📰 最近消息
攻击中使用的 ZxShell 是通过 dropper 安装为服务的形式的,最终安装的 ZxShell 类型不尽相同,但特点是与原始 ZxShell 相比删除了许多功能,仅提供远程 shell、文件管理等基本功能。虽然攻击者无法使用键盘记录、收集信息、远程桌面等功能,但下面显示的支持功能足以控制受感染的系统。攻击者还使用韩国游戏公司的有效证书对 ZxShell 进行签名,并使用 Mimikatz、PrintSpoofer、Nirsoft 的 Dialupass 等用于提权和凭证窃取的工具进行攻击
目标系统的版本是否支持I/O ring的提权方式,如果支持,则完成相关的初始化工作,并返回 var_ioringRegBuffers/var_ioringRegBuffersCount,这种方式具体利用细节可以看以下文章(https://windows-internals.com/one-i-o-ring-to-rule-them-all-a-full-read-write-exploit-primitive-on-windows-11/),简单来说这是一种Windows 11 22H2+后独有的利用原语,可以将 Windows 内核中的任意写入甚至任意增量错误转变为对内核内存的完全读/写,在
FunkSec网站上列出的受害者包括一家旅游预订公司、一家能源管理服务提供商以及一家家用电器销售公司。然而,这些公司均未公开证实自己遭受了所谓的攻击。该组织最新版本的勒索软件被命名为FunkSecV1.5,据推测,其创建者可能在阿尔及利亚上传了该软件。该恶意软件包含了一些疑似借助人工智能创建的元素
NK 文件配置为执行 PowerShell 命令,该命令定位“Doc.zip”存档并将其提取到“C:\ProgramData”目录中。提取后,使用 cmd.exe start 命令启动包含可执行文件的“Doc.zip”存档执行后,Doc.zip 文件会使用SetConsoleCP和SetConsoleOutputCP Win32 API 将输入和输出代码页都设置为 OEM 俄语(西里尔文)。此外,它还会将受害计算机的语言环境设置为“ ru_RU.UTF-8 ”,以将系统配置为使用 UTF-8 编码.配置区域设置后,恶意软件会尝试使用 User-Agent 字符串“Boost.Beast/353
漏洞探测1.后台页面通过上面收集的信息来说,还是比较局限,先不管吧,有一个后台,就来尝试一下后台登录,看是否ok2.猜账户随手一个admin,进入到输入密码和安全码的页面,输入其他账号会提示用户名不正确,所以这里判断账号为:admin3.爆破安全码这里开始爆破安全码,因为进入到这个界面随便输入一个安全码它会提示安全码不正确,所以我在想如果把安全码输入正确了密码不对,它是不是只会提示密码错误。这个问题用burp来爆破看看通过URL解码,然后在网站后台登录看看,既然这样提示了,那应该是验证了我的想法,所以这里判断安全码为:123456https://t.me/Direction_South
BC网站渗信息收集以下由tfxxx来代替域名锁定网站:tfxxx.com,查看服务器ip以及判断是否有cdn这个没有cdn,很nice,目录扫描,总体来说,并没有得到什么有用的价值。二级域名扫描不错,得到了一个后台 admin.tfxxx.com,留着待会看,端口扫描,全端口扫描,这里就不截图了,扫的太慢了,基本上也没有啥利用的,远程端口更改了,扫出来的是20119端口。💻https://t.me/Direction_South
— 让搜索更高效 · 让信息更有价值 —🔍帮你找到有趣的群组、频道、视频、音乐、电影、新闻📢: @CJYQNEWS | 🤖: @CJYQ👇点击下方按钮,进行搜索👇