2026年第15周微信公众号精选安全技术文章总览

洞见网安 2026-4-13

0x1 针对以色列水处理和海水淡化设施系统的新型工业恶意软件

黑鸟 2026-04-19T23:37:11 © 黑鸟

ZionSiphon 是一款专门针对以色列水处理和海水淡化设施的新型恶意软件，旨在破坏供水系统中的氯气投加控制和压力控制设备。该恶意软件整合了多种常见的主机攻击能力，并加入了针对水处理和海水淡化环境的特定攻击逻辑。其最显著的特征是硬编码的以色列 IP 地址范围，表明攻击者的目标非常明确。恶意软件还包含了两段经过 Base64 编码的字符串，揭示了攻击者的政治立场，并包含了一系列与以色列供水基础设施相关的关键词。ZionSiphon 会检查系统中是否运行着与海水淡化、反渗透、氯气处理和工厂控制相关的进程，同时扫描特定的目录和配置文件。只有当系统同时满足地理条件和环境条件时，恶意软件才会激活其攻击功能。ZionSiphon 首先会检查自身是否以管理员权限运行，并会通过 PowerShell 启动一个新的进程，并请求管理员权限。为了在系统重启后仍然能够运行，它会将自身复制到本地应用数据目录，并命名为 svchost.exe。恶意软件的目标判定分为两个步骤：国家检查和系统检查。如果国家检查失败，恶意软件会立即启动自毁程序。一旦确认目标有效，ZionSiphon 的第一个动作就是篡改本地配置文件，强制系统将氯气投加量设置为最大值，并将反渗透系统的压力提高到 80。如果没有找到上述配置文件，它会进行网络扫描，探测三个常见的工业控制协议端口。对于每个开放的端口，ZionSiphon 会进行简单的协议验证。在这三个协议中，Modbus 协议的攻击逻辑最为完善，而 DNP3 和 S7comm 协议的攻击逻辑还很不完善。ZionSiphon 还具备通过 USB 设备传播的能力。分析的这个样本存在一些明显的技术缺陷，目前还无法正常执行其预定的攻击功能。

工控安全恶意软件分析针对性攻击破坏性攻击持久化传播机制漏洞利用与权限提升供应链攻击暗示

0x2 【代码审计】CodeQL示例一

十月的进阶之路 2026-04-19T22:12:15 © 十月的进阶之路

本文以WebGoat靶场为例，详细介绍了如何使用CodeQL进行Web安全漏洞分析。首先，通过编写CodeQL查询语句定位到Spring控制器中的特定接口，即/HijackSession/login方法。接着，确定输入参数，识别出用户可控的污点输入，如username、password和cookieValue，并聚焦于涉及认证逻辑的参数。然后，通过查询方法调用点，锁定login方法内部对认证函数的调用，并利用抽象语法树（AST）API进一步精确定位到else分支中的调用。进一步分析调用点到函数实现的映射，深入审查authenticate函数的内部逻辑。最后，识别出漏洞的核心模式，即authentication依赖成员检查和直接设置认证标志，以及session ID的可预测性问题，通过静态long类型字段的自我增量和加法操作进行检测。整个过程展示了CodeQL在自动化安全审计和漏洞挖掘中的强大能力。

Web安全代码审计认证授权漏洞分析静态分析 Spring框架

0x3 跨租户Teams服务台钓鱼到数据外传：一次人工入侵全链路剖析

Desync InfoSec 2026-04-19T21:07:23 bitbot

本文详细剖析了一起通过跨租户Microsoft Teams服务台进行的钓鱼攻击案例。攻击者利用跨租户通信冒充IT或服务台人员，诱骗用户授予远程桌面访问权限。攻击过程分为多个阶段，包括通过Teams建立初始联系、获取远程协助访问权限、交互式侦察与访问验证、有效载荷投放与可信应用调用、执行上下文验证与注册表持久化、命令与控制通信、内部发现与横向移动、远程部署辅助访问工具以及数据外传。文章提供了每个阶段的详细步骤、攻击者使用的工具和技术，以及相应的防御和缓解建议。此外，还包含了基于微软安全团队的真实入侵案例的KQL检测查询，帮助安全团队识别此类攻击的指标。

钓鱼攻击跨租户攻击远程桌面访问横向移动数据外传恶意软件部署安全策略用户教育日志分析与检测 Microsoft Teams安全

0x4 BYOVD利用方法论以及AI辅助下的驱动漏洞挖掘

红蓝攻防研究实验室 2026-04-19T20:38:22 © 网络保安29

本文深入探讨了 BYOVD（Bring Your Own Vulnerable Driver）攻击原理及其挖掘方法。BYOVD 攻击利用具有合法数字签名但存在设计缺陷或已知漏洞的驱动程序，以内核权限执行恶意操作，绕过用户态安全机制。常见漏洞类型包括驱动提供读写任意内核地址的原语、允许用户态程序指定内核函数地址执行、提供物理内存映射能力等。攻击者通过 DeviceIoControl 函数发送精心构造的 IOCTL 请求，利用驱动漏洞执行定位内核对象、终止进程、禁用回调、提升权限等操作。文章详细介绍了驱动的基础知识，包括驱动初始化流程、DriverEntry 和 DriverObject 数据结构、MajorFunction 派遣函数数组、IOCTL 结构、IRP 结构、数据传递方式以及驱动与用户程序的通信机制。此外，还提供了漏洞驱动挖掘方法，从加载驱动样本、定位设备名称和符号链接、定位敏感内核 API、追踪调用链、提取 IOCTL 值到分析参数验证逻辑，并建议使用 www.loldrivers.io 网站寻找可利用驱动。最后，文章介绍了 PoC 编写流程，并以 HWAudioX64.sys 驱动为例进行实战挖掘，展示了如何通过 AI 辅助进行漏洞挖掘和 POC 生成。

BYOVD 驱动程序安全内核漏洞利用漏洞挖掘 DeviceIoControl 内核安全 POC 编写 AI 辅助安全研究 Windows 驱动安全研究

0x5 【工业控制系统网络安全系列课程】第4课-工业控制系统的网络安全风险-Metasploit攻击框架基础（二）

老付话安全 2026-04-19T20:13:01 © 老付话安全

本文是工业控制系统网络安全系列课程的第四课，主要介绍了工业控制系统的网络安全风险以及Metasploit攻击框架的基础知识。文章详细阐述了Metasploit有效负载的概念，包括操作系统目标、通信选项、操作类型、修饰符以及Meterpreter等核心维度。同时，文章还介绍了如何根据目标操作系统和架构选择合适的有效负载，以及不同通信选项的适用场景。此外，文章还深入探讨了Meterpreter的特性和常用命令，如系统信息、进程操作、文件操作、网络操作、用户交互、信息收集与后渗透、会话管理等。最后，文章提醒读者，本文提供的方法和工具仅用于学习和交流，严禁用于非法目的。

工业控制系统安全网络安全风险 Metasploit 漏洞利用有效负载 Meterpreter 网络安全工具后渗透操作系统安全网络安全实践

0x6 【翻译】windows10内核堆池研究

不止Sec 2026-04-19T19:15:52 © joe1sn

本文深入探讨了Windows 10内核中堆管理机制的最新演进，特别是自Windows 10 19H1更新引入的分段堆机制。文章回顾了内核池分配器的历史演变和内部机制，重点分析了分段堆在内核中的实现方式及其对内核池特有资源的影响。接着，文章介绍了一种针对内核池内部机制的新型攻击手段，该手段利用堆溢出漏洞，通过控制下一个内存块的POOL_HEADER结构体来实现攻击。最后，文章展示了一种通用的漏洞利用技术，仅需极小且可控的堆溢出条件，即可实现本地权限提升，将权限层级从“低完整性”提升至“SYSTEM”级别。文章详细解释了利用PoolType和PreviousSize字段进行攻击的原理，并演示了如何通过控制PipeAttribute和PipeQueueEntry对象来实现任意读和任意递减操作，最终获取SYSTEM权限。

堆溢出内核漏洞 Windows 10 分段堆漏洞利用权限提升

0x7 CVE-2026-33825 解析

船山信安 2026-04-19T18:11:05 晚风

本文详细解析了Windows Defender中的CVE-2026-33825漏洞，该漏洞利用了Defender在高权限文件I/O操作中的TOCTOU竞争条件与路径混淆漏洞。文章首先介绍了漏洞的根因，即Defender架构的弱点，包括高权限服务执行文件写入操作、非原子操作以及未防御NTFS Junction和Oplock的经典竞争条件攻击。接着，文章详细分析了BlueHammer和RedSun两个PoC的攻击流程，包括触发点、攻击步骤和关键技术。此外，文章还提到了与微软的纠纷，以及研究员在13天内披露的相关工具。最后，文章总结了攻击链的各个环节，并强调了微软在处理该漏洞时的态度问题。

CVE-2026-33825 Windows Defender 本地权限提升 TOCTOU 竞争条件路径混淆漏洞 NTFS Junction Opportunistic Lock 恶意软件分析安全漏洞披露安全研究员

0x8 Chrome新\"bug\": 恶意网站可以0.5 click窃取用户之前上传的文件，漏洞赏金$1000

李白你好 2026-04-19T17:09:45 © 助力行业的

Chrome浏览器近日被发现一个编号为CVE-2026-2322的新漏洞，该漏洞允许恶意网站在用户长按回车键的瞬间，通过一次简单的“按键模仿”窃取用户之前在其他网站上上传过的文件。攻击者通过JavaScript动态创建一个文件上传按钮，并伪造一个诱饵按钮，诱使用户点击隐藏的文件上传按钮。当文件上传按钮被点击后，如果用户正好按着回车键，浏览器会默认将这个回车操作理解成对“确认选择”按钮的“双击”，从而自动上传文件。该漏洞主要威胁的是用户曾在浏览器中上传过的文件，包括网站配置文件、用户数据文件、脚本文件等。该漏洞已在高版本的Chrome浏览器中得到修复，用户应立即检查更新以保护自己的数据安全。

浏览器漏洞文件窃取键盘输入攻击 0.5点击攻击恶意网站数据泄露网络安全漏洞赏金 Linux安全

0x9 常见Entra ID安全评估发现（四）：脆弱的条件访问策略

幻泉之洲 2026-04-19T16:11:27

本文深入探讨了在企业环境中配置微软Entra ID条件访问策略时常见的错误和缺陷，这些错误可能导致安全策略效果大打折扣。文章指出，常见的配置问题包括身份覆盖不全（如用户组定位不准确、角色分配未被策略覆盖）、资源定位狭窄（如只对特定资源应用保护机制，而忽略了其他接口）、条件过多导致保护盲区、内置绕过（如某些操作无法被策略覆盖）以及策略缺失（如未对安全信息注册、设备代码流等进行限制）。文章通过实际攻击案例展示了这些配置疏漏如何被攻击者利用，例如通过注册新的MFA因子绕过策略保护，或利用特定OAuth客户端绕过合规设备要求。最后，文章建议使用自动化工具如EntraFalcon来发现策略缺陷，并提供了一些加固建议和配置原则，强调策略设计应简洁、覆盖全面，并定期审查策略有效性，以构建真正的安全护栏。

条件访问策略网络安全评估身份验证策略配置错误访问控制微软Entra ID 安全加固风险与漏洞

0xa 【红队工具】攻防后渗透工具自动化免杀！！！

安全天书 2026-04-19T15:38:13 © Hello888

本文介绍了一款名为‘自动化白文件Patch免杀后渗透工具1.0’的安全测试工具，该工具旨在自动化扫描并修补白文件，以实现免杀效果。工具支持绕过360核晶、火绒、Windows Defender、卡巴等安全软件的检测。文章强调了工具的使用仅限于安全测试和防御研究，禁止用于非法入侵或攻击他人系统。此外，文章还提到了一个名为‘纷传’的圈子，该圈子专注于渗透测试、红蓝对抗、钓鱼手法等研究方向，并分享了多种免杀工具和技术文章，如HeavenlyBypassAV、Heavenly自动化红队后渗透工具等。文章最后推荐了一些往期相关内容，包括免杀课程、Patch免杀技术等，并邀请读者加入圈子进行交流学习。

网络安全工具红队攻击渗透测试免杀技术安全测试漏洞利用安全研究

0xb 常见Entra ID安全评估发现（三）：实战中暴露的 Entra ID PIM 配置弱点深度解析

幻泉之洲 2026-04-19T14:47:00

本文深入剖析了微软 Entra ID 特权身份管理（PIM）的常见配置弱点及其在真实攻防场景中的利用方式，并提出了分层的加固建议。文章指出，尽管 PIM 被视为保护云管理员账号的标准配置，但许多企业因配置宽松，导致安全效果大打折扣。常见的配置问题包括高特权角色未被纳入 PIM、依赖内置 Azure MFA（易被绕过）、允许永久性活动分配、缺失关键通知以及过长的激活时长。文章通过两个攻击案例展示了攻击者如何利用这些弱点：一是通过已包含 MFA 声明的访问令牌激活条件访问管理员角色；二是利用被盗的刷新令牌在管理员激活角色后获取新权限。文章强调，PIM 仅在角色激活时提供保护，身份验证上下文并非万能，并存在 5 分钟的时钟容差漏洞。为此，建议结合严格的条件访问策略，根据角色层级设定不同的加固基线，例如对 Tier 0 角色实施最严格的配置，对较低层级角色采取更实用的基线。文章最终警示企业，配置 PIM 需在安全性与可用性间取得平衡，错误的配置反而会带来虚假的安全感。

特权访问管理身份与访问管理（IAM）条件访问安全配置管理攻击与防御 Azure AD 红队评估/渗透测试 MFA（多因素认证）

0xc 微软Azure Windows Admin Center现一键式RCE漏洞，攻击者可执行任意命令

FreeBuf 2026-04-19T12:14:23

微软Azure的Windows Admin Center（WAC）被发现存在一个高危漏洞，该漏洞允许攻击者未经身份验证即可在Azure集成版和本地部署版WAC上执行远程代码执行（RCE）。攻击者通过诱导受害者访问一个篡改后的URL，可以秘密执行任意命令并接管目标网络。微软已通过服务端补丁保护了所有Azure托管实例，但本地部署的用户需要主动升级至最新版本。该漏洞利用了响应型跨站脚本（XSS）、不安全的重定向处理和本地部署的凭证存储缺陷等底层架构缺陷。攻击者可以通过构造恶意URL、钓鱼邮件或网页重定向来传播恶意链接，一旦受害者点击，攻击者即可在WAC浏览器环境中执行恶意代码。尽管Azure版WAC用户已受到保护，但本地网络仍面临风险，Cymulate建议所有管理本地WAC部署的安全团队立即升级至最新补丁版本。

远程代码执行（RCE）漏洞利用 Azure安全 Windows Admin Center XSS攻击安全补丁凭证泄露本地部署安全

0xd 榨干 Intego 的最后一滴油——Windows 本地提权漏洞分析

securitainment 2026-04-19T11:33:28 Lucas Laise

本文详细描述了 Lucas Laise 在 Intego 杀毒软件 Windows 版本中发现的一个本地权限提升漏洞。该漏洞利用了符号链接跟随漏洞，通过 Intego 的 Optimization 模块在删除重复文件时未充分验证目标文件类型的缺陷，结合 Config.msi 删除技巧，实现从普通用户权限提升至 SYSTEM 权限。Intego 的 Optimization 模块以 SYSTEM 权限运行，扫描并删除重复文件。漏洞存在于 IavService.exe 进程中，该进程在删除文件前仅检查文件是否为只读，而未验证文件是否为目录或符号链接。攻击者通过在用户确认删除前，将目标文件替换为指向关键系统目录（如 C:\Config.msi）的符号链接，再触发删除操作，使 IavService.exe 以 SYSTEM 权限删除了 C:\Config.msi，进而触发 Windows Installer 服务的回滚过程，最终获得 SYSTEM 权限的 shell。文章还提供了漏洞利用的详细步骤和伪代码分析，并介绍了漏洞的披露协调过程。

本地权限提升符号链接跟随漏洞配置MSI删除技巧竞争条件恶意软件防御漏洞分析漏洞披露

0xe 常见Entra ID安全评估发现（一）：第三方应用的高危权限：你租户里的“内鬼”有多可怕？

幻泉之洲 2026-04-19T09:46:25

在Azure AD安全评估中，常被忽略的风险点之一是来自其他租户的“外来”企业应用，这些应用通常被赋予了高权限的API访问能力。文章通过两个具体案例，展示了这种配置如何演变成数据泄露甚至整个租户被攻陷的起点。外来应用的风险在于，它们的凭据控制权完全掌握在外部租户手中，如果外部租户安全措施不当，攻击者可能获取这些凭据，从而在目标租户中拥有不受限制的访问权限。文章介绍了企业应用与权限的基础概念，包括委托权限和应用程序权限，并重点讨论了应用程序权限的潜在风险。通过两个攻击场景，文章详细描述了攻击者如何利用外来应用的权限进行数据泄露和租户接管。为了发现并清理这些风险，文章推荐使用开源工具EntraFalcon进行评估。最后，文章提出了治理建议，包括定期审查和清理外来应用、挑战权限的必要性、锁死内部特权应用以及建立新应用接入流程，并强调加强监控和设置告警的重要性。

Azure AD Security 第三方应用风险 API权限管理数据泄露权限提升身份与访问管理 (IAM) 安全评估条件访问策略最小权限原则安全监控

0xf 防护视角看提权

花鸟在线 2026-04-19T07:42:52 © 花鸟

本文从防护视角详细分析了提权这一网络安全领域的话题。文章首先将提权分为内核级提权和第三方应用提权两大类，并分别阐述了它们的特征和适用场景。内核级提权技术难度高，需要利用Windows内核漏洞，适用于攻击范围较大、隐蔽性要求高的场景；而第三方应用提权则相对容易，通过研究应用自身的漏洞、配置或逻辑问题来实现权限提升。文章进一步介绍了第三方应用常用的提权方式，包括权限配置错误、弱口令、逻辑漏洞、可执行文件注入和漏洞利用等。最后，文章提醒提权操作可能会在主机防护上产生“噪音”，并建议在实施提权前进行风险评估。

网络安全提权攻击内核级提权第三方应用提权漏洞利用防护策略安全评估

0x10 某rce漏洞挖掘等案例分享

Z2O安全攻防 2026-04-18T23:20:44 陌笙

本文详细描述了一个网络安全信息收集和漏洞挖掘的过程。首先，通过收集公司名称获取主域名，并批量获取子域名进行探活和指纹探测。接着，使用ehole探测并手动挖掘漏洞，发现一个资产存在登录框，但常规方法测试未果。通过观察页面上的技术支持手机号，使用固定手机号爆破成功，并利用常见的口令top10000爆破出密码和Shiro框架。文章深入解释了Shiro反序列化漏洞的原理，包括Payload的产生过程、AES加密密钥的重要性以及利用过程。此外，还区分了Shiro550与Shiro721的区别，并分析了漏洞利用状态的变化。文章最后提到了使用Burp进行工具测试，以及Shiro框架的其他漏洞类型，如权限绕过。还涉及了XSS和CSRF测试，以及如何通过fuzzing其他用户来尝试登录和访问后台。最后，作者还介绍了自己建立的src专项圈子，提供漏洞知识库、视频教程和挖掘技巧分享。

网络安全信息收集漏洞探测 Shiro反序列化漏洞利用权限绕过 Web安全渗透测试密码破解安全工具

0x11 NGINXDAV模块缓冲区溢出漏洞 | CVE-2026-27654原理分析&研究

404号浪漫 2026-04-18T22:07:21 © 404号浪漫

本文详细分析了一个存在于NGINX WebDAV协议处理中的缓冲区溢出漏洞（CVE-2026-27654）。该漏洞主要影响未升级到NGINX Open Source 1.29.7及以上版本的系统。当ngx_http_dav_module模块处理带有alias指令的前缀location下的WebDAV MOVE或COPY方法请求时，若构造的Destination请求头路径长度小于location前缀长度，会导致ngx_http_map_uri_to_path()函数内部发生无符号整数下溢，从而引发堆缓冲区溢出。攻击者可以利用此漏洞使Nginx worker进程崩溃，或在极端情况下通过精心构造的Destination头，破坏文件系统路径映射逻辑，实现任意文件修改或写入，进而可能发展为远程代码执行（RCE）。文章深入剖析了漏洞的触发条件、攻击链路、核心代码缺陷以及修复建议，包括升级到安全版本和采取临时防护措施（如限制WebDAV方法或使用防火墙/WAF进行拦截）。

Nginx WebDAV 缓冲区溢出 CVE 漏洞分析漏洞复现安全配置攻击链 RCE 安全建议

0x12 Nginx UI MCP接口绕过认证漏洞 | CVE-2026-33032复现&研究

404号浪漫 2026-04-18T21:39:21 © 404号浪漫

本文详细分析了Nginx UI组件的MCP（Model Context Protocol）集成模块漏洞。该漏洞主要存在于Nginx UI <= 2.3.5版本中，由于/mcp_message接口仅应用了IP白名单中间件而缺少身份验证，且默认IP白名单为空，导致鉴权逻辑完全失效。远程攻击者无需任何权限即可通过该接口调用所有MCP工具，执行重启Nginx、修改或删除Nginx配置文件等操作，从而实现对Nginx服务的完整接管。文章还提供了漏洞复现的环境搭建步骤、复现思路和流量特征，并对漏洞原理进行了深入分析，指出漏洞的核心冲突点在于MCP路由的默认暴露以及IP白名单逻辑缺陷。最后，文章给出了修复建议，包括升级到最新版本、限制访问、配置防火墙规则和白名单等。

漏洞分析 Web安全认证绕过权限提升配置错误 Nginx 远程代码执行

0x13 【工业控制系统网络安全系列课程】第4课-工业控制系统的网络安全风险-Metasploit攻击框架基础（一）

老付话安全 2026-04-18T20:29:25 © 老付话安全

本文是工业控制系统网络安全系列课程的第四课，主要介绍了Metasploit攻击框架的基础知识。文章首先概述了Metasploit框架的组成和基本功能，包括库、模块、接口和工具。接着，详细讲解了使用Metasploit进行漏洞利用的基本过程，包括显示漏洞利用、使用漏洞利用、显示选项、设置选项、显示有效载荷、设置有效载荷、显示选项（再次）、设置选项（再次）、利用和交互与后渗透等步骤。文章还介绍了Metasploit的常用命令和快速执行技巧。此外，还提供了MSF漏洞利用的示例，包括永恒之蓝漏洞的利用方法和其他常见漏洞利用示例。最后，回顾了往期内容并鼓励读者关注和参与交流。

网络安全工业控制系统 Metasploit 漏洞利用渗透测试漏洞研究安全工具后渗透

0x14 CTF之文件上传——你知道我在你的服务器上放了什么吗

书中自有代码来 2026-04-18T20:11:20 © 书中自有代码来

本文深入探讨了网络安全中常见的文件上传漏洞及其绕过方法。文章首先介绍了文件上传功能在网站中的重要性以及可能引发的安全风险，包括路径截断、文件过滤不严、文件解析漏洞等。接着，详细分析了绕过文件上传安全限制的方法，如客户端验证绕过、服务器验证绕过、黑名单过滤和白名单过滤。此外，文章还针对Apache和IIS等服务器解析缺陷进行了具体分析，并举例说明了如何利用这些缺陷上传恶意文件。最后，通过一个实际的CTF题目练习，展示了如何利用这些知识成功绕过文件上传限制，获取flag。

网络安全漏洞文件上传攻击服务器安全 WebShell 漏洞利用 CTF挑战防御策略漏洞分类

0x15 针对 FortiSandbox 漏洞的 PoC 攻击程序已发布，该漏洞允许攻击者执行命令

安全圈的那点事儿 2026-04-18T19:31:00 © 网络安全9527

Fortinet的FortiSandbox产品被发现一个严重漏洞（CVE-2026-39808），该漏洞允许未经身份验证的攻击者以root用户权限执行任意操作系统命令。漏洞存在于FortiSandbox的/fortisandbox/job-detail/tracer-behavior端点，攻击者可以通过GET参数注入恶意命令。安全研究人员已发布一个PoC攻击程序，该漏洞影响FortiSandbox版本4.4.0至4.4.8。Fortinet已发布补丁，并建议用户立即升级到安全版本。此外，组织应检查FortiSandbox管理接口的暴露情况，并限制访问仅限于受信任的IP范围。由于PoC攻击程序已在GitHub上公开发布，安全团队需立即采取措施保护受影响的系统。

网络安全漏洞 FortiSandbox 操作系统命令注入远程代码执行（RCE） Fortinet 安全补丁和升级安全响应和防御概念验证（PoC） GitHub

0x16 Windows Defender 漏洞 - RedSun EXP 详细分析

蜂鸟安全 2026-04-18T19:19:58 © Re

本文详细分析了一个由Hbird Security发现的Windows Defender云端判断机制漏洞。该漏洞利用了Defender的恢复逻辑，即当扫描到可疑文件时，会给文件打上"cloud tag"云标签，并尝试将其恢复到原始路径。攻击者通过构造带有云标签的恶意文件，利用文件锁竞争（Oplock）、目录重定向等特性，将原路径重定向到System32目录下。当Defender试图恢复文件时，恶意文件会被恢复到System32目录，从而覆盖系统文件或执行恶意代码。EXP的执行流程包括创建命名管道获取用户会话ID，启动监控线程监控新卷影副本，创建伪装文件并触发Defender扫描，标记文件待删除并注册为云同步根，重命名目录并重新创建文件，施加Oplock锁并映射内存，最终将自身复制到System32目录并启动COM服务。文章还分析了EXP中的关键函数，如RetrieveCurrentVSSList用于枚举卷影副本，ShadowCopyFinderThread用于监控新卷影副本，DoCloudStuff用于注册同步根目录并创建云占位符，以及LaunchConsoleInSessionId和IsRunningAsLocalSystem用于提权并弹窗控制台。最后，文章总结了复现漏洞的重要性，并指出EXP可能因Defender更新而失效，需要进一步研究。

Windows 安全漏洞漏洞利用 Windows Defender 文件系统安全提权内核机制代码分析

0x17 一文读懂JWT常见安全问题

深安安全 2026-04-18T17:14:00 © deepsec

JWT（JSON Web Token）在现代Web应用中已成为主流的身份认证方式，但实际安全测试中JWT相关漏洞屡见不鲜。这些问题并非JWT本身设计缺陷，而是开发实现不当或安全意识不足导致的。JWT基本结构包括Header、Payload和Signature三部分，其中Header用于说明签名算法，Payload存储用户信息和声明，Signature用于验证Token是否被篡改。JWT只是Base64编码，不是加密。常见安全问题包括：alg=none漏洞，攻击者可构造无签名JWT；HS256/RS256算法混淆攻击，攻击者可使用泄露的公钥伪造JWT；弱密钥导致Token爆破，攻击者可离线暴力破解密钥；未验证签名，攻击者可修改Payload；JWT信息泄露，敏感信息通过Base64编码暴露；Token没有过期时间，导致Token被窃取后可长期使用；多实例固定密钥导致的重放攻击；通过kid参数注入自签名JWT。为避免这些问题，应强制指定算法，使用强密钥，设置过期时间，不在Payload中存储敏感信息，部署时强制生成新密钥，并实现Token黑名单。JWT的安全风险主要来自算法漏洞、密钥问题、实现问题、设计问题和使用问题，只有在设计、实现、部署各个阶段都考虑安全，JWT才能真正发挥其优势。

身份认证 JWT安全算法安全密钥管理实现缺陷安全设计注入攻击安全最佳实践 Web安全

0x18 【代码审计】CodeQL初识

十月的进阶之路 2026-04-18T17:09:26 © 十月的进阶之路

本文详细介绍了微软开发的SAST工具CodeQL及其在代码审计中的应用。CodeQL通过将代码转化为关系型数据库，并使用QL查询语句查找符合特定模式的代码片段，从而实现漏洞检测。QL语言是一种面向对象的逻辑编程语言，类似于SQL但引入了类和谓词等概念。CodeQL由解析引擎和SDK组成，解析引擎不开源但可直接下载使用，SDK完全开源，包含现成的漏洞规则且可编写自定义规则。文章以WebGoat项目为例，演示了如何创建和升级CodeQL数据库，以及如何进行全量规则扫描和精简规则加速扫描。扫描结果以CSV格式输出，并进行了抽样分析，展示了CodeQL在定位SQL注入漏洞等安全问题方面的能力。最后，文章还介绍了使用VSCode的CodeQL插件来简化漏洞定位过程，并鼓励读者参考内置规则撰写自己的检测规则。

CodeQL SAST Web 安全漏洞扫描漏洞分析规则库工具使用

0x19 facai安全管理工具，发财发财都发财！

鬼麦子 2026-04-18T14:38:32 © 鬼麦子

发财网安工具是一个基于HTTP请求和JSON格式的网络安全工具，旨在为人类和AI用户提供服务。该工具通过处理HTTP请求，分离出网站站点、子域名、子域名解析记录以及HTTP响应信息（包括HTML、JS等各类响应信息）。它支持对HTTP请求进行处理和分离，读取HTML，进行无害化的HTTP漏洞扫描，虽然存在一些误报，但基本可用。工具的主要功能包括资产管理、被动漏洞扫描、爬虫管理、AI Agent（暂未开放）和漏洞扫描管理。资产管理功能涵盖了子域名、网站、HTTP请求、HTML文件和重点资产的管理。漏洞扫描服务采用无害化检测策略，不发送恶意payload，只进行基础安全检测，包括异常参数检测、XSS漏洞检测、SQL注入检测、SSRF检测和RCE检测。此外，工具还提供了HTTP请求重放、编码解码、端口扫描等工具与插件。使用该工具，用户可以通过正常Chrome浏览器浏览网页或将软件的HTTP流量转发过来，实现XSS、SQL、SSRF、RCE的自动检测，并同时收集设置域名范围内的资产。该工具仅供学习和研究使用，请勿用于非法用途。

网络安全工具资产管理漏洞扫描爬虫 HTTP请求处理安全测试无Payload扫描 AI-Agent标准

0x1a 一个登录框，我薅了5个高危漏洞——认证机制避坑指南（反向版）

升斗安全 2026-04-18T11:45:35 © 升斗安全XiuXiu

本文针对网络安全中的认证机制进行深入分析，从开发者角度出发，探讨了如何避免登录框中的常见安全漏洞。文章强调加密传输的重要性，指出用户凭证泄露的风险，并建议开发者确保所有登录数据通过加密通道传输。同时，文章讨论了密码策略的有效性，建议使用实时密码强度检测器来提高安全性。对于登录失败时的处理，文章建议统一返回错误提示，避免泄露用户信息。文章还强调了暴力破解防护措施，如限速和验证码的使用。此外，文章指出验证逻辑的漏洞常见于开发过程中的疏忽，并建议进行代码审计和异常场景测试。最后，文章提醒开发者注意密码重置、密码修改和注册等辅助功能的潜在漏洞，以及双因素认证的有效性和逻辑正确性。通过这篇文章，开发者可以了解如何从防御角度审视安全问题，并从中寻找潜在的攻击点。

认证安全网络安全防护中间人攻击密码学用户行为代码审计多因素认证漏洞挖掘

0x1b 遏制域入侵：预测性屏蔽如何阻断横向移动

Desync InfoSec 2026-04-18T11:17:33 bitbot

本文探讨了预测性屏蔽在网络安全中的重要性，特别是在防止基于身份的攻击中。文章以微软Defender的预测性屏蔽功能为例，说明了其在检测和阻止攻击者横向移动方面的作用。文章通过一个真实案例展示了攻击者如何通过多个阶段入侵组织，并详细分析了预测性屏蔽如何在不同阶段发挥作用，最终阻止攻击者获取高权限凭据和进行横向移动。文章强调了预测性屏蔽在减少攻击者利用暴露凭据的速度与防御者响应速度之间的差距，从而提高防御效果。同时，文章还提到了MITRE ATT&CK框架中的相关技术，以及预测性屏蔽如何与这些技术相对应。

域入侵预测性屏蔽横向移动 Active Directory 凭证窃取入侵检测安全响应 MITRE ATT&CK 案例分析

0x1c ghostsurf：从 NTLM 中继到浏览器会话劫持

securitainment 2026-04-18T10:42:27 Allen DeMoura

本文详细介绍了ntlmrelayx工具在处理HTTP请求时的缺陷，以及如何使用ghostsurf工具来克服这些缺陷。ntlmrelayx虽然在中继SMB和MSSQL等协议上表现出色，但在处理Web应用时却遇到了困难，主要原因是浏览器并行打开多个TCP连接，而ntlmrelayx每个会话只有一个认证后的中继套接字，导致请求冲突和数据流损坏。此外，ntlmrelayx还要求用户通过Basic Auth头部指定中继会话，这会导致浏览器弹出不必要的认证提示。ghostsurf作为ntlmrelayx的fork版本，通过使用mutex风格的线程锁来包装中继socket，解决了并发访问问题，并自动选择中继会话，无需用户手动指定。此外，ghostsurf还支持内核模式认证探测，通过先建立匿名TCP连接探测目标路径是否需要认证，从而避免破坏已认证的会话。这些改进使得ghostsurf能够更有效地中继HTTP请求，即使是对于复杂的企业级Web应用。

NTLM ntlmrelayx SMB MSSQL 浏览器劫持 ghostsurf 认证中继 Windows 身份验证内核模式认证协议缺陷分析网络安全工具

0x1d Active Directory 里的影子管理员：攻击者利用的隐蔽特权路径

幻泉之洲 2026-04-18T10:02:00

本文深入探讨了Active Directory（AD）环境中存在的影子管理员问题，这些账户虽然不在特权组中，却拥有等同于域管理员的权限，成为安全盲区。文章分析了影子管理员的出现原因，包括虚拟化平台管理员、服务台账号等，并揭示了ADFS服务器、虚拟化管理员和服务台权限滥用等常见影子管理员路径。文章强调了影子管理员对云环境的潜在威胁，并提出了相应的处理建议，如将ADFS服务器视为Tier 0资产、限制虚拟化管理员的权限、移除非Tier 0组对DC计算机对象的写入权限等。此外，文章还讨论了影子管理员的层级与检测方法，以及如何识别和降低影子管理员风险，强调了持续监控和特权访问管理的重要性。

Active Directory Security Privileged Access Management Identity and Access Management Security Blind Spots Cyber Threat Intelligence Cloud Security Vulnerability Assessment Incident Response

0x1e 赛欧思一周资讯分类汇总(2026-04-13 ~ 2026-04-18)

赛欧思安全研究实验室 2026-04-18T09:30:16 SOC

本周网络安全资讯汇总显示，多起勒索软件攻击和数据泄露事件引发关注。勒索软件JanaWare利用Adwind RAT攻击土耳其用户，肯尼亚健康科技初创公司AfyaRekod遭遇数据泄露。攻击事件方面，CPUID网站被入侵传播STX RAT恶意软件，Okta遭遇攻击，APT37利用社交媒体和木马进行定向攻击。漏洞情报方面，Nginx-UI、Splunk、SAP和etcd等存在严重漏洞。信息泄露事件涉及Assurea保险经纪公司、Basic-Fit健身连锁等。僵尸网络和恶意软件活动频繁，Mirax Android RAT和ClipBanker加密货币木马等恶意软件被发现。国际安全情报显示，伊朗通信设备遭遇攻击，俄罗斯境内发现大量C2服务器。

勒索软件攻击数据泄露水坑攻击钓鱼攻击定向网络攻击人工智能攻击服务器漏洞信息泄露僵尸网络恶意软件国际安全情报

0x1f Windows Defenderxa0高危0day：RedSun漏洞全解析（附代码链接）

暗镜 2026-04-18T06:00:46 © ZM

近期，Windows Defender出现高危零日漏洞RedSun，无需管理员权限和用户交互，数秒内即可获取SYSTEM权限。该漏洞源于Windows Defender云文件恢复逻辑的设计缺陷，允许带有云标签的恶意文件被写回原路径，从而覆盖核心系统文件实现提权。安全研究者Chaotic Eclipse向微软报告后未获有效回应，遂公开BlueHammer漏洞施压，随后又连续公开UnDefend和RedSun漏洞。RedSun漏洞PoC已公开，且微软尚未发布修复补丁，Windows 10/11及Server全版本均受影响。攻击者可利用该漏洞全程静默无交互地获取系统最高权限，并存在真实世界攻击案例。技术分析显示，该漏洞利用了Defender自身的系统权限实现自我颠覆，攻击链完整，成功率100%，隐蔽性强。影响范围极广，涵盖所有启用Windows Defender的Windows设备。当前防御核心是阻断攻击链，建议禁用云文件相关功能、限制System32目录写入权限、监控异常写入、禁用VSS服务等临时措施，并部署第三方安全工具、关注补丁更新、加强安全审计和培训。

零日漏洞本地提权 Windows Defender 设计缺陷竞态条件攻击链防御指南 CVE-2026-33825 安全厂商

0x20 vulnplus硬拿cve&edu证书---记一次vulnplus深度体验（下篇）

愚者sec 2026-04-17T22:31:53 © 9str0il

本文主要分享了对VulnPlus白盒审计工具的使用体验和产出。作者通过审计一套开源系统源码，发现VulnPlus在逻辑漏洞审计方面表现出色，甚至能发现传统工具Code-Audit-Skill无法发现的问题。具体到一个生产环境启用Mock Token导致可伪造任意用户身份的逻辑漏洞，作者详细描述了漏洞的产生原因、触发条件和实际危害，并提供了关键代码片段。文章还介绍了利用该漏洞进行攻击的步骤，包括获取用户信息、修改密码和绑定手机号等。此外，作者提到VulnPlus还能审计出其他高危逻辑漏洞，并提供了详细的POC。总体而言，作者认为VulnPlus在逻辑漏洞审计方面效果显著，实现了从靶标搭建到漏洞挖掘、POC验证和修复响应的端到端自动化闭环，大大提高了审计效率。

Web安全漏洞挖掘白盒审计认证绕过权限提升自动化审计安全工具

0x21 Chrome隐私漏洞：指纹识别与HTTP头泄露使用户面临风险

网安百色 2026-04-17T19:41:34

本文分析了Google Chrome浏览器在隐私保护方面的漏洞。现代网站通过结合浏览器指纹识别、存储技巧和HTTP头泄露等技术，能够以高精度识别用户，即使清除Cookie也无法避免。Chrome浏览器虽然尝试减少一些被动标识符，但仍然存在漏洞，如通过navigator.userAgentData.getHighEntropyValues()获取高熵数据。此外，HTTP头也可能泄露敏感信息。Chrome放弃淘汰第三方Cookie的计划，使得旧追踪方法仍然有效。用户需要采取更全面的隐私保护措施，包括保持Chrome更新、限制扩展、减少不必要的权限，并考虑使用专门针对指纹识别进行防御的工具。

浏览器安全隐私保护指纹识别 HTTP头泄露 Cookie管理安全漏洞浏览器扩展隐私沙盒

0x22 Windows截图工具漏洞允许攻击者通过网络执行欺骗操作

安全圈的那点事儿 2026-04-17T19:10:00 © 网络安全9527

微软近日修复了Windows截图工具中的一个安全漏洞（CVE-2026-33829），该漏洞被归类为中等严重程度，可能被恶意行为者利用窃取用户凭据。该漏洞存在于工具处理深度链接的方式中，攻击者可利用该漏洞建立SMB连接并窃取NTLMv2密码哈希值。虽然漏洞利用需要用户交互，但攻击复杂度较低。微软已在2026年4月14日的安全更新中修复此漏洞，并建议用户立即安装补丁，同时在网络边界阻止出站SMB流量，并教育员工提高安全意识以防止社交工程攻击。

操作系统漏洞身份验证安全社会工程学深度链接处理安全更新远程攻击敏感信息泄露

0x23 Azure Windows 管理中心的一键式远程代码执行漏洞允许攻击者执行任意命令

安全圈的那点事儿 2026-04-17T19:06:00 © 网络安全9527

本文报道了Windows Admin Center（WAC）的一款严重漏洞，该漏洞允许攻击者在Azure集成和本地WAC部署中实现未经身份验证的远程代码执行。攻击者通过诱骗受害者访问篡改过的网址，可以秘密执行任意命令并接管目标网络。该漏洞由Cymulate Research Labs发现，并已在2025年8月22日向微软负责任地披露。微软已成功应用服务器端补丁来保护所有Azure管理的实例，但使用本地WAC部署的组织需要主动更新系统。漏洞利用依赖于三个底层架构缺陷，包括跨站脚本攻击、不安全的重定向处理和不安全的凭据存储。攻击者可以构造恶意URL，通过钓鱼邮件或伪装链接传播，一旦受害者点击，攻击者即可在WAC浏览器环境中执行恶意代码。尽管Azure托管的WAC客户已受到保护，但内部网络的安全风险仍然严峻，Cymulate Research Labs建议所有管理本地WAC部署的安全团队立即升级到最新版本。

远程代码执行（RCE） Azure安全漏洞跨站脚本（XSS）身份验证劫持横向移动本地部署安全恶意软件传播补丁管理

0x24 【免杀工具】DLLHijackHunter

安全天书 2026-04-17T17:59:57 © Hello888

本文介绍了一款名为DLLHijackHunter的Windows DLL劫持检测工具。该工具通过多阶段流水线自动发现、验证并确认DLL劫持机会，包括发现服务间的二进制文件、调度任务、启动项目、COM对象和自动提升UAC绕过向量。DLLHijackHunter超越了静态分析，通过智能硬软门过滤误报，并部署无害的DLL来触发二进制以证明劫持有效。它还通过分级置信系统对发现的可利用性进行排名。文章强调，该工具的使用仅限于安全测试和防御研究，禁止用于非法目的。此外，文章还提到了一个专注于免杀对抗、渗透测试、红蓝对抗等安全技术的圈子，并列举了多个相关工具和文章。

网络安全工具 Windows安全免杀技术动态分析红蓝对抗安全研究开源项目

0x25 CVE复现之老洞新探CVE-2021-3156

蚁景网络安全 2026-04-17T17:41:12 M5

本文深入分析了sudo程序中存在的CVE-2021-3156堆溢出漏洞，并详细介绍了利用该漏洞进行提权的完整过程。文章首先介绍了漏洞的利用条件，即通过特定的环境变量构造攻击向量，导致sudo程序中的堆内存发生越界写入。接着，文章通过源码分析，揭示了漏洞的产生机制，即在使用setlocale函数时，未能正确处理参数结尾的反斜杠字符，导致堆块大小计算错误，从而引发溢出。文章还详细描述了利用动态调试和堆块布局分析，成功构造出攻击载荷的过程。最后，文章通过编译并部署恶意共享库，实现了提权操作。整个过程不仅展示了堆溢出漏洞的利用方法，还强调了动态调试和堆布局分析在漏洞利用中的重要性，为网络安全学习者提供了宝贵的实践经验和学习思路。

堆溢出 (Heap Overflow) 提权 (Privilege Escalation) CVE-2021-3156 sudo glibc 漏洞利用 (Exploitation) 环境变量 (Environment Variables) 动态调试 (Dynamic Debugging)

0x26 【代码审计】基于Tabby的反序列化示例

十月的进阶之路 2026-04-17T17:31:26 © 十月的进阶之路

本文以Webgoat为例，详细介绍了反序列化漏洞分析的方法论。核心分析思路围绕三个关键要素：数据来源（Source）、数据是否可被攻击者控制（Taint）以及数据是否最终流向危险函数（Sink）。文章提出反序列化漏洞的判断逻辑并非简单地寻找“readObject”方法，而是需要追踪数据从入口方法到对象字段恢复，再到后续逻辑使用，最终进入危险函数的完整路径。分析流程分为九个步骤：首先确认图数据导入成功；其次缩小搜索范围至项目包；接着寻找候选反序列化入口如readObject；然后识别Tabby标记的危险方法；使用Tabby的路径搜索功能连接source和sink；解读返回结果确认路径有效性；回到源码确认语义和漏洞成立；解释为何查不到caller到readObject的调用；最后总结常见坑位。整个过程强调结合图分析和源码确认，避免因忽略隐式入口、范围过大或仅关注路径长度而误判。

反序列化 Web安全漏洞分析图数据库静态分析 Java安全工具使用

0x27 【漏洞通告】Nginx UI MCP接口绕过认证漏洞(CVE-2026-33032)

深信服千里目安全技术中心 2026-04-17T16:37:59 深瞳漏洞实验室

本文介绍了Nginx UI MCP接口绕过认证漏洞（CVE-2026-33032），这是一个高危漏洞，可能导致服务器失陷。漏洞存在于Nginx UI的/mcp_message接口，由于缺乏认证检查，攻击者可以利用此漏洞建立未授权的MCP会话。该漏洞已发现并正在被利用，影响范围为Nginx UI ≤ 2.3.5版本。官方已发布修复该漏洞的2.3.6版本，并建议用户更新以避免风险。此外，文章还提到了深信服提供的安全监测和防护方案，以及漏洞的发布时间线和相关信息。

漏洞通告认证绕过 Nginx UI CVE编号高危漏洞版本漏洞开源软件远程攻击代码执行官方修复

0x28 Python爬虫之某站JS加密逆向分析

蚁景网安 2026-04-17T16:31:08 程哥

本文详细描述了对一个名为某某数据网的网站进行前端JS加密逆向分析的过程。首先，通过抓包发现数据获取API为https://www.***.com/api2/service/x_service/person_industry_list/list_industries_by_sort，数据是动态加载且经过加密的。文章重点分析了两个加密参数payload和sig的加密过程。payload的加密涉及多个JavaScript函数调用，最终得到一个加密后的字符串；sig的加密则是将加密后的payload与一个常量_P拼接后进行MD5加密，并转换为大写。通过调试和跟踪JavaScript代码，作者成功还原了两种加密算法，并使用Python实现了相应的加密函数。最后，通过拦截技术获取JS解密函数，解密返回的数据以获取明文。整个过程展示了如何通过逆向分析破解前端加密，从而实现数据爬取。

JavaScript逆向工程 Web安全加密算法分析动态数据抓取参数挖掘 MD5加密逆向工程实践

0x29 群友靶机之Calc.

MS02423 2026-04-17T16:10:59 © MS02423

该文章详细记录了针对 kaada 举办的 Calc. 靶机的渗透测试过程。首先通过信息收集阶段，使用 nmap 探测到靶机 IP 为 192.168.137.145，开放了 22、80 和 8080 端口。在 80 端口尝试发现 SQL 注入漏洞，并通过 sqlmap 爆破数据库，获取到 calc_db 数据库以及 webapp_users 表的用户信息，用户名和密码为 Jimmy:JimmyThumb_Calc_2010。使用该用户登录 SSH 成功，获取 user.txt 文件。接着，文章分析了 TODO.txt 文件中的三个任务：迁移 Tomcat 端口、安全化本地数据库凭据、修复 Cron 定时任务中的同步脚本。在分析 Cron 定时任务时，发现 system_config 配置文件存储在数据库中，存在 jdbc url 注入漏洞。文章详细介绍了使用 rogue_mysql_server 和 ysoserial 工具进行攻击的步骤，包括修改配置文件、编写 payload、运行文件、更新数据库并监听反向连接，最终成功获取 root shell。此外，文章还提到了将 /bin/bash 变成 SUID Shell 以及写入公钥实现 ssh 登录的方法。整个过程展示了从信息收集到漏洞利用再到权限提升的完整渗透测试流程。

SQL注入 Java反序列化 Rogue MySQL Server 命令注入提权 Web安全渗透测试 Cron Job利用权限提升公钥认证

0x2a 政企私有化部署IM安全数据防泄密方案介绍

深信达 2026-04-17T14:54:20

随着政企单位对数据安全和合规性的需求提升，私有化即时通讯（IM）工具的部署越来越普遍。然而，即便这些IM工具已经实现私有化部署，仍存在用户恶意泄露、误操作和临时账号风险等数据泄露风险。本文介绍了两种解决方案来加强政企IM的安全防护。首先，通过将企业IM升级为沙箱化加密IM工具，实现聊天内容、文件传输和链接访问的加密，防止数据外泄。其次，将深信达SDC沙箱集成到企业IM中，对文件进行沙箱化保密管控，确保文件安全。这两种方案旨在构建可控、可防、可追溯的加密IM环境，有效防范内部数据泄露风险，确保政企单位的即时通讯环境安全、可控、合规。

数据安全隐私保护加密技术防泄密策略即时通讯安全合规性用户行为监控安全审计

0x2b 绕过av/edr防护dump用户本地哈希工具

词不达意安全团队 2026-04-17T14:34:12 frkngksl

本文介绍了一个名为SilentNimvest的项目，该项目旨在绕过防病毒软件（AV）和终端检测响应（EDR）系统，以导出本地用户的哈希值、缓存的域登录信息和LSA密钥。文章强调了该工具仅用于安全测试和防御研究，并警告不要用于非法目的。SilentNimvest是用Nim语言编写的，可以在具有管理员权限的终端中直接执行。文章还提到了SplitRun工具，用于生成免杀360扫描的EXE文件。此外，文章列出了一系列相关工具和资源，包括免杀loader生成工具、lnk文件生成工具、内存扫描插件、在线免杀平台、后渗透工具等，旨在帮助安全研究人员进行渗透测试。

渗透测试后渗透 AV/EDR绕过本地安全安全工具代码审计安全研究法律法规

0x2c 赶不走的幽灵：AD域持久化技术与检测对抗

极客零零七 2026-04-17T14:30:21 © 极客零零七

本文深入探讨了AD域持久化技术在网络安全中的挑战。作者从攻击者视角，详细介绍了多种持久化技术，包括Golden Ticket、AdminSDHolder、Skeleton Key和SID History注入。每种技术都从如何实施、如何检测和如何清除三个方面进行了阐述。Golden Ticket作为最经典的持久化技术，其优势在于不依赖账户密码，且有效期可长达10年。文章还提到了Silver Ticket持久化技术，它通过不经过KDC验证，使得域控上不会留下任何日志，增加了隐蔽性。此外，文章还提供了蓝队检测和清除这些持久化技术的具体方法，如监控事件日志、重置krbtgt密码等。

域渗透持久化攻击 Kerberos攻击安全检测与防御红蓝对抗 Windows安全

0x2d Chrome 138完整漏洞利用链——从CVE-2026-5873到远程代码执行

幻泉之洲 2026-04-17T13:00:00

本文详细描述了作者利用Claude Opus AI模型构建Chrome 138版本漏洞利用链的过程。作者通过一周时间，花费230亿token和2283美元，成功构建了一套完整的V8漏洞利用链，并成功弹出了计算器。文章展示了AI模型在将安全补丁转化为实际可利用漏洞上的潜力，并探讨了这对未来软件安全的意义。实验过程中，作者通过多个Claude会话和子任务，将LLDB调试器输出反馈给模型，并同步进度。文章还详细介绍了CVE-2026-5873漏洞的利用技术细节，包括漏洞的根本原因、关键细节和漏洞利用链的概览。最后，文章讨论了成本与回报模型，以及AI模型在漏洞利用中的局限性和未来发展方向。

漏洞利用 CVE分析 V8引擎浏览器安全 AI与安全软件安全安全研究漏洞修复

0x2e 剖析 PlugX 活动：Contebrew 有效载荷分析

安全狗的自我修养 2026-04-17T12:11:51 haidragon

本文详细分析了与PlugX恶意软件相关的攻击活动，重点关注一个名为“Contebrew”的可疑文件。文章首先介绍了该文件的历史背景和攻击链中的关键作用，接着通过静态分析确定了该文件是一个用Delphi编写的InnoSetup安装程序。进一步分析发现，该文件内嵌了多个嵌套的PNG文件，形成了一个复杂的“洋葱”结构，其中包含恶意载荷和广告软件。动态分析阶段，文章使用JoeSandbox和Wireshark等工具，揭示了该安装程序在运行过程中下载并安装了Avast和McAfee杀毒软件，并发现了与Leaseweb相关的IP地址。分析还发现，安装过程中触发了WerFault.exe和msEdge.exe等进程，进一步证实了该攻击活动的复杂性。文章最后强调了网络安全分析师在应对此类攻击时应注意的关键点，包括对恶意软件的深入分析、对网络流量的监控以及对潜在威胁的持续关注。

恶意软件分析 PlugX InnoSetup 嵌套载荷反分析技术广告软件持久化网络通信动态分析恶意域名

0x2f 使用 Python 和 Jython 编写自定义 Burp 扩展程序进行自动化渗透测试

安全狗的自我修养 2026-04-17T12:11:51 haidragon

本文详细介绍了如何使用Jython为Burp Suite编写自定义扩展，以提升漏洞赏金和渗透测试的效率。文章首先阐述了手动测试的局限性，并提出通过编写自定义扩展来自动化重复性工作的解决方案。接着，详细介绍了Jython的设置过程，包括下载JAR文件和在Burp Suite中配置Python环境。文章接着深入探讨了Burp扩展的核心接口，如IBurpExtender、ITab、IContextMenuFactory和IMessageEditorController，并解释了它们在扩展开发中的作用。在用户界面部分，文章介绍了如何使用Swing和AWT框架来构建自定义UI，并强调了事件分发线程（EDT）在Swing编程中的重要性。此外，文章还讨论了线程管理问题，并提供了一个线程安全的辅助类RunInEDT来解决UI更新问题。最后，文章展示了如何将所有组件整合到主扩展类中，并提供了调试和迭代的建议。通过编写自定义扩展，用户可以自动化繁琐的任务，提高测试效率，并专注于更复杂的分析工作。

漏洞赏金渗透测试 Burp Suite 自动化 Jython 扩展开发 UI设计线程管理安全工具开发网络测试

0x30 UAC-0247 漏洞利用浏览器和 WhatsApp 数据窃取攻击医院和政府机构

安全圈的那点事儿 2026-04-17T12:11:00 © 网络安全9527

本文详细分析了针对地方政府和市政医疗机构的定向网络攻击活动，该活动被归咎于威胁集群UAC-0247。攻击者通过钓鱼邮件和恶意网站传播快捷方式（.LNK）文件，触发mshta.exe执行HTA脚本，进而部署加密反向shell。攻击者使用了两个专门工具CHROMELEVATOR和ZAPIXDESK窃取浏览器和WhatsApp数据。攻击过程中，攻击者还使用了额外的侦察工具和隧道传输技术，并可能涉及加密货币挖矿程序。乌克兰国家计算机应急响应小组（CERT-UA）发出警告，建议限制特定文件的执行和脚本实用程序的使用，以降低风险。

定向攻击钓鱼攻击恶意软件数据窃取持久性和横向移动加密通信漏洞利用网络监控和防御

0x31 C-Lodop打印服务系统存在任意文件读取漏洞附POC

北风漏洞复现文库 2026-04-17T11:11:33 © 安服仔

本文揭露了C-Lodop打印服务系统存在的一个任意文件读取漏洞。该漏洞允许攻击者通过构造特殊的URL来读取服务器上的任意文件，包括系统配置文件和数据库凭据等敏感信息。C-Lodop是一款功能强大的云打印工具，支持通过JavaScript语句实现远程打印，无需安装插件或APP。漏洞影响的是默认开启的端口可能被用于攻击的版本。文章提供了漏洞的复现过程，并建议用户升级至最新安全版本以修复该漏洞。同时，文章也提醒读者不要利用文中提供的信息进行非法测试，并声明使用此信息造成的不良后果与文章作者无关。

漏洞分析安全漏洞文件读取漏洞云打印服务 JavaScript攻击安全修复

0x32 HTB Season10 Garfield

OnePanda-Sec 2026-04-17T11:00:17 © chenzi

这篇文章详细描述了一个针对名为DC01.garfield.htb的Active Directory域控制器的渗透测试过程。测试开始于使用Nmap扫描目标IP，发现开放了多个典型Windows域控端口，包括DNS、Kerberos、RPC/SMB、LDAP、Kerberos密码修改、AD相关服务、RDP和WinRM。由于SMB签名已启用且强制开启，常规SMB Relay攻击难度较大，但RDP和NTLM信息泄露了主机名、域名和系统版本等敏感信息。测试者使用提供的用户凭据枚举了目标主机上的SMB共享目录，并列出权限，发现用户l.wilson和l.wilson_adm有可写权限。进一步使用bloodyAD工具发现这两个用户以及域DNS区域有可创建子对象的权限，提示存在DNS记录篡改（ADIDNS/WPAD劫持）漏洞。尝试修改l.wilson的密码失败后，测试者利用SYSVOL共享的读权限和域内用户/对象的写入权限，将恶意脚本写入组策略登录脚本目录，从而获取反向Shell。随后，测试者通过提升权限、横向移动、添加RODC管理员、配置RBCD权限、请求服务票、伪造TGT票据、进行金票+Keylist攻击等步骤，最终获得了域管理员权限，并使用evil-winrm工具远程管理目标系统。整个过程涉及多个域渗透技术和工具的使用，展示了从初始访问到最终获取域控制权的完整攻击链。

CTF Active Directory Privilege Escalation Lateral Movement Kerberos Windows Exploitation Password Attack Metasploit Scripting Reverse Engineering

0x33 某APP的一次渗透

HACK之道 2026-04-17T10:16:37 nnsae86

本文主要介绍了针对移动应用程序（App）的渗透测试思路和方法。首先，文章强调了检查APK包是否存在加固问题的重要性，并介绍了使用APK查壳工具进行检测的方法。如果APK未加固，可以直接查看源码信息以获取接口信息和检查硬编码等问题。接着，文章详细描述了APK脱壳的过程，包括使用工具进行脱壳，以及在脱壳后如何获取和分析代码。此外，文章还讨论了ROOT检测及其绕过方法，以及组件配置错误可能带来的安全风险，例如未登录状态下访问敏感页面或导出用户数据。最后，文章指出App的Web部分测试与Web测试类似，并提到了上传功能点可能存在的漏洞。文章强调了在渗透测试中需遵守法律法规，获取授权，切勿用于违法途径。

APK安全分析 APK加固与脱壳 root检测与绕过组件配置错误敏感数据存储与泄露日志信息泄露移动Web安全安全测试方法合规与法律

0x34 25类常见网络安全设备集合：防火墙、EDR、堡垒机、UTM、NGFW、NIDS、HIDS、IPS、IDS、安全网关、蜜罐

乌雲安全 2026-04-17T10:07:22 © GhostShell

本文系统梳理了25类常见的网络安全设备，并详细分析了它们的功能和应用场景。文章首先介绍了边界防护类设备，包括传统防火墙、NGFW、WAF、抗DDoS设备、VPN设备、安全网关和网闸，这些设备主要用于保护网络边界，过滤危险流量，允许合法访问。接着，文章探讨了终端防护类设备，如EDR、EPP、ESM、HIDS和MDM，这些设备用于守护终端设备，检测异常行为，阻断恶意操作。然后，文章介绍了网络检测与响应类设备，包括NIDS、IPS和NTA，这些设备通过分析网络流量发现攻击行为，专注于检测而非拦截。此外，文章还讨论了运维审计与数据防护类设备，如堡垒机、DAM、DLP、日志审计系统和NAC，这些设备用于审计运维行为，保护数据安全。最后，文章介绍了安全管理与协同类设备，如SIEM、SOAR、TIP、漏洞扫描器和UTM，这些设备通过整合资源，自动化响应，提升整体防护效率。文章强调网络安全设备不是越多越好，而是需要按需搭配，分层部署，协同配合，才能构建真正的安全防线。

网络安全设备边界防护终端防护网络检测与响应运维审计与数据防护安全管理与协同安全运营威胁情报漏洞管理合规性

0x35 实验环境配置指南：计算机硕博必备工具链

SecureNexusLab 2026-04-17T09:46:03 © i3eg1nner\x26amp;林00

本文提供了一篇关于实验环境配置的指南，主要面向计算机硕博研究生。文章详细介绍了在不同实验环境中推荐的工具和配置方法。指南中强调了使用Docker容器进行实验的稳定性，并推荐了MobaXterm、Visual Studio Code、Conda等常用工具。此外，文章还介绍了SSH登录、文件传输、Git代码管理、Docker代理配置以及命令行代理等实用技巧。文中还提到了如何使用GitHub学生会员包、阿里云学生认证等资源，以及如何在VSCode中配置远程连接、文件传输等高级功能。最后，文章给出了一系列基于实际开发经验的基础任务，以帮助读者更好地理解和应用所学知识。

网络安全工具网络安全配置网络安全实践安全开发环境开源安全 SSH安全云安全

0x36 Apache Log4j2远程代码执行漏洞详解

古月安全 2026-04-17T09:38:51 © 三呼呼

本文详细介绍了Apache Log4j2远程代码执行漏洞的原理和复现方法。该漏洞的核心机制是利用JNDI Lookup方法，通过${jndi:ldap://恶意URL}或${jndi:rmi://恶意URL}触发JNDI注入或RMI远程对象引用，从而动态加载远程恶意类并执行。触发条件是用户输入的信息被日志记录且未过滤。文章首先介绍了漏洞影响版本和核心机制，然后通过RMI和LDAP两种方式进行了漏洞复现。RMI利用方式涉及启动RMI服务并记录构造的错误日志，触发远程执行系统命令；LDAP利用方式则通过marshalsec工具创建LDAP服务，将恶意类引用到LDAP服务中，当Log4j记录包含LDAP URL的日志时，会触发远程类加载和执行。文章深入分析了漏洞触发流程，从日志记录、变量解析到JNDI注入的层层调用过程，最终指向InitialContext的lookup方法实现远程对象引用。此外，还讨论了常见的探测方式，如使用DNSLOG替换IP为域名进行测试，以及不同日志级别（如info、error）的配置问题。

漏洞分析漏洞利用 Log4j2 JNDI注入远程代码执行安全配置

0x37 免杀入门篇

赛博海妖 2026-04-17T09:08:17 L.

本文详细介绍了杀软（AV、EDR）在红队实战和内网渗透中的工作原理和对抗策略。杀软主要通过静态特征查杀、动态内存查杀、行为查杀、启发式与机器学习以及云查杀等手段进行检测。静态特征查杀通过特征码、哈希值和Yara规则识别恶意文件；动态内存查杀监控内存中的恶意代码执行；行为查杀通过Hook监控敏感API调用；启发式与机器学习根据经验规则和威胁情报进行检测。为了对抗杀软，文章介绍了多种免杀技术，包括静态免杀（特征码修改、Shellcode加密、资源修改、加壳）、内存免杀（睡眠混淆、堆内存加密、避免Private Memory）、行为执行免杀（直接系统调用、动态调用、UnHooking）、传输与加载（资源分离、白加黑）以及环境规避（反沙箱检测）。文章还提供了具体的绕过代码和实战案例，如动态API解析、栈字符串混淆、无文件落地、反沙箱检测等，以提升免杀成功率。理解杀软的工作原理和免杀技术，对于攻防双方在网络安全领域互相博弈至关重要。

杀毒软件原理免杀技术静态分析动态分析 API Hook 反沙箱特征码规避无文件攻击动态API解析栈字符串混淆 C运行库依赖

0x38 2026年第一季度疑似伊朗背景的APT组织攻击事件综合分析

白泽安全实验室 2026-04-17T09:02:55 © BaizeSec

2026年第一季度，疑似伊朗背景的APT组织MuddyWater等7个主要活跃组织展现出多元化、协同化的攻击态势。MuddyWater组织在监测周期内发起11次攻击行动，采用Rust语言开发的后门和AI辅助开发技术，通过钓鱼邮件、漏洞利用等方式进行渗透，并使用模块化攻击工具链和多层次C2通信架构。其攻击目标集中于中东地区和美以战略目标，如政府机构、电信运营商、能源企业等。MuddyWater的攻击活动显示出其作为伊朗网络间谍组织核心力量的持续作战能力。

APT攻击恶意软件分析钓鱼攻击漏洞利用 Rust语言 AI辅助攻击持久化控制数据窃取反分析技术区域安全

0x39 Windows Defender LPE 0day 漏洞

黑白之道 2026-04-17T08:41:33

本文介绍了Windows Defender的一个0day漏洞，该漏洞被命名为RedSun。当Windows Defender检测到带有云端检测标签的恶意文件时，可能会将文件重写回其原始位置，而不是简单地隔离。攻击者利用这一行为，将其作为文件覆盖的原语，从而能够替换系统文件并最终提升至管理员权限。文章提供了一个PoC（Proof of Concept）漏洞利用的例子，展示了攻击过程，包括执行RedSun.exe后成功提升权限至系统管理员级别。原文链接提供了更多技术细节和详细信息。

漏洞分析 Windows安全本地提权逆向工程恶意软件检测 PoC分析

0x3a 综合实战演练（下）——攻击实施与结果分析

安全分析与研究 2026-04-17T08:32:07 © pandazhengzheng

本文详细介绍了网络安全实战演练的后续内容，包括攻击实施、EDR反应分析、攻击痕迹清理和实验报告撰写。文章首先概述了实战演练的目的，即通过实践加深对攻击与防御对抗关系的理解。接着，文章详细描述了攻击实施与监控的步骤，包括部署恶意文件、启动监控工具、执行攻击、获得Shell等。在EDR反应分析部分，文章指导读者如何分析EDR检测、进程行为，并提出了改进攻击策略的方法。此外，文章还介绍了攻击痕迹清理的详细步骤，包括清理文件、注册表、事件日志和网络痕迹。最后，文章强调了撰写实验报告的重要性，并给出了报告的结构建议。

网络安全实战恶意软件分析攻击技术防御技术安全监控漏洞利用实验报告

0x3b 漏洞预警 | Oracle Identity Manager远程代码执行漏洞

浅安安全 2026-04-17T07:50:19 浅安

本文报道了Oracle Identity Manager远程代码执行漏洞（CVE-2026-21992），这是一个高危漏洞，允许未授权攻击者通过网络构造恶意请求直接执行任意代码。Oracle Identity Manager和Oracle Web Services Manager在处理远程接口时缺乏有效的身份认证和输入校验，导致漏洞的产生。该漏洞影响了Oracle Identity Manager 12.2.1.4.0和14.1.2.1.0版本，以及Oracle Web Services Manager 12.2.1.4.0和14.1.2.1.0版本。虽然漏洞的Proof of Concept（POC）已公开，但Oracle已发布修复版本，建议用户升级到安全版本以避免潜在的安全风险。

Oracle 漏洞身份认证漏洞远程执行漏洞高危漏洞企业级安全漏洞代码执行漏洞横向渗透风险数据窃取风险服务破坏风险

0x3c 漏洞预警 | LEAN MES系统SQL注入漏洞

浅安安全 2026-04-17T07:50:19 浅安

本文报道了深圳市深科特信息技术有限公司开发的LEAN MES系统存在的高危SQL注入漏洞。该漏洞位于/Handler/AutoComplete.ashx接口，允许攻击者通过构造恶意SQL语句获取数据库中的敏感信息或进行未授权操作。漏洞已被官方识别，并已发布修复版本，建议用户尽快升级至安全版本以避免潜在的安全风险。影响版本为LEAN MES系统，漏洞详情和修复建议已公开。

SQL注入高危漏洞工业控制系统安全信息泄露风险系统更新安全

0x3d ZionSiphon恶意软件——首款针对以色列水系统的OT攻击武器

网空闲话plus 2026-04-17T07:47:44 © 网空闲话

2026年4月，网络安全公司Darktrace揭露了一种名为ZionSiphon的新型恶意软件，专门针对以色列水处理和海水淡化系统。该软件具有调节氯含量和操控液压参数的能力，旨在破坏以色列国家水基础设施。分析显示，ZionSiphon通过双重验证机制锁定目标，包括以色列国家水务公司和主要海水淡化厂。恶意软件具备篡改本地配置文件和与OT协议交互的能力，能够操纵氯剂量和压力参数，对公共健康构成威胁。尽管当前版本因验证逻辑缺陷而无法执行破坏，但其完整的技术架构和政治动机表明，一旦缺陷被修复，将构成对关键基础设施的实质性威胁。ZionSiphon的出现标志着OT恶意软件从概念验证走向实战化，水处理行业成为高价值攻击目标，以及政治动机驱动的OT攻击正在增加。

恶意软件分析 OT攻击关键基础设施安全地理定位攻击政治动机攻击工业控制系统安全混合威胁攻击防御策略

0x3e Adobe正式官宣Reader漏洞已被在野利用，打开PDF可执行任意代码

白帽子 2026-04-17T04:29:06 已卸载Adobe的

Adobe公司近期发布了针对Windows和macOS平台Adobe Acrobat和Reader的安全更新，以修复一个被标记为高危的漏洞CVE-2026-34621。该漏洞已被在野利用，成功利用此漏洞可导致攻击者在受影响用户的权限上下文中执行任意代码。攻击者只需诱使用户打开包含恶意JavaScript代码的PDF文件，即可触发漏洞。Adobe Reader版本24.001.30356、26.001.21367及更早版本受到影响。Adobe已发布最高级别安全预警，要求所有用户在72小时内安装安全更新。该漏洞利用涉及到JavaScript特有的“原型污染”漏洞，攻击者通过修改全局对象原型，使整个程序行为失控，最终执行任意恶意代码。这一漏洞的发现和公开，再次提醒网络安全学习者对PDF文件的安全性保持警惕，并加强相关防护措施。

漏洞利用任意代码执行社会工程学 JavaScript漏洞 Adobe产品安全跨平台漏洞安全更新沙箱逃逸

0x3f 默连(morelian) 简简单单的webshell管理工具(支持常规的代码执行，文件管理等，默认支持http与socks代理，支持gui与浏览器两种运行方式)

渗透云记 2026-04-16T23:01:29 © 沐寒

本文介绍了“默连”这一网络安全工具，它支持GUI和后端运行模式，并通过浏览器进行访问控制。工具的主要功能包括目标分组管理、存活检测、多协议握手、代理配置、载荷生成和连接脚本导出。此外，“默连”还具备会话能力，如命令执行、文件管理、信息展示和笔记记录，并支持数据库和网络信息查看。工具还包含插件系统，可根据载荷类型动态加载，如压缩、端口扫描、代理合并等。运行模式分为桌面模式和Web模式，分别通过Wails窗口和本地HTTP服务启动。文章还介绍了如何在实战环境中使用“默连”，包括生成PHP脚本、配置Header连接和模拟文件上传等。最后，作者提到了“默连”的获取方式和相关博客信息，以及EasyTools渗透测试工具箱的更新内容。

Web安全后渗透渗透测试工具 Webshell管理 GUI工具命令执行文件操作代理载荷生成插件化

0x40 【渗透必备】263+ 绕过技术的文件上传漏洞检测平台

0x八月 2026-04-16T21:06:56 © 0x八月

UploadRanger 是一款基于 PySide6 开发的文件上传漏洞检测工具，专为 Web 安全研究员和渗透测试工程师设计。它集成了智能扫描、代理抓包、Repeater 重放和 Intruder 爆破四大模块，并内置了 263+ 种绕过技术和 14 类 Payload。该工具支持安全测试和渗透测试两种模式，其中安全测试模式用于上传无害内容以验证漏洞存在，而渗透测试模式则支持上传 WebShell 进行渗透评估。UploadRanger 的核心亮点包括双模式扫描策略、智能排序的绕过技术 Payload、类 Burp 代理和四模式爆破功能。它通过 EnvironmentFingerprinter 自动识别目标环境，动态调整 Payload 优先级，提升扫描效率。此外，工具还内置了 mitmproxy 引擎实现 HTTP/HTTPS 代理抓包，并支持 Repeater 和 Intruder 模块进行手动和自动化测试。UploadRanger 的技术优势包括现代化的 Qt GUI 框架、专业级代理引擎、异步 HTTP 客户端、字节级 HTTP 控制和异步扫描功能，旨在提供高效、灵活的文件上传漏洞检测和渗透测试体验。

文件上传漏洞绕过技术渗透测试安全测试漏洞扫描代理抓包 Intruder Repeater Payload生成 WAF绕过 WebShell

0x41 obsidian quickadd插件使用技巧

ListSec 2026-04-16T20:59:34 © 凉城

本文详细介绍了Obsidian的QuickAdd插件的使用技巧。QuickAdd插件旨在提高用户在Obsidian中添加新笔记或内容的效率。它提供了多种功能，包括捕捉信息到指定文件或每日笔记、使用模板插入内容、通过宏执行高级自动化流程以及多选功能来组织这些选项。文章中详细解释了如何使用Capture功能来指定内容存放的目标文件和位置，以及如何设置插入的内容格式和行为。此外，还介绍了如何结合模板和admonition来创建新的笔记，并提供了QuickAdd插件的官方介绍和相关信息，包括版本、作者和更新时间。

网络安全工具插件使用教程自动化流程笔记管理工作效率提升

0x42 AES硬编码 vs SM国密混合：Web接口加密方案对比

黑客茶话会 2026-04-16T20:47:26 © 我真tm厉害

本文对比了两种Web接口加密方案：AES-ECB对称加密和SM2+SM3+SM4国密混合加密。文章首先阐述了为什么需要应用层加密，指出了仅使用HTTPS的局限性，如中间人攻击、日志泄露、合规要求等。接着详细分析了AES-ECB加密方案的安全问题，包括ECB模式的密码学错误、硬编码密钥、无签名验证等。然后介绍了SM2+SM3+SM4国密混合加密方案，包括其双层加密架构、动态密钥、签名验证等安全优势。最后，文章总结了两种方案的核心差异，并提出了加密方案的最佳实践，强调了使用混合加密体系、动态密钥和签名验证的重要性。

对称加密非对称加密国密算法加密模式密钥管理安全漏洞安全协议安全评估安全合规安全设计

0x43 应急响应打靶--windows2

一个努力的学渣 2026-04-16T20:16:37 © 一个努力的学渣

本文详细记录了一个网络安全入侵事件的应急响应过程。攻击者首先通过爆破目录和尝试登录FTP，成功爆破出admin密码。随后，攻击者上传了system.php文件到FTP根目录，并使用POST方法访问该文件，成功获取webshell权限。接着，攻击者创建了隐藏用户名hack887$，并将其设置为管理员权限，并使用该账户远程连接到服务器。攻击者还上传了frp程序，用于建立反向代理连接。通过分析系统日志、事件日志和进程信息，发现攻击者创建了多个可疑文件和注册表项，并对系统进行了修改。最后，根据分析结果，提出了修复措施，包括删除可疑文件、清理注册表、打系统补丁、全盘查杀病毒、修改管理员密码和关闭远程桌面连接等。整个过程展示了如何通过日志分析和系统排查来追踪攻击者的行为，并采取相应的修复措施来提高系统的安全性。

0x44 第三节｜Windows认证+权限系统设计模型（收尾篇）

皮皮宋渗透笔记 2026-04-16T19:46:06 © 皮皮宋

本节文章深入探讨了Windows系统的身份认证机制和通用的权限系统设计模型。首先，详细介绍了Windows系统本地用户认证的核心流程，包括密码哈希比对、SAM数据库的作用以及密码破解的常见方式。接着，阐述了Kerberos协议在Windows域环境中的应用，包括其核心概念、简化认证过程以及优缺点。此外，还讨论了NTLM身份验证的流程、Hash算法的详细解释以及常见的攻击方式。最后，文章介绍了四种核心的权限设计模型：自主访问控制（DAC）、强制访问控制（MAC）、基于角色的访问控制（RBAC）和基于属性的权限验证（ABAC），并分析了各自的适用场景和优缺点。通过这些内容，读者可以构建起关于身份认证和权限系统的完整知识体系。

身份认证 Windows安全密码学权限管理网络安全协议安全漏洞安全架构安全意识

0x45 Nginx-ui漏洞已被攻击者积极利用——可实现服务器完全控制

安全圈的那点事儿 2026-04-16T19:14:00 © 网络安全9527

Nginx UI 存在一个编号为 CVE-2026-33032 的严重身份验证绕过漏洞，CVSS 评分为 9.8，正被攻击者积极利用。该漏洞源于模型上下文协议 (MCP) 集成中缺少身份验证中间件，导致任何攻击者都可以未经身份验证地控制受影响的 Nginx Web 服务器。Shodan 上发现超过 2600 个公开暴露的实例，攻击者可利用此漏洞执行多种管理工具，包括创建或修改配置文件、重写服务器块、捕获凭据、泄露配置信息以及中断服务。该漏洞已被公开利用，包括概念验证漏洞利用程序在 GitHub 上的发布，使得攻击门槛降低。

Web服务器安全身份验证漏洞远程攻击漏洞利用 CVSS评分安全配置 Shodan搜索安全公告

0x46 苹果紧急更新！腾讯云安全还原Plasma(烈焰)团伙攻击iOS过程

腾讯安全 2026-04-16T18:49:02

2026年4月，腾讯云安全团队发现并分析了一种名为Plasma的iOS恶意软件框架，该框架在Coruna高级漏洞利用工具包的基础上运行，主要目标是通过水坑攻击窃取用户加密货币资产。Plasma框架包含24个功能插件，其中19个专门用于窃取主流加密钱包的助记词和私钥，其余插件则用于窃取照片、备忘录中的敏感信息，并通过短信蠕虫传播扩大感染范围。该攻击利用Coruna漏洞利用工具包突破iOS多层安全防护，影响范围全球，预估数十万台设备受波及。Coruna工具包包含23个独立漏洞和5条完整的漏洞利用链，覆盖iOS 13.0至17.2.1版本。Plasma框架采用配置驱动的精准注入机制，通过SpringBoard监控模块实时感知用户行为，仅在目标应用启动时才触发注入。攻击者可通过域名生成算法（DGA）生成的512个随机域名与恶意软件通信，即使部分域名被封锁，恶意软件仍能自动切换到其他可用域名，显著提升了C2通信的抗封锁能力。由于Coruna利用的漏洞已在2023–2024年间被Apple修复，Apple于2026年3月发布了iOS 15.8.7和iOS 16.7.15安全更新，将补丁向下覆盖到无法升级到最新系统的旧设备。建议所有iPhone用户立即检查并更新至最新可用的iOS版本，以防范此类攻击。

iOS漏洞利用 Coruna漏洞利用工具包 Plasma恶意软件框架水坑攻击高级持续性威胁（APT）加密货币窃取数据窃取短信蠕虫传播漏洞利用链持久化隐蔽性配置驱动注入域名生成算法（DGA）

0x47 继续干货输出！JWT认证漏洞实战解析（二）

洞悉安全团队 2026-04-16T18:30:35 © 洞悉安全攻防团队

本文详细分析了四种JWT认证绕过漏洞及其防御措施。首先介绍了通过JWK头注入绕过JWT认证的原理，攻击者通过在JWT头部注入自定义的JWK公钥，使服务端使用该公钥验证签名，从而实现认证绕过。实战步骤包括生成RSA密钥对、注入公钥、篡改Payload并使用私钥签名。其次，文章探讨了通过kid头路径遍历实现JWT认证绕过的原理，攻击者通过构造恶意kid字段进行路径遍历，读取服务器上的任意文件作为密钥，从而绕过签名验证。实战步骤包括分析服务端密钥读取逻辑、构造恶意kid字段、篡改Payload并签名。第三，文章分析了通过算法混淆实现JWT认证绕过的原理，攻击者通过构造特殊的JWT结构，使服务端错误地使用对称算法的验签逻辑验证非对称算法的签名，或利用算法解析缺陷跳过签名验证。实战步骤包括分析服务端算法支持情况、构造算法混淆Header、篡改Payload并构造签名。最后，文章总结了通用防御措施，包括严格校验签名、算法白名单管控、密钥安全管理、头部字段校验、定期安全审计和缩短令牌有效期。

JWT安全 JWK绕过 kid路径遍历算法混淆认证绕过安全防御 Web安全渗透测试

0x48 渗透测试练习——DarkHole_2靶场实践：涉及对.git文件的处理，sql注入及利用sudo提权

看雪学苑 2026-04-16T17:59:37 n_pc

本文详细描述了DarkHole_2靶机的渗透测试过程。首先通过nmap扫描确定靶机IP和开放的端口服务，发现80和22端口开放。接着使用whatweb扫描网站指纹未发现有价值信息，但通过dirsearch发现.git目录。利用git-dumper脚本提取源代码，分析发现敏感信息，获取到账号密码为lush@admin.com/321。登录后发现id参数可能存在注入，通过union select语句逐步查询数据库信息，最终获取到数据库、表名、列名以及ssh用户的用户名和密码。使用获取的凭证登录ssh，进行信息收集，发现计划任务和命令执行历史，通过ssh端口转发和curl命令反弹shell，获取losy用户的权限。进一步通过sudo -l发现可执行python3，使用python3反弹shell获取root权限，最终在/root目录下找到flag文件。整个过程涉及了端口扫描、目录扫描、git源码提取、sql注入、ssh登录、信息收集、端口转发、命令执行、权限提升等多个网络安全技术点。

渗透测试 Web安全 Git安全 SQL注入信息收集权限提升命令执行端口转发提权

0x49 Codex 如何利用三星电视内核漏洞实现权限越狱

看雪学苑 2026-04-16T17:59:37 看雪学苑

本文报道了OpenAI旗下Codex AI模型成功利用三星智能电视内核漏洞实现权限提升至root级别的实验。实验由CALIF团队在2026年4月14日披露，揭示了三星智能电视在浏览器应用低权限用户环境下，通过内核驱动接口的权限配置漏洞进行权限提升的过程。文章详细解析了从浏览器到root权限提升的路径，包括利用三星固件中ntk*驱动系列的高危配置问题，以及通过物理内存映射绕过内核权限验证的技术细节。文章还提出了针对三星及同类厂商的安全建议，包括限制设备节点权限、删除全局可写udev规则、增加物理内存映射范围的安全验证等。

智能电视安全内核漏洞权限提升驱动漏洞 Linux安全固件安全逆向工程安全研究

0x4a Windows Defender居然爆出重大提权漏洞？杀软反被利用？作者发布两小时的推文后删除？

Relay学安全 2026-04-16T17:27:46 kernel

本文报道了一个关于Windows Defender的重大提权漏洞。一名安全研究人员发现，当Windows Defender遇到带有“云标签”的恶意文件时，会错误地将其重新写回原始位置，这一行为被利用来覆盖系统文件并获取管理员权限。研究人员在发布漏洞信息后不久便删除了推文，但提供的PoC（Proof of Concept，概念验证）代码仍然可用。漏洞利用成功的前提是开启Windows Defender的实时保护。文章中还包括了部分系统命令输出，显示用户尝试获取管理员权限和查看安全中心保护操作的日志。

Windows Defender 漏洞提权攻击杀软漏洞实时防护问题软件安全

0x4b 无条件接管Nginx！Nginx-UI漏洞链发现在野利用

微步在线研究响应中心 2026-04-16T17:19:49 © 微步情报局

近日，微步情报局监测到Nginx-UI（一个开源的Nginx可视化管理面板）存在一个严重的鉴权缺陷，编号为CVE-2026-33032。该漏洞允许攻击者在IP白名单为空的情况下访问/mcp_message接口，从而绕过身份认证。尽管单独利用难度较高，但结合CVE-2026-27944漏洞，攻击者可以下载并解密Nginx-UI的备份文件，获取node_secret，进而建立MCP会话并执行任意MCP操作，如修改Nginx配置、写入恶意文件或重启Nginx服务。该漏洞影响了Nginx-UI版本2.3.3及以下版本。微步情报局已发布漏洞情报，并提供修复方案和临时缓解措施。

Nginx 漏洞认证绕过开源软件安全 Web 应用安全漏洞利用漏洞情报网络安全事件

0x4c 榨干Intego最后一滴：Windows权限提升漏洞的简单艺术

幻泉之洲 2026-04-16T17:04:00

本文详细分析了一个存在于安全软件Intego Windows版“优化模块”中的本地权限提升漏洞。该漏洞允许攻击者通过任意目录删除功能获取系统最高权限。文章以第一人称视角讲述了一个真实故事，作者在发现macOS版Intego漏洞后，尝试了Windows版本，并在几个小时内发现了该漏洞。漏洞核心在于“优化模块”在删除文件时不检查目标是否为目录或符号链接，且该模块以SYSTEM权限运行。攻击者结合Config.msi删除技巧，通过删除C:\Config.msi目录来触发漏洞，最终获得SYSTEM权限。文章详细描述了攻击步骤、漏洞原理及代码分析，指出问题在于删除函数未验证文件类型，并使用了危险的备用路径std::filesystem::remove()。作者认为该漏洞不复杂但非常有效，讽刺的是安全软件在基础功能上存在漏洞。此外，文章还披露了与Intego厂商沟通的缓慢过程及漏洞披露的时间线，反映了部分安全厂商在漏洞响应上的问题。

本地权限提升 TOCTOU漏洞 Windows内核漏洞文件操作漏洞安全软件漏洞符号链接滥用漏洞披露与协调

0x4d 安全简讯（2026.04.16）

启明星辰安全简讯 2026-04-16T16:54:57

本文报道了2026年4月16日网络安全领域的几项重要事件。首先，Nginx UI的一个严重漏洞（CVE-2026-33032）正在被恶意利用，允许攻击者无需身份验证即可控制目标服务器。其次，新型恶意软件AgingFly正在攻击政府、医院和国防部队成员，窃取身份验证数据。EssentialPlugin软件包中的30多款WordPress插件被发现存在后门，攻击者可以未经授权访问和控制网站。Mirax恶意软件通过Meta平台广告传播，感染了超过22万个账户。美国CISA更新了其已知可利用漏洞目录，新增了影响SharePoint和Excel的漏洞，并警告Windows任务主机权限提升漏洞正在被利用。

漏洞利用恶意软件 Web安全移动安全政府与组织安全安全漏洞修复网络安全政策网络安全趋势

0x4e 【已复现】Windows 截图工具 NTLM 信息泄露漏洞(CVE-2026-33829)安全风险通告

奇安信 CERT 2026-04-16T16:48:10

本文介绍了Windows截图工具NTLM信息泄露漏洞（CVE-2026-33829）的安全风险。该漏洞由Windows Snipping Tool工具对ms-screensketch协议的filePath参数缺乏严格输入校验引起，可能导致攻击者通过构造恶意链接，触发工具自动连接受控SMB服务器，窃取当前用户的Net-NTLM哈希，进而泄露用户身份凭据。该漏洞的CVSS 3.1分数为4.3，但作为内网渗透的跳板价值极高。影响范围包括多个Windows服务器和桌面系统版本。奇安信CERT已成功复现该漏洞，并提供了安全更新和处置建议，包括通过奇安信天擎控制台或客户端更新补丁，以及手动安装补丁的方法。此外，还推荐了使用奇安信天擎终端安全管理系统解决方案进行防护。

信息泄露 NTLM漏洞 Windows漏洞内网渗透安全风险通告漏洞复现安全更新终端安全管理

0x4f 【已复现】Cockpit 远程代码执行漏洞(CVE-2026-4631)安全风险通告

奇安信 CERT 2026-04-16T16:48:10

奇安信CERT发布安全风险通告，指出Cockpit远程代码执行漏洞（CVE-2026-4631）的严重性。该漏洞存在于Cockpit软件的远程登录模块，攻击者无需身份凭证，仅通过构造恶意HTTP请求即可触发SSH参数注入，以服务权限在目标服务器上执行任意系统命令，从而完全控制服务器。Cockpit是一款广泛用于Linux服务器的Web化管理工具，默认集成于RHEL、Fedora等主流发行版。该漏洞影响Cockpit版本326至360之间的系统。奇安信已成功复现该漏洞，并指出国内风险资产总数为15666个，关联IP总数为15540个。奇安信建议受影响的用户尽快更新至最新版本以消除风险。

远程代码执行漏洞 CVE编号 Cockpit Web管理工具 RHEL 服务器安全高危漏洞安全补丁漏洞复现资产测绘

0x50 CTFshow-Pwn堆利用144-Unsorted bin attack

玫家大院 2026-04-16T16:25:38 玫幽倩

本文分析了一个名为pwn144的网络安全挑战，该挑战涉及堆内存管理和Unsorted Bin攻击。程序的主要功能包括创建、编辑和删除堆块，其中存在堆溢出漏洞和后门机制。程序通过两层循环实现菜单功能，其中选项3用于特殊处理，允许连续删除堆块。如果用户选择特定的magic值（114514）并且该值大于114514，将触发后门函数，直接获取flag。程序存在堆溢出漏洞，但通过分析发现，利用Unsorted Bin攻击可以修改堆块的结构，进而控制程序流程。具体步骤包括：创建三个堆块，其中第二个堆块作为攻击目标；通过free和delete操作将目标堆块放入Unsorted Bin；修改Unsorted Bin的bk指针，使其指向目标堆块；重新申请目标堆块，使其size值被修改为较大的值；最后通过输入特定的magic值进入后门函数获取flag。文章还提供了详细的调试步骤和Exploit代码，展示了如何利用Unsorted Bin攻击实现漏洞利用。

堆溢出 Unsorted Bin Attack 内存破坏 glibc漏洞利用后门利用堆内存管理指针操作

0x51 EDR漏洞挖掘实战：从模糊测试到拒绝服务攻击框架

红队工坊 2026-04-16T16:22:40 © aeverj

本文详细探讨了EDR（Endpoint Detection and Response）产品的安全研究，以微软Defender为例，分析了其代码库中存在的内存损坏漏洞。文章指出，Defender的复杂架构和多格式文件解析特性使得其成为攻击者的重点目标。作者介绍了模糊测试工具架构，包括WTF框架的快照模糊测试方法，以及kAFL/NYX和Jackalope等框架的局限性。文章重点描述了快照定位技术细节、测试语料库构建以及发现的九个内存安全问题。此外，还分析了针对Defender的拒绝服务攻击场景，并探讨了如何绕过Defender的自保护机制。最后，文章讨论了厂商的响应与漏洞处理机制，以及研究的结论和未来方向，强调了持续的安全研究和负责任的漏洞披露对提升EDR产品安全性的重要性。

漏洞挖掘模糊测试内存安全安全研究安全响应防御绕过安全评估安全调试 EDR产品网络安全教育

0x52 【代码审计】Tabby 环境搭建

十月的进阶之路 2026-04-16T16:17:41 © 十月的进阶之路

本文详细介绍了如何搭建Tabby代码审计环境。首先，文章列出了环境要求，包括Java 17环境和Neo4j图数据库，并推荐使用Neo4j Desktop。接着，步骤包括克隆并编译Tabby和tabby-vul-finder项目，配置Tabby项目结构，修改配置文件以适应本地环境，安装Neo4j数据库并配置连接信息，安装APOC插件和tabby-path-finder插件，初始化Neo4j索引，验证插件安装，最后进行测试运行。文章中还包括了内存配置的示例，以及注意事项，如Neo4j版本与插件版本的匹配、内存配置和潜在的网络问题。整个流程涉及环境搭建、项目配置、数据库设置和插件安装等多个方面，为Tabby的使用者提供了全面的指导。

代码审计安全工具漏洞分析数据库安全环境搭建 Java安全开源项目

0x53 通过“外部文件”功能进行任意文件上传，可实现客户端远程代码执行（RCE）

安全狗的自我修养 2026-04-16T15:18:44 haidragon

在对名为[已编辑]的网络平台进行安全评估时，发现其项目控制面板中的“外部文件”功能存在严重的安全漏洞。该功能允许认证用户上传补充文档，但仅通过客户端验证文件类型（.txt和.md）、大小（10KB）和数量（5个），后端并未进行任何验证。攻击者可以绕过客户端限制，上传任意文件类型，包括可执行文件，如.hta文件。通过拦截上传请求并篡改JSON有效载荷，攻击者可以上传并执行恶意代码，如示例中的.hta文件，该文件利用mshta.exe执行calc.exe，证明了对客户端计算机的远程代码执行能力。该漏洞正式编号为CWE-434，属于不受限制地上传危险类型的文件。文章详细分析了上传机制的漏洞，说明了客户端验证的不足，并展示了利用该漏洞上传和执行恶意.hta文件的具体方法。此外，文章还解释了选择.hta格式的原因，即其独特的执行模型允许脚本以当前用户的完整权限运行，且不易触发安全检测。此漏洞的主要风险在于，它为平台内的文件分发提供了不受限制的通道，可能导致恶意内容在用户间传播，或在协作环境中进行内部攻击。

0x54 寻找身份识别信息：我是如何在热门票务网站上获取个人身份信息的！

安全狗的自我修养 2026-04-16T15:18:44 haidragon

该文章描述了一个网络安全学习者在探索一个广泛使用的机票、火车票和巴士票预订平台时发现的一个身份验证和授权绕过（IDOR）漏洞。通过代理服务器路由浏览器流量并分析HTTP请求，发现应用程序在处理预订详情的GET请求时，仅依赖用户提供的行程标识符（trip-id），而没有进行充分的会话令牌验证。攻击者可以利用这一漏洞，通过枚举预订ID的后四位数字，访问并窃取大量用户的敏感数据，包括乘客信息、行程安排、票价明细和联系方式。该漏洞的严重性非常高，可能导致严重的隐私侵犯和数据保护法规违规。为了缓解此问题，文章建议实施严格的访问控制，包括强制服务器端授权检查、避免直接引用ID以及确保基于会话令牌进行数据访问。尽管该漏洞已被公司内部发现并被标记为重复，但发现这一关键IDOR漏洞仍然具有重要意义，提醒开发者永远不应假设应用程序会在用户登录后验证其权限。

IDOR (Insecure Direct Object Reference) Web Application Security Authorization Failure Data Exposure Vulnerability Assessment Penetration Testing Burp Suite Usage

0x55 提示注入导致 Claude Code、Gemini CLI 和 GitHub Copilot Agent 中的凭证窃取

独眼情报 2026-04-16T14:50:06 © 🅼🅰🆈

本文分析了由独立安全研究者Aonan Guan及其团队发现的一系列提示词注入漏洞，这些漏洞影响了Anthropic的Claude Code、Google的Gemini CLI和GitHub的Copilot Agent。研究者发现，通过GitHub用户生成数据，如PR标题、Issue正文和评论，可以劫持GitHub Actions中运行的AI代理，窃取仓库的GitHub Actions密钥。这种攻击被命名为「Comment and Control」，它利用了AI代理处理外部用户生成内容时的权限和执行工具，以及访问生产凭据的能力。尽管GitHub在Copilot上部署了额外的运行时防御措施，但研究者仍然成功绕过了这些防御。尽管三家厂商都支付了赏金，但并未公开宣布或分配CVE编号。文章强调了这一事件不仅仅是单个漏洞，而是一类架构冲突的实例，并对自建或外采AI代理工作流的团队提出了安全建议。

漏洞披露 API密钥泄露 GitHub安全 AI代理安全提示注入攻击架构冲突漏洞奖励计划安全审计最小权限原则

0x56 Windows 事件日志应急响应手册（安全应急专家版）

Khan安全团队 2026-04-16T13:19:21 Z

本文详细介绍了Windows事件日志的应急响应方法，涵盖了日志基础信息、应急排查顺序、高风险事件ID速查表、应急分析方法以及应急处置动作清单。文章首先阐述了日志的存储路径、格式和核心字段，强调了事件ID、时间、用户、计算机和描述等字段的重要性。接着，介绍了应急响应的黄金顺序，包括检查日志完整性、排查账户异常、定位登录行为、发现持久化痕迹、还原攻击命令、定位网络外联与数据窃取等。文章还提供了高风险事件ID的速查表，以及Sysmon、Defender等关键事件的日志分析。最后，文章介绍了应急分析方法，如登录ID关联法、时间线分析法、基线对比法和跨主机交叉验证，以及应急处置的动作清单和专项日志路径。

事件响应日志分析 Windows安全攻击检测取证分析应急处理

0x57 代码审计一次鉴权绕过

moonsec 2026-04-16T13:05:29 © moonsec

本文介绍了一种网络安全漏洞——鉴权绕过，该漏洞存在于一个系统的身份验证或授权机制中。通过分析漏洞代码，发现cookie中的openid值可以被可控，如果openid包含%符号，则会进行URL解码并调用jiemi函数进行解密。解密后，从得到的字符串中提取数字，用于getMemberByUid函数进行用户查询。在系统中存在一个固定的管理员账号，其uid值是固定的。攻击者可以通过将这个uid值加密编码成openid字符串，并通过cookie提交，从而绕过鉴权机制，成功登录后台。文章中提供了相关的代码片段和示例，以及如何使用yakit工具进行攻击的说明。

代码审计鉴权绕过漏洞分析安全漏洞渗透测试后端安全加密技术

0x58 伪装成政府服务及星链（Starlink）应用的安卓木马

卡巴斯基威胁情报 2026-04-16T13:01:14 © 卡巴斯基

本文深入分析了名为BeatBanker的安卓恶意软件攻击活动。该恶意软件集间谍活动、加密货币盗窃及挖矿行为于一身，通过伪装成巴西政府服务应用INSS Reembolso和星链（Starlink）应用传播。开发者利用钓鱼页面诱导用户下载，并通过分阶段请求权限、加密组件、内存注入等手段隐藏恶意行为。此外，恶意软件利用谷歌Firebase云消息传递服务进行远程控制，并安装间谍软件模块监控用户活动。文章提供了防范BeatBanker木马的措施，包括从官方渠道下载应用、检查权限、使用反恶意软件解决方案和定期更新操作系统等。

恶意软件攻击安卓安全钓鱼攻击权限滥用加密货币盗窃挖矿行为远程访问木马安全防护

0x59 提取 RDP 活动会话中的明文账密

倍果科技 2026-04-16T13:00:31 © 倍果科技

本文详细介绍了一种从 Windows Server 2012 及之后版本的活动 RDP 会话中提取明文账户密码的方法。该方法的核心原理是利用 RDP 认证流程中，用户的凭据（用户名+明文密码）会暂存于 svchost.exe 进程内存空间的特点。与传统的针对 lsass.exe 的凭据抓取方法不同，本文技术利用 TermService 在认证过程中对明文密码的需求，从而绕过 Windows 8.1/Server 2012 R2 后系统默认禁用的 WDigest 认证机制，即使在 lsass 内存中无明文密码的情况下也能提取。然而，该方法存在依赖活动 RDP 会话、目标系统需关闭 NLA（网络级别认证）等限制。文章提供了手动搜索（无需 mimikatz，通过定位 svchost.exe 进程 PID，使用 ProcDump 或 rundll32 进行内存转储，再利用 strings/grep 在转储文件中搜索密码）和 mimikatz 一键抓取（使用 ts::logonpasswords 模块直接读取 svchost.exe 内存）两种实现方式，并强调了 mimikatz 使用时需注意免杀问题。该方法具有一定的检测规避价值，但成功率受密码在内存中位置和格式的影响。

RDP 凭据提取内存取证 Windows 内核 Mimikatz 网络攻击安全防御 Living off the Land (LotL) 漏洞利用 Windows Server

0x5a 【成功复现】Apache Tomcat远程代码执行漏洞(CVE-2026-34486)

弥天安全实验室 2026-04-16T12:17:00 © 弥天安全实验室

本文详细介绍了Apache Tomcat远程代码执行漏洞（CVE-2026-34486）的漏洞信息、影响版本、复现步骤和修复建议。该漏洞存在于Apache Tomcat 11.0.20、10.1.53和9.0.116版本中，是由于修复CVE-2026-29146时导致敏感数据加密缺失，可能允许攻击者绕过EncryptInterceptor。文章提供了漏洞复现的详细步骤，包括搭建测试环境、执行攻击命令以及验证攻击结果。同时，文章还给出了厂商发布的升级补丁链接，以及一些临时缓解措施，如部署检测规则、限制端口访问等。最后，文章强调了本文仅供学习使用，非法使用责任自负。

漏洞分析 Web服务器安全 Tomcat 远程代码执行漏洞复现安全补丁漏洞利用代码审计

0x5b CVE-2026-33032 深度分析：nginx-ui MCP端点认证绕过导致 Nginx 服务器完全接管

奇安信威胁情报中心 2026-04-16T11:52:50 © 威胁情报中心

本文详细分析了CVE-2026-33032漏洞，该漏洞存在于nginx-ui项目中，是一个严重的认证绕过漏洞，CVSS评分为9.8。漏洞允许攻击者在无需任何凭据的情况下控制Nginx服务器。漏洞源于nginx-ui集成的Model Context Protocol（MCP）协议端点存在安全设计缺陷，攻击者可以通过发送两个HTTP请求在数秒内完成对目标服务器的完全接管。文章提供了漏洞的技术分析、攻击链、利用方式、攻击影响、威胁态势评估、漏洞利用时间线、关联漏洞分析以及防护建议。

认证绕过 Nginx 漏洞 Web服务器安全远程代码执行开源软件安全供应链安全漏洞利用威胁情报安全评估漏洞修复

0x5c AdaptixC2二开---批量权限维持插件

信益安信息安全研究院 2026-04-16T11:13:09 © 信益安研究院

本文介绍了一种网络安全测试插件，主要用于批量进行Windows和Linux系统的权限维持。该插件支持通过点击浏览器扩展的Script Manager加载，并能够选择多个目标机器执行批量指令。在Windows系统中，插件通过写入注册表和创建Windows计划任务的方式进行权限维持，而Linux系统则利用crontab、bashrc、profile、sshrc、systemd和xdg_autostart等多种技术实现。文章还提到了插件的源码位于AdaptixC2项目中，并强调该插件生成即免杀。最后，文章包含免责声明，强调仅限合法授权的渗透测试使用，并呼吁读者遵守国家法律法规。

网络安全研究权限维持 Windows安全 Linux安全恶意软件分析 C2架构免杀技术安全工具

0x5d itC 中心管理服务器 uploadFileApp.do 任意文件上传漏洞

Nday Poc 2026-04-16T10:34:47 Superhero

本文分析了itC中心管理服务器中存在的uploadFileApp.do接口的任意文件上传漏洞。该漏洞允许未经身份验证的攻击者在服务器端执行任意代码，可能写入后门，从而获取服务器权限并控制整个web服务器。文章中提到了如何使用搜索引擎fofa进行漏洞搜索，并提供了漏洞复现的详细步骤。同时，文章还推荐了nucleiafrog作为自查工具，并给出了修复建议，包括关闭互联网暴露面、升级至安全版本等措施。此外，文章还介绍了Nday漏洞实战圈，这是一个专注于公开1day/Nday漏洞复现和工具链适配支持的内部圈子，提供资源内容、更新计划和适用场景等信息。文章强调了仅限合法授权测试的重要性，并提醒用户在使用虚拟资源服务时慎重考虑。

漏洞分析文件上传漏洞服务器安全代码执行权限提升漏洞复现安全工具安全建议

0x5e Shellcode Loader 高级执行与规避技艺

securitainment 2026-04-16T10:24:26 DbgMan

本文深入探讨了网络安全领域中加载器的重要性及其各种类型。作者首先强调了在现代多层防御体系中，传统的"写盘→执行"工作流已不可行，加载器成为连接能力载荷与目标环境执行的关键桥梁。文章详细介绍了多种加载器类型，包括经典 shellcode 加载器、反射式 DLL 加载器、.NET Assembly 加载器、Staged 与 Stageless 加载器，以及 Position Independent Code (PIC) 加载器。其中，PIC 加载器是反射式加载器的演进，通过将 loader 与 beacon 分离，提高了灵活性和规避检测的能力。文章重点介绍了 Crystal Palace，一个专为 PIC 设计的 linker，它能够将能力载荷与各种规避技术（如 IAT hooking、模块重载、调用栈伪造、sleep masking 等）在链接时结合，生成完全位置无关的二进制 blob。Crystal Palace 支持模块化设计，允许攻击者根据需求组合不同的执行单元和规避技术，并提供了多种二进制变换手段（如 optimize、disco、mutate）来移除静态签名，进一步降低被检测的风险。文章最后讨论了检测与 OPSEC 注意事项，强调了加载器与载荷执行同等重要，并建议攻击者针对目标环境中的特定 EDR 进行测试，以避免被捕获。

网络安全载荷执行加载器内存规避 Cobalt Strike Crystal Palace PIC 代码反射式加载调用栈伪造睡眠混淆静态分析模块化

0x5f 突破进程保护：利用 ProcessMonitorDriver.sys - CVE-2026-0828

securitainment 2026-04-16T10:24:26 oxfemale

本文分析了Windows内核驱动程序ProcessMonitorDriver.sys中披露的漏洞CVE-2026-0828。该漏洞允许任何获取到设备句柄的用户态应用程序在未经适当访问控制检查的情况下终止任意进程，包括受保护的系统进程。这一漏洞绕过了Windows用于保护关键系统服务和安全组件的安全模型。KillChain研究项目提供了一个概念验证工具，该工具可以嵌入存在漏洞的驱动程序，并在运行时动态部署，通过发送IOCTL请求直接从用户空间终止受保护进程。该工具还实现了按PID或进程名称终止目标进程、持久化循环、禁用Windows Defender、日志记录和自动驱动清理与卸载等功能。CVE-2026-0828揭示了内核驱动中一个简单的逻辑缺陷如何影响Windows核心安全防护体系，并强调了内核驱动开发中严格访问控制和输入校验的重要性。

内核漏洞驱动程序安全进程终止安全工具利用操作系统安全攻击技术安全研究漏洞披露

0x60 从理论到实战：AI与人类协作挖掘NGINX高危漏洞 (CVE-2026-27654) 的深度剖析

骨哥说事 2026-04-16T09:42:14 © 骨哥说事

本文详细剖析了CVE-2026-27654这一NGINX高危漏洞的挖掘过程。文章首先介绍了AI在漏洞挖掘中的角色，以及人类专业知识的必要性。CVE-2026-27654是一个堆缓冲区溢出漏洞，位于ngx_http_dav_copy_move_handler()函数中。文章探讨了AI如何协助人类研究者识别漏洞，并共同开发出漏洞利用程序。研究者们通过三个阶段的实验，从文件写入到文件读取，最终找到了在真实环境中可执行的漏洞利用方式。文章还强调了AI在漏洞研究中的作用，以及它与人类协作的重要性。此外，文章还讨论了漏洞的披露过程和补丁窗口的变化，指出了AI对网络安全研究的影响。

网络安全漏洞缓冲区溢出 WebDAV安全 AI在安全领域的应用漏洞利用与防御安全研究方法安全披露流程

0x61 MCP服务器安全：隐藏的AI攻击面

骨哥说事 2026-04-16T09:42:14 © 骨哥说事

本文深入探讨了模型上下文协议（MCP）服务器的安全风险，揭示了其作为AI集成环境中一个重要但未被充分探索的攻击面。MCP服务器，无论是本地托管还是远程托管，都可能被利用来执行任意代码、窃取敏感数据，并通过社会工程操控用户行为。文章详细分析了四种主要的攻击向量：第三方MCP服务器串联、任意文件下载与执行、通过包管理器配置的供应链攻击以及内容注入与社会工程。其中，恶意本地MCP服务器与合法远程MCP服务器串联的攻击向量尤为危险，能够将企业数据访问能力与本地代码执行能力相结合。文章还强调了“始终允许”权限、可信来源混淆、合法用例模仿以及无视觉指示等因素，使得MCP攻击变得尤其危险。为了防御MCP攻击，组织应实施严格的审查流程，审计工具权限，监控异常数据流，并教育用户了解相关风险。文章最后指出，随着MCP在企业开发管道中的应用日益增长，CI/CD安全与MCP服务器完整性的交汇点是一个值得进一步研究的领域。

MCP AI安全机器中间人攻击本地服务器安全第三方服务集成风险供应链攻击社会工程数据外泄命令执行防御策略

0x62 java反序列化之-cc8链-手把手教你学代码审计与poc编写

古月安全 2026-04-16T09:34:34 © 三呼呼

本文深入分析了Java反序列化漏洞中的CC8链，该漏洞利用了TreeBag容器在反序列化过程中触发Comparator#compare方法的特点。TreeBag基于TreeMap实现，其反序列化方法doReadObject会遍历所有元素并调用map.put，进而触发红黑树节点的比较。通过自定义Comparator并将其传入TreeBag构造函数，可以控制比较过程。文章详细介绍了如何利用Javaassist动态生成恶意类字节码，并通过TemplatesImpl类加载该字节码以执行任意命令。为了防止在构造过程中触发恶意代码，文章提出使用无害的Transformer作为占位符，并通过反射在反序列化前将其替换为真正的恶意Transformer链。文章对比了CC8链与CC2、CC4链的异同，指出它们都利用了基于二叉树的数据结构在反序列化时进行节点比较的特性，但CC8链将攻击入口从优先队列扩展到了TreeBag。最后，文章总结了CC8链的执行链路，并拓展思考了其他可能利用的Java集合类型。

Java反序列化反序列化漏洞漏洞利用代码执行 Apache Commons Collections TemplatesImpl JDK内部类利用数据结构反射机制安全研究

0x63 未授权漏洞检测工具 -- Unauth-Vuln-Scanner（4月9日更新）

Web安全工具库 2026-04-16T09:31:45 willsafe

本文介绍了一个名为Unauth-Vuln-Scanner的未授权漏洞检测工具，该工具基于Java Swing开发，支持批量目标输入、并发扫描、SOCKS5全局代理和CSV导出等功能。工具具备39种常见未授权服务的探测能力，包括Redis、MongoDB、Elasticsearch、Docker、Kubernetes、Spring Boot、Druid等。用户可以通过文本框或文件导入目标，进行指纹识别，并支持HTTP/HTTPS、跟随重定向和按URL路径识别。扫描结果可以以表格形式展示，并支持导出为CSV文件。文章中提醒用户不要利用该工具进行非法测试，并强调工具应在虚拟机中运行。同时，提供了工具的下载链接和安装使用说明，包括配置线程数、超时时间、代理设置等。

漏洞扫描网络安全工具 Java应用 SOCKS5代理批量扫描 CSV导出指纹识别

0x64 账户劫持漏洞

山水SRC 2026-04-16T09:27:48 © 游山玩水

本文详细描述了一种账户劫持漏洞，该漏洞利用了系统在处理绑定邮箱和重置密码功能时的状态管理缺陷。攻击者通过一系列操作，包括绑定一个邮箱、发起重置密码请求、更改账户绑定邮箱，并在特定时机点击重置密码链接，成功将受害者账户的绑定邮箱更改为攻击者控制的邮箱。这种攻击无需受害者任何交互，只需查看邮件，即可实现账户劫持。文章强调，此类渗透测试技术仅限于合法授权的安全测试、学习交流与研究用途，严禁用于任何非法活动。

账户安全漏洞分析渗透测试状态管理漏洞电子邮件安全安全漏洞利用合规性

0x65 PHP Composer 漏洞可通过 Perforce VCS 实现远程命令执行

黑猫安全 2026-04-16T08:50:41 鹏鹏同学

PHP Composer 存在两个高危漏洞，可能导致攻击者通过构造恶意composer.json或源引用，在用户系统上执行任意命令。这些漏洞影响 Perforce VCS 驱动，根源在于输入验证不当和转义不足。攻击者可以利用这些漏洞注入命令，即使在系统中未安装 Perforce 也可被触发。PHP Composer 已经发布了修复这两个漏洞的版本，建议用户立即更新。同时，为预防措施，Perforce 元数据发布功能及 Perforce VCS 驱动已被禁用，Private Packagist 用户应尽快升级 Composer 并验证元数据。

软件漏洞命令执行依赖管理工具 VCS驱动漏洞输入验证漏洞 CVE编号安全更新安全公告

0x66 微软 2026 年 4 月安全更新修复了已被积极利用的 SharePoint 零日漏洞

黑猫安全 2026-04-16T08:50:41 鹏鹏同学

微软在2026年4月的月度安全更新中修复了165个漏洞，其中CVE-2026-32201是一个严重的零日漏洞，已被积极利用，可能与跨站脚本攻击有关。该漏洞可能导致攻击者查看或修改敏感信息。此次更新还包括其他关键漏洞，如CVE-2026-33825和CVE-2026-33827，分别涉及权限提升和远程代码执行风险。安全专家敦促组织尽快应用补丁，以减少攻击面和系统受损的风险。此次更新规模庞大，反映出通过AI工具提交的漏洞报告数量增加的趋势。

微软安全更新 SharePoint 零日漏洞漏洞修复安全补丁漏洞利用 CVE 编号 CVSS评分跨站脚本（XSS）权限提升远程代码执行

0x67 CVE-2026-33032：严重的 nginx-ui 漏洞可导致未授权服务器访问

黑猫安全 2026-04-16T08:50:41 鹏鹏同学

CVE-2026-33032是一个影响nginx-ui的严重漏洞，CVSS评分为9.8，攻击者可以利用该漏洞绕过身份认证，完全接管Nginx服务器。漏洞源于/mcp_message端点未得到适当保护，默认IP白名单允许所有IP访问。攻击者通过发送两个HTTP请求即可在数秒内利用此漏洞，包括重启nginx、修改配置文件等。该漏洞已在nginx-ui 2.3.4版本中修复，修复方式是为/mcp_message端点添加了身份验证检查。此次更新还引入了回归测试，以确保两个端点都要求身份验证。

漏洞披露服务器安全身份认证 IP白名单代码审计网络攻击安全漏洞修复开源软件安全

0x68 Burp Suite XSS 自动化检测AI插件 | 反射 / DOM 型、Payload 高效注入、AI校验与判定

黑白之道 2026-04-16T08:42:26

XSS_Scanner 是一个基于 Burp Suite 的自动化 XSS 漏洞检测插件，支持反射型和 DOM 型 XSS 扫描。该插件集成了 Payload 注入校验和 AI 判定功能，能够高效发现 XSS 漏洞。使用方法包括下载配置文件、设置阿里云百炼 API Key、安装依赖库、导入 JAR 文件并配置自定义 Payload、启用 Python 服务器和 payload 注入检测。通过测试网站抓包并发送到插件，AI 可以识别 XSS Payload 是否注入成功。与传统插件（如 xssValidator）相比，XSS_Scanner 具有更强的 WAF 绕过能力、支持复杂 Payload、模拟用户交互、降低误报率，并覆盖更全面的注入点。其优势在于多线程并发处理、AI 智能上下文分析、全自动输出结果，大幅提升测试效率。文章还强调，该工具仅供安全学习交流使用，不得用于非法用途。

XSS 自动化扫描 Burp Suite 安全测试人工智能 WAF绕过 payload DOM型XSS 反射型XSS

0x69 Windows 事件日志应急响应手册（安全应急专家版）

TtTeam 2026-04-16T08:32:19 Z

本文详细介绍了Windows事件日志在网络安全应急响应中的应用。文章首先阐述了日志的基础信息，包括存储路径、格式和核心字段，强调了事件ID、已记录时间、用户、计算机和描述等字段的重要性。接着，文章提出了应急响应的第一原则，即在入侵发生后立即导出日志并异地备份。随后，文章介绍了应急排查的黄金顺序，包括检查日志是否被清除、审计策略是否被篡改、排查账户异常、定位登录行为、发现持久化痕迹、还原攻击命令、定位网络外联与数据窃取等。文章还提供了高风险事件ID速查表，包括日志破坏与策略篡改、账户与权限异常、登录与认证异常、持久化痕迹、进程与命令执行、共享与数据访问、防御组件日志和Sysmon关键事件等内容。此外，文章还介绍了应急分析方法，如登录ID关联法、时间线分析法、基线对比法和跨主机交叉验证等。最后，文章提供了应急处置动作清单和专项日志路径，以帮助网络安全专家进行有效的应急响应。

事件响应日志分析安全事件取证分析账户安全恶意软件检测系统安全网络安全

0x6a 【安全预警】CVSS 8.8！PHP Composer 任意命令执行漏洞原理解析与修复指南

安全圈动向 2026-04-16T08:05:55 © Kit Chung

本文详细解析了PHP Composer中发现的两个高危任意命令执行（RCE）漏洞。第一个漏洞（CVE-2026-40176，CVSS评分7.8）是由于仓库配置污染导致的，攻击者可以通过构造恶意的composer.json文件注入任意系统命令。第二个漏洞（CVE-2026-40261，CVSS评分8.8）则是由于Shell元字符逃逸，攻击者构造的恶意“源引用”会导致Composer未能正确转义特殊字符，从而执行系统命令。文章分析了漏洞的原理、利用路径，并提供了修复和防御指南，包括升级到安全版本、代码审查、使用受信任的仓库和规避高危参数等。此外，还强调了自动化安全扫描的重要性，以防范类似漏洞。

漏洞分析供应链安全命令注入 Composer安全漏洞修复安全预警

0x6b Linux 服务器如何进行安全加固？20 种安全加固方法

智榜样网络安全学习中心 2026-04-16T07:55:38 © 小智

本文详细介绍了Linux系统安全加固的多种方法，旨在提升主机攻击门槛，降低被入侵风险。文章首先强调了清理无效账户、禁用root直接登录、配置强密码策略以及限制普通用户sudo权限等账户与权限加固的重要性。接着，针对SSH服务，建议修改默认端口、禁用密码登录并开启密钥登录，以减少被自动化扫描和爆破的风险。在软件与包管理方面，推荐定期更新系统与软件包、关闭不必要的软件源、卸载不必要的服务，以最小化攻击面。此外，文章还介绍了如何通过配置防火墙规则、启用日志审计、安装入侵检测工具（如AIDE）以及最小化文件系统权限等方式进一步增强系统安全。最后，强调了安全加固是一个持续的过程，需要蓝队不断优化防护策略，并建议在实施前在测试环境验证配置，确保不影响业务运行。

Linux安全加固账户权限管理 SSH安全软件包管理防火墙配置日志审计文件系统安全红队攻防安全最佳实践

0x6c 漏洞预警 | Progress ShareFile身份认证绕过和文件上传漏洞

浅安安全 2026-04-16T07:50:20 浅安

本文报道了Progress ShareFile平台存在的两个高危漏洞，CVE-2026-2699和CVE-2026-2701。CVE-2026-2699是一个身份认证绕过漏洞，由于ASP.NET应用错误使用Response.Redirect(..., false)导致未认证用户可以绕过身份验证访问后台功能。CVE-2026-2701是一个文件上传漏洞，由于系统在存储路径配置及文件上传解压逻辑中缺乏安全限制，攻击者可以将文件写入Web目录并执行，从而控制服务器。受影响的版本为Storage Zone Controller 5.x <= 5.12.3。官方已发布修复版本，建议用户升级以避免安全风险。

身份认证漏洞远程代码执行文件上传漏洞 ASP.NET应用安全企业级安全平台漏洞高危漏洞软件升级建议

0x6d 漏洞预警 | 孚盟云SQL注入漏洞

浅安安全 2026-04-16T07:50:20 浅安

本文报道了一起针对孚盟云平台的高危SQL注入漏洞。孚盟云是一个为企业提供数字化管理和运营解决方案的平台。该漏洞存在于/m/Dingding/Product/AddInquiry.aspx接口，允许未经验证的攻击者窃取数据库中的敏感信息。漏洞已经被官方确认，并已发布修复版本。建议用户尽快升级到安全版本以防止潜在的安全威胁。同时，文章还提到了孚盟云作为外贸专业解决方案提供商的信息，并提供了官方网站和联系方式。

SQL注入漏洞高危漏洞企业服务平台安全云计算安全物联网安全数据泄露风险漏洞修复建议

0x6e Upload Labs 第15-16关详解：图片马绕过与检测机制升级

武文学网安 2026-04-16T02:09:34 © 武文学网安

本文详细分析了网络安全学习者在第14关到第16关中遇到的绕过图片检测的问题。第14关通过伪造文件头（Magic Number）绕过检测，但检测过于简单。第15、16关则升级为使用真实图片检测函数，如getimagesize()和exif_imagetype()，解析图片结构。文章指出，即使检测机制升级，仍然可以通过构造“图片马”（Image WebShell）来绕过检测，即在一个真实图片中插入PHP代码。文章详细解释了getimagesize()和image_type_to_extension()函数的作用，并分析了不同PHP版本对非法字符的容忍度差异如何影响绕过效果。最后，文章总结了核心难点在于构造既能通过真实图片检测又能在特定场景下执行的文件，并强调了即使检测严格，只要文件内容可控且存在执行路径，就可能实现远程代码执行（RCE）。

绕过检测图片马 (Image WebShell) 文件上传漏洞 Webshell PHP getimagesize() / exif_imagetype() 文件包含 (Include) 远程代码执行 (RCE) 网络安全学习安全审计

0x6f Predator间谍软件iOS内核利用引擎深度解析

黑鸟 2026-04-15T23:14:46 © 黑鸟

商用间谍软件Predator通过多种技术突破苹果iOS系统的安全特性，实现内核内存访问和监控能力。核心发现包括：利用ARM NEON向量寄存器作为隐蔽数据通道的内核读写原语FDGuardNeonRW，实现任意内核内存的读写操作；通过挖掘苹果原生JavaScriptCore框架中的PAC签名绕过工具链，伪造PAC签名指针以突破指针身份验证；预计算256项PAC签名缓存，实现无加密延迟的实时钩子回调；通过RWTransfer机制传递进程间内核读写权限；利用callFunc框架借助Mach异常消息劫持线程状态，实现远程函数执行。这些技术支撑了Predator对多个iOS设备型号（iPhone XS至iPhone 14 Pro Max）的攻击，揭示了商用间谍软件在后渗透工程化上的高投入和专业性，防御此类威胁需要底层硬件级证明、密封内核内存、带外监控等安全方案。

间谍软件 iOS安全内核漏洞利用指针身份验证码（PAC）绕过内存访问 Mach内核反分析技术商用间谍软件逆向工程 ARM架构

0x70 论文研读与思考｜XSSky：通过局部路径持久模糊测试检测XSS漏洞

玄枢战队-Arcane Hub 2026-04-15T21:41:28 QIU

《XSSky: Detecting XSS Vulnerabilities through Local Path-Persistent Fuzzing》这篇论文针对PHP应用中XSS漏洞检测的难题，特别是现有工具在处理带sanitizer的路径时容易误报或漏报的问题，提出了一种新的检测方法。作者不依赖于复杂的sanitizer模型，而是将问题简化为能否为潜在的危险路径生成具体输入并在本地执行以触发XSS。XSSky的核心思路是：首先利用静态工具识别出潜在的source-sink路径，然后将这些路径转换为局部可执行的PUT（Program Under Testing），接着结合sink context感知、解释器反馈和浏览器bug oracle来验证路径是否真正能被payload打穿。该方法将sanitizer放入真实执行链路中进行测试，而不是假设其安全性。XSSky的主要贡献包括提出面向PHP XSS的PUT转换机制、实现context-aware的XSS fuzzing以及引入解释器反馈。实验结果表明，XSSky在20个PHP应用上成功检测到60个真实XSS漏洞，其中包括31个sanitizer绕过漏洞，且相较于基线方法有显著的精度和召回率提升。

XSS PHP 静态分析动态测试 Sanitizer绕过模糊测试上下文感知解释器反馈 Web安全漏洞检测

0x71 IOT漏洞挖掘初体验-Tenda A15

胡楚昊 2026-04-15T20:58:41 © 胡楚昊

本文详细介绍了如何模拟和复现Tenda A15路由器固件中的二进制漏洞。首先，作者介绍了所需工具的安装和配置，包括binwalk用于固件解包，sasquatch用于漏洞分析，以及qemu用于模拟MIPS架构环境。接着，作者通过binwalk解包了Tenda A15固件，并使用file和checksec命令分析了提取出的httpd可执行文件，发现其存在栈漏洞。为了模拟httpd的运行环境，作者详细步骤地配置了qemu模拟器，包括挂载必要的文件系统目录和配置网络接口。此外，作者还讨论了如何通过分析initwebs和formSetDeviceName函数来识别潜在的栈溢出漏洞。最后，作者提供了一个利用cyclic生成的POC，用于验证漏洞，并建议通过patch修改程序以简化复现环境。整个过程展示了从固件解包到漏洞分析和复现的完整流程，为物联网安全学习者提供了实用的实践指导。

物联网安全固件分析 QEMU 模拟 Web 安全栈溢出漏洞复现二进制漏洞漏洞挖掘

0x72 轻量级的CTF/渗透测试Fuzz工具 - Ryzf

GSDK安全团队 2026-04-15T19:40:51

Ryzf是一款轻量级的CTF/渗透测试Fuzz工具，专注于对URL和输入框进行字符模糊测试。该工具支持多种编码方式，包括原生字符、URL、Unicode、HTML、Base64和ASCII编码，旨在覆盖常见的编码绕过场景。Ryzf具备固定测试顺序，按照特殊字符、小写字母和大写字母的顺序进行测试，便于结果分析。它还提供了终端可视化功能，能够实时格式化并显示测试结果，包括响应码、长度和时间。此外，Ryzf支持多线程和代理转发，如BurpSuite，并允许用户保存测试结果到本地。该工具适用于安全研究和学习，但使用者需自行承担使用过程中的法律和连带责任。

Fuzzing CTF Penetration Testing Input Validation Encoding Proxy Multithreading Security Research

0x73 有手就行的JADX MCP环境配置

哈拉少安全小队 2026-04-15T19:12:20 菜鸡Y4ph3tS

本文详细介绍了如何使用JADX MCP Server与大型语言模型（LLMs）进行交互，以实现Android应用的自动化分析。作者首先介绍了JADX MCP Server的概念，它是一个独立的Python服务器，通过MCP协议与修改版的jadx-gui进行交互，允许LLMs实时与反编译的Android应用上下文通信。接着，文章详细阐述了在Ubuntu和Windows系统下安装和配置JADX MCP Server的步骤，包括下载JADX和jadx-ai-mcp插件、安装插件、配置uv环境和Python虚拟环境、更换国内源以加快pip安装速度等。此外，还介绍了如何使用CherryStudio配置大模型，并启动MCP服务器和jadx进行APK分析。文章还讨论了常见错误处理，如mcp-server服务起不来、Cherry Studio无法获取MCP返回、请求速率限制和模型最大token限制等问题及其解决方案。最后，作者提到一个不大不小的APP分析下来大约需要不到20万token，并暗示还有优化空间。整体而言，本文为网络安全学习者提供了使用JADX MCP Server进行APP自动化分析的实用指南。

Android安全分析逆向工程机器学习安全 MCP协议工具使用自动化分析安全研究

0x74 微软Defender零日漏洞可导致权限提升攻击

安全圈的那点事儿 2026-04-15T19:03:00 © 网络安全9527

微软近期发布了针对其Defender反恶意软件平台的补丁更新，以解决一个编号为CVE-2026-33825的零日漏洞。该漏洞被评级为“重要”，允许攻击者通过本地访问权限提升至系统最高权限。漏洞源于访问控制粒度不足，攻击者无需用户交互即可利用此漏洞。尽管微软表示该漏洞尚未被实际利用，但预计攻击者可能会很快开发出相应的利用代码。受影响的版本包括4.18.26020.6及更早版本，而微软已发布更新至4.18.26030.3011以修复该漏洞。用户和组织应检查更新状态，确保安全。

零日漏洞权限提升微软Defender 安全更新操作系统安全漏洞利用威胁情报漏洞修复

0x75 【安全圈】微软 SharePoint Server 0Day漏洞遭在野利用

安全圈 2026-04-15T19:01:42

微软在2026年4月的月度安全更新中确认，SharePoint Server存在一个0Day欺骗漏洞（CVE-2026-32201），该漏洞已被在野利用。此漏洞影响多个SharePoint Server版本，CVSS基础评分为6.5，属于重要级。漏洞源于输入验证缺陷，允许未经认证的远程攻击者通过网络实施欺骗攻击，攻击复杂度低，无需特权或用户交互。微软已发布补丁，但漏洞已遭在野利用，可能导致攻击者查看和篡改敏感信息。微软将该漏洞标记为“已检测到利用”，并建议企业立即安装安全更新，限制外部访问，监控威胁情报，确保安全措施到位。此漏洞对企业协作平台SharePoint Server构成严重威胁，尤其是运行2016或2019版本的企业应优先处理此补丁。

漏洞利用 CVE-2026-32201 SharePoint Server Microsoft Office 网络攻击安全补丁应急响应企业安全网络安全

0x76 Ivanti Neurons for ITSM漏洞允许远程攻击者获取用户会话

网安百色 2026-04-15T18:43:48

Ivanti发布了针对其IT服务管理平台Ivanti Neurons for ITSM (N-ITSM)的两个安全更新，修复了两个中等严重性漏洞。CVE-2026-4913是一个路径保护不当的漏洞，允许远程攻击者在账户被禁用后仍保持访问权限。CVE-2026-4914是一个存储型跨站脚本（XSS）漏洞，允许攻击者注入恶意脚本，窃取其他用户会话的会话令牌和敏感数据。这两个漏洞都存在于2025.4版本之前，Ivanti已在新版本中修复。内部部署客户需要手动升级到2025.4版本，而云客户无需采取行动。Ivanti建议所有内部部署客户立即应用更新，以避免潜在的安全风险。

漏洞披露 IT服务管理平台远程攻击安全更新跨站脚本攻击访问控制内部部署云部署

0x77 合法终端管理软件遭滥用：疑似银狐攻击事件分析与溯源

知道创宇 2026-04-15T18:27:06 © 知道创宇

本文分析了近期发生的一起新型网络安全攻击事件。攻击者利用合法终端管理软件的合法数字签名，通过伪装成常用工具安装包来诱导用户执行，进而部署恶意程序。该恶意程序具备主机信息收集、远程控制等恶意能力，且其C2基础设施与“银狐”攻击组织高度关联。文章详细描述了攻击的发现过程、攻击手段、样本分析和溯源过程。同时，文章还提供了针对此类攻击的防护建议，包括终端防护、网络防护、安全意识和边界威胁防护等方面，以帮助政企单位和安全行业提升安全防护能力。

恶意软件分析数字签名滥用银狐攻击终端管理软件攻击 APT攻击 RAT木马安全意识教育安全防护建议

0x78 记某edusrc未授权泄露全站密码信息&AI渗透实战测试

陌笙不太懂安全 2026-04-15T18:16:56 © 陌笙

这篇文章描述了一个网络安全学习者在挖掘一个教育网站漏洞的过程。首先，通过Fofa和Tscan进行信息收集和存活探测，发现网站存在固定密码和常见用户名的问题。接着，利用VueCrack插件探测到三个接口，并使用AntiDebug Breaker解决反调试问题。在批量导出功能和用户页面中，发现可以导出用户列表但没有身份证信息，且查询功能存在SQL注入漏洞。通过构造SQL注入语句，成功获取了用户的密码信息。在尝试登录时，发现登录失败是因为身份字段的问题。通过修改身份字段，成功登录。最后，测试了删除功能，发现存在未授权访问漏洞，并利用该漏洞获取了更多用户的密码。文章还介绍了作者提供的网络安全学习资源，包括漏洞挖掘知识库、漏洞库、面试题库等。

信息收集漏洞扫描弱口令攻击接口测试参数篡改/Fuzzing 未授权访问越权访问身份验证绕过 SQL 注入 XSS Web 应用安全 Vue.js 框架渗透测试

0x79 无声的提权：Windows攻击链中的进程伪装与UAC绕过

看雪学苑 2026-04-15T17:59:45 ZyOrca

本文深入探讨了Windows系统中的进程伪装技术及其在提权攻击中的应用。文章首先介绍了Windows进程的“多层身份”概念，指出攻击者通过伪装进程的用户态运行时信息，特别是进程环境块（PEB），来欺骗安全防护软件和分析人员。文章详细解析了PEB的结构和功能，以及如何通过修改PEB中的关键信息，如命令行、映像路径和窗口标题，来实现进程伪装。接着，文章重点阐述了进程伪装在UAC绕过中的应用。通过伪装成合法的可信进程（如explorer.exe），攻击者可以利用COM组件CMSTPLUA的自动提升特性，在dllhost.exe进程中以管理员权限创建高权限COM对象，并最终通过RPC调用ShellExec方法执行目标程序，实现提权操作。文章还对比了进行PEB伪装和不进行伪装的提权操作，指出伪装可以显著降低被检测的风险。最后，文章通过代码示例详细展示了如何实现PEB伪装和UAC绕过，并强调了理解进程身份和信任机制在识别此类攻击中的重要性。

Windows 安全进程伪装提权 UAC 绕过 COM 接口 PEB 结构安全防护绕过

0x7a 微软确认SharePoint Server关键零日漏洞遭活跃攻击（CVE-2026-32201）

看雪学苑 2026-04-15T17:59:45 看雪学苑

2026年4月，微软确认其SharePoint Server存在一个高危零日漏洞（CVE-2026-32201），该漏洞已遭野外攻击。该漏洞源于Microsoft Office SharePoint的输入验证不当，攻击者可通过网络低复杂度攻击无需认证即可发起攻击，对企业和组织构成严重威胁。尽管漏洞影响机密性和完整性评级为低，但其无需认证的特性及已被利用的现实风险使其成为紧急补丁更新的首要任务。微软已发布针对三个受影响SharePoint Server版本的安全更新，并提供了应急防护建议，包括立即安装补丁、审计访问日志、限制外部访问和监控威胁情报。该漏洞的利用可能导致数据泄露和系统受损，特别是对于仍在使用2016或2019版本的企业和组织，应优先处理补丁更新。

零日漏洞 SharePoint Server 安全更新漏洞利用网络安全企业安全攻击向量应急响应威胁情报

0x7b 【风险通告】微软4月安全更新补丁和多个高危漏洞风险提示

安恒信息CERT 2026-04-15T17:29:11 安恒研究院

微软发布了4月安全更新公告，包含多个产品的安全更新补丁，涉及Windows Common Log File System Driver、Desktop Window Manager、Microsoft SharePoint Server、Windows Shell、Windows Active Directory等。本月存在1个在野0day漏洞，需要重点关注的0day漏洞为Microsoft SharePoint Server身份伪造漏洞（CVE-2026-32201）。此外，还需要关注的漏洞包括Windows Common Log File System Driver特权提升漏洞（CVE-2026-32070）、Desktop Window Manager特权提升漏洞（CVE-2026-32152和CVE-2026-32154）、Windows Shell安全功能绕过漏洞（CVE-2026-32225）以及Windows Active Directory远程代码执行漏洞（CVE-2026-33826）。此外，本月披露的严重漏洞还包括Microsoft Power Apps安全功能绕过漏洞（CVE-2026-26149）和Windows Internet Key Exchange (IKE) Service Extensions远程代码执行漏洞（CVE-2026-33824）。其中，IKE Service Extensions远程代码执行漏洞CVSS3.1评分为9.8，危害等级严重，攻击者可通过网络远程利用该漏洞在目标系统上执行任意代码。微软已发布升级补丁修复上述漏洞，用户需及时更新补丁以降低风险。

漏洞公告 CVE漏洞微软产品漏洞高危漏洞远程代码执行(RCE) 权限提升身份伪造安全功能绕过安全更新补丁

0x7c Mirax Android RAT 将设备转换为 SOCKS5 代理，通过 Meta 广告覆盖 220,000 次

HackSee安全生活 2026-04-15T17:26:14 HackSee安全团队

Mirax Android RAT是一款新型的安卓远程访问木马，主要针对西班牙语国家进行传播。该木马通过Meta平台的广告覆盖了超过22万个账号，其功能包括将受感染设备转变为SOCKS5代理节点，为攻击者提供持续的代理通道。Mirax木马不仅具备传统的RAT功能，如捕捉击键、窃取照片等，还能动态从C2服务器获取HTML覆盖层页面，用于凭证盗取。Mirax的C2服务模式独特，仅限于少数加盟机构，并且优先针对地下社区中的俄语参与者。攻击者利用Meta广告推广dropper应用网页，诱骗用户下载。恶意软件通过GitHub托管APK文件，并使用加密器增强保护。安装后，Mirax会伪装成视频播放工具，建立多个双向C2通道，用于远程访问和任务执行。Mirax的出现标志着银行木马和住宅代理功能融合的新趋势，增强了攻击者的作战范围和感染潜力。

Android Malware RAT (Remote Access Trojan) SOCKS5 Proxy Meta Ad Campaign MaaS (Malware as a Service) Financial Fraud Cyber Espionage Underground Market Cyber Threat Intelligence

0x7d 【红队工具】攻防后渗透工具自动化免杀！！！

安全天书 2026-04-15T16:50:41 © Hello888

本文介绍了一种自动化扫描和免杀的后渗透工具，旨在用于安全测试和防御研究。该工具能够自动扫描白文件并应用Patch，以实现免杀效果，支持绕过360核晶、火绒、Windows Defender、卡巴等安全软件。文章中提供了工具的直播回放链接，并介绍了该工具的免杀效果。此外，文章还提到了一个红队技术交流圈子，该圈子主要研究方向包括渗透测试、红蓝对抗、钓鱼手法思路、武器化，以及红队工具的二开与免杀。圈子内分享了许多红队技术文章、攻防经验总结和自研工具与插件。文章最后推荐了一些相关技术文章和工具，并鼓励读者加入圈子进行交流学习。

红队工具网络安全测试免杀技术渗透测试自动化工具杀软对抗钓鱼攻击内网对抗

0x7e ctf之文件包含——你的秘密我知道

书中自有代码来 2026-04-15T16:38:42 © 书中自有代码来

本文深入探讨了网络安全中常见的文件包含漏洞。首先，介绍了文件包含的概念，包括本地文件包含和远程文件包含，并指出这两种漏洞的严重性，特别是在渗透测试中可以直接利用获取webshell。接着，详细解释了PHP中常用的文件包含函数及其区别，如include(), include_once(), require(), require_once()。文章进一步分析了本地文件包含漏洞的位置，并通过一个示例代码演示了如何通过GET参数来包含本地文件。同时，阐述了绝对路径与相对路径的区别及其在文件包含漏洞中的作用。此外，文章还介绍了绕过本地文件包含漏洞的技巧，如使用相对路径跳转、通过%00截断文件名等。最后，讨论了远程文件包含的条件和绕过技巧，包括使用伪协议等。

网络安全漏洞 PHP安全本地文件包含远程文件包含 Web安全代码审计渗透测试

0x7f LazyDLLSideload：面向红队演练的 DLL 代理与侧载工程化生成器

0x33 SEC 2026-04-15T16:21:09 NaNaBot

LazyDLLSideload是一款基于Rust语言的命令行工具，专为红队演练场景设计。该工具能够自动解析目标PE（DLL）的导出表，并生成可直接构建的Rust工程。它简化了DLL代理与侧载的过程，通过生成工程化的Rust代码，实现了导出符号表、转发规则、桩函数、载荷入口以及运行时转发逻辑。LazyDLLSideload支持两种工作模式：Sideload和Proxy。Sideload模式适用于宿主进程按名称加载DLL但不依赖真实实现的情况，而Proxy模式则用于必须维持宿主功能完整的对抗假设。该工具的安装和使用相对简单，依赖于Rust环境和Visual Studio Build Tools，并提供了详细的命令行选项和配置指南。LazyDLLSideload旨在帮助安全研究人员和安全工程师在授权的渗透测试、安全审计及网络安全教育研究中使用，严禁用于未授权的攻击活动或非法用途。

网络安全工具红队演练 DLL侧载 Rust开发 PE文件解析代码混淆系统调用安全研究

0x80 APK Auditor：一个完全在浏览器里运行的APK安全分析工具

幻泉之洲 2026-04-15T16:18:00

APK Auditor是一款全新的APK安全分析工具，它允许用户在浏览器中直接对APK文件进行反编译、安全规则扫描和代码审计，无需安装任何本地环境。该工具的核心优势在于将APK分析的所有能力集成到了浏览器中，用户只需上传APK文件，即可在本地完成分析，无需上传至服务器，保护了分析目标的安全。APK Auditor提供了DEX反编译与代码浏览、安全规则扫描、存储安全、加密问题、网络安全、组件与WebView等多个分析模块，涵盖了移动应用安全的多个方面。虽然它不支持动态分析和调试等高级功能，但对于移动应用开发者和安全测试初学者来说，它是一个便捷且实用的工具。APK Auditor支持在线使用和本地部署两种方式，用户可以通过访问官方网站或下载源代码自行部署。该工具基于JavaScript开发，使用了JSZip、自定义DEX解析器、二进制XML解码器和jsPDF等库，确保了分析过程无需后台支持，且易于研究或二次开发。

移动安全静态代码分析安全审计隐私保护安全规则扫描开源工具 Android安全浏览器安全

0x81 Apache Tomcat 远程代码执行漏洞，附漏洞自查方案

微步在线研究响应中心 2026-04-15T15:55:37 © 微步情报局

Apache Tomcat近日发布了一个远程代码执行漏洞（CVE-2026-34486），该漏洞源于对CVE-2026-29146的修复中引入的回归缺陷。攻击者可以通过构造未加密或加密错误的恶意消息，绕过加密保护，进入Tribes集群的反序列化流程，从而在服务器类路径中存在可利用的反序列化链的情况下实现远程代码执行。漏洞利用条件较为苛刻，需要攻击者能够访问集群端口，且服务器配置了特定的组件。Apache Tomcat官方已发布修复方案，建议用户尽快更新到最新版本，并对集群状态和配置进行检查。微步情报局提供了漏洞自查方案和临时缓解措施，同时提醒用户严格限制Tomcat集群通信端口的访问来源。

漏洞分析 Java安全 Web服务器安全远程代码执行漏洞修复漏洞情报漏洞自检微步情报

0x82 群友靶机之Twice

MS02423 2026-04-15T15:27:35 © MS02423

本文详细记录了针对Twice靶机的渗透测试过程。首先通过信息收集阶段，确定了靶机IP为192.168.137.57，并发现只有22端口开放，运行着Apache HTTP服务。通过目录扫描工具gobuster，发现了一个名为backup.zip的压缩包。解压后发现包含一个OpenSSH私钥，利用私钥成功以用户cyl-love登录系统，并获取了user.txt文件。在提权阶段，通过sudo -l命令发现可利用/reboot命令，但直接使用未成功。进一步分析发现，系统中存在sslh多协议端口复用器，以root权限运行，监听22端口并将流量转发到2222端口的SSH和80端口的HTTP。作者尝试通过修改/etc/default/sslh文件进行提权，但失败后意识到需要使用LD_PRELOAD技术劫持环境变量。最终在/home目录下成功编译并放置恶意so文件，通过修改/etc/default/sslh文件加载该so文件，实现root权限获取。整个过程虽然存在多次失败尝试，但最终成功提权，并加深了对LD_PRELOAD技术的理解。

靶场演练信息收集利用压缩包 SSH渗透提权 LD_PRELOAD 多协议端口复用器符号链接系统服务管理器

0x83 内网环境与域内信息收集全流程

智榜样网络安全学习中心 2026-04-15T14:00:25 © 小智

本文详细介绍了内网渗透实战中的信息收集阶段，强调了遵循合规准则和隐蔽操作的重要性。文章首先阐述了内网信息收集的三大核心原则：合规性、隐蔽性和信息闭环。接着，按照本机隐蔽信息收集、内网网络环境低流量轻量探测、域内基础信息收集、高价值目标与攻击面深度收集、信息整理与渗透路径规划五个阶段，详细讲解了Windows和Linux环境下的具体操作命令及其实战作用。文章还提到了特殊场景的适配方案，如低权限用户场景、EDR免杀绕过场景和跨域或域林环境场景。最后，文章总结了信息收集的重要性，并预告了下集将讲解Windows凭证获取技术。

内网渗透域渗透信息收集 Windows安全 Linux安全 AD架构隐蔽渗透渗透测试域管理凭证获取

0x84 国内两大安全软件内核驱动高危漏洞研判

独眼情报 2026-04-15T13:29:46 © 🅼🅰🆈

2026年4月13日，独立安全研究员Patrick Saif公开披露了两款国内主流安全软件的内核驱动漏洞。其中，厂商A的安全产品内核驱动kdhacker64_ev.sys存在内核堆溢出漏洞，而厂商B的安全产品内核驱动DsArk64.sys则可以在无鉴权条件下终止任意进程并暴露可绕过的内核读写能力。两款驱动均持有有效签名，Windows系统对其完全信任。攻击者无需额外安装软件即可利用这些漏洞。两款驱动均未获得CVE编号，也不在微软HVCI屏蔽名单中。两家厂商均未公开回应，无官方补丁确认。此次漏洞本质是防护软件自身引入的内核级攻击面，攻击者可借此提权至SYSTEM并获取内核内存读写能力。在企业和高价值个人用户场景中，风险等级高。事件虽不需恐慌，但防护产品引入内核攻击面被视为专业过失，需认真对待。

内核驱动漏洞内核堆溢出内核级攻击面 BYOVD攻击安全软件漏洞操作系统安全软件签名勒索软件 EDR绕过

0x85 Codex利用全局可写驱动接口破解三星电视获取Root权限

FreeBuf 2026-04-15T12:53:21

本文详细报道了OpenAI的Codex AI模型如何通过利用全局可写驱动接口，成功在一台三星智能电视上提升至root权限的实验。研究始于在电视上建立的浏览器级立足点，通过分析三星电视浏览器应用内的代码执行，研究人员发现AI能够自行枚举目标攻击面，阅读供应商驱动程序源代码，并验证每个发现。实验中，AI利用了三星内核驱动程序的physmap原语，该原语为非特权代码提供了对物理内存的原始读写访问权限。三星电视在Tizen平台上运行Linux内核，包含未授权执行防护功能，但研究团队通过memfd包装器绕过了这一防护。最终，AI通过漏洞利用程序逐步构建了攻击链，实现了权限提升。文章最后提出了针对三星和其他类似厂商的安全建议。

驱动程序漏洞固件安全权限提升智能设备安全 AI安全安全研究漏洞利用 Linux内核安全安全建议

0x86 0Day漏洞可禁用CrowdStrike EDR，签名驱动成攻击利器

FreeBuf 2026-04-15T12:53:21

网络安全研究人员发现一种新型BYOVD（自带漏洞驱动）攻击技术，可关闭CrowdStrike Falcon等终端安全解决方案。攻击者利用合法签名的驱动程序，通过内核级权限绕过终端检测与响应（EDR）系统。研究发现，该恶意驱动存在多个变种，均带有有效微软数字签名。攻击者通过IOCTL接口，使用内核函数强制终止活动应用程序，如CrowdStrike的PPL服务。研究人员开发了名为PoisonKiller的概念验证漏洞利用程序，成功终止了活动的CrowdStrike EDR进程，揭示了现代操作系统在处理已签名第三方驱动程序时的安全盲区。

漏洞利用内核驱动攻击签名驱动攻击终端安全逆向工程安全漏洞操作系统安全网络安全技术

0x87 【高危漏洞预警】Apache Tomcat 远程代码执行漏洞(CVE-2026-34486)

飓风网络安全 2026-04-15T12:28:43 cexlife

Apache Tomcat近日发现了一个远程代码执行漏洞（CVE-2026-34486），该漏洞与针对CVE-2026-29146的修复补丁有关。在修复过程中，EnсrурtIntеrсерtоr组件的消息接收方法messageReceived()的异常处理流程发生了改变，导致在接收到无法解密的集群通信数据时，代码路径未能终止，而是继续传递未经解密验证的数据，这可能被攻击者利用。受影响的版本包括Tomcat 11.0.20、10.1.53和9.0.116。攻击者可能通过访问Tomcat集群节点间的通信通道，利用该漏洞窃取敏感数据或触发远程代码执行。Apache已发布补丁，建议用户升级至最新版本以修复该漏洞。同时，建议在生产环境中采取网络隔离和日志监控等措施来缓解风险。

远程代码执行 Apache Tomcat 高危漏洞漏洞修复安全加固异常处理集群通信版本更新应急响应

0x88 GraphQL RCE：通往云身份的攻击链

安全狗的自我修养 2026-04-15T12:25:03 haidragon

这篇文章详细描述了一个从简单查询到完全接管云基础设施身份的攻击过程。文章首先指出，现代SaaS平台中用户自定义逻辑功能（如自定义Python函数）对用户是生产力工具，但对攻击者可能成为入口。攻击者通过GraphQL查询获取资源ID，利用自定义函数执行Python脚本逃逸沙箱，成功获得任意命令执行（RCE）权限。随后，攻击者读取后端源码，发现沙箱未正确限制__builtins__，导致__import__函数可用，沙箱完全失效。最后，攻击者利用获取的RCE权限，访问Google Cloud Metadata服务，获取OIDC JWT Token，最终接管了生产环境的云服务账号。文章总结了攻击的四个阶段：信息收集、漏洞利用、读取源码、云身份接管，并提出了修复建议，包括禁用沙箱中的__builtins__、屏蔽元数据IP、使用隔离环境等。

Web 安全权限提升沙箱逃逸远程代码执行 (RCE) 身份接管云安全 GraphQL 漏洞利用

0x89 XSS（跨站脚本攻击）从零到高手：把浏览器变成你的武器！

安全狗的自我修养 2026-04-15T12:25:03 haidragon

本文深入探讨了XSS（跨站脚本攻击）这一常见的网络安全威胁。文章从XSS的基础概念讲起，详细介绍了三种类型的XSS攻击：反射型、存储型和基于DOM的XSS。通过具体的攻击流程和示例，如反射型XSS通过构造恶意URL，存储型XSS通过将恶意代码存入数据库，以及DOM XSS通过修改浏览器DOM结构，文章揭示了XSS攻击的潜在危害。此外，文章还讨论了绕过WAF（Web应用防火墙）的技术，以及如何提升XSS漏洞的利用价值，例如窃取Cookies、进行Session劫持和键盘记录等。文章还提供了一些自动化和手工测试XSS漏洞的方法，并给出了一些建议来修复XSS漏洞，如输出编码、CSP和HttpOnly Cookie。最后，文章强调了上下文（Context）在XSS攻击中的重要性，并分享了作者的个人经验和对XSS攻击的理解。

XSS攻击 Web安全漏洞利用防御策略网络安全教育漏洞赏金浏览器安全自动化测试

0x8a 微软 SharePoint Server 零日漏洞已被攻击者积极利用

安全圈的那点事儿 2026-04-15T12:05:50 © 网络安全9527

微软于2026年4月14日确认，其SharePoint Server存在一个严重零日漏洞CVE-2026-32201，正被积极利用。该漏洞影响多个SharePoint Server版本，CVSS评分为6.5（重要）。漏洞源于不正确的输入验证，允许未经身份验证的远程攻击者通过网络执行欺骗攻击。攻击无需权限或用户交互，风险较高。微软已发布针对三个受影响版本的补丁。组织应立即应用补丁，并监控访问日志和威胁情报，以防止攻击。SharePoint Server作为全球广泛部署的企业协作平台，是攻击者的目标。微软对安全社区的协调披露工作表示认可。

零日漏洞 SharePoint Server 漏洞利用安全更新企业安全网络攻击身份验证绕过横向移动商业电子邮件入侵（BEC）

0x8b WebStack系统CVE-2026-1555漏洞，支持未授权任意文件上传——RCE POC遭贩卖

李白你好 2026-04-15T12:00:00 © 助力行业的

本文详细介绍了CVE-2026-1555漏洞的相关信息。该漏洞是WordPress WebStack主题的一个严重漏洞，允许未经身份验证的攻击者上传任意文件并执行远程代码，从而完全控制受影响的网站和服务器。漏洞的CVSS评分高达9.8，属于紧急安全风险。攻击者Baiden在暗网论坛上以每人150美元的价格出售该漏洞的利用工具。目前尚未有官方补丁可用，因此受影响的用户应立即采取措施，如停用受影响的主题、部署WAF、限制服务器权限和监控日志来缓解风险。本文还分析了攻击者的背景、动机和商业模式，以及对受影响资产的测绘和风险评估。

漏洞利用 Web应用安全远程代码执行暗网交易 WordPress安全安全漏洞公告网络安全事件

0x8c 第二节｜企业级身份认证：OAuth、SAML与SCRAM详解

皮皮宋渗透笔记 2026-04-15T11:33:52 © 皮皮宋

本节文章详细介绍了企业级身份认证中的三个重要协议：OAuth、SAML和SCRAM。OAuth是一种第三方授权协议，通过令牌机制分离授权与认证，支持多种授权方式，包括授权码模式、简化模式、密码模式和客户端模式。SAML是一种基于XML的企业级SSO协议，用于跨企业、跨系统的身份认证，涉及服务提供者（SP）、认证服务（IDP）和用户三个角色，并阐述了其认证过程和安全问题。SCRAM是一种双向确认的安全认证机制，通过盐值和挑战码实现客户端与服务器之间的双向验证，常用于数据库认证和API接口认证。文章详细拆解了这三个协议的核心流程、适用场景和安全要点，对于网络安全学习和开发者来说具有重要参考价值。

身份认证网络安全协议企业级安全单点登录第三方授权密码学安全漏洞系统安全

0x8d 【Tips】14 利用邮件通知机制的逻辑缺陷获取敏感信息

漏洞集萃 2026-04-15T10:56:35 © Pwn1

本文探讨了利用邮件通知机制的逻辑缺陷来获取敏感信息的漏洞。文章指出，在涉及多用户协作、组织架构管理的系统中，系统会自动触发邮件通知机制向成员广播变更。然而，一个漏洞允许攻击者即使账户被停用，仍然可以收到包含敏感信息的邮件。这是因为后端代码在查询收件人列表时没有正确过滤用户状态。作者通过实际测试和案例分析，说明了这一漏洞的发现过程，并提出了相应的测试思路，强调在测试时不要局限于API接口的防护，而是要关注业务逻辑中的非典型状态和边界情况。文章强调这种漏洞挖掘的关键在于打破常规思维，并对系统的潜在缺陷保持警觉。

漏洞挖掘邮件安全系统漏洞业务逻辑安全测试

0x8e 应急响应打靶--windows1

一个努力的学渣 2026-04-15T10:34:05 © 一个努力的学渣

本文详细描述了一个网络安全应急响应案例，涉及对一台存在网站漏洞的服务器进行攻击和防御的过程。攻击者首先利用EMLOG后台插件任意文件上传漏洞（CVE-2024-33752）上传shell文件，成功获取网站权限。随后，攻击者通过爆破获取管理员密码，并利用该权限创建隐藏账户hack168$，用于持续控制主机。文章还详细记录了检查服务器弱口令、可疑账号、隐藏账号、异常端口和进程、启动项、计划任务、服务以及系统信息等步骤。最后，通过分析日志和文件，确定了攻击者的操作行为，包括使用冰蝎shell进行控制，以及创建矿池程序kuang.exe。文章还提出了如何修复漏洞、删除后门、排查可疑文件和修复系统漏洞的建议，并介绍了生成应急响应报告的方法。整个案例展示了从网站攻击到主机控制，再到持续潜伏的完整攻击链，以及相应的防御和恢复措施。

网络安全应急响应 Web安全漏洞利用后门植入权限提升账号安全恶意软件分析日志分析系统安全检查入侵检测应急响应流程

0x8f 实战工具利用～内网资产快速验证

LHACK安全 2026-04-15T10:01:28 © Nulltype

本文介绍了一个名为Attack_login的网络安全工具，该工具主要用于内网资产的快速验证。文章首先强调了使用此类工具的合法性和合规性，并指出其仅适用于信息安全防御技术的学习和研究。Attack_login具有Web界面，能够批量测试服务连接和进行未授权检测，支持14种内网常见服务，如数据库、SSH、FTP等。文章详细介绍了工具的使用方法，包括启动、导入CSV文件、进行连接测试和未授权检测等。此外，还提到了工具的亮点功能，如SOCKS5代理支持、Oracle纯Go驱动、Zookeeper多节点支持等。最后，文章对比了Attack_login与其他工具的差异，并强调了其在内网渗透中服务可达性验证环节的应用价值。

网络安全工具内网渗透批量测试弱口令检测 Web界面 SOCKS5代理脚本语言数据库安全系统安全安全研究

0x90 Web应用漏洞自动化扫描工具 -- webjc（4月13日更新）

Web安全工具库 2026-04-15T09:26:35 bmslos

本文介绍了一款名为webjc的基于Python的Web应用漏洞自动化扫描工具。该工具专为中小型Web应用设计，具备检测SQL注入、XSS跨站脚本、CSRF跨站请求伪造、目录遍历和敏感文件泄露等常见Web漏洞的能力。工具操作便捷，轻量化设计，能够自动生成详细的检测报告。文章中包含了免责声明，提醒用户不要利用工具进行非法测试，并建议在虚拟机中运行。此外，还提供了工具的下载链接、运行界面截图以及一些使用说明，包括扫描目标、线程数、请求超时、请求限速、爬虫功能、最大爬取页面和报告格式等设置。

Web安全扫描工具漏洞检测自动化扫描 Python开发中小型Web应用安全测试

0x91 CVE-2026-33439｜OpenAM反序列化远程代码执行（POC）

信安百科 2026-04-15T09:02:09 alicy

本文详细介绍了OpenAM软件中的一个严重漏洞CVE-2026-33439。OpenAM是一款基于Java的开源访问管理解决方案，提供了多种身份安全能力。该漏洞源于组件在使用JATO框架处理HTTP参数时，未对用户输入进行适当的反序列化处理，导致未经身份验证的远程攻击者可以通过发送构造的恶意序列化对象在服务器上执行任意代码。漏洞影响版本为OpenAM<=16.0.50。文章提供了漏洞的详细描述、CVE编号、受影响版本、一个简单的POC（Proof of Concept）以及相关的参考链接。

漏洞分析 Java安全 OpenAM安全远程代码执行企业安全 POC分析

0x92 虚假的Claude AI安装程序利用DLL侧加载技术部署PlugX恶意软件

黑猫安全 2026-04-15T08:53:53 鹏鹏同学

Malwarebytes报告称，一个假冒Anthropic公司Claude服务的虚假网站正在传播PlugX远程访问木马。该恶意网站通过提供所谓的“专业版”安装程序诱使用户下载恶意软件。恶意软件利用DLL侧加载技术执行，并在感染后尝试清除痕迹以降低可见性。恶意软件包含一个VBScript，它在后台运行并静默执行恶意操作，同时将恶意文件复制到Windows启动文件夹中。该恶意软件使用了G DATA的一个合法签名的更新程序来加载恶意DLL，增加了检测难度。恶意软件执行后迅速活跃，通过HTTPS连接到远程服务器，并修改注册表项以改变网络行为。VBScript部署了一种自删除机制，以避免留下明显痕迹。此次攻击利用了人工智能工具的热度，将成熟的侧加载技术与社交工程相结合，以诱骗用户安装恶意软件。

恶意软件分析 DLL侧加载攻击网络钓鱼攻击社会工程学安全漏洞利用长期威胁行动网络安全意识云安全威胁情报

0x93 攻击者利用CVE-2025-0520漏洞，攻击未打补丁的ShowDoc服务器

黑猫安全 2026-04-15T08:53:53 鹏鹏同学

CVE-2025-0520是一个严重远程代码执行漏洞，CVSS评分为9.4，影响ShowDoc在线文档共享工具。该漏洞允许攻击者未经认证上传文件，执行任意PHP代码，从而实现远程代码执行。尽管该漏洞在2020年10月的2.8.7版本中得到修复，但仍有大量未打补丁的ShowDoc服务器暴露在互联网上，主要分布在中国。VulnCheck的研究人员发现超过2000个实例存在风险，并提供了相关的攻击载荷、痕迹信息和威胁情报。建议受影响组织立即更新并加固其服务器实例，以防止攻击者获得完全控制权。

漏洞利用远程代码执行服务器安全 Web Shell 补丁管理网络安全事件 IT协作工具安全威胁情报

0x94 Docker 入门之单机常用命令总结

一只岸上的鱼 2026-04-15T08:39:46 © 一只岸上的鱼

本文旨在为Docker入门者提供单机环境下常用的命令总结。文章首先介绍了Docker在单机环境下的应用场景，即隔离环境和节省硬件资源。接着，按照使用场景将命令分为镜像管理、静态数据容器管理和资源管理三大类。在镜像管理部分，详细介绍了拉取和推送镜像的命令，包括从仓库拉取镜像、推送镜像到仓库以及私有仓库的镜像拉取和推送。容器管理部分则涵盖了容器的创建、查看、监控、进入、停止和删除等操作。资源管理部分主要介绍了如何管理硬盘和网络资源。文章最后提供了一个常用命令的速查表，方便读者快速查阅。

容器安全镜像仓库安全网络安全数据安全系统安全命令行安全

0x95 某公司的渗透技能考核靶场通关记录

菜鸟学信安 2026-04-15T08:31:19 消失的猪猪

这篇文章详细记录了一个网络安全学习者在进行技能考核靶机环境中的渗透测试过程。文章从获取到一个公网IP地址开始，首先使用FOFA和Fscan进行端口扫描，发现存在9443端口上的Wordpress和13306端口上的Mysql。接着，通过扫描目录和备份文件，发现了一个需要密码的压缩包。使用John和hashcat工具进行哈希密码爆破，成功获取了压缩包的密码和数据库密码。随后，通过数据库中的加密密码，使用hashcat进行爆破，成功登录了Wordpress后台，但由于权限问题无法直接执行命令。通过XFF绕过IP限制，成功进入后台。最后，利用插件上传木马获取shell，并读取flag，解密hash。整个过程涉及了端口扫描、信息收集、密码破解、权限提升、Getshell等多个网络安全技术点，展示了完整的渗透测试思路和方法。

端口扫描信息收集 Web应用安全密码破解数据库安全命令执行漏洞利用 WordPress安全蜜罐/靶机环境

0x96 太离谱了！这款 Burp 插件让我一键解密微信小程序，还自动提取了 200 个 API 接口和泄露的 AWS 密钥...

只会看监控的实习生 2026-04-15T08:11:03 © 菜狗

本文介绍了一款专为微信小程序安全测试设计的Burp Suite扩展插件。该插件具备一键自动解密wxapkg加密包、批量解包主包/分包、智能提取API接口、检测敏感信息泄露等功能。插件支持AES-CBC + XOR解密，并能兼容PC微信小程序缓存包。此外，它还提供了可视化操作界面，自动保存配置，并能提取小程序的基本信息。文章详细介绍了插件的使用方法，包括定位小程序包路径、清理缓存、使用插件解包、提取分析以及结果查看等步骤。同时，还提供了敏感信息检测规则和API提取规则的配置指南，以及注意事项和法律合规的说明。

微信小程序安全 Burp Suite插件数据泄露检测加密和解密 API接口提取自动化安全测试安全漏洞挖掘敏感信息保护

0x97 Linux权限维持工具 DynastyPersist

kali笔记 2026-04-15T08:05:19 © 大表哥吆

本文介绍了Linux权限维持工具DynastyPersist的使用方法。DynastyPersist是一款专为Linux持久性设计的CTF工具，旨在帮助安全研究者或渗透测试人员在获取Linux主机权限后，实现持久的控制。该工具提供了多种功能，包括SSH密钥生成、Cronjob持久性、创建具有root权限的自定义用户、RCE持久化、基于Linux内核模块的Rootkit持久性、Bashrc持久性、systemd服务持久化、LD_PRELOAD权限提升配置以及后门消息/标题的设置。文章详细描述了如何安装和使用DynastyPersist，包括在受害主机上执行命令以及通过浏览器访问目标主机来查看目录列表。

Linux Security Persistence Tools Rootkit SSH Key Cronjob Systemd Privilege Escalation Webshell Security Tools CTF

0x98 CTF 选手必藏：ZipCracker 更新了，一次打通 ZIP 伪加密、字典爆破、CRC 碰撞与已知明文攻击

Hx0战队 2026-04-15T08:00:18 asaotomo

本文介绍了开源项目ZipCracker，这是一款由Hx0战队出品的ZIP密码破解工具，旨在简化ZIP文件破解流程。ZipCracker不仅支持传统ZIP加密的多种破解方式，如字典攻击、掩码攻击、CRC32碰撞和已知明文攻击，还具备伪加密识别与修复功能。它内置了6000+常用密码字典，并能根据运行环境自动调整线程数量，兼顾速度和稳定性。此外，ZipCracker还支持对AES ZIP的解密尝试，并能高效处理大字典。文章详细介绍了ZipCracker的快速开始指南、常见用法、常见问题解答以及环境变量设置，帮助用户更好地利用该工具进行ZIP文件破解。

ZIP 文件安全密码破解 CTF 比赛安全工具伪加密字典攻击掩码攻击 CRC32 碰撞已知明文攻击 AES 解密性能优化

0x99 漏洞预警 | OpenAM远程代码执行漏洞

浅安安全 2026-04-15T07:50:18 浅安

本文报道了OpenAM远程代码执行漏洞（CVE-2026-33439），这是一个高危漏洞。OpenAM是OpenIdentityPlatform的企业级访问管理解决方案，提供身份认证、授权管理、单点登录等功能。该漏洞由于在修复历史漏洞时未对所有反序列化入口点应用白名单过滤机制，导致用户可控的序列化数据可以被直接反序列化，从而执行任意代码。此漏洞影响OpenAM <= 16.0.5版本。官方已发布修复版本，建议用户升级以避免安全风险。同时，该漏洞的POC（Proof of Concept）已被公开。

远程代码执行漏洞 CVE编号代码执行身份认证系统单点登录漏洞修复开源软件安全

0x9a 漏洞预警 | LEAN MES系统任意文件上传/删除漏洞

浅安安全 2026-04-15T07:50:18 浅安

本文报告了LEAN MES系统的一个高危漏洞，该系统由深圳市深科特信息技术有限公司开发，用于车间管理。漏洞编号暂无，但已公开的漏洞详情显示，系统的/Kanban/ChooseImage.aspx接口存在任意文件上传/删除漏洞。攻击者可以构造恶意请求，绕过文件类型或内容校验，上传恶意文件，执行任意命令或删除系统文件，可能导致拒绝服务。该漏洞影响LEAN MES系统所有版本。官方已发布修复版本，建议用户升级到安全版本以避免潜在的安全风险。

文件上传漏洞命令执行漏洞高危漏洞 MES系统漏洞生产管理软件漏洞漏洞修复安全升级建议

0x9b 【SRC实战】通过报错拿下高危漏洞

渗透测试安全日记 2026-04-15T07:07:20 © 渗透测试安全日记

本文分享了一个通过报错信息发现并利用高危漏洞的SRC实战案例。文章首先强调了免责声明，提醒读者不要将技术用于非法测试。接着，作者介绍了案例的背景，指出报错信息在渗透测试中的常见性。案例中，作者通过信息收集发现了一个系统，并通过测试发现注册功能存在漏洞。通过修改手机号并获取验证码，作者成功触发后端报错，从而获取了正确的验证码。这一漏洞导致任意用户登录，作者随后提交了漏洞报告。文章最后提供了相关的安全知识库和工具资源链接，并推荐了其他往期实战案例。

漏洞挖掘渗透测试 SRC实战 Web安全漏洞利用安全漏洞安全研究实战案例

0x9c CTFshow-Pwn堆利用-前置基础(142,143)

玫家大院 2026-04-15T07:03:20 © 玫幽倩

这篇文章详细分析了两个堆利用漏洞：Off-by-One和House of Force。首先，文章介绍了Off-by-One漏洞的原理，即通过堆溢出修改下一个堆块的大小，导致堆块重叠。在pwn142中，通过edit功能利用Off-by-One修改了下一个堆块的size，然后通过delete和重新create操作，实现了堆块重叠，从而可以写入和读取任意堆块的内容。接着，文章深入探讨了House of Force攻击，这是一种利用早期libc版本中对top chunk size检查不严格的特点，通过修改top chunk的size来控制malloc分配内存的位置。在pwn143中，通过edit功能溢出并修改了top chunk的size，然后通过多次malloc操作，将top chunk移动到目标地址，从而修改了v4[1]函数指针指向的地址，最终实现了任意函数的调用。文章还提供了详细的调试步骤和exp编写方法，帮助读者更好地理解和实践这两种堆利用技术。

堆溢出 Off-by-One House of Force 堆内存管理内存破坏堆利用缓冲区溢出栈溢出内存安全二进制漏洞

0x9d Windows事件日志服务曝内核地址泄露漏洞，影响NVMe存储设备

网空闲话plus 2026-04-15T06:57:08 © 网空闲话

2026年4月15日，暗网论坛Tier1上的用户“以利亚”发布帖子，指出安全研究人员发现Windows事件日志服务存在严重信息泄露漏洞。该漏洞利用远程过程调用（RPC）机制，使攻击者能从本地或远程Windows计算机中获取内核池指针等敏感内存信息。漏洞具体存在于Microsoft-Windows-Storage-Storport/Operational日志通道中，当Stornvme驱动程序处理NVMe固态硬盘错误时，生成的EventID 524事件会意外泄露内核内存地址。技术分析表明，攻击者可利用此漏洞绕过KASLR等安全防护机制，为后续提权攻击和恶意代码执行创造条件。虽然当前评估的严重程度为“中等”，但该漏洞可能成为APT攻击链的关键环节。建议所有Windows用户立即检查系统更新，特别是存储驱动程序补丁，并限制不必要的RPC端口暴露、启用内核隔离功能、监控异常的事件日志访问行为。企业环境需优先为关键服务器部署微隔离策略，以防止横向移动风险。目前该漏洞是否有CVE编号尚未核实，感兴趣者可自行查证。需要注意的是，该帖子由手机编辑发布，未对细节进行分析核实。

Windows安全漏洞信息泄露远程过程调用（RPC）内核内存泄露内核攻击提权攻击恶意代码执行高级持续性威胁（APT）事件日志安全安全补丁防御策略

0x9e frida-labs经典12道题目

SPEEDCoding 2026-04-14T23:28:36 © 李北辰

本文详细介绍了如何使用Frida进行Android应用逆向工程和Hook操作，通过十个不同的练习案例，逐步深入讲解了Frida的基本使用方法和技巧。这些案例涵盖了Hook方法、修改方法参数、主动调用方法、修改类的静态变量、实例化类并调用方法、Hook构造函数、Hook原生方法以及修改原生方法返回值等高级操作。每个案例都提供了具体的Frida脚本代码和执行结果，帮助学习者理解Frida在实战中的应用。通过这些练习，学习者可以掌握使用Frida进行动态调试、数据修改、方法拦截等操作，从而提升在网络安全领域的实战能力。

Frida Hook 逆向工程 Android安全 Native方法Hook 内存修改

0x9f Windows凭证提取技术

智榜样网络安全学习中心 2026-04-14T22:00:56 © 小智

本文详细探讨了Windows环境下凭证的生成与流转逻辑，以及在内网渗透中如何获取和利用凭证。文章首先介绍了Windows凭证体系的底层机制，包括凭证的生成过程和存储位置，并指出了四个核心攻击面：LSASS进程内存、SAM数据库、域控NTDS.dit数据库和DPAPI加密凭证。接着，文章强调了凭证获取的权限边界，分为普通用户权限、本地管理员权限和System系统权限，并针对不同权限级别提供了相应的操作建议。在技术详解部分，文章按照内网渗透的实战流程，从普通用户权限下的原生免杀凭证获取，到System权限下的凭证提取，再到域环境全域凭证拉取，详细介绍了各种方法和技巧。最后，文章还讨论了实战对抗中如何绕过EDR监控，以及需要注意的避坑红线。全文旨在帮助网络安全学习者深入理解凭证获取的原理和实战技巧，并在合规的前提下进行内网渗透测试和人才培养。

Windows 凭证内网渗透凭证获取 EDR 绕过红蓝对抗 Kerberos NTLM 域渗透安全测试 LOLBins

0xa0 【译】在 Google Cloud 中执行远程命令并删除单个目录

漏洞集萃 2026-04-14T21:25:16 Pwn1

本文详细描述了在 Google Cloud VRP 漏洞测试活动中发现的一个远程命令执行漏洞。该漏洞存在于 Google Cloud Looker 产品中，该产品具有管理 Git 存储库的功能。当用户删除目录时，Looker 对目标目录的验证存在缺陷，导致可能误删包含代码仓库本身的目录。攻击者利用这种竞争条件，在 Looker 服务器上执行任意命令。虽然 Looker 服务帐户权限中的错误配置可能会允许权限提升，从而访问同一 Kubernetes 集群中的其他实例，但谷歌云团队已修复了远程命令执行漏洞和权限提升漏洞。该漏洞凸显了正确输入验证的重要性，即使是微小的错误也可能导致严重的安全问题。

远程命令执行 (Remote Command Execution) 竞争条件 (Race Condition) 输入验证缺陷 (Input Validation缺陷) Web 应用安全 (Web Application Security) 权限提升 (Privilege Escalation) Kubernetes (K8s) 漏洞赏金 (Bug Bounty) Git 安全 (Git Security)

0xa1 F5 安全公告：NGINX ngx_http_dav_module 漏洞 CVE-2026-27654

生有可恋 2026-04-14T21:12:45

本文介绍了F5发布的关于NGINX的ngx_http_dav_module模块的一个安全漏洞，漏洞编号为CVE-2026-27654，属于堆缓冲区溢出类型，严重等级为高。该漏洞可能导致NGINX Worker进程崩溃，拒绝服务，以及文档根目录外的文件名被篡改，影响数据平面但不会影响控制平面。漏洞触发条件包括配置中使用了DAV模块的MOVE或COPY方法、前缀location配置以及alias指令。受影响的产品包括NGINX Plus和NGINX开源版本，而BIG-IP Next、BIG-IQ、F5 Distributed Cloud等不受影响。F5提供了升级到修复版本和临时缓解方案两种修复方法，并建议用户立即升级或应用临时缓解措施，并在维护窗口内测试配置变更。

漏洞分析安全公告 NGINX漏洞缓冲区溢出 DoS攻击安全响应版本管理软件升级

0xa2 Spring/Tomcat畸形表单分析

小白安全 2026-04-14T19:00:18 © 小白安全

这篇文章详细分析了在Spring Boot应用中利用Tomcat的StandardServletMultipartResolver处理畸形表单导致的RCE漏洞。文章首先介绍了测试环境，即Spring Boot 2.6.13内置Tomcat 9.0.68。接着，作者通过在DispatcherServlet#doDispatch处下断点，逐步跟踪代码执行流程，重点关注了StandardServletMultipartResolver#isMultipart和FileItemIteratorImpl#init方法。文章深入分析了Content-Type和Content-Disposition头的解析过程，特别是利用ParameterParser#parse和RFC2231Utility#decodeText等方法，展示了如何通过构造特殊的参数名和值来绕过WAF检测。文章还详细讨论了两种构造Content-Type和Content-Disposition头的方法：一种是通过*字符集编码和大小写转换，另一种是通过=?编码和添加额外数据。最后，文章给出了一个绕过418 WAF的畸形请求示例，展示了漏洞的实际利用方式。

Spring Framework Tomcat Multipart Upload File Upload Content-Type Parsing WAF Evasion Deserialization RFC 2231 RFC 2047 Exploitation

0xa3 迷雾中的航行：Fog 勒索软件关联攻击者工具链深度剖析

Desync InfoSec 2026-04-14T18:33:50 bitbot

本文详细剖析了与Fog勒索软件组织相关的攻击者工具链，揭示了其完整的攻击流程，涵盖侦察、漏洞利用、凭据窃取和命令控制等环节。攻击者利用SonicWall Scanner批量登录VPN，使用DonPAPI提取Windows DPAPI保护的凭据，通过Certipy利用Active Directory证书服务漏洞提权，并借助Zer0dump、Pachine和noPac利用Zerologon和PAC漏洞攻陷域控。攻击者使用Sliver C2作为命令控制框架，结合AnyDesk和PowerShell实现自动化持久化驻留，并利用Proxychains和Powercat进行隐蔽横向移动和反向Shell通信。分析还发现，攻击者的工具链中包含从受害者网络中窃取的数据和操作痕迹，部分受害者随后出现在Fog勒索软件的数据泄露站点上。该攻击活动主要针对意大利、希腊、美国和巴西的科技、教育、零售、交通运输与物流等行业。文章还提供了MITRE ATT&CK映射和IoC情报类型值，为防御此类攻击提供了重要参考。

勒索软件攻击工具链初始访问横向移动持久化凭据窃取提权命令与控制 (C2) 恶意软件漏洞利用 MITRE ATT&CK

0xa4 JWT认证漏洞实战解析

小石学习笔记 2026-04-14T18:25:17 洞悉安全团队

JWT（JSON Web Token）是一种常用的Web安全身份验证方式，由三段字符串组成：Header、Payload和Signature。Header包含令牌类型和签名算法，Payload包含用户声明信息，Signature用于验证JWT的完整性。然而，JWT的漏洞风险不容忽视，常见的漏洞包括未验证签名、未验证JWT标头和密钥暴力破解。未验证签名时，攻击者可以修改Payload内容绕过认证；未验证JWT标头时，攻击者可以将alg字段改为"none"以绕过签名验证；密钥暴力破解则针对使用HS256算法时密钥过于简单的情况。为了防御这些漏洞，开发者必须验证签名和JWT标头，使用复杂的密钥，避免在Payload中存储敏感信息，并缩短JWT的有效期。掌握JWT的漏洞检测和利用方法对渗透测试者至关重要，而牢记防御建议则能帮助开发者避免JWT带来的安全风险。

JWT认证网络安全 Web安全身份验证漏洞分析安全配置渗透测试安全防护

0xa5 Apache Tomcat 紧急修复多个漏洞

代码卫士 2026-04-14T18:16:47 Abinaya

Apache软件基金会发布了针对Apache Tomcat的紧急更新，修复了多个漏洞。其中，一个严重漏洞CVE-2026-29146可能导致服务器面临拦截绕过的风险，另一个漏洞CVE-2026-34486是由初始补丁引入的新漏洞，允许攻击者绕过EncryptInterceptor。此外，还修复了一个影响OCSP检查功能的漏洞CVE-2026-34500，可能导致认证失败。这些漏洞影响了多个Tomcat版本，包括11.0.0-M1至11.0.20、10.1.0-M1至10.1.53和9.0.13至9.0.116。Apache强烈建议用户升级到最新的安全版本，以避免潜在的安全风险。

Apache Tomcat 漏洞安全补丁服务器安全加密漏洞证书认证预言机攻击软件更新开源软件安全安全研究安全最佳实践

0xa6 Axios 严重漏洞可导致 RCE

代码卫士 2026-04-14T18:16:47 Abinaya

Axios HTTP客户端库存在一个严重安全漏洞CVE-2026-40175，CVSS评分高达9.9，可能导致远程代码执行（RCE）风险，攻击者可能利用此漏洞绕过AWS IMDSv2安全控制，窃取敏感的云元数据。该漏洞由axios npm包中的头部处理组件引起，攻击者可以通过Gadget攻击链在无需用户直接输入的情况下进行攻击。所有1.13.2版本之前的Axios版本均受影响，建议升级至1.15.0或更高版本以修复该漏洞。

漏洞分析远程代码执行云安全 HTTP头部注入软件开发安全安全公告概念验证软件升级供应链攻击

0xa7 108个恶意Chrome扩展程序窃取谷歌和Telegram数据，影响2万+用户

HackSee安全生活 2026-04-14T17:43:16 HackSee安全团队

网络安全研究人员发现了一个由108个恶意Chrome扩展程序组成的集群，这些扩展程序通过同一命令与控制（C2）基础设施窃取用户数据。这些扩展以五个不同的发行商名义发布，累计安装约2万次。恶意活动包括窃取谷歌账户身份、注入广告和任意JavaScript代码、过滤Telegram网络会话、以及伪装成合法应用程序。这些扩展共用了同一个后端服务器，其中一些插件使用了俄语注释，表明可能涉及俄罗斯黑客。用户应立即移除这些扩展，并退出所有Telegram网页会话，以保护个人信息安全。

恶意软件攻击 Chrome扩展恶意利用数据窃取命令与控制（C2） OAuth2安全漏洞 JavaScript注入攻击 Telegram数据窃取钓鱼攻击跨站脚本（XSS）浏览器安全漏洞

0xa8 Windows Defender 0day 提权漏洞【预警】

安锐信安全攻防实验室 2026-04-14T17:27:31 JunYi

近日，一名安全研究员Chaotic Eclipse公开发布了Windows 0day本地权限提升（LPE）漏洞利用程序BlueHammer，该漏洞被命名为“蓝锤漏洞”。该漏洞允许低权限的本地用户提升访问权限至最高级别的NT AUTHORITY\SYSTEM。漏洞的利用需要攻击者已进入系统且Windows Defender处于活动状态。目前，Windows 11、Windows 10以及Windows Server版本都可能受到此漏洞影响。在微软发布官方补丁前，安全团队应采取包括监控异常权限提升活动、限制本地用户权限、应用增强型日志记录等预防措施。

Windows漏洞本地提权 0day漏洞 Windows Defender 安全预警安全响应操作系统安全

0xa9 记一次 “ 暗链 ” 应急响应

蚁景网安 2026-04-14T17:17:54 Huck Lim

本文详细描述了一起网络安全事件的分析过程。某客户站点在打开特定页面时出现虚拟货币宣传视频，初步信息显示问题仅在移动端特定网络环境下复现，且难以在浏览器中复现。分析人员首先排除了服务器端音频文件的存在，猜测恶意代码可能存在于客户端或客户端资源包中。通过Burp抓包工具，发现了一个被腾讯云拦截的恶意mp4文件链接，并在特定运营商网络下可访问。进一步分析发现，该链接请求来自客户站点的某个页面，但难以直接找到调用关系。通过逐步抓包和搜索，最终在第三方CDN的jQuery文件中发现了恶意代码的痕迹。该jQuery文件经过高度混淆加密，但通过在线工具和搜索引擎的帮助，部分解密成功，揭示了完整的调用链。最终确认，该恶意链接可能是由于CDN站点被劫持所致，影响范围广泛。尽管分析人员在文章完成时该链接已恢复正常，但事件揭示了CDN安全的重要性。

网络钓鱼跨站脚本攻击(XSS) 服务器端请求伪造(SSRF) 恶意软件分发域名劫持代码注入浏览器指纹识别请求伪造

0xaa 红队攻防后渗透工具自动化免杀！！！绕过360、Defender、火绒、卡巴等

安全天书 2026-04-14T16:59:03 © Hello888

本文介绍了一种自动化扫描和Patch后渗透工具，旨在实现免杀效果，绕过360、火绒、Windows Defender、卡巴等安全软件的检测。文章强调该工具的使用仅限于安全测试和防御研究，不得用于非法目的。文章中提到了工具的功能、支持的安全软件、免杀效果展示以及操作讲解的直播信息。此外，还介绍了相关的研究圈子，分享了一系列的红队技术文章、攻防经验总结、自研工具与插件，涉及免杀对抗、渗透测试、红蓝对抗等多个领域。文章中还展示了一些工具的界面截图，包括自动化白文件Patch免杀后渗透工具的配置界面和mimikatz的版本信息，以及360安全卫士的扫描结果。

网络安全工具红队攻防渗透测试免杀技术安全研究技术分享实战技巧

0xab Windows中如何根据systeminfo信息获取需要修复的漏洞列表

一个努力的学渣 2026-04-14T16:42:07 © 一个努力的学渣

本文主要介绍了如何使用WES-NG工具对系统漏洞进行分析和管理。首先，文章强调了在进行网络安全研究时，应仅对授权环境使用相关工具，并遵守法律法规。接着，详细介绍了WES-NG工具的安装和使用方法，包括从GitHub克隆项目、安装依赖库以及使用pip进行安装。文章还列出了WES-NG的多个可选参数，如更新漏洞定义库、指定已安装补丁、过滤漏洞等，并提供了具体的命令示例。此外，文章还介绍了如何使用WES-NG扫描系统漏洞，并将结果导出到文件中。最后，文章提到了如何手动指定补丁编号、按补丁日期过滤漏洞、使用自定义漏洞库文件扫描等高级用法。通过这些方法，用户可以更有效地管理和修复系统漏洞，提高系统的安全性。

漏洞扫描系统信息收集补丁管理漏洞利用过滤与筛选工具使用 CVE 红队/蓝队应急响应

0xac 【漏洞通告】Marimo WebSocket 认证绕过漏洞(CVE-2026-39987)

深信服千里目安全技术中心 2026-04-14T16:20:37 深瞳漏洞实验室

Marimo WebSocket 认证绕过漏洞（CVE-2026-39987）是一个高危漏洞，影响Marimo组件在0.23.0版本之前的所有版本。该漏洞允许未经身份验证的攻击者通过终端WebSocket端点/terminal/ws执行任意系统命令，从而绕过认证机制。漏洞存在于默认配置下，无需用户认证即可被利用。深瞳漏洞实验室于2026年4月14日监测到该漏洞，并发布了相应的漏洞通告。官方已发布修复该漏洞的最新版本0.23.0，建议用户及时更新以避免安全风险。此外，深信服提供了风险资产发现、漏洞主动检测等服务，帮助用户识别和修复这一漏洞。

漏洞通告认证绕过 CVE编号 Marimo组件 Python安全远程代码执行高危漏洞版本更新安全响应

0xad 帆软报表v11最新版 channel 浅析

神隐攻防实验室 2026-04-14T16:08:02 路人甲

本文详细分析了一个针对帆软报表系统的网络安全漏洞链。该漏洞利用链涉及Token校验绕过和Java反序列化。首先，通过向/webroot/decision/remote/design/verify接口发送加密密码获取Token，并将Token添加到请求中以绕过Channel接口的Token校验。接着，利用一个经典的堆栈溢出链，该链的入口点是com.fr.third.guava.collect.ImmutableSetMultimap的readObject方法。该漏洞利用了UsingToStringOrdering比较器的toString方法，通过触发comparator#compare方法来执行恶意代码。在最新版的帆软系统中，HSQL数据库的call SQL语句调用受限，并且反序列化时添加了沙盒机制限制文件写入。因此，攻击者需要寻找不需要落地文件的解决方案，如通过二次反序列化完成远程代码执行。该利用链通过com.fr.json.JSONArray的getter触发，绕过黑名单限制，并利用org.apache.catalina.tribes.io.XByteBuffer的deserialize方法进行二次反序列化。由于新版本禁用了TemplatesImpl，攻击者替换为javax.swing.JFormattedTextField.FocusLostHandler#run()来触发代码执行。最后，通过反射调用detachThreadFromDomain方法移除沙盒限制，实现最终的远程代码执行。

反序列化漏洞 Java 安全漏洞远程代码执行 (RCE) Web 安全代码审计沙盒逃逸 APT 攻击 (可能)

0xae 帆软报表v11最新版 channel浅析

红细胞安全实验室 2026-04-14T15:58:05 © 路人甲

本文分析了帆软报表软件中一个涉及远程代码执行（RCE）的漏洞利用链。该漏洞利用链利用了 com.fr.third.guava.collect.ImmutableSetMultimap 对象的反序列化功能。攻击者首先通过 /webroot/decision/remote/design/verify 接口获取 Token，并在随后的请求中使用该 Token。漏洞的核心在于 ImmutableSetMultimap 的反序列化过程中，其 Comparator（UsingToStringOrdering）在比较过程中调用了 toString 方法，从而触发远程代码执行。文章详细描述了如何通过 Getter 触发 toString，并利用二次反序列化链实现 RCE。由于最新版帆软限制了 HSQL 的 call SQL 语句和文件写入，文章提出通过二次反序列化来绕过限制，并使用 javax.swing.JFormattedTextField.FocusLostHandler#run() 触发代码执行。此外，文章还提到了如何通过反射调用 detachThreadFromDomain 方法来移除 SecurityManager 的限制，从而执行后续操作。最后，文章推荐了相关的代码审计课程，涵盖了各类产品的 0day 漏洞挖掘与分析。

反序列化漏洞远程代码执行安全机制绕过二次反序列化 Java deserialization Spring Framework Web安全安全审计

0xaf Vibe Coding JWT密钥还是secret-key-here？AI代码藏巨大弱点！

黑客茶话会 2026-04-14T13:57:29 © 我真tm厉害

本文揭示了AI生成代码中JWT密钥的安全问题。研究表明，近45%的AI生成的JWT认证代码存在弱密钥或密钥硬编码问题，这使得攻击者能够快速通过字典攻击破解密钥，进而伪造任意用户身份。文章详细分析了JWT的工作原理和弱密钥的危害，指出AI生成代码中常见的弱密钥模式，如通用弱密码、教程占位符、默认配置值和AI提示词残留等。同时，文章还展示了如何利用这些弱点进行攻击，并提供了一系列防御措施，包括使用强密钥、严格锁定算法、避免密钥硬编码、验证所有Payload字段以及使用Gitleaks/TruffleHog扫描Git历史等。文章强调，开发者需要在享受AI开发速度的同时，提高安全意识，确保系统的安全性。

AI安全 JWT安全代码审计密钥管理漏洞分析渗透测试安全最佳实践开发安全

0xb0 我使用了两个Endpoints，结果被判定为 CVE

安全狗的自我修养 2026-04-14T12:37:37 haidragon

本文详细描述了一起由未认证的 Zammad API 引起的 CVE-2026–34723 漏洞。作者通过子域名枚举发现了一个名为 newzammad 的子域名，并发现该子域名指向的是一个真实的生产系统。通过使用 curl 工具直接访问 API 接口，作者发现了一些敏感信息，包括内部邮箱、部门名称、SLA 配置和邮件通道配置等。更严重的是，作者还发现了一个使用 GitLab OAuth 作为 SSO 的敏感接口，该接口同时启用了 API Token + 密码认证。作者指出，虽然这是一个信息泄露问题，但它实际上是一个完整的钓鱼攻击工具包，攻击者可以利用这些信息进行精准钓鱼攻击。作者还强调了子域名枚举的重要性，未认证接口扫描的必要性，以及上下文对漏洞等级的影响。最后，作者分享了漏洞的披露时间线，并给出了修复建议。

API安全信息泄露子域名枚举漏洞赏金钓鱼攻击横向移动 CVE 安全响应安全团队漏洞评分

0xb1 Burp 官方 MCP Server

攻防录 2026-04-14T11:27:47 © 攻防路

PortSwigger推出的Burp Suite的MCP Server扩展，允许用户通过支持MCP协议的AI客户端如Claude Desktop、Cursor、Windsurf等，直接在Burp Suite中执行渗透测试任务，包括抓取历史、修改数据包、发送请求和运行Collaborator。MCP Server支持两种传输协议：SSE（Server-Sent Events）和Stdio。AI客户端可以通过SSE直接连接到Burp扩展，而Claude Desktop则使用内置的Stdio代理服务器进行协议转换。该扩展提供了丰富的工具定义机制，支持分页处理，并暴露了多种工具类别，如HTTP请求发送、编解码、配置管理、历史记录和任务控制等。此外，MCP Server还实现了两层安全性控制，并通过自动截断响应体内容来防止LLM上下文溢出。文章还提供了安装MCP Server的详细步骤和接入MCP客户端的方法，并介绍了如何利用AI客户端进行实际的渗透测试场景，如翻Proxy历史查找漏洞、使用Collaborator进行外带测试和联动Repeater进行改包测试。

Burp Suite 渗透测试工具 AI辅助渗透自动化测试网络安全扩展编程语言Kotlin Java 跨平台工具配置管理数据安全性

0xb2 Vue新攻击面-动态路由实战狩猎

Spade sec 2026-04-14T10:31:15 月 \x26amp; 0xsdeo

本文详细介绍了如何利用动态路由技术进行Vue网站的渗透测试，以发现未授权访问、信息泄露和SQL注入等漏洞。文章首先指出传统测试方法的局限性，即无法有效测试所有接口和参数。接着，提出了通过Hook JS路由数组来加载未被系统加载的路由页面，从而访问更多功能点。文章详细讲解了如何定位和替换路由数组，以及如何使用AntiDebug插件清除跳转。通过实际案例，展示了如何利用动态路由技术发现未授权增删改、信息泄露和SQL注入等漏洞。此外，文章还介绍了如何利用正则提取更多接口，以及如何通过功能点调用复用参数进行漏洞挖掘。最后，强调了清除跳转功能在测试过程中的重要性，以及如何利用该功能发现更多漏洞。

Web安全漏洞挖掘渗透测试 Vue.js 动态路由未授权访问信息泄露 SQL注入反调试接口测试

0xb3 Vue新攻击面-动态路由实战狩猎

月的造梦星球 2026-04-14T10:20:59 © 月 \x26amp; 0xsdeo

本文主要探讨了如何利用动态路由技术在Vue网站中进行渗透测试，以发现未授权访问和信息泄露等漏洞。文章首先介绍了两种常见的漏洞挖掘测试网站形式：可注册和不可注册。对于不可注册的网站，通常需要通过前台登录框或接口测试来挖掘漏洞，但这些方法往往耗时且效率低下。文章提出了一种基于动态路由技术的解决方案，通过Hook JS路由数组，实现对未加载路由的加载和测试。这种方法比独立测试接口更高效，更容易发现未授权访问和信息泄露问题。文章详细介绍了如何定位未加载路由函数、Hook替换已加载路由数组，以及如何使用AntiDebug插件清除跳转功能，从而实现对后台页面的未授权访问。此外，文章还讨论了如何利用JSON体复用和接口参数复用等技术，进一步挖掘更多漏洞。最后，文章介绍了AntiDebug_Breake插件的功能，该插件不仅可以逆向反调式网站算法，还可以绕过路由守卫并清除跳转，从而更方便地进行动态路由调试和漏洞挖掘。

Web安全漏洞挖掘 Vue.js 动态路由接口测试未授权访问信息泄露 SQL注入 AntiDebug

0xb4 【漏洞通告】GNU InetUtils Telnetd远程身份验证绕过漏洞（CVE-2026-24061）

绿盟科技CERT 2026-04-14T10:17:38 NS-CERT

绿盟科技CERT监测到GNU发布安全公告，修复了GNUInetUtilsTelnetd远程身份验证绕过漏洞（CVE-2026-24061）。该漏洞由于telnetd进程在调用/usr/bin/login时未对从客户端传入的USER环境变量值进行有效校验所致。未经身份验证的攻击者可通过客户端构造特制的USER环境变量值，并使用telnet(1)的-a或--login参数发送到服务器，从而绕过正常的身份验证以root权限登录目标主机。该漏洞的CVSS评分为9.8，属于高危漏洞，目前漏洞细节与PoC已公开。建议相关用户尽快采取措施进行防护，例如升级到不受影响的版本或禁用telnetd服务。

远程代码执行身份验证绕过服务端漏洞 GNU软件 Telnet相关环境变量注入

0xb5 【漏洞通告】GNU InetUtils Telnetd远程身份验证绕过漏洞（CVE-2026-24061）

绿盟科技CERT 2026-04-14T10:14:52 NS-CERT

近日，GNU InetUtils Telnetd被曝出存在一个远程身份验证绕过漏洞（CVE-2026-24061），该漏洞由绿盟科技CERT监测并发布安全公告。漏洞源于telnetd进程在调用login时未对USER环境变量值进行有效校验，攻击者可通过构造特制的USER环境变量值，使用telnet的-a或--login参数发送到服务器，从而绕过身份验证以root权限登录目标主机。该漏洞CVSS评分为9.8，属于高危级别。受影响的版本包括1.9.3到2.7的GNU Inetutils。官方已发布安全补丁，用户应尽快更新。此外，建议禁用telnetd服务并替换为sshd服务，或者配置InetUtils telnetd使用自定义地址的login工具，并禁止使用-f参数作为临时防护措施。

漏洞预警 CVE编号身份验证绕过远程攻击 GNU InetUtils Telnet服务安全补丁 Linux安全网络安全工具

0xb6 【高危漏洞预警】Nginx ngx_http_dav_module堆缓冲区溢出漏洞(CVE-2026-27654)

e安在线 2026-04-14T10:08:39 e安在线

本文介绍了Nginx服务器中存在的一个高危漏洞CVE-2026-27654，该漏洞源于处理WebDAV协议的MOVE或COPY方法时，由于ngx_http_map_uri_to_path函数对Destination头部进行路径映射时出现无符号整数下溢导致堆缓冲区溢出。该漏洞影响多个版本的Nginx开源和Plus版本，攻击者可以利用该漏洞实现任意文件读写、部署Webshell并最终达成远程代码执行或导致服务拒绝。文章提供了漏洞影响的产品版本、修复建议、缓解方案以及建议措施，包括及时更新至最新版本、禁用WebDAV功能、修改配置结构、加强监控与检测等。

高危漏洞 Nginx漏洞堆缓冲区溢出远程代码执行 WebDAV 服务器安全安全补丁安全配置

0xb7 Google把登录会话和设备绑定，反制Cookie盗窃开始“前移”

汇能云安全 2026-04-14T09:56:48

本文报道了近期网络安全领域的多项重要事件和趋势。Anthropic发布的Claude Mythos模型引发关注，其自动化漏洞挖掘能力可能对传统安全策略构成挑战。黑客利用AI工具攻破墨西哥九家政府机构，显示出AI在网络安全攻防中的实战化趋势。Nginx高危漏洞和Acrobat Reader零日漏洞的发现，提醒用户关注常见软件的安全更新。Google推出新的登录会话保护措施，将安全防线前移，以防止Cookie盗窃。OWASP发布的MCP十大安全风险指出，未来AI系统的安全关键在于其连接层。供应链投毒事件频发，提醒开发者和运维团队重视供应链安全。此外，Basic-Fit数据泄露事件也再次提醒了数据保护的重要性。

AI安全漏洞披露设备安全社交工程定向攻击供应链安全数据泄露漏洞利用浏览器安全网络攻防

0xb8 Windows应急响应内存检索工具，支持进程内存扫描+网络外联关联，快速定位恶意进程

黑白之道 2026-04-14T09:48:21

本文介绍了一款名为Memscan的Windows应急响应内存检索工具。该工具利用Gemini+豆包大模型辅助，由Go语言编写，旨在帮助安全研究者快速扫描全进程内存中的恶意域名、IP和特征码。Memscan具备自动关联进程活跃TCP外联信息的功能，支持全进程可读/可执行内存区域扫描，并允许用户进行正则匹配和大小写区分。此外，工具还提供PID合并和平铺双模式的结果展示，并支持实时过滤和TXT报告导出。Memscan是一个单EXE文件，无需额外依赖，可直接使用。文章最后提醒读者，所涉及的技术、思路和工具仅供安全学习交流，禁止用于非法用途和盈利目的。

内存分析恶意代码检测进程监控网络外联检测应急响应安全工具开源软件

0xb9 未修复的RAGFlow漏洞：低权限用户也能远程执行命令

幻泉之洲 2026-04-14T09:41:00

RAGFlow 0.24版本存在一个未修复的高危漏洞，允许低权限用户执行任意代码。该漏洞仅在用户使用Infinity作为存储后端时存在，影响了超过7.7万颗星的GitHub项目。研究团队在2026年3月发现该漏洞，但官方反应迟缓。漏洞源于_rank_feature_scores()函数中的eval()调用不当，使得攻击者可以通过公开API向数据库写入恶意代码，并在特定条件下执行。尽管官方尚未发布修复补丁，已有第三方提交了修复方案。用户应采取措施保护自己的RAGFlow实例，包括确保实例不暴露在公网上，使用强密码，并监控服务器进程。该漏洞再次强调了开源项目安全响应流程的重要性。

漏洞披露远程代码执行开源安全代码审计数据库安全内网安全用户权限管理安全响应

0xba Agent Security 沙箱可持久化深度报告

ChaMd5安全团队 2026-04-14T08:03:28 © ChaMD5 AI Group

本文详细分析了Agent Security沙箱的安全测试结果。ChaMd5 AI安全团队对互联网产品中的Agent进行了深入的安全测试，并负责任地披露了相关安全测试结果。文章探讨了Agent深度应用下的沙箱安全边界，从沙箱安全演变到自然语言RCE的核心风险点。文章还指出了沙箱持久化和跨域复用等深度隐患，并介绍了针对这些隐患的核心测试维度。测试小组构建了四个测试模块，包括提示词诱导下的持久化植入、沙箱隔离性边界探测、外发通信与隐蔽隧道以及水平越权与会话污染，以验证沙箱的安全性能。最后，文章提供了一个详细的报告下载链接，供读者进一步了解沙箱的安全性。

沙箱安全自然语言处理代码执行安全漏洞研究 Agent安全网络安全测试源码分析安全漏洞披露

0xbb 漏洞预警 | Apache ActiveMQ远程代码执行漏洞

浅安安全 2026-04-14T07:50:18 浅安

Apache ActiveMQ，一个由Apache软件基金会开发的开源消息中间件，近日被发现存在一个远程代码执行漏洞（CVE-2026-34197），该漏洞被评定为高危级别。漏洞源于ActiveMQ通过/api/jolokia/暴露的Jolokia JMX-HTTP接口，默认访问策略允许对org.apache.activemq:* MBeans执行exec操作。由于对输入的discovery URI参数缺乏有效校验，攻击者可以构造恶意brokerConfig参数，从而触发ResourceXmlApplicationContext加载远程Spring XML配置。在Spring初始化阶段，攻击者可以借助具备认证用户权限，通过Runtime.exec()等方法执行任意代码。此漏洞影响了Apache ActiveMQ Broker版本5.19.46.0.0之前的版本以及Apache ActiveMQ 6.2.3之前的版本。目前官方已发布修复版本，建议用户尽快升级以避免安全风险。

远程代码执行消息中间件漏洞 JMX-HTTP接口安全输入验证漏洞 Apache ActiveMQ 高危漏洞漏洞修复

0xbc 漏洞预警 | 孚盟云SQL注入漏洞

浅安安全 2026-04-14T07:50:18 浅安

本文报道了一起针对孚盟云平台的高危SQL注入漏洞。孚盟云是一款基于云计算和物联网技术的企业服务平台，提供数字化管理和运营解决方案。该漏洞存在于/m/Dingding/Ajax/PriceList.ashx接口，未经验证的攻击者可以利用此漏洞窃取数据库中的敏感信息。目前，官方已经发布了漏洞修复版本，建议用户尽快升级至安全版本。此漏洞的发现和修复对于保障企业数据安全和平台稳定运行具有重要意义。

SQL注入漏洞高危漏洞云计算安全企业服务平台安全漏洞修复网络安全意识

0xbd 微软发布与俄罗斯军方有关联的威胁组织 Forest Blizzard利用SOHO路由器中间人攻击警告

暗镜 2026-04-14T07:00:27 © ZM

微软近期警告称，与俄罗斯军方有关联的威胁组织Forest Blizzard正在利用SOHO路由器进行中间人攻击。该组织入侵家庭和小型办公室的互联网设备，修改其设置，使其成为恶意基础设施的一部分，用于监视其他目标或发起后续攻击。微软威胁情报部门分享了有关此次攻击活动的信息，并提供了缓解和保护建议。自2025年8月起，Forest Blizzard及其子组织大规模利用SOHO设备漏洞，劫持DNS请求以收集网络流量。该组织还针对基于TLS的Microsoft Outlook网络域名发起中间人攻击。微软识别出超过200家组织和5000台消费者设备受到其恶意DNS基础设施的影响。文章详细分析了Forest Blizzard的攻击链，包括入侵路由器、DNS劫持和中间人攻击，并提供了缓解和保护措施，包括使用零信任DNS、防止已知或恶意域名、增强云计算环境下的网络安全、防范AiTM攻击和凭证盗窃等。

威胁情报网络安全攻击 DNS劫持中间人攻击（MITM） SOHO设备安全国家级黑客组织恶意软件和间谍活动企业网络安全 TLS安全

0xbe Apache ActiveMQ存在远程代码执行漏洞(CVE-2026-34197) 附POC

南风漏洞复现文库 2026-04-14T00:14:35 2026-4-14更新

本文详细介绍了Apache ActiveMQ中的一个严重远程代码执行漏洞（CVE-2026-34197）。Apache ActiveMQ是一个开源的多协议消息代理服务器，该漏洞由于允许对ActiveMQ MBeans执行exec操作，使得攻击者能够通过Web控制台默认暴露的Jolokia JMX-HTTP bridge操作ActiveMQ MBeans，进而构造包含brokerConfig参数的discovery URI，加载远程恶意Spring XML配置文件，导致代码执行。文章提供了漏洞的影响版本、Fofa查询语句、漏洞复现过程以及相应的POC和EXP。同时，还提到了整改意见，如升级至最新版本、设置管理控制界面仅对可信地址开放、修改默认口令等，以降低安全风险。文章最后提醒读者不要利用文中提供的信息进行非法测试，并介绍了POC工具箱和知识星球的相关信息。

远程代码执行漏洞 Apache ActiveMQ 开源软件消息代理服务器 Jolokia 漏洞复现安全漏洞安全防护网络安全

0xbf CTFshow-Pwn堆利用-前置基础(135-141)

玫家大院 2026-04-13T21:52:51 © 玫幽倩

本文详细分析了多个与堆内存操作相关的题目，涵盖了堆内存管理的基本函数如malloc、calloc、realloc、free、sbrk、brk以及mmap和munmap。文章首先介绍了这些函数的基本作用和用法，例如malloc用于动态分配内存，calloc分配并初始化内存，realloc调整内存大小，free释放内存等。接着，文章通过具体的题目实例演示了这些函数在实际应用中的行为，如pwn135展示了malloc、calloc和realloc的使用，pwn136探讨了内存释放后的状态，pwn137介绍了sbrk和brk函数，pwn138演示了mmap和munmap在匿名映射中的应用，pwn139展示了从文件中读取内容并写入堆内存的过程，pwn140演示了多线程下的堆内存管理，最后pwn141深入分析了UAF（Use After Free）漏洞的利用方法和修复方法。文章通过这些实例帮助读者理解堆内存的管理机制和常见漏洞，并提供了一些实用的技巧和方法。

堆内存管理内存安全漏洞动态内存分配堆溢出程序调试缓冲区溢出逆向工程

0xc0 最新社交工程攻击：用 Facebook 加好友投递 RokRAT 远程木马

泷羽Sec-Norsea 2026-04-13T21:50:10 © Ravie Lakshmanan

韩国安全公司Genians Security Center发布报告，揭露朝鲜关联APT组织APT37利用Facebook社交工程攻击，通过在Facebook上主动添加好友，建立信任后诱导受害者下载被篡改的PDF阅读器，植入远程访问木马RokRAT。APT37是朝鲜 Reconnaissance General Bureau下属的长期活跃网络间谍组织，RokRAT是其核心武器。攻击分为六个阶段，包括社交工程、诱导下载恶意压缩包、初始执行、第二阶段载荷投递、最终载荷释放以及持久化与数据窃取。攻击者使用合法软件篡改、合法基础设施滥用和文件扩展名伪装等手段，通过多平台通信转移降低被封禁风险。安全启示包括提高社交媒体警惕、只从官方渠道下载软件、部署EDR/XDR工具、进行社交工程培训、开启两步验证等。

社交工程攻击 APT攻击远程访问木马恶意软件投递软件供应链攻击 Facebook安全 C2通信网络安全意识恶意软件分析

0xc1 告别常规API网关转发：云函数隐匿 C2 新思路

心碎小鹤Sec 2026-04-13T21:09:00 © 心碎小鹤

本文探讨了利用云函数进行命令与控制（C2）通信的技术，特别是在传统方法如CDN和域前置面临云厂商限制的背景下。文章指出，云函数具有高信誉域名、动态IP、HTTPS加密和低成本等优点，适合作为C2通道。由于许多云厂商不再提供API网关，文章介绍了一种新的云函数触发方法，声称是全网首发的技术。以腾讯云为例，文章提供了详细的Python脚本，该脚本能够将请求转发到真实的C2地址，同时伪装成合法的CDN流量。此外，文章还提供了相应的CobaltStrike Profile配置文件，用于与云函数通信。文章强调，通过这种方式，流量难以被追踪，隐蔽性高，并且可以根据目标业务特征进行定制，以增强隐蔽性。

Web安全命令与控制(C2) 基础设施安全反侦察云安全脚本编程 CobaltStrike

0xc2 漏洞挖掘 | 一次数据库是Hive的SQL注入

进击的HACK 2026-04-13T21:04:58 © 进击的HACK

本文记录了一次针对Hive数据库的SQL注入漏洞挖掘过程。作者在挖掘SRC时发现了一个Hive数据库的SQL注入点，并尝试通过传统的SQL注入手法获取数据库名和用户名，但遇到了数据库类型不支持的报错。通过查询AI得知数据库类型为Hive，并尝试使用sqlmap进行注入测试，但sqlmap不支持Hive数据库。随后，作者手动分析了SQL语法，并通过布尔盲注的方法找到了多个注入点。在测试过程中，作者发现使用不同的SQL构造方式会导致不同的响应内容，最终成功枚举出了当前用户名。文章总结了Hive数据库SQL注入的特点，并指出这是作者第一次遇到Hive数据库的SQL注入漏洞挖掘。

SQL注入数据库安全漏洞挖掘 Hive数据库网络安全工具盲注攻击安全响应中心

0xc3 记一次渗透赌博棋牌APP

安锐信安全攻防实验室 2026-04-13T20:34:28 星阅安全

该文章记录了一次利用模拟器安装APP并使用BURP抓包分析进行SQL注入的过程。作者在信息收集阶段已知目标开放1433端口，因此直接使用--dbms=mssql参数加速注入过程。由于注入点为SA权限，作者尝试使用--os-shell未成功，后改为指定跑stack queries成功，且未导致权限降级。接下来，作者尝试获取绝对路径以写入shell，但由于注入点变为延时型导致速度过慢而放弃。随后，作者通过dir/s/b命令搜索网站文件路径，成功获取绝对路径并写入shell马，但由于位置不够隐蔽，计划后续更换。作者还尝试获取SA密码，但因考虑到密码复杂性而放弃爆破，转而读取配置文件获取后台和代理后台地址。最后，作者通过数据库查到密码并登录后台，发现后台有三万多用户，内容涉及赌博，对此表示疑惑。整个过程涉及参数使用、权限维持、路径获取、shell写入等多个网络安全技术点。

SQL注入 Web安全 MSSQL注入信息收集命令执行权限提升服务器获取安全意识

0xc4 漏洞预警：LiteLLM未鉴权命令执行

字节跳动安全中心 2026-04-13T20:20:42

LiteLLM是一个大模型接口兼容和负载均衡工具，存在安全漏洞，可能导致任意代码执行。该漏洞存在于LiteLLM以Proxy服务方式启动时，默认配置下存在风险。网络空间测绘显示，约1至2万LiteLLM代理服务面向公网开放。字节跳动安全团队已发现该漏洞在野利用行为，并已通知项目维护方和监管部门。项目维护方已发布v1.83.0版本进行加固。CVSS评分为严重，漏洞评级为高危。建议用户升级至1.83.0或更高版本，并采取指定host配置和增加高复杂度鉴权密钥等措施以增强安全性。

漏洞预警命令执行安全漏洞软件安全大模型接口负载均衡未授权访问 CVSS评分版本更新安全响应

0xc5 【工业控制系统网络安全系列课程】第3课-工业控制系统的网络安全风险-用于防御攻击的被动和主动发现技术

老付话安全 2026-04-13T20:04:25 © 老付话安全

本文详细介绍了Linux系统的.bash_history文件在网络被动发现中的应用，以及主动发现技术的原理、方法和注意事项。被动发现通过分析.bash_history文件，可以识别用户连接过的主机、发现敏感信息、了解运维习惯以及追溯攻击痕迹。主动发现则通过向目标网络发送探测数据包，识别活跃主机、开放端口、运行的服务和操作系统类型，类似于声呐的工作原理。主动发现的优势在于能够获取更全面的信息，验证网络安全策略，进行资产盘点与变更管理，并支持渗透测试与风险评估。文章重点介绍了ARP-Scan和Nmap工具在主动发现中的应用。ARP-Scan用于快速扫描本地子网上的活动IPv4设备，显示收到的ARP响应。Nmap则是一个功能强大的网络扫描工具，主要用于主机发现和端口扫描，能够进行操作系统和版本检测，通过分析目标系统发送的数据包中的特定特征来推断操作系统类型及版本，并通过与开放端口上的服务交互识别具体的应用程序名称和版本号。在ICS环境中使用Nmap等主动发现工具需要特别谨慎，因为扫描可能导致控制器崩溃、设备死机或配置丢失，建议仅在隔离的非生产网络中使用，并采用慢速扫描，避免使用操作系统检测等高危选项。

0xc6 【工具】Copier-Plus：批量保存Burp报文

NOVASEC 2026-04-13T20:01:05 © 酒零

本文介绍了一款名为Copier-Plus的Burp Suite扩展工具，该工具基于原Copier项目，增加了批量保存Burp报文的功能。Copier-Plus允许用户通过自定义规则轻松复制请求和响应，同时提供了多种保存方式，包括剪贴板、单文件和多文件。此外，该工具还支持正则替换内容、标记Location部分报文、Base64编码选择以及Json格式输出等功能。文章还提供了Copier-Plus的安装和使用方法，以及如何通过配置文件进行自定义设置。

网络安全工具 Burp Suite 扩展数据提取与保存批量处理数据处理规则开发资源开源软件

0xc7 安卓逆向 droids0-4题WP

Sec朝阳 2026-04-13T19:25:28 © 朝阳

文章详细描述了几个PicoCTF网络安全挑战题的解题过程。首先，在droids0题中，通过审计Manifest文件和Activity，发现程序在启动时加载了Native库libhellojni.so，提示Flag可能在Native层。进一步分析发现，FlagstaffHill类可能是个包装类，真正的逻辑在Native层，但直接查看so文件无果。接着，droids1题要求寻找密码，通过静态分析和调试，最终在Java代码中找到一个数组计算逻辑，解得密码。droids2题同样需要找密码，通过Hook技术拦截并修改了getFlag方法的实现，最终调用Native函数获得结果。droids4题难度较高，通过Hook技术拦截输入并调用Native函数cardamom，成功获取Flag。文章强调了静态分析、动态调试、Hook技术和Native库在Android安全题目中的重要性，并详细解释了每个题目的解题思路和关键点。

Android逆向工程日志分析 Native代码分析 FridaHook 密码恢复/破解字符串操作代码审计

0xc8 Apache Tomcat 漏洞使加密拦截器绕过成为可能

安全圈的那点事儿 2026-04-13T19:13:00 © 网络安全9527

Apache 软件基金会近期发布了针对 Apache Tomcat 的关键安全更新，以解决三个新发现的漏洞。这些漏洞可能导致攻击者破坏加密通信、利用有缺陷的补丁以及绕过客户端证书认证。其中一个漏洞（CVE-2026-29146）允许攻击者通过填充预言攻击解密被拦截的流量。第二个漏洞（CVE-2026-34486）允许攻击者绕过 EncryptInterceptor，尽管这是对第一个漏洞的修复。第三个漏洞（CVE-2026-34486）涉及到数字证书验证，可能导致客户端证书身份验证错误地信任无效证书。Apache 软件基金会建议用户升级到最新版本的 Apache Tomcat 来解决这些问题，并确保网络基础设施的安全。

Web服务器安全加密漏洞认证绕过漏洞修复安全更新安全最佳实践

0xc9 关键的WordPress插件漏洞让攻击者绕过认证并获得管理员访问权限

安全圈的那点事儿 2026-04-13T19:08:00 © 网络安全9527

一个严重的安全漏洞CVE-2026-1492被发现在广泛使用的WordPress用户注册与会员插件中，该漏洞使得攻击者可以绕过登录流程，无需用户名、密码即可获得管理员权限。该漏洞影响了所有版本的用户注册与会员插件，直到5.1.2版本。漏洞的根本原因是用户输入验证不当和授权检查不足。攻击者通过提取客户端JavaScript中的安全令牌（nonce）值，可以设计恶意请求，触发特权后端操作。成功攻击后，攻击者可以完全控制受影响的网站，包括安装或修改插件、窃取用户数据、篡改内容等。研究人员警告，该漏洞已被地下论坛讨论并分享，因此网站管理员应立即更新插件至安全版本，审查管理员账户，并加强服务器端验证和端点访问控制。

WordPress 漏洞认证绕过插件安全远程攻击 CVSS评分数据泄露风险应急响应后端安全安全令牌管理最小权限原则

0xca APT37 利用 Facebook、Telegram 与木马化安装包发起新一轮定向网络攻击

安全圈的那点事儿 2026-04-13T19:02:00 © 网络安全9527

本文分析了APT37组织利用社交媒体和木马化安装包进行的新一轮定向网络攻击。攻击者通过Facebook和Telegram发送好友请求，建立信任后，以分享加密军事武器文件为借口，诱导受害者安装篡改的Wondershare PDFelement安装程序。该恶意程序通过修改安装程序入口点，注入shellcode并执行解密的有效载荷，最终实现无文件的多阶段执行。攻击者利用Zoho WorkDrive进行C2通信，并收集敏感数据。文章详细描述了攻击流程、恶意软件的技术细节和防御建议，强调了基于行为的EDR在防御此类攻击中的重要性。

定向攻击社会工程学恶意软件分析进程注入云服务滥用文件伪装 XOR加密 EDR技术朝鲜APT组织

0xcb Marimo 高危预认证 RCE 漏洞已遭活跃利用

代码卫士 2026-04-13T18:41:49 Bill Toulas

Marimo开源响应式Python笔记本平台存在一个严重漏洞CVE-2026-39987，CVSS评分9.3，攻击者无需认证即可实现远程代码执行（RCE）。该漏洞影响Marimo 0.20.4及之前版本，公开披露后10小时即遭利用。云安全公司Sysdig的研究人员发现，攻击者根据开发者公告构造利用，窃取敏感信息。Marimo是一个开源的Python笔记本环境，用于数据科学家、机器学习/人工智能实践者等。漏洞源于WebSocket端点“/terminal/ws”未进行适当认证检查。Marimo已在4月8日披露漏洞并发布0.23.0版本修复。在漏洞公开披露不到10小时后，已有125个IP地址开始侦查活动，攻击者尝试窃取凭据和SSH密钥。建议用户升级到0.23.0版本，监控WebSocket连接，限制外部访问，并更改泄露的密钥。

远程代码执行（RCE）预认证漏洞开源软件漏洞数据科学家工具敏感信息泄露漏洞利用漏洞修复网络安全事件

0xcc MyBatis框架SQL注入漏洞深度剖析

船山信安 2026-04-13T18:10:44

本文深入剖析了MyBatis框架中存在的SQL注入漏洞。文章首先介绍了MyBatis的基本原理和配置方式，重点讲解了#{}和${}两种参数占位符的区别，指出${}直接字符串替换的潜在风险。接着，文章通过一个CMS系统的实际案例，详细分析了SQL注入漏洞的发现、追踪和复现过程，包括全局搜索${}、追踪调用链、构建测试Payload等步骤。最后，文章提出了预防SQL注入的建议，并推荐了几个AI辅助工具，旨在帮助开发者提高代码安全性。

SQL注入 MyBatis 框架安全代码审计漏洞分析安全开发

0xcd 第一节｜身份认证基础：多因子、SSO与JWT核心解析

皮皮宋渗透笔记 2026-04-13T17:51:33 © 皮皮宋

本文深入探讨了网络安全中的身份认证基础，包括多因子认证、单点登录(SSO)和JWT的核心解析。首先，介绍了多因子认证的概念和其三大维度：基于知识、基于物品和基于特征，并讨论了其速度和精确度等评价指标。接着，详细阐述了SSO的原理和流程，包括用户发起请求、重定向至身份校验服务、用户登录、凭证生成和验证等步骤，同时指出了SSO可能存在的安全风险，如信息泄漏和凭证伪造。最后，分析了JWT（Json Web Token）的特点和构成，包括头部、载荷和签名，以及其安全风险，如Header部分算法修改、Payload部分敏感信息泄漏和Signature部分的密钥爆破等。通过学习这些基础认证方式，可以更好地理解和应对日常开发中的安全问题。

身份认证网络安全基础安全架构安全协议密码学攻击与防御

0xce 【漏洞通告】Nginx 缓冲区溢出漏洞 CVE-2026-27654

深信服千里目安全技术中心 2026-04-13T17:22:06 深瞳漏洞实验室

本文报道了Nginx缓冲区溢出漏洞（CVE-2026-27654），这是一个高危漏洞，可能影响多个Nginx版本，包括NGINX开源版和NGINX Plus。该漏洞存在于ngx_http_dav_module模块中，当配置文件使用DAV模块的MOVE或COPY方法、前缀位置（非正则表达式位置配置）以及alias指令时，可能被利用导致NGINX工作进程终止或修改文件名。漏洞的利用难度被评定为困难，需要满足三个特定条件。官方已发布补丁修复此漏洞，建议用户更新到最新版本。同时，深信服提供了风险资产发现和漏洞主动检测的工具，以帮助用户识别和修复受影响的系统。

缓冲区溢出 Nginx Web服务器 CVE编号高危漏洞漏洞通告版本影响补丁修复安全响应安全工具

0xcf 某次SQL注入绕WAF的经历

马哥网络安全 2026-04-13T17:00:58 点击关注👉

本文记录了一次同时绕过代码层过滤和云WAF的SQL注入攻击过程。攻击者首先尝试通用Payload，发现响应中存在报错信息，并观察到关键词如select、from、where被过滤。接着，通过插件探测发现order by判断可以用于注入，并确认系统只有一个列，且model值会拼接到默认表名前缀。由于model值固定为news，直接导致注入成功。尽管代码层过滤了sleep函数等，但case when函数可用。攻击者利用order by和case when构造Payload，通过exp函数产生报错来验证注入效果。进一步通过length函数确定数据库长度，最终成功获取数据库信息。整个过程展示了如何结合代码层过滤和WAF的特性，逐步构造和验证SQL注入Payload，最终实现攻击目标。

SQL注入绕过WAF 代码层过滤注入技巧渗透测试 Web安全

0xd0 安卓逆向草鸟入门

Sec朝阳 2026-04-13T14:53:35 © 朝阳

本文深入探讨了Android逆向工程技术，旨在通过分析应用的代码、资源和行为来理解其功能、结果和潜在的安全问题。文章首先介绍了APK逆向工具，包括雷电模拟器、ADB、JADX、GAD、JEB和Frida等，这些工具在逆向分析中扮演着重要角色。接着，文章详细解析了APK的基本结构，包括AndroidManifest.xml、classes.dex、resources.arsc、assets/、lib/、res/和META-INF/等目录的作用和内容。文章还介绍了Android逆向分析的基础知识，如寻找程序入口点、识别和脱壳、寻找XML布局文件、确定按钮绑定的函数、寻找资源文件等。此外，文章还区分了Java层逆向和Native层逆向，并概述了Android系统的四大组件：Activity、Service、Broadcast Receiver和Content Provider。最后，文章梳理了Android系统的体系结构，包括系统应用、Java API框架、原生C/C++库层、Android运行时层、硬件抽象层、内核层和电源管理。通过静态和动态分析，可以解构APK代码、资源和加固基址，揭示应用的运行逻辑，这对于漏洞挖掘、恶意软件分析、隐私保护和数字取证等领域具有重要意义。

Android 逆向工程 APK 分析安全分析逆向工具 Java 层逆向 Native 层逆向 Android 组件 Android 系统体系

0xd1 红队在 Windows 日志的痕迹清理过程，蓝队溯源反制解决方案

智榜样网络安全学习中心 2026-04-13T14:17:06 © 小智

本文详细介绍了Windows系统痕迹清理与擦除的实战方案，旨在帮助渗透测试人员在合规范围内完成痕迹清理，同时理解对应的防护逻辑。文章首先强调了Windows系统日志与痕迹记录体系的重要性，指出仅清空日志容易触发告警且遗漏痕迹。接着，分别从事件日志、PowerShell操作痕迹、远程桌面RDP登录痕迹、文件操作痕迹以及系统预读取与运行痕迹五个方面，提供了详细的清理步骤和操作技巧，如使用wevtutil工具清理事件日志、清空PowerShell历史记录、修改文件时间戳等。此外，文章还分享了多层跳板代理、操作无痕化、流量伪装等实战反溯源技巧，并强调了蓝队应部署全链路审计体系，将关键日志实时同步到远程平台以应对攻击者的痕迹清理。最后，再次强调了合法授权的重要性，严禁用于非法攻击活动。

Windows安全日志管理痕迹清理攻防对抗蓝队防御安全运维 PowerShell安全反溯源技术

0xd2 打开PDF即中招！Adobe零日漏洞4月在野猎杀

黑客茶话会 2026-04-13T13:31:53 我真tm厉害

本文报道了Adobe Acrobat Reader中的一个严重零日漏洞（CVE-2026-34621），该漏洞允许攻击者通过精心构造的恶意PDF文件执行任意代码，从而远程控制受害者设备。该漏洞自2025年12月以来已在野外被利用超过四个月，全球装机量极大，PoC已公开，Adobe已发布补丁。漏洞评级为CVSS 8.6高危，攻击者通过原型污染技术绕过沙箱限制，实现代码执行。文章详细介绍了漏洞原理、攻击流程、时间线、影响指标以及应对措施，强调所有用户应立即更新软件或采取临时措施保护自身安全。

Adobe Acrobat Reader 漏洞原型污染攻击远程代码执行（RCE）零日漏洞利用沙箱逃逸 JavaScript 安全问题安全补丁管理网络钓鱼攻击企业安全

0xd3 【在野利用】Adobe Acrobat Reader 远程代码执行漏洞(CVE-2026-34621)安全风险通告

奇安信 CERT 2026-04-13T12:17:14

本文介绍了Adobe Acrobat Reader中的一个严重远程代码执行漏洞（CVE-2026-34621），该漏洞被评级为高危，CVSS 3.1分数为8.6。漏洞源于JavaScript引擎未能正确控制对象原型属性的修改，攻击者可以利用此漏洞通过制作恶意的PDF文件诱导受害者打开，从而在用户上下文中执行任意代码，可能导致数据泄露、系统损坏等恶意行为。该漏洞已在野利用，并已有PoC公开。受影响的Adobe Acrobat Reader版本包括Acrobat DC <= 26.001.21367、Acrobat Reader DC <= 26.001.21367和Acrobat 2024 <= 24.001.30356。奇安信CERT建议用户尽快更新至最新版本，并启用自动更新功能以获取安全补丁。

远程代码执行漏洞 Adobe Acrobat Reader PDF文件攻击 JavaScript引擎漏洞高危漏洞在野利用安全补丁漏洞情报

0xd4 【已复现】Nginx ngx_http_dav_module 堆缓冲区溢出漏洞(CVE-2026-27654)安全风险通告

奇安信 CERT 2026-04-13T12:17:14

奇安信CERT发布安全风险通告，指出Nginx ngx_http_dav_module模块存在堆缓冲区溢出漏洞（CVE-2026-27654），该漏洞可能被攻击者利用，通过构造特殊HTTP请求实现任意文件读写、部署Webshell，进而达成远程代码执行（RCE）或导致NGINX worker进程崩溃。该漏洞影响Nginx Open Source和NGINX Plus多个版本，官方已发布安全补丁。建议用户尽快更新至最新版本，或采取其他缓解措施，如移除dav_methods指令、禁用ngx_http_dav_module模块或临时替换alias指令。

Web服务器安全缓冲区溢出 CVE编号远程代码执行（RCE）拒绝服务（DoS）奇安信CERT WebDAV 安全补丁

0xd5 资产测绘工具 -- Asset-Spider（4月9日更新）

Web安全工具库 2026-04-13T11:36:24 X-xing199

本文介绍了一款名为Asset-Spider的网络安全资产测绘工具。该工具具备子域名扫描、漏洞指纹探测、新增规则库和端口扫描等功能。文章中强调了使用该工具进行非法测试的责任由使用者本人承担，并建议在虚拟机中运行以避免潜在的安全风险。文章还提供了工具的网盘下载链接，并附有工具的版本信息、联系方式和GitHub链接。此外，文章中还包含了一些工具的运行界面截图和推荐信息，包括二维码加入交流群聊的提示。

网络安全工具子域名扫描漏洞指纹探测端口扫描资产测绘安全规则库虚拟机运行免责声明

0xd6 文件上传漏洞总结

web安全小白 2026-04-13T11:26:23 web安全小白

本文详细介绍了文件上传漏洞的概念、类型、危害以及修复方案和测试思路。文件上传漏洞是指由于程序未对上传的文件进行严格的验证和过滤，导致用户可以上传可执行的动态脚本文件（如webshell），从而控制整个网站甚至服务器。漏洞类型分为直接文件上传和有条件的文件上传。修复方案包括权限认证、设置上传目录禁止脚本执行、设置上传白名单等。测试思路包括寻找文件上传模块、抓包上传恶意文件、判断上传结果等。文章还列举了常见的网站文件后缀名、多种绕过黑名单的方法（如大小写绕过、空格绕过、利用系统特征绕过等）、文件上传条件竞争漏洞、文件名可控绕过等。最后，文章强调了文件上传安全的重要性，并提供了学习资源。

文件上传漏洞 Web安全漏洞利用安全防御安全测试 Webshell 代码审计中间件漏洞

0xd7 Nginx文件解析漏洞

建哥聊安全 2026-04-13T10:34:34 © 建哥聊安全

本文详细介绍了Nginx文件解析漏洞的实验过程。首先，作者声明了实验的免责条款，并说明了实验目的，即掌握Nginx文件解析漏洞的利用方法。实验环境包括Win10操作机和Centos7.2下的Nginx靶机。实验原理是通过白名单限制文件上传，但Nginx的文件解析漏洞允许绕过这一限制。作者通过实际操作步骤展示了如何创建一个包含PHP脚本的PNG图片文件，并成功上传到靶机。最后，作者总结了实验过程，强调了利用Nginx文件解析漏洞绕过白名单限制解析脚本文件的方法。文章还附带了一些与实验相关的图片和代码示例。

Nginx 漏洞文件解析漏洞白名单绕过 Web 应用安全渗透测试实验教程

0xd8 0day--JeecgBoot v3.9.1 多漏洞审计过程

道一安全 2026-04-13T10:25:53 xia0mai

本文详细分析了JeecgBoot 3.9.1版本中存在的两类网络安全漏洞。第一类是AIRAG MCP模块的命令执行漏洞，该漏洞源于saveAndSync接口将用户可控的endpoint字段直接拼接到sh -c命令中执行，导致认证用户可引发远程命令执行。此漏洞的前提条件是用户已认证且配置文件中allow-sensitive-nodes包含stdio。第二类是SQL注入漏洞，该漏洞绕过了之前版本中引入的黑名单防护机制。通过分析发现，黑名单存在多个绕过方法，如使用%0a换行符绕过select关键词检测，使用current_user绕过user()函数检测，以及使用mysql.innodb_table_stats绕过information_schema检测。此外，有多个接口（如/sys/dict/getDictItems/{dictCode}、/sys/dict/loadDict/{dictCode}等）直接使用MyBatis的${}进行参数拼接，未使用预编译查询，导致SQL注入风险。审计结果表明，JeecgBoot的安全防护仍存在不足，特别是MyBatis的${}使用和黑名单机制的有效性需要进一步改进。

命令执行 SQL注入黑名单绕过 MyBatis注入命令注入 Web安全配置错误低代码平台

0xd9 漏洞复现 | 中成科信综合管理平台 UploadFile 存在任意文件上传漏洞

实战安全研究 2026-04-13T10:04:08

本文详细描述了中成科信综合管理平台中存在的任意文件上传漏洞。该漏洞允许未经身份验证的攻击者通过构造恶意上传请求，绕过文件类型限制，将任意文件上传至服务器。这可能导致远程代码执行或服务器控制，从而影响系统的完整性和安全性。文章提供了漏洞描述、影响版本、测绘语法、漏洞复现步骤、检测POC以及漏洞修复建议。同时，文章也提醒读者，本文内容仅用于技术学习和安全研究，禁止用于非法活动。此外，文章还介绍了内部圈子信息，包括POC数量、实战圈上线、圈子福利、适合对象以及重要提醒等内容。

漏洞分析文件上传漏洞远程代码执行 Web应用安全漏洞复现安全防护

0xda Src--支付漏洞实战

赤弋安全团队 2026-04-13T09:31:18 lifedkk

本文详细描述了一次支付漏洞的实战过程。作者首先强调不要利用文章中的技术进行非法测试，并提醒使用者本人对后果负责。文章以作者尝试修改新上线商品的价格为例，说明了支付漏洞的发现和利用过程。作者通过抓包修改数据，尝试将商品价格修改为0.01元和0元，发现修改成功但支付时显示异常。经过多次尝试，最终将价格修改为1元并成功支付。文章指出支付漏洞的发现需要不断尝试，通过分析数据包来寻找可能的篡改点。此外，文章还展示了相关的抓包数据和支付页面信息，为网络安全学习者提供了实战案例。

支付安全漏洞漏洞挖掘网络安全实战数据包分析安全测试

0xdb 与Claude共处的10分钟：深挖Apache ActiveMQ远程代码执行漏洞（CVE-2026-34197）

赛博知识驿站 2026-04-13T09:30:50 horizon3

CVE-2026-34197 是一个存在于 Apache ActiveMQ Classic 中长达 13 年的远程代码执行（RCE）漏洞。攻击者通过 ActiveMQ 的 Jolokia API 调用特定管理操作，可诱导代理获取远程配置文件并执行任意系统命令。该漏洞需要认证，但默认凭据（admin:admin）普遍存在，导致防御失效。在某些版本（6.0.0–6.1.1）中，由于 CVE-2024-32114 存在，Jolokia API 甚至无需认证即可访问，使 CVE-2026-34197 化身为未经认证的 RCE，带来严重安全风险。ActiveMQ 作为中间件领域的老将，曾受多个漏洞影响，此次问题同样不容小觑。官方已在 ActiveMQ 6.2.3 和 5.19.4 版本中完成修复。漏洞利用了 Jolokia API 调用 addNetworkConnector 操作，通过 vm:// 传输协议和 brokerConfig 参数加载远程 Spring XML 配置文件，实现代码执行。在某些版本中，该漏洞可直接导致未经认证的 RCE。修复建议包括升级到最新版本并确保无默认凭据。检测方法包括分析代理日志、监控异常网络请求和进程行为。

漏洞分析远程代码执行 Apache ActiveMQ Jolokia API 配置管理认证绕过默认凭证安全公告中间件安全 XML外部实体注入（XXE） Spring框架

0xdc 学习干货|首发黑灰产靶场之恶意浏览器插件窃密与远控溯源复盘

州弟学安全 2026-04-13T09:24:53 爱州

本文介绍了一个名为《谁偷了我的数据？》的网络安全靶场环境，旨在帮助学习者熟悉新型浏览器插件威胁的排查手法。靶场模拟了境外间谍及黑灰产组织通过恶意浏览器插件进行隐蔽监控和数据窃取的攻击场景。文章详细讲解了从发现异常外联行为、定位恶意插件、分析时间线、追踪感染源、代码审计到提取C2基础设施的完整排查流程。通过七个任务，逐步引导学习者识别恶意组件、分析其核心逻辑、溯源攻击路径，并最终确定攻击者的C2地址和端口。文章强调了浏览器插件和前端组件在新型攻击中的重要性，并提出了相应的防御建议，包括收紧端点策略、强化进程行为监控、实施零信任与网络隔离等，以帮助企业和个人提升对这类威胁的防范能力。

浏览器安全恶意软件分析攻击链分析数据窃取应急响应社会工程学溯源取证防御策略

0xdd Adobe 修复了正被积极利用的 Acrobat Reader 漏洞 CVE-2026-34621

黑猫安全 2026-04-13T09:13:43 鹏鹏同学

Adobe近期发布了紧急安全更新，针对Acrobat Reader中一个编号为CVE-2026-34621的关键漏洞进行了修复。该漏洞评级为8.6，存在被积极利用的风险，可能允许攻击者执行恶意代码。更新主要针对Windows和macOS平台上的Acrobat及Reader产品，解决了由对象原型属性修改控制不当（即“原型污染”）引起的任意代码执行问题。Adobe表示已经确认了EXPMON创始人李海飞报告的漏洞，并发布了针对所有受影响产品的紧急安全更新。此漏洞被用于传播一个复杂的PDF漏洞利用程序，攻击者通过特制PDF文件在Adobe Acrobat Reader中运行恶意JavaScript。EXPMON的分析表明，此漏洞可能已经被威胁行为者利用长达数月，而先进的检测技术帮助识别了这种复杂零日活动。

软件漏洞代码执行原型污染 Adobe软件安全紧急补丁零日漏洞恶意软件传播漏洞利用信息收集跨平台漏洞

0xde CVE-2026-39987：Marimo 远程代码执行漏洞在披露后数小时内即遭利用

黑猫安全 2026-04-13T09:13:43 鹏鹏同学

CVE-2026-39987是Marimo开源Python笔记本工具中的一个严重漏洞，该漏洞在披露后仅10小时就被攻击者利用。这个漏洞允许未认证的远程代码执行，影响了Marimo 0.20.4及之前版本。Sysdig威胁研究团队发现，攻击者能够在3分钟内完成凭据窃取，展示了快速的技术水平和利用漏洞的能力。尽管Marimo是一个相对小众的工具，其GitHub星标约为19.6k，但攻击者的快速响应表明他们对所有安全公告进行监控，并可能利用AI工具快速开发漏洞利用程序。此案例凸显了漏洞利用的速度加快，即使是小众软件也面临着被攻击的风险，对防御者来说，这意味着没有软件是安全的，攻击者可能会利用详细的公告信息，并且基于CVE的检测可能不足以阻止威胁。

远程代码执行漏洞快速利用开源软件安全漏洞披露攻击者行为蜜罐技术自动化攻击工具 AI辅助攻击软件供应链攻击

0xdf ARM 架构 PWN ret2libc初探

云晞科技Sec 2026-04-13T09:03:45 © 顾白

本文是一篇关于ARM架构下PWN ret2libc技术的初探文章，以2025领航杯的armrop题目为例，详细介绍了ARM架构的PWN攻击方法。文章首先介绍了环境配置过程，包括安装QEMU、GCC依赖库以及使用GDB进行调试的设置。接着，文章回顾了ARM架构的基础知识，包括寄存器（如LR、SP、PC）的功能和32位寄存器的使用。在程序分析部分，作者指出程序存在栈溢出漏洞，并利用该漏洞构造了payload来泄露libc地址。文章详细描述了如何通过ROP链控制寄存器，并使用在线反编译工具辅助分析。最后，作者利用泄露的libc地址计算了system和/bin/sh的地址，并成功实现了提权。整个过程展示了ARM架构下ret2libc攻击的基本步骤和技巧，对于初学者来说是一个很好的学习案例。

ARM架构 Pwn ret2libc 缓冲区溢出漏洞利用二进制分析 ROP Linux 安全学习 Ctf

0xe0 警惕！Chaos僵尸网络爆发新变种：你的Hadoop集群沦为SOCKS代理了吗？

安全圈动向 2026-04-13T08:04:51 Kit Chung

本文深入分析了Chaos恶意软件的最新变种，该变种利用Hadoop配置错误进行攻击。攻击者通过未授权访问，利用恶意应用配置执行远程命令执行（RCE），进而部署恶意软件。新变种的核心机制进行了重大更新，包括去除SSH横向移动和路由器漏洞利用，新增了SOCKS代理模块，使得被感染的主机成为黑客的网络跳板。分析指出，攻击者可能是“银狐”团伙或其同伙。文章最后对运维和安全人员提出建议，强调收敛攻击面，关注出网流量，以应对不断演化的网络安全威胁。

僵尸网络恶意软件云安全 RCE漏洞 SSH爆破 DDoS攻击挖矿代理服务器黑灰产安全配置

0xe1 【登录背后的秘密-第六章第二节】什么！Stay-logged-in Cookie没加盐？还有XSS漏洞？那我就不客气了

升斗安全 2026-04-13T07:56:04 © 升斗安全XiuXiu

本文探讨了网络安全中的一个重要议题，即Stay-logged-in Cookie的安全性问题。文章通过一个实验展示了，即使密码经过哈希处理，攻击者仍然有可能通过获取Cookie中的明文密码。实验分为几个步骤，包括利用存储型XSS漏洞窃取目标用户的Cookie，使用搜索引擎反查哈希值以获取原始密码，最后成功登录并删除受害者账户。文章强调了加盐在密码存储中的重要性，指出加盐可以有效防止此类攻击。文章还提醒读者，安全无小事，尤其是在密码存储方面，小小的加盐动作就能大大提升安全性。

网络安全 XSS攻击 Cookie安全密码安全哈希破解渗透测试实验分析

0xe2 漏洞预警 | parsl SQL注入漏洞

浅安安全 2026-04-13T07:50:39 浅安

本文预警了一个编号为CVE-2026-21892的高危SQL注入漏洞，该漏洞存在于名为parsl的Python并行脚本库中。漏洞主要影响版本为parsl < 2026.01.05，由于parsl-visualize组件参数过滤不严格，攻击者可能利用此漏洞进行未授权的数据库操作，从而获取敏感信息。目前，官方已发布修复版本，建议用户升级到安全版本以消除该漏洞。该漏洞的具体POC尚未公开，但用户可以通过访问提供的链接获取最新的安全版本。

SQL注入开源软件漏洞 Python安全数据库安全高危漏洞

0xe3 漏洞预警 | LEAN MES系统SQL注入漏洞

浅安安全 2026-04-13T07:50:39 浅安

本文报道了一起关于LEAN MES系统的SQL注入漏洞。LEAN MES系统是由深圳市深科特信息技术有限公司开发的一款用于车间管理的应用系统，包括生产调度、产品跟踪、质量控制等功能。该系统中的/Handler/TestManagePlatform.ashx接口存在SQL注入漏洞，攻击者可利用此漏洞构造恶意SQL语句，从而获取数据库中的敏感信息或进行未授权操作。此漏洞被评定为高危级别。目前，官方已经发布了漏洞修复版本，建议用户升级至安全版本以防止潜在的安全风险。漏洞的详细信息和修复建议可以在指定链接中找到。

SQL注入漏洞高危漏洞 MES系统安全工业控制系统安全数据库安全漏洞修复

0xe4 Fortinet FortiClientEMS 访问控制不当漏洞CVE-2026-35616利用分析及历史漏洞总结

暗镜 2026-04-13T06:00:17 © ZM

本文分析了Fortinet FortiClientEMS中一个严重的访问控制不当漏洞CVE-2026-35616。该漏洞允许未经身份验证的远程攻击者通过构造请求绕过API身份验证，执行任意代码。文章指出，Fortinet设备一直是攻击者的目标，CISA的已知利用漏洞列表中有24个Fortinet CVE，其中13个与勒索软件攻击有关。文章回顾了Fortinet设备历史上的一些重大漏洞，并提到CVE-2026-21643，这是另一个影响FortiClientEMS的漏洞，已被实际利用。文章还提到，截至4月6日，GitHub上已发现一个公开的概念验证代码，但Tenable Research尚未验证。Fortinet已发布针对FortiClientEMS 7.4.5和7.4.6版本的热修复程序来修复此漏洞，而7.4.7版本也将修复该漏洞。

网络安全漏洞 Fortinet产品安全访问控制漏洞代码执行漏洞零日漏洞安全公告漏洞利用历史漏洞总结安全修复安全策略

0xe5 全流量安全设备是溯源分析体系建设的核心骨架

倬其安 2026-04-13T00:00:31 © Hash先生

本文深入探讨了全流量安全设备在网络安全溯源分析体系中的核心地位。文章指出，全流量设备不仅是存储原始数据用于事后回溯的工具，而是构建整个溯源分析体系的核心骨架。它通过整合防火墙、WAF、NDR、EDR等安全设备的全量数据，提供了一条贯穿攻击全链路、不可篡改的溯源途径。文章强调了全流量设备在解决溯源断链、攻击链碎片化、证据合规性以及多源数据关联等方面的重要性。此外，文章还讨论了构建溯源体系的数据基础，包括设备时间同步、统一日志字段规范、全量数据接入等关键步骤。通过实际案例分析，文章展示了全流量设备在Web入侵、内网横向移动、C2隐蔽通信和数据泄露等场景中的应用，强调了其在提升溯源能力、实现闭环防御升级中的关键作用。

全流量安全分析网络安全溯源安全设备集成数据安全日志管理 NAT转换处理 CMDB资产管理实战案例分析合规性

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

2026年 第15周 微信公众号精选安全技术文章总览

0x1 针对以色列水处理和海水淡化设施系统的新型工业恶意软件

0x2 【代码审计】CodeQL示例一

0x3 跨租户Teams服务台钓鱼到数据外传：一次人工入侵全链路剖析

0x4 BYOVD利用方法论以及AI辅助下的驱动漏洞挖掘

0x5 【工业控制系统网络安全系列课程】第4课-工业控制系统的网络安全风险-Metasploit攻击框架基础（二）

0x6 【翻译】windows10内核堆池研究

0x7 CVE-2026-33825 解析

0x8 Chrome新\"bug\": 恶意网站可以0.5 click窃取用户之前上传的文件，漏洞赏金$1000

0x9 常见Entra ID安全评估发现（四）：脆弱的条件访问策略

0xa 【红队工具】攻防后渗透工具自动化免杀！！！

0xb 常见Entra ID安全评估发现（三）：实战中暴露的 Entra ID PIM 配置弱点深度解析

0xc 微软Azure Windows Admin Center现一键式RCE漏洞，攻击者可执行任意命令

0xd 榨干 Intego 的最后一滴油——Windows 本地提权漏洞分析

0xe 常见Entra ID安全评估发现（一）：第三方应用的高危权限：你租户里的“内鬼”有多可怕？

0xf 防护视角看提权

0x10 某rce漏洞挖掘等案例分享

0x11 NGINXDAV模块缓冲区溢出漏洞 | CVE-2026-27654原理分析&研究

0x12 Nginx UI MCP接口绕过认证漏洞 | CVE-2026-33032复现&研究

0x13 【工业控制系统网络安全系列课程】第4课-工业控制系统的网络安全风险-Metasploit攻击框架基础（一）

0x14 CTF之文件上传——你知道我在你的服务器上放了什么吗

0x15 针对 FortiSandbox 漏洞的 PoC 攻击程序已发布，该漏洞允许攻击者执行命令

0x16 Windows Defender 漏洞 - RedSun EXP 详细分析

0x17 一文读懂JWT常见安全问题

0x18 【代码审计】CodeQL初识

0x19 facai安全管理工具，发财发财都发财！

0x1a 一个登录框，我薅了5个高危漏洞——认证机制避坑指南（反向版）

0x1b 遏制域入侵：预测性屏蔽如何阻断横向移动

0x1c ghostsurf：从 NTLM 中继到浏览器会话劫持

0x1d Active Directory 里的影子管理员：攻击者利用的隐蔽特权路径

0x1e 赛欧思一周资讯分类汇总(2026-04-13 ~ 2026-04-18)

0x1f Windows Defenderxa0高危0day：RedSun漏洞全解析（附代码链接）

0x20 vulnplus硬拿cve&edu证书---记一次vulnplus深度体验（下篇）

0x21 Chrome隐私漏洞：指纹识别与HTTP头泄露使用户面临风险

0x22 Windows截图工具漏洞允许攻击者通过网络执行欺骗操作

0x23 Azure Windows 管理中心的一键式远程代码执行漏洞允许攻击者执行任意命令

0x24 【免杀工具】DLLHijackHunter

0x25 CVE复现之老洞新探CVE-2021-3156

0x26 【代码审计】基于Tabby的反序列化示例

0x27 【漏洞通告】Nginx UI MCP接口绕过认证漏洞(CVE-2026-33032)

0x28 Python爬虫之某站JS加密逆向分析

0x29 群友靶机之Calc.

0x2a 政企私有化部署IM安全数据防泄密方案介绍

0x2b 绕过av/edr防护dump用户本地哈希工具

0x2c 赶不走的幽灵：AD域持久化技术与检测对抗

0x2d Chrome 138完整漏洞利用链——从CVE-2026-5873到远程代码执行

0x2e 剖析 PlugX 活动：Contebrew 有效载荷分析

0x2f 使用 Python 和 Jython 编写自定义 Burp 扩展程序进行自动化渗透测试

0x30 UAC-0247 漏洞利用浏览器和 WhatsApp 数据窃取攻击医院和政府机构

0x31 C-Lodop打印服务系统存在任意文件读取漏洞 附POC

0x32 HTB Season10 Garfield

0x33 某APP的一次渗透

0x34 25类常见网络安全设备集合：防火墙、EDR、堡垒机、UTM、NGFW、NIDS、HIDS、IPS、IDS、安全网关、蜜罐

0x35 实验环境配置指南：计算机硕博必备工具链

0x36 Apache Log4j2远程代码执行漏洞详解

0x37 免杀入门篇

0x38 2026年第一季度疑似伊朗背景的APT组织攻击事件综合分析

0x39 Windows Defender LPE 0day 漏洞

0x3a 综合实战演练（下）——攻击实施与结果分析

0x3b 漏洞预警 | Oracle Identity Manager远程代码执行漏洞

0x3c 漏洞预警 | LEAN MES系统SQL注入漏洞

0x3d ZionSiphon恶意软件——首款针对以色列水系统的OT攻击武器

0x3e Adobe正式官宣Reader漏洞已被在野利用，打开PDF可执行任意代码

0x3f 默连(morelian) 简简单单的webshell管理工具(支持常规的代码执行，文件管理等，默认支持http与socks代理，支持gui与浏览器两种运行方式)

0x40 【渗透必备】263+ 绕过技术的文件上传漏洞检测平台

0x41 obsidian quickadd插件使用技巧

0x42 AES硬编码 vs SM国密混合：Web接口加密方案对比

0x43 应急响应打靶--windows2

0x44 第三节｜Windows认证+权限系统设计模型（收尾篇）

0x45 Nginx-ui漏洞已被攻击者积极利用——可实现服务器完全控制

0x46 苹果紧急更新！腾讯云安全还原Plasma(烈焰)团伙攻击iOS过程

0x47 继续干货输出！JWT认证漏洞实战解析（二）

0x48 渗透测试练习——DarkHole_2靶场实践：涉及对.git文件的处理，sql注入及利用sudo提权

0x49 Codex 如何利用三星电视内核漏洞实现权限越狱

0x4a Windows Defender居然爆出重大提权漏洞？杀软反被利用？作者发布两小时的推文后删除？

0x4b 无条件接管Nginx！Nginx-UI漏洞链发现在野利用

0x4c 榨干Intego最后一滴：Windows权限提升漏洞的简单艺术

0x4d 安全简讯（2026.04.16）

0x4e 【已复现】Windows 截图工具 NTLM 信息泄露漏洞(CVE-2026-33829)安全风险通告

0x4f 【已复现】Cockpit 远程代码执行漏洞(CVE-2026-4631)安全风险通告

2026年第15周微信公众号精选安全技术文章总览

0x31 C-Lodop打印服务系统存在任意文件读取漏洞附POC

0x57 代码审计一次鉴权绕过