黑客大队 渗透劫持 木马改单透视

X-in-the-Middle : Attacking Fast Charging Piles and Electric Vehicles



Tencent Blade Team分享的攻击充电桩的议题，之前在BlackHat也分享过，议题方向比较新颖。借助XCharger设备篡改车辆识别码VIN，令绑定VIN自动支付的用户被“偷电”，达到免费给汽车充电的效果。VIN都是写在车窗前，去停车场逛逛可以收集到一大堆。研究过程中，他们租了5辆电动车和相关设备，估计也花了不少钱，靠“偷电”可能不好回本。

利用 Group-IB 欺诈矩阵剖析新的 Android 木马 GoldDigger

IB组威胁情报研究人员检测到一种以前未知的Android 木马，针对越南的金融组织。我们将其代号为 GoldDigger，以参考 APK 中的特定 GoldActivity 活动。

我们立即向越南及其他地区的客户通报了我们的发现。此外，24/7 CERT-GIB (IB组计算机应急响应小组）根据双方之间的数据共享协议，主动联系VNCERT （越南计算机应急响应小组）亚太计算机应急响应小组成员。CERT-GIB 共享必要的技术信息，包括妥协指标，以便 VNCERT 能够采取适当的风险缓解措施。

这种特殊的木马至少自 2023 年 6 月起就一直活跃。GoldDigger 将自己伪装成假冒 Android 应用程序，可以冒充越南政府门户网站和当地能源公司。其主要目标是窃取银行凭证。喜欢安卓木马较多，该恶意软件滥用辅助功能服务来提取个人信息、拦截短信并执行各种用户操作。该木马还具有远程访问能力。

GoldDigger 的主要特点之一是它采用了先进的保护机制。Virbox Protector是在所有已发现的 GoldDigger 样本中发现的合法软件，它允许特洛伊木马使静态和动态恶意软件分析显着复杂化并逃避检测。这对在沙箱或模拟器中触发恶意活动提出了挑战。

银行木马使用 VirBox 是最近的趋势。Group-IB 的威胁情报团队表示，目前活跃在亚太地区的三个 Android 木马（包括 GoldDigger）都在使用这种规避技术。

因此，对每个 VirBox 保护的样本进行动态分析需要大量时间，并且需要手动干预。VirBox 的定期更新使得对此类恶意软件的静态分析效率低下。银行木马的主要目标是感染尽可能多的设备并获取对用户帐户的访问权限。对抗它们最有效的方法是使用客户端欺诈防护解决方案提供多种好处。其中包括实时保护、对不断变化的威胁的适应性，以及最重要的是依靠行为指标来保护客户的能力。

GoldDigger 通过伪装成Google Play页面的虚假网站和越南的虚假企业网站进行传播。该木马的运营商很可能通过网络钓鱼或传统的网络钓鱼方式分发这些网站的链接。这些网站包含下载恶意 Android 应用程序的链接

Dns劫持的监测方法和装置

本发明提出一种DNS劫持的监测方法和装置。其中该方法包括：向客户端发送监测任务，使得客户端在确定执行监测任务后，启动浏览器打开预定的URL信息指示的网页，并在打开网页的过程中获取监测信息；接收客户端发送是监测信息；根据监测信息确定客户端是否发生DNS劫持。本发明实施例的方法，从而能够及时、主动地发现DNS劫持问题，且能够及时、有效地复现对应的DNS劫持，降低人力成本，提高了效率。

极速时时彩，138.168，把你的账号 密码 ，安全代码，发过来，这边点击进去查看，可以了，大家一起吃肉，不香吗

@Farnell2014

网站图片无缝兼容 WebP/AVIF

前言
WebP 格式发布已有十余年，但不少站点至今仍未使用，只为兼顾极少数低版本浏览器。至于去年发布的 AVIF 格式，使用的站点就更少了。

然而图片往往是流量大户，与其费尽心机优化脚本体积，可能还不如转换一张大图带来的收益更多。据 caniuse 统计，如今有 67% 的用户支持 AVIF、95% 的用户支持 WebP。先进的格式触手可得，却因兼容性问题仍坚守 PNG、GIF 等古老格式，白白浪费网站流量，以及用户加载时间，实在浪费。

事实上，对于同一个图片 URL，完全可为低版本浏览器使用老格式，为高版本浏览器使用新格式，从而实现无缝兼容。本文讲解后端和前端两种不同的实现方案。

后端方案
这是最简单也是最普及的方案，网上能搜到很多相关的文章。不过这其中存在诸多细节，大多数文章都未考虑全面。

原理
支持 WebP 的浏览器，HTTP 请求的 Accept 头会包含 image/webp 字符，后端可根据该特征返回 WebP 版图片；不支持的浏览器则没有该特征，后端返回原始图片。

AVIF 同理，特征为 image/avif。由于 AVIF 比 WebP 更先进，因此需优先判断。

实现
由于图片解码和编码开销很大，因此格式转换通常离线完成，例如预先将 foo.jpg 转换成 foo.jpg.webp 和 foo.jpg.avif。这里有几个细节：

如果 WebP 文件比原文件更大，那就没有必要保留 WebP 文件。AVIF 同理

如果原文件本身就是 WebP 文件，那就不用再转 WebP 了。但可以尝试转 AVIF 版本，如果更小则保留

如果原文件本身就是 AVIF 文件，那什么都不用做

运行时的判断逻辑很简单，但也容易疏漏。以 nginx 为例，通常会这样配置

看起来好像没问题，但遇到这种情况就不对了：用户支持 WebP 和 AVIF，但后端只存在 WebP 文件。正常应该返回 WebP，但这里 try_files 只尝试一次，找不到 $uri.avif 就返回原文件了。显然不对。

注意这里的逻辑顺序。即使用户不支持 AVIF 扩展名也不能直接返回空，否则就是在尝试原文件了。至于可能会重复尝试两次 WebP 文件，虽不优雅但也无大碍。

此外，如果希望用户访问目录名时 URL 末尾能自动添加 /（例如访问 /blogs 时先重定向到 /blogs/），那么 try_files 还需添加 $uri/。

不支持 AVIF 但支持 WebP 的浏览器，返回的图片类型为 image/webp

既不支持 AVIF 又不支持 WebP 的浏览器，返回的图片类型为 image/jpeg

改单-我们大家一起合作，私家改单合作你就离成功迈了一步

照着思路和代码一通写加调试，发现不对劲了

正当我开心的拿到request对象，使用request.getServletContext()的时候，直接给我报错了，好家伙，看了一下这里获取的request对象的类名，在到源代码核对了一下，org.apache.coyote.Reuqest根本没有servletContext属性，并且也没有getParamters方法，只能获取header。

在此之前，我们需要确保该应用程序可以在存在漏洞的 Android 版本5.x、6.x、7.x 和 8.0（即 API 级别 21-26）上运行。

让我们使用apktool来找到可以运行此应用程序的最低 Android 版本“ apktool -sd h5.apk && cat h5/apktool.yml | grep minSdk ”。

他妈的越想越气，以后要是来试探的还是干什么的，来无聊的你就早点走开吧，耽误我时间，我也不接这种sb单，脑残🤬

认准频道找我做单，别磨磨唧唧做事情干脆点

后端补液模块
现在我们来看一下 Backend 如何处理来自 Frontend 的请求。Backend 首先使用 方法IsAuthenticated来检查传入的请求是否经过身份验证。然后 Backend 将验证请求是否配备了称为 的扩展权限ms-Exch-EPI-Token-Serialization。在默认设置下，只有 Exchange Machine 帐户才有这样的授权。这也是为什么 Frontend 生成的 Kerberos Ticket 可以通过检查点，但您无法使用低授权帐户直接访问 Backend 的原因。

在检查通过之后，Exchange会将Frontend中使用的登录身份，通过将header反序列化为X-CommonAccessToken原始的Access Token，然后放入对象中，httpContext以便进行到Backend中的业务逻辑。

攻击域内员工 发送几封恶意邮件, 使用最新版的outlook和foxmail打开

均成功获取域账号win10的个人证书,使用该证书登陆win10 ltsc这台机器, 或者查看邮件等，都是可以的. 无论域用户 win10修改多少次密码，密码强度如何, 证书默认会一年有效

《四川麻将》《闽南麻将》
《大唐麻将》《福建麻将》
《广西麻将》《广客麻将》
《蜀州麻将》《中至麻将》
《川 麻 圈 》《熊猫麻将》
《安徽王牌》《来吧麻将》
《广东麻将》《胡乐麻将》
《科乐麻将》《麻友圈2》
《真人天天麻将》
《琼崖海南麻将》

各种地方棋牌，家乡麻将透视换牌外挂✨

DNS,DNS污染劫持,DNS加密

1. DNS（Domain Name System）
DNS（Domain Name System）， 也叫网域名称系统，是互联网的一项服务。它实质上是一个 域名 和 IP 相互映射的分布式数据库.

DNS（Domain Name Server，域名服务器）是进行域名(domain name)和与之相对应的IP地址 (IP address)转换的服务器。

DNS 有以下特点：

分布式的

协议支持 TCP 和 UDP，常用端口是 53

每一级域名的长度限制是 63

域名总长度限制是 253

1.2 域名注册商
一般我们要注册域名，都要需要找域名注册商，比如说我想注册 hello.com，那么我需要找com域名注册商注册hello域名。com的域名注册商不止一家， 这些域名注册商也是从ICANN 拿到的注册权， 参见如何申请成为.com域名注册商

那么，域名注册商 和 权威域名解析服务器 有什么关系呢？

域名注册商都会自建权威域名解析服务器，比如你在狗爹上申请一个.com下的二级域名，你并不需要搭建nameserver， 直接在godaddy控制中心里管理你的域名指向就可以了， 原因就是你新域名的权威域名服务器默认由域名注册商提供。当然你也可以更换，比如从godaddy申请的境外域名，把权威域名服务器改成DNSPod，一方面加快国内解析速度，另一方面还能享受DNSPod 提供的智能解析功能

1.3

GTM（Global Traffic Manager的简写）即全局流量管理，基于网宿智能DNS、分布式监控体系，实现实时故障切换及全球负载均衡，保障应用服务的持续高可用性。传给GTM的目的就是希望通过GTM的负载均衡机制，帮助用户找到最适合自己的服务器IP。

2. DNS污染、DNS劫持
两者最大的区别，DNS 污染是阻断你访问网站，目的是不让你访问；DNS 劫持则是让你访问一个虚假的李鬼网站，或者在你访问的网站上擅自插入自己的广告，以及私自增加 DNS 缓存时间等。

2.1 DNS 污染
又称域名服务器缓存投毒（DNS cache poisoning），是指把域名指往不正确的 IP 地址。比如张三的手机号明明是 11 位的中国电信手机号码，通讯录却写的是 10 位数的美国人赫本的手机号，跨国长途自然是打不通或者打通了也不是张三的结果。

2.2 DNS 劫持
DNS 劫持一般是提供上网服务的运营商所为，用户查询 DNS 时，返回修改后的指定 IP 地址，网页无法打开或者打开的是一个假网站，或插入自己的广告。

比如张三是卖茶叶的，你找张三想买一些茶叶，通过通讯录打过去，结果通讯录从中使坏，将手机号写成了也是卖茶叶的李四，最终你以为买的茶叶是张三的，实际上茶叶是李四。

dns联系 @Farnell2014