几天前我偶然看到一篇经典的博文，文章介绍了加强一个全新Linux服务安全性的常规做法，其中包括安装fail2ban，禁用SSH密码认证，随机化SSH端口，配置iptables等内容。这让我联想到，假如我与其背道而驰会发生什么？当然，最常见的结果就是使其沦陷成为一个僵尸网络的受害者，僵尸网络就是在不停地扫描大范围的公网IP地址，以期望通过暴力破解（SSH或Wordpress等）的方式找到一些配置不当的服务。但是当你成为这些简单攻击的受害者时，实际上发生了什么？攻击者又做了些什么？本篇文章就使用sysdig捕获分析我们服务器上实际攻击的例子，进而解答以上提出的问题。所以让我们钓起鱼儿来！

最近黑产利用腾讯邮箱的漏洞组合，开始频繁的针对腾讯用户实施攻击。

其利用的页面都起名为godlike.html，所以我们把这起攻击事件命名为godlike。

主要被利用的漏洞有3个, 一个 URL 跳转, 一个 CSRF, 另外一个就是 XSS

这段时间有不少漏洞突然爆发，就像这几天的ImageMagick漏洞，横扫国内互联网。这一两天在乌云@Noxxx首先发了两个大厂商的FFmpeg的漏洞，然后也被其他白帽子陆续提交漏洞。影响范围和严重性虽然没有ImageMagick大，但也有不少大厂商中招，而它们共同之处都是处理文件的通用组件程序。可笑的是这个漏洞在上年五月份左右就被公布，并在国外一些CTF比赛中应用；直至现今国内的大厂商基本也都存在该漏洞。

写这篇文章有两个原因，一是想介绍一下powershell的高级使用技巧，二是我在测试一些powershell脚本时发现了很多bug，提交给作者后更新的也不及时，于是就有了自己维护代码的想法. 接下来我会陆续把在drops上发的代码上传到github，大家共同学习，共同进步。 地址如下：https://github.com/3gstudent

Gopher 协议是 HTTP 协议出现之前，在 Internet 上常见且常用的一个协议。当然现在 Gopher 协议已经慢慢淡出历史。但是经过部分测试，发现阿里云的 libcurl 还是支持 Gopher 协议的，在实际环境中可能会有更多。

Gopher 协议可以做很多事情，特别是在 SSRF 中可以发挥很多重要的作用。利用此协议可以攻击内网的 FTP、Telnet、Redis、Memcache，也可以进行 GET、POST 请求。这无疑极大拓宽了 SSRF 的攻击面。

Powershell犹如linux下的bash，并且在windows中Powershell可以利用.NET Framework的强大功能，也可以调用windows API，在win7/server 2008以后，powershell已被集成在系统当中。 Powershell强大的功能特性给windows管理带来了极大的便利，同时也更加便于windows下的渗透测试。

Sdr:软件定义的无线电(Software Defined Radio，SDR) 是一种无线电广播通信技术，它基于软件定义的无线通信协议而非通过硬连线实现。

Rtl-sdr:原身就是Realtek RTL2832U（瑞昱的一款电视棒）。原本就只是一个电视棒，一天某大牛买了这款电视棒，想在linux下看看动作片，然而官方只有Windows版本的驱动，心急火燎的他便开始着手编写linux下的电视棒驱动，过程中发现这款电视棒允许原始I/O采样的传输，可用于DAB/DAB+/FM解调。于是他拉起裤子，开始了进一步的研究...

在SSL的一些版本中，使用CBC分组模式对数据进行加密，而CBC分组模式在使用中常会出现一些问题。本文对CBC分组模式中Padding Oracle Attack做基本介绍，主要包括Padding Oracle Attack的背景知识、在多种填充模式下的攻击原理以及现实场景应用。

在4月的补丁日，微软通过标记为“高危”的MS15-034补丁，修复了HTTP.SYS中一处远程代码漏洞CVE-2015-1635。据微软公告（https://technet.microsoft.com/en-us/library/security/MS15-034）所称，当存在该漏洞的HTTP服务器接收到精心构造的HTTP请求时，可能触发远程代码在目标系统以系统权限执行。

今天看到zone里有同学发帖说了探测支付宝登录状态的帖子：http://zone.wooyun.org/content/17665

由此我想到了我们parsec的@/fd 半年前提到的一个思路，当时他给出了一个探测twitter是否登录的页面，可是我那个时候才疏学浅，好像一直没理解。这时候返回去看看，就有了这篇文章。

缅甸目前是一个从事重要政治活动的国家。2011年的民主改革更是帮助政府创造了一个有利于吸引投资者的氛围。该国资源丰富，拥有多种自然资源和稳定劳动力供给【1】。尽管近来有所发展，该国还需要长期进行种族斗争和内战。分析人士认为，中国和美国对缅甸的内部斗争有很大的影响，尤其是中国有海上通道，港口贸易和重要的燃料管道等优势。地理政治学家认为，美国可能会因为自己的利益而在这里阻挠中国的野心【2】，【3】，【4】。

JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式。易于人阅读和编写。同时也易于机器解析和生成。它基于JavaScript Programming Language, Standard ECMA-262 3rd Edition - December 1999的一个子集。 JSON采用完全独立于语言的文本格式，但是也使用了类似于C语言家族的习惯（包括C, C++, C#, Java, JavaScript, Perl, Python等）。这些特性使JSON成为理想的数据交换语言。

昨天又是忙碌的一天，因为我获知近期有破壳漏洞利用攻击，所以我们团队集合起来对所有近期的捕获到的互联网交叉流量中的ELF文件威胁 (ELF threats)进行检测。我查看了一套shell脚本的命令部分，立刻就知道它基本上就是Linux/XOR.DDoS木马。我又检查了payload，并且深入查看了细节。最终确定这就是Linux/XOR.DDoS。

Qualys公司在进行内部代码审核时，发现了一个在GNU C库(glibc)中存在的__nss_hostname_digits_dots函数导致的缓冲区溢出漏洞。这个bug可达可以通过gethostbyname *()函数来触发，本地和远程均可行。鉴于它的影响，我们决定仔细分析它。分析完成后，我们也决定以“幽灵”(GHOST)命名此漏洞。

CPU相信大家都知道是啥玩意，哪三个单词缩写。GDT对于一些不搞底层的人知道的可能还有一些。

GDT就是global descriptor table的缩写。相应的还有个local descriptor tables(LDT)，这个不再此文的讨论范围内。