HVV蓝队情报|警惕钓鱼
已公布情报
| 产品 | 漏洞名称 |
| 安恒明御WAF | 【厂商已确认】安恒明御WAF存在远程命令执行漏洞 |
| 小鱼易连会议系统 | 【可能性极高】小鱼易连会议系统存在0day |
| 绿盟科技NF防火墙 | 【厂商已确认】绿盟科技NF防火墙版本<6.0.3.198存在远程命令执行漏洞 |
| 奇安信天擎 | 【厂商已确认】奇安信天擎版本<6.7.0.4910存在安全漏洞 |
| Elasticsearch | Elasticsearch服务器存在未授权访问漏洞 |
| Chrome | 间谍软件制造商Candiru滥用Chrome零日漏洞 |
| 泛微E-cology | 泛微E-cology文件上传漏洞,8.0/9.0 10.47以下版本受影响(已验证) |
| 某OA代码执行漏洞 | |
| 致远OA | 致远OA文件上传漏洞,A8+集团版V8.0SP2LTS和其他版本 |
| 泛微云桥e-Bridge | 泛微云桥e-Bridge存在sql注入漏洞 |
| Apache Commons | Apache Commons远程代码执行漏洞 |
| GitLab | GitLab远程代码执行漏洞 |
| 泛微OA | 泛微OA存在sql注入漏洞 |
| 用友U8-OA | 用友U8-OA企业版本存在sql注入漏洞 |
| 泛微OA | 泛微OA存在命令执行漏洞 |
| FastJson | FastJson代码执行漏洞 |
| 致远A8 | 致远A8 getshell(0 day) |
| 禅道 | 禅道存在sql注入漏洞 |
| FastJson | FastJson代码执行漏洞(0 day) |
| 蓝凌OA | 蓝凌OA远程代码执行漏洞(0 day) |
| 万户OA | 万户OA getshell(0 day) |
| 拓尔思was5 | 拓尔思was5 getshell(0 day) |
| jboss | jboss EAP /AS 6.远程代码执行(0 day) |
| thinkphp | thinkphp远程代码执行漏洞(0 day) |
| thinkphp | thinkphp任意文件读取(0 day) |
| 明御WEB应用防火墙 | 明御WEB应用防火墙任意登录(0 day) |
| Laravel | Laravel存在命令执行漏洞 |
| 某软sdp软件 | 某软sdp软件定义边界系统命令执行漏洞(0 day) |
| 某软网络准入控制系统 | 某软网络准入控制系统反序列化漏洞(0 day) |
| 深信服VPN | 深信服VPN>=7.6.3命令注入漏洞 |
| 通达OA | 通达OA 11.9版本未授权或越权漏洞 |
| GitHub投毒 | 天擎去年的洞钓鱼github |
| .......... |
目前个人掌握的情报
| 锐捷EWEB |
| 金蝶云星空 |
| 天融信某产品 |
| H3C系列 |
某公众号实名钓鱼系列
C2地址:43.129.158.31:5555
目前已删除
github地址:https://github.com/safexz/2022hvv0day
据有关朋友私信,某公众号博主多次钓鱼
钓鱼木马大概为二阶段
第一阶段:
tongda_sql_GUI.exe释放md 和txt pe文件(木马改了个后缀)
C盘user的public下面为释放木马文件
最后删除原有的exe并且自动打开md
第二阶段:
被杀😥
手法有点小白,不过可以。
溯源过程
后台某好兄弟溯源到微信,给好兄弟加鸡腿,可以说有史以来最快的一次溯源到人了。
原文始发于微信公众号(一颗好韭菜):HVV蓝队情报|警惕钓鱼
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论