2026年 第5周 微信公众号精选安全技术文章总览
洞见网安 2026-2-2
0x1 Windows安全攻防-进程镂空技术详解
剑外思归客 2026-02-08T23:09:21 © R0x7e
本文详细介绍了进程镂空技术,这是一种通过将合法系统进程挂起、掏空其内存并注入恶意代码来隐藏恶意行为的攻击方法。文章首先解释了进程镂空的原理,包括挂起合法进程、卸载原始进程映像、分配新内存、地址重定位修复和导入地址表(IAT)修复等步骤。这些步骤模拟了Windows加载器的行为,确保恶意代码能够在目标进程中正确执行。文章还讨论了进程镂空的检测方法,特别是使用PE-sieve工具扫描进程内存,以识别被替换或注入的PE文件等恶意植入物。进程镂空技术是高级持续性威胁(APT)组织和恶意软件家族常用的隐蔽手段,能够绕过传统的安全检测方法。了解这一技术对于网络安全防御和威胁检测具有重要意义。
Windows 进程安全 攻击技术 恶意软件 内存安全 APT 攻击 防御检测 Windows API PE 文件格式
0x2 当攻击自动化,溯源也必须自动化——自建安全分析智能体实践
EventSec 2026-02-08T22:36:26 © 骁
本文介绍了如何构建一套‘溯源分析智能体’以应对网络安全领域中海量日志、流量与告警带来的挑战。该智能体基于本地模型能力和自动化分析流程,旨在自动关联关键线索,辅助判断攻击链条,并输出结构化分析结论。文章首先强调了日志信息的重要性,并推荐使用特定的日志解析和降噪工具(如winlogcheck)来处理原始日志,将其解析为数据库文件以便后续分析。接着,文章详细阐述了通过MCP协议传递日志数据给大模型进行分析的流程,包括用户输入自研语言、大模型转换为SQL语句、MCPServer执行SQL语句返回日志信息等步骤。此外,文章还强调了编写skills文档的重要性,这些文档为模型提供了不同场景下的分析步骤和参考文档,以确保分析结论的准确性和可靠性。最后,文章通过对比difyAgent和Trae的使用效果,指出Trae结合skills和MCPServer能够提供更稳定和准确的分析结果。文章总结认为,构建自建智能体并非替代分析人员,而是通过工具体系提升安全工作的效率和深度,使安全能力不再仅仅依赖于个人经验。
人工智能在安全领域的应用 日志分析 溯源分析 自动化安全分析 数据处理与传递协议 技能库构建 工具链整合 模型选择与效果 安全工程师辅助工具 知识沉淀与复用
0x3 缺失的访问控制如何导致 Cal.com 泄露数百万条预订信息并导致完全账户接管
securitainment 2026-02-08T22:25:35 Jeevan Jutla
本文详细介绍了Gecko安全团队通过其AI驱动的静态分析平台Gecko发现并利用Cal.com中一系列关键漏洞的过程。这些漏洞允许攻击者完全接管任何Cal.com用户的账户,并读取或修改任何预订,包括带有参会者元数据的私人会议。主要漏洞包括一个认证绕过漏洞,攻击者可以利用组织团队邀请令牌来接管现有用户账户,以及Cal.com预订端点中的损坏访问控制和不安全的直接对象引用(IDOR),暴露了所有预订数据和用户记录。Gecko的AI工具能够自主识别所有发现,并在数小时内揭示复杂的多步骤漏洞利用链,而这些问题原本可能需要数周才能发现,并已绕过了Cal.com现有的工具和人工渗透测试。Cal.com安全团队快速响应并修补了这些漏洞。该研究强调了损坏的访问控制问题如何几乎存在于每个应用程序中,以及核心组件中几个微妙的错误如何链接在一起摧毁安全边界,突出了纵深防御的重要性。
0x4 别再瞎爆破!最全的内网凭据密码收集方法和技巧总结
Z2O安全攻防 2026-02-08T21:03:20 牛叫瘦
本文详细介绍了内网凭据密码收集在网络安全攻防对抗中的重要性,涵盖了本地系统凭据挖掘、网络服务凭据探测、域环境凭据收集以及突破技术防护的人性弱点等多个方面。在本地系统凭据挖掘方面,文章重点讲解了Windows和Linux系统下内存、注册表、配置文件和日志等位置的凭据提取技术,如使用Mimikatz提取Windows内存中的凭据,以及读取Linux系统中的shadow文件等。网络服务凭据探测则涉及使用SharpScan、Nmap等工具进行资产扫描和服务识别,并通过弱口令爆破、密码喷洒和协议漏洞利用等方式获取凭据。域环境凭据收集重点介绍了Kerberoasting攻击、黄金票据和白银票据技术,以及如何利用域内信息枚举和凭据推导来突破域控。此外,文章还强调了社会工程学的重要性,如钓鱼邮件、水坑攻击和物理接触攻击等,以及如何规避安全检测和避免账号锁定等风险。最后,文章提出了相应的防御建议,包括启用凭据保护机制、强化密码策略、部署终端安全工具、实施最小权限原则、建立安全审计机制、规范第三方管理以及人员安全意识培养等,以构建全方位的防护体系。
网络安全渗透测试 本地系统凭据挖掘 网络服务凭据探测 域环境凭据收集 社会工程学 工具使用 防御建议 攻防对抗
0x5 最新二开 fscan 发布:免杀突破火绒 360,流量伪装再升级
星夜AI安全 2026-02-08T20:19:41 © 星夜AI安全
📌各位可以将公众号设为星标⭐📌这样就不会错过每期的推荐内容啦~📌这对我真的很重要!
漏洞扫描 网络渗透测试 安全工具 安全防御 攻击技术 信息收集 安全意识 风险 mitigation
0x6 【CobaltStrike】NeoCS 4.9 终极版(自破解+二开+BUG修复)
星夜AI安全 2026-02-08T20:19:41 © 星夜AI安全
本文详细介绍了NeoCS 4.9终极版,这是一个基于Cobalt Strike 4.9进行破解、二开和BUG修复的版本。该版本移除了所有暗桩,修复了多项已知BUG,并带来了大量实用体验优化,显著提升了使用便捷性和稳定性,适用于安全测试与技术研究场景。主要优化包括界面染色优化、实用功能增强(如IP归属地显示、多文件上传、时间戳修改等)、文件浏览器优化(支持多文件上传、CrossC2适配等)、默认设置优化(监听器默认配置、服务端一键启动等)以及BUG修复(截图保存为空、CNA脚本函数调用等)。此外,文章还介绍了该版本的使用方式、免杀效果及其使用建议。NeoCS 4.9终极版旨在提供更高效、更稳定、更安全的渗透测试和研究环境。
CobaltStrike 漏洞利用 后渗透工具 免杀 安全测试 工具开发 网络攻击 安全意识
0x7 ParamX 插件重磅发布!助力未授权测试,参数提取与Fuzz构造一步到位
星夜AI安全 2026-02-08T20:19:41 星夜AI安全
本文介绍了一个名为ParamX的网络安全插件,旨在解决未授权测试中因缺少关键参数而导致的测试瓶颈问题。该插件基于JS静态分析技术,能够精准提取目标JS文件中的参数特征,包括对象属性、变量、API请求参数等,并支持POST JSON、键值对传参和GET请求等多种场景。用户只需定位到缺少参数的接口所在的JS文件,使用插件一键提取参数并构造Fuzz payload,即可高效进行测试。文章详细介绍了插件的主要特性、使用方法以及适用场景,并强调了在使用过程中需遵守法规道德,谨慎操作。此外,文章还介绍了作者在网络安全领域的经验和成果,包括参与国家级攻防演练、开发多款免杀工具等。
Web安全 安全测试 漏洞挖掘 JavaScript分析 Fuzz测试 安全工具 渗透测试
0x8 【万字原创|实操无坑】一文吃透Android APP抓包、反编译与Frida脱壳,解锁单双向认证+Root隐藏绕过全技巧
Damian攻防实验室 2026-02-08T19:54:03 © Damian攻防实验室
本文详细介绍了Android APP安全测试的核心技术,重点关注抓包、反编译、Frida脱壳以及单/双向证书校验绕过等关键技术点。文章首先探讨了Android不同版本在抓包操作上的核心差异,特别是Android 7及以上版本对证书信任机制的严格限制,并介绍了如何通过Move Certificate模块将用户证书移动至系统证书目录,以及使用Magisk和LSPosed等框架进行证书导入和Root隐藏绕过。接着,文章介绍了使用BurpSuite、Yakit和Reqable等工具进行APP抓包的方法,并推荐了小众但实用的代理工具Brook。在反编译和脱壳方面,文章介绍了使用APK查壳工具、dex2jar、jadx-gui以及BlackDex和Frida进行静态和动态脱壳的方法。最后,文章重点讲解了如何通过安装LSP插件和r0capture脚本来绕过APP的单向和双向证书校验,以及如何使用Magisk和Shamiko模块来隐藏Root权限,以应对Root检测。文章强调了真机测试的重要性,并建议读者深入学习相关工具和技术的更多实用功能点。
Android安全 抓包分析 反编译脱壳 证书校验绕过 Root检测绕过 安全测试 移动安全
0x9 CSRF漏洞的降维打击:从盗取点击到完整账户接管的武器化路径-实战场景案例
逍遥子讲安全 2026-02-08T16:25:16 © 逍遥
本文深入探讨了现代CSRF漏洞的演变和攻击策略,强调了攻击媒介从代码执行转向权限滥用的转变。文章首先重新定义了CSRF漏洞为会话上下文劫持,并分析了五个演进特征:从表单攻击到API劫持、单一动作到操作链编排、即时触发到延时持久化、独立漏洞到供应链攻击入口。接着,文章介绍了敏感操作的全链路发现方法,包括敏感操作识别框架和CSRF防护机制检测框架。针对绕过技术,文章提供了CSRF令牌绕过框架、Referer验证绕过技术和同源策略绕过技术的武器化实现。文章还展示了高级攻击场景与利用链,如金融系统CSRF攻击链、账户完全接管攻击链和供应链CSRF攻击。最后,文章提出了检测与防御绕过技术,包括WAF/防火墙绕过技术和现代浏览器防护绕过技术,并介绍了CSRF漏洞的SRC狩猎方法论和防御与修复指南。文章强调,现代CSRF攻击不再是简单的"盗用点击",而是通过精心构造的操作链完成账户完全接管,因此需要深入理解和全面防御。
CSRF 权限滥用 攻击链 检测 防御 绕过技术 WAF绕过 浏览器防护绕过 供应链攻击 攻击场景 防御策略 漏洞报告 安全开发生命周期
0xa 思源笔记存在前台任意文件写入漏洞
星悦安全 2026-02-08T15:53:56 XingYue404
思源笔记是一款开源的个人知识管理系统,但近期被发现存在一个严重的前台任意文件写入漏洞。该漏洞存在于/api/file/copyFile端点,由于未验证dest参数,认证用户可以写入文件系统中的任意位置,从而可能导致远程代码执行(RCE)。攻击者可以通过上传恶意内容,然后将其复制到系统敏感位置,如cron作业、SSH authorized_keys作业或shell配置文件,进而执行任意命令。文章详细描述了漏洞的复现步骤,并提醒读者,虽然该漏洞可用于安全研究和教学,但不应用于非法用途。
漏洞分析 代码审计 远程代码执行(RCE) 安全漏洞 Markdown 开源软件 个人隐私 安全教学
0xb Burp Suite插件--JS 分析仪Jensec
安全天书 2026-02-08T15:16:29 © Hello888
本文介绍了一个名为JS分析仪(Jensec)的Burp Suite插件,该插件专注于JavaScript静态分析,旨在帮助安全分析师从JavaScript文件中提取敏感信息,如API端点、URL、秘密地址和电子邮件地址。Jensec通过智能噪声过滤技术,减少了噪声,提高了准确性。其功能包括端点检测、秘密扫描、电子邮件提取、文件检测、智能过滤、来源追踪、实时搜索和复制功能等。文章还提到了一个名为“红蓝偶像练习生小圈子”,这是一个专注于渗透测试、红蓝对抗、钓鱼手法和武器化的学习社区,提供技术文章、攻防经验总结、学习笔记以及自研工具与插件。该圈子已满300人,并分享了一系列与网络安全相关的免杀技术和钓鱼攻击策略。
网络安全工具 代码审计 漏洞分析 静态分析 红蓝对抗 免杀技术 Web安全 安全社区
0xc 【蓝队必备】网络流量监控神器!3D地球可视化+实时威胁检测
0xSecDebug 2026-02-08T14:24:59 © 0xSecDebug
FastMonitor是一款基于Wails框架开发的跨平台网络流量监控与威胁检测工具,集成了数据包分析、进程关联、会话流统计、威胁情报检测、地理位置可视化等功能。它采用高性能抓包引擎(基于gopacket/pcap),支持数据包实时处理和分类展示;通过精准进程关联,自动将网络流量与进程绑定;智能威胁检测支持自定义病毒等威胁情报IOC规则,实时告警;并提供3D地理可视化(基于ECharts GL)和实时仪表盘展示网络数据。FastMonitor的主要用途包括网络监控、安全威胁分析、流量审计、性能诊断、开发调试和安全研究。其功能模块包括网卡选择、仪表盘、数据包捕获、DNS解析、HTTP流量分析、ICMP流量分析、会话流统计、进程关联、告警系统和2D/3D地图可视化。该项目预置了针对银狐病毒等APT威胁的IOC规则,并提供威胁情报推送群和网络安全全栈知识库,支持学习和研究。
网络安全监控 数据包分析 威胁检测 可视化工具 系统安全 开源软件 地理信息可视化 性能诊断 安全审计
0xd n8n自动化平台再曝6个漏洞,4个可致远程代码执行
FreeBuf 2026-02-08T14:21:56
n8n工作流平台近期被曝出6个安全漏洞,其中4个被评为高危,CVSS评分高达9.4分。这些漏洞涵盖了远程代码执行、命令注入、任意文件访问和跨站脚本攻击等多种攻击类型,影响了一个经常部署且能访问敏感信息的平台。n8n的沙箱隔离机制和主机对用户的防护能力都受到了影响。其中,CVE-2026-21893至CVE-2026-25053是具体的漏洞编号,它们分别涉及命令注入、非预期系统命令执行、敏感文件读取、Git节点漏洞、跨站脚本攻击以及信息泄露。由于n8n平台在共享环境中的使用广泛,这一系列漏洞可能导致严重的安全风险。Upwind安全研究员建议,用户应立即升级至最新版本以修复这些漏洞。
自动化平台漏洞 远程代码执行 命令注入 文件访问控制 跨站脚本攻击 信息泄露 沙箱隔离机制 云安全 安全漏洞修复 网络安全意识
0xe Socks5 正向代理(不出网)
晨星安全团队 2026-02-08T14:11:32 © 晨星安全团队
本文主要介绍了在网络安全学习中如何使用Socks5正向代理来访问内网应用。由于一些Web应用所在的服务器不出网,无法直接访问互联网,因此需要通过正向代理来实现访问。文章详细描述了使用Neo-reGeorg工具生成tunnel文件,并将该文件上传至Web服务器。通过配置代理服务器和代理规则,可以成功访问内网应用。文章还包含了使用中国蚁剑和AntSword进行调试的截图,以及设置代理服务器和修改代理规则的步骤,最后展示了代理连接成功的日志信息。
网络安全 代理技术 内网渗透 Web应用安全 工具使用 实战技巧
0xf 【已复现】锐明技术Crocus HardwareConfig存在SQLl注入
momo安全 2026-02-08T13:07:16 © 蟑螂恶霸
本文介绍了锐明技术Crocus系统存在的SQL注入漏洞。该漏洞允许攻击者通过SQL注入获取数据库中的敏感信息,如管理员后台密码和用户个人信息。在特定情况下,攻击者甚至可以写入木马,获取服务器系统权限。文章详细描述了漏洞的影响、复现过程以及修复建议,包括关闭互联网暴露面、升级至安全版本等。同时,文章还提供了Fofa语法和漏洞复现的详细信息,并提示读者不要将文中提供的内容用于非法活动。此外,文章还介绍了相关的技术服务推广信息。
SQL注入漏洞 硬件配置安全 网络安全学习 系统权限提升 漏洞复现 漏洞修复建议 技术支持服务
0x10 CVE-2025-13375:IBM 严重加密漏洞(CVSS 9.8)暴露 HSM
sec随谈 2026-02-08T12:07:49 sec随谈
IBM发布了一项针对其通用加密架构(CCA)的严重安全公告,该架构是IBM用于与高安全性硬件模块交互的核心组件。漏洞编号为CVE-2025-13375,CVSS评分高达9.8,未经身份验证的攻击者可利用此漏洞以提升权限控制系统。该漏洞可能允许未经身份验证的用户在系统上以提升的权限执行任意命令,影响加密卡本身以及依赖该加密卡的应用程序的机密性、完整性和可用性。受影响的软件版本包括CCA 7 MTM 4769和CCA 8 MTM 4770,以及IBM 4769开发人员工具包。IBM敦促客户立即升级到最新固件版本以解决此漏洞,并已针对所有受影响的平台发布了修复版本。管理员应优先进行此更新,以防止在其最敏感的基础设施上执行未经授权的命令。
IBM 漏洞 通用加密架构 硬件安全模块 加密漏洞 CVSS 评分 未经身份验证的攻击 系统权限提升 金融安全 安全更新 操作系统漏洞
0x11 第16天-网络安全入门:高效信息搜集与资产识别指南
Alfadi组织 2026-02-08T12:03:26 © 萧瑶
本文详细介绍了网络安全测试中的信息搜集与资产识别方法。首先,文章阐述了操作系统识别的技巧,包括通过Web大小写敏感测试和端口服务特征分析来初步判断服务器操作系统类型。接着,介绍了IP资产信息搜集的方法,如归属地查询、云厂商识别、IP反查技巧等,以及如何将这些信息转换为Web资产和机构资产视角。文章还讨论了端口扫描的方法与工具,包括网络资产测绘引擎、在线端口扫描服务以及本地扫描工具的选择。此外,文章重点介绍了应用服务识别和服务器角色定性的方法,最后给出了多维度验证、工具组合使用、信息关联分析和合法合规等实战建议。
网络安全基础 信息搜集 资产识别 渗透测试 端口扫描 操作系统识别 网络测绘 安全工具 实战建议
0x12 Shiro550Shiro721 一键化利用工具,支持多种回显方式
W小哥 2026-02-08T11:30:59 feihong-cs
本文介绍了一款名为ShiroExploit的一键化利用工具,该工具主要用于检测Shiro550(硬编码秘钥)和Shiro721(Padding Oracle)两种漏洞。工具支持多种回显方式,包括使用ceye.io、dnslog.cn、JRMP + dnslog等进行漏洞检测。用户可以选择不同的攻击方式进行测试,且针对不出网的情况也能进行漏洞检测。工具能够筛选出唯一的Key,并判断可用的Gadget类型和回显方式。在检测到漏洞后,用户可以执行命令,如反弹shell(Linux)或Windows的bitsadmin下载指定URL的exe文件并执行。此外,工具还支持获取Webshell,并允许用户指定webshell的名称和后缀名。文章最后提醒用户,该工具仅限授权测试或学习使用,禁止非法测试或攻击,否则操作者需承担全部责任。
Shiro漏洞 漏洞利用工具 渗透测试 反序列化攻击 漏洞检测 反弹shell Webshell DNSLog JRMP
0x13 Windows错误报告中缺失授权检查的分析
Ots安全 2026-02-08T10:39:27
威胁简报恶意软件漏洞攻击1. 漏洞概述CVE-2026-20817 是 Windows 错误报告服务 (WER
漏洞分析 权限提升 Windows安全 ALPC通信 恶意软件 CWE-280 安全更新 检测与防御
0x14 如何检测 CVE-2026-21509 漏洞利用
Ots安全 2026-02-08T10:39:27
本文详细分析了CVE-2026-21509漏洞的利用方式和检测方法。该漏洞影响MS Office,已被恶意软件利用。攻击者通过在MS Office文档中嵌入Shell.Explorer.1 OLE对象或插入特殊URL的外部关系,触发旧版Internet Explorer引擎(Trident/MSHTML)的使用,从而下载并执行恶意文件。文章介绍了作者使用oletools编写的脚本,用于识别包含特定CLSID的OLE对象或具有特殊URL的外部关系,并提到该脚本可检测已知的恶意样本。此外,文章还讨论了使用YARA规则进行自动化检测的方法,并提供了两种版本的YARA规则:CVE-2026-21509_RTF和CVE-2026-21509_RTF_nows。这些规则用于检测RTF文件中包含Shell.Explorer.1 OLE对象的情况,从而识别可能的CVE-2026-21509利用。文章最后指出,合法文档很少包含此类OLE对象,因此误报率应较低。
漏洞分析 恶意软件 CVE MS Office Shell.Explorer 攻击分析 检测技术 社会工程学 LNK文件 安全补丁
0x15 基于 Sliver 二次开发的 NightHawk C2 Web 管理平台
RedTeam回忆录 2026-02-08T10:03:57 © Pop
NightHawk 是一个基于 Sliver C2 深度二次开发的一体化 Web 管理平台,旨在解决 Sliver 命令行管理复杂、多人协作混乱、Windows 中文乱码等问题。NightHawk 将 Sliver C2 Server、Web 后端和前端界面打包在单一进程中的单文件中,实现零依赖部署。平台通过 Go 中间层处理协议转换、JWT 登录和 RBAC 权限管理,并使用 WebSocket 自定义帧格式降低流量特征。前端基于 Vue3 和 Element Plus 打包进 exe,浏览器直接访问 8443 端口即可使用。NightHawk 提供全面的 C2 管理功能,包括仪表盘、监听器管理、会话管理、交互终端、文件管理、Payload 生成、后渗透操作、网络与横向移动、多人协作及系统设置等模块。其安全体系包括 gRPC + mTLS 双向认证、AES-256-GCM 数据加密、双 Token 机制和 RBAC 权限控制。NightHawk 适用于需要简化 C2 管理和团队协作的场景,但仍有权限拦截、网络拓扑和终端补全等不足之处,会持续迭代完善。
C2平台 红队工具 命令行 Web管理 部署 会话管理 终端模拟器 文件管理 Payload生成 后渗透 网络与横向移动 多人协作 安全体系 mTLS AES加密 RBAC
0x16 网安每日干货分享之《PHP封装伪协议之phar流》0208
建哥聊安全 2026-02-08T10:00:48 © 建哥聊安全
本文详细介绍了利用PHP封装伪协议中的phar流进行攻击的实验过程。实验旨在通过文件包含漏洞,利用PHP封装伪协议的zip流绕过文件上传的检测,实现代码的执行。文章首先介绍了实验环境,包括操作机、靶机以及搭建步骤。接着,详细解释了实验原理,即PHP内置的URL风格封装协议及其功能。实验步骤包括创建文件、压缩文件、上传文件以及利用phar流进行包含解析。最后,文章总结了实验结果,并提供了伪协议的用法总结,包括不同协议的用途和PHP版本的兼容性。
PHP安全 文件包含漏洞 伪协议攻击 Web应用安全 渗透测试 漏洞利用 编码安全 安全实验
0x17 跨站脚本攻击(XSS)速查手册(基础篇)
Khan安全团队 2026-02-08T09:58:43 ©
本文详细介绍了跨站脚本攻击(XSS)的基本概念和分类。XSS攻击是一种常见的注入式攻击,攻击者通过在合法网站中注入恶意脚本,实现对用户浏览器的劫持。文章将XSS攻击分为三类:反射型、存储型和基于DOM的XSS。同时,文章还介绍了攻击载荷的类型,包括基础攻击载荷、从HTML标签属性值中逃逸的载荷、注入HTML注释中的载荷、突破HTML标签包裹的载荷、规避过滤的标签属性内载荷以及突破