Hello Hacking8!

IW Weekly #17: $30,000 Bounty, Instagram Account Takeover, AWS Security Series, Google Authenticator, IDOR, and much more…
Hey 👋
Welcome to the seventeenth edition of Infosec Weekly — the Monday newsletter that brings the best in Infosec straight to your inbox.
So many new things are happening in the cybersecurity world that it’s difficult to keep up!
We’ve done all the hard work for you by selecting the most top-notch Infosec stuff that caught our attention this week. The format is: 5 articles, 4 Threads, 3 videos, 2 Github repos and tools, 1 job alert to help you maximize the benefit from this newsletter and take a massive jump ahead in your career.
Excited? Let’s dive in👇
📝 5 Infosec Articles
#1 @Felix Alexander shares his brief research on how a third party application may affect an application that has a vulnerable security design, especially in Android.
#2 @TheSecopsgroup’s new blog discusses vulnerabilities arising from insecure access control such as Insecure Direct Object References (IDOR) with some 

2022年08月18日，360CERT监测发现 `Google Chrome` 发布了 `Google Chrome 远程代码执行` 的风险通告，漏洞编号为 `CVE-2022-2856` ，漏洞等级： `高危` ，漏洞评分： `8.8` 。

2022年08月18日，360CERT监测发现 `Google Chrome`    发布了 `Google Chrome 远程代码执行`    的风险通告，漏洞编号为 `CVE-2022-2856`    ，漏洞等级： `高危`   ，漏洞评分： `8.8`   。

Hackernews 编译，转载请注明出处： 网络安全公司卡巴斯基的最新发现显示，超过131万用户至少一次试图安装恶意或不需要的Web浏览器扩展。 该公司表示：“从2020年1月到2022年6月，超过430万独立用户受到隐藏在浏览器扩展中的广告软件的攻击，约占所有用户中受恶意和不需要的附加组件影响的70%。” 根据卡巴斯基的遥测数据，2022年上半年，多达1311557名用户属于这一类别。相比之下，这类用户的数量在2020年达到峰值3660236名，其次是2021年的1823263个独立用户。 最普遍的威胁是一系列称为WebSearch的广告软件，它伪装成PDF查看器和其他实用程序，并具有收集和分析搜索查询，以及将用户重定向到附属链接的功能。 WebSearch还因修改浏览器的起始页而闻名，该页面包含搜索引擎和许多指向第三方来源的链接，如AliExpress，当受害者点击这些链接时，会帮助扩展开发人员通过附属链接赚钱。 卡巴斯基指出：“此外，该扩展将浏览器的默认搜索引擎修改为search.myway[.]com，它可以捕获用户查询，收集并分析它们。根据用户搜索的内容，大多数相关的合作伙伴网站将在搜索结果中积极推广。” 第二组扩展涉及一种名为AddScript的威胁，该威胁以视频下载程序的名义隐藏其恶意功能。虽然附加组件确实提供了广告功能，但它们也旨在联系远程服务器以检索和执行任意JavaScript代码。 此外，还发现了FB Stealer等窃取信息的恶意软件，其目的是窃取登录用户的Facebook登录凭据和会话cookie。FB Stealer在2022年上半年造成了3077起独特的感染尝试。 该恶意软件主要针对搜索引擎上寻找破解软件的用户，FB Stealer通过名为NullMixer的特洛伊木马交付，该木马通过非官方破解软件安装程序传播，如SolarWinds Broadband Engineers Edition。 研究人员说：“FB Stealer是由恶意软件而不是由用户安装的，一旦添加到浏览器中，它就会模仿无害且外观标准的Chrome扩展程序Google Translate。” 这些攻击也是出于经济动机。恶意软件操作人员在获得身份验证cookie后，登录到目标的Facebook帐户，并通过更改密码来劫持该帐户，从而有效地锁定了受害者。然后，攻击者可以滥用访问权限向受害者的朋友要钱。 一个多月前，Zim

Yahoo’s second live hacking event with Intigriti is just around the corner. Without giving too much away, this exciting event will bring together a select group of Intigriti’s security researchers to work on a specific scope set out by the team at Yahoo.  To get a feel for what’s to come, Intigriti sat down with […]
The post Intigriti chats to Will Chilcutt of Yahoo’s Infosecurity team about their upcoming live hacking event  appeared first on Intigriti.
雅虎与 Intigriti 之间的第二次黑客事件即将上演。在不透露太多信息的情况下，这个令人兴奋的活动将汇集 Intigriti 安全研究人员精选小组，在雅虎团队设定的特定范围内开展工作。为了感受即将到来的一切，Intigriti 和[ ... ]一起坐了下来
Intigriti 网站上首次出现了雅虎信息安全团队的 Will Chilcutt 与 Intigriti 聊天的帖子，内容是关于即将到来的黑客活动。

IW Weekly #17: $30,000 Bounty, Instagram Account Takeover, AWS Security Series, Google Authenticator, IDOR, and much more…
Hey 👋
Welcome to the seventeenth edition of Infosec Weekly — the Monday newsletter that brings the best in Infosec straight to your inbox.
So many new things are happening in the cybersecurity world that it’s difficult to keep up!
We’ve done all the hard work for you by selecting the most top-notch Infosec stuff that caught our attention this week. The format is: 5 articles, 4 Threads, 3 videos, 2 Github repos and tools, 1 job alert to help you maximize the benefit from this newsletter and take a massive jump ahead in your career.
Excited? Let’s dive in👇
📝 5 Infosec Articles
#1 @Felix Alexander shares his brief research on how a third party application may affect an application that has a vulnerable security design, especially in Android.
#2 @TheSecopsgroup’s new blog discusses vulnerabilities arising from insecure access control such as Insecure Direct Object References (IDOR) with some 

横向移动三剑客 ( Lateral movement tools)

An exquisite dns&http log server for verify SSRF/XXE/RFI/RCE vulnerability

一款web扫描工具

科学的运用提取和证明方法，对从电子数据源提取的证据进行保护、收集、验证、鉴定、分析、解释、存档和出示，以有助于进一步的犯罪事件重构或帮助识别某些计划操作无关的非授权性活动。

可以帮助广大研究人员处理Linux系统事件日志，并对其进行后续处理，以便将日志应用到其他现代安全监控系统之中。

勒索软件 BlackByte 带着 2.0 版本回归了，并创建了一个新的数据泄露网站

新版风评简化了要素关系，只保留了资产、脆弱性、威胁、安全措施和风险要素。

安装burp证书，并抓取登录请求。

Bleeping Computer 网站披露，勒索软件 BlackByte 带着 2.0 版本回归了。新版本做了大量升级，主要包括利用从 LockBit 借来的新勒索技术，创建了一个新的数据泄露网站。 在短暂消失之后， BlackByte 勒索软件带着新版本重新出现在大众视野，目前正在黑客论坛上通过其控制的 Twitter 账户，积极宣传一个新数据泄露网站。 宣传新 BlackByte 数据泄露网站的推文 虽然尚不清楚该勒索软件的加密器是否发生了变化，但该团伙已经推出了一个全新的Tor 数据泄漏网站。 目前，数据泄露网站有了新勒索策略，允许受害者付费将其数据发布时间延长 24 小时（5000 美元），下载数据（200000 美元），或销毁所有数据（300000 美元），这些价格可能会根据受害者的规模/收入发生改变。 新的BlackByte 数据勒索方案（来源：BleepingComputer） 值得一提的是，网络安全情报公司 KELA 指出，BlackByte 的新数据泄露网站没有正确嵌入“客户 ”可以用来购买或删除数据的比特币和 Monero 地址，使得新的勒索方案看起来已经失效。 众所周知，新勒索技术出现的主要目的是让受害者支付费用以删除其数据，或者是让其他攻击者自愿购买这些数据。在 LockBit 发布其 3.0 版本时也引入了这些勒索手段，但是被当作了一种噱头，而不是可行的勒索手段。 BlackByte 是何方神圣？ 2021 年夏天，BlackByte 勒索软件开始活跃，当时其所属的黑客开始入侵企业网络，窃取数据并加密设备。BlackByte 以往的攻击事件中，最引人注目的当属针对美国国家橄榄球联盟 49 人队的网络攻击。 除此之外，这些攻击者利用漏洞入侵网络，并且过去曾利用 ProxyShell 攻击链入侵微软 Exchange 服务器。联邦调查局和特勤局的联合发布公告表示，该团伙还攻击包括政府设施、金融、食品和农业等在内的关键基础设施部门 2021 年，BlackByte 勒索软件中出现了一个可以创建免费 BlackByte 解密器的漏洞。不幸的是，漏洞被报告后，该团伙立即修复了漏洞。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342285.html 封面来源于网络，如有侵权请联系删除

根据身份盗用资源中心 (ITRC) 的数据，谷歌语音诈骗在 2021 年的身份相关欺诈案例中创下新纪录。这家非营利组织表示，在2021年它收到了 14,947 份来自消费者的报告，比 2020 年增加了 26%，这也是有史以来处理的最多的。在这些报告中，其中一半 (50%) 是诈骗案中的受害者：也就是说，他们与攻击者共享个人身份信息 (PII)。该组中超过一半 (53%) 包含 谷歌语音诈骗，使其成为今年最流行的欺诈类型。 欺诈者通常会寻找在网上销售商品的受害者。他们会向目标发送一个谷歌验证码并要求受害者分享该代码——表面上是为了验证他们是一个“真正的”卖家。实际上，如果受害者这样做，他们的电话号码将与一个新创建的欺诈性 Google Voice 帐户相关联，然后欺诈者就会利用该账户继续诈骗下一个目标。 在其他地方，ITRC记录的“身份滥用”事件增加了8%，共计4168起。其中五分之二(40%)与滥用金融账户有关，其中大多数与新账户欺诈(64%)有关，其余与接管账户(36%)有关。超过一半(55%)的身份滥用案例被记录为试图打开、访问或接管政府账户或申请福利，这无疑是受到美国COVID救济款项的流行的刺激。 这家非盈利机构还说，他们中的许多人都是社交媒体上有影响力的人，被诱骗参与了比特币投资骗局，又或者说他们可以增加自己的账户被Instagram验证的几率。在这两个案例中，他们都被要求提供细节，结果被锁定在他们的账户之外。所以ITRC首席执行官Eva Velasquez 将 2021年称为身份诈骗创纪录的一年，“由于身份欺诈的风险很高，所以采取保护措施很重要，比如冻结你的信用卡，在所有账户上使用12+字符的独特密码，以及忽略可疑信息等。” 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342245.html 封面来源于网络，如有侵权请联系删除

据The Hacker News报道，攻击者正在想法设防绕过 Google Play 商店的安全保护措施。安全研究人员也发现了一个以前未记录的Android滴管木马，该木马目前正在开发中。 荷兰网络安全公司ThreatFabric的Han Sahin 在一份报告中指出，这种恶意软件试图使用一种从未见过的新技术来感染设备，以传播极其危险的Xenomorph银行木马，允许犯罪分子在受害者的设备上进行欺诈攻击。 该恶意软件被ThreatFabric命名为BugDrop，是一种dropper应用程序，其设计目的十分明确，就是为了应对Android系统更新引入的新功能：使恶意软件难以向受害者请求辅助功能服务权限。 ThreatFabric认为BugDrop恶意软件的始作俑者是臭名昭著的“Hadoken Security”网络犯罪组织，该组织也是Xenomorph /Gymdrop 等Android等系列恶意软件的幕后黑手。 从以往滴管木马的表现来看，这类银行木马通常会利用无害的滴管应用程序部署在Android系统上，滴管程序则会伪装成具有生产力或比较实用的应用程序，用户一旦安装，就会诱骗用户授予侵入性权限。 例如可读取手机屏幕内容，并代表用户执行操作的Accessibility API已经被攻击者广泛滥用，攻击者可以借此捕获账户密码、财务信息等较为敏感的用户数据。具体实现方式为，当受害者打开所需的应用程序（例如加密货币钱包）时，木马会注入从远程服务器检索到的假冒登录表单。 鉴于大多数这些恶意应用程序都是侧载，只有在用户允许从未知来源安装时才有可能发生这种情况，因此谷歌在 Android 13 中采取了阻止辅助功能 API 访问，从应用程序商店外部安装应用程序的步骤。 但这并没有阻止对手试图绕过这个受限的安全设置。输入 BugDrop，它可以伪装成 QR 码阅读器应用程序。安全人员亲自进行测试，可通过基于会话的安装过程部署恶意有效负载。安全人员进一步强调，“攻击者正在使用这类恶意软件，能够在受感染的设备上安装新的APK，以测试基于会话的安装方法，并将其整合到更精细的 dropper 中，这在未来是很有可能会发生的事情。” 如果上述变化成为现实，可能会使银行木马更具威胁性，甚至能够绕过安全防护体系，给用户造成严重损失。 ThreatFabric公司也表示，“随着BugDrop逐步完善当前存在的各种缺陷，攻击者在与安全团队、银行

此项目用来提取收集以往泄露的密码中符合条件的强弱密码

这是一个一键辅助抓取360安全浏览器密码的CobaltStrike脚本以及解密小工具，用于节省红队工作量，通过下载浏览器数据库、记录密钥来离线解密浏览器密码。

此项目用来提取收集以往泄露的密码中符合条件的强弱密码

Detecting kernel exploits with eBPF

不同 URL Parser 解析之间的细微差异导致的安全问题

COMRACE Detecting Data Race Vulnerabilities in COM Objects

eBPF for Windows 的实现以及相关的 API 漏洞挖掘

利用 Azure AD 环境的协商协议 NegoEx 实现横向移动

攻击者渗透云通讯平台公司 Twilio 并利用其短信服务攻击 Signal 用户

谷歌语音诈骗在 2021 年的身份相关欺诈案例中创下新纪录。

Binary 对 Intel Pre-EFI (PEI) 攻击面的研究

nps认证绕过利用工具，使用此工具可方便地访问web控制端，或者批量获取socks5和http代理

Emulate Drivers in RING3 with self context mapping or unicorn

#C2 CS4.7发布了,对我来说有用的功能就是支持暗黑模式和s5代理。 https:/...

teleport堡垒机代码审计 1.任意用户绑定二次认证 http://xxx:7190/user/bind-oath 登录也是和上篇文章一样的login /user/verify-user 通过{"password":null } 进行登录 然后再通过...

TP-Link TL-WR841N 路由器 3 个漏洞分析

利用 MachO 的 HIB Segment Bypass x86 macOS 的 KASLR

研究员 Orange 对 Microsoft IIS Hash Table 的研究

Apple 紧急发布 macOS 和 iOS 补丁更新，修复两个野外利用漏洞

靶机环境搭建 域控DC（需要安装证书服务）：172.16.125.156 攻击机Kali：172.16.125.157 域控普通账户：zhangsan/zs1234567890* 攻击工具： certipy impacket 靶机域控安装证书服务关键 攻击过程 漏洞信息收集 certipy find

Observing the ongoing conflict between Russia and Ukraine, we can clearly see that cyberattacks leveraging malware are an important part of modern hybrid war strategy.
观察俄罗斯和乌克兰之间的持续冲突，我们可以清楚地看到，利用恶意软件的网络攻击是现代混合战争战略的重要组成部分。

360-CERT每日安全简报

上海浦东发展银行信用卡中心成立于2004年1月，是国内最早获得金融许可证的信用卡中心之一。

随着BugDrop逐步完善当前存在的各种缺陷，攻击者在与安全团队、银行机构的战争中拥有一种全新的高威力的武器，可击败谷歌目前采用的解决方案。

Patchwork是自 2015 年 12 月以来一直活跃的南亚APT组织。该组织长期针对中国、巴基斯坦等南亚地区国家的政府、医疗、科研等领域进行网络攻击窃密活动。

Extract credentials from lsass remotely

中文长文本分类、短句子分类、多标签分类、两句子相似度（Chinese Text Classification of Keras NLP, multi-label classify, or sentence classify, long or short），字词句向量嵌入层（embeddings…

Text classification models implemented in Keras, including: FastText, TextCNN, TextRNN, TextBiRNN, TextAttBiRNN, HAN, RCNN, RCNNVariant, etc.

This is just an semi-automated fully working, no-bs, non-metasploit version of the public exploit code for MS17-010

Hackernews 编译，转载请注明出处： 谷歌周二推出了适用于桌面的Chrome浏览器补丁，来解决在野外积极利用的高严重性零日漏洞。 跟踪为CVE-2022-2856，该漏洞是关于对Intents中不可信输入验证不足的情况。安全研究人员Ashley Shen和谷歌威胁分析集团的Christian Resell于2022年7月19日报告了该漏洞。 与通常的情况一样，在更新大多数用户之前，这家科技巨头都没有透露关于该漏洞的更多细节。“谷歌意识到CVE-2022-2856漏洞存在于野外。”它在一份简短的声明中承认。 最新更新进一步解决了其他10个安全漏洞，其中大部分与FedCM、SwiftShader、ANGLE和Blink等各种组件中的use-after-free漏洞有关，同时还修复了下载中的堆缓冲区溢出漏洞。 这是谷歌自年初以来修复的第五个Chrome零日漏洞： CVE-2022-0609 – 动画中的Use-after-free CVE-2022-1096 – V8中的类型混淆 CVE-2022-1364 – V8中的类型混淆 CVE-2022-2294 – WebRTC中的堆缓冲区溢出 建议用户更新到适用于macOS和Linux的104.0.5112.101版本，以及适用于Windows的104.O.5112.102/101版本，以缓解潜在威胁。基于Chromium浏览器（如Microsoft Edge、Brave、Opera和Vivaldi）的用户也建议应用修复程序。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

2020年初，从网上搜集了多种免杀工具和方式，汇总整理了远控免杀专题文章的工具篇、代码篇、白名单篇等，共70篇文章。现时隔一年，听到不少免杀爱好者的追更诉求，同时也看到了很多新的bypassAV的工具和技巧，于是想把这个系列继续补充一些，内容也都是来自互联网，汇总到一起只是方便大家查阅参考。

wo ee cve-2022-2185 gitlab authenticated rce

Java安全☞代码审计/漏洞分析/武器化

《CS:GO》（反恐精英：全球攻势）是近来最热门的多人第一人称射击游戏之一，由知名电子游戏开发商Valve Software发行。该游戏中的武器皮肤具有不同的稀有性，这就促使了使用Steamworks API的交易网站的创建，以方便玩家相互交易皮肤。 CS.MONEY就是其中最大的CS:GO皮肤交易平台之一，拥有53种武器的1696种独特皮肤，总资产价值为1650万美元。而该平台最近不幸被黑客盯上，在第一波攻击中大约600万美元的皮肤失窃，资产直接缩水了1/3以上。 在8月13日察觉到攻击后至今，CS.MONEY网站处于关闭状态，并且暂时无法给出恢复服务的预计时间。CS.MONEY正在采取各种方式挽回损失。据其在Twitter上发布的推文，其他交易平台已同意阻止20000件被盗物品的交易，以防止黑客脱手赃物。 对于本次攻击事件，CS.MONEY的公关主管Timofey Sobolevky撰文详细说明了来龙去脉： CS.MONEY在收到可疑交易的消息后，最初的想法是CS.MONEY本身被黑客入侵，他们禁用了所有外部设备和服务的授权，怀疑问题可能出在cookie文件被盗。但工作人员登陆交易数据库后，发现CS.MONEY service在其日志中未记录任何交易，这说明发送可疑交易的机器人不是受CS.MONEY控制，而是由攻击者直接控制。这也解释为什么即使他们重置了所有授权并关闭了服务仍未能停止可疑交易。 CS.MONEY随后确认，事件的源头是黑客以某种方式获取了用于Steam授权的Mobile Authenticator文件的访问权限，使得黑客能够直接控制托管皮肤的机器人。 该黑客为混淆视听，除将皮肤发送给自己外，还随机将其分发给普通玩家、知名交易者、博主等，以转移调查人员的注意力、隐藏自身的踪迹。在攻击的第一天，黑客共操纵约100个帐户完成了约1000笔交易。 CS.MONEY团队现在正在尝试重置其密码和MA文件，而所有被转移的皮肤现在都处于交易锁定状态。目前不清楚游戏开发商Valve是否会进行干预追回失窃物品。 转自 安全内参，原文链接：https://www.secrss.com/articles/45939 封面来源于网络，如有侵权请联系删除

South Staffordshire Water 是一家平均每天为 消费者提供 3.3 亿升饮用水的公司，该公司发表了一份声明，确认网络攻击导致 IT 中断。 正如公告所解释的那样，安全和配水系统仍在运行，因此 IT 系统的中断不会影响向其客户或其子公司 Cambridge Water 和 South Staffs Water 的客户供应安全水。 “这一事件并未影响我们提供安全用水的能力，我们可以确认我们仍在为所有 Cambridge Water 和 South Staffs Water 客户提供安全用水。” 宣读公司发表的声明。“这要归功于我们一直以来对供水和质量的强大系统和控制，以及我们团队为应对这一事件并实施我们为预防而采取的额外措施的快速工作。基础。” 此外，南斯塔福德郡水务公司向其客户保证，所有服务团队都照常运营，因此不存在因网络攻击而导致长时间停电的风险。 Clop 勒索软件团伙声称对这次攻击负责，并将该实用程序的名称添加到其 Tor 泄漏站点。 勒索软件团伙声称能够影响供水的运营和安全。该团伙还声称从该公司窃取了 5TB 的数据。 该勒索软件组织已经发布了一份被盗数据样本，其中包括护照、身份证和 SCADA 系统的图像。声称已经访问了他们可以操纵的 SCADA 系统，从而对 1500 万客户造成伤害。 Thames Water 是英国最大的水供应商和废水处理供应商，服务于大伦敦地区和泰晤士河周边地区。 然而，在赎金支付谈判破裂后，攻击者发布了第一个被盗数据样本，其中包括护照、水处理 SCADA 系统的屏幕截图、驾驶执照等。Thames Water 今天通过一份声明正式对这些说法提出异议，称有关 Clop 入侵其网络的报道是“网络骗局”，其运营已满负荷运转。 该案的一个关键细节是，在公开的证据中，Clop 提供了一个包含用户名和密码的电子表格，其中包含 South Staff Water 和 South Staffordshire 的电子邮件地址。 此外，BleepingComputer 观察到，其中一份发送给目标公司的泄露文件被明确发送给 South Staffordshire PLC。因此，很可能 Clop 错误地识别了他们的受害者，或者他们试图使用虚假证据敲诈一家更大的公司。 这次袭击发生在英国消费者面临严重干旱时期，该国八个地区实施了配水政策和软管禁令。 网络犯罪分子不会随意选择目标，因为在

对原版https://github.com/feihong-cs/JNDIExploit 进行了实用化修改

0x01 dcsync简介 dcsync基本的原理我就不讲了，网上挺多相关教程。 其实只需要两条acl即可 复制目录更改 复制目录更改全部 或者拥有一条 完全控制权限 0x02 连接ldap 上篇文章讲到本地添加用户...

第二天，你终于将内存马提取出来了，现在，你越发的想知道他的运行逻辑，越发的想知道他到底进内部干了什么事儿，你必须和时间进行搏斗，分秒必争！可是，如果按照他的流量进行操作，你的电脑也会有风险！管不了了，只能模拟流量了！为了之后几天还能吃上饭，你开始了对自己电脑的攻击……

据俄罗斯卫星社报道，近期卡巴斯基实验室总裁表示，该实验室正在开发自主品牌手机的防黑客入侵功能。