将各个组成部分合并为一个 URL 字符串。 CVE-2023-24329 的出现是由于缺乏输入验证，从而导致有可能通过提供以空白字符开头的 URL（例如 " https://youtube[.]com"）来绕过 blocklisting 。 该漏洞可以帮助攻击者绕过主机设置的保护措施，同时在多种场景下助力 SSRF 和 RCE。 参考链接：https://thehackernews.com/2023/08/new-python-url-parsing-flaw-enables.html ...

经常调试各种网络设备，比如路由器、交换机、硬盘录像机等，每次调试都得添加各个网段的IP很不方便。 一直想找一款合适的IP配置工具，找了好多都不适合，萌发了自己做一款的想法。 经过不断的测试和完善终于做出来了。本来想发原创区的，想想还是发在精品区合适，可以让更多人看到。 请尊重别人的付出，随意在帖内公布链接的，直接举报！ 软件使用很简单！将IP信息输入对应位置，点击写入配置文件。可重复添加不同网段IP。如果添加的IP重复了会有提示！ 可重复添加不同网段IP，比如第一次在工具内添加192.168.0.2 255.255.255.0 192.168.0.1 192.168.0.1 114.114.114.114点击写入配置文件。如果想继续添加，输入新网段的IP数据192.168.1.2 255.255.255.0 192.168.1.1 192.168.1.1 114.114.114.114点击写入配置文件，如果再写入已添加过的IP，会提示存在相同的IP！1.使用时选中要修改的网卡设备，点击修改网卡IP，即可将网卡信息写入电脑系统。2.调整完设备后，勾选自动获取IP，点击修改网卡IP就可以改回自动获取了。3.如果想保留静态IP，请将机器正在使用的IP首先写入配置文件。 下载地址：https://pan.quark.cn/s/9f9f3af6b720 ...

2023最新域名解除拦截教程并增加解除几率并延长拦截间隔，最近的新方法按照这个方法有90%的几率可以解除，并且有很长一段时间不会被再次拦截。操作步骤1，首先需要把拦截的域名解析全部停用，添加根域名一级解析并用腾讯认可的程序搭建一个网站，网站源码在文章底部附件下载！2，然后访问这三个网址申诉的地方，不要一次提交多个平台，一般等待两三个小时就会有回复，网站申诉处理时间为工作日10:00-17:001.通过微信反诈实验室进行申诉2.通过腾讯安全网址那里检测申诉3.qq 直接申诉3，解除拦截以后不可以解析www.和 根域名（一级）需要等7天左右就可以把根域名搭建的网站换成自己的了。比如wordpress. 这个系统一般不被tx拉黑，哪里下载我就不用说了吧。 ...

《8月风口项目，利用TF十周年演唱会录像变现，简单无脑操作》，TFBOYS十周年演唱会的热度有多大自然不用我多说，有很多人是到不了现场去看的，这时候咱们就可以好好利用演唱会回放去搞钱，相应的资源我已经为大家准备好了，全部是高清的录像资源。咱们从发布作品和截流两方面去获取流量，从引流到转化以及变现逻辑，为大家准备了保姆级的视频教程，抓住风口吃肉！ 课程内容：01 必做的风口项目02准备工作03 小红书引流04 作品制作 05 截流的具体操作 ...

近期，西方执法部门加大了针对匿名托管服务、DDoS攻击服务等网络犯罪源头的打击力度。“Kirin博客”注意到，多家存在了许久的大型网站或者平台服务已经被国际执法合作摧毁。 美国当局取缔防弹托管提供商Lolek Hosted 著名的防弹（bulletproof）托管平台Lolek Hosted已被美国和波兰警方关闭，以限制欺诈者使用支持匿名在线行为的工具。 该行动逮捕了五人，并没收了涉嫌为Netwalker勒索软件攻击和其他恶意活动提供便利的服务器。此次行动是美国当局在过去几年中积极努力阻止防弹托管服务运营的结果，这些努力基本上取得了成功，其中包括对这些平台的重要运营商判入狱等重大成功。 Lolek将自己宣传为“100% 隐私托管”服务，并实行无日志政策，这意味着他们不会在其服务器或路由器上记录任何可能用于指控客户的活动。 Lolek平台为黑客提供了匿名性，并经常用于恶意活动，例如恶意软件分发和协助网络攻击。   联邦调查局和美国国税局早在周二就在Hosted网站（lolekhosted[.]net）上展示了一条扣押横幅。 横幅上写着：“该域名已被联邦调查局和国税局刑事调查局扣押，作为针对Lolek Hosted采取的协调执法行动的一部分。” Lolek Hosted的历史 自2009年以来，Lolek Hosted是一家知名的防弹托管服务商，总部位于英国，数据中心位于欧洲。Lolek是暗网上的一个热门供应商，在有关匿名托管服务的报道中经常提到该网站。 该服务将自己定位为臭名昭著的CyberBunker服务的竞争对手，后者已于2019年关闭。 虽然承诺保护客户的身份安全，但该防弹托管提供商却对用户发布的内容视而不见。 这些企业因向犯罪分子出租IP地址、服务器和域名而臭名昭著，犯罪分子利用它们传播恶意软件、建立僵尸网络大军以及进行与欺诈和网络攻击相关的其他活动。 近年来美国当局一直在打击参与防弹托管服务的个人 近年来，美国执法部门一直致力于追查防弹托管公司的运营者，追究个人责任并处以严厉处罚。 美国司法部于今年6月判处39岁的Mihai Ionut Paunescu三年联邦监禁，罪名是他协助管理防弹托管公司PowerHost[.]ro。 爱沙尼亚30岁的帕维尔·斯塔西（Pavel Stassi）和立陶宛33岁的亚历山大·肖罗杜莫夫（Aleksandr Shorodumov）均因经营一家防弹托管公司、在2009年至2015年间协助对美国目标发动攻击而被判处两年以上监禁。 俄罗斯公民亚历山大·格里奇什金（Aleksandr Grichishkin)因创立和经营防弹托管业务而于2021年被判五年徒刑。 伊利诺伊州一名33岁的居民也因拥有和运营DDoS 促进网站DownThem.org和AmpNode.com而被判入狱，这两个网站还为用户提供防弹服务器托管。 该打击行动更多内幕被欧洲刑警组织和美国司法部公开 虽然联邦调查局和美国国税局本周早些时候拒绝就调查发表评论，但欧洲刑警组织和司法部宣布查获 Lolek，并在波兰逮捕了五名管理员。 “本周，波兰中央网络犯罪局（Centralne Biuro Zwalczania Cyber​​przestępczości）在卡托维兹地区检察官办公室（Prokuratura Regionalna w Katowicach）的监督下对LolekHosted.net采取了行动，这是犯罪分子用来发动网络攻击的防弹托管服务世界各地。”欧洲刑警组织的公告中写道。 “五名管理员被捕，所有服务器被查封，LolekHosted.net网站已无法使用。” 欧洲刑警组织表示，Lolek被抓获是因为网络犯罪分子利用其服务器发起DDoS攻击、分发信息窃取恶意软件、托管命令和控制服务器、托管虚假在线商店以及开展垃圾邮件活动。 接着，美国司法部的一份公告揭示了警方行动的更多信息，该公告称，一位名叫Artur Karol Grabowski的波兰人昨天因运营LolekHosted而受到指控。 虽然尚不清楚Grabowski是否是在波兰被捕的管理员之一，但司法部表示，他允许客户使用假名注册、频繁更改服务器IP地址以及通知客户进行法律咨询，从而促进了网络犯罪。 Lolek托管服务被Netwalker勒索软件团伙使用 美国司法部还表示，Grabowski涉嫌协助现已中断的名为Netwalker的勒索软件业务，其在攻击中租用了50多次服务器，用于入侵网络并存储窃取的数据和黑客工具。 DOJ 声明中写道：“LolekHosted的客户利用其服务对包括佛罗里达州中区在内的世界各地的受害者实施了约50次NetWalker勒索软件攻击。” “具体来说，客户利用LolekHosted的服务器作为中介，在未经授权的情况下访问受害者网络，并存储从受害者处窃取的黑客工具和数据。” 执法部门于8月8日在FBI和IRS牵头的行动中扣押了这家防弹托管提供商的服务器，欧洲刑警组织提供支持，将可用数据与欧盟境内外的各种刑事案件联系起来，并追踪加密货币交易。 Grabowski现在面临共谋计算机欺诈、共谋电信欺诈和国际洗钱的指控，如果全部罪名成立，可能会被判处45年监禁。 Telegram中著名的DDoS频道DDoS Empire被FBI取缔 8月5日，一家名为”DDoS Empire“的大型DDoS攻击雇佣服务提供商的Telegram频道宣布，其网站与频道被联邦调查局与欧洲刑警组织的联合行动中被接管。   联邦调查局更改了该频道的名称（It was seized by the FBI and the European police force.）和形象（FBI的logo）。 DDoS攻击雇佣服务 DDoS攻击是攻击者最青睐的武器之一，DDoS攻击雇佣服务（”DDoS即服务“）因其成本更低、更简单、更容易获得而受到欢迎。DDoS攻击服务的另一个优势是提供匿名性，因为攻击者和接收者之间没有个人联系。 DDoS攻击雇佣服务承诺，攻击将更具破坏性，持续时间更长，目标无疑将遭受巨大损失。攻击者声称，他们可以通过每分钟1500万次请求和80万个僵尸网络使目标系统瘫痪，即使是Vshield和Cloudflare等受DDoS保护的系统也不例外。...

不违法，不违规，原理用抖音发视频，小程序广告收益分成。 ​ ...

今天带来的项目是《靠QQ估值 半小时1000+，零门槛、零投入，喂饭式教学、小白首选！》。众所周知，QQ号如今仍扮演着重要的角色。虽然说这几年一直在用微信，但是QQ的情怀依然让很多人都舍不得完全丢掉它，尤其玩游戏的时候，登录方面还是得QQ更方便一些。你是否想过，你的QQ号究竟值多少钱呢？QQ估价就是一个能够解答这个问题的神奇工具。因此，QQ估价直播，又火了一把！单靠收礼物，就能收到手发软，而且教程是喂饭级的，只要你愿意张口吃，我就能保证赚到钱！ 课程目录： 01 简单项目介绍02 先把账号设置完毕03 项目资料使用04 直播间搭建（详细步骤）05 四种可持续变现方式 ...

最近在站长圈很多人在传某SEO培训大咖出事了，站长朋友给出的理由如下： (1)他的公众号从2月份到现在已经半年不更新了。 (2)松松视频陪跑群一位成员他说也是该人的学员，去年在他那交的费，找不到人了。 (3)百度搜索下拉框该SEO大咖，出现的全是负面消息。例如跑路了吗?进去了吗?被抓?等等下拉词汇，都是负面信息。 总之，这件事在群里越传越凶。甚至群里还一个人说，他已经被抓几个月了，原因是割韭菜割的太狠了，线下聚会的时候，直接实名举报，把他搞进去了。 同时，还有另外一个重量级大咖发朋友圈曾表示说： 都说他进去了，我只能说这是我能够预料的事情，2014年认识他已经10年，2018年参加我的线下面授课(还是白嫖的)以后回去做黑帽SEO培训，再然后屏蔽我，所有客户称只是讲的算法也好、策略一和，基本上都可以从我17年到18年讲的东西找到一样的答案，我觉得人应该怀有感恩，不让容易找不到北。 因为这事均为网传，并没有真实定论，本文均为匿名。 首先，黑帽SEO就是灰色擦边行为，市场上谈到的黑帽SEO基本都是这样，这个100%肯定。如果他的黑帽SEO涉及到一些“个人信息”“FQ”“批量点击”等行为，那基本没跑了。 其次，如果说自己没有做黑帽SEO而是培训。那就容易涉嫌欺诈行为、非法经营行为，如果说一旦“割韭菜”一旦被举报，那100%没跑了。轻则行政罚款，重则进去踩缝纫机。一般这种情况都是“收钱不办事”!...

围观地址：https://weibo.com/2479238731/Ne5oEdugE ...

围观地址：https://weibo.com/2479238731/Nehnn5QTh ...

自2023年年初，深信服深瞻情报实验室监测到大量来自南亚地区的APT组织针对我国科研院所开展定向窃密攻击，其中航空航天领域成为其攻击核心，国内有关科研单位和高校相继受到攻击。通过深度参与事件调查，我们逐渐可以揭示出本轮攻击的模式与特征，以及潜藏在攻击活动背后的野心。 航空航天领域高速发展引来知识产权窃密风险 我国的航空航天事业自新中国成立以来就始终保持着高速发展的态势。近年来随着C919大飞机、天宫空间站、歼-20、神舟十六号载人航天等项目的顺利运行,我国在航空航天技术领域取得巨大突破，逐渐走在了世界前沿。然而高速发展带来的不止是荣誉，也伴随着一些负面问题，在竞争激烈的时代，窃取知识产权成为一种较低成本的快速追赶手段。 基于此，源自南亚地区的SideWinder（响尾蛇）、Bitter（蔓灵花）、Patchwork（白象）、Donot（肚脑虫）、CNC等APT组织闻风而动，开始在网络空间大肆活跃。为获取政策情报、军事秘密、科研进展、知识产权等数据，上述组织近年来持续对我国及南亚部分国家开展攻击，攻击范围包括政府部门、国防军工单位、科研院所等。 西工大遭受网络攻击以来，科研院所一直是APT攻击的重要目标，据监测，2023上半年受攻击的相关单位至少包括5所高级院校以及1所高级科研单位。 其中最引人注意的是CNC组织针对某学校的攻击事件。此次攻击自23年1月起筹划，定向针对某重点实验室实施窃密攻击。据历史披露，CNC组织2021年6月，就曾在我国神舟十二号载人飞船成功点火升空，与天和号核心舱对接之际，针对我国航空航天领域相关单位发起集中攻击。 本轮攻击的模式与特征 （一）伪装境外学术期刊钓鱼 历年来我们对印度APT组织的印象是广泛使用钓鱼邮件作为攻击入口，这些钓鱼邮件通常会蹭当下社会新闻热点，例如疫情话题，招聘话题等。而在近期CNC组织针对某学校的攻击活动中，攻击者结合目标的特点，使用了更加定向的投递方式，即仅向近期即将发表论文的作者发送“论文校对”或“论文确认”邮件，邮件内容除链接外，均与真实邮件完全相同。该特征在不同目标中多次出现，具有稳定性，攻击成功率极高。 具体来说，推测攻击者首先通过其他渠道，获得多个研究人员个人邮箱，监控其中的论文投递情况，当出现近期投递的论文，攻击者在适当的时间，模拟期刊方，仅向几位文章作者发送“论文校对”邮件，邮件包含该论文的编号、投递时间、在线发表地址等信息。 由于论文作者都密切关注其论文投递后的状态变更，且发件人刻意模仿期刊方，文章编号等这类保密信息真实，作者通常会无防备的点击该邮件中的链接，如下图红框所示，哪怕恶意超链接以明文形式展示，也会有受害者点击。同时，由于发送的校对邮件极真实，不排除国际上多个航空航天相关期刊的邮箱也遭到窃取，攻击者从此处获得某期刊论文校对邮件模板。 在CNC组织针对另一学校的攻击中，我们看到以“论文确认”为主题的钓鱼邮件，该论文同样为受害者近期在投的文章。 调查中，由于攻击者配置错误，我们在攻击者托管下阶段恶意样本分发的服务器中看到了其他期刊的相关载荷，如下表，充分印证了攻击者正积极采用这种手法进行攻击。 名称 组织 组织网站 Journalx_kjdb 科技导报 kjdb.org aippublishing 美国物理联合会出版社 publishing.aip.org aipscitation 美国物理联合会出版社 publishing.aip.org apcats2023 航空航天技术与科学亚太会议 apcats2023.org eg2.novatechset Nova Techset电子出版 novatechset.com hindawicentral Hindawi出版社 hindawi.com Journalx_yhxb 宇航学报 yhxb.org.cn sciencedirect sciencedirect期刊 sciencedirect.com asmesociety 美国机械工程师学会 asme.org sprintnature 施普林格·自然出版社 springernature.com   （二）伪装境外业内大牛钓鱼 除了“论文”主题外，攻击者还模仿领域内某位韩国知名教授，向航空航天相关专业的老师发送会议邀请函。邀请函正文从某个真正受到邀请的老师邮箱中获得，收到邮件的老师都熟识该教授，部分老师出于信任点击了恶意链接。 由于攻击者对邮件内容非常自信，攻击者近乎嚣张地与多名老师进行了近十轮的邮件交流而未被识破，交流中攻击者以“核对参会人信息”等方式，十分自然地发送携带恶意链接或附件的邮件使受害者中招。 （三）跨网段的U盘传播模式 攻击手段除安装各类文档窃密程序外，还投递了可通过U盘进行大范围传播的恶意样本，此类恶意样本通过不间断地监控目标主机是否有新的移动设备或存储设备接入，当检测到新的设备接入时，将自身复制到新设备中并进行伪装。此类样本不仅具有跨网段传播的功能，还下载后续阶段的其他样本进行驻留。这种意图跨越隔离网络，多种传播方式共用的方式，充分契合高校科研实验室网络架构。 恶意样本将自身复制到U盘后，伪装成图片，并取名为“私人图片.png”，引诱其他使用该U盘的受害者点击。在事件调查过程中，已经多次提醒注意不打开未知文件的情况下，仍有受害者出于好奇打开“私人图片”，使样本在内网进一步传播。   （四）高度定制化木马，明确的窃密目标 CNC组织针对高校的攻击手法如下图，经过多阶段的恶意程序下载释放，最终主机中会落地文档窃取程序。 攻击者通过钓鱼邮件成功攻陷主机后进行信息收集，后续对文档窃取程序进行定制化开发，窃取攻击者感兴趣的目标，例如在某校发现的样本中存在硬编码的最近文档路径，在另一发现的样本中存在硬编码的微信聊天文件路径和杂项路径。 攻击中使用的基础设施分析 对本轮针对航空航天领域攻击中使用的IP基础设施所属地理位置进行分析，其使用的C2地理位置集中在欧洲地区。 攻击者在后阶段样本中多次使用第三方平台github作为载荷和C2托管平台，“59degf”、“xerox211”、“kkrightjack”等账号接替出现。 “59degf”于2022年5月26日加入github，并且活跃到2022年8月，不排除后续继续使用。 其首先创建“stylefonts”仓库，并上传一份pip9.0.3的安装包进行伪装，接着上传多个文件，并将加密C2信息存储于其中。 其还会在该仓库中存放使用base64编码的载荷文件“jquery-img.css”，通过分析该载荷为GRAT2开源远控，且被用于历史活动。 其他的C2更新信息如下表。 时间 文件名 数据 2022.7.4 CustomLogktr56632404 menu-items#8080@Ulzc7AnSIBk7shxMu7bc+Z8PGYo= 2022.7.5 CustomLogktr56632404 background-color@8080:eJGipVAZxpwarQ4Rt+vXyg== 2022.7.5 CustomLogktr56632404 menu-items#8080@eJGipVAZxpwarQ4Rt+vXyg== 2022.7.5 CustomLog menu-items#8080@eJGipVAZxpwarQ4Rt+vXyg== 2022.7.5 CustomLog menu-items#8080@MoTyR1NbFGeJ7G7lhgos 2022.7.5 CustomLog1 menu-items#8080@MoTyR1NbFGeJ7G7lhgos 2022.8.4 License-rtm.txt 6ZBsOoSsfGBn4RVOdh49BhEBvX5tc18=（解密为https://94.140.115.232/） 2022.8.5 License-rtm.txt 6ZBsOoSsfGBv7AlRcxwiGRgDvX1seV/KybQNFZTCOGIm6JPNkdnI8Tl6Zv7A（解密为https://192.121.87.128/gtjuik75743.php?huyice） 另外，在分析的样本“e1d12807f017c8f827fe586a19b91f1f0903d0acbb693901762adfaab638f619”中提取出其通信的github URL为“https://raw.githubusercontent.com/59degf/charsets/main/fonts-store.txt”，并未发现其使用的charsets仓库，需持续观察。 “xerox211”于2022年9月28日加入github，并创建了仓库“service”，使用github存放加密的C2数据，当未获取到对应样本时无法对该数据解密。 2022年9月29日上传数据“21/3/231/347”（该数据格式暂不清楚）。 接着在2022年10月12日多次更新该数据。 将上述数据更新为"262/347/28/256”（该数据格式暂时不清楚），期间进行过多次格式调整。 接着在2022年11月4日将数据再次更新为“0x41,0x51,0x8d,0x3e,0x5e,0x70,0x21,0xc4,0x40,0xe5,0x7d,0xd6,0x7b,0x04,0x95,0x31,0xf0,0xc7,0xef”。 最终再次进行格式调整，将数据更新为“41518d3e5e7021c440e57dd67b049531f0c7ef”。 “kkrightjack”于2022年8月23日加入github，于2022年8月24日快速上传config.json文件后又在短时间内删除“msecnd-tray!8080$vH71iikBrM0YKkmpvugwHA==”。 2022年9月23日重新更新该数据为“msecnd-tray!8080$v5w0/D/EvtqeYBANF9Rrmg==”   附录：IoC IOC类型 IOC MD5 bffa445f8f99a05384c3a61b9eaabc2f ca7276e10fcf08ec118b7cdd4e191ae8 390f9430d01e499719e9a36af5489808 869d595bbc42335fcf27321b60421582 6c65f3eea8c6b85cfae319a85d39eb55 0d5554ffd44fb843e0f41dce571c78d5 9bba6c6eb20046e40e4c6bedff370614 3af8b5681908426e817f906ff0d08b6e ce3b254fc75fe4210aa509581ca42848 774f5270c753a8651e81a2886130908f 29bbb78c7a9873836d7e76198f9e1f6c 63944ca21aee1ea6f5cfed011c7173b0 040c572499115880acf1704cdf0c4aec f75ac8caca2e3b8f1becd26c7d6542d7 d3d227719260091b7bb58111f0b219fa 88b2e156b43b650705d895b595d59087 018bb9c176732dfc7879a6c3bca8e0aa 3a79ef175d63e504eb9442e64af12661 b1e792da3e146ebabc76219ffe2385a4 337899dc4fe9e74935678cf6fd067c31 ef6e329c6fb3eb2a93cabadd6798cd20 32fdd60c5366c924b3cceb95dadc4c2e 70f134f39ef48ea6f8be96bd05d299a2   ...

1 概述 安天CERT近期发现APT组织Konni的攻击活动，结合诱饵文件内容及以往的攻击活动推测，此次攻击可能为针对韩国企业进行的网络攻击。APT组织Konni的攻击活动最早可以追溯至2014年，并一直活跃至今。该组织长期针对俄罗斯、韩国等国家进行定向攻击活动，擅长使用社会热点话题作为诱饵对目标进行鱼叉式网络钓鱼攻击。 近期发现，Konni组织可能通过向目标投递与税务相关的ZIP文件实施攻击。在用户打开ZIP文件内的诱饵LNK文件时，执行设置好的PowerShell指令，打开LNK文件内包含的掩饰文档以及压缩包，执行压缩包内的脚本文件，设置注册表实现持久化机制，获取目标机的部分文件列表、进程列表等基础信息并回传至服务端，最终下载后续载荷并执行。 2 Konni攻击活动分析 表 2‑1 ZIP文件 Konni组织可能通过钓鱼攻击的手法投递税务相关主题的ZIP文件，ZIP文件内容如下表： 表 2‑2 ZIP文件内容 ZIP文件的内容如下图所示：   图 2‑1 ZIP文件内容 表 2‑3 LNK文件 上表中的LNK文件包含在ZIP文件内，LNK文件指向攻击者构造的一段PowerShell代码，该代码用于解码其中十六进制编码的数据并执行，将这段PowerShell代码提取出来如下所示。 图 2‑2 LNK文件指向的PowerShell代码 解码后的内容用于释放掩饰文档소명자료 목록(국세징수법 시행규칙).hwp到LNK文件所在的目录、删除LNK文件、提取内嵌的ZIP文件并将ZIP文件中的条目提取到%public%\documents目录下，最终执行start.vbs。   图 2‑3 释放后续文件 LNK文件内存储的掩饰文档及ZIP文件数据相连，数据结构如下图所示。   图 2‑4 LNK文件内存储的掩饰文档及ZIP文件 LNK文件释放的掩饰文档正文内容如下所示。   图 2‑5 소명자료 목록(국세징수법 시행규칙).hwp   申明资料目录（国税征收法实施规则） ZIP文件内包含的条目及对应文件的功能如下所示。   图 2‑6 ZIP文件内包含的条目 表2-4 ZIP内的文件及对应功能 ZIP文件内各文件之间的调用关系如下图所示：   图 2‑7调用关系图 start.vbs，该文件用于执行78788188.bat文件。   图 2‑8 Start.vbs文件 78788188.bat，执行流程如下： 判断是否存在bat，如果存在23965250.bat，会将Start.vbs添加至注册表RUN中实现开机自启动，执行23965250.bat、27355145.bat后删除23965250.bat文件。如果不存在23965250.bat，判断是否存在upok.txt文件，如果upok.txt存在，执行步骤2)；如果upok.txt不存在，执行27355145.bat，该文件用于收集本地数据并回传至服务端，然后执行步骤2)。 判断是否存在txt，如果存在pakistan.txt，删除该文件并退出；如果不存在pakistan.txt，执行步骤3)。 判断是否存在bat，如果存在temprun.bat，删除该文件，执行步骤4)；如果不存在temprun.bat，直接执行步骤4)。 执行bat，该文件用于下载文件。传递参数http[:]//overseeby.com/list.php?f=%COMPUTERNAME%.txt、%~dp0SbJAZ.cab、1，下载SbJAZ.cab文件。如果第三个参数为0，会进行加密传输。以上操作完成后，执行步骤5)。 解压cab到当前路径下，而后删除SbJAZ.cab并执行temprun.bat。以上操作完成后，执行步骤6)。 等待57秒，再次判断是否存在txt，如果不存在pakistan.txt，跳到步骤3)继续执行。若存在pakistan.txt，删除该文件并退出。 图 2‑9 78788188.bat文件 23965250.bat，执行流程如下： 调用bat，发送http请求，下载97157.zip文件，请求的网址为https[:]//naver.cloudfiles001.com/v2/read/get.php?hs=ln3&fj=bv8702。然后判断下载是否成功，如果97157.zip文件存在，执行步骤2)。如果该文件不存在，退出。 获取压缩包中的第一个条目的名字，如果该名字存在，以字符a作为密码解压zip，而后删除压缩包，执行步骤3)；若该名字不存在，直接删除压缩包并退出。 判断压缩包中的第一个条目对应的文件是否存在。若存在，使用exe执行该文件的Run导出函数，等待60s；若不存在，等待60s，退出。此次操作将会循环执行三次。 图 2‑10 23965250.bat文件   27355145.bat，执行流程如下： 获取C:\Users\%username%目录下downloads、documents、desktop以及C:\Program Files中的文件及文件夹列表，并将其输出到bat文件所在目录对应的txt、cuserdocu.txt、cuserdesk.txt、cprot.txt中。然后通过nslookup命令获取myip.opendns.com、resolver1.opendns.com的域名解析地址，通过tasklist和systeminfo获取进程列表和系统信息，将他们分别输出到对应的ipinfo.txt、tsklt.txt、systeminfo.txt中，然后执行步骤2)。 等待5秒后，调用bat，将其加密处理后上传到http[:]//overseeby.com/upload.php地址。 图 2‑11 27355145.bat 28499076.bat，该文件内部存在一个自定义的加密函数，获取当前时间作为密钥。该文件的主要功能为加密27355145.bat生成的存放信息的txt文件，并将传入的带有计算机名称的文件名在加密后，与key和加密后的txt文件一同上传到指定的URL。在上传成功后会删除txt文件并在当前目录下新建一个upok.txt文件。 图 2‑12 28499076.bat 60937671.bat，主要功能用于下载文件，可根据传递的第三个参数来选择是否进行加密传输。若选择加密传输，则会获取当前时间作为密钥，并将其作为参数添加到URL中传递至服务端。 图 2‑13 60937671.bat 3 关联归因 根据初始压缩包内的诱饵文档以及脚本代码的相似性进行关联，发现了几个同为税务主题的压缩包，压缩包内同样包含LNK文件，且LNK文件中的掩饰文档与ZIP数据相连。将包含在LNK文件内的ZIP内容提取出来，发现内部脚本的功能大致相同，部分文件在传输加密、变量命名和文件命名上存在不同。 对关联到的所有文件进行分析，压缩包内的恶意LNK文件及对应域名列表如下所示： 表3-1 LNK文件对应的hash、文件名及域名列表 其中最早发现的两个文件的上传、下载功能的脚本文件内并无加密函数。 图 3‑1 早期攻击活动中用于文件上传、下载的脚本 图 3‑2 之后捕获到的攻击活动中用于文件上传、下载的脚本 此次捕获到的样本中，存在从伪装成韩国Naver公司相关的URL中下载文件的行为，具体URL如下表所示： 表3-2 URL列表 归因分析： 诱饵文件类型均为HWP文件，为韩国常用的文档格式。诱饵文件的文件名与内容所用语言均为韩语，且诱饵文档内容为税务相关内容，与以往Konni组织的攻击目标相符[1]。 在代码层面，仍沿用之前的脚本模式来进行文件的调用、初步的信息收集、文件的上传与下载，代码结构及内容与以往攻击活动相似程度较高，部分内容存在重叠。 图 3‑3 左侧为本次攻击活动中的信息收集脚本，右侧为以往攻击活动中的信息收集脚本[2]   图 3‑4 左侧为本次攻击活动中用作文件调用和下载的脚本，右侧为以往攻击活动中用作文件调用和下载的脚本[2] 4 威胁框架映射 本次捕获到的Konni组织疑似针对韩国企业的攻击活动共涉及ATT&CK框架中9个阶段的15个技术点，具体行为描述如下表： 表4-1 本次Konni组织攻击活动的技术行为描述表 将涉及到的威胁行为技术点映射到ATT&CK框架如下图所示： 图 4‑1 本次Konni组织攻击活动对应的ATT&CK映射图 5 总结 根据捕获的样本内容并结合已有情报来看，Konni组织从今年年初开始便以采用税务相关主题的诱饵进行钓鱼攻击。该组织继续沿用以往的LNK攻击手法，将恶意脚本文件添加到压缩包内并嵌入LNK文件中，待受害者打开LNK文件，执行恶意脚本文件，下载后续载荷。相比于早些时间捕获到的样本，差别主要存在于脚本中新增的数据传输前的加密功能。 IoCs 参考资料 세무조사관련정상한글문서로위장한악성링크파일유포 https://www.boannews.com/media/view.asp?idx=113686 코니(Konni) APT 조직, HWP 취약점을이용한 'Coin Plan' 작전감행 https://blog.alyac.co.kr/2543 ...

dedecms功能很强大，但总有些东西无法满足我们自己的需求，这就需要我们在设计模板时使用这个标记来编写程序，也总免不了要查询、更新、修改数据库。但是不是欣喜的编写完程序后运行程序系统却提示你Safe Alert Request Error step 1 或 Safe Alert Request Error step 2。引起这个的主要原因是dedecms 5.6开启了安全检测的功能，避免sql注入，提高系统的稳定性、安全性！我们完全可以在不关闭安全检测的前提下，实现这些功能！比如下面这段代码： {dede:php runphp='yes'} $tag = trim($_SERVER['QUERY_STRING']); $tags = explode('/', $tag); if(isset($tags[1])) { $tag = urldecode($tags[1]); } if(isset($tags[2])) { $PageNo = intval($tags[2]); } if(empty($PageNo))$PageNo=1; $PageNo=($PageNo-1); $sql_tag="select * from `dede_archives` where `id` in (select `aid` from `dede_taglist` where `tag` like '$tag') and `litpic`<>'' order by click desc limit $PageNo,8"; if(!isset($dsql)||!is_object($dsql)){ $dsql=new DedeSql(false);}   $dsql->SetQuery($sql_tag); $dsql->Execute(); @me="" while($row=$dsql->GetArray()){ $me=$me."<img src='".$row['litpic']."'>"; } {/dede:php} 该段代码理论上是实现查询某个TGA标签所对应的图片文章，而且是能翻页的！(这个只是个举例！)但在实际执行过程中却提示“Safe Alert: Request Error step 2”；经过研究发现，dedecms在执行自己编写的代码时会进行安全检测，以防被注入。牵扯到“select union”等数据库语句，有两种方法可以解决这个问题： 第一个方法： 在include文件夹中找到dedesql.class.php文件，打开后找到$this->safeCheck = true;将“true”修改为false即可屏蔽掉安全检测。当然，这样存在一定的安全隐患 第二种方法：不屏蔽安全检测 dedecms不是对selecet等语句敏感吗，那我就不用select语句进行查询，自己创立一个select的代替者，如用chaxun代替select,这样上面的查询语句就可以写成： $sql_tag="chaxun * from `dede_archives` where `id` in (chaxun `aid` from `dede_taglist` where `tag` like '$tag') and `litpic`<>'' order by click desc limit $PageNo,8"; 估计你就要问了，这样怎么可能正常执行啊，瞎搞嘛！是的，这样肯定是不行的。我们需要对dedesql.class.php进行一定的修改。原理就是将之前代替的“select”别名”chaxun”在安全检测后更正为select在dedesql.class.php中找到函数function CheckSql($db_string,$querytype=’select’)将函数的返回语 return $db_string; 替换为 return str_replace("dede_database_chaxun","select",$db_string); 然后在查找CheckSql()这个函数，共有2处调用一处为if($this->safeCheck) CheckSql($this->queryString,’update’);另一处为 if($this->safeCheck)   {    CheckSql($this->queryString);   } 将这两处分别修改为 if($this->safeCheck) $this->queryString=CheckSql($this->queryString,'update'); 和if($this->safeCheck)   {    $this->queryString=CheckSql($this->queryString);   } 好了，大功告成！如果需要使用到union，update等语句时都可以照此进行修改！...

PART.01 登入过程 1. 访问靶场地址http://101.43.22.226/?name=2023，框架为Flask。 2. 测试存在ssti注入。 3. 直接执行以下命令。 http://101.43.22.226/?name={% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ == 'catch_warnings' %} {% for b in c.__init__.__globals__.values() %} {% if b.__class__ == {}.__class__ %} {% if 'eval' in b.keys() %} {{b['eval'('__import__("os").popen("whoami").read()') }} {% endif %} {% endif %} {% endfor %} {% endif %} {% endfor %} 4. 测试目标可以出网，直接执行命令反弹shell和上线msf。 5. 对当前机器进行信息搜集，存在双网卡172.25.1.3和10.10.10.100。 6. 添加路由。 7.对10.10.10.0段存活主机进行扫描， 8. 存活主机有10.10.10.101、10.10.10.102、10.10.10.200 和10.10.10.201。其中，200，201这两台机器开放了445端口，在此探测是否存在永恒之蓝漏洞。 9. 对200这台机器进行漏洞利用。由于不确定200这台机器是否出网，所以payload要设置成正向shell，最后成功获取到这台机器的权限。 10. 因为10.10.10.100这台机器是可以出网的，将它作为我们的跳板机。远程下载frp，搭建socks5代理。 11. 对10.10.10.101进行端口扫描，开放22和80端口，访问80的web服务。 12. 测试存在文件，文件包含漏洞(不存在远程文件包含)。 13. 经过fuzz读取到配置文件config.php，从中获取到数据库的账户密码。 14. base64解码后的数据库用户名为catcat，密码为wannatobeacat。但是由于数据库还是不能连接，因此想到了密码复用——使用ssh，登录上catcat的账户。 15. 当前用户权限较低，尝试提权。使用pspy扫描后发现，root用户每分钟会执行一次backup.sh，且当前用户catcat可以修改此文件。 16. 在backup.sh文件中添加 chmod 4475 /bin/bash，执行bash -p后成功提权。 17. 对10.10.10.102机器进行扫描，发现开放了22和5000端口。访问5000后发现，其是web服务。 18. 存在用户名枚举，但是未爆破出密码，sql注入也不存在。 19. 这里发现用的框架为Express。通常情况下，用的是mongdb数据库，尝试nosql注入。参考链接如下： https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/NoSQL%20Injection#exploits 20. 修改payload。 注意：需改动未Content-Type: application/json。 {"user": {"$ne": null}, "password": {"$ne": null}} 21.成功进入后台。 PART.02 渗透过程 1. 新建文章。 2. 提交后服务报错，从报错信息中获取到了网站的物理路径。 3. 存在上传功能点测试，返回非法的XML格式，并且发现数据库的请求头也是/articles/xml。查看是否存在xxe漏洞。 4. 尝试读取/etc/passwd文件，成功读取后确定存在xxe漏洞。 5. 就刚才获取到的网站物理路径，读取配置文件server.js的内容。 6. 执行命令反弹shell到主机10.10.10.100。 7. 发现当前用户可以凭借root权限执行/bin/check文件。 8. 查看/bin/check文件，引用os.py。 9. 此处直接修改os.py文件内容，以sudo的权限执行check文件即可提权（由于此处获取交互式shell就会系统停顿，所以没有继续提权）。 10. 主机10.10.10.201开放了比较多的端口，首先访问80端口，但其web服务需要进行验证，利用弱口令admin，admin成功进入后台。 11. 存在文件上传功能点，但是无论上传任何格式都能够成功返回，只是无法找到上传的路径。 12.此处提示样本会上传到文件共享服务器，测试团队将手动审查上传的内容，构造SCF文件以索取ntlm hash，并将文件上传到目标服务器。 13. 在跳板机上安装Respondr，并对其进行监听。 14. 成功抓取到NTLMv2 Hash。 15. 使用hashcat破解。 hashcat -m 5600 hash.txt rockyou.txt 16. 破解出密码为tobyallison31。此外，目标机器开放了5985端口，使用evil-winrm进行连接。 17. 生成正向木马bind.exe，上传到该目标机器后获取到meterpreter。 18. 查看powershell的历史记录，发现他下载并开启了Goservice服务，我们可以替换文件来进行提权。 19. 暂时停止服务。 20. 将bind.exe上传到目录，并重命名为service.exe。 21. 重新启动GoService服务。 22. 成功返回一个meterpreter且权限为system权限。 ...

关于ScrapPY ScrapPY是一款功能强大的文档数据爬取和字典生成工具，该工具基于Python开发，可以帮助广大研究人员抓取手册、文档和其他敏感PDF，以生成安全工具可以直接使用的有针对性的字典列表来执行暴力破解、强制浏览和字典攻击。 ScrapPY可以执行词频、熵和元数据分析，并可以在全输出模式下运行，为有针对性的攻击创建自定义字典列表。该工具可以通过深入分析，发现潜在密码或隐藏目录的关键字和短语，生成可读的文本文件，并输出到Hydra、Dirb和Nmap等工具。 简而言之，在ScrapPY的帮助下，广大研究人员能够快速实现初始访问、漏洞扫描和横向移动。 工具安装 由于该工具基于Python 3开发，因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来，广大研究人员可以使用下列命令将该项目源码克隆至本地： $ mkdir ScrapPY $ cd ScrapPY/   $ sudo git clone https://github.com/RoseSecurity/ScrapPY.git 然后切换到项目目录中，使用pip 3命令和项目提供的requirements.txt文件安装该工具所需的其他依赖组件： $ pip3 install -r requirements.txt 工具使用 usage: ScrapPY.py [-h] [-f FILE] [-m {word-frequency,full,metadata,entropy}] [-o OUTPUT] 输出文档元数据： $ python3 ScrapPY.py -f example.pdf -m metadata 将前100个常用单词输出到名为Top_100_Keywords.txt的文件中： $ python3 ScrapPY.py -f example.pdf -m word-frequency -o Top_100_Keywords.txt 将所有的关键词输出到默认的ScrapPY.txt文件中： $ python3 ScrapPY.py -f example.pdf 将前100个熵最高的单词输出： $ python3 ScrapPY.py -f example.pdf -m entropy ScrapPY输出结果： # ScrapPY outputs the ScrapPY.txt file or specified name file to the directory in which the tool was ran. To view the first fifty lines of the file, run this command:         $ head -50 ScrapPY.txt       To see how many words were generated, run this command:       $ wc -l ScrapPY.txt 与其他安全工具集成 该工具可以轻松与例如Dirb之类的其他安全工具进行集成，以加快发现隐藏子目录的过程： root@RoseSecurity:~# dirb http://192.168.1.123/ /root/ScrapPY/ScrapPY.txt           DIRB v2.21   By The Dark Raver         START_TIME: Fri May 16 13:41:45 2014   URL_BASE: http://192.168.1.123/   WORDLIST_FILES: /root/ScrapPY/ScrapPY.txt             GENERATED WORDS: 4592       ---- Scanning URL: http://192.168.1.123/ ----   ==> DIRECTORY: http://192.168.1.123/vi/   http://192.168.1.123/programming (CODE:200|SIZE:2726) http://192.168.1.123/s7-logic/ (CODE:403|SIZE:1122)   ==> DIRECTORY: http://192.168.1.123/config/   ==> DIRECTORY: http://192.168.1.123/docs/   ==> DIRECTORY: http://192.168.1.123/external/ 将ScrapPY与Hydra一起使用可以执行高级暴力破解攻击： root@RoseSecurity:~# hydra -l root -P /root/ScrapPY/ScrapPY.txt -t 6 ssh://192.168.1.123     Hydra v7.6 (c)2013 by van Hauser/THC & David Maciejak - for legal purposes only       Hydra (http://www.thc.org/thc-hydra) starting at 2014-05-19 07:53:33   [DATA] 6 tasks, 1 server, 1003 login tries (l:1/p:1003), ~167 tries per task   [DATA] attacking service ssh on port 22 使用ScrapPY生成的字典与Nmap脚本结合使用： nmap -p445 --script smb-brute.nse --script-args userdb=users.txt,passdb=ScrapPY.txt 192.168.1.123 工具使用演示 演示视频：【点我观看】 项目地址 ScrapPY：【GitHub传送门】  ...