12.10.19

PKPLUG: Chinese Cyber Espionage Group Attacking Asia "中國間諜組織持續攻擊東南亞"

原文

中文摘要
摘要

Palo Alto Networks威脅情報小組第42部門已經跟踪了一系列針對東南亞的網絡間諜活動,這些活動結合了已發布和自定義的惡意軟件。第42部門將這些攻擊和其他攻擊背後的威脅攻擊者組織列為代號PKPLUG。目前無法確定是使用相同的工具或執行相同任務的人或小組。這個代號,PKPLUG源自攻擊技術,該技術將PlugX惡意軟體作為ZIP壓縮檔中,DLL動態連結函式庫的一部分,並且在ZIP壓縮檔格式的標頭包含ASCII字節PK。
在跟踪這些攻擊者時,42部門發現不僅使用了PlugX,還使用了其他惡意軟體。這些負載包括Android應用程式的HenBox和Windows後門程式的Farseer。攻擊者還使用9002木馬,這些木馬被認為在少數攻擊群組之間共用。由於觀察了PKPLUG的活動,還發現使用了其他惡意軟體,例如Poison Ivy和Zupdax。
42部門將此攻擊與六年前其他公司先前的攻擊關聯起來。42部門將這些調查結果和我們自己的調查結果匯總為PKPLUG,並繼續進行跟踪。
儘管PKPLUG的最終目標尚不清楚,但是由於在行動設備上安裝了後門木馬,因此假定目標是跟踪受害者並收集資訊。
受害者主要分佈在東南亞地區,尤其是緬甸,台灣,越南和印度,還有可能存在其他地區,例如西藏,新疆維吾爾自治區和蒙古。42部門相信PKPLUG的來源和先前分析的攻擊結構有關聯,因為它與某些惡意軟體的內容和中國國家攻擊組織有關。

Holynix CTF

這一關是檔案上傳的漏洞

掃描靶機
要修改mac為00:0C:29:BC:05:DE
192.168.1.104

發現只有80有開
登入網頁看看

Dina CTF

這一關的主要漏洞有兩個分別是
PlaySMS 1.4 - '/sendfromfile.php' Remote Code Execution / Unrestricted File Upload
檔案名稱寫入漏洞,主要的問題是PHP裡面的$filename變數寫入方式有問題
電話簿寫入漏洞

靶機是192.168.1.101
掃描靶機











6.10.19

Bob CTF

這一關是網頁式命令注入跟解GPG密碼,取得root權限跟旗標
掃描靶機
靶機192.168.1.105












2.10.19

Covfefe CTF

這一關是關於SSH的公私鑰,還有一個簡單的緩衝區溢位的漏洞,要取得三個旗標
先掃描靶機
靶機是192.168.1.102