后缀为 .xls 的excel文件保护密码爆破

 打开后缀为xls的excel文件，alt+f11呼出VBA。

双击ThisWorkbook，新建一个代码。

然后复制粘贴如下爆破代码，点击运行即可。

Public Sub 工作表保护密码破解()
    Const DBLSPACE As String = vbNewLine & vbNewLine
    Const AUTHORS As String = DBLSPACE & vbNewLine & _
        "作者:McCormick   JE McGimpsey "
    Const HEADER As String = "工作表保护密码破解"
    Const VERSION As String = DBLSPACE & "版本 Version 1.1.1"
    Const REPBACK As String = DBLSPACE & ""
    Const ZHENGLI As String = DBLSPACE & ""
    Const ALLCLEAR As String = DBLSPACE & "该工作簿中的工作表密码保护已全部解除!!" & DBLSPACE & "请记得另保存" _
        & DBLSPACE & "注意：不要用在不当地方，要尊重他人的劳动成果！"
    Const MSGNOPWORDS1 As String = "该文件工作表中没有加密"
    Const MSGNOPWORDS2 As String = "该文件工作表中没有加密2"
    Const MSGTAKETIME As String = "解密需花费一定时间,请耐心等候!" & DBLSPACE & "按确定开始破解!"
    Const MSGPWORDFOUND1 As String = "密码重新组合为:" & DBLSPACE & "$$" & DBLSPACE & _
        "如果该文件工作表有不同密码,将搜索下一组密码并修改清除"
    Const MSGPWORDFOUND2 As String = "密码重新组合为:" & DBLSPACE & "$$" & DBLSPACE & _
        "如果该文件工作表有不同密码,将搜索下一组密码并解除"
    Const MSGONLYONE As String = "确保为唯一的?"

    Dim w1 As Worksheet, w2 As Worksheet
    Dim i As Integer, j As Integer, k As Integer, l As Integer
    Dim m As Integer, n As Integer, i1 As Integer, i2 As Integer
    Dim i3 As Integer, i4 As Integer, i5 As Integer, i6 As Integer
    Dim PWord1 As String
    Dim ShTag As Boolean, WinTag As Boolean
    Application.ScreenUpdating = False
    With ActiveWorkbook
        WinTag = .ProtectStructure Or .ProtectWindows
    End With
    ShTag = False
    For Each w1 In Worksheets
        ShTag = ShTag Or w1.ProtectContents
    Next w1
    If Not ShTag And Not WinTag Then
        MsgBox MSGNOPWORDS1, vbInformation, HEADER
        Exit Sub
    End If
    MsgBox MSGTAKETIME, vbInformation, HEADER
    If Not WinTag Then
    Else
    On Error Resume Next
    Do 'dummy do loop
    For i = 65 To 66: For j = 65 To 66: For k = 65 To 66
    For l = 65 To 66: For m = 65 To 66: For i1 = 65 To 66
    For i2 = 65 To 66: For i3 = 65 To 66: For i4 = 65 To 66
    For i5 = 65 To 66: For i6 = 65 To 66: For n = 32 To 126
    With ActiveWorkbook
    .Unprotect Chr(i) & Chr(j) & Chr(k) & _
    Chr(l) & Chr(m) & Chr(i1) & Chr(i2) & _
    Chr(i3) & Chr(i4) & Chr(i5) & Chr(i6) & Chr(n)
    If .ProtectStructure = False And _
    .ProtectWindows = False Then
    PWord1 = Chr(i) & Chr(j) & Chr(k) & Chr(l) & _
    Chr(m) & Chr(i1) & Chr(i2) & Chr(i3) & _
    Chr(i4) & Chr(i5) & Chr(i6) & Chr(n)
    MsgBox Application.Substitute(MSGPWORDFOUND1, _
    "$$", PWord1), vbInformation, HEADER
    Exit Do 'Bypass all for...nexts
    End If
    End With
    Next: Next: Next: Next: Next: Next
    Next: Next: Next: Next: Next: Next
    Loop Until True
    On Error GoTo 0
    End If
    If WinTag And Not ShTag Then
    MsgBox MSGONLYONE, vbInformation, HEADER
    Exit Sub
    End If
    On Error Resume Next
    For Each w1 In Worksheets
    'Attempt clearance with PWord1
    w1.Unprotect PWord1
    Next w1
    On Error GoTo 0
    ShTag = False
    For Each w1 In Worksheets
    'Checks for all clear ShTag triggered to 1 if not.
    ShTag = ShTag Or w1.ProtectContents
    Next w1
    If ShTag Then
    For Each w1 In Worksheets
    With w1
    If .ProtectContents Then
    On Error Resume Next
    Do 'Dummy do loop
    For i = 65 To 66: For j = 65 To 66: For k = 65 To 66
    For l = 65 To 66: For m = 65 To 66: For i1 = 65 To 66
    For i2 = 65 To 66: For i3 = 65 To 66: For i4 = 65 To 66
    For i5 = 65 To 66: For i6 = 65 To 66: For n = 32 To 126
    .Unprotect Chr(i) & Chr(j) & Chr(k) & _
    Chr(l) & Chr(m) & Chr(i1) & Chr(i2) & Chr(i3) & _
    Chr(i4) & Chr(i5) & Chr(i6) & Chr(n)
    If Not .ProtectContents Then
    PWord1 = Chr(i) & Chr(j) & Chr(k) & Chr(l) & _
    Chr(m) & Chr(i1) & Chr(i2) & Chr(i3) & _
    Chr(i4) & Chr(i5) & Chr(i6) & Chr(n)
    MsgBox Application.Substitute(MSGPWORDFOUND2, _
    "$$", PWord1), vbInformation, HEADER
    'leverage finding Pword by trying on other sheets
    For Each w2 In Worksheets
    w2.Unprotect PWord1
    Next w2
    Exit Do 'Bypass all for...nexts
    End If
    Next: Next: Next: Next: Next: Next
    Next: Next: Next: Next: Next: Next
    Loop Until True
    On Error GoTo 0
    End If
    End With
    Next w1
    End If
    MsgBox ALLCLEAR & AUTHORS & VERSION & REPBACK & ZHENGLI, vbInformation, HEADER
End Sub

Read More

M1的 MACOS (理论上)安装任意 iOS APP 的方案

苹果M1芯片基于ARM可直接在新版 MacBook 上使用iOS应用 , 也就是多数iOS应用都可以在MacBook上使用。

不过部分 APP 依然不支持在MacBook 上安装(在 appstore 上搜索不到)，于是大家就开始直接下载 ipa 包进行安装运行了。

为了避免从第三方平台下载导致的安全问题，找到一个通过 '同步/备份机制' 绕过下载验证的方案，具体方案如下，理论上可安装任意 iOS APP。

1. 在macOS应用商店里下载Apple Configurator 2工具 ，安装该软件后打开并连接你的iPhone或iPad下载APP。
2. 在Apple Configurator 2工具里点击你连接的iPhone或iPad , 然后右键选择添加、添加APP、搜索你要的APP。
3. 找到你要的APP后点击添加就可以自动下载 , 下载完成会提示你的设备已存在该应用，此时切记不要点击替换。(这里注意到，保持该界面不动，先进行4，提取缓存的 ipa 文件后再处理这里的应用；另，如果设备未安装，会直接进行安装，不会保留缓存 ipa 文件。)
4. 使用快捷键组合Command+Shift+G打开以下路径，打开这个路径就可以看到下载好的IPA文件将其复制出来。

~/Library/Group Containers/K36BKF7T3D.group.com.apple.configurator/Library/Caches/Assets/TemporaryItems/MobileApps/

    

5. 双击IPA文件进行安装 , 打开会报错没有权限 , 打开终端然后输入以下命令对特定路径的APP进行权限处理即可。

sudo xattr -r -d com.apple.quarantine /Applications/WeChat.app

Read More

[日常修复] MACOS 升级后，git 命令执行报错： missing xcrun at: /Library/Developer/CommandLineTools/usr/bin/xcrun

报错信息：

~ $ git
xcrun: error: invalid active developer path (/Library/Developer/CommandLineTools), missing xcrun at: /Library/Developer/CommandLineTools/usr/bin/xcrun

修复方案：

~ $ xcode-select --install
xcode-select: note: install requested for command line developer tools

触发 xcode 更新，确认更新即可。

​

Read More

[转]AFL（二）afl-qemu无源码fuzz

使用brew/apt方式安装的afl没有afl-qemu-trace(不支持使用QEMU模式)，所以我们需要下载afl的源码自己编译。

0x1 安装配置

编译完成后，需要配置qemu环境。不过，afl提供了一个脚本，在qemu-mode文件夹下的build_qemu_support.sh。运行这个脚本来配置qemu环境，但qemu-mode只支持linux，macOS可以在docker上使用，docker使用参考macOS上使用kali-linux for docker：

$ ./build_qemu_support.sh
=================================================
AFL binary-only instrumentation QEMU build script
=================================================

[*] Performing basic sanity checks...
[-] Error: QEMU instrumentation is supported only on Linux.

编译成功信息如下：

[+] Build process successful!
[*] Copying binary...
-rwxr-xr-x 1 root root 10956864 Dec 13 12:26 ../afl-qemu-trace
[+] Successfully created '../afl-qemu-trace'.
[*] Testing the build...
[+] Instrumentation tests passed.
[+] All set, you can now use the -Q mode in afl-fuzz!

遇到的坑

1. 运行后会提示libtool等资源库没有安装，使用sudo apt install安装即可：

   $ ./build_qemu_support.sh
   =================================================
   AFL binary-only instrumentation QEMU build script
   =================================================
   [*] Performing basic sanity checks...
   [-] Error: 'libtool' not found, please install first.
   $ apt-get install libtool-bin
   

2. 安装一些软件包时，有时会出现找不到glib2的错误：

   $ apt install glib2
   Reading package lists... Done
   Building dependency tree
   Reading state information... Done
   E: Unable to locate package glib2
   

   查看build_qemu_support.sh相关代码，需要在/usr/include/glib-2.0/或者/usr/local/include/glib-2.0/有相关库：

   if [ ! -d "/usr/include/glib-2.0/" -a ! -d "/usr/local/include/glib-2.0/" ]; then
   echo "[-] Error: devel version of 'glib2' not found, please install first."
   exit 1
   

   可通过安装以下工具来解决：

   sudo apt-get install libgtk2.0-dev
   

3. qemu编译错误：

   util/memfd.c:40:12: error: static declaration of 'memfd_create' follows non-static declaration
   static int memfd_create(const char *name, unsigned int flags)
            ^~~~~~~~~~~~
   In file included from /usr/include/x86_64-linux-gnu/bits/mman-linux.h:115,
                 from /usr/include/x86_64-linux-gnu/bits/mman.h:45,
                 from /usr/include/x86_64-linux-gnu/sys/mman.h:41,
                 from /root/afl-2.52b/qemu_mode/qemu-2.10.0/include/sysemu/os-posix.h:29,
                 from /root/afl-2.52b/qemu_mode/qemu-2.10.0/include/qemu/osdep.h:104,
                 from util/memfd.c:28:
   

   afl默认qemu版本太老，官方已经patch：
   ./configure：

   @@ -3923,7 +3923,7 @@ fi
   # check if memfd is supported
   memfd=no
   cat > $TMPC << EOF
   -#include <sys/memfd.h>
   +#include <sys/mman.h>
   

   ./util/memfd.c：

   @@ -31,9 +31,7 @@
   #include "qemu/memfd.h"
   -#ifdef CONFIG_MEMFD
   -#include <sys/memfd.h>
   -#elif defined CONFIG_LINUX
   +#if defined CONFIG_LINUX && !defined CONFIG_MEMFD
   

   修改完成后使用如下指令重打包，再修改build_qemu_support.sh里的QEMU_SHA384重新编译即可，SHA384值可以使用sha384sum获取：

   $ tar -Jcf qemu-2.10.0.tar.xz qemu-2.10.0/
   $ sha384sum qemu-2.10.0.tar.xz
   

更换qemu版本

如果想使用更新版本qemu，可以直接将build_qemu_support.sh设置的版本换成官方的较新版本，但更换版本后问题较多：

#VERSION="2.10.0"
VERSION="2.12.1"
#QEMU_SHA384="68216c935487bc8c0596ac309e1e3ee75c2c4ce898aab796faa321db5740609ced365fedda025678d0"
QEMU_SHA384="92957551a3a21b1ed48dc70d9dd91905859a5565ec98492ed709a3b64daf7c5a0265d670030ee7e6d16da96436795435"

1. patch错误：

   patching file linux-user/elfload.c
   Hunk #2 succeeded at 2233 (offset 146 lines).
   Hunk #3 succeeded at 2268 (offset 146 lines).
   patching file accel/tcg/cpu-exec.c
   Hunk #1 succeeded at 37 (offset 1 line).
   Hunk #2 succeeded at 147 with fuzz 2 (offset 1 line).
   Hunk #3 FAILED at 369.
   1 out of 3 hunks FAILED -- saving rejects to file accel/tcg/cpu-exec.c.rej
   

   patch针对的是上层路径的文件更新，可以直接注释掉

   #patch -p1 <../patches/cpu-exec.diff || exit 1
   

2. 缺少pixman，安装即可

   apt-get install libpixman*
   

3. LINK错误：

   LINK    x86_64-linux-user/qemu-x86_64
   linux-user/syscall.o: In function `do_syscall':
   /root/afl-2.52b/qemu_mode/qemu-2.12.0/linux-user/syscall.c:11983: undefined reference to `afl_forksrv_pid'
   linux-user/elfload.o: In function `load_elf_image':
   /root/afl-2.52b/qemu_mode/qemu-2.12.0/linux-user/elfload.c:2236: undefined reference to `afl_entry_point'
   /root/afl-2.52b/qemu_mode/qemu-2.12.0/linux-user/elfload.c:2236: undefined reference to `afl_entry_point'
   /root/afl-2.52b/qemu_mode/qemu-2.12.0/linux-user/elfload.c:2271: undefined reference to `afl_start_code'
   /root/afl-2.52b/qemu_mode/qemu-2.12.0/linux-user/elfload.c:2271: undefined reference to `afl_start_code'
   /root/afl-2.52b/qemu_mode/qemu-2.12.0/linux-user/elfload.c:2275: undefined reference to `afl_end_code'
   /root/afl-2.52b/qemu_mode/qemu-2.12.0/linux-user/elfload.c:2275: undefined reference to `afl_end_code'
   /root/afl-2.52b/qemu_mode/qemu-2.12.0/linux-user/elfload.c:2236: undefined reference to `afl_entry_point'
   /root/afl-2.52b/qemu_mode/qemu-2.12.0/linux-user/elfload.c:2236: undefined reference to `afl_entry_point'
   /root/afl-2.52b/qemu_mode/qemu-2.12.0/linux-user/elfload.c:2271: undefined reference to `afl_start_code'
   /root/afl-2.52b/qemu_mode/qemu-2.12.0/linux-user/elfload.c:2271: undefined reference to `afl_start_code'
   /root/afl-2.52b/qemu_mode/qemu-2.12.0/linux-user/elfload.c:2275: undefined reference to `afl_end_code'
   /root/afl-2.52b/qemu_mode/qemu-2.12.0/linux-user/elfload.c:2275: undefined reference to `afl_end_code'
   collect2: error: ld returned 1 exit status
   Makefile:193: recipe for target 'qemu-x86_64' failed
   make[1]: *** [qemu-x86_64] Error 1
   Makefile:478: recipe for target 'subdir-x86_64-linux-user' failed
   make: *** [subdir-x86_64-linux-user] Error 2
   

   上层patch中对源码文件做了修改，导致部分外部变量没有导入，注释掉相关patch即可：

   # patch -p1 <../patches/elfload.diff || exit 1
   # patch -p1 <../patches/syscall.diff || exit 1
   

4. afl-qemu-trace测试失败

   [+] Successfully created '../afl-qemu-trace'.
   [*] Testing the build...
   [-] Error: afl-qemu-trace instrumentation doesn't seem to work!
   

   应该是用64位afl-qemu-trace工具测试32位程序引起的，忽略即可，或者通过如下指令指定32位架构：

   $ CPU_TARGET=i386 ./build_qemu_support.sh
   

   结果如下，实际也是忽略了测试：

   [+] Successfully created '../afl-qemu-trace'.
   [!] Note: can't test instrumentation when CPU_TARGET set.
   [+] All set, you can now (hopefully) use the -Q mode in afl-fuzz!
   

0x2 使用afl-qemu fuzz

0x21 同cpu架构程序

以系统中wget指令为例，使用如下指令执行fuzz，-Q参数表示使用qemu模式；-m参数设置使用内存大小，不设置则默认200MB：

$ afl-fuzz -i fuzz_in -o fuzz_out -m 200 -Q wget @@

运行成功界面如下（ubuntu for docker）：

0x22 不同cpu架构程序

0x221 获取目标文件

Android adbd程序为例，获取adbd文件：

$ file /system/bin/adbd
/system/bin/adbd: ELF executable, 64-bit LSB arm64, static, for Android 28, BuildID=2ef781f7497eaad0b8ba145996afd9a1, not stripped
$ adb pull /system/bin/adbd ./

0x222 编译目标架构qemu模式

如果fuzz的程序与qemu架构不同，则可能出现如下错误，需要用之前方式指定正确架构进行编译qemu模式：

$ afl-fuzz -i fuzz_in -o fuzz_out/ -Q ./adbd @@
...
[-] Hmm, looks like the target binary terminated before we could complete a
    handshake with the injected code. There are two probable explanations:

    - The current memory limit (200 MB) is too restrictive, causing an OOM
      fault in the dynamic linker. This can be fixed with the -m option. A
      simple way to confirm the diagnosis may be:

      ( ulimit -Sv $[199 << 10]; /path/to/fuzzed_app )

      Tip: you can use http://jwilk.net/software/recidivm to quickly
      estimate the required amount of virtual memory for the binary.

    - Less likely, there is a horrible bug in the fuzzer. If other options
      fail, poke <lcamtuf@coredump.cx> for troubleshooting tips.

[-] PROGRAM ABORT : Fork server handshake failed
         Location : init_forkserver(), afl-fuzz.c:2253

编译arm64版本工具，qemu支持的架构类型见./qemu-2.10.0/linux-user/host/目录，其中arm为32位arm，aarch64为64位arm：

$ ls  ./qemu-2.10.0/linux-user/host/
aarch64  arm  i386  ia64  mips  ppc  ppc64  s390  s390x  sparc  sparc64  x32  x86_64

以64位arm为例，编译指令如下：

$ CPU_TARGET=aarch64 ./build_qemu_support.sh

编译aarch64版本后，继续执行fuzz：

$ ../afl-2.52b/afl-fuzz -i fuzz_in/ -o fuzz_out/ -Q ./adbd

依然错误：

[-] PROGRAM ABORT : Test case 'id:000000,orig:testcase' results in a crash
         Location : perform_dry_run(), afl-fuzz.c:2852

0x223 qemu user mode检查

由于可执行文件的架构不一样，所以需要按照QEMU user mode仿真做一下检查，运行成功后再进行fuzz，详情参考：IoT（七）通过qemu调试IoT固件和程序里的用户模式调试程序。

在该文中，adbd程序由于缺少外部资源依然执行失败（如需对有外部资源依赖的程序进行fuzz，可在该平台编译对应版本的fuzz工具），故重新选取能够执行成功的静态编译工具，如Android上的三方工具busybox：

$ file busybox
busybox: ELF 64-bit LSB executable, ARM aarch64, version 1 (SYSV), statically linked, stripped
$ qemu-aarch64 busybox
BusyBox v1.25.0-NetHunter (2016-03-19 19:36:31 EDT) multi-call binary.
BusyBox is copyrighted by many authors between 1998-2015.
Licensed under GPLv2. See source distribution for detailed
copyright notices.

Usage: busybox [function [arguments]...]
   or: busybox --list[-full]
   or: busybox --install [-s] [DIR]
   or: function [arguments]...
....

此处可成功对busybox进行fuzz：

../afl-2.52b/afl-fuzz -i fuzz_in/ -o fuzz_out/ -Q ./busybox @@

Read More

利用 hexo 搭建github blog

主要还是看 hexo 的 next 主题挺不错的，所以选择了用 hexo 搭建 github 的 blog。
使用 hexo 搭建 blog 的前置条件还是很多的：

1. brew install npm
2. npm install -g hexo-cli
3. npm install -g hexo

如上，即已安装前置的 node.js 和 hexo。

之后需要创建一个新文件夹(文件夹必须为空，否则无法 init hexo)，目录下执行

1. hexo init
2. npm install
3. hexo g
4. hexo s

即启动本地 blog 服务，输入 http://localhost:4000/ 即刻本地查看。

此时需要同步到 github，在 github 进行部署。
这里需要编辑 _config.yml 以通过 hexo d 进行发布(单纯同步工程至 github 不可行)。

deploy:
  type: git
  repo: git@github.com:username/username.github.io.git
  branch: master

这时一般是没有 git 命令的(执行 hexo d 会报错)，需要安装 hexo-deployer-git

npm install hexo-deployer-git

此时，通过如下命令可进行发布

1. hexo clean
2. hexo g
3. hexo d

访问 username.github.io 即可访问自己的 blog。

Read More

安全周事记(20200408)

- 4.1 [AFL源码阅读笔记](https://www.anquanke.com/post/id/201760)

	![test](https://i.loli.net/2020/03/25/fu6R7AJe4KGE8ND.png)
	
- 4.1 [TrickBot木马将获取交易身份验证码的应用推向德国银行客户](https://www.anquanke.com/post/id/202123)

    国外研究员CERT-Bund的推文表示当用户的台式机上感染了TrickBot木马时，TrickBot会询问用户移动设备操作系统（OS）的类型和电话号码。然后提示用户安装假冒的安全应用程序进一步感染受害者的移动设备。

    在应对德国的银行停止使用基于SMS的身份验证，转而使用专用于2FA方案的pushTAN应用程序（使用针对用户的推送通知，其中包含交易明细和交易身份验证号码）情况时。由于Android的应用程序沙箱阻止一个应用程序访问其他应用程序的数据。专为德国银行量身定制的较新版本恶意程序使用了以下两种方式获取交易身份验证号码（TAN）。
     - 使用Android MediaRecorder类捕获屏幕视频或截屏。
     - 使用可访问性服务遍历每个可访问性节点所包含的文本数据，其中包含屏幕上所有对象的文本数据如文本框里的文字。
    ![](https://p0.ssl.qhimg.com/t0162aa13e2bd0afbc9.png)

- 4.1 [NetSupport Manager RAT钓鱼攻击分析](https://www.freebuf.com/articles/network/228898.html)

    2020年1月安全人员发现了一个伪造为受密码保护的恶意Microsoft Word文档，该文档在网络钓鱼活动中用于传播商业化远程访问工具（NetSupport Manager），此RAT通常用于管理员远程访问客户端计算机。但是攻击者将此RAT安装到受害者的系统上，从而获得访问权限。攻击活动中使用多种技术来规避动态和静态分析，并利用PowerShell PowerSploit来执行恶意文件安装。至少从2018年起NetSupport Manager RAT就已经出现在网络钓鱼活动中。

- 4.1 [远控免杀专题(5)-Veil免杀(VT免杀率23/71)](https://www.secpulse.com/archives/127186.html)

    文章打包下载及相关软件下载：https://github.com/TideSec/BypassAntiVirus

- 4.1 [Rocke Group团伙新挖矿变种AliyunMiner分析](https://www.secpulse.com/archives/127162.html)

    深信服安全团队捕获到Rocke Group黑产团伙运营的新挖矿病毒，该病毒通过ssh爆破、ssh免密登录、redis未授权访问漏洞以及redis弱密码爆破、jenkins远程代码执行漏洞以及jenkins弱口令爆破和ActiveMQ远程代码执行漏洞进行传播的挖矿病毒。深信服安全团队对该挖矿木马进行了详细的技术分析，并根据其传播域名特征将其命名为AliyunMiner。
    ![](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/2020/04/13-1024x605.png)

    ***考虑过阿里的感受么？***
- 4.1 [针对香港用户的LightSpy水坑攻击](https://blog.trendmicro.com/trendlabs-security-intelligence/operation-poisoned-news-hong-kong-users-targeted-with-mobile-malware-via-local-news-links/)

    趋势科技的安全研究人员发现了一个针对iOS用户的水坑攻击。其URL指向一个恶意网站，该网站具有指向不同站点的三个iframe，其中一个指向托管iOS漏洞利用主要脚本的网站，用户访问后会加载并运行恶意软件。

    这些攻击利用了影响iOS 12.1和12.2设备的安全漏洞，以整个网站的用户为目标。通过支持外壳命令和文件操作，恶意软件使攻击者可以监视用户并完全控制受感染的设备。本质上是模块化的lightSpy允许对连接的WiFi历史记录、联系人、GPS位置、硬件信、iOS钥匙串、电话历史记录、Safari和Chrome浏览器历史记录、SMS消息以及本地网络IP地址进行过滤。
    ![](https://blog.trendmicro.com/trendlabs-security-intelligence/files/2020/03/poisoned-news-6b.jpg)
- 4.1 [为什么安全类AI模型准确性普遍虚高](https://www.anquanke.com/post/id/201282)

    AI似乎成了目的而不是方法。

    - “准确率”不准确
    - 混淆“验证集”和“测试集”
    - “误报”的放大
    - 训练集的局限性
    - 特征数量水分大

- 4.1 [干货 | Windows取证分析基础知识大全，赶快收藏！](https://www.secpulse.com/archives/127088.html)

    ![](https://secpulseoss.oss-cn-shanghai.aliyuncs.com/wp-content/uploads/1970/01/beepress-image-127088-1585710750.png)

- 4.1 [Zoom 客户端爆出安全漏洞 可向攻击者泄露 Windows 登陆凭据](http://hackernews.cc/archives/29841)

    Windows 版 Zoom 客户端爆出了容易受到 NUC 路径注入攻击的安全漏洞。作为一款音视频会议应用，Zoom 还允许用户在聊天界面通过发送文本消息来互相交流。

    Windows 网络 UNC 路径，也转换成了聊天消息中可单击的链接。若用户单击 UNC 路径链接，则 Windows 将尝试使用 SMB 文件共享协议连接到远程站点，默认情况下，Windows 将发送用户的登录名和 NTLM 密码哈希值，但稍有经验的攻击者均可借助 Hashcat 之类的免费工具来逆向运算。

- 4.2 [基于稀疏表示的物联网边缘僵尸网络攻击检测](https://www.anquanke.com/post/id/200877)

    [原文网址](https://www.researchgate.net/publication/333567033_Botnet_Attack_Detection_at_the_IoT_Edge_Based_on_Sparse_Representation)

    基于稀疏表示框架(sparsity representation)的物联网僵尸网络攻击检测方法，该方法使用重建错误阈值规则识别来自受感染的物联网设备的边缘恶意网络流量。僵尸网络攻击检测是基于小型良性IoT网络流量数据执行的，因此没有关于恶意IoT流量数据的先验知识。在基于物联网的真实网络数据集上展示了结果，并展示了提出的技术针对基于重构错误的自动编码器方法的有效性。

- 4.2 [警惕：Vollgar僵尸网络每天成功感染近3000台MSSQL服务器](https://www.freebuf.com/news/232295.html)

    网络安全研究人员发现了一个名为Vollgar的加密挖矿僵尸网络，该僵尸网络至少自2018年以来一直在劫持MSSQL服务器，通过发起暴力攻击以接管服务器并安装Monero 和Vollar恶意挖矿软件。

    ![](https://image.3001.net/images/20200402/15857976967217.jpg)

- 4.3 [一种工控蜜罐识别与反识别技术研究与应用实践](https://www.freebuf.com/articles/ics-articles/230402.html)

    工控蜜罐通常指非真实工控设备，通常指应用服务、仿真程序等，比如服务蜜罐包括conpot、openplc、CryPLH2、仿真程序包括modbus tester、Mod Rssim、snap7、opendnp3、qtester104、DNP3_testhaness、EtherNetIP Virtual等。

    ![](https://image.3001.net/images/20200313/1584092693_5e6b5615cc779.png)

- 4.3 [浅谈威胁情报应用场景](https://www.anquanke.com/post/id/202426)

    威胁情报有以下几个常见的应用场景：
    - 攻击检测与防御
    - 攻击团伙追踪
    - 威胁狩猎
    - 事件监测与响应
    - 基于情报驱动的漏洞管理
    - 暗网情报发现

- 4.3 [Syborg：一款带有断路躲避系统的DNS子域名递归枚举工具](https://www.freebuf.com/sectool/227851.html)

    [项目地址](https://github.com/MilindPurswani/Syborg)

- 4.3 [云视频会议软件Zoom连环漏洞陷信任危机](https://www.anquanke.com/post/id/202436)

    - Zoom客户端聊天模块曝“惊天漏洞“ 可暴力破解目标用户Windows登录凭据
    - Zoom安装包或将成为恶意代码发源地

        Zoom使用的是捆绑了7zip手动解压缩应用程序的预安装脚本。如果当前用户在admin组中，不需要root，即可则将其直接安装到/ Applications。

- 4.4 [挖洞经验分享：关于IDOR的几个奇怪案例分析](https://www.freebuf.com/vuls/228918.html)

    后端文件仍然是以“bookingId.pdf”的形式存储的，并且有一个中间件来负责将hdnBookingId解密为bookingId，或者说同时存储了一个订单的两种文件名称/格式，即同时存在“hdnBookingId.pdf”和“bookingId.pdf”。

- 4.4 [Android Cerberus恶意样本分析](https://www.freebuf.com/articles/terminal/230628.html)

    Cerberus 恶意木马通过字符串混淆、执行流混淆、动态加载代码、动态解密字符串和实现了一个简单的计步器机制来对抗安全人员的分析工作。同时利用了 Android 无障碍服务的屏幕监控功能，通过监控手机屏幕内容的改变事件，模拟点击危险权限授权按钮进行自我授权、监控用户的安全扫描和卸载行为进行自我保护以及监控前台应用活动界面完成对目标的劫持攻击。

    ![](https://image.3001.net/images/20200317/1584413859_5e703ca33ad18.png)

- 4.4 [12k+ Android apps contain master passwords, secret access keys, secret commands](https://www.zdnet.com/article/12k-android-apps-contain-master-passwords-secret-access-keys-secret-commands/)

    ![](https://www.zdnet.com/a/hub/i/2020/04/04/65eb6a47-de7c-4293-b002-758350591241/android-research.png)

- 4.5 [PrivescCheck：一款针对Windows系统的提权枚举脚本](https://www.freebuf.com/articles/system/229405.html)

    [GitHub传送门](https://github.com/itm4n/PrivescCheck)

- 4.5 [利用COVID-19发起的网络攻击分析](https://www.freebuf.com/articles/network/230475.html)

    Check Point发现了针对蒙古公共部门的网络攻击活动，该组织利用了冠状病毒恐慌情绪向目标发送恶意软件。研究发现其与可与在2016年进行的其他网络活动联系起来。多年来，这些行动的目标是多个国家/地区的不同部门，例如乌克兰，俄罗斯， 和白俄罗斯。

- 4.6 [中国驻外机构正遭受攻击！深信服VPN设备成境外国家级黑客突破口](https://www.anquanke.com/post/id/202526)

    360安全大脑捕获到一起劫持深信服VPN的安全服务从而下发恶意文件的APT攻击活动，我们已第一时间将漏洞细节报告给厂商并得到确认。

    通过进一步追踪溯源发现，此次攻击者为来自半岛的APT组织Darkhotel（APT-C-06），今年3月开始已失陷的VPN服务器超200台, 中国多处驻外机构遭到攻击，4月初攻击态势又再向北京、上海相关政府机构蔓延。

    更为紧要的是，根据监测分析发现，攻击者已控制了大量相关单位的VPN服务器并控制了大量相关单位的计算机终端设备。

- 4.6 [文件解压引发的Getshell](https://www.freebuf.com/articles/others-articles/229928.html)

    - PHPOK CMS后台任意文件上传
    - Jspxcms后台的zip解压功能目录穿越漏洞导致getshell

- 4.6 [黑客帝国？论美国Hacker的养成之路](https://www.freebuf.com/articles/neopoints/230985.html)

    全面培养、发展黑客力量是美国黑客帝国的基底，联动民间/私营企业是中坚力量，那么国家体系的运作就是黑客帝国的顶层战略指挥区。
    
    美国有着完整的一套网络黑客运转体系，植根于其网络安全战略之中。
    - 完整架构体系
    - 作战经验丰富

    ![](https://image.3001.net/images/20200320/15846814683015.png!small)

- 4.7 [Fuzzowski：一款功能强大的网络协议模糊测试工具](https://www.freebuf.com/sectool/227869.html)

    该工具可以帮助研究人员对网络协议进行模糊测试，并且能够在整个测试过程中给我们提供帮助。除此之外，该工具还允许研究人员定义链接，并帮助识别服务的崩溃。

    [GitHub传送门](https://github.com/nccgroup/fuzzowski)

- 4.7 [xHelper, the Unkillable Android malware that re-Installs after factory reset](https://securityaffairs.co/wordpress/101229/cyber-crime/xhelper-unkillable-android-malware.html)
- 4.8 [Clicker木马新家族：Haken木马](https://www.freebuf.com/articles/terminal/230524.html)

    Haken木马通过将本机代码注入Facebook和Google广告SDK的库中来实现模拟用户点击广告功能。

- 4.8 [照弹不误：出站端口受限环境下反弹Shell的思考](https://www.freebuf.com/vuls/232544.html)

    遇到能 ping 通外网但无法反弹的目标，得多个心眼考虑是否限制了出站端口.

- 4.8 [如何未经授权访问IOS和macOS上的摄像头](https://www.anquanke.com/post/id/202511)

    原文地址:[Webcam Hacking-The story of how I gained unauthorized Camera access on iOS and macOS](https://www.anquanke.com/post/id/Webcam%20Hacking-The%20story%20of%20how%20I%20gained%20unauthorized%20Camera%20access%20on%20iOS%20and%20macOS)

    1. 打开有害的HTTP网站；
    2. HTTP网站变成一个data: URI;
    3. 使用”空白“源将data: URI变成blob: URI；
    4. 修改window.history（分两个步骤）；
    5. 创建一个包含about:blank的iframe，向其中执行document.write;
    6. 为iframe动态添加sandbox标签；
    7. 使用X-Frame-Options进行一次失败的框架导航；
    8. 在iframe中执行window.open，打开一个弹窗，向其中执行document.write。
    
    ![](https://p0.ssl.qhimg.com/t0190c23b39a0c03877.png)

- 4.8 [针对某国际信息通信公司从前期探测到内网提权的一次成功漏洞测试](https://www.freebuf.com/vuls/230441.html)
- 4.8 [Molerats在多国政府和电信部门安装后门](https://www.freebuf.com/articles/network/230021.html)

    Molerats早在2011年就已经开始攻击世界各地的政府组织，主要涉及非法访问和敏感数据收集。他们使用了大量的策略和技术，包括利用公开的后门工具，自我定制研发工具等。该组织主要利用社会工程学和鱼叉式钓鱼作为攻击切入手段，然后通过C2服务器下载恶意负载。该组织使用了多种技术手段使检测和分析变得更加困难，Spark C2通道利用3DES或AES加密HTTP POST请求和响应数据来逃避检测，并且随机生成的密钥对于每个有效载荷都是唯一的。

- 4.8 [DDG挖矿僵尸网络病毒最新变种分析](https://www.anquanke.com/post/id/202574)
- 4.8 [DDG的新征程——自研P2P协议构建混合P2P网络](https://blog.netlab.360.com/ddg-upgrade-to-new-p2p-hybrid-model/)

    DDG Mining Botnet 是一个活跃已久的挖矿僵尸网络，其主要的盈利方式是挖 XMR。v5009 及以后的版本，则摒弃了以前基于 Memberlist 来构建 P2P 网络的方式，改用自研的 P2P 协议来构建混合模式 P2P 网络

    ![](https://blog.netlab.360.com/content/images/2020/04/ddg_version_timeline-1.png)
- 4.8 [安全专家在线破解！游戏账号买卖诈骗全过程](https://www.anquanke.com/post/id/202484)

    不法分子伪装成买家，制作虚假图片骗取用户QQ；再冒充平台给用户发送邮件，用户访问邮件里的链接时，实际访问网址发生了跳转。

- 4.8 [暗网卖口罩，推特卖厕纸，疫情下的海外黑灰产](https://www.freebuf.com/articles/others-articles/232850.html)

Read More

有效的xmind8 for mac 序列号

1. 官网下载最新的安装包 XMind For Mac,断网安装(安装软件需在断网情况下进行!!!).
    
    双击打开安装包xmind.dmg,直接拖动安装.
    
    ![](https://img2018.cnblogs.com/blog/1364389/201902/1364389-20190214192256574-986768458.png)

    安装完成之后,打开 偏好设置-->常规-->启动,将如图所示的两个标签的对勾取消掉,然后点击确定,关闭软件.

    ![](https://img2018.cnblogs.com/blog/1364389/201902/1364389-20190214192704068-1601692584.png)



2. 下载破解包 XMindCrack.jar,链接: https://pan.baidu.com/s/1sCbCQHTI24CgyaVrwGW_kQ  提取码: dejw

3. 激活xmind：
    
    a. 将下载的破解补丁复制到安装好的软件包下的Eclipse这个目录中:安装好的XMind-->鼠标右键显示包内容-->Contents-->Eclipse。
    
    ![](https://img2018.cnblogs.com/blog/1364389/201902/1364389-20190214194340329-2109792670.png)

    b. 打开安装目录Eclipse中的 XMind.ini  (我下面使用的软件是Visual Studio Code,需要的自行Google吧)
    
    c. 在 XMind.ini 最后追加一行XMindCrack.jar的绝对路径,并保存。(绝对路径如下可复制)
    
    -javaagent:/Applications/XMind.app/Contents/Eclipse/XMindCrack.jar

    ![](https://img2018.cnblogs.com/blog/1364389/201902/1364389-20190214194546705-631969993.png)

    d. 重新打开 XMind, 点击 帮助-->序列号-->输入序列号，进入XMind激活页面,然后输入以下序列号 ，邮箱可以随便填，可以填自己的,提示激活成功之后点击'关闭'即可。

    序列号：

    >XAka34A2rVRYJ4XBIU35UZMUEEF64CMMIYZCK2FZZUQNODEKUHGJLFMSLIQMQUCUBXRENLK6NZL37JXP4PZXQFILMQ2RG5R7G4QNDO3PSOEUBOCDRYSSXZGRARV6MGA33TN2AMUBHEL4FXMWYTTJDEINJXUAV4BAYKBDCZQWVF3LWYXSDCXY546U3NBGOI3ZPAP2SO3CSQFNB7VVIY123456789012345

Read More