回应：上海帝熙科技有限公司

gzchenjz

本人北京时间2023-6-9 20点才了解到该漏洞，当时你们这官网和acme.hi.cn已经无法访问，本人只刷了支付的cdn流量，Kamatera速度还只有8M/S

24小时欢迎对线，欢迎起诉，奉陪到底

肤白貌美天然呆

真贱 支持180天的的免费泛域名证书能有几家？

这下爽了 玩尼玛的蛇皮。

HOH

怎么说呢，这是acme脚本的问题，至于CA这种动机应该还不至于被吊销

关于剑皇刷人家流量的，我支持帝熙科技有限公司对楼主进行起诉，金额大的话我的建议是报警处理

帝玺SSL

思索许久，我正式回应下楼主：

本人北京时间2023-6-9 20点才了解到该漏洞

你不说还OK，你说了我们猛然发现这与我们服务器被攻击的时间正好对应上；

当时你们这官网和acme.hi.cn已经无法访问

我们关闭网站是避免RCE危害的进一步扩大，给 ACME.sh 修复流出窗口；并非被DDOS关闭，是我们主动关闭的。而且你帖子里面写了攻击点不是www1.hi.cn或者acme.hi.cn，而是 tencentcloud.accelerate.orion.pki.plus的一个大文件，用以在于消耗我们的CDN资源产生超额账单。

本人只刷了支付的cdn流量，Kamatera速度还只有8M/S

没错，你攻击的就是 tencentcloud.accelerate.orion.pki.plus，因为你的带领召唤和教唆，我们CDN统计瞬时带宽最高为1290Mbps。而非你说的8M/s。

24小时欢迎对线，欢迎起诉，奉陪到底

这个不知道怎么回复，你这挑战火药味很浓，我们诉求很简单，账单肯定要由攻击者赔付的，按照腾讯云CDN价格0.21/GB，一共3400多GB，账单714元；四舍五入700元。如果态度很不友好，我们肯定会报案时候主张追究刑事责任。楼主这个事情不仅仅是进行网络攻击，而是组织者，是起到领导带头作用。


截图、日志等证明稍后提取回复在这个帖子楼层中。


----
第一次补充

支付网站北岸都没有，就一个为了支持比特币、虚拟货币支付的境外网站

不好意思，pki.plus 域名是正规北岸。目前只是法律立法禁止为虚拟货币提供入金出金提供便利，接受虚拟货币并没有被约束。

逃税漏税的小丑急眼了

我们真没逃税漏税，除了部份无国内主体的客户，我们都是开正规的我们公司抬头的**的，这部份无论如何都不存在偷逃税的。

天地良心啊，我他妈确实只搞了支付

支付二维码和RCE区别都没有搞懂，你可真是个script kid




不好意思，你都尼玛30好几的广东人了，是giant boy。


有一个包, https://github.com/fukuchi/libqrencode ，linux下直接吐出能在命令行显示二维码的字节，我们直接把字节吐出给了acme客户端，输出在ssh shell下就是二维码



这是利用RCE来显示二维码？


具体我们用RCE来干什么的，我只截取下我发在外网的回应。懒得给你翻译了：

1. RCE is only utilized to complete challenge response without CA grant our server the ACME abilities.
   
2. 
   
3. If you are interested you may invest some programming resources to try to implement your owned domain ACME server with a commercial CA’s API to verify my viewpoint.
   
4. 
   
5. Because acme tools only write challenge file into /.well-known/acme-challenge/ and It’s not possible if don’t output file into the /.well-known/pki-validation/ directory CA required. The only way we find is this.
   
6. 
   
7. and further topic, acme has more differences than normal CA require:
   
8. 
   
9. acme requires CSR submission in finalize, but traditional CA requires in new-order. *(my topic on letsencrypt forum, years ago: <<Why ACME requires domain auth first before CSR?>> https://community.letsencrypt.org/t/why-acme-requires-domain-auth-first-before-csr/98482)
   
10. acme write challenge file to /.well-known/acme-challenge/ and traditional CA write in to /.well-known/pki-validation/
    
11. acme the dns validation hostname is _acme-challange constantly, traditional CA is _<md5> or _dnsauth (ssl.com, sectigo and DigiCert, GlobalSign).
    

复制代码

facebook

那你这也算是主动认罪了，问问警察能不能从轻处理

屎太龙

CN的 永久免费我都不会去用

Fix

肤白貌美天然呆 发表于 2023-6-13 11:55
真贱 支持180天的的免费泛域名证书能有几家？

这下爽了 玩尼玛的蛇皮。

有一说一，免费提供半年通配符的确实很少，但是他这个不排除是利用了 Sectigo 给代理商的试用权利，并且多域名和 ECC 算法要给他付钱，但实际上他应该无需向 Sectigo 付费，一定程度上可以算作滥用了

这家公司的法人蓝剑波，之前在 v2ex 利用 GlobalSign 的计费漏洞卖了三四年 AlphaSSL，结果最后 GlobalSign 一分钱没收到，他赚的盆满钵满，所以现在这个证书也不能排除这种可能。

whl32

https://91ai.net/thread-1177834-1-1.html

Anget

这是干哈子？

PYPL

帝熙这家公司，我知道，不明白，为啥要做这些，能产生什么价值

zc035

总体来说， HIca 确实钻了协议空子，

不过~ 楼主也不应该刷流~~ 这样很危险~~

贱人就是矫情

笑，HiCA只是利用了脚本，没有证据证明已经作恶。
反倒是你在刷量作恶。行侠仗义也得遵守基本法啊~