今年HVV的开始前的那个晚上朋友就给我及时同步了所谓的奇*信天擎RCE漏洞的exp,当时都要休息了但是又怕明早起来项目没了，还是及时进行了下载。

当时只是简单的看了下py的文件也没本地环境那就放心多了，等第二天早上起床看到了另一条消息我开始庆幸昨晚没有连夜搭测试环境运行脚本，但又同时疑惑，一个.py文件里面也么有payload，这是怎么存在的毒呢？

跟着提供的链接来到提供工具的项目地址：https://github.com/FuckRedTeam/360tianqingRCE ，直到我写这篇文章的时候这个项目还没有被删除，项目是4天前（7.24）上传的，看了下账号的创建时间比较近是7天前创建的账号。

经过相关情报得知这个脚本问题出现在供应链投毒上，具体是在fake_useragant模块上，这让我想起来了之前的docker镜像投毒事件，供应链投毒被一些针对性攻击活动采用，不过今天这个比较简单，应该不属于比较隐蔽的攻击活动。

直接去搜索下伪装的fake-useragant（真正的pypi包名为fake-useragent），如下带毒的pypi包上传时间为2022年7月20日，上传者昵称为 “Join”，而真正的pypi包fake-useragent上传时间为2018年10月4日。

直接在pypi仓库下载是提示404的，因为已经删除了。可以利用镜像下载，例如利用国内pypi包镜像下载(建议大家在虚拟机或者测试环境中进行一下尝试)

pip.exe install fake-useragant -i https://pypi.doubanio.com/simple/

下载到本地后的fake_useragant模块可以在python的安装目录下Libsite-packages找到，通过审计并查看提供的源码或者直接利用帖子提供的信息定位到具体文件，例如urllib2.py文件，很明显这是比较可疑的命令。

复制base64编码内容，直接解码得到如下，由于是二进制格式内容，所以只能解码大部分内容，不过通过提供的明文命令能看出是一个loader作用，通过下载远端的图片进行二次解密加载执行核心payload。

图片打开错误，里面应该是加载着核心payload，也证实了上面的猜测，远端地址是一个图床没有得到其他有用信息。

对下载下来的png进行多次 AES 解密

回连地址经过动态执行可得到120.79.87.123，通过icmp隧道进行与c2的通信以获取下一步 payload。

其返回数据返回值 data 第一位必须为0x1才进行正式解密并进行下一步操作

最终得到相关IOC信息如下

IOC：http://i.miaosu.bid/data/f_35461354.png下载图片进行解码

C2：https://47.106.185.79:60000/#/user/login 使用的是Viper
关联信息：
安卓木马：
ca00ff045b9e8e7e2a9b2eb04cf6e40641a5657ee01925b6f2048c7deb1373f6
通信C2：http://i.miaosu.bid/includes/fileReceive.php

目前 C&C 已失活，未能获取进一步的研究。