Hello Hacking8!

Spring4Shell and Veeam RCE exploit topped the list in Q1 2022
Spring4Shell 和 Veeam RCE 开发在2022年第一季度位居榜首

Multiple PHP remote file inclusion vulnerabilities in Advanced Comment System 1.0 allow remote attackers to execute arbitrary PHP code via a URL in the ACS_path parameter to (1) index.php and (2) admin.php in advanced_comment_system/. NOTE: this might only be a vulnerability when the administrator has not followed installation instructions in install.php. NOTE: this might be the same as CVE-2020-35598.
[GitHub]PoC Advanced Comment System 1.0 - Remote Command Execution (RCE)
高级注释系统1.0中的多个 PHP 远程文件包含漏洞允许远程攻击者通过 ACS _ path 参数中的 URL 执行任意的 PHP 代码到(1) index.PHP 和(2) Advanced _ comments _ System/中的 admin.PHP。注意: 只有当管理员没有遵循 install.php 中的安装说明时，这才可能是一个漏洞。注意: 这可能与 CVE-2020-35598相同。
[ GitHub ] PoC 高级评论系统1.0-远程命令执行(RCE)

[GitHub]PoC Advanced Comment System 1.0 - Remote Command Execution (RCE)
[ GitHub ] PoC 高级评论系统1.0-远程命令执行(RCE)

This release upgrades Burp's browser to Chromium 104.0.5112.101, which patches a critical security issue.
这个版本将 Burp 的浏览器升级到 Chromium 104.0.5112.101，它修补了一个关键的安全问题。

落选的总统候选人奥廷加的首席代理人谴责道，他们有情报显示IEBC的系统被渗透和黑客攻击，一些IEBC官员实际上犯下了选举罪，他们应当被逮捕。

Java JsonPath implementation

React 是一个由 Facebook 开源的、可以在任意平台上构建 UI 的 JavaScript 库。在 React 中，一个常见的 Pattern 是使用 useEffect 搭配 useState 发送请求、将状态从 API（React 外部）同步到 React 内部、用于渲染 UI，这篇文章恰恰在向你介绍为什么你不应该直接这么做。

#免杀 api hashing library development by c http...

#免杀 免杀练习题 1. 学会理解Windows日志 2. 学会Powershell混淆 3. 找到被杀点。 4. AMS...

A rule-based tunnel in Go.

在上有法规约束，下有企业业务保障所需的双重驱动下，应该如何做好数据安全运营？

SWF file reverse engineering tools

FFFFFFFF0X team toolset for penetration testing, cryptography research, CTF and daily use. | FFFFFFFF0X团队工具集，用来进行渗透测试，密码学研究，CTF和日常使用。

#推荐 #VulDig Dll SideLoading 辅助“挖掘”工具推荐 这次下线沙龙上，再讲自动化查找Dll劫持（白+黑）的时候，我提到了一个辅助工具。但这个工具功能相对单一，可扩展性也不高。而WFH工具，可能有人听说或者用过了。它的实现相对来说更加复...

Hackernews 编译，转载请注明出处： 被称为Bumblebee的恶意软件加载程序越来越多地被与BazarLoader、TrickBot和IcedID相关的黑客利用，来破坏目标网络，进行开发后的活动。 Cybereason研究人员Meroujan Antonyan和Alon Laufer在一篇技术文章中说： “Bumblebee操作员进行密集的侦察活动，并将执行命令的输出重定向到文件中进行过滤。” Bumblebee于2022年3月首次曝光，当时谷歌的威胁分析小组揭露了一个名为Exotic Lily的初始访问经纪人的活动，该经纪人与TrickBot和更大的Conti组织有联系。 通常通过鱼叉式网络钓鱼活动获得的初始访问权限交付，此后，这种操作方式得到了调整，避开使用带有宏的文档，转而使用ISO和LNK文件，主要是为了响应微软默认阻止宏的决定。 研究人员说：“恶意软件的传播是通过钓鱼电子邮件来完成的，该邮件带有附件或指向包含Bumblebee的恶意档案的链接。初始执行依赖于最终用户的执行，最终用户必须提取存档，挂载ISO映像文件，并单击Windows快捷方式(LNK)文件。” LNK文件就其本身而言，包含启动Bumblebee加载程序的命令，然后将其用作下一阶段操作（如持久性、权限升级、侦察和凭据盗窃）的管道。 攻击期间还使用了Cobalt Strike对手模拟框架，该框架在受感染端点上提升权限后，使黑客能够在网络中横向移动。持久性是通过部署AnyDesk远程桌面软件实现的。 在Cybereason分析的事件中，一名高权限用户的被盗凭据随后被用来控制Active Directory，更不用说创建一个本地用户帐户来进行数据泄露。 消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

请教各位老师一个问题：遇到一个可以上传任意文件的场景，但是存在imagick压缩转化文件，因为上传的文件必须...

基于 eBPF 和非监督学习 Autoencoders 的进程异常行为检测

利用 Google Translate 绕过钓鱼检测

思科被黑事件中收集的日志的分析

基于 SSH SSHFP records 的大规模指纹分析

SilentHound是一款针对活动目录域安全的检测工具，该工具可以通过LDAP解析用户、管理员和组信息，并以此来在后台悄悄枚举活动目录域。

Equation Editor in Microsoft Office 2007, Microsoft Office 2010, Microsoft Office 2013, and Microsoft Office 2016 allows a remote code execution vulnerability due to the way objects are handled in memory, aka "Microsoft Office Memory Corruption Vulnerability".
[GitHub]CVE-2018-0798复现
Microsoft Office 2007、 Microsoft Office 2010、 Microsoft Office 2013和 Microsoft Office 2016中的方程编辑器允许由于对象在内存中的处理方式而导致的远程代码执行漏洞，即“ Microsoft Office 内存损坏漏洞”。
CVE-2018-0798复现

Pwn2Own 2022 Mozilla Firefox renderer CVE-2022-1802 原型链污染漏洞分析

PXEThief - 利用 Windows 的终端部署功能 SCCM 导出密码

科学的运用提取和证明方法，对从电子数据源提取的证据进行保护、收集、验证、鉴定、分析、解释、存档和出示，以有助于进一步的犯罪事件重构或帮助识别某些计划操作无关的非授权性活动。

[GitHub]CVE-2018-0798复现

作者： rebeyond 原文链接：https://mp.weixin.qq.com/s/xxaOsJdRE5OoRkMLkIj3Lg 回顾 2018年，《利用“进程注入”实现无文件复活 WebShell》一文首次提出memShell（内存马）概念，利用Java Agent技术向JVM内存中植入webshell，并在github上发布memShell项目。项目中对内存马的植入过程比较繁琐，需...

作者： rebeyond
原文链接：https://mp.weixin.qq.com/s/xxaOsJdRE5OoRkMLkIj3Lg
回顾
2018年，《利用“进程注入”实现无文件复活 WebShell》一文首次提出memShell（内存马）概念，利用Java Agent技术向JVM内存中植入webshell，并在github上发布memShell项目。项目中对内存马的植入过程比较繁琐，需...

在上有法规约束，下有企业业务保障所需的双重驱动下，应该如何做好数据安全运营？

Hackernews 编译，转载请注明出处： 谷歌宣布已阻止有史以来最大的HTTPs DDoS攻击，该攻击达到每秒4600万次请求（RPS）。 攻击发生在6月1日9:45，它以每秒10000多次请求（rps）开始，目标是客户的HTTP/S负载均衡器。八分钟后，攻击速度增至每秒100000次请求，两分钟后达到4600万次。DDoS攻击持续了69分钟。 该公司指出，每秒请求量至少比之前的记录高出76%，该记录在6月被Cloudflare阻止，达到2600万RPS。 谷歌表示：“这是迄今为止报告的最大的第7层DDoS攻击，比之前报告的记录至少大76%。此次攻击的规模就像在10秒内接受维基百科（世界上十大流量网站之一）的所有日常请求一样。” 专家报告称，该攻击来自132个国家的5256个源IP，前4个国家贡献了总攻击流量的约31%。 大约22%（1169）的源IP对应于Tor出口节点，但专家指出，来自这些节点的请求量仅占攻击流量的3%。 “虽然我们认为由于易受攻击的服务的性质，Tor参与攻击是偶然的，但即使在峰值的3%（超过130万rps），我们的分析表明，Tor出口节点可以向web应用程序和服务发送大量不受欢迎的流量。”报告继续说道。 此次攻击涉及的不安全服务的地理分布和类型表明，它是由Mēris僵尸网络发起的。 “攻击在谷歌网络的边缘被阻止，恶意请求从客户的应用程序上游被阻止。在攻击开始之前，客户已经在其相关的Cloud Armor安全策略中配置了Adaptive Protection，以了解并为其服务建立正常流量模式的基线模型。”专家总结道。“因此，Adaptive Protection能够在其生命周期的早期检测到DDoS攻击，分析其传入流量，并使用推荐的保护规则生成警报——所有这些都在攻击升级之前完成。客户通过部署推荐的规则，利用Cloud Armor最近推出的速率限制功能来限制攻击流量，从而对警报采取行动。”   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

EDR 检测机制以及用 EDRSandblast 工具逃逸 EDR 的检测

文件描述符和文件数据结构相关的安全漏洞研究

Browser-Powered Desync Attacks: A New Frontier in HTTP Request Smuggling

DirtyCred - 利用 Kernel Credentials Swap 实现提权的利用方法

身份和访问管理是什么？关于这个问题，Gartner Information Technology Glossary中给出了关于IAM的定义：“Identity and access management (IAM) is the discipline that enables the right individuals to access the right resources at the right times for the right reasons”。

Conti Locker source code

A powerful little TUI framework 🏗

360-CERT每日安全简报

A component library for developing interactive CLI(tui,terminal) programs.

Monitor for displaying process traffic on Mac Status bar

Lightweight clipboard manager for macOS

安全内参8月18日消息，微软官方宣布，在过去12个月中（2021.7-2022.6），他们通过漏洞奖励计划支付了1370万美元（约9299万元）奖金。 作为全球知名科技巨头，微软公司目前拥有17个漏洞奖励计划，广泛涵盖服务、桌面应用程序与操作系统、机密级虚拟化解决方案等资产，甚至还专门为ElectionGuard开源软件开发工具包（SDK）设置了相应项目。 如果能发现Hyper-V中的远程代码执行、信息泄露或拒绝服务（DoS）之类的严重漏洞，参与微软漏洞奖励计划的安全研究人员最高可以拿到25万美元的高额奖金。 事实上，微软在2021年7月1日到2022年6月30日期间，发出的最大单笔奖金达到20万美元，奖励的是Hyper-V虚拟机管理程序中的一个严重漏洞。 在这12个月中，共有超过330名安全研究人员通过微软漏洞奖励计划拿到了奖金，平均每个漏洞的奖金超过12000美元（约8.5万元）。 图：参与微软漏洞奖励计划的研究人员地理分布 微软公司表示，他们正根据研究人员的反馈改进现有漏洞奖励计划。今年，该公司还打算进一步引入新的研究挑战和高影响攻击场景。 新增及更新内容将包括Azure SSRF挑战赛，Edge奖励计划纳入Android与iOS平台版本，将本地Exchange、SharePoint及Skpye for Business纳入多个漏洞奖励计划，并为Azure、M365、Dynamics 365以及Power Platform等奖励计划添加高影响攻击场景。 微软公司总结道，“将这些攻击场景引入Azure、Dynamics 365、Power Platform以及M365奖励计划，将帮助我们把研究重点集中在影响最大的云漏洞上，具体涵盖Azure Synapse Analytics、Key Vault及Azure Kubernetes服务等领域。” 转自 安全内参，原文链接：https://www.secrss.com/articles/45997 封面来源于网络，如有侵权请联系删除

通过使用微软的名字来欺骗潜在的受害者在技术支持骗子的名单上总是名列前茅。FBI最近的一份报告指出，这些骗局仍相当活跃，即使在今天也是如此。在日前的一篇报道中，Sky News称其被发送了一个带有微软品牌的欺诈性USB驱动器。它们是由来自Atheniem的网络安全顾问Martin Pitman发现的。 据悉，该驱动器被包装在一个Office 2021 Professional Plus的盒子内，这表明骗子在制作这些东西时花了一些好时间并还花了一些钱。 假Office 2021照片 当目标将U盘插入他们的电脑之后，一条假的警告信息就会弹出，告知用户他们的系统中存在病毒并提示受害者拨打技术支持电话，这显然是骗子使用的号码。然后，骗子要求受害者安装一个远程访问程序来接管系统。 微软发言人就这一案件向Sky News发表了以下声明：“微软致力于帮助保护我们的客户。我们有在采取适当的行动一从市场上清除任何可疑的无证或假冒产品并追究那些针对我们客户的责任。” 这家科技公司非常了解这种骗局并向用户们提供了一个支持页面。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1305999.htm 封面来源于网络，如有侵权请联系删除

Java 1-15 Parser and Abstract Syntax Tree for Java, including preview features to Java 13

6月29日，Atlassian官方发布安全公告，在Atlassian Jira 多款产品中存在服务端请求伪造漏洞(SSRF)。

有朝鲜背景的黑客组织 Lazarus 使用适用于 macOS 系统的经过签名的恶意可执行文件，冒充 Coinbase 招聘信息并吸引金融技术领域的员工。Lazarus 组织此前就曾使用虚假的工作机会做诱饵，而在近期的恶意活动中，该机构使用包含 Coinbase 职位详细信息的 PDF 文件进行传播。 这个虚假的招聘信息文档叫做“Coinbase_online_careers_2022_07”。当用户点击之后，就会显示上图这样的诱饵 PDF 文件，然后就会调用恶意 DLL，最终允许威胁攻击者向受影响的设备发送命令。 ESET 的网络安全专家表示黑客已经做好攻击 macOS 系统的准备了。专家表示 Intel 和 Apple Silicon 的 Mac 均会受到影响，意味着无论新旧设备都可以成为黑客的攻击目标。 在 Twitter 上的一份帖子中，该恶意文件会释放 3 个文件 ● 捆绑的 FinderFontsUpdater.app ● 下载器 safarifontagent ● 一个称之为 “Coinbase_online_careers_2022_07”的诱饵 PDF 文件。 ESET 将最近的 macOS 恶意软件与 Operation In(ter)ception 联系起来，后者也被认为是 Lazarus 的手笔，以类似的方式攻击知名航空航天和军事组织。 查看 macOS 恶意软件，研究人员注意到它是在 7 月 21 日签署的（根据时间戳值），并在 2 月份向开发人员颁发了证书，该证书使用名称 Shankey Nohria 和团队标识符 264HFWQH63。 8 月 12 日，该证书尚未被 Apple 吊销。但是，该恶意应用程序并未经过公证，这是Apple 用于检查软件是否存在恶意组件的自动过程。 与之前归因于 Lazarus 黑客组织的 macOS 恶意软件相比，ESET 研究人员观察到下载器组件连接到不同的命令和控制 (C2) 服务器，该服务器在分析时不再响应。长期以来，朝鲜黑客组织与加密货币黑客以及在旨在感染感兴趣目标的网络钓鱼活动中使用虚假工作机会有关。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1305963.htm 封面来源于网络，如有侵权请联系删除

研究人员在英特尔 CPU 中发现了一个名为 ÆPIC 的新漏洞，该漏洞使攻击者能够从处理器中获取加密密钥和其他机密信息。ÆPIC 泄漏( CVE-2022-21233 ) 是第一个架构上的CPU 错误，它可能导致敏感数据泄露并影响大多数第 10 代、第 11 代和第 12 代 Intel CPU。 ÆPIC Leak 适用于基于 Ice Lake、Alder Lake 和 Ice Lake SP 的最新 Intel CPU，并且不依赖于启用的超线程。 英特尔发布的公告：“某些英特尔® 处理器中的潜在安全漏洞可能允许信息泄露。英特尔正在发布固件更新以解决此潜在漏洞。” “某些英特尔(R) 处理器中共享资源的不当隔离可能允许特权用户通过本地访问潜在启用信息泄露。” 该漏洞的发现是罗马第一大学、格拉茨科技大学、亚马逊网络服务和 CISPA 亥姆霍兹信息安全中心的研究人员进行的研究的结果。 与Meltdown 和 Spectre不同，ÆPIC Leak 是一个架构漏洞，这意味着敏感数据会在不依赖侧信道攻击的情况下被泄露。 研究人员说：“ÆPIC Leak 就像在 CPU 本身中读取的未初始化内存。访问 APIC MMIO 需要特权攻击者（管理员或 root）。因此，大多数系统都不会受到 ÆPIC 泄漏的影响。然而，依靠 SGX 保护数据免受特权攻击者的系统将面临风险，因此必须进行修补。” CVE-2022-21233问题存在于高级可编程中断控制器 ( APIC ) 中，负责接受、确定优先级并将中断分派给处理器。 “基于 Sunny Cove 微架构的英特尔 CPU 上的 I/O 地址空间扫描显示，本地高级可编程中断控制器 (APIC) 的内存映射寄存器未正确初始化。因此，从架构上读取这些寄存器会返回来自微架构的陈旧数据。由于只有特权软件才能访问 I/O 地址空间，ÆPIC Leak 的目标是英特尔的 TEE、SGX。ÆPIC Leak 可能会从运行在同一物理内核上的 SGX enclave 泄露数据。虽然 ÆPIC Leak 会在虚拟化环境中构成巨大威胁，但管理程序通常不会将本地 APIC 寄存器暴露给虚拟机，从而消除了基于云的场景中的威胁。” 专家们使用 100 个不同的随机密钥测试了 ÆPIC Leak 问题，并试图通过一次攻击来泄露 AES 密钥。结果是完整的密钥恢复平均需要 1.35 秒 （n = 100，σ =

A database toolkit

A modern, portable, easy to use crypto library.