现在的年轻人遭受着信息轰炸,大多数都失去了独立思考的能力。
事件起因
昨日,因为Nginx 0day漏洞通告而造成大面积的传播,而多数文章都是分享的Nginx LDAP RCE漏洞
然而该漏洞与所通报的Nginx RCE漏洞版本号并不符合,该漏洞所使用的Nginx版本号为1.18,而通告的Nginx版本为<=1.21.6。
我们先说下第一个版本,也就是Nginx 1.18,该漏洞是在Nginx编译安装带有LDAP选项时才可能含有该漏洞,漏洞的利用条件复杂,详情可以访问以下地址查看:
https://securityonline.info/nginx-zero-day-rce-vulnerability-alert/
https://github.com/AgainstTheWest/NginxDay
第二个版本,也就是要着重介绍的Nginx RCE漏洞,该Ningx漏洞版本为<=1.21.6,在4月份爆出,与Nginx 1.18版本漏洞相差没几天,当时外网已经传疯,实验室早已成为已知状态,并在私有漏洞推送群通报过
至于外网传疯,其实早在我微步社区发帖就已经发过,更多详情可以查看微步
https://x.threatbook.com/v5/article?threatInfoID=24117
而大多数文章都以Nginx 1.18版本的LDAP来进行蹭热点,所以我就想进行一个小实验,看看有多少人能区分真假POC
实验
首先我fork了原版仓库地址:
https://github.com/gamozolabs/nginx_shitpost
然后根据微步官方发的消息将仓库进行伪装
准备的万无一失后,还需要将该仓库谣传成为红队钓鱼仓库,我选择了在QQ群、微信群和微步社区
实验结果
果然,没过多久,该仓库便被传成红队钓鱼项目
当然,效果更显著的是第二天看到这个公告
结语
其实这个“钓鱼”实验是漏洞百出的,第一,在该仓库提交处可以看到,我只新增了readme.md文件,并没有对原有仓库其他文件进行任何更改
第二,访问该仓库的用户地址其实可以发现,这就是实验室仓库,并不是常见的红队小号钓鱼用的账户
此次实验并没有任何讽刺意味,只是觉得现在自媒体发达,导致很多东西真假难分,而随着垃圾内容填充,也让越来越多的年轻人失去了独立思考的能力,哪怕对该仓库与原版仓库进行逐一对比也会发现其破绽,识别到是真正的POC。
希望在HVV期间不要太多人云亦云,以讹传讹。
原文始发于微信公众号(Ghost Wolf):2022年HVV发生事件所带来的思考
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论