Cybersecurity information flow

美国旧金山时间5月6日，在被誉为“安全圈的奥斯卡”的2024年度RSA创新沙盒竞赛中，Reality Defender凭借其创新的AI技术成功夺得桂冠，正式为RSAC2024大会拉开序幕。*RSAC创新沙盒冠军揭幕现场洞见RSAC 解读夺冠背后故事2023年RSAC创新沙盒Hiddenlayer夺冠 ...

Lightweight copy to clipboard for the web

绿盟科技威胁周报2024年第18周。

AI 安全公司 HiddenLayer 警告称，当加载和引用恶意 RDS 文件时，R 编程语言实现中的漏洞可被利用来执行任意代码，并且可能被用作供应链攻击的一部分。 该漏洞编号为CVE-2024-27322（CVSS 评分为 8.8），是在 R 的序列化和反序列化过程中发现的，该过程用于创建和加载 RDS（R 数据序列化）文件。 R 是一种开源编程语言，支持数据可视化、机器学习和统计计算，广泛用于金融、政府和医疗保健等行业的统计分析，在人工智能和机器学习应用中也很受欢迎。 R 有自己的序列化格式，在保存和加载包时使用。编译包时，将创建一个包含要序列化对象的 .rdb 文件和一个包含与这些对象及其偏移量关联元数据的 .rdx 文件。 “加载包时，.rdx 文件中以 RDS 格式存储的元数据用于定位 .rdb 文件中的对象。然后这些对象被解压缩和反序列化，本质上是将它们加载为 RDS 文件。” HiddenLayer 解释道。 因为 R 支持创建 Promise 对象的指令（该对象具有符号（变量）和附加的表达式，表达式仅在访问符号后运行）和惰性求值（仅在需要时才求值符号的策略）。 攻击者可以使用将变量设置为未绑定值的指令和包含任意代码的表达式来创建 Promise 对象。由于惰性求值，仅当访问与 RDF 文件关联的符号时才求值并运行表达式，并且当用户引用该符号时将执行代码。 “一旦 R 创建并加载恶意文件，无论如何引用变量，漏洞都会运行。”HiddenLayer 继续说道。 漏洞可用于软件供应链攻击 该安全公司还警告说，由于 RDS 包允许用户与其他人共享编译后的 R 代码，并且由于有大量专用于 R 的 GitHub 存储库，攻击者可能会在针对 R 用户的供应链攻击中滥用此漏洞。 readRDS 是可用于利用该漏洞的 R 函数之一，在超过 135,000 个 R 源文件中被引用，而CRAN的存储库声称拥有超过 20,000 个包并允许任何人上传代码，但不会检查新包这个漏洞。 “通过查看存储库，我们发现大量使用是在不受信任的用户提供的数据上，这可能会导致运行该程序的系统完全受到损害。一些包含潜在易受攻击代码的源文件包括来自 R Studio、Facebook、Google、Microsoft、AWS 和其他主要软件供应商的项目。”HiddenLayer 解释道。 要接管 R 包，攻击者只需用恶意文件覆盖 .rdx 文件

研究人员创造了一个生成式人工智能蠕虫，它能够通过互连的人工智能系统传播，并可能造成大规模破坏。 该项目由 Ben Nassi、Stav Cohen 和 Ron Bitton 组成的康奈尔科技团队领导，被称为“Morris II” ——指的是 1988 年在互联网上传播的臭名昭著的 Morris 计算机蠕虫。 他们的发现展示了 Morris II 如何利用生成式人工智能电子邮件助手，从电子邮件中窃取数据并发送垃圾邮件，甚至绕过 ChatGPT 和 Gemini 等流行人工智能系统中的一些安全措施。 大型语言模型 (LLM)作为生成人工智能的支柱，正日益变得多模态，不仅能够生成文本，还能够生成图像和视频。 LLM 通常通过处理提示来发挥作用 – 指导系统生成响应或创建内容的文本指令。然而，这些提示可以被武器化。 攻击方法包括“越狱”、绕过安全协议并迫使系统生成有害或攻击性内容，以及对话中毒，其中攻击者操纵 LLM 遵循一系列指令。大型语言模型 (LLM)还可能泄露他们可能接受过培训的私人数据。 研究人员表示，他们通过一种称为“对抗性自我复制提示”的新技术创造了Morris II，该技术欺骗人工智能模型生成另一个提示作为其响应的一部分。这种策略类似于 SQL 注入等传统网络攻击，对人工智能系统的完整性构成重大威胁。 为了展示蠕虫病毒的能力，研究人员构建了一个电子邮件系统，可以与ChatGPT、Gemini 和开源 LLaVA 模型等生成人工智能系统进行交互。 研究团队发现了两种利用方法：一种使用基于文本的提示，另一种在图像文件中嵌入恶意提示。 在一种情况下，研究人员模拟攻击者发送一封包含对抗性提示的电子邮件。该提示实际上是通过利用称为检索增强生成（RAG）的功能“毒害”电子邮件助理的数据库。RAG允许大型语言模型 (LLM)访问外部数据源以增强他们的响应能力。当通过 RAG 检索包含恶意提示的电子邮件并将其发送到 GPT-4 或 Gemini Pro 等系统进行处理时，它实际上越狱了 AI 服务，使其能够从电子邮件中窃取数据。 这些被盗数据嵌入生成的响应中，然后用于回复毫无戒心的用户电子邮件时感染新系统。 第二种方法涉及在图像中编码恶意提示，将任何图像文件变成蠕虫病毒的潜在载体。这使得受感染的电子邮件助手能够将受感染的消息转发给其他用户，从而进一步传播感染。 两种类型的应用程序可能面临来自类似于 Morri

与朝鲜政府有联系的黑客正在利用电子邮件安全系统的漏洞发送看似合法的欺骗性消息，使他们能够冒充记者或学者。 包括联邦调查局 (FBI)、国家安全局 (NSA) 和国务院在内的多个联邦机构本周发布了一份公告，警告Kimsuky 行动中的黑客正在瞄准配置不当的基于 DNS 域的消息身份验证、报告和一致性 (DMARC) 记录策略。 DMARC 已有十多年的历史，是一种安全工具，电子邮件平台使用它来验证邮件并使其流行的域无法被欺骗。成功的 DMARC 实施可以阻止试图伪装成来自经过验证的组织的恶意电子邮件。根据配置，未通过合法性测试的电子邮件可能会被标记为垃圾邮件或被阻止。 据这些机构称，朝鲜黑客的目标是配置不当的 DMARC 设置，使他们的电子邮件看起来像是来自合法域的电子邮件，从而使他们能够伪装成与朝鲜政策圈有可靠联系的专家或学者。这些机构跟踪的活动从 2023 年底到 2024 年初。 在咨询报告的一个示例中，攻击者向受害者提供演讲费，作为让他们打开电子邮件的一种方式。一些电子邮件显示，有证据表明朝鲜黑客能够访问大学的合法电子邮件客户端来发送电子邮件。 大多数其他电子邮件都欺骗了合法记者的姓名和真实的电子邮件域，由于组织没有任何 DMARC 政策，因此仍然能够进入收件箱。 这些机构表示：“朝鲜利用这些鱼叉式网络钓鱼活动来收集有关地缘政治事件、对手外交政策战略的情报，以及通过非法获取目标私人文件、研究和通信来影响朝鲜利益的任何信息。” Kimsuky 是一个黑客组织，执法机构认为该组织由朝鲜侦察总局 (RGB) 内的第 63 研究中心运营。该组织的目标是“通过损害政策分析师和其他专家的利益，向朝鲜政权提供被盗数据和宝贵的地缘政治见解。” 黑客花时间研究受害者并定制鱼叉式网络钓鱼电子邮件，以“显得更加真实，对目标更有吸引力”。据美国机构称，他们经常使用以前被入侵的电子邮件帐户的邮件内容来增强其欺骗性电子邮件的真实性。 “除了令人信服的电子邮件信息外，Kimsuky 黑客组织还被发现创建虚假用户名并使用合法域名冒充受信任组织（包括智囊团和高等教育机构）的个人，以获取信任并与电子邮件收件人建立融洽关系。”该咨询报告说。 如果有人对一封电子邮件产生怀疑并检查了“回复”部分，它仍然看起来来自合法域。 在美国或韩国从事朝鲜、亚洲、中国和/或东南亚事务的任何人都应该留意这些电子邮件，尤其是政府官员和军人。 该建议警告人们警惕那些最

研究人员发现 20 个安全漏洞与部署的谷歌 Android 操作系统有关。小米公司一周内修复了这些漏洞，用户应尽快更新手机系统。 网络安全研究人员表示，小米智能手机存在的安全缺陷，可能会让黑客窃取密码并危及社交媒体帐户。 发现这些漏洞的移动安全初创公司 Oversecured 的创始人谢尔盖·托辛 (Sergey Toshin) 表示，这些缺陷影响了小米设备上运行的多种软件，从设置应用程序到蓝牙软件。 Toshin 告诉《福布斯》，最危险的缺陷可能会被滥用来授予攻击者“系统权限”，从而窃取用户密码并访问私人用户文件，Toshin 并不认为这些漏洞已被恶意黑客利用。 “小米需要在设备安全方面投入更多资源。”谢尔盖·托申 (Sergey Toshin) Oversecured 创始人表示。 如果黑客想要利用最严重的弱点，他们可能会尝试通过网络钓鱼或在 Google Play 等市场上推送恶意应用程序，在小米手机上安装恶意应用程序。 Toshin 表示，黑客可以使用该应用程序来利用其中一个弱点，并执行诸如拦截受害者的社交网络消息、获取用户联系人以及收集有关其连接的蓝牙设备的信息等操作。 Oversecured 上周在小米 13 Ultra 上测试后向小米披露了这些缺陷。“我们相信每个设备都容易受到攻击，因为缺陷是固件的一部分。”Toshin 说。他表示，这家中国公司在一周内修复了这些漏洞。 他表示，如果小米作为其在 HackerOne 平台上运行的漏洞赏金计划的一部分，向黑客提供更大的奖励，也许能够避免重大问题。 根据 HackerOne 的数据，其平均支出在 80 至 100 美元之间，在过去 90 天内奖励黑客 2,600 美元。相比之下，谷歌在 2023 年向 Android 安全研究人员支付了340 万美元。 小米表示，该公司拥有“业界领先的安全团队”，并正在与谷歌和 Hackerone 合作“构建安全的 Android 系统”。Toshin 表示，小米目前的支出“明显低于谷歌”，并且“小米需要在其设备的安全性上投入更多资源。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/5KAWzpedfc3IkEXGKwP7yA 封面来源于网络，如有侵权请联系删除

北约和欧盟谴责与俄罗斯有关的威胁组织APT28（又名“森林暴雪”、“ Fancybear ”或“ Strontium ”）针对欧洲国家开展的网络间谍活动。 本周，德国联邦政府以最强烈的措辞谴责 APT28 组织针对德国社会民主党执行委员会开展的长期间谍活动。 “联邦政府针对此次活动的国家归因程序得出的结论是，在相对较长的一段时间内，网络攻击者 APT28 利用了 Microsoft Outlook 中当时尚未识别的关键漏洞来危害众多电子邮件帐户。”德国联邦监管局发布的公告中说。 自 2022 年 4 月以来，APT28 利用 0day 漏洞 CVE-2023-23397 对欧洲实体进行攻击。这个与俄罗斯相关的 APT 组织还针对北约实体和乌克兰政府机构。 CVE-2023-23397漏洞是一个 Microsoft Outlook 欺骗漏洞，可导致身份验证绕过。 2023 年 12 月，Palo Alto Networks 的 Unit 42 研究人员报告称，APT28组织 在针对欧洲北约成员国的攻击中利用了 CVE-2023-23397 漏洞。 专家们强调，在过去 20 个月中，APT黑客针对了 14 个国家的至少 30 个机构，这些机构可能对俄罗斯政府及其军队具有战略情报意义。 2023 年 3 月，Microsoft 发布了调查利用已修补的 Outlook 漏洞（跟踪为CVE-2023-23397 ）的攻击指南 。 在微软威胁情报于 2023 年底发现的攻击中，攻击者主要针对美国、欧洲和中东的政府、能源、交通和非政府组织。 据Unit 42称，APT28于2022年3月开始利用上述漏洞。 “在此期间，Fighting Ursa 至少进行了两次利用此漏洞进行的活动，并且这些活动已被公开。第一次发生在 2022 年 3 月至 12 月期间，第二次发生在 2023 年 3 月。”Unit 42发布的分析报告这样描述。 “Unit 42 研究人员发现了第三个最近活跃的活动，其中 Fighting Ursa 也利用了此漏洞。该组织在 2023 年 9 月至 10 月期间开展了最近一次活动，目标是七个国家的至少 9 个组织。” 研究人员指出，在第二次和第三次活动中，攻击者继续使用众所周知的 Outlook 漏洞。这意味着这些行动所产生的访问和情报的好处被认为比被发现的潜在后果更重要。 目标清单很长，包括： 除乌克兰外，所

据 Google 旗下的 Mandiant 安全团队报道，伊朗网络间谍组织 APT42 在最近针对非政府组织、政府和政府间组织的攻击中一直使用两个新的后门。 APT42 也被追踪为 Calanque 和 UNC788，至少自 2015 年以来一直活跃，据信它代表伊斯兰革命卫队 (IRGC) 运作，该组织是伊朗情报机构的一部分。 据观察，该组织以西方和中东国家的学术界、活动人士、法律服务机构、媒体组织和非政府组织为目标，通常依靠社会工程计划，冒充记者和活动组织者来获取受害者的信任。 APT42 使用从受害者那里获取的凭据来访问云环境并窃取感兴趣的数据，并依靠开源工具和内置功能来避免检测。 通过深入研究该组织的活动，Mandian 发现了三个基础设施集群，这些基础设施用于针对政府部门、记者、非政府组织和活动人士的广泛凭证收集活动。 第一个集群伪装成媒体组织和非政府组织，自 2021 年以来一直活跃，其目标是记者、地缘政治实体和研究人员，其虚假新闻文章的链接被重定向到 Google 登录网络钓鱼页面。 第二个集群自 2019 年以来一直活跃，冒充合法服务，以研究人员、记者、非政府组织和活动人士为目标，提供活动邀请或托管在云基础设施上的合法文档，要求用户提供登录凭据。 第三个集群自 2022 年以来一直活跃，冒充非政府组织、Bitly URL 缩短服务和“Mailer Daemon”，目标是与美国和以色列的学术、国防和外交问题相关的实体，并提供邀请函和合法文件的链接。 此外，在 2022 年和 2023 年，APT42 在获取受害者凭据并通过推送通知绕过多重身份验证 (MFA) 后，从美国和英国的法律服务实体和非政府组织的 Microsoft 365 环境中窃取了感兴趣的文档。 在最近的攻击中，网络间谍组织部署了 Nicecurl 和 Tamecat 定制后门，针对与伊朗和中东问题相关的非政府组织、政府或政府间组织进行攻击。 Nicecurl 用 VBScript 编写，可以在受感染的计算机上放置其他模块，包括一个用于数据收集的模块和另一个用于执行任意命令的模块。2024 年 1 月和 2 月，APT42 冒充中东研究所和美国智库传播后门。 Tamecat 是一种能够执行 PowerShell 和 C# 内容的 PowerShell 工具，通过带有恶意宏的文档进行分发。 “尽管以色列与哈马斯的战争导致其他与伊朗有联系的行

微软推出了一套安全DNS框架——零信任DNS(ZTDNS)，企业可在Windows网络内部锁定域名解析。 微软的零信任DNS能否破除困扰企业数十年的DNS安全悖论？它会给企业带来新的麻烦吗？ 长期以来，将人类可读的域名网址转换为数字IP地址的DNS服务存在着巨大安全风险，因为域名解析过程很少采用端到端加密。提供域名解析的服务器会为几乎任何IP地址（即使是已知的恶意地址）进行解析。许多终端用户设备的DNS配置也很容易被篡改成恶意服务器。 为了治理DNS顽疾，上周五微软推出了一套安全DNS框架——零信任DNS(ZTDNS)，企业可在Windows网络内部锁定域名解析。该框架的两个主要功能是： 终端用户客户端和DNS服务器之间采用加密和密码身份验证的连接。 管理员可以严格限制这些服务器所能解析的域名。 破解 DNS 安全悖论 DNS之所以成为网络安全最顽固雷区之一，主要原因之一是存在一个安全悖论：在DNS解析中实施加密和身份验证会降低管理员的可见性，（无法看到和组织用户设备连接恶意域名或检测网络内异常行为）。因此，DNS流量要么以明文形式发送，要么以允许管理员在传输过程中解密的方式进行加密，这实质上是一种中间人攻击。 管理员经常面临以下两难选择： 要么以明文形式路由DNS流量，服务器和客户端设备之间无法相互进行身份验证，因此恶意域名可以被屏蔽，并且网络监控成为可能。 要么加密和验证DNS流量，并放弃对域名的控制和网络可见性。 微软的ZTDNS通过将Windows DNS引擎与Windows筛选平台（Windows防火墙的核心组件）直接集成到客户端设备中来解决这个存在了数十年的互联网安全问题（矛盾）。 咨询公司Hunter Strategy的研究和开发副总裁Jake Williams表示，这种引擎结合可以对Windows防火墙进行以域名为基础的更新。这产生一种机制，可让企业系统管理员将客户端DNS配置为：“只使用我们的DNS服务器，该服务器使用TLS，并且只解析某些域名”。微软将这种DNS服务器称为“保护性DNS服务器”。 默认情况下，防火墙会拒绝解析允许列表（白名单）中列出的域名之外的其他所有域名的解析。单独的允许列表将包含客户端运行授权软件所需的IP地址子网。网络安全专家Royce Williams将其称为“防火墙层的一种双向API，用户可以同时触发防火墙操作（通过输入‘到防火墙’），并根据防火墙状态触发外部操作（输

英国最近通过了一项具有里程碑意义数据安全法案，禁止使用容易被猜到的弱密码，这是全球首部明令禁止弱密码的法案，覆盖广大消费者和设备制造商，有望推动全球性的安全意识和安全文化提升。 密码不得少于 12 个字符 该法案已经生效，所有在线实体，包括服务、组织和个人，均被禁止使用诸如“12345”、“qwerty”和“admin”等易于预测的密码。英国政府强制规定，如果在创建账户过程中尝试使用此类弱密码，将被提示选择更安全的密码。 易于猜解的弱密码极易受到攻击，黑客经常利用自动化工具针对弱密码发起攻击。为了应对这一漏洞，英国政府编制了一个全面的弱密码禁用列表，被禁止的密码包括常用短语，例如“123456”、“password”、“qwerty”、“123456789”，以及足球相关术语（例如“arsenal”、“Liverpool”、“Chelsea”）和知名人士姓名（例如贝克汉姆“David Beckham”）。 此外，法案还要求智能设备制造商在用户首次启动设备时要求其更改密码，或使用安全且长度为12-15个字符的密码来保护消费者免受密码攻击。 这项将于2024年4月29日开始强制执行的法案使英国站在了全球网络安全意识和文化倡导者的前列。值得注意的是，智能互联设备（包括智能手机、智能门铃、联网电视和其他技术先进的小工具）的制造商将被强制执行严格的密码策略，从而提高整体的网络安全韧性。 不仅仅是密码 网络安全业界对该法案普遍持支持态度，安全专家强烈建议个人采取强密码安全措施，以有效降低安全风险。这包括采用至少15-18个字符长度的密码，并确保密码的复杂性和唯一性以阻止潜在的黑客攻击。利用密码管理器工具可以简化密码管理，减轻记忆负担并增强整体安全态势。 此外，实施多因素认证(MFA)可提供额外的安全保障，进一步保护账户免遭非法访问。 最后，保持警惕至关重要，用户在遇到可疑链接或要求输入账号密码的网站时应格外谨慎。验证此类请求的真实性可以防止成为网络钓鱼攻击和数据泄露的受害者。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16272.html 封面来源于网络，如有侵权请联系删除

过去十年中，美国海陆空三军的关键作战平台以及涉密系统大量采购并使用了质量低劣、故障频发的假冒伪劣思科路由器设备，是美国军方近年来曝光的最为严重的网络安全危机事件。 美国司法部(DOJ)上周四宣布，佛罗里达州居民 OnurAksoy（又名Ron Aksoy和Dave Durden）因售卖假货被判处 78 个月监禁。Aksoy 通过销售假冒（思科）网络设备非法获利 1 亿美元，并危及美国军方的网络安全。 Aksoy 于 2022 年 6 月 29 日在迈阿密被逮捕，并于同日被指控贩运假冒商品、实施邮件欺诈和电信欺诈等多项罪名，2023 年 6 月 5 日 Aksoy 对起诉书中的两项罪名供认不讳。 2024 年 5 月 1 日，Aksoy 被美国法院判处 78 个月监禁，宣判结果还包括向思科支付 1 亿美元的赔偿金、4 万美元的罚款以及三年的监管释放期。美国司法部表示，Aksoy 还需在法院未来确定的日期向其他受害者支付一笔金额。 根据起诉书，Aksoy 大约从 2013 年 8 月开始策划售假骗局，一直持续到至少 2022 年 4 月。 Aksoy 使用了至少 19 家公司和约 15 个亚马逊商店、10 个 eBay 店铺以及直接销售渠道（统称为 Pro Network Entities）来销售数万台计算机网络设备。他从中国大陆和中国香港进口二手和报废产品，并使用假冒的思科包装、标签和文件将它们伪造成全新正品出售。根据起诉书，按照正品价格计算，这些假货的总售价将超过 10 亿美元。 进货成本只有正品的 2% 根据美国司法部的起诉书，Aksoy 售卖的大部分“欺诈性产品”确实是思科产品，但通常是二手翻新产品（“较旧、较低型号或更便宜的思科产品，其中一些已经售出或被丢弃”）。 Aksoy 以正品 2-5% 的价格大量采购二手思科产品甚至报废产品，然后改装翻新，以次充好（冒充更高级别产品）。具体方法包括使用盗版软件和“未经授权、低质量和不可靠的组件”对硬件进行改装，其中一些组件可以骗过软件许可和设备真伪检查方法。此外，Aksoy 还涉及制造假产品序列号，这些序列号通常是以前使用过的思科序列号。 根据起诉书，Aksoy 将这些破解和翻新过的设备以低于正品厂商建议零售价 60% 至 88% 的超低折扣价进行销售。 假冒伪劣思科设备充斥美国空军、陆军和海军关键基础设施 美国国防部政府官员证实，由于美国军方从 Aksoy 大量采

近日，研究人员披露了一个名为“Dirty Stream”的严重安全漏洞，该漏洞可能影响几款下载总量数十亿的 Android 应用程序。 微软威胁情报团队成员 Dimitrios Valsamaras 在一份报告中声明，黑客可以利用该安全漏洞，执行任意代码以及盗取令牌。一旦成功利用漏洞，黑客就可以完全控制应用程序的“行为”，并利用窃取的令牌在未经授权的情况下访问受害者的在线账户和其他数据。 这一安全漏洞可能会给大量设备带来威胁风险， Google Play 商店中目前已经发现了几个易受攻击的应用程序，这些应用程序的总安装量超过了 40 亿，其中受该安全漏洞影响程度最大的两个应用程序如下： 小米文件管理器 (com.mi. Android.globalFileexplorer) -，安装量超过 10 亿次 WPS Office (cn.wps.moffice_eng) -，安装量超过 5 亿次 安卓系统通过为每个应用程序分配专用的数据和内存空间来实现隔离，并以安全的方式促进应用程序之间的数据和文件共享。但实施过程中的疏忽可能会导致绕过应用程序主目录内的读/写限制。 Valsamaras 表示，这种基于内容提供商的模式提供了一种定义明确的文件共享机制，使服务应用程序能够以安全的方式与其他应用程序共享文件，并进行细粒度控制。 然而，在执行的过程中，经常遇到消费应用程序并不验证其接收到的文件内容，而且最令人担忧的是，它使用服务应用程序提供的文件名将接收到的文件缓存在消费应用程序的内部数据目录中。当服务应用程序为了实现应用程序之间的文件共享而声明恶意版本的 FileProvider 类时，这一“陷阱”可能会造成严重后果，最终导致消费应用程序覆盖其私有数据空间中的关键文件。 换句话说，该机制利用了消费应用程序盲目信任输入这一事实，通过自定义、明确的意图，在用户不知情或未经用户同意的情况下发送带有特定文件名的任意有效载荷，从而导致代码执行。 这时候，威胁攻击者就可以覆盖目标应用程序的共享首选项文件，使其与受其控制的服务器通信，从而外泄敏感信息。另一种情况是应用程序从自己的数据目录（而不是”/data/app-lib”）加载本地库，在这种情况下，恶意应用程序可以利用上述漏洞，在加载本地库时用恶意代码覆盖该库并执行。 值得一提的是，在接到安全漏洞披露通知后，小米和 WPS Office 均已于 2024 年 

1.环境 ubuntu1~16.04.12pwndbgpython 2.目标 不通过确认libc版本，使用DynELF暴力搜找到system 获取shell 3.DynELF的限制 https://blog.csdn.net/ATFWUS/article/details/10482 ...

KiSystemStartup是内核模块nt 的入口函数，如果想调试此函数单单用windbg Vmware是实现不了的（或者我不知道实现方法）。下面我将介绍一下用ida的GDB调试功能结合windbg的调试器共同实现对KiSystemStartup的调试方法。（只针对X64的环境） 粗体文本 粗体文 ...

前言 Error Fold Allocations in VisitFindNonDefaultConstructorOrConstruct 这个漏洞发生在 MaglevGraphBuilder::VisitFindNonDefaultConstructorOrConstruct 函数中，考虑之前 ...

Offensive security drives defensive security. We're sharing a collection of SaaS attack techniques to help defenders understand the threats they fa…

在做测试的过程中，拿到的shell通常都是低权限的。如果想要进一步的进行操作，不可避免的要进行提权操作，将shell权限提升至root。本篇...

序言 这道题网上很多分析，但是分析的都是arm版本的，我选了arm64的来分析，arm64相比arm难度高一些，因为arm64编译器搞了inline优化，看起来略抽象 分析 这道题逻辑很简单，输入flag然后一个check函数验证，check函数是c层的，但是arm32和arm64差别很大，给 ...

本系列文章为看雪星星人为看雪安全爱好者创作的原创免费作品。欢迎评论、交流、转载，转载请保留看雪星星人署名并勿用于商业盈利。本人水平有限，错漏在所难免，欢迎批评指正。第3章 微过滤驱动与模块执行防御(下)3.3 利用微过滤捕获文件改名&amp ...

说明：本篇文章成型很久，现在已退役，后期完善不足，各位师傅将就看吧 0.开篇 栈迁移，也叫伪造栈帧，栈翻转（不相同，是栈迁移的一种形式），我本人更倾向属于伪造栈帧(fake frame) 这种叫法，这种更为科学，只是我最早的时候是叫栈迁移，习惯了就叫栈迁移了。 栈迁移，其实就是利用leave, ...

学习一下利用修改物理内存来跨进程内存读写 系统：win10 21h1 x64 编译环境: vs2022 详情见附录 基础 虚拟地址转物理地址 虚拟地址也称线性地址，一个线性地址 进程的DirBase地址可以转换成物理地址。先来看线性地址的含义 在x64体系中只实 ...

Python OpenCV 过点击式和滑动式图形验证码的校验 背景 最近在给一个app抓包的时候发现App在特定时间会弹出验证码，验证之后会给一个token，需要携带token才能发起能正常请求。 文章源码地址：点击查看 验证码如下： 背景图 目标图 ...

🖥️ macOS status monitoring app written in SwiftUI.