360 Send is our new product that aims to help users share files between PC and mobile easily. It's FREE and now officially available for download.

Download: https://t.co/TsPEoONRXM

Safe News

本周一莫斯科约有1万人集会，抗议俄罗斯近期对互联网自由的限制。

俄罗斯当局本月开始封锁流行消息应用Telegram，因为它拒绝将密钥交给其数据加密。
https://wapo.st/2HBY1AB

共享账号分享

账号类型：spotify
账号形式：email:password

BC1020@yahoo.com.au:l3tm31n
hakimimine2003@gmail.com:hakimi2207
JensFredrik@hotmail.no:Paviliondm4
eelpingu27@gmail.com:Op0438694
mathew42200@gmail.com:peru2006
vincensia_karynn@yahoo.co.id:karynnchang
checkyesalice@hotmail.co.uk:qwerty123
awebb24@zoominternet.net:armdaw24
sven.oberbach@gmx.de:sol123779
hakimimine2003@gmail.com:hakimi2207
hertzman.emily@gmail.com:emily5
rohan715.rp@gmail.com:tenaction
raccoonpack@gmail.com:tinmouse17
gabeortis@gmail.com:carlito23
dawnrepass@hotmail.com:Superstar1
gregoryatem23@gmail.com:Gregory23
davearangat@gmail.com:Iandave08
justincyp@gmail.com:23vcyerm
yannickftw@gmail.com:fc11235813law2
james-nicolenka@hotmail.com:124sammax
tylerstander@gmail.com:tyler1997
antix2g@yahoo.com:spont123
patrickreiner@aol.com:Dirtygirt123

共享账号分享
From: XRAccc

账号类型：spotify
账号形式：email:password

prefu74@gmail.com:74ge1861
yongbom90@hotmail.com:dydqja12
kholme222@gmail.com:RufusK1ng
hermine.abdon@hotmail.com:feykir123
ltefft2234@gmail.com:Teddyt22
ns_lloyd@yahoo.com:Butterfly1

Safe News

谷歌已开放.app顶级域名注册


2015年2月25日，Google豪掷2500万美元，打败了12家竞争公司从ICANN手中拍得了顶级域名.app，一举创下域名的最高交易记录。.app是诸多站长非常渴望拥有的域名后缀，因为它可以和应用程序相连接。今天Google正式开放了.app域名的注册，并声称是全球首个需要HTTPS加密的顶级域名。目前大多数网站已经使用HTTPS加密，但是根据Mozilla提供的数据依然有32%的网站并未使用HTTPS对其进行加密。

自北京时间5月2日零点开始至5月7日，用户可以通过谷歌的Early Access Program来注册.app域名。在5月7日之后，.app域名将向GoDaddy, Google Domains或者name.com等网站开放。现在用户可以通过get.app网站来查看你喜欢的域名是否被注册了。

Safe News


俄罗斯研究人员发布Drupal远程代码执行漏洞PoC开源 Drupal 安全团队2018年3月28日发布安全公告称，在其内容管理系统软件 (CMS) 中存在一个高危远程代码执行漏洞“Drupalgeddon2”——CVE-2018-7600，攻击者可利用该漏洞完全控制站点。在互联网上，至少有100万个网站正在使用 Drupal CMS。

2018年4月12日，Check Point 和 Dofinity 公司公布了关于该漏洞的完整技术详情。一名俄罗斯研究人员借此在 GitHub 上发布了 PoC 利用代码。就在 PoC 发布后不久，黑客已经开始利用 Drupalgeddon2 漏洞频繁进行网络活动。

Drupalgeddon2 漏洞影响 Drupal 6 ~8 的所有版本，任何访问该网站的访问者理论上都可以通过远程代码执行来获取服务器权限，允许未经身份验证的远程攻击者在默认 Drupal 安装程序上执行恶意代码。

为了解决问题，Drupal 公司随后很快就发布了 Drupal CMS 的更新版本，但未发布该漏洞的技术细节，以便给逾100万个网站预留足够的时间打补丁。

Checkpoint 公司指出，漏洞存在的原因在于 Form API (FAPI) AJAX 请求通过的输入过滤不够。因此，导致攻击者可能将恶意 Payload 注入内部表单结构，从而可能导致 Drupal 在未经用户验证的情况下执行代码。攻击者可利用该漏洞完全控制 Drupal 客户的网站。

建议仍在运行 Drupal漏洞版本的站点管理员尽快将 CMS 更新至 Drupal 7.58 或 Drupal 8.5.1 ，以修复漏洞，避免被利用

News hotspot

工信部公布IPv6部署计划 IPv4即将取消


5月2日，工信部发布了关于落实《推进互联网协议第六版（IPv6）规模部署行动计划》通知，将从六个方面21项举措落实IPv6计划。主要包括以下六个方面：

IPv6协议网络图

1.实施LTE网络端到端IPv6改造；
2.加快固定网络基础设施IPv6改造；
3.推进应用基础设施IPv6改造；
4.开展政府网站IPv6改造与工业互联网应用；
5.强化IPv6网络安全保障；
6.落实配套保障措施。

从《推进互联网协议第六版（IPv6）规模部署行动计划》显示，2018年底的国内IPv6活跃用户会达到2亿，2020年底达到5亿，而2025年底中国的IP6v规模将达到世界第一。

据了解，TCP/IP协议是互联网发展的基石，其中IP是指网络层协议，会规范互联网中分组信息的交换与选路，目前采用的依然是IPv4协议，互联网地址长度为32位，可以提供43亿个IP地址进行使用。

IPv6是IP地址的第六版网络协议，诞生于1999年。最大的特点是互联网地址长度达到128bit，可以提供2的128次方的IP地址，即使将地球上所有沙子都变成晶体管，其地址数量足够可以为大量电子设备使用。另外，该协议还将与5G等技术一起使用，会快速推动移动互联网、物联网、工业互联网、云计算、大数据和人工智能等新兴业态的发展。

Safe News

iOS Trustjacking – 一个很危险的iOS漏洞

4月16日的RAS大会上，研究人员Adi Sharabani和Roy Iarchy公布了一个新的iOS漏洞，该漏洞属于"多设备攻击"的一种。

简介

对iphone用户来说，最大的噩梦应该就是设备永久被获取控制权，包括记录和控制所有的活动。本文讲述一种新的漏洞叫做Trustjacking，攻击者利用该漏洞可以完成上面描述的攻击，并获取iOS设备永久控制权。

该漏洞利用一个iOS的功能叫做iTunes Wi-Fi sync，这允许用户在没有物理连接到电脑的情况下管理iOS设备。当iOS设备和电脑连接在同一网络中时，只要iOS设备所有者点击一下，攻击者就可以永久获取设备的控制权。

相关漏洞和攻击

过去也有利用未授权的USB连接来从手机设备中窃取隐私信息的文章。

在iOS 7之前，iOS设备连接到计算机上不需要设备所有者授权的。

Juice jcaking用这种特征来从设备中窃取敏感信息，并安装恶意软件到受害者设备上。随后，Apple在允许同步操作之前增加了弹窗提示，通过要求用户授权来解决该问题。

Videojacking使用Apple连接器可被用作HDMI连接的特性，当iOS设备连接到恶意的充电器时，就可以对iOS设备录屏。

上面提到的攻击利用中，攻击者都可以访问用户敏感信息，而主要的限制就在于只有当设备与恶意硬件物理连接的时候才可能实现，一旦断开连接，攻击就停止了。

Trustjacking则不然，攻击者对设备获取持久的控制权，即使设备与恶意硬件断开连接，攻击仍然可以进行。为了了解其工作原理，先看一下什么是iTunes Wi-Fi sync。

iTunes Wi-Fi同步

iTunes Wi-Fi同步是iOS广受好评的一个功能，iOS设备利用该特征可以在不与计算机物理相连接的前提下与iTunes进行同步。

开启iTunes Wi-Fi同步首先需要与计算机物理相连，然后选择开启通过Wi-Fi与iOS设备同步的选项。

Trustjacking – 工作原理

当iOS设备与计算机相连，用户会被询问是否信任连接的计算机。如果选择信任计算机，那么就可以通过标准的iTunes APIs与iOS设备通信。

这样，计算机就可以在不需要用户额外确认和没有其他提示的情况下访问设备上的照片，执行备份，安装应用等等。一旦激活（开启）了“iTunes Wi-Fi sync”功能，即使计算机与iOS设备断开连接，只要都连在同一个网络，那么设备之间的通信就可以继续。还有一点就是，开启iTunes Wi-Fi sync不需要受害者的同意，可以完全在计算机端执行完成。

通过远程不断请求截屏或录屏都可以获取设备屏幕的实时流。

除非初始化阶段失败，授权恶意计算机外，没有其他的机制可以防止这种持续的访问。而且，授权计算机在USB断开后继续访问设备也没有向用户发出任何通知。

POC

假设下面的一个场景：受害者将手机连到机场的一个免费充电器上，手机上出现一个弹窗消息，请求受害者同意设备连接。那么同意该请求看起来非常合理，因为受害者想要充电，而该服务看起来就是合法的。而且同意以后也没有其他可疑的事情发生。

攻击流

从用户的角度看，他只是将设备连接到一个充电器或计算机上，而求选择信任它而已。

用户会觉得只有当设备与计算机物理相连的时候才会有可能发生攻击，所以断开连接就可以防止对私有数据的访问。即使设备连接的时间很短，攻击者也足以执行一些步骤来保证当物理连接断开以后，设备上所有的动作都是可见的。

攻击者需要执行下面的步骤：

· 允许设备连接到iTunes；

· 开启iTunes Wi-Fi sync.

恶意软件可以自动化的执行上面的步骤。他们也不需要受害者的任何同意，也不会触发设备上任何的提示产生。一旦这些动作完成，设备就不需要与攻击者的硬件物理相连了。完成这些步骤后，一旦受害者和攻击者连接到同一个网络，攻击者就可以远程控制设备了。

为了查看受害者的屏幕，攻击者需要安装与受害者设备iOS版本相匹配的开发者镜像，然后重复截屏，并实时查看设备屏幕。安装开发者镜像可以通过Wi-Fi完成，而不需要再与设备物理相连了。虽然重启可能会移除设备的开发者镜像，但黑客可以继续访问和安装。

进阶

除了远程查看受害者设备的屏幕，Trustjacking还允许攻击者做点别的。

另一个攻击者可以利用的功能是iTunes备份。通过创建设备内容的备份，攻击者可以获取很多的私人信息，比如：

· 照片；

· SMS，历史记录；

· APP数据等。

为了获取信息，需要对iTunes备份进行分段理解。备份文件含有许多的元数据文件和备份文件本身。每个文件都保存在SHA1路径下（%domain%-%relativePath%），目录名是哈希值的前两个16进制字母。比如，一张路径为
Media/DCIM/100APPLE/IMG_0059.JPG的照片会被保存在
b1/b12bae0603700bdf7719c3a65b22ca2f12715d37目录下，其中b12bae…就是
CameraRollDomain-Media/DCIM/100APPLE/IMG_0059.JPG的哈希值。所有这些备份文件都在Manifest.db文件中有说明，Manifest.db是SQLite3 数据库文件，可以通过下面的方式进行查询：

`SELECT * FROM Files WHERE relativePath like '%Media/DCIM%' ORDER BY relativePath;

Settings > General > Reset > Reset Location & Privacy

上面的查询命令会列出所有备份的照片，包括其哈希值。读取SMS / iMessage需要对另一个SQLite3数据库进行分段，该数据库位于
3d/3d0d7e5fb2ce288813306e4d4636395e047a3d28（SHA1的哈希值是与
HomeDomain-Library/SMS/sms.db文件相同的)。

iOS Trustjacking – 备份和恢复利用

攻击者还可以通过访问设备来安装恶意应用，甚至用修改的应用来替换已经安装好的APP，不仅能在用户使用APP时进行监控还可以利用一些私有的API来监控用户的其他活动。下面是视频是教我们如何识别设备的APP并用修改过的APP进行替换。

iOS Trustjacking – 替换APP利用

攻击只局限于Wi-Fi吗？

上面描述的工具需要被攻击的设备和发起攻击的计算机连接到同一个网络。这意味着被攻击的设备和连接的Wi-Fi网络的距离要近一些，但这不是一个必须项。利用VPN服务器将设备与攻击者的计算机连接到同一个网络，就解决了连接网络的距离服务，并可以实现随时发起攻击的目的。

iOS 11加入新机制

Apple在了解到这个漏洞后，在iOS 11中加入一个机制来确保只有设备的所有者才能选择信任一个与之相连的新的计算机。这个过程是通过在选择授权或信任计算机时加入输入密码来完成的。

测试结果显示，用户被告知“该授权只与设备与计算机相连相关”，这让用户相信与设备断开连接确保了没有人可以访问设备上的隐私数据。

所以说苹果在iOS 11中采取的解决办法并没有解决Trustjacking的本质问题。一旦用户选择信任一个被黑的计算机，之后的漏洞利用过程就和上面描述的一样了。

如果攻击者选择感染受害者的计算机而不是使用恶意充电器会怎么样呢？

恶意充电器攻击流的一个限制是攻击时间段的问题，而如果攻击者的计算机变成了恶意单元，那么攻击时间段就变大了。Trustjacking的最大功效发生了设备拥有者的计算机被恶意软件入侵。这样的话，攻击者的计算机一般都与iOS设备在一个比较近的距离。

解决方法

截止目前，还没有办法可以列出所有的可信计算机列表，然后选择行地去撤销。要确保安全，最好的办法是清除所有的可信计算机列表，清除后，下次iOS设备与计算机相连时就需要重新授权了。

为了保护设备备份，避免使用Trustjacking攻击获取额外的用户隐私信息，可以在iTunes中开启加密备份并且选择强密码。

在手机上安装一些安全防护软件也可以避免一些攻击。

对应用开发者来说，避免在iTunes备份中备份隐私数据可以减小数据被窃取的风险。

Surge iOS 中国区更新与重新安装操作指南

由于 Surge iOS 被 Apple 从中国区下架，使得中国区 App Store 无法下载或者更新 Surge。需要使用一些变通的方法进行更新

A. 如果使用的是 iOS 11 且安装有旧版本的 Surge（TestFlight 版本不适用）
进入 系统设置 -> 通用 -> iPhone 存储空间，找到 Surge，点击蓝色的卸载应用按钮，然后点击重新安装应用，即可更新到最新版本

注意：部分用户反馈点击卸载后无法重新安装，请谨慎使用该方法。如果出现问题可以尝试登出 App Store 重新登录。

B. 使用 https://imazing.com 备份 IPA，然后在新手机上安装。（新手机需确保登录了正确的 Apple ID）

C. 使用 iMazing.app 进行下载安装（https://imazing.com）
1. 下载安装 iMazing（2.5.3 以上版本），试用即可
2. 连接手机
3. 在左侧找到 Apps
4. 点击 Manage Apps 按钮
5. 等待加载应用列表，失败的话可能需要使用 Surge Mac Enhanced Mode 走代理
6. 确认右上角的 Apple ID 为 Surge 的购买 ID，不是的话选择 Log Out 重新登录
7. 选择 Add from App Store
8. 搜索关键字 surge legacy 下载并安装（Windows 版本可能搜索不到，请换用 Mac 版本的 iMazing）

D. 转区下载
请修改 App Store 账号区域为加拿大（Canada），支付方式选为 None，然后搜索 Surge，进行下载更新，安装完毕之后根据需求可以再转回中国区。

如果遇到障碍，可以尝试按该方案操作：https://diveng.io/use-the-icloud-control-panel-3-to-change-the-apple-id-country-or-region.html

转区 FAQ：
- 美国等一些区域转区时一定要使用对应区域的信用卡，建议选择加拿大。
- 如果操作转区时支付方式没有 None 选项，需要使用全局代理或 VPN 进行转区。（IP 为中国区外即可，不一定非要是目标区域）
- 有 Apple Music 订阅时转区可能受到障碍，需要联系人工客服解决。
- 账户有余额时不能转区，小金额可以联系人工客服直接清零。
- 如果转区后依然搜索不到 Surge，或者显示需要购买，请注销 App Store 账号然后重新登录。

✔05月03日，更新TG专用高速代理，他用无效，点击自动设置
From: china_b、qazCloud

tg://socks?server=45.77.98.246&port=12580&user=playssr.tk&pass=playssr.tk

tg://socks?server=47.91.215.117&port=520&user=qazCloud&pass=qazCloud

✔ 账号共享，转载注明出处

【遇到密码不对的，请把末尾多复制的空格去掉】
【遇到账号被锁时，请直接选择邮箱解锁这选项】
【遇到以两个问题，请不要再私信了，不会回复】

香港：hongkongaid@outlook.com
gongzhonghao1:SCDXCPY

日本：japanaid@outlook.com
1gongzhonghao:SCDXCPY

台湾：shayne3dornan@outlook.com
gongzhonghao1:SCDXCPY

韩国：shayne4dornan@outlook.com​
1gongzhonghao:SCDXCPY
@InternetSecurityCenterOf360

✔Soft

#Rules（Surge / Shadowrocket / Quantumult 规则下载 / 安装 / 导入 / 使用）

使用手册：https://github.com/lhie1/Rules/blob/master/README.md



#Workflow Install（Surge 2 / Surge 3/ Shadowrocket）

User Date：https://workflow.is/workflows/c9b319c1ec904e8aa8442199b1a9883e

Rule OTA：https://workflow.is/workflows/700cc16b20d3451d969ebead23504fae



#JSBox Install（Surge 3）

https://xteko.com/redir?name=Rules-lhie1&url=https://raw.githubusercontent.com/Fndroid/jsbox_script/master/Rules-lhie1/.output/Rules-lhie1.box



#Favorites（Quantumult）

FILTER：https://raw.githubusercontent.com/lhie1/Rules/master/Quantumult/Quantumult.conf

REJECTION：https://raw.githubusercontent.com/lhie1/Rules/master/Quantumult/Quantumult_URL.conf



#MitM（重要）

1. 安装证书：
* Surge：配置 - 编辑配置 - HTTPS 解密 - 安装证书
* Shadowrocket：设置 - 证书 - 安装证书
* Quantumult：Settings - HTTPS - HTTPS Decryption

2. 信任证书：
设置 - 通用 - 关于本机 - 证书信任设置 - 信任



#Remote Files（阉割版）

Surge 2 / Surge 3：https://raw.githubusercontent.com/lhie1/Rules/master/Surge.conf

Shadowrocket：https://raw.githubusercontent.com/lhie1/Rules/master/Shadowrocket.conf