Hello Hacking8!

360政企实战攻防演习纪录片重磅发布，引领数字时代实战攻防新范式！

据Bleeping Computer网站5月25日消息，一种名为“Cheers”的新型勒索软件出现在网络犯罪领域，目标是针对易受攻击的 VMware ESXi 服务器。 VMware ESXi 是全球大型组织普遍使用的虚拟化平台，因此对其进行加密通常会严重破坏企业的运营。近期已有多个针对 VMware ESXi 平台的勒索软件组，包括 LockBit 和 Hive。而Cheers 勒索软件由趋势科技最新发现，并将新变种称为“Cheerscrypt”。 当Cheers攻击VMware ESXi 服务器时，会启动加密器，它会自动枚举正在运行的虚拟机并使用以下 esxcli 命令将其关闭： esxcli vm process kill –type=force –world-id=$(esxcli vm process list|grep ‘World ID’|awk ‘{print $3}’) 在加密文件时，Cheers会专门寻找具有 .log、.vmdk、.vmem、.vswp 和 .vmsn 扩展名的文件。这些文件扩展名与 ESXi 快照、日志文件、交换文件、页面文件和虚拟磁盘相关联。每个加密文件都会在其文件名后附加“ .Cheers ”扩展名，但文件重命名发生在加密之前，所以如果重命名文件的访问权限被拒绝，加密会失败，但文件仍然会被重命名。 加密方案使用一对公钥和私钥来派生一个秘密（SOSEMANUK 流密码）密钥并将其嵌入每个加密文件中。用于生成密钥的私钥被擦除以防止恢复。 Cheers 加密例程 在扫描文件夹以查找要加密的文件时，勒索软件将在每个文件夹中创建名为“ How To Restore Your Files.txt ”的勒索记录。这些赎金记录包括有关受害者被加密文件情况的信息、Tor 数据泄露站点和赎金缴纳站点的链接。每个受害者都有一个唯一的 Tor 站点，但数据泄露站点 Onion URL 是静态的。 根据 Bleeping Computer 的研究，Cheers似乎于 2022 年 3 月开始运作，虽然迄今为止只发现了 Linux 勒索软件版本，但不排除也存在针对Windows系统的变体。 Bleeping Computer 发现了 Cheers的数据泄露和受害者勒索 Onion 网站，该网站目前仅列出了四名受害者。但该门户的存在表明 Cheers 在攻击期间执行数据泄露，并将

解密Windows微信聊天记录数据库

360-CERT每日安全简报

VMware ESXi 是全球大型组织普遍使用的虚拟化平台，因此对其进行加密勒索通常会严重破坏企业的运营。

通过对BPFdoor的详细分析，了解隐蔽性Linux/Unix后门的工作机制，对应急响应、溯源排查做有力支撑。

基于自身办公环境的需求，想着在自己Mac上搭建cs的服务端和客户端，解决资源可以充分利用，学习cs摆脱多个机器的尴尬处境，之前不知道互联网上有没有这方面的实践，随手百度，得此文，记录之。

Linux Sudo 被曝出存在一个提权漏洞CVE-2019-14287，可以让sudo功能受限的用户绕过Sudo 的安全策略以root权限执行。

利用CVE-2021-3156,攻击者无需知道用户密码，一样可以获得root权限，并且是在默认配置下。

CVE-2022-0847它是自 5.8 以来 Linux 内核中的一个漏洞，它允许覆盖任意只读文件中的数据。这会导致权限提升，因为非特权进程可以将代码注入根进程

adb的全称为Android Debug Bridge,起到调试桥的作用，是连接Android手机与PC端的桥梁，方便我们在电脑上对手机进行操作。

当然此观念是在经过两节框架式知识铺垫的前提下，想了解andorid逆向，没有提前做功课可不行。接下来这篇文章呢，大家就当科普内容，先了解下andnroid系统的运行机制、框架及andorid应用程序的

今年年初的时候，我挖掘到了一枚 Gogs 中因为未对用户可控的目录路径进行检测，从而导致后续路径拼接可以导致目录穿越的漏洞（CVE-2022-0415）。
攻击者能上传覆盖环境中的任意文件，在覆盖任意文件后，我使用的是之前 CVE-2019-11229 中提到的方法，覆盖一个 Git 仓库中 .git/config 文件，设置 core.sshCommand 参数从而达到远程任意命令执行。

Lists of .NET Obfuscator (Free, Trial, Paid and Open Source )

onion-routing ransomware blog indexer & aggregator 🧅👹

上海交大 GOSSIP 研究团队对 IEEE S&P 2022 的云端报道（3）

APT34 组织用 DNS 隧道技术进行隐蔽通信的实现细节

Pwn2Own Austin 2021 攻击佳能网络打印机所用漏洞的细节

这篇 Blog 作者分享自己安全审计 Starface Comfortphoning 产品的过程

Python 包 pymafka 以 typosquatting 方式伪装 "pykafka" 攻击 macOS 用户

VMware ESXi 是全球大型组织普遍使用的虚拟化平台，因此对其进行加密勒索通常会严重破坏企业的运营。

域渗透 - 域内权限维持的方法总结（上），围绕DSRM、利用基于资源的约束委派进行域权限维持这两点进行技术展开

2019年底，澳大利亚新南威尔士州(NSW)政府推出了数字驾照。新执照允许人们在路边警察检查时或在酒吧、商店、酒店和其他场所使用他们的iPhone或Android设备来展示身份和年龄证明。这个被政府称为ServiceNSW的服务承诺–跟公民使用了几十年的塑料驾驶执照相比，数字版将提供额外的安全和保护进而防止身份欺诈的发生。 现在，在经过30个月时间的检阅之后，安全研究人员指出，几乎任何人都可以利用数字驾照(DDL)伪造假身份。该技术允许未到饮酒年龄的人改变他们的出生日期并允许欺诈者伪造假身份。这个过程只需不到一个小时且无需任何特殊的硬件或昂贵的软件，另外还能生成通过警察和参与场所使用的电子验证系统检查的假身份证。 发现这些缺陷的研究员Noah Farmer在上周发表的一篇文章中写道：“明确地说，我们确实相信，如果数字驾照通过实施更安全的设计而得到改进那么代表ServiceNSW所作的上述声明确实是真实的，而且我们会同意，跟塑料驾照相比，数字驾照将提供额外的安全水平以防欺诈。” 他继续写道：“当毫无戒心的受害者扫描欺诈者的二维码时，一切都会检查出来，受害者不会知道欺诈者将他们自己的身份照片跟某人被盗的驾驶执照细节相结合。然而就过去30个月的情况来看，DDL使‘恶意用户有可能以最小的努力在已越狱和未越狱的设备上生成（一个）欺诈性的数字驾照，而无需修改或重新包装移动应用本身。” 据悉，DDL需要一个iOS或Android应用以显示每个人的凭证。同样的应用允许警察和场所验证凭证是否真实。应用中旨在确认ID是真实的和当前的功能包括： 模拟的NSW政府logo； 显示最后刷新的日期和时间； 一个过期和重新加载的QR码； 一个在手机倾斜时移动的全息图； 一个跟执照照片相匹配的水印； 无需滚动的地址地址。 而克服这些保障措施的技术居然出奇得简单，关键就是能暴力破解加密数据的PIN码。由于它只有四位数，只有一万种可能的组合。使用公开的脚本和一台商品电脑有人就可以在几分钟内学会正确的组合。 一旦欺诈者获得了某人的加密DDL许可证数据–无论是通过许可还是通过窃取存储在iPhone备份中的副本或通过远程妥协–蛮力使他们有能力读取和修改存储在文件中的任何数据。 以下为在iPhone上的精确操作步骤： 使用iTunes备份，复制存储有欺诈者想要修改的凭证的iPhone内容； 从存储在电脑上的备份中提取加密

A collection of proof-of-concept exploit scripts written by the team at Rhino Security Labs for various CVEs.

Hacking Web3

固件供应链安全及其已知漏洞的检测

IEEE Workshop 部分议题的 Slides 公开了

在很多人的印象中，一旦设备感染勒索软件都需要支付高昂的赎金才能取回自己的数据。不过现在出现了一种新型的赎回方式，那就是做善事。CloudSEK 的威胁情报研究团队最近发现了一个名为“GoodWill”的勒索软件，受害者如果想要获得密钥，就必须做一些善事：给不幸的人提供食物、毛毯，或者向病人捐钱。总的来说，受害者必须参与三项活动才能恢复数据。 如下所示，第一个活动要求您为路边有需要的人提供衣服和毯子，并制作自己这样做的视频。该视频还必须发布到社交媒体上以鼓励他人。然后必须将此信息通过电子邮件发送给攻击者作为完成的证据。 第二个活动要求您从快餐连锁店喂养五个孩子，并在这样做的同时善待他们。受害者还必须与他们自拍，并再次在社交媒体上发布这些照片和视频。然后必须将餐厅账单的图像以及指向社交媒体帖子的链接发送给攻击者。 第三个活动迫使您去医院并为需要经济援助的人支付医疗费用。这些人也必须自拍，并且必须记录音频对话作为证据。然后，必须在社交媒体上发布一篇关于援助的“漂亮文章”，并且您必须向人们解释如何成为 GoodWill 的勒索软件基本上是发生在您身上的最好的事情。 一旦攻击者验证了所有信息，他们将发送一个解密工具，以便您可以恢复您的文件。 CloudSEK 能够将 IP 地址和电子邮件地址追溯到印度一家据称管理端到端安全性的 IT 公司。 GoodWill 与 HiddenTear 勒索软件有相似之处，但 CloudSEK 也能够在用 Hinglish 编写的代码中找到字符串，例如“error hai bhaiya”，翻译为“有一个错误，兄弟”。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1273523.htm 封面来源于网络，如有侵权请联系删除

macOS ESF Framework 在攻击检测方面的实践

本次文章只用于技术讨论，学习，切勿用于非法用途，用于非法用途与本人无关！

RSA创新沙盒盘点 | Sevco Security——专注数据融合的资产管理平台

RSAConference2022将于旧金山时间6月6日召开。大会的Innovation Sandbox（沙盒）大赛作为“安全圈的奥斯卡”，每年都备受瞩目，成为全球网络安全行业技术创新和投资的风向标。 前不久，RSA官方宣布了最终入选创新沙盒的十...

Free, Open Source, User-Mode SMB 1.0/CIFS, SMB 2.0, SMB 2.1 and SMB 3.0 server and client library

APC（Asynchronous Procedure Call 异步过程调用）是一种可以在 Windows 中使用的机制，用于将要在特定线程上下文中完成的作业排队。

随便写写，勿喷

澳大利亚、印度、日本和美国四国联盟的领导人24日进行了会晤，承诺在信息安全、数据共享等方面深化合作。

通过正则搜索、批量反编译特定Jar包中的class名称

CloudFlare 5秒盾第一层混淆代码一键还原

Checking SeBackupPrivilege

qdPM 9.1 - Remote Code Execution (RCE) (Authenticated) (v2)

m1k1o's Blog v.10 - Remote Code Execution (RCE) (Authenticated)

OpenCart v3.x Newsletter Module - Blind SQLi

跨站脚本攻击（XSS）是客户端安全的头号大敌，OWASP TOP 10多次把xss列在榜首。

A C# DLL injection library

Badge Reader Active Tap

The privilege escalation hacking tool KrbRelayUp is a wrapper that can streamline the use of some features in Rubeus, KrbRelay, SCMUACBypass, PowerMad/ SharpMad, Whisker, and ADCSPwn tools in attacks. Although this attack won’t function for Azure Active Directory (Azure AD) joined devices, hybrid joined devices with on-premises domain controllers remain vulnerable.
The post Detecting and preventing privilege escalation attacks leveraging Kerberos relaying (KrbRelayUp) appeared first on Microsoft Security Blog.
权限提升黑客工具 KrbRelayUp 是一个包装器，可以简化 Rubeus、 KrbRelay、 SCMUACBypass、 PowerMad/SharpMad、 Whisker 和 ADCSPwn 工具在攻击中的一些特性的使用。尽管这种攻击对于 Azure 活动目录(Azure AD)联合设备不起作用，但是带有本地域控制器的混合联合设备仍然是脆弱的。
利用 Kerberos 中继(KrbRelayUp)侦测和防止权限提升攻击的帖子首次出现在微软安全博客上。

A tool for converting SysWhispers2 syscalls for use with Nim projects

ORIGINALLY AIRED ON APRIL 25, 2022 Articles discussed in this episode: 00:00 – PreShow Banter™ — Broken Twitter Finger 01:38 – ISO – Talkin’ Bout [infosec] News 2022-04-26 03:08 – Elon Buys Twitter 09:27 – Leaked Chats Show LAPSUS$ Stole T-Mobile Source Code – https://krebsonsecurity.com/2022/04/leaked-chats-show-lapsus-stole-t-mobile-source-code/ 15:48 – Threat actors exploited more zero-day vulnerabilities in 2021 […]
The post Talkin’ About Infosec News – 4/25/2022 appeared first on Black Hills Information Security.
本期节目中讨论的文章: 00:00-PreShow BanterTM ー Broken Twitter Finger 01:38-ISO-Talkin’Bout [ infosec ] News 2022-04-2603:08-Elon Buys Twitter 09:27-Leaked Chats Show lapsus $Stole T-Mobile Source Code-15:48-Threat actors explored more zero-day vulnerds in 2021[ ... ]
2022年4月25日，《谈论信息安全》这篇文章首次出现在《黑山信息安全》上。

Topic: Print Spooler Remote DLL Injection Risk: Medium Text:## # This module requires Metasploit: https://metasploit.com/download # Current source: https://github.com/rapid7/metasploit-...
主题: 打印后台处理程序远程 DLL 注入风险: 中等文本: # # # 本模块需要 Metasploit:  https://Metasploit.com/download  # 当前来源:  https://github.com/rapid7/Metasploit-  ..。

Topic: CLink Office 2.0 SQL Injection Risk: Medium Text:# Exploit Title: Multiple blind SQL injection vulnerabilities in in CLink Office 2.0 Anti-Spam management console # Date: 30 ...

Topic: Online Fire Reporting System 1.0 SQL Injection Risk: Medium Text:## Title: Online Fire Reporting System 1.0 SQLi ## Author: nu11secur1ty ## Date: 05.24.2022 ## Vendor: https://www.sourcecod...
主题: 在线消防报告系统1.0 SQL 注入风险: 中型文本: # 标题: 在线消防报告系统1.0 SQLi # 作者: nu11security1ty # 日期: 05.24.2022 # 供应商:  https://www.sourcecod  ..。

Print Spooler Remote DLL Injection

CLink Office 2.0 SQL Injection

Online Fire Reporting System 1.0 SQL Injection

Overview The philosophy for Semgrep has always been to build a lightweight, fast tool optimized for enforcing good coding practices. Because…
概述 Semgrep 的理念一直是构建一个轻量级的、快速的工具，并对其进行优化，以实现良好的编码实践。因为..。

Docker Automated Build Repository for siomiz/chrome -- Google Chrome via VNC (or via Chrome Remote Desktop)

影响厂商:HackerOne 奖励: 危险等级:high
通过/评论/评级/{ uuid }在 app.pullrequest.com/████████中实现盲目 XSS