在写《一个通过ZoomEye获取IOC的案例》我发现搜索Docker的关键词：Server: Docker 会匹配到大量的蜜罐，而这些蜜罐符合Anglerfish类蜜罐的特征，目前这里蜜罐非常常见部署也非常多，显然它并不是今天的主角，我们先通过排除掉这些Anglerfish类的数据，搜索语法：

译者：知道创宇404实验室翻译组原文链接：[链接]介绍12月初，我们发现了一种新的用Golang编写的蠕虫。该蠕虫延续了 Golang在2020年流行的多平台恶意软件趋势。该蠕虫试图在网络中传播，以便大规模运行XMRig Miner。恶意软件同时针对Windows和Linux服务器，可以轻松地...

在跟踪Lazarus组织的活动时，我们发现他们最近瞄准了与COVID-19相关实体。9月底，他们袭击了一家制药公司。此外，他们还袭击了与COVID-19有关的政府部门。而且，每一次攻击都使用了不同的战术、技术和程序（TTP）。

介绍2020年8月，Group-IB发布了报告“UltraRank: the unexpected twist of a JS-sniffer triple threat”。这个报告描述了网络犯罪组织UltraRank的活动，该组织在五年里成功攻击了691家电子商务商店和13家网站服务提供商。

钱钟书先生的《围城》有句名言“外面的人想进去，里面的人想出来”本来是说婚姻的，但是在我看来在某些技术产品领域也比较适合，比如今天我要讲的网络空间测绘这个方向。本来是不太愿意过多的谈论这个问题的，就跟“结婚”一样，你说他说都不重要，他跟她都还是会去结婚...

搜索语法：app:"SolarWinds Orion" ，获得历史数据7,507条。从360的分析报告（https://mp.weixin.qq.com/s/lh7y_KHUxag_-pcFBC7d0Q）来看，攻击时间可以追溯到2019年5月18日到2019年10月10日之间。

1、 背景12月13日，美国顶级安全公司FireEye（中文名：火眼）发布报告称，其发现一起全球性入侵活动，命名该组织为UNC2452。该APT组织通过入侵SolarWinds公司，在SolarWinds Orion商业软件更新包中植入恶意代码，进行分发，FireEye称之为SUNBURST恶意软件。该后门包...

由于今年的特殊情况导致了知道创宇主办的黑客大会——KCon2020被迫取消，也就导致了KCon传统保留环节：「404发布」（404实验室是知道创宇最核心的安全技术部门）也没能如期展示。在以往的「404发布」里ZoomEye更新一直是核心重点介绍部分。

12月8日，美国顶级安全公司FireEye（中文名：火眼）发布一则通告称：其内部网络被某个“拥有一流网络攻击能力的国家”所突破，这场攻击导致FireEye的红队安全工具被盗走。

Fastjson没有cve编号，不太好查找时间线，一开始也不知道咋写，不过还是慢慢写出点东西，幸好fastjson开源以及有师傅们的一路辛勤记录。文中将给出与Fastjson漏洞相关的比较关键的更新以及漏洞时间线，会对一些比较经典的漏洞进行测试及修复说明，给出一些探测payloa...

周末看了一下这次空指针的第三次Web公开赛，稍微研究了下发现这是一份最新版DZ3.4几乎默认配置的环境，我们需要在这样一份几乎真实环境下的DZ中完成Get shell。这一下子提起了我的兴趣，接下来我们就一起梳理下这个渗透过程。

Nexus Repository Manager 3最近曝出两个el表达式解析漏洞，编号为CVE-2020-10199，CVE-2020-10204，都是由Github Secutiry Lab团队的@pwntester发现。由于之前Nexus3的漏洞没有去跟踪，所以当时diff得很头疼，并且Nexus3 bug与安全修复都是混在一起，更不容易猜到哪...

2020年3月12日微软确认在Windows 10最新版本中存在一个影响SMBv3协议的严重漏洞，并分配了CVE编号CVE-2020-0796，该漏洞可能允许攻击者在SMB服务器或客户端上远程执行代码，3月13日公布了可造成BSOD的poc，3月30日公布了可本地特权提升的poc， 这里我们来分析一下本...

前不久有一个关于Apache Dubbo Http反序列化的漏洞，本来是一个正常功能（通过正常调用抓包即可验证确实是正常功能而不是非预期的Post），通过Post传输序列化数据进行远程调用，但是如果Post传递恶意的序列化数据就能进行恶意利用。Apache Dubbo还支持很多协议，例如...

之前xss扫描是参考w3af中的源码，原理也很简单就是暴力的使用xss的payload进行请求，最后在返回文本中查找关键字,xss payload一般有以下几个部分。后面我认真的学习了一下Xsstrike、Xray、Awvs中的检测技巧以及检测参数，想将它们的优点和为一体。

这应该是一个很早以前就爆出来的漏洞，而我见到的时候是在TCTF2018 final线下赛的比赛中，是被 Dragon Sector 和 Cykor 用来非预期h4x0r's club这题的一个技巧。

在写完《Java中RMI、JNDI、LADP、JRMP、JMX、JMS那些事儿（上）》的时候，又看到一个包含RMI-IIOP的议题[1]，在16年Blackhat JNDI注入议题[2]中也提到了这个协议的利用，当时想着没太看到或听说有多少关于IIOP的漏洞（可能事实真的如此吧，在下面Weblogic RMI-IIOP部...

之前在一个应用中搜索到一个类，但是在反序列化测试的时出错，错误不是class notfound，是其他0xxx这样的错误，通过搜索这个错误大概是类没有被加载。最近刚好看到了JavaAgent，初步学习了下，能进行拦截，主要通过Instrument Agent来进行字节码增强，可以进行字节码...

在2019年初，微软正式选择了Chromium作为默认浏览器，并放弃edge的发展。并在19年4月8日，Edge正式放出了基于Chromium开发的Edge Dev浏览器，并提供了兼容Chrome Ext的配套插件管理。再加上国内的大小国产浏览器大多都是基于Chromium开发的，Chrome的插件体系越来越...

国外安全研究员 Andrew Danau在解决一道 CTF 题目时发现，向目标服务器 URL 发送 %0a 符号时，服务返回异常，疑似存在漏洞。