概要在很多 Linux 平台的应急响应过程中，发现很多系统中存在 sshd 后门，虽然 sshd 后门已经存在 10 余年，但是并没有公开资料讲解如何分析，因此多数安全人员不能发现 sshd 后门，...

1.1 状态完成漏洞挖掘条件分析、漏洞复现。1.2 简介Apache Shiro作为Java框架，可被用于身份认证、授权等任务。整合Apache Shiro至Spring Boot中时，请求可能会导致越权绕过身...

漏洞简介Google发布公告，旧版本的 chrome 浏览器的 FreeType字体库中存在堆溢出，被利用可能导致 RCE（远程代码执行）。安全专家建议用户尽快升级到86.0.4240.111 之后的版本，以解...

本文首发于“合天智汇”公众号 作者：xiaoleungtitle: 西湖论剑 Flagshop 分析复现date: 2020-10-13 13:12:04tags: CTF本文推荐实验PWN综合练习（三）实验:PWN综合练习（三）(合天网...

漏洞简介PHP 发布公告，旧版本的 php_array_merge_recursive 函数中存在UAF风险，被利用可能导致用来绕过禁用函数。受影响的版本PHP 7.2 - 7.4.9安全专家建议用户尽快升级到...

关键字：营销活动 黑产攻击 恶意工具发现时间：2020年8月事件描述Karma业务情报引擎发现近期有一批针对某运营商超级星期五营销活动的作恶工具。根据Karma上的黑产情报动态，我们...

本文首发于“合天智汇” 作者：xiaoyuer本次是实现一个木马下载器（Trojan Downloader），从某个指定的URL中下载一个文件，并将其在后台偷偷运行起来。主要使用的API函数是URLDownloa...

1.摘要近期，威胁情报中心监测到伪装文档的攻击样本，伪装内容与“检察院裁决书”、“台资交账”等，核心远控程序使用了开源AsyncRAT远控，通过分析样本后发现，回连域名解析IP为中国...

1.摘要 近期，安恒威胁情报中心猎影实验室监测捕获到一些以博彩为主题的钓鱼文档。诱饵文档使用模糊的表格照片，诱导受害者打开宏代码。样本通过bitsadmin从挂马网站下载后续...

0x0 事件简述某天，客户觉得自己的机器貌似被感染了，让我们寻找一下解决方案，看看到底有没有异常流量，以及是否感染，感染的具体情况。客户提供的信息如下：LAN segment range: 10.08...

漏洞简介Apache Solr 发布公告，旧版本的ConfigSet API 中存在未授权上传漏洞风险，被利用可能导致 RCE （远程代码执行）。受影响的版本：Apache Solr6.6.0 -6.6.5Apache Solr7.0...

背景1.  某网站出现weblogic多次服务停止事件，时间分别为：（2018年1月2日：9点、14点、15点。1月3日：9点、14点，具体时间无）。2. 网站方提供恶意代码附件”恶意代码.txt”，该恶意代码...

0x00写在前面工欲善其事必先利其器！熟悉掌握一种神器对以后的工作必然是有帮助的，下面我将从简单的描述Wireshark的使用和自己思考去写，若有错误或不足还请批评指正。0x01Wires...

一、背景最近在样本分析过程中发现针对支付宝理赔的钓鱼事件，人在很紧急的情况下很容易忽视网站的真实性，这样就给了黑客可乘之机。网络钓鱼，是指攻击者通过垃圾邮件、即时通信...

本文配合：https://github.com/veracode-research/spring-view-manipulation/食用更佳。背景：Thymeleaf 是与 java 配合使用的一款服务端模板引擎，也是 spring 官方支持的一款服...

一 概述启明星辰ADLab实验室在近几个月内，通过威胁情报检测系统接连捕获到多起针对哥伦比亚国家的政府部门，金融、银行、保险等行业及卫生和制药机构发起的钓鱼邮件定向攻击。...

我们学校被钓鱼了，泄露了不少同学的邮箱信息。正好先来无事，实验室的师哥们就带这我们这帮菜鸡们玩了玩（呜呜呜~~基本都是师哥拿下来的，弟弟太菜了），毕竟在我们这种特殊院校出现这...

一、引言在当前的网络环境中，存在着各种流量，包括网络空间扫描流量、搜索引擎爬虫流量、恶意软件的探测流量等等，例如mirai病毒在进行telnet爆破过程中，其目标IP就是随机生成的（...

Part 1PS：本文仅用于技术讨论与分析，严禁用于任何非法用途，违者后果自负。昨晚在朋友圈看到有人发了一个通达OA的0day，但是没有去验证，直接转到了绿帽子技术交流群里。Part 2今天...

2020年美国陆军最新发布的332页名为《NORTH KOREAN TACTICS》(朝鲜战术)手册显示，朝鲜军方“采用的策略基于前苏联或目前的俄罗斯学说，中国的发展和经验教训以及对近期军事行...

一、引言 在恶意软件发展的初期，恶意软件编写者会直接将控制服务器的域名或IP直接写在恶意软件中（即使是现在也会有恶意软件遵从这种方式，笔者部署的蜜罐捕获的僵尸网络样本中，...

在上一篇文章中《内网渗透研究：LLMNR和NetBIOS欺骗攻击分析》中，我们利用LLMNR/NetBIOS劫持成功获得了目标主机的Net-NTLM Hash。我们获得了Net-NTLM Hash后首先想到的就是爆...

看了好久的文章才开始分析调试java的cc链，这个链算是java反序列化漏洞里的基础了。分析调试的shiro也是直接使用了cc链。首先先了解一些java的反射机制。 PS：本文仅用于技术讨...

本文首发于“合天智汇”公众号 作者：xiaoyuer 前情提要： 逆向入门分析实战（一）：https://www.toutiao.com/i6805482528477020684/ 逆向入门分析实战（二）：https://www.toutiao.co...

基础知识 LLMNR是什么？ 链路本地多播名称解析（LLMNR）是一个基于协议的域名系统（DNS）数据包的格式，使得双方的IPv4和IPv6的主机来执行名称解析为同一本地链路上的主机。当局域网中...

一、Outlook主页滥用 OUTLOOK可以设置主页样式，如下图为收件夹的主页样式 只要打开OUTLOOK就会立即执行，最主要的是可以该主页可以调用outlook的内部IE浏览器，Outlook的内部IE...

0x00 背景 本人是信息安全专业大三的学生，爱好二进制安全。近日，在平时的威胁情报收集中，发现了一起韩国APT组织KimSuky的攻击事件，对整个事件进行完整分析之后，觉得自己对样本分...

一、样本简介及行为检测 样本伪装成了eset的升级程序 图标如下 由于再分析之初对样本行为不太清楚，这里需要用到相应的行为检测工具，此类工具有火绒剑，systracer，Procmon，Sysmon...

此程序源自吾爱动画大赛作品《勒索软件从入门到入狱》，拿到软件先去一些云沙箱做一个简单扫描，结果如下： 沙箱检测的的高危行为如下： 可疑和低危行为如下： 软件的执行大致流程如...

一、前言： 本篇继续针对远控功能进行了全面分析，模拟攻击场景、取证分析。 二、攻击模拟： ↪ 被控端会定时向主控发送Post请求，等待主控下发指令，代码如下所示： ➥ 主控接收肉鸡...