2025年第10周微信公众号精选安全技术文章总览

洞见网安 2025-3-10

0x1 【漏洞预警】Kubernetes Windows命令注入漏洞

飓风网络安全 2025-03-14T22:55:40 cexlife

本文预警了一个影响Kubernetes Windows节点的安全漏洞，该漏洞可能允许具有高权限的用户通过查询节点的/logs端点，在主机上执行任意命令。此漏洞影响了Kubernetes v1.32.0、v1.31.0至v1.31.43、v1.30.0至v1.30.84、以及v1.29.12之前的版本。为了修复这个漏洞，官方已发布了补丁，建议用户将Kubernetes更新至最新版本1.32.3。具体补丁信息和更新指南可以通过公告链接和文件链接获取。受影响的用户应尽快升级至最新版本，以确保系统安全。

Kubernetes漏洞 Windows安全命令注入漏洞修复版本相关

0x2 T1003.003 - 操作系统凭证转储：NTDS

网空安全手札 2025-03-14T22:52:06

本文介绍了Atomic Red Team™中的一项测试技术，即T1003-操作系统凭证转储。这项技术旨在帮助安全团队测试环境中的安全问题，特别是针对活动目录域数据库NTDS.dit的凭证信息窃取。文章详细描述了攻击者可能使用的不同方法来访问或创建NTDS文件的副本，包括使用Windows内置工具如vssadmin.exe、ntdsutil.exe和WMI等。文章还提供了多个原子测试的步骤和命令，例如使用vssadmin创建卷影副本、从卷影副本复制NTDS.dit文件、使用NTDSUtil转储活动目录数据库等。同时，文章强调了这些技术的合法用途仅限于授权的安全测试和研究，并提醒读者遵守法律法规，不得用于非法攻击。

渗透测试攻击技术活动目录攻击凭证窃取安全测试 Windows系统安全 MITRE ATT&CK框架法律法规遵守

0x3 T1003.004 - 操作系统凭证转储：LSA机密

网空安全手札 2025-03-14T22:52:06

本文介绍了Atomic Red Team™框架中的一个测试库，用于模拟攻击者的行为以测试网络安全。文章重点讲解了T1003.004 - 操作系统凭证转储：LSA机密测试，该测试旨在帮助安全团队发现安全问题。文章中提到了从注册表和内存中提取LSA机密的方法，包括使用Reg和Mimikatz工具。此外，文章还提供了两个原子测试的详细步骤和命令，包括如何从注册表中转储机密项和使用dumper.ps1从LSA转储Kerberos票据。文章强调了这些技术和工具仅用于授权的安全测试和研究目的，并提醒读者遵守法律法规。

渗透测试攻击模拟 Windows安全 LSA机密凭证泄露 Kerberos票据安全工具法律法规遵守

0x4 GitLab 紧急修补关键身份验证绕过漏洞 – CVE-2025-25291 和 CVE-2025-25292

TtTeam 2025-03-14T20:35:52

GitLab近期发布了紧急安全补丁，以解决两个关键的身份验证绕过漏洞，CVE-2025-25291和CVE-2025-25292。这两个漏洞存在于用于SAML单点登录的身份验证库中，可能导致攻击者获取有效签名SAML文档，进而冒用其他用户身份进行验证。漏洞源于ReXML和Nokogiri解析XML的方式，可能导致XML文档结构差异，从而为签名包装攻击创造条件。GitLab已发布新版本17.9.2、17.8.5和17.7.7来修复这些问题，并为无法立即更新的用户提供了缓解措施，包括启用双因素身份验证、禁用SAML双因素绕过选项和自动用户批准等。值得注意的是，这些缓解措施并不能完全消除漏洞风险。

身份验证漏洞 SAML单点登录 XML解析攻击 GitLab安全更新网络安全补丁双因素身份验证

0x5 渗透测试工具之Empire Framework

寰宇密阁 2025-03-14T19:53:19 ©

渗透测试后渗透攻击 Metasploit 漏洞利用安全工具脚本语言操作系统开源项目安全研究

0x6 【安全圈】SuperBlack 攻击者利用两个 Fortinet 漏洞部署勒索软件

安全圈 2025-03-14T19:03:07

2025年1月底至3月初，网络安全研究人员发现了一系列针对Fortinet设备的复杂入侵行为，归咎于新威胁行为者“Mora_001”。攻击者利用了FortiOS版本7.0.16之前的两个关键漏洞（CVE-2024-55591和CVE-2025-24472）来获取超级管理员权限。攻击者创建了多个管理员账户，并利用自动化任务确保其持久性。在建立持久性后，攻击者进行了广泛的侦察，并利用多种技术进行横向移动，包括VPN凭证窃取、高可用性配置传播和身份验证基础设施滥用。最终部署了名为“SuperBlack”的勒索软件，该软件与LockBit 3.0有相似之处。Mora_001的活动突显了边界安全设备在攻击中的重要性，并强调了及时更新和全面网络监控的重要性。

勒索软件 Fortinet 漏洞网络攻击漏洞利用网络安全事件持久化攻击横向移动数据泄露风险网络监控安全建议

0x7 【安全圈】Tenda AC7 路由器漏洞使攻击者能够通过恶意负载获取 Root Shell

安全圈 2025-03-14T19:03:07

Tenda AC7 路由器存在一个严重的安全漏洞，该漏洞允许攻击者通过恶意负载获取 root shell 访问权限。该漏洞源于路由器固件版本 V15.03.06.44 中的 formSetFirewallCfg 函数的堆栈溢出，攻击者可以通过特制的 HTTP 请求入侵设备。漏洞的原因在于路由器在处理用户输入时未能正确验证，直接使用 strcpy 函数复制用户输入到固定大小的缓冲区，导致缓冲区溢出。研究人员开发了一个概念验证（PoC）漏洞，通过发送特制的 HTTP POST 请求触发堆栈溢出。该漏洞可能导致设备崩溃，更严重的是，攻击者可以建立 root shell，维持对设备的完全控制。建议用户更新固件，并实施额外安全措施，如限制管理界面访问。

路由器漏洞堆栈溢出 Root Shell HTTP请求攻击输入验证固件更新网络安全挑战安全编程实践

0x8 【安全圈】GitLab 警告多个漏洞可让攻击者以有效用户身份登录

安全圈 2025-03-14T19:03:07

GitLab近期发布了针对多个安全漏洞的关键安全补丁，这些漏洞可能允许攻击者以合法用户身份进行身份验证，甚至执行远程代码。其中，CVE-2025-25291和CVE-2025-25292是严重的身份验证绕过漏洞，影响GitLab的SAML单点登录(SSO)身份验证。攻击者可以利用这些漏洞在SAML IdP中以其他合法用户的身份进行身份验证。GitLab建议所有自行管理的GitLab安装升级到指定版本。此外，GitLab还解决了Ruby graphql库中的一个远程代码执行漏洞（CVE-2025-27407）。对于无法立即更新的组织，GitLab提供了缓解措施，包括启用双因素身份验证和禁用SAML双因素绕过选项。GitLab还升级了PostgreSQL版本，并进行了各种错误修复。所有这些更新都是为了提高GitLab系统的安全性。

GitLab 漏洞身份验证漏洞 SAML 单点登录远程代码执行安全补丁网络安全更新 HackerOne 漏洞赏金计划 PostgreSQL 更新安全公告

0x9 【安全圈】利用 OAuth 重定向进行帐户接管的 Microsoft365 主题攻击

安全圈 2025-03-14T19:03:07

近期，Proofpoint 的威胁洞察团队揭露了两起针对 Microsoft 365 用户的复杂网络钓鱼攻击。这些攻击利用 OAuth 重定向漏洞和品牌模仿技术，伪装成知名品牌如 Adobe 和 DocuSign，诱使用户授权欺诈性的 OAuth 应用程序。攻击者修改了 Microsoft 365 租户设置，将网络钓鱼内容嵌入企业环境中，并通过 OAuth 2.0 授权流程漏洞将用户重定向至攻击者控制的网站。这些攻击能够绕过标准电子邮件安全协议，如域名信誉评估和反欺骗策略。Proofpoint 提醒组织采取防网络钓鱼的身份验证方法，如 FIDO2 安全密钥，并建立严格的条件访问策略。攻击者主要针对高管、客户经理和财务人员，以获取对敏感数据的持久访问权限。安全研究人员建议组织检查 Azure AD 登录日志，实施风险登录警报，并定期进行安全意识培训。

OAuth攻击网络钓鱼 Microsoft 365安全云安全身份验证安全漏洞利用企业安全安全意识培训

0xa 【技术分享】涉诈APK“双重抓包检测”绕过实战思路

平航科技 2025-03-14T18:48:43 © 航哥

本文探讨了网络安全领域中的APK逆向分析实践，特别是针对那些具有复杂对抗措施的APK。文章重点介绍了一种新型的双重检测机制，这种机制包括代理检测和VPN检测。在分析过程中，作者使用平航应用逆向解析软件AR200对APK进行动态分析，并详细描述了如何绕过这些检测机制。文章首先解释了代理抓包和VPN抓包的区别，然后通过具体案例展示了如何通过AR200的代理模式和VPN模式来分析APK。此外，文章还提供了绕过代理检测和VPN检测的具体步骤，包括如何使用AR200的源码分析功能和动态调试功能。最后，作者强调了在实际案件中需要根据具体情况进行分析，并提供了解决类似问题的技术支持途径。

APK逆向分析网络安全检测恶意软件分析抓包技术移动安全防御技术逆向工程

0xb 原版Ksu(LKM)转Ksu Next(GKI)并隐藏过牛头人教程

爱坤sec 2025-03-14T18:42:12 © 爱坤

本文详细介绍了如何将原版的KSU（内核空间工具）升级到KSU Next（通用GKI内核），并实现隐藏功能以规避检测。教程首先要求下载必要的软件和手机系统版本的init_boot.img原厂镜像。步骤包括卸载原版KSU模块、授予刷内核工具root权限、选择合适的GKI内核版本、使用刷内核工具刷入新内核、还原原厂映像以防止bug、依次刷入模块、打开隐藏BL列表、配置LSPOSED模块、创建黑名单模板、选择不可见应用以及配置数据隔离。最后，文章提到了通过这种方式转root管理器可能会出现的问题以及解决方法，并提供了联系方式以承接相关服务。

Root权限获取系统镜像管理内核定制与修改应用隐藏与伪装软件破解与越狱安全风险提示

0xc Tomcat CVE-2025-24813 从计算器到GetShell

骨哥说事 2025-03-14T18:22:51 ©

本文详细分析了Tomcat CVE-2025-24813漏洞，这是一个涉及Content-Range在Tomcat HTTP PUT请求中的文件名处理机制的漏洞。文章首先介绍了漏洞原理，指出该漏洞需要满足特定条件才能被利用，包括开启File文件会话存储、将DefaultServlet的readonly配置为false以及lib文件夹中存在Commons Collections 3.2.1.jar包。接着，文章描述了漏洞的复现过程，包括如何通过生成特定的payload上传木马，并通过蚁剑、冰蝎和哥斯拉等工具尝试连接。文章还提到了在利用过程中遇到的困难和解决方案，如无法获取Web目录路径、mimikatz提权失败等问题。最后，文章提供了获取NTLM hash的方法和提交flag的步骤，并附上了相关参考资料和靶场地址。

Tomcat 漏洞 HTTP PUT 请求文件上传漏洞 Web 应用安全漏洞复现权限提升木马上传与执行 NTLM Hash 安全工具

0xd 内网渗透&渗透中的数据库信息收集

小兵搞安全 2025-03-14T18:09:24 © simeon的文章

本文详细介绍了数据库信息收集的过程和方法。首先，文章阐述了通过账户和密码直接访问数据库内容的目的，特别是获取涉及数据库配置的表格，如后台登录的用户名和密码。接着，文章介绍了如何通过图形界面和SQL命令查询数据库客户端表，以及不同数据库系统（如MySQL、PostgreSQL、MSSQL、Oracle和sqlite）的查询方法。然后，文章深入探讨了如何收集数据库中的重要信息，包括各个表的行数、数据库连接账号和密码，以及包含密码的表信息。此外，文章还提供了关于如何在PHP、Python、Java、.NET和Node.js配置文件中查找数据库密码的方法。最后，文章讨论了如何通过环境变量文件、容器化配置和本地搜索来查找数据库配置和敏感信息。

数据库安全信息收集 SQL注入密码管理配置管理漏洞利用安全审计操作系统安全编程语言安全

0xe EWSTool - Exchange后渗透工具

Khan安全团队 2025-03-14T17:44:38

EWSTool是一款专门针对Exchange服务器的后渗透工具，它提供了一系列功能，包括从Exchange服务器下载邮件、搜索邮件、获取人员信息和文件夹列表等。该工具支持通过用户名和密码或哈希值来获取人员信息，并能够下载指定邮箱文件夹中的邮件。用户可以通过关键字或日期范围来搜索邮件，并支持批量下载和搜索。EWSTool还支持HTTP代理，以便在特定网络环境中使用。工具的使用方法详细说明了如何通过命令行参数来配置和执行各种操作，如下载邮件、搜索邮件和获取人员信息等。此外，工具的配置文件允许用户自定义模板文件夹路径、HTTP协议、Exchange命名空间和HTTP请求头等参数。需要注意的是，EWSTool仅限于授权的渗透测试使用，禁止用于非法目的，且在使用时需遵守当地的数据隐私法规。

Exchange后渗透攻击邮件服务器安全网络攻击工具脚本攻击代理支持数据泄露风险渗透测试

0xf XXE漏洞各种骚姿势

迪哥讲事 2025-03-14T17:33:01

本文深入探讨了XML外部实体（XXE）漏洞，这是现代网络应用程序中常见但常被忽视的安全漏洞。文章首先介绍了XXE漏洞的概念、影响以及如何识别和利用它们。文章指出，XXE漏洞允许攻击者操控XML数据，可能导致读取内部文件、访问内部网络，甚至在某些情况下执行远程代码执行。文章详细分析了XXE漏洞的常见场景，如基于XML的Web服务、文件上传处理等。接着，文章通过实际代码示例展示了如何利用XXE漏洞，包括简单的XXE注入漏洞利用和高级利用案例，如利用外部DTD进行XXE攻击、利用参数实体进行盲注、通过资源耗尽攻击以及利用UTF-7编码等。最后，文章还讨论了如何将XXE漏洞升级为远程代码执行（RCE）以及XXE二段注入等复杂攻击方式。

XXE 漏洞 Web 应用安全安全漏洞安全测试代码审计渗透测试安全研究安全工具

0x10 Windows应急响应篇

中泊研安全应急响应中心 2025-03-14T17:32:37 © 中泊研团队

本文详细介绍了Windows系统在面临安全威胁时的应急响应流程。文章首先概述了常见的攻击类型，包括系统入侵和Web入侵，并解释了它们的典型表现。接着，文章提供了详细的排查步骤，包括断网、账户安全排查、登录日志分析、进程分析以及启动项检查等。此外，文章还推荐了使用特定工具和命令来识别和清除恶意软件，并提供了安全加固的建议，如安装杀毒软件、启用安全日志、定期备份系统和数据、关闭非必要端口以及加强网络安全意识培训等。这些步骤和措施旨在帮助企业和个人快速响应安全事件，保护系统安全。

操作系统安全应急响应病毒防护 Web安全账户安全进程管理安全加固网络安全意识

0x11 漏洞预警 | Ruby-Saml/GitLab存在身份认证绕过漏洞（CVE-2025-25291、CVE-2025-25292）

Beacon Tower Lab 2025-03-14T17:20:01 © 烽火台实验室

近日，Ruby-Saml库被曝存在两个高危身份认证绕过漏洞（CVE-2025-25291、CVE-2025-25292），该漏洞可能被利用以绕过身份验证，威胁到使用该库的应用程序的安全。受影响的版本包括Ruby-saml的<1.12.4和>=1.13.0,<1.18.0，以及GitLab的17.9.2之前的17.9版本、17.8.5之前的17.8版本，以及17.7.7之前的17.7版本。GitLab已发布更新版本17.9.2、17.8.5和17.7.7来修复这些漏洞。建议用户及时升级到安全版本，并采取临时缓解措施，如增加额外的身份验证步骤和禁用SAML双重认证绕过选项。

身份认证漏洞 SAML GitLab Ruby语言高危漏洞 XML解析漏洞安全更新漏洞评分远程攻击

0x12 如何查杀Webshell最有效，木马后门防护方法

护卫神说安全 2025-03-14T17:17:36 © 护卫神

本文详细分析了如何有效查杀Webshell以及木马后门的防护方法。Webshell是一种危险的网页脚本，一旦被植入网站，黑客可以随意篡改网页、数据库、劫持网站等，造成严重危害。文章指出，传统的杀毒软件在查杀Webshell方面效果有限，因为它们并非专门针对Webshell设计。为了有效查杀Webshell，建议使用专业的Webshell杀毒引擎，如《护卫神.防入侵系统》。该系统不仅拥有丰富的病毒库，还能自动收集各种Webshell样本，查杀率高达99.9%。此外，《护卫神.防入侵系统》还具备多重查杀机制，包括上传、保存、访问时的实时监控，以及WAF层面的查杀功能，有效防止Webshell的变种绕过安全防护。文章还强调了在WAF层面进行查杀的重要性，特别是在对WebServer解析后的内容进行查杀。最后，文章提到了《护卫神.防入侵系统》的“篡改防护”模块，作为从根源上杜绝Webshell的一种方法。

Webshell 网络安全防护病毒查杀木马防护 WAF 病毒库入侵检测安全软件

0x13 0030. 绕过过滤器：通过 DNS 重新绑定进行 SSRF 利用，每 30 个成功请求中只有 1 个

Rsec 2025-03-14T17:12:53

本文介绍了一个利用SSRF漏洞的网络安全研究案例。研究者通过对大型程序进行安全评估时发现，尽管尝试多次，仅有一个成功的请求能确认SSRF漏洞的存在。该漏洞允许攻击者窃取AWS元数据。研究者发现，每次尝试中只有约1%的成功率，且攻击依赖于DNS重新绑定。通过发送解析为特定IP地址的请求，研究者能够绕过过滤器并访问后端数据。文章详细描述了整个漏洞发现、测试和利用的过程，并提醒读者不要将所学技术用于非法活动。

SSRF DNS Rebinding Security Research AWS Security Web Application Security Burp Suite Intrusion Detection

0x14 vulnhub-Hackme-隧道建立、SQL注入、详细解题、思路清晰。

泷羽Sec-朝阳 2025-03-14T16:59:15 © 泷羽Sec-朝阳

本文详细介绍了针对vulnhub-Hackme靶场的渗透测试过程。首先进行了信息收集，包括主机发现、端口扫描、漏洞扫描和目录扫描。通过nmap等工具确定了开放端口和服务，并使用dirb、dirsearch和nikto等工具扫描后台目录和漏洞。在登录成功后，通过SQL注入漏洞获取了管理员权限。通过SQL注入技巧，成功获取了数据库版本、用户表名和字段信息。进一步获取了用户名和密码，并尝试登录。在渗透过程中，发现了文件上传漏洞，利用该漏洞上传了后门并建立了隧道。最终，通过touchmenot脚本成功提权，完成了渗透测试。

Vulnerability Analysis Exploit Development Penetration Testing Network Security SQL Injection Shellcode and Backdoors Privilege Escalation

0x15 lnk快捷方式钓鱼样本分析 (APT-C-08 蔓灵花 )

极梦C 2025-03-14T16:30:54

本文分析了lnk快捷方式钓鱼样本，揭示了针对某单位公共邮箱的恶意攻击事件。攻击者通过伪装邮件附件中的lnk快捷方式木马，诱使受害者点击，从而控制个人终端。分析发现，lnk文件通过字符填充隐藏目标路径，实际执行恶意powershell命令，并添加计划任务以持续执行恶意操作。攻击者通过域名jacknwoods.com和samsnewlooker.com与远程服务器通信，尝试下载并执行二阶段木马。溯源分析显示，攻击者可能属于APT组织Bitter，具有高度政治动机，针对多个国家进行定向攻击。文章总结了攻击过程，并提出了加强员工安全意识、做好内外网隔离等防御建议。

钓鱼攻击恶意软件分析 APT攻击恶意代码分析安全意识教育网络钓鱼技术安全防御策略

0x16 朝鲜黑客开发新型安卓监控工具，伪装实用应用肆虐全球

安全威胁纵横 2025-03-14T16:04:19 © HackerNews

朝鲜黑客组织ScarCruft开发了一款名为KoSpy的新型安卓监控工具，该工具伪装成实用工具应用，针对韩语和英语用户进行间谍活动。网络安全公司Lookout揭露了这一恶意活动的细节，指出KoSpy最早版本可追溯至2022年3月，最新样本于2024年3月被发现。KoSpy能够收集短信、通话记录、定位信息、本地文件、音频和屏幕截图等数据，并伪装成Google Play官方商店中的应用。ScarCruft是自2012年以来活跃的朝鲜政府支持型网络间谍组织，之前主要使用RokRAT木马从Windows系统窃取数据。KoSpy使用Firebase Firestore云数据库作为C2机制的一部分，以保持隐蔽性。此外，Lookout还发现了与朝鲜黑客组织Kimsuky相关的npm软件包攻击活动，这些软件包旨在窃取系统信息和加密货币钱包文件。

恶意软件分析 Android安全网络间谍活动 APT组织动态加载插件移动端威胁云服务滥用数据泄露风险恶意软件基础设施

0x17 漏洞复现——Apache Tomcat反序列化RCE漏洞（CVE-2025-24813）

咸苹果学安全 2025-03-14T15:30:31 ©

本文详细介绍了Apache Tomcat反序列化RCE漏洞（CVE-2025-24813）的复现过程。该漏洞影响了Apache Tomcat的多个版本，攻击者可以通过向指定目录发送反序列化载荷，利用Tomcat的临时Session会话文件存储功能，通过解析恶意构造的JSESSIONID来触发反序列化，进而实现远程代码执行。文章分析了漏洞成因，并列举了利用该漏洞所需的三个条件：开启DefaultServlet的写入功能、允许PUT上传文件、开启Tomcat临时Session会话文件存储功能。文章还提供了搭建环境的具体步骤，包括修改配置文件、添加存在反序列化漏洞的库以及构建攻击链。最后，文章给出了漏洞复现的详细步骤和修复建议，包括更新至不受影响版本和关闭相关功能。

漏洞复现 Apache Tomcat 反序列化漏洞 RCE CVE 安全漏洞渗透测试代码审计安全配置

0x18 钓鱼木马宏病毒研究（一）

FTC安全 2025-03-14T14:56:08 ©

本文深入探讨了宏病毒钓鱼攻击的研究，作者通过实际操作展示了如何利用CS（Cain & Abel）工具制作宏病毒文件，并详细分析了宏病毒的关键代码部分。文章首先介绍了如何通过CS工具生成宏病毒文件，并解释了如何将其嵌入到.docx文件中。接着，作者对宏病毒的关键代码进行了分析，包括变量定义、环境变量获取、进程创建以及shellcode的执行过程。文章还讨论了运行宏病毒文件时遇到的问题，如需要启用内容才能上线以及免杀技术的研究。作者表示将继续研究更有效的上线方法和免杀技术，并欢迎读者留言交流。

网络安全恶意软件分析恶意文档攻击漏洞利用代码审计免杀技术安全研究

0x19 MassJacker 恶意软件出手，778,000 个钱包加密货币被盗取

嘶吼专业版 2025-03-14T14:00:29 山卡拉

新发现的恶意软件MassJacker通过剪贴板劫持技术，利用至少778,531个加密货币钱包地址，从受害者计算机中窃取数字资产。据分析，与该恶意软件活动相关的钱包中，有423个钱包内共有95,300美元。MassJacker似乎与特定威胁组织有关联，其操作模式可能与恶意软件即服务模式相似。该恶意软件通过pesktop.com网站分发，其工作流程涉及多个步骤，包括下载和执行恶意脚本，以及使用不同的加载器和加密技术来逃避检测。MassJacker监视剪贴板中的加密货币钱包地址，并将其替换为攻击者控制下的地址，导致受害者无意中将资金转移到攻击者手中。CyberArk呼吁网络安全研究界密切关注此类大型加密劫持行动，尽管经济损失可能相对较低，但这类行动可能泄露威胁行为者的身份信息。

恶意软件攻击剪贴板劫持加密货币安全数字货币盗窃网络安全威胁命令与控制服务器加密劫持操作恶意软件分发软件包装和混淆网络安全研究

0x1a 勒索软件团伙利用网络摄像头加密网络，轻松绕过 EDR 防线

嘶吼专业版 2025-03-14T14:00:29 山卡拉

Akira 勒索软件团伙近期被发现在网络安全公司 S-RM 对客户进行事件响应过程中，利用不安全的网络摄像头对受害者网络进行加密攻击，并成功绕过了端点检测和响应（EDR）系统。攻击者首先通过远程访问解决方案入侵目标公司网络，部署合法工具窃取数据，并尝试部署勒索软件，但被 EDR 阻止。随后，他们转而利用网络摄像头，利用其 Linux 操作系统和未安装 EDR 代理的特点，加密网络共享文件，绕过 EDR 软件。S-RM 指出，这种攻击本可以避免，因为网络摄像头存在已知漏洞，且组织不应仅依赖 EDR 防御攻击。此外，物联网设备的风险和重要性被强调，包括定期更新固件和与敏感网络隔离。

勒索软件网络摄像头漏洞端点检测和响应（EDR）物联网安全横向移动数据加密安全漏洞利用安全防御策略

0x1b CVE-2025-24813｜Tomcat 反序列化深入利用

我不懂安全 2025-03-14T13:48:52

本文深入分析了CVE-2025-24813漏洞的利用过程。文章首先介绍了实验环境搭建，并指出尽管实战中利用此漏洞的概率较低，但仍有1%的几率和100%的运气可能成功。在无回显的情况下，作者使用了yso升级版和java web-chains生成序列化数据，并通过代理在Burp Suite中执行。执行后，服务器上会生成session文件，但存在时间限制。作者还提到，由于安全考虑，他们删除了calc，因此没有弹窗。在尝试使用ALLEchoweb-chains生成tomcatecho马时遇到了500异常，但最终通过其他Gadget发现了一个可以回显的内存马。文章还提到了如何将反弹shell的包合并，以便简化操作步骤。

CVE Tomcat 反序列化漏洞利用安全漏洞 Java Web安全实战技巧

0x1c CVE-2025-24813｜Tomcat 反序列化深入利用

轩公子谈技术 2025-03-14T13:37:31 © private null

本文深入分析了CVE-2025-24813漏洞的利用过程。文章首先提到，虽然实战环境中利用该漏洞的概率很低，但仍有1%的机会。作者通过使用yso升级版和java web-chains工具生成序列化数据，并创建raw格式的bin包，通过代理到burp执行。在执行过程中，服务器上出现了session文件，但有时间限制，几分钟后会自动消失。在尝试利用过程中遇到了500异常，但通过进一步分析和尝试，作者发现可以使用all echo-web-chains工具生成tomcat echo 马并成功注入内存马。尽管出现了500错误，内存马已经成功注入。文章还提到了反弹shell的方法，并建议将两个包合并以简化操作步骤。

CVE Tomcat 反序列化 Java Web 漏洞利用内存马安全漏洞应急响应

0x1d 加密货币“馅饼”变“陷阱”——新型隐蔽木马的多层持久化技术揭秘

腾讯安全威胁情报中心 2025-03-14T13:36:42 © 腾讯威胁情报中心

腾讯云安全科恩实验室近日发现，一些伪装成加密货币工具的恶意木马在市场上传播。这些木马具备多层持久化、隐蔽驻留、冗余控制和高级反分析能力，能够在系统重启后继续运行，并躲避安全软件检测。恶意软件通过伪装成加密货币工具如Crypto_Flash.zip和TetherCloud_Mining.zip等进行传播，利用虚假宣传、定向投放和虚假网站等手段吸引受害者。分析显示，恶意软件通过复杂的感染链，包括PowerShell下载、反分析检测和核心载荷释放等步骤，最终实现远程控制和加密货币挖矿。此外，恶意软件还利用Telegram Bot API作为命令控制通道，连接到XMR加密货币矿池。科恩威胁情报团队通过分析GitHub仓库的提交历史，追踪了恶意软件的源头。此次事件提醒用户提高警惕，避免下载来源不明的软件，并加强多层安全防护体系。

加密货币安全恶意软件分析云挖矿工具安全远程控制木马网络安全威胁情报 Windows系统安全 GitHub安全沙箱环境分析网络安全意识

0x1e 记一次艰难绕过SQL注入过滤的过程

C4安全团队 2025-03-14T13:29:49 © chobits02

0x1f 【漏洞通告】ruby-saml 身份认证绕过漏洞安全风险通告

嘉诚安全 2025-03-14T13:14:21

近日，嘉诚安全监测到ruby-saml存在两个身份认证绕过漏洞，鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

0x20 内网篇 | 【送给小白的】内网信息收集：端口扫描详解，干货！！！

零日安全实验室 2025-03-14T12:51:35 © 零日安全实验室

本文深入探讨了网络安全中的内网信息收集技术，主要针对端口扫描这一重要环节进行详解。文章首先强调了合法合规使用网络安全技术的重要性，并指出端口扫描的目的在于了解目标主机开放的服务、发现潜在漏洞以及分析网络拓扑结构。文中详细介绍了几种常用的内网端口扫描方法，包括使用端口扫描工具、自定义脚本扫描以及在获得授权的情况下使用Nmap、masscan等工具。文章还对比了直接上传工具和使用内网代理两种端口扫描方案，并提醒在实际操作中应避免使用代理以减少不稳定性和潜在风险。此外，文章还列举了ScanLine、Telnet协议以及Fscan、Kscan等工具的使用方法，为网络安全学习者提供了实用的技术指导。

网络安全基础内网渗透端口扫描工具渗透测试网络安全策略网络安全工具

0x21 fastjson jndi 注入Behinder内存马

moonsec 2025-03-14T12:20:28 © moonsec

本文讨论了一个关于Spring Boot应用中fastjson反序列化漏洞的案例。该漏洞利用了fastjson 1.2.37版本的缺陷，通过构造特定的JSON数据，可以触发远程代码执行。文章中详细描述了如何使用这个漏洞在Spring Boot 2.3.12.RELEASE应用上执行系统命令，包括弹出一个计算器程序。此外，文章还介绍了如何将这个漏洞利用转化为Behinder内存马，通过JNDI LDAP服务加载恶意类，并使用marshalsec工具进行攻击。文章还提供了一个内存马的实现示例，并说明了如何将其修改为Behinder内存马。最后，文章提到了在Spring Boot 2.3或2.6版本中测试内存马的成功情况，并提供了一个参考链接，供读者进一步学习渗透测试知识。

漏洞分析 Java安全 Spring Boot安全内存马攻击 JNDI注入渗透测试 IDEA开发 Java反序列化

0x22 云环境大规模勒索事件揭秘：.env文件泄露后利用技术剖析

OSINT研习社 2025-03-14T12:20:00 © plague

近日，Palo Alto Networks旗下Unit 42团队协助国际刑警破获了一起由.env文件泄露引发的云上勒索软件攻击案件。攻击者利用暴露的.env环境变量文件，成功入侵多家企业的AWS云环境，扫描超过2.3亿个目标，窃取了9万多个敏感变量，并最终实施了数据勒索。该事件揭示了云环境配置中存在的三大致命漏洞：环境变量文件(.env)公开暴露、长期有效凭证未及时轮换以及权限管理未遵循最小化原则。文章详细分析了攻击者的攻击过程，包括初始访问阶段，攻击者通过自动化脚本扫描公网资产，利用泄露的AWS访问密钥入侵云环境，暴露了云安全的脆弱性。

勒索软件云安全漏洞商业邮件诈骗自动化攻击 AWS安全配置管理内部威胁

0x23 某APP加密解密

梅苑安全 2025-03-14T12:01:59

0x24 一起历史webshell导致的内网失陷事件

草蛇灰线马迹蛛丝 2025-03-14T12:00:29 ©

本文描述了一起因历史Webshell导致内网失陷的事件。事件发生在一个客户参与内部攻防演练的背景下，安全设备告警显示服务器存在异常外联。通过现场排查，发现两个异常进程，进而确认服务器已失陷。调查发现，攻击者利用了历史Webshell，通过RDP登录服务器并上传了新的Webshell，随后上传了fscan程序进行内网扫描和密码喷洒攻击，导致大量内网主机被横向渗透。文章详细记录了整个排查过程，包括发现异常进程、分析日志、追踪攻击链路等步骤，并揭示了因演练后未清理Webshell导致的严重后果。

Webshell攻击内网安全应急响应攻防演练日志分析安全漏洞横向移动密码喷洒漏洞扫描

0x25 Apache Tomcat远程命令执行漏洞来袭，网御星云提供优选解决方案

网御星云 2025-03-14T11:28:12

Apache Tomcat，作为一款流行的Java Servlet容器，近期被曝出远程命令执行漏洞（CVE-2025-24813）。该漏洞影响多个版本，包括11.0.0-M1至11.0.210.1.0、10.1.349.0.0.M1至10.1.35以及9.0.98等。攻击者可利用该漏洞构造恶意请求，绕过路径校验机制，实现对敏感文件的访问或植入恶意代码。官方已发布安全更新，建议用户升级至最新版本。同时，网御星云提供了包括入侵检测系统、漏洞扫描系统、资产与脆弱性管理平台以及终端威胁检测产品在内的多款解决方案，以帮助用户检测、防护和修复该漏洞。

漏洞分析 Java安全远程代码执行 Web应用安全漏洞修复安全产品安全态势感知漏洞扫描应急响应

0x26 启明星辰提醒：警惕仿冒DeepSeek安装包投递WannaCry勒索软件

启明星辰集团 2025-03-14T11:21:34

启明星辰深度分析攻击样本并给出相关信息。

0x27 大模型投毒事件之Pickle反序列化漏洞及防御

联想全球安全实验室 2025-03-14T11:15:36 © 小志

本文深入探讨了近期一起实习生对自家大模型进行投毒的事件，该事件利用了Huggingface的Transformers库中存在的Pickle反序列化漏洞（CVE-2024-3568）。文章首先介绍了Pickle模块的定义和原理，以及其可能带来的安全风险。接着，详细分析了Pickle模块如何被用于代码注入攻击，特别是在大模型安全领域的重要性。文章还列举了几个相关的安全漏洞，如CVE-2024-3568、CVE-2023-7018等，并提供了相应的解决方案，包括避免使用pickle、使用安全序列化库、替换模型权重文件类型、验证文件来源以及持续进行安全扫描等。最后，文章提供了一些参考链接，供读者进一步学习和研究。

网络安全漏洞代码注入大模型安全供应链安全 Python安全 Hacking攻击安全防御安全扫描

0x28 Apache NiFi 漏洞让攻击者可以访问 MongoDB 用户名和密码

邑安全 2025-03-14T11:06:57 邑安科技

Apache NiFi近期被发现存在一个严重安全漏洞（CVE-2025-27017），该漏洞允许具有特定访问权限的攻击者获取MongoDB的用户名和密码。此漏洞影响了Apache NiFi数据处理系统的多个版本，从1.13.0到2.2.0，可能被用于未经授权的数据库访问。漏洞源于NiFi在处理来源事件日志记录时未能妥善处理身份验证凭据，导致MongoDB凭据被无意中包含在数据处理事件中。安全研究员Robert Creese发现了这一漏洞，并已报告给Apache。该漏洞可能导致敏感信息泄露，对受监管行业和组织构成重大安全风险。Apache已发布更新版本2.3.0，该版本修复了此漏洞，并建议用户立即升级以降低风险。对于无法立即升级的组织，建议实施严格的访问控制和安全审计。

Apache NiFi 漏洞 MongoDB 安全漏洞身份认证凭据泄露数据处理系统安全安全审计版本升级建议安全风险分析

0x29 一个基于 Mitmproxy 的 GUI 工具

贝雷帽SEC 2025-03-14T10:53:25 blackguest007

本文介绍了一个名为Mitmproxy GUI的图形化代理工具，该工具用于处理加密流量，旨在帮助渗透测试人员专注于业务逻辑测试，无需手动处理加解密过程。文章中包含了免责声明，指出工具来源于网络，使用时需自行评估安全性，并强调不得用于任何违法活动。文章详细介绍了工具的安装依赖、使用方法，包括解密模式、加密模式和双向模式，并提供了相应的参数设置步骤。此外，文章还提到了如何获取下载链接，并简要介绍了其他网络安全工具和资源。

渗透测试代理工具加密解密网络安全红队工具安全工具

0x2a 新型 SuperBlack 勒索软件利用 Fortinet 身份验证绕过漏洞

赛欧思安全研究实验室 2025-03-14T10:31:40 SOC

本文报道了近期网络安全领域的一系列事件。包括新型勒索软件SuperBlack利用Fortinet身份验证绕过漏洞进行攻击，黑客利用微软Copilot发起高仿钓鱼攻击窃取用户凭据，ExHub平台发现的不安全直接对象引用（IDOR）漏洞可能导致攻击者篡改网站托管配置，Xerox Versalink C7025打印机漏洞可导致攻击者捕获身份验证数据，瞻博网络Session Smart Router的关键漏洞已修复，DCRat恶意软件通过YouTube传播攻击用户，Facebook披露的FreeType 2漏洞可导致任意代码执行，黑客利用假视频通话实施社工攻击，Tenda AC7路由器漏洞允许黑客获取Root访问权限等。这些事件提醒网络安全人员需加强防御措施，以应对不断变化的威胁环境。

勒索软件身份验证绕过钓鱼攻击漏洞利用恶意软件任意代码执行社工攻击路由器漏洞企业安全网络攻击

0x2b Apache Tomcat远程代码执行（CVE-2025-24813）

菜鸟学渗透 2025-03-14T10:14:32 © 菜鸟学渗透

Apache Tomcat远程代码执行，内含脚本（CVE-2025-24813）

Web服务器漏洞远程代码执行 Tomcat Java应用安全漏洞利用文件会话持久化反序列化漏洞版本漏洞安全配置

0x2c 实战案例！记一次攻防演练突破

实战安全研究 2025-03-14T10:00:53 on1_es

本文详细记录了一次网络安全攻防演练中的实战案例。演练中，攻击者针对一个老旧的iis+asp.net+mssql架构的网站进行了信息收集，发现了SQL注入漏洞。通过时间类型注入成功获取了主机盘符，并利用火绒查杀软件的特性，编写了畸形的一句话木马来绕过查杀。接着，攻击者通过xp_cmdshell执行了命令，并利用socks5代理上线了CS木马。在内部网络渗透过程中，攻击者上传了免杀马并使用xp_cmdshell执行了CS木马，收集了主机信息并尝试提权。在提权过程中，攻击者尝试了多种方法，包括绕过火绒查杀软件和利用RPC管道创建失败的情况。最终，攻击者成功提权，并获取了内网Vcenter文件，完成了数据泄露。文章还涉及了多个系统和数据库的漏洞利用，以及内网横向移动和权限维持的技术细节。

SQL注入信息收集 Web服务器安全渗透测试内网渗透提权攻击恶意软件利用安全工具漏洞利用

0x2d 实战案例！记一次攻防演练突破

黑白之道 2025-03-14T09:58:25

本文详细记录了一次网络安全攻防演练的实战案例。演练中，攻击者通过信息收集发现了一处老旧的iis+asp.net+mssql架构网站，并利用其中的SQL注入漏洞成功获取了系统权限。随后，攻击者通过xp_cmdshell调用、畸形webshell等方式实现了对目标主机的进一步控制。在内网渗透过程中，攻击者利用免杀马、土豆家族工具等手段绕过了防火墙和杀毒软件，成功获取了更高的系统权限。文章还介绍了攻击者在内网横向移动、权限维持以及提权过程中使用的技术和工具，包括bypass查杀、流量代理、RDP横向移动等。最终，攻击者通过多种手段获取了目标主机的大量敏感数据。文章最后提醒读者，上述技术和工具仅供安全学习交流，禁止用于非法目的。

SQL注入 Web服务器漏洞内网渗透免杀技术提权攻击横向移动密码攻击远程访问数据泄露安全工具使用

0x2e ZZCMS index.php SQL注入漏洞(CVE-2025-0565)

nday POC 2025-03-14T09:57:18 Superhero

本文分析了ZZCMS index.php SQL注入漏洞（CVE-2025-0565），指出该漏洞存在于ZZCMS内容管理系统的index.php接口，攻击者可以通过该漏洞获取数据库信息，如管理员密码和用户个人信息，甚至在高权限情况下向服务器写入木马，获取服务器系统权限。文章提供了漏洞概述、复现步骤、自查工具以及修复建议，包括关闭互联网暴露面、升级至安全版本等。同时，文章也提醒读者，使用POC信息及脚本造成的后果由使用者本人负责。此外，还介绍了内部圈子，分享网上公布的POC详情及检测脚本，并强调了POC脚本的测试和使用方法。

SQL注入漏洞 CVE-2025-0565 内容管理系统（CMS）安全漏洞漏洞复现安全修复网络安全工具漏洞利用 SEO优化

0x2f WebKit零日漏洞被利用开展“极其复杂”定向攻击，苹果紧急修复

汇能云安全 2025-03-14T09:55:59

近期信息安全领域发生了一系列重要事件。新型勒索软件Ebyte针对Windows系统发起攻击，采用先进的加密策略和钓鱼邮件传播，对安全专家构成挑战。MirrorFace组织利用Windows内置功能进行APT攻击，通过定制版开源RAT在Windows Sandbox内运行。WebKit跨平台网络浏览器引擎中的零日漏洞被利用进行定向攻击，苹果紧急修复。NVIDIA Riva语音AI平台曝高危漏洞，攻击者可提升权限。Sysdig报告显示机器身份数量激增，风险增加7.5倍。黑客利用高级技术绕过多因素认证（MFA）保护，攻击者可未经授权访问受保护的账户。PHP XXE注入漏洞可能让攻击者读取敏感配置文件和私钥。施乐打印机漏洞可致攻击者从PDA和SMB捕获身份验证数据。美国政府称2024年美国人因欺诈损失创纪录的125亿美元。

勒索软件钓鱼攻击 Windows漏洞 APT攻击零日漏洞安全更新 RAT恶意软件权限提升云安全 MFA绕过 XXE注入打印机漏洞欺诈损失

0x30 GitLab修复了CE和EE版本中的关键身份验证绕过漏洞

黑猫安全 2025-03-14T09:33:59 鹏鹏同学

GitLab近期发布了安全更新，修复了社区版（CE）和企业版（EE）中的九个漏洞，其中包括两个关键的身份验证绕过问题，编号分别为CVE-2025-25291和CVE-2025-25292。这两个漏洞涉及ruby-saml库，可能允许攻击者冒充SAML IdP内的其他有效用户进行身份验证，甚至以任何用户身份登录，从而导致数据泄露和权限提升。GitLab CE/EE版本17.7.7、17.8.5和17.9.2已修复这些问题，GitLab.com也已完成修补。GitLab Dedicated客户会自动接收更新，而自托管用户需要手动应用更新。GitHub虽然未使用ruby-saml进行身份验证，但也开始评估该库的使用，并已通知GitLab安全团队以减轻潜在攻击。GitLab建议所有受影响的用户尽快升级到最新版本，并采取额外的安全措施，如启用双因素身份验证和禁用SAML双因素绕过。

身份验证漏洞 SAML身份验证 GitLab安全更新开源库漏洞账户接管攻击漏洞修复和更新双因素身份验证

0x31 与朝鲜有关的APT组织ScarCruft被发现使用新型Android间谍软件KoSpy

黑猫安全 2025-03-14T09:33:59 鹏鹏同学

与朝鲜有关的APT组织ScarCruft近期被发现使用一款名为KoSpy的新型Android间谍软件，该软件针对韩语和英语用户。ScarCruft组织自2012年以来活跃，曾利用Adobe Flash Player漏洞攻击韩国用户。KoSpy通过伪装成实用程序应用如文件管理器和软件更新工具等来感染设备，并利用Google Play商店和Firebase Firestore分发。该间谍软件具备收集短信、通话、位置等数据的能力，并通过插件形式伪装成多个应用。KoSpy的C2通信使用加密技术，与APT37和APT43组织的基础设施有关联，表明其可能是针对韩国用户的更广泛网络间谍活动的一部分。

APT攻击 Android恶意软件间谍软件零日漏洞移动安全网络监控恶意软件分发朝鲜黑客组织基础设施共享

0x32 专家警告称，利用SSRF漏洞的攻击尝试正出现协同激增

黑猫安全 2025-03-14T09:33:59 鹏鹏同学

近期，网络安全公司GreyNoise发现服务器端请求伪造（SSRF）攻击尝试出现协同激增。这起攻击可能始于Grafana路径遍历漏洞的利用尝试，攻击者可能将其作为攻击的初始入口。专家分析认为，这些攻击尝试是协同攻击的结果，攻击者首先扫描暴露的基础设施，然后加大攻击力度。攻击目标主要集中在多个国家和地区，如美国、德国、新加坡等。攻击者利用SSRF漏洞进行转向、侦察和云利用。GreyNoise观察到约400个独特的IP地址积极针对10个SSRF漏洞，其中许多IP地址试图同时利用多个漏洞。专家建议组织及时修补受影响的系统，采取缓解措施，并监控可疑的出站请求，以应对这种自动化或预入侵侦察的攻击模式。

漏洞利用威胁情报协同攻击目标攻击自动化攻击网络监控安全建议

0x33 逆向思维实现家庭WinNAS安全外网访问：CDN去端口+HTTPS加密方案与那些被忽视的隐患

内存泄漏 2025-03-14T09:23:38

本文详细介绍了在家庭网络环境变化后，如何重新设计远程访问家庭NAS的方案。由于家宽网络带宽降低和动态公网IPv4的丢失，原有的远程访问方案不再适用。文章提出了一个新的解决方案，包括使用HTTPS加密和CDN去端口技术，以解决动态公网IP不稳定、运营商封锁80/443端口及HTTP明文传输的安全隐患。方案中涉及关键技术组件，如CDN服务（如Cloudflare）、反向代理服务器（如Lucky）以及动态域名解析等。文章还提供了实战部署步骤，包括基础网络架构搭建、CDN层安全改造、攻击面收缩策略等。此外，还讨论了IP白名单强化、协议安全加固、HSTS配置等技术细节，以及如何应对流量伪装和扫描器威胁。

家庭网络安全远程访问安全 CDN应用 HTTPS加密端口转发动态DNS（DDNS）防火墙配置 SSL证书管理网络穿透技术安全配置建议

0x34 工具集：Fiora【漏洞PoC框架图形版的Nuclei】

风铃Sec 2025-03-14T08:42:56 wolven

本文介绍了Fiora，一款基于漏洞PoC框架Nuclei的图形化界面工具。Fiora提供了便捷的搜索和一键运行PoC的功能，用户既可以将其作为独立程序运行，也可以作为Burp Suite的插件使用。文章详细说明了如何安装和运行Fiora，包括作为Burp插件安装和独立程序的运行方法。此外，还提供了安装Nuclei的说明，以及如何使用Fiora搜索和生成PoC命令。文章还讨论了Fiora的RobotInput选项及其优缺点，最后提供了Fiora项目的GitHub链接和下载链接。

漏洞利用工具网络安全测试自动化安全测试 Burp Suite插件 Java应用程序开源项目

0x35 18个API渗透测试技巧及工具（2025实战手册）

HACK之道 2025-03-14T08:40:17 © 牛叫瘦

API Security Penetration Testing Web Security OWASP Security Tools Cloud Security Microservices Best Practices

0x36 使用S/MIME端到端加密以保护电子邮件

墨雪飘影 2025-03-14T08:35:47 © 墨雪飘影

本文介绍了使用S/MIME端到端加密技术来保护电子邮件的方法。由于SMTP协议是明文传输，电子邮件在传输过程中存在被截取的风险。为了解决这个问题，文章首先提到了TLS加密，但指出其并不能完全防止邮件泄密。接着，文章介绍了两种常用的电子邮件加密方式：OpenPGP和S/MIME。本文重点介绍了S/MIME的使用方法，包括如何申请免费的S/MIME证书、如何将证书导入邮件客户端（如Thunderbird）以及如何使用S/MIME进行邮件加密和签名。文章还提到了S/MIME的一个缺点，即邮件主题无法加密，以及如何使用OpenPGP进行端到端加密。

电子邮件安全端到端加密 S/MIME OpenPGP 证书管理网络安全工具邮件客户端加密协议

0x37 【漏洞挖掘案例】18w身份证泄露！某211高校信息泄露导致的RCE，影响全校用户！

富贵安全 2025-03-14T08:31:12

本文详细描述了一起高校信息泄露导致的RCE漏洞挖掘案例。攻击者通过点击操作手册文档，发现了学生信息的泄露，并成功利用这些信息登录系统。随后，攻击者发现并利用了垂直和水平越权漏洞，获取了管理员权限。在进一步测试中，攻击者发现了一个可以编辑SQL语句的功能，并最终成功执行了SQL命令，实现了远程代码执行（RCE）。攻击者通过这一漏洞获取了数据库访问权限，并尝试了DNSLOG外带数据库名，最终在VPS上获得了命令回显。整个过程中，攻击者详细记录了漏洞利用的步骤和技巧，包括参数修改、接口调用和SQL注入等，为网络安全研究者提供了宝贵的案例参考。

漏洞挖掘信息泄露 SQL注入垂直越权水平越权 RCE（远程代码执行）逆向工程权限提升网络安全意识

0x38 vulnhub靶场之fristileaks靶机

泷羽sec-何生安全 2025-03-14T08:30:51 ©

本文详细记录了网络安全学习者对fristileaks靶机的渗透测试过程。测试环境包括VirtualBox和VMware虚拟机，使用Kali Linux作为攻击机。文章首先介绍了主机发现和端口扫描的步骤，使用arp-scan和nmap工具进行信息收集。接着，通过访问网站端口，使用whatweb和wappalyzer等工具识别网站配置，并利用gobuster进行目录爆破。在图像处理方面，文章尝试从图片中提取隐藏信息，并使用binwalk和steghide进行隐写分析。随后，文章重点介绍了文件上传漏洞的利用，通过绕过Apache解析漏洞上传PHP脚本，实现命令执行和反弹shell。文章还涉及了靶机内信息收集，包括系统版本、内核版本和用户权限测试。最后，通过分析历史命令和利用SUID权限文件，成功提权至root用户，并最终获取到flag。整个渗透测试过程展示了网络安全学习的多个方面，包括信息收集、漏洞利用和提权等。

靶场安全测试网络安全渗透信息收集漏洞利用命令执行提权攻击隐写术网络扫描工具 Web安全系统信息收集

0x39 记一次攻防演练突破

安全洞察知识图谱 2025-03-14T08:30:47 on1_es

本文记录了一次网络安全攻防演练的过程。演练中，攻击者通过外网信息收集发现了老旧站点的SQL注入漏洞，并利用该漏洞获取了系统权限。随后，攻击者通过上传免杀马、执行命令、提权等方式在内网中进行渗透，最终获取了目标主机的系统权限。文章详细描述了攻击者如何利用SQL注入漏洞、火绒杀软的绕过技巧、免杀马的制作、提权方法以及内网横向移动等步骤。此外，文章还提到了针对不同操作系统和数据库的提权技巧，以及如何获取和利用敏感信息。整篇文章展示了网络安全攻防演练的复杂性和技巧性，对于网络安全学习和实践具有一定的参考价值。

网络安全攻防 SQL注入内网渗透提权攻击免杀技术信息收集横向移动密码学攻击漏洞利用实战案例分析

0x3a .NET 一种尚未公开绕过 SQL 全局防注入拦截的方法

dotNet安全矩阵 2025-03-14T08:23:54 © 专攻.NET安全的

本文揭示了.NET环境中一种尚未公开的SQL注入绕过技巧，该技巧可能在常见的安全审计工具和防御策略下成功触发注入漏洞。文章指出，尽管许多.NET应用通过全局配置文件在请求开始时检查QueryString和Form数据以防止SQL注入，但攻击者可能通过Cookies和HTTP Headers绕过这些防御。文章详细分析了这种绕过技巧的原理和实现方式，强调了在.NET环境下提升安全意识和防御能力的重要性，并建议开发者和安全研究人员在代码审计或攻防对抗中识别和防范此类SQL注入绕过手法。

SQL注入攻击安全漏洞代码审计防御策略 .NET安全实战案例安全意识

0x3b 深度剖析：苹果WebKit零日漏洞（CVE-2025-24201）如何被用于复杂攻击

技术修道场 2025-03-14T08:04:14 © Hankzheng

苹果公司近期发布了针对WebKit浏览器引擎的紧急安全更新，修复了一个编号为CVE-2025-24201的零日漏洞。这个漏洞被指已经被用于针对特定个体的复杂攻击，尽管苹果没有详细公开攻击细节。WebKit是苹果Safari浏览器以及macOS、iOS系统上许多应用的核心组件，负责解析网页内容。CVE-2025-24201是一个越界写入漏洞，攻击者可以利用它覆盖关键数据或代码，导致程序崩溃或执行任意代码。文章分析了攻击者可能利用此漏洞的攻击链，包括通过钓鱼邮件或水坑攻击诱导用户访问恶意网页，利用WebKit漏洞触发越界写入，实现沙箱逃逸，并可能进一步利用系统内核漏洞提升权限。受影响的设备包括iPhone XS及后续机型、多款iPad型号以及运行macOS Monterey及更新版本的Mac。苹果建议所有受影响用户立即安装最新安全更新，并保持良好的上网习惯以降低风险。

零日漏洞 WebKit 越界写入沙箱逃逸复杂攻击恶意软件安全更新浏览器安全移动安全操作系统安全

0x3c 漏洞预警 | Apache Tomcat远程代码执行漏洞

浅安安全 2025-03-14T08:01:36 浅安

Apache Tomcat，一个广泛使用的开源Web服务器和Java Servlet容器，近日被发现存在一个高危漏洞（CVE-2025-24813）。该漏洞允许攻击者在特定条件下通过上传文件访问敏感内容，进而可能导致远程代码执行、信息泄露或数据篡改等严重安全问题。受影响的版本包括Apache Tomcat 11.0.0-M1至11.0.2，10.1.0-M1至10.1.3，以及9.0.0-M1至9.0.9。目前，Apache官方已发布修复版本，建议用户尽快升级至安全版本以避免潜在的安全风险。

远程代码执行 Apache Tomcat Web服务器漏洞 Java Servlet容器高危漏洞漏洞修复 CVE编号影响版本

0x3d 漏洞预警 | Apache Ofbiz模板引擎注入漏洞

浅安安全 2025-03-14T08:01:36 浅安

Apache OFBiz模板引擎注入漏洞（CVE-2025-26865）是一个高危漏洞，该漏洞可能被攻击者利用来执行任意命令。Apache OFBiz是一款基于Java的Web应用程序组件和工具的企业资源计划系统。此漏洞影响版本在18.12.17到18.12.18之间的Apache OFBiz。目前官方已发布修复版本，建议用户升级到最新安全版本以避免安全风险。尽管漏洞的POC尚未公开，但鉴于其高危等级，所有使用受影响版本的Apache OFBiz的用户应尽快采取行动。

漏洞预警 Apache Ofbiz 模板引擎注入高危漏洞 Java 企业资源计划系统代码执行软件升级

0x3e 提升日志系统范化效率的实践探索

威努特安全网络 2025-03-14T07:59:25 © 王福志

本文深入探讨了网络安全领域中日志范化的重要性及其在日志审计与分析系统中的应用。随着信息技术的发展，安全设备的日志数据量激增，对网络安全监控和威胁检测至关重要。文章首先阐述了我国在日志审计系统建设方面的法规和标准，接着分析了日志格式不统一导致的“信息孤岛”问题。为了解决这一问题，文章介绍了日志范化的概念、流程和步骤，包括提取、赋值、映射、补全和完成等五步。接着，文章探讨了提升日志范化效率的方法，如缓存策略、特征值匹配、动态排序、优先级基线和倒排索引等。此外，还介绍了黑名单机制以优化无法解析日志的处理流程。最后，文章总结了日志范化对日志审计与分析系统性能的重要性，并展望了未来在执行规则方面的进一步探索。

网络安全监控日志分析威胁检测事件响应合规性审计日志格式标准化信息孤岛非结构化/半结构化数据数据结构化性能优化

0x3f u200b【漏洞处置SOP】Apache Tomcat远程代码执行漏洞（CVE-2025-24813）处置建议

方桥安全漏洞防治中心 2025-03-14T07:58:46 © 安全漏洞防治中心

本文针对Apache Tomcat远程代码执行漏洞（CVE-2025-24813）进行了详细分析。该漏洞于2025年3月10日由Apache Tomcat官方披露，CVSS v3 Base score评分为5.5，综合风险为中危。漏洞存在于部分PUT请求的实现中，如果满足特定条件，恶意用户可能查看或注入内容到安全敏感文件，甚至执行远程代码。文章建议紧急排查并处置该漏洞，提供了升级到安全版本的标准作业程序（SOP），已将SOP转换为PDF格式方便下载和使用。

Apache Tomcat 漏洞远程代码执行 CVE编号安全漏洞处置软件升级安全风险评估安全操作手册

0x40 某企业壳frida检测另辟蹊径的绕过

进击的HACK 2025-03-14T07:55:18 © 进击的hack

本文探讨了针对某企业版软件中Frida检测的绕过方法。由于该企业版软件最新版对Frida检测进行了加强，特别是针对pthread_create函数的hook检测，作者提出了两种绕过方法。第一种是通过inlinehook技术直接修改检测点，第二种则是利用pthread_create函数调用的底层C函数clone进行hook，从而绕过Frida的检测。文章还强调了在遇到函数hook特征检测时，可以通过寻找函数生命周期中调用的其他函数来绕过检测，并指出增加校验是一种简单的修复方法。最后，文章推荐了一些相关的安全工具和资源，如JavaSecLab、SMS_Bomb_Fuzzer、雷电模拟器等，为网络安全学习者和开发者提供参考。

Frida框架 Hook技术企业安全壳漏洞检测逆向工程技术分析安全研究

0x41 『代码审计』某OA系统.NET代码审计

进击的HACK 2025-03-14T07:55:18

本文记录了对某OA系统.NET源码的审计过程，包括发现并分析文件上传漏洞、SQL注入漏洞和未授权访问漏洞。作者详细描述了审计步骤，如通过ILSpy分析文件上传逻辑，发现未对文件后缀名进行校验的漏洞；通过检查.cs文件和ILSpy工具，揭示了SQL注入的风险点；此外，还通过Burp Suite发现了未授权访问漏洞。作者总结了审计经验，并对ASP.NET项目有了更深入的了解。文章强调研究仅限于安全讨论，并介绍了宸极实验室及其在网络安全对抗技术方面的研究和成果。

代码审计 ASP.NET 文件上传漏洞 SQL注入未授权访问网络安全漏洞分析安全研究

0x42 Venomous Bear APT 攻击模拟

安全狗的自我修养 2025-03-14T07:18:37 hai dragon

本文详细分析了Venomous Bear APT组织针对美国、德国和阿富汗的攻击模拟。该攻击活动始于2020年，攻击者通过在受感染机器上安装后门作为服务来隐藏其活动。后门被命名为“Windows 时间服务”，以模仿现有Windows服务。后门具备上传和执行文件、窃取文件的功能，并通过HTTPS加密通道与C2服务器通信。攻击者使用类似于Microsoft Windows时间服务的.BAT文件来安装后门，并以w64time.dll的形式出现，使其看起来像有效的Microsoft DLL。文章描述了攻击链的三个阶段：第一阶段使用.BAT文件安装后门并设置注册表配置；第二阶段是DLL后门的主要逻辑和功能；第三阶段是一个后门监听器脚本，用于接收来自后门的传入连接。文章还提到了Cisco Talos Intelligence Group在分析此攻击中的发现。

APT攻击后门软件 Windows系统安全命令与控制（C2）恶意软件分析网络监控注册表操作 DLL注入

0x43 APIKit：扫描API文档泄露的burp插件

信安路漫漫 2025-03-14T07:00:26 © 信安路漫漫

APIKit是一款基于BurpSuite的Java API插件，专门用于扫描和发现应用中泄露的API文档。该插件能够主动或被动地检测API文档的泄露，并将解析后的API文档导入到BurpSuite中进行安全测试。APIKit支持多种API技术的指纹识别，包括GraphQLOpenAPI、Swagger、SpringbootActuator、SOAP-WSDL和REST-WADL。插件的主要功能是扫描API文档的泄露情况，并根据API文档自动生成链接。用户可以从GitHub下载APIKit的jar包，并在BurpSuite的Extender中安装。安装完成后，所有经过的流量都会自动进行扫描。界面分为三个部分，用户可以选择是否启用自动化请求发送和发送请求时附带Cookie的功能。需要注意的是，自动化请求发送可能会对业务造成影响，因此在实际测试时应谨慎使用。

网络安全工具 API安全漏洞检测 Burp Suite插件 Java开发自动化测试

0x44 Apache Tomcat 反序列化代码执行 | CVE-2025-24813

南街老友 2025-03-14T01:22:06 ©

本文详细分析了Apache Tomcat的一个高危漏洞CVE-2025-24813。该漏洞允许攻击者在满足特定条件下，通过文件会话持久化和反序列化漏洞执行代码。漏洞利用需要启用DefaultServlet的写入功能、支持partial PUT请求处理，以及应用依赖于存在反序列化漏洞的第三方库。漏洞影响范围涵盖了多个Tomcat版本。文章提供了漏洞原理的详细解释，包括如何通过Content-Range头处理不完整PUT请求，以及如何触发漏洞执行恶意代码。此外，还提供了漏洞环境搭建的步骤、复现过程和修复建议，包括下载Tomcat环境包、配置文件、下载依赖库和生成Payload。

Web服务器安全反序列化漏洞代码执行漏洞分析 Tomcat 文件上传漏洞配置漏洞漏洞复现安全修复

0x45 【漏洞挖掘案例】18w身份证泄露！某211高校信息泄露导致的RCE，影响全校用户！

The One安全 2025-03-14T00:07:14 © byname

本文详细记录了一起高校信息泄露导致的RCE漏洞挖掘案例。攻击者通过点击“操作手册”文档，发现了学生信息泄露，并成功登录系统。随后，攻击者通过修改角色ID越权访问管理员界面，发现大量学生申请的敏感信息文件。在逆向工程中，攻击者尝试了水平越权，但发现参数为UUID而非学号。攻击者进一步发现并利用了超级管理员权限，获取了18万学生的身份证号码。最终，攻击者通过编辑SQL语句，成功执行了SQL命令，实现了远程代码执行（RCE），并在VPS上获得了命令回显。案例中涉及了多种攻击手段，包括SQL注入、垂直和水平越权、逆向工程等，展示了网络安全中常见的漏洞和攻击方式。

漏洞挖掘信息泄露高校网络安全 RCE漏洞 SQL注入攻击越权访问 JS逆向 Web应用安全权限提升数据泄露防范

0x46 JsRpc联动burp实现自动加解密（详细版）

船山信安 2025-03-14T00:01:02

本文详细介绍了如何使用JsRpc联动burp实现自动加解密的过程。文章首先介绍了JsRpc的基本使用方法，包括如何将函数提升到全局作用域、注入jsrpc中的js文件以及注册函数。接着，文章通过一个示例展示了如何使用JsRpc进行加密和解密操作。为了实现burp的联动，文章使用了mitmproxy编写脚本，通过脚本在burp中实现了自动加解密的功能。文章还提供了具体的脚本代码，并说明了如何设置burp的上游代理以运行脚本。最后，文章指出，即使burp中的请求头没有变化，实际上的加解密处理已经在脚本中完成，从而简化了操作流程。

网络安全工具脚本编写加密技术中间人攻击漏洞利用自动化测试代码审计

0x47 为渗透测试而生的ssh面板|漏洞探测

渗透安全HackTwo 2025-03-14T00:00:43 脚本小子

本文介绍了一款专为渗透测试设计的SSH面板——GhostEye。该工具旨在解决传统SSH工具在网络延迟、连接稳定性、会话恢复和反弹Shell流程等方面的问题。GhostEye具有一键监听、命令同步、编码转换、持久会话、无惧网络波动等特点，并提供命令模板库以方便用户保存和管理常用命令。文章详细介绍了GhostEye的功能、使用方法、安装步骤以及如何通过rlwrap增强Shell体验。此外，还简要介绍了内部VIP星球福利，包括学习资源、漏洞库和会员账号共享等。最后，文章强调了使用该工具或文章时应遵守的法律和道德规范。

网络安全工具渗透测试 SSH安全反弹Shell 命令行工具红队工具网络延迟处理会话管理命令模板库

0x48 工具|Burp插件-短信轰炸 Bypass

湘安无事 2025-03-13T23:36:16

本文介绍了昱子师傅开发的一款Burp Suite插件——短信轰炸 Bypass。该插件适用于短信轰炸漏洞检测，提供自动化Fuzz测试功能。插件支持多种绕过手段，包括参数污染、参数复用、填充垃圾字符、特殊字符、号码区号、接口遍历和组合测试等。插件支持JSON格式，允许自定义测试号码，并支持GET、POST、JSON、Cookie请求中的参数测试。用户可以通过简单的步骤将插件导入Burp Suite，并通过特定的操作发送测试数据包进行测试。昱子师傅，一位大厂安全研究员，经常编写和魔改脚本工具，研究红蓝对抗，欢迎用户在GitHub上提出反馈和开发意见。

网络安全工具漏洞检测自动化测试 Burp Suite插件红蓝对抗安全研究员代码开发开源项目参数测试

0x49 记一次双向认证绕过

湘安无事 2025-03-13T23:36:16 © 湘南第一深情

本文记录了一次针对金融App的双向认证绕过过程。作者在测试过程中发现App使用了双向认证，通过抓包发现无法抓取返回包，推测是服务端对客户端证书进行了校验。作者通过分析安装包中的证书文件，发现多个证书使用弱密码，并通过逆向工程定位到证书加载的入口。在尝试通过Hook获取密码的过程中，作者发现密码被SM4算法加密，最终通过Frida工具成功获取了密码并绕过了双向认证。文章详细描述了从抓包分析、寻找证书、逆向定位到密码获取的整个过程，并提供了相关的代码示例和工具使用方法。

网络安全测试双向认证证书破解逆向工程抓包分析 Android安全密码学漏洞挖掘

0x4a Wazuh4.7部署

安全孺子牛 2025-03-13T22:45:02 ©

本文详细介绍了Wazuh 4.7版本的部署过程。文章首先概述了部署所需的硬件和操作系统要求，包括对CPU、内存和磁盘空间的具体要求，以及推荐的操作系统版本。接着，提供了不同操作系统版本的下载地址。文章接着描述了测试环境所需的资源，包括Wazuh服务器、代理和攻击测试机的配置。部署过程分为快速安装和基础配置两个阶段。快速安装阶段涉及时间配置、NTP设置、安装Wazuh安装助手、配置仓库地址、更新软件包列表以及运行安装脚本。基础配置阶段包括添加组管理、配置服务、编辑配置文件以及设置日志收集、邮件发送、策略监控、系统收集和漏洞检测等功能。最后，文章强调了配置完成后重启服务的重要性，并鼓励读者以学习为帆，以成长为岸，成为信息安全的坚守者。

网络安全监控安全配置管理操作系统安全安全审计与合规安全工具使用数据安全漏洞管理

0x4b tomcat-CVE-2025-24813批量检测脚本

爱坤sec 2025-03-13T21:56:01 爱坤

本文介绍了一个用于检测Apache Tomcat CVE-2025-24813远程代码执行漏洞的批量检测脚本。脚本的使用需遵守免责声明，仅限于网络安全研究与教育目的。脚本利用条件较为苛刻，针对存在漏洞的环境进行概念性验证。文章提供了详细的复现步骤链接，并说明了使用方法，包括支持多线程的批量检测和单个检测。同时，文章提到了获取该工具的方法，并鼓励读者关注更多相关文章和工具分享。

漏洞利用 Tomcat漏洞脚本工具网络安全研究批量检测免责声明

0x4c Hacking a VW Golf EPS - Part 1

安全脉脉 2025-03-13T21:53:23 © Willem Melching

本文记录了作者对2010年大众高尔夫MK6电子动力转向（EPS）ECU固件的修改经历。文章介绍了项目背景，即车辆EPS的限制措施可能对安全造成影响，因此作者计划修改固件。文章详细描述了获取ECU零件编号、购买二手ECU、连接ECU与计算机进行诊断通信的过程。作者在连接过程中遇到了一些挑战，包括难以识别CPU类型和连接调试器。文章还探讨了ECU的内部结构，并提出了可能的CPU类型和调试方法。最后，文章介绍了使用Volkswagen Transport Protocol 2.0 (TP 2.0)建立通信的过程，并总结了第一部分工作的成果和下一步计划。

Car Hacking Reverse Engineering ECU Firmware Modification Security Research CAN Bus Security Open Source Automotive Security

0x4d Rust后门样本加载与传播方式演变过程分析

火绒安全 2025-03-13T20:26:05 © 火绒安全

本文分析了Rust语言在恶意软件中的应用及其传播方式。随着Rust在系统编程领域的广泛应用，基于Rust的恶意软件样本数量显著增长。Rust的特性，如直接访问硬件、内存安全特性、跨平台兼容性和高性能，使得恶意软件更难被检测和防御。文章详细探讨了Rust在恶意软件中的应用场景，包括Shellcode、Cobalt Strike、Rootkit等，并分析了最新捕获的Rust样本。这些样本通过MSI安装包、EXE可执行文件等方式传播，具有高隐蔽性和复杂性。文章还介绍了火绒安全软件在检测和查杀这些恶意样本方面的能力，并强调了用户及时更新安全软件的重要性。

Rust语言安全恶意软件分析内存安全跨平台攻击后门程序反编译难度 Shellcode Rootkit 威胁情报安全防护

0x4e VBS/SMEP 绕过，消灭 Windows 内核缓解措施

securitainment 2025-03-13T20:25:30 wetw0rk

本文深入探讨了Windows内核的漏洞利用和缓解措施绕过技术，主要针对Windows 10和Windows 11（x64）系统。文章首先回顾了Windows内核漏洞利用的基础知识，然后详细介绍了如何绕过SMEP（Supervisor Mode Execution Prevention）和VBS（Virtualization-Based Security）等最新漏洞缓解措施。作者通过实例代码展示了如何使用ROP（Return-Oriented Programming）技术来绕过这些保护机制，并介绍了如何通过修改页表项来动态地绕过VBS。此外，文章还提供了一个名为Violet Phosphorus的概念验证ROP链，该链是一种通用的SMEP/VBS绕过技术。文章强调了理解源代码和汇编语言的重要性，以及如何利用这些知识来开发有效的攻击方法。

Windows Kernel Security ROP Exploitation Memory Protection Kernel Base Address Exploit Development Reverse Engineering Security Mitigation Bypass HEVD (HackSys Extreme Vulnerable Driver) Driver Development

0x4f Docker逃逸方式总结分享

网安探索员 2025-03-13T20:00:48 网安探索员

本文深入探讨了在网络安全渗透测试中，如何识别和逃逸Docker容器环境。文章首先介绍了如何判断一个系统是否运行在Docker容器中，包括检查特定的环境变量、文件系统特征以及系统挂载点。接着，详细阐述了多种逃逸Docker容器的技术，包括利用特权模式、未授权的Docker API、Docker Socket、procfs挂载、cgroup配置错误以及SYS_PTRACE进程注入等。文章通过具体的实例和命令演示了每种逃逸方法的实现过程，并提供了详细的操作步骤和注意事项，如正确设置定时任务、配置SSH公钥等。最后，文章介绍了CDK工具的使用，这是一个专为容器环境设计的渗透测试工具，可以简化信息收集、逃逸和横向移动等操作。

Docker Security Container Escalation Privilege Escalation Exploitation Techniques Penetration Testing Linux Security Cron Job Exploitation API Vulnerability Socket Exploitation Process Injection

0x50 渗透测试加解密 - mitmproxy-gui

GSDK安全团队 2025-03-13T19:30:50

本文介绍了名为mitmproxy-gui的基于Mitmproxy的GUI工具，该工具旨在解决渗透测试中的加解密难题。工具支持多种加密算法，包括RSA、DES、AES，并提供图形化界面，使得请求拦截和修改变得简单直观。mitmproxy-gui支持三种工作模式：加密模式、解密模式和双向模式，并能处理JSON和表单数据。此外，它还具备实时显示请求详情和日志的功能，以及支持多字段同时加解密和自定义上游代理。需要注意的是，该工具仅供安全研究与学习使用，使用者需自行承担法律及连带责任。项目源代码可在GitHub上找到。

渗透测试 Mitmproxy 加密算法 GUI工具代理服务器安全研究网络安全

0x51 Apache Tomcat远程代码执行漏洞(CVE-2025-24813)

安全技术达人 2025-03-13T19:09:02 ©

本文详细介绍了Apache Tomcat远程代码执行漏洞（CVE-2025-24813）的相关信息。该漏洞存在于9.0.0.M1至11.0.204版本的Tomcat中，攻击者需要满足四个条件才能利用此漏洞。这些条件包括应用程序启用DefaultServlet写入功能、支持partial PUT请求、使用Tomcat的文件会话持久化以及包含存在反序列化漏洞的库。文章提供了漏洞复现的详细步骤，包括环境准备、依赖文件安装和配置修改等。此外，还提到了漏洞可能对应用程序造成的影响以及防范措施。

漏洞分析 Web服务器安全 Java安全代码执行漏洞反序列化漏洞安全配置漏洞复现

0x52 【安全圈】PHP XXE 注入漏洞让攻击者读取配置文件和私钥

安全圈 2025-03-13T19:00:26

安全研究人员发现PHP应用程序存在一个XML外部实体（XXE）注入漏洞，该漏洞可能允许攻击者访问敏感配置文件和私钥。漏洞由研究员Aleksandr Zhurnakov发现，影响使用libxml标志的PHP应用程序。即使采取了标准安全措施，也可能暴露关键服务器端信息。攻击者能够绕过旨在防止XXE攻击的多种安全机制，包括LIBXML_NONET标志。PT Swarm分析师发现，攻击链涉及复杂的绕过，对身份提供者和身份验证系统具有破坏性。漏洞利用涉及利用PHP的libxml扩展处理XML参数实体的方式，攻击者可以通过特殊的DOCTYPE声明和参数实体滥用来读取本地文件。该漏洞已在SimpleSAMLphp（CVE-2024-52596）中发现，允许未经授权的用户读取配置文件并访问用于签署SAML断言的私钥，从而绕过身份验证机制。安全专家建议立即更新受影响的应用程序并实施适当的XML解析配置，使用PHP 8.4.0中引入的LIBXML_NO_XXE标志明确禁用DTD处理。

PHP安全漏洞 XML外部实体攻击配置文件泄露私钥泄露身份验证绕过安全编码实践安全更新 libxml扩展

0x53 【安全圈】施乐打印机漏洞使攻击者能够从 LDAP 和 SMB 中获取身份验证数据

安全圈 2025-03-13T19:00:26

施乐（Xerox）Versalink C7025 多功能打印机存在两个安全漏洞，CVE-2024-12510 和 CVE-2024-12511，允许攻击者拦截LDAP和SMB服务的身份验证凭据。CVE-2024-12510允许攻击者将LDAP服务器IP地址修改为恶意主机，导致明文凭据泄露。CVE-2024-12511则影响打印机的扫描到网络功能，攻击者可修改SMB/FTP服务器条目，重定向文件扫描到恶意主机。这些漏洞可能导致攻击者访问企业目录、执行中继攻击或入侵域管理员帐户。施乐已发布修补固件，建议用户尽快更新以缓解风险。

打印机漏洞身份验证数据泄露回传攻击企业级安全固件安全横向移动持久化攻击网络分段多因素认证（MFA）

0x54 【漏洞预警】Apache Camel绕过/注入漏洞(CVE-2025-29891)

飓风网络安全 2025-03-13T18:50:37 cexlife

Apache Camel版本从4.10.0到4.10.2、4.8.0到4.8.5、3.10.0到3.22.4存在一个绕过/注入漏洞（CVE-2025-29891）。此漏洞允许攻击者通过包含特定的HTTP标头，改变Camel组件的行为，如camel-bean或camel-exec组件。攻击者可能通过HTTP请求中的参数利用此漏洞，影响所有已知的Camel HTTP组件。官方已发布更新版本，建议受影响的用户升级至最新版本以修复漏洞。该漏洞与CVE-2025-27636相关，但后者仅在攻击者能够添加恶意HTTP标头时才可利用，而CVE-2025-29891也发现了通过HTTP参数利用的可能性。

漏洞预警 Apache Camel CVE-2025-29891 安全漏洞软件升级 HTTP头注入中间件安全版本控制

0x55 Zoom客户端惊现高危漏洞，数百万用户数据或泄露！

看雪学苑 2025-03-13T17:59:47 看雪学苑

近日，Zoom客户端被发现存在多个高危安全漏洞，可能影响数百万用户。这些漏洞包括CVE-2025-27440至CVE-2025-0150，涉及堆缓冲区溢出、缓冲区下溢、释放后使用等安全问题，CVSS评分在7.1到8.5之间。其中，CVE-2025-27440和CVE-2025-27439可能导致权限提升和未授权访问，CVE-2025-0151和CVE-2025-0150则可能引发数据泄露。Zoom已发布补丁，建议用户升级到最新版本以修复漏洞。受影响的软件包括Windows、macOS、Linux、Android和iOS平台上的Zoom客户端。Zoom安全团队建议用户采取一系列措施来降低风险，包括审查日志、限制Zoom流量和考虑使用端到端加密。

Zoom漏洞数据泄露风险缓冲区溢出内存损坏权限提升 DoS攻击安全公告软件补丁移动应用安全端到端加密

0x56 日本政企高危预警，Windows沙盒现零检测隐蔽木马

安全威胁纵横 2025-03-13T16:09:13 © HackerNews

日本警方和网络安全机构近日发布警告，指出APT攻击者利用Windows Sandbox和Visual Studio Code执行恶意活动，使用了改进的LilimRAT木马，该木马针对Windows Sandbox运行环境进行优化，具有极高的隐蔽性。攻击由APT10旗下的“MirrorFace”组织实施，攻击者通过Windows Sandbox的隔离特性在受感染系统上保持持久性，减少攻击痕迹。攻击流程包括在目标系统上放置关键文件、创建Windows Sandbox配置文件、在沙盒中执行恶意软件，并通过Tor网络与命令和控制服务器通信。由于Windows Sandbox默认禁用了Windows Defender，攻击者在无安全威胁的环境中操作，增加了检测难度。安全专家建议禁用Windows Sandbox，监控相关进程，限制管理权限，并实施AppLocker策略以增强企业环境的安全性。

APT攻击 Windows安全漏洞恶意软件分析沙盒技术 Visual Studio Code安全网络匿名通信企业安全策略

0x57 关于防范针对DeepSeek本地化部署实施网络攻击的风险提示

信息新安全 2025-03-13T16:02:05

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）发现针对DeepSeek本地化部署的钓鱼攻击事件。攻击者利用“DeepSeek本地部署”等关键词进行搜索引擎投毒，创建仿冒网站，诱导用户下载假冒的DeepSeek部署工具包，从而传播HackBrian RAT、Gh0st和FatalRAT等恶意木马程序。这些木马程序一旦被安装，攻击者可远程控制用户服务器，窃取敏感信息、破坏系统数据，甚至入侵内部网络。为此，建议用户和单位通过官方渠道下载DeepSeek，加强不明来源软件的识别和防范，谨慎下载未知来源的应用，并更新防病毒软件进行全盘查杀，以消除安全风险。

恶意软件攻击钓鱼攻击大语言模型安全内部网络入侵用户安全意识防病毒软件

0x58 ruby-saml 身份认证绕过漏洞(CVE-2025-25291、CVE-2025-25292)安全风险通告

奇安信 CERT 2025-03-13T15:25:22

本文介绍了由奇安信CERT监测到的ruby-saml身份认证绕过漏洞（CVE-2025-25291、CVE-2025-25292），该漏洞影响GitLab的SAML单点登录功能。漏洞源于ruby-saml使用的两种XML解析器ReXML和Nokogiri在解析XML时存在差异，导致签名验证错误，从而绕过身份认证。漏洞影响版本包括ruby-saml <= 1.12.3和1.13.0 <= ruby-saml < 1.18.0，以及其他相关产品如GitLab CE/EE的某些版本。奇安信建议用户尽快升级到安全版本，并采取包括启用双因素身份认证、禁用SAML的双因素身份认证绕过选项等措施来缓解风险。官方已发布安全更新，并提供了补丁下载地址。

0x59 JAVA代码审计之权限绕过

星悦安全 2025-03-13T13:51:32

用了getRequestURI来接收url，该方法本来就不安全，此处配合startsWith导致权限绕过。以下代码大概意思是：如果请求链接以(/admin开头)且(不为/admin/login开头)

Java代码审计权限绕过 Shiro安全漏洞网络安全漏洞 Web安全靶场环境法律法规遵守

0x5a 告别流量拦截！手把手教你配置哥斯拉动态特征

老鑫安全 2025-03-13T13:40:31 ©

文章详细分析了哥斯拉恶意软件的HTTP请求特征。指出其请求中Host头位于数据包header顺序的后面，这是一个异常特征，有助于防御人员快速识别非正常请求。文章深入探讨了哥斯拉利用HttpURLConnection发送请求的不足，以及如何通过引入okhttp库来解决这个问题。详细描述了使用okhttp发送HTTP请求的方法，包括设置代理、构建请求体、处理header等。此外，文章还介绍了对响应的处理方法，包括处理header和读取数据。最后，讨论了如何修改常规请求方法以适应哥斯拉的行为。

恶意软件分析网络攻击技术安全防御策略编程安全代理服务器 Web安全代码审计开源软件

0x5b 【漏洞复现】(CVE-2025-24813)Apache Tomcat 远程代码执行漏洞复现

Z0安全 2025-03-13T13:29:15 ©

本文详细介绍了Apache Tomcat CVE-2025-24813远程代码执行漏洞的复现过程。文章首先声明了免责条款，提醒读者不要将技术用于非法测试。接着，文章介绍了漏洞的背景信息，包括漏洞触发条件、影响范围以及漏洞原理。漏洞触发条件较为苛刻，包括应用程序启用了DefaultServlet写入功能、支持partial PUT请求、使用Tomcat的文件会话持久化以及存在反序列化漏洞的库。文章还提供了漏洞环境搭建的步骤，包括配置web.xml和context.xml文件，以及添加存在漏洞的库文件。随后，文章通过Yakit工具展示了漏洞复现的过程，并分析了漏洞的原理。最后，文章给出了漏洞的修复建议，包括升级到最新版本和缓解方案，如禁用servlet写入功能并检查应用程序依赖库。

漏洞复现 Apache Tomcat 远程代码执行安全漏洞漏洞利用安全配置 Java安全代码审计

0x5c 某APP加密解密

BH安全 2025-03-13T12:26:35 © Red256

本文详细描述了对某APP的加密解密过程。首先，通过查壳工具发现APP使用了邦邦企业壳，并使用Frida进行逆向HOOK检测。在Frida反调试的情况下，通过hook open函数重定向文件读取，绕过反调试机制。接着，通过抓包分析数据包，使用objection工具搜索相关加密类，最终确定了加密类所在位置。通过hook加密类的handleRequestBody方法，成功获取到明文数据，实现了对APP加密解密机制的分析。文章还涉及了Frida脚本编写和Android Hooking技术的应用。

0x5d 滥用 VBS Enclaves 创建规避恶意软件

Ots安全 2025-03-13T12:14:26

本文深入探讨了基于虚拟化的安全性（VBS）的概念和应用。VBS 通过隔离操作系统关键组件，实现了如 Credential Guard 和 Hypervisor 保护的代码完整性（HVCI）等高级安全功能。文章重点介绍了 VBS 区域，这是一种允许隔离进程特定区域的技术，防止其他进程、进程本身甚至内核访问该区域。VBS 飞地技术在保护敏感数据和防止恶意软件方面具有广泛的应用。文章还探讨了虚拟信任级别（VTL）的概念，它为操作系统引入了额外的安全边界，分为不同的执行模式，包括安全内核模式和隔离用户模式。文章详细分析了安全区恶意软件的概念，包括如何在安全区内执行恶意代码、可用的技术以及如何利用易受攻击的安全区模块。最后，文章讨论了内存规避技术如 Mirage，以及如何检测和防御这些安全漏洞。

虚拟化安全操作系统安全内存安全代码完整性恶意软件分析安全区恶意软件内存规避技术安全策略

0x5e 复现完毕 | Apache Tomcat远程代码执行，内含脚本（CVE-2025-24813）

犀利猪安全 2025-03-13T11:51:38 ©

本文详细介绍了Apache Tomcat远程代码执行漏洞CVE-2025-24813的复现过程。文章首先声明了免责声明，强调了文章内容仅限于授权测试或学习使用，并明确了法律责任。接着，文章描述了该漏洞的背景，包括漏洞的发布日期、影响版本、漏洞描述和利用条件。文章详细说明了漏洞的产生原因、利用条件以及环境配置步骤，包括下载安装包、修改配置文件、下载依赖库等。最后，文章提供了漏洞复现的详细步骤，包括发送数据包、触发反序列化以及执行远程代码的过程。文章还提到了相关资源，如内部文库和群交流信息。

0x5f 如何提高群晖NAS外网访问的连接安全性？

内存泄漏 2025-03-13T11:15:51

本文详细介绍了如何提高群晖NAS外网访问的连接安全性。首先，通过启用自动封锁功能，限制登录尝试失败次数过多的客户端IP地址，以降低暴力攻击的风险。其次，启用账户保护功能，防止不受信任的客户端多次尝试登录，降低暴力破解的风险。接着，介绍如何启用HTTPS证书来保护SSL服务，如网页、电子邮件或FTP，以验证服务器和管理员身份。最后，文章还提到了启用防火墙，通过创建规则和配置设置来防止未经授权的登录和控制服务访问，以及选择允许或拒绝特定IP地址访问网络端口的方法。这些措施共同提高了群晖NAS外网访问的安全性。

NAS安全系统安全配置 DDoS防护 SSL/TLS证书防火墙配置账户保护 IP封锁

0x60 突破后缀限制实现任意文件上传

实战安全研究 2025-03-13T10:42:16 中铁13层打工人

本文详细描述了一位网络安全学习者在审计人力系统时发现的一个上传点漏洞，并尝试将其利用以获取shell。文章首先分析了系统中允许上传zip文件的白名单过滤机制，并探讨了利用zip slip技术进行攻击的可能性。通过分析web.xml文件和相关的servlet代码，发现了一个可控的解压点，并提出了构造恶意压缩包的方法。文章进一步探讨了该漏洞的触发点，通过配置文件和类加载机制，找到了利用漏洞的方法。作者详细描述了构造恶意压缩包、加密和解密过程，以及如何通过特定的请求参数触发漏洞，最终将webshell解压到web目录下。由于环境限制，作者未能完全复现漏洞，但提供了详细的步骤和代码示例，供其他研究者参考。

网络安全漏洞 Web应用安全 Zip Slip攻击 Java后端安全漏洞复现渗透测试代码审计漏洞利用

0x61 Ballista僵尸网络利用未修补的TP-Link漏洞，攻击超6000台设备

邑安全 2025-03-13T10:42:00 邑安科技

本文报道了名为Ballista的新型僵尸网络利用未修补的TP-Link Archer路由器漏洞（CVE-2023-1389）进行攻击的情况。该漏洞允许攻击者通过远程代码执行来控制受影响的设备。Ballista僵尸网络自2025年1月开始活动，使用名为dropbpb.sh的恶意脚本进行传播，并在目标设备上建立加密的C2通道。恶意软件具有多种功能，包括触发洪水攻击、利用漏洞、运行shell命令和终止服务。研究人员发现，该僵尸网络已感染超过6000台设备，主要目标包括巴西、波兰、英国、保加利亚和土耳其。Cato CTRL团队首次在2025年1月10日检测到Ballista的活动，而最近一次攻击尝试发生在2月17日。恶意软件可能与未知的意大利威胁组织有关，且仍在积极开发中。

僵尸网络路由器漏洞远程代码执行恶意软件安全漏洞网络攻击安全事件地域影响恶意软件变种行业影响

0x62 黑客利用高级MFA绕过技术入侵用户账户

邑安全 2025-03-13T10:42:00 邑安科技

近期网络安全研究人员发现，黑客正在利用高级技术绕过多重身份验证（MFA）入侵受保护账户。这些攻击并非直接破解认证因素，而是利用认证流程中的漏洞，即使在启用了MFA的情况下也能未经授权访问账户。攻击者通过利用系统验证MFA完成状态的时序漏洞和实现缺陷，欺骗应用程序误判二次验证已成功。此外，攻击者还可以利用架构漏洞在网络延迟或特定错误条件下注入篡改后的响应。这种攻击隐蔽性强，检测困难，对任何依赖MFA但未持续验证会话状态的系统构成风险。文章还提出了防御建议，包括实施持续验证机制、使用加密签名令牌、状态同步强化、实施零信任架构以及用户层面提高警惕等。

高级攻击技术 MFA绕过认证流程漏洞网络安全漏洞账户安全 JavaScript攻击会话令牌篡改架构漏洞网络安全防御安全意识教育

0x63 渗透测试工具之Metasploit Framework

寰宇密阁 2025-03-13T10:03:26 ©

渗透测试安全漏洞漏洞利用 Metasploit Framework 开源工具安全研究安全测试命令行界面系统安全

0x64 工具集：Upload_Auto_Fuzz【Burpsuite 文件上传自动化Fuzz测试插件】

风铃Sec 2025-03-13T09:22:05 wolven

本文介绍了一款名为Upload_Auto_Fuzz的Burp Suite插件，该插件专门用于文件上传漏洞的检测，并提供了自动化的Fuzz测试功能。插件包含超过300条预定义的payload，旨在帮助安全测试人员发现文件上传过程中可能存在的安全缺陷。该插件支持多种攻击向量，包括WAF绕过技术、内容编码绕过、协议攻击等。此外，它还支持利用Windows和Linux系统的特性进行攻击，如NTFS数据流、保留设备名、长文件名截断等。插件的使用方法简单，用户只需在Burp Suite中拦截文件上传请求，然后通过Intruder功能发送Fuzz测试。文章还提供了插件的安装方法和使用指南，以及如何在GitHub和夸克网盘中获取插件。

Burp Suite 插件文件上传漏洞检测自动化测试工具 Fuzz测试 WAF 绕过后缀变异攻击 MIME编码协议攻击 Windows/Linux 特性利用内容欺骗开源工具

0x65 还在用传统方法防护网站？实操雷池带您体验DDoS、漏洞、API攻击防护新高度！

黑熊安全 2025-03-13T09:00:56

本文介绍了雷池个人版在网站安全防护方面的实际应用案例。通过针对一款自研的通用报告生成器的测试，展示了雷池在抵御DDoS攻击、漏洞利用和API模糊测试等攻击方面的有效性。文章详细描述了使用雷池进行防护的步骤，包括配置防护机制、开启频率限制、人机验证、攻击限制和错误控制等。同时，介绍了雷池的部署、应用配置、更新规则库和测试防护强度等方面的内容。文章还强调了雷池的一些亮点功能，如流量记录、网页防篡改、CC防护等候室、人机验证、动态防护、请求防重放和告警通知等，以及雷池提供的交流群和售后服务。通过这些功能的介绍，文章展示了雷池在网络安全防护方面的全面性和实用性，对于个人和小型开发团队来说，是一个值得考虑的安全解决方案。

DDoS防护漏洞防护 API安全 WAF技术安全测试安全防护工具人机验证动态防护安全运营

0x66 Mandiant 发现停产 Juniper 路由器上的自定义后门

军哥网络安全读报 2025-03-13T09:00:43 会杀毒的单反狗

Mandiant的研究人员揭露了一组针对停产瞻博网络Junos OS路由器的定制后门。这些后门被植入到报废硬件和软件中，绕过了Junos OS的veriexec子系统。攻击者利用合法凭证获得特权访问，并通过Junos OS CLI进入FreeBSD shell，使用进程注入技术避免触发veriexec警报。后门具有多种功能，包括禁用日志记录机制。此次攻击与UNC3886黑客行动有关，目标为美国和亚洲的国防、技术和电信组织。Mandiant发现攻击者注入了包含恶意负载的压缩档案，并确定了六个经过修改的恶意软件样本，每个样本都有独特的激活方法和功能。攻击者试图获取特权初始访问权限，通过网络身份验证服务如TACACS+进入Junos OS并执行受限操作。分析专有网络设备的挑战使得调查受到限制，需要新颖的方法来获取和分析工件。

网络安全漏洞网络设备安全 APT攻击后门技术零日漏洞利用恶意软件分析网络身份验证威胁情报

0x67 日本警察厅披露MirrorFace APT 组织的攻击活动

军哥网络安全读报 2025-03-13T09:00:43 会杀毒的单反狗

日本国家警察厅（NPA）和国家网络安全事件战略中心（NISC）发布了一份安全公告，揭露了一个名为“MirrorFace”的APT组织针对日本组织的攻击活动。该组织属于APT10分支，利用Windows Sandbox和Visual Studio Code执行恶意活动，并使用开源Lilith RAT的定制版本“LilimRAT”在Windows Sandbox中运行，以保持持久性并减少痕迹。攻击者首先在目标机器上放置关键文件，然后启用Windows Sandbox并创建WSB配置文件以运行恶意软件。恶意软件通过Tor网络与C&C服务器通信，并在Windows Sandbox中默认禁用Windows Defender，增加了隐蔽性。安全专家建议保持Windows沙盒禁用，监控进程，限制管理权限，并实施AppLocker策略。

APT攻击 Windows沙盒 Visual Studio Code 开源恶意软件网络隔离安全工具逃避多阶段攻击恶意软件分析安全建议网络安全事件

0x68 APT攻击全链溯源：基于多阶段载荷投递的Windows 11定向渗透技术深度解构

Khan安全团队 2025-03-13T08:42:08 © 二代机

本文深入分析了基于多阶段载荷投递的Windows 11定向渗透技术，揭示了APT攻击的全链溯源。攻击者通过电子邮件发送伪装的压缩文件，利用Windows 11系统原生ZIP处理机制漏洞，以及命令行解释器绕过技术，成功植入恶意软件。文章详细解析了攻击向量的工程化分析，包括邮件载荷构造技术、Windows 11特性利用、以及多阶段攻击链技术。此外，还探讨了持久化技术，如启动项植入、防御规避技术等。通过案例分析，揭示了攻击者的通信流量、受感染主机的IP地址查询行为，以及攻击链中使用的工具和文件。

APT攻击邮件钓鱼恶意软件 Windows漏洞社会工程学多阶段攻击持久化攻击防御规避网络监控

0x69 vulnhub靶场之devguru靶机，两个cve的利用及复现

泷羽sec-何生安全 2025-03-13T08:31:03 ©

本文详细记录了对devguru靶机的渗透测试过程。渗透测试者使用kali Linux作为攻击机，对靶机IP地址为192.168.10.12的虚拟机进行攻击。文章首先介绍了主机发现和端口扫描的步骤，使用nmap工具进行网络扫描和端口扫描，发现靶机开放了80端口和8585端口。随后，渗透测试者通过dirb工具进行目录爆破，发现并访问了.git目录，进一步获取了网站的源代码。通过GitHack工具，渗透测试者成功获取了数据库连接信息，并利用adminer.php工具连接到数据库。在80端口网站中，渗透测试者发现了命令执行漏洞，并通过构造特定代码成功反弹shell。在8585端口网站中，渗透测试者利用Gitea的Git钩子功能，通过post-receive和pre-receive钩子触发反弹shell。最后，渗透测试者通过sudo命令和CVE-2019-14287漏洞实现了权限提升。文章详细描述了每个步骤的技术细节，并提供了相关的命令和脚本。

靶场安全主机发现端口扫描服务识别漏洞扫描网站安全信息收集渗透测试漏洞利用提权开源安全实战经验

0x6a 一次就学会网络钓鱼“骚”姿势

安全洞察知识图谱 2025-03-13T08:31:02 obse****

本文详细介绍了网络钓鱼攻击的方式和流程。首先，阐述了什么是网络钓鱼，即通过伪造知名机构发送垃圾邮件，诱骗用户提供敏感信息。接着，介绍了网络钓鱼的基本流程，包括寻找目标、制作鱼饵和抛竿。文章还深入探讨了如何制作高质量的鱼饵，包括使用自解压文件、快捷方式、Word宏病毒、Excel注入、CVE-2017-11882漏洞等多种方法。此外，文章还介绍了邮件伪造工具Swaks和Gophish的使用，以及如何利用SEToolkit和Nginx进行网站克隆。最后，还提到了前端页面克隆的方法，以及如何通过修改代码和购买域名来提高钓鱼网站的真实性。

网络钓鱼钓鱼工具网站克隆恶意软件漏洞利用邮件安全社会工程学安全意识

0x6b 某付宝登录js分析

迪哥讲事 2025-03-13T08:30:54

本文详细分析了某付宝登录过程中的JavaScript代码。通过搜索关键词，作者在index.js文件中找到了加密密码的方法getPassword，并通过断点和发包请求内容的对比，确定了密码的加密方式。进一步分析发现，加密方法与页面中的其他代码在同一JS页面中，需要逐一筛选有用的代码。作者追踪到s.RSA函数，并发现了Wi方法，该方法决定了key_size和exponent。在getPassword方法附近找到了s的来源，并通过搜索找到了s.RSA的具体实现。最后，作者成功提取了加密所需的密钥信息，并通过Base64编码完成了密码的加密。文章还提到了如何在不考虑i变动的情况下调用代码，并强调了持续学习和深入挖掘的重要性。

Web安全加密技术逆向工程漏洞分析 JavaScript

0x6c 深度揭秘 | “盲鹰”APT组织如何利用Windows漏洞和代码托管平台渗透哥伦比亚

技术修道场 2025-03-13T08:14:33 © Hankzheng

Check Point近期发布了一份关于“盲鹰”APT组织针对哥伦比亚的复杂网络攻击活动的深度报告。该组织自2024年11月开始攻击，并在12月达到高峰，受害者超过1600人。攻击者利用了微软NTLM漏洞（CVE-2024-43451）和鱼叉式钓鱼邮件进行社会工程学攻击。技术细节显示，攻击者迅速开发了漏洞变种，并使用了HeartCrypt、PureCrypter和Remcos RAT等多种工具。攻击者还利用Bitbucket和GitHub等代码托管平台分发恶意载荷，以逃避传统安全检测。报告强调了及时更新系统和软件、警惕可疑邮件、使用安全软件以及加强员工安全意识培训的重要性。

APT攻击漏洞利用社会工程学代码托管平台攻击远程访问木马网络安全意识安全补丁管理安全检测与防范

0x6d GoSearch 【数字足迹及泄露密码追踪 OSINT工具】

白帽学子 2025-03-13T08:11:50 © 白帽学子

本文介绍了GoSearch这款开源的数字足迹及泄露密码追踪OSINT工具。该工具通过自动关联BreachDirectory等泄露库，帮助网络安全人员快速定位员工在历史数据泄露中暴露的明文或哈希密码。文章详细描述了GoSearch的两个关键功能：智能邮箱生成和自定义检测规则。此外，还提到了GoSearch如何结合AD域账号自动生成检测任务，以及集成HudsonRock犯罪情报库的潜力。文章强调了数据泄露追踪、密码安全、数据加密技术、网络犯罪情报整合、多因素认证与权限控制、网络流量分析与威胁阻断等网络安全关键技术点，并提供了下载链接。

数据泄露追踪密码安全入侵检测威胁情报多因素认证网络流量分析安全工具 OSINT

0x6e Wireshark TS | 关闭连接和超时重传

Echo Reply 2025-03-13T08:08:40 ©

本文讨论了TCP超时重传机制在实际应用中的行为。文章首先介绍了TCP连接的两种关闭方式：优雅的关闭（四次挥手）和强制关闭（RST）。通过packetdrill脚本和tcpdump工具，作者模拟了数据段超时重传过程中上层应用主动关闭连接的情况。实验结果显示，在优雅关闭连接时，即使应用在重传间隔内关闭了连接，TCP连接仍然会尝试发送FIN包，但不会进行超时重传。而在强制关闭连接时，一旦发送了RST包，超时重传立即停止。文章通过具体的实验数据和抓包分析，详细解释了这两种情况下的TCP行为，并对TCP连接的关闭机制进行了深入探讨。

TCP协议分析网络编程网络安全测试异常处理 Python脚本 Wireshark

0x6f 深度XSS漏洞扫描器

夜组安全 2025-03-13T08:00:32 achenc1013

本文介绍了深度XSS漏洞扫描器，一款专注于检测Web应用安全漏洞的工具，尤其针对XSS（跨站脚本）漏洞。该工具支持多种扫描模式、不同级别的有效载荷和详细的漏洞报告，能够检测XSS、CSRF、SQL注入等多种漏洞。它具备网站爬虫功能，自动识别目标网站使用的编程语言、前端框架、Web服务器类型和CMS系统。此外，还提供了高级WAF绕过功能和增强的XSS检测能力，支持多线程扫描和网页技术识别。文章还详细介绍了工具的使用方法、命令行参数以及如何生成报告，并提供了多个XSS漏洞案例和扫描器提供的XSS有效载荷级别。

XSS漏洞扫描 Web应用安全漏洞检测工具跨站脚本攻击安全扫描 WAF绕过多线程扫描编程语言识别漏洞报告命令行工具

0x70 Windows应急响应及隐患排查

计算机与网络安全 2025-03-13T07:58:09 © 计算机与网络安全

本文详细介绍了Windows系统的应急响应及隐患排查方法。应急响应流程包括准备阶段、检测与确认、隔离与控制、分析与取证、恢复与加固以及总结与报告等环节，旨在快速应对安全事件，减少损失并防止再次发生。隐患排查方法则涵盖了系统配置检查、日志分析、恶意软件排查、漏洞扫描和网络排查等多个方面，通过这些方法可以发现潜在的安全风险。文章还介绍了常用的工具，如Sysinternals工具包、Wireshark、Nmap、Nessus/OpenVAS等，强调了结合技术手段和流程化管理的重要性，以及定期排查隐患、更新补丁、加强监控的必要性，以确保系统安全。

0x71 CTF web 解题思路

计算机与网络安全 2025-03-13T07:58:09 © 计算机与网络安全

本文详细介绍了CTF Web类题目的解题思路。首先，通过信息收集阶段，包括查看网页源码、检查robots.txt文件、使用工具扫描目录和文件、检查HTTP响应头以及使用Wappalyzer识别网站技术栈，来收集目标网站的信息。接着，进行漏洞探测，寻找SQL注入、XSS、文件包含、文件上传漏洞、命令注入、SSRF、反序列化漏洞和逻辑漏洞等常见漏洞。在漏洞利用阶段，根据不同漏洞类型采取相应的利用方法，如SQL注入利用UNION SELECT提取信息，XSS注入恶意脚本窃取Cookie等。随后，目标是提升权限，可能涉及查找SUID/SGID文件、可写目录、内核漏洞或服务漏洞提权等。最后，获取Flag，可能位于网页源码、服务器文件系统、数据库表或环境变量中。文章还提到了常用的工具和技巧，如Burp Suite、sqlmap、dirb/gobuster、Wappalyzer、Postman、Nmap、ysoserial等，以及编码绕过、正则绕过、WAF绕过和盲注利用等技巧。整个解题流程概括为信息收集、漏洞探测、漏洞利用、权限提升和获取Flag。

网络安全 CTF Web安全漏洞利用代码审计渗透测试漏洞分析安全工具漏洞防御

0x72 漏洞预警 | OfficeWeb365任意文件读取漏洞

浅安安全 2025-03-13T07:50:47 浅安

本文报道了OfficeWeb365在线文档预览服务中的一个高危漏洞。该漏洞类型为任意文件读取，未经身份验证的攻击者可利用该漏洞读取服务器上的任意文件，从而获取敏感信息。OfficeWeb365是一款提供Word、Excel、Powerpoint等文档在线预览服务的云平台。漏洞存在于/wordfix/Index接口，目前官方已经发布了修复版本，建议用户及时升级至安全版本以避免潜在的安全风险。

0x73 漏洞预警 | GeoServer远程代码执行漏洞

浅安安全 2025-03-13T07:50:47 浅安

本文报道了一个影响GeoServer的开源地理空间数据服务器的高危漏洞。该漏洞编号尚未公布，被归类为高危级别。GeoServer是一个用Java编写的服务器，允许用户共享和处理地理空间数据。漏洞存在于/geoserver/topp/wfs接口，未经身份验证的攻击者可以利用该漏洞远程执行任意代码，从而控制目标服务器。目前，官方已经发布了漏洞修复版本，建议用户升级到安全版本以避免潜在的安全风险。详细修复信息可在GeoServer官方网站找到。

远程代码执行 GeoServer漏洞开源软件安全高危漏洞服务器安全代码审计

0x74 CVE-2025-24813 Apache Tomcat 远程命令执行漏洞分析与总结

自在安全 2025-03-13T07:20:58 © KCyber

本文分析了CVE-2025-24813 Apache Tomcat远程命令执行漏洞。该漏洞影响特定版本的Apache Tomcat，通过未修复的executePartialPut函数，攻击者可以创建恶意文件并可能导致远程命令执行。漏洞利用需要满足特定条件，包括开启PUT模式、基于文件的Session持久化机制以及存在可利用的反序列化gadget。文章详细描述了漏洞的触发条件和利用方法，包括如何通过PUT请求创建特定的.session文件，并利用Session持久化机制和classpath环境中的gadget实现远程命令执行。同时，文章也强调了漏洞触发条件的苛刻性，并提醒使用相关信息可能导致的责任归属问题。

远程命令执行漏洞 Apache Tomcat 漏洞漏洞分析漏洞利用软件安全漏洞补丁反序列化漏洞配置安全

0x75 内网横向之RDP缓存利用

船山信安 2025-03-13T00:02:52

本文探讨了利用RDP（远程桌面协议）缓存进行内网横向渗透的技术。RDP在连接过程中会缓存凭据，包括用户名、密码或加密的身份验证令牌，特别是在启用了保存密码或凭据管理器功能时。攻击者可以通过mimikatz工具找到并解密这些凭证，获取明文密码。文章详细介绍了如何使用mimikatz命令行工具和Windows任务计划程序来执行横向移动，包括找到由管理员创建的批处理文件，注入cs马子，并通过任务计划程序以管理员权限运行net.bat来成功上线。此外，文章还解释了如何使用mimikatz获取MasterKey并解密RDP凭据，从而实现横向移动和进一步渗透。

RDP攻击凭证窃取横向移动 Mimikatz工具内网安全 Windows安全后门技术

0x76 Ruijie Networks RCE漏洞检测工具 -- RuijieRCE（3月10日更新）

Web安全工具库 2025-03-13T00:01:03 windycomptro

本文介绍了一款名为RuijieRCE的Ruijie Networks RCE漏洞检测工具。该工具旨在帮助渗透测试人员批量检测Ruijie Networks设备中的RCE漏洞，并提供历史记录功能。为了防止恶意使用，工具支持自定义GET参数密码，该密码经过sha256加密，增加了安全性。用户可以通过上传冰蝎马或哥斯拉马来进行测试。工具支持并发批量检测，并提供详细的安装和使用说明。文章中还提到了如何设置密码、上传木马以及批量测试的方法。同时，文章强调了使用此工具进行非法测试的责任由使用者本人承担，并提醒读者在侵权情况下联系删除。

漏洞检测工具网络安全渗透测试漏洞利用安全工具加密技术脚本语言批量测试网络设备安全

0x77 JAVA代码审计之权限绕过

Jie安全 2025-03-13T00:00:55 ©

本文主要讨论了JAVA代码审计中关于权限绕过的问题。文章首先指出使用getRequestURI和startsWith方法可能导致权限绕过，并通过实际构造的GET和POST请求示例展示了如何通过在URL前添加斜杠来绕过权限限制。接着，文章分析了Shiro框架中不同版本的权限绕过漏洞，包括Shiro 1.2.4和Shiro 1.4.1版本的绕过方法。通过构造特定的请求，文章展示了如何利用框架中的匿名放行规则（anon）来绕过权限验证。文章还提供了相关的代码示例和绕过方法，并建议读者参考相关博客以获取更多详细信息。

代码审计权限绕过 JAVA安全 Shiro框架网络安全漏洞分析靶场测试法律法规

0x78 安卓逆向 -- 动态调试以及常规手段

逆向有你 2025-03-13T00:00:37 sigewangdaiduie

本文详细介绍了Android动态调试的过程，包括ADB调试桥的基本命令和组件，以及如何使用ADB进行设备查询、端口转发和发送命令。文章首先解释了ADB的工作原理，包括客户端、守护程序和服务器三个组件，以及它们之间的通信方式。接着，文章介绍了如何使用ADB命令查询设备、设置端口转发，并指定目标设备。随后，文章以一个实际的软件为例，展示了如何通过动态调试找到注册码或输入任意注册码都可以通过的方法。文章详细描述了如何添加可调试权限、重新签名APK、启动ADB服务器、进行端口转发，以及如何在JEB中进行动态调试。此外，文章还介绍了如何通过抓包和Log插桩来分析软件的加密过程，并提供了使用Android Studio进行动态调试的配置和使用方法。最后，文章总结了安卓逆向的常规手段，并鼓励读者继续探索和探索更多的逆向手段。

Android 安全动态调试逆向工程加密技术网络安全工具移动应用安全漏洞分析安全开发实践

0x79 私有化部署的DeepSeek的漏洞利用、防范

Hacking黑白红 2025-03-12T23:50:39 © hacking

本文针对私有化部署的DeepSeek模型存在的安全漏洞进行了详细分析。文章首先解析了四种主要的漏洞利用方式，包括未授权访问攻击、远程代码执行、路径遍历与数据泄露，以及算力滥用与资源耗尽。针对这些漏洞，文章提出了紧急处置步骤和核心加固方案，包括隔离风险、升级至安全版本、实施身份认证与访问控制、加密与数据保护、资源监控与限制等。此外，还提出了长效防护策略，如日志与威胁检测、供应链安全、合规与审计等。最后，文章给出了扩展建议，包括防范钓鱼攻击和应急响应措施，旨在帮助用户构建多层防御体系，降低被攻击风险。

漏洞利用私有化部署安全网络安全防范代码执行漏洞数据泄露风险资源耗尽攻击访问控制加密传输安全加固日志分析与威胁检测供应链安全合规与审计

0x7a 逆向工程每日一题：深挖「pwn1」，探索漏洞利用新境界

安全研习室 2025-03-12T22:31:00 © 安全研习室

本文深入分析了逆向工程中的典型漏洞利用案例‘pwn1’。文章首先介绍了file命令和checksec工具在识别文件类型和安全属性中的作用，指出该程序没有开启任何安全防护机制。接着，文章详细解析了程序中的gets()函数，该函数由于缺乏输入长度检查，容易引发缓冲区溢出漏洞。作者通过构造特定的payload，成功利用了这个漏洞，劫持了程序的返回地址，从而获得了系统控制权。文章最后总结了安全防护措施，建议避免使用危险函数、开启安全保护机制以及强化输入验证与过滤，以提高程序的安全性。

逆向工程漏洞挖掘缓冲区溢出漏洞利用安全防护网络安全二进制分析实践教程

0x7b 流量分析 - USB流量分析基础篇 (带一把梭工具)

信安一把索 2025-03-12T20:36:39 ©

本文详细介绍了USB流量分析的基础知识，包括鼠标和键盘数据的解析。文章首先解释了鼠标数据中的按键状态和移动方向的计算方法，通过十六进制到二进制的转换，以及正负数的处理，来计算鼠标的左右移动和上下移动像素位。接着，文章介绍了键盘数据的标准格式，包括修饰键、保留字段和普通按键码的解析。此外，文章还提供了一把手梭工具的使用方法，包括环境配置、实战操作和结果分析。最后，文章强调了工具的免费提供和禁止倒卖盈利的原则。

网络安全分析协议解析流量分析网络安全工具逆向工程加密学

0x7c 紧急：Microsoft 修补了 57 个安全漏洞，包括 6 个被积极利用的零日漏洞

信息安全大事件 2025-03-12T19:59:31

Microsoft近日发布了安全更新，修补了57个安全漏洞，其中包括6个被积极利用的零日漏洞。这6个零日漏洞分别涉及Windows Win32内核子系统、NTFS文件系统、Fast FAT文件系统以及管理控制台等组件，其中一些漏洞可能导致远程代码执行或权限提升。特别值得关注的是CVE-2025-24983，这是一个Win32k驱动程序中的释放后使用（UAF）漏洞，它允许攻击者在本地提升权限。此外，还有针对Windows Fast FAT文件系统的整数溢出漏洞（CVE-2025-24985）和Windows NTFS中的越界读取漏洞（CVE-2025-24991）等。这些漏洞的发现和报告得到了安全研究者和公司的赞誉。文章还提到了一些威胁行为者如何利用这些漏洞进行攻击的案例，以及Zero Day Initiative对这些漏洞的追踪。

安全更新漏洞修复零日漏洞 Windows安全远程代码执行权限提升漏洞评级恶意软件威胁行为者网络安全趋势

0x7d 工具更新：Myosotis-免杀框架-1.1.0

小白安全 2025-03-12T19:16:17

Myosotis 免杀框架的最新版本1.1.0提供了免杀模板的动态化和私有化功能，不直接提供一键生成免杀项目，要求用户具备Rust语言基础。该框架通过模块化实现loader的各个功能，并支持模块导入功能以增加loader的寿命。更新中加入的链式加密使得加密方式更加灵活，能够交叉生成更多模板。同时，提供了模板分类、进程注入路径自定义、模板导入检测等功能。框架支持多种编译环境和配置选项，包括shellcode、单体加载、分离加载、远程加载等。项目还提供了多种模板导入和加密模板，包括基础加密加载模板、进程注入模板、反虚拟机模板等。尽管如此，用户在使用过程中仍需注意首次安装可能需要下载库、链式加密可能导致项目失败、以及虚拟机编译以防止溯源等问题。

0x7e 记一次漏洞挖掘过程中的SQL注入浅浅绕过记录

HACK之道 2025-03-12T19:00:06 消失的猪猪

SQL注入漏洞挖掘网络安全 Web安全漏洞利用安全测试安全开发

0x7f 【漏洞预警】Fortinet多个产品前台远程代码执行漏洞

飓风网络安全 2025-03-12T18:57:30 cexlife

本文报道了Fortinet公司FortiOS多个产品存在远程代码执行漏洞。FortiOS是一款安全操作系统，提供防火墙、防病毒、VPN等多种安全功能。未经授权的攻击者可利用格式字符串漏洞在FortiOS、FortiProxy、FortiPAM、FortiSRA和FortiWeb的GUI界面执行任意代码或命令，导致服务器失陷。受影响的版本包括FortiOS 7.0至7.4，FortiPAM 1.3至1.4，FortiProxy 7.0至7.6，FortiSRA 1.4，FortiWeb 7.0至7.6。官方已发布修复补丁，建议用户更新到最新版本以消除漏洞。

0x80 【漏洞预警】MinIO身份验证缺陷漏洞 (CVE-2025-27414)

飓风网络安全 2025-03-12T18:57:30 cexlife

MinIO近日发布安全公告，指出其产品中存在一个身份验证缺陷漏洞（CVE-2025-27414）。该漏洞源于MinIO在评估SFTP连接SSH密钥信任度时的缺陷，可能导致攻击者绕过身份验证，未经授权访问数据。此漏洞在特定配置下存在，攻击者需满足一定条件才能利用。MinIO已发布修复版本，建议受影响用户及时升级至安全版本。在升级前，用户需备份关键数据并遵循官方指南操作。升级后，进行全面测试以确保漏洞已修复且系统功能正常。

身份验证漏洞数据访问控制 CVE编号 MinIO 安全更新 SFTP 软件安全

0x81 【漏洞预警】万户网络ezOFFICE /selectAmountField.jsp存在SQL注入漏洞

飓风网络安全 2025-03-12T18:57:30 cexlife

本文报道了万户网络ezOFFICE系统中存在的一个SQL注入漏洞。该漏洞位于selectAmountField.jsp文件中，未经授权的攻击者可能利用此漏洞获取数据库敏感信息。为了降低风险，建议用户采取以下临时修复措施：加强系统和网络的访问控制，修改防火墙策略以限制非必要服务的公网暴露；如果无法立即升级，可以考虑使用白名单限制应用服务端口的访问；同时，定期检查服务器上的网站后门文件。此外，还建议用户联系厂商，获取并更新到安全版本的应用，以彻底修复漏洞。厂商官网提供了更多信息。

0x82 【风险通告】微软3月安全更新补丁和多个高危漏洞风险提示

安恒信息CERT 2025-03-12T18:34:09

微软在3月份发布了安全更新公告，针对多个产品发布了安全补丁，以修复包括Windows Remote Desktop Services、Windows Mark of the Web、Kernel Streaming Service Driver、Windows Win32 Kernel Subsystem、Windows NTFS和Windows Fast FAT File System Drive在内的多个产品的安全漏洞。公告中特别提到了6个在野0day漏洞，包括Windows Win32 Kernel Subsystem特权提升漏洞、Windows NTFS信息泄露漏洞、Windows Fast FAT File System Driver远程代码执行漏洞等，并提供了详细的漏洞信息，如CVE编号、CVSS评分、影响范围等。微软建议用户及时更新补丁，以防止潜在的安全风险。同时，公告中还提供了获取补丁的官方途径和手动更新的步骤。

操作系统安全漏洞披露补丁管理特权提升远程代码执行信息泄露安全功能绕过 Windows安全 Microsoft安全

0x83 【风险通告】微软3月安全更新补丁和多个高危漏洞风险提示

安恒信息CERT 2025-03-12T18:34:09 安恒研究院

微软官方于3月份发布了安全更新公告，涉及多个产品，包括Windows Remote Desktop Services、Windows Mark of the Web、Kernel Streaming Service Driver等。公告中提到了6个在野0day漏洞，其中重点关注的有Windows Win32 Kernel Subsystem特权提升漏洞、Windows NTFS信息泄露漏洞、Windows Fast FAT File System Driver远程代码执行漏洞等。此外，还披露了多个漏洞，如MapUrlToZone安全特性绕过漏洞、Windows Remote Desktop Services远程代码执行漏洞等。微软已发布补丁修复这些漏洞，建议用户及时更新以防止潜在的安全风险。更新方式包括自动更新和手动更新，具体步骤在公告中有详细说明。

操作系统漏洞远程代码执行信息泄露特权提升安全功能绕过微软安全更新安全补丁漏洞披露 CVSS评分技术支持

0x84 工具更新：Myosotis-免杀框架-1.1.0

攻有道 2025-03-12T18:32:13

Myosotis-免杀框架版本1.1.0更新，专注于实现免杀模板的动态化和私有化。该框架不提供一键生成免杀项目，而是需要使用者具备Rust语言基础。通过模块化Loader的各个功能，自动组装模块以生成免杀项目，并支持模块导入功能以实现私有化，从而增加Loader的寿命。新增链式加密方式，使加密更加灵活，并能生成更多模板。更新包括模板分类、进程注入路径自定义、模板导入检测等功能。编译环境要求为Visual Studio 2022（集成mingw64）和rustc 1.83.0。项目结构包括config和output目录，以及相应的日志文件。项目提供基础加密加载模板，并支持使用者自行编写模板或通过知识星球获取更多模板。框架还提供了详细的代码配置和模板导入说明，以及注意事项，以确保正确使用。

网络安全免杀框架 Rust语言加密技术虚拟机代码混淆沙箱检测开源项目

0x85 【漏洞通告】Fortinet多产品前台远程代码执行漏洞(CVE-2024-45324)

深信服千里目安全技术中心 2025-03-12T18:05:44 深瞳漏洞实验室

Fortinet多产品前台远程代码执行漏洞（CVE-2024-45324）是一处高危漏洞，未经授权的攻击者可利用该漏洞在FortiOS、FortiProxy、FortiPAM、FortiSRA和FortiWeb等产品上执行任意代码或命令，导致服务器失陷。该漏洞影响多个Fortinet产品版本，包括FortiOS、FortiProxy、FortiPAM、FortiSRA和FortiWeb等。攻击者无需用户认证即可利用此漏洞，且攻击难度低。官方已发布修复方案，建议受影响的用户及时更新到最新版本以消除漏洞。漏洞编号为CVE-2024-45324，由深瞳漏洞实验室在2025年3月12日首次监测到，并在同一天发布漏洞通告，提醒用户关注和修复。

漏洞通告远程代码执行 Fortinet FortiOS 网络安全代码执行漏洞高危漏洞漏洞修复版本更新

0x86 CVE-2025-24813——tomcat文件上传到反序列化

珂技知识分享 2025-03-12T18:01:05 ©

本文详细分析了CVE-2025-24813漏洞，这是一个影响Apache Tomcat服务器的文件上传到反序列化漏洞。文章首先介绍了漏洞的利用条件和环境配置，包括需要开启PUT、session FileStore以及存在反序列化链。接着，文章深入分析了漏洞的修复方案和实际利用过程，包括如何通过PUT请求和Content-Range头来生成缓存文件，以及如何通过特定的文件名规则来触发文件上传。此外，文章还提到了CVE-2020-9484漏洞，并解释了如何通过Cookie触发session文件的反序列化。最后，文章总结了整个环境配置和利用过程，为网络安全学习者提供了宝贵的实践经验。

漏洞分析 Web应用安全反序列化漏洞 Tomcat安全文件上传漏洞漏洞利用技术

0x87 无壳app的libmsaoaidsec.so frida反调试绕过姿势

看雪学苑 2025-03-12T17:59:28 Biletonxa0xa0比尔顿

本文深入分析了Android应用中常见的libmsaoaidsec.so反调试库的工作原理及绕过方法。文章首先介绍了libmsaoaidsec.so如何通过在应用启动时创建独立线程来扫描Frida相关的进程、端口和内存特征，并在检测到Frida后触发进程终止或崩溃。接着，作者详细讲解了如何通过hook dlopen()函数来定位加载libmsaoaidsec.so的时机，并通过Interceptor技术跟踪线程创建。文章进一步探讨了如何在libmsaoaidsec.so的初始化函数执行前替换或nop掉检测Frida的函数，以实现绕过反调试机制。具体操作包括动态替换so文件中检测Frida的函数的地址，使它们指向自定义的空函数，或者在调用call_constructors()函数时替换检测函数。此外，文章还提供了使用nop函数替换检测代码的示例，并提示读者利用IDA进行进一步分析。

反调试技术动态库分析 Frida框架 Android安全逆向工程代码注入漏洞利用

0x88 【已复现】Apache Tomcat远程代码执行漏洞(CVE-2025-24813)

源鲁安全实验室 2025-03-12T17:40:48 © 漏洞应急响应

本文介绍了Apache Tomcat远程代码执行漏洞（CVE-2025-24813），该漏洞可能允许攻击者执行远程代码、泄露敏感信息或破坏数据。Apache软件基金会已发布紧急安全公告，敦促使用受影响版本的用户立即更新。文章详细分析了漏洞的利用条件，包括DefaultServlet启用写入功能、服务器启用了partial PUT、使用Tomcat的文件会话持久化以及依赖库存在反序列化利用链。文章还列出了受影响版本的范围，并提供了复现情况和修复建议，包括升级到更高版本的Apache Tomcat或采取临时缓解措施。源鲁安全实验室已成功复现该漏洞，并提醒读者所涉及的技术、思路和工具仅供网络安全学习目的使用。

远程代码执行 Apache Tomcat Web服务器安全 Java应用安全安全漏洞版本更新安全公告漏洞复现安全研究

0x89 浅谈DNS-rebinding

蚁景网络安全 2025-03-12T17:40:16 T4ki

本文深入探讨了DNS Rebinding攻击，一种古老的网络安全威胁。文章首先介绍了Web同源策略及其在保护Web应用程序安全中的作用。随后，详细解释了DNS Rebinding攻击的原理，包括TTL（Time-To-Live）的概念和攻击者如何利用DNS记录的缓存时间来改变目标主机的解析结果。文章通过一个具体的案例展示了如何通过DNS重绑定在192.168.32.10和127.0.0.1之间切换IP地址。接着，文章分析了攻击机制，说明了攻击者如何将解析请求重定向到由其控制的备用名称服务器，并举例说明了攻击过程。此外，文章还讨论了DNS Rebinding攻击的危害，包括破坏专用网络、发送垃圾邮件、DDoS攻击等。最后，文章列举了几个因DNS Rebinding攻击而导致的CVE漏洞，并提供了相关的复现链接和修复信息。

0x8a 实战案例！记一次攻防演练突破

潇湘信安 2025-03-12T17:20:28 on1_es

本文记录了一次网络安全攻防演练中的实战案例。作者通过对外网信息收集，发现了一个老旧的iis+asp.net+mssql架构的网站存在SQL注入漏洞。利用sqlmap工具检测出三种注入类型，并通过时间类型注入成功列出主机所有盘符，检索web文件，准备写入shell。在写shell时考虑到火绒杀软的查杀机制，使用了畸形的一句话马。通过代理和替换数据发包成功getshell。内网渗透过程中，作者上传了火绒免杀马，使用xp_cmdshell执行上线cs，并尝试提权。在流量代理方面，使用了免杀的shellcode上线后直接开启socks5代理。在主机后渗透方面，尝试了bypass火绒加载土豆家族获取system权限，并通过dumphash收集主机信息。作者还尝试了bypass火绒dump主机hash和添加管理员用户来提权。最后，作者总结了整个攻防演练中的关键步骤和技巧，并鼓励读者在评论区交流学习。

网络安全实战 SQL注入 Webshell 免杀技术内网渗透提权技术漏洞利用信息收集防护措施

0x8b vulnhub-DC-9 SQL注入、“ssh端口敲门”、hydra爆破

泷羽Sec-朝阳 2025-03-12T17:09:57 © 泷羽Sec-朝阳

本文详细记录了针对vulnhub-DC-9靶场的渗透测试过程。首先，通过arp-scan和nmap进行了信息收集，发现开放的80端口和22端口。在80端口，利用SQL注入技术成功获取了数据库信息，并通过联合查询爆出了用户名和密码。接着，通过模糊测试找到了/etc/passwd文件，进一步确认了系统的漏洞。在SSH端口，通过hydra工具进行爆破，结合knockd服务的特点，成功连接到靶机。最后，通过构造passwd文件并利用test.py脚本提权，成功获取了root权限。文章详细描述了每一步的渗透技巧和工具使用，对于网络安全学习者和渗透测试人员具有一定的参考价值。

SQL注入端口扫描指纹识别目录扫描信息泄露爆破攻击 SSH端口敲门提权攻击密码学漏洞利用

0x8c 利用微软工具击败windows自带的防御系统

酒仙桥六号部队 2025-03-12T17:06:54 黑猫

本文介绍了一种通过微软工具Procmon击败Windows自带防御系统Windows Defender的技术方法。作者Fiend-0225利用Procmon的内核驱动权限和符号链接技术，实现了对Windows Defender关键文件MsMpEng.exe的修改，绕过了Defender的保护机制。文章详细解释了Procmon的驱动层权限和符号链接攻击原理，并提供了完整的操作流程，包括启动Procmon、创建符号链接以及重新启动计算机等步骤。此外，文章还讨论了验证效果和Defender更新后的应对策略，强调了利用内核权限和符号链接进行攻击的优势和潜在风险，并提醒读者这种方法仅限于安全技术研究，严禁用于其他目的。

Windows 安全漏洞内核驱动利用符号链接攻击防御系统绕过安全技术研究恶意软件攻击

0x8d SSTI之细说jinja2的常用构造及利用思路

蚁景网安 2025-03-12T16:30:53

本文详细探讨了服务端模板注入（SSTI）的攻击原理、常用payload、利用思路以及题目案例。文章首先介绍了模板引擎的概念，并说明了SSTI攻击的成因，即框架的不规范使用导致的安全漏洞。接着，文章以Python的Flask框架为例，展示了SSTI注入攻击的测试过程，并解释了模板注入的原理。文章还总结了SSTI注入中常用的方法和过滤器，以及如何构造命令执行语句。此外，针对存在过滤的情况，文章提供了绕过过滤的方法，包括使用不同的编码技术、绕过关键字过滤等。最后，文章结合实际题目案例，分析了如何根据题目条件构造相应的攻击payload，并强调了动手实践的重要性。

网络安全 Web安全漏洞分析模板注入 Python安全漏洞利用防御技巧实战案例

0x8e XMLDecoder反序列化漏洞(CVE-2017-3506)

智检安全 2025-03-12T16:05:17 © 小智

该文章详细描述了WebLogic应用服务器中存在的一个XMLDecoder反序列化漏洞。该漏洞存在于/wls-wsat/CoordinatorPortType（POST）处，通过构造SOAP（XML）格式请求触发。漏洞的调用链涉及多个方法，包括weblogic.wsee.jaxws.workcontext.WorkContextServerTube.processRequest、weblogic.wsee.jaxws.workcontext.WorkContextTube.readHeaderOld和weblogic.wsee.workarea.WorkContextXmlInputAdapter。在WorkContextXmlInputAdapter类的处理过程中，由于输入内容可控，导致了XMLDecoder的反序列化漏洞。文章还提供了漏洞的复现步骤，包括验证wls-wsat组件的存在和发送带有恶意代码的SOAP请求来利用该漏洞。

Web应用安全漏洞分析 SOAP协议安全 XML解析漏洞 Java安全 WebLogic安全后端安全

0x8f 汤姆猫最新CVE复现及分析

天地和兴 2025-03-12T16:02:34 安服部

近日，Apache Tomcat发布安全公告，修复了远程代码执行漏洞（CVE-2025-24813）。该漏洞影响多个版本的Tomcat，利用条件较为复杂，包括应用程序启用了DefaultServlet写入功能、支持partial PUT请求、使用Tomcat的文件会话持久化以及存在反序列化漏洞的库。文章详细介绍了漏洞的复现过程，包括搭建环境、构造POC、上传恶意序列化文件和触发漏洞。同时，文章还提供了漏洞分析、临时防护措施和官方补丁修复方法。用户应尽快采取措施进行防护，以避免潜在的安全风险。

Apache Tomcat 漏洞远程代码执行漏洞复现安全公告安全修复 Java Web服务器反序列化漏洞网络安全法漏洞影响范围

0x90 MassJacker恶意软件剪贴板劫持作案，77.8万加密货币钱包被盗

安全威胁纵横 2025-03-12T15:52:47 © HackerNews

MassJacker恶意软件通过剪贴板劫持技术，盗取了至少778,531个加密货币钱包的资产。该恶意软件利用了被攻破的计算机，监控并替换用户复制的加密货币钱包地址，将资金转移至攻击者控制的钱包。CyberArk的研究发现，攻击者通过一个Solana钱包积累了超过300,000美元的交易。尽管MassJacker的攻击规模较大，但因其功能限制，难以被检测。恶意软件通过pesktop[.]com网站分发，其分发过程涉及多个步骤，包括执行cmd脚本、触发PowerShell脚本，以及加载和注入最终的有效载荷。CyberArk呼吁网络安全研究界深入分析此类攻击，以揭示威胁行为者的信息。

恶意软件攻击剪贴板劫持加密货币安全数字资产盗窃威胁情报网络安全事件反病毒技术

0x91 漏洞预警 | Apache Tomcat 存在远程代码执行漏洞（CVE-2025-24813）

Beacon Tower Lab 2025-03-12T15:45:10 © 烽火台实验室

Apache Tomcat近日发布更新以修复一个远程代码执行漏洞（CVE-2025-24813），该漏洞被评为高危。漏洞存在于11.0.0-M1至11.0.210.1.0-M1，10.1.349.0.0.M1至10.1.34，以及9.0.98版本中。攻击者通过构造恶意请求，可能利用默认Servlet的写入功能、支持部分PUT请求、基于文件的会话持久化功能以及可能被用于反序列化攻击的库来执行远程代码。官方已发布修复补丁，建议用户升级到最新版本以缓解风险。同时，提供了一些临时缓解措施，如限制网络访问和部署安全监控系统。

远程代码执行 Apache Tomcat 漏洞修复 Java Web服务器安全更新漏洞评分网络监控资产测绘

0x92 记一次某大厂csrf漏洞通过蠕虫从低危到高危

亿人安全 2025-03-12T15:28:08 © 7ech_N3rd

本文详细记录了一位网络安全学习者通过漏洞挖掘实践，将一个简单的CSRF（跨站请求伪造）漏洞提升至高危的过程。文章首先介绍了漏洞的触发点，即通过头像上传功能，发现开发者对图片链接的GET请求进行了限制。作者通过测试发现，使用特殊域名解析技巧可以绕过这些限制。接着，作者利用论坛的退出接口和cookie删除功能，实现了简单的拒绝服务攻击（DoS）。为了进一步提高攻击的危害性，作者发现可以通过GET参数修改头像的API，结合302跳转，使得所有用户头像被指向恶意URL，进而实现大规模的DoS攻击。此外，作者还发现了可以通过GET参数恶意刷关注量，并编写了PHP脚本实现自动利用。最终，作者通过获取特定高粉丝博主的blogid，实现了定向感染和大规模利用，将漏洞评级提升至高危。

漏洞挖掘跨站请求伪造（CSRF）安全测试漏洞利用 Web安全代码审计漏洞评级

0x93 网康科技 NS-ASG 应用安全网关 add_postlogin.php SQL注入漏洞(CVE-2024-3455)

nday POC 2025-03-12T15:16:27 Superhero

本文详细介绍了网康科技NS-ASG应用安全网关中的一个严重SQL注入漏洞（CVE-2024-3455）。该漏洞存在于add_postlogin.php接口，未经身份验证的攻击者可以通过此漏洞获取数据库信息，包括管理员密码和用户个人信息。此外，攻击者还可能在高级别权限下向服务器写入命令，进一步获取系统权限。文章提供了漏洞概述、复现方法、自查工具和修复建议。同时，提醒用户使用漏洞信息时应自行承担风险，并建议用户升级到官方发布的修复版本以增强安全性。此外，文章还简要介绍了内部圈子，该圈子专注于分享和测试1day/nday POC详情及对应检测脚本，以帮助网络安全爱好者学习和提高。

SQL注入应用安全网关漏洞 CVE编号网络安全漏洞产品安全漏洞复现安全修复

0x94 漏洞风险提示 | Apache Tomcat 远程代码执行漏洞（CVE-2025-24813）

边界无限 2025-03-12T14:29:27 © flyoung

本文描述了Apache Tomcat Web应用服务器的一个远程代码执行漏洞（CVE-2025-24813）。该漏洞存在于11.0.0-M1至11.0.210.1.0、10.1.349.0.0.M1至10.1.35以及9.0.98版本的Tomcat中。漏洞由partial PUT功能中的临时文件路径依赖用户输入导致，通过将文件路径分隔符“/”替换为“.”可以实现绕过目录限制，写入非预期位置。结合Tomcat的session文件存储功能，当classpath下存在可利用的第三方库时，可以触发反序列化RCE漏洞。官方已发布更新版本修复此漏洞，建议受影响的用户升级到相应版本。同时，建议使用基于RASP技术的安全工具，如靖云甲ADR，以增强安全性。

Web服务器漏洞远程代码执行反序列化漏洞文件上传漏洞 CVE编号 Apache Tomcat 软件更新安全建议

0x95 警惕 Apache Camel 漏洞攻击者借此能注入任意标头

嘶吼专业版 2025-03-12T14:01:10 山卡拉

Apache Camel近期披露了一个编号为CVE-2025-27636的安全漏洞，该漏洞允许攻击者通过注入任意标头，实现远程代码执行（RCE）。受影响的版本包括3.10.0至3.22.3、4.8.0至4.8.4以及4.10.0至4.10.1等多个版本。漏洞源于Camel框架对标头的处理错误，攻击者可以利用大小写差异绕过过滤器，执行任意命令。Apache Camel是一款广泛应用的集成框架，用于连接各类系统和应用程序。安全专家建议用户升级Apache Camel至最新版本，限制端点访问，并监控日志中的异常情况以降低风险。该漏洞凸显了配置错误带来的巨大安全风险，提醒组织必须重视安全更新和访问控制。

软件漏洞远程代码执行 Apache Camel 配置错误代码执行漏洞网络安全更新集成框架安全系统安全

0x96 【漏洞通告】Apache Tomcat 远程代码执行漏洞安全风险通告

嘉诚安全 2025-03-12T13:19:33

近日，Apache Tomcat发布安全公告，修复了一个编号为CVE-2025-24813的远程代码执行漏洞。Apache Tomcat是一个流行的Java Servlet容器，被广泛应用于Java Web应用程序的运行。该漏洞在高危情况下，攻击者可以通过未授权的方式执行恶意代码，从而获取服务器权限。受影响的版本包括Apache Tomcat 11.0.0-M1至11.0.210.1，10.0.0-M1至10.1.349，以及9.0.0.M1至9.0.98。官方已发布安全更新，建议用户尽快升级至最新版本以避免安全风险。详细更新信息可参考Apache官方发布的安全链接。

远程代码执行漏洞 Apache Tomcat Java Servlet容器漏洞修复安全风险通告版本更新漏洞编号反序列化利用

0x97 2025年3月微软补丁日多个高危漏洞安全风险通告

嘉诚安全 2025-03-12T13:19:33

近日，Microsoft发布了3月份的安全更新公告，共修复了57个漏洞，涉及Windows NTFS文件系统、Windows远程桌面服务、WSL2等产品。其中，多个漏洞已被发现并被在野利用，包括Microsoft管理控制台安全功能绕过、Windows NTFS信息泄露和远程代码执行等。这些漏洞可能导致权限提升、数据泄露和系统完全被攻陷。嘉诚安全提醒用户尽快下载补丁更新，以避免网络安全事件。受影响的产品包括Windows exFAT File System、Azure Agent Installer、Windows Remote Desktop Services等。微软提供了自动更新和手动安装补丁两种方式来修复这些漏洞。

安全更新漏洞修复 Windows安全远程代码执行权限提升信息泄露安全漏洞利用补丁安装建议安全风险提醒

0x98 Sitecore 曝零日漏洞，可执行任意代码攻击

e安在线 2025-03-12T13:05:03 e安在线

近日，安全公司Assetnote披露了Sitecore体验平台的一个严重漏洞（CVE-2025-27218），该漏洞允许未经身份验证的攻击者在未打补丁的Sitecore系统上执行任意代码。漏洞源于对已弃用的BinaryFormatter类的错误使用，攻击者可以利用此漏洞绕过身份验证检查并部署恶意负载。该漏洞影响了Sitecore 8.2至10.4版本的体验管理器（XM）和体验平台（XP），在安装补丁KB1002844之前均存在风险。Sitecore为全球超过12,000个企业数字平台提供支持，因此该漏洞具有系统性风险，包括无需身份验证的远程代码执行（RCE）、完全服务器控制和业务中断等风险。Sitecore已发布补丁，并建议用户立即升级到最新版本或应用安全补丁，以减轻风险。

漏洞披露零日漏洞任意代码执行数据反序列化身份验证绕过 Sitecore 补丁管理安全补丁攻击面远程攻击企业安全操作系统安全业务影响

0x99 Telegram bot token利用

军机故阁 2025-03-12T12:53:53 安全路人A

本文主要探讨了Telegram bot token的利用方式。随着钓鱼和c2通过Telegram中转消息的增多，获取bot token的手段也日益多样化。文章以一个配置不当的钓鱼站点为例，说明了bot token在流量中明文可见。文章详细介绍了如何使用Telegram Bot API中的“getMe”方法来确认机器人状态和收集基本信息，以及如何使用“forwardmessages”方法转发消息。此外，还说明了如何获取攻击者聊天ID和指定聊天ID及消息ID，以实现消息转发到自己的Telegram账户。最后，文章还提到了GitHub上可用的开源工具，方便用户进行相关操作。

Telegram Security Bot Token Exploitation Phishing Attacks C2 Communication Network Monitoring API Security Security Tools

0x9a 如何隐藏服务器IP，隐藏IP有什么好处

护卫神说安全 2025-03-12T12:41:42 © 护卫神

本文探讨了如何隐藏服务器IP及其重要性。服务器IP的暴露使得黑客能够扫描漏洞并进行入侵。为了保护服务器安全，可以采取多种方法隐藏IP，如使用CDN、云存储和反向代理。CDN通过将域名解析至CDN服务商的别名地址来隐藏IP；云存储适用于纯静态页面的网站，将静态文件分发到云存储；反向代理则充当中间人角色，隐藏真实服务器IP。尽管这些方法能隐藏IP，但黑客仍有其他途径获取真实IP，如通过邮件通知、网站漏洞或配置不当。文章还提到了一些安全防护措施，如使用VPN和防入侵系统，以增强服务器和网站的安全性。

IP隐藏网络安全防护服务器安全 CDN技术云存储反向代理邮件安全网站漏洞配置安全安全工具

0x9b HW蓝队面试题（初、中级）

Ting的安全笔记 2025-03-12T12:07:10 ©

本文详细分析了网络安全领域中的多种常见漏洞和攻击手段，包括SQL注入、文件上传漏洞、SSRF、任意文件读取、XSS、Java反序列化、Redis未授权访问、Log4j远程代码执行漏洞、Fastjson反序列化漏洞、Shiro反序列化漏洞等。文章介绍了这些漏洞的成因、原理、检测方法、防御措施以及应急响应流程。此外，还讨论了网络安全加固方法、日志分析技巧、安全设备的作用、WAF绕过方法、蜜罐部署、IP协议安全要求、溯源方法、攻击者画像、安全演练等安全知识。文章旨在帮助网络安全学习者了解和掌握网络安全的基本概念和防护技巧。

0x9c Electron桌面应用开发笔记

Ting的安全笔记 2025-03-12T12:07:10 © Ting丶

本文介绍了Electron桌面应用框架，它允许开发者使用JavaScript、HTML和CSS构建跨平台的桌面应用程序。文章首先概述了Electron的基本概念，包括它如何嵌入Chromium和Node.js，以及它在Windows、macOS和Linux平台上的应用。接着，详细讲解了Electron开发中的进程通信机制，包括主进程、渲染进程和预加载进程之间的交互。文章还提供了创建Electron项目的步骤，包括初始化项目、设置npm镜像源、下载工具、编译器设置和代码提示。此外，文章介绍了如何使用npm配置自动重启功能，以及如何使用nodemon进行开发。最后，文章探讨了如何使用Electron Builder打包项目，并提供了打包配置的示例。此外，还提到了结合Vue框架进行UI开发的建议，并给出了安装Vue环境、配置package.json和通过Electron启动Vue项目的步骤。

Electron安全跨平台应用安全前端安全进程通信安全文件操作安全打包与分发安全

0x9d Webshell管理工具流量特征抓包分析

Ting的安全笔记 2025-03-12T12:07:10 ©

本文详细分析了Webshell管理工具的流量特征，包括抓包分析的方法和技巧。文章首先介绍了使用Wireshark工具定位Webshell流量的过程，强调了对HTTP协议和POST请求的过滤。接着，文章针对不同的Webshell管理工具（如蚁剑、菜刀、Sherry、哥斯拉、冰蝎）分别进行了流量特征分析，包括它们各自的编码方式、加密特征、执行命令的特点以及返回包的解析方法。此外，文章还提到了在应急响应过程中如何提取Webshell文件和密钥，以及如何利用这些信息进行解密和代码分析。

网络安全分析网络流量分析 Webshell检测协议分析编码解码应急响应 PHP安全编码技术加密技术

0x9e 【漏洞通告】微软2025年3月安全更新通告

青藤实验室 2025-03-12T12:03:52 © 青藤实验室

微软在2025年3月发布了安全更新，共修复了67个漏洞，涉及Windows操作系统及其多种组件，包括Microsoft Office、Windows NTFS、Windows USB Video Driver等。其中，6个漏洞被标记为危急，51个为高危，1个为低危，还有9个未标记严重程度的Chromium漏洞。值得注意的是，有1个漏洞已公开，6个漏洞存在在野利用，11个漏洞有极大利用可能性。特别需要关注的有22个漏洞，其中包括CVE-2025-24983等高危漏洞，这些漏洞可能被黑客利用进行权限提升或远程代码执行。青藤安全平台已支持Windows补丁检测，并提供了修复建议。此次安全更新对于Windows用户来说至关重要，应尽快安装补丁以防止潜在的安全威胁。

操作系统漏洞微软安全更新漏洞通告高危漏洞漏洞利用可能性安全补丁网络安全

0x9f 利用条件竞争绕过 HackerOne 2FA

白帽子左一 2025-03-12T12:00:28 白帽子左一

本文详细描述了一位网络安全学习者如何发现并利用 HackerOne 平台上的一个竞争条件漏洞。该漏洞允许攻击者关闭任何 HackerOne 账户的双因素认证（2FA）。文章首先介绍了 HackerOne 2FA 的工作原理，然后解释了如何通过竞态攻击（race condition）来绕过 2FA 的重置流程。作者发现，即使用户取消了一个 2FA 重置请求，其他请求的链接仍然有效，这可能导致用户账户的安全风险。HackerOne 团队将这个漏洞判定为中等严重性，并给予了作者漏洞赏金。文章最后讨论了漏洞的修复方法以及为什么会出现这个问题。

漏洞挖掘双因素认证（2FA）竞态条件安全漏洞报告漏洞赏金网络安全测试 Web安全安全漏洞修复网络安全意识

0xa0 【JAVA安全】JNDI漏洞分析

安全驾驶舱 2025-03-12T11:10:35 © zx9

本文深入探讨了JNDI（Java Naming and Directory Interface）相关的安全漏洞，特别是Log4j2漏洞（CVE-2021-44228，即Log4Shell）对企业级Java应用构成的威胁。文章从JNDI的基础原理出发，分析了其漏洞成因、利用方式，并结合实际案例和防御策略，为开发者提供了全面的技术参考。文章详细介绍了JNDI的作用与架构、动态协议加载机制、漏洞历史与影响，以及攻击原理和关键代码逻辑。此外，文章还探讨了不同协议下的攻击面扩展，如RMI、CORBA和DNS协议，以及典型案例Log4RCE漏洞。针对不出网利用技术，文章提出了利用内网JNDI服务与反序列化链组合攻击、本地ClassPath中的恶意类加载、基于DNS协议的信息泄露与内部网络探测、文件写入与本地代码执行等方案。最后，文章给出了针对JNDI漏洞的防御策略和实践建议，包括开发者编码规范、环境配置加固、安全组件部署、内网服务加固、本地ClassPath监控、DNS协议管控和文件操作权限隔离等。

JNDI注入 Java安全漏洞 Log4Shell 漏洞分析防御策略安全漏洞利用代码审计安全最佳实践内网安全 DNS安全

0xa1 Lazarus 黑客将 6 个 npm 包武器化以窃取登录信息

邑安全 2025-03-12T11:06:59 邑安科技

近日，网络安全研究人员揭露了一起由Lazarus Group策划的复杂供应链攻击。黑客入侵了六个流行的npm包，注入恶意代码，旨在窃取全球数千名开发人员和组织的登录凭据。受感染的包包括“react-native-utils”、“api-data-connector”等，每周下载量超过2500万次。攻击者通过绕过多因素身份验证，获取了合法包维护者的npm账户权限，并在合法代码中插入恶意代码，以避免检测。恶意代码设计为在生产环境中激活，从环境变量、浏览器存储和凭据管理器中提取凭据，并通过伪装的合法域名发送到攻击者服务器。npm安全团队已移除受感染版本，并建议组织更新到修补版本并更换所有可能暴露的凭证。

供应链攻击恶意软件包登录凭证窃取 Node.js生态系统开发人员工具网络钓鱼民族国家黑客安全意识安全漏洞

0xa2 微软2025年3月补丁星期二：修复57个漏洞及6个被积极利用的零日漏洞

邑安全 2025-03-12T11:06:59 邑安科技

微软在2025年3月的补丁星期二活动中发布了安全更新，共修复了57个安全漏洞，其中包括6个已被攻击者利用的零日漏洞。这些漏洞影响Windows、Microsoft Office、Azure等多个核心组件。修复的漏洞类型包括权限提升、安全功能绕过、远程代码执行、信息泄露、拒绝服务和欺骗等。特别值得注意的是，6个零日漏洞中，有5个已被实际利用，1个已被公开披露。其中，CVE-2025-24983是一个Windows Win32内核子系统权限提升漏洞，CVE-2025-24984是一个Windows NTFS信息泄露漏洞，CVE-2025-24985是一个Windows FAT文件系统驱动远程代码执行漏洞。系统管理员应立即部署这些更新，特别是针对远程代码执行和权限提升的漏洞，并对于无法立即更新的系统，应启用缓解措施并加强监控。

漏洞修复补丁星期二 Windows安全 Microsoft Office安全 Azure安全零日漏洞远程代码执行权限提升信息泄露安全更新

0xa3 Apache Pinot 漏洞允许攻击者绕过身份验证

邑安全 2025-03-12T11:06:59 邑安科技

Apache Pinot，一个由LinkedIn、Uber和Microsoft使用的开源分布式OLAP数据存储，被发现存在一个严重的安全漏洞（CVE-2024-56325），该漏洞允许未经身份验证的攻击者绕过身份验证控制，获得完整的系统访问权限。漏洞评级为CVSS v3量表中的9.8分，对组织构成严重威胁，包括数据泄露、权限提升和基础设施泄露。该漏洞源于AuthenticationFilter类中的URI验证处理不当，攻击者可以构建特殊编码的HTTP请求来绕过路径规范化检查。成功利用此漏洞的攻击者将获得与认证用户相同的权限，能够访问内部API、Zookeeper配置和Groovy脚本执行接口。Trend Micro的Zero Day Initiative（ZDI）将该漏洞跟踪为ZDI-CAN-24001，并指出利用此漏洞只需要基本的HTTP技能。Apache Pinot的架构使其成为高价值目标，攻击者可能通过该漏洞泄露敏感数据、注入欺诈性记录或破坏集成系统。Apache Pinot已通过改进URI规范化和路径验证解决了该漏洞，管理员应升级系统并实施额外的安全措施，如基于角色的访问控制和WAF规则。这一事件强调了在分布式系统中进行运行时CVE监控的重要性，并提醒安全团队优先考虑分布式架构中的输入验证。

开源软件漏洞身份验证绕过数据泄露风险权限提升分布式系统安全运行时监控代码执行

0xa4 Src实战-垂直越权任意添加用户

隐雾安全 2025-03-12T10:30:26 © 隐雾安全

本文记录了一次网络安全实战经验，主要针对一个内部人员管理平台的垂直越权漏洞。作者发现该平台没有注册入口，经过尝试爆破无果后，通过分析接口发现了一些异常。通过简单的fuzz测试，作者发现返回的数据包长度不一致，并尝试通过POST请求添加数据，但遇到了JSON语法错误。通过观察登录时的数据包参数，作者成功地将这些参数添加到之前的POST请求中，最终成功添加了用户并登录。文章最后提醒读者，同一站点的参数名称应保持一致，并鼓励读者加入网安沟通交流群以获取更多经验。

网络安全漏洞实战案例内部安全用户权限管理数据包分析 JSON格式利用渗透测试

0xa5 一个用于检测HOST 头攻击漏洞的Burp Suite扩展插件

黑白之道 2025-03-12T10:05:41

本文介绍了一款针对检测HOST头攻击漏洞的Burp Suite扩展插件。该插件能够自动检测301跳转响应中的HOST头攻击漏洞，通过修改请求中的HOST头为特定的攻击域名，并检测响应中的Location头是否包含反射的HOST值。插件内置了请求限流机制，以避免对目标系统造成过大压力。检测到的漏洞结果会自动添加到Burp Scanner的面板中，并标注为高危漏洞。使用时，插件会在后台自动处理所有HTTP请求，并修改HOST头。插件的使用说明详细，包括安装方法和插件的工作原理。需要注意的是，该工具仅限于安全学习交流，禁止用于非法目的。

漏洞检测 Burp Suite Web安全 HTTP协议安全工具

0xa6 『代码审计』某OA系统.NET代码审计

黑白之道 2025-03-12T10:05:41

本文详细记录了对某OA系统.NET代码的审计过程。审计者Corl7首先发现了文件上传漏洞，该漏洞存在于Edit.aspx.cs文件中，由于未对文件后缀名进行校验，攻击者可以直接上传文件。接着，审计者发现了SQL注入漏洞，尽管系统使用了过滤器来防止SQL注入，但仍有未使用过滤器的参数存在，导致SQL注入攻击。此外，文章还揭示了未授权访问漏洞，通过将系统路径制作成字典文件并使用Burp扫描，泄漏了数据库的账号和密码。通过这次审计，作者对ASP.NET项目有了更深入的了解，并成功发现了多个漏洞。文章最后提醒读者，本文仅供安全研究与讨论之用，严禁用于非法用途。

0xa7 Tomcat DefaultServlet rce（CVE-2025-24813）

e0m安全屋 2025-03-12T10:04:40 ©

本文详细分析了Apache Tomcat远程代码执行漏洞（CVE-2025-24813）。Apache Tomcat是一个流行的Java Servlet容器，广泛应用于Java Web应用程序的运行。该漏洞存在于当DefaultServlet启用写入功能、使用Tomcat默认会话持久机制和存储位置，以及依赖库存在反序列化利用链的情况下。未授权攻击者可以利用此漏洞执行恶意代码，从而获取服务器权限。文章中分析了漏洞的代码执行条件，包括设置特定的HTTP请求头以及目录存在性的检测。此外，还讨论了漏洞利用过程，包括如何通过反序列化会话来执行命令。文章最后提到了漏洞的影响范围和复现步骤。

Java Web应用安全 Tomcat 漏洞远程代码执行漏洞分析 CVE编号安全漏洞利用反序列化漏洞

0xa8 『代码审计』某OA系统.NET代码审计

实战安全研究 2025-03-12T10:03:43

记录某OA系统.NET审计过程

代码审计漏洞分析 ASP.NET安全文件上传漏洞 SQL注入未授权访问网络安全研究漏洞挖掘

0xa9 Laravel 框架惊现高危漏洞，攻击者可肆意植入恶意脚本

星尘安全 2025-03-12T10:00:33 龙猫

Laravel框架近期被发现存在一个严重的安全漏洞（CVE-2024-13918），该漏洞允许攻击者在应用程序处于调试模式下时，通过未转义的输出指令执行JavaScript代码，从而实现反射性跨站点脚本（XSS）攻击。此漏洞影响了从11.9.0至11.35.1版本的Laravel，CVSS评分达到8.0分。攻击者可以构造恶意URL，通过查询参数或POST数据注入攻击载荷，导致会话信息泄露或执行未经授权的操作。Laravel已发布11.36.0版本，包含补丁以修复此漏洞，开发人员应立即升级以避免风险。

Laravel 漏洞 XSS攻击 PHP框架安全错误处理漏洞开发配置安全漏洞利用POC 安全补丁 Web应用安全

0xaa 没有DNS下安装vCenter和日后如何修改

vExpert 2025-03-12T09:38:57 ©

本文主要针对在只有一个IP地址的情况下部署vCenter的情况进行了分析。作者通过一个实际的案例，演示了如何在vCenter 6.7版本中安装并配置DNS解析。由于DNS解析对于vSphere环境的重要性，作者详细介绍了如何在安装后修改DNS和FQDN配置。文章指出，虽然可以在没有DNS解析的情况下部署vCenter，但为了长期稳定运行，建议在后续配置DNS解析和FQDN。此外，作者还强调了在生产环境中遵守原厂规则的重要性，并提供了一种修正方法。文章最后鼓励读者点赞、分享和关注，并提供了联系方式。

网络配置安全系统安全配置虚拟化安全应急响应最佳实践

0xab CVE-2025-21333 Windows 基于堆的缓冲区溢出分析

Ots安全 2025-03-12T09:36:03

本文详细分析了CVE-2025-21333漏洞，这是一个影响Windows 11 23H2系统的内核模式驱动程序vkrnlintvsp.sys的基于堆的缓冲区溢出。文章解释了漏洞的触发条件和利用过程，包括在ring-0级别实现任意读/写访问和权限提升至SYSTEM。文章提供了漏洞利用的概念验证（PoC）代码，并分析了漏洞利用的限制和改进建议。此外，文章概述了Microsoft为修补此漏洞而应用的补丁，并提出了检测潜在漏洞利用尝试的建议。文章强调了在内核空间中具有任意读/写原语的攻击者可能绕过EDR检测的技术，并提供了相关资源的链接。

漏洞分析内核漏洞缓冲区溢出 Windows安全驱动程序漏洞概念验证（PoC）权限提升安全检测逆向工程漏洞补丁

0xac TPCTF2025 writeup by Mini-Venom

ChaMd5安全团队 2025-03-12T09:31:27 © Min-Venom

本文是一篇网络安全相关的招新广告，主要面向CTF（Capture The Flag）竞赛的参与者。广告中介绍了多个技术方向的CTF小组，包括re（逆向工程）、crypto（密码学）、pwn（漏洞利用）、misc（杂项）和合约方向。此外，还提到了IOT（物联网）、Car（汽车安全）、工控（工业控制系统）和样本分析等多个小组正在招募成员。广告中提供了联系邮箱admin@chamd5.org，并要求有意向的师傅发送简历和想加入的小组信息。文章中还包含了一些具体的CTF题目分析，例如Pwn方向的EzDB C++堆题，以及Web方向的Baby layout利用和supersqlimultipart/form-data解析差异等。最后，广告还提到了ChaMd5 Venom小组的成立和招募信息。

招聘网络安全 CTF 漏洞利用逆向工程 Web安全密码学工控安全样本分析脚本语言系统安全

0xad Apache Tomcat 中的 CVE-2025-24813 漏洞导致服务器遭受 RCE 和数据泄露

TtTeam 2025-03-12T09:30:37

Apache Tomcat近期发现了一个严重漏洞CVE-2025-24813，该漏洞可能导致攻击者执行远程代码、泄露敏感信息或破坏数据。Apache软件基金会已发布紧急安全公告，提醒用户更新受影响版本。漏洞源于Tomcat处理部分PUT请求时的缺陷，攻击者可能利用此漏洞查看或注入内容到安全敏感文件，或在特定条件下执行远程代码。受影响的版本包括Apache Tomcat 11.0.0-M1至11.0.2、10.1.0-M1至10.1.34、9.0.0.M1至9.0.98。基金会建议用户升级到最新版本以缓解风险，否则许多生产服务器可能面临安全威胁。

Web服务器漏洞远程代码执行（RCE）数据泄露漏洞利用 Apache Tomcat 安全更新安全公告软件安全

0xae 微软3月补丁日多个产品安全漏洞风险通告：6个在野利用、6个紧急漏洞

奇安信 CERT 2025-03-12T09:23:18

致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。

操作系统漏洞微软漏洞信息泄露远程代码执行权限提升安全功能绕过紧急漏洞补丁管理终端安全

0xaf 飞牛NAS上部署DeepSeek的详细步骤

内存泄漏 2025-03-12T09:21:31

本文详细介绍了在飞牛NAS上部署DeepSeek模型的步骤。首先，介绍了前期准备，包括硬件选择（如支持x86架构的电脑、至少8GB的U盘、SSD系统盘等）和软件准备（下载镜像文件、使用Rufus或BalenaEtcher制作启动U盘）。接着，描述了安装飞牛NAS的过程，包括制作启动U盘、启动安装程序、分区、完成安装并设置管理员账号。然后，说明了启用Docker支持，并通过SSH登录NAS后台安装最新版Docker。部署DeepSeek的步骤包括检查前置条件、配置Docker环境、拉取Ollama镜像、映射端口、绑定存储路径、选择合适的DeepSeek模型版本并运行。最后，文章还涉及了网络与访问配置、资源管理、安全加固、测试与验证以及故障排查等环节。

0xb0 微软周二补丁日发布，修复 57 个漏洞，其中6个被野外利用

军哥网络安全读报 2025-03-12T09:00:32 会杀毒的单反狗

微软在2025年3月发布了安全更新，修复了57个影响其一系列产品的漏洞。其中，6个漏洞被标记为“严重”，且已被野外利用。这些漏洞包括特权提升、安全功能绕过、远程代码执行、信息泄露、拒绝服务和欺骗等问题。特别被关注的是CVE-2025-26633至CVE-2025-24983等漏洞，它们允许攻击者绕过安全功能、执行代码、泄露信息或提升权限。微软还提醒管理员注意其他严重漏洞，如CVE-2025-26645，该漏洞允许攻击者通过远程桌面客户端执行远程代码。微软建议系统管理员优先解决这些关键漏洞，以保护Windows系统不受攻击。

安全补丁漏洞修复漏洞利用 CVE编号操作系统安全远程代码执行权限提升信息泄露拒绝服务安全功能绕过

0xb1 工具集：DarKnuclei【针对红蓝对抗的快速打点工具】

风铃Sec 2025-03-12T08:32:40 wolven

DarKnuclei是一款专为红蓝对抗设计的快速打点工具，适用于红队和蓝队。红队可以使用它进行快速打点，包括资产测绘、WEB扫描和GOGO扫描；而蓝队则可以用于扫描红队基础设施和服务。工具支持多种特征扫描，包括强特征和弱特征，能够识别多种C2（命令与控制）通信。DarKnuclei内置了yaml语法，允许用户自定义扫描模板。工具支持多种平台和服务，包括ARL、Scope、Sentry、AWVS、Nessus、XSS、BeEF、LangSrcCurise、Medusa、NextScan、prismx、CyberEdge、SerializedPayloadGenerator、web-chains、RevSuit、MemShellParty、vulfocus、gophish、testnet、rengine、JNDI-Injection-Exploit-PlusTools、JNDI-Injection-ExploitTools、rogue-jndi、JNDIMapTools和ysoserialTools等。此外，DarKnuclei还支持多种C2的名字、版本、登录/连接监听端口以及各种流量类型。工具使用Python 3.9编写，并提供了对macOS和Linux系统的支持。用户可以通过修改config.ini文件来配置工具，并提供了详细的安装和使用指南，包括如何将nuclei加入环境变量和配置nuclei-templates。

网络安全工具红蓝对抗漏洞扫描 C2识别自动化测试脚本语言红队工具蓝队工具环境配置

0xb2 记一次攻防演练突破

菜鸟学信安 2025-03-12T08:31:15 on1_es

本文详细记录了一次网络安全攻防演练中的突破过程。首先，通过针对一个老旧的IIS+ASP.NET+MSSQL架构的站点进行信息收集，发现了SQL注入漏洞，并通过sqlmap工具检测到了三类注入，特别是时间类型注入，这为后续的xp_cmdshell调用提供了条件。攻击者成功利用火绒杀软的漏洞，编写了畸形的一句话木马，并通过HTTP代理和Burp工具成功获取了Webshell。在内网渗透阶段，攻击者上传了免杀马并利用xp_cmdshell执行上线CS客户端，但由于权限较低，开始考虑提权。通过二开处理和Dompotato提权工具，攻击者成功获得了system权限，并在DMZ区内寻找了多个可利用的Server主机，利用rdp密码复用进入远程桌面，收集内网信息。在内网中，攻击者发现了弱口令的MSSQL服务器，并利用CLR函数加载shellcode来避免火绒查杀。最后，攻击者成功绕过了火绒的监测，添加管理员账户并开启了远程桌面服务，获取了大量数据。文章总结了在Windows Server、Linux、数据库、应用权限和Vcenter等多个方面的攻击经验。

0xb3 vulnhub靶场之SkyTower【天空塔】靶机

泷羽sec-何生安全 2025-03-12T08:30:16 ©

本文详细记录了在Skytower靶机上的网络安全学习过程。首先，通过arp-scan和nmap等工具对靶机进行主机发现和端口扫描，确定了靶机的开放端口和服务。接着，通过访问网站并使用wappalyzer插件收集网站信息，尝试使用gobuster等工具爆破网站目录，但未发现有效目录。在网站登录框中尝试注入攻击，成功利用SQL注入漏洞获取用户名和密码。由于22端口SSH服务被过滤，通过3128端口的代理服务器和proxychains4工具成功建立SSH连接。在靶机内进行信息收集，发现数据库开放且密码未加密，通过猜测和测试，成功提权至root用户。文章详细描述了每个步骤的操作和思路，包括利用代理绕过防火墙、配置隧道代理、修改rbash配置文件以及利用目录构造进行越级访问等技巧。

靶场攻击网络扫描漏洞检测 SQL注入代理服务器 SSH连接系统提权信息收集 Linux安全

0xb4 钓鱼和 MFA 绕过技术

TtTeam 2025-03-12T08:12:59

本文详细探讨了钓鱼攻击与多因素认证（MFA）绕过技术的结合。文章首先介绍了用户帐户创建和合法MFA注册的过程，包括模拟敏感数据的显示。接着，描述了两个后端功能：真实后端用于实现标准的MFA流程，而虚假后端则用于模拟受害者用户，并将信息插入网络钓鱼程序中。文章还提到了使用Evilginx等工具进行网络钓鱼模拟，生成网络钓鱼链接。攻击方式分为自动基于电子邮件的攻击和手动攻击，后者涉及用户手动完成MFA流程。最后，文章提供了一个下载地址，指向用于模拟这些攻击的Phisherman工具的GitHub页面。

钓鱼攻击多因素认证绕过模拟攻击 Evilginx JWT令牌窃取端到端攻击流程用户教育安全工具

0xb5 开源免费抓包工具，支持Windows、Mac、Android、IOS、Linux 全平台系统

白帽学子 2025-03-12T08:11:28 © 白帽学子

本文介绍了一款名为ProxyPin的开源免费抓包工具，该工具支持Windows、Mac、Android、IOS、Linux全平台系统。文章通过实际案例展示了ProxyPin在网络安全领域的应用，包括流量监控与精细化分析、请求操纵与协议级干预、自动化防御与智能过滤、加密流量深度解析以及攻击面动态收敛技术等。文章强调了ProxyPin在红蓝对抗、移动端渗透测试和日常运维中的实用性和高效性，并提供了工具的下载链接。

抓包工具流量监控协议分析移动端渗透红蓝对抗请求重放安全审计证书管理动态防御安全测试

0xb6 SideWinder APT 深度解析：攻击动机、归因迷雾与防御策略再思考

技术修道场 2025-03-12T08:01:11 Hankzheng

卡巴斯基实验室最新报告揭示了SideWinder APT组织对亚洲、中东和非洲关键基础设施的新一轮攻击。攻击通过鱼叉式钓鱼邮件，利用CVE-2017-11882漏洞执行恶意代码，进而下载并运行StealerBot恶意软件。StealerBot具有模块化设计，可收集系统信息、窃取文件、截取屏幕、记录键盘输入和进行网络侦察。攻击者使用代码混淆、动态加载和白名单绕过等技术隐藏其活动。攻击目标包括海运、核能、IT和外交等领域，可能与地缘政治竞争和供应链攻击有关。归因问题复杂，存在假旗行动和网络雇佣军的可能性。卡巴斯基建议采取更新补丁、员工培训、部署EDR/XDR解决方案和加强供应链安全管理等措施来防御此类攻击。

APT攻击钓鱼攻击恶意软件代码混淆 C2通信漏洞利用网络监控供应链攻击安全防御策略威胁情报

0xb7 漏洞预警 | I Doc View远程代码执行漏洞

浅安安全 2025-03-12T08:00:22 浅安

本文报道了一项针对I Doc View在线文档预览系统的安全漏洞，该漏洞被评定为高危级别。I Doc View是一款用于Web环境中展示和预览各类文档的系统，包括文本文档、电子表格、演示文稿和PDF文件等。该系统的/system/cmd.json接口存在远程代码执行漏洞，未经身份验证的攻击者可利用此漏洞在目标服务器上执行任意代码，从而获取敏感信息或控制服务器。目前，官方已经发布了修复该漏洞的安全版本，建议用户及时升级以避免安全风险。漏洞编号暂未公布，相关漏洞详情和修复建议已在文章中详细说明，包括漏洞影响版本和漏洞利用代码（POC）的状态。

远程代码执行漏洞 Web应用安全高危漏洞文档预览系统漏洞未授权访问代码执行漏洞修复

0xb8 漏洞预警 | NetMizer日志管理系统SQL注入漏洞

浅安安全 2025-03-12T08:00:22 浅安

NetMizer日志管理系统的/data/login/dologin.php接口存在SQL注入漏洞，未经身份验证的攻击者可以通过该漏洞获取数据库敏感信息。

SQL注入高危漏洞信息泄露日志管理系统漏洞漏洞修复安全预警

0xb9 漏洞预警 | 百易云资产管理运营系统SQL注入漏洞

浅安安全 2025-03-12T08:00:22 浅安

百易云资产管理运营系统近日被发现存在高危SQL注入漏洞，该漏洞位于/wuser/admin.house.collect.php接口，未经身份验证的攻击者可以利用此漏洞获取数据库中的敏感信息。该系统是一款面向企事业单位的资产管理平台，提供了全面的服务。目前，官方已经发布了修复漏洞的版本，建议用户尽快升级至安全版本以防止潜在的安全风险。漏洞编号尚未公布，影响版本为百易云资产管理运营系统，POC（Proof of Concept，概念验证）已被公开。

SQL注入高危漏洞资产管理系统漏洞云计算安全信息泄露风险平台安全紧急修复建议

0xba （已复现）远程代码执行漏洞；攻击X平台与DeepSeek的为同一僵尸网络

计算机与网络安全 2025-03-12T07:57:39

本文详细分析了Apache Tomcat中的一个远程代码执行（RCE）漏洞（CVE-2025-24813），该漏洞影响启用了Partial PUT和DefaultServlet写入权限的环境。攻击者可以利用该漏洞绕过路径校验访问敏感文件或写入特定文件以执行恶意代码。漏洞的成因是Tomcat DefaultServlet处理partial PUT请求时的临时文件命名逻辑不安全。文章提供了漏洞的利用条件、影响版本、修复方案以及临时缓解措施。此外，文章还披露了X平台遭遇的三次服务中断事件，这些中断被怀疑是由同一僵尸网络RapperBot发起的DDoS攻击造成的，该僵尸网络与春节期间攻击DeepSeek的属于同一组。文章指出RapperBot僵尸网络提供有偿攻击服务，并分析了X平台因裁员和重大改革后网络安全方面的薄弱环节。

远程代码执行漏洞漏洞修复安全通告 Java Web应用安全僵尸网络攻击 DDoS攻击网络安全事件分析安全应急响应

0xbb Voodoo Bear APT44 攻击模拟

安全狗的自我修养 2025-03-12T07:28:54 hai dragon

本文详细介绍了Voodoo Bear APT44组织针对东欧实体发起的攻击模拟。攻击活动始于2022年中期，采用从后门开始的攻击链，该后门是一个DLL，针对32位和64位Windows环境。后门能够收集信息、识别用户和机器，并通过多线程方法和事件对象进行数据同步和跨线程信号传输。文章中提到了使用withsecure工具分析模拟攻击的细节，以及Kapeka后门的用途和功能。Kapeka是一个用C++编写的灵活后门，可以作为早期工具包使用，并为受害者网络提供长期持久性。文章还涉及了RSA C2服务器脚本的开发，用于攻击者服务器和目标之间进行安全数据传输，以及测试payload和DLL后门的开发。Kapeka后门具有四个主要线程，用于初始化、监视、处理任务和任务完成情况。此外，文章还提到了一系列相关课程和视频教程，涵盖 Rust 语言全栈开发、mac/ios安全、QT开发、linux安全开发等多个领域。

APT攻击后门软件 Windows安全加密通信恶意软件分析安全工具 C2通信逆向工程安全研究

0xbc 记一次刨根问底的HTTP包WAF绕过

七芒星实验室 2025-03-12T07:00:22 print(\"\")

本文详细分析了涉及FastCGI协议的网络安全问题。文章首先介绍了从Web服务器到PHP服务器的通信过程，并通过抓包技术展示了FastCGI协议的具体内容。接着，文章深入探讨了PHP如何处理multipart/form-data类型的POST请求，特别是对上传文件的解析和处理过程。文章中提到了rfc1867_post_handler函数在处理multipart/form-data时的关键作用，以及如何从请求中提取和存储数据。此外，文章还讨论了PHP在处理文件上传时的安全性考虑，包括边界值的检测、文件名的处理以及错误处理机制。最后，文章提醒读者注意multipart/form-data中特殊字符的处理，以及如何从请求中正确提取参数值。

网络攻击技术漏洞利用 PHP安全 FastCGI协议数据包分析 Web应用安全编码转换源代码分析

0xbd 泛微OA-Ecology9.0开启非标功能操作说明

OA大助手 2025-03-12T00:07:49

本文提供了泛微OA-Ecology 9.0系统开启非标功能的详细操作步骤。首先介绍了如何获取客户编码CID，通过创建一个JSP页面来获取CID值。接着，文章指导用户如何执行非标模块的SQL语句来调整菜单ID和开启代码，这涉及到对数据库的操作，包括删除和插入记录。最后，文章说明了完成菜单添加后需要重启服务器以使更改生效。整个过程涉及到系统的增值服务和定制化需求，适用于对系统有特定要求的用户。

网络安全配置系统漏洞利用数据库安全服务器安全代码审计

0xbe XXE漏洞利用完全指南

骨哥说事 2025-03-12T00:01:20 © 骨哥说事

本文深入探讨了XML外部实体（XXE）漏洞，这是一种常见但易被忽视的网络安全漏洞。文章首先介绍了XXE漏洞的定义和潜在风险，包括读取内部文件、访问内部网络以及执行远程代码执行等。接着，文章阐述了如何识别XXE漏洞，包括常见的受影响组件和自动化检测方法。随后，文章详细介绍了XXE漏洞的利用方式，从简单的漏洞利用到高级利用案例，如利用外部DTD进行攻击、参数实体盲注、资源耗尽攻击、UTF-7编码利用以及将XXE漏洞升级为远程代码执行等。文章还提到了XXE二段注入的概念，并强调了跟踪所有XML数据流的重要性。最后，文章总结了XXE漏洞的当前形势，并鼓励读者测试目标是否存在潜在的XXE漏洞。

XXE漏洞 Web安全安全漏洞代码审计渗透测试 XML处理服务器安全安全开发

0xbf 从JS文件中发现隐藏端点及自动化检测的实现【星球专享】

骨哥说事 2025-03-12T00:01:20 骨哥说事

本文详细介绍了如何通过多种方法寻找目标网站中的JavaScript文件。作者首先强调了程序和方法仅供安全研究和教学使用，并明确了法律责任。文章列举了多种自动化工具和技术，如gau、Wayback Machine、Katana等，以及如何使用它们来提取目标网站的所有JavaScript文件。此外，还提供了手动检查页面源代码、使用网络标签页、Burp Suite Spidering和浏览器插件Findsomething等手动方法。最后，文章简要介绍了如何从提取的JavaScript文件中发现API和API密钥。

网络安全研究 JavaScript渗透测试自动化检测 Web应用安全信息收集工具漏洞挖掘安全意识

0xc0 安卓逆向 -- 安卓开发与逆向基础

逆向有你 2025-03-12T00:01:07 sigewangdaiduie

本文深入探讨了Android应用清单文件AndroidManifest.xml的重要性及其内容。文章首先介绍了应用清单文件的必要元素，包括软件包名称、组件、权限、硬件和软件功能等。接着，详细解释了软件包名称与项目目录结构的关系，以及如何在Android Studio中自动生成清单文件。文章还涵盖了Android四大组件：Activity、Service、BroadcastReceiver和ContentProvider，分别介绍了它们的定义、生命周期、注册方法以及如何与Intent进行交互。此外，文章还讨论了Intent过滤器、权限管理、设备兼容性等高级主题。最后，文章通过一个模拟广告应用的例子，展示了如何通过逆向工程修改应用以跳过广告界面，从而加深了对Android基础知识和逆向工程的理解。

移动应用安全应用清单文件分析组件安全权限管理逆向工程漏洞分析安全实践

0xc1 工具推荐 | 使用Go编写的瑞数WAF绕过工具

星落安全团队 2025-03-12T00:00:38 wjlin0

本文介绍了一款名为riverPass的瑞数WAF绕过工具，该工具使用Go语言编写，通过利用WebSocket协议，能够绕过瑞数WAF的检测。riverPass工具无需额外安装其他工具，只需导入mitmproxy证书即可使用，支持自定义设置下游代理，并能与Burp联动进行重放攻击。文章详细介绍了riverPass的使用方法，包括代理监听端口、WebSocket监听端口、WebSocket通信密钥、域名白名单等配置选项。此外，文章还提供了运行riverPass的示例，并说明了如何在使用Burp代理的情况下进行代理重放。最后，文章提到了导入mitmproxy证书的步骤，并提醒用户在安全测试和防御研究中使用这些技术、思路和工具，切勿用于非法目的。

网络安全工具 Web应用安全 Go语言开发代理技术漏洞利用信息安全研究

0xc2 一文学习JWT造成的各种安全漏洞利用手法

船山信安 2025-03-12T00:00:38

网络安全身份认证漏洞分析攻击手法 JWT安全密钥管理编码实践 Web安全

0xc3 《改个返回包接管全站？》

赛搏思安全实验室 2025-03-11T23:30:20 © 不会挖src

权限控制漏洞参数篡改攻击自动化工具利用信息泄露风险未授权访问

0xc4 无需手动操作！deepseek自动通关DVWA靶场

sec0nd安全 2025-03-11T23:07:58

无需任何手动操作！deepseek全自动通关DVWA靶场

网络安全自动化 AI应用靶场学习命令注入攻击渗透测试工具 API安全 Python编程

0xc5 记一次红队打点mt_rand突破

sec0nd安全 2025-03-11T23:07:58

本文记录了一次针对特定目标系统的红队攻击过程。作者在尝试打点进入目标系统时遇到了困难，但通过信息收集发现了自建的客服系统。经过资产测绘和代码审计，发现系统基于TP5.0.24开发，初步没有发现注入点。在进一步分析代码时，作者发现了解密算法cpDecode，并通过分析mt_rand生成的密钥，成功找到了攻击入口。由于mt_rand的种子范围较广，作者使用了多进程脚本进行了爆破，最终找到了有效的密钥和入口点，并通过继承自base的控制器的漏洞成功拿下系统。

红队攻击代码审计 PHP安全漏洞利用加密解密反序列化漏洞自动化攻击多进程

0xc6 深入探索 AD CS：探索一些常见错误消息

securitainment 2025-03-11T22:24:23 Jacques Coertze

0xc7 【漏洞预警】Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)

安全聚 2025-03-11T22:12:35 © 聚焦网络安全情报

近日，安全聚实验室监测到 Apache Tomcat 存在远程代码执行漏洞，编号为：CVE-2025-24813，CVSS:8.7

远程代码执行 Apache Tomcat 漏洞预警 CVSS评分 Java Servlet容器 Web服务器版本影响安全措施漏洞修复

0xc8 Ivanti Unauthenticated RCE（CVE-2024-8190）

爱坤sec 2025-03-11T22:11:25 爱坤

本文详细分析了Ivanti Unauthenticated RCE（CVE-2024-8190）漏洞。该漏洞存在于Ivanti CSA 4.6及以下版本中，由CVE-2024-8963和CVE-2024-8190两个漏洞叠加而成。CVE-2024-8963允许未经身份验证的远程攻击者访问受限功能，而CVE-2024-8190则允许经过身份验证的远程攻击者执行系统命令注入，从而获取远程代码执行权限。攻击者需要管理员权限来利用此漏洞。文章提供了一个PoC，展示了如何结合这两个漏洞在未经身份验证的情况下执行远程代码。文章还包含了使用PoC的示例和免责声明，强调该工具仅用于授权测试和教育目的，未经授权的使用是非法的。

漏洞分析远程代码执行 Ivanti CSA 未经身份验证的攻击 PoC分析安全工具安全研究免责声明

0xc9 Apache Tomcat远程代码执行漏洞（CVE-2025-24813）

山石网科安全技术研究院 2025-03-11T21:30:41 © HSCERT

Apache Tomcat近期发布了一个安全公告，修复了一个编号为CVE-2025-24813的远程代码执行漏洞。该漏洞是由于Tomcat DefaultServlet处理基于Content-Range头的HTTP PUT请求时，临时文件命名逻辑存在缺陷，攻击者可能通过构造特殊请求路径获取安全配置文件中的凭据密钥或执行恶意代码。漏洞影响范围广泛，包括11.0.0-M1至11.0.210、9.0.0-M1至9.0.98等版本。官方已发布安全更新，建议用户尽快升级至安全版本。同时，提供了临时解决方案，包括修改配置文件和设置安全路径。

远程代码执行 Apache Tomcat 软件漏洞高危漏洞安全更新漏洞修复 Web服务器安全应用程序安全

0xca ProxyCat-V1.9.4 更加强大的代理池

白帽学子 2025-03-11T20:27:40 © 白帽学子

本文介绍了网络安全工具ProxyCat-V1.9.4的强大功能和实战应用。该工具在红蓝对抗预演中展现了其代理池自动化切换、流量成本控制器和黑白名单防误伤等特性，有效提升了渗透测试的隐蔽性和安全性。文章详细分析了ProxyCat如何与防火墙、加密技术、身份认证、威胁感知和应急响应等网络安全关键技术相结合，以提高网络安全防护能力。同时，文章强调了在使用此类工具时需遵守法律法规，不得用于非法测试。

代理池技术动态流量管理网络安全自动化加密技术访问控制威胁感知应急响应红蓝对抗金融网络安全

0xcb 网康科技 NS-ASG 应用安全网关 add_ikev2.php SQL注入漏洞(CVE-2024-3458)

nday POC 2025-03-11T20:09:50 Superhero

本文详细介绍了网康科技NS-ASG应用安全网关中存在的一个SQL注入漏洞（CVE-2024-3458）。该漏洞位于add_ikev2.php接口，未经身份验证的攻击者可以利用此漏洞获取数据库中的敏感信息，如管理员密码和用户个人信息。更严重的是，攻击者可能在获得高权限后向服务器写入命令，从而获取服务器系统权限。文章提供了漏洞的复现方法、相关的搜索引擎信息、自查工具以及修复建议。建议用户及时升级到官方发布的修复版本，以避免潜在的安全风险。此外，文章还介绍了内部圈子信息，该圈子主要分享1day/nday POC详情及检测脚本，并支持多种工具进行扫描。

SQL注入漏洞应用安全网关漏洞修复网络安全设备认证方式漏洞复现漏洞利用网络安全漏洞

0xcc Vulnhub 靶机 VulnOSv2 opendocman cms 32075 sql注入账号密码 ssh连接

泷羽Sec-朝阳 2025-03-11T20:02:11 © 泷羽Sec-朝阳

本文详细记录了对Vulnhub靶机VulnOSv2的渗透过程。渗透者首先进行了信息收集，使用arp-scan和nmap工具扫描目标IP和端口，发现开放的22端口SSH、80端口HTTP和6667端口IRC服务。通过dirb和dirsearch工具扫描后台路径，发现存在一个账户密码为guest/guest的目录。在6667端口发现了一个后门服务，而22端口需要密码。使用nikto工具扫描80端口，发现了一些潜在的安全漏洞。通过构造SQL注入语句，渗透者成功获取了数据库的schema、table、column信息，并最终获取了md5加密的账号密码。利用webmin账户的密码登录后，通过python脚本修复pty，获得了一个不完整的shell。进一步查找提权exp，最终成功获取root权限。文章详细描述了整个渗透过程，包括信息收集、漏洞利用、提权等步骤，为网络安全学习者提供了实战参考。

靶场测试 SQL注入信息收集漏洞利用权限提升 SSH连接漏洞挖掘渗透测试安全工具后门利用提权

0xcd 实测新型攻击可盗任意密码

二进制空间安全 2025-03-11T19:43:56

本文详细介绍了新型攻击手段“多态扩展”如何盗取任意密码。该攻击利用了Chromium内核浏览器扩展程序的漏洞，通过创建目标扩展的像素级完美副本，欺骗用户输入密码。攻击分为四个阶段：攻击者准备与社交工程，识别目标扩展，伪装成目标扩展，以及影响。攻击者首先通过社交工程诱导用户安装伪装的多态扩展，然后通过技术手段识别受害者浏览器中已安装的扩展，并选择目标扩展进行模仿。一旦用户在受攻击的扩展中输入密码，攻击者即可获取这些敏感信息。文章强调了这种攻击的危险性，并建议使用原生浏览器安全解决方案来应对此类威胁。

密码安全浏览器安全恶意软件攻击社交工程扩展程序安全账户安全浏览器漏洞网络安全意识

0xce Apache Tomcat 多项安全漏洞

网安百色 2025-03-11T19:28:57

Apache Tomcat，作为一款广泛使用的开源Web服务器软件，近期暴露出多个安全漏洞，其中包括远程代码执行（RCE）等严重风险。这些漏洞覆盖了从文件泄露到拒绝服务（DoS）等多种类型，影响了从11.0.0-M1到11.0.2等多个版本。文章详细列出了CVE编号、漏洞类型、描述和受影响版本，并提供了降低风险的建议，包括升级软件、禁用默认Servlet写入、正确配置文件、监控系统资源和定期进行安全审计。文章强调了定期更新和持续维护对于保护Apache Tomcat服务器免受潜在攻击的重要性。

Web服务器安全开源软件漏洞远程代码执行拒绝服务攻击跨站脚本攻击信息泄露认证绕过 HTTP/2安全问题配置安全安全最佳实践

0xcf Microsoft WinDbg RCE 存在允许攻击者远程执行任意代码漏洞

网安百色 2025-03-11T19:28:57

漏洞披露远程代码执行安全漏洞 .NET框架 WinDbg 供应链攻击认证和授权漏洞利用软件更新安全响应

0xd0 【安全圈】Apache Tomcat 中的 CVE-2025-24813 漏洞导致服务器遭受 RCE 和数据泄露：立即更新

安全圈 2025-03-11T19:00:53

Apache Tomcat近期被发现存在一个严重的安全漏洞CVE-2025-24813，该漏洞可能允许攻击者远程执行代码、泄露敏感信息或破坏数据。Apache软件基金会已发布紧急安全公告，建议受影响的用户立即更新到最新版本。漏洞源于Tomcat处理部分PUT请求时的缺陷，可能导致攻击者通过特定条件下的文件上传功能获取敏感信息或执行远程代码。受影响的Apache Tomcat版本包括11.0.0-M1至11.0.2、10.1.0-M1至10.1.34和9.0.0.M1至9.0.98。基金会强烈建议用户升级到11.0.3或更高版本、10.1.35或更高版本、9.0.99或更高版本以缓解风险。如果不及时更新，受影响的服务器可能面临数据泄露和远程代码执行的重大威胁。

Apache Tomcat 漏洞远程代码执行（RCE）数据泄露软件更新 Web 服务器安全安全公告漏洞利用

0xd1 【已复现】Apache Tomcat存在远程代码执行漏洞（CVE-2025-24813）

安恒信息CERT 2025-03-11T18:40:19

Apache Tomcat版本9.0.0.M1至11.0.2存在远程代码执行漏洞（CVE-2025-24813），该漏洞评级为高危。当Tomcat配置为开启Put操作且使用session文件形式保存时，攻击者可利用该漏洞上传恶意session文件实现远程代码执行。安恒CERT已复现此漏洞，漏洞CVSS3.1评分为8.1。受影响用户应尽快更新至安全版本Apache Tomcat 9.0.99、10.1.35或11.0.3。官方已发布修复方案，建议用户在Tomcat根目录的web.xml和context.xml中调整配置，并确保session持久化路径安全。安恒研究院已提供相关补丁包和漏洞扫描系统支持。

远程代码执行 Apache Tomcat 漏洞利用软件安全安全更新高危漏洞漏洞复现网络安全

0xd2 【已复现】Apache Tomcat存在远程代码执行漏洞（CVE-2025-24813）

安恒信息CERT 2025-03-11T18:40:19 安恒研究院

Apache Tomcat近期被发现存在一个远程代码执行漏洞（CVE-2025-24813），该漏洞评级为高危，CVSS3.1评分为8.1。漏洞存在于9.0.0.M1至11.0.2版本的Apache Tomcat中，当Tomcat开启Put请求，并配置了session文件形式保存时，攻击者可以通过上传恶意session文件实现远程代码执行。安恒CERT已复现此漏洞，并建议用户尽快更新至安全版本。官方已发布修复方案，用户应检查并注释或移除web.xml中的readonly配置，以及将session持久化保存路径设置为安全路径。此漏洞影响范围广泛，包括多个产品和服务，如AiLPHA大数据平台、GoldenEye IPv6、APT攻击预警平台等。

远程代码执行 Apache Tomcat 漏洞修复 Web服务器安全高危漏洞漏洞复现安全更新

0xd3 已复现！Apache Tomcat 远程代码执行漏洞

微步在线 2025-03-11T18:31:13

本文详细介绍了Apache Tomcat远程代码执行漏洞CVE-2025-24813。该漏洞存在于Apache Tomcat服务器中，由于文件名处理机制逻辑问题，攻击者可以上传恶意序列化文件至session目录，并通过指定JSESSIONID触发反序列化操作实现远程代码执行。漏洞利用条件较为复杂，需满足四个条件，包括默认关闭的DefaultServlet写入功能、支持partial PUT请求、使用Tomcat文件会话持久化且默认会话存储位置，以及存在反序列化漏洞的库。官方已发布修复补丁，建议用户尽快更新。此外，文章还提供了临时修复方案和漏洞处置优先级，以及微步在线产品对这一漏洞的支持情况。

Web服务器漏洞远程代码执行漏洞利用条件 Apache Tomcat 漏洞处置漏洞情报安全修复代码审计

0xd4 【已复现】Apache Tomcat Partial PUT远程代码执行漏洞（CVE-2025-24813）

长亭安全应急响应中心 2025-03-11T18:27:07

Apache Tomcat 服务器近期被发现存在一个远程代码执行漏洞（CVE-2025-24813），该漏洞影响启用了Partial PUT和DefaultServlet写入权限的环境。攻击者可以通过构造特定的请求路径，绕过路径校验，访问或写入敏感文件，从而可能执行恶意代码。漏洞的利用条件相对苛刻，需要满足多个条件，包括DefaultServlet启用写入权限、服务器启用partial PUT、攻击者已知敏感文件路径等。Apache官方已发布修复版本，建议受影响用户尽快升级至安全版本以降低风险。同时，提供了临时缓解方案，包括禁止partial PUT和严格控制DefaultServlet写入权限。

Java Web 漏洞远程代码执行文件操作漏洞信息泄露配置错误 Apache Tomcat CVE-编号

0xd5 一种基于unicorn的寄存器间接跳转混淆去除方式

看雪学苑 2025-03-11T18:00:00 l4n

本文深入探讨了网络安全领域中寄存器间接跳转的加固和修复方法。文章首先介绍了寄存器间接跳转的基本概念，即通过寄存器内的值来指定程序跳转的地址，并分析了这种跳转方式如何被用于混淆代码逻辑，使得反编译器难以识别。接着，文章提出了简单的处理思路，即通过将data段的属性改为只读，来促进反编译器的常量传播，从而去除部分混淆。然而，这种方法并不完美，因此文章进一步介绍了自动化进阶思路，使用模拟执行框架（如unicorn）来解出跳转时寄存器存储的具体值，并进行patch去除混淆。文章详细介绍了如何使用unicorn框架进行模拟执行，包括如何识别特征代码块、如何进行信息搜集、如何模拟执行获取最终跳转值，以及如何进行patch操作。最后，文章提供了一个完整的实现代码示例，并展示了去混淆前后的结果对比。

逆向工程安全分析代码混淆漏洞分析漏洞修复 ARM架构模拟执行编程语言安全工具

0xd6 Responder与evil-winRM配合远程登录windows

蚁景网络安全 2025-03-11T17:40:56 TWe1v3

本文详细介绍了两个网络安全工具：evil-winRM和Responder。evil-winRM是一个用于Windows远程管理的工具，它提供了强大的功能，可以用于渗透测试和合法的远程管理任务。文章中提供了安装和使用evil-winRM的步骤，包括通过命令行和脚本的方式。Responder是一个用于欺骗网络协议（如LLMNR、NBT-NS和MDNS）的工具，它可以捕获网络上的凭证信息。文章解释了Responder的工作原理，包括其内置的多种身份验证服务器和欺骗机制。此外，文章通过一个实战案例展示了如何使用Responder和evil-winRM配合进行远程登录Windows测试环境，包括漏洞利用、凭证捕获和密码破解等步骤。最后，文章提供了参考文章链接，供读者进一步学习。

Windows Security Remote Access Post-Exploitation Malware Analysis Password Cracking Network Security Penetration Testing Security Tools

0xd7 udp没有连接就会生成socket吗？

车小胖谈网络 2025-03-11T17:32:42 ©

本文探讨了UDP协议的性质和通信过程。UDP被描述为一个无连接的传输层协议，尽管如此，它在使用时仍然需要通过socket()系统调用生成UDP Socket。文章详细解释了UDP通信过程中的两个阶段：未连接和已连接状态。此外，文章讨论了UDP通信中的发送过程，包括UDP数据包的封装、路由、发送队列的管理，以及当发送队列满或空时的处理机制。最后，文章简要介绍了与socket相关的数据结构，以及用户在创建socket时需要提供的参数。

网络协议 socket编程操作系统网络传输网络安全

0xd8 【已复现】Apache Tomcat远程代码执行漏洞（CVE-2025-24813）

绿盟科技CERT 2025-03-11T17:12:10 © NS-CERT

绿盟科技CERT近日发布安全公告，指出Apache Tomcat存在远程代码执行漏洞（CVE-2025-24813）。该漏洞允许未经身份验证的攻击者在特定条件下执行任意代码，获取服务器权限。漏洞影响Apache Tomcat 11.0.0-M1至11.0.2.10.1.0-M1至10.1.349.0.0.M1至9.0.98版本。官方已发布新版本修复此漏洞，受影响用户应尽快升级。若无法立即升级，可采取临时防护措施，如设置readonly参数、禁用PUT方法等。绿盟科技已成功复现此漏洞，并提供详细的影响范围、检测方法和防护措施。

漏洞分析安全公告 Java应用安全远程代码执行版本更新安全防护

0xd9 CVE-2023-21839-WebLogic Server远程代码执行

智检安全 2025-03-11T16:38:38 © 小智

CVE-2023-21839是一个影响Oracle WebLogic Server的远程代码执行漏洞。该漏洞利用WebLogic的IIOP/T3协议的开放性，允许未经身份验证的攻击者通过构造恶意请求，将恶意对象注入WebLogic服务端。漏洞的核心在于WebLogic在处理远程绑定的对象时，未对lookup方法中的参数进行安全校验。攻击者可以通过搭建恶意JNDI服务，诱导WebLogic服务端连接恶意JNDI服务器，下载并执行恶意代码。受影响的版本包括WebLogic Server 12.2.1.3.0、12.2.1.4.0、14.1.1.0.01510。该漏洞的利用需要T3/IIOP协议开放且未安装官方补丁，以及特定版本的JDK或依赖库。文章详细描述了漏洞的原理、利用链、影响范围以及复现过程，并提供了相应的漏洞模拟代码。

漏洞分析 WebLogic安全远程代码执行 IIOP/T3协议 JNDI注入漏洞复现网络安全工具 Java安全补丁管理

0xda 【漏洞速递】Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)

安全狐 2025-03-11T16:31:43

Apache Tomcat近期披露了一个严重的高危远程代码执行漏洞（CVE-2025-24813），该漏洞可能影响十万级服务器。该漏洞源于Tomcat处理PUT请求时对临时文件路径的校验缺陷，当启用默认Servlet写入功能、使用默认会话持久化机制以及存在可利用的反序列化漏洞链时，攻击者可以通过构造恶意请求来实现远程代码执行或敏感信息泄露。受影响的Tomcat版本包括11.0.0-M1至11.0.2、10.1.0-M1至10.1.34以及9.0.0.M1至9.0.98。Apache官方已发布修复方案，建议用户立即升级至安全版本。同时，提供了一些临时缓解措施，如禁用Servlet写入功能和审查依赖库，以及长期防护策略，包括最小化功能启用和会话存储隔离等。

远程代码执行 Apache Tomcat Java Servlet 漏洞披露安全修复版本管理安全建议漏洞影响范围

0xdb 记一次漏洞挖掘过程中的SQL注入浅浅绕过记录

亿人安全 2025-03-11T15:55:07 消失的猪猪

本文记录了一次在漏洞挖掘过程中发现的SQL注入漏洞。作者在测试一个客户网站时，发现了一个注入点，通过分析报错信息确认了SQL注入的存在。文章详细描述了如何通过报错信息还原SQL语句，发现单引号被转义的情况。作者还讨论了如何利用二分法和特定Payload来获取数据库库名，以及在过程中遇到的过滤和转义问题。文章通过实际的代码示例展示了如何绕过这些障碍，最终成功获取到库名。

SQL注入漏洞挖掘网络安全测试 CMS漏洞绕过技术数据库攻击

0xdc H3CWeb网管登录系统aaa_portal_auth_wchat_submit存在远程命令执行漏洞

骇客安全 2025-03-11T14:34:50 © 骇客安全

本文报道了H3C Web网管登录系统中的一个严重漏洞，即aaa_portal_auth_wchat_submit模块存在远程命令执行漏洞。该漏洞允许攻击者通过特定的HTTP请求执行任意命令，从而获取服务器权限。受影响的版本是H3C用户网管登录系统。文章提供了漏洞的详细描述、影响版本、资产测绘信息以及漏洞复现步骤。复现步骤中，攻击者可以通过构造特定的GET请求来执行命令并查看结果。为了验证漏洞，可以使用工具如hunterapp.name来识别目标系统，并通过发送特定的HTTP请求到/webui/路径来触发漏洞，最终通过访问/sslvpn/stc.txt获取命令执行结果。

远程命令执行漏洞 H3C Web 网管服务器权限获取资产测绘 Web 应用安全

0xdd 打靶日记 VulnHub靶机 Tr0ll 2

泷羽Sec-临观 2025-03-11T14:30:57 © 泷羽Sec_临观

本文详细记录了一位网络安全学习者在渗透测试过程中对靶机的攻击过程。首先，通过下载并导入靶机，使用nmap进行信息收集，包括IP探测和端口扫描。接着，通过dirb工具进行目录枚举，发现robots.txt文件，并通过wget下载后使用dirb重新枚举，最终找到了隐藏的目录和图片。通过分析图片和Base64编码的文件，发现了隐藏的目录和密码，并成功爆破FTP登录。在尝试SSH登录时遇到了版本不兼容的问题，通过修改SSH配置文件解决了连接问题。接着，利用shellshock漏洞成功反弹shell，但在提权过程中遇到了ASLR保护。通过创建nop sled和shellcode，最终成功提权。文章还提到了相关工具的使用方法和技巧，以及可能的后续学习资源。

网络安全靶场信息收集漏洞利用密码破解渗透测试漏洞分析漏洞利用工具安全漏洞逆向工程提权

0xde 翻译|创建基于WebSocket的PowerShell反向 Shell

SecHub网络安全社区 2025-03-11T13:22:34

本文详细介绍了如何使用PowerShell和WebSockets技术创建一个反向shell。文章首先介绍了必要的Python组件，包括用于生成自签名证书的Python脚本和一个用于验证服务器工作的Python WebSocket客户端。接着，文章重点介绍了如何使用PowerShell创建反向shell，包括创建监听器和编写代理，这些操作更偏向于C2（命令与控制）设置。文章强调，这些技术仅用于教育目的，并且仅适用于已获得明确许可的合法渗透测试和红队活动。文章中包含了详细的Python和PowerShell代码示例，以及如何设置SSL证书和WebSocket连接的步骤。此外，文章还提到了如何使用这些脚本进行调试，并提供了相应的测试命令。

Reverse Shell WebSockets PowerShell C2 Networking Security Scripting Python SSL/TLS Security Auditing

0xdf JS逆向 | cookie加密处理

安全君呀 2025-03-11T13:20:27 ©

本文主要探讨了JavaScript逆向工程中的cookie加密处理。文章首先声明了技术使用仅限于研究目的，并强调禁止非法用途。接着，文章介绍了杀毒软件的基本等级和静态分析的方法，包括通过反编译查看源代码，识别代码中的函数和shellcode特征。动态分析部分则涉及沙盒技术，模拟执行目标文件以观察行为。文章还讨论了计算机和网络相关的安全监控方式，以及常见的绕过思路，如白名单调用和流量内容加密。此外，文章提到了不同编程语言的免杀方式，并举例说明了使用jd-gui反编译Meterpreter源码的过程。最后，文章鼓励读者点赞、评论、关注，以共同学习网络安全知识。

网络安全 JavaScript逆向工程加密技术恶意软件分析沙盒技术免杀技术编程语言安全源码分析安全工具

0xe0 详解PHP弱类型与常见安全问题

SAINTSEC 2025-03-11T13:13:37 NEURON

本文详细分析了PHP编程语言中常见的类型转换、比较操作符、内置函数等安全问题。首先介绍了类型转换的常见方式，如int转string和string转int，以及转换时需要注意的细节。接着，讨论了比较操作符的使用，包括整形与字符串的比较、Hash比较以及十六进制转换等。文章还深入讲解了内置函数的松散型调用，如md5、sha1、strcmp、switch、in_array、array_search和strpos等，以及它们可能引入的安全风险。最后，通过具体例题讲解了如何利用这些特性进行绕过和攻击，为网络安全学习者提供了实用的参考。

类型转换安全比较操作符安全内置函数安全代码审计缓冲区溢出注入攻击逻辑漏洞信息泄露

0xe1 威胁行为者利用 PHP-CGI RCE 漏洞攻击 Windows 计算机

邑安全 2025-03-11T11:59:40 邑安科技

思科Talos团队近日披露了一起针对日本多行业的APT攻击活动，该活动自2025年1月起持续进行。攻击者利用了PHP-CGI的高危漏洞（CVE-2024-4577）入侵Windows服务器，构建了一个包含初始入侵、持久化、横向渗透和凭证窃取的完整攻击链。目标行业包括科技、电信、娱乐、教育和电商等。该漏洞的根源是Windows代码页“最佳匹配”机制的缺陷，导致PHP-CGI错误解析命令行特殊字符。攻击者使用的武器化工具包括一个公开的利用脚本，用于检测漏洞的存在。攻击链中，攻击者通过漏洞执行PHP代码，触发PowerShell命令，从控制服务器下载恶意载荷，并使用多种技术来规避检测和清除痕迹。此外，攻击者还进行了网络侦查、凭证窃取，并使用Mimikatz工具提取内存密码。这次攻击反映了老旧组件武器化和云原生威胁升级的趋势，企业被建议建立“漏洞修复-内存防护-流量分析”的三位一体防御体系。

漏洞利用 APT攻击 RCE漏洞 PHP-CGI Windows安全攻击链 C2通信云安全内存注入防御策略

0xe2 CISA 将 3 个 Ivanti Endpoint Manager 漏洞添加到已知已利用漏洞目录中

邑安全 2025-03-11T11:59:40 邑安科技

美国网络安全和基础设施安全局（CISA）在2025年3月10日更新了其已知已利用漏洞（KEV）目录，新增了三个影响Ivanti Endpoint Manager（EPM）的漏洞，分别为CVE-2024-13159、CVE-2024-13160和CVE-2024-13161。这些漏洞属于绝对路径遍历类型，允许远程未认证攻击者通过构造特殊的HTTP请求访问敏感文件，如配置信息和凭证。CISA要求联邦机构必须在2025年3月31日前完成修复。目前尚未发现这些漏洞与勒索软件攻击的直接关联，但鉴于Ivanti EPM在企业终端管理中的重要性，及时修复这些漏洞对于防止数据泄露至关重要。联邦机构应遵循CISA的指导和建议，实施修复措施，并实时监控Ivanti支持门户的更新公告。

安全漏洞终端安全管理绝对路径遍历已知已利用漏洞联邦机构安全要求网络安全事件响应网络安全资讯

0xe3 虚拟机逃逸！VMware高危漏洞正被积极利用，国内公网暴露面最大

e安在线 2025-03-11T11:31:34 e安在线

3月7日，安全研究人员发现超过3.7万台互联网上暴露的VMware ESXi实例易受CVE-2025-22224高危漏洞影响，该漏洞允许攻击者以管理员权限逃离虚拟机沙盒，在宿主机上执行代码。VMware母公司博通已发布警告，指出该漏洞及另外两个漏洞被作为零日漏洞利用。美国CISA要求联邦机构和州级组织必须在3月25日前部署更新和缓解措施。受影响实例主要集中在中国，其次是法国、美国、德国、伊朗和巴西。目前，该漏洞无变通方案，用户需参考博通官方公告进行修复。

0xe4 【漏洞预警】Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)

Z0安全 2025-03-11T11:16:29 Z0安全

Apache Tomcat近期被发现存在一个远程代码执行漏洞（CVE-2025-24813），该漏洞允许未授权的攻击者在特定条件下执行恶意代码，从而获取服务器权限。漏洞主要影响Apache Tomcat 11.0.0-M1至11.0.22、10.1.0-M1至10.1.34以及9.0.0.M1至9.0.9版本。攻击者可以通过利用默认Servlet的文件上传功能，特别是在启用Servlet写入功能、使用Tomcat默认会话持久机制和存储位置，以及依赖库存在反序列化利用链的情况下，来绕过安全限制。官方已发布安全更新，建议用户尽快升级至最新版本以修复此漏洞。同时，提供了一些缓解措施，如禁用Servlet写入功能，并检查应用程序依赖库。

远程代码执行漏洞 Apache Tomcat 默认Servlet 文件上传反序列化利用漏洞预警版本影响安全更新缓解措施

0xe5 关于防范针对DeepSeek本地化部署实施网络攻击的风险提示

金瀚信安 2025-03-11T11:09:32 工业互联网安全

近期，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）发现针对大语言模型DeepSeek本地化部署的钓鱼攻击事件。攻击者利用“DeepSeek本地部署”等关键词进行搜索引擎投毒，并构建仿冒网站，诱导用户下载假冒的DeepSeek安装工具包，进而传播HackBrian RAT、Gh0st和FatalRAT等恶意木马程序。这些木马程序一旦被安装，攻击者可远程控制用户服务器，窃取敏感信息，破坏系统数据，甚至入侵内部网络。为此，平台建议用户通过官方渠道下载DeepSeek，提高对来源不明软件的识别能力，谨慎下载未知来源的应用，并定期更新防病毒软件，进行全面的安全排查，以防范此类网络安全风险。

恶意软件攻击钓鱼攻击大语言模型安全内部网络入侵软件安全审计用户教育

0xe6 ScopeSentry-网络空间测绘子域|端口|漏洞扫描工具

三沐数安 2025-03-11T11:04:12 ©

本文详细介绍了ScopeSentry，一款多功能网络安全工具。ScopeSentry具备资产测绘、子域名枚举、信息泄露检测、漏洞扫描、目录扫描、子域名接管、爬虫、页面监控等功能。文章提供了工具的安装方法，包括通过Docker容器和源码安装两种方式。Docker安装过程中涉及Redis和MongoDB的配置，源码安装则需要安装git、curl工具。此外，文章还提供了Web/Server端和Scan端的安装和配置步骤，包括数据库初始化、配置文件修改等。最后，文章提供了访问工具的默认账号密码和重置密码的方法。

网络安全工具资产测绘子域名枚举漏洞扫描信息泄露检测端口扫描目录扫描子域名接管爬虫技术页面监控自定义WEB指纹 POC导入多节点扫描 Docker支持源码安装 Web应用安全

0xe7 【漏洞预警】Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)

飓风网络安全 2025-03-11T11:02:29 cexlife

远程代码执行漏洞 Apache Tomcat CVE编号服务器安全软件更新反序列化漏洞默认配置风险

0xe8 【漏洞预警】Apache OFBiz服务端模板注入漏洞(CVE-2025-26865)

飓风网络安全 2025-03-11T11:02:29 cexlife

Apache OFBiz 存在一个服务端模板注入漏洞（CVE-2025-26865），该漏洞允许攻击者通过构造特定的输入数据，注入恶意模板代码，从而在服务器端执行任意代码。这可能导致敏感信息泄露、数据篡改或系统完全被控制。受影响的Apache OFBiz版本为18.12.17之前的所有版本。Apache官方已发布修复补丁，建议用户升级至18.12.18版本。在升级前，用户应备份相关数据，并按照官方文档操作。同时，提供了一些缓解措施，包括限制网络访问、监控系统日志以及对输入数据进行验证和过滤。官方公告和相关下载链接已提供。

服务器端漏洞代码注入信息泄露数据篡改系统控制 Apache OFBiz 软件升级安全补丁网络安全预警

0xe9 警惕：伪装成DeepSeek的木马，犯罪分子利用DeepSeek 的受欢迎程度投毒

Ots安全 2025-03-11T10:51:50 卡巴斯基

本文揭露了网络犯罪分子利用DeepSeek的受欢迎程度来传播恶意软件的新手段。犯罪分子创建了假冒DeepSeek官方网站，分发伪装成客户端的恶意代码。这些恶意软件能够窃取用户数据，包括浏览器cookie、会话令牌、电子邮件、游戏和其他账户的登录凭证等。攻击者通过社交网络和即时通讯应用传播这些恶意链接。文章详细描述了恶意软件的传播方式、技术细节和潜在的后果，并提醒用户保持警惕，仔细检查网站地址，避免点击未经验证的链接。

恶意软件分析钓鱼攻击社会工程学大型语言模型安全 Python恶意代码后门攻击网络钓鱼安全意识教育安全解决方案

0xea Burp Suite 文件上传漏洞Fuzz插件

海底天上月 2025-03-11T10:32:07 海底天上月

本文介绍了一款针对Burp Suite的文件上传漏洞Fuzz插件，该插件旨在帮助安全测试人员自动化检测文件上传漏洞。插件提供了超过300条payload，支持多种攻击向量，包括WAF绕过、后缀变异、内容编码、协议攻击等。此外，插件还支持利用Windows和Linux系统的特性进行攻击，如NTFS数据流、保留设备名、长文件名截断、Apache多级扩展解析路径遍历等。文章详细说明了插件的安装和使用方法，并强调了合法使用的重要性，提醒读者不要将内容用于非法行为。

网络安全工具漏洞检测 Fuzz测试 Burp Suite插件 WAF绕过文件上传漏洞编码攻击操作系统漏洞利用安全开发

0xeb 红队技巧 - RDP 隐身模式

阿乐你好 2025-03-11T10:30:00

本文详细介绍了微软远程桌面协议（RDP）的“隐身模式”，这是一种通过命令行参数 /public 激活的安全功能。隐身模式，也称为公共模式，旨在防止客户端存储敏感的会话数据，对网络安全、数字取证和企业IT管理具有重要作用。该模式通过禁用关键数据保留机制，如会话配置文件、凭据缓存和屏幕片段缓存，来保护用户数据不被保留。在公共模式下，会话特定的更改在断开连接后会消失，且每次连接都需手动验证凭据。此外，该模式还会影响注册表交互，如MRU服务器列表和用户名提示，从而减少攻击者留下的痕迹。

网络协议安全远程访问安全用户凭证安全数字取证企业网络安全系统配置安全

0xec Lazarus Group 攻击 Windows Web 服务器案例分析

Ots安全 2025-03-11T10:21:29

本文分析了Lazarus组织针对Windows Web服务器的攻击案例。AhnLab安全情报中心（ASEC）确认了该组织的攻击活动，其中包括入侵网络服务器并部署Webshell和C2脚本的行动。攻击者利用IIS服务器安装ASP格式的Web Shell和C2脚本，与2020年卡巴斯基披露的类型相似。分析显示，攻击者使用了RedHat Hacker Web Shell，并在被感染系统上发现了其他Web Shell，如“file_uploader_ok.asp”和“find_pwd.asp”。此外，还发现了LazarLoader恶意软件和用于提权的工具。LazarLoader用于下载有效载荷，而提权工具则通过利用UACMe中的特定功能来提升权限。ASEC建议管理员检查Web服务器的文件上传漏洞，定期更改密码，设置访问控制，并更新V3以防止恶意软件感染。

网络攻击恶意软件分析 Web服务器安全 C2通信入侵检测漏洞利用权限提升安全情报

0xed 戎码翼龙NG-EDR揭秘“泄露版”红队工具Nighthawk C2 投毒事件

夜组科技圈 2025-03-11T10:17:24

近期，戎码安全运营团队发现一款针对信息安全技术人员的恶意软件样本，经过分析发现，该样本通过修改泄露的工具客户端程序，捆绑具有窃密功能的PE文件，形成完整的攻击链。该恶意软件利用Nighthawk C2红队工具，该工具原本为商业化工具，提供从初始访问到目标达成的全链路能力。2025年1月，Nighthawk C2的泄露版本在网络上流传，但购买者发现功能缺失。分析发现，泄露版本存在显著功能缺失，且网络中存在一个流传甚广的“后门版”样本。样本分析显示，Client.exe会释放一个隐藏的C2_Client.exe并启动它，同时释放可疑命名的系统文件，并加载恶意的shellcode。云端机器学习检测到恶意文件，结合进程树分析，判断为恶意行为。

恶意软件分析红队工具泄露攻击链分析 Windows系统安全恶意软件投毒事件云端安全检测 PE文件分析红队技术软件漏洞利用

0xee 实战 | 微信小程序EDUSRC渗透漏洞复盘

网络安全透视镜 2025-03-11T10:14:25

本文详细复盘了一个微信小程序EDUSRC的渗透漏洞挖掘过程。文章首先介绍了网络安全领域的学习资源和工具分享，然后深入分析了该微信小程序存在的多个漏洞。作者通过分析登录页面的数据包，构造数据包找到敏感信息接口，泄露了数千用户的敏感信息。接着，作者利用泄露的接口进一步挖掘漏洞，发现微信小程序文件上传漏洞较多，部分小程序没有过滤。文章详细描述了渗透测试的过程，包括微信一键登录的SessionKey泄露、数据包分析、未授权数据访问、文件上传漏洞、越权等。最后，作者总结了漏洞挖掘过程中需要注意的细节，并提醒读者在进行渗透测试时需遵守法律法规，获取授权。

微信小程序安全渗透测试数据包分析敏感信息泄露文件上传漏洞越权漏洞 JWT伪造 EDUSRC 实战案例

0xef 服务器无浏览器如何查出口IP？

网络个人修炼 2025-03-11T10:00:51 ©

本文针对无法通过浏览器直接查看出口IP地址的问题，提供了在Windows系统中获取出口IP地址的三种方法。首先，介绍了使用curl工具的方法，包括通过curl命令直接查看IP地址或使用在线服务如ifconfig.me、cip.ccc和myip.ipip.net。其次，介绍了使用nslookup命令通过查询特定域名获取出口IP地址的方法。最后，介绍了通过PowerShell使用System.Net.WebClient类来获取出口IP地址的方法。文章还提供了相关的参考链接，方便读者进一步学习和实践。

网络安全诊断命令行工具使用服务器配置 IP地址获取 Windows系统网络监控

0xf0 戎码翼龙NG-EDR揭秘“泄露版”红队工具Nighthawk C2 投毒事件

黑客街安全团队 2025-03-11T09:54:15 戎码安全

近期，戎码安全运营团队揭露了一起利用泄露版红队工具Nighthawk C2进行的恶意软件攻击事件。该恶意软件通过对泄露的Nighthawk C2客户端程序进行修改，捆绑具有窃密功能的PE文件，实现了完整的攻击链。Nighthawk C2是一款商业化红队工具，以其高端功能和昂贵价格而闻名。泄露版本由于功能缺失，导致核心功能无法正常使用。攻击样本中的关键文件是C2_Client文件夹中的Client.exe，它通过释放隐藏的C2_Client.exe并执行，随后在系统目录下释放和执行多个svchost.exe文件，加载恶意shellcode，监听窗口回调和窃取剪切板内容。通过云端机器学习检测和进程分析，该恶意行为被识别为恶意软件攻击。

恶意软件分析红队工具泄露网络攻击 Windows系统安全漏洞利用 C2通信威胁情报静态分析与动态分析

0xf1 帝国cms远程代码执行漏洞-2

龙渊实验室 2025-03-11T09:52:41 © 龙渊实验室

本文详细介绍了帝国CMS（Empire CMS）的一个远程代码执行漏洞，并对漏洞原理进行了深入分析。帝国CMS是一款基于B/S结构的网站管理系统，功能强大且易用，支持Linux、Windows、Unix等多种操作系统。文章首先介绍了该漏洞的存在位置，即后台导入系统模型处，由于未进行充分的验证，导致上传的文件内容可以被直接执行，从而引发了远程代码执行漏洞。该漏洞影响版本为Empire CMS V7.5及以下版本。文章还提供了详细的漏洞复现步骤，包括环境搭建、漏洞利用方法等。通过实验，可以成功地执行任意PHP代码。最后，文章对漏洞的原理进行了深入分析，追踪了漏洞的产生路径，涉及到的文件包括ecmsmod.php和moddofun.php。文章指出，在漏洞复现过程中，上传一句话木马以及大马都会失败。通过本文的分析，可以帮助网络安全学习者更好地理解该漏洞的产生机制，提高对类似漏洞的识别和防御能力。

漏洞分析远程代码执行帝国CMS Web安全漏洞复现文件包含服务器安全

0xf2 漏洞预警 | Apache OFBiz 服务端模板注入漏洞（CVE-2025-26865）

Beacon Tower Lab 2025-03-11T09:19:21 © 烽火台实验室

Apache OFBiz近日发布更新以修复一个高危模板注入漏洞（CVE-2025-26865）。该漏洞存在于版本18.12.17至18.12.18之间的Apache OFBiz中，由于插件特殊字段使用不当导致freemarker模板引擎注入，允许攻击者通过构造特殊请求注入恶意代码，从而执行任意代码，威胁服务器安全。Apache OFBiz是一个开源的ERP系统，用于帮助企业整合和管理核心业务流程。目前互联网上存在约131305个相关资产，国内风险资产分布情况有待进一步分析。为了缓解风险，建议用户采取临时缓解措施，如限制网络访问和部署安全监控系统，并尽快升级到官方发布的修复补丁。官方修复补丁可在Apache官网下载。

漏洞预警服务端模板注入高危漏洞 CVE编号 Apache OFBiz 企业资源规划系统安全风险自查代码执行网络攻击漏洞修复

0xf3 【漏洞通告】Apache OFBiz服务端模板注入漏洞安全风险通告

嘉诚安全 2025-03-11T09:03:39

近日，嘉诚安全监测到Apache OFBiz服务端存在一个编号为CVE-2025-26865的模板注入漏洞，该漏洞可能导致攻击者在服务器端执行任意代码，从而引发敏感信息泄露、数据篡改或系统被完全控制。Apache OFBiz是一个流行的电子商务平台，此漏洞影响了版本18.12.17至18.12.17的Apache OFBiz。为了缓解风险，建议用户尽快升级至修复后的版本18.12.18，并在升级前备份相关数据。同时，提供了限制网络访问、监控日志和验证输入数据等临时措施。官方补丁下载地址已提供，详细的安全风险通告和建议操作流程可以在相关链接中找到。

服务端漏洞电子商务平台安全代码注入攻击高危漏洞漏洞通告安全补丁网络安全事件预防

0xf4 探索挖掘xss中括号被转义的绕过措施(续)

Spade sec 2025-03-11T09:01:32 ©

本文探讨了在XSS攻击中如何绕过括号被转义的问题。作者首先提到了在模板字面量中使用${}格式包裹变量可以将变量插入到字符串中，并举例说明了如何使用console.log${document.cookie}来打印cookie。文章指出，由于模板字面量中的大括号和变量前缀$不会被转义，因此可以用来绕过一些安全措施。作者还提到了使用htmlspecialchars函数来演示变量不会被转义的情况，并建议读者自行构造更多的payload。此外，文章还简要说明了为什么alert${document.cookie}不会弹出内容，并鼓励读者查阅相关文档以深入了解模板字面量的细节。

XSS攻击 Web安全绕过技术 JavaScript安全编码与解码

0xf5 二月安全通告

中龙技术 2025-03-11T09:00:54 中龙技术

2025年2月，网络安全领域出现了多起重要事件和漏洞。其中包括名为“银狐”的远控木马病毒新变种，通过钓鱼信息传播，窃取主机信息和键盘记录；微信平台上的新型钓鱼木马，伪装成企业文件进行传播，窃取微信账号权限；针对科技企业的APT攻击事件，利用系统漏洞窃取商业秘密。微软、华为和Android系统均发布了安全更新，修复了多个漏洞，包括Windows存储权限提升、WinSock辅助功能驱动权限提升等。此外，Fortinet、IBM等厂商也发布了相关产品的安全更新。漏洞数据分析显示，WordPress、微软、谷歌等厂商的产品存在安全漏洞，用户需及时更新补丁。

木马病毒网络安全预警社交工程企业安全漏洞修复操作系统安全电子邮件安全数据泄露系统漏洞安全更新

0xf6 曹县黑客利用 ZIP 文件执行恶意 PowerShell 脚本

军哥网络安全读报 2025-03-11T09:00:53 会杀毒的单反狗

本文报道了一起由曹县黑客组织APT37（也称为ScarCruft、Reaper和Red Eyes）发起的复杂攻击活动。该组织自2012年以来活跃于多个国家和地区，目标包括医疗保健和制造业等行业。攻击通过包含隐藏恶意LNK文件的ZIP附件的网络钓鱼电子邮件进行，这些电子邮件伪装成合法文件以诱骗受害者。一旦LNK文件被触发，它将启动一个复杂的感染链，包括使用PowerShell命令提取多个文件和组件。最终部署的RokRat远程访问木马能够收集系统信息并使用云服务作为命令和控制渠道。该恶意软件具备反分析功能，使其难以被检测，包括逃避安全研究人员的注意。攻击的详细分析报告和技术细节可在提供的技术报告中找到。

APT攻击网络钓鱼恶意软件分析远程访问木马无文件攻击云服务滥用反分析技术数据盗窃

0xf7 WordPress如何防Webshell、防篡改、防劫持？

护卫神说安全 2025-03-11T08:34:38 © 护卫神

本文详细探讨了如何提升WordPress网站的安全防护能力。文章首先强调了文件防篡改的重要性，并介绍了两种防护方法：通过ACL策略和底层驱动技术进行防篡改。ACL策略要求对全站文件只开放读取权限，并对部分目录开放写权限，同时禁止执行PHP脚本，但这种方法设置复杂且局限性大。底层驱动技术则推荐使用《护卫神.防入侵系统》，该系统内置WordPress防篡改规则，操作简单且无副作用。文章还提到了网站后台访问保护的重要性，建议使用二次密码或限制特定区域访问后台。《护卫神.防入侵系统》的“网站后台保护”模块可以实现这一功能。此外，文章还强调了防止SQL注入和XSS跨站脚本攻击的重要性，并介绍了《护卫神·防入侵系统》的SQL注入防护模块，该模块可拦截SQL注入和XSS攻击，默认已开启，无需额外设置。整体而言，文章提供了一系列实用的WordPress安全防护措施，旨在帮助用户构建更安全的网站环境。

0xf8 Paragon 硬盘分区工具驱动曝 0day 漏洞，勒索软件“合法”提权，BYOVD 攻击再现！

技术修道场 2025-03-11T08:33:43 © Hankzheng

近日，Paragon Partition Manager 的核心驱动程序 BioNTdrv.sys 被发现存在多个高危漏洞（CVE-2025-0285 ~ CVE-2025-0289），这些漏洞可能被用于勒索软件攻击，通过‘自带漏洞驱动程序’（BYOVD）技术实现提权和任意代码执行。这些漏洞允许攻击者获取敏感信息、修改内核数据结构，甚至可能导致系统崩溃或被永久破坏。攻击者可以利用合法签名的驱动程序绕过安全防御。Paragon Software 已发布修复补丁，建议用户立即更新。同时，Microsoft 也已将易受攻击的版本添加到驱动程序阻止列表中，并建议采取包括启用驱动程序签名强制、监控驱动程序加载事件、限制管理员权限等多层防御措施。

驱动程序漏洞勒索软件攻击内核级权限提升 BYOVD攻击安全漏洞修复安全意识培训安全监控最小权限原则端点检测与响应渗透测试

0xf9 vulnhub靶场之【digitalworld.local系列】的electrical靶机

泷羽sec-何生安全 2025-03-11T08:30:13 ©

本文详细记录了对vulnhub靶场中的digitalworld.local系列靶机中的electrical靶机的渗透测试过程。文章首先介绍了靶机的配置和环境设置，包括使用VMware虚拟机进行搭建，并选择了桥接网络。随后，作者使用了nmap工具进行端口扫描，并针对特定的端口进行了深入探测，包括SMB服务枚举和端口识别。在信息收集阶段，作者通过dirsearch进行了目录爆破，并通过burp进行密码爆破，成功获取了用户名和弱密码。在深入探索过程中，作者发现了nessus的漏洞扫描web界面，并通过burp抓取数据包发现了一个私钥文件，进而尝试使用ssh私钥登录。在提权阶段，作者利用了CVE-2021-4034漏洞，通过pspy64和linpeas.sh工具以及SUID权限文件实现了提权。文章详细描述了每个步骤的技术细节和所使用的工具，为网络安全学习者提供了宝贵的实践案例。

靶场测试网络安全漏洞利用信息收集端口扫描 Web安全密码破解提权 Linux渗透工具使用

0xfa BurpSuite使用Trips-304状态码解决

土拨鼠的安全屋 2025-03-11T08:24:00 © 摆烂的beizeng

本文探讨了在使用BurpSuite进行渗透测试时遇到的一个问题：JavaScript文件请求返回304状态码。原因在于请求头中存在两个冲突的请求头：If-null-Match和If-Modified-Since。这两个请求头是HTTP协议中用于处理浏览器缓存的标准请求头，旨在提高系统性能和减少带宽占用。当服务器返回304状态码时，表示自上次请求后网页未修改过，服务器不会返回网页内容。文章详细解释了如何通过打开BurpSuite的替换功能，将这两个冲突的请求头替换为空，从而解决请求304状态码的问题，并使JavaScript文件请求恢复正常。

Web缓存控制 Burp Suite工具使用 HTTP协议渗透测试性能优化

0xfb 工具集：工具集：MySQL Fake Server【高级版MySQL_Fake_Server】

风铃Sec 2025-03-11T08:23:49 wolven

本文介绍了一种名为高级版MySQL_Fake_Server的网络安全工具。该工具能够在JDBC URL可控的情况下，通过特殊的MySQL服务端读取JDBC客户端任意文件或执行反序列化操作。工具完全使用Java实现，并内置了常见的ysoserial链，支持一键启动和自动生成payload用于测试。工具特性包括从user参数传递payload，支持反序列化和文件读取功能，并允许使用base64编码传递特殊字符。此外，工具支持自定义反序列化gadget，包括PostgreSQL RCE和Apache Derby的RCE。文章还提供了GUI和CLI版本的启动方法，以及如何使用Docker构建和启动服务。最后，文章提供了项目的GitHub链接和夸克网盘的下载链接，方便用户获取和使用该工具。

网络安全工具数据库安全 Java应用安全反序列化漏洞代码审计实战测试 Docker应用 JDBC漏洞利用

0xfc 域渗透 - 利用机器账户进行域维权

SecretTeam安全团队 2025-03-11T08:13:36 © Vipersec

本文主要讨论了网络安全领域中机器账户的利用，包括其在权限提升和横向移动中的作用。文章首先介绍了机器账户的委派权限和属性篡改，以及如何通过这些手段在域内进行身份认证和提权操作。接着，详细说明了userAccountControl属性的作用和修改方法，以及如何使用PowerMad等工具在域环境中创建和修改机器账户。文章还介绍了如何获取机器账户的hash，并利用这些hash进行权限传递和获取域内hash。最后，讨论了利用impacket套件和Evil-WinRM等工具进行远程链接和执行dcsync操作的方法，以及如何将机器账户添加到高权限用户组中用于维权。文章强调了网络安全的重要性，并提醒读者在学习和研究过程中遵守法律法规，不鼓励和支持任何非法活动。

网络安全策略权限管理域控制器攻击用户账户安全漏洞利用渗透测试安全工具安全意识安全社区

0xfd 审计分析 | 某开源OA 前台无条件注入(1DAY)

WK安全 2025-03-11T08:01:10 © 匿名白帽子

开源软件漏洞 SQL注入漏洞前端安全 JFinal框架 Shiro认证框架代码审计

0xfe 漏洞预警 | VMware ESXi任意写入漏洞

浅安安全 2025-03-11T08:00:38 浅安

本文针对VMware ESXi的CVE-2025-22225漏洞进行详细分析。VMware ESXi是企业级虚拟化管理程序，该漏洞属于高危级别，允许具备VMX进程权限的攻击者触发内核级任意写入，从而实现沙箱逃逸，突破虚拟化隔离。漏洞影响版本包括ESXi 8.0及以下版本、VMware Cloud Foundation 5.x及以下版本、VMware Telco Cloud Platform及VMware Telco Cloud Infrastructure多个系列。目前，VMware已经发布修复版本，建议用户及时升级以保障系统安全。

虚拟化安全漏洞分析安全漏洞沙箱逃逸高危漏洞安全补丁软件安全

0xff HTB：EscapeTwo

泷羽Sec 2025-03-11T07:44:39 © 仙草里没有草噜丶

本文详细记录了一次针对HTB靶机Vintage的渗透测试过程。首先，通过nmap进行端口扫描发现开放了SMB服务，并使用已知的用户名和密码成功登录。接着，通过smbclient工具下载了共享文件夹中的文件，从中获取了额外的密码信息。通过WinRM协议对目标主机进行身份验证，并利用MSSQL服务执行系统命令进行目录遍历。在获取了SQL Server服务的配置信息后，通过密码喷洒技术获取了域内其他用户的凭据。利用WinRM登录目标主机，并通过BloodHound工具进行域内信息收集。通过修改AD对象的所有者权限，将ca_svc账户的所有权转移给ryan用户，并使用certipy-ad工具创建影子证书以获取ca_svc的NTLM哈希。最后，利用证书模板的权限问题，通过certipy-ad工具请求了管理员用户的证书，并使用impacket-psexec工具通过哈希凭证登录靶机，成功获取了root权限。

靶场渗透网络安全实战 Windows系统安全域渗透密码学工具使用漏洞利用渗透测试

0x100 PHP反序列号漏洞原理及复现

豆豆咨询 2025-03-11T07:32:41 © 豆豆

本文详细介绍了PHP反序列化漏洞的原理、成因和复现过程。首先，文章解释了序列化和反序列化的概念，以及它们在对象状态转换中的作用。接着，文章分析了反序列化漏洞的成因，特别是在PHP语言中，当使用unserialize()函数且存在用户可控参数时，如果魔术方法中包含eval()等敏感操作，攻击者可以通过改变参数来控制执行，从而造成安全漏洞。文章还总结了常见的魔术方法，如construct、destruct、toString等。通过pikachu靶场的案例，文章展示了序列化和反序列化的具体操作以及漏洞的利用方式。最后，文章以CVE-2016-7124漏洞为例，介绍了如何复现反序列化漏洞，包括生成序列化字符串、修改序列化数据、模拟反序列化漏洞等步骤。

序列化漏洞 PHP安全魔术方法漏洞复现 XSS攻击代码审计

0x101 LDAP 回传攻击指南

KK安全说 2025-03-11T07:10:29 ©

本文深入探讨了LDAP回传攻击，这是一种利用企业环境中Active Directory身份验证配置错误的安全漏洞。攻击者通过操纵LDAP配置，将设备引导至恶意LDAP服务器，从而拦截并获取明文凭据。文章详细介绍了LDAP回传攻击的原理、可应用场景、执行步骤、实际用例以及缓解策略。文章指出，攻击者通常利用本地网络访问、默认或弱配置的设备、不安全的LDAP设置等条件进行攻击。文章还提供了执行LDAP回传攻击的详细步骤，包括设置恶意LDAP服务器、重定向设备连接、获取凭证等。最后，文章强调了实施安全LDAP策略、监控配置变化和限制访问的重要性，以降低LDAP回传攻击的风险。

Directory Services Security Active Directory Attacks Authentication Vulnerabilities Network Security Intrusion Detection Penetration Testing Privilege Escalation Security Best Practices

0x102 简单的计划任务免杀

七芒星实验室 2025-03-11T07:00:26 Arcueid

本文深入探讨了Windows计划任务的权限维持和隐藏技术。文章首先介绍了计划任务在系统中的不同拦截严格度，从简单到复杂，依次是计划任务、注册表和系统。接着，详细说明了如何通过schtasks命令创建计划任务，并指出即使删除了相关的XML文件，计划任务仍然能够生效。文章进一步解释了如何通过修改注册表中的TaskCache项来隐藏计划任务，使其在任务计划程序中不可见。此外，文章还提供了使用PowerShell脚本查找没有SD项的注册表地址的方法，以及如何通过修改SD值来隐藏计划任务。文章还涉及了使用COM和C++代码来自动化这些过程，包括初始化COM、设置COM安全性、检查注册表以防止重复注册、设置文件属性以隐藏文件、设置特权模式和更改注册表所有者权限。最后，文章提到了一个示例代码，该代码能够创建计划任务、隐藏XML文件、修改注册表并设置文件属性，但该代码在火绒和核晶安全软件下无法通过。

Windows 安全任务计划程序注册表安全权限维持安全绕过自动化工具脚本攻击防御策略

0x103 Web安全课堂 -- 命令、代码执行

Web安全工具库 2025-03-11T00:01:13

本文详细介绍了网络安全中的命令执行与代码执行的概念、区别及其联系。文章首先解释了命令执行和代码执行的基本定义，指出命令执行是直接执行操作系统命令，而代码执行是执行编程语言的代码语句。接着，文章讨论了两者之间的区别和联系，并强调了代码执行在具有命令执行功能时可以进一步利用实现命令执行。文章还提到了PHP中的eval和assert等函数，它们具有高度灵活性，常被用于实现各种功能，包括命令执行。此外，文章深入探讨了命令执行漏洞及其利用方式，包括权限问题、常见漏洞示例以及如何通过命令执行漏洞获取系统信息。最后，文章详细讲解了代码执行漏洞的防范措施，包括减少使用执行命令的函数、使用PHP自带的过滤函数、避免使用eval函数以及对敏感字符进行严格过滤等，旨在帮助开发者避免代码执行漏洞带来的安全风险。

网络安全基础 Web安全漏洞分析编程语言安全安全编码实践操作系统安全

0x104 安卓逆向 -- Java与smali基础

逆向有你 2025-03-11T00:01:10 sigewangdaiduie

本文详细介绍了Java编程语言的基础知识，包括面向对象的概念、基础数据类型、修饰符、运算符、流程控制语句、数组和方法等。文章以面向对象的思维为核心，阐述了类和对象的关系，并通过实例代码展示了如何定义和使用类和对象。此外，文章还介绍了Java中的数据类型、修饰符、运算符、条件运算符、逻辑运算符、循环语句、数组、方法以及面向对象的三大特性：封装、继承和多态。对于Android逆向开发，文章简要介绍了smali基础语法、dalvik字节码、寄存器、指令集以及反射等概念，并展示了如何通过smali代码修改Android应用的行为。最后，文章通过一个简单的Android应用示例，展示了如何从编写Java代码到使用smali代码进行逆向分析，以及如何替换应用中的Activity。

编程语言面向对象编程 Java基础网络安全逆向工程 Android安全异常处理

0x105 一次漏洞挖掘过程中的SQL注入浅浅绕过记录

船山信安 2025-03-11T00:00:25

本文记录了一次针对客户网站SQL注入漏洞的挖掘过程。作者在测试过程中发现网站存在注入漏洞，并通过报错信息确认了参数存在注入。在分析过程中，作者发现单引号被转义，并通过构造Payload绕过了这一限制。在尝试获取库名时，作者遇到了逗号被过滤的问题，通过使用from和for代替逗号，并结合Ascii码函数成功获取了库名。整个挖掘过程展示了从发现漏洞到绕过过滤和获取信息的一系列步骤，对于网络安全学习者具有一定的参考价值。

SQL注入漏洞挖掘网络安全 Web应用安全渗透测试技术分析

0x106 越权漏洞检测工具 -- xia_Yue_pro(3月6日更新)

网络安全者 2025-03-11T00:00:16 h00klod0er

本文介绍了一个名为xia_Yue_pro的越权漏洞检测工具的最新版本更新。该工具是基于xia_Yue插件的修改版，主要修复了中文重放乱码问题，并新增了请求行参数测试、一键导出越权URL、允许重复URL测试等功能。更新内容还包括中文编码优化，确保在Burp Suite 2024.3中正常使用，以及新增的对比视图功能，方便直观地对比原始和低权限响应包。此外，工具还支持一键发送cookie和请求包到插件分析，并提供了一键复制所有越权URL的功能。文章提醒用户请勿利用工具从事非法测试，并提醒使用者工具来自网络，安全性需自测。

漏洞检测网络安全工具 Burp Suite 插件编码问题请求行参数测试越权漏洞测试与分析重复请求处理一键操作

0x107 EncryptHub 通过木马应用程序、PPI 服务和网络钓鱼部署勒索软件和窃取程序

犀牛安全 2025-03-11T00:00:00 Rhinoer

EncryptHub 是一个以盈利为目的的攻击组织，近期策划了一系列复杂的网络钓鱼活动，旨在部署信息窃取程序和勒索软件。该组织通过分发木马版本和利用第三方按安装付费（PPI）分发服务来攻击热门应用程序的用户。EncryptHub 被描述为一个犯操作安全错误的黑客组织，经常利用流行安全漏洞。他们通过短信网络钓鱼（smishing）、语音网络钓鱼（vishing）等多种手段诱骗目标安装远程监控和管理（RMM）软件。该组织与 RansomHub 和 Blacksuit 勒索软件组织有关联，并针对多个行业的高价值目标。攻击者创建钓鱼网站，冒充 IT 团队或帮助台，诱骗受害者输入敏感信息。一旦受害者访问钓鱼网站，EncryptHub 会部署窃取恶意软件，如 Fickle、StealC 和 Rhadamanthys。此外，攻击者还使用伪装成合法软件的木马应用程序进行初始访问，并在获得访问权限后部署勒索软件。EncryptHub 还利用名为 LabInstalls 的第三方 PPI 服务来分发恶意软件，并可能寻求将新开发的 EncryptRAT 工具商业化。

勒索软件攻击网络钓鱼攻击恶意软件分发远程访问木马（RAT）漏洞利用社会工程学多阶段攻击第三方服务利用多层攻击策略网络安全威胁情报

0x108 EDU实战 | 某大学证书站漏洞打包

青萍安全 2025-03-10T22:57:16

本文详细记录了一次针对某大学证书站的网络安全实战。作者通过审计发现证书站存在文件上传漏洞，利用该漏洞成功上传免杀马并获取shell。由于权限限制，作者使用学校自带的VPN连接内网，并通过反向代理进入外网。在双网卡主机上部署BT服务，并通过密码碰撞进入ZenTao后台数据库。接着，作者利用指纹识别和Shiro漏洞在内网其他Linux主机上获取webshell。文章还提到了通过攻击群控系统获取更多网段信息，并最终将内网打包提交。整个过程涉及多个漏洞利用和内网渗透技巧，展示了网络安全实战的复杂性和技巧性。

代码审计文件上传漏洞权限提升内网渗透 VPN隧道反向代理内网扫描 0day攻击密码碰撞 Shiro漏洞跨网段攻击实战经验

0x109 反序列号漏洞解析及赛题分析

豆豆咨询 2025-03-10T22:55:20 © 豆豆

本文详细解析了反序列化漏洞的相关赛题。首先，介绍了PHP中的魔术方法__toString()，其在对象转换为字符串时的作用和实现方式。接着，解释了PHP中的键值对定义符号=>及其在关联数组中的应用。文章还讨论了数组[]的多种用途，包括数组索引、声明、哈希表等。此外，介绍了__debugInfo()函数在var_dump()函数中的作用，以及tac命令的用法。最后，通过一个具体的赛题案例，分析了BBB类中的__debuginfo()方法、CCC类中的__toString()方法和AAA类中的__call()方法，以及它们如何被用于构造一个反序列化漏洞。文章还包括了相关参考文献的链接。

反序列化漏洞 PHP安全赛题分析代码审计漏洞利用安全开发

0x10a 代码审计之SSRF

AI安全攻防 2025-03-10T22:51:42 ©

本文是代码审计系列第四篇，主题为SSRF（服务端请求伪造）。文章首先介绍了SSRF的概念及其可能带来的影响，如内网资源探测和未授权访问。接着，文章列举了测试SSRF常见功能的示例，如在线翻译、语音识别等，并指出相关的参数关键字。随后，文章详细分析了几个常用的库，如Java的URL类、Apache的HttpClient、Square的OkHttpClient，以及Socket编程，并指出这些库在使用时可能存在的SSRF风险。最后，文章给出了修复SSRF的一些基本原理，包括对URL进行HTTP/HTTPS判断和白名单校验。文章还提到了《AI安全攻防》这个分享平台，鼓励读者关注。

网络安全代码审计漏洞分析编程安全 HTTP协议 SSRF漏洞白名单校验

0x10b 安全运维必看：如何用find -perm检查高危权限文件？

攻城狮成长日记 2025-03-10T22:41:39 © didiplus

本文详细介绍了Linux系统中使用find命令的-perm选项来查找具有特定权限的文件的方法。文章首先解释了find命令的基本语法，包括查找路径和权限模式的概念。接着，通过一个示例脚本展示了如何创建具有不同权限的文件，并说明了如何使用find命令的-perm选项进行精确查找和模糊匹配。此外，文章还介绍了两种模糊匹配模式：所有匹配模式和任意匹配模式，并通过实际例子说明了它们的区别。最后，文章展示了如何结合-exec选项对查找到的文件进行批量操作，例如修改文件权限。整个文章以浅显易懂的方式，帮助读者掌握find命令在安全检查中的应用。

Linux 安全文件权限检查系统管理安全安全运维命令行工具

0x10c 记一次红队打点mt_rand突破

8ypass 2025-03-10T21:45:40 © ---

本文记录了一次针对某系统进行红队攻击的经历。攻击者发现了一套自建的客服系统，经过信息收集和代码审计，发现该系统基于TP5.0.24开发，基本没有注入点。在深入分析代码后，攻击者发现了解密算法cpDecode，并通过分析mt_rand生成的密钥，找到了攻击入口。由于mt_rand生成的seed范围较大，攻击者编写了脚本进行多进程爆破，最终成功解密并找到了攻击点，成功攻破了系统。文章详细描述了攻击的整个过程，包括信息收集、代码审计、爆破密钥、寻找攻击入口等步骤，为网络安全学习者提供了实战经验。

Web应用安全代码审计加密算法漏洞 PHP安全红队攻击渗透测试

0x10d 攻防演练实战小记

PwnPigPig 2025-03-10T21:13:42

本文记录了一次网络安全攻防演练的实战经验。作者参加了某次地市攻防演练，目标是获取目标单位及其下属机构的系统权限。文章详细描述了获取服务器权限的过程，包括信息收集、端口扫描、利用已知漏洞获取webshell等步骤。作者在获取webshell后遇到了权限低、文件上传限制等问题，并尝试了利用其他漏洞进行提权。随后，作者通过横向移动获取了内网其他机器的权限，并使用tscan等工具进行信息收集和横向渗透。文章还提到了使用CS进行内网横向移动、权限维持以及使用HTTP代理功能监听RDP会话等内容。最后，作者分享了一些关于团队产品和服务、技术分享方向以及团队知识wiki和网盘资料等信息。

攻防演练漏洞利用内网横向移动提权 Web安全红队工具安全测试实战经验

0x10e Shell流量加密完全指南：红队渗透测试的隐身术

HW安全之路 2025-03-10T20:44:43 © VlangCN

本文详细介绍了在红队渗透测试中，如何通过流量加密技术来增强渗透行动的隐蔽性。文章首先阐述了明文传输带来的安全风险，包括容易被捕获和分析，以及被防御系统检测到的可能性。接着，文章介绍了使用OpenSSL加密传输技术来实现加密通信，通过生成自签名证书和监听加密端口，以及相应的反弹shell命令来实现加密传输。此外，文章还提到了Metasploit框架的流量加密功能，适用于Windows目标系统的渗透测试。最后，文章介绍了Cobalt Strike自定义Profile实现高级流量加密的方法，包括生成自定义SSL证书、编辑配置文件和验证配置正确性。文章强调，这些技术仅限于合法授权的渗透测试活动，并给出了针对防御方的建议，如部署深度包检测设备、实施证书透明度检查和监控异常网络连接等。

渗透测试流量加密网络安全 Shell脚本 OpenSSL Metasploit Cobalt Strike IDS检测安全评估

0x10f 在实战中如何用SPF识别出钓鱼邮件（带案例分析）

无限手套Infinity Gauntlet 2025-03-10T20:33:26

本文深入探讨了如何在实战中利用SPF（Sender Policy Framework）策略识别钓鱼邮件。文章首先介绍了SPF的基本概念，包括其作用、验证结果的不同状态（如Pass、Fail、SoftFail等）以及处理方式。接着，文章详细解释了SPF记录的配置和常见错误，并强调了与DKIM和DMARC等安全协议的协同使用。随后，通过一个具体的案例分析，展示了如何利用SPF工具识别钓鱼邮件，并指出钓鱼邮件可能成功进入系统的原因，如组织安全基础薄弱、安全团队能力有限等。最后，文章强调了加强技术基础、定期检验和培养安全文化的重要性，以共同抵御外部威胁。

电子邮件安全 SPF记录钓鱼邮件检测安全策略 DNS安全安全案例分析安全意识培养

0x110 针对邮件摘要生成器的 LLMs 钓鱼攻击研究

securitainment 2025-03-10T20:24:39 Mohamed Magdy

文章探讨了Phishing LLMs（针对邮件摘要生成器的钓鱼攻击）这一网络安全威胁。作者通过参加MSRC举办的LLMail-inject CTF比赛，详细描述了攻击过程。文章首先介绍了通过试错方法理解系统后台处理的过程，并通过发送邮件观察系统如何处理和总结消息。接着，作者尝试注入命令发送邮件到特定地址，但被系统拦截。通过分析分类器的工作原理，作者发现分类器根据指令的风险等级来决定是否允许操作。作者通过多次尝试，包括编码和“淹没输入”等方法，最终成功绕过了系统。文章最后总结了实验结果，指出基于LLM的防御存在局限性，并展示了攻击者如何利用这些系统来逃避检测。

Phishing AI Security Machine Learning Red Teaming Adversarial Machine Learning Social Engineering Email Security Intrusion Detection CTF

0x111 【安全圈】PHP-CGI RCE 漏洞被用于攻击日本科技、电信和电子商务领域

安全圈 2025-03-10T19:01:25

自2025年1月以来，未知威胁行为者针对日本组织进行了一系列恶意攻击。这些攻击利用了Windows上PHP的PHP-CGI实现中的远程代码执行（RCE）漏洞CVE-2024-4577，通过Cobalt Strike套件的插件'TaoWu'进行后期开发活动。攻击目标包括日本科技、电信、娱乐、教育和电子商务领域的公司。攻击者通过漏洞获取初始访问权限，使用PowerShell脚本执行Cobalt Strike反向HTTP shellcode负载，并使用多种工具进行侦察、权限提升和横向移动。为了保持隐蔽，攻击者使用wevtutil命令清除事件日志，并最终通过Mimikatz窃取密码和NTLM哈希值。分析表明，攻击者的动机可能不仅限于获取凭证，还可能包括建立持久性、提升权限和访问对抗框架。此外，分析C2服务器发现攻击者将对抗工具和框架托管在阿里云服务器上，并公开目录列表。

远程代码执行漏洞 PHP-CGI 漏洞 Cobalt Strike 供应链攻击目标导向攻击密码窃取持久化攻击横向移动云服务安全信息战

0x112 新型恶意软件利用Microsoft Graph API与Havoc框架发起攻击活动

白泽安全实验室 2025-03-10T18:54:33 BaizeSec

2025年3月，网络安全公司Fortinet揭露了一起利用Microsoft Graph API和Havoc框架的新型恶意软件攻击活动。攻击者通过钓鱼邮件诱导用户执行恶意命令，进而利用PowerShell脚本和Python脚本进行多阶段恶意软件传播。恶意软件通过Havoc框架与SharePoint文件通信，伪装成合法云服务请求，实现隐蔽通信。攻击支持多种后渗透功能，包括信息收集和文件操作。FortiGuard Labs建议用户和组织提高对钓鱼邮件的警惕，监控SharePoint异常文件创建，限制非管理员上下文中PowerShell的执行，并使用反病毒软件来检测和阻止恶意软件。

恶意软件分析社会工程学多阶段恶意软件云服务滥用 API利用沙箱逃逸 PowerShell攻击 Python脚本隐蔽通信后渗透攻击

0x113 《SRC漏洞挖掘思路手法：揭秘服务器端请求伪造的危险》

炽汐安全屋 2025-03-10T18:32:26 © 炽汐安全屋

本文深入探讨了服务器端请求伪造（Server-Side Request Forgery, SRC）漏洞的安全隐患。SRC漏洞允许攻击者通过伪造请求，使服务器执行未经授权的操作，可能导致敏感数据泄露、服务滥用甚至完全失控。文章首先介绍了SRC漏洞的定义和危害，如敏感数据泄露、服务滥用和权限提升。接着，详细阐述了挖掘SRC漏洞的核心思路，包括理解服务器请求处理机制、构造恶意请求、识别漏洞触发点和验证漏洞存在性。文章还介绍了常见的SRC漏洞挖掘手法，如HTTP头伪造、URL重定向利用、SSRF和CSRF与SRC的结合。最后，提出了防御SRC漏洞的建议，包括验证请求来源、限制请求范围、使用CSRF Token、白名单机制和日志审计与监控，以帮助构建更安全的网络环境。

漏洞挖掘安全漏洞服务器安全网络安全防护 HTTP协议 Web安全代码审计安全策略

0x114 无需手动操作！deepseek自动通关DVWA靶场

天翁安全 2025-03-10T18:00:50 © a1batr0ss

本文介绍了一种利用AI技术自动化网络安全测试的方法，通过deepseek平台和其API密钥，可以实现对DVWA靶场中Command Injection模块的自动通关。用户只需输入简单的命令提示，AI便能够自动完成登录、设置安全级别、提交表单以及执行漏洞利用等操作。文章详细解释了如何使用deepseek的ChatOpenAI模型和BrowserUse库来实现这一自动化过程，并提供了代码示例。此外，文章还提到了知识星球的新人优惠活动，鼓励读者加入。

AI网络安全自动化渗透测试 AI辅助工具靶场测试命令注入攻击 Python脚本 API使用

0x115 白盒SM4的DFA方案

看雪学苑 2025-03-10T18:00:00 ChuXinﻬ.

本文探讨了网络安全领域中的白盒SM4加密算法。随着白盒AES的DFA（差分故障分析）技术越来越普及，一些厂商开始转向使用白盒SM4以提高安全性。文章首先介绍了如何使用Frida脚本来分析和调试白盒SM4的实现。接着，通过Unidbg模拟执行，分析了SM4加密过程中的错误和异常，并找到了问题的根源。文章详细描述了如何通过DFA技术对白盒SM4进行攻击，包括故障注入和密钥恢复的过程。此外，文章还讨论了DFA攻击的数学原理、注入攻击的轮次和故障要求，以及如何使用工具进行攻击和密钥恢复。最后，文章强调了安全研究的重要性，并提醒读者不要将技术用于非法用途。

加密技术漏洞分析逆向工程漏洞利用安全测试移动安全网络安全

0x116 【漏洞预警】 Apache Camel安全漏洞(CVE-2025-27636)

飓风网络安全 2025-03-10T17:46:49 cexlife

Apache Camel版本从4.10.0到4.10.1、4.8.0到4.8.4以及3.10.0到3.22.3存在安全漏洞（CVE-2025-27636），该漏洞允许攻击者通过改变字母大小写绕过默认过滤机制，注入特定头部信息，进而调用Bean注册表中的任意方法。攻击者可能利用此漏洞执行任意代码。建议用户升级到4.10.2（4.10.x LTS）、4.8.5（4.8.x LTS）和3.22.4（3.0版本）以修复此漏洞。此外，建议在Camel应用程序中移除不必要的头部信息以降低风险。

CVE-2025-27636 Apache Camel 安全漏洞漏洞预警绕过/注入漏洞过滤机制错误 Bean注册表版本更新安全补丁网络安全

0x117 【漏洞预警】Apache OFBiz服务端模板注入漏洞风险通告

企业安全实践 2025-03-10T17:46:33 ©

Apache OFBiz是一款知名的企业资源规划（ERP）系统和电子商务平台，近日被发现存在一个服务端模板注入漏洞（CVE-2025-26865）。该漏洞允许攻击者通过构造特定的输入，注入恶意模板代码，可能导致任意代码执行、敏感信息泄露和数据篡改等严重后果。受影响的Apache OFBiz版本为18.12.17至18.12.18之间。官方已发布修复版本Apache OFBiz >= 18.12.18，建议受影响用户尽快升级以避免安全风险。在升级前，可以通过限制网络访问至可信用户来作为缓解措施。相关信息和修复过程可在安全列表和Apache Jira项目页面找到。

服务端漏洞模板注入 ERP系统漏洞代码执行数据泄露 CVE编号安全通告软件升级网络安全

0x118 虚拟机逃逸！VMware高危漏洞正被积极利用，国内公网暴露面最大

奇安信集团 2025-03-10T17:44:55 安全内参编译

安全内参报道，VMware ESXi实例存在一个高危漏洞CVE-2025-22224，该漏洞可能导致攻击者通过本地虚拟机客户机管理员权限逃离沙盒，并在宿主机上执行代码。目前，超过3.7万台服务器暴露在互联网上，易受此漏洞影响。该漏洞已被积极利用，且VMware母公司博通已发布警告，指出该漏洞以及另外两个漏洞（CVE-2025-22225和CVE-2025-22226）可能被作为零日漏洞利用。美国网络安全和基础设施安全局（CISA）要求联邦机构和州级组织必须在3月25日前部署更新和缓解措施。受影响实例主要集中在亚洲和欧洲，其中中国受影响实例最多。目前，尚未有可用的变通方案，建议用户及时查看官方公告以获取修复信息。

虚拟机安全 VMware漏洞网络攻击安全漏洞越界写入沙盒逃逸安全响应全球影响企业IT安全安全更新

0x119 观仔科普丨网络安全专业术语解析

观安信息 2025-03-10T17:30:21

本文详细介绍了网络安全领域的多种基础术语和概念。涵盖了网络技术基础，如LAN、MAN、WAN、Sneakernet、点对点链接、匿名FTP、数据封装、网络拓扑、访问表、自治系统（AS）、BGP、NOS、SLIP、ICMP、ipconfig、隧道模式、RSA算法、组播路由、水平分割、度量值、管理距离、距离向量路由协议、SD-WAN、DNS、IoT、超融合系统、EGP、FDM、FTP、HDLC、HTML、HTTP、ICMP、IEEE、IGMP、IGP、ARP、ARQ、AS、BGP、CDM、CDMA、CIDR、CRC、CSMA/CD、CSMA/CA、P2P、PAN、PDU、POP、PPP等。同时，文章还介绍了网络安全基础术语，包括高级持久威胁（APT）、警报、防毒软件、攻击特征、攻击者、认证方式、行为监控、黑名单、蓝队、机器人、僵尸网络、违反、BYOD、蛮力攻击、缺陷、证书、CISA、CISM、CISSP、密码、CIRT、CND、COBIT、证书、跨站点脚本（XSS）、密码学、网络攻击、网络基础、网络事件、网络安全、静止数据、数据泄露、数据的完整性、资料遗失、防止数据丢失、数据安全、解密、DoS、字典攻击、分布式拒绝服务（DDoS）、下载攻击、电子战、编码、加密、道德黑客、渗出、利用、漏洞利用工具、防火墙功能、黑客、散列、蜜罐、事件、事件响应计划、指示符、工业控制系统（ICS）、入侵检测系统/入侵检测与防御（IDS / IDP）、IP欺骗、键、逻辑炸弹、宏病毒、恶意代码、恶意软件、中间人攻击（MitM）、数据包嗅探器、被动攻击、密码嗅探、补丁管理、打补丁、有效载荷、渗透测试、个人身份信息（PII）、网络钓鱼、代理服务器、勒索软件、红队、冗余、远程访问木马（RAT）、根套件、密钥、安全自动化、安全信息和事件管理（SIEM）、安全监控、单点登录（SSO）、Smishing、鱼叉式网络钓鱼、欺骗、间谍软件、SQL注入、SSL /安全套接字层、隐写术、对称密钥、威胁分析、威胁评估、威胁搜寻、威胁管理、威胁监控、票、代币、交通灯协议、特洛伊木马、两因素验证（2FA）、广告软件、未经授权的访问、URL注入、虚拟专用网（VPN）、病毒、脆弱性、wabbits、水坑攻击、水坑、捕鲸、白队、蠕虫、Zero-day、僵尸等概念。

网络基础网络拓扑网络协议网络安全路由协议网络技术网络管理加密技术网络攻击安全漏洞安全防御安全策略安全事件响应安全工具

0x11a SquareX揭露新型多态扩展，可将信息窃取器伪装成任何浏览器扩展- 密码管理器、有风险的钱包

邑安全 2025-03-10T17:29:23 邑安科技

SquareX揭露新型多态扩展，可将信息窃取器伪装成任何浏览器扩展- 密码管理器、有风险的钱包

恶意软件浏览器安全密码管理器攻击加密货币安全多态攻击浏览器扩展安全策略安全漏洞披露浏览器检测和响应

0x11b Microsoft WinDbg RCE 漏洞允许攻击者远程执行任意代码

邑安全 2025-03-10T17:29:23 邑安科技

微软WinDbg高危漏洞CVE-2025-24043，由.NET诊断工具链中SOS调试扩展组件的加密签名验证机制缺陷引起，可能导致远程代码执行（RCE）。攻击者可构造恶意调试会话，在未经验证的情况下执行任意代码。该漏洞影响核心.NET诊断包，攻击者可能通过NuGet包管理器进行供应链攻击。微软已发布补丁，建议用户在48小时内完成修复。漏洞可能引发级联式供应链攻击，包括企业内网横向渗透、密码证书窃取、植入后门等。此次事件凸显开发工具链在高级持续性威胁（APT）中的重要性。

远程代码执行漏洞披露供应链攻击数字签名安全补丁 .NET框架 Windows操作系统开发者工具应急响应

0x11c BP插件-AI自动化Bypass_WAF_XSS

白昼信安 2025-03-10T17:12:57 © M9

本文介绍了一个名为Chypass_pro的网络安全工具，该工具基于AI技术自动化绕过WAF（Web应用防火墙）以实现XSS（跨站脚本）攻击。作者在GitHub上发现了原项目Chypass，并对其进行了改进和优化。Chypass_pro支持Java 8和Java 11两种运行环境，并推荐使用deepdeek和qwen-max作为AI API的key。工具使用场景以宝塔WAF和pikachu靶场为例，通过抓包和AI分析，自动生成绕过WAF的payload。作者还提到，通过数据包和AI结合的方式绕过WAF可以减轻手动FUZZ测试的负担，并计划对工具进行持续更新和功能扩展。项目源代码和打包文件可在指定的GitHub地址下载。

网络安全工具人工智能应用 XSS攻击 WAF绕过漏洞利用编程开发开源项目

0x11d 干货！网络安全人士必知的webshell哥斯拉

易云安全应急响应中心 2025-03-10T16:12:23

本文详细介绍了网络安全领域广为人知的WebShell工具——哥斯拉。哥斯拉是一款基于Java开发的高级WebShell管理工具，主要用于渗透测试和网络安全研究。它以其强大的功能和高隐蔽性著称，支持多种通信方式和加密方式，能够绕过传统安全设备的检测。文章深入探讨了哥斯拉的主要特性，包括多种通信方式、隐蔽性强、多语言支持、强大的可扩展性和跨平台性。此外，还提供了哥斯拉的安装使用方法，并通过dvwa靶场进行实例验证。文章最后总结了哥斯拉的安全挑战，并强调了安全团队需要采取的防御措施，如流量分析、日志监控、文件完整性检查等，以及严格的访问控制、WAF保护和主机安全加固等策略，以提升Web服务器的安全性。

WebShell 网络安全工具渗透测试安全防护安全漏洞加密技术服务器安全安全策略 Java开发插件系统

0x11e 工信部：警惕针对DeepSeek等网络攻击的风险提示

易云安全应急响应中心 2025-03-10T16:12:23

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）发现针对大语言模型DeepSeek本地化部署的钓鱼攻击，攻击者通过搜索引擎投毒和构建仿冒网站诱导用户下载恶意软件，如HackBrian RAT、Gh0st和FatalRAT等木马，可能导致敏感信息窃取、系统数据破坏等严重后果。此外，多个政府机构和企事业单位门户网站网页遭受攻击和篡改，原因在于网页安全漏洞和文件格式内容未严格校验。VMware ESXi等多个产品存在安全漏洞，可能被恶意利用导致代码执行和信息泄露。建议用户通过官方渠道下载软件，加强安全防护措施，及时更新系统，防范网络攻击风险。

网络钓鱼恶意软件传播漏洞利用内部网络入侵安全漏洞应急响应安全防护网络安全意识

0x11f Microsoft Defender ATP对抗分析

FlyCyber 2025-03-10T16:00:25 © WangFly

Windows Defender ATP是微软整合型端点防护解决方案。

Endpoint Protection Cloud Security Malware Detection Threat Intelligence Intrusion Detection Windows Security Dynamic Analysis Static Analysis Bypass Techniques

0x120 fastjson <=1.2.47 c3p0 利用

白帽子 2025-03-10T15:24:39

本文详细分析了fastjson <=1.2.47版本与c3p0依赖结合的利用方式。文章指出，攻击者可以利用fastjson的AutoType机制加载c3p0的恶意类，如com.mchange.v2.c3p0.impl.PoolBackedDataSource，以执行任意代码。文章提供了一个基于springboot、Java版本为JDK8的环境配置示例，并展示了如何使用ysoserial生成恶意的序列化文件。此外，文章还提供了攻击payload的生成代码，包括将序列化文件转换为十六进制字符串，并拼接成攻击payload。最后，文章提供了一个参考链接，指向了关于该漏洞利用的详细信息。

Fastjson 漏洞 C3P0 漏洞反序列化攻击 Java 安全 Spring Boot 安全漏洞利用渗透测试代码审计

0x121 Apache OFBiz 服务端模板注入漏洞(CVE-2025-26865)安全风险通告

奇安信 CERT 2025-03-10T14:52:19

本文介绍了Apache OFBiz服务端模板注入漏洞（CVE-2025-26865）的安全风险。该漏洞编号为QVD-2025-10061，公开时间为2025年3月7日，影响量级为万级，CVSS 3.1分数为9.8，评级为高危。Apache OFBiz是一个著名的电子商务平台，该漏洞允许攻击者在服务器端执行任意代码，可能导致敏感信息泄露、数据篡改或系统完全被控制。漏洞影响版本为Apache OFBiz 18.12.17至18.12.18。奇安信CERT建议用户尽快升级至Apache OFBiz 18.12.18版本以修复该漏洞，并在升级前备份相关数据。此外，还提供了其他安全更新和缓解措施，包括限制网络访问、监控系统日志和对输入数据进行验证和过滤。

服务端漏洞代码执行数据泄露系统篡改高危漏洞 Apache OFBiz 安全风险通告漏洞修复漏洞利用

0x122 【CVE-2024–31317】利用Android Zygote的注入攻击

骨哥说事 2025-03-10T14:22:54 © 骨哥说事

本文深入探讨了Android系统中Zygote进程的关键作用及其所暴露的CVE-2024-31317漏洞。Zygote进程在Android操作系统中负责启动应用程序和系统进程，以系统权限运行，是Android运行时环境的关键组件。CVE-2024-31317漏洞允许攻击者通过注入恶意代码以系统级权限执行，从而实现权限提升。文章详细介绍了Zygote进程的启动过程、漏洞的原理以及如何利用该漏洞。文章还提供了PoC（Proof of Concept）示例，展示了如何通过ADB Shell修改设置并注入恶意命令，最终提升到系统级权限。此外，文章还讨论了设备启动环的问题以及如何恢复Zygote的正常行为。

Android 安全漏洞系统级权限提升代码注入攻击漏洞利用安全研究移动安全系统启动过程安全漏洞分析

0x123 钓鱼攻击通过PDF文档暗投后门病毒

听风安全 2025-03-10T13:49:25 火绒安全

本文详细分析了近期恶意钓鱼PDF样本攻击的增多趋势。攻击者通过伪装成官方文件诱导受害者下载恶意文件，利用电子文档的隐蔽性和欺骗性进行网络钓鱼攻击。火绒威胁情报中心发现，恶意钓鱼PDF样本攻击量增加，其中一些样本通过伪装成快捷方式和隐藏文件夹传播。这些恶意程序采用双重攻击机制，一方面通过VBS脚本执行Python加载器，另一方面利用“白加黑”技术执行恶意文件，最终部署Cobalt Strike远控后门。文章建议用户通过关注可疑的发件人地址、不寻常的链接或紧急要求来规避风险，并强调了安装可靠的安全软件、实时扫描和检测邮件及文件的重要性。火绒安全产品已具备对该类恶意钓鱼PDF样本的识别与拦截能力，并建议用户及时更新病毒库以增强系统防护能力。文章还提供了样本执行流程图和Loader动静态分析，以及Cobalt Strike后门的功能和操作流程。

钓鱼攻击恶意软件网络钓鱼 PDF恶意利用安全防护恶意代码分析后门程序安全软件

0x124 一键查找可劫持DLL

TtTeam 2025-03-10T13:43:15

文章介绍了RTDllHijack工具，这是一个用于解析PE文件导入表并生成可劫持DLL源代码的工具。该工具具有自动发现给定目录中可劫持DLL的功能，并能根据发现的DLL生成对应的源代码。用户可以选择编译器（MinGW或MSVC）进行编译，同时可以排除特定文件或目录。文章详细说明了如何使用该工具，包括安装步骤、如何获取C盘当前所有文件的DLL劫持信息，以及如何生成支持MingW编译器的源文件。此外，文章还展示了如何排除特定文件或目录，并提供了工具的下载地址。

工具分析 PE文件解析 DLL劫持源代码生成编译器支持安全工具操作系统安全

0x125 fastjson <=1.2.47 c3p0 利用

moonsec 2025-03-10T13:09:02 © moonsec

本文详细分析了fastjson <=1.2.47版本与c3p0依赖结合的利用方式。在Spring Boot环境下，fastjson的AutoType机制可以被利用来加载c3p0的恶意类，如com.mchange.v2.c3p0.impl.PoolBackedDataSource，从而执行任意代码。文章中提供了使用ysoserial生成恶意序列化文件的步骤，以及如何将序列化文件转换为十六进制字符串，进而构造攻击payload。此外，文章还展示了如何将十六进制字符串嵌入到攻击payload中，并提供了相应的Java代码示例。最后，文章提供了一个参考链接，指向了更多的渗透测试学习资源。

0x126 红队技巧 - RDP 隐身模式

Khan安全团队 2025-03-10T12:54:58

本文详细介绍了微软远程桌面协议（RDP）中的“隐身模式”功能，即公共模式。公共模式通过禁用关键数据保留机制，提高了网络安全性和数字取证的能力。该模式阻止了客户端存储敏感的会话工件，如连接设置、凭据缓存和持久位图缓存，从而减少了攻击者留下的痕迹。公共模式还影响了注册表交互，如MRU服务器列表和用户名提示，以及证书例外。这些变化对于企业IT管理和安全分析师来说具有重要意义，因为它减少了攻击者可以利用的信息，并提高了系统的整体安全性。

远程桌面协议网络安全安全配置凭证保护数字取证注册表安全系统管理

0x127 流行的 Python 日志库python-json-logger存在远程代码执行漏洞 (CVE-2025-27607)

独眼情报 2025-03-10T12:31:30

Python 日志库“python-json-logger”被发现存在一个严重的安全漏洞（CVE-2025-27607），该漏洞可能导致攻击者在安装了该库的系统上执行任意代码。该漏洞的CVSS评分为8.8，源于一个名为“msgspec-python313-pre”的缺少依赖项。由于这个依赖项在PyPI存储库中不存在，攻击者可以发布一个同名的恶意包，当用户安装“python-json-logger”时，恶意包会自动安装，从而可能获得远程代码执行的能力。该漏洞影响了大量用户，因为“python-json-logger”的下载量每月超过4300万次。受影响的用户应立即更新到3.3.0或更高版本以修复漏洞。

Python 漏洞远程代码执行依赖项安全开源库安全软件更新数据泄露风险系统破坏风险

0x128 Linux 内核越界写入漏洞 PoC发布 CVE-2024-53104

独眼情报 2025-03-10T12:31:30

Linux内核中存在一个编号为CVE-2024-53104的高严重性越界写入漏洞，该漏洞存在于USB视频类(UVC)驱动程序中，可能被用于权限提升。漏洞源于uvc_parse_format函数对UVC_VS_UNDEFINED帧的不当解析，可能导致缓冲区大小计算错误和越界内存写入。攻击者可以通过插入恶意USB设备或操纵视频流来触发漏洞。成功利用可能允许攻击者修改内核内存，导致系统不稳定、权限提升或任意代码执行。该漏洞影响Linux内核2.6.26及以上版本，谷歌已发布补丁，CISA已将其添加到KEV列表，并要求联邦机构在三周内应用补丁。用户应更新系统以应用最新安全补丁，并采取多层次的安全措施来增强长期安全性。

Linux内核漏洞越界写入漏洞 USB设备安全缓冲区溢出权限提升概念验证代码（PoC）安全补丁系统稳定性安全响应

0x129 揭秘“SVCHOST.EXE”进程及其命令行选项

独眼情报 2025-03-10T12:31:30

本文深入解析了Windows系统中的关键进程SVCHOST.EXE，解释了其为何被误认为是恶意进程的原因，包括恶意软件的伪装和旧版任务管理器的缺陷。文章详细介绍了SVCHOST.EXE的作用，它是作为共享服务进程的壳程序，负责从DLL文件加载服务。文章还探讨了服务控制管理器（SCM）和services.exe进程的关系，以及SVCHOST.EXE如何托管不同类型的服务。通过分析SVCHOST.EXE的命令行参数，如-k、-s和-p，揭示了它们如何影响服务的加载和策略实施。最后，文章提供了进一步学习的资源，包括思维导图下载链接和相关书籍推荐。

恶意软件分析系统进程监控 Windows系统安全注册表安全安全工具使用服务控制管理

0x12a CVE-2025-21333 Windows 堆缓冲区溢出漏洞分析

独眼情报 2025-03-10T12:31:30

CVE-2025-21333是一个影响Windows操作系统的堆缓冲区溢出漏洞，该漏洞存在于vkrnlintvsp.sys驱动程序的VkiRootAdjustSecurityDescriptorForVmwp函数中。漏洞触发条件是用户可控制的安全描述符中ACL的大小，可能导致整数溢出和堆溢出。攻击者可以利用这一漏洞通过系统调用链执行任意代码。该漏洞于2024年1月14日通过KB5050021补丁修复。文章详细分析了漏洞的原理、利用条件和防护方案，并提供了漏洞利用的堆风水策略、权限提升利用方法以及检测建议行为特征。此外，文章还讨论了补丁的分析以及相关的时间线。

Windows 漏洞堆缓冲区溢出驱动程序漏洞沙箱逃逸代码执行漏洞分析安全补丁漏洞利用系统调用安全响应

0x12b 5 种利用 HTTP 参数污染 (HPP) 攻击的小技巧

白帽子左一 2025-03-10T12:03:33 白帽子左一

本文探讨了HTTP参数污染（HPP）攻击的五种技术及其对Web应用程序的影响。HPP攻击通过错误处理多个相同的HTTP参数来实现，攻击者可以借此绕过安全控制、篡改SQL查询、操纵API调用、修改电商应用中的价格计算，甚至绕过输入验证和Web应用防火墙（WAF）规则。文章详细描述了每种攻击方式的工作原理和示例，例如通过注入多个相同的参数值绕过身份验证，或者覆盖SQL查询中的ID参数。此外，还强调了理解这些漏洞对于安全研究人员和漏洞奖励猎人来说的重要性，并提醒读者相关技术、思路和工具仅供安全学习交流使用，禁止用于非法目的。

Web安全漏洞利用安全漏洞 SQL注入 API安全输入验证 WAF绕过 XSS攻击安全最佳实践

0x12c 漏洞挖掘 | 记一次CNVD证书获取过程

掌控安全EDU 2025-03-10T12:01:19 © zkaq-我会发着呆

本文详细记录了一位网络安全学习者通过CNVD漏洞挖掘获取证书的过程。作者首先介绍了CNVD的收录条件和目标选择方法，包括通过CNVD官网查看已通过漏洞进行捡漏，以及使用资产测绘引擎如fofa、鹰图、Quake等搜索具有特定技术支持的网站。接着，作者分享了实际的渗透测试过程，包括发现用户名枚举、弱口令测试、越权漏洞挖掘等。文章中详细描述了如何通过修改密码路径进行测试，爆破用户名，进行弱口令测试，以及如何利用待办消息功能中的越权漏洞访问敏感信息。作者还介绍了如何收集案例，并使用鹰图、图标检索、fofa搜索等方法找到更多相同系统资产。最后，作者总结了本次漏洞挖掘的经验，并强调了合法渗透的重要性。

漏洞挖掘 CNVD 渗透测试漏洞利用网络安全信息收集实战教程

0x12d Sitecore 曝零日漏洞，可远程命令执行

柠檬赏金猎人 2025-03-10T12:00:52

近日，Sitecore 体验平台被曝出关键漏洞 CVE-2025-27218，该漏洞允许未经身份验证的攻击者在未打补丁的系统上执行任意代码。漏洞源于不安全的数据反序列化操作，影响 Sitecore 体验管理器（XM）和体验平台（XP）8.2 至 10.4 版本。该漏洞位于 MachineKeyTokenService.IsTokenValid 方法中，攻击者可以利用 ysoserial.net 等工具生成恶意序列化对象，并通过 WindowsIdentity gadget 链执行操作系统命令。Sitecore 已发布补丁修复该漏洞，并建议用户升级到最新版本或应用安全补丁，同时监控 ThumbnailsAccessToken 头的异常活动。对于无法立即打补丁的组织，微软建议强制执行 Serialization Binder 限制或禁用 BinaryFormatter。

漏洞分析安全补丁远程命令执行数据反序列化安全建议 Windows系统安全应用安全

0x12e 垂直越权，你只会替换 COOKIE ？啊、这、

乌雲安全 2025-03-10T11:13:17

网络安全漏洞越权攻击 Web安全测试方法漏洞挖掘安全工具安全测试

0x12f WAF有几种类型，如何选择Web应用防火墙？

护卫神说安全 2025-03-10T11:05:03 © 护卫神

WAF（Web应用防火墙）是网站安全防护的重要工具，能够防御多种网络攻击。文章介绍了WAF的两种部署模式：专用模式和集成模式。专用模式通过反向代理接入，提供更高的安全性，但成本较高，适合对安全要求高的场景。集成模式则将WAF软件集成到Web服务器中，成本低，适合预算有限的情况。两种模式各有优缺点，选择时应考虑成本和安全需求。文章还提到了WAF的基本功能和一些特色功能，如非法关键词过滤、网站后台保护等，以及WAF与CDN的整合可以增强防护效果。

网络安全设备 Web应用防护防火墙技术安全部署模式成本效益分析安全策略安全配置

0x130 在 Solr 服务器上获取 RCE 的一种非常奇特的方法

Ots安全 2025-03-10T10:21:14

本文详细描述了作者在一家大型视频游戏公司中发现的一系列漏洞，包括一个盲SSRF漏洞，最终成功实现了远程代码执行（RCE）。作者首先发现了Solr服务器的盲SSRF漏洞，并通过配置一个恶意的本地Solr服务器作为跟随者，从目标服务器复制数据集。随后，作者通过修改配置文件和分发自定义的Velocity .jar库，成功启用了Velocity引擎，并最终实现了RCE。然而，当作者向公司的漏洞赏金计划报告这一发现时，却遭遇了不公平的待遇，报告被关闭，并且获得的赏金远低于漏洞的严重性。作者分享这一经历，旨在提醒社区不要忽视劣质程序的安全性，并强调在分享发现之前要三思而后行。

漏洞分析 Solr 漏洞漏洞赏金计划网络安全研究代码审计 RCE 利用 SSRF 利用配置管理漏洞报告

0x131 Active Directory 域服务特权提升漏洞 (CVE-2025-21293)

Ots安全 2025-03-10T10:21:14

本文讲述了一位网络安全学习者在执行客户任务时，发现了一个名为“网络配置操作员”的Active Directory内置组。该组在默认情况下拥有系统权限，尽管其初衷是限制用户对计算机网络接口的操作权限。作者通过解析注册表数据库访问控制列表，发现该组拥有敏感服务相关注册表项的“CreateSubKey”属性，这可能存在安全隐患。进一步的研究揭示了CVE-2025-21293漏洞，该漏洞允许通过性能计数器武器化。作者感谢Clément Labro的工作，并提到了在ReTest Security ApS的同事的帮助。文章详细介绍了如何利用性能计数器和WMI来执行代码，并展示了概念验证代码。最后，作者讨论了该漏洞的修复以及未来对注册表数据库安全性的研究计划。

Active Directory Security Default Security Groups Access Control List Registry Security Performance Counters DLL Injection Windows Internal Structure Security Vulnerability Security Patch Security Research

0x132 YZNCMS白盒审计开源漏洞挖掘分析

实战安全研究 2025-03-10T10:00:57 1315609050541697

本文分析了YZNCMS最新版本v2.0.1中存在的两个安全漏洞。首先是文件上传漏洞，该漏洞存在于插件安装功能中，攻击者可以修改插件压缩包并上传，从而执行任意命令。第二个漏洞是存储型XSS漏洞，存在于Config.php文件中，由于输入验证不足，攻击者可以将恶意脚本注入网页，导致跨站脚本攻击。文章详细描述了漏洞的发现过程、漏洞代码分析以及如何利用这些漏洞。

文件上传漏洞命令执行跨站脚本漏洞（XSS）漏洞分析 CMS漏洞安全开发漏洞利用

0x133 Burp Suite插件专为文件上传漏洞检测设计，提供自动化Fuzz测试，共300+条payload。

黑白之道 2025-03-10T10:00:48

本文介绍了一款专为文件上传漏洞检测设计的Burp Suite插件，该插件名为Upload_Auto_Fuzz，能够提供自动化Fuzz测试，包含超过300条payload。插件具备多种功能，包括WAF绕过技术、后缀变异、内容编码绕过、协议攻击等。此外，它还支持利用Windows和Linux系统特性进行攻击，如NTFS数据流、保留设备名、长文件名截断等。插件还包含了内容欺骗、魔术字节注入、SVG+XSS组合攻击、文件内容混淆等多种攻击手段。使用指南详细说明了如何拦截文件上传请求并利用插件进行攻击。文章强调，这些技术和工具仅供安全学习交流使用，禁止用于非法目的。

网络安全工具漏洞检测 Fuzz测试文件上传漏洞 Burp Suite插件开发 WAF绕过技术后缀变异内容编码攻击协议攻击系统特性利用内容欺骗 payload分析

0x134 虚拟机逃逸！VMware高危漏洞被利用，国内公网暴露面最大;犯罪分子利用 DeepSeek 的流行度来传播木马化的 AI 客户端

黑白之道 2025-03-10T10:00:48

本文报道了VMware高危漏洞CVE-2025-22224被积极利用的情况，该漏洞可能导致虚拟机逃逸，全球近4万台服务器面临风险，其中中国、法国、美国受影响服务器数量最多。此外，文章还揭露了网络犯罪分子利用DeepSeek流行度传播木马化的AI客户端，通过虚假网站和社交媒体操纵，诱导用户下载恶意软件和后门，窃取敏感数据。VMware已发布安全警告，并要求用户及时更新修复漏洞。卡巴斯基实验室提醒用户验证软件来源，并实施端点安全措施，以防止成为网络攻击的受害者。

0x135 某CRM代码审计之旅-多漏洞绕过与发现

黑白之道 2025-03-10T10:00:48

本文详细分析了一个基于Shiro权限验证系统的安全漏洞。首先，文章揭示了Shiro版本与Spring框架配合下存在的认证绕过漏洞，通过构造特定的URL路径，可以绕过认证机制。接着，文章介绍了如何利用这个漏洞进行任意文件读取，通过一个存在文件读取功能的Controller类，攻击者可以读取服务器上的文件。进一步地，文章探讨了如何通过该漏洞执行命令，包括利用私有方法执行系统命令以及通过XStream反序列化漏洞进行命令执行。文章还深入分析了Tomcat的内部结构，以及如何通过反射获取请求和响应对象，最终实现命令回显。最后，文章强调了这些技术、思路和工具仅供安全学习交流，禁止用于非法目的。

权限绕过文件读取漏洞命令执行漏洞反序列化漏洞 Web应用安全漏洞复现漏洞利用安全工具安全分析

0x136 Burp suite 短信轰炸绕过插件

阿乐你好 2025-03-10T09:51:52 昱子

本文介绍了一款专为短信轰炸漏洞检测设计的Burp Suite插件。该插件旨在通过自动化Fuzz测试来检测短信轰炸漏洞。插件支持多种绕过手段，包括参数污染、参数复用、填充垃圾字符、特殊字符以及号接口遍历和组合测试等。插件支持Json格式，并允许用户自定义测试接收的参数，支持GET、POST、JSON、Cookie请求中的参数测试。用户可以选择手动开启或关闭短信接口的测试和组合测试选项，同时插件还支持白名单功能。文章强调，这些技术、思路和工具仅限于安全目的的学习交流，禁止用于非法用途和盈利行为。插件可在GitHub上下载。

Burp Suite 插件短信轰炸检测漏洞检测参数测试自动化测试白名单支持安全工具安全研究

0x137 SMS_Bomb_Fuzzer - 短信轰炸 Bypass

嗨嗨安全 2025-03-10T09:51:49 昱子

本文介绍了一款名为SMS_Bomb_Fuzzer的Burp Suite插件，该插件专门用于检测短信轰炸漏洞，并提供自动化Fuzz测试功能。插件支持Json格式，允许用户自定义测试号码，并支持GET、POST、JSON、Cookie请求中的参数测试。用户可以选择手动开启或关闭短信接口的测试和组合测试选项，同时提供了白名单功能。文章还提供了插件的下载地址和安装使用方法，并提醒读者不要利用文章中的技术进行非法测试。文章最后列出了公众号后台回复相关关键词以获取下载链接和更多资源的信息。

网络安全工具漏洞检测 Burp Suite插件短信安全自动化测试参数测试

0x138 HTB靶机 - Cypher

夜风Sec 2025-03-10T09:44:57 © 夜风Sec

本文详细记录了网络安全学习者对HTB靶机Cypher的渗透测试过程。首先，通过nmap扫描和目录扫描发现了开放的端口和潜在的目录。接着，使用dirsearch和ffuf工具进行子域名扫描，但未发现新的信息。在登录框尝试Cypher注入时，成功获取了hash值，但由于无法破解，决定分析源码。通过反编译jar文件，发现存在URL拼接漏洞，并通过反弹shell成功获取了shell。进一步发现靶机存在权限问题，通过sudo -l命令发现bbot工具可以无需root密码执行，并利用此漏洞提权。最终，通过bbot工具的debug模式成功获取了root.txt文件内容。文章还提供了相关的参考链接，包括Cypher注入的防护方法和相关漏洞利用案例。

靶场实战信息收集 Cypher注入代码审计提权漏洞利用网络安全

0x139 渗透测试工具之tcpdump

寰宇密阁 2025-03-10T09:20:38 ©

网络安全工具网络嗅探数据包分析渗透测试 Linux系统 Windows系统命令行工具流量监控数据包过滤网络故障排查

0x13a 针对被积极利用的 Linux 内核越界写入漏洞（CVE-2024-53104）PoC 被公开

军哥网络安全读报 2025-03-10T09:01:35 会杀毒的单反狗

漏洞影响Linux内核2.6.26及以上版本。

Linux内核漏洞 USB安全权限提升缓冲区溢出系统稳定性代码执行安全补丁安全响应漏洞评分

0x13b 十二月安全通告

中龙技术 2025-03-10T09:00:13 © 中龙技术

2024年12月，网络安全领域发生了一系列重要事件。国家计算机病毒应急处理中心发布预警，指出“银狐”木马病毒的新变种，通过钓鱼信息在微信等平台传播。同时，微信安全中心提醒用户警惕社交平台传播的木马病毒。宁波市公安局报告了一起针对高科技企业的网络攻击事件。微软发布了12月的“补丁星期二”安全更新，修复了多个安全漏洞。华为、谷歌等厂商也发布了安全更新。此外，《2024全国网民网络安全感满意度调查统计总报告》显示我国网络空间安全治理取得明显进展。在漏洞分析方面，包括电子文档安全管理系统、爱快流控路由器、网动统一通信平台等在内的多个产品被发现存在安全漏洞，厂商已发布修复方案。

木马病毒网络安全预警钓鱼攻击社交平台安全网络攻击系统漏洞安全更新安全意识漏洞修补网络安全标准化网络安全行业趋势人工智能与安全

0x13c SRC工具-短信轰炸Bypass

道一安全 2025-03-10T08:54:13 yuziiiiiiiiii

本文介绍了一款名为SRC工具的短信轰炸Bypass插件，该插件是专为Burp Suite设计的，用于检测短信轰炸漏洞。插件提供了自动化Fuzz测试功能，包括参数污染、参数复用、填充垃圾字符、特殊字符、码区号接口遍历和组合测试等绕过手段。该插件支持Json格式，允许自定义测试号码，并支持GET、POST、JSON、Cookie请求中的参数测试。用户可以手动开启或关闭短信接口的测试和组合测试选项，并具备白名单功能。文章详细介绍了插件的安装、使用方法，并提供了作者的GitHub地址和网盘下载链接，供有需要的读者获取。作者强调，该工具仅供安全学习交流使用，禁止用于非法用途和盈利目的。

网络安全工具漏洞检测自动化测试 Burp Suite插件短信安全参数污染安全开发

0x13d 【漏洞通告】Kibana 原型污染导致任意代码执行漏洞安全风险通告

嘉诚安全 2025-03-10T08:48:40

近日，嘉诚安全发现Kibana存在一个原型污染导致的任意代码执行漏洞（CVE-2025-25015），该漏洞可能允许攻击者通过上传特制文件和发送构造的HTTP请求来执行任意代码。此漏洞影响Kibana版本8.15.0至8.17.1，而在8.17.1及更高版本中，漏洞利用受到限制。Elastic官方已发布修复补丁，建议用户尽快升级至Kibana 8.17.3以解决该问题。对于无法立即升级的用户，可以通过修改配置文件来缓解风险。同时，文章还提供了其他安全建议，包括定期更新系统补丁、加强访问控制和端口管理、使用企业级安全产品以及加强用户和权限管理等，以提高网络安全性能。

漏洞通告 Kibana Elastic Stack 任意代码执行安全风险版本更新日志分析安全监控漏洞利用网络安全

0x13e 绕过EDR系统检测的新型攻击技术

安小圈 2025-03-10T08:45:24 BaizeSec

本文揭示了Windows UI Automation框架的新型攻击技术，该技术可绕过EDR系统检测。Akamai安全研究团队发现，攻击者通过诱骗用户运行使用UI Automation的程序，实现隐蔽命令执行，窃取敏感数据或重定向浏览器至恶意网站。这种攻击适用于所有运行Windows XP及以上操作系统的终端。攻击者利用UI Automation框架模拟用户输入，通过COM交互和DLL加载执行恶意活动。由于UIA行为被视为合法功能，Windows Defender等EDR产品未能识别其可疑行为。Microsoft已对UI Automation框架实施限制，但攻击者仍可能绕过。管理员可通过监控UIAutomationCore.dll的使用和UIA打开的命名管道来检测可疑行为。

攻击技术 EDR绕过 Windows安全 UI Automation框架社会工程学恶意软件分析安全防护漏洞利用网络安全研究

0x13f 攻防实录：渗透测试人员必备的30种Windows凭证获取技巧！

HACK之道 2025-03-10T08:40:32 © 牛叫瘦

本文详细介绍了在授权渗透测试环境中，针对Windows系统密码凭证获取的30种技术手段。涵盖了内存凭证提取、本地存储凭证提取、网络协议攻击、漏洞利用技术以及其他高级技术等多个方面。每种技术手段都提供了详细的操作步骤和相应的防御方案。文章强调了所有技术内容仅供安全研究使用，并必须在取得合法授权的情况下实施。此外，还提供了一系列防御建议，包括启用LSA保护、部署Windows Defender Credential Guard、实施JEA权限模型等，以帮助加强网络安全防护。

渗透测试 Windows安全密码学漏洞利用防御策略内存分析网络攻击取证分析

0x140 绝境小Tips - 无感修改Windows主机密码并还原

SecretTeam安全团队 2025-03-10T08:32:01 © Vipersec

本文详细介绍了在渗透测试中，如何在不使用Mimikatz的情况下修改Windows主机的密码，并随后将其还原。文章首先说明了修改密码的常见原因，如获取NT哈希但没有明文密码，或者有修改权限但无NT哈希或明文密码。接着，文章介绍了使用域管理员权限修改用户密码的不同方法，包括使用内置的exe二进制文件、PowerView的Set-DomainUserPassword和Set-ADAccountPasswordPowerShell命令行。文章重点介绍了使用Mimikatz和NTDS.dit数据库恢复NT哈希值的方法，以及使用DSInternals工具进行密码重置的步骤。最后，文章总结了这种方法在恶劣环境下的应用，并推荐了相关历史文章和团队自研工具，以帮助网络安全学习者更好地理解并实践这些技术。

Windows密码安全密码学渗透测试 Mimikatz工具 Active Directory攻击安全工具网络安全实践安全意识

0x141 vulnhub靶场之【digitalworld.local系列】的FALL靶机

泷羽sec-何生安全 2025-03-10T08:30:21 ©

本文详细介绍了vulnhub靶场中的digitalworld.local-fall靶机的渗透过程。首先介绍了靶机的设置和环境搭建，包括使用VMware虚拟机和桥接网络的方式。接着，通过nmap工具进行端口扫描和信息收集，识别出开放的端口和可能的漏洞。文章重点分析了80端口和443端口的网站，通过目录爆破、文件包含漏洞等手段发现了后门文件和敏感信息。此外，还尝试了利用SMB协议进行用户枚举，并通过文件包含漏洞获取了用户qiu的SSH私钥，最终使用该私钥提权至root用户。整个渗透过程涵盖了端口扫描、信息收集、漏洞利用、提权等多个步骤，为网络安全学习者提供了实战案例参考。

靶场测试漏洞分析网络安全渗透测试工具漏洞利用 SSH安全权限提升 Web安全信息收集

0x142 【漏洞通告】重大安全漏洞预警：Exim 邮件系统与 WordPress 插件受威胁

信息安全新动态 2025-03-10T08:30:19

近期网络安全领域发现两起重大漏洞事件。首先是Exim邮件传输系统存在的CVE-2025-26794 SQL注入漏洞，该漏洞允许攻击者在特定配置下执行任意SQL命令，影响全球超过60%的互联网邮件服务器。其次是WordPress插件“Elementor的必备插件”的CVE-2025-24752漏洞，该漏洞可能导致跨站脚本攻击，影响超过200万的活跃安装量。Exim已发布补丁，而WordPress插件也已更新至修复漏洞的版本。用户和网站管理员应立即采取措施更新系统和插件，以防止潜在的安全威胁。

邮件系统漏洞 WordPress插件漏洞 SQL注入跨站脚本攻击安全补丁网络安全预警系统管理员网络安全防护

0x143 从甲方角度看如何挖SRC

Ms08067安全实验室 2025-03-10T08:02:19 © Ms08067实验室

本文从甲方（互联网企业）的角度出发，详细探讨了如何挖掘SRC（安全响应中心）的漏洞。文章首先介绍了甲方企业为了保护业务安全而采取的安全措施，包括安全开发（代码安全）和安全运营中的自动化代码审计、漏洞扫描、基线检查等。接着，文章提出了针对SRC挖掘的具体策略，包括信息搜集和漏洞挖掘两个方面。信息搜集方面，建议寻找边缘资产、测试资产和新上线资产，以及APP应用。漏洞挖掘则分为针对边缘资产和测试资产的黑盒测试，以及针对核心资产的常见漏洞类型探测和框架/组件漏洞挖掘。文章旨在为网络安全学习者提供从甲方视角理解SRC挖掘的实用指导。

网络安全策略代码审计漏洞扫描信息搜集漏洞挖掘 SRC挖掘边缘资产测试资产新上线资产 APP安全

0x144 漏洞预警 | yShopmall SQL注入漏洞

浅安安全 2025-03-10T08:00:24 浅安

本文预警了一个名为CVE-2025-25426的高危SQL注入漏洞，该漏洞存在于yShopmall电商系统中，版本号低于v1.9.0的版本均受影响。漏洞位于/api/material/page接口，未经身份验证的攻击者可以利用该漏洞获取数据库敏感信息。目前官方已发布修复版本，建议用户升级至安全版本以避免安全风险。

SQL注入高危漏洞电商平台安全身份验证漏洞数据库安全软件升级

0x145 漏洞预警 | WordPress Plugin TForce Edition SQL注入漏洞

浅安安全 2025-03-10T08:00:24 浅安

本文报道了一个影响WordPress插件TForce Edition的高危SQL注入漏洞（CVE-2024-13478）。TForce Edition是一款用于WordPress的零担货运管理工具，允许用户与TForce物流公司集成，获取货运报价和跟踪货物状态。该漏洞存在于/wp-admin/admin-ajax.php接口，未经身份验证的攻击者可以利用此漏洞获取数据库中的敏感信息。目前，官方已发布修复版本，建议用户升级到3.6.4或更高版本以消除此漏洞。该漏洞的详细信息和测试代码（POC）已公开，提醒用户及时更新以保护其网站安全。

SQL注入漏洞 WordPress插件漏洞高危漏洞敏感信息泄露身份验证绕过数据库安全漏洞修复版本更新

0x146 漏洞预警 | JEEWMS SQL 注入漏洞

浅安安全 2025-03-10T08:00:24 浅安

本文针对CVE-2025-0392漏洞进行预警。该漏洞存在于基于JAVA的仓库管理系统JEEWMS中，具体影响版本为JEEWMS。漏洞类型为SQL注入，攻击者可以通过该漏洞获取数据库敏感信息。该漏洞已在JEEWMS的/jeewms/graphReportController.do接口被发现，且已经过身份验证。目前官方已经发布了漏洞修复版本，建议用户及时升级至安全版本以避免潜在的安全风险。

SQL注入高危漏洞 JAVA应用漏洞数据库安全 WMS系统漏洞漏洞修复

0x147 关于防范针对DeepSeek、网站、VMware ESXi等网络攻击的风险提示

计算机与网络安全 2025-03-10T07:57:22

本文针对近期网络安全威胁和漏洞信息共享平台（CSTIS和NVDB）监测到的几类网络安全风险进行了详细提示。首先，针对DeepSeek本地化部署场景的钓鱼攻击，攻击者通过搜索引擎投毒和仿冒网站诱导用户下载恶意程序，严重危害用户数据安全。其次，多个政府机构和企事业单位网站被攻击篡改，导致违法违规信息传播等问题。最后，VMware ESXi等虚拟化产品存在安全漏洞，可能被恶意利用导致代码执行和信息泄露。文章建议用户和单位通过官方渠道下载软件，加强网站安全防护，及时升级系统，并采取相应的安全措施防范网络攻击。

恶意软件攻击网络钓鱼漏洞利用信息泄露系统篡改虚拟化安全应急响应网络安全防护

0x148 AWS 钓鱼攻击新变种，JavaGhost 团伙精妙利用云服务特性与配置缺陷！

技术修道场 2025-03-10T07:55:23 © Hankzheng

本文揭示了针对 Amazon Web Services (AWS) 的复杂钓鱼攻击活动，由网络犯罪团伙 JavaGhost 执行。攻击者利用了 AWS 用户配置错误，包括 IAM 访问密钥泄露和权限滥用，以及 AWS 服务自身的特性，如 SES、WorkMail 和 CloudTrail，来增强攻击效果并规避检测。攻击者通过创建临时凭证、控制台登录和发送钓鱼邮件等手段，实现了对 AWS 资源的非法访问。文章还分析了 JavaGhost 团伙的技术细节、攻击流程、与 Scattered Spider 的关联，并提出了 AWS 安全最佳实践，包括启用 CloudTrail、使用 AWS Config、实施网络分段、部署 WAF、定期进行渗透测试和漏洞扫描等。此外，文章还讨论了云服务安全、数据隐私、网络犯罪的法律与伦理问题，以及云服务提供商的责任和数据泄露的法律后果。

云安全钓鱼攻击 AWS安全漏洞社会工程学安全配置安全审计网络犯罪团伙安全最佳实践

0x149 Labyrinth Chollima APT 攻击模拟

安全狗的自我修养 2025-03-10T07:40:12 hai dragon

本文详细描述了一个名为Labyrinth Chollima的APT组织针对能源公司和航空航天业进行的攻击模拟。攻击活动始于2024年6月之前，攻击者利用合法的职位描述内容作为诱饵，通过加密的PDF文件和修改版的开源PDF查看器SumatraPDF.exe来感染目标。攻击过程分为多个阶段，包括创建带有钓鱼信息的PDF文件、使用Shellter工具注入DLL、通过PDF文件执行恶意软件、建立反向连接以及执行加密的有效负载。文章中详细介绍了每个阶段的技术细节，包括使用的工具和攻击策略。此外，还提到了SumatraPDF的后续版本对攻击策略的影响，以及如何下载旧版本的SumatraPDF以绕过安全更新。

0x14a 深入解析哥斯拉二开的流量混淆技术

七芒星实验室 2025-03-10T07:03:56 1341025112991831

本文详细介绍了如何基于Godzilla_ekp1.1.jar工具进行二次开发，以增强其流量规避免杀木马和增加RSA加密逻辑的功能。文章首先介绍了环境搭建的过程，包括反编译jar包、创建目录和依赖，以及了解二开优化点。接着，文章深入分析了流量规避的原理，包括对目标木马流量的抓取和修改，以及如何修改代码以生成随机的User-Agent和Accept头。文章还讨论了如何去除cookie末尾的分号，以及如何修改请求包以增加混淆。此外，文章还分析了响应包的格式和加密逻辑，以及如何修改后端处理部分以确保数据安全。最后，文章展示了如何修改木马模板和通信模块，以及如何连接木马以验证修改后的效果。

逆向工程二开开发网络安全 Web安全编码混淆加密技术渗透测试漏洞利用

0x14b Akira勒索软件团伙利用未加密的网络摄像头绕过EDR（终端检测与响应系统）

黑猫安全 2025-03-10T07:01:09 鹏鹏同学

S-RM网络安全研究人员发现，Akira勒索软件团伙利用未加密的网络摄像头绕过终端检测与响应（EDR）系统进行攻击。攻击者通过远程访问工具进入网络，使用AnyDesk保持持久性，并窃取数据。在EDR阻止勒索软件部署后，攻击者转向寻找未加密的物联网设备，特别是网络摄像头，成功部署勒索软件。由于这些设备通常缺乏监控，攻击者得以绕过安全防御。Akira勒索软件团伙还开发了针对VMware ESXi服务器的Linux加密器，表明其攻击手段的多样化。报告建议组织监控物联网设备流量，限制设备访问，定期审计和更新设备，以及更改默认密码以提高安全性。

勒索软件攻击终端检测与响应（EDR）网络摄像头安全物联网设备安全漏洞利用网络安全策略恶意软件分析

0x14c 基于Mirai的僵尸网络利用Edimax IP摄像头中的CVE-2025-1316零日漏洞

黑猫安全 2025-03-10T07:01:09 鹏鹏同学

美国网络安全和基础设施安全局（CISA）警告，多个僵尸网络正在利用Edimax IC-7100 IP摄像头中的一个严重漏洞CVE-2025-1316，该漏洞评分为9.8，属于操作系统命令注入问题。Edimax IC-7100 IP摄像头未能正确处理请求，导致攻击者可以通过特制请求实现远程代码执行。尽管这些摄像头已停产，但漏洞尚未被修复。CISA敦促组织报告可疑活动，Akamai研究人员发现该漏洞已被积极利用，多个基于Mirai的僵尸网络正在利用这一漏洞。供应商在2024年10月收到通知，但未采取行动。

僵尸网络 IP摄像头漏洞操作系统命令注入远程代码执行 CVE编号 CISA警告恶意软件供应链攻击 Akamai研究

0x14d ESP32芯片的隐藏特性并非后门

赛博堡垒 2025-03-10T03:16:39 v-labs

本文针对近期关于ESP32蓝牙芯片存在“后门”的争议进行详细分析。文章指出，ESP32芯片中存在的29个隐藏的HCI指令不应直接归咎于后门，因为这些指令在其他蓝牙芯片厂商的产品中也存在。作者强调，这些指令是特定于供应商的命令，即“私有API”，并不构成后门。文章进一步解释了蓝牙架构中的主控制器接口（HCI）和特定于供应商的命令（VSCs）的作用。尽管VSCs允许对芯片内存进行写操作，但这种能力是其他蓝牙芯片制造商中常见的，并不特定于Espressif。作者还讨论了蓝牙生态系统中供应商不记录所有VSCs的现象，并将其与博通、德州仪器等芯片制造商进行比较。文章指出，这些VSCs并不构成后门，而是蓝牙芯片中的一种常见设计模式。然而，作者也承认这种设计可能存在安全漏洞，特别是在威胁模型中，攻击者可能利用这些VSCs来执行恶意代码。最后，文章提到了Espressif的安全启动和闪存加密功能，并强调这些功能需要客户明确启用。

硬件安全蓝牙安全逆向工程后门检测安全漏洞供应链安全安全设计安全漏洞利用安全协议

0x14e 安卓逆向 -- apk文件结构

逆向有你 2025-03-10T00:01:13

本文详细解析了Android APK文件的结构和组成。APK文件本质上是一个压缩包，其中包含了Android应用的各个组件和资源。文章首先介绍了APK文件中常见的文件夹和文件，如assets、lib、META-INF等，并解释了它们各自的功能和作用。接着，文章深入探讨了APK签名机制，包括数字摘要、数字签名和数字证书的概念，以及Android系统如何验证APK文件的签名。此外，文章还介绍了AndroidManifest.xml文件的作用和组成部分，以及resources.arsc文件和res文件夹的结构和内容。最后，文章通过一个实际的实战案例，展示了如何使用apktool等工具进行APK的反编译和修改，以及如何重新签名APK文件。

Mobile Security Application Security Reverse Engineering Cryptographic Security Code Analysis Software Development Android Security

0x14f API接口测试中的隐藏宝藏|挖洞技巧

渗透安全HackTwo 2025-03-10T00:01:00 挖洞技巧投稿分享

本文深入探讨了API接口测试中的网络安全技巧，强调了对JavaScript文件的分析和调试的重要性。文章首先介绍了如何通过手动分析和调试发现API和URI信息的不完整性，并从F12调试工具中的Source入手挖掘敏感信息。接着，通过官网文档和Fuzz测试，揭示了未授权访问漏洞的存在，并展示了如何获取API token进行身份验证和用户信息获取。文章还通过实际案例展示了如何通过分析前端代码和系统文档，寻找漏洞点，并通过Fuzz测试发现未授权访问漏洞。最后，文章强调了安全意识的重要性，并提供了关于内部星球VIP介绍的相关信息，包括资源获取和会员福利。

API安全 JavaScript安全漏洞挖掘渗透测试漏洞利用安全意识内部安全安全工具

0x150 一文学习JWT造成的各种安全漏洞利用手法

船山信安 2025-03-10T00:00:22

本文分析了网络安全中JWT（JSON Web Tokens）的使用和潜在漏洞。文章指出，一些JWT库提供了验证和解码令牌的方法，但开发人员可能会混淆这两个方法，导致未验证签名。文章以一个实验室任务为例，说明了如何通过修改JWT令牌来绕过会话验证，从而访问管理面板和删除用户。文章详细解释了如何通过修改JWT的算法字段来绕过签名验证，并提到了使用公钥和私钥对进行签名验证的RS256和HS256算法。此外，文章还讨论了密钥爆破和无密钥算法混淆等攻击方法，并提供了相关工具的链接。最后，文章强调了正确配置JWT签名验证的重要性，以及如何通过公开JWK集合来泄露公钥，从而可能导致安全漏洞。

JWT 安全身份验证绕过 Web 应用安全加密算法滥用密钥管理安全配置错误渗透测试安全漏洞利用

0x151 Elastic 发布紧急修复程序，修复导致远程代码执行的严重 Kibana 漏洞

犀牛安全 2025-03-10T00:00:00 Rhinoer

Elastic公司发布了针对Kibana数据可视化仪表板软件的紧急安全更新，以修复一个编号为CVE-2025-25012的严重漏洞。该漏洞CVSS评分为9.9，属于原型污染类型，可能导致任意代码执行。漏洞影响了Kibana 8.15.0至8.17.3之间的所有版本，其中8.17.3版本已修复该漏洞。在8.15.0和8.17.1之前的版本中，只有具有查看者角色的用户能利用此漏洞，而在8.17.1和8.17.2版本中，则需要具有特定权限的用户才能利用。Elastic还建议用户在无法立即修补的情况下，通过配置文件禁用Integration Assistant功能以降低风险。此外，Elastic在2024年已解决多个类似严重漏洞，包括原型污染和反序列化漏洞，这些漏洞同样可能导致代码执行。

安全漏洞远程代码执行 Kibana Elasticsearch 原型污染 CVSS评分安全更新漏洞修复版本影响安全建议

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

2025年 第10周 微信公众号精选安全技术文章总览

0x1 【漏洞预警】Kubernetes Windows命令注入漏洞

0x2 T1003.003 - 操作系统凭证转储：NTDS

0x3 T1003.004 - 操作系统凭证转储：LSA机密

0x4 GitLab 紧急修补关键身份验证绕过漏洞 – CVE-2025-25291 和 CVE-2025-25292

0x5 渗透测试工具之Empire Framework

0x6 【安全圈】SuperBlack 攻击者利用两个 Fortinet 漏洞部署勒索软件

0x7 【安全圈】Tenda AC7 路由器漏洞使攻击者能够通过恶意负载获取 Root Shell

0x8 【安全圈】GitLab 警告多个漏洞可让攻击者以有效用户身份登录

0x9 【安全圈】利用 OAuth 重定向进行帐户接管的 Microsoft365 主题攻击

0xa 【技术分享】涉诈APK“双重抓包检测”绕过实战思路

0xb 原版Ksu(LKM)转Ksu Next(GKI)并隐藏过牛头人教程

0xc Tomcat CVE-2025-24813 从计算器到GetShell

0xd 内网渗透&渗透中的数据库信息收集

0xe EWSTool - Exchange后渗透工具

0xf XXE漏洞各种骚姿势

0x10 Windows应急响应篇

0x11 漏洞预警 | Ruby-Saml/GitLab存在身份认证绕过漏洞（CVE-2025-25291、CVE-2025-25292）

0x12 如何查杀Webshell最有效，木马后门防护方法

0x13 0030. 绕过过滤器：通过 DNS 重新绑定进行 SSRF 利用，每 30 个成功请求中只有 1 个

0x14 vulnhub-Hackme-隧道建立、SQL注入、详细解题、思路清晰。

0x15 lnk快捷方式钓鱼样本分析 (APT-C-08 蔓灵花 )

0x16 朝鲜黑客开发新型安卓监控工具，伪装实用应用肆虐全球

0x17 漏洞复现——Apache Tomcat反序列化RCE漏洞（CVE-2025-24813）

0x18 钓鱼木马宏病毒研究（一）

0x19 MassJacker 恶意软件出手，778,000 个钱包加密货币被盗取

0x1a 勒索软件团伙利用网络摄像头加密网络，轻松绕过 EDR 防线

0x1b CVE-2025-24813｜Tomcat 反序列化深入利用

0x1c CVE-2025-24813｜Tomcat 反序列化深入利用

0x1d 加密货币“馅饼”变“陷阱”——新型隐蔽木马的多层持久化技术揭秘

0x1e 记一次艰难绕过SQL注入过滤的过程

0x1f 【漏洞通告】ruby-saml 身份认证绕过漏洞安全风险通告

0x20 内网篇 | 【送给小白的】内网信息收集：端口扫描详解，干货！！！

0x21 fastjson jndi 注入Behinder内存马

0x22 云环境大规模勒索事件揭秘：.env文件泄露后利用技术剖析

0x23 某APP加密解密

0x24 一起历史webshell导致的内网失陷事件

0x25 Apache Tomcat远程命令执行漏洞来袭，网御星云提供优选解决方案

0x26 启明星辰提醒：警惕仿冒DeepSeek安装包投递WannaCry勒索软件

0x27 大模型投毒事件之Pickle反序列化漏洞及防御

0x28 Apache NiFi 漏洞让攻击者可以访问 MongoDB 用户名和密码

0x29 一个基于 Mitmproxy 的 GUI 工具

0x2a 新型 SuperBlack 勒索软件利用 Fortinet 身份验证绕过漏洞

0x2b Apache Tomcat远程代码执行（CVE-2025-24813）

0x2c 实战案例！记一次攻防演练突破

0x2d 实战案例！记一次攻防演练突破

0x2e ZZCMS index.php SQL注入漏洞(CVE-2025-0565)

0x2f WebKit零日漏洞被利用开展“极其复杂”定向攻击，苹果紧急修复

0x30 GitLab修复了CE和EE版本中的关键身份验证绕过漏洞

0x31 与朝鲜有关的APT组织ScarCruft被发现使用新型Android间谍软件KoSpy

0x32 专家警告称，利用SSRF漏洞的攻击尝试正出现协同激增

0x33 逆向思维实现家庭WinNAS安全外网访问：CDN去端口+HTTPS加密方案与那些被忽视的隐患

0x34 工具集：Fiora【漏洞PoC框架图形版的Nuclei】

0x35 18个API渗透测试技巧及工具（2025实战手册）

0x36 使用S/MIME端到端加密以保护电子邮件

0x37 【漏洞挖掘案例】18w身份证泄露！某211高校信息泄露导致的RCE，影响全校用户！

0x38 vulnhub靶场之fristileaks靶机

0x39 记一次攻防演练突破

0x3a .NET 一种尚未公开绕过 SQL 全局防注入拦截的方法

0x3b 深度剖析：苹果WebKit零日漏洞（CVE-2025-24201）如何被用于复杂攻击

0x3c 漏洞预警 | Apache Tomcat远程代码执行漏洞

0x3d 漏洞预警 | Apache Ofbiz模板引擎注入漏洞

0x3e 提升日志系统范化效率的实践探索

0x3f u200b【漏洞处置SOP】Apache Tomcat远程代码执行漏洞（CVE-2025-24813）处置建议

0x40 某企业壳frida检测另辟蹊径的绕过

0x41 『代码审计』某OA系统.NET代码审计

0x42 Venomous Bear APT 攻击模拟

0x43 APIKit：扫描API文档泄露的burp插件

0x44 Apache Tomcat 反序列化代码执行 | CVE-2025-24813

0x45 【漏洞挖掘案例】18w身份证泄露！某211高校信息泄露导致的RCE，影响全校用户！

0x46 JsRpc联动burp实现自动加解密（详细版）

0x47 为渗透测试而生的ssh面板|漏洞探测

0x48 工具|Burp插件-短信轰炸 Bypass

0x49 记一次双向认证绕过

0x4a Wazuh4.7部署

0x4b tomcat-CVE-2025-24813批量检测脚本

0x4c Hacking a VW Golf EPS - Part 1

0x4d Rust后门样本加载与传播方式演变过程分析

0x4e VBS/SMEP 绕过，消灭 Windows 内核缓解措施

0x4f Docker逃逸方式总结分享

2025年第10周微信公众号精选安全技术文章总览

0x94 漏洞风险提示 | Apache Tomcat 远程代码执行漏洞（CVE-2025-24813）

0x95 警惕 Apache Camel 漏洞攻击者借此能注入任意标头