2023年 第34周 微信公众号精选安全技术文章总览
洞见网安 2023-8-21
0x1 [漏洞复现] WinRAR代码执行漏洞 CVE-2023-38831
Matrix SEC 2023-08-27T10:58:32 © Matrix SEC
请勿使用本文中所提供的任何技术信息或代码工具进行非法测试和违法行为。若使用者利用本文中技术信息或代码工具对任何计算机系统造成的任何直接或者间接的后果及损失,均由使用者本人负责。
0x2 JDK CVE-2023-21939 分析利用
Y4Sec Team 2023-08-26T14:56:32 © Y4Sec Team
从去年 CS 反制到 JDK CVE-2023-21939 漏洞分析,拓展新的攻击面,分析如何进一步利用
0x3 蜜罐的搭建和使用(护网蓝队利器)
运维安全入门 2023-08-26T06:30:51
文章介绍了蜜罐技术及其在网络安全中的应用。蜜罐是一种伪装成有吸引力的系统,用于收集攻击者的情报,并记录其行为,同时保护实际系统不受侵害。蜜饵和蜜标则是通过文件形式诱使攻击者下载或打开,从而追踪攻击来源。蜜网是将多个蜜罐连接起来形成一个网络,部署于攻击者的必经之路上,以观察其手法与习惯。蜜场则是一种分布式蜜罐形式,它将恶意访问重定向到真实的蜜罐上进行响应。文章还提到了如何搭建蜜罐,使用HFish作为例子,说明了安装步骤以及配置方法。最后,文章列举了几种识别蜜罐的方法,包括端口扫描、缺少真实数据、功能限制、反向WHOIS查询以及非正常响应时间等特征。
蜜罐技术 网络攻击情报收集 网络安全防护 工具使用 特征识别
0x4 【安全漏洞】WinRAR 代码执行漏洞 (POC已公开) (CVE-2023-38831)
安全漏洞 2023-08-25T18:42:05
WinRAR是一款广泛使用的文件归档程序,近期被发现存在一个高危代码执行漏洞(CVE-2023-38831)。该漏洞允许攻击者通过构建包含同名文件和文件夹的特制压缩包,诱导用户打开看似无害的文件(如JPG),从而执行文件夹中的恶意脚本,实现在受害者机器上执行任意代码。RARLAB已经发布了安全更新,修复了这一漏洞,并建议用户更新到WinRAR 6.23及以上版本以确保安全。目前,漏洞细节和概念验证(POC)已经公开,但利用代码(EXP)状态未知。用户应尽快更新软件,以避免潜在的安全风险。
0x5 AF双向地址转换原理分析与配置案例
网络安全运维技术 2023-08-25T15:57:10 深信服社区
使用防火墙发布了内网服务器供外部访问,外网可以正常通过防火墙外网接口IP访问,但是内网无法通过外网接口来访问。
0x6 用友畅捷通漏洞密码重置,文件读取,文件上传,rce,sql注入漏洞复现
fly的渗透学习笔记 2023-08-25T15:42:42 © joyboy
一、免责声明:本次文章仅限个人学习使用,如有非法用途均与作者无关,且行且珍惜;由于传播、利用本公众号所提供的
0x7 [Villain] 一款Windows&Linux高级C2框架工具
Matrix SEC 2023-08-25T11:27:27 Matrix SEC
本文档介绍了名为Villain的高级C2(Command and Control)框架工具,该工具兼容Windows和Linux操作系统,是Kali Linux 2023.3版本更新中新增加的内容。Villain能够同时处理多个TCP socket和基于HoaxShell的反向shell,具有强大的扩展性,可通过添加命令和实用程序来增强其功能。此外,它还支持多连接团队服务器,允许不同机器上的Villain实例间的数据共享。安装Villain相对简单,在Kali Linux环境下,用户可以通过命令行执行'sudo apt install villain'完成安装。Villain提供了多种Payload生成选项,分别针对Windows和Linux平台,例如Windows下的PowerShell和Linux下的Bash。使用时,用户需要指定目标操作系统类型、本地主机地址等参数。为了安全起见,文档开头特别强调了合法合规使用本工具的重要性,提醒读者不得用于非法目的,并明确指出所有法律责任由使用者承担。
0x8 位置恶意软件Whiffy Recon引发关注:其操作动机仍不明确
知机安全 2023-08-25T10:16:55 THN
Whiffy Recon是一种新型Wi-Fi扫描恶意软件,由SmokeLoader加载器恶意软件传播。Whiffy Recon每60秒通过扫描附近的Wi-Fi接入点来获取被感染系统的位置信息,并使用Google地理位置API进行三角定位,然后将位置信息发送给攻击者。这种恶意软件通过在Windows启动文件夹中添加快捷方式来实现持久性。Secureworks CTU的威胁情报副总裁Don Smith表示,Whiffy Recon的操作动机尚不清楚,其每分钟更新位置的频率异常,这可能表明攻击者对被感染设备的地理位置感兴趣。恶意软件还配置为注册到远程命令和控制(C2)服务器,并通过C2服务器以JSON字符串的形式传输扫描结果。专家指出,这种活动/能力在犯罪行为者中非常罕见,可能被用于支持各种恶意动机,但目前尚缺乏快速货币化的能力。
恶意软件 Wi-Fi扫描 地理位置追踪 命令和控制 持久化攻击 网络钓鱼 未知动机
0x9 好视通视频会议软件后台弱口令+任意文件下载
Devil安全 2023-08-25T09:42:42 © 仲瑿
该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载
0xa 数千台未修补的Openfire XMPP服务器仍面临高严重性缺陷
黑猫安全 2023-08-25T09:42:24 博士
VulnCheck的报告指出,数千台Openfire XMPP服务器未修复高危漏洞CVE-2023-32315,该漏洞允许未经身份验证的攻击者访问受限页面。该漏洞影响自2015年4月以来发布的所有版本,Ignite Realtime已于5月发布修复版本。攻击者可绕过管理控制台身份验证要求,漏洞已被Kinsing僵尸网络利用。Shodan扫描显示,超6300台可访问的Openfire服务器中约50%运行受影响版本。攻击者通过创建管理员用户、上传插件实现代码执行,而VulnCheck提出的方法则更隐蔽,通过访问特定页面提取令牌后上传JAR插件,绕过身份验证。攻击者甚至可以删除日志以隐藏痕迹。建议用户尽快更新至最新版本。
漏洞利用 路径遍历 身份验证绕过 远程代码执行 加密僵尸网络 安全更新 安全审计
0xb 研究人员发布了Ivanti Sentry漏洞CVE-2023-38035的PoC漏洞
黑猫安全 2023-08-25T09:42:24 博士
研究人员发布了针对Ivanti Sentry身份验证绕过漏洞CVE-2023-38035的概念验证(PoC)漏洞利用代码。该漏洞影响Sentry 9.18及之前的版本,具有极高的CVSS分数9.8,允许未经身份验证的攻击者访问敏感API数据和配置、运行系统命令或写入系统文件。Ivanti已经发布紧急安全补丁,并建议客户限制对管理界面MICS的访问,尤其是避免将端口8443暴露在互联网上,以降低被利用的风险。网络安全公司Horizon3的研究人员不仅公开了技术分析报告,还提供了具体的PoC代码示例,展示了如何通过未认证的命令注入以root用户权限执行任意命令。尽管存在缓解措施,但Shodan搜索结果显示仍有超过500个实例在线暴露。此外,由于缺乏明确的入侵检测指标(IoC),安全团队需密切关注/services/*路径下的异常HTTP请求。CISA已将此漏洞列入其必须修复的已知被利用漏洞清单中,要求联邦机构在规定期限内完成修复。
身份验证绕过 API安全 系统命令执行 文件写入 紧急安全补丁 CVSS评分 概念验证(PoC) 网络暴露 日志分析 CISA漏洞目录
0xc [漏洞复现] 海康威视视频编码设备接入网关七大漏洞
Matrix SEC 2023-08-24T11:14:36 © Matrix SEC
请勿使用本文中所提供的任何技术信息或代码工具进行非法测试和违法行为。若使用者利用本文中技术信息或代码工具对任何计算机系统造成的任何直接或者间接的后果及损失,均由使用者本人负责。
0xd HTB-Keeper(Easy)
搁浅安全 2023-08-24T11:10:21 Ge9i4n
文章描述了一个名为HTB-Keeper(Easy)的网络安全学习挑战的解决过程。首先,通过sCV扫描发现了22和80端口,并修改hosts文件重定向到服务登录表单。接着,通过弱口令登录发现了用户lnorgaard,并利用CVE-2023-32784漏洞通过scp将文件复制到本地。解压后获取到Keepass数据库文件,使用GitHub上的工具提取主密钥.dmp文件,并通过Google搜索找到密码。将密码用于解密Keepass数据库,最终成功登录系统并获取到root权限。文章详细记录了整个过程,包括使用PuTTYgen将PPK文件转换为SSH私钥,以及使用SSH登录系统的步骤。
渗透测试 漏洞利用 SSH密钥管理 密码学 Keepass 网络监控 文件传输 操作系统安全
0xe Nexus安卓木马分析报告
LianSecurity链安 2023-08-24T11:07:58 链安博客
2023 年 3 月 21 日晚上,链安与中睿天下联合研发的监控系统检测到一种新型安卓木马。
Android Malware Mobile Security Cyber Threat Intelligence Rootkit Data Exfiltration Information Stealing Encryption Exploit Privilege Escalation Anomaly Detection
0xf NAND存储器转储分析 - 使用ECC修复位错误与UBI镜像固件分析
LianSecurity链安 2023-08-24T11:07:58 © 链安博客
这篇研究论文将通过黑客的视角,详细阐述如何操作 NAND dump 以及如何获取 dump 文件中的所有文件
存储安全 数据恢复 固件分析 错误纠正 逆向工程 漏洞分析 网络安全
0x10 Spacecolon工具集引发全球Scarab勒索软件攻击激增【双语】
知机安全 2023-08-24T10:30:23 THN
最新的报告显示,Spacecolon恶意工具集正在全球范围内传播,以部署Scarab勒索软件的变种。该威胁行为者组织被命名为CosmicBeetle,主要攻击易受攻击的Web服务器。
0x11 TP Link Tapo L530E智能灯泡缺陷允许黑客窃取用户密码
黑猫安全 2023-08-24T09:43:16 博士
卡塔尼亚大学(意大利)和伦敦大学(英国)的研究人员发现了影响TP Link Tapo L530E智能灯泡及配套移动应用的四个安全漏洞。这些漏洞可能让攻击者窃取用户的WiFi密码,并控制相关设备。第一个漏洞是身份验证问题,允许攻击者在会话密钥交换过程中冒充设备,进而获取用户密码;第二个涉及硬编码共享秘密的暴露,增加了被利用的风险;第三个问题是加密过程缺乏随机性,使用了固定的初始化向量(IV),削弱了通信的安全性;第四个则是消息新鲜度不足的问题,容易遭受中间人攻击或拒绝服务攻击。此外,在设置过程中Tapo应用程序还会暴露Wi-Fi凭据给潜在攻击者。研究指出,虽然小型物联网设备通常被认为不是主要攻击目标,但它们的安全弱点可以成为入侵整个家庭网络的入口点。研究人员已经通过官方渠道向TP Link通报了这些问题,厂商也开始了修复工作。
身份验证漏洞 信息泄露 中间人攻击 硬编码密钥 加密缺陷 拒绝服务 物联网安全
0x12 Smartbi权限绕过漏洞
Devil安全 2023-08-24T09:00:22
该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载
0x13 WPS RCE 命令执行漏洞复现
赛博之眼CyberEye 2023-08-23T22:21:23 ©
WPS RCE 命令执行漏洞复现
0x14 TP-Link智能灯泡存在漏洞,黑客可以窃取WiFi密码
看雪学苑 2023-08-23T18:03:49 看雪学苑
近日,卡塔尼亚大学和伦敦大学的研究团队发现,TP-Link的Tapo L530E智能灯泡及其Tapo应用程序存在四个安全漏洞。这些漏洞可能使攻击者窃取用户的WiFi密码,并控制用户的所有Tapo系列设备。研究指出,随着物联网设备数量的增加,安全风险也随之上升。TP-Link Tapo L530E在全球范围内销售,其应用程序在Google Play上安装量超过1000万次。漏洞包括身份验证不足、硬编码的短共享密钥、对称加密过程中缺乏随机性以及消息的新鲜度不足。研究人员已向TP-Link报告了这些漏洞,并得到了确认。TP-Link表示已经开始修复这些漏洞,并计划发布修复程序。
智能设备安全 物联网安全 WiFi安全 身份验证漏洞 加密漏洞 中间人攻击 拒绝服务攻击 漏洞修复
0x15 CVE-2020-22253后门漏洞分析
看雪学苑 2023-08-23T18:03:49 愿风载尘
本文详细分析了Xiongmai多款产品中存在的安全漏洞,该漏洞源于设备开放了9530端口,允许未经身份验证的攻击者进行任意Telnet连接。文章揭示了漏洞的激活流程,包括身份验证过程、加密密钥的构造、随机数的生成和加密,以及如何通过特定的加密算法来执行系统命令开启后门。文章还提供了漏洞分析的具体步骤,包括使用binwalk解压固件、搜索关键文件、使用IDA分析关键代码,并深入解释了Triple DES加密算法的实现细节。最后,文章提供了一个测试漏洞的示例,以及如何使用特定的工具和命令来连接和利用这个漏洞。
安全漏洞 身份验证漏洞 后门攻击 密钥管理 加密算法 漏洞利用 固件分析 网络安全测试 逆向工程 设备安全
0x16 HTB-Download(Hard)
搁浅安全 2023-08-23T10:32:38 Ge9i4n
该文章详细描述了一个网络安全学习者在 Hack The Box (HTB) 平台上的渗透测试过程。首先,使用 Nmap 扫描发现目标机器开放了 SSH 和 HTTP 服务,分别运行 OpenSSH 8.2p1 和 Nginx 1.18.0。通过分析网站功能,发现用户上传文件后生成 UUID 并重定向到 /view 路径,但存在目录遍历漏洞,可能用于访问系统文件。进一步分析发现网站使用 Express.js 和 Node.js 开发,存在一个名为 'static' 的文件夹,可能包含有用信息。通过读取 'package.json' 文件,获取了主文件 'app.js' 的路径以及 cookie 签名密钥。利用 'cookie-monster' 工具,使用获取的密钥生成并签名一个 ID 为 1 的 cookie,成功以用户 'wesley' 登录。然而,直接使用生成的 cookie 仍然无法获得 root 权限。接着,通过分析 cookie 结构,利用 'startswith' 注入技术,使用 Python 脚本进行暴力破解,成功获取用户 'wesley' 的密码。最后,发现 PostgreSQL 数据库存在硬编码密码,且用户 'wesley' 拥有 'pg_write_server_files' 权限,可以写入文件。通过 SQL 注入将 'bash' 二进制文件复制到 'postgres' 用户的 'home' 目录并赋予 suid 权限,成功以 root 身份执行命令。最终,利用 cron 任务和 C 语言编写的漏洞利用程序,成功劫持 root 用户tty,获取 root 权限。整个过程涉及了多种渗透测试技术和工具的使用,包括 Nmap、Wappalyzer、cookie-monster、John the Ripper 等。
Web Application Security Local File Inclusion (LFI) Cookie Manipulation NoSQL Injection PostgreSQL Exploitation Privilege Escalation Hardcoded Credentials Cron Job Exploitation Shell Hijacking Reverse Shell Exploit Development AppArmor Bypass Leveraging Third-Party Tools
0x17 2023HW-0Day(漏洞检测Tools)V1.6 发布
银遁安全团队 2023-08-22T16:16:42 © 银遁安全-昊
银遁安全团队发布了漏洞检测工具V1.6,旨在帮助安全人员在HW及日常安全巡检中进行自查检测。该工具更新了包括海康安防、库贝皮KubePi、Metabase、用友时空KSOA等在内的多个最新公开漏洞的检测功能。使用前需安装Java环境,并确保为jdk1.8版本。工具仅供授权测试,禁止非法使用和商业目的。作者对使用后果不承担责任,且保留修改和解释权。获取工具需关注公众号并回复特定代码。
0x18 QQ远程代码执行漏洞0day
小白菜安全 2023-08-22T15:20:21 小白菜安全
本文介绍了QQ远程代码执行漏洞的0day情况。该漏洞的原理是QQ在下载文件时会自动运行该文件,这允许攻击者通过定制木马文件来进行钓鱼攻击。受影响的范围是QQ Windows版版本小于或等于9.7.13。为了复现这个漏洞,可以创建一个名为1.bat的测试文件,其中包含内容calc.exe。将这个文件发送给朋友,并让朋友点击回复,然后将回复内容发送给受害者。一旦受害者点击这个回复内容,1.bat文件就会被执行。这种情况对于网络安全来说是一个严重的威胁,因为它允许未经授权的远程代码执行,可能会对用户的系统安全造成极大的损害。
0x19 [SpiderFoot] 渗透测试自动化信息收集工具
Matrix SEC 2023-08-22T10:56:16
请勿使用本文中所提供的任何技术信息或代码工具进行非法测试和违法行为。若使用者利用本文中技术信息或代码工具对任何计算机系统造成的任何直接或者间接的后果及损失,均由使用者本人负责。
0x1a WoofLocker工具包在图像中隐藏恶意代码以运行技术支持骗局
黑猫安全 2023-08-22T10:09:37 博士
网络安全研究人员发现了一种名为WoofLocker的高级指纹识别和重定向工具包的新版本,它用于执行技术支持诈骗。该工具包通过在被入侵网站中嵌入JavaScript来过滤Web流量,并将用户重定向至浏览器锁定器(browlock)。其独特之处在于使用隐写术,在PNG图像中隐藏恶意JavaScript代码。只有通过了反机器人等检查的真实用户才会收到包含恶意代码的图片;否则,会收到无害的PNG文件。此外,WoofLocker采用复杂的基础设施以规避取缔行动,包括利用WEBGL_debug_renderer_info API对访问者进行详细指纹识别,以区分真实用户与安全工具或虚拟机。大多数加载此工具包的网站为成人内容站点,托管于保加利亚和乌克兰。攻击者的最终目的是诱导受害者联系虚假的技术支持中心,进而控制受害者的计算机并收取费用。这种活动自2017年起就有筹备迹象,相比其他快速变化的网络犯罪活动,显示出较高的稳定性和持续性。
恶意软件分析 网络钓鱼 重定向技术 隐写术 浏览器锁定器 欺诈性技术支持 恶意广告 安全基础设施 僵尸网络 网络安全趋势
0x1b 实时检测网络钓鱼攻击的5种方法
天津恒御科技有限公司 2023-08-22T08:02:59
网络钓鱼是网络攻击者们经常采用的一种社会工程学攻击手段,通过采用欺诈性操纵的策略,诱骗企业员工点击可疑链接、
0x1c 基于Clash Parsers规则预处理绕过Bing地区限制
雪面科技 2023-08-22T06:35:19 © XueMian
本文探讨了如何使用Clash Parsers规则预处理来绕过Bing地区限制。文章首先描述了在使用Clash编辑规则时,自动更新订阅会导致规则被覆写的问题,以及博主之前尝试修改UA头中的X-Forwarded-For字段绕过地区限制未果的情况。接着,文章解释了X-Forwarded-For请求标头的功能和可篡改性,并指出可以通过篡改XFF头实现伪造IP地址,从而进行HTTP头注入攻击。文章还介绍了Clash 0.10.1和0.11.10版本对配置文件预处理的支持,并详细说明了如何使用YAML配置进行规则预处理。最后,文章提到了如果规则预处理仍无法访问Bing服务,可以尝试清空cookie,并将微软账户设置为美国等国家。同时,文章也包含了免责声明,提醒用户在使用过程中可能存在的风险。
网络安全策略 代理服务器 绕过地区限制 HTTP头伪造 配置文件预处理 安全漏洞利用 免责声明
0x1d Java代码审计的第三章- 服务器端请求伪造
今木安全 2023-08-21T19:08:12 © 积木
服务端请求伪造,又叫ssrf, Web应用程序往往会提供一些能够从远程获取图片或是文件的接口,在这些接口上用
0x1e 新兴网络钓鱼攻击,使用SPAM SQR 邮件安全网关
企业网络信息安全 2023-08-21T16:41:10
近日,美国一家著名能源公司遭遇了大规模二维码网络钓鱼攻击,攻击开始时会先发送一封钓鱼电子邮件,邮件中的 PN
0x1f 渗透印度棋牌游戏平台
信息安全笔记 2023-08-21T15:29:09 ©
由于这段时间失业在家,为了生计不得不接点私活。某个猎头找到我,然后简单的做了一轮面试,面试官也不懂技术,应该
0x20 最新Q企鹅0day 1-click逻辑远程命令执行RCE
白帽文库 2023-08-21T13:04:19
本文介绍了腾讯QQ Windows客户端的一个0day远程代码执行漏洞。该漏洞存在于文档传输下载模块,允许攻击者在用户点击消息内容时,无需任何弹窗提示自动下载并执行文件。漏洞利用过程简单,只需创建一个批处理文件,通过QQ发送并回复该文件,再转发给目标用户即可执行远程代码。该漏洞影响QQ Windows版9.7.13及之前版本,属于逻辑漏洞,降低了攻击者实施钓鱼攻击的难度。处置建议包括提醒用户谨慎点击消息链接和升级安装终端安全软件以检测异常文件。
远程代码执行(RCE) 逻辑漏洞 0day漏洞 社会工程学 文件传输漏洞 客户端安全
0x21 WinRAR缺陷允许远程执行任意代码
黑猫安全 2023-08-21T09:22:27 博士
WinRAR是一款在Windows操作系统上广泛使用的文件压缩和存档工具。然而,它曾存在一个高危安全漏洞(CVE-2023-40477),该漏洞的CVSS评分为7.8,意味着它具有较高的严重性。这个漏洞允许攻击者通过诱导用户打开一个特制的RAR文件来远程执行任意代码。具体来说,漏洞出现在处理恢复卷的过程中,由于WinRAR对用户提供的数据没有进行充分的验证,攻击者可以利用这一点在程序的内存缓冲区末端之后进行非法内存访问,从而执行恶意代码。该漏洞在2023年6月8日被Zero Day Initiative的研究人员“goodbyeselene”发现并报告给WinRAR的开发商RARLAB。为了修补这一安全漏洞,WinRAR随后发布了6.23版本。建议所有WinRAR用户尽快更新到最新版本,以防止潜在的攻击者利用这一漏洞进行攻击。
远程代码执行 高危漏洞 缓冲区溢出 用户交互 软件漏洞 数据验证缺陷 补丁更新
0x22 Juniper Junos新操作系统缺陷使设备面临远程攻击-立即修补
黑猫安全 2023-08-21T09:22:27 博士
Juniper Networks针对其Junos OS的J-Web组件发布了紧急安全更新,以修复多个严重漏洞。这些漏洞包括CVE-2023-36844、CVE-2023-36845、CVE-2023-36846和CVE-2023-36847,它们影响了SRX系列和EX系列设备。利用这些漏洞,未经身份验证的攻击者能够远程执行代码或对文件系统完整性造成有限影响。综合CVSS评分为9.8,表明问题非常严重。受影响版本涵盖广泛的Junos OS版本。为应对这一威胁,Juniper已提供了一系列补丁版本,并建议用户尽快应用。作为临时措施,禁用J-Web服务或将访问限制于可信主机也被提出作为缓解方案。
远程代码执行 身份验证缺失 文件系统安全 Junos OS漏洞 网络设备安全 CVE编号 安全更新 CVSS评分
0x23 十种常见网络攻击手段及防御方法
恒御科技 2023-08-21T08:02:32
本文总结了十种常见的网络攻击手段及其防御方法。包括跨站脚本(XSS)、注入攻击、模糊测试、0day攻击、路径遍历、分布式拒绝服务(DDoS)、中间人攻击、暴力破解攻击、使用未知代码或第三方代码以及网络钓鱼。文章指出,随着网络技术的发展和国际形势的变化,网络攻击将更加规模化、系统化和复杂化。因此,提高网络安全意识和加强防御措施对于政企来说至关重要。文章详细介绍了每种攻击手段的特点和相应的防御策略,强调了网络安全的重要性,并建议采取多种措施来保护网站和用户数据的安全。
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
