就算离地千里、时速万里，遨游太空的计算机仍然是计算机，并没有变成其他什么神奇物种。而每台联网计算机都存在其攻击面。 长期以来，研究人员、国家，甚至普通网络罪犯都展示过如何劫持卫星技术的控制与通信。就在去年，特别军事行动发起之日，俄罗斯黑客就搞垮了乌克兰卫星互联网服务提供商Viasat。而在11月18日，亲俄罗斯的激进黑客组织Killnet对SpaceX的星链系统发起了分布式拒绝服务（DDoS）攻击，试图阻止该公司为乌克兰边境地区提供网络服务。最近，瓦格纳集团宣称为俄罗斯互联网提供商Dozor-Teleport的临时中断负责。据称，该雇佣兵组织通过将恶意软件上传到多个卫星终端来实现了这一点。 很明显，黑客可以破坏卫星链路，那么卫星本身及盘旋在地球上空的那些固件和软件呢？都是暴露在太空的设备。 在拉斯维加斯举行的2023年美国黑客大会上，德国波鸿鲁尔大学博士研究生Johannes Willbold将演示黑客如何将卫星玩弄于股掌之间。 Willbold坦承：“确实存在隐匿式安全，但除此之外，很多卫星并未采取任何其他措施来防止滥用。” 01 卫星依靠隐匿式安全   在今年早些时候发布的一篇论文中，Willbold和五位同事咨询了代表17种不同型号卫星的19位工程师和开发人员。这17个案例的其中三个受访者承认卫星没有采取任何措施来防止第三方入侵。在五个案例中，受访者不确定或拒绝置评，而其余九个案例里确实实现了一些防御措施。不过，即便是表现稍好的那些也不是固若金汤，比如说，这九个案例中只有五个实现了某种形式的访问控制。 “除了隐匿式安全，我们观察的卫星有太多就这么毫无防护地高悬空中。”Willbold称。 在这个问题上，卫星制造商可以蒙混过关，因为这个行业是如此封闭。长期以来，行业专业人士同时充当着看门人的角色，阻止潜在攻击者和安全分析人员窥探卫星内部。 Willbold及其团队直面这一现实。他们花了整整四个月才招募到这19名受访者。在论文中，Willbold团队哀叹：“总体而言，人们非常不情愿透露关于他们卫星及其安全方面的任何细节。” 问题在于，卫星不再像以前看起来那么晦涩难懂了。 02 卫星的构成   Willbold解释道：“可以想见，昂贵的大型卫星上装载着各种非常专业的抗辐射硬件，这是深入太空所明确需要的。” 但是，大多数卫星都漂在近地轨道（LEO）上，不需要那么专业的抗辐射硬件。 “近地轨道上的计算硬件跟地球上的嵌入式设备没什么两样，因为这种东西都是现成的，而且很便宜。”Willbold解释称。比如说，“你可能会在LEO卫星上发现常规ARM板，就跟地球上常见的嵌入式设备一样——汽车行业所用同款处理器。” 在软件方面，卫星往往采用VxWorks之类实时操作系统（RTOS），甚或基本的Linux，比如SpaceX的星链就用了Linux。最近几年，卫星开始采用更为现成的开源组件，而且以多种方式连接的通信和控制系统还能连接普通企业网络。 这些熟悉的技术打开了各种潜在的入侵之门，例如通过现成组件进行的供应链攻击。 或许，借助不设防的通信链路劫持航天器还来得更为容易。 “只需要花1万美元搞个直径两米的碟形天线，黑客就能拥有自己的超高频（UHF）和甚高频（VHF）地面站。然后你就能跟大量近地轨道卫星通信了。”Willbold警告称。 然而，时机是个主要障碍。Willbold指出，卫星链路已经很慢了，“而由于地球的形状，你每次看到卫星的时间也就能持续10分钟”。 近地轨道卫星时速上万公里，大约90分钟绕地球转一圈。 “如果你想延长与卫星通信的时间，你就需要多个地面站。只要有足够多的地面站，你最终就能一直与卫星通联，但这显然会变得非常昂贵。” 03 劫持卫星危害很大   卫星撑起了我们生活中一些最为关键的部分和一些相当日常的方面。卫星给我们提供了GPS和电视信号。我们借助卫星跟踪并预测天气，通过卫星与万里之外的人联系。工程师、研究人员、农民和军事情报官员都依赖太空探测器。 “结果明显取决于你实际突破了卫星的哪个部分。”Willbold说道，“比如说，入侵了观测卫星的总线系统。那你或许就能将你的技术升级到有效载荷系统。然后，你就可以盗取本无权访问的图像，甚至可能引入伪影或将伪影从图像中移除，就像数据篡改一样。” 自此，染指卫星的种种可能性只会变得更加异想天开，尤其是你开始考虑航天器的推进器时。 举个例子，未经授权的操作员可能会将卫星转向太阳，造成物理损坏和拒绝服务，或者改变卫星的轨道导致碰撞。 “如果两个轨道匹配，”他解释道，“那你至少就有可能试图撞击其他卫星，或者对轨道上的其他人造成威胁。” 04 卫星安全的未来   最依赖卫星的政府和军方处在卫星防御的最前线。 为开始应对这一威胁，2022年3月，美国联邦调查局（FBI）和网络安全与基础设施安全局（CISA）建议卫星通信提供商实施加密、监控和修复等基本安全预防措施。两个月后，美国太空军第6太空三角翼部队（Space Delta 6）新增四个中队，促进军事防御并使老化的卫星控制基础设施现代化。美国国家标准与技术研究所（NIST）和MITRE，以及非营利政府承包商Aerospace Corp.，针对太空威胁进行了威胁建模分析、遭遇太空威胁的应对框架。 整个安全界也都参与了进来。6月6日，美国空军和太空军与非营利政府承包商Aerospace联合举办了“黑掉卫星”（Hack-a-Sat）夺旗赛，这是围绕在轨黑客沙箱“Moonlighter”展开的一场卫星黑客竞赛。在其他地方，开发人员还测试了抗量子计算的信道，用于同航天器进行数据传输。 未来几年里卫星安全将走向何方我们不得而知。 “航天工业已经延续了几十年。”Willbold说道，但另一方面，“我们又有多少次见证了几十年来一直以一种方式运作的东西瞬间改变？”...

Python URL 解析函数中的一个高严重性安全漏洞已被披露，该漏洞可绕过 blocklist 实现的域或协议过滤方法，导致任意文件读取和命令执行。 CERT 协调中心（CERT/CC）在周五的一份公告中说：当整个 URL 都以空白字符开头时，urlparse 就会出现解析问题。"这个问题会影响主机名和方案的解析，最终导致任何拦截列表方法失效"。 该漏洞为 CVE-2023-24329，CVSS 得分为 7.5。安全研究员 Yebo Cao 于 2022 年 8 月发现并报告了该漏洞。该漏洞已在以下版本中得到解决： >= 3.12 3.11.x >= 3.11.4 3.10.x >= 3.10.12 3.9.x >= 3.9.17 3.8.x >= 3.8.17 3.7.x >= 3.7.17 urllib.parse 是一个广泛使用的解析函数，可将 URL 分解为各个组成部分，或将各个组成部分合并为一个 URL 字符串。 CVE-2023-24329 的出现是由于缺乏输入验证，从而导致有可能通过提供以空白字符开头的 URL（例如 " https://youtube[.]com"）来绕过 blocklisting 。 该漏洞可以帮助攻击者绕过主机设置的保护措施，同时在多种场景下助力 SSRF 和 RCE。 参考链接：https://thehackernews.com/2023/08/new-python-url-parsing-flaw-enables.html ...

经常调试各种网络设备，比如路由器、交换机、硬盘录像机等，每次调试都得添加各个网段的IP很不方便。 一直想找一款合适的IP配置工具，找了好多都不适合，萌发了自己做一款的想法。 经过不断的测试和完善终于做出来了。本来想发原创区的，想想还是发在精品区合适，可以让更多人看到。 请尊重别人的付出，随意在帖内公布链接的，直接举报！ 软件使用很简单！将IP信息输入对应位置，点击写入配置文件。可重复添加不同网段IP。如果添加的IP重复了会有提示！ 可重复添加不同网段IP，比如第一次在工具内添加192.168.0.2 255.255.255.0 192.168.0.1 192.168.0.1 114.114.114.114点击写入配置文件。如果想继续添加，输入新网段的IP数据192.168.1.2 255.255.255.0 192.168.1.1 192.168.1.1 114.114.114.114点击写入配置文件，如果再写入已添加过的IP，会提示存在相同的IP！1.使用时选中要修改的网卡设备，点击修改网卡IP，即可将网卡信息写入电脑系统。2.调整完设备后，勾选自动获取IP，点击修改网卡IP就可以改回自动获取了。3.如果想保留静态IP，请将机器正在使用的IP首先写入配置文件。 下载地址：https://pan.quark.cn/s/9f9f3af6b720 ...

2023最新域名解除拦截教程并增加解除几率并延长拦截间隔，最近的新方法按照这个方法有90%的几率可以解除，并且有很长一段时间不会被再次拦截。操作步骤1，首先需要把拦截的域名解析全部停用，添加根域名一级解析并用腾讯认可的程序搭建一个网站，网站源码在文章底部附件下载！2，然后访问这三个网址申诉的地方，不要一次提交多个平台，一般等待两三个小时就会有回复，网站申诉处理时间为工作日10:00-17:001.通过微信反诈实验室进行申诉2.通过腾讯安全网址那里检测申诉3.qq 直接申诉3，解除拦截以后不可以解析www.和 根域名（一级）需要等7天左右就可以把根域名搭建的网站换成自己的了。比如wordpress. 这个系统一般不被tx拉黑，哪里下载我就不用说了吧。 ...

《8月风口项目，利用TF十周年演唱会录像变现，简单无脑操作》，TFBOYS十周年演唱会的热度有多大自然不用我多说，有很多人是到不了现场去看的，这时候咱们就可以好好利用演唱会回放去搞钱，相应的资源我已经为大家准备好了，全部是高清的录像资源。咱们从发布作品和截流两方面去获取流量，从引流到转化以及变现逻辑，为大家准备了保姆级的视频教程，抓住风口吃肉！ 课程内容：01 必做的风口项目02准备工作03 小红书引流04 作品制作 05 截流的具体操作 ...

近期，西方执法部门加大了针对匿名托管服务、DDoS攻击服务等网络犯罪源头的打击力度。“Kirin博客”注意到，多家存在了许久的大型网站或者平台服务已经被国际执法合作摧毁。 美国当局取缔防弹托管提供商Lolek Hosted 著名的防弹（bulletproof）托管平台Lolek Hosted已被美国和波兰警方关闭，以限制欺诈者使用支持匿名在线行为的工具。 该行动逮捕了五人，并没收了涉嫌为Netwalker勒索软件攻击和其他恶意活动提供便利的服务器。此次行动是美国当局在过去几年中积极努力阻止防弹托管服务运营的结果，这些努力基本上取得了成功，其中包括对这些平台的重要运营商判入狱等重大成功。 Lolek将自己宣传为“100% 隐私托管”服务，并实行无日志政策，这意味着他们不会在其服务器或路由器上记录任何可能用于指控客户的活动。 Lolek平台为黑客提供了匿名性，并经常用于恶意活动，例如恶意软件分发和协助网络攻击。   联邦调查局和美国国税局早在周二就在Hosted网站（lolekhosted[.]net）上展示了一条扣押横幅。 横幅上写着：“该域名已被联邦调查局和国税局刑事调查局扣押，作为针对Lolek Hosted采取的协调执法行动的一部分。” Lolek Hosted的历史 自2009年以来，Lolek Hosted是一家知名的防弹托管服务商，总部位于英国，数据中心位于欧洲。Lolek是暗网上的一个热门供应商，在有关匿名托管服务的报道中经常提到该网站。 该服务将自己定位为臭名昭著的CyberBunker服务的竞争对手，后者已于2019年关闭。 虽然承诺保护客户的身份安全，但该防弹托管提供商却对用户发布的内容视而不见。 这些企业因向犯罪分子出租IP地址、服务器和域名而臭名昭著，犯罪分子利用它们传播恶意软件、建立僵尸网络大军以及进行与欺诈和网络攻击相关的其他活动。 近年来美国当局一直在打击参与防弹托管服务的个人 近年来，美国执法部门一直致力于追查防弹托管公司的运营者，追究个人责任并处以严厉处罚。 美国司法部于今年6月判处39岁的Mihai Ionut Paunescu三年联邦监禁，罪名是他协助管理防弹托管公司PowerHost[.]ro。 爱沙尼亚30岁的帕维尔·斯塔西（Pavel Stassi）和立陶宛33岁的亚历山大·肖罗杜莫夫（Aleksandr Shorodumov）均因经营一家防弹托管公司、在2009年至2015年间协助对美国目标发动攻击而被判处两年以上监禁。 俄罗斯公民亚历山大·格里奇什金（Aleksandr Grichishkin)因创立和经营防弹托管业务而于2021年被判五年徒刑。 伊利诺伊州一名33岁的居民也因拥有和运营DDoS 促进网站DownThem.org和AmpNode.com而被判入狱，这两个网站还为用户提供防弹服务器托管。 该打击行动更多内幕被欧洲刑警组织和美国司法部公开 虽然联邦调查局和美国国税局本周早些时候拒绝就调查发表评论，但欧洲刑警组织和司法部宣布查获 Lolek，并在波兰逮捕了五名管理员。 “本周，波兰中央网络犯罪局（Centralne Biuro Zwalczania Cyber​​przestępczości）在卡托维兹地区检察官办公室（Prokuratura Regionalna w Katowicach）的监督下对LolekHosted.net采取了行动，这是犯罪分子用来发动网络攻击的防弹托管服务世界各地。”欧洲刑警组织的公告中写道。 “五名管理员被捕，所有服务器被查封，LolekHosted.net网站已无法使用。” 欧洲刑警组织表示，Lolek被抓获是因为网络犯罪分子利用其服务器发起DDoS攻击、分发信息窃取恶意软件、托管命令和控制服务器、托管虚假在线商店以及开展垃圾邮件活动。 接着，美国司法部的一份公告揭示了警方行动的更多信息，该公告称，一位名叫Artur Karol Grabowski的波兰人昨天因运营LolekHosted而受到指控。 虽然尚不清楚Grabowski是否是在波兰被捕的管理员之一，但司法部表示，他允许客户使用假名注册、频繁更改服务器IP地址以及通知客户进行法律咨询，从而促进了网络犯罪。 Lolek托管服务被Netwalker勒索软件团伙使用 美国司法部还表示，Grabowski涉嫌协助现已中断的名为Netwalker的勒索软件业务，其在攻击中租用了50多次服务器，用于入侵网络并存储窃取的数据和黑客工具。 DOJ 声明中写道：“LolekHosted的客户利用其服务对包括佛罗里达州中区在内的世界各地的受害者实施了约50次NetWalker勒索软件攻击。” “具体来说，客户利用LolekHosted的服务器作为中介，在未经授权的情况下访问受害者网络，并存储从受害者处窃取的黑客工具和数据。” 执法部门于8月8日在FBI和IRS牵头的行动中扣押了这家防弹托管提供商的服务器，欧洲刑警组织提供支持，将可用数据与欧盟境内外的各种刑事案件联系起来，并追踪加密货币交易。 Grabowski现在面临共谋计算机欺诈、共谋电信欺诈和国际洗钱的指控，如果全部罪名成立，可能会被判处45年监禁。 Telegram中著名的DDoS频道DDoS Empire被FBI取缔 8月5日，一家名为”DDoS Empire“的大型DDoS攻击雇佣服务提供商的Telegram频道宣布，其网站与频道被联邦调查局与欧洲刑警组织的联合行动中被接管。   联邦调查局更改了该频道的名称（It was seized by the FBI and the European police force.）和形象（FBI的logo）。 DDoS攻击雇佣服务 DDoS攻击是攻击者最青睐的武器之一，DDoS攻击雇佣服务（”DDoS即服务“）因其成本更低、更简单、更容易获得而受到欢迎。DDoS攻击服务的另一个优势是提供匿名性，因为攻击者和接收者之间没有个人联系。 DDoS攻击雇佣服务承诺，攻击将更具破坏性，持续时间更长，目标无疑将遭受巨大损失。攻击者声称，他们可以通过每分钟1500万次请求和80万个僵尸网络使目标系统瘫痪，即使是Vshield和Cloudflare等受DDoS保护的系统也不例外。...

不违法，不违规，原理用抖音发视频，小程序广告收益分成。 ​ ...

今天带来的项目是《靠QQ估值 半小时1000+，零门槛、零投入，喂饭式教学、小白首选！》。众所周知，QQ号如今仍扮演着重要的角色。虽然说这几年一直在用微信，但是QQ的情怀依然让很多人都舍不得完全丢掉它，尤其玩游戏的时候，登录方面还是得QQ更方便一些。你是否想过，你的QQ号究竟值多少钱呢？QQ估价就是一个能够解答这个问题的神奇工具。因此，QQ估价直播，又火了一把！单靠收礼物，就能收到手发软，而且教程是喂饭级的，只要你愿意张口吃，我就能保证赚到钱！ 课程目录： 01 简单项目介绍02 先把账号设置完毕03 项目资料使用04 直播间搭建（详细步骤）05 四种可持续变现方式 ...

最近在站长圈很多人在传某SEO培训大咖出事了，站长朋友给出的理由如下： (1)他的公众号从2月份到现在已经半年不更新了。 (2)松松视频陪跑群一位成员他说也是该人的学员，去年在他那交的费，找不到人了。 (3)百度搜索下拉框该SEO大咖，出现的全是负面消息。例如跑路了吗?进去了吗?被抓?等等下拉词汇，都是负面信息。 总之，这件事在群里越传越凶。甚至群里还一个人说，他已经被抓几个月了，原因是割韭菜割的太狠了，线下聚会的时候，直接实名举报，把他搞进去了。 同时，还有另外一个重量级大咖发朋友圈曾表示说： 都说他进去了，我只能说这是我能够预料的事情，2014年认识他已经10年，2018年参加我的线下面授课(还是白嫖的)以后回去做黑帽SEO培训，再然后屏蔽我，所有客户称只是讲的算法也好、策略一和，基本上都可以从我17年到18年讲的东西找到一样的答案，我觉得人应该怀有感恩，不让容易找不到北。 因为这事均为网传，并没有真实定论，本文均为匿名。 首先，黑帽SEO就是灰色擦边行为，市场上谈到的黑帽SEO基本都是这样，这个100%肯定。如果他的黑帽SEO涉及到一些“个人信息”“FQ”“批量点击”等行为，那基本没跑了。 其次，如果说自己没有做黑帽SEO而是培训。那就容易涉嫌欺诈行为、非法经营行为，如果说一旦“割韭菜”一旦被举报，那100%没跑了。轻则行政罚款，重则进去踩缝纫机。一般这种情况都是“收钱不办事”!...

围观地址：https://weibo.com/2479238731/Ne5oEdugE ...

围观地址：https://weibo.com/2479238731/Nehnn5QTh ...

1 概述 安天CERT近期发现APT组织Konni的攻击活动，结合诱饵文件内容及以往的攻击活动推测，此次攻击可能为针对韩国企业进行的网络攻击。APT组织Konni的攻击活动最早可以追溯至2014年，并一直活跃至今。该组织长期针对俄罗斯、韩国等国家进行定向攻击活动，擅长使用社会热点话题作为诱饵对目标进行鱼叉式网络钓鱼攻击。 近期发现，Konni组织可能通过向目标投递与税务相关的ZIP文件实施攻击。在用户打开ZIP文件内的诱饵LNK文件时，执行设置好的PowerShell指令，打开LNK文件内包含的掩饰文档以及压缩包，执行压缩包内的脚本文件，设置注册表实现持久化机制，获取目标机的部分文件列表、进程列表等基础信息并回传至服务端，最终下载后续载荷并执行。 2 Konni攻击活动分析 表 2‑1 ZIP文件 Konni组织可能通过钓鱼攻击的手法投递税务相关主题的ZIP文件，ZIP文件内容如下表： 表 2‑2 ZIP文件内容 ZIP文件的内容如下图所示：   图 2‑1 ZIP文件内容 表 2‑3 LNK文件 上表中的LNK文件包含在ZIP文件内，LNK文件指向攻击者构造的一段PowerShell代码，该代码用于解码其中十六进制编码的数据并执行，将这段PowerShell代码提取出来如下所示。 图 2‑2 LNK文件指向的PowerShell代码 解码后的内容用于释放掩饰文档소명자료 목록(국세징수법 시행규칙).hwp到LNK文件所在的目录、删除LNK文件、提取内嵌的ZIP文件并将ZIP文件中的条目提取到%public%\documents目录下，最终执行start.vbs。   图 2‑3 释放后续文件 LNK文件内存储的掩饰文档及ZIP文件数据相连，数据结构如下图所示。   图 2‑4 LNK文件内存储的掩饰文档及ZIP文件 LNK文件释放的掩饰文档正文内容如下所示。   图 2‑5 소명자료 목록(국세징수법 시행규칙).hwp   申明资料目录（国税征收法实施规则） ZIP文件内包含的条目及对应文件的功能如下所示。   图 2‑6 ZIP文件内包含的条目 表2-4 ZIP内的文件及对应功能 ZIP文件内各文件之间的调用关系如下图所示：   图 2‑7调用关系图 start.vbs，该文件用于执行78788188.bat文件。   图 2‑8 Start.vbs文件 78788188.bat，执行流程如下： 判断是否存在bat，如果存在23965250.bat，会将Start.vbs添加至注册表RUN中实现开机自启动，执行23965250.bat、27355145.bat后删除23965250.bat文件。如果不存在23965250.bat，判断是否存在upok.txt文件，如果upok.txt存在，执行步骤2)；如果upok.txt不存在，执行27355145.bat，该文件用于收集本地数据并回传至服务端，然后执行步骤2)。 判断是否存在txt，如果存在pakistan.txt，删除该文件并退出；如果不存在pakistan.txt，执行步骤3)。 判断是否存在bat，如果存在temprun.bat，删除该文件，执行步骤4)；如果不存在temprun.bat，直接执行步骤4)。 执行bat，该文件用于下载文件。传递参数http[:]//overseeby.com/list.php?f=%COMPUTERNAME%.txt、%~dp0SbJAZ.cab、1，下载SbJAZ.cab文件。如果第三个参数为0，会进行加密传输。以上操作完成后，执行步骤5)。 解压cab到当前路径下，而后删除SbJAZ.cab并执行temprun.bat。以上操作完成后，执行步骤6)。 等待57秒，再次判断是否存在txt，如果不存在pakistan.txt，跳到步骤3)继续执行。若存在pakistan.txt，删除该文件并退出。 图 2‑9 78788188.bat文件 23965250.bat，执行流程如下： 调用bat，发送http请求，下载97157.zip文件，请求的网址为https[:]//naver.cloudfiles001.com/v2/read/get.php?hs=ln3&fj=bv8702。然后判断下载是否成功，如果97157.zip文件存在，执行步骤2)。如果该文件不存在，退出。 获取压缩包中的第一个条目的名字，如果该名字存在，以字符a作为密码解压zip，而后删除压缩包，执行步骤3)；若该名字不存在，直接删除压缩包并退出。 判断压缩包中的第一个条目对应的文件是否存在。若存在，使用exe执行该文件的Run导出函数，等待60s；若不存在，等待60s，退出。此次操作将会循环执行三次。 图 2‑10 23965250.bat文件   27355145.bat，执行流程如下： 获取C:\Users\%username%目录下downloads、documents、desktop以及C:\Program Files中的文件及文件夹列表，并将其输出到bat文件所在目录对应的txt、cuserdocu.txt、cuserdesk.txt、cprot.txt中。然后通过nslookup命令获取myip.opendns.com、resolver1.opendns.com的域名解析地址，通过tasklist和systeminfo获取进程列表和系统信息，将他们分别输出到对应的ipinfo.txt、tsklt.txt、systeminfo.txt中，然后执行步骤2)。 等待5秒后，调用bat，将其加密处理后上传到http[:]//overseeby.com/upload.php地址。 图 2‑11 27355145.bat 28499076.bat，该文件内部存在一个自定义的加密函数，获取当前时间作为密钥。该文件的主要功能为加密27355145.bat生成的存放信息的txt文件，并将传入的带有计算机名称的文件名在加密后，与key和加密后的txt文件一同上传到指定的URL。在上传成功后会删除txt文件并在当前目录下新建一个upok.txt文件。 图 2‑12 28499076.bat 60937671.bat，主要功能用于下载文件，可根据传递的第三个参数来选择是否进行加密传输。若选择加密传输，则会获取当前时间作为密钥，并将其作为参数添加到URL中传递至服务端。 图 2‑13 60937671.bat 3 关联归因 根据初始压缩包内的诱饵文档以及脚本代码的相似性进行关联，发现了几个同为税务主题的压缩包，压缩包内同样包含LNK文件，且LNK文件中的掩饰文档与ZIP数据相连。将包含在LNK文件内的ZIP内容提取出来，发现内部脚本的功能大致相同，部分文件在传输加密、变量命名和文件命名上存在不同。 对关联到的所有文件进行分析，压缩包内的恶意LNK文件及对应域名列表如下所示： 表3-1 LNK文件对应的hash、文件名及域名列表 其中最早发现的两个文件的上传、下载功能的脚本文件内并无加密函数。 图 3‑1 早期攻击活动中用于文件上传、下载的脚本 图 3‑2 之后捕获到的攻击活动中用于文件上传、下载的脚本 此次捕获到的样本中，存在从伪装成韩国Naver公司相关的URL中下载文件的行为，具体URL如下表所示： 表3-2 URL列表 归因分析： 诱饵文件类型均为HWP文件，为韩国常用的文档格式。诱饵文件的文件名与内容所用语言均为韩语，且诱饵文档内容为税务相关内容，与以往Konni组织的攻击目标相符[1]。 在代码层面，仍沿用之前的脚本模式来进行文件的调用、初步的信息收集、文件的上传与下载，代码结构及内容与以往攻击活动相似程度较高，部分内容存在重叠。 图 3‑3 左侧为本次攻击活动中的信息收集脚本，右侧为以往攻击活动中的信息收集脚本[2]   图 3‑4 左侧为本次攻击活动中用作文件调用和下载的脚本，右侧为以往攻击活动中用作文件调用和下载的脚本[2] 4 威胁框架映射 本次捕获到的Konni组织疑似针对韩国企业的攻击活动共涉及ATT&CK框架中9个阶段的15个技术点，具体行为描述如下表： 表4-1 本次Konni组织攻击活动的技术行为描述表 将涉及到的威胁行为技术点映射到ATT&CK框架如下图所示： 图 4‑1 本次Konni组织攻击活动对应的ATT&CK映射图 5 总结 根据捕获的样本内容并结合已有情报来看，Konni组织从今年年初开始便以采用税务相关主题的诱饵进行钓鱼攻击。该组织继续沿用以往的LNK攻击手法，将恶意脚本文件添加到压缩包内并嵌入LNK文件中，待受害者打开LNK文件，执行恶意脚本文件，下载后续载荷。相比于早些时间捕获到的样本，差别主要存在于脚本中新增的数据传输前的加密功能。 IoCs 参考资料 세무조사관련정상한글문서로위장한악성링크파일유포 https://www.boannews.com/media/view.asp?idx=113686 코니(Konni) APT 조직, HWP 취약점을이용한 'Coin Plan' 작전감행 https://blog.alyac.co.kr/2543 ...

自2023年年初，深信服深瞻情报实验室监测到大量来自南亚地区的APT组织针对我国科研院所开展定向窃密攻击，其中航空航天领域成为其攻击核心，国内有关科研单位和高校相继受到攻击。通过深度参与事件调查，我们逐渐可以揭示出本轮攻击的模式与特征，以及潜藏在攻击活动背后的野心。 航空航天领域高速发展引来知识产权窃密风险 我国的航空航天事业自新中国成立以来就始终保持着高速发展的态势。近年来随着C919大飞机、天宫空间站、歼-20、神舟十六号载人航天等项目的顺利运行,我国在航空航天技术领域取得巨大突破，逐渐走在了世界前沿。然而高速发展带来的不止是荣誉，也伴随着一些负面问题，在竞争激烈的时代，窃取知识产权成为一种较低成本的快速追赶手段。 基于此，源自南亚地区的SideWinder（响尾蛇）、Bitter（蔓灵花）、Patchwork（白象）、Donot（肚脑虫）、CNC等APT组织闻风而动，开始在网络空间大肆活跃。为获取政策情报、军事秘密、科研进展、知识产权等数据，上述组织近年来持续对我国及南亚部分国家开展攻击，攻击范围包括政府部门、国防军工单位、科研院所等。 西工大遭受网络攻击以来，科研院所一直是APT攻击的重要目标，据监测，2023上半年受攻击的相关单位至少包括5所高级院校以及1所高级科研单位。 其中最引人注意的是CNC组织针对某学校的攻击事件。此次攻击自23年1月起筹划，定向针对某重点实验室实施窃密攻击。据历史披露，CNC组织2021年6月，就曾在我国神舟十二号载人飞船成功点火升空，与天和号核心舱对接之际，针对我国航空航天领域相关单位发起集中攻击。 本轮攻击的模式与特征 （一）伪装境外学术期刊钓鱼 历年来我们对印度APT组织的印象是广泛使用钓鱼邮件作为攻击入口，这些钓鱼邮件通常会蹭当下社会新闻热点，例如疫情话题，招聘话题等。而在近期CNC组织针对某学校的攻击活动中，攻击者结合目标的特点，使用了更加定向的投递方式，即仅向近期即将发表论文的作者发送“论文校对”或“论文确认”邮件，邮件内容除链接外，均与真实邮件完全相同。该特征在不同目标中多次出现，具有稳定性，攻击成功率极高。 具体来说，推测攻击者首先通过其他渠道，获得多个研究人员个人邮箱，监控其中的论文投递情况，当出现近期投递的论文，攻击者在适当的时间，模拟期刊方，仅向几位文章作者发送“论文校对”邮件，邮件包含该论文的编号、投递时间、在线发表地址等信息。 由于论文作者都密切关注其论文投递后的状态变更，且发件人刻意模仿期刊方，文章编号等这类保密信息真实，作者通常会无防备的点击该邮件中的链接，如下图红框所示，哪怕恶意超链接以明文形式展示，也会有受害者点击。同时，由于发送的校对邮件极真实，不排除国际上多个航空航天相关期刊的邮箱也遭到窃取，攻击者从此处获得某期刊论文校对邮件模板。 在CNC组织针对另一学校的攻击中，我们看到以“论文确认”为主题的钓鱼邮件，该论文同样为受害者近期在投的文章。 调查中，由于攻击者配置错误，我们在攻击者托管下阶段恶意样本分发的服务器中看到了其他期刊的相关载荷，如下表，充分印证了攻击者正积极采用这种手法进行攻击。 名称 组织 组织网站 Journalx_kjdb 科技导报 kjdb.org aippublishing 美国物理联合会出版社 publishing.aip.org aipscitation 美国物理联合会出版社 publishing.aip.org apcats2023 航空航天技术与科学亚太会议 apcats2023.org eg2.novatechset Nova Techset电子出版 novatechset.com hindawicentral Hindawi出版社 hindawi.com Journalx_yhxb 宇航学报 yhxb.org.cn sciencedirect sciencedirect期刊 sciencedirect.com asmesociety 美国机械工程师学会 asme.org sprintnature 施普林格·自然出版社 springernature.com   （二）伪装境外业内大牛钓鱼 除了“论文”主题外，攻击者还模仿领域内某位韩国知名教授，向航空航天相关专业的老师发送会议邀请函。邀请函正文从某个真正受到邀请的老师邮箱中获得，收到邮件的老师都熟识该教授，部分老师出于信任点击了恶意链接。 由于攻击者对邮件内容非常自信，攻击者近乎嚣张地与多名老师进行了近十轮的邮件交流而未被识破，交流中攻击者以“核对参会人信息”等方式，十分自然地发送携带恶意链接或附件的邮件使受害者中招。 （三）跨网段的U盘传播模式 攻击手段除安装各类文档窃密程序外，还投递了可通过U盘进行大范围传播的恶意样本，此类恶意样本通过不间断地监控目标主机是否有新的移动设备或存储设备接入，当检测到新的设备接入时，将自身复制到新设备中并进行伪装。此类样本不仅具有跨网段传播的功能，还下载后续阶段的其他样本进行驻留。这种意图跨越隔离网络，多种传播方式共用的方式，充分契合高校科研实验室网络架构。 恶意样本将自身复制到U盘后，伪装成图片，并取名为“私人图片.png”，引诱其他使用该U盘的受害者点击。在事件调查过程中，已经多次提醒注意不打开未知文件的情况下，仍有受害者出于好奇打开“私人图片”，使样本在内网进一步传播。   （四）高度定制化木马，明确的窃密目标 CNC组织针对高校的攻击手法如下图，经过多阶段的恶意程序下载释放，最终主机中会落地文档窃取程序。 攻击者通过钓鱼邮件成功攻陷主机后进行信息收集，后续对文档窃取程序进行定制化开发，窃取攻击者感兴趣的目标，例如在某校发现的样本中存在硬编码的最近文档路径，在另一发现的样本中存在硬编码的微信聊天文件路径和杂项路径。 攻击中使用的基础设施分析 对本轮针对航空航天领域攻击中使用的IP基础设施所属地理位置进行分析，其使用的C2地理位置集中在欧洲地区。 攻击者在后阶段样本中多次使用第三方平台github作为载荷和C2托管平台，“59degf”、“xerox211”、“kkrightjack”等账号接替出现。 “59degf”于2022年5月26日加入github，并且活跃到2022年8月，不排除后续继续使用。 其首先创建“stylefonts”仓库，并上传一份pip9.0.3的安装包进行伪装，接着上传多个文件，并将加密C2信息存储于其中。 其还会在该仓库中存放使用base64编码的载荷文件“jquery-img.css”，通过分析该载荷为GRAT2开源远控，且被用于历史活动。 其他的C2更新信息如下表。 时间 文件名 数据 2022.7.4 CustomLogktr56632404 menu-items#8080@Ulzc7AnSIBk7shxMu7bc+Z8PGYo= 2022.7.5 CustomLogktr56632404 background-color@8080:eJGipVAZxpwarQ4Rt+vXyg== 2022.7.5 CustomLogktr56632404 menu-items#8080@eJGipVAZxpwarQ4Rt+vXyg== 2022.7.5 CustomLog menu-items#8080@eJGipVAZxpwarQ4Rt+vXyg== 2022.7.5 CustomLog menu-items#8080@MoTyR1NbFGeJ7G7lhgos 2022.7.5 CustomLog1 menu-items#8080@MoTyR1NbFGeJ7G7lhgos 2022.8.4 License-rtm.txt 6ZBsOoSsfGBn4RVOdh49BhEBvX5tc18=（解密为https://94.140.115.232/） 2022.8.5 License-rtm.txt 6ZBsOoSsfGBv7AlRcxwiGRgDvX1seV/KybQNFZTCOGIm6JPNkdnI8Tl6Zv7A（解密为https://192.121.87.128/gtjuik75743.php?huyice） 另外，在分析的样本“e1d12807f017c8f827fe586a19b91f1f0903d0acbb693901762adfaab638f619”中提取出其通信的github URL为“https://raw.githubusercontent.com/59degf/charsets/main/fonts-store.txt”，并未发现其使用的charsets仓库，需持续观察。 “xerox211”于2022年9月28日加入github，并创建了仓库“service”，使用github存放加密的C2数据，当未获取到对应样本时无法对该数据解密。 2022年9月29日上传数据“21/3/231/347”（该数据格式暂不清楚）。 接着在2022年10月12日多次更新该数据。 将上述数据更新为"262/347/28/256”（该数据格式暂时不清楚），期间进行过多次格式调整。 接着在2022年11月4日将数据再次更新为“0x41,0x51,0x8d,0x3e,0x5e,0x70,0x21,0xc4,0x40,0xe5,0x7d,0xd6,0x7b,0x04,0x95,0x31,0xf0,0xc7,0xef”。 最终再次进行格式调整，将数据更新为“41518d3e5e7021c440e57dd67b049531f0c7ef”。 “kkrightjack”于2022年8月23日加入github，于2022年8月24日快速上传config.json文件后又在短时间内删除“msecnd-tray!8080$vH71iikBrM0YKkmpvugwHA==”。 2022年9月23日重新更新该数据为“msecnd-tray!8080$v5w0/D/EvtqeYBANF9Rrmg==”   附录：IoC IOC类型 IOC MD5 bffa445f8f99a05384c3a61b9eaabc2f ca7276e10fcf08ec118b7cdd4e191ae8 390f9430d01e499719e9a36af5489808 869d595bbc42335fcf27321b60421582 6c65f3eea8c6b85cfae319a85d39eb55 0d5554ffd44fb843e0f41dce571c78d5 9bba6c6eb20046e40e4c6bedff370614 3af8b5681908426e817f906ff0d08b6e ce3b254fc75fe4210aa509581ca42848 774f5270c753a8651e81a2886130908f 29bbb78c7a9873836d7e76198f9e1f6c 63944ca21aee1ea6f5cfed011c7173b0 040c572499115880acf1704cdf0c4aec f75ac8caca2e3b8f1becd26c7d6542d7 d3d227719260091b7bb58111f0b219fa 88b2e156b43b650705d895b595d59087 018bb9c176732dfc7879a6c3bca8e0aa 3a79ef175d63e504eb9442e64af12661 b1e792da3e146ebabc76219ffe2385a4 337899dc4fe9e74935678cf6fd067c31 ef6e329c6fb3eb2a93cabadd6798cd20 32fdd60c5366c924b3cceb95dadc4c2e 70f134f39ef48ea6f8be96bd05d299a2   ...

dedecms功能很强大，但总有些东西无法满足我们自己的需求，这就需要我们在设计模板时使用这个标记来编写程序，也总免不了要查询、更新、修改数据库。但是不是欣喜的编写完程序后运行程序系统却提示你Safe Alert Request Error step 1 或 Safe Alert Request Error step 2。引起这个的主要原因是dedecms 5.6开启了安全检测的功能，避免sql注入，提高系统的稳定性、安全性！我们完全可以在不关闭安全检测的前提下，实现这些功能！比如下面这段代码： {dede:php runphp='yes'} $tag = trim($_SERVER['QUERY_STRING']); $tags = explode('/', $tag); if(isset($tags[1])) { $tag = urldecode($tags[1]); } if(isset($tags[2])) { $PageNo = intval($tags[2]); } if(empty($PageNo))$PageNo=1; $PageNo=($PageNo-1); $sql_tag="select * from `dede_archives` where `id` in (select `aid` from `dede_taglist` where `tag` like '$tag') and `litpic`<>'' order by click desc limit $PageNo,8"; if(!isset($dsql)||!is_object($dsql)){ $dsql=new DedeSql(false);}   $dsql->SetQuery($sql_tag); $dsql->Execute(); @me="" while($row=$dsql->GetArray()){ $me=$me."<img src='".$row['litpic']."'>"; } {/dede:php} 该段代码理论上是实现查询某个TGA标签所对应的图片文章，而且是能翻页的！(这个只是个举例！)但在实际执行过程中却提示“Safe Alert: Request Error step 2”；经过研究发现，dedecms在执行自己编写的代码时会进行安全检测，以防被注入。牵扯到“select union”等数据库语句，有两种方法可以解决这个问题： 第一个方法： 在include文件夹中找到dedesql.class.php文件，打开后找到$this->safeCheck = true;将“true”修改为false即可屏蔽掉安全检测。当然，这样存在一定的安全隐患 第二种方法：不屏蔽安全检测 dedecms不是对selecet等语句敏感吗，那我就不用select语句进行查询，自己创立一个select的代替者，如用chaxun代替select,这样上面的查询语句就可以写成： $sql_tag="chaxun * from `dede_archives` where `id` in (chaxun `aid` from `dede_taglist` where `tag` like '$tag') and `litpic`<>'' order by click desc limit $PageNo,8"; 估计你就要问了，这样怎么可能正常执行啊，瞎搞嘛！是的，这样肯定是不行的。我们需要对dedesql.class.php进行一定的修改。原理就是将之前代替的“select”别名”chaxun”在安全检测后更正为select在dedesql.class.php中找到函数function CheckSql($db_string,$querytype=’select’)将函数的返回语 return $db_string; 替换为 return str_replace("dede_database_chaxun","select",$db_string); 然后在查找CheckSql()这个函数，共有2处调用一处为if($this->safeCheck) CheckSql($this->queryString,’update’);另一处为 if($this->safeCheck)   {    CheckSql($this->queryString);   } 将这两处分别修改为 if($this->safeCheck) $this->queryString=CheckSql($this->queryString,'update'); 和if($this->safeCheck)   {    $this->queryString=CheckSql($this->queryString);   } 好了，大功告成！如果需要使用到union，update等语句时都可以照此进行修改！...

PART.01 登入过程 1. 访问靶场地址http://101.43.22.226/?name=2023，框架为Flask。 2. 测试存在ssti注入。 3. 直接执行以下命令。 http://101.43.22.226/?name={% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__ == 'catch_warnings' %} {% for b in c.__init__.__globals__.values() %} {% if b.__class__ == {}.__class__ %} {% if 'eval' in b.keys() %} {{b['eval'('__import__("os").popen("whoami").read()') }} {% endif %} {% endif %} {% endfor %} {% endif %} {% endfor %} 4. 测试目标可以出网，直接执行命令反弹shell和上线msf。 5. 对当前机器进行信息搜集，存在双网卡172.25.1.3和10.10.10.100。 6. 添加路由。 7.对10.10.10.0段存活主机进行扫描， 8. 存活主机有10.10.10.101、10.10.10.102、10.10.10.200 和10.10.10.201。其中，200，201这两台机器开放了445端口，在此探测是否存在永恒之蓝漏洞。 9. 对200这台机器进行漏洞利用。由于不确定200这台机器是否出网，所以payload要设置成正向shell，最后成功获取到这台机器的权限。 10. 因为10.10.10.100这台机器是可以出网的，将它作为我们的跳板机。远程下载frp，搭建socks5代理。 11. 对10.10.10.101进行端口扫描，开放22和80端口，访问80的web服务。 12. 测试存在文件，文件包含漏洞(不存在远程文件包含)。 13. 经过fuzz读取到配置文件config.php，从中获取到数据库的账户密码。 14. base64解码后的数据库用户名为catcat，密码为wannatobeacat。但是由于数据库还是不能连接，因此想到了密码复用——使用ssh，登录上catcat的账户。 15. 当前用户权限较低，尝试提权。使用pspy扫描后发现，root用户每分钟会执行一次backup.sh，且当前用户catcat可以修改此文件。 16. 在backup.sh文件中添加 chmod 4475 /bin/bash，执行bash -p后成功提权。 17. 对10.10.10.102机器进行扫描，发现开放了22和5000端口。访问5000后发现，其是web服务。 18. 存在用户名枚举，但是未爆破出密码，sql注入也不存在。 19. 这里发现用的框架为Express。通常情况下，用的是mongdb数据库，尝试nosql注入。参考链接如下： https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/NoSQL%20Injection#exploits 20. 修改payload。 注意：需改动未Content-Type: application/json。 {"user": {"$ne": null}, "password": {"$ne": null}} 21.成功进入后台。 PART.02 渗透过程 1. 新建文章。 2. 提交后服务报错，从报错信息中获取到了网站的物理路径。 3. 存在上传功能点测试，返回非法的XML格式，并且发现数据库的请求头也是/articles/xml。查看是否存在xxe漏洞。 4. 尝试读取/etc/passwd文件，成功读取后确定存在xxe漏洞。 5. 就刚才获取到的网站物理路径，读取配置文件server.js的内容。 6. 执行命令反弹shell到主机10.10.10.100。 7. 发现当前用户可以凭借root权限执行/bin/check文件。 8. 查看/bin/check文件，引用os.py。 9. 此处直接修改os.py文件内容，以sudo的权限执行check文件即可提权（由于此处获取交互式shell就会系统停顿，所以没有继续提权）。 10. 主机10.10.10.201开放了比较多的端口，首先访问80端口，但其web服务需要进行验证，利用弱口令admin，admin成功进入后台。 11. 存在文件上传功能点，但是无论上传任何格式都能够成功返回，只是无法找到上传的路径。 12.此处提示样本会上传到文件共享服务器，测试团队将手动审查上传的内容，构造SCF文件以索取ntlm hash，并将文件上传到目标服务器。 13. 在跳板机上安装Respondr，并对其进行监听。 14. 成功抓取到NTLMv2 Hash。 15. 使用hashcat破解。 hashcat -m 5600 hash.txt rockyou.txt 16. 破解出密码为tobyallison31。此外，目标机器开放了5985端口，使用evil-winrm进行连接。 17. 生成正向木马bind.exe，上传到该目标机器后获取到meterpreter。 18. 查看powershell的历史记录，发现他下载并开启了Goservice服务，我们可以替换文件来进行提权。 19. 暂时停止服务。 20. 将bind.exe上传到目录，并重命名为service.exe。 21. 重新启动GoService服务。 22. 成功返回一个meterpreter且权限为system权限。 ...

关于ScrapPY ScrapPY是一款功能强大的文档数据爬取和字典生成工具，该工具基于Python开发，可以帮助广大研究人员抓取手册、文档和其他敏感PDF，以生成安全工具可以直接使用的有针对性的字典列表来执行暴力破解、强制浏览和字典攻击。 ScrapPY可以执行词频、熵和元数据分析，并可以在全输出模式下运行，为有针对性的攻击创建自定义字典列表。该工具可以通过深入分析，发现潜在密码或隐藏目录的关键字和短语，生成可读的文本文件，并输出到Hydra、Dirb和Nmap等工具。 简而言之，在ScrapPY的帮助下，广大研究人员能够快速实现初始访问、漏洞扫描和横向移动。 工具安装 由于该工具基于Python 3开发，因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来，广大研究人员可以使用下列命令将该项目源码克隆至本地： $ mkdir ScrapPY $ cd ScrapPY/   $ sudo git clone https://github.com/RoseSecurity/ScrapPY.git 然后切换到项目目录中，使用pip 3命令和项目提供的requirements.txt文件安装该工具所需的其他依赖组件： $ pip3 install -r requirements.txt 工具使用 usage: ScrapPY.py [-h] [-f FILE] [-m {word-frequency,full,metadata,entropy}] [-o OUTPUT] 输出文档元数据： $ python3 ScrapPY.py -f example.pdf -m metadata 将前100个常用单词输出到名为Top_100_Keywords.txt的文件中： $ python3 ScrapPY.py -f example.pdf -m word-frequency -o Top_100_Keywords.txt 将所有的关键词输出到默认的ScrapPY.txt文件中： $ python3 ScrapPY.py -f example.pdf 将前100个熵最高的单词输出： $ python3 ScrapPY.py -f example.pdf -m entropy ScrapPY输出结果： # ScrapPY outputs the ScrapPY.txt file or specified name file to the directory in which the tool was ran. To view the first fifty lines of the file, run this command:         $ head -50 ScrapPY.txt       To see how many words were generated, run this command:       $ wc -l ScrapPY.txt 与其他安全工具集成 该工具可以轻松与例如Dirb之类的其他安全工具进行集成，以加快发现隐藏子目录的过程： root@RoseSecurity:~# dirb http://192.168.1.123/ /root/ScrapPY/ScrapPY.txt           DIRB v2.21   By The Dark Raver         START_TIME: Fri May 16 13:41:45 2014   URL_BASE: http://192.168.1.123/   WORDLIST_FILES: /root/ScrapPY/ScrapPY.txt             GENERATED WORDS: 4592       ---- Scanning URL: http://192.168.1.123/ ----   ==> DIRECTORY: http://192.168.1.123/vi/   http://192.168.1.123/programming (CODE:200|SIZE:2726) http://192.168.1.123/s7-logic/ (CODE:403|SIZE:1122)   ==> DIRECTORY: http://192.168.1.123/config/   ==> DIRECTORY: http://192.168.1.123/docs/   ==> DIRECTORY: http://192.168.1.123/external/ 将ScrapPY与Hydra一起使用可以执行高级暴力破解攻击： root@RoseSecurity:~# hydra -l root -P /root/ScrapPY/ScrapPY.txt -t 6 ssh://192.168.1.123     Hydra v7.6 (c)2013 by van Hauser/THC & David Maciejak - for legal purposes only       Hydra (http://www.thc.org/thc-hydra) starting at 2014-05-19 07:53:33   [DATA] 6 tasks, 1 server, 1003 login tries (l:1/p:1003), ~167 tries per task   [DATA] attacking service ssh on port 22 使用ScrapPY生成的字典与Nmap脚本结合使用： nmap -p445 --script smb-brute.nse --script-args userdb=users.txt,passdb=ScrapPY.txt 192.168.1.123 工具使用演示 演示视频：【点我观看】 项目地址 ScrapPY：【GitHub传送门】  ...

一．摘要 获取网空测绘数据后，去分析数据和解读数据、让数据说话，这是 ZoomEye 团队常说的“赋予数据灵魂”，也是网空测绘的真正价值所在。网空测绘数据，不仅可以应用于网络空间领域，去感知网络空间层面的态势，也可以与其他行业领域的数据进行结合，通过分析挖掘去印证和感知现实实体空间的态势，进而发挥其更大价值。 印度和巴基斯坦是两个位于南亚的相邻国家。本文主要基于 ZoomEye 网络空间搜索引擎 [1] 的测绘数据，从多个维度进行两个国家的对比分析，并与其他行业领域的数据结合进行解读。 对比两个国家的人均 IPv4 地址拥有数量，印度略高于巴基斯坦，反映出印度的信息化水平略高于巴基斯坦；与南亚其他国家（例如不丹、斯里兰卡、尼泊尔、孟加拉）进行横向比较，这些国家的信息化水平处于同一层级别上；与信息化水平较高的国家（例如美国、韩国、英国、德国、日本）进行横向比较，差距比较大。 对比 2022 年两个国家在线IPv4地址（此处"在线IPv4地址"指的是对互联网开放某个端口提供某种协议服务的IPv4地址）占其IPv4地址总量的比例，印度高于巴基斯坦，说明印度在 IP 地址服务提供率上高于巴基斯坦，反映出印度的信息化水平高于巴基斯坦。 我们将近 4 年两个国家的 GDP 数值和在线 IPv4 数量的变化趋势结合起来观察，发现：两个国家的 GDP 数值和在线 IPv4 数量，在 2020 年均有明显下降，在 2021 年和 2022 年均为上升趋势。推测原因：受全球疫情影响，两个国家在 2020 年出现经济衰退，互联网应用服务相应较少，因此出现在线 IPv4 地址数量下降的现象；2021 年和 2022 年经济复苏，互联网应用服务也随之增加，因此在线 IPv4 地址数量呈现上升趋势。 对比两个国家使用了 SSL/TLS 协议的 IPv4 资产占总资产数量的比例，印度高于巴基斯坦；对比两个国家防火墙设备资产占总资产数量的比例，印度也高于巴基斯坦；这两个维度的数据对比，反映出印度的信息化建设安全水平高于巴基斯坦。 针对使用了 SSL/TLS 协议的 IPv4 资产，提取 SSL 证书中的关键词样例进行设备厂商的分析对比，我们可以发现：美国设备厂商在两个国家的市场覆盖率基本相当；相比较而言，中国设备厂商的市场覆盖率比较低。这些说明，在“一带一路”倡议的大背景下，中国设备厂商在海外的市场存在广阔增长空间。 二．国家概况对比 2.1人口和经济 印度的人口数量（14.13 亿）是巴基斯坦的人口数量（2.35 亿）的 6 倍 [2] 。在 2022年，印度的 GDP（国内生产总值） [3] 是巴基斯坦 [4] 的 9 倍，印度的人均 GDP 是巴基斯坦的 1.43 倍，如表1所示。受限于全球疫情影响，印度和巴基斯坦在 2020 年均出现明显的经济衰退；而在 2021 年和 2022 年，两国经济均有所复苏。从数据可以看出，印度的国家经济实力要强于巴基斯坦。 表1： 印度和巴基斯坦GDP比较 2.2电信运营商 印度的 5 家主要运营商 [5] ，其企业大股东所属国家均为印度自身；而巴基斯坦的 4 家主要运营商 [6] ，只有 1 家企业大股东所属国家为巴基斯坦自身，另外 3 家分别属于荷兰、挪威和中国 ，如表2所示。从这个维度上进行对比，可以一定程度上反映出：印度的通信基础设施能力要高于巴基斯坦，并且主要由国家自身进行主导。 其中，位于巴基斯坦的 CMPak Limited 企业（中文名：中国移动辛姆巴科公司），是中国移动在海外的第一张通信网络，也是中国移动参与“一带一路”建设的重要实践[7] 。 表2 ：印度和巴基斯坦主要运营商 三．拥有 IP 数量对比 3.1 IPv4 拥有总量 我们比较两个国家拥有 IPv4 地址的数量，及其年度变化 [8] 。详细数据见下表3。可以看出，印度作为 IPv4 地址拥有数量全球排名第 13 位的国家，其绝对数量值远大于巴基斯坦IPv4 地址拥有数量（全球排名第 51 位）；年度变化方面，2021-2023 年，两个国家拥有 IPv4 地址的数量整体呈上升趋势，推测与疫情之后两国经济复苏相关。 表3 ：印度和巴基斯坦拥有 IPv4 地址的数量比较 3.2 IPv4 人均拥有数量 IPv4 地址拥有数量绝对值的对比，未必能够真实反映两国信息化水平现状，因此，接下来我们比较两个国家人均 IPv4 地址的数量。详细数据见下表4。可以看出，印度的人均 IPv4 地址数量略高于巴基斯坦，一定程度上反映出印度的信息化水平略高于巴基斯坦；与信息化水平较高的国家（例如美国、韩国、英国、德国、日本）进行横向比较，差距比较大；与南亚其他国家（例如不丹、斯里兰卡、尼泊尔、孟加拉）进行横向比较，这些国家的信息化水平处于同一层级别上。 表4：IPv4 地址拥有数量对比 四．在线 IP 数量对比 4.1 在线 IPv4 数量及占总量的比例 对比 2022 年两个国家的在线 IPv4 地址（此处"在线IPv4地址"指的是，对互联网开放某个端口提供某种协议服务的IPv4地址），印度的绝对数量高于巴基斯坦；对比 2022 年两个国家在线 IPv4 地址占 IPv4 地址总量的比例，印度为 13.84%，巴基斯坦为 8.28%，如表5所示，说明印度在 IP 地址服务提供率上高于巴基斯坦，反映出印度的信息化水平高于巴基斯坦。 表5：印度和巴基斯坦在线 IPv4 数量及占总量的比例比较 4.2 在线 IPv4 数量的变化趋势 接下来，我们查看近 4 年两个国家在线 IPv4 地址数量的变化情况，详细数据见下表 6。可以看出，两个国家在线 IPv4 地址数量，在 2020 年均有明显下降，然后在 2021 年和2022年均为上升趋势。 表6：近 4 年印度和巴基斯坦在线 IPv4 地址数量的变化情况我们将近 4 年两个国家的 GDP 数值和在线 IPv4 数量的变化趋势结合起来观察，发现：两个国家的 GDP 数值和在线 IPv4 数量，在 2020 年均有明显下降，在 2021 年和 2022 年均为上升趋势，如图1、图2所示。推测原因：受全球疫情影响，两个国家在 2020 年出现经济衰退，互联网应用服务相应较少，因此出现在线 IPv4 地址数量下降的现象；2021 年和 2022 年经济复苏，互联网应用服务也随之增加，因此在线 IPv4 地址数量呈现上升趋势。 图1：印度近4年GDP数值和在线IPv4数量的变化趋势 图2：巴基斯坦近4年GDP数值和在线IPv4数量的变化趋势 五．设备资产数据对比 本章节，我们挑选具体的 IP 设备资产数据进行对比分析。 5.1 SSL/TLS协议资产和防火墙设备资产 我们提取这两个国家使用了 SSL/TLS 协议的 IPv4 资产，并统计其占在线 IPv4 总资产数量的比例，印度的该占比值为 23.17%，而巴基斯坦的该占比值为 7.87%，如表 7 所示。 然后，我们提取这两个国家的防火墙设备资产，并统计其占总资产数量的比例，印度的该占比值为 0.69%，相当于平均使用 1 个防火墙保护 145 个 IP 资产；而巴基斯坦的该占比值为 0.25%，相当于平均使用 1 个防火墙保护 400 个 IP 资产。 这两个维度的数据对比，可以一定程度上反映出：印度的信息化建设安全水平高于巴基斯坦。 表7：SSL/TLS协议资产和防火墙设备资产比较 5.2 不同厂商设备资产 接下来，我们针对使用了 SSL/TLS 协议的 IPv4 资产，提取 SSL 证书中的关键词样例进行设备厂商的分析对比。此处的数据分析是基于 SSL 证书中的关键词，所以，我们统计设备厂商资产数量占比比例的时候，不是统计其占在线总资产数量的比例，而是统计其占使用SSL/TLS协议资产数量的比例。（注：此处从 SSL 证书中提取设备厂商关键词样例，不代表覆盖全部厂商，也不代表覆盖一个厂商的全部设备型号。） 通过表 8 的详细数据可以看出，在这两个国家，4 个美国设备厂商资产数量占比基本持平。 表8：印度和巴基斯坦不同厂商设备资产的比较这个维度的数据比对，可以反映出：**美国设备厂商在两个国家的市场覆盖率基本相当；相比较而言，中国设备厂商的市场覆盖率比较低。**这些说明，在“一带一路”倡议的大背景下，中国设备厂商在海外的市场存在广阔增长空间。 六．结语 本文主要基于 ZoomEye 网络空间搜索引擎的测绘数据，从多个维度进行印度和巴基斯坦两国的对比分析，数据可以反映出印度的信息化水平要高于巴基斯坦。 网空测绘数据和国家GDP数据结合进行解读，可以反映出两个国家在2020年出现经济衰退，互联网应用服务相应较少，因此出现在线IPv4地址数量下降的现象；2021年和2022年经济复苏，互联网应用服务也随之增加，因此在线IPv4地址数量呈现上升趋势。 设备资产测绘数据的对比分析，可以发现美国设备厂商在这两个国家的市场覆盖率高于中国设备厂商；说明在“一带一路”倡议的大背景下，中国设备厂商在海外的市场存在广阔增长空间。 基于网络空间测绘数据，不仅可以感知网络空间层面的态势，还可以与其他行业领域的数据进行结合，通过分析挖掘去印证和感知现实实体空间的态势，这也是网空测绘数据的魅力所在。 七．参考链接 [1] ZoomEye 网络空间搜索引擎https://www.zoomeye.org [2] 国家人口数量https://zh.wikipedia.org/zh-hans/各国家和地区人口列表 [3] 印度的GDP数值https://en.wikipedia.org/wiki/Economy_of_India [4] 巴基斯坦的GDP数值https://en.wikipedia.org/wiki/Economy_of_Pakistan [5] 印度的电信运营商https://en.wikipedia.org/wiki/List_of_telecom_companies_in_India [6] 巴基斯坦的电信运营商https://en.wikipedia.org/wiki/List_of_telecommunication_companies_in_Pakistan [7] 中国移动筑就“一带一路”信息高速路http://ccnews.people.com.cn/n1/2019/0701/c141677-31204950.html [8] 国家拥有IPv4地址数量数据来源于埃文公司的IP地理位置库 作者：知道创宇404实验室English version: https://paper.seebug.org/2094/** ...

近期，火绒威胁情报系统监测到一款后门病毒正在快速传播，被激活后会释放多个恶意文件并执行，使黑客可以进行信息收集，远程控制等恶意操作。值得注意的是，该病毒不但使用多种免杀手段躲避查杀，其释放的子文件中还具有 Synares 蠕虫感染特征，可在受害者电脑的文件中进行传播。 用户点击病毒程序之后，该病毒就会释放并执行恶意文件，随后黑客可以远程控制用户电脑。除此之外，该黑客团伙在开发过程中疑似主机环境被Synares蠕虫病毒感染或有意捆绑，致使释放的子文件中存在着蠕虫的特征，增加了破坏性。执行流程如下图所示： 执行流程图 在免杀层面上，该病毒文件使用了包括：多层 PE 流调用、VMProtect 和 Safengine Shielden 加壳保护、DLL 内存加载、异常反调试、流程混淆等多种技术来进行对抗。在此，火绒工程师提醒大家警惕陌生文件，先查杀再使用。 一、样本分析： malware.exe： 在分析对抗层面上，病毒对运行逻辑进行了混淆处理，并利用了包括：函数指针动态获取、函数包装调用等手段来干扰静态分析： 函数指针动态获取 函数包装调用 在关键执行层面上，病毒文件先后释放 look2.exe 和 "HD_malware.exe" 文件并执行。其中 look2.exe 存放于用户的 TEMP 目录中，而 "HD_malware.exe" 则释放到桌面下，并赋予 "隐藏属性和系统保护属性" 隐藏自身。 执行流程图 文件示意图 Look2.exe： look2.exe 是一个支持持久化和配置更新的木马程序。该病毒在执行前会解密出互斥体名称： “kinh.xmcxmr.com:442:svchcst” ，通过该互斥体的成功创建与否来判断父进程 malware.exe 是否正在执行，以此决定后续操作。 父子进程交互 后续操作中，look2.exe 会尝试获取系统目录，然后释放一个以时间戳命名的 bat 文件，该文件实则为用于加载的 DLL 文件。根据父进程写入的执行标志位来决定是直接执行 DLL 内 MainThread 导出函数还是 Install 导出函数（这两个导出函数在后面解析），执行完后还尝试删除文件，但实际上由于文件被加载占用，所以无法被移除。 look2.exe 执行流程 另一种情况是 look2.exe 被用于执行配置更新操作，当命令行中包含 GUpdate 和要更新的注册表项时，程序会定位到指定的位置进行配置更新： 配置更新操作 释放的 DLL 文件实际上是 Gh0st 后门病毒的变种，该 dll 中包括 5 个导出函数，但都围绕着 MainThread 展开。导出函数名代表了真实意图，包括配置更新（DllUpdate）、创建服务（Install）、卸载服务（Uninstall）、服务启动函数（ServiceMain）。 导出函数列表 导出函数逻辑代码 MainThread 包含核心恶意功能，包括：终端数据收集，接收和执行控制命令、派发执行任意病毒模块等。火绒安全实验室在 2019 年发布的 《火绒5.0公测阶段就立功 有效防御某一类常见黑客攻击 》 文章中披露的后门病毒在执行流程和代码逻辑上，经对比与该函数没有太大改动，故不再重复分析。 注册表修改对比 信息收集对比图 HD_malware.exe： “HD__malware.exe” 是一个被 Synares 蠕虫病毒感染过的文件，当它执行时，会释放感染前的 ".cache_malware.exe" 源程序，并且执行蠕虫自身的感染操作，包括：更新自身配置、篡改注册表自启动项，感染指定位置 EXE 和 EXCEL 文件、远控，窃密等。执行流程如下所示： 执行流程图 Synares 蠕虫病毒是一个相对较老的病毒，虽然变种极多，但本次观察到的行为与以前版本并无太大变化，包括感染的三个指定位置为：%USERPROFILE%\Desktop、%USERPROFILE%\Documents、%USERPROFILE%\Downloads。包括键盘记录和 usb、目录文件信息记录，并通过邮件回传。包括基础远控功能：CMD 命令执行、屏幕截图、打印目录、下载文件、删除文件等，故不再重复分析。 代码逻辑图 ._cache_HD_malware.exe 释放出来的 ._cache_HD_malware.exe 是被感染前的原始程序，其套用 vmp 壳来试图隐藏自身逻辑： 套用 VMP 壳 在其内部嵌入了未加密的 EXE 文件，用于释放执行，并包含核心操作： 内嵌 EXE 文件 HD_.cache_HD_malware.exe 内嵌的 EXE 文件在释放时会再次以 “HD_” 做前缀，其同样被设置系统保护和隐藏属性，并且套用 SE 壳试图隐藏逻辑： 套用 SE 壳 当前文件示意图 该病毒文件执行时，会从 C2 服务器上下载 exploror.exe 写入到创建的 C:\windowss64 目录下 computer.exe 文件中并启动执行。 下载文件并执行 Computer.exe Computer.exe 是一个引导程序，用于引导内嵌的 DLL 加载执行。内嵌 DLL 是加密存储的，Computer.exe 在执行时会构造并利用异常来进行反调试，并且解密操作也在异常处理中定义。 解密 DLL 和异常反调试 在解密内嵌 DLL 后，会调用指定导出函数 fuckyou，剩下所有操作均由 DLL 内代码完成。 指定导出函数 该导出函数主体逻辑同样与火绒安全实验室在 2019 年发布的 《火绒5.0公测阶段就立功 有效防御某一类常见黑客攻击 》文章中提到的后门病毒，经对比并没有太大改动（DDOS 模块已移除），故不再重复分析。 代码对比 二：附录 HASH ...

有时我与一些害怕使用命令行的朋友交谈，我感到自己给不出好的建议（我已经使用命令行太长时间了），因此我向一些 Mastodon上的人提出了以下问题： 如果在过去一到三年内，你刚刚不再害怕使用命令行了，是什么帮助了你？ （如果你不记得，或者你已经使用命令行舒适地工作了 15 年，则无需回答——这个问题不适用于你 ?） 这个列表还不如我希望的那么长，但我希望通过发布它来收集更多的答案。显然，并没有一个单一的方法适用于所有人，不同的人会选择不同的路径。 我认为舒适使用命令行有三个方面：减少风险、动机和资源。我将先谈谈减少风险，然后是一些动机，并列出一些资源。 减少风险的方式 很多人（没错！）对在命令行上意外执行了一些无法撤销的破坏性操作感到担心。 以下是一些人们提到的帮助他们减少风险的策略： 定期备份（有人提到他们在上周的一个命令行错误中意外删除了整个家目录，但很幸运他们有备份）。 对于代码，尽可能多地使用 git。 将 rm设置为类似safe-rm或rmtrash这样的工具的别名，这样你就不会意外删除不应删除的内容（或者就设置别名到rm -i）。 尽量避免使用通配符，使用制表符键补全代替（我的 Shell 会使用 TAB键补全rm *.txt并显示我将要删除的内容）。 使用精美的终端提示符，可以显示当前目录、计算机名称、git分支和你是否具有 root 权限。 如果你计划对文件运行未经测试或危险的命令，先备份文件副本。 拥有一台专用的测试机器（如便宜的旧 Linux 计算机或树莓派）进行特别危险的测试，例如测试备份软件或分区。 对于危险命令，如果有的话，使用 --dry-run选项来查看执行结果而不实际执行操作。 在你的 Shell 脚本中构建自己的 --dry-run选项。 这些策略有助于降低在命令行上引发不可逆操作的风险。 杀手级应用程序 一些人提到了一个“杀手级命令行应用程序”，这激励他们开始花更多时间在命令行上。例如： ripgrep jq wget / curl git（一些人发现他们更喜欢使用 git 命令行界面而不是使用图形界面） ffmpeg（用于视频处理） yt-dlp 硬盘数据恢复工具（来自 这个精彩的故事） 还有一些人提到他们对图形界面工具感到失望（例如使用了所有内存，并使计算机崩溃的重型集成开发环境），并因此有动机用更轻量级的命令行工具替代它们。 激发人们的命令行技巧 有人提到被其他人在命令行上展示的酷炫功能所激励，例如： 命令行工具可以比你的 Hadoop 集群快 235 倍 Gary Bernhardt 的这个“命令行链锯”演讲 explainshell 有几个人提到了 explainshell，它可以让你粘贴任何命令行指令，并将其分解成不同的部分解释。 命令历史、制表符补全等等 有很多小技巧和窍门可以使在命令行上工作更容易，例如： 使用向上箭头查看先前的命令 使用 Ctrl+R搜索你的 Bash 历史记录 使用快捷键在行内导航：Ctrl+w（删除一个单词）、Ctrl+a（跳转到行首）、Ctrl+e（跳转到行尾），以及Ctrl+left arrow/Ctrl+right arrow（向前/向后跳转一个单词） 将 Bash 历史记录设置为无限制 使用 cd -返回上一个目录 文件名和命令名的制表符自动补全 学习如何使用像 less这样的分页工具阅读手册页或其他大型文本文件（如搜索、滚动等） 在 macOS 上使用 pbcopy/pbpaste将剪贴板内容复制/粘贴到 stdout/stdin 在编辑配置文件之前备份它们 fzf 很多人提到使用 fzf作为模糊搜索 Shell 历史记录的更好方法。除了作为更好的模糊搜索 Shell 历史记录的工具，人们还提到了一些其他用途： 选择 git分支（git checkout $(git for-each-ref --format='%(refname:short)' refs/heads/ | fzf)） 快速查找要编辑的文件（nvim $(fzf)） 切换 Kubernetes 上下文（kubectl config use-context $(kubectl config get-contexts -o name | fzf --height=10 --prompt="Kubernetes Context> ")） 从测试套件中选择要运行的特定测试 一般的模式是使用 fzf来选择某个对象（文件、git分支、命令行参数），fzf将所选对象输出到标准输出，然后将其插入作为另一个命令的命令行参数。 你还可以将 fzf用作工具，自动预览输出并快速迭代，例如： 自动预览 jq的输出（echo '' | fzf --preview "jq {q} ） 自动预览 sed的输出（echo '' | fzf --preview "sed {q} YOURFILE"） 自动预览 awk的输出（echo '' | fzf --preview "awk {q} YOURFILE"） 你可以参考这个思路。 通常，人们会为 fzf的使用定义别名，比如输入gcb或其他命令，以快速选择要检出的git分支。 树莓派 一些人开始使用树莓派，这样可以更安全地进行实验，而不必担心损坏计算机（只需擦除 SD 卡然后重新开始即可！）。 漂亮的 Shell 环境 很多人说，当他们开始使用像 oh-my-zsh或Fish这样更用户友好的 Shell 环境时，他们在命令行上感到更舒适。我非常同意这一点 – 我已经使用 Fish 十年了，我非常喜欢它。 在这里还有一些其他的事情可以做： 有些人说，让他们的终端更漂亮可以帮助他们感到更舒适（“让它变成粉色！”）。 设置一个漂亮的 Shell 提示符来提供更多信息（例如，当命令失败时，可以将提示符设置为红色）。特别是 transient prompts（在当前命令设置一个非常花哨的提示符，但在之前的命令中设置一个简单得多的提示符）看起来非常好。 一些用于美化终端的工具： 我使用 base16-shell powerlevel10k是一个流行的漂亮的 Zsh 主题，具有 transient prompts starship是一个漂亮的提示符工具 在 Mac 上，我认为 iTerm2比默认的终端更容易自定义。 漂亮的文件管理器 一些人提到了像 ranger或nnn这样的漂亮的终端文件管理器，这是我之前没有听说过的。 一个有帮助的朋友或同事 一个可以回答初学者问题并给你指点的人是无价的。 通过肩并肩地观察学习 有人提到观察更有经验的人使用终端 – 有很多经验丰富的用户甚至没有意识到自己在做什么，你可以从中学到很多小技巧。 别名 很多人说，为常用任务创建自己的别名或脚本就像是一个神奇的“灵光一现”时刻，因为： 他们不必记住语法 然后他们就有了一份自己常用命令的列表，可以轻松调用 查找示例的备忘单 很多手册页没有示例，例如 openssl s_client的手册页就没有示例。这使得起步变得更加困难！ 人们提到了一些备忘单工具，比如： tldr.sh cheat（还可以进行编辑 – 你可以添加自己的命令以供以后参考） um（一个非常精简的需要自己构建的系统） 例如，openssl 的备忘单非常棒 – 我认为它几乎包含了我在实际中使用openssl时用过的所有内容（除了openssl s_client的-servername选项）。 有人说他们配置了他们的 .bash_profile，这样每次登录时都会打印出一张备忘单。 不要试图背诵 一些人说他们需要改变自己的方法 – 他们意识到不需要试图记住所有的命令，只需按需查找命令，随着时间的推移，他们会自然而然地记住最常用的命令。 （我最近对学习阅读 x86 汇编有了完全相同的体会 – 我正在上一门课程，讲师说“是的，刚开始时可以每次都查找，最终你会记住最常见的指令。”） 还有一些人说相反的观点 – 他们使用间隔重复应用程序（如 Anki）来记忆常用的命令。 Vim 有人提到他们开始在命令行上使用 Vim 编辑文件，一旦他们开始使用终端文本编辑器，使用命令行处理其他事情也变得更自然。 此外，显然有一个名为 micro的新编辑器，像是更好的pico/nano，适用于那些不想学习 Emacs 或 Vim 的人。 桌面上使用 Linux 有人说他们开始使用 Linux 作为他们的日常主力系统，而需要修复 Linux 问题可以帮助他们学习。这也是我在大约 2004 年熟悉命令行的方式（我非常喜欢安装各种不同的 Linux 发行版，以找到我最喜欢的那个），但我猜这不是如今最受欢迎的策略。 被迫仅使用终端 有些人说他们参加了一门大学课程，教授让他们在终端上做所有事情，或者他们自己制定了一个规则，一段时间内必须在终端上完成所有工作。 工作坊 有几个人说像 Software Carpentry这样的工作坊（面向科学家的命令行、Git 和 Python/R 编程简介）帮助他们更熟悉命令行。 你可以在这里查看 Software Carpentry 课程。 书籍和文章 一些提到的材料： 文章： 《终端》 《命令行功夫》（包含 UNIX 和 Windows 命令行技巧） 书籍： 《Effective Linux at The Command Line》 《Unix Power Tools》（可能有些过时） 《The Linux Pocket guide》 视频： Mindy Preston 的 CLI tools aren’t inherently user-hostile Gary Bernhardt 的 destroy all software screencasts DistroTube ...

熟悉在 Linux 命令行中复制文件和目录的 cp 命令。 cp 命令是 Linux 中一个重要的命令，你可能经常会用到它。 正如名称所示，cp 代表 复制copy，它被用于 在 Linux 命令行中复制文件和目录。 这是一个相对简单的命令，只有几个选项，但你仍有必要深入了解它。 在展示 cp 命令的实际示例之前，我更建议你先熟悉绝对路径和相对路径的概念，将文件从一个位置复制到另一个位置时，你需要用到它们。 Linux 中的绝对路径和相对路径的不同之处 复制单个文件 cp 命令最简单和最常见的用途是复制文件，只需指定源文件和要“粘贴”文件的目标目录即可。 cp 源文件 目标目录 在复制文件的同时重命名它 你将文件复制到另一个位置时可以同时进行 重命名。这有点类似于文本编辑器中的“另存为”选项。 为此，你必须在路径中给出新的文件名。 cp 源文件 目标目录/新文件名 复制多个文件 你还可以将多个文件复制到另一个位置。 cp 文件1 文件2 文件3 目标目录 在这种情况下，你无法重命名文件。 你还可以使用通配符扩展，将特定后缀的文件复制到另一个位置： cp *.txt 目标目录 复制文件时避免覆盖现有文件 如果你将 file1.txt 复制到一个已经存在名为 file1.txt 文件的目录中，它会将原有的文件覆盖掉。 如果你不希望这样，cp 命令还提供了几个选项来处理文件覆盖的情况。 首先是使用选项 -i 的交互模式。在交互模式下，它会询问是否确认或放弃覆盖目标文件。 cp -i 源文件 目标目录 cp：覆盖 '目标目录/源文件' ？ 按 Y 覆盖文件，按 N 跳过复制该文件。 选项 -n 代表完全取消覆盖。使用此选项时目标文件不会被覆盖。 cp -n 源文件 目标目录 还有一个选项 -b，在目标目录的文件将被覆盖时自动为其创建备份。我猜这里 b 代表 备份backup。 cp -b 源文件 目标目录 最后，还有一个“更新update”选项 -u，如果目标文件比源文件旧，或者目标文件不存在，就会被覆盖掉。 cp -u 源文件 目标目录 复制目录（文件夹） cp 命令也用来在 Linux 命令行中复制目录。 在复制目录时，你需要使用递归选项 -r。 cp -r 源目录 目标目录 你还可以将多个目录复制到另一个位置： cp -r 目录1 目录2 目录3 目标目录 在复制时保留属性 当你将文件复制到另一个位置时，它的 时间戳、文件权限 甚至所有权都会发生变化。 这是正常的行为。但在某些情况下，你可能希望在复制文件时保留其原始属性。 要保留属性，请使用选项 -p： cp -p 源文件 目标目录 ? 还有一个 -a 选项用于存档模式。它将连 ACL 也保留下来。 ...