- 博客(320)
- 收藏
- 关注
RSS订阅转载 【APT攻击】针对渗透测试人员的大规模钓鱼攻击,涉及38个Github账号,请自查
近期,我们接到客户寻求帮助。客户在GitHub上下载了一个开源项目,并在本地环境编译其中的代码。然而,在运行该项目后不久,客户察觉到计算机出现后台进程异常运行。经过初步分析,我们确认该项目存在明显的恶意行为。攻击者伪装成红队开源开发者,在GitHub上发布了一个精心构造的恶意代码库。再进一步溯源时,我们发现该恶意行为并非个例,而是一起大规模的针对渗透测试人员的APT攻击活动,其中涉及到38个GitHub账户均存在恶意后门,且至少该攻击活动已持续一年之久。
2025-03-12 15:14:09
82
原创 Radiant Capital 被盗全网最细复盘-朝鲜黑客如何用 1 个 PDF 攻破 Mac 并盗了几个亿
终于,项目官方聘请 Mandiant 在内的多家安全公司,在最近完成调查,发布了10月份被盗事件的完整报告(https://medium[.]com/@RadiantCapital/radiant-capital-incident-update-e56d8c23829e)。2024 年 9 月 11 日,Radiant Capital 的一名开发者收到了一条 Telegram 消息,发送者是伪装成的一位「Contractor」(这里应当理解为一位为该公司工作过的外包人员,以下称为外包同事)。
2025-02-22 19:14:10
404
原创 黑天鹅降临:Bybit 近15 亿美元 ETH 被盗事件详细追踪
2025年2月21日,加密货币交易所 Bybit 披露其以太坊多签冷钱包遭遇未授权活动,导致近 15 亿美元的 ETH 及 stETH 资产被盗。初步分析指向黑客利用精心策划的攻击,通过伪装交易界面和替换智能合约等复杂技术手段,成功控制了 Bybit 的 ETH 冷钱包并转移资金。事件发生后,Bybit 迅速发布声明,启动调查,并寻求外部资金支持以应对用户提币潮。此次事件是加密货币历史上最大规模的单次被盗事件,引发了市场震荡和对中心化交易所安全性的关注。事件时间线 (HKT, UTC+8)
2025-02-22 18:46:10
1728
原创 重磅消息!Bybit交易所被盗事件已被正式确认为加密货币史上最大规模的盗窃案。
无论你的智能合约设计得多么坚不可摧,无论你设置了多少道签名验证,一旦攻击者能够操控人类在签名时所看到的内容,整个安全体系都将土崩瓦解。随后,攻击者的手法变得更加高明——他们先是将1万枚ETH分散到39个不同的地址,紧接着又将另外1万枚ETH分散到另外9个地址。每个多签钱包的签署人都看到来自 @safe的貌似完全合法 的用户界面 (UI),上面显示着 “一切正常” 的交易信息。14、我们将密切关注事态发展。但实际上,他们签署的却是暗藏玄机的指令,旨在篡改他们ETH冷钱包的智能合约逻辑!
2025-02-22 18:37:24
316
原创 【黑灰产】杀猪盘作案流程讲解
何谓杀猪盘,指的是诈骗分子利用网络交友 ,获取受害人充分信任后,诱导受害人投资赌博的一种电信诈骗方式。“杀猪盘”是“从业者们”(诈骗团伙)自己起的名字,是指放长线“养猪”诈骗,养得越久,诈骗得越狠。金融投资、网络盘口等诈骗团伙自己研发的系统且可获取高额回报的投资产品为工具,自己有内部消息或者认识内部员工为借口,诱导被害人前期小额投资;,在社交平台 完成账号注册后需要对账号身份进行包装,常见身份标签:阳光帅气、高学历海龟、企业高管、军人世家、生活自律喜爱健身读书;
2025-01-13 21:58:54
728
原创 【区块链钓鱼】NFT钓鱼
攻击者利用各种热点nft发售、钱包升级、nft预售、空投领取、合约升级,项目更换网站、特价nft、中签等为由,发送钓鱼邮件,内含精心模仿的官方网站、预售平台,app下载链接等,用户稍不留意就会中招。4、黑客拿到用户签了名的卖单信息,通过调用 OpenSea 的交易合约就能以0的价格完成交易,顺利拿到受害者的NFT。3、如果你没能及时关闭钓鱼网站,而他一直在弹窗,你刚好准备交易,没看清楚很可能会误以为opensea的请求,从而授权。●点击右键中的地址后,判断浏览器显示的地址是不是自己想要访问的网站。
2025-01-13 21:57:17
408
原创 【渗透系列】渗透拿下理财杀猪盘的后台
最终我们在config.php文件中发现是以白名单的方式来限制我们访问后台的,大致看了下管理员设置的白名单IP地址(香港、越南、菲律宾、法国),基本可以确定为代理,通过Web日志文件确定确实如此,所以这里我们只需要将我们本地/代理IP地址添加进去后即可访问后台。不过在测试中发现exec()、passthru()、system()、shell_exec()等命令执行函数被限制了,猜测应该是用宝塔搭建的,默认就禁止了这些常见危险函数,所以暂时没办法直接反弹shell。
2025-01-11 22:26:44
940
原创 【黑灰产】假钱包推广套路
1,竞价(搜索引擎),误导客户为真正官方钱包从而完成下载使用。📣1,实时监控刷新助记词地址的余额(所有币种价值相加)📣这是市面上较为普遍的推广获客方式,仅提供建议。3,线下推广,一手交易所料,短信或邮箱或电销。📣6,售后服务+包更新(非常稳定,不报风险)三,活动吸引,如存币反息,挖矿,注册送币等。📣2,谷歌验证码+操作日志(更安全的保护)📣3,助记词ID,地址搜索,备注功能搜索。📣8,单条鱼苗阈值预警,达到即持续警报。例如:一,火币清退引导使用钱包。📣7,金额排序,由高到低排序。📣4,代理模式,代理搜索。
2025-01-11 22:21:42
483
原创 【AI自动化渗透】大模型支持的自动化渗透测试,看蚂蚁和浙大的
在这些服务和应用程序的指导下,搜索代理搜索潜在的攻击面和程序,并将它们保存在单独的数据库中。如下图所示,当向侦察代理提供目标时,该过程开始。选择 VulHub 作为基准数据集,制了一个包含 67 个渗透测试目标的基准测试,涵盖 32 个 CWE(常见弱点枚举)类别,有 50 个目标具有易利用难度,11 个目标具有中等可利用难度,6 个目标具有高可利用难度。最近,美国西北大学,浙江大学,蚂蚁集团的一些专家学者联手发表了一篇论文,介绍了一个PentestAgent的方案,实现了渗透测试自动化。
2025-01-11 21:56:49
2483
1
转载 【渗透系列】某运营商外网打点到内网横向渗透的全过程
接下来通过拿到的权限,收集本地shadow文件、linux环境变量、linux的history文件、浏览器记录、服务器上的数据库配置文件等,继续做成密码字典,重新进行内网各种口令爆破,继续拿权限,这样周而复始做过几轮之后,拿了很多权限,有windows主机,也有Linux主机。拿了域控自然是很高兴,但是别高兴得太早,这个域控能控制大约800多台主机,我记得当时域内有很多英文的操作系统,还有一些有关HP的服务器,我在里面转了一晚上,没找到有价值的业务系统,最后我也没搞明白这么多机器是用来做什么的。
2025-01-11 21:29:04
67
转载 【渗透系列】美国安全局NSA入侵西北工业大学流程图梳理和分析
的方式,向西北工业大学内部网络深度渗透,先后控制运维网、办公网的核心网络设备、服务器及终端,并获取了部分西北工业大学内部路由器、交换机等重要网络节点设备的控制权,窃取身份验证数据,并进一步实施渗透拓展,最终达成了对西北工业大学内部网络的隐蔽控制。,对telnet运维管理等服务器的ssh、telnet、rlogin等账号密码进行嗅探,同时收集服务器日志,命令操作记录,服务器配置文件等,同时获取了大量边界服务器账号密码,运维人员账号密码,FTP服务器的资料等等。同时,部分教职工电脑也存在遭受网络攻击的痕迹。
2025-01-11 21:18:04
113
转载 【渗透系列】记一次对某物联网云平台及Hadoop生态系统的渗透全过程
它提供了一个集中化的界面和工具,用于管理和监控 Hadoop 集群的各个方面,包括集群的配置和安装,服务的监控和资源使用,资源调度和分配,故障诊断和日志分析。这个系统是在项目进行2个多月的时候拿下的,当时我几乎把所有类型的hadoop组件都看过一遍了,就剩下最重要的KDC秘钥分发系统的3个IP没看,起初我认为这个KDC秘钥分发系统是不太可能有重要漏洞的,结果大跌眼镜,没想到还真有重大收获。在此期间,我基本上把网上公布的所有的Hadoop组件的漏洞都尝试了一遍,在不懈的努力下,最后还是取得了很多成果。
2025-01-11 21:15:04
31
原创 【渗透系列】社工钓鱼篇
红队队员会通过各种搜索,找到目标公司的一些员工以小组、部门形式自建的qq群,谎称自己是新员工入职,或者是某某领导让加群,或者安装安全检查工具等等。红队队员首先在网上通过各种信息收集得到目标单位的员工手机号,然后通过微信加好友的方式,谎称自己是某大型公司的HR,发送年薪百万的岗位内部招聘主题类的压缩包,实际上里面是一个后门程序,这种方式有很多成功案例,红队队员去脉脉等求职平台,定位到目标单位的运维技术等人员,谎称自己是阿里、腾讯、华为高管,进行年薪百万的定向招聘,然后诱导至微信聊天,发送钓鱼邮件木马压缩包。
2025-01-11 21:11:46
218
转载 【渗透系列】近年HVV、红队攻防比赛中常见外围打点漏洞的分析与总结
sentinel弱口令、mysql的3306弱口令,但我未见到过外网的SQLServer的弱口令(推测原因是,如果存在弱口令,早就被外网的那些抓肉鸡战队给光顾了)、phpmyadmin弱口令、管理员弱口令(进后台能看到通讯录的话,也是有价值的)、druid未授权获取session,登录后台获取数据。红队队员首先在网上通过各种信息收集得到目标单位的员工手机号,然后通过微信加好友的方式,谎称自己是某大型公司的HR,发送年薪百万的岗位内部招聘主题类的压缩包,实际上里面是一个后门程序,这种方式有很多成功案例,
2025-01-11 21:04:47
47
转载 【渗透系列】某银行外网打点到内网核心区红队评估复盘
走投无路的时候,翻了翻源码中的初始化sql文件,发现系统在启动过程中,会执行这些sql文件,从而默认会添加一个测试账号,于是使用此测试账号,登录后台获取webshell,后续主要的内网横向是通过这个入口开展的。通过前期信息收集,再结合外网web应用系统找到的sql注入漏洞、云上数据库权限等,得到了一个手机号列表,通过这些手机号挨个加微*信聊天,发送带有压缩包的后门,但是能上线的都是个人笔记本电脑,办公网电脑是绝对不允许通外网的,登录不了微信,所以微*信社工这一思路很快被停止。
2025-01-11 20:58:27
532
原创 标准应用 | 2025年网络安全服务成本度量实施参考
为了解决我国网络安全服务产业发展中面临的服务供需两方对于服务成本组成认知偏差较大、网络安全服务成本度量缺乏依据的问题,中国网络安全产业联盟(CCIA)组织北京赛西科技发展有限责任公司、北京安信天行科技有限公司等21家相关单位共同研究制定了GB/T 42461-2023《信息安全技术 网络安全服务成本度量指南》(以下简称“标准”)。后期中国网络安全产业联盟将持续通过“网络安全服务阳光行动”、网络安全产业调研等多种形式,跟踪相关变化,对于服务人员级别调整系数、人力成本调整系数等进行及时更新。
2025-01-09 16:05:02
1081
原创 黑灰产-产业链条和角色
业务情报监测平台——TH-Karma,以攻击者视角,依托开源情报、工具情报、闭源情报三大业务情报体系,及深层次的情报处理能力,帮助企业在业务 环节精准筛选出恶意流量,还原业务风险场景,并量化对业务的影响,且持续 对黑产进行实时监测,驱动风控决策引擎迭代,从而提升企业整体攻防效率。对黑灰进行长期跟进,了解黑灰产工具的传播链条和路径,第一时间捕获活跃的黑灰产工具(建立特征词监控,数据取样、交叉分析)~~相当于制造业里的“中间商”,但会做一些二次加工。~~相当于制造业里的原材料“厂商”。,多以工作室形式存在。
2025-01-09 11:46:11
1405
原创 【渗透系列】实战渗透入侵到菠菜总控后台
还有现在盘子安全性也是越来越高,后台和域名不止没有关系,而且找到后大概率有IP白名单及其谷歌验证码,更难的是搭建环境基本都是在docker容器中,拿到权限也是docker容器的权限,要想搞到主机权限,还要学习研究docker逃逸等技术,种种限制都在提醒我们,不学习新东西新思路,慢慢的我们就会被淘汰。刚开始只是翻来覆去,没找到啥好东西,后来仔细一想,这么多后台地址,账户密码,你总要存在一个地方吧,然后查看了一下进程信息,发现3306端口是开的,但是我不知道数据库root账户的密码。现在万事俱备,只欠登录。
2025-01-09 11:40:08
1092
原创 【黑灰产】菠菜站的资产信息搜集
客服系统之类为第三方,并且现在很多都搭建云平台,建站一条龙;●第四,如果域名为四位数.com的,一般都是大盘,利用谷歌搜索关键词,关联出的信息大多都属一家,因为大型盘的业务很广。关联出来的域名是否很多,以及盘的名字是否不一样。●且这些盘都会往大型盘发展,说白了,就是赚钱后都会不断提高人员素质和安全方面,并且扩展业务。●前期准备:了解黑灰产目标的大致架构(技术架构、人员层级架构),专业数据等。●杀猪盘,属于小型盘,,几十个人左右。●第五,社工,具体问题具体分析。●一般,中型盘,100人以上。
2025-01-09 11:25:57
130
转载 35 岁危机: IT 从业者自救指南
1、资深网络安全专家,10 年从业经验,5 年乙方攻防、5 年甲方安全防御建设经验,在 SDL、DevSecOps、移动安全、API 安全、软件供应链安全、AI驱动应用安全、云安全、数据安全、红队攻防演练、欧盟GDPR技术落地等领域有丰富的实践经验。2、现任 SHEIN 全球应用安全主管,曾任 SHEIN 中国应用安全主管和 全球安全BP 主管。
2025-01-08 14:52:45
128
原创 华人小伙偷走数千枚比特币,价值16.8亿!壕撒千万夜店泡妞、买私人飞机、狂购31辆豪车…
马隆· 林在签证过期后仍留在美国,在这期间他用骗来的钱,购买了31辆跑车,包括定制的兰博基尼、法拉利和保时捷,一些轿车的价格高达300万美元。据夜总会的人透露,马隆· 林曾在洛杉矶的一家夜店连续三晚豪掷150万美元,用于购买昂贵的香槟酒和高调的广告牌,招摇地展示自己的绰号。如果马隆· 林的串谋电信诈骗和洗钱罪名成立,他可能面临长达20年的监禁和最高25万美元的罚款,或罚款高达诈骗金额的两倍。不过一个月的时间,他就从新加坡一个普通的不能再普通的年轻人,到成为震惊全球的加密货币的惊天盗贼。
2025-01-06 17:13:43
289
转载 Jenkins文件读取漏洞拾遗(CVE-2024-23897)
在Vulhub环境中,“匿名用户可读”是开启的,某些Jenkins版本默认安装时可能也是开启的,但通常管理员会关闭这个功能。本来是一个很常见的功能,但设计中神奇的是,用户使用jenkins-cli.jar时,命令行是传到服务端解析的,而不是在jenkins-cli.jar里解析。因为这部分代码在args4j中,在读取文件的时候就已经使用UTF-8编码,导致二进制信息的丢失,后续客户端传入的charset是什么都不会影响返回结果中的占位符了。开头,则也会被认为是文件名,并读取该文件,造成文件读取漏洞。
2024-11-01 12:23:38
425
转载 [渗透系列]双供应链拿一个目标
最后我顺着系统指纹找到了供应链企业的一个测试环境,其并没有套waf,在我字典的狂轰乱炸下出了个名字肥肠逆天的入口接口,当时打了两天,黑盒fuzz出了他们所有未授权的接口和参数,最后成功拿到了这个目标企业在海外援建的所有人员和项目的信息,艰难拿下4000分(分好少..)那就退而求其次,尝试翻一下用户信息和平台的文件信息。所以我挑选了旗下的一个建筑企业,因为他的ui很眼熟,让我想起来一个年初时候的一个项目,当时的目标是一个五百强企业,除了高防就是封,10分钟给我封了3ip,压根没法测,其他队伍也碰了一鼻子灰。
2024-10-28 15:27:35
87
转载 渗透技巧之实战中获取JS文件的各种场景
也就是说,在测试这些站点的时候,当我们通过目录FUZZ,找到了一些能加载的界面,比如后台Index.php,可以通过分析和他有关的一些JS内容,找到和它有关的页面B,然后分析B,又可能找到C... 通过页面之间的关联性,环环相扣,实际上只通过一个页面、一个JS文件,就可以把后台的大量页面和JS找出来,而其中说不定就有一些没做好鉴权的页面或接口。所以,可以养成一个习惯,无论用何种方法,当我们找到并进入一个新的页面,最经典的比如从前台进入后台,可以打开页面源代码或者F12,看看有没有多出一些新的JS。
2024-10-12 16:21:34
136
转载 渗透技巧之JS文件当中API应该如何寻找参数的蛛丝马迹?
我们可以先观察接口名字,找一组“输入输出接口”,当输入相关接口fuzz不出参数,可以找寻对应的输出相关接口,FUZZ其参数,然后通过观察接口返回的信息,来获取具体的参数值,多说无益,我们来给一个案例。而我们增删改查操作的东西,实际上就是商品这个类,具体来说是类中的属性,比如商品价格对应一个属性,商品数量对应一个属性,对应反映到WEB上就是price、count等参数值,既然关于商品的不同操作实际上操作的都是同一个类,那么参数值(类中的属性)肯定都是高度类似的,大部分情况下实际上是完全相同的。
2024-10-12 16:13:58
104
转载 渗透技巧之ClickHouse数据库安全问题
关于ClickHouse数据库的注入,还是非常有意思的,它有点像我们的老朋友mysql,但又不完全一样,有很多自己独特的打法。随着大数据应用越来越广泛,在实战中遇见这款数据库的可能性也会越来越大,值得一学。
2024-10-12 14:20:34
1033
转载 渗透技巧之爆破及喷洒过程中与常见限制机制的对抗思路
这款插件还是非常强大的,根据我的体验,在面对位数较少的纯数字图形验证码,并且图形验证码里没有干扰因素的前提下,这款插件的识别成功率还是非常高的,面对一般的字母数字混合的图形验证码,其识别成功率就会下降一些了,但一旦验证码中有大量干扰因素,并且采用字母数字混合的较长的验证码,那识别成功率会急剧衰减。这里只是以滑动验证码、算数验证码等常见的复杂验证码来举例,实际上上文提到的攻击思路对其它更奇葩更冷门的复杂验证码也可能是有效的,还是那句话,这些更复杂的验证码本身可能是安全的,但人写出来的代码和流程却不一定。
2024-10-12 14:16:54
145
转载 【渗透系列】某金融src的一次较复杂攻击链渗透进入后台
本文大体完成于去年,是由某金融SRC的案例修改而来,由于涉及一些敏感信息,所以部分细节略有修改。整个案例还是很有意思的,从一个页面到另一个页面,从一个JS到另一个JS。
2024-10-12 14:08:35
91
转载 SRC漏洞挖掘,我们需要从JS文件里提取哪些信息?
关于JS在渗透测试中的关键作用,想必不用过多强调,在互联网上也有许多从JS中找到敏感信息从而拿下关键系统的案例。大部分师傅喜欢使用findsomething之类的浏览器插件,也有使用诸如Unexpected.information以及APIFinder之类的Burp插件,也有师傅喜欢使用packerfuzzer和JSFinder之类的工具。上述脚本和工具都是非常优秀的,笔者在日常测试中也经常将上述工具结合着使用。
2024-10-11 21:34:01
209
2
转载 【渗透系列】一次简单的渗透私活
path= 我们前面分析JS的时候并没有获取到这个接口,从返回包信息来看,这个接口是用来读图片内容的。首先是某个后台,分析JS之后得到了一堆接口,虽然很多未鉴权啊,但是乍一看没有可以深入利用的,如果是SRC,那么高危肯定到手,但是这个私活必须得更进一步,得进一个靶标web系统的后台或者给它getshell。我的一个习惯就是,当获取到目标的某些密码之后,不管它是内网服务还是外网服务的密码,我都会设法给它变形、拓展,然后对目标的所有服务进行密码爆破和喷洒,有时候能有奇效。),用到了一些有意思的小tips。
2024-10-11 21:00:54
106
转载 从druid一路杀到云控制台
在挖某家SRC的时候,通过域名历史解析找到一个IP,然后通过各种问题组合接管云控制台,最后告知打歪了,今天分享一波。有点标题党了,这个流程实际上也不是很难.
2024-10-11 20:50:07
199
原创 如何用一种SQL注入姿势在src斩获30w+赏金?
此处会有个小细节,一般筛选的时候,会有个type或者op的字段,type表示类型,对应有int、string等(有些可能用数字1、2、3这种代替),对于一些注入的判断,需要去对类型进行fuzz,如果默认数据包对应的类型不报错,可能type换成其他类型时,也可能会报错,从而进行sql注入利用。Clickhouse的SSRF根据目前实战的经验来看,主要是由URL函数和S3函数未禁用导致的,URL函数未禁用的情况居多,S3函数取决于业务是否需要提供 S3 特定的功能。
2024-08-21 16:23:54
953
原创 SSRF非常规利用方法
SSRF漏洞在互联网公司中应该是除了越权之外最普遍的漏洞了。关于漏洞的原理,绕过,传统的扫端口、各种探测等利用方式等就不再赘述,这里分享下自己作为攻防当中常用的一些SSRF的利用途径。
2024-04-15 23:02:41
1093
原创 LinkWeChat任意文件读取(CVE-2024-0882)
不仅集成了企微强大的后台管理及基础的客户管理功能,而且提供了多种渠道、多个方式连接微信客户。后面对其yml文件进行研究,发现文件当中配置了大量的账户密码,包括mysql、redis、ak/sk等等,可以直接进行利用。/../../../../../etc/passwd 操作参数名称会导致路径遍历,可以远程发起攻击.一般情况下,通过任意文件读取的漏洞获取到系统敏感配置文件和账密。通过该命令我们就可以直接通过任意文件读取直接拿到该yml文件。该系统存在任意文件读取漏洞,使用输入 /
2024-03-28 13:00:55
861
原创 kkFileView漏洞总结
Keking kkFileview 存在安全漏洞,该漏洞源于存在通过目录遍历漏洞读取任意文件,可能导致相关主机上的敏感文件泄漏。kkFileview v4.1.0存在SSRF漏洞,攻击者可以利用此漏洞造成服务器端请求伪造(SSRF),远程攻击者可以通过将任意url注入url参数来强制应用程序发出任意请求,从而获取内网机器的数据。3、kkFileview的onlinePreview接口也存在SSRF漏洞,但是利用条件上稍微有点区别,这个接口限制了后缀只能为一些常见的文本类型。
2024-03-18 16:31:55
4062
2
原创 Burpsuite配置BurpJSLinkFinder进行网页JS链接提取
下载开源项目,并且将其py文件(FransLinkfinder.py)放到python环境的lib\site-packages目录下。然后配置python环境的文件位置(需要精确到Lib\site-packages)BurpJSLinkFinder用于被动扫描 JS 文件获取js文件当中的链接。首先是配置jython standalone JAR的文件位置。3.2 然后去配置burpsuite的extender。点击add,选择python,将其文件导入进去即可。路径的话禁止中文命名,否则会报错。
2024-03-05 13:58:47
2651
原创 HIKVISION iSecure Center RCE 海康威视综合安防管理平台任意文件上传 POC&EXP
近日,攻击者利用该漏洞上传Webshell,并随后执行任意命令,对主机上相关文件进行加密,加密后缀为locked1。该漏洞利用成本极低,危害极高。该漏洞非0day,海康威视已于2023年6月修复。HIKVISION iSecure Center综合安防管理平台是一套“集成化”、“智能化”的平台,通过接入视频监控、一卡通、停车场、报警检测等系统的设备,获取边缘节点数据,实现安防信息化集成与联动,以电子地图为载体,融合各系统能力实现丰富的智能应用。
2023-11-17 16:00:53
2899
网络安全攻防+web常见系统收集关键字
2023-06-23
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人