文章总结: 本报告分析了香港攻击基础设施的开放目录,发现大量凭证文件、50余个攻击脚本及USDT支付网关。攻击者利用HexStrikeAI框架对港台地区定向攻击,已确认1019个漏洞利用目标,涵盖多所高校与企业,涉及BEC诈骗与数据窃取,建议相关机构立即排查加固。 综合评分: 60 文章分类: 威胁情报,漏洞分析,WEB安全,AI安全
针对香港、台湾的攻击基础设施分析报告
原创
独眼情报 独眼情报
独眼情报
2026年7月5日 20:04 湖北
在小说阅读器读本章
去阅读
❝
本报告 AI 生成,我也没精力和技术一一验证,纯预警一下。
执行摘要
本次分析针对暴露在互联网上的开放目录 http:/x.x.x.x/ 进行了全面的敏感信息收集与分析。该目录属于一个活跃的网络攻击基础设施,由位于香港的服务器托管。目录中包含大量凭证文件、攻击脚本、目标列表、日志记录以及加密货币支付网关代码,完整揭示了一个有组织的网络攻击apt的全貌。
关键发现概览:
| 类别 | 数量 | 风险等级 | | — | — | — | | 凭证文件(Cookie/Session/Token) | 21+ 个文件 | 极高 | | 攻击脚本(Python/Shell) | 50+ 个 | 极高 | | 攻击目标 IP/域名 | 100+ 万 | 高 | | 已确认漏洞利用 | 1,019 个目标 | 极高 | | 加密货币支付网关 | 2 套系统 | 极高 | | API 密钥(硬编码) | 2+ 个 | 高 | | 密码字典 | 140+ 条 | 中 |
一、攻击者基础设施画像
1.1 服务器信息
| 属性 | 详情 |
| — | — |
| IP 地址 | xx.xx.xx.xx |
| 地理位置 | 香港特别行政区 |
| ISP | 待确认 |
1.2 服务端口分布
该服务器同时运行多个恶意服务,构成完整的攻击链条:
xx.xx.xx.xx
├─ :9999/tcp 开放目录(回调接收 + 文件存储 + 日志收集)
├─ :8888/tcp HexStrike AI 自动化攻击框架
├─ :80/tcp BEpusdt USDT 加密货币支付网关
├─ :4444/tcp Netcat 反向 Shell 监听端口
└─ :8080/tcp 可能的其他 Web 服务
1.3 攻击链条分析
[漏洞扫描] ──→ [漏洞利用] ──→ [Shell 获取] ──→ [后门部署] ──→ [持久化控制]
↑ ↓ ↓
[目标侦察] [凭证窃取] [数据窃取]
↑ ↓ ↓
[Shodan/FOFA] [SMS网关滥用] [加密货币变现]
二、敏感凭证详细分析
2.1 Cookie / Session 凭证(21 个有效文件)
略
重点凭证说明
A. phpMyAdmin 数据库管理后台凭证(极高风险)
攻击者获取了至少 3 个香港网站的 phpMyAdmin 管理后台访问权限:
xx.com.hk— 完整的用户名+密码凭证(Base64 编码形式),可直接登录数据库管理后台xx.com.hk— 香港某会计师事务所/CPA公司,拥有 5 个不同的有效 Session,表明攻击者曾多次成功登录xx.hk— 拥有 phpMyAdmin Session + RoundCube 企业邮件系统 Session,可同时访问数据库和企业邮件
B. 企业邮件系统(高风险)
rc_cookie.txt— RoundCube Webmail 的有效会话,可读取std.hk的企业邮件,可能包含商业机密、客户数据等
C. SMS 短信网关基础设施(高风险)
kannel.txt 包含 31 个 SMS 网关端点,包括:
smsgw.bigfootmediatech.comsms01.rubicube.orgkamex.dev
这些端点可能用于发送钓鱼短信、OTP 拦截或 SMS 垃圾邮件。
2.2 API 密钥与 Token
| 密钥类型 | 值(脱敏) | 用途 | 所在文件 |
| — | — | — | — |
| Tavily API Key | tvly-dev-2JOd1S-ByQzc*** | AI 搜索/情报收集 | 6 个 tavily_*.py 脚本 |
| Shodan API Key | XgA7I8z7x0CoQmC***Ct14 | 互联网资产搜索 | conf_scan.py |
| Confluence JSESSIONID | 6AD7DEA301*** | Atlassian 会话劫持 | nuclei_conf.json |
| Atlassian Token | db71290333*** | Confluence 安全令牌 | nuclei_conf.json |
Tavily API Key 被广泛用于研究 BEC(商业邮件诈骗)攻击技术,包括:
- BEC 诈骗平均金额和 FBI IC3 统计数据
- Microsoft 365 OAuth 同意流程变更
- BITB(Browser-In-The-Browser)OAuth 钓鱼技术
- 恶意 OAuth 应用注册
- EvilTokens 刷新令牌持久化访问
Shodan API Key 用于发现香港地区的 Confluence 服务器目标。
2.3 密码字典
| 文件名 | 条目数 | 用途 |
| — | — | — |
| pass.txt | 16 | 通用密码(含 Cl1nkOff1c3 疑似 Communilink 公司专用密码) |
| pma_pass.txt | 23 | phpMyAdmin 专用密码 |
| pma_users.txt | 1 | MySQL 用户名(root) |
| pma_common.txt | 101 | 常见弱密码组合 |
| users.txt | 7 | 通用用户名(admin, root, postmaster 等) |
注意:Cl1nkOff1c3 这个密码疑似香港 Communilink(知名 IT 服务商)的公司办公密码,具有极高的针对性。
2.4 Microsoft Azure AD 设备流认证信息
kerry_token.json 文件包含 Microsoft Azure AD OAuth 2.0 设备流认证的错误响应:
{
"error": "authorization_pending",
"error_description": "AADSTS70016: OAuth 2.0 device flow error...",
"trace_id": "ca805e1b-d356-41e4-a74e-44830e930f00",
"correlation_id": "914fe519-84ec-4ce6-83c4-3b67607a9f17"
}
这表明攻击者正在尝试使用设备代码流获取 Microsoft 365 的访问权限,可能是为了进行 BEC 攻击。
三、加密货币支付系统分析
3.1 BEpusdt(USDT 收款网关)
目录中包含完整的 BEpusdt 源代码(bepusdt_src/BEpusdt-main/),这是一个用于接收 USDT(泰达币)付款的开源加密货币网关。
关键配置:
- 监听地址:
0.0.0.0:80 - 版本:
v1.23.6-eeb7ac1 - 支持网络:TRON、Ethereum、BSC、Polygon、Solana 等
- 特性:兼容 Epusdt 插件、支持易支付收单、MQTT 消息广播
3.2 Epay 支付系统
epay_setup.sql 揭示了一个完整的支付系统数据库:
-- 数据库用户
CREATE USER 'epay'@'localhost' IDENTIFIED BY 'epay123';
-- TRON 钱包地址(USDT 收款地址)
INSERT INTO config (name,value) VALUES ('wallet_address','TEfUNpVQhoeVf3pKZKAordAdTH2jUJiNjb');
-- 商户配置
INSERT INTO config (name,value) VALUES ('merchant_pid','1001');
INSERT INTO config (name,value) VALUES ('merchant_key','epay2026');
INSERT INTO config (name,value) VALUES ('merchant_name','MyShop');
TRON 钱包地址: TEfUNpVQhoeVf3pKZKAordAdTH2jUJiNjb
该钱包地址可用于追踪攻击者的加密货币资金流向。
3.3 资金变现链条
攻击者的收益变现模式:
[攻击成功] → [勒索/数据售卖] → [USDT 收款] → [加密货币清洗] → [法币变现]
↓
[BEC 诈骗] → [Wire Transfer] → [USDT 兑换]
↓
[SMS 网关滥用] → [钓鱼服务收费]
四、攻击目标分析
4.1 目标规模统计
| 目标类别 | 数量 | 说明 | | — | — | — | | 全球 443 端口 IP | 1,022,768 | 大规模互联网扫描 | | 香港 3000 端口 | 29,937 | 重点攻击区域 | | 全球 3000 端口 | 12,221 | Node.js/React 应用 | | 清理后香港 IP | 2,224 | 经筛选的高价值目标 | | cPanel 管理面板 | 275 | Web 托管控制面板 | | FOFA 搜索结果 | 500 | 搜索引擎资产 | | LiteLLM AI 代理 | 200 | AI 基础设施 | | 香港域名 | 252 | 枚举/生成 | | 台湾域名 | 169 | 次要目标区域 | | 已确认漏洞总计 | 1,019 | 成功利用的目标 |
4.2 香港重点目标
地理分布特征:
- 香港是首要攻击目标(
.hk域名 + 香港 IP 段) - 覆盖主要 ISP:HGC、PCCW、HKBN、HKT
- 23 个香港 CIDR 网段被纳入扫描范围
受影响的香港教育机构(已确认漏洞):
| 机构 | 域名 | 漏洞类型 |
| — | — | — |
| 香港科技大学 | 30a.hkust.edu.hk 、dst.hkust.edu.hk、uwrobot.hkust.edu.hk | Drupal SQL 注入 |
| 香港中文大学 | shiae.cuhk.edu.hk | Drupal SQL 注入 |
| 香港教育大学 | aclass.eduhk.hk | Drupal SQL 注入 |
| 职业训练局 | hls.vtc.edu.hk | Drupal SQL 注入 |
| 香港青年会书院 | www.yc.edu.hk | Drupal SQL 注入 |
其他值得注意的目标:
- 香港电台 RTHK:
ad-rthk-frontend.mediatech-ssc.org - 香港多个 cPanel 托管服务器(146 台确认存在认证绕过漏洞)
4.3 台湾目标
- 169 个台湾域名
- 120 个存活目标
- 5 个确认 SQL 注入(ECShop 漏洞)
- 包括元智大学(
www.yzu.edu.tw)
4.4 漏洞类型分布(已确认)
| CVE 编号 | 产品 | 漏洞类型 | 确认数量 | | — | — | — | — | | CVE-2026-28289 | Gogs | 远程代码执行 | 915 | | CVE-2026-9082 | Drupal | SQL 注入 | 44 | | CVE-2026-52806 | Gogs | 开放注册 | 45 | | CVE-2026-48908 | 通用 | 文件上传 RCE | 12 | | CVE-2026-34908 | UniFi OS | 未授权 API | 3 | | CVE-2026-56274 | Flowise | MCP 命令注入 | 多目标 | | CVE-2026-40933 | Flowise | Chatflow 导入 RCE | 多目标 | | CVE-2026-41940 | cPanel | 认证绕过 | 146 | | CVE-2026-20253 | Splunk | 预认证 RCE | 2 |
❝
注意:所有 CVE 编号使用 2026 年份,可能是占位符或伪造编号。
五、攻击脚本与能力分析
5.1 脚本分类统计
| 类别 | 数量 | 主要目标 | | — | — | — | | Flowise 系列 | 9 | Flowise AI 工作流平台 | | Confluence 系列 | 7 | Atlassian Confluence | | Tavily 情报系列 | 6+ | BEC 攻击研究 | | cPanel 相关 | 3 | cPanel/WHM | | Drupal 相关 | 3 | Drupal CMS | | UniFi 相关 | 2 | UniFi OS | | Splunk 相关 | 2 | Splunk | | OzekiNG 相关 | 2 | SMS 网关 | | 通用工具 | 4+ | 反向 Shell、扫描等 |
5.2 代表性攻击脚本
A. LangFlow RCE 利用(callback_log.txt 证实成功)
callback_log.txt 记录了完整的 LangFlow 漏洞利用链条,包含 15+ 个成功攻陷的目标:
[14:15:32] /langflow/ → 初始探测
[14:16:52] /lf_shell/ → Shell 获取 ✓
[14:17:14] /static_test_PWNED → 标记攻陷 ✓
[14:17:56] /env_ → 环境变量窃取
[16:03:40] /langflow_poc_END_ → PoC 完成
[16:16:21] /wrote_bd → 后门写入 ✓
[16:28:40] /rs_done → 反向 Shell 建立 ✓
被确认的受害目标 IP:
43.198.14.29:700095.40.95.74:70003.19.55.108:920054.205.194.143:700044.247.21.140:2000035.94.120.121:20000- 等 15+ 个目标
B. 反向 Shell 工具链
| 脚本 | 功能 | C2 地址 |
| — | — | — |
| rev.py | Python 反向 Shell | xx.xx.xx.xx:4444 |
| rs_cmd.py | 命令执行接口 | xx.xx.xx.xx:4444 |
| rs_min.py | 最小化反向 Shell | xx.xx.xx.xx:4444 |
| rs_ultra.py | 超轻量反向 Shell | xx.xx.xx.xx:4444 |
| rs_dl.py | 下载功能 | xx.xx.xx.xx:4444 |
cb_log.txt 显示这些脚本被频繁调用(数百次请求),表明有活跃的 C2 通信。
C. BEC(商业邮件诈骗)研究脚本
tavily_oauth.py、tavily_money.py 等脚本使用 Tavily API 搜索以下主题:
- BEC 电汇诈骗平均金额
- Microsoft 365 OAuth 同意变更
- BITB(Browser-In-The-Browser)钓鱼技术
- 恶意 OAuth 应用注册
- EvilTokens 持久化访问
这表明攻击者正在系统性地研究 BEC 攻击技术,可能准备发动大规模商业邮件诈骗。
D. Kannel SMS 网关扫描器
kannel_scan.py 针对 31 个 SMS 网关进行大规模扫描:
- 279 个 HTTP 请求
- 144 个成功响应
- 26 个敏感信息暴露点
- 窃取 SMPP 密码 36 次、管理员密码 18 次、API 密钥 2 次
E. OzekiNG 大规模利用
ozeki_mass_exploit.py 是针对 OzekiNG SMS 网关的最复杂脚本(481 行):
- 133 个目标
- 5 个 CVE 漏洞利用
- 包含路径遍历、文件上传、XXE 等攻击向量
5.3 HexStrike AI 攻击框架
hexstrike.log 揭示了一个名为 HexStrike AI 的自动化攻击平台:
- 150+ 集成模块
- 自适应 AI 决策引擎
- Flask 后端,监听
0.0.0.0:8888 - 命令超时:300 秒
- 已检测到的工具:nmap、gobuster
六、日志分析——攻击活动时间线
6.1 LangFlow RCE 攻击时间线(callback_log.txt)
| 时间 | 事件 | 说明 |
| — | — | — |
| 14:15:16 | /test123 | 初始连接测试 |
| 14:15:32 | /langflow/ | 开始 LangFlow 探测 |
| 14:16:52 | /lf_shell/ | 成功获取 Shell |
| 14:17:14 | /static_test_PWNED | 标记目标已攻陷 |
| 14:17:56 | /env_ | 窃取环境变量 |
| 15:46:52 | /pure_ | 纯净 Shell 测试 |
| 15:47:54 | /hardcoded_TEST123_xyz | 硬编码凭证测试 |
| 16:16:21 | /wrote_bd | 后门写入完成 |
| 16:28:40 | /rs_done | 反向 Shell 建立 |
| 19:59:14 | /LF_GLOBAL_* | 大规模全球攻击开始 |
6.2 环境变量窃取(cb_log.txt)
攻击者尝试窃取以下敏感环境变量:
API_KEY, PASSWORD, SECRET, TOKEN, GITHUB_TOKEN, SLACK_TOKEN,
AZURE_KEY, GCP_KEY, LANGFLOW_KEY, LANGSMITH_KEY, REDIS_URL,
DATABASE_URL, DB_URL, ANTHROPIC_KEY
这些变量名称表明攻击目标是云原生应用和 AI 基础设施。
6.3 攻击基础设施运营时间
- HexStrike AI: 2026-06-22 启动
- LangFlow 攻击: 2026-06-22 14:15-20:01
- BEpusdt 网关: 持续运行(版本 v1.23.6)
七、文件结构总览
/
├── [凭证文件]
│ ├── cookies.txt, ecookie, cacti_cookie
│ ├── avion_cookies.txt, avion_session.txt
│ ├── ctsi_cookies.txt
│ ├── gp168_cookies.txt, gp888_cookies.txt
│ ├── hs_cookie.txt, jensen_cookie.txt
│ ├── kannel.txt
│ ├── lc_cookie.txt, leeco_cookie.txt
│ ├── lccpa_ck.txt, lccpa_ck2.txt, lccpa_cookie.txt, lccpa_cookie2.txt, lccpa_hdr.txt
│ ├── mol_cookies.txt, pm_cookie.txt
│ ├── pma_cookies.txt, pma_headers.txt
│ ├── rc_cookie.txt, sq_cookie.txt
│ ├── std_cookie.txt, std_headers.txt
│ ├── tgr_cookie.txt, uni_cookies.txt, wf_cookies.txt
│ ├── kerry_token.json
│ └── users.txt
│
├── [密码字典]
│ ├── pass.txt
│ ├── pma_pass.txt, pma_users.txt, pma_common.txt
│
├── [配置文件]
│ ├── conf_b64.txt, conf_output.txt, conf_results.txt
│ ├── conf_targets.txt, conf_vuln.txt
│ ├── nuclei_conf.json, nuclei_conf.txt
│ └── recv_b64.txt
│
├── [攻击脚本 - Flowise]
│ ├── check_flowise.py, flowise_exploit.py, flowise_rce.py
│ ├── flowise_recon.py, flowise_deep.py, flowise_scan_hk.py
│ ├── find_flowise_hk.py, parse_flowise_hk.py
│ └── analyze_flowise_js.py, fingerprint_flowise.sh
│
├── [攻击脚本 - Confluence]
│ ├── conf_exploit.py, conf_exploit2.py, conf_scan.py
│ ├── conf_deep.py, conf_debug.py, conf_final.py, conf_full.py
│
├── [攻击脚本 - Tavily/BEC]
│ ├── tavily_adv.py, tavily_atk.py, tavily_money.py
│ ├── tavily_oauth.py, tavily_oauth2.py
│ ├── tavily_payload.py, tavily_pentest.py
│ └── tavily_cve.py, tavily_deep.py, tavily_final.py
│
├── [攻击脚本 - 其他]
│ ├── unifi_exploit.py, uni_brute.py
│ ├── drupal_spray.py, drupal_sqli_verify.py
│ ├── verify_cpanel.py, verify_splunk.py, verify_jce.py, verify_ninja.py
│ ├── cpanel_fast_scan.py
│ ├── ozeki_mass_exploit.py, kannel_scan.py
│ ├── xmlrpc_brute.py
│ └── cve2012_exploit.py
│
├── [反向 Shell 工具]
│ ├── rev.py, rs.py, rs_cmd.py, rs_dl.py, rs_min.py, rs_ultra.py
│
├── [目标列表]
│ ├── alive_targets.txt, all_targets_httpx.txt, clean_ips.txt
│ ├── hk_*.txt(香港目标), tw_*.txt(台湾目标)
│ ├── cpanel_targets.txt, drupal_targets.txt
│ ├── fofa_targets.txt, litellm_targets.txt
│ ├── tier*_confirmed.txt(已确认漏洞)
│ └── global_443.txt, port3000.txt, port3001.txt
│
├── [日志文件]
│ ├── callback_log.txt, cb_log.txt, cb_log2.txt
│ ├── bepusdt_debug.log, bepusdt_debug2.log, bepusdt_run.log
│ ├── hexstrike.log, reverse_shell_out.txt
│ └── kannel_scan_output.log
│
├── [加密货币支付]
│ ├── bepusdt_src/BEpusdt-main/(完整 USDT 网关源码)
│ ├── epay_setup.sql
│ └── epay*.zip
│
└── [其他]
├── extract.py, conv.py, conv50.py
├── check_*.py, verify_*.sh
├── deep_check.py, deep_exploit.py
└── exploit/, exploit.zip, exploit2.zip
八、威胁评估与风险评级
8.1 总体威胁评级:极高
| 维度 | 评级 | 说明 | | — | — | — | | 技术能力 | 高 | 拥有多平台漏洞利用能力,AI 驱动的攻击框架 | | 运营规模 | 极高 | 100+ 万目标,1,019 个已确认漏洞 | | 攻击意图 | 极高 | BEC 诈骗研究、加密货币变现 | | 持久化能力 | 高 | 后门部署、反向 Shell、Session 劫持 | | 地理针对性 | 高 | 重点针对香港和台湾 |
8.2 攻击者画像
基于分析结果,该攻击者具有以下特征:
- 有组织的威胁行为者:拥有完整的攻击基础设施(C2、支付网关、AI 框架)
- 以香港为核心目标:大量香港域名、IP 和教育机构目标
- 多元化攻击能力:Web 应用漏洞、AI 平台攻击、SMS 网关滥用
- BEC 攻击意图:系统性地研究商业邮件诈骗技术
- 加密货币变现:运营 USDT 收款网关用于非法收益清洗
- 自动化程度高:使用 AI 攻击框架和大规模扫描工具
8.3 潜在关联
- BEC 攻击团伙:Tavily 研究主题强烈指向 BEC 攻击准备
- 勒索软件团伙:拥有后门部署和数据窃取能力
- 加密货币洗钱网络:BEpusdt + Epay 双支付系统
九、附录
A. 涉及的关键域名和 IP
| 类型 | 值 | 说明 |
| — | — | — |
| 攻击服务器 | xx.xx.xx.xx | 主基础设施 |
| 回调服务器 | :9999 | 日志和文件存储 |
| C2 端口 | :4444 | 反向 Shell |
| AI 框架 | :8888 | HexStrike |
| USDT 网关 | :80 | BEpusdt |
| TRON 钱包 | TEfUNpVQhoeVf3pKZKAordAdTH2jUJiNjb | 收款地址 |
| 受害域名 | lccpa.com.hk | 香港会计师事务所 |
| 受害域名 | std.hk | 香港教育机构 |
| 受害域名 | jensen.com.hk | 香港企业 |
| 受害域名 | avionhkg.com.hk | 香港电商 |
| 受害域名 | tgr.org.hk | 香港组织 |
| SMS 网关 | smsgw.bigfootmediatech.com | 被扫描目标 |
| SMS 网关 | sms01.rubicube.org | 被扫描目标 |
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:独眼情报 独眼情报 独眼情报《针对香港、台湾的攻击基础设施分析报告》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论