排版：红队蓝军

通达OA 后台 SQL 注入漏洞
通达OA 后台文件上传漏洞
通达OAV11.5存在SQL注入漏洞
通达OA2017版本存在任意用户登录漏洞
蓝凌OA RCE在野0day
蓝凌OA远程代码执行漏洞
泛微OA 前台文件上传漏洞
泛微OA eoffice10 前台任意文件上传漏洞
泛微OA _E-office_UserSelect/index.php_未授权_SQL漏洞
快普OA OA sql注入漏洞
泛微OA E-office init.php文件读取漏洞
蓝凌OA session泄露及任意文件上传漏洞
华天动力OA 前台任意文件上传漏洞
红帆医疗云OA医用版 前台SQL注入漏洞
万户OA getshell
万户OA officeserverservlet 文件上传
用友NC _accept.jsp_未授权_文件上传
用友NC grouptemplet接口存在任意文件上传漏洞
用友NC U8-OA企业版存在SQL注入漏洞
禅道OA 存在SQL注入漏洞

H3C IMC dynamiccontent.properties.xhtm 远程命令执行
H3C-SecPath-运维审计系统(堡垒机)后台绕过登录
H3C多系列设备远程命令执行漏洞
安*web应用防火墙远程命令执行漏洞
安*明御WAF登录绕过漏洞
安*明御WAF远程命令执行漏洞
安*数据大脑API网关任意密码重置漏洞
奇安*天擎版本<6.7.0.4910安全漏洞
奇安*天眼产品存在安全漏洞
奇安*网康科技互联网控制网关前台命令执行漏洞

泛微云桥e-Bridge存在SQL注入漏洞
明御Web应用防火墙存在任意登录漏洞
SANGFORVPN存在远程缓冲区溢出漏洞
明御Web应用防火墙存在远程命令执行漏洞 
NF防火墙存在远程命令执行漏洞
LEAGSOFT软件定义边界系统命令执行漏
LEAGSOFT网络准入控制系统反序列化漏洞
H3C SecParh堡垒机任意用户登录漏洞
Apache Commons远程 代码执行漏洞
GitLab远程代码执行漏洞
FastJson代码执行漏洞
拓尔思was5 getshell
jboss EAP /AS 6.远程代码执行
thinkphp远程代码执行漏洞
thinkphp任意文件读取
Laravel存在命令执行漏洞
某部级客户疑似攻击者IP&心跳IP
天融信_上网行为管理系统_static_convert.php_未授权_命令执行
H3C CAS 远程代码执行漏洞
ThinkPHP任意文件读取漏洞
中远麒麟堡垒机存在前台SQL注入漏洞
安恒数据大脑API网关任意密码重置漏洞 
网神SecGate 3600 防火墙存在RCE漏洞

HW第4天，攻击手段依然以钓鱼攻击、内网横移、漏洞利用为主要攻击方法，弱口令扫描也开始被利用起来，双后缀的lnk快捷方式（.docx.lnk）结合白利用攻击的样本出现。

目标方面，HR成为最易被攻击群体，被各种伪装简历钓鱼。攻击队常用话术为“我的简历比较大，用压缩包传输”，在接收简历时务必谨慎。同时，利用求职心理，攻击队还会伪装成大厂HR、猎头，联系目标企业内部人员，实施定向攻击。

攻击发现

HW第4天，攻击队的攻击行为呈如下特征：

攻击手法：钓鱼文件（特殊关键词：简历、通知、材料、安全巡检）、签名伪装、java漏洞、Web服务漏洞、爆破攻击、文件双扩展名（.docx.exe）、文件名中使用unicode不可见字符串伪装、无文件攻击、内网横移、OA漏洞、持久化、powershell攻击

攻击来源：远程渗透、微信传输、邮箱附件、邮箱链接

诱导文件关键字：

防暑降温费发放标准docx.exe
员工自查自检工具.exe
个人资料原件.pdf.exe
README.txt.scr
个人简历.exe
公积金缴纳问题人员名单0727.exe
上访投诉材料.exe
考勤模版.docx*.exe
同花顺详细购买记录dddddd.exe
翻译作品集.exe
2022年第三季度招聘信息
举报.rar
快递人员辱骂客户聊天截图 _pdf  .exe
食堂2022年8月周营养膳食安排表-.exe
账号申请表申请表.exe
**大学-**美
**身份证正反面.exe

态势预警

1. lnk快捷方式钓鱼攻击+白利用

攻防对抗已经进入白热化阶段，各种别具一格免杀的样本层出不穷，甚至出现了钓鱼样本使用双后缀（.docx.lnk）、文档图标进行伪装的lnk样本。lnk文件中指向一个可执行文件，该wsc_proxy.exe是一个正规厂商且带签名的文件，当该文件被执行时会加载当前目录下名为wsc.dll木马模块。

2. 聊天工具钓鱼攻击依然主流

HW火热进行中，白天针对目标人员的钓鱼依然持续不断，从通用的钓鱼文件命名“通知”“简历”“考勤”“薪资”，再到更具靶向性的“申请表”“上访”“举报”“作品集”等，攻击队正在进行更深入的持续渗透中。

3. 向日葵漏洞频频被使用

早在HW第1天，有攻击队使用向日葵漏洞（CNVD-2022-10270）发起攻击。情报显示，近日连续有攻击队使用该漏洞进行渗透攻击。

4. 夜场针对目标站点持续渗透

除钓鱼攻击外，针对目标服务器站点的攻击也在进行中，攻击队利用站点系统漏洞、数据库服务器口令爆破等方式，在主机上抓取用户口令，拿信息后再继续渗透到其他机器。

 点击下方小卡片或扫描下方二维码观看更多技术文章

师傅们点赞、转发、在看就是最大的支持