Hello Hacking8!

Small utility program to perform multiple operations for a given subnet/CIDR ranges.

据安全厂商Agari称，从2022年第一季度到第二季度，因威胁行为者试图通过新方式来规避传统的安全防御，被称为“混合网络钓鱼”的多阶段网络钓鱼攻击的检测率增长了600%以上。本次Agari季度威胁趋势和情报报告是与 PhishLabs 合作制作的，是基于对数十万次针对企业、员工和品牌的网络钓鱼和社交媒体攻击的分析。 报告解释说：“混合网络钓鱼威胁是多阶段攻击，与传统网络钓鱼不同，它首先通过电子邮件与受害者进行交互。攻击者在电子邮件正文中包含一个手机号码作为诱饵，旨在诱骗受害者致电并提交敏感信息。” 网络钓鱼或基于电话的网络钓鱼攻击占报告中“基于响应”的骗局的四分之一 (25%)。此类别中的其他类型是 419 诈骗 (54%)、商业电子邮件泄露 (16%) 和工作诈骗 (5%)。这些基于响应的攻击目前占电子邮件传播威胁的五分之二 (41%)，比上一季度增长3.5%，是自2020年以来的最高份额。凭证盗窃 (55%) 和恶意软件传递 (5%)完善其他类型的公司电子邮件威胁。 有趣的是，第二季度近四分之三 (73%) 的 BEC攻击是使用免费网络邮件服务发起的，比第一季度的数据增加了3%。相比之下，那些使用欺骗或劫持域的人仅占攻击量的四分之一 (27%)。Gmail (72%) 是被滥用最多的电子邮件服务。这似乎表明更简单的策略仍然有效，尽管BEC的用户意识比一年前要高得多。 这与卡巴斯基 2 月份的数据有些吻合，该数据显示利用免费电子邮件帐户和使用模糊支付请求的商品“BEC即服务”活动的检测激增。不过对企业来说，社会工程学仍旧是他们最大的安全风险之一，所以企业在安全意识和技术防范方面还需要不断提高。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342151.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，Realtek 爆出严重漏洞，该漏洞影响到数百万台采用 Realtek RTL819x 系统芯片（SoC）的网络设备。 该漏洞被追踪为 CVE-2022-27255，远程攻击者可以利用其破坏来自各种原始设备制造商 (OEM) 的易受攻击设备。 无需身份验证 据悉，CVE-2022-27255 漏洞由阿根廷网络安全公司 Faraday Security 的研究人员在 Realtek 的开源 eCos 操作系统 SDK 中发现，并在 DEFCON 黑客大会上披露了详细的技术细节。 CVE-2022-27255是一个基于堆栈的缓冲区溢出漏洞，其严重程度为 9.8 分（满分10分），远程攻击者可以使用带有恶意 SDP 数据的特制 SIP 数据包任意执行代码，这个过程完全无需身份验证。此外，攻击者还可以通过 WAN 接口利用漏洞。 早在 3 月份，Realtek 已经解决这一漏洞问题，并指出了漏洞主要影响rtl819x-eCos-v0.x 系列和 rtl819x-eCos-v1.x 系列产品。 来自 Faraday Security 的四位研究人员为 CVE-2022-27255 开发了概念验证（PoC）利用代码，该代码可用于 Nexxt Nebula 300 Plus 路由器。研究人员还分享了一段视频，展示了即使远程管理功能被关闭，远程攻击者也可能破坏设备。 视频链接：https://vimeo.com/740134624?embedded=true&source=video_title&owner=52361365 最后，研究人员指出攻击者利只需有漏洞设备的外部 IP 地址，就可以 利用CVE-2022-27255 漏洞，意味着不需要与用户交互， 注：发现漏洞的四名研究人员分别是来自布宜诺斯艾利斯大学的计算机科学学生Octavio Gianatiempo, Octavio Galland, Emilio Couto, Javier Aguinaga。 存在几道防线 SANS 研究部主任 Johannes Ullrich 表示，远程攻击者可以利用 CVE-2022-27255 漏洞进行以下操作： 导致设备崩溃 执行任意代码 建立持久性的后门 改变网络流量的路线 拦截网络流量 另外，尽管 Realtek 在3 月已经发布了一个补丁，但 Ullrich 强调该漏洞

作者: 360漏洞研究院 王志远 原文链接：https://vul.360.net/archives/503 背景 我们在第三届“天府杯”国际网络安全大赛中成功完成AdobeReader RCE项目，这篇文章将会详细介绍其中使用到的2个逻辑漏洞：长达15年之久的DLL加载漏洞与随机数转换逻辑漏洞，漏洞编号为CVE-2021-21037。 DLL加载逻辑漏洞分析 我们在挖掘AdobeReade...

在木马样本与杀毒软件的对抗中，再隐蔽的木马在被发现的那一刻，它的这一生就结束了。杀毒软件厂商通过SHA1/2、MD5等算法取得样本的唯一值来构建云端的特征库，当下一次攻击发生时，将会通过特征库进行比对，因此成本对抗不言而喻，红队的木马需要重新修改、编译，大大增加了对抗的时间、精力，这就是威胁情报的一种价值。反观有些软件确实会需要开发一些敏感行为的功能，如修改注册表、屏幕录像截图但这些是用户知情且授权的行为，这时杀毒软件再进行拦截的话，将大大降低软件使用的体验，所以出现了软件签名技术可以解决这类问题，当然软件签名技术不仅仅是为了只解决这一个问题而出现的....

作者: 360漏洞研究院 王志远
原文链接：https://vul.360.net/archives/503
背景
我们在第三届“天府杯”国际网络安全大赛中成功完成AdobeReader RCE项目，这篇文章将会详细介绍其中使用到的2个逻辑漏洞：长达15年之久的DLL加载漏洞与随机数转换逻辑漏洞，漏洞编号为CVE-2021-21037。
DLL加载逻辑漏洞分析
我们在挖掘AdobeReade...

《指南》依据有关政策法规要求，做好支撑疫情防控工作，防止健康码伪造安全风险，对健康码防伪提供技术实践参考。

想请问一下大家，m1芯片对于学习java安全影响大吗？好像arm版本的没有8u65这种低版本的jdk。之前看到cc链需要用到这...

PortSwigger Web Security Academy Lab: SQL injection UNION attack, retrieving multiple values in a single column
In this article, only one of the columns is processed as output on the page. As output, which column is printed on the screen will be determined and the user name and password will be printed in the relevant column.
We remember from previous labs that there is SQL injection in the category parameter.
We have determined that there are 2 columns as follows.
Payload: ‘+UNION+SELECT+NULL,NULL —
Let’s print the word cyber in the second column.
Payload: ‘+UNION+SELECT+NULL,’siber’ —
Since we want the expression to be written on the screen in the 2nd column to be the username and password, we can use the following payload:
‘+UNION+SELECT+NULL,username||’~’||password+FROM+users —
Creds:
wiener~qi6rwofv0ux0yjcecm2y
carlos~lmnncl5uq0hqqdqb92do
administrator~j221x00uaz0e8rdflvmh
We log in to the system with the credentials of the Administrator user.
After logging into the system, we successfully complete the l

距离2022CCS成都网络安全大会开幕仅剩15天，在我们上期的CCS大会漫游指南发出之后，大量热心网友表示迫不及待想要知道本届大会论坛议题亮...

该技术的巧妙之处在于，可将可编程逻辑控制器 ( PLC ) 武器化，以在工程工作站中获得初步立足点，随后入侵运营技术 (OT) 网络。

混合网络钓鱼威胁是多阶段攻击，与传统网络钓鱼不同。

该工具使用了eBPF来帮助广大研究人员增强Linux设备的安全性。

该样本外层是一个 go 语言 loader 并且具有 UPX 外壳，中层是一个 downloader，最终的 payload 是 CobaltStrike 的核心 beacon.dll 模块。与普遍的 beacon.dll 运行方式不同的是该 beacon.dll 并不直接与 C2 直接进行通信，而是通过命名管道经由 downloader 与 C2 进行通信，并且由于其采用的反调试、反 HOOK 技术使其只能在 wow64 环境下运行。

360-CERT每日安全简报

基于 Slope 的服务器的取证分析 Solana 公链大规模盗币事件

RE-Mind - 二进制逆向分析的方法论

CVE-2022-27255漏洞影响到数百万台采用 Realtek RTL819x 系统芯片（SoC）的网络设备。

AdobeReader DLL 加载漏洞与随机数转换逻辑漏洞分享(CVE-2021-21037)

Wiz 研究团队发现多个云厂商的 PostgreSQL-as-a-Service 服务存在安全隔离漏洞

Windows Segment Heap: Attacking the VS Allocator

Finding security vulnerabilities through fuzzing，一份关于 Fuzzing 的 workshop

通过修改进程环境变量实现 Windows 11 DLL 劫持

Google 安全芯片 Titan M 的代码执行漏洞分析（CVE-2022-20233）

CheckPoint 在 PyPI 平台检测到两款伪造的恶意软件包

ZecOps 对 AliExpress 平台购买的 Android 手机取证分析，发现该手机将系统 Android 6 伪造欺骗成 Android 10

Yet another SharpSphere

在今年的HW期间，通过安全设备告警分析，需要对某个源攻击IP进行溯源反制，并且需要记录整个溯源过程和提交溯源报告。

A wrapper around grep, to help you grep for things

teleport 堡垒机漏洞复现 拿到更新包进行对比首先更新包更新了两个文件 对比auth.py 两个地方。一个是elif 改成了if 然后是检测了密码是否存在。那么跟进去代码看看login 的逻...

零时科技区块链安全情报平台监控到消息，北京时间2022年8月8日，EGD加密项目疑似遭到黑客攻击，损失超3.6万 BUSD,零时科技安全团队及时对此安全事件进行分析。

Agent内存马注入主要是通过将jar文件传入到目标服务器进行的注入攻击，注入后我们就可以将jar文件删除，完成真正的无文件落地攻击。

A powerful browser crawler for web vulnerability scanners

A basic emulation of an "RPC Backdoor"

著名射击游戏CS:GO最大的皮肤交易平台之一——CS.MONEY在一次黑客攻击后被窃取了2万件、总价值约 600万美元的游戏皮肤。

A powerful browser crawler for web vulnerability scanners

本文是C2前置流量控制技术的一种延伸技巧，所以主要也是从效果实现及思考的角度出发，下面我会侧重于技术实现的过程进行讲解并剖析该技巧的相关优异性。

不记得是哪一场比赛了，遇到了一个 Java 的题目，过滤了很多关键类，不管茯苓把 CC 链如何拆开组合，都没有办法绕过。
就在此时，大佬看了一眼说，用二次反序列化就可以绕过了。“二次反序列化”这六个字重重地敲在了我的心巴上，从那以后我就对二次反序列化产生了莫名的渴望。

One day a fisherman was lying on a beautiful beach, with his fishing pole propped up in the sand and his solitary line cast out into the sparkling blue surf. He was enjoying the warmth of the afternoon sun and the prospect of catching a fish. About that time, a
一天，一个渔夫躺在一个美丽的海滩上，他的钓竿支在沙滩上，他的钓线投向闪闪发光的蓝色海浪。他正在享受午后温暖的阳光和捕鱼的前景。差不多那个时候

A Sublime Text 2 & 3 plugin for editing and saving files encoded in GBK, BIG5, EUC-KR, EUC-JP, Shift_JIS, etc.

DirectoryEntry类 [System.ComponentModel.TypeConverter(typeof(System.DirectoryServices.Design.DirectoryEntryConverter))] [System.DirectoryServices.DSDescription("DirectoryE...

在某次实战攻防中，有一对儿小马和大马，他们两个通过了层层设备，终于打入了内网，只是在砍杀的过程中，露出了马脚，从巨大的流量中，被挖了出来，可是，真的有这么容易吗？真的如我们所愿吗？随着你的越发深入的对木马，流量进行解密，你的心中越发的不安……

网络安全已经成为工作学习不可缺少的一部分。

联邦调查局发出警告，自上周FBI在佛罗里达州突袭搜查前总统唐纳德·特朗普位于海湖庄园的住宅后，针对执法官员的网络威胁激增。

Windows Remote Administration Tool that uses Discord as C2

2022年7月21日国家互联网信息办公室对滴滴全球股份有限公司依法作出行政处罚，滴滴被罚80.26亿元。

近日，德国计划强制要求在政府网络中使用安全、现代的网络浏览器，并公布了最低标准提案的意见征求稿。 德国联邦信息安全办公室(BSI)曾在7月发布了一个最低标准草案，希望这些标准能够增强政府的网络弹性并更好地保护敏感数据。先进的浏览器包含多种功能，可阻止或减轻各种常见的基于Web的攻击。 提议的标准涵盖桌面和移动浏览器，而之前的安全指南仅适用于政府PC和工作站上的桌面浏览器。 意见征询后，BSI预计将在政府系统中强制执行最低标准。此举将禁止联邦雇员在政府业务中使用不合规的浏览器，例如现已弃用的Internet Explorer。 BSI规定的大多数安全和隐私技术目前大多数现代浏览器都能提供。其中包括支持X.509标准的证书、加密与服务器的连接以及支持HSTS（HTTP严格传输安全）。 浏览器还需要支持自动更新机制，只有在完整性检查成功时才会执行更新。此外还必须实施同源策略(SOP)，以便文档和脚本无法访问其他网站的资源，例如文本和图形。 事实上，所有现代浏览器都已经非常安全（忽略隐私），它们中的大多数共享完全相同的引擎（编者：例如开源的Chromium），因此共享相同的安全功能和加密功能。浏览器公司Vivaldi的开发人员和安全专家Tarquin Wilton Jones指出：“总的来说，浏览器一直处于建立安全连接和实施沙盒等安全功能的最前沿。” 他补充说，此举的目的更多是为了提高政府IT的安全性，而不是改变浏览器的设计方式。但是，他警告说，某些浏览器不允许用户关闭遥测或供应商跟踪数据的方式可能会导致合规问题。 转自 安全内参 ，原文链接：https://www.secrss.com/articles/45880 封面来源于网络，如有侵权请联系删除

在2021年的局部试验之后，英国政府已经确认，在9月的政府宣传活动之后，自动通知智能手机用户的紧急警报系统将于10月开始推广。该系统将提醒用户高度本地化的事件，如洪水、火灾、极端天气和公共卫生突发事件、恐怖袭击等有可能被添加到可能触发信息的场景列表中。 当收到警报时，设备会发出类似警笛的响声，即使设置为无声或振动，也会在10秒内发出警报。 这是一个类似于美国引入的AMBER警报的功能，最初将在英格兰、苏格兰和威尔士使用，尚未确认北爱尔兰何时将被该系统覆盖。 英国政府已经建立了一个网站，详细介绍了该系统的工作原理，以及警报是如何直接从基站广播的，范围内的每个兼容手机和平板电脑都会收到警报。这绕过了用户提供电话号码以建立联系的需要。该网站还列出了所有当前和过去的警报，以便在你不小心忽略了某个通知或错过了它时可以参考。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1305115.htm 封面来源于网络，如有侵权请联系删除

阿根廷科尔多瓦司法机构在遭受勒索软件攻击后关闭了其 IT 系统，据报道是在新的“Play”勒索软件操作手中。 攻击发生在 8 月 13 日星期六，导致司法机构关闭 IT 系统及其在线门户。停电还迫使使用笔和纸来提交官方文件。在 Cadena 3 分享的“网络攻击应急计划”中，司法机构证实它受到了勒索软件的攻击，并与微软、思科、趋势科技和当地专家合作调查此次攻击。 2022 年 8 月 13 日星期六，科尔多瓦法院的技术基础设施遭受了网络攻击，勒索软件损害了其 IT 服务的可用性。 Clarín 报道称 ，消息人士称，这次攻击影响了司法机构的 IT 系统及其数据库，使其成为“历史上对公共机构最严重的攻击”。 与 Play 勒索软件相关的攻击 虽然司法机构尚未披露此次攻击的细节，但记者 Luis Ernest Zegarra 在 推特上表示，他们受到了将“.Play”扩展名附加到加密文件的勒索软件的攻击。 此扩展与 2022 年 6 月启动的新“Play”勒索软件操作有关，当时受害者开始在 BleepingComputer 论坛上描述他们的攻击。 像所有勒索软件操作一样，威胁参与者将破坏网络并加密设备。加密文件时，勒索软件将附加 .PLAY 扩展名，如下所示： 然而，与大多数勒索软件操作会留下冗长的赎金票据以向受害者发出可怕的威胁不同，Play 赎金票据异常简单。 Play 的ReadMe.txt赎金记录不是在每个文件夹中创建，而是  仅在硬盘驱动器的根目录 (C:\) 中创建，并且仅包含单词“PLAY”和联系电子邮件地址。 BleepingComputer 知道攻击中使用了不同的电子邮件地址，因此上述电子邮件地址可能与对科尔多瓦司法机构的攻击无关。 尚不清楚 Play 是如何入侵司法机构网络的，但作为3 月份 Lapsus$ 入侵 Globant 的一部分，员工电子邮件地址列表被泄露，这可能允许威胁参与者进行网络钓鱼攻击以窃取凭据。 没有与勒索软件团伙相关的数据泄漏或任何数据在攻击期间被盗的迹象。 这不是阿根廷政府机构第一次遭受勒索软件攻击。2020 年 9 月，Netwalker 勒索软件团伙袭击了 Dirección Nacional de Migraciones并索要 400 万美元的赎金。 转自 E安全 ，原文链接：https://mp.weixin.qq.com/s/n-_jigTxvCv4edxPXiX

联邦调查局发出警告，自上周FBI在佛罗里达州突袭搜查前总统唐纳德·特朗普位于海湖庄园的住宅后，针对执法官员的网络威胁激增。

[GitHub]This is working POC of CVE-2022-36271
[ GitHub ]这是 CVE-2022-36271的工作 POC

利用splunk进行安全事件分析。

Cisco ASA Software and ASDM Security Research

Umami is a simple, fast, privacy-focused alternative to Google Analytics.