2026年 第6周 微信公众号精选安全技术文章总览
洞见网安 2026-2-9
0x1 Havoc:现代化后渗透命令与控制(C2)工具
网安武器库 2026-02-15T21:21:49 © 网安武器库
本文介绍了Havoc,一个现代化、高度可定制的后渗透命令与控制(C2)框架,专为红队操作、渗透测试和安全研究设计。Havoc旨在帮助用户在目标网络中建立持久访问并执行各种后渗透活动。文章首先分析了传统C2工具的局限性,如单一用户模式、功能固化、检测规避能力不足以及跨平台支持差。接着,详细介绍了Havoc的差异化优势,包括多用户协作、先进的检测规避技术、高度可定制性和现代化用户界面。Havoc采用三层架构设计,包括跨平台的客户端、支持多用户协作的团队服务器和提供强大后渗透功能的代理。文章还提供了Havoc的构建和部署步骤,包括客户端和团队服务器的构建方法,以及如何创建HTTP监听器、生成EXE有效载荷和部署执行。最后,文章简要描述了Havoc被修改为恶意软件的情况,通过网络钓鱼活动传播,并提供了攻击者可以利用的功能,如执行命令、操纵用户权限、窃取敏感数据等。
网络安全工具 红队工具 C2框架 后渗透 多用户协作 检测规避 系统架构 跨平台 渗透测试 安全研究
0x2 Vulnhub靶机m87_1渗透
OnePanda-Sec 2026-02-15T20:21:52
本文详细分析了OnePanda-SecVulnhub靶机m87_1的渗透过程,包括信息收集、漏洞利用和权限提升等步骤。靶机运行在Debian 10系统上,开放了80和9090两个端口,分别提供Apache HTTP Server和Cockpit Web终端管理服务。通过ARP扫描、端口扫描和目录扫描等手段,攻击者发现靶机存在SQL注入漏洞,并成功利用该漏洞获取了数据库凭证。进一步利用Cockpit Web终端的认证机制,攻击者获得了初始的shell权限。最后,通过分析系统文件和Capabilities机制,攻击者发现了一个可利用的提权漏洞,成功提权至root权限,并获取了flag。整个过程展示了从Web应用漏洞利用到系统权限提升的渗透链。
靶场渗透测试 SQL注入 Capabilities提权 Web安全 CTF
0x3 可监控用户一切信息,包括微信加密信息!针对国内用户的网关幽灵-DKnife
利刃信安 2026-02-15T18:15:54 suntiger
DKnife是一款针对国内用户的网关监控与中间人攻击框架,由七个Linux ELF二进制组件组成,基于深度报文检测技术,能够在路由器与边缘设备上实现流量劫持、恶意软件投递和用户活动监控。该框架几乎可以监控用户的任何信息,包括微信和Signal等通信应用的活动。DKnife框架配合DarkNimbus后门,能够在受害设备上预先安装或篡改证书,为HTTPS解密创造条件。框架的组件包括DPI与攻击引擎、数据中继、基于HAProxy的反向代理、恶意APK下载/更新组件、流量转发器、N2N P2P VPN客户端和更新与看门狗等。DKnife能够识别并干扰杀毒软件和电脑管理类产品的通信,通过自定义的HAProxy代理进行TLS终结、邮件解密、URL重定向和内容注入。此外,DKnife还具备Android APK恶意软件下载与更新模块,能够在路由器上创建桥接TAP接口,承载并转发攻击者注入的LAN流量。
中间人攻击(MITM) 恶意软件 用户隐私泄露 网络监控与流量劫持 Android恶意软件 数据泄露风险 网络入侵检测 网络设备安全
0x4 记一次对母校的漏洞挖掘经历
陌笙不太懂安全 2026-02-15T18:01:41 1111921222628217
本文详细描述了作者在一次校园网络安全实践活动中发现并分析的多项APP漏洞。首先,作者发现APP在首页刷新时存在敏感信息泄露问题,可以通过遍历userId获取约19000条学号、专业、宿舍、人脸信息。其次,作者发现了水平越权漏洞,可以查看他人账号信息,包括通行记录、人脸信息、宿舍号等。进一步发现垂直越权漏洞,可以获取管理员权限并访问其他系统,包括修改他人人脸照片的功能。最后,作者发现了一个存储型XSS漏洞,通过文件上传功能上传SVG文件,并在Web站点触发XSS攻击。文章还提到了作者通过抓包、修改数据包参数等方式进行漏洞复现的过程,并强调了网络安全学习的重要性。
信息泄露 水平越权 垂直越权 越权修改人脸照片 存储型XSS APP安全 数据包分析
0x5 可监控用户一切信息,包括微信加密信息!针对国内用户的网关幽灵-DKnife
二进制空间安全 2026-02-15T17:58:35 © suntiger
DKnife是一款由七个Linux ELF二进制组件组成的网关监控与中间人攻击框架,基于深度报文检测技术,能够在路由器与边缘设备上实现流量劫持、恶意软件投递和用户活动监控。该框架几乎可以监控用户的任何信息,包括微信和Signal的活动。DKnife框架与DarkNimbus后门配合使用,可以在受害设备上预先安装或篡改证书,为HTTPS解密创造条件。框架的组件包括dknife.bin、postapi.bin、sslmm.bin、mmdown.bin、yitiji.bin、remote.bin和dkupdate.bin,每个组件都有其特定的功能和配置。DKnife通过创建桥接TAP接口和虚拟网卡,以及使用自定义的HAProxy代理,来实现对网络流量的监控和攻击。
中间人攻击(MITM) 恶意软件分析 流量监控 网络入侵检测系统(NIDS) 用户隐私泄露 Android安全 网络架构安全 加密通信安全
0x6 下一代 SRC 与资产监测平台
马哥网络安全 2026-02-15T17:01:41 点击关注👉
Mars(战神)是一款功能全面的自动化网络安全资产信息搜集与监测平台,适用于白帽子、乙方安服团队、甲方安运团队以及红蓝对抗场景。平台具备强大的资产发现能力,支持多客户、多项目配置,通过子域名枚举、C段扫描、Web端口探测等多种方式自动入库、去重并定位资产。在变更监测方面,Mars能够对端口、标题、IP和域名状态进行4维对比,并通过周期扫描实现变更高亮告警。指纹识别功能涵盖Web应用、中间件、WAF、CDN、OS、前端框架等20+维度,对接TideFinger开源指纹库。POC检测支持调用pocsuite3,并可通过拖拽上传进行智能分组。漏洞扫描对接原生AWVS API,支持分布式节点和单节点独占报告,并自动回传弱口令检测。平台部署简单,仅需Docker一行命令即可启动,并支持日常运维和分布式节点扩展。界面提供智能分组资产管理、指纹识别标签、变更监测告警等功能,整体设计注重效率与细节,旨在提高SRC漏洞挖掘和安全监测效率。
网络安全工具 资产发现 变更监测 指纹识别 漏洞扫描 POC检测 弱口令检测 红队工具 白帽子工具 乙方安服工具 甲方安运工具 自动化 Docker部署 分布式扫描
0x7 URLFinder:一款高效网页内部隐藏链接挖掘工具
sec0nd安全 2026-02-15T16:46:11 网安武器库
本文介绍了URLFinder,一款专为安全测试人员和开发人员设计的页面信息提取工具。该工具能够快速、全面地分析页面中的JavaScript和URL,查找隐藏的敏感信息或未授权API接口。URLFinder具备多种抓取模式,包括正常抓取、深入抓取和安全深入抓取,以及强大的分析能力,能够提取页面中的URL、分析JavaScript文件中的链接、识别302跳转信息等。此外,它还提供了灵活的配置选项,如自定义User-Agent请求头、添加Cookie、设置代理、配置线程数和超时时间等。URLFinder支持批量处理和智能Fuzz测试,能够对主域名下的404链接进行fuzz测试。该工具支持CSV、JSON和HTML等多种格式导出,并且具有跨平台的特点,适用于Windows、Linux和macOS等多种操作系统。文章还提供了在Windows和Linux系统下编译和使用URLFinder的指南。
网络安全工具 网页渗透测试 信息泄露检测 自动化测试 代码审计 安全漏洞挖掘 跨平台工具
0x8 Upload Labs 第三关通关实战(黑名单绕过 + Apache 解析机制)
sec0nd安全 2026-02-15T16:46:11 武文学网安
本文详细分析了一个网络安全学习场景中的第三关挑战,主要涉及Web服务器安全配置和文件上传绕过问题。该关卡在前两关前端绕过Content-Type的基础上,增加了后端校验难度。文章指出服务器通过提取文件后缀并禁止特定扩展名(如.php、.asp、.aspx、.jsp)来防范攻击,但只关注最后一个点后的扩展名。测试发现,虽然上传了带有多个后缀的文件(如.shell.php.jpg)会被服务器重命名为单一后缀(如.***.jpg),但黑名单绕过是可行的,例如上传.php3文件即可成功。然而,蚁剑无法连接表明文件并未被PHP解析执行,原因是Web服务器(Apache)的解析规则默认只解析.php文件,导致.php3文件被视为普通文件。通过验证,访问.php3文件显示源码而非执行代码,进一步证实了服务器未按预期解析PHP代码。针对此问题,文章提供了在Docker环境中修改Apache配置(通过编辑/etc/apache2/apache2.conf文件并添加新的解析规则)的解决方案,成功使服务器解析.php3文件,从而允许蚁剑建立连接并实现控制。文章总结了核心知识:黑名单存在缺陷、上传成功不代表代码执行、服务器解析规则是关键,并强调了攻击思维应从单纯关注上传转向完整的上传-访问-验证-连接流程。
Web安全 文件上传漏洞 服务器配置 黑名单绕过 Web服务器解析 PHP 安全测试 Docker环境
0x9 网安每日干货分享《文件包含分类》-0215
建哥聊安全 2026-02-15T16:22:36 © 建哥聊安全
本文详细介绍了网络安全中常见的文件包含漏洞,包括本地文件包含(LFI)和远程文件包含(RFI)两种类型。通过实验环境搭建,作者演示了如何在PHP环境下实现文件包含漏洞,并详细解释了如何通过php.ini配置文件中的allow_url_include和allow_url_fopen参数来区分和利用这两种漏洞。实验步骤包括本地文件包含的目录遍历和远程文件包含的执行过程。文章总结了文件包含漏洞的分类和利用方法,为网络安全学习者提供了实用的技术参考。
文件包含漏洞 本地文件包含(LFI) 远程文件包含(RFI) PHP安全 实验教程 网络安全基础
0xa 绕过 Elatic EDR 用户态 Hook:从原理到实战
老鑫安全 2026-02-15T15:08:55 © 老鑫安全
本文详细分析了四种不同的 EDR 绕过技术,并探讨了其在 Elastic EDR 环境下的检测结果。首先,使用 WinAPI 版本的实验被 EDR 拦截,因为 VirtualProtect 调用只修改了 1 字节内存权限,被视为可疑行为。其次,直接调用 ntdll 版本虽然绕过了 kernel32 的 hook,但仍被 ntdll 的 hook 和未签名模块检测拦截。第三,Direct Syscall 版本(SysWhispers 风格)通过构造 syscall stub 并在 RWX 内存中执行,触发了内存保护和低信誉模块执行的规则。最后,NtContinue 版本利用 ntdll 内部的 ret gadget 伪造调用栈,成功绕过了 EDR 的检测规则,因为其调用栈显示为从 ntdll 发起,且没有在用户代码中留下 syscall 指令。文章总结了 EDR 规则的局限性,主要依赖于调用栈分析和白名单机制,并提出了内核态检测、NtContinue 监控等防御建议。
EDR 绕过技术 内核编程 Shellcode 内存管理 调用栈分析 Syscall 上下文切换 安全检测与防御
0xb 登录框短信轰炸checklist
山水SRC 2026-02-15T14:06:04 © 游山玩水
本文详细介绍了在网络安全渗透测试中,针对登录框短信验证码进行短信轰炸测试的checklist。文章首先概述了短信轰炸测试的背景和目的,接着介绍了使用Burp Suite工具中的repeater模块进行数据包重放的方法,以及如何利用SMS_Bomb_Fuzzer插件进行绕过测试。文章还介绍了如何使用turbo-intruder-all插件进行并发短信轰炸漏洞测试,并讨论了相似请求和变化参数在测试中的应用。此外,文章还提到了测试IP限制和Token或会话限制的方法,并给出了一个测试步骤的例子。最后,文章总结了漏洞的危害,并强调了repeater重放、turbo-intruder-all和SMS_Bomb_Fuzzer绕过的重要性。
渗透测试 短信验证码 漏洞检测 安全工具 自动化测试 攻击技术 安全漏洞
0xc 记一次EDU证书站挖掘
略懂安全的三秋 2026-02-15T14:02:47
本文记录了一次针对EDU证书站的边缘资产挖掘过程。作者通过证书站后几所学校的锚定,找到了一处没有域名备案的IP站点。通过分析该站点存在的接口未授权漏洞,作者成功下载了泄露的.map文件,并还原了前端文件,发现了文件下载和上传接口。利用上传接口的未限制文件内容和类型,作者上传了一个测试文件,并通过base64编码绕过了文件存储路径的限制。随后,作者通过下载接口成功下载了敏感文件,包括普通用户和系统的信息。在进一步的分析中,作者发现了Web服务的绝对路径,并通过路径穿越漏洞将文件上传到Web服务目录下,成功获取了Web服务器的访问权限。最终,作者通过获取到的管理员账户凭据登录后台,并顺带解决了资产的归属确定问题。
安全漏洞挖掘 未授权访问 文件上传漏洞 路径穿越攻击 凭证泄露 信息收集 Web应用安全 安全分析
0xd 支持10个CVE!Jenkins综合漏洞利用工具覆盖2015-2024全版本
0xSecDebug 2026-02-15T13:51:15 0xSecDebug
本文介绍了一款名为JenkinsExploit-GUI的综合漏洞利用工具,该工具支持针对Jenkins多个版本的漏洞利用,覆盖了从2015年到2024年的多个CVE编号。工具基于Java开发,适用于Windows、Linux和macOS操作系统。文章中详细说明了如何配置和使用该工具,包括如何下载并放置必要的jar包、配置dnslog进行检测以及如何使用工具进行漏洞验证。此外,文章还列举了工具支持的CVE编号列表,包括Jenkins的反序列化远程代码执行、XStream反序列化远程代码执行、CI远程代码执行漏洞等多个漏洞。最后,文章提醒读者该工具仅限于安全测试人员用于安全自查,不得用于非法渗透测试,并提供了项目地址和加入威胁情报推送群的信息。
漏洞利用工具 Jenkins漏洞 CVE Java反序列化 远程代码执行 信息泄露 安全工具 安全测试 Java安全 威胁情报
0xe 在 Beacon 的技术花园中探索:发现 Eden
securitainment 2026-02-15T13:37:29 William Burgess
本文详细介绍了如何使用 Crystal Palace 工具组合和复用现有的能力(如 COFF/DLL)来快速开发自定义的反射加载器(UDRL)和位置无关代码(PIC)技术。文章首先指出 BeaconGate 的局限性,即无法影响反射加载过程,从而引出对用户定义反射加载(UDRL)开发的必要性。接着,文章介绍了 Crystal Palace 的功能和优势,它允许将现有的 BeaconGate BOF 示例(如 Draugr 调用栈伪装)嵌入到 PIC 中,并从 UDRL 中使用它们。为了实现这一点,需要对 Draugr BOF 进行修改,使其兼容 Crystal Palace,包括移除 BOF 特定的约定、使用 MinGW 编译、移除静态变量等。文章还介绍了如何使用 Crystal Palace 的 make pic 命令将 Draugr 代码编译为 PIC,并嵌入到加载器中直接调用,从而避免额外的 VirtualAlloc 调用。最后,文章展示了如何将 Draugr PIC 桩代码与 IAT 钩子结合,以及如何将 Draugr 与页面流式加载技术结合,创建了一个名为 Eden Loader 的新颖 UDRL。Eden Loader 旨在作为示例资源供他人构建和推动安全对话,展示了 Crystal Palace 在快速开发自定义加载器/PIC 技术方面的强大之处。
网络安全 恶意软件开发 反检测技术 反射加载 Crystal Palace UDRL 编程技术 安全研究
0xf Clickfix 新漏洞诱骗用户更改 DNS 设置,从而安装恶意软件
安全圈的那点事儿 2026-02-15T13:28:04 © 网络安全9527
ClickFix 社会工程攻击活动近期出现新变种,利用定制DNS劫持技术传播恶意软件。攻击者通过虚假错误消息,如虚假的CAPTCHA提示或“修复此问题”通知,诱骗用户执行恶意命令。这些命令通过DNS查询获取感染的第二阶段载荷,从而绕过传统检测方法。攻击利用DNS作为轻量级暂存通道,验证目标活跃状态并在受害者机器上执行恶意代码。攻击链可能下载ZIP文件,运行恶意Python脚本进行侦察,并通过VBScript文件在Windows启动文件夹中建立持久性。最终投放的ModeloRAT远程访问木马,可通过Microsoft Defender防病毒软件检测和阻止。
社会工程学攻击 DNS劫持 恶意软件传播 绕过传统检测 持久化攻击 远程访问木马(RAT) 防病毒软件检测
0x10 第32天-PHP文件安全操作全解析:从基础函数到代码审计案例
AlphaNet 2026-02-15T12:44:02 © 萧瑶
本文详细解析了PHP中的文件安全操作,涵盖了文件上传、下载、读取、删除、遍历和包含等核心操作。文章首先介绍了文件上传的过程,包括$_FILES变量和move_uploaded_file函数的使用,并指出了文件类型绕过、文件大小限制和存储路径防护等安全风险。接着,文章探讨了文件遍历与读取的安全限制,如open_basedir指令和目录遍历漏洞的防御措施。此外,还讨论了文件删除时的命令执行风险,以及文件下载和读取中可能出现的任意文件读取漏洞。最后,文章强调了文件包含的隐患,并给出了防御措施,如使用白名单控制允许包含的文件和禁用远程文件包含。通过三个真实代码审计案例,文章展示了如何从漏洞中学习安全实践,并总结了文件安全的核心原则。
文件操作安全 PHP安全 代码审计 漏洞分析 安全最佳实践 Web应用安全
0x11 第31天-WEB开发安全审计学习笔记:从原生PHP到ThinkPHP框架实战
AlphaNet 2026-02-15T12:41:17 © 萧瑶
本文深入探讨了WEB开发安全审计,从原生PHP基础到ThinkPHP框架实战。文章首先回顾了原生PHP中常见的安全问题,如超级全局变量、SQL注入、数据库通讯、Cookie和Session管理、弱类型比较等,并提供了相应的安全建议和代码审计案例。接着,文章介绍了Smarty模板引擎的安全配置和模板插件的安全审计案例。在ThinkPHP框架部分,详细解析了框架的配置架构、路由访问、请求变量、数据库操作和前端页面渲染等关键技术。同时,强调了开发者写法安全的重要性,并通过实际案例分析了不合规代码写法的安全问题。最后,文章以ThinkPHP代码审计案例——WeMall为例,说明了如何在实际项目中进行代码审计,并总结了安全开发的原则和方法。
Web安全 PHP安全 代码审计 框架安全 SQL注入 XSS攻击 会话安全 文件上传安全 权限验证 模板注入
0x12 渗透测试中常用提权漏洞详解!
HACK之道 2026-02-15T09:22:59 © 牛叫瘦
本文详细介绍了渗透测试中提权的概念、分类和常用漏洞类型,以及相应的防范措施。提权是渗透测试的关键环节,用于将低权限账户提升至系统最高权限。文章首先解释了提权的本质和分类,包括本地提权和远程提权,并指出本地提权在实际测试中更常用。接着,文章分别针对Windows和Linux系统,详细分析了常用的提权漏洞,如Windows中的服务权限配置错误、注册表键值劫持、内核提权漏洞(CVE-2021-1732、CVE-2025-24076)和DLL劫持提权;Linux中的SUID/SGID权限滥用、sudo配置错误、内核提权漏洞(CVE-2022-0847)和计划任务(Cron)漏洞提权。最后,文章总结了提权漏洞的核心防范思路,包括及时更新系统和软件、规范权限配置、强化安全审计、禁用不必要的功能和服务,以及提升管理员安全意识。文章强调,提权漏洞多源于权限配置不当、系统/软件未及时更新和管理员安全意识薄弱,因此防御的关键在于规范权限管理、及时修复漏洞和强化安全审计。
提权漏洞 Windows安全 Linux安全 渗透测试 漏洞利用 漏洞防御 内核漏洞 配置错误
0x13 TA584黑客团伙利用Tsundere Bot与XWorm实施勒索软件攻击
黑白之道 2026-02-15T09:18:45
本文揭示了代号为TA584的黑客团伙利用Tsundere Bot和XWorm远程访问木马进行勒索软件攻击的活动。自2020年以来,Proofpoint研究人员一直在追踪TA584的活动,发现该组织近期扩大了攻击规模,并构建了一套能够规避静态检测的持续性攻击链。Tsundere Bot恶意软件最初与123 Stealer窃密木马相关联,具有信息收集、数据窃取、横向移动和部署额外恶意载荷的功能。TA584的攻击活动在2025年末相比同年第一季度增长了两倍,攻击范围也扩展到了多个国家。攻击流程包括利用老邮箱发送钓鱼邮件,诱导用户执行PowerShell命令,进而下载并执行恶意脚本,最终加载XWorm或Tsundere Bot。Tsundere Bot是一款运行在Node.js环境下的恶意软件即服务平台,具有后门和加载器功能,能够从C2服务器下载代码,并支持将受感染主机作为SOCKS代理。
勒索软件攻击 远程访问木马 初始访问中间商(IAB) 钓鱼邮件攻击 恶意软件分析 持续攻击链 恶意软件分发 地理围栏与IP过滤 自动化攻击工具 恶意软件市场
0x14 从零开始!手把手教你在Windows Server 2019上搭建DNS服务器,内网域名访问So Easy!
铁军哥 2026-02-15T07:37:21 © 衡水铁头哥
本文详细介绍了在Windows Server上部署虚拟桌面基础结构(VDI)的步骤和关键组件,特别是DNS服务器的配置。文章首先解释了VDI功能需要通过“远程桌面服务安装”来实现,并指出部署该服务需要服务器加入AD域,而创建AD域又需要先配置DNS服务。DNS的作用是将名称与数字地址关联,提供分层命名空间,并支持与DHCP服务集成。文章接着指导读者如何在“服务器管理器”中安装DNS服务器角色,包括选择主要区域、设置区域名称(如tt.com)以及选择动态更新模式。配置完成后,通过添加主机(A记录)来使域名解析生效,并使用nslookup命令验证解析结果。此外,文章还展示了DNS服务器如何通过迭代查询根DNS服务器和顶级DNS服务器来解析域名,并强调了DNS在内网访问和高级服务(如Active Directory)中的重要性。最后,文章鼓励读者在评论区分享配置经验或问题。
Windows Server VDI (Virtual Desktop Infrastructure) Active Directory (AD) DNS (Domain Name System) DNS Configuration DHCP (Dynamic Host Configuration Protocol) Network Infrastructure Server Management Network Setup IT Administration
0x15 SRC必备的SSRF插件
锐鉴安全 2026-02-15T07:08:09
本文主要介绍了一个利用SSRF漏洞进行实战攻击的案例。案例中,作者通过发现高校人脸采集系统存在敏感信息,通过信息收集和Fuzz测试发现了注册账号漏洞。文章详细描述了从无账号到登录系统的过程,以及如何通过修改登录数据包成功注册账号。此外,文章还介绍了一款名为Auto-SSRF的BurpSuite插件,该插件用于自动探测SSRF漏洞,包括其工作原理、核心功能和配置方法。文章强调在进行此类测试时,应遵守法律法规,不得用于非法测试,并提醒使用者对使用该技术造成的后果负责。
漏洞挖掘 SSRF漏洞 自动化测试工具 BurpSuite插件 信息安全教育 实战案例分析 网络安全漏洞 敏感信息保护 漏洞利用与防范
0x16 Upload Labs 第三关通关实战(黑名单绕过 + Apache 解析机制)
武文学网安 2026-02-15T05:11:17 © 武文学网安
本文详细分析了某一网络安全靶场中第三关的挑战和解决方案。该关卡在前两关主要考察前端绕过Content-Type的基础上,难度显著提升,引入了后端校验。核心挑战是服务器通过提取文件后缀并禁止特定扩展名(如.php、.asp、.aspx、.jsp)来防止文件执行。虽然尝试使用.php5、.php3等变体上传成功,但蚁剑等工具无法连接,表明文件未被PHP解析执行。原因是Web服务器(Apache)的解析规则默认只解析.php文件,导致其他变体被当作普通文件处理。通过修改Apache的配置文件(如/etc/apache2/apache2.conf),添加新的解析规则(如.AddType application/x-httpd-php .pht),可以使服务器正确解析并执行非标准PHP扩展名的文件。文章强调,上传成功不等于代码执行,关键在于服务器的解析规则;黑名单存在缺陷,遗漏扩展名即可绕过;攻击思维应升级为上传→访问→验证解析→建立连接的完整流程。
Web安全 文件上传漏洞 服务器配置 黑名单绕过 Web服务器解析 PHP执行 命令执行 Docker环境
0x17 详细的Centos9系统加固方案
运维星火燎原 2026-02-15T00:36:15 © 刘军军
本文详细介绍了针对CentOS 9系统的一系列安全加固措施。首先通过dnf命令更新系统软件包至最新版本,并加强用户权限管理,创建受限用户并授权。接着对SSH服务进行加固,禁止root远程登录并禁用密码认证,改用密钥认证。在防火墙配置方面,使用firewalld配置防火墙规则,开放必要端口如HTTP、HTTPS、SSH。SELinux配置部分,将SELinux模式设为强制模式以增强安全性。日志审计与监控方面,配置auditd服务进行系统审计,并设置审计规则。此外,关闭不必要的服务如邮件服务和telnet服务,调整关键文件权限,优化内核参数以增强系统安全性与性能。对于Web服务和数据库服务,也提供了相应的加固建议。最后,还介绍了定期安全扫描与自动化脚本编写、SSH密钥认证强化、系统资源限制与进程监控、容器化环境安全加固、文件系统完整性与配额管理、系统服务依赖检查与清理、安全启动配置、网络安全之IP伪装与NAT限制、系统安全基线核查工具集成、远程管理工具的安全扩展以及系统加固后的定期复查等方面的内容,旨在全面提升系统的安全性和合规性。
系统更新与补丁管理 用户权限管理 SSH安全加固 防火墙配置 SELinux配置 日志审计与监控 服务管理 文件权限配置 内核参数优化 Web服务加固 数据库服务加固 自动化安全扫描 SSH密钥认证 系统资源限制 容器化环境安全 文件系统配额管理 系统服务依赖清理 安全启动配置 网络安全NAT 安全基线核查 远程管理工具安全 定期安全复查 持续安全改进
0x18 常见端口指纹识别工具 fingerprintx
进击的HACK 2026-02-15T00:04:54
本文介绍了fingerprintx,一个用于端口指纹识别的工具,它类似于httpx,但支持对多种服务进行指纹识别,包括RDP、SSH、MySQL、PostgreSQL、Kafka等。fingerprintx可以与Naabu等端口扫描器配合使用,快速识别暴露的服务和应用层服务。它支持多种数据库、开发工具、工业协议、消息传递和远程访问服务。文章详细介绍了fingerprintx的功能特性,包括向量数据库、关系型数据库、NoSQL数据库、开发工具、工业协议等。此外,还提供了使用fingerprintx的示例,包括如何使用单个目标、从输入文件运行、使用更多元数据输出等。文章最后比较了fingerprintx与Nmap的不同之处,指出fingerprintx在智能识别服务和支持JSON输出方面具有优势。
网络安全工具 端口扫描 服务识别 指纹识别 网络扫描工具 数据收集 自动化测试 开源软件
0x19 URLFinder:一款高效网页内部隐藏链接挖掘工具
网安武器库 2026-02-14T21:38:43 © 网安武器库
本文介绍了一款名为URLFinder的网页内部隐藏链接挖掘工具。该工具旨在帮助安全测试人员和开发人员分析页面中的JavaScript和URL,以查找潜在的敏感信息或未授权API接口。URLFinder具备多模式抓取功能,包括正常抓取、深入抓取和安全深入抓取,能够提取页面中的URL,分析JavaScript文件中的链接,并识别302跳转信息。此外,它还提供了灵活的配置选项,如自定义User-Agent请求头、添加Cookie、设置代理配置、线程数和超时时间,以及通过YAML配置文件进行高级设置。工具支持批量处理URL,并可以进行智能Fuzz测试。URLFinder支持多种导出格式,如CSV、JSON和HTML。文章还提供了在Windows和Linux系统下编译和使用URLFinder的指南,以及如何进行单URL分析和批量URL处理的示例。
网络安全工具 网页渗透测试 信息提取工具 代码审计 漏洞挖掘 自动化测试 跨平台
0x1a MPET——多协议安全测试与漏洞利用工具
一个人挺好 wa 2026-02-14T21:05:58 一个人挺好
MPET(Multi-Protocol Exploitation Toolkit)是一款由onewinner开发的多协议安全测试与漏洞利用工具,旨在为安全研究人员和渗透测试工程师提供全面的安全测试解决方案。该工具基于Wails v2框架构建,具备图形化桌面应用界面,支持25种以上主流服务协议的测试。MPET的核心功能包括连接测试、未授权访问检测、弱口令检测和漏洞利用。它支持多种协议的连接验证,能够自动化扫描目标服务是否存在未授权访问漏洞,并对风险进行评级。此外,MPET还提供弱口令检测和漏洞利用功能,内置常见的漏洞利用代码框架和已知漏洞利用代码。该工具采用前后端分离的架构,支持Windows、macOS和Linux平台,并具有高效并发测试、现代化UI和轻量级部署等优势。
安全测试工具 漏洞利用工具 多协议支持 图形化界面 跨平台 高效并发 自动化扫描 弱口令检测 漏洞报告生成 渗透测试
0x1b 数通HCIA-LAB实验18:路由器配置与场景应用
成渝Sec 2026-02-14T20:45:18 © 成渝Sec
本文详细介绍了路由器维护路由表的基本概念和三种常见的路由表生成方式。首先,文章解释了路由表的作用,即指导报文的转发,并概述了三种生成路由条目的方式:直连路由、静态管理员配置和动态路由协议(如OSPF、ISIS)。在直连路由部分,通过配置人力资源部门HR和财务部门FIN的通信配置,展示了如何通过接口地址生成直连路由。接着,文章重点讨论了静态路由配置,以解决PC1-PC2通信问题为例,说明了当路由表中缺少特定路由时,如何通过静态路由配置实现连通性。此外,还介绍了缺省路由的配置方法。动态路由配置部分,则通过OSPF协议的配置,展示了如何动态生成路由条目。文章还提到了高级路由技术,如等价路由和浮动路由,并解释了它们的优先级机制。最后,文章介绍了CIDR(无类域间路由)和聚合技术,通过计算六个子网的精确汇总和模糊汇总,展示了如何将多个子网聚合成一个网络地址,以优化路由表和减少路由器负载。
路由器配置 网络拓扑 路由协议 故障排除 网络地址规划 高级路由技术 命令行配置
0x1c EasyPostman——API测试工具
一个人挺好 wa 2026-02-14T20:24:53 一个人挺好
EasyPostman是一款开源的API调试与性能测试工具,旨在为开发者提供类似于Postman的本地API调试体验,并集成了类似JMeter的批量请求与压力测试功能。该工具适用于后端开发者、测试工程师和DevOps人员,主要应用于API接口调试、接口性能测试和团队协作。EasyPostman具有简洁而不简单的界面设计,功能丰富而不臃肿。其技术架构包括UI层、业务逻辑层、数据持久层和网络通信层,使用Java 17作为开发语言,并支持多种GUI框架和HTTP客户端。EasyPostman支持工作区管理,包括本地工作区和Git工作区,以及环境管理、请求历史记录和团队协作等功能。此外,它还提供了详细的安装和部署指南,包括预编译安装包、源码编译和原生安装包的生成。
开源软件 API安全 性能测试 开发者工具 Git集成 跨平台 界面设计 数据管理
0x1d 攻击者火速利用BeyondTrust高危漏洞发起攻击,数千系统面临沦陷风险
FreeBuf 2026-02-14T18:07:28
本文报道了攻击者迅速利用BeyondTrust高危漏洞(CVE-2026-1731)发起攻击的情况。该漏洞允许未经认证的远程代码执行,CVSS评分高达9.9。BeyondTrust已经发布了安全更新来修复这一漏洞。漏洞的公开利用代码后,攻击尝试迅速增加,Hacktron研究人员发现数千个实例暴露在互联网上,其中大部分为本地系统。攻击者使用特制请求执行操作系统命令,可能导致系统完全沦陷、数据窃取和服务中断。GreyNoise报告称,攻击尝试主要集中在医疗保健、金融服务、政府和酒店行业的大型企业。此外,同一批IP还针对其他安全产品进行攻击,表明攻击者具有多重漏洞利用行为。
远程代码执行 CVE-2026-1731 BeyondTrust 安全更新 PoC利用 侦察活动 IP地址追踪 行业影响 多目标攻击 漏洞利用工具
0x1e 漏洞挖掘之利用js挖掘漏洞
陌笙不太懂安全 2026-02-14T18:05:00 中铁13层打工人
本文详细介绍了如何利用JavaScript进行漏洞挖掘,包括敏感信息泄露、指纹信息获取、接口泄露和异步加载等方面的内容。文章首先指出JavaScript中可能存在的安全问题,如默认用户名密码、硬编码密码等敏感信息泄露,以及框架信息、开发商信息等指纹信息泄露。接着,文章探讨了如何通过爬取接口和截取父目录后搜索源码来发现隐藏的接口,以及如何利用异步加载技术更快地查看页面内容和源码。文章还深入分析了JavaScript逆向破解加密的思路,以某网站越权查看信息为例,详细介绍了抓包分析、逆向分析、加密算法原理和破解过程。最后,文章介绍了JSrpc技术,该技术通过WebSocket与本地服务端连接,实现远程调用浏览器方法,从而免去抠代码补环境的过程。文章内容丰富,对于网络安全学习者来说具有很高的参考价值。
JavaScript安全 漏洞挖掘 逆向工程 安全测试 加密解密 前端安全
0x1f 去间接跳转/模拟执行学习
看雪学苑 2026-02-14T18:00:11 zzzhangyu
本文详细探讨了间接跳转这种高级混淆技术在网络安全学习中的应用,特别是如何使用unicorn和unidbg等模拟执行脚本来对抗反编译器无法分辨的混淆。文章以京麒2024的drillbeam为样本,尝试去除其中的间接跳转混淆。首先,文章分析了间接跳转混淆的原理及其在IDA和BN分析器中的表现,指出数据段设置为只读可以改善分析效果。接着,文章介绍了unicorn和unidbg模拟执行框架的基本使用方法,并提出了手动计算和自动化工具计算间接跳转地址的思路。文章重点介绍了使用unidbg框架去除drillbeam中的间接跳转混淆的过程,包括模拟执行、收集指令、计算跳转地址和patch指令等步骤。最后,文章总结了该脚本的优缺点,并指出其需要进一步改进的方向。
网络安全 逆向工程 代码混淆 反汇编 模拟执行 ARM架构 CTF Ollvm
0x20 流氓软件卷土重来?恶意驱动作祟下发DDoS工具包
火绒安全 2026-02-14T17:02:04 © 火绒安全
火绒威胁情报系统监测到一款DDoS工具包被下发至数千终端用户。该工具包源自一个带有有效签名的恶意驱动z_driver,由“山西荣升源科贸有限公司”签名,并利用微软交叉签名的第三方Verokey CA证书。恶意驱动通过注册内核回调实现自我保护,并释放恶意DLL注入svchost.exe进程。该工具包自2025年2月起持续下发并迭代,新版本添加了注册表持久化功能,并已执行多次DDoS攻击和流量刷量。攻击者使用域名ddd222[.]xyz(曾与独狼病毒关联)和dwav.cose[.]space与服务器通信。Clinet.dat为Go语言编写的DDoS客户端,支持多种绕过防御方法;ccw.exe包含精简的Layer 4 TCP/UDP泛洪攻击功能。火绒安全建议用户警惕此类风险,防范恶意驱动、注入及持久化带来的威胁,并关注潜在的新型恶意行为。
恶意驱动 Rootkit DDoS攻击 进程注入 C&C通信 恶意软件下载器/分发器 持久化 混淆/加密 多层攻击链 滥用证书 Go语言编写 反检测技术
0x21 红队干货 | 外网快速打点方法技巧总结
马哥网络安全 2026-02-14T17:01:03 点击关注👉
本文详细探讨了网络安全中的红队攻防,特别是外网快速打点的方法和技巧。文章首先介绍了打点的基本认识,强调了在有限时间和资源下,快速打点能力对红队人员的重要性。接着,文章详细阐述了打点的基本方法,包括信息搜集、寻找脆弱资产、漏洞利用等步骤,并介绍了如何使用各种工具如Oneforall、Eeyes、Fofa和Fscan进行信息搜集和资产筛选。文章还提到了攻防演练中的“三板斧”漏洞利用技巧,如反序列化漏洞、文件上传漏洞和SQL注入漏洞。此外,文章强调了信息搜集的体力劳动性质,并指出虽然工具可以辅助提高效率,但快速打点仍需要大量的时间和努力。最后,文章讨论了打点的技术区分线,强调技术深化和代码能力对于红队人员的重要性,并建议在信息搜集和漏洞利用之间找到平衡点。
红队攻防 网络安全攻击 渗透测试 信息搜集 漏洞利用 实战技巧 网络安全教育
0x22 利用 SBOM 基础设施构建隐蔽通信系统
securitainment 2026-02-14T15:50:00 latedeployment
本文介绍了一种利用软件物料清单(SBOM)证书和sigstore数据库构建隐蔽通信系统的方法。通过将加密数据分块并隐藏在RSA公钥的模数中,然后将这些分块作为签名条目上传到rekor,接收方可以提取并解密数据。该方法结合了证书透明度、公钥操纵技术和Magic-Wormhole的一次性口令理念,使得发送方和接收方之间无需建立直接连接即可安全传输信息。文章详细描述了系统的工作原理,包括口令短语生成、密钥与哈希的派生、数据加密和分块、上传到rekor以及接收方的解密过程。此外,还提供了Rekor API的实现细节和代码示例。文章强调,该技术仅用于教育和研究目的,并提醒读者不要滥用技术访问或干扰未经授权的系统。
软件供应链安全 隐蔽通信 密钥管理 数字签名 证书透明度 RSA加密 公钥基础设施 安全协议
0x23 利用证书透明度日志构建隐蔽通信信道
securitainment 2026-02-14T15:50:00 latedeployment
本文介绍了一种利用证书验证基础设施,通过Certificate Transparency(CT)日志分发消息的方法。该方法允许用户将隐藏数据嵌入到RSA公钥中,并将包含这些数据的证书提交到CT日志,从而实现数据的永久存储和公开可访问性。文章详细描述了如何使用Let's Encrypt和OpenBSD的acme-client工具生成包含隐藏信息的证书,并解释了如何通过CT日志API和crt.sh等工具读取这些隐藏数据。文章还讨论了使用RSA公钥的低位比特嵌入消息的技术原理,以及如何通过CT日志的API高效地查询和解析证书数据。此外,文章还探讨了实际应用场景,例如如何通过创建多张证书来存储更长的消息,以及如何使用子域名来扩展存储空间。最后,文章提供了相关的代码示例和部署步骤,展示了如何将证书部署到OpenBSD服务器并获取Let's Encrypt证书。
Certificate Transparency Public Key Infrastructure (PKI) Certificate Signing Data Hiding RSA Cryptography Merkle Trees Certificate Transparency Logs API (RFC 6962) crt.sh Let's Encrypt OpenBSD acme-client
0x24 Claude Code(API Key 接入)
AI安全运营 2026-02-14T15:35:13 OZ
Claude Code 是一款由 Anthropic 开发的编码助手,支持在终端中运行,帮助用户编写、解释和重构代码。本文介绍了如何通过 API Key 接入 Claude Code,无需官方账号订阅即可使用。文章详细说明了 Claude Code 的系统要求,包括操作系统、硬件和网络连接,以及支持的 Shell 类型。此外,还提供了官方推荐的安装方法,包括 macOS、Linux 和 Windows 的安装步骤。文章还涵盖了如何配置 API 密钥和端点,以及如何验证安装和更新 Claude Code。最后,提供了一些使用指南和示例,包括如何编写、解释代码以及进行交互式会话。
API Security Authentication Command Injection Software Security Update Management API Router Security Environment Configuration
0x25 Bugku逆向题目-1.入门逆向
SPEEDCoding 2026-02-14T14:55:41 © 李北辰
本文分析了Bugku逆向题目“入门逆向”的解题过程。该题目提供了一个32位PE可执行文件,使用Ghidra进行分析后,发现程序在打印一行问候语后,向栈中写入了一系列的字节数据,这些数据经过转换后拼凑成了答案。文章详细介绍了如何使用Ghidra反编译程序,找到主函数,并从汇编代码中提取出相应的字节序列。随后,文章将汇编代码还原为C语言代码,并展示了如何使用自制的FileHexHelper库来读取文件数据,并从指定的偏移地址处提取字符,从而得到最终的flag。整个解题过程包括了对逆向工具的运用、汇编语言的理解以及C语言与汇编代码的转换。
逆向工程 漏洞分析 二进制分析 漏洞利用 网络安全 CTF挑战 编程技巧
0x26 新型Linux僵尸网络SSHStalker利用传统IRC协议实现命令与控制(C2)通信
嘶吼专业版 2026-02-14T14:00:31 胡金鱼
SSHStalker是一款新型的Linux僵尸网络,它利用传统的IRC协议来实现命令与控制(C2)通信。该僵尸网络采用经典的IRC机制运行,使用基于C语言的木马程序和多服务器/多频道冗余设计,强调韧性和规模化,而非隐蔽性。SSHStalker通过自动化SSH扫描和暴力破解进行初始入侵,使用Go语言编写的二进制程序伪装成Nmap工具。一旦被攻陷,主机将用于扫描更多SSH目标,形成蠕虫般的传播机制。该僵尸网络还具备下载GCC编译工具、编译恶意载荷、利用旧漏洞提升权限等功能。SSHStalker的目标主要是云服务商,如Oracle Cloud。此外,它还具备分布式拒绝服务(DDoS)攻击能力,但目前尚未观察到相关攻击行为。SSHStalker目前处于测试或囤积访问权限的阶段,研究人员尚未将其归属到特定攻击组织。为了防御SSHStalker,建议在生产服务器上部署针对编译器安装与执行行为的监控方案,并对IRC类型的出站连接设置告警。
僵尸网络 Linux安全 命令与控制(C2) IRC协议 木马程序 漏洞利用 SSH攻击 云安全 挖矿软件 分布式拒绝服务(DDoS) 防御策略
0x27 AiFrame攻击活动:30款恶意Chrome扩展程序伪装成AI助手窃取账号凭证
嘶吼专业版 2026-02-14T14:00:31 胡金鱼
本文报道了一起名为AiFrame的恶意Chrome扩展程序攻击活动。该活动涉及30款恶意扩展程序,伪装成AI助手,窃取用户账号凭证、邮件内容和浏览信息。这些扩展程序已安装于超过30万用户设备上,其中部分仍在Chrome应用商店上架。研究人员发现,这些扩展程序由同一攻击团伙控制,通过相同的域名进行通信。恶意扩展程序使用全屏iframe加载远程内容,提供虚假的AI服务,同时具有修改扩展逻辑的能力,绕过应用商店审核。部分扩展程序专门针对Gmail数据,通过注入脚本窃取邮件内容,并上传至攻击者控制的第三方服务器。此外,这些扩展程序还具备语音识别和转录功能,可能窃取用户环境的对话内容。研究人员建议用户自查并重置账号密码以保障安全。
恶意软件攻击 浏览器安全 账号凭证窃取 人工智能滥用 数据泄露风险 Chrome应用商店安全 JavaScript攻击 邮件安全 远程攻击
0x28 利用NFS逃逸与PostgreSQL隧道提权
柠檬赏金猎人 2026-02-14T10:40:41
本文详细解析了一种网络安全攻击场景,其中攻击者利用不安全的NFS配置和PostgreSQL数据库漏洞,通过读取系统敏感文件获取凭证,并利用SSH隧道访问PostgreSQL UNIX套接字。攻击过程包括信息收集、漏洞利用和权限提升,具体步骤涉及NFS共享枚举、文件读取、凭证破解、SSH隧道建立、PostgreSQL命令执行以及利用Cron任务提权。文章还强调了相关配置风险和注意事项,如NFS配置缺陷、PostgreSQL安全设置、备份脚本权限和凭证管理,并提供了相应的参考链接。
网络安全渗透测试 漏洞利用 系统提权 NFS协议 PostgreSQL数据库 SSH隧道 密码破解 定时任务滥用 文件权限设置
0x29 《记一次简单的 EDUSRC 上分之旅(1):高校系统漏洞挖掘实录》
陌上ms 2026-02-14T10:24:35 © 陌上ms
本文详细记录了一位网络安全学习者对高校系统进行漏洞挖掘的过程。作者通过获取登录凭证进入系统后台,发现并利用了密码重置校验逻辑漏洞,实现了任意用户修改密码的能力。进一步分析发现,系统存在多处身份证信息泄露漏洞,共计泄露教职工身份证信息超过4000条,且所有敏感信息均在HTTP响应包中明文传输,未进行加密或脱敏处理。此外,作者还揭示了多媒体平台中存在的弱口令问题,后台包含试卷管理、试题管理等敏感功能,存在重大安全隐患。作者已将相关漏洞报送至EDUSRC,并完成了合规处置。
漏洞挖掘 网络安全测试 身份验证漏洞 数据泄露 弱口令 安全合规 教育行业安全
0x2a 云函数开发的小程序的隐藏参数挖掘
希望对技术保存热情 2026-02-14T10:22:30 迷途
本文主要讨论了在云函数开发的小程序中挖掘隐藏参数的方法。作者描述了在正常登录小程序后,点击功能时无法抓到包的情况,并通过了解云函数开发的特性,找到了测试的方法。文章中提到了两种测试方法:一种是付费的第三方工具,另一种是通过控制台调试进行测试。作者详细说明了如何在控制台中设置断点,搜索特定日志信息,并通过插入特定参数来获取隐藏的admin账户数据。文章中还附带了相关的代码截图,以帮助读者更好地理解整个过程。
0x2b ClickFix 无文件方式新一轮攻击 Windows 系统从而部署 StealC 窃取程序
暗镜 2026-02-14T10:08:00 © ZM
本文报道了一起针对Windows用户的社会工程攻击活动,该活动通过虚假的CAPTCHA验证页面传播StealC信息窃取恶意软件。攻击者利用用户对网站安全的信任,通过被入侵的网站展示欺诈性的Cloudflare安全检查,诱骗用户执行恶意PowerShell命令。攻击过程涉及多阶段攻击链,包括下载位置无关的shellcode,反射加载64位PE下载器,并将StealC恶意软件注入合法的Windows进程。StealC旨在窃取浏览器凭据、加密货币钱包信息、电子邮件凭据等敏感数据,并采用无文件执行技术,难以检测。研究人员建议组织监控可疑的User-Agent字符串、标记编码命令执行的PowerShell,以及检测shellcode注入的异常行为。
社会工程学攻击 无文件攻击 信息窃取恶意软件 Windows系统安全 浏览器安全 加密货币安全 远程访问木马(RAT) 恶意软件分析 安全检测与防御
0x2c 漏洞复现 | 深信服运维安全管理系统 getCmd 远程代码执行漏洞
实战安全研究 2026-02-14T09:24:14
本文详细描述了深信服运维安全管理系统中的一个远程代码执行漏洞。该漏洞允许未经身份验证的攻击者在服务器端执行任意代码,可能写入后门,获取服务器权限,进而控制整个web服务器。文章提供了漏洞的描述、影响版本、Fofa语法、漏洞复现步骤、检测POC、漏洞修复建议以及内部圈子信息。文章强调,本文内容仅用于技术学习和安全研究,禁止用于非法活动。同时,文章还介绍了如何利用Nuclei和Afrog工具进行漏洞检测,并推荐了一个专注于1day/Nday漏洞复现的圈子,提供POC和复现步骤,适合渗透测试、攻防演练、安全运维、企业自查和SRC漏洞挖掘等场景。
远程代码执行(RCE) 漏洞复现 安全管理系统漏洞 Web服务器安全 漏洞修复建议 安全研究 渗透测试 安全运维
0x2d SRC | 记一次EDU证书站挖掘
黑白之道 2026-02-14T09:18:44
本文记录了一次针对EDU证书站的挖掘过程。作者从证书站后几所学校中寻找边缘资产,发现一处没有域名备案的IP站点。通过接口未授权漏洞,作者下载并还原了前端文件,发现了文件上传和下载接口。通过任意文件下载功能,作者成功下载了/etc/passwd文件,并从中获取了普通用户的凭据。进一步,作者通过分析Bash History泄露的凭据,成功登录后台并确定了资产的归属。作者还发现了一个任意文件上传漏洞,并利用路径穿越技术将文件上传到Web服务的绝对路径下。最终,作者通过上传一个简单的.jsp文件验证了漏洞,并总结了整个挖掘过程的经验。
漏洞挖掘 信息收集 未授权访问 文件包含漏洞 路径穿越 凭证泄露 Web应用安全 安全测试
0x2e 黑客团伙滥用Hugging Face平台传播数千款安卓恶意软件变种
黑白之道 2026-02-14T09:18:44
近期,网络安全研究人员发现一个黑客团伙利用Hugging Face平台传播数千款安卓恶意软件变种。这些恶意软件伪装成安全工具,如TrustBastion应用,诱骗用户安装。安装后,恶意软件会诱导用户授予额外权限,从而监控用户操作、窃取屏幕截图、模拟用户操作并伪造金融平台登录界面。攻击者通过Hugging Face平台分发恶意软件,利用服务端多态技术生成新的恶意载荷变种。尽管Hugging Face平台已移除相关恶意数据集,但安全专家提醒用户避免从第三方应用商店下载应用,并在安装时仔细检查权限。
恶意软件传播 平台滥用 AI工具滥用 钓鱼攻击 远程控制 用户隐私泄露 安全警告与响应 移动安全
0x2f OpenClaw成供应链投毒新目标,341个恶意Skills窃取用户数据
黑白之道 2026-02-14T09:18:44
OpenClaw,一个快速发展的开源AI Agent平台,正面临严重的供应链风险。安全公司SlowMist和Koi Security发现,攻击者在OpenClaw的ClawHub插件市场投放了恶意Skills模块,这些模块被用于传播Atomic Stealer等信息窃取程序。OpenClaw的Skills模块设计为非可审计的Markdown格式,容易被滥用。ClawHub的上传流程缺乏严格审核,导致恶意样本得以传播。Koi Security扫描发现341个恶意样本,感染率达12%。恶意Skills伪装成加密货币工具、YouTube实用程序等,通过Base64混淆的命令触发下载。攻击者使用临时签名的Mach-O通用文件,与Atomic macOS Stealer匹配,窃取用户数据并通过C2服务器外传。该攻击被命名为ClawHavoc,表明这是一次有组织的行动。
供应链攻击 信息窃取 开源项目安全 恶意软件分析 平台安全漏洞 漏洞利用 加密货币安全 跨平台攻击
0x30 网安每日干货分享《文件包含之远程包含Webshell》-0214
建哥聊安全 2026-02-14T08:53:18 © 建哥聊安全
本文详细介绍了如何利用文件包含漏洞远程包含Webshell以获取系统权限。文章首先强调了合法使用技术的重要性,并说明了实验环境和原理。实验步骤包括在操作机上搭建Web服务器、创建木马文件、通过文件包含漏洞远程包含木马文件,并最终通过“中国菜刀”工具连接到远程Webshell。文章总结了实验过程,强调了在无其他漏洞,只有文件包含漏洞且目标服务器本地无shell文件可利用的情况下,如何通过远程文件包含漏洞获取系统权限的方法。
文件包含漏洞 Webshell 渗透测试 实验教程 网络安全 PHP安全 Windows系统安全
0x31 惊了!单个 IP 竟承包 83% 的攻击量?Ivanti 0-day 背后的“防弹”黑产大揭秘
技术修道场 2026-02-14T08:49:16 © Hankzheng
本文揭示了Ivanti EPMM(Endpoint Manager Mobile)漏洞CVE-2026-1281所涉及的攻击情况。研究发现,一个IP地址在短短几天内对Ivanti EPMM进行了83%的攻击,这一异常行为表明背后存在一个组织严密的黑产。攻击者利用Bulletproof Hosting(防弹主机)技术逃避封禁,并采用自动化攻击框架进行攻击。攻击者不仅针对Ivanti漏洞,还同时攻击其他系统,并使用了隐蔽的Initial Access Broker(初始接入代理)战术。文章详细分析了攻击者的技术手段,包括User Agent的暴力轮询和并发攻击,以及OAST技术用于确认目标可利用性。文章最后提供了针对这种攻击的防御建议,包括网络层封锁、日志审计、主机层排查和假设已失陷的应对策略。
漏洞攻击 自动化攻击 僵尸网络 防弹主机 恶意软件分发 带外探测 内存驻留攻击 勒索软件 网络安全防御
0x32 CVE-2026-22039:Kyverno授权绕过漏洞深度剖析
云原生安全指北 2026-02-14T08:35:12 Dubito
本文深入分析了Kyverno项目披露的一个高危漏洞CVE-2026-22039,该漏洞允许具有命名空间级策略权限的认证用户绕过授权机制,访问和篡改Kubernetes集群中不同命名空间的资源。Kyverno是一个广泛使用的Kubernetes原生策略引擎,它作为动态准入控制器,在Kubernetes集群中强制执行安全策略。漏洞源于Kyverno处理策略上下文条目时未验证策略作者是否有权访问指定资源。文章详细描述了漏洞的原理、利用步骤和影响,并指出该漏洞可能导致跨命名空间的数据窃取。此外,文章还提供了受影响和已修复的Kyverno版本信息,并介绍了Minimus如何帮助客户减少CVE噪音和及时更新镜像版本。
Kubernetes 安全 云原生安全 权限绕过漏洞 RBAC 安全 配置管理 漏洞分析
0x33 【CobaltStrike】NeoCS 4.9 终极版(自破解+二开+BUG修复)
星夜AI安全 2026-02-14T08:26:26 © 星夜AI安全
NeoCS 4.9 终极版是基于原版 Cobalt Strike 4.9 进行破解、二开和BUG修复的版本,主要优化了用户体验和稳定性,适用于安全测试与技术研究场景。该版本移除了原版所有暗桩,并修复了多项已知BUG,提升了使用便捷性。核心优化包括界面染色优化、实用功能增强、文件浏览器优化和默认设置优化。界面染色方面,对进程和文件进行个性化颜色标注,并支持自定义;实用功能增强包括IP归属地显示、目标页面note多行显示、进程浏览搜索和beacon右键信息查看;文件浏览器优化支持多文件上传、自动修改文件时间戳和CrossC2适配;默认设置优化则包括监听器默认配置、服务端一键启动和c2profile适配。此外,该版本还修复了截图保存为空、cna脚本函数调用和网络断开重连显示等BUG,并提供了详细的启动流程和核心功能使用说明。在免杀效果方面,通过特征隐藏、进程伪装、通信优化和代码净化等手段,在主流杀毒软件上实现了较好的免杀效果。
CobaltStrike 漏洞利用 恶意软件分析 渗透测试 二进制分析 免杀技术 C2架构 工具开发 网络攻防
0x34 ARL 灯塔平替!集成资产收集/定时任务/漏洞扫描等的自动化安全扫描平台
星夜AI安全 2026-02-14T08:26:26 星夜AI安全
本文介绍了一款名为XingRin的自动化安全扫描平台,该平台集成了资产收集、定时任务、漏洞扫描等功能。平台基于公开资料和专业交流分享安全知识和工具信息,旨在提升个人安全意识和了解防护手段,但禁止用于任何违法活动。XingRin平台具有以下特点:子域名扫描、端口扫描、站点发现、指纹识别、URL收集、目录扫描和漏洞扫描等功能;支持多层级组织管理和资产快照;提供黑名单过滤、定时任务和分布式扫描等高级功能;集成企业微信、Telegram、Discord等通知推送服务;采用分布式架构,支持多节点扫描和负载感知调度;提供全局资产搜索和多类型搜索功能;具备数据统计、实时通知和可视化界面等特点。文章还介绍了平台的环境要求、一键安装方法、常用命令以及关注微信公众号加入交流群的信息。
网络安全平台 自动化安全扫描 子域名扫描 端口扫描 指纹识别 漏洞扫描 资产收集 定时任务 分布式扫描 通知推送 API密钥管理 漏洞挖掘 红队技术 安全工具
0x35 Windows后门应急-Shift 粘滞键权限维持后门与应急处置
0xSec笔记本 2026-02-14T08:18:13 © 0xSec笔记本
本文探讨了Windows操作系统中一种名为粘滞键的后门技术及其应急处理方法。粘滞键后门利用系统辅助功能程序劫持,攻击者在获取管理员权限后,通过修改注册表中的映像劫持(IFEO)来指向cmd.exe,从而以SYSTEM权限获取命令行。文章详细介绍了粘滞键后门的原理、攻击场景模拟、应急响应与发现步骤,以及处置方案。包括查看注册表映像劫持、使用Autoruns辅助软件查看、删除注册表恶意项、检查关联文件、加固建议等。文章强调,这些技术仅用于合法授权的安全研究、教学演示及防御机制开发,并提醒读者遵守相关法律法规。
后门攻击 权限维持 应急响应 Windows安全 注册表攻击 命令行执行
0x36 漏洞预警 | 用友U8CRM SQL注入漏洞
浅安安全 2026-02-14T08:00:28 浅安
本文报道了用友U8CRM软件的一个高危SQL注入漏洞。该漏洞存在于/service/changebgflag.php接口,未经身份验证的攻击者可以利用此漏洞获取数据库中的敏感信息。用友U8CRM是一款功能全面的客户关系管理软件,用于帮助企业建立和改善与客户的关系。目前,官方已经发布了修复该漏洞的版本,建议用户升级到安全版本以避免潜在的安全风险。漏洞编号暂无,影响版本为用友U8-CRM,POC已公开。
SQL注入漏洞 客户关系管理软件 高危漏洞 信息泄露 软件漏洞 漏洞修复 网络安全预警
0x37 漏洞预警 | 用友时空KSOA SQL注入漏洞
浅安安全 2026-02-14T08:00:28 浅安
本文报道了用友时空KSOA产品中存在的高危SQL注入漏洞,漏洞编号分别为CVE-2025-15435和CVE-2025-15436。这两个漏洞允许未经身份认证的攻击者通过特定的接口获取数据库敏感信息。用友时空KSOA是一款基于SOA理念的新一代产品,旨在帮助流通企业简化IT管理。受影响的版本为KSOA 9.00。官方已发布修复版本,建议用户升级以消除安全风险。
SQL注入漏洞 高危漏洞 用友时空KSOA 数据库安全 软件漏洞 漏洞修复
0x38 Claude LLM 的工件被用于在 ClickFix 攻击中推送 Mac 信息窃取程序
暗镜 2026-02-14T07:51:33 © ZM
本文报道了一起利用 Claude LLM 工件进行的 ClickFix 攻击,攻击者通过 Google 广告和 Claude 工具向搜索特定查询的 macOS 用户推送信息窃取恶意软件。攻击至少有两种变种,影响了超过 10,000 名用户。恶意搜索结果通过谷歌搜索推广,诱导用户在终端中执行恶意命令,从而加载 MacSync 信息窃取程序的恶意软件加载器。该恶意软件窃取敏感信息并通过 HTTP POST 请求上传到攻击者的 C2 服务器。攻击者利用 Claude 工具生成恶意内容,并通过 Moonlock Lab 和 AdGuard 研究人员的调查被揭露。研究人员警告用户谨慎行事,避免在终端中执行不明命令,并建议通过询问聊天机器人命令的安全性来判断其安全性。
恶意软件攻击 钓鱼攻击 社会工程学 MacOS 安全 命令与控制(C2) 大型语言模型滥用 搜索引擎滥用 终端安全 安全意识教育
0x39 文件上传——Upload-Labs 第2关通关:Content-Type绕过
武文学网安 2026-02-14T04:06:10 © 武文学网安
本文介绍了Upload-Labs第2关的通关技巧,主要涉及Content-Type绕过上传漏洞。文章首先解释了Content-Type的作用,即告知服务器上传文件的类型。接着,文章指出由于Content-Type由客户端提交,攻击者可以修改它,从而导致服务器信任错误类型,产生安全漏洞。文章通过实际操作,使用BurpSuite修改请求的Content-Type值,绕过服务器对文件类型的检查,成功上传文件。最后,文章总结了本关的核心理解,包括Content-Type的本质、服务器验证文件的重要性以及上传漏洞的真正来源。
网络安全 文件上传漏洞 Web安全 渗透测试 Content-Type 服务器安全 BurpSuite
0x3a 文件上传——Upload-Labs 第1关通关:JS前端绕过,从上传一句话木马到蚁剑连接
武文学网安 2026-02-14T04:06:10 © 武文学网安
本文详细介绍了如何在Upload-Labs的第1关中通过JS前端绕过技术上传一句话木马到服务器,并使用蚁剑进行连接。文章首先解释了JS前端绕过的概念,即前端验证并非真正的安全措施,因为攻击者可以修改请求内容或绕过浏览器直接发送HTTP请求。接着,作者介绍了如何准备一句话木马,并将其上传到服务器。由于前端存在JS检测,直接上传PHP文件会失败,因此作者使用Burp Suite修改请求内容,绕过检测。上传成功后,通过访问文件路径确认文件已执行,并使用蚁剑连接进行远程控制测试。文章最后强调了前端验证的不可信性,并总结了文件上传攻击的基本流程和验证的重要性。
Web安全 文件上传漏洞 JavaScript绕过 木马上传 蚁剑工具使用 渗透测试 实战案例
0x3b 网安社团周报 Week2 - SSRF(服务器端请求伪造) And 第三届SHCTF(Web) 2025春秋杯冬季赛(Ai) WriteUP
志在片语 2026-02-14T02:17:37 © 小志z
SSRF(服务器端请求伪造)是一种网络安全漏洞,攻击者可诱导服务器向指定域名或IP发起请求,实现在服务器端访问内部资源。文章详细介绍了SSRF的工作原理、危害及实战案例。特别强调了云元数据接口在SSRF攻击中的重要性,云元数据是云服务器的“身份证”和“配置说明书”,包含主机名、网络配置、IP地址等信息,攻击者可通过访问云元数据服务地址获取敏感信息,甚至使用临时凭证操作云资源。文章还通过多个CTF比赛题目,如URL_Fetcher SSRF题、CTFHub内网访问、伪协议读取文件、端口扫描、POST请求等,展示了SSRF在实战中的应用和绕过方法。此外,还探讨了CTF竞赛中涉及的其他安全知识点,如命令执行、条件竞争、文件上传漏洞、SQL注入等,为网络安全学习者提供了丰富的实战经验和知识拓展。
SSRF 网络安全漏洞 云原生安全 CTF 元数据访问 命令执行 提示词注入
0x3c Chroma DB未授权信息泄露漏洞
TtTeam 2026-02-14T00:41:59
Chroma DB未授权信息泄露漏洞是一处高危漏洞,由Shay Ben Tikva发现。该漏洞存在于Chroma DB的集合管理端点,由于访问控制配置缺陷,攻击者无需认证即可获取完整的Chroma数据,包括数据ID、名称、配置信息等敏感信息。此外,应用中开放的/docs端点泄露了Swagger/OpenAPI规范,攻击者可利用这些信息进行精准攻击。漏洞利用条件简单,只需发起HTTP请求即可获取敏感数据。该漏洞可能导致业务数据泄露、AI模型训练数据被盗、用户隐私信息曝光等严重后果。检测该漏洞的方法是通过发送特定HTTP请求至目标Chroma DB服务端点,验证是否存在信息泄露情况。
数据库漏洞 未授权访问 信息泄露 高危漏洞 API安全 身份验证缺陷 数据安全
0x3d Windows系统安全加固方法
运维星火燎原 2026-02-14T00:01:39 © 刘军军
本文详细介绍了Windows系统安全加固的方法,包括账户安全加固、关闭危险默认共享、远程桌面RDP安全加固、防火墙加固、关闭危险服务与功能、系统权限与日志加固、网络安全加固以及组策略加固等多个方面。文章提供了具体的操作步骤和命令,例如重命名管理员账户、禁用Guest账户、开启账户锁定策略、关闭后门共享、修改RDP端口、开启防火墙、禁用自动播放、关闭SMB1.0、关闭Telnet、开启审核策略、禁用LM & NTLMv1、开启SYN攻击防护、清空ARP缓存等。此外,文章还提到了一键安全检查脚本的使用和组策略的配置,以及企业级安全工具的使用建议,旨在提高Windows系统的安全性。
操作系统安全 账户管理 网络配置 防火墙 服务与功能 日志审计 网络安全协议 组策略 安全工具
0x3e IPv6初探:协议原理与 Web 服务搭建全记录
萌蘖向阳成参天 2026-02-13T21:24:41 M3ng9e
IoT安全 IPv6安全 网络协议 漏洞挖掘 网络配置 网络安全评估
0x3f 一键自动化渗透测试:AutoPen让渗透测试全流程自动化
0xSecDebug 2026-02-13T20:50:08 © 0xSecDebug
本文介绍了AutoPen,一款专为安全研究人员、渗透测试工程师和网络安全爱好者设计的自动化渗透测试工具。AutoPen集成了多种高级安全测试功能,能够自动化完成信息收集、漏洞扫描、安全评估等任务。工具支持端口扫描、服务版本识别、Web应用分析、SQL注入漏洞检测、XSS跨站脚本检测等功能,并能够生成详细的安全评估报告。文章详细介绍了AutoPen的特点、优势、核心功能、环境要求、安装配置和使用指南,同时提供了使用示例和项目地址。文章强调,使用AutoPen进行渗透测试时,请确保遵守相关法律法规,不得用于非法目的。
渗透测试工具 自动化安全测试 漏洞扫描 安全评估 信息收集 网络安全 开源软件
0x40 Chrome紧急发布安全更新,修复多个高危远程代码执行漏洞
网安百色 2026-02-13T19:04:19
Google近期发布了Chrome 145更新,旨在修复11个安全漏洞,这些漏洞可能被攻击者利用在受影响的Windows、Mac和Linux系统上执行恶意代码。其中,CVE-2026-2313是一个严重的CSS使用后释放漏洞,可能允许攻击者通过访问已释放内存执行任意代码,研究人员因此获得了8,000美元奖励。此外,更新还解决了CVE-2026-2314和CVE-2026-2315等高严重性漏洞,分别涉及编解码器中的堆缓冲区溢出和WebGPU的不当实现问题。更新还包括六个中等严重性漏洞的修复,以及两个低严重性漏洞的修复。Chrome用户应立即更新到最新版本以保护系统安全。
浏览器安全 远程代码执行 漏洞修复 安全更新 CVE编号 操作系统安全 奖励机制 安全研究员
0x41 苹果 0 day 在高级定向攻击中被积极利用,目标锁定特定个人
网安百色 2026-02-13T19:04:19
苹果公司于2026年2月11日发布了iOS 26.3和iPadOS 26.3系统更新,修复了包括一个关键零日漏洞CVE-2026-20700在内的40余个安全漏洞。这个零日漏洞被用于针对特定个人的高度复杂定向攻击。CVE-2026-20700是一个dyld组件中的内存损坏漏洞,允许攻击者在获得内存写入权限后执行任意代码。苹果指出,这个漏洞是针对特定目标个人的极端复杂攻击的一部分,与之前修复的CVE-2025-14174和CVE-2025-43529漏洞相关联。攻击者可能通过鱼叉式钓鱼邮件或零点击漏洞来获取内存写入权限,然后利用dyld漏洞实现持久化或权限提升。苹果通过改进状态管理修复了漏洞,受影响的设备包括iPhone 11+、最新iPad Pro、Air和mini系列。苹果建议用户立即更新系统,并采取一系列防御措施来增强安全性。
零日漏洞 苹果安全更新 内存损坏漏洞 定向攻击 动态链接编辑器 高级威胁 间谍软件 漏洞修复 网络安全防护
0x42 SSHStalker僵尸网络利用IRC实现C2并控制Linux系统
FreeBuf 2026-02-13T18:31:37
网络安全研究人员近日揭露了一个名为SSHStalker的新型僵尸网络攻击活动。该网络利用互联网中继聊天(IRC)协议实现命令与控制(C2)功能,通过自动化攻击和持久潜伏特性,将易受攻击的Linux系统纳入网络。SSHStalker的核心组件是一个Golang扫描器,用于寻找开放的SSH服务器。该僵尸网络不仅结合了旧版Linux漏洞利用技术,还包含了针对Linux 2.6.x内核的漏洞利用代码。攻击者通过清理SSH连接日志、消除恶意活动痕迹来降低取证可见性,并使用多种有效载荷,包括IRC控制bot和Perl文件bot。SSHStalker的攻击者背景可能与罗马尼亚的黑客组织有关,该组织在操作上展现出强大的纪律性和长期持久化的能力。
僵尸网络 Linux安全 C2通信 漏洞利用 自动化攻击 持久化攻击 恶意软件分析 威胁情报 网络扫描
0x43 App 接口安全:被低估的系统安全边界
联想全球安全实验室 2026-02-13T17:31:14 © Dudu
本文深入探讨了App接口安全的重要性,指出在网络安全认知中,App安全往往被局限于客户端能力,如反编译、加固、防抓包等,而忽视了接口安全。文章指出,接口作为客户端与服务端之间的主要通信通道,承载着用户身份、业务逻辑和核心数据,应是系统最重要的安全边界。然而,在实际开发中,接口往往被默认信任,缺乏必要的权限校验和状态校验,导致安全风险。文章分析了接口安全问题如何演变成业务风险,包括越权访问、数据泄露和资金损失等。最后,提出了将接口真正变成“安全边界”的方法,包括独立的权限判断能力、对象级校验、完善的安全防护体系等,强调接口安全是系统安全建设的重要组成部分。
App安全 接口安全 网络安全 安全设计 安全漏洞 攻击手段 安全防护 安全开发
0x44 Webpack 前端攻防:打包机制下的敏感信息泄露与逻辑漏洞挖掘
国家网络空间安全云社区 2026-02-13T16:55:13 © Ck
本文深入探讨了Webpack在构建现代Web应用(SPA)时可能引发的安全风险。文章首先分析了Webpack打包原理,特别是Source Map机制,指出不当配置可能导致敏感信息泄露。作者详细解释了如何通过Source Map还原工程代码,提取硬编码凭证(如AK/SK),以及如何测绘后端API资产。文章还探讨了基于客户端状态篡改的路由守卫绕过技术。此外,提供了逆向还原与代码审计策略,包括自动化源码还原、敏感凭据提取、攻击面测绘等。最后,文章讨论了进阶技巧,如客户端逻辑篡改与路由绕过,并推荐了相关工具,如reverse-sourcemap、Packer-InfoFinder等,以帮助开发者识别和修复潜在的安全漏洞。
网络安全 Web应用安全 Webpack安全 代码审计 漏洞挖掘 源代码泄露 Source Map安全 敏感信息保护 客户端攻击 安全最佳实践
0x45 脏牛漏洞提权全解析
晨星安全团队 2026-02-13T14:36:10 © 晨星安全团队
脏牛漏洞(Dirty COW)是一种利用Linux内核写时复制(COW)机制的竞争条件来提权的漏洞。其核心原理是利用竞争条件,在不应该被写入的文件上强行执行写入操作。攻击者首先使用mmap()系统调用将一个只读文件映射到内存中,然后通过多线程或多进程不断尝试向这个映射的内存页写入数据,触发写时复制机制。接着,攻击者使用madvise()系统调用以极高的频率通知内核该内存页可以丢弃,从而制造竞争条件。在内核准备好复制内存页但尚未完成复制的时间窗口内,攻击者成功向原始的只读内存页执行写入操作,将恶意数据写入文件中,例如修改/etc/passwd文件以添加拥有root权限的新用户条目,从而获得本地root权限。文章还提供了脏牛漏洞的实操复现步骤,包括环境准备、生成木马文件、开启HTTP服务、下载并运行木马、使用Python提升为交互式命令行shell,以及使用编译好的C文件进行提权。整个过程展示了脏牛漏洞的利用方法和实际效果。
0x46 【已复现】漏洞通告 | Windows 存储权限提升漏洞(CVE-2026-21508)
中成信息 2026-02-13T14:35:46 安全实验室
本文报道了Windows操作系统中的Windows存储权限提升漏洞(CVE-2026-21508),这是一个高危漏洞,CVSS评分为7.0。该漏洞由Windows Storage组件中的逻辑缺陷引起,攻击者可以通过修改注册表来劫持高权限进程调用的CLSID参数,从而以SYSTEM权限执行任意代码。该漏洞影响多个Windows版本,包括Windows 11、Windows 10和Windows Server的多个版本。文章提供了漏洞的详细信息,包括漏洞描述、影响范围、CVSS评分、威胁类型和利用情况。此外,还提供了漏洞复现的详细信息以及修复建议,包括通过Windows自动更新和手动安装补丁来修补漏洞。文章最后介绍了漳州中成信息科技有限公司,一家专注于网络安全实战防护的创新型服务提供商,并提供了他们的安全服务介绍和联系方式。
操作系统漏洞 权限提升 CVE编号 CVSS评分 影响范围 漏洞复现 修复建议 安全更新 网络安全防护
0x47 第28天-Web开发身份验证深度解析:从Cookie、Session到Token,以及代码审计实战
AlphaNet 2026-02-13T14:24:58 © 萧瑶
本文深入探讨了Web开发中的身份验证机制,涵盖了Cookie、Session和Token三种常见身份验证方式的原理、实现细节以及安全风险。文章通过5个典型验证案例,详细解析了从数据库验证到Cookie/Session/Token的实现过程,并分析了XHCMS Cookie脆弱和YXCMS Session固定等真实漏洞案例。此外,文章还介绍了Cookie、Session和Token的工作流程、存储位置、安全性对比以及适用场景,为开发者提供了全面的安全身份验证指导。文章强调了解身份验证机制的重要性,以及如何在实际编码中避免常见的安全漏洞。
Web安全 身份验证 代码审计 安全漏洞 安全最佳实践 PHP安全 安全编码
0x48 第27天-PHP超级全局变量安全学习笔记:从开发到代码审计
AlphaNet 2026-02-13T14:23:37 © 萧瑶
本文深入探讨了PHP开发中超级全局变量的安全使用。超级全局变量虽然提供了便捷的数据访问方式,但同时也带来了安全风险。文章详细解析了超全局变量的使用风险,包括变量覆盖、数据接收、文件上传和身份验证等方面。通过实际开发工具组合和代码审计案例,如DuomiCMS变量覆盖导致后台权限绕过漏洞和YcCms任意文件上传漏洞,展示了如何识别和修复这些安全问题。文章强调了安全开发的三原则:不信任任何输入、避免直接操作超全局数组以及身份验证数据必须服务端主导。此外,还扩展思考了如何防御Session变量覆盖和文件上传的安全性问题,并指出了解原生原理对于框架安全的重要性。
PHP安全 代码审计 安全开发 Web安全 漏洞分析 编程安全
0x49 4.LLVM和本地进程镂空
Relay学安全 2026-02-13T14:16:36 © kernel
本文详细介绍了两种网络安全技术:LLVM混淆和本地进程镂空。LLVM混淆是一种用于保护软件免受逆向工程的技术,通过使代码变得复杂和难以分析来保护知识产权和防范逆向工程。文章介绍了在Visual Studio 2022中配置LLVM环境并使用OLLVM编译器进行代码混淆的步骤,以及混淆前后代码在IDA PRO中的对比差异。本地进程镂空是一种技术,通过将加密的恶意软件(如mimikatz)解密并加载到内存中执行,以绕过安全检测。文章描述了该技术的四个阶段:挂起主线程、解密恶意软件、分配内存并复制解密后的文件、修复重定位表和导入表,并提供了相应的C代码实现。整个过程中,文章强调了合法使用的重要性,并提醒读者仅在模拟环境或授权环境中进行实践。
LLVM混淆 逆向工程 静态分析 动态分析 内存操作 PE文件格式 恶意软件技术 AES加密 Windows API 安全防御
0x4a 滥用 SCCM 远程控制实现原生 VNC 连接
securitainment 2026-02-13T13:37:14 Netero1010
本文详细介绍了如何利用 SCCM (System Center Configuration Manager) 的 Remote Control 功能实现远程控制,而无需安装额外的恶意模块或绕过用户同意和通知。作者首先分析了 SCCM 客户端上控制远程控制功能的服务及其配置方式,发现通过修改 WMI 类 Ccm_RemoteToolsConfig 中的属性可以绕过用户同意提示和通知。接着,作者探讨了如何在非 SCCM 服务器上使用远程控制功能,以及如何在不成为 SCCM 管理员的情况下,通过本地管理员权限或 SYSTEM 权限配合 WMI 认证来使用该功能。文章还介绍了在 SCCM 远程控制功能被禁用时,如何通过操纵 WMI 类中的 Enabled 属性来启动该功能。最后,作者实现了一个名为 SCCMVNC 的工具,并提供了检测和威胁狩猎的思路,包括监控终端事件和网络活动。文章强调该技术仅用于教育和研究目的,严禁未经授权的使用。
SCCM 远程访问 WMI滥用 提权 认证绕过 红队演练 隐蔽监控 横向移动 恶意软件避免 安全配置管理
0x4b 数通HCIA-LAB实验17:ARP协议原理与抓包分析
成渝Sec 2026-02-13T12:50:54 © 成渝Sec
本文详细介绍了ARP(地址解析协议)的工作原理和实验分析。ARP协议用于通过已知的IP地址解析出目标设备的MAC地址,是网络通信中不可或缺的一部分。文章首先阐述了ARP协议的重要性,特别是在理解网络层与数据链路层之间的寻址关系和后续网络安全威胁分析中的应用。接着,文章指出了ARP协议在设计上的信任缺陷,即缺乏认证与加密机制,这是所有ARP安全问题的根源。实验部分旨在帮助读者理解ARP协议的正常工作流程,包括ARP缓存机制、ARP请求与应答过程,以及如何在PC上查询ARP缓存表。通过Wireshark抓包分析,文章展示了ARP请求的广播特性和ARP应答的单播特性,并解释了ARP表项的老化机制。最后,文章提供了实验拓扑和抓包分析的详细步骤,以帮助读者更深入地理解ARP协议的工作原理。
0x4c 【CobaltStrike】NeoCS 4.9 终极版(自破解+二开+BUG修复)
星夜AI安全 2026-02-13T12:05:56 © 星夜AI安全
本文详细介绍了NeoCS 4.9终极版的破解、二开与BUG修复过程,以及其核心优化功能和使用方式。该版本基于原版Cobalt Strike 4.9进行修改,移除了所有暗桩,并修复了多项已知BUG,提升了使用便捷性和稳定性。主要优化包括界面染色优化、实用功能增强、文件浏览器优化和默认设置优化。界面染色方面,对进程和文件进行差异化颜色显示,方便用户识别。实用功能增强包括IP归属地显示、目标页面note多行显示优化、进程浏览搜索功能等。文件浏览器优化支持多文件上传、自动修改文件时间戳等。默认设置优化包括监听器默认配置、服务端一键启动和c2profile适配等。此外,本文还介绍了该版本的使用方式、免杀效果和获取方式。免杀效果方面,通过特征隐藏、进程伪装、通信优化和代码净化等手段,在主流杀毒软件上实现了较好的免杀效果。
CobaltStrike 漏洞利用 免杀技术 二进制分析 渗透测试 恶意软件分析 C2通道 网络攻击
0x4d 【更新】Onyx 一款综合信息收集工具
星夜AI安全 2026-02-13T12:05:56 星夜AI安全
本文介绍了一款名为Onyx的综合安全测试工具集,旨在为攻防演练和渗透测试提供支持。该工具集聚合了多种渗透测试中常用的功能模块与工具,包括空间测绘、漏洞扫描、主机探测、信息收集等,打造了一站式的渗透测试工作环境。Onyx集成了Fofa、Hunter、Quake三大测绘引擎,支持漏洞扫描、POC管理、批量扫描、请求包可视化等功能。此外,还内置了CyberChef、JWT密钥爆破、微信/钉钉AKSK利用等辅助工具。该工具支持Windows与Mac系统,并提供应用加解密、小程序分析、企业信息查询、探测等功能。文章还介绍了作者在网络安全领域的经验和成果,包括参与多次国家级攻防实战演练、开发多款主流杀软通杀工具、免杀生成器、免杀Webshell集合等安全工具。作者表示将不断更新工具到内部圈子中,欢迎加入。
渗透测试 工具集 安全意识 风险提示 漏洞扫描 信息收集 红队工具 免杀工具 攻防演练 内网渗透
0x4e 【商密测评】SSL VPN设备部署
利刃信安 2026-02-13T11:23:08 © 利刃信安
本文档详细阐述了SSL VPN设备的部署要求,涵盖技术要求、运维配置、默认策略、基线配置和基线安全要求等多个方面。技术要求包括工作模式、随机数生成、密钥交换与更新、访问控制、身份鉴别等功能要求,以及硬件要求、密码部件、对外接口、可靠性和硬件安全等方面的规定。运维配置要求涉及管理员配置、远程管理与日志记录等内容。默认策略要求包括禁用不安全协议、弱算法,以及使用合规算法套件和禁止旁路模式等。基线配置要求涉及证书与密钥、初始化责任、配置数据安全、敏感参数管理等方面。基线安全要求包括身份鉴别、数据通信机密性、管理通道安全、漏洞与协议抵御、密码模块等级合规、严重不符合项判定以及人员与操作等方面。文档还提供了实体部署指引,包括核心部署模式定义与要求、拓扑结构与典型部署场景、SSL VPN连接建立时序图、配置步骤通用指引以及并联部署实践方法等内容。最后,通过一个多分支机构SSL VPN部署安全评估案例,分析了网络与通信安全层面和SSL VPN使用安全层面的风险,并提出了相应的整改建议。
SSL VPN 网络安全 密码学 安全合规 访问控制 身份鉴别 安全部署 日志审计 密钥管理 三员分立
0x4f Zimbra 10.1.16 修复了 XSS、XXE 和 LDAP 注入漏洞
sec随谈 2026-02-13T10:50:57 sec随谈
Zimbra近期发布了协作套件的重要安全更新,版本号为10.1.16,主要针对多个网络攻击途径进行修复。更新内容主要包括解决网页邮件中的跨站脚本(XSS)漏洞、后端LDAP注入漏洞以及EWS SOAP端点中的XML外部实体(XXE)漏洞。这些漏洞可能导致攻击者劫持会话、查询内部目录、窃取会话cookie或读取本地系统文件。新版本通过增强令牌验证和CSRF防护,提升了整体防御能力,同时恢复了PDF预览功能和邮件渲染的稳定性,确保邮件显示正常且不会泄露恶意内容。Zimbra强烈建议所有管理员和用户尽快升级至该版本,以增强系统安全性。
Web安全 身份验证安全 数据完整性 服务端安全 网络攻击防御 漏洞管理
0x50 【CVE-2026-20841】Windows记事本RCE漏洞
骨哥说事 2026-02-13T10:29:26 © 骨哥说事
本文详细介绍了CVE-2026-20841漏洞,这是一个影响Windows记事本应用的远程代码执行漏洞。漏洞源于记事本Markdown处理器在执行链接前未进行内容验证,攻击者可通过发送恶意的.md文件诱导用户点击链接,从而以用户权限执行代码,可能导致系统完全沦陷。文章分析了漏洞的原理、CVSS评分、攻击向量、受影响版本和可用补丁。同时,文章指出漏洞的产生是由于微软为记事本添加了非必要功能且默认启用,导致安全风险。文章建议用户更新记事本版本至11.2510或更高,禁用不必要的Markdown预览、AI建议和链接预览功能,并对未知来源的.md文件保持警惕。
漏洞分析 Windows安全 远程代码执行 Markdown处理 安全补丁 安全意识
0x51 Palo Alto Networks 防火墙漏洞允许攻击者强制防火墙进入重启循环
安全圈的那点事儿 2026-02-13T10:01:00 © 网络安全9527
Palo Alto Networks 的 PAN-OS 软件存在一个严重的安全漏洞(CVE-2026-0229),未经身份验证的攻击者可利用此漏洞使防火墙陷入无限重启循环,导致企业网络瘫痪。该漏洞位于高级 DNS 安全(ADNS)功能中,攻击者通过发送恶意数据包触发系统重启。此漏洞影响特定版本的 PAN-OS,包括 12.1 和 11.2,但云端下一代防火墙(NGFW)和 Prisma Access 除外。Palo Alto Networks 已发布修复方案,建议管理员立即升级受影响的系统版本。目前没有已知利用此漏洞的案例,但安全专家警告,在高流量环境中存在风险,并建议依赖该防火墙的组织优先考虑漏洞修补。
防火墙漏洞 拒绝服务攻击 PAN-OS CVE编号 网络安全更新 DNS安全 服务中断风险 漏洞利用检测
0x52 信息收集思路大总结(太干了)
菜鸟学信安 2026-02-13T09:36:52 nnosuger
本文详细介绍了针对不同类型目标信息(域名、IP、公司名称)进行信息收集的方法,主要内容包括如何判断和绕过CDN以获取真实IP,通过多地ping、子域名查询(如360quake、dnsdb)和DNS历史记录等方式查找真实IP,以及利用SSL证书、MX记录等途径进一步确认。文章还强调了子域名收集的重要性,介绍了多种收集方法,如Google搜索、Fofa、站长之家等,并提出了hosts碰撞技术以发现隐藏域名。针对IP,文章建议使用SearchMap进行反查域名和子域名,并结合nmap、masscan等工具进行端口扫描和旁站查询。对于公司名称,则建议通过爱企查、天眼查等企业查询工具,以及产品手册、GitHub泄露源码等途径收集相关信息。最后,文章总结了网站整体收集的方法,包括使用wappalyzer、whatweb、TideFinger等工具进行指纹识别,以及进行目录扫描(如7kbscan、dirsearch)和WAF探测。这些方法有助于全面收集目标资产,为后续渗透测试提供重要信息。
信息收集 CDN绕过 子域名收集 IP反查域名 公司名称信息收集 漏洞利用 指纹识别 目录扫描 WAF探测 被动信息收集
0x53 Windows 记事本 Markdown 功能存在远程代码执行漏洞 (CVE-2026-20841)
军哥网络安全读报 2026-02-13T09:07:32 会杀毒的单反狗
微软近期发布了一系列安全修复程序,其中包括针对CVE-2026-20841漏洞的修复。该漏洞存在于Windows记事本中,是一种命令注入漏洞,攻击者可以通过诱导用户点击Markdown文件中的恶意链接来执行远程代码。微软在2025年为记事本添加了Markdown支持,这一功能更新引入了新的安全风险。漏洞利用需要用户打开Markdown文件并按住Ctrl键点击链接,通常通过社会工程学手段实现。该漏洞影响Windows记事本11.0.0版本之前的11.2510版本。微软通过显示安全警告来缓解该缺陷,但警告可以被攻击者忽略或绕过。目前尚未有关于攻击者积极利用该漏洞的报道,但用户应保持警惕,避免打开不明来源的Markdown文件。
漏洞分析 远程代码执行 Windows安全 Markdown安全 社会工程学 软件更新 应用安全
0x54 苹果设备重大漏洞遭“复杂”攻击利用,苹果敦促用户尽快升级修复
军哥网络安全读报 2026-02-13T09:07:32 会杀毒的单反狗
苹果公司发布安全公告,敦促用户升级修复CVE-2026-20700漏洞。这是一个0day漏洞,已被用于针对特定个人的复杂攻击。该漏洞影响多个苹果操作系统,包括iOS、iPadOS、macOS等,允许攻击者在易受攻击的设备上执行任意代码。苹果公司警告,具有内存写入能力的攻击者可能利用此漏洞运行恶意代码,可能部署间谍软件、窃取数据或提升权限。此次漏洞利用与之前已修复的两个漏洞相关,表明可能存在漏洞利用链。受影响的设备包括iPhone 11及更新机型、iPad Pro、iPad Air、iPad、iPad mini以及运行macOS Tahoe的Mac系统。苹果建议用户立即升级至最新版本,并实施相应的安全措施。
苹果漏洞 0day漏洞 定向攻击 任意代码执行 操作系统安全 恶意软件 数据窃取 移动设备安全 安全更新 事件响应
0x55 漏洞复现 | 大蚂蚁 (BigAnt) 即时通讯系统 upload_file 任意文件上传漏洞
实战安全研究 2026-02-13T09:02:54
本文详细介绍了杭州九麒科技大蚂蚁(BigAnt)即时通讯系统中的一个文件上传漏洞。该漏洞存在于系统的upload_file接口,攻击者可以通过上传特制的PHP文件来执行恶意代码,从而实现对服务器的远程控制,可能导致敏感信息泄露和数据篡改。文章提供了漏洞描述、影响版本、FOFA语法、漏洞复现步骤以及检测POC等信息。同时,还建议用户联系厂商打补丁或升级版本,增加Web应用防火墙防护,以及关闭互联网暴露面或接口设置访问权限。此外,文章还提到了一个名为“1day/Nday漏洞实战圈”的内部圈子,提供漏洞POC和复现服务,并强调了仅限授权范围内的合法安全测试,禁止未授权攻击行为。
即时通讯系统漏洞 文件上传漏洞 远程控制风险 敏感信息泄露 数据篡改风险 企业级应用安全 漏洞复现 安全防护建议 渗透测试
0x56 WordPress备份插件漏洞使80万个网站面临远程代码执行攻击风险
安全圈的那点事儿 2026-02-13T09:02:02 © 网络安全9527
WordPress备份插件WPvivid Backup & Migration存在严重漏洞(CVE-2026-1357),可能导致超过80万个网站遭受远程代码执行攻击,攻击者可上传任意文件并执行恶意代码。该漏洞评级为CVSS 9.8,影响版本0.9.123及以下。漏洞源于RSA解密过程中的错误处理不当和文件路径清理不足。攻击者可利用插件允许其他网站使用密钥发送备份的功能进行攻击。Wordfence已发布相关防火墙规则,WPvivid开发团队已发布修复版本0.9.124。建议用户尽快更新至安全版本以避免风险。
WordPress安全漏洞 远程代码执行攻击 插件漏洞 CVE编号 CVSS评分 漏洞赏金计划 网络安全修复 文件上传漏洞 恶意软件部署 WordPress插件安全
0x57 网络威胁新动向:联合注入如何引发SQL安全危机
数字序言 2026-02-13T08:38:45 © 沐青序
本文探讨了网络安全领域的新威胁——联合注入攻击对SQL安全构成的危机。文章首先强调了内容仅供学习和研究,并提醒使用者遵守法律法规。接着,详细介绍了联合注入攻击的技术细节,包括函数说明、字符编码一致性、order by 函数的使用、group_concat 函数的聚合功能、limit 函数的查找注入点方法等。文章通过具体的案例,如sqli-labs的Less-1实验,展示了如何通过构造特定的SQL查询语句来发现注入点,并判断字段数量、数据类型等。此外,还介绍了如何使用version()、user()、database()等函数查询MySQL版本、数据库用户名和数据库名。文章还涉及了查询数据表名、数据表字段信息以及数据查询的方法,并提供了DVWA-POST案例的实践操作。最后,文章鼓励读者关注最新消息,加入交流群,以获取更多网络安全信息。
SQL注入攻击 网络安全漏洞 数据库安全 安全测试 漏洞利用 安全防护
0x58 Azure DevOps代理通信劫持:从RCE到云权限提升
云原生安全指北 2026-02-13T08:35:55 Dubito
本文详细介绍了如何拦截并解密Azure DevOps代理通信,以提取敏感信息如令牌和密钥,从而实现权限提升。文章首先介绍了Azure DevOps代理的通信架构,包括代理注册机制、会话建立与消息机制。接着,文章概述了利用流程,包括读取代理目录、解密RSA密钥、使用RSA密钥签署JWT并兑换为Bearer令牌、劫持代理会话、接收加密的作业消息、解密消息以及访问Azure DevOps API。文章还提供了具体的 PowerShell 脚本示例,用于实现上述利用流程。最后,文章指出 Azure DevOps 会向代理发送正则表达式模式用于擦除敏感值,但这些模式本身就是密钥,因此即使错过端点部分的令牌,也可以在掩码数组中捕获到它。
Azure DevOps 中间人攻击 凭证窃取 权限提升 加密与解密 Windows 身份认证
0x59 Windows后门应急-启动项后门权限维持原理与排查实战 | Windows取证分析
0xSec笔记本 2026-02-13T08:10:25 © 0xSec笔记本
本文深入探讨了Windows系统中启动项后门的使用及其权限维持原理,并提供了实战排查方法。文章首先解释了攻击者如何利用启动项进行权限维持,通过生成后门程序并在启动项目录中放置该程序来实现持久化。文章详细说明了启动项作为高频持久化点的原理,以及如何通过监听端口来获取反弹shell。接着,文章介绍了应急响应中如何发现启动项后门,包括查看异常网络连接、通过PID追踪进程以及终止隔离恶意进程。此外,文章还推荐了使用Autoruns等工具进行启动项枚举,并提供了判断恶意程序的标准。最后,文章概述了完整的处置流程,包括进程隔离、启动项清理、全盘排查和删除恶意文件等步骤。
网络安全 后门技术 权限维持 应急响应 取证分析 Windows系统安全 攻击与防御 漏洞利用 MITRE ATT&CK框架
0x5a 漏洞预警 | n8n表达式执行漏洞
浅安安全 2026-02-13T08:02:03 浅安
本文预警了一个名为CVE-2026-25049的高危漏洞,该漏洞存在于开源工作流自动化工具n8n中。该漏洞类型为表达式执行,可能导致任意代码执行。漏洞影响版本为2.0.0至2.5.2以及n8n小于1.123.17的版本。由于n8n在执行表达式时未充分验证工作流参数,攻击者可以利用这一漏洞通过构造特定表达式诱使系统执行未授权命令。目前,官方已发布修复版本,建议用户升级以避免安全风险。详细信息和修复建议可参考n8n官方发布的安全公告。
开源软件漏洞 远程代码执行 代码执行漏洞 安全修复 漏洞编号 软件版本影响
0x5b 二阶DSI,SSM攻击介绍
Security for AI 2026-02-13T08:00:14 © 朝闻道,夕死可矣
本文详细介绍了二阶DSI(提示词注入)及其进阶形态SSM(结构化自建模)的攻击原理。DSI攻击利用强格式约束,如JSON或XML,使模型忽略内容安全性检查,从而执行恶意指令。SSM攻击则进一步将恶意DSI指令嵌套在数据结构中,诱导模型自我预测并执行这些指令。文章通过多个攻击场景示例,如基于JSON嵌套的SQL注入探测、基于YAML封装的钓鱼邮件生成、基于XML注入的恶意脚本探测等,展示了SSM攻击的多样性和潜在危害。最后,文章指出,尽管RLHF训练提高了模型拒绝恶意指令的能力,但SSM攻击揭示了模型在遵循指令生成方面的潜在问题,并强调了需要更强的训练或对齐方法来确保模型安全。
网络安全攻击 恶意代码注入 模型安全 数据结构攻击 Transformer架构 安全漏洞 机器学习安全 可解释性研究
0x5c 苹果修复动态链接器漏洞:曾被用于针对特定个人的极其复杂攻击
白帽子 2026-02-13T07:18:25 黑鸟
苹果公司近期修复了dyld(动态链接器)中的一个严重漏洞CVE-2026-20700,该漏洞可能已被黑客用于针对特定个人的复杂攻击。dyld是苹果操作系统的核心组件,负责动态加载共享库和管理进程的地址空间。该漏洞存在于dyld处理动态加载过程中的状态管理,可能导致内存损坏,进而被攻击者利用执行任意代码。苹果官方指出,攻击者需要先获得内存写入权限,通常通过其他漏洞链实现。此次修复的漏洞可能与其他漏洞构成一条新的漏洞利用链,苹果还发布了CVE-2025-14174和CVE-2025-43529两个WebKit漏洞的修复,这些漏洞也可能被用于复杂的定向攻击。苹果建议用户更新到最新系统版本以获得保护。
操作系统安全 漏洞分析 内存安全 代码执行 定向攻击 安全更新 苹果iOS安全 安全防护
0x5d Mware vSphere 攻击中恶意虚拟机与 Muddled Libra 相关联TTP分析
暗镜 2026-02-13T07:08:56 © P A
在2025年9月的一起网络安全事件中,研究人员发现一台恶意虚拟机与Muddled Libra(Scattered Spider 或 UNC3944)组织有关。该恶意虚拟机被用作侦察网络、下载工具和数据窃取的平台。攻击者利用社会工程学技术,如短信和语音钓鱼,冒充员工获取系统权限。攻击者在首次访问vSphere环境两小时后,创建了新虚拟机并提取了被盗证书,随后扩大了攻击范围。他们复制了域控制器的NTDS.dit和SYSTEM文件,并尝试将邮箱数据移动到网络外。攻击者还使用Chisel设置持久性连接,并通过SSH隧道进行通信。防御措施包括加强身份控制、最小权限原则和监控可疑活动,以降低类似攻击的风险。
虚拟机安全 云平台安全 社会工程学 权限滥用 数据窃取 持久化攻击 日志分析 安全响应 威胁情报
0x5e ctfshow web入门命令执行
哦0吼 2026-02-13T07:06:13 zoe
本文详细介绍了CTFshow平台上的web入门命令执行题目。文章通过一系列具体的实例,展示了如何利用bash内置变量、环境变量、Shell通配符等技巧来绕过输入过滤规则,实现命令执行。文章中包含了多个实例,如Web118到Web122,每个实例都有其独特的绕过策略。例如,使用${PATH:~C}${PWD:~C}来绕过ls命令的过滤,利用${HOME:${#HOSTNAME}:${#SHLVL}}来构造特定的路径,以及通过构造错误命令使$?的结果为1来代替${##}进行分割。此外,文章还解释了相关环境变量的含义和作用,如PWD、PATH、HOME等,以及如何使用它们来构造有效的命令。
网络安全 Web安全 漏洞利用 Shellcode 环境变量 编码技巧 CTF挑战
0x5f WordPress备份插件漏洞使数十万个网站面临远程代码执行攻击风险
暗镜 2026-02-13T07:06:01 © ZM
WordPress备份插件WPvivid Backup & Migration存在严重安全漏洞,漏洞编号CVE-2026-1357,评分为9.8(严重)。该漏洞允许未经身份验证的攻击者上传文件并在服务器上执行代码,可能导致网站被完全接管。漏洞影响版本0.9.123及更高版本,而0.9.124版本已提供修复。漏洞源于加密错误处理和不安全的文件路径处理,攻击者可以利用RSA解密失败和未清理的文件名进行目录遍历。WPvivid在0.9.124版本中修复了该问题,建议管理员更新至最新版本,并在不需要时禁用接收备份生成的密钥,轮换密钥,并检查根目录是否有意外创建的PHP文件。
漏洞分析 远程代码执行 WordPress安全 插件安全 安全漏洞 代码执行漏洞
0x60 【工具推荐】一键搭建钓鱼演练平台
进击的HACK 2026-02-13T00:04:22
本文介绍了一个名为Apollofish的钓鱼演练平台,该平台可以在GitHub上免费获取,并且无需搭建即可使用。文章详细描述了如何配置该平台,包括设置路径、端口、账号密码等。用户可以通过访问平台的URL路径,输入账号密码,并生成提示词,然后复制到大模型中获取HTML代码。文章还提供了如何将生成的HTML代码交给大模型以及如何分析弹框原理的步骤。此外,文章还指出了如果点击登录按钮无反应的问题,并提供了解决方案,即在输入框标签内添加name属性。最后,文章还简要介绍了如何配置邮箱钓鱼,包括企业邮箱、163邮箱、QQ邮箱等信息。
网络安全工具 钓鱼攻击演练 代码审计 漏洞分析 开源项目 企业安全意识
0x61 集成 HackBar、指纹识别、Fuzz 扫描渗透测试新利器|XMCVE-WebRecon
渗透安全HackTwo 2026-02-13T00:00:59 duckpigdog
本文介绍了XMCVE-WebRecon,一款基于Chrome Manifest V3开发的前端安全辅助插件。该插件整合了信息收集、敏感资产嗅探、框架指纹识别、Fuzz字典扫描、SQL HackBar、Vue路由分析、JS反调试等多种功能,旨在提高Web渗透测试和前端安全检测的效率。XMCVE-WebRecon支持用户定制User-Agent、收集敏感信息、识别常见前端框架和版本、进行Fuzz扫描以及XSS验证等。此外,还提供了SQL注入辅助工具和Vue相关功能。文章还简要介绍了如何安装和使用该插件,并提到了其内部VIP星球福利,最后强调了工具的合法使用免责声明。
网络安全工具 渗透测试 前端安全 信息收集 漏洞验证 Fuzz扫描 JavaScript逆向 漏洞赏金 安全培训
0x62 一次完整的Kubernetes黑盒渗透测试实战记录
骨哥说事 2026-02-13T00:00:38 © 骨哥说事
本文详细介绍了一次针对Kubernetes集群的黑盒渗透测试过程。测试从零知识开始,通过使用nmap、curl、jq、kubectl等工具进行端口扫描和服务识别。发现多个开放端口,其中端口30082暴露了Kubernetes服务账户令牌,成为关键入口点。利用提取的令牌访问Kubernetes API,验证拥有集群管理员权限。随后,通过kubectl进行集群资源枚举,包括命名空间、Pod、Secrets和服务账户,进一步了解集群结构。利用端口30081的命令注入漏洞获得root shell,并提取环境变量获取敏感信息。测试SQL注入漏洞,发现可访问数据库。针对特权容器进行容器逃逸,访问宿主机文件系统。最后,通过创建恶意Pod、提取所有Secrets、创建持久性后门和窃取集群配置,展示了对集群的完全控制。文章强调了令牌暴露、Web应用程序漏洞、RBAC配置错误和特权容器的风险,并提出了相应的防御建议。
Kubernetes 黑盒测试 端口扫描 Web应用程序安全 Kubernetes凭证管理 Kubernetes API访问 Kubernetes权限提升 Kubernetes横向移动 容器逃逸 Kubernetes持久化 Kubernetes安全配置
0x63 windows server服务器常的管理脚本
运维星火燎原 2026-02-13T00:00:34 © 刘军军
这篇文章提供了一系列Windows Server核心管理脚本,旨在帮助运维人员高效地进行服务器管理和故障排查。文章分为两部分:通用前提和Windows Server核心管理脚本。通用前提强调了脚本编码、参数替换和测试环境验证的重要性。Windows Server核心管理脚本部分包含了12个实用的.bat脚本,涵盖了服务器状态巡检、服务批量管理、磁盘空间监控与清理、定时任务管理、服务器重启/关机、远程桌面配置、系统日志导出、本地用户管理、管理员权限审计、进程监控、IIS服务重启、开机自启项查看、系统更新服务开关、共享文件夹管理、服务器时间同步、组策略强制刷新以及系统垃圾清理等功能。这些脚本功能全面,操作便捷,能够满足日常运维工作的多种需求,是提高运维效率的重要工具。
Windows Server 脚本开发 系统监控 系统管理 日志管理 账户管理 安全加固 IIS管理 组策略 运维效率
0x64 苹果修复动态链接器漏洞:曾被用于针对特定个人的极其复杂攻击
黑鸟 2026-02-12T23:22:42 © 黑鸟
苹果公司近日修复了一个名为CVE-2026-20700的dyld(动态链接器)漏洞。该漏洞存在于iOS 26.3、iPadOS 26.3和macOS Tahoe 26.3等操作系统中,可能被黑客用于针对特定个人的复杂攻击。dyld是苹果操作系统的核心组件,负责动态加载共享库和解析符号绑定。漏洞的原因在于dyld在处理动态加载过程中的状态管理存在缺陷,可能导致内存损坏。攻击者需要获得内存写入权限才能利用此漏洞,可能执行任意代码,实现内核级权限提升或沙盒逃逸。苹果还发布了CVE-2025-14174和CVE-2025-43529两个WebKit漏洞,这些漏洞也可能被用于定向攻击。苹果通过更新修复了这些漏洞,并提供了防护措施。
操作系统漏洞 内存损坏 任意代码执行 针对特定个人攻击 安全更新与修复 动态链接器安全 攻击链分析 安全防护措施
0x65 请查收这强的可怕的Burp Suite SQL注入检测插件
Enginge 2026-02-12T22:43:34 Enginge
S-XIASQL是一款专为Burp Suite设计的SQL注入检测插件,旨在自动化检测Web应用中的SQL注入漏洞。该插件利用智能分析引擎,实时解析HTTP请求和响应,快速定位并验证SQL注入攻击面。其核心功能包括自动化漏洞探测、全参数智能识别、多维度Payload测试响应差异分析、时间盲注检测、自定义Payload支持、三重验证确认、深度编码解析、一键式sqlmap集成、自定义Payload管理、智能错误识别、智能流量过滤、可视化交互界面等。插件操作简便,通过四步曲即可完成测试流程,包括启用插件、选择监控来源、发送请求或自动监控、分析结果。S-XIASQL的优势在于高效自动化检测、精准三重验证机制、无缝深度集成Burp Suite与sqlmap、灵活全面的支持自定义配置与扩展,以及清晰可视化的界面和风险等级直观呈现。
Burp Suite 插件 SQL 注入检测 自动化安全测试 渗透测试工具 网络安全 漏洞分析 编码解析 错误识别 可视化界面
0x66 SHCTF(山河CTF)- ezAI题目详解
志在片语 2026-02-12T22:01:13 © 小志z
这篇文章描述了一个结合Web、运维和AI的网络安全挑战。挑战要求在特定靶机环境中创建一个API Key,并利用该Key与靶机上的Model Context Protocol (MCP)服务交互。靶机上的MCP服务允许在有限的目录(/var/www/h)内执行文件系统操作,但实际可访问的目录包括/var/www/html。通过尝试执行命令和测试MCP功能,发现服务没有预期的EXEC权限提示。研究上下文环境后,发现可以通过PHP尝试写入一句话木马到/var/www/html目录下的文件中,成功创建Webshell。然而,由于权限限制,无法直接提权获取root权限。进一步分析发现,靶机有一个每分钟执行的定时任务,以root权限执行/usr/lib/php/sessionclean文件。该文件对MCP服务有写入权限。利用软链接的特性,将sessionclean文件链接到可写入的目录下,然后通过MCP服务写入命令到链接文件,从而以root权限执行命令并获取flag。最终通过读取/root目录下的flag文件获得成功。
Web安全 运维安全 AI安全 命令注入 提权 路径遍历 文件操作 权限提升
0x67 第25天-红队自动化利器:从资产收集到环境部署的全套工具实战笔记
AlphaNet 2026-02-12T21:32:38 © 萧瑶
本文详细介绍了网络安全红队自动化工具的使用,涵盖了从资产收集到环境部署的四大场景。文章首先介绍了Yakit和TScanPlus两款工具,用于网络空间资产测绘。接着,介绍了ENScan_Go工具,用于企业股权和资产情报收集。文章还重点介绍了ARL、Nemo和TestNet三款工具,它们用于综合资产管理和攻击面收敛。最后,介绍了F8x工具,它是一键部署红队和蓝队常用工具集的脚本。文章提供了详细的配置指南和使用思路,包括Docker部署方法、Web UI访问等,并强调了工具的正确使用和合法用途。
网络安全工具 红队渗透 蓝队防御 自动化测试 资产收集 漏洞扫描 环境部署 开源项目
0x68 DevEcoStudio的移植尝试
书中自有代码来 2026-02-12T21:22:47 © 书中自有代码来
本文详细介绍了在Linux系统下移植DevEco Studio的过程,主要涉及材料下载、获取定制组件、修改环境组件和修改启动器等步骤。首先,需要下载第三方工具Node.js和华为官方的DevEco Studio for Windows及Command Line Tools for Linux。其次,通过在Windows系统上安装DevEco Studio并获取其定制组件,然后将其复制到Linux系统中的指定目录。接着,需要修改环境组件,包括更换JBR(Jetbrains Runtime)、替换tools目录下的Node.js和华为组件,以及更换lib和sdk目录下的组件。最后,修改启动器文件和配置文件,以确保DevEco Studio能够在Linux系统下正常运行。文章还提到了签名工具的错误处理和尚未解决的问题,如官方模拟器和预览器无法启动,DevEco Studio关闭后仍然运行,以及默认字体太小看不清等。
0x69 【供应链投毒】钓鱼站7zip[.]com分发木马文件
表哥带我 2026-02-12T21:05:05 © 泼猴
本文揭示了恶意域名7zip.com如何通过供应链投毒攻击分发木马文件。该域名在1999年注册,近期被用于投毒传播,几乎复制了7-Zip官方页面的界面设计,诱使用户下载木马化的安装包。恶意程序使用了反分析技术和虚拟机检测,并通过JPHP库动态拉取载荷。文章详细描述了事件的时间线,从域名开始托管到恶意活动被揭露,包括恶意域名注册、恶意文件分发、用户警告和后续的详细技术分析。文章还提供了检测指标(IoC)和企业级检测规则(Sigma),以及用于终端狩猎的PowerShell查询。
恶意软件分析 供应链攻击 钓鱼攻击 域名抢注 系统安全 漏洞利用 网络安全研究 安全检测
0x6a 【复现】Microsoft Windows 记事本命令注入漏洞 CVE-2026-20841
表哥带我 2026-02-12T21:05:05 © 泼猴
本文详细介绍了Microsoft Windows记事本命令注入漏洞CVE-2026-20841的原理、影响版本、修复版本以及复现方法。该漏洞存在于现代记事本应用解析Markdown格式文件时,未能有效过滤超链接中的特殊元素,导致攻击者可通过恶意构造的Markdown链接执行系统命令或加载远程恶意代码。文章提供了全自动复现脚本,包括生成测试用的恶意Markdown文件和说明文档,并详细说明了复现步骤和安全警告。该漏洞影响低于11.2510的所有版本,修复版本为Notepad 11.2510及更高版本。
漏洞复现 命令注入 Markdown格式 Windows安全 协议处理 漏洞利用 安全研究
0x6b 【高危漏洞预警】Microsoft Windows记事本远程代码执行漏洞(CVE-2026-20841)
飓风网络安全 2026-02-12T20:57:01 cexlife
本文报道了Microsoft Windows记事本应用程序中的一个高危漏洞(CVE-2026-20841),该漏洞允许攻击者通过构造特制的Markdown文件,诱骗用户打开并点击恶意链接,从而在受害者设备上执行任意恶意代码。漏洞源于记事本在处理Markdown文件中的超链接时,未能充分中和与验证特殊协议或命令元素。攻击者可以利用这一缺陷,通过网络发送恶意输入数据,诱导记事本执行任意系统命令。该漏洞影响Windows记事本版本低于11.2510的所有用户。微软已发布补丁,建议用户通过Windows Update或手动安装修复补丁,并采取一系列安全措施,如限制用户权限、加强安全意识培训、启用应用控制策略和监控异常行为,以降低漏洞被利用的风险。
漏洞预警 远程代码执行 Windows操作系统 记事本应用程序 Markdown文件处理 社会工程学 系统补丁 安全意识培训 应用控制策略 异常行为监控
0x6c SRC中特殊字符的妙用
Z2O安全攻防 2026-02-12T20:44:39 © Fares Walid
本文深入探讨了在网络安全领域,特别是漏洞赏金项目中,特殊字符的巧妙运用。作者通过实际案例,展示了如何利用不同语言体系中的形似字符来绕过安全限制,例如通过替换字符来绕过邮箱域名限制或被封禁的邮箱限制。文章详细解释了特殊字符的编码差异以及它们如何被服务器或系统错误识别。此外,作者还介绍了获取这些特殊字符的方法,并提供了一些实际案例,说明了如何利用这些字符进行漏洞挖掘。文章最后讨论了特殊字符的其他潜在应用,如账号劫持,并鼓励读者进一步探索和学习这一领域的知识。
网络安全漏洞挖掘 字符编码利用 漏洞赏金项目 特殊字符攻击 编码配置漏洞 信息安全意识
0x6d PCHunter:一款深度检测隐藏恶意代码的扫描工具(兼容win11)
网安武器库 2026-02-12T20:30:13 © 网安武器库
PCHunter是一款针对Windows平台的深度系统分析与恶意代码检测工具。它通过内核态驱动注入和Ring0权限交互,实现了对系统进程、线程、模块、驱动、注册表、文件系统及网络连接的全维度监控与篡改溯源。该工具的核心能力包括SSDT/SSDT Shadow钩子检测、内核对象枚举、隐藏进程/线程扫描、Rootkit特征匹配等,能够精准识别和定位各类恶意软件、后门程序及内核级威胁。PCHunter支持进程内存dump、驱动强制卸载、关键注册表项修复等应急响应操作,适用于渗透测试、恶意代码分析和系统安全加固场景。文章详细介绍了PCHunter的进程管理、驱动模块、内核钩子检测、应用层钩子、网络连接、注册表管理、文件系统、启动信息、系统杂项和电脑体检等功能模块及其关键操作。同时,文章也提醒了PCHunter的内核级操作可能存在导致系统崩溃的风险,建议在隔离的测试环境中使用,并确保操作在授权范围内。
恶意代码检测 系统安全工具 渗透测试 应急响应 内核技术 驱动分析 注册表分析 文件系统分析 网络监控 Windows系统安全
0x6e Web-SurvivalScan:用于快速验证资产存活的轻量化渗透测试扫描工具
网安武器库 2026-02-12T20:30:05 © 网安武器库
Web-SurvivalScan是一款专为Web安全领域设计的轻量级渗透测试扫描工具。它集成了资产探测、漏洞扫描、指纹识别等功能,采用被动扫描与主动探测的双引擎架构,能够全面挖掘目标Web资产的脆弱性。该工具基于多协议解析模块和指纹特征库,能够高效识别常见Web安全漏洞,如SQL注入、XSS跨站脚本、SSRF、目录遍历等。同时,它支持资产测绘、存活验证、端口指纹枚举等前置侦察环节,适用于多种Web安全基线检测和渗透测试需求。使用方法简单,只需将目标Web资产批量复制到TXT文件中,然后运行脚本即可得到存活资产列表和详细报告。此外,该工具还提供了报告的HTML可视化导出功能,方便整理和分析。
渗透测试 漏洞扫描 Web安全 网络安全工具 自动化安全测试
0x6f 微软修复 Windows 与 Office 零日漏洞,黑客可一键绕过安全机制植入恶意软件
安世加 2026-02-12T19:25:40 安世加
微软近日发布了针对Windows和Office软件中多个安全漏洞的修复程序。这些漏洞被归类为“零日漏洞”,意味着在微软发布修复之前,黑客已经开始利用这些漏洞进行攻击。其中,至少两个漏洞可以通过用户点击恶意链接来利用,另一个则在打开恶意Office文件时可能导致系统被入侵。这些漏洞允许黑客绕过微软的安全机制,如SmartScreen,从而在用户电脑上植入恶意软件或获取访问权限。微软指出,这些漏洞的利用细节已经被公开,这可能会增加黑客攻击的风险。谷歌威胁情报团队的安全研究人员参与了这些漏洞的发现。微软确认,其中一个漏洞CVE-2026-21510存在于Windows shell中,影响所有受支持的Windows版本。另一个漏洞CVE-2026-21513存在于微软自研的浏览器引擎MSHTML中。微软还修复了其他三个正在被黑客利用的零日漏洞。
Windows安全漏洞 Office安全漏洞 零日漏洞 恶意软件植入 SmartScreen功能 安全机制绕过 谷歌威胁情报团队 CVE编号 网络安全修复
0x70 【安全圈】7zip.com 并非官方:钓鱼站分发恶意程序
安全圈 2026-02-12T19:00:50
网络安全研究人员近期揭露了一起针对7-Zip软件的钓鱼攻击。攻击者利用与7-Zip官方域名相似的域名7zip.com来分发恶意软件。该钓鱼网站几乎完全复制了7-Zip官方页面的设计,诱导用户下载所谓的“最新版”软件。一旦用户下载并运行恶意软件,系统会被植入恶意组件,包括服务管理与加载程序、核心代理载荷和辅助库文件。恶意程序会创建以SYSTEM权限运行的自启动Windows服务,修改防火墙规则,并收集系统信息,然后将数据上传至iplogger.org服务器。攻击者的最终目的是将受感染的主机转化为“住宅代理节点”,用于绕过地域限制、规避风控系统以及执行灰黑产活动。尽管主流安全软件已更新病毒库对相关文件和域名进行拦截,但该事件提醒用户在下载软件时要仔细核对域名,并注意系统服务的异常行为。
网络钓鱼 恶意软件 域名欺骗 持久化攻击 信息收集 代理服务 安全防护 安全意识
0x71 【安全圈】“本地回环”成突破口:Clawdbot 默认配置漏洞导致上千实例暴露公网
安全圈 2026-02-12T19:00:50
近期,AI 助手工具 Clawdbot 因默认配置漏洞导致上千实例暴露在公网,成为网络安全风险。Clawdbot 是一款在 Mac mini、容器环境以及 VPS 服务器上广泛部署的工具,由于默认配置问题,大量实例没有身份验证机制,直接暴露于公网。安全研究人员发现,问题在于本地信任逻辑的误用,导致来自公网的请求被错误识别为本地访问,绕过了认证逻辑。Clawdbot 拥有高权限,能够执行系统命令、访问文件、读取凭证等,一旦被攻击者接管,可能导致数据泄露、恶意操作等问题。社区已经向 Clawdbot 提交了修复方案,并更新了官方文档,提醒用户在生产环境中正确配置代理头部和启用严格认证机制。
默认配置漏洞 AI助手安全 公网暴露 认证机制 反向代理安全 系统级权限 横向移动 数据泄露 安全社区响应 网络安全意识
0x72 【安全运营】AI驱动的安全整改神器!自动分析失效点+生成可落地的设备策略建议
0xSecDebug 2026-02-12T18:38:06 © 0xSecDebug
本文介绍了一个名为AIGS(AI-powered Security Remediation Suggestion)的基于人工智能的安全整改建议生成工具。该工具旨在帮助网络安全运营团队通过智能分析、专业评估和精准建议,自动生成可落地的安全设备整改策略。AIGS能够读取包含安全失效点数据的Excel文件,逐行分析安全失效场景,识别攻击技术类型和涉及设备,并生成具体的整改策略建议。工具采用模块化设计,包括配置管理、AI客户端、核心处理器、工具模块等,支持灵活配置和环境变量调整。文章还提供了使用方法、技术特点以及示例输入输出文件,旨在帮助用户理解和应用该工具。
网络安全工具 人工智能应用 安全整改 数据安全 自动化安全 Excel数据处理 项目开发
0x73 Ivanti Endpoint 管理器漏洞可导致远程攻击者泄露任意数据
代码卫士 2026-02-12T18:13:49
Ivanti公司发布了EPM平台的安全更新,修复了两个新的漏洞CVE-2026-1603和CVE-2026-1602,这两个漏洞分别评分为高危和中危。CVE-2026-1603是一个认证绕过漏洞,攻击者可以远程泄露特定存储凭据数据,而CVE-2026-1602与SQL注入缺陷相关,允许攻击者从数据库读取任意数据。这两个漏洞都影响Ivanti Endpoint Manager的用户,尤其是2024 SU4 SR1和更早版本的用户。Ivanti已发布修复版本EPM 2024 SU5,并强烈建议管理员立即应用更新以缓解潜在风险。此外,公司还通过负责任披露计划与趋势科技ZDI计划合作披露了这两个漏洞,强调与安全社区合作维护产品完整性。
漏洞披露 端点管理 认证漏洞 SQL注入 安全更新 企业安全 远程攻击 补丁部署
0x74 AI生成Linux恶意软件VoidLink肆虐云端,内核隐匿与多云攻击威胁企业安全
FreeBuf 2026-02-12T18:06:24
近期发现的一种名为VoidLink的Linux恶意软件框架,结合了AI辅助威胁开发和多云攻击能力。该恶意软件针对主流云服务如亚马逊AWS、谷歌云平台、微软Azure等,具备内核级隐匿机制和容器逃逸插件。VoidLink利用大语言模型(LLM)生成复杂的命令与控制(C2)植入程序,能够窃取凭证并维持持久访问权限。其代码生成自动化程度高,具备容器逃逸、Kubernetes权限提升等功能。恶意软件通过HTTPS协议进行加密通信,并模仿Cobalt Strike信标架构模式。VoidLink采用模块化架构,能够根据环境进行自适应调整。为了防御此类威胁,建议企业监控异常元数据API查询,实施严格的容器安全策略,强化内核级安全,并定期审计云IAM角色和服务账户权限。
恶意软件分析 云安全 内核安全 多云攻击 人工智能与安全 网络安全防御 加密通信
0x75 Windows记事本漏洞可导致攻击者远程执行代码
FreeBuf 2026-02-12T18:06:24
微软近期修复了Windows记事本应用中的一个严重远程代码执行漏洞(CVE-2026-20841),该漏洞可能允许攻击者在用户打开特制的Markdown文件时,在受害者机器上远程执行恶意代码。漏洞源于命令中特殊元素处理不当,评级为重要,CVSS v3.1基础评分为8.8/10。攻击者可以通过制作带有恶意链接的Markdown文件,诱使用户点击链接,从而触发漏洞。微软已通过微软商店为记事本(版本11.2510+)推出补丁,用户需手动更新或启用自动更新。此外,建议用户避免打开不受信任的Markdown文件,并使用杀毒软件检测异常的协议处理程序。此漏洞的发现提醒了处理富文本应用中的安全风险,尤其是随着记事本功能的发展,其暴露面也相应扩大。
漏洞分析 CVE-2026-20841 Windows安全 远程代码执行 安全补丁 用户教育 Markdown安全 独立研究人员 安全更新
0x76 创宇安全智脑通用安全能力升级通告(20260212)
创宇安全智脑 2026-02-12T18:01:08 © 创宇安全智脑
创宇安全智脑是一个基于知道创宇17年AI+安全大数据经验构建的下一代全场景安全智能算力平台。该平台拥有海量真实攻防数据和安全大数据持续生产能力,结合AI智能模型,持续汇聚、萃取和分析,实时输出高精准高价值威胁情报、安全态势、攻防策略,并赋能知道创宇全产品矩阵和安全托管服务。平台已联动支撑包括创宇盾、抗D保、ScanV、大模型盾、ZoomEye互联网攻击面管理平台、创宇蜜罐、创宇云图、创宇云影、创宇猎幽、创宇威胁情报网关等在内的多个产品。本周新增插件80个,49个大模型规则,其中重点插件10个,重点大模型规则5个。文章详细列出了10个新增漏洞的详细信息,包括漏洞名称、发布时间、漏洞等级、来源、描述、危害、建议解决方案和影响范围。这些漏洞涉及SolarWinds Web Help Desk、飞牛系统、同鑫T9eHR信息化管理系统、友加畅捷U Plus、天地伟业Easy7、大蚂蚁即时通讯系统、用友U8 Cloud、IP-guard、鼎新EasyFlow和深科特LEAN MES系统等。文章还介绍了创宇大模型盾、创宇大模型网关和ZoomEye互联网攻击面管理平台的功能和优势,这些产品旨在帮助企业和机构解决大模型应用过程中的内容安全、网络安全和攻击面管理问题。
人工智能安全 威胁情报 漏洞管理 攻击面管理 内容安全 安全大数据 漏洞扫描与评估 安全防护
0x77 Microsoft Windows 记事本命令注入漏洞附POC(CVE-2026-20841)
信安笔录 2026-02-12T17:50:18 叄玖
本文详细分析了Microsoft Windows 记事本命令注入漏洞(CVE-2026-20841)。该漏洞源于记事本在解析Markdown(MD)格式文件时,未对协议进行判断,导致用户点击特定格式的链接即可触发。漏洞允许攻击者通过构造恶意的MD文件,诱使用户点击链接,执行恶意代码,从而实现远程代码执行(RCE)。该漏洞影响Windows 11.0.0至11.2510之间的所有版本。文章提供了漏洞的触发步骤、根本原因、影响范围以及官方修复建议,并提醒用户升级至最新版本或采取临时防护措施。
命令注入漏洞 Windows安全漏洞 Markdown格式利用 远程代码执行(RCE) 协议处理漏洞 CVSS评分高危 系统安全更新 用户安全意识
0x78 CTF直播预告:布尔盲注爆破详解
小话安全 2026-02-12T17:41:48 © 小话安全
本文详细介绍了如何利用布尔盲注技术进行SQL注入攻击,以探测和提取目标数据库的信息。首先,通过测试两个payload(一个恒真,一个恒假)来确认布尔盲注是否可用。接着,探测数据库类型,判断LENGTH函数是否可用,并确定数据库类型(如MySQL、SQL Server、Oracle等)。然后,通过逐位测试LENGTH函数返回的长度,逐步爆破出数据库名。在获取数据库名后,继续探测当前库中的表数量,并逐个爆破出每张表的名字。对于每张表,进一步探测其列数量,并逐个爆破出列名。最后,提供了数据提取函数,用于获取指定表的指定列的数据,并实现了交互式查询功能,允许用户输入表名和列名来查看对应的数据。整个过程详细记录了每个步骤的payload构造和响应判断,为网络安全学习者提供了宝贵的实践指导。
SQL 注入 网络安全 渗透测试 Web 安全 CTF 布尔盲注 数据库安全
0x79 漏洞预警 | CVE-2026-20841 Windows记事本 Markdown RCE
Eonian Sharp 2026-02-12T17:15:04 永恒之锋实验室
2026年2月12日,微软发布安全通告,指出Windows系统内置的记事本程序存在一个编号为CVE-2026-20841的高危安全漏洞。该漏洞评分为8.8分,攻击者可以通过诱导用户打开恶意Markdown文件,实现远程代码执行,从而完全控制目标设备。受影响的Windows记事本版本为11.0.0*<11.2510,建议用户升级至11.2510及以上版本以修复漏洞。同时,用户应避免打开来源不明的Markdown文件,不点击文件中的未知链接,以降低安全风险。文章还提供了漏洞的复现Proof of Concept(POC)信息,包括如何通过Markdown语法触发漏洞的具体步骤。
Windows安全漏洞 远程代码执行(RCE) Markdown利用 记事本应用安全 漏洞修复建议 软件升级重要性
0x7a 用于攻防中红队/渗透痕迹隐藏的工具
马哥网络安全 2026-02-12T17:06:19 点击关注👉
本文介绍了一个名为moonwalk的工具,该工具旨在帮助红队在Linux系统的渗透测试中隐藏其活动痕迹。moonwalk是一个小型、高效的二进制可执行文件,能够保存系统日志利用前的状态并在会话结束后恢复该状态,包括文件系统时间戳,从而在shell中使用时留下零痕迹。该工具开源,仅适用于合法授权的渗透测试,作者不对非法使用负责。moonwalk具有快速执行会话命令、侦察系统日志状态、恢复shell历史记录等功能。文章还提供了安装和使用moonwalk的详细步骤,包括从GitHub下载安装包或使用Rust/Cargo从源代码构建。
红队工具 渗透测试 Linux安全 时间戳篡改 日志清除 开源软件 安全工具
0x7b React2Shell漏洞突袭:漏洞深度剖析与企业防御实践
安全知不道 2026-02-12T17:04:38 © 安全知不道
React2Shell漏洞(CVE-2025-55182)是一个严重的安全漏洞,存在于React Server Components中,允许攻击者在无需身份验证的情况下执行任意系统命令。该漏洞影响了Next.js 14.3.0-canary.77至16.0.6版本、React 19.0.0至19.2.0版本以及其他依赖该组件的软件。漏洞原理是由于未对原型链敏感属性进行过滤或限制,攻击者通过构造恶意请求数据污染原型链,利用隐式原型(proto)层层向上查找,最终实现远程代码执行。文章详细描述了漏洞的利用过程,包括恶意请求载荷构造、恶意回调注册、原型链污染实现以及远程代码执行等阶段。此外,文章还介绍了漏洞环境搭建、基本利用方法、WEB内存马注入以及高阶利用技巧。针对此类漏洞,文章提出了流量特征分析思路,包括关注特殊关键字、模块劫持、非常规路径、异常序列化以及异常数据负载等。企业应推进漏洞快速修复,强化安全管控手段,沉淀技术实战经验,并开展常态化安全培训,以防范此类框架级高危漏洞带来的系统性安全风险。
React2Shell 远程代码执行 (RCE) 原型链污染 反序列化 Next.js React Web内存马 加密通信 漏洞利用 安全防御 流量分析 安全意识
0x7c 用友NC importExcelTemplate 任意文件上传漏洞
Nday Poc 2026-02-12T16:45:43 Superhero
本文分析了用友NC软件中存在的一个严重漏洞——importExcelTemplate接口的任意文件上传漏洞。该漏洞允许攻击者在服务器端执行任意代码,从而可能写入后门并获取服务器权限。文章中详细描述了漏洞的概述、复现方法以及自查工具的使用。同时,提供了修复建议,包括关闭互联网暴露面或接口设置访问权限,以及升级至安全版本。此外,文章还介绍了Nday漏洞实战圈,这是一个专注于公开1day/Nday漏洞复现和工具链适配支持的内部圈子,旨在帮助企业进行漏洞自查、渗透测试、红蓝对抗和安全运维。需要注意的是,使用提供的POC信息及脚本需自行承担风险,公众号Nday Poc及作者不为此承担任何责任。
漏洞分析 文件上传漏洞 用友NC 服务器安全 代码执行 渗透测试 安全修复
0x7d CVE-2026-24343:Apache HertzBeat 漏洞导致资源耗尽
sec随谈 2026-02-12T16:45:08 sec随谈
Apache 软件基金会发布安全公告,指出其人工智能驱动的实时可观测性平台 HertzBeat 存在一个编号为 CVE-2026-24343 的严重漏洞。该漏洞允许攻击者通过恶意数据查询导致系统资源耗尽,进而造成服务拒绝攻击(DoS)。漏洞主要影响 hertzbeat-collector 组件的特定版本,从 1.7.1 到 1.7.9,尤其是 1.8.0 之前的版本。攻击者可以利用XPath注入攻击,通过构造恶意的 XPath 表达式来消耗大量的 CPU 或内存资源。Apache 已经在 1.8.0 版本中修复了这个问题,建议管理员立即升级以避免安全风险。
CVE Apache HertzBeat 资源耗尽漏洞 XPath注入攻击 拒绝服务攻击(DoS) 软件安全更新 实时监控系统
0x7e smartbi token回调获取登录凭证漏洞(二)
蚁景网安 2026-02-12T16:31:13 sw0rd1ight
Smartbi官方修复了一处权限绕过漏洞,该漏洞是上一个特定场景下设置Token回调地址漏洞的绕过。未经授权的攻击者可利用该漏洞获取管理员token,完全接管管理员权限。分析过程显示,漏洞与/smartbix/api/monitor/setAddress接口有关,该接口可以未授权设置SERVICE_ADDRESS、ENGINE_ADDRESS,但多了一步DES解密过程。通过查看CommonUtil.desDecode方法,发现只需按照DES算法加密恶意参数即可设置伪造服务器地址用于接收token。攻击步骤包括:首先通过/smartbi/smartbix/api/monitor/engineInfo/接口获取之前的engineAddress、serviceAddress;然后通过/smartbi/smartbix/api/monitor/setAddress/接口设置engineAddress为攻击者机器上的伪造http服务地址,该接口参数需进行DES加密;接着触发smartbi向设置的EngineAddress外发token,攻击者的fake server会收到携带token的请求;最后使用获取的token进行登录,成功后获得管理员账户的合法凭证。该漏洞说明即使有补丁,攻击者仍可能通过绕过手段实现权限提升。
漏洞分析 权限绕过 Web安全 DES加密 token劫持 补丁分析
0x7f WEB应用渗透测试:SQL报错注入
成渝Sec 2026-02-12T16:30:41 © 成渝Sec
报错注入是一种在网站关闭错误信息回显的情况下,通过构造错误的SQL语句,利用数据库执行时触发的错误信息来间接获取数据库信息的攻击技术。XPath报错注入是其中一种常见类型,利用MySQL的extractvalue()和updatexml()函数处理XML数据时对XPath语法的要求。这两个函数如果接收到格式错误的XPath表达式,会抛出错误并将该表达式的内容显示在错误信息中。通过构造包含非法字符(如0x7e)的XPath表达式,可以触发错误并泄露数据库信息。攻击者使用concat()函数将非法字符与想查询的SQL语句结果连接,形成非法XPath表达式,从而在错误信息中获取数据库名、版本、表名、字段名甚至字段内容。例如,使用payload 'and updatexml(1,concat(0x5e,(select version()),0x5e),1) -- -' 可以爆出数据库版本。报错注入的使用条件是数据库版本符合要求,且extractvalue()和updatexml()有32位长度限制。Floor()函数报错注入原理更为复杂,利用floor()、count(*)、rand()和group by的组合,通过产生主键冗余导致报错,前提是数据表记录数需≥3。
SQL注入 报错注入 XPath注入 MySQL注入 网络安全 Web安全 渗透测试 信息泄露 靶场实践
0x80 【已复现】Microsoft Windows 记事本远程代码执行漏洞(CVE-2026-20841)
乌雲安全 2026-02-12T16:26:59
本文详细介绍了Microsoft Windows 记事本远程代码执行漏洞(CVE-2026-20841)的相关信息。该漏洞影响Windows操作系统的记事本应用程序,当用户打开特定构造的恶意Markdown文件并点击其中的恶意链接时,可能导致任意代码在受害者设备上执行。漏洞的CVSS 3.1分数为8.8,评级为高危。漏洞的利用需要用户交互,目前已有公开的PoC和技术细节。奇安信CERT已成功复现该漏洞,并建议用户尽快更新至最新版本以避免风险。官方提供了自动更新和手动安装补丁的解决方案,以帮助用户修复此漏洞。
远程代码执行(RCE) Markdown 漏洞 Microsoft Windows 漏洞 高危漏洞 用户交互型漏洞 文本编辑器安全 软件更新与补丁
0x81 绕过杀软EDR内存扫描
红队工坊 2026-02-12T16:17:08 aeverj
本文详细探讨了如何规避内存扫描器,以定制恶意软件绕过YARA、PE-sieve等安全工具的检测。文章首先介绍了内存扫描器的工作原理,包括模式匹配、内存属性检测和线程调用栈追踪等技术。接着,文章提出了多种规避策略,如使用加密数据、堆内存加密、可执行掩码存根、面向返回编程(ROP)以及上下文重定向等技术。文章还介绍了如何通过修改等待原因、返回地址欺骗等方法来绕过特定的检测机制。最后,文章介绍了AceLdr工具,该工具集成了多种规避技术,能够有效绕过多种内存扫描器。文章强调,虽然这些技术能够绕过现有的扫描器,但并不代表能够对抗未来的实现,且规避开源扫描器并不等同于规避商业安全产品。
内存扫描器规避 恶意软件定制 YARA PE-sieve Moneta BeaconHunter Hunt-Sleeping-Beacons MalMemDetect 加密 内存权限控制 堆内存加密 可执行掩码存根 (Executable Masking Stub) 面向返回编程 (ROP) FOLIAGE 返回地址欺骗 (Return Address Spoofing) 延迟执行 (Sleep/DelayExecution) 反射加载器 (Reflective Loader) Cobalt Strike
0x82 烽火狼烟丨暗网数据及攻击威胁情报分析周报(02/09-02/12)
盛邦安全应急响应中心 2026-02-12T16:02:38
WebRAY安全服务团队监测到本周暗网数据贩卖事件减少36.06%,但仍有250起事件,涉及584133.7万条数据,涵盖社交、金融、个人信息等多种类型。主要威胁来自勒索软件、蠕虫攻击及网站攻击,其中yuan1994 tpadmin WebUploader反序列化漏洞较为严重。内部安全运营中心发现7684条恶意攻击来源IP,主要涉及命令注入、组件攻击等。重点数据泄露事件包括Suno数据库、法国航空未授权管理访问权限、超过2亿条Telegram用户记录、WormGPT用户数据、Flickr用户数据等。热点资讯方面,OpenClaw为AI代理市场添加VirusTotal扫描功能,Exchange Online将合法邮件标记为钓鱼邮件,Warlock勒索软件成功入侵SmarterTools,欧洲委员会移动设备管理平台遭攻击,网络攻击趋势从勒索破坏转向长期隐秘渗透。热点技术包括黑客组织利用蠕虫攻击云原生环境构建犯罪基础设施,恶意Outlook加载项利用废弃域名实施攻击,黑客组织利用人工智能诱饵攻击加密货币组织,Bing广告被用于投放Azure托管技术支持的诈骗广告,SolarWinds WHD实例成为企业网络攻击入侵的起点。热点漏洞包括JeecgBoot路径遍历漏洞、yuan1994 tpadmin WebUploader反序列化漏洞、Xiaopi Panel SQL注入漏洞、WeKan信息泄露漏洞、Tenda AC7反射型跨站脚本漏洞等。
数据泄露 勒索软件 网络攻击 漏洞利用 威胁情报 暗网 社会工程学 供应链攻击 云原生安全 AI安全
0x83 从自动化到感染(下):OpenClaw技能中的反向Shell、语义蠕虫与认知后门
赛博知识驿站 2026-02-12T16:00:33 VirusTotal
本文深入探讨了OpenClaw AI Agent技能被武器化的五种滥用技术,揭示了自动化工具如何沦为供应链攻击的新战场。首先,文章分析了远程执行(RCE)技术,以better-polymarket技能为例,展示了如何通过执行劫持技术在预热函数中植入反向Shell,实现持久后门访问。其次,介绍了传播(语义蠕虫)技术,以wake-up技能为例,说明如何利用LLM特性将代理变成分销渠道,通过指令链实现自我复制和传播。第三,文章讨论了持久化技术,以evilweather技能为例,展示了如何通过命令链注入SSH密钥,在系统认证文件中留下永久后门。第四,分析了数据窃取技术,以rankaj技能为例,说明如何静默收集环境变量中的敏感信息,如LLM提供商密钥。最后,文章探讨了提示词持久化技术,以devinism技能为例,展示了如何通过修改代理的自动加载上下文文件,实现认知后门植入,长期影响代理行为。文章强调,应对这些攻击需要采取实用的控制措施,如固定版本、审查差异、最小权限运行、记录调用、保护指令文件、验证来源,并排除代理凭据,以维护AI系统的安全性。
供应链攻击 OpenClaw 远程执行 (RCE) 传播/蠕虫 持久化 数据窃取 行为后门 / 认知后门 提示词工程 (Prompt Engineering) 社会工程学 安全防御
0x84 【已复现】Microsoft Windows 记事本远程代码执行漏洞(CVE-2026-20841)安全风险通告
奇安信 CERT 2026-02-12T15:40:50
奇安信CERT发布安全风险通告,指出Microsoft Windows记事本存在远程代码执行漏洞(CVE-2026-20841),漏洞编号QVD-2026-7872。该漏洞由记事本处理Markdown文件中的超链接时未能充分中和与验证特殊协议或命令元素引起。攻击者可构造恶意Markdown文件,诱骗用户打开并点击恶意链接,从而在受害者设备上执行任意恶意代码。漏洞影响Windows记事本版本低于11.2510的用户。奇安信已成功复现该漏洞,并建议用户尽快更新至最新版本或通过系统更新修补漏洞。
漏洞通告 远程代码执行 Microsoft Windows Markdown 安全更新 漏洞复现 漏洞利用 奇安信
0x85 SSHStalker僵尸网络利用IRC C2通过旧版内核漏洞控制Linux系统
安全圈的那点事儿 2026-02-12T15:30:00 © 网络安全9527
网络安全研究人员近期揭露了一种名为SSHStalker的新型僵尸网络活动,该活动通过互联网中继聊天(IRC)进行命令与控制(C2)操作。SSHStalker利用了旧版Linux内核的多个漏洞,特别是针对2.6.x时代的系统。这个僵尸网络结合了隐蔽工具和漏洞利用程序,能够通过SSH扫描器和其他扫描器自动入侵易受攻击的系统,并将它们注册到IRC频道中。与传统的DDoS攻击或代理劫持不同,SSHStalker能够保持持久的访问权限,并且没有后续的后渗透行为。其核心组件是一个Go语言扫描器,用于扫描开放SSH的服务器。SSHStalker还投放了多个有效载荷,包括IRC控制的机器人程序和一个Perl文件机器人程序。此外,该恶意软件工具包还包含一个“保持存活”组件,能够在主进程被终止后迅速重新启动。研究人员怀疑该僵尸网络可能由罗马尼亚的黑客组织Outlaw(又名Dota)所操控。
僵尸网络 Linux安全 漏洞利用 命令与控制(C2) 自动化攻击 持久化攻击 日志清理 文件机器人程序 IRC攻击 威胁情报
0x86 【0day】天地伟业Easy7 uploadMapServerBgImage 文件上传漏洞
0day收割机 2026-02-12T15:19:24
本文分析了天地伟业Easy7视频监控管理软件系统中的一个严重漏洞。该漏洞存在于/Easy7/rest/file/uploadMapServerBgImage接口,允许攻击者通过构造特定的请求包上传webshell文件到服务器的任意路径,从而实现对服务器的控制。该漏洞的利用难度极低,攻击者可以在未登录状态下直接发送恶意请求进行攻击。文章详细描述了漏洞的复现过程,包括利用POST请求上传webshell的步骤和执行结果。同时,文章也提醒读者,该信息仅供安全研究和学习使用,任何因传播或利用该信息而产生的后果由使用者自行承担。
文件上传漏洞 远程代码执行 视频监控软件漏洞 未授权访问 蠕虫传播风险 安全研究
0x87 Web越权链式打法实战:小细节引爆全站数据,EDUSRC Rank狂飙 | 干货
渗透安全团队 2026-02-12T14:42:35 zkaq-yang918
本文详细分析了一次针对高校信息系统的授权渗透测试过程,揭示了多个越权漏洞。首先,从学生基本信息查看功能的数据包中发现数据泄露,通过Base64解码和ID修改尝试,发现ID可能由主键和校验串混合而成。接着,对“任职信息审核”模块进行越权分析,发现Base64编码的ID存在漏洞,通过修改编码后的ID成功获取其他学生信息。此外,文章还探讨了“保存”功能的越权漏洞,指出系统校验逻辑的复杂性,并通过仅保留部分字段内容成功绕过校验。最后,作者通过枚举技巧批量测试了多个接口,发现系统存在统一的越权模式,可批量获取全校数据。文章总结了越权与Bypass的核心技巧,包括Base64特征识别、组合ID解构、保存逻辑绕过、枚举技巧和统一越权模式识别。
漏洞分析 越权漏洞 Web安全 加密解密 数据泄露 Bypass技术 枚举与遍历 渗透测试 安全意识
0x88 干货 | 被动扫描?直接梭哈!
渗透安全团队 2026-02-12T14:42:35 ChinaRan404
本文详细介绍了网络安全工具EZReal的使用方法和常见场景。EZReal因其出色的主动探测能力和对前后端分离架构下接口的强大扫描能力而受到推荐。文章首先阐述了选择EZReal的原因,并列举了其在实际攻防中的应用场景,如高危漏洞扫描、批量指纹识别、API扫描、爬虫扫描、流量转发等。此外,还提到了如何通过添加自定义指纹来提升扫描的准确性,以及使用脚本对扫描结果进行分类处理的方法。文章还介绍了EZReal的浏览器插件和主动指纹编写的重要性。最后,提供了EZReal证书的获取方式和下载链接,方便用户学习和使用。
漏洞扫描 Web 安全 指纹识别 主动探测 API 安全 安全工具使用 被动扫描 安全测试 红队工具
0x89 【安全研究】ICONICS Suite SCADA DLL劫持
博智非攻研究院 2026-02-12T14:40:34 博智非攻研究院
本文详细分析了Palo团队对Iconics Suite SCADA软件(隶属于Mitsubishi Electric公司)的漏洞研究。文章首先指出,Palo团队在2025年初发现Iconics Suite SCADA软件存在文件权限设置缺陷,随后在2025年3月进一步分析了该软件的多个漏洞,包括DLL劫持、本地程序执行(LPE)和拒绝服务(DOS)等。这些漏洞的CVSS评分均较高,表明其潜在危害性大。文章强调,DLL劫持的主要原因在于软件对文件安装路径和权限设置不当,结合Windows系统对DLL的调用顺序,攻击者可实现对系统的权限提升、拒绝服务或代码执行等攻击。Palo团队在靶场环境中对MMCfg.exe组件的DLL劫持漏洞进行了复现,发现该组件在启动时会尝试加载一个不存在的名为REVERB1.dll的文件。通过在特定位置放置恶意构造的REVERB1.dll文件,攻击者可成功劫持该DLL并执行恶意代码。文章还提到,目录权限设置不当是导致DLL劫持和权限提升的高发漏洞类型,近期Mitsubishi Electric的另一个软件也曝出了类似漏洞CVE-2025-10314,该漏洞评分高达8.8,且可提权至SYSTEM权限。
SCADA 漏洞分析 DLL劫持 权限提升 文件权限 Mitsubishi Electric CISA Palo Alto Networks 工业控制系统 (ICS)
0x8a 【已验证】Windows 记事本应用程序远程代码执行漏洞
安全微焦点 2026-02-12T14:35:09 Hedysx
本文分析了Microsoft Windows记事本应用程序中存在的一个高危命令注入漏洞(CVE-2026-20841)。该漏洞影响11.0.0至11.2510之前的版本,攻击者可以通过构造恶意文本文件,诱使用户在联网状态下打开文件,从而触发远程代码执行(RCE)。漏洞源于记事本在解析Markdown中的file:///链接时,未对URL中的特殊字符进行充分过滤,导致攻击者可以嵌入指向远程WebDAV/SMB共享的恶意路径。当用户点击链接且系统已关联可执行扩展名时,记事本将直接调用ShellExecute打开远程文件,造成任意代码执行。Microsoft安全响应中心(MSRC)已披露此漏洞,并提醒用户注意安全风险。
远程代码执行(RCE) 命令注入漏洞 Markdown 渲染引擎 Windows 漏洞 高危漏洞 文件处理漏洞 特殊字符利用 社会工程学攻击
0x8b 【漏洞检测POC】Windows记事本命令注入漏洞(CVE-2026-20841)
金夏安全 2026-02-12T14:32:19 © 金夏
本文介绍了Windows记事本命令注入漏洞(CVE-2026-20841)的相关信息。该漏洞存在于11.0.0至11.2510版本的Windows记事本中,当用户通过记事本解析Markdown语法中的file://协议链接时,由于未充分过滤和校验URL中的特殊字符及路径,可能导致任意代码执行。文章详细描述了漏洞的描述、检测POC、利用原理以及可能的利用链分析。同时,文章还提供了漏洞修复建议,建议用户升级至安全版本(≥11.2510)以修复漏洞。此外,文章也提醒用户不要使用文章提供的内容从事非法活动,并对内容的争议或侵权问题提出了处理方式。
漏洞分析 命令注入 远程代码执行 Windows安全 漏洞利用 安全修复 Markdown安全 软件漏洞
0x8c 2026-02微软漏洞通告
火绒安全 2026-02-12T14:30:52 火绒安全
2026年2月,微软发布了安全更新,共修复了59个漏洞。其中,25个为特权提升漏洞,12个为远程执行代码漏洞,8个为身份假冒漏洞,6个为信息泄露漏洞,5个为安全功能绕过漏洞,3个为拒绝服务漏洞。其中,5个漏洞被标记为“Critical”(高危),52个为“Important”(严重)。重要漏洞包括Windows Shell安全功能绕过漏洞CVE-2026-21510,Windows 桌面窗口管理器权限提升漏洞CVE-2026-21519,Windows远程桌面服务权限提升漏洞CVE-2026-21533,Windows WinSock附属功能驱动权限提升漏洞CVE-2026-21238,以及Windows远程访问连接管理器拒绝服务漏洞CVE-2026-21525。建议用户及时更新补丁,以避免潜在的安全风险。涉及更新的组件包括.NET、Visual Studio、Azure、Microsoft Edge等。火绒安全软件提供了漏洞修复功能,帮助用户更新补丁。
操作系统安全 漏洞披露 安全更新 特权提升 远程执行代码 拒绝服务 身份假冒 信息泄露 安全软件 安全意识
0x8d 【漏洞复现】腾达路由器曝敏感信息泄露漏洞,可直接获取管理密码。
玄武盾网络技术实验室 2026-02-12T14:25:03 © xuzhiyang
本文分析了腾达路由器曝出的敏感信息泄露漏洞。该漏洞允许攻击者通过访问特定路径直接获取路由器的完整配置文件,其中包含管理员账号密码等敏感信息。该漏洞影响范围广泛,涉及多款家用、商用无线路由器产品。攻击者可以利用该漏洞登录路由器后台,篡改网络设置、窃取数据,甚至获取路由器Root管理权限。文章提供了漏洞复现的技术细节,并给出了紧急修复与防护建议,包括更新固件至最新版本、修改管理员密码和WiFi密码,以及升级加密方式。同时,文章强调了遵守网络安全法的重要性,提醒读者严禁使用本文内容进行未经授权的违规渗透测试。
路由器漏洞 信息泄露 固件更新 网络安全法 网络设备安全 攻击向量 漏洞复现 防护建议
0x8e 使用 DNSQuerySniffer 揪出隐蔽钓鱼请求
大仙安全说 2026-02-12T14:23:33 © weiqin
这篇文章描述了一个网络安全应急响应案例,涉及服务器请求恶意域名的情况。文章首先介绍了使用的工具:DNSQuerySniffer和TCPView。通过DNSQuerySniffer监控到服务器频繁请求恶意域名“notepadplusplus.cn”,并每隔三分钟请求“opla.com”。接着,在微步情报平台查询发现“notepadplusplus.cn”是恶意域名,而“opla.com”显示未知但有一个恶意解析IP,因此将这两个域名添加到本地的hosts文件中阻止访问。通过TCPView观察,发现svchost.exe和E0BW5bSM.exe进程在请求恶意域名,进一步查询发现这些进程与盗版软件“notepad++”有关。最终处置方式是删除恶意程序E0BW5bSM.exe和盗版软件,并重启服务器。文章强调了结合使用DNSQuerySniffer、TCPView和微步情报平台进行综合分析的重要性,尤其是在无法使用sysmon的情况下,这种方法能够有效定位恶意文件。文章还提醒用户应从正规渠道下载软件,以避免类似风险。
网络安全应急响应 恶意域名分析 网络嗅探与分析工具 恶意软件排查 系统安全配置 软件安全风险 网络安全学习
0x8f APT36 和 SideCopy 对印度实体发起跨平台远程访问木马攻击活动
安全圈的那点事儿 2026-02-12T14:07:00 © 网络安全9527
本文报道了一起针对印度国防部门和政府相关机构的APT攻击活动,涉及跨平台的远程访问木马(RAT)。攻击者使用了Geta RAT、Ares RAT和DeskRAT等恶意软件,这些软件与巴基斯坦相关的威胁集群SideCopy和APT36(Transparent Tribe)有关。攻击主要通过网络钓鱼邮件进行,利用恶意附件或链接诱导受害者执行恶意文件。这些文件启动一个多阶段过程,包括LNK文件调用、HTML应用程序执行和DLL加载,最终部署RAT实现远程访问和数据窃取。攻击者还针对Windows和Linux系统,使用了不同的攻击链和技术。此次攻击表明,APT36等高级威胁行为者正利用复杂的攻击手段,针对印度的关键基础设施和政府部门。
APT攻击 跨平台攻击 远程访问木马(RAT) 网络钓鱼 内存驻留技术 数据窃取 政府机构攻击 恶意软件家族 命令与控制(C2)
0x90 2026最常见的C2框架一览
智榜样网络安全学习中心 2026-02-12T14:00:35 © 小智
本文详细介绍了C2框架在红队行动与渗透测试中的重要性,并分析了10款主流实用的C2框架。文章首先定义了C2框架的概念及其需求,包括隐蔽性、功能完整性、团队协作支持和灵活扩展性。接着,分别介绍了Cobalt Strike、Metasploit Framework、VSHELL、Viper、Havoc C2、Sliver C2、XiebroC2、Supershell、Mythic和Empire这10款框架的功能特点、项目地址和适用场景。文章还提供了选型建议,建议新手从Metasploit和Viper或XiebroC2开始学习,进阶者可以尝试Sliver或Havoc。最后,文章强调了所有C2框架都必须在授权测试环境下使用,禁止应用于未授权的任何系统。
C2框架 红队工具 渗透测试 工具选型 开源框架 商业框架 国产框架 网络安全 隐蔽通道 内网渗透
0x91 图形验证码漏洞的checklist
山水SRC 2026-02-12T13:56:05 © 游山玩水
本文详细介绍了在网络安全渗透测试中针对图形验证码的漏洞检测方法。文章首先概述了在测试图形验证码时的checklist,包括修改响应包、检测前端校验逻辑以及完成登录流程测试。接着,文章重点讲解了如何检测图形验证码前端校验的快速检测方法,包括输入验证码后立即弹出错误提示和刷新验证码时抓不到数据包的情况。此外,文章还详细描述了完成登录流程测试的方法,以及如何通过重放请求和观察响应来检测验证码复用漏洞。文章还讨论了漏洞的危害,如暴力破解、敏感信息枚举和业务功能滥用。最后,文章提供了针对图形验证码可控和DOS漏洞的检测步骤和工具使用方法,包括修改URL参数进行测试和利用Burp Suite插件进行参数测试。
网络安全漏洞 渗透测试 图形验证码 自动化测试 漏洞利用 Web安全 防御策略
0x92 首个被发现的恶意Outlook插件窃取了4000多个微软凭据
安全圈的那点事儿 2026-02-12T13:45:00 © 网络安全9527
网络安全研究人员近期发现了一款恶意微软Outlook插件,该插件通过盗用合法插件域名的方式,在供应链攻击中窃取了超过4000个用户凭证。这款名为“AgreeTo”的插件声称能够整合不同日历,但实际上被攻击者利用,通过伪造的微软登录页面盗取用户信息。攻击者利用了开发者放弃项目后域名未被及时清理的漏洞,在原域名上部署钓鱼网站。该事件揭示了供应链攻击的扩大和Office加载项在安全方面的潜在风险。微软的应用商店在审核通过后无法监控加载项内容的实时变化,这为攻击者提供了可乘之机。Koi Security建议微软采取重新审核、验证域名所有权和定期更新机制等措施来提高安全性。
恶意软件攻击 供应链攻击 凭证窃取 钓鱼攻击 Office加载项安全 微软安全漏洞 安全监控 网络安全意识
0x93 权限维持从“后门植入”到“身份滥用”的技术演进与攻防博弈分析
白帽子社区团队 2026-02-12T13:36:04 © 无问社区
文章深入分析了网络安全权限维持的演进路径,从传统的后门植入阶段过渡到身份滥用的范式转变。传统后门技术如Webshell、DLL注入等,在现代防御体系下因高可见性、易被检测等缺陷,已逐渐被攻击者弃用。取而代之的是身份滥用,攻击者通过窃取、伪造或重用合法凭证(如OAuth Token、Kerberos票据、IAM密钥)实现无痕访问与长期潜伏,形成以身份为核心枢纽的复合式攻击链。文章详细解析了网络会话凭证滥用、Kerberos与NTLM协议滥用、云环境中的身份长期驻留机制等核心技术路径,并探讨了攻防博弈中的战术演变。最后,文章提出了构建面向身份滥用的新一代防御体系的战略建议,强调身份源头管控、行为监控与实时响应、自动化响应机制、人才培养与攻防演练的重要性,旨在帮助企业构建以身份为中心的纵深防御体系,应对日益复杂的身份安全挑战。
权限维持 身份滥用 网络安全技术 攻防对抗 身份安全 红蓝对抗 网络安全防御 网络安全趋势
0x94 苹果零日漏洞遭恶意利用,发起复杂攻击,目标直指个人用户
安全圈的那点事儿 2026-02-12T13:17:20 © 网络安全9527
苹果公司于2026年2月11日发布了iOS 26.3和iPadOS 26.3更新,修复了包括一个严重零日漏洞在内的40多个漏洞。该零日漏洞(CVE-2026-20700)被用于针对iOS 26版本之前特定个人用户的复杂攻击。漏洞允许攻击者执行任意代码,攻击链可能始于网络钓鱼或零点击漏洞。此次攻击目标包括记者和活动人士,与国家级间谍软件攻击活动相似。苹果公司通过改进状态管理修复了漏洞,受影响的设备包括iPhone 11+、新款iPad Pro等。iOS 26.3更新还修复了其他37个漏洞,包括内核、WebKit和沙盒等组件的安全问题。苹果强调用户应立即更新系统,企业应强制执行MDM策略并监控异常情况。
零日漏洞 定向攻击 内存损坏漏洞 iOS 安全 苹果产品安全 恶意软件攻击 漏洞修复 网络安全事件 漏洞利用 情报安全
0x95 Spring Security RegexRequestMatcher 认证绕过漏洞(CVE-2022-22978)分析
卡布奇诺的派对 2026-02-12T12:40:17 © 卡布奇诺的派对
CVE-2022-22978是Spring Security中的一个身份认证绕过漏洞,攻击者可以通过构造特殊URL请求,绕过权限控制规则,访问受保护的管理接口或敏感资源。该漏洞源于org.springframework.security.web.util.matcher.RegexRequestMatcher类中正则表达式的使用,当正则表达式包含通配符.且请求路径中嵌入换行符时,Spring Security无法正确识别请求路径,导致错误放行未授权访问。漏洞影响范围包括Spring Security版本5.5.0至5.5.6和5.6.0至5.6.3。官方已通过启用DOTALL模式修复该问题,建议用户升级至最新版本或采用替代方案,如使用antMatchers代替regexMatchers,并在网关或过滤器中统一路径处理逻辑,以增强安全性。
Spring Security 漏洞 身份认证绕过 正则表达式漏洞 Java安全 软件安全 网络安全 代码审计 安全漏洞修复
0x96 CVE-2026-26215 - manga-image-translator 中的未经身份验证的远程代码执行漏洞
Ots安全 2026-02-12T12:39:05
本文详细分析了一个名为manga-image-translator的漫画翻译工具中存在的严重漏洞CVE-2026-26215。该工具是一款流行的开源项目,拥有大量星标。漏洞存在于两个FastAPI端点中,它们直接使用pickle.loads()处理HTTP请求体,尽管本应受到基于nonce的身份验证机制保护,但由于默认值为空字符串,导致身份验证检查从未执行,从而在所有标准部署中都存在未经身份验证的远程代码执行(RCE)漏洞。文章介绍了漏洞的发现过程、漏洞的具体实现方式、以及如何通过设置默认nonce值、替换pickle.loads()、限制共享工作进程等方式进行修复。同时,文章还提到了腾讯云鼎安全实验室的报告和VulnCheck的CVE分配过程,强调了漏洞的安全性和修复的重要性。
开源软件漏洞 远程代码执行(RCE) Python安全 身份验证漏洞 代码审计 CVE编号 漏洞披露 安全最佳实践
0x97 CVE-2026-20841 - Windows 记事本应用程序远程代码执行漏洞
Ots安全 2026-02-12T12:39:05
CVE-2026-20841是一个影响Windows记事本应用程序的远程代码执行漏洞。尽管记事本是一个简单的文本编辑器,但这个漏洞的CVSS评分高达8.8分,表明其潜在威胁性。该漏洞允许攻击者通过诱使用户点击嵌入在Markdown文件中的恶意链接来执行远程代码。目前尚不清楚这是否是正确的概念验证(PoC)触发方法,但提供了可能的攻击路径和示例。漏洞适用于记事本版本低于11.2510的Windows系统。文章提供了一个概念验证PoC的链接,并说明了如何通过Markdown语法和Windows系统行为来触发漏洞。
远程代码执行 Windows 漏洞 漏洞利用 恶意软件攻击 文本编辑器安全 最小权限原则 CVE 编号
0x98 Web越权链式打法实战:小细节引爆全站数据,EDUSRC Rank狂飙
Say Sec 2026-02-12T12:34:40 zkaq-yang918
本文详细描述了作者在一次针对高校信息系统的授权渗透测试中发现的多处越权漏洞。首先,作者从查看学生基本信息功能的数据包中发现数据泄露,通过分析发现ID参数可能是“主键ID+校验串”混合形式,但单独修改ID无法越权。接着,在“任职信息审核”模块中,作者通过解码base64编码的ID参数成功实现越权,获取其他学生的任职信息。此外,作者还发现“保存”功能存在越权漏洞,通过绕过校验逻辑成功修改数据。作者利用系统接口的通用规则,批量测试了多个模块,发现相似的越权漏洞。最后,作者分享了提交技巧,指出结合全校学号泄露漏洞可以提高漏洞评分。文章总结了越权与Bypass的核心技巧,包括Base64特征识别、组合ID的识别与解构、保存逻辑绕过、枚举技巧以及统一越权模式。
越权 (Privilege Escalation) Base64编码 (Base64 Encoding) Bypass (绕过) 数据泄露 (Data Exposure) 枚举 (Enumeration) Web安全 (Web Security) 漏洞利用 (Vulnerability Exploitation)
0x99 针对飞牛 NAS 的僵尸网络Netdragon 快速分析
奇安信XLab 2026-02-12T12:27:56 © 奇安信X实验室
飞牛(fnOS)网络附加存储设备(NAS)近期遭遇大规模入侵并感染恶意软件事件,攻击者利用未公开的安全漏洞成功植入netdragon恶意软件家族。该家族自2024年10月被发现以来,持续进行DDoS攻击与远程命令执行,将受感染NAS设备纳入僵尸网络。netdragon恶意软件具备多种对抗手段,如删除iptables/nft规则、篡改hosts文件阻断系统更新、通过systemd服务与内核模块实现双重持久化、动态密钥加壳等,使其难以被清除,显著增加防御与应急响应成本。分析发现,超过1000个IP地址存在感染迹象,均对应飞牛设备。netdragon僵尸网络在1月底可能感染约1500台设备,其DDoS攻击目标分布广泛,涉及多个国家和地区及行业领域。恶意样本采用模块化设计,Loader组件负责初始加载与功能投递,DDoS组件执行攻击指令,并对fnOS环境进行针对性适配。Loader组件通过清空日志、隐藏痕迹、阻止更新/恢复等方式进行攻击,而DDoS组件则通过ChaCha20算法加密通信,并具备隐藏DDoS行为的能力。netdragon恶意软件持续升级,以应对官方和用户的对抗措施,如删除防火墙规则、更换后门端口、使用新的内核持久化模块和C2基础设施等。
恶意软件分析 僵尸网络 DDoS攻击 持久化 对抗行为 漏洞利用 网络设备安全 恶意后门 C&C通信 安全事件分析
0x9a EDR Killing 如何挖掘?
Relay学安全 2026-02-12T11:53:57 © kernel
本文详细介绍了攻击者如何利用合法且存在漏洞的驱动程序来禁用安全进程、加载EDR组件以及删除系统保护,从而绕过传统的进程保护机制。文章指出,尽管内核驱动程序在现代Windows版本上需要通过认证并使用受信任的签名,但攻击者可以利用已签名且存在漏洞的驱动程序执行恶意操作。这些驱动程序通常使用ZwOpenProcess和ZwTerminateProcess函数来打开和终止进程,或者通过IoCreateDevice函数初始化设备对象,如果安全描述符设置不当,任何应用程序都可以通过符号链接与之交互。此外,IOCTL控制码用于应用程序和驱动程序的通信,存在漏洞的驱动程序可能暴露允许未经验证操作的IOCTL。由于这些驱动程序通常具有高特权级别,用于终止其他受保护的进程和拦截进程创建,因此它们成为攻击者的目标。文章还提供了一种脚本,用于检查驱动程序是否导入了ZwTerminateProcess函数,以及如何使用IDA PRO进行逆向分析以识别和定位潜在的终止进程驱动程序。最后,文章通过两个具体的驱动程序示例(Killer.sys和pcTools.sys)展示了如何构造用户层代码以与驱动程序交互并结束特定进程。
内核驱动程序 进程管理 提权与漏洞利用 EDR与安全软件 逆向工程 防御技术研究 符号链接
0x9b Web越权链式打法实战:小细节引爆全站数据,EDUSRC Rank狂飙
掌控安全EDU 2026-02-12T11:29:10 © zkaq-yang918
本文详细描述了一次针对高校信息系统的授权渗透测试过程,发现并分析了多个越权漏洞。首先,在查看学生基本信息功能中,发现数据泄露,初步判断存在越权风险。通过对ID参数的分析,发现其可能是“主键ID+校验串”混合形式,以防止直接ID篡改。接着,在“任职信息审核”模块中,同样发现Base64加密的ID,通过解码和修改,成功实现越权,获取其他学生的任职信息。此外,文章还探讨了“保存”功能中的越权漏洞,发现系统在保存阶段只校验部分字段的匹配性,通过控制字段内容可以规避校验逻辑。最后,作者通过枚举技巧,批量遍历系统信息,发现多个具有相同越权模式的接口,实现了大规模数据批量获取。文章还分享了提交技巧,指出结合全校学号泄露的漏洞可以提高评分。总结了越权与Bypass的核心技巧,包括Base64特征识别、组合ID的识别与解构、保存逻辑绕过、枚举技巧以及统一越权模式。强调所有渗透测试需获取授权,并遵守法律法规。
越权 (Privilege Escalation) Base64编码 (Base64 Encoding) Bypass (绕过) 数据泄露 (Data Leakage) Web安全 (Web Security) 接口测试 (API Testing) 枚举 (Enumeration) 身份验证与授权 (Authentication & Authorization) 安全测试 (Security Testing) 漏洞利用 (Exploitation)
0x9c 越可预测越难被检测 - 利用 Shannon 编码隐藏恶意 Shellcode
securitainment 2026-02-12T10:25:04 kleiton0x7e
本文介绍了一种通过降低熵值来隐藏 PE 中恶意 shellcode 的方法。文章首先解释了熵的概念,即对数据随机性的度量,并指出高熵 shellcode 通常用于恶意代码以规避检测。作者提出,通过引入特定模式并降低不可预测性,可以有效降低整体熵值,从而提高恶意代码的隐蔽性。文章详细描述了实现这一目标的步骤,包括将高熵 shellcode 分割成多个块,插入低熵字节模式,以及将高熵字节块与低熵字节块进行组合。此外,作者还提供了基于 WinAPI 和 Syscalls 的 Shellcode 注入示例代码,并讨论了该方法的局限性,如编码后 shellcode 体积增大会增加被检测的风险。最后,文章总结了降低熵值是一种有效的恶意软件检测规避方法,并建议通过采用不同的数学方程和低熵代码块来进一步提升方法的可靠性。
恶意软件检测规避 shellcode混淆 熵值分析 网络安全防御 Cobalt Strike 代码注入
0x9d 浅谈渗透中的 WEB 架构
Heihu Share 2026-02-12T10:17:53 © Heihu577
本文深入探讨了网络安全中Web架构的渗透测试要点。首先介绍了网站服务架构,包括使用云服务器、Nginx代理服务器、NAT映射和CDN等情况。文章详细分析了不同架构下的渗透测试难点,例如云服务器内网的限制、Nginx代理服务器隐藏真实IP、NAT映射导致无法直接获取Web服务IP、以及CDN的分布式内容分发特性。文章还提供了针对Nginx配置的分析,区分了Nginx作为WEB服务器、反向代理以及混合模式的不同特征和配置方法。此外,文章还讨论了在企业内网架构和云内网架构之间的区别,以及如何通过不同的端口和后缀转发流量。最后,文章强调了在实际渗透测试中,需要根据实际情况判断Nginx的角色和配置,以及如何应对WebShell断断续续的问题。
Web安全 渗透测试 云安全 负载均衡 反向代理 CDN技术 内网安全 网络安全架构
0x9e 网安每日干货分享之《文件包含之读取敏感信息》-0212
建哥聊安全 2026-02-12T10:16:03 © 建哥聊安全
本文详细介绍了利用PHP文件包含漏洞读取敏感文件信息的实验过程。实验目的是让学习者掌握通过文件包含漏洞获取系统敏感信息的方法。实验环境设定在Windows 10操作系统的操作机上,靶机为Apache + PHP环境,实验地址为http://ip/include/include.php。文章首先阐述了文件包含漏洞的原理,即可以通过包含操作系统敏感文件来读取重要信息,并列举了Windows和Linux系统下常见的敏感文件路径,如Windows系统的boot.ini、inetsrv\MetaBase.xml、repair\sam等,以及Linux系统的/etc/passwd、/usr/local/app/apache2/conf/httpd.conf等。接着,文章详细描述了实验步骤:通过访问包含不存在的文件来获取服务器信息,包含Apache配置文件和日志文件获取Web服务器信息,包含Windows系统敏感文件获取操作系统信息。实验总结指出,利用文件包含漏洞获取敏感文件的关键在于尽可能多地收集敏感文件的路径。整个过程强调了网络安全学习者在进行实验时必须遵守法律法规,严禁将技术用于非法用途。
文件包含漏洞 Web安全 敏感信息泄露 Windows安全 Linux安全 漏洞利用 信息收集
0x9f 手搓漏洞:4种无工具绕过邮箱验证的实战技法
骨哥说事 2026-02-12T10:15:57 © 骨哥说事
本文详细介绍了四种无需工具即可绕过邮箱验证的实战技法。首先,通过禁用注册按钮来绕过OTP验证,通过修改注册按钮的属性来使账户在未验证OTP的情况下被成功创建。其次,通过招聘方注册流程绕过邮箱验证,利用招聘方注册页面创建账户后,未完成支付直接离开,再使用相同凭据登录,成功绕过邮箱验证。第三,通过编辑个人资料来绕过邮箱变更验证,通过移除只读属性直接修改邮箱地址,更新个人资料时无需OTP验证。最后,通过次要邮箱升级来绕过邮箱验证,将可控并能验证的邮箱地址作为次要邮箱并完成验证,使得最初注册的邮箱地址自动被标记为已验证。这些方法揭示了网络安全中的一些漏洞,提醒开发者加强系统安全性。
网络安全漏洞挖掘 无工具渗透测试 实战技巧分享 邮箱安全 Web应用安全 编程技巧
0xa0 ctfshow web入门 命令执行4
哦0吼 2026-02-12T10:10:35 zoe
这篇文章详细描述了几个Web安全学习者在CTF比赛中遇到的挑战和解决方案。在Web71中,学习者发现了一个使用eval函数的漏洞,通过截断eval执行后的输出缓冲区,阻止了后续代码的执行。在Web72中,由于open_basedir限制,无法直接读取文件,但利用glob伪协议成功读取了flag。Web74和Web76同样使用了glob伪协议来绕过限制,获取flag。Web75中,由于scandir被禁用,但include未被禁用,因此直接使用include读取了flag。在Web76中,同样的方法再次成功。Web77中,由于PHP 7.4提供了FFI功能,学习者通过调用C语言的system函数,将flag写入文件并读取,成功获取了flag。这些挑战展示了如何在不同的限制条件下利用各种技术手段来获取目标文件或信息。
Web安全 PHP安全 CTF 文件包含 目录遍历 权限绕过 UAF (Use After Free) 命令执行 安全限制绕过
0xa1 Windows后门应急(三)-- Windows服务 型 后门|Windows取证分析
0xSec笔记本 2026-02-12T09:21:09 © 0xSec笔记本
本文深入探讨了Windows服务型后门,这是一种常见的网络安全威胁。文章首先声明了免责声明,强调技术内容仅用于合法的安全研究、教学演示和防御机制开发。接着,文章详细介绍了服务后门的概念,它指的是攻击者将恶意程序注册为Windows服务,以实现系统重启后持续控制权限的目的。文章分析了服务后门的特征,如以Windows服务形式存在、具备高权限、隐蔽性强等。接着,文章从攻击者的视角阐述了服务后门的实现原理,包括后门程序的生成、服务的创建以及攻击行为特征的总结。此外,文章还从防守者的角度提供了发现Windows服务后门的方法,如使用TCPView和Autoruns工具进行排查。最后,文章给出了应急处置流程,包括删除恶意服务和文件,并建议留存样本记录相关信息。
网络安全 Windows系统安全 后门技术 应急响应 取证分析 权限维持 攻击与防御 工具使用
0xa2 冻结 EDR/AV--ColdWer
安全天书 2026-02-12T09:20:40 © Hello888
本文介绍了一个名为ColdWer的工具,该工具利用WerFaultSecure.exe的PPL绕过技术来冻结EDR(Endpoint Detection and Response)和AV(Anti-Virus)进程,从而在Windows系统中转储LSASS内存。ColdWer具有冻结和解冻进程的功能,并提供了GitHub地址供用户下载。文章还提到了一个专注于渗透测试、红蓝对抗、钓鱼手法等领域的圈子,该圈子分享技术文章、攻防经验总结、学习笔记以及自研工具与插件。圈子目前已有300人,并介绍了圈子内的更新内容,包括免杀工具、钓鱼技术、对抗EDR的技术文章等。最后,文章提醒读者不要利用文中提供的技术进行非法测试,并强调工具的安全性需要用户自行评估。
漏洞利用 内存转储 免杀技术 红蓝对抗 红队工具 安全研究 安全社区
0xa3 APP风控参数分析&Frida绕过
黑白之道 2026-02-12T09:18:25
本文详细分析了Android应用中Frida检测与反调试的技术与策略。首先介绍了Hook dlopen和clone函数的原因,因为App的Frida检测代码通常在so层实现,而这些检测代码会在对应的so加载时初始化。通过Hook dlopen可以监控so加载过程,而Hook clone可以获取每个线程的详细信息,从而定位并干掉反调试线程。文章还探讨了pthread_create函数的调用过程以及pthread_internal_t结构体的作用,并分析了fork、pthread_create和clone函数在Linux进程管理中的区别。此外,文章还介绍了如何通过Hook AccountManager.E().v0方法来分析SSO登录过程中的data参数,发现其中包含设备信息,并通过Hook RSA加密函数来解密这些信息。最后,文章提供了生成类似data参数的Python代码,展示了RSA分段加密的过程。这些内容对于网络安全学习者和逆向工程师理解Android应用的检测与反调试机制具有重要意义。
Frida检测绕过 反调试 Hook技术 Android安全 加密解密 逆向工程
0xa4 扫过万千漏洞与站点,唯独对你一往情深!综合漏洞利用工具-dddd德帝版
鹏组安全 2026-02-12T09:13:04 © lemonlove7
文章介绍了一款名为“dddd德帝版”的综合漏洞利用工具,该工具旨在优化红队工作流程,减少重复性操作。工具支持从多个平台如Hunter、Fofa批量拉取目标并自动识别输入类型,具有便捷的主动/被动指纹识别功能,并支持复杂的逻辑运算。ddd提供Nuclei v3支持的指纹漏洞映射数据库,并具备高效的子域名枚举/爆破和泛解析过滤功能。此外,工具还支持蜜罐检测、POC检测等功能,并修复了多个bug。文章详细描述了ddd的功能优化和新增特性,包括修复误报率、爬取JS路径、蜜罐检测、POC检测等,以及增加了Web界面和规则管理等功能。ddd工具的持续优化使其在实战中表现出色,成功检出多款扫描器未发现的漏洞。文章最后提供了获取ddd工具的途径和免责声明。
漏洞利用工具 红队工具 自动化渗透测试 信息收集工具 指纹识别 子域名枚举 Web安全 漏洞检测 红队辅助工具 社区开源工具
0xa5 了解SQL注入前提,保护数据库免受攻击
数字序言 2026-02-12T09:12:36 © 沐青序
本文主要介绍了SQL注入的基础知识,包括漏洞原理、危险函数、用户可控变量以及动态页面中的SQL注入风险。文章强调了SQL注入攻击的危害,如获取敏感信息、绕过登录验证、执行系统命令等。此外,还分类介绍了SQL注入的方式,包括数据提交方式、注入点类型和获取数据的方法。文章还提到了MySQL常用表和数据库操作命令行操作,以及如何使用SQL Front和Navicat等工具进行数据库操作。最后,文章提醒读者遵守法律法规,严禁将内容用于非法用途,并对内容准确性不作保证。
SQL注入 网络安全 数据库安全 漏洞分析 防护措施 Web安全
0xa6 复现Windows记事本最新漏洞-CVE-2026-20841
喜欢挖洞吗 2026-02-12T09:06:17 © 喜欢挖洞吗
本文详细介绍了Windows记事本应用程序中发现的CVE-2026-20841漏洞。该漏洞是由于命令输入中特殊字符处理不当导致的命令注入问题,使得未经授权的攻击者能够远程执行任意命令。文章强调了该漏洞对使用记事本进行文本编辑或脚本的组织构成的重大风险,包括系统被攻破、数据泄露和攻击面增加等潜在后果。文章还描述了受影响的Windows Notepad版本,并提供了漏洞的复现过程,包括复现环境、操作步骤和执行结果。同时,文章强调了合法使用和免责声明,提醒读者在使用相关技术和工具时必须遵守法律法规,并自行承担风险。
漏洞复现 命令注入 Windows安全 渗透测试 漏洞分析 安全研究
0xa7 微软表示,黑客正在利用关键0day漏洞攻击 Windows 和 Office 用户
军哥网络安全读报 2026-02-12T09:03:55 会杀毒的单反狗
微软近日发布安全更新,针对Windows和Office产品中的关键0day漏洞进行修复。这些漏洞被黑客利用,通过恶意链接或Office文件入侵用户计算机。其中,CVE-2026-21510漏洞存在于Windows Shell中,允许黑客绕过SmartScreen功能,而CVE-2026-21513漏洞则存在于微软浏览器引擎MSHTML中。微软强调,这些漏洞利用方法已被公开,增加了黑客攻击的风险。谷歌威胁情报小组在发现这些漏洞过程中提供了帮助。安全专家指出,这些漏洞可能导致远程恶意软件植入和系统入侵,对用户安全构成严重威胁。
漏洞攻击 0day漏洞 Windows安全 Office安全 恶意软件 SmartScreen功能 安全修复 安全研究人员 黑客攻击风险
0xa8 利用 Ivanti EPMM 系统零日漏洞的攻击激增
军哥网络安全读报 2026-02-12T09:03:55 会杀毒的单反狗
近期,针对Ivanti Endpoint Manager Mobile (EPMM)系统中的严重漏洞CVE-2026-1281的攻击尝试急剧增加。该漏洞是一个预身份验证代码注入漏洞,CVSS评分为9.8,允许攻击者在未认证的情况下执行远程代码。Shadowserver扫描显示,超过28,300个不同的IP地址尝试利用该漏洞,是今年观察到的最大规模协同攻击之一。攻击主要集中在美国,其次是英国和俄罗斯。攻击者部署了“休眠”webshell,旨在建立持久访问权限。Ivanti已发布临时补丁,并计划在2026年第一季度发布永久修复。美国CISA设定了三天的补救期限,强调了该漏洞的严重性。组织应立即应用补丁,并监控入侵指标。
漏洞利用 移动设备安全 企业安全 网络攻击 地理分布 安全响应 漏洞披露 安全补丁
0xa9 漏洞复现 | 深信服运维安全管理系统 getHis 远程代码执行漏洞
实战安全研究 2026-02-12T09:00:13
本文详细分析了深信服运维安全管理系统中的一个远程代码执行漏洞。该漏洞允许未经身份验证的攻击者在服务器端执行任意代码,可能写入后门,从而获取服务器权限并控制整个web服务器。文章提供了漏洞描述、影响版本、复现步骤以及如何检测该漏洞的POC。建议用户联系厂商打补丁或升级版本,增加Web应用防火墙防护,并关闭互联网暴露面或接口设置访问权限。此外,文章还提到了一个内部圈子,该圈子提供1day/Nday漏洞POC和复现,以及相关的福利和服务信息。需要注意的是,本文内容仅用于技术学习和安全研究,禁止用于非法活动。
远程代码执行漏洞 Web服务器安全 深信服产品安全 漏洞复现 安全补丁 Web应用防火墙 安全测试 漏洞利用 安全研究
0xaa 新型Linux僵尸网络SSHStalker使用传统的IRC进行C2通信
暗镜 2026-02-12T09:00:00 © ZM
SSHStalker是一款新型的Linux僵尸网络,它利用传统的IRC协议进行命令与控制(C2)通信。该僵尸网络不采用现代的C2框架,而是依赖经典的IRC机制,如多机器人和服务器/通道冗余。SSHStalker通过自动SSH扫描和暴力破解来获取初始访问权限,并使用伪装成nmap的工具进行传播。它能够在感染的主机上编译有效载荷,提高其可移植性和规避能力。该僵尸网络包含针对旧版Linux内核的CVE漏洞攻击代码,并具备AWS密钥窃取和加密货币挖矿工具。SSHStalker目前可能处于测试或囤积访问权限的阶段,且尚未被明确归因于某个特定的威胁组织。为了防范此类攻击,建议在生产服务器上部署监控解决方案,并实施一系列缓解措施。
Linux僵尸网络 IRC通信 命令与控制(C2) SSH暴力破解 CVE漏洞利用 加密货币挖矿 分布式拒绝服务(DDoS) 僵尸网络传播 持久化攻击
0xab 【工具推荐】fscanx内外兼修、轻车重炮的资产探测器
momo安全 2026-02-12T08:41:39 © 蟑螂恶霸
fscanx 是一款内外兼修、轻车重炮的资产探测器,旨在解决传统扫描工具在代理模式、大网段扫描、信息收集割裂、指纹识别等方面的痛点。它通过智能预扫描技术快速筛选活段,减少无效扫描;优化内存和并发处理,提升性能;重构指纹体系,支持协议指纹和Web指纹;增强-hf参数,实现信息收集的碎片化整合;支持IP归属地显示;改进代理模式下端口误报问题。fscanx适用于公网信息收集、内网资产测绘、代理/隧道下的远程扫描,旨在提供更高效、准确的资产探测体验。
资产探测 网络扫描 代理使用 内网安全 性能优化 信息收集 Web 指纹 安全工具
0xac 【CobaltStrike】NeoCS 4.9 终极版(自破解+二开+BUG修复)
星夜AI安全 2026-02-12T08:32:24 © 星夜AI安全
本文详细介绍了NeoCS 4.9终极版的破解、二开与BUG修复过程,以及其核心优化功能和使用方法。该版本基于原版Cobalt Strike 4.9进行修改,移除了所有暗桩,并修复了多项已知BUG,提升了使用便捷性和稳定性。主要优化包括界面染色优化、实用功能增强(如IP归属地显示、多文件上传、时间戳修改等)、文件浏览器优化(支持多文件上传、CrossC2适配等)、默认设置优化(如监听器默认配置、服务端一键启动等)。此外,还介绍了免杀效果的优化和使用建议,以及获取方式。NeoCS 4.9终极版适用于安全测试与技术研究场景,为用户提供了更强大、更便捷、更稳定的网络安全工具。
CobaltStrike 漏洞利用 免杀 二进制分析 渗透测试工具 安全研究 恶意软件分析 网络攻防
0xad 渗透测试之痕迹清理
kali笔记 2026-02-12T08:02:39 © 大表哥吆
本文深入探讨了渗透测试过程中的痕迹清理环节,这是避免被追踪和隐藏攻击的关键步骤。文章首先介绍了Windows系统中三类主要的日志:系统日志、应用程序日志和安全日志,并提供了通过事件查看器清理这些日志的方法。接着,文章转向Linux系统,说明了Linux日志文件的位置和常见日志文件,如user.log、auth.log和btmp等,并给出了一段用于清理这些日志的bash脚本。此外,文章还提到了Web日志的清理,以Apache2为例,说明了Web日志的默认位置和重要性。整体上,本文为网络安全学习者提供了关于痕迹清理的实用指南和操作方法,对于渗透测试实践具有重要意义。
渗透测试 痕迹清理 系统日志 安全日志 事件查看器 Linux系统 脚本 Web日志 网络安全
0xae 使用 AI 代理分析 REMnux 上的恶意软件
暗镜 2026-02-12T08:01:23 © Lenny Zeltser
本文探讨了使用人工智能代理在REMnux平台上分析恶意软件的方法。文章指出,为了有效分析恶意软件,需要结合专业知识和分析工具。REMnux MCP服务器将人工智能与200多种工具连接,提供分析指导和工具输出解读。人工智能代理可以规划调查方案,解读工具输出,并在必要时编写自定义代码。文章强调了从业人员知识和工具访问权限的重要性,并介绍了REMnux MCP服务器如何连接AI代理和工具,提供专业知识和工作流程指导。此外,文章还讨论了REMnux作为分析环境的安全性,以及如何使用外部AI服务进行恶意软件分析。最后,文章总结了AI代理在恶意软件分析中的作用,以及REMnux平台上如何集成AI工具。
网络安全分析 恶意软件分析 人工智能在网络安全中的应用 REMnux 自动化分析工具 逆向工程 AI代理 安全工具 安全实践
0xaf 漏洞预警 | 天地伟业Easy7综合管理平台文件读取漏洞
浅安安全 2026-02-12T08:00:22 浅安
天地伟业Easy7综合管理平台存在一个高危的任意文件读取漏洞,该漏洞影响了平台的数据安全。漏洞存在于/Easy7/rest/gis/exportGisObj和/Easy7/rest/gisCore/exportGisObj接口,攻击者可以通过构造恶意路径参数来读取服务器上的任意文件,可能导致敏感信息泄露。目前,官方已经发布了漏洞修复版本,建议用户尽快升级到安全版本以防止潜在的安全威胁。该漏洞的编号尚未公布,影响版本为天地伟业Easy7综合管理平台,并且相关漏洞利用的POC(Proof of Concept)已经公开。
文件读取漏洞 敏感信息泄露 分布式架构 用户权限控制 安全漏洞预警 网络安全 平台漏洞 版本升级
0xb0 漏洞预警 | 深信服运维安全管理系统远程代码执行漏洞
浅安安全 2026-02-12T08:00:22 浅安
本文报道了一起深信服运维安全管理系统的高危漏洞。该系统是一款集账号管理、身份认证、单点登录、资源授权、访问控制和操作审计为一体的运维安全审计产品。研究人员发现,系统中的/fort/system;help/netConfig/add_DNS接口存在远程代码执行漏洞,未经身份验证的攻击者可以利用此漏洞执行任意系统命令,从而获取服务器控制权限。漏洞影响版本为深信服运维安全管理系统(OSM)低于3.0.12的版本。目前,官方已发布修复版本,建议用户尽快升级以保障系统安全。
漏洞预警 远程代码执行 安全管理系统 身份验证漏洞 高危漏洞 版本影响 修复建议 产品安全
0xb1 漏洞预警 | 用友时空KSOA SQL注入漏洞
浅安安全 2026-02-12T08:00:22 浅安
本文报道了用友时空KSOA产品中存在的高危SQL注入漏洞,漏洞编号分别为CVE-2025-15420、CVE-2025-15434、CVE-2026-1177和CVE-2026-1178。这些漏洞允许未经身份认证的攻击者通过特定的接口获取数据库敏感信息。受影响的版本为用友时空KSOA 9.0。官方已发布修复版本,建议用户升级以消除安全风险。文章提供了漏洞的详细描述、影响版本和修复建议,并附有官方联系方式和解决方案获取途径。
SQL注入漏洞 高危漏洞 信息泄露风险 用友时空KSOA 漏洞修复
0xb2 通过DSI对Agentic进行提示词注入
Security for AI 2026-02-12T08:00:18 © 我未曾去过的远方
本文详细介绍了数据结构注入(DSI)在Agentic系统中的应用和攻击原理。DSI与传统的提示词注入不同,它通过操纵输入数据的结构来诱导模型生成恶意的结构化提示词,从而劫持工具调用或工作流。文章首先解释了DSI攻击的原理,包括如何通过注入特殊符号来控制模型补全的内容,以及如何通过控制上下文和模型补全流程来实现攻击。接着,文章通过具体的Agentic场景和攻击示例,展示了攻击者如何通过构造特定的JSON或XML结构来修改用户数据、劫持工作流或工具调用。最后,文章讨论了DSI攻击相对于纯语义攻击的优势,并提出了针对DSI的防御策略,如原子化工具调用、输入清洗与转义等,以增强系统的安全性。
网络攻击 数据结构注入 机器学习安全 JSON注入 XML注入 提示词注入 安全防御
0xb3 你的手机正在背叛你:安卓间谍软件发现、清除与日常防御完整指南
网空闲话plus 2026-02-12T06:51:26 网空闲话
本文详细介绍了安卓手机中间谍软件的发现、清除以及日常防御的完整指南。文章首先揭示了间谍软件的隐蔽性和危害性,强调其可能通过伪装应用潜入用户手机,窃取个人信息。接着,文章从行为异常和系统设置篡改两个方面指导用户如何发现间谍软件,并提供了一系列排查的线索。随后,文章介绍了清除间谍软件的步骤,包括使用防病毒软件扫描、手动删除可疑应用、重启至安全模式、更新操作系统等。最后,文章强调了日常强化安卓手机安全的重要性,包括设置强密码、保持系统更新、拒绝侧载应用、启用应用安全扫描、精细化权限管理、警惕钓鱼链接、开启多因素认证等。文章提醒用户,间谍软件的防范需要用户日常的注意和习惯,以及及时更新和清理设备。
移动安全 恶意软件 安卓安全 隐私保护 安全指南 用户教育 安全最佳实践 数据泄露预防
0xb4 超好用的管理windows网络的powershell命令
运维星火燎原 2026-02-12T00:01:43 © 刘军军
本文详细介绍了如何使用PowerShell进行Windows网络管理。文章首先介绍了PowerShell内置的核心网络管理模块,如NetAdapter、NetTCPIP、DnsClient、NetSecurity等,并提供了查看已加载模块的方法。接着,文章通过多个场景展示了PowerShell命令的用法,包括查看网络适配器状态、配置IP地址(静态/动态)、管理路由、DNS客户端配置、网络连接测试、防火墙管理以及TCP/UDP连接监控。此外,还介绍了远程批量管理、高级技巧如导出/导入网络配置、检测IP冲突、监控带宽使用等。文章最后提供了最佳实践建议和示例代码,旨在帮助读者更好地掌握PowerShell在Windows网络管理中的应用。
网络安全管理 脚本自动化 Windows系统安全 网络监控 防火墙配置 IP地址管理 命令行工具
0xb5 波兰电网攻击曝光工控设备砖化致命威胁
黑鸟 2026-02-11T23:22:30 © 黑鸟
2025年12月29日,波兰电网遭遇了针对风电场、光伏电站和热电联产厂的协同网络攻击,尽管未造成即时影响,但攻击者利用CVE-2024-8036漏洞变砖关键设备,极具警示性。此次攻击中,攻击者主要通过默认凭证登录设备,删除关键文件或上传恶意固件实现变砖。攻击目标包括日立Relion 650智能电子设备、日立RTU560远程终端单元、Mikronika RTUs远程终端单元以及Moxa NPort 6000系列串口服务器。攻击者通过FTP、Web界面或SSH协议获取访问权限,并实施文件擦除、存储介质擦除或恶意固件植入等操作。值得注意的是,攻击者并未将Moxa NPort 6000系列串口服务器变砖,而是恢复出厂设置并修改登录密码和IP地址,以拖延设备恢复时间。文章强调,设备变砖后无法远程恢复,恢复过程复杂且耗时,需要物理更换设备,对工业运营造成严重影响。文章还详细解析了硬变砖与软变砖的区别,以及攻击者实现设备变砖的技术细节和实施流程,包括文件擦除、存储介质擦除和恶意固件植入等方法。
工业控制系统安全 破坏性网络攻击 设备变砖攻击 恶意软件 漏洞利用 远程终端单元 (RTU) 智能电子设备 (IED) 固件安全 协议安全 供应链攻击 应急响应与恢复
0xb6 Frida 恶意软件分析实战教程
SOC安全分析之旅 2026-02-11T22:45:55 埃里克之旅
本文详细介绍了如何使用Frida进行恶意软件分析,特别针对传统静态分析在应对加壳、混淆和动态加载等对抗手段时的局限性。Frida作为动态插桩工具,能够在恶意软件运行时实时拦截API调用、解密数据,并绕过反分析机制,成为恶意软件分析师的核心武器。文章涵盖了Windows和Android恶意软件的详细分析实战,包括使用frida-trace进行快速行为分析、Hook网络通信还原C2协议、Hook加密函数提取密钥和明文数据、监控文件与持久化行为等。此外,还介绍了如何绕过反调试、反虚拟机和反Frida检测等机制。最后,提供了一个综合分析脚本一键行为监控,并给出了一个完整的恶意软件分析工作流和常用API速查表,以及相关的学习资源。全文旨在为网络安全学习者提供一套系统且实用的Frida恶意软件分析方法。
0xb7 【已复现】最新版微信v4.1出现远程命令执行漏洞:one-click RCE on Linux WeChat
网安武器库 2026-02-11T22:04:31 © 网安武器库
本文详细分析了最新版微信v4.1在Linux系统上存在的一个远程命令执行(RCE)漏洞。该漏洞是由于微信对文件名没有进行严格校验,使得攻击者可以通过特定的文件名格式,在用户打开文件时执行任意命令。文章中提到了漏洞的触发条件、复现步骤以及漏洞的影响。尽管微信自身的一些机制限制了某些命令的执行,但该漏洞仍然存在被恶意利用的可能性。文章还提到了Windows版本可能存在的类似漏洞,并鼓励读者继续研究。
远程命令执行漏洞 微信安全漏洞 文件名处理漏洞 漏洞复现 操作系统漏洞 安全测试 漏洞利用
0xb8 EDU记一次简单的未授权
略懂安全的三秋 2026-02-11T20:50:03 © 略懂安全的三秋
本文记录了一次网络安全学习者在进行信息收集和漏洞挖掘过程中的一次经历。文章开始描述了由于弱口令登录失败,学习者通过信息收集后尝试通过忘记密码功能重置了账号密码。成功登录系统后,学习者利用VueCrack插件找到了后台界面,并发现了一些具有管理员权限的路由,可以控制系统的某些功能。尽管找到了四处漏洞,但学习者意识到自己的技能仍有待提高,并强调了继续学习的重要性。文章中还包含了一些截图,展示了登录界面、后台管理和VueCrack插件的分析结果。
漏洞挖掘 弱口令攻击 信息收集 密码重置 后台访问 权限滥用 脚本小子 Vue应用安全
0xb9 逆向工具箱
一个人挺好 wa 2026-02-11T20:17:08 一个人挺好
本文介绍了逆向工具箱,这是一个由吾爱破解的nx888888师傅开发的软件逆向集工具。工具箱中包含了多种逆向分析工具,如查壳/分析工具、调试工具、反编译/反汇编工具、脱壳/修复工具和辅助工具。具体包括DIE查壳、Exeinfo PE文件信息查看工具、OD调试器、OllyDbg、dnSpy.NET程序反编译调试工具、WinHex十六进制编辑器、VMP脱壳机、IAT重建工具等。此外,工具箱还提供了编码工具、PE文件编辑工具、二进制文件对比工具、压缩包破解器、网络验证通杀器等多种辅助工具。这些工具被广泛应用于软件破解、恶意软件分析、漏洞研究和程序逆向等领域。
网络安全工具 逆向工程 PE文件分析 漏洞研究 恶意软件分析 软件破解 系统安全
0xba 2026丹麦国情局FE - 恶猿行动 Writeup
APT250 2026-02-11T20:08:57 © M1n9K1n9
本文记录了一次网络安全渗透行动的详细过程,主要围绕MonkEZ/EDO公司可能参与官方武器生产及其非法活动的调查展开。行动始于对旧服务器备份的分析,目标是通过识别漏洞获得对公司的服务器和系统的访问权限,最终实现root访问权限。首先通过外部侦察发现三个SSH和一个HTTP服务,利用sqlmap获取初始访问凭据。接着通过目录扫描发现路径穿越漏洞,获得AES加密的SSH私钥,并利用Docker逃逸技巧进一步深入。在分析过程中,发现makeCert.sh和makeKey.py脚本存在RSA算法漏洞,通过mathematica脚本结合ca.pem文件获取服务器的RSA私钥,并生成合法的客户端证书和私钥用于访问Docker。随后通过内部侦察发现核心网络中的一台新主机,并利用pwgen的密码爆破和yescrypt爆破成功登录router SSH。最后对VPN网络进行侦察,发现两台主机分别提供wasm sandbox和交互程序服务,但由于时间限制未能深入研究。整个行动过程中,作者意识到自己在二进制方面的不足,并计划在春节后继续学习二进制知识。
渗透测试 漏洞分析 二进制分析 密码学 网络侦察 横向移动 信息收集 CTF竞赛 漏洞利用
0xbb 【高危漏洞预警】WeChat/Linux版本命令执行漏洞
飓风网络安全 2026-02-11T19:55:42 cexlife
本文预警了一个影响微信Linux版本的命令执行漏洞。该漏洞源于微信Linux版文件名校验不严格,攻击者可利用构造恶意文件名的文件诱导用户打开,从而执行恶意命令获取系统权限。目前尚未观察到明确的在野利用证据,但漏洞利用可能性高。影响的产品及版本为微信Linux版本 <= 4.1.0。官方尚未发布安全补丁,建议用户升级至最新版本,并严格审查外部文件传输,避免打开未知来源的文件。同时,启用文件类型白名单机制,限制非标准文件类型的执行权限,并部署EDR/XDR工具监控异常命令调用行为,加强用户安全意识培训。
命令执行漏洞 社交工程 文件名校验缺陷 Linux平台安全 移动应用安全 高危漏洞 安全补丁 用户安全意识
0xbc Claude 高级技巧与安全配置CLAUDE.md、MCP、命令、技能与钩子 (Skills & Hooks)
TIPFactory情报工厂 2026-02-11T19:33:37 © Ti
本文详细介绍了Claude Code,一个用于管理和执行项目安全规则的工具。全局CLAUDE.md文件用于定义项目级的安全规则和标准,包括身份认证、安全规则、新项目脚手架规则等。文章强调了禁止发布敏感数据、提交.env文件、硬编码凭据等安全措施。此外,还介绍了如何使用MCP服务器(模型上下文协议)来扩展Claude的功能,例如实时文档访问、浏览器自动化测试等。Context7服务器特别用于解决模型训练数据截止日期问题,让Claude能够访问最新文档。文章还讨论了自定义命令、子代理、单一用途的对话聊天以及Skills和Hooks的使用,以实现更高效和安全的开发流程。通过结合这些机制,Claude Code能够帮助开发者建立行为守门员,确保项目符合安全标准,并提高开发效率。
网络安全策略 身份认证管理 敏感数据防护 访问控制 代码安全 开发安全 安全自动化 安全工具集成 安全意识
0xbd 【安全圈】CVE-2026-1868:GitLab AI Gateway 严重漏洞(CVSS 9.9),可致远程代码执行
安全圈 2026-02-11T19:01:24
本文报道了GitLab发布的紧急安全公告,披露其Duo Self-Hosted AI Gateway存在一个严重漏洞CVE-2026-1868,CVSS评分高达9.9,可能导致拒绝服务甚至远程代码执行。该漏洞由不安全的模板扩展问题引起,攻击者可通过精心构造的流程定义触发异常行为。漏洞影响范围广泛,包括GitLab AI Gateway的多个版本。GitLab已建议所有自托管Duo AI Gateway用户立即升级至修复版本。文章还强调了AI组件作为新攻击面的趋势,以及内部用户可能构成的威胁。此外,还提供了一些建议行动,包括确认版本、升级和审计流程定义修改记录等。
GitLab 漏洞 CVE-2026-1868 远程代码执行 AI Gateway 漏洞 安全漏洞 CVSS评分 安全修复 内部威胁 供应链攻击 AI安全 DevOps安全
0xbe 关于Notepad++更新服务遭攻击组织定向投毒事件的安全通告
亚信安全 2026-02-11T18:10:57 你信任的
近日,Notepad++官方发布声明,指出其软件更新服务在2025年6月至12月期间遭到国家级APT组织的入侵。攻击者通过控制前托管服务商的共享服务器,拦截用户更新流量,并将部分用户重定向至恶意服务器,以分发伪装成官方更新的恶意程序。此次攻击属于供应链攻击,并非Notepad++代码漏洞所致。受影响的用户应升级至v8.8.9或更高版本,并关注官方安全通告。攻击者主要针对东亚政企机构,动机为窃取敏感数据和情报。事件时间线显示,攻击者于2025年6月入侵,12月彻底被终止访问。Notepad++已发布新版本,强化安全措施。亚信安全提出了一系列解决方案,包括软件供应链安全加固、网络流量净化、多重检测与阻断以及持续威胁狩猎,以应对此类攻击。
软件供应链攻击 定向攻击 APT组织 恶意软件投毒 更新安全 代码签名验证 安全响应 网络安全通告
0xbf SandboxJS四大高危漏洞可完全突破沙箱控制宿主系统
FreeBuf 2026-02-11T18:06:13
近期,专为隔离和保护 JavaScript 执行而设计的 SandboxJS 库曝出四个高危漏洞,包括 CVE-2026-25520、CVE-2026-25586、CVE-2026-25587 和 CVE-2026-25641,均获得 CVSS 10.0 的最高风险评分。这些漏洞允许攻击者完全突破沙箱限制,在宿主系统上执行任意代码。漏洞涉及函数返回值处理缺陷、Map 对象安全机制失效、宿主原型污染以及检查时与使用时差等多个层面。受影响的版本为 SandboxJS 0.8.28 及更早版本,维护者已在 0.8.29 版本发布补丁。对于依赖 SandboxJS 安全运行非受信代码的开发者而言,这是一个严重的警示,需要立即升级到安全版本并加强安全措施。
沙箱技术 漏洞披露 JavaScript安全 代码审计 安全漏洞 安全修复 CVSS评分 安全威胁
0xc0 AI生成恶意软件利用React2Shell漏洞攻击Docker,低门槛威胁激增
FreeBuf 2026-02-11T18:06:13
本文报道了一起由AI生成的恶意软件利用React2Shell漏洞攻击Docker的事件。Darktrace公司的全球蜜罐网络“CloudyPots”检测到攻击者利用大语言模型(LLMs)生成功能性代码,降低了实施网络攻击的技术门槛。攻击者针对Darktrace的Docker蜜罐发起攻击,通过Docker API发现守护进程并启动攻击链。恶意软件名为“python-metrics-collector”,伪装成合法的遥测服务,通过下载依赖项并执行Python脚本,最终部署XMRig挖矿程序进行门罗币挖矿。分析显示,该脚本含有76%的AI生成特征,结构清晰且带详细注释。尽管经济收益微不足道,但该事件展示了低技能攻击者利用AI工具成功入侵大量系统的能力,对网络安全构成了严重威胁。
AI恶意软件 漏洞利用 Docker安全 加密货币挖矿 蜜罐技术 行为检测 低技能攻击者
0xc1 初探Android Linker 动态库SO的加载流程
看雪学苑 2026-02-11T17:59:58 Ayuer
本文深入分析了Android系统动态链接器加载共享库(.so)的详细过程,分为七个步骤。首先,通过调用find_libraries函数,根据传递的参数创建加载任务,并准备soinfo数组。接着,通过find_library_internal函数查找并展开所有依赖库,包括递归查找跨命名空间的依赖。然后,随机化加载顺序,通过open_library_on_paths方法在指定路径中查找并打开so文件,并将其映射到内存中。接下来,通过ElfReader类读取ELF文件头、程序头表、节头表和dynamic节头表,并保存到内存地址中。随后,通过prelink_image方法解析.dynamic段,设置动态段的地址和标志,并建立符号查找所需的元数据。最后,构建全局符号组,处理跨命名空间的依赖,并执行真正的符号解析与重定位,使so可运行。整个过程涉及到ELF文件格式、内存映射、符号解析、重定位等多个关键知识点,对于理解Android动态链接器的工作原理和进行so加固研究具有重要意义。
ELF文件格式 动态链接 Android系统 汇编语言 逆向工程 安全机制
0xc2 紧急修复!Windows 记事本漏洞可致远程代码执行
看雪学苑 2026-02-11T17:59:58 看雪学苑
微软近期修复了Windows系统中记事本应用的一个高危漏洞,编号CVE-2026-20841,该漏洞可能导致攻击者通过诱使用户打开特制的Markdown文件,在受害者计算机上远程执行恶意代码。漏洞评级为“重要”,CVSS v3.1评分8.8分。该漏洞影响通过Microsoft Store获取的现代版Windows记事本应用。攻击者可以通过构造含有恶意链接的Markdown文件,在用户打开文件并点击链接时利用漏洞执行远程文件。微软已通过Microsoft Store发布安全更新,用户需手动更新或确保自动更新功能已开启。此外,用户应谨慎处理未知来源的Markdown文件,并保持操作系统和杀毒软件更新,以增强安全性。
漏洞修复 远程代码执行 命令注入 Windows安全 Markdown文件 软件更新 安全意识 操作系统安全
0xc3 【风险通告】微软2月安全更新补丁和多个高危漏洞风险提示
安恒信息CERT 2026-02-11T17:46:15 安恒研究院
本文报道了微软发布的2月安全更新公告,其中涉及多个产品的重要安全更新补丁。公告中提到了6个在野0day漏洞,包括Windows Shell、MSHTML Framework、Microsoft Word等产品的安全功能绕过漏洞,以及Desktop Window Manager、Windows Remote Access Connection Manager等产品的特权提升和拒绝服务漏洞。此外,还披露了Mailslot File System、Microsoft Outlook等产品的特权提升和身份伪造漏洞,以及Azure SDK for Python和Azure Front Door的远程代码执行和特权提升漏洞。微软已发布补丁修复这些漏洞,用户应尽快更新系统以避免潜在的安全风险。
操作系统漏洞 软件漏洞 高危漏洞 安全更新 漏洞披露 0day漏洞 安全风险提示
0xc4 【EDR对抗】反沙箱对抗思路及代码实现
0xSecurity 2026-02-11T17:28:21 © hyyrent
本文详细介绍了如何检测反虚拟机调试和反沙箱的技术。首先,通过检查虚拟机常见的文件路径(如VMware)和使用PathIsDirectory API判断目录是否存在来识别虚拟机环境。其次,通过查询注册表中的特定项(如虚拟机相关的键和值)来进一步确认是否在虚拟机中运行。接着,文章讨论了检测沙箱的方法,包括检查桌面文件数量、判断父进程是否为explorer.exe、测量执行时间以检测API是否被hook、验证进程名是否被修改等。此外,还提到了校验时区、进程名称、微信是否存在以及用户和计算机名等附加检测手段。这些方法可以帮助开发者识别沙箱环境,从而避免在非预期环境中运行敏感程序。
反虚拟机调试 反沙箱检测 环境检测 文件系统检测 注册表检测 系统信息检测 进程分析 行为分析
0xc5 利用 Cobalt Strike External C2 实现 ICMP 隧道通信
securitainment 2026-02-11T16:40:00 Ryan Kleffman
本文探讨了利用Cobalt Strike的External C2功能实现ICMP隧道通信的技术。作者Ryan Kleffman通过研究Fortra提供的示例,尝试构建自己的C2通信层,并选择在ICMP协议上构建通道,因为ICMP Echo Request和Echo Reply消息在网络中较为常见,且不受防火墙限制。文章详细介绍了客户端和控制器之间的通信流程,包括数据包的分块和重组、ICMP数据包的构建和解析等。此外,作者还讨论了分块技术的挑战,以及如何通过ICMP实现灵活的数据传输。文章最后提到了未来的工作方向,包括增强客户端的隐蔽性和开发支持更多协议的Cobalt Strike扩展。
Cobalt Strike 外部C2通信 ICMP隧道 网络安全 渗透测试 恶意软件 协议分析 漏洞利用
0xc6 DLL劫持
卡卡罗特取西经 2026-02-11T16:14:10 © ybdt
DLL劫持是一种利用Windows系统动态链接库(DLL)加载机制进行攻击的技术。文章首先介绍了DLL劫持的背景和原理,指出在Windows系统中,应用程序会根据特定的搜索顺序加载DLL。通过修改这个搜索顺序,攻击者可以将恶意DLL放置在优先加载的位置,从而实现劫持。文章详细解释了DLL加载的搜索顺序,包括安全机制SafeDllSearchMode和KnownDLLs的作用。接着,文章介绍了DLL劫持的实现方式,包括直接在DLL中实现恶意代码和通过函数转发劫持DLL。最后,文章提到了防御DLL劫持的策略,包括校验DLL的数字签名和检测DLL的导出函数、API行为和内存特征。文章还提供了相关链接,供读者进一步学习。
DLL Hijacking Windows Security APT Attack Malware Analysis Security Defense
0xc7 信息安全漏洞周报(2026年第6期)
CNNVD安全动态 2026-02-11T14:14:35 © CNNVD
本报告为国家信息安全漏洞库(CNNVD)2026年第6期周报摘要。报告期内,CNNVD共采集到安全漏洞1187个,接报漏洞4803个,其中信息技术产品漏洞365个,网络信息系统漏洞28个。本周新增漏洞数量有所上升,WordPress基金会新增漏洞最多,跨站脚本类漏洞占比最大。超危漏洞36个,高危漏洞199个,中危漏洞931个,低危漏洞21个。修复率方面,超危和高危漏洞修复率较低,分别为44.44%和29.65%,而中危和低危漏洞修复率较高,分别为73.90%和42.86%。报告还列举了本周的重要漏洞实例,包括Keylime、Wing FTP Server和WordPress plugin LatePoint等。此外,还关注了人工智能领域的安全漏洞,如Lunary、Claude Code和MLflow等。
安全漏洞周报 漏洞统计 漏洞类型 漏洞等级 漏洞修复 厂商漏洞 人工智能漏洞 网络安全
0xc8 红蓝攻防之银狐远控源码研究技术系列汇总
CppGuide 2026-02-11T14:10:55 安全研究员
本文是对银狐远控软件的深入研究和分析,涵盖了从问题排查与修复到代码优化和功能增强的多个方面。文章详细介绍了如何使用Visual Studio集成Google Address Sanitizer来排查内存问题,修复代码中的屏幕bug,以及优化远程屏幕的内存使用。此外,还记录了银狐远程软件中UDP断线无法重连的bug排查和修复过程,以及代理映射功能的优化思路。文章还分享了去除银狐远控后门的方法,提供了一键编译调试与开发教程,并对银狐ShellCode混淆技巧进行了详细分析。最后,作者从银狐源码学习过程中得到的感悟和客户端软件结构设计思考也进行了分享。
远控软件分析 内存安全问题 漏洞修复 代码审计 安全开发 免杀技术 C++编程 网络安全工具 客户端软件安全
0xc9 【工具】自动化提取webpack打包前端接口
泷羽Sec-track 2026-02-11T13:57:02 © track
本文介绍了一款名为Packer Fuzzer的工具,该工具用于自动化提取Webpack打包的前端接口。文章首先强调了工具的使用应仅限于学习和交流,不得用于非法用途。Packer Fuzzer能够自动模糊提取目标站点的API及其参数,支持检测未授权访问、敏感信息泄露、CORS、SQL注入、水平越权、弱口令、任意文件上传等七大漏洞。文章详细介绍了工具的安装环境和步骤,包括Python3、NodeJS等依赖环境的安装。此外,还提供了工具的使用示例,包括参数介绍、使用技巧和知识星球加入信息,旨在帮助用户更好地使用该工具进行网络安全测试和评估。
网络安全工具 Web前端安全 漏洞检测 自动化测试 Python开发 NodeJS环境 代码审计
0xca upload_forge--专业文件上传漏洞扫描器
星夜AI安全 2026-02-11T13:47:20 星夜AI安全
本文介绍了一款名为Upload Forge的专业文件上传漏洞扫描器。该工具是专为渗透测试人员和安全研究人员设计的,用于检测和利用Web应用程序中的文件上传漏洞。Upload Forge具有异步扫描功能,采用高性能的扫描引擎,并支持多种绕过技术,如扩展名绕过、幻数伪造和空字节注入。此外,它还提供多语言支持,能够创建包含可执行代码的有效图像文件。工具界面现代且功能丰富,包括图形界面和命令行界面,并支持生成HTML和JSON格式的报告。文章还提到了该工具的漏洞验证功能,以及如何获取项目下载地址和加入交流群。此外,文章还简要介绍了作者的专业背景和所产出的安全工具及成果。
漏洞扫描 Web安全 渗透测试 自动化工具 安全工具 PHP安全 安全意识
0xcb 最新二开 fscan 发布:免杀突破火绒 360,流量伪装再升级
星夜AI安全 2026-02-11T13:47:20 © 星夜AI安全
本文详细介绍了某网络安全工具的优化和新增功能,旨在提升安全扫描的效率和隐蔽性。工具优化了端口扫描和服务识别的流量特征,通过随机sleep和探测包内容扰动,避免流量过于规律,增加检测难度。Web扫描方面,通过随机化Referer、Cookie、X-Forwarded-For等头部信息,以及请求速率扰动,模拟真实用户行为,降低被风控识别的概率。爆破与弱口令检测方面,打乱用户名/密码顺序,增加爆破速率扰动,模拟真实用户操作,降低被风控识别的概率。日志与结果输出方面,支持全局静默模式、进度条显示、慢速日志输出和彩色输出控制,方便用户根据需求进行调整。新增功能包括CEL表达式评估引擎,支持自定义POC脚本路径和名称,并提供丰富的内置函数列表,如字符串处理、编码解码、随机数生成等。Web扫描增强功能支持超时控制、代理支持和Cookie管理。扫描模式与插件管理方面,支持全扫描、自定义模式和本地模式,并详细分类服务插件、Web插件和本地插件。输出与显示控制方面,支持文本、JSON和CSV格式输出,并提供静默模式、无颜色输出、日志级别控制和进度显示等选项。增强CSV输出功能,新增22个详细列,提供更全面和美观的扫描结果展示,并自动分类设备类型和评估漏洞风险等级。
漏洞扫描 渗透测试 安全工具 Web安全 内网渗透 安全防御 安全意识 自动化安全 输出格式化
0xcc 【CobaltStrike】NeoCS 4.9 终极版(自破解+二开+BUG修复)
星夜AI安全 2026-02-11T13:47:20 © 星夜AI安全
本文详细介绍了NeoCS 4.9终极版,这是一个基于Cobalt Strike 4.9进行破解、二开和BUG修复的版本。该版本移除了原版的所有暗桩,并进行了大量优化,提升了使用便捷性和稳定性,适用于安全测试与技术研究场景。主要优化包括界面染色优化、实用功能增强(如IP归属地显示、多文件上传等)、文件浏览器优化(如时间戳修改、CrossC2适配等)、默认设置优化(如监听器默认配置、服务端一键启动等)以及多项BUG修复。此外,文章还介绍了该版本的使用方式、免杀效果及其使用建议。最后,提供了获取该版本的途径,并简要介绍了开发者的背景和相关成果。
CobaltStrike 漏洞利用 二进制分析 恶意软件分析 免杀 C2通道 安全测试 工控安全
0xcd 工控安全入门Modbus协议渗透测试与流量分析实战
Gh0xE9 2026-02-11T13:43:37
本文详细介绍了Modbus协议在网络安全学习中的应用,特别是其在可编程逻辑控制器(PLC)通信中的作用。Modbus协议采用主从协议,由主机(客户机)向从机(服务器)发送请求,从机响应。协议数据单元(PDU)包括地址段、功能代码段、数据段和校验段。Modbus支持ASCII和RTU两种传输模式,同一网络中必须统一模式。文章还介绍了Modbus寄存器的类型,包括离散量输入、线圈、输入寄存器和保持寄存器,并解释了Modbus地址、功能码和数据域的含义。最后,文章探讨了如何对Modbus进行渗透测试,包括设备扫描、UID暴力破解、功能枚举、模糊测试和拒绝服务攻击等,并给出了一个实战例题,展示了如何通过分析网络流量获取flag。
Modbus PLC 网络协议 网络安全 渗透测试 网络嗅探 拒绝服务攻击 网络取证 CTF
0xce xss_scanner_mix:一款自动化深度XSS漏洞扫描工具
网安武器库 2026-02-11T13:31:03 © 网安武器库
本文介绍了一款名为xss_scanner_mix的自动化深度XSS漏洞扫描工具。该工具不仅是一款简单的漏洞扫描工具,而是一个完整的Web应用安全评估系统,能够模拟真实黑客攻击手法,深入挖掘传统工具难以发现的XSS漏洞。它支持多种扫描模式、不同级别的有效载荷和详细的漏洞报告,具备深度挖掘、智能绕过WAF防护机制、持续监控等功能。工具能够检测XSS、CSRF、SQL注入等多种Web安全漏洞,并提供网站爬虫、表单和参数自动检测、DOM分析等功能。文章还提供了工具的安装方法、基本用法和功能介绍,并通过具体案例说明了工具的检测能力。
XSS漏洞扫描 网络安全工具 Web应用安全 自动化测试 跨站脚本攻击 漏洞检测 安全评估
0xcf 红队利器|FnOS系统综合漏洞利用框架
0xSecDebug 2026-02-11T13:03:46 © 0xSecDebug
本文介绍了一款名为FnOS系统综合漏洞利用框架的工具,该工具提供了Web UI和Desktop GUI两种交互模式,集成了资产管理、漏洞扫描、文件浏览、远程命令执行(RCE)及凭据窃取等核心功能。FnOS系统综合漏洞利用框架包含Web UI(v2.1.1)和GUI版本,可根据实际场景选择。Web UI版本具有现代化界面和良好的可视化效果,支持多目标管理;GUI版本则提供桌面操作环境。该工具支持资产管理和自动化扫描,具备LFI漏洞扫描引擎和深度文件浏览器。远程命令执行功能提供终端加密通道利用和签名执行模式,支持绕过防御和权限提升。文章还提到了该工具的安全风险背景和项目地址,并提供了网络安全知识分享和威胁情报推送群的信息。
漏洞利用框架 红队工具 Web UI 桌面GUI 资产管理 漏洞扫描 远程命令执行 文件操作 渗透测试 Python开发
0xd0 FlowViz:将安全报告一键转化为 MITRE ATT&CK 攻击流程图的 AI 神器
极客零零七 2026-02-11T12:58:31
FlowViz是一个由David L. Johnson开发的AI驱动的可视化工具,旨在自动化网络安全报告的分析过程。该工具利用大型语言模型(LLM)自动分析文本内容,并一键生成交互式的攻击流程图,基于MITRE ATT&CK框架。FlowViz的核心功能包括自动化的AI分析、将攻击行为映射到MITRE ATT&CK技术、实时交互式可视化展示以及“故事模式”回放。用户可以将安全文章或报告输入FlowViz,工具将自动分析并生成攻击流程图,支持多种导出格式,方便团队协作和进一步分析。FlowViz适用于威胁情报分析、事件响应复盘、安全培训与教育以及红蓝对抗演练等多种场景,能够显著提高安全分析师的工作效率。
网络安全工具 自动化分析 MITRE ATT&CK框架 可视化 威胁情报 事件响应 安全培训 红蓝对抗 开源项目
0xd1 ctfshow web入门命令执行3
哦0吼 2026-02-11T12:05:32 zoe
文章详细分析了多个Web安全学习案例,涉及命令执行漏洞的利用与绕过。Web53中,由于常规命令执行方法被过滤,利用未禁用的'mv'命令重命名并访问flag文件。Web54中,字母被过滤,但PHP临时文件包含大写字母,利用'[@-[]'通配符匹配大写字母,通过'tac f*'命令获取flag。Web57中,数字和字母被过滤,采用二进制取反的方法构造命令。Web58至Web60利用未被禁用的函数如'file_get_contents'、'include'等获取flag。Web61至Web65继续利用各种函数如'highlight_file'、'show_source'等。Web66至Web67利用'var_dump'或'print_r'函数查看目录内容,找到并读取flag。Web68至Web70直接使用'include'函数读取flag文件。这些案例展示了在功能受限的环境下,如何通过分析环境特点、利用未禁用功能或特殊构造命令来绕过限制,实现命令执行和flag获取。
命令执行 (Command Execution) Web 安全 (Web Security) CTF (Capture The Flag) 过滤绕过 (Filter Bypass) PHP (Hypertext Preprocessor) 参数注入 (Parameter Injection)
0xd2 Windows安全攻防-代码洞利用技术详解
剑外思归客 2026-02-11T11:58:36 R0x7e
本文详细介绍了PE文件中的代码洞概念、成因、定位及利用方法,旨在帮助网络安全学习者和从业者理解PE文件结构与防御技术。代码洞是指PE文件中由零(0x00)或INT3断点(0xcc)、NOP(0x90)组成的空白区域,通常由编译器对齐要求或开发者故意预留造成。利用代码洞可以通过修改PE头入口点或插入JMP指令的方式,将自定义的shellcode注入并执行。文章详细阐述了如何使用工具定位代码洞,计算指令偏移量和代码洞地址,并编写汇编语言编写的payload实现shellcode执行。此外,还讨论了代码洞利用的缺陷,如空隙大小不足时需要新增节区,可能破坏程序签名等,并提及了SigFlip等规避签名的技术。本文强调技术应合法使用,以攻促防,提升对二进制篡改类威胁的识别能力。
PE文件分析 代码洞利用 Shellcode注入 防御技术 逆向工程 安全攻防 汇编语言 PE文件修改
0xd3 Socelars恶意软件以Windows系统为目标,窃取敏感数据
安全圈的那点事儿 2026-02-11T11:14:00 © 网络安全9527
Socelars恶意软件是一款针对Windows用户的信息窃取木马,它主要收集基于浏览器的访问权限和会话数据。该恶意软件与Facebook广告管理工具中的盗窃行为有关,能够通过盗取会话cookie来接管广告账户,导致经济损失。Socelars通过伪造的PDF阅读器诱饵进行传播,一旦执行,便在后台进行数据窃取。该软件能够从Chrome和Firefox等浏览器中提取cookie数据,并利用这些信息访问在线服务。Socelars还具有系统检查和侦察的能力,尝试通过COM自动提升权限。对于企业而言,Socelars攻击的风险在于被盗的广告会话可能被滥用,而获取的数据包括广告电子邮件地址、会话cookie、访问令牌等,攻击者可以迅速利用这些信息获利。防御措施包括阻止可疑的PDF阅读器下载源、避免使用不受信任的安装程序以及加强浏览器和终端控制。
恶意软件 信息窃取 Windows系统攻击 社会工程学 会话劫持 广告账户攻击 数据泄露风险 网络安全防御
0xd4 【0day】天地伟业Easy7 uploadCheckImg 文件上传漏洞
0day收割机 2026-02-11T10:39:46
本文揭示了天地伟业Easy7视频监控管理软件系统中的一个严重漏洞。该漏洞存在于/Easy7/rest/file/uploadCheckImg接口,允许攻击者在未经身份验证的情况下上传任意文件,包括webshell文件,并可在服务器任意路径下执行。由于漏洞利用难度低,攻击者可以轻松控制服务器。影响版本包括特定fofa语法下的版本。文章提供了漏洞的复现步骤和示例数据包,并提醒读者该信息仅供安全研究和学习使用,任何因传播或利用该信息而产生的后果由使用者自行承担。
文件上传漏洞 远程代码执行 跨站脚本(XSS) 服务器端请求伪造(SSRF) 视频监控软件漏洞 0day漏洞
0xd5 5个SQL注入案例里的信号建模与利用链闭环总结
Zacarx随笔 2026-02-11T10:35:31 © Zacarx
本文深入分析了五个SQL注入案例,探讨了信号建模与利用链闭环的关键点。文章指出,传统的SQL注入测试方法往往过于简单,而真正的安全研究员需要具备从非常规输入面找到入口、在噪声环境下建立稳定验证信号、将可能漏洞推进成完整利用链证据的能力。文章详细分析了每个案例的背景、漏洞发现过程、技术原理以及利用链的构建。案例涵盖了不同的攻击面,包括XML节点、Header、Cookie、数组参数等,以及如何通过时间盲注等手段建立稳定的验证信号。文章强调了对照实验的重要性,以及在存在缓存、CDN、WAF等干扰因素时如何处理噪声和建立证据闭环。最后,文章总结了一套通用的策略,包括入口扩展、验证分层、对照优先、噪声先行和证据闭环,为网络安全研究者提供了宝贵的实践指导。
SQL注入 网络安全研究 安全漏洞分析 利用链思维 安全防御策略 时间盲注 安全漏洞类型 安全测试方法 安全工具与技术
0xd6 PE文件代码洞利用技术详解
泷羽Sec 2026-02-11T10:34:44 pwjcw
本文详细介绍了PE代码洞的概念、成因、定位和利用方法。PE代码洞是指PE文件中由零(0x00)或INT3断点(0xcc)、NOP(0x90)组成的空白区域,通常出现在节区对齐或开发者预留的扩展空间中。利用代码洞可以通过修改PE头或替换指令为JMP来实现代码注入和执行。文章重点讲解了Inline Patching方法,包括寻找合适的跳板指令(如CALL或JMP)、计算指令地址和代码洞地址、计算相对偏移量并修改跳板指令,以及编写和填充payload。Payload通常包括保存现场、执行shellcode、恢复现场和跳转指令,以使程序继续正常运行。文章还讨论了代码洞利用的规避能力、相关成熟工具(如Backdoor-factory、Shellter、PE-infector等)以及代码洞利用的缺陷(如空隙大小不足、可能破坏程序签名等)。通过本文的学习,可以更好地理解代码洞的原理,并掌握相应的防御方法。
PE文件格式 代码洞利用 二进制修改 shellcode注入 汇编语言 PE头修改 防御与规避
0xd7 银狐winos4.0控制端补充及后门分析
three安全之路 2026-02-11T10:19:07 © lucy
本文深入分析了GitHub上的银狐系Winos4远控平台,重点关注其木马生成功能、通信模型及内嵌资源结构。文章首先介绍了控制端程序生成木马的过程,发现其生成的木马可正常上线。接着,通过资源段分析,揭示了控制端程序中包含大量插件程序、纯真IP数据库和UPX加壳工具等资源。进一步分析发现,控制端在生成木马时,会将配置信息直接添加到内置的shellcode模块末尾,并使用多种方式(如shellcode、上线模块.dll等)生成木马。在通信模型方面,文章提到了构建解密脚本以分析通信协议。此外,文章还意外发现控制端存在后门,通过动态调试和静态分析,揭示了后门在特定触发条件下(如客户端上线或从列表移除)被释放并执行的机制。后门文件从资源段中提取并保存到临时目录,然后被执行。整体而言,本文提供了对Winos4远控平台详细的剖析,包括其木马生成、通信及后门机制,为网络安全研究者提供了有价值的参考。
恶意软件分析 后门分析 网络安全 远控平台 代码分析 漏洞研究
0xd8 绕过防火墙,实现权限横向移动?
乌雲安全 2026-02-11T10:13:29 © GhostShell
本文深入探讨了内网渗透测试中绕过防火墙和权限横向移动的关键技术和策略。首先,文章分析了内网防火墙的三类核心部署场景(边界防火墙、内网分段防火墙、主机防火墙)及其防护重点,阐述了防火墙的核心防护原理是基于规则匹配和流量检测。接着,文章详细介绍了内网防火墙的合规绕过思路与技巧,包括利用合法端口穿透、防火墙规则配置漏洞、合法服务代理和隧道技术等,以及内网分段防火墙和主机防火墙的绕过技巧。最后,文章阐述了权限横向移动的核心路径与技巧,包括凭据复用(如哈希传递、票据传递、密码复用)、漏洞利用(如SMB漏洞、RPC漏洞、Web漏洞)和合法工具滥用(如WMI、PowerShell、远程桌面)等,并分析了权限横向移动的难点与突破思路。文章强调,内网渗透的核心是理解防护逻辑、利用配置漏洞、复用合法资源,通过伪装合法流量、规避规则、精准收集信息和隐蔽操作,实现合规、安全、可控的渗透测试。
网络安全 防火墙 渗透测试 权限管理 横向移动 网络攻防 信息收集 漏洞利用 凭据管理 合规测试
0xd9 利用钓鱼与OAuth令牌漏洞组合拳,攻击者可全面入侵企业Microsoft 365环境
汇能云安全 2026-02-11T10:12:45
本文报道了近期网络安全领域的多项重要事件。包括罗马大学遭受勒索软件攻击,导致IT系统瘫痪;安全研究人员揭示了一种针对企业Microsoft 365环境的攻击链,利用钓鱼和OAuth令牌漏洞入侵企业系统;一款新型工业控制系统攻击框架在暗网出现,声称可操控电力分配系统;CentOS 9内核曝出高危本地提权漏洞;一起利用合法Java工具伪装的信息窃取攻击事件;n8n自动化平台再次曝出关键RCE漏洞;飞塔等厂商的单点登录配置不当成安全隐患;美国投资平台Betterment遭受社会工程攻击,140万客户信息泄露;工信部紧急预警Microsoft Office高危漏洞;以及攻击者利用非法NGINX配置劫持网络流量的案例。这些事件反映出网络安全形势的严峻,提醒企业和个人加强安全防护。
钓鱼攻击 OAuth漏洞 勒索软件 教育机构安全 工业控制系统攻击 单点登录漏洞 数据泄露 操作系统漏洞 恶意软件攻击 远程代码执行漏洞
0xda StegoScan:CTF自动化隐写识别和解密工具
网安武器库 2026-02-11T09:58:42 © 网安武器库
StegoScan是一款功能强大的自动化隐写识别和解密工具,它能够自动检测网站、Web服务器和本地目录中的隐写术。该工具集成了AI驱动的对象和文本识别技术,以及深度文件分析技术,支持对PNG、JPG、BIN、PDF、DOCX、WAV和MP3等多种格式文件进行扫描,以发现隐藏信息。StegoScan具备网站和网络服务器扫描功能,可以分析整个域或IP范围的文件,检索并检查可疑媒体和文档中的隐藏通信。工具的安装和配置相对简单,用户可以通过命令行进行操作,支持网页爬取、文件下载、本地目录提取与测试、图像处理与隐写分析等多种功能。StegoScan利用多种检测技术,包括LSB检测、图像完整性检查、直方图生成、物体检测、音频完整性检查、音频检测、二进制文件分析等,为网络安全研究人员提供了一种强大的工具,用于监控非法数据交换和追踪网络犯罪。
网络安全工具 隐写术检测 自动化工具 网站安全 数据泄露预防 开源软件 Python工具 图像处理 音频处理 文档分析
0xdb 微软2月补丁日多个产品安全漏洞风险通告:5个在野利用漏洞
奇安信 CERT 2026-02-11T09:35:27
本文报道了微软2026年2月补丁日发布的多个产品安全漏洞,其中包括5个已发现被在野利用的漏洞。这些漏洞影响的产品包括Windows WinSock、Windows 内核等,被评级为高危,利用可能性高。文章详细列出了10个重要漏洞的详细信息,包括漏洞名称、类型、风险等级、公开状态、利用可能性等。微软将这些漏洞标记为“Exploitation Detected”或“Exploitation More Likely”,表明这些漏洞已遭利用或更容易被利用。文章还提供了漏洞的详细描述、技术细节和危害描述。针对这些漏洞,文章建议用户尽快安装更新补丁,并提供了使用奇安信天擎等工具进行更新的方法。此外,还介绍了手动安装补丁的步骤和奇安信天擎终端安全管理系统解决方案。
操作系统漏洞 远程代码执行 权限提升 在野利用 微软安全补丁 漏洞披露 安全风险通告 漏洞修复 安全更新 终端安全管理
0xdc WordPress插件前台RCE漏洞分析审计
进击安全 2026-02-11T09:30:40 © 学员投稿
本文详细分析了WP插件‘wc-designer-pro’中存在的RCE漏洞(CVE-2025-6440)。文章首先介绍了插件的目录结构和主要文件,指出其采用WordPress的AJAX接口进行路由分发。通过分析发现,插件注册了多个AJAX动作钩子,其中四个(wcdp_upload_img_file_ajax、wcdp_convert_resource_cmyk、wcdp_save_canvas_design_ajax、wcdp_get_json_design_ajax)未进行权限校验,允许未登录用户访问。重点分析了‘wcdp_save_canvas_design_ajax’钩子,该钩子负责保存设计画布,其接收的JSON数据中包含文件名、扩展名等信息,且未对文件扩展名进行有效过滤,导致攻击者可以上传任意类型文件,成功实现远程代码执行(RCE)。文章还展示了构造的恶意数据包,并验证了漏洞的存在。最后,文章提到了作者提供的进阶课程信息。
Web安全 WordPress 插件安全 漏洞分析 RCE PHP 权限控制 文件上传 安全审计 AJAX
0xdd Liunx黑客入侵痕迹排查工具
黑白之道 2026-02-11T09:19:01
本文介绍了一个名为Linux_checklist.sh的Linux系统安全检查脚本,用于快速评估系统的安全状况。脚本涵盖了多个方面的检查,包括网络嗅探、进程异常、命令替换、SSH密钥安全、定时任务恶意命令、系统资源使用情况、网络连接、端口监听、外部连接统计、恶意程序分析、账号与权限检查、启动项持久化、文件完整性校验、二进制校验、SUID提权文件扫描、临时目录扫描、文件属性锁定以及日志与痕迹分析等。此外,脚本还提供了对暴力破解、成功登录、账号变动和历史命令的监控。文章提醒读者,该脚本仅供安全学习交流使用,不得用于非法目的。
Linux 安全审计 入侵检测 Rootkit 检测 安全漏洞扫描 安全工具 系统资源监控 权限管理 持久化攻击检测 日志分析 合规性检查
0xde upload_forge--专业文件上传漏洞扫描器
安全天书 2026-02-11T09:11:02 © Hello888
本文介绍了Upload Forge,一款专业的文件上传漏洞扫描工具。该工具针对网页应用中的文件上传漏洞进行检测和利用,适合渗透测试人员和安全研究人员使用。Upload Forge具备异步扫描、高级检测逻辑、多语种支持、现代图形界面和丰富的命令行界面等特点。它能够自动测试文件上传表单,针对各种绕过技术进行测试,并生成专业的HTML和JSON报告。此外,文章还提到了一个红蓝对抗的小圈子,该圈子专注于渗透测试、红蓝对抗、钓鱼手法思路、武器化等技术,并分享相关技术文章和工具。
网络安全工具 渗透测试 漏洞扫描 自动化测试 红蓝对抗 免杀技术 漏洞利用 Web安全
0xdf 漏洞复现-微信Linux版1-Click远程代码执行漏洞
松杨网络安全资料库 2026-02-11T09:09:54
本文详细介绍了微信Linux版存在的一个严重的安全漏洞,即1-Click远程代码执行漏洞。该漏洞允许攻击者通过发送包含恶意命令文件名的文件给用户,用户下载并打开该文件后,可能导致远程代码执行。该漏洞影响微信Linux版本低于4.1.0.13的所有用户。文章中提供了漏洞的复现截图和过程描述,并指出官方尚未发布修复版本。建议用户关注官方渠道的版本更新,并升级至安全版本。同时,文章提醒用户在漏洞修复前应小心处理文件,避免打开可能包含异常字符或来源不明的文件,以保护设备和个人信息安全。
远程代码执行漏洞 软件漏洞 移动安全 操作系统安全 用户安全意识 安全更新与补丁 网络安全事件分析
0xe0 警惕!Notepad++ 遭供应链攻击,v8.8.2–v8.8.7 版本可能已被植入后门,附相关 IOC 清单
网络安全老宋 2026-02-11T09:01:26 © 宝十八
本文报道了知名文本编辑器Notepad++在2025年7月至10月期间遭受供应链攻击的事件。攻击者通过入侵Notepad++的托管服务商,篡改了自动更新服务,将恶意软件安装包推送给用户。此次攻击分为三个阶段,涉及多种攻击手法,包括恶意更新、脚本注入和DLL侧载。文章提供了如何判断是否受到影响的检查方法,包括网络外联记录、临时文件残留、可疑命令执行和异常进程或文件检查。同时,文章给出了应对建议,包括卸载可疑版本、重新安装最新版软件、全面终端排查和加强软件更新管理。此外,文章还提醒了Notepad++的安全风险,并附上了部分已知恶意IOC(指标)供安全团队参考。
供应链攻击 恶意软件 安全漏洞 软件安全 安全意识 安全响应 攻击手法分析 安全工具 安全漏洞修复
0xe1 漏洞复现 | 大蚂蚁 (BigAnt) 即时通讯系统 loginByToken 逻辑错误至权限绕过漏洞
实战安全研究 2026-02-11T09:00:24
本文分析了杭州九麒科技大蚂蚁(BigAnt)即时通讯系统中的一个漏洞,该漏洞存在于loginByToken接口的逻辑错误中。该漏洞允许攻击者绕过权限验证,以任意用户身份登录系统,可能导致敏感信息泄露和系统权限丢失。影响版本包括最新版本6.0.1.20250407.1。文章提供了漏洞的描述、影响版本、fofa语法、漏洞复现步骤、漏洞修复建议,并提醒读者不要将文章内容用于非法活动。同时,文章还介绍了如何利用Nuclei和Afrog工具进行漏洞检测,并推荐了一个包含漏洞复现和POC的内部圈子。
即时通讯系统漏洞 权限绕过 敏感信息泄露 企业级安全漏洞 漏洞复现 安全研究 安全防护 安全工具
0xe2 飞塔 FortiSandbox XSS漏洞允许攻击者执行任意命令
暗镜 2026-02-11T08:44:25
Fortinet近期披露了其FortiSandbox平台中的一个严重XSS漏洞(CVE-2025-52436),该漏洞允许未授权的攻击者执行任意命令。漏洞存在于图形用户界面(GUI)组件中,得分为7.9,主要原因是网页生成过程中输入过滤不足。攻击者可以通过构造恶意请求将可执行的JavaScript代码注入到GUI中,一旦受害者与受感染的页面交互,攻击者就能获得远程代码执行(RCE)权限,从而可能造成数据泄露、横向移动或绕过沙箱。受影响的FortiSandbox版本包括5.05.0.0至5.0.1以及更早版本,Fortinet建议升级到5.0.2或更高版本以修复漏洞。该漏洞的发现提醒了企业工具中XSS风险的持续存在,特别是对于负责扫描恶意软件和处理敏感情报的组织来说,应优先修补未打补丁的系统。Fortinet报告称,尽管目前尚未发现利用该漏洞的案例,但仍然需要保持警惕。
跨站脚本攻击(XSS) 漏洞披露 任意命令执行 沙箱安全 远程代码执行(RCE) Fortinet 版本更新 安全补丁 网络安全风险 恶意软件分析
0xe3 武装你的burpsuite
菜鸟学信安 2026-02-11T08:31:16 牛叫瘦
本文详细介绍了如何优化和配置Burp Suite以提升其在Web安全测试中的效能。首先,文章强调了调整JVM参数和网络配置的重要性,以解决卡顿、抓包丢包等问题,并提供了Windows、Linux/macOS系统的具体配置方法。其次,文章推荐了六款实用插件,包括Logger++、ActiveScan++、Intruder Payloads、JSLinkFinder、Swagger UI Support和Retire.js,这些插件能够有效扩展Burp的功能,覆盖90%以上的测试需求。此外,文章还介绍了如何通过Match and Replace、Burp Script和自定义扫描规则等功能,针对特定业务场景进行定制化配置,例如去除CSRF令牌、添加测试请求头、自动解密加密参数以及检测业务漏洞。最后,文章提供了三个典型实战场景的操作流程,即Web登录接口测试、移动端APP接口测试和微服务API批量测试,并强调了在进行测试时必须遵守法律与道德规范,确保测试的合法性和安全性。
Web安全 Burp Suite 渗透测试 安全测试 JVM优化 HTTPS抓包 插件使用 规则定制 主动扫描 实战场景 安全合规
0xe4 红队视角:如何在vulnhub的pWnOS_v2.0中精准打击?
数字序言 2026-02-11T08:31:06 © 沐青序
本文详细描述了一个网络安全学习案例,涵盖了从网络扫描、Web渗透到内网渗透等多个环节。首先,通过nmap扫描靶机IP,并解决了perl版本依赖问题。接着,利用目录爆破和SQL注入技术,成功登录了Simple PHP Blog 0.4.0靶机,并实现了PHP文件上传和反弹shell。随后,文章探讨了内网渗透中的数据库连接问题,通过尝试连接本地MySQL数据库,并利用本地会话权限实现了反弹shell。此外,还介绍了如何使用sqlmap进行SQL注入攻击,包括手工注入和自动化工具的使用,成功获取了webshell并实现了反弹shell。最后,文章还涉及了UDF提权技术,通过分析数据库配置文件和权限,成功上传UDF库并创建了恶意函数,最终获得了root权限。整个过程详细记录了各种工具的使用方法和技巧,对于网络安全学习者来说具有很高的参考价值。
Nmap 目录爆破 Web渗透 PHP SQL注入 文件上传 反弹shell 数据库 内网渗透 提权 sqlmap
0xe5 Wechat RCE 复现
表哥带我 2026-02-11T08:30:22 © 泼猴
本文详细描述了微信Linux版存在的一个命令注入漏洞,该漏洞公开时间为2026年2月10日。漏洞类型为命令注入,利用可能性高,且已公开POC和EXP。核心原理是微信Linux版在处理文件名时未进行安全校验或转义,导致当文件名中包含反引号包裹的命令时,会直接触发shell命令执行。文章提供了一个全自动复现脚本,使用Python编写,能够生成包含特定命令的PDF文件作为PoC,用于测试漏洞。脚本会检查系统依赖,生成最小有效PDF结构,并创建包含不同命令的PoC文件,如计算器命令等。用户需要将生成的PDF文件发送至微信Linux版,并点击文件消息以触发漏洞,从而执行命令。文章还提供了详细的复现步骤和验证方法,以及清理临时文件的功能。此外,文章还包含了一些网络安全相关的动态和新闻,如测绘引擎的用途、黑客学院招募、BT面板攻击等。
命令注入 Linux安全 PDF漏洞 RCE (远程命令执行) 社会工程学 微信安全
0xe6 Drupal文件上传导致跨站脚本执行(CVE-2019-6341)
卡布奇诺的派对 2026-02-11T08:10:40 © 卡布奇诺的派对
本文分析了Drupal内容管理框架中的一个跨站脚本执行漏洞(CVE-2019-6341)。该漏洞存在于Drupal 7.65之前的7版本、8.6.13之前的8.6版本和8.5.14之前的8.5版本中,由于WEB应用缺少对客户端数据的正确验证而造成。攻击者可以利用此漏洞执行客户端代码。文章提供了漏洞的详细描述、解决建议以及漏洞复现的步骤。复现过程包括配置Drupal环境、使用特定的POC进行测试,并通过上传带有XSS代码的图片来触发漏洞。文章还提醒用户,由于浏览器自带的XSS过滤功能,验证时可能需要使用Edge或IE浏览器。此外,文章还提供了其他相关漏洞和资源的链接。
跨站脚本攻击(XSS) 内容管理系统(CMS)漏洞 文件上传漏洞 PHP漏洞 CVE编号
0xe7 Windows后门应急(二)--计划任务后门分析与处置|Windows取证分析
0xSec笔记本 2026-02-11T08:08:44 © 0xSec笔记本
本文详细介绍了在Windows Server 2016环境中利用计划任务实现权限维持的技术。文章首先声明了内容的合法使用范围,随后阐述了计划任务后门的原理和特点,如隐蔽性强、稳定性高且不易被一次性排查发现。接着,文章通过实战步骤演示了如何使用MSF生成EXE类型后门程序,并利用schtasks命令创建定时执行的计划任务,使后门程序以SYSTEM权限每分钟自动运行。为了发现此类后门,文章推荐使用TCPView监控网络异常,并结合任务计划程序进行排查。应急响应部分则提供了处置流程,包括删除计划任务、结束后门进程、删除恶意程序,并提出了后续加固建议,如排查其他计划任务、审计安全日志、检查启动项和服务等。最后,文章强调了开启计划任务审计策略的重要性,并总结指出周期性联网的陌生进程是排查计划任务后门的重点。
计划任务后门 权限维持 Windows 安全 恶意软件分析 应急响应 网络监控 系统审计 攻击技术 防御加固
0xe8 渗透测试工具包 | 实战攻防工具 | 漏洞扫描、漏洞利用、后/域渗透等
夜组安全 2026-02-11T08:01:39 birdhan
这篇文章介绍了一个名为“夜组安全”的公众号,该公众号收集了大量网络安全行业的开源项目,旨在提供安全测试工具,提升渗透测试效率。文章从攻击视角出发,列举了多个开源项目,包括自动化渗透测试工具(如AttackSurfaceMapper、vajra、Savior等)、信息收集工具(如OneForAll、Ashok、ARL等)、漏洞扫描工具(如pocsuite3、Fiora、w13scan等)、漏洞利用框架(如msf框架、hackUtils、ysoserial等)、靶场(如CryptSky、WebGoat、zvuldirll等)以及后渗透工具(如gcat、BlackHole、webshell等)。此外,还介绍了AI在网络安全领域的应用,如SecGPT、HackerGPT、JoySafety和AI-Infra-Guard等。文章还提到了弱口令爆破工具、脚本工具、Webshell管理工具、隧道工具、内网穿透代理工具以及二进制分析工具等。最后,文章还推荐了一些往期精彩内容,包括高性能网站目录扫描工具、红队信息收集代理池工具、FnOS漏洞利用GUI工具、BurpSuite插件等。这些工具和项目涵盖了渗透测试的各个阶段,为网络安全学习和实践提供了丰富的资源。
网络安全工具 开源项目 渗透测试 漏洞扫描 信息收集 漏洞利用 漏洞数据库 靶场 后渗透 Webshell管理 内网穿透 内网渗透 密码破解 模糊测试 二进制分析 权限维持 代理/代理池 AI安全
0xe9 漏洞预警 | 孚盟云SQL注入漏洞
浅安安全 2026-02-11T08:01:03 浅安
本文报道了孚盟云平台的一个高危SQL注入漏洞。孚盟云是一款为企业提供数字化管理和运营解决方案的云计算和物联网技术平台。该漏洞存在于孚盟云的(PagePopWindow/lkpClientsCust.aspx)接口,未经验证的攻击者可以借助此漏洞窃取数据库中的敏感信息。目前,官方已经发布了漏洞修复版本,建议用户升级到安全版本以避免安全风险。漏洞编号暂未公布,影响版本为孚盟云。
SQL注入漏洞 高危漏洞 云计算安全 企业服务平台安全 物联网安全 敏感信息泄露 代码审计 漏洞修复
0xea 漏洞预警 | Fortinet身份认证绕过漏洞
浅安安全 2026-02-11T08:01:03 浅安
本文报道了Fortinet公司下一代防火墙操作系统FortiOS中的一个严重漏洞CVE-2026-2485,该漏洞属于身份认证绕过类型,具有高危风险等级。漏洞影响FortiOS、FortiAnalyzer、FortiManager和FortiProxy等多个产品,具体影响的版本号在文中列出。该漏洞允许攻击者利用FortiCloud单点登录功能中的身份验证逻辑缺陷,绕过正常身份认证机制,从而获取目标设备的管理员权限。攻击者可能执行恶意操作,如下载设备配置文件、创建本地管理员账号等,进而渗透内部网络。Fortinet已发布修复版本,建议用户及时升级以消除漏洞风险。
身份认证漏洞 FortiOS漏洞 安全设备漏洞 高危漏洞 越权操作 内部网络渗透 漏洞修复 网络防火墙 安全事件关联 合规审计 威胁可视化
0xeb WEB应用渗透测试:SQL注入
成渝Sec 2026-02-11T06:00:49 © 成渝Sec
本文详细介绍了SQL注入的概念、攻击方式、危害以及手动注入流程。SQL注入是一种常见的Web应用安全漏洞,指因缺少对用户输入数据的验证,导致生成并执行错误的SQL语句。攻击者通过在Web表单输入或页面请求中注入恶意SQL命令,绕过应用程序的安全措施,直接对数据库执行未授权操作,如查询、删除、增加、修改数据,甚至对操作系统进行操作。文章还介绍了SQL注入的万能密码概念,即绕过登录验证直接进入管理员后台的密码。此外,文章详细阐述了手动注入流程,包括判断注入点类型、获取数据库信息(如数据库版本、数据库名、表名、列名、用户数据)、破解加密数据、提升权限和内网渗透。最后,以DVWA靶场为例,详细解析了Union联合注入的原理和实际操作步骤,展示了如何通过注入获取数据库基本信息、表名、列名和用户数据。
SQL注入 Web安全 漏洞利用 数据库安全 渗透测试 攻击方法 防御指南
0xec 利用360驱动阻断EDR网络连接
遐想的小窝 2026-02-11T01:19:07 © 可以遐想
本文详细分析了360安全卫士中的驱动程序360netmon_x64_wfp.sys的逆向工程过程,并揭示了其潜在的安全风险。作者首先定位到驱动的入口点DriverEntry,发现该驱动创建了两个设备对象\\Device\\360TdiFilter和\\Device\\360TdiSpeed,并分别在\\DosDevices\\360TdiFilter和\\DosDevices\\360TdiSpeed下创建了符号链接,允许用户态程序通过DeviceIoControl接口进行交互。在IrpMjDeviceControl处理函数中,作者发现该函数仅验证设备对象是否匹配,而没有进行调用者身份验证,这为恶意利用提供了可能。进一步分析发现,IOCTL 0x220804接口用于设置进程网络限速或阻断,而IOCTL 0x220444接口则用于动态添加或删除WFP过滤规则。作者通过逆向工程和动态调试,重建了驱动期望的数据结构,并编写了一个POC程序,该程序可以通过DeviceIoControl接口发送特定的数据结构到驱动,从而实现对目标进程的网络阻断。文章最后指出,360对自己进行了白名单保护,但该漏洞仍然可能被恶意利用者利用。
驱动程序分析 逆向工程 设备对象 IOCTL 网络阻断 WFP (Windows Filtering Platform) 权限提升 POC (Proof of Concept) 安全漏洞
0xed 【快讯】Linux版本的微信 1Click RCE 漏洞
不止Sec 2026-02-11T00:54:03 © joe1sn
本文报道了一个影响Linux版本的微信的1Click远程代码执行(RCE)漏洞。360安全团队已经收录了该漏洞。攻击者可以通过安装Linux版本的微信,并使用特定的PoC(Proof of Concept,概念验证)来触发RCE。具体操作包括使用sudo dpkg -i WeChatLinux_x86_64.deb命令安装微信,然后在微信中打开包含特殊字符的文件,即可实现远程代码执行。文章中还提供了安装过程和示例截图,以帮助读者理解漏洞的利用过程。
操作系统安全 应用程序安全 远程代码执行(RCE) 漏洞披露 安全漏洞利用 软件安装安全
0xee Burpsuite 也有 mcp
进击的HACK 2026-02-11T00:04:14 © 进击的HACK
本文介绍了网络安全学习者对Burpsuite工具的探索,特别是针对其新插件Burp-ai-agent的使用体验。作者介绍了Seedance2.0的AI进步,并提到安全领域暂时安全。接着,作者详细描述了如何在Burpsuite中安装和使用TRAE插件,以及如何配置mcp(Memory Cache Pointer)功能。文章还展示了如何通过Burp-ai-agent插件获取Burp history中的所有JavaScript链接,并从中提取验证码的Python函数。作者讨论了插件的一些限制,如处理大型数据包时可能出现的卡顿问题,以及一些无法使用的Burpsuite功能。总体来说,作者认为这个插件在处理请求响应数据和梳理数据包方面有一定的帮助,但仍有改进空间。
网络安全工具 漏洞分析 自动化测试 脚本语言 机器学习 数据包分析 安全开发
0xef Windows 后门应急响应 —— 隐藏账户后门分析与排查实战|Windows取证分析
sec0nd安全 2026-02-10T22:57:28 0xSec笔记本
本文详细介绍了在Windows Server 2016系统中创建和使用隐藏账户作为后门的技术,并阐述了如何进行应急响应以发现和处理此类后门。文章首先说明了隐藏账户是一种简单有效的权限维持方式,攻击者通过添加以$结尾的用户名并赋予管理员权限,使其在常规用户管理界面中不可见。接着,文章介绍了通过修改注册表文件(如SAM数据库)来隐藏账户的详细步骤,包括调整权限、复制和粘贴键值对等操作。然而,这种隐藏方式并非绝对,因为通过特定路径在计算机管理中仍可发现隐藏账户。此外,文章还强调了开启隐藏账户的远程桌面登录功能的重要性。最后,针对如何应急发现隐藏账户后门,文章提出了通过对比注册表和系统用户管理界面、分析安全日志(特别是事件ID 4720、4722、4728、4729、4726、4724)等方法,并给出了删除隐藏账户注册表项的处置建议。整个过程强调了严格遵守法律法规的重要性,并仅限于合法授权的安全研究和教学演示。
Windows后门 账户管理 权限维持 注册表操作 应急响应 安全日志分析 命令行操作 隐藏技术
0xf0 微信 Linux 版本命令执行漏洞(QVD-2026-7687)复现与验证
sec0nd安全 2026-02-10T22:57:28 AuroraSEC
本文详细分析了一个存在于微信Linux 4.1.0版本中的安全漏洞,该漏洞属于命令执行类,由数据验证不恰当引起。漏洞利用条件需要用户交互,即点击“打开文件”。虽然目前尚未观察到明确的大规模在野利用证据,但攻击向量明确、门槛低、可利用性高。一旦触发,风险可能从单点终端扩展到数据泄露、横向移动和持久化风险。漏洞机理概述为在处理文件时,应用未对文件名进行严格白名单或安全转义,导致异常拉起解释器或执行外部工具。攻击场景主要涉及定向钓鱼、供应链投毒和内部横向传播。复现与验证方法包括监控与取证,使用pstree和strace等工具,确认触发前后的进程结构和系统调用,捕获到异常的execve调用和子进程拉起。建议立即停止使用受影响版本并升级,同时采取使用侧防护和系统层加固措施,如外部文件处理流程、账号最小权限、白名单控制、EDR/XDR规则和应用隔离等。综合分析,该漏洞风险较高,需尽快采取缓解措施并持续关注官方修复。
命令执行 (Command Execution) 输入验证 (Input Validation) 客户端漏洞 (Client-Side Vulnerability) 社会工程学 (Social Engineering) 用户交互依赖 (User Interaction Dependent) 恶意文件 (Malicious File) Linux系统 (Linux System) 多进程 (Multiprocessing)
0xf1 外网到内网渗透测试案例(1)
sec0nd安全 2026-02-10T22:57:28 小木说安全
本文详细描述了一个自主搭建的渗透测试环境,涉及多种漏洞类型,包括反序列化、命令执行、Tomcat、MS系列、端口转发和域渗透等。文章首先介绍了环境搭建过程,包括机器配置和网络设置。接着,通过端口扫描和工具检测,发现目标WEB主机存在Struts2框架的S2-045和S2-046漏洞,其中S2-046漏洞可成功执行命令。此外,phpMyAdmin后台存在远程文件包含漏洞(CVE-2018-12613),可利用该漏洞进行getshell。Tomcat服务也存在文件上传漏洞(CVE-2017-12615),通过上传恶意JSP文件成功获取web权限。文章还探讨了如何判断是否在Docker容器中运行,并详细介绍了Docker特权模式逃逸的方法,包括判断特权模式、挂载宿主机磁盘以及利用cron job实现远程shell获取。最终成功获取了宿主机的root权限。整个过程涉及多种漏洞利用和高级技术,为网络安全学习者提供了丰富的实践案例。
渗透测试 漏洞利用 Web安全 命令执行 内网渗透 信息收集 Docker逃逸 权限提升 Windows域渗透
0xf2 红队无文件落地技术介绍
sec0nd安全 2026-02-10T22:57:28 hyyrent
本文详细介绍了多种利用Windows系统内置工具实现无文件攻击的技术。首先,rundll32.exe被用于执行DLL中的函数,通过构造恶意命令加载远程恶意代码,实现无文件落地攻击。文章还列举了多个可被rundll32调用的本地DLL,如advpack.dll、ieframe.dll等,以及相应的执行命令。其次,pubprn.vbs脚本用于将打印机发布到Active Directory,通过加载远程.sct文件执行命令,但受限于杀软的监控。接着,msiexec.exe被用于安装MSI文件,通过远程加载MSI文件实现执行,但实际执行时仍会解压exe到指定位置。此外,Office宏利用Word文档中的宏代码执行恶意代码,通过诱导用户启用内容实现上线,但易受杀软清除。最后,cmstp.exe接受INF文件执行任意代码,通过INF文件中的RegisterOCXSection或SCT文件实现无文件攻击,可绕过AppLocker和UAC。winrm.vbs则利用XSL文件执行任意代码,通过调用远程XML文件实现无文件落地攻击,但可能受限于SSL证书错误。这些技术展示了Windows系统内置工具的潜在风险,以及相应的攻击和防御方法。
rundll32 无文件攻击 pubprn.vbs msiexec Office Macro CMSTP winrm.vbs 命令执行 Windows 安全机制 攻击技术
0xf3 微信 Linux 版本命令执行漏洞(QVD-2026-7687)复现与验证
AuroraSEC 2026-02-10T22:18:16 © AuroraSEC
本文详细分析了一个存在于微信Linux 4.1.0版本中的安全漏洞,该漏洞属于命令执行类型,主要由数据验证不恰当引起。漏洞利用条件需要用户交互(点击“打开文件”),攻击向量明确且门槛低。虽然暂未观察到明确的大规模在野利用证据,但该漏洞可利用性高。一旦触发,风险可能从单点终端扩展至数据泄露、横向移动和持久化风险。文章通过实验环境搭建、进程级和系统调用级取证,验证了用户点击“打开文件”后,微信客户端会触发异常的子进程和命令执行链路,包括拉起shell/解释器、执行敏感文件操作等。文章还提供了临时缓解措施(如升级版本、限制权限)和系统层加固建议(如白名单控制、EDR监控、应用隔离),并强调持续关注官方修复与版本更新的重要性。
命令执行 Web安全 本地提权 社会工程学 文件处理漏洞 用户交互依赖 Linux系统
0xf4 CTF入门之图片里面隐写的神秘信息
书中自有代码来 2026-02-10T21:45:23 © 书中自有代码来
本文详细介绍了网络安全领域中常见的图片隐写方法,包括JPEG图片中的JPHide隐写算法、GIF隐写、EXIF信息隐写、LSB隐写、盲水印技术等。JPHide利用JPEG图像DCT系数最低有效位嵌入信息,GIF隐写则通过帧间隔或特定帧内容隐藏信息。EXIF信息可以嵌入在图像文件格式中记录照片属性,LSB隐写通过修改像素颜色值的最低位隐藏信息。盲水印技术具有更强的鲁棒性,可以在图像经过压缩、裁剪后仍可恢复。此外,文章还介绍了Stegsolve工具的使用,音频隐写技术如MP3隐写和LSB音频隐写,以及文档PDF和HTML隐写技术。每种技术都包含了其原理、使用方法和检测提取信息的方法。
图像隐写技术 文件格式分析 数字取证 密码学 网络安全工具 数据隐藏 CTF挑战
0xf5 五款恶意Chrome扩展程序冒充Workday和NetSuite劫持账户
TtTeam 2026-02-10T21:25:25
网络安全研究人员近期发现五款伪装成Workday、NetSuite等知名人力资源和ERP平台服务的恶意Chrome扩展程序。这些扩展程序通过窃取身份验证令牌、阻止事件响应能力以及会话劫持,实现对受害者账户的完全控制。扩展程序以“DataByCloud Access”等名称发布,发布者分别为“databycloud1104”和“Software Access”。其中,除“Software Access”外,其他四个扩展程序已被Chrome网上应用商店下架,但仍在第三方网站上提供。这些恶意扩展程序通过窃取cookie、操纵DOM树和注入cookie等方式,窃取用户账户信息。它们还包含一个列表,监控与安全相关的Chrome扩展程序,以评估其活动是否被检测。安全专家建议用户立即删除这些扩展程序,并执行密码重置,以防止账户被非法访问。
恶意软件攻击 浏览器安全 身份验证劫持 企业资源规划(ERP)安全 第三方应用风险 跨域请求伪造(CSRF) 会话劫持 安全审计
0xf6 【安全圈】黑客团伙滥用 Hugging Face 平台传播数千款安卓恶意软件变种
安全圈 2026-02-10T19:02:52
近期,一个黑客团伙利用Hugging Face平台传播数千款安卓恶意软件变种。这些恶意软件专门窃取主流金融及支付平台的用户凭证。攻击者通过恐吓式广告诱导用户下载名为TrustBastion的恶意应用,该应用伪装成安全工具,诱骗用户安装。安装后,恶意应用会连接到相关服务器,并从Hugging Face的数据集仓库中下载恶意安装包。恶意软件使用服务端多态技术生成新的变种,以规避安全检测。研究人员发现,该恶意软件仓库曾短暂被下架,但攻击团伙以新名称重新上线。恶意软件具备远程控制功能,可以监控用户操作并窃取敏感信息,包括账户凭证和锁屏密码。Hugging Face平台已移除相关恶意数据集,并发布了针对该恶意软件的入侵指标(IOC)。安全专家建议用户避免从第三方应用商店下载应用,并在安装应用时仔细检查权限。
恶意软件攻击 平台滥用 移动安全 金融安全 用户教育 人工智能安全
0xf7 红队无文件落地技术介绍
0xSecurity 2026-02-10T18:22:47 © hyyrent
本文详细介绍了六种无文件落地攻击技术及其原理和利用方法。首先,rundll32通过执行DLL中的函数实现攻击,可利用基于命令执行或本地DLL加载的方式实现无文件攻击。其次,pubprn.vbs脚本可用于将打印机发布到Active Directory,通过加载远程.sct文件执行命令。第三,msiexec.exe用于安装MSI文件,可打包exe为msi实现绕过杀软的上线。第四,Office宏利用Word文档中的宏代码执行恶意代码,诱导用户启用内容后实现上线。第五,CMSTP通过加载INF文件执行恶意DLL或SCT文件,可绕过AppLocker和UAC实现无文件攻击。最后,winrm.vbs结合XSL文件可绕过签名保护执行任意代码,通过调用本地或远程XML文件实现命令执行。这些技术展示了多种绕过传统安全防护的无文件攻击手段,对于网络安全学习和防御具有重要意义。
无文件攻击 Windows 内置工具利用 代码执行 恶意软件技术 远程执行 宏利用 Bypass 安全机制 攻击向量
0xf8 GitLab网关RCE漏洞可致服务器沦陷
FreeBuf 2026-02-10T18:04:50
GitLab近日发布紧急安全警报,指出自托管版AI Gateway存在一个严重的高危漏洞(CVE-2026-1868),CVSS评分高达9.9。该漏洞存在于Duo Workflow Service核心组件中,攻击者可以通过特制的Duo Agent Platform Flow定义利用该漏洞,未打补丁的GitLab实例面临严重威胁。成功利用此漏洞可能导致服务崩溃或执行任意代码,影响包括GitLab AI Gateway 18.1.6、18.2.6和18.3.1等版本。GitLab已发布修复版本,强烈建议用户立即升级至最新版本以消除风险。
GitLab漏洞 远程代码执行(RCE) 自托管软件安全 服务器安全 紧急安全警报 漏洞影响范围 安全修复与升级
0xf9 OpenClaw成供应链投毒新目标,341个恶意Skills窃取用户数据
FreeBuf 2026-02-10T18:04:50
OpenClaw开源AI Agent平台遭遇供应链攻击,攻击者在ClawHub插件市场投放恶意Skills模块,窃取用户数据。安全公司SlowMist和Koi Security发现341个恶意Skills,感染率达12%。恶意Skills伪装成实用工具,通过Base64混淆命令触发两阶段攻击,窃取桌面/文档数据、钥匙串和浏览器凭证。攻击者使用临时签名的Mach-O文件,与Atomic macOS Stealer匹配,攻击活动具有组织性。文章还提供了相关的威胁指标和域名/IP信息,以帮助网络安全从业者识别和防范此类攻击。
供应链攻击 信息窃取 开源软件安全 恶意软件分析 漏洞利用 安全审计 加密货币安全 移动端安全
0xfa 经典 Frida 检测 libmsaoaidsec.so 绕过
看雪学苑 2026-02-10T17:59:46 xiusi
本文详细分析了在Android应用中如何通过Frida进行动态库加载检测源定位和绕过。首先,通过Hook系统底层的动态库加载函数android_dlopen_ext来监控应用加载的SO文件,从而确定触发检测的动态库。接着,通过Hook线程创建函数pthread_create来追踪检测线程的来源,并获取其执行函数的入口地址。针对检测线程,文章提出了两种绕过方法:一是直接阻断检测线程的创建,二是通过Hook初始化函数.init_proc或.init_array中的导入函数,在动态库加载完成后立即进行NOP操作,以绕过反调试检测。文章还讨论了Hook时机选择的重要性,以及不同Hook方法的适用场景和风险。通过这些方法,可以有效地绕过动态库中的反调试检测,实现对目标应用的逆向分析和修改。
动态库加载 反调试检测 Frida Hook 线程创建监控 .so文件分析 初始化函数注入 内存修改 Android安全
0xfb 微信 Linux 版 最新版本 1-Click 命令注入漏洞【已复现】
湘安无事 2026-02-10T17:40:36 redcell的安全屋
近日,一名安全研究者发现微信Linux版本存在一个严重的命令注入漏洞。该漏洞源于微信在处理接收文件时未对文件名进行充分校验和过滤,攻击者可以构造包含恶意命令的文件名并发送给目标用户。一旦受害者点击该文件,微信会执行文件名中的恶意命令,从而可能导致任意命令在受害者系统中执行。该研究者通过在Kylin操作系统上安装最新版的微信并进行模糊测试,成功复现了该漏洞。他发现,微信在解析文件名时没有进行任何安全校验或转义,这直接导致了命令执行的风险。尽管研究者没有深入探究该漏洞是否可用于权限提升或进一步武器化,但这一发现表明微信Linux版本的安全性问题值得重视。研究者还提供了一些修复建议,包括避免点击或打开包含异常特殊字符或可疑内容的文件,以及暂时使用微信网页版。
命令注入漏洞 安全漏洞 文件处理漏洞 逆向工程 漏洞复现 移动应用安全 操作系统安全
0xfc vx Linux版本命令执行漏洞
安全研究实验室 2026-02-10T17:37:57
本文分析了v信Linux版本的一个命令执行漏洞。该漏洞源于微信Linux版文件名校验不严格的问题,攻击者可以诱导用户打开带有恶意文件名的文件,通过在文件名中嵌入命令的方式,使得用户在点击文件时执行了攻击者的命令,从而获取系统的权限。文章详细描述了漏洞的具体表现形式,包括漏洞触发条件、攻击过程和可能的后果。此外,文章还提供了一些复现漏洞的示例,例如使用特定的文件名和命令来执行攻击。作者指出,只要文件名允许,理论上任何命令都可以被执行,这是一个严重的安全问题,需要微信团队及时修复。
漏洞分析 文件名漏洞 命令执行 权限获取 微信安全 网络安全
0xfd 警惕!约10%OpenClaw Skills被投毒,微步云沙箱S已上线AI滥用检测
微步在线 2026-02-10T17:32:33 © ThreatBook
近期,开源AI智能体项目OpenClaw遭遇攻击者恶意插入恶意Skills插件。OpenClaw因其强大的自动化能力而迅速增长,其Skills插件可执行Shell命令等系统任务。微步云沙箱S已发现约10%的OpenClaw Skills包存在恶意行为,这些恶意插件伪装成无害工具,实则进行数据窃取和后门植入。攻击者利用Skills的Markdown格式说明文件绕过传统检测逻辑,通过外部链接动态加载恶意代码。微步云沙箱S新推出的“AI滥用”检测功能,可以对OpenClaw Skills包进行全流程安全评估,包括主文件检测、可疑外链检测和XGPT语义检测,以判断其是否恶意。目前,ClawHub官方平台仍存在未被下架的恶意Skills插件,用户在安装第三方Skills前应进行安全检测。
AI滥用攻击 开源项目安全 恶意插件投毒 技能插件安全 云沙箱检测 数据窃取 后门植入 传统检测逻辑绕过 恶意链接检测 XGPT语义检测
0xfe GNU InetUtils telnetd 参数注入认证绕过漏洞(CVE-2026-24061)
卡布奇诺的派对 2026-02-10T17:29:30
GNU InetUtils 是一个开源网络工具集合,包括 ping、telnet、ftp 等网络管理工具。其中,telnetd 服务组件在版本 1.9.3 至 2.7 存在远程认证绕过漏洞(CVE-2026-24061)。该漏洞允许攻击者在未授权的情况下获取服务器 root 权限,影响包括 Debian 12 和 Ubuntu 24.04 等主流发行版。文章详细介绍了该漏洞的背景、影响范围、漏洞环境搭建、复现步骤以及相关安全提示。文章还提供了利用该漏洞获取 root 权限的命令示例,并引用了 vulhub 项目中的相关资源。
漏洞分析 网络安全 开源软件 认证绕过 远程攻击 服务器安全 CVE Linux安全
0xff 【附POC及复现环境】Linux版微信 1-click任意命令执行漏洞复现
天翁安全 2026-02-10T17:05:58 © a1batr0ss
本文详细介绍了Linux版微信客户端存在的一个任意命令执行漏洞。该漏洞是由于微信Linux客户端在处理文件名时缺乏严格的合法性校验与转义机制导致的。攻击者可以通过构造包含恶意命令的特制文件名,诱导用户打开,从而在客户端解析文件名过程中触发命令注入,最终实现任意命令执行并获取系统权限。该漏洞仅存在于Linux版的微信中,且需要1-click操作。文章提供了漏洞影响版本、环境部署步骤以及漏洞复现的详细过程,并提醒读者在使用相关内容时必须遵守法律法规和道德伦理要求,仅限于合法的网络安全学习和研究。
漏洞分析 命令执行 Linux安全 微信安全 POC复现 安全研究 渗透测试
0x100 0128.CVE-2025-68613 — n8n 工作流自动化平台中的已认证远程代码执行 (RCE) 漏洞
Rsec 2026-02-10T16:59:53 © Bash Overflow
本文介绍了 CVE-2025-68613 漏洞,这是一个存在于 n8n 工作流自动化平台中的已认证远程代码执行(RCE)漏洞。n8n 是一个开源的工作流自动化工具,允许用户连接应用程序、服务和 API 来自动化任务。该漏洞源于 n8n 对工作流执行能力的限制不足,允许经过身份验证的用户在服务器上执行远程代码。文章提供了漏洞的概述、概念验证(PoC)重现步骤,包括部署受影响的 n8n 实例、创建和配置工作流程以及利用该漏洞执行任意命令的详细步骤。此外,文章还提到了该漏洞可能带来的风险,包括访问敏感数据、API 密钥和内部服务配置等,并提供了相关的安全建议和修复措施。
CVE-2025-68613 远程代码执行 n8n 工作流自动化 RCE 漏洞利用 安全漏洞 开源软件 自动化工具 企业安全
0x101 【已复现】微信linux最新版RCE
金夏安全 2026-02-10T16:42:00 © 金夏
本文讨论了微信Linux最新版中的一个远程代码执行(RCE)漏洞。该漏洞存在于微信处理用户接收的文件时,由于对文件名中的特殊字符未进行充分过滤和转义,直接拼接进shell命令中执行,使得攻击者可以通过构造恶意的文件名来执行任意命令。文章提醒读者,本文内容仅供技术学习和讨论,禁止用于非法活动,并声明对任何因使用本文提供的内容或技术而产生的后果不负责任。文章还提到了如何通过创建带有特殊字符的文件名来触发这个漏洞,以及如何通过更新微信版本来避免该漏洞。
0x102 【实战首秀】AI 驱动的渗透测试:从“零基础”到“全控制”的实操报告
APT-101 2026-02-10T16:37:31 © APT-101
本文详细记录了一次基于AI驱动的渗透测试实操报告。测试对象为一个开放了9个端口的系统,测试过程中发现了5个安全漏洞,包括无限制用户注册导致的权限提升、IDOR导致的用户数据信息泄露、内网拓扑和生产环境信息泄露、JWT Token无撤销机制导致重放攻击以及CORS配置错误导致的跨域攻击风险。文章详细描述了每个漏洞的描述、影响范围、CVSS评分、漏洞证明(POC)和修复建议。报告指出,业务逻辑漏洞是主要攻击面,并建议立即停服修复严重漏洞,引入参数白名单与角色权限装饰器,部署Token黑名单与CORS白名单,并在所有敏感接口增加审计日志。文章强调了在合法授权的测试环境中使用AI进行安全测试的重要性,并提醒AI可能会误删数据和进行高风险操作。
AI渗透测试 自动化安全测试 漏洞分析 渗透测试报告 安全漏洞 漏洞修复 网络安全 安全评估 合规性
0x103 smartbixa0token回调获取登录凭证漏洞
蚁景网安 2026-02-10T16:30:21 sw0rd1ight
本文分析了Smartbi官方修复的一处权限绕过漏洞。该漏洞允许未经授权的攻击者获取管理员token,从而完全接管管理员权限。通过分析相关补丁,作者详细描述了漏洞的复现步骤,包括设置攻击者机器上的http服务地址、触发token外发以及使用获取到的token进行登录。文章进一步探讨了漏洞与/smartbix/api/monitor/setServiceAddress接口的关系,以及修补补丁的具体方式。作者指出,通过未授权配置ENGINE_ADDRESS,攻击者可以获取到合法的token,并利用该token进行登录。此外,文章还提到了设置SERVICE_ADDRESS进行利用的步骤与设置ENGINE_ADDRESS类似,并鼓励读者学习网安实战课程。
漏洞分析 安全漏洞 渗透测试 代码审计 权限绕过 Web应用安全 Python攻击 Token窃取
0x104 飞牛私有云fnOS远程命令执行漏洞与文件读取漏洞-GUI版
three安全之路 2026-02-10T16:10:35 © lucy
2026年1月底,飞牛私有云fnOS版本曝出严重漏洞,包括路径穿越和WebSocket未授权远程命令执行(RCE)。这些漏洞使得攻击者无需身份验证即可通过构造恶意请求读取系统敏感文件,如配置文件和密钥,并执行任意命令以获取Root权限。受影响的版本包括fnOS 0.9.X、1.0.X和1.1.X系列(1.1.14及以下)。官方已发布1.1.18版本修复漏洞,建议用户升级。文章提供了漏洞的详细描述、影响版本、资产测绘方法、漏洞复现步骤、工具利用方法以及修复建议。
网络安全漏洞 NAS设备安全 远程命令执行 路径穿越 安全修复 资产测绘 安全工具
0x105 微信 linux最新版 1click RCE 已复现
Say Sec 2026-02-10T15:59:35 棉花糖糖糖
本文探讨了微信Linux最新版存在的一个安全漏洞,即1click RCE(远程代码执行)。该漏洞允许攻击者通过特殊构造的文件名触发,仅需要点击文件即可执行恶意代码。文章指出,这一漏洞的技术分析仅用于交流讨论和合法测试,如企业自查,严禁用于非法测试。文章中提到的漏洞复现步骤和细节,为网络安全学习者提供了了解该漏洞的案例。同时,作者强调,任何未授权的测试导致的后果由使用者自行承担,与发布该文章的公众号和棉花糖无关。
漏洞分析 安全漏洞 代码执行漏洞 微信安全 企业安全自查 安全测试
0x106 【威胁监测】微信 for Linux存在RCE执行风险
Gaobai文库 2026-02-10T15:51:45 © 威胁监测
本文揭示了微信Linux版存在的一个RCE(远程代码执行)漏洞,该漏洞源于微信处理文件名时存在安全缺陷。攻击者可以利用特定的恶意文件名,使微信在解析文件名时直接执行嵌入的命令。文章详细描述了漏洞的影响版本可能未知,并通过具体的复现过程说明了攻击者如何构造恶意文件名并触发命令执行。尽管作者没有深入探究该漏洞是否可用于权限提升或武器化,但指出微信forLinux在处理文件名时未进行安全校验或转义,这是导致该漏洞的主要原因。文章强调,任何利用该漏洞进行的攻击或测试均由使用者本人负责,且本文库中的漏洞信息仅供安全研究和学习交流使用。
漏洞分析 RCE漏洞 文件处理漏洞 逆向工程 命令执行 微信安全 Linux安全
0x107 微信 linux最新版 1click RCE 已复现
阿乐你好 2026-02-10T15:31:30 棉花糖糖糖
本文揭示了微信Linux版本存在的一个远程代码执行(RCE)漏洞。作者在分析KVE-2025-1002补丁时,偶然发现了使用radare2(r2)和Ghidra的dif插件进行二进制逆向的效率,随后尝试使用r2调试微信forLinux,并意外发现了一个安全漏洞。该漏洞允许攻击者通过构造特定文件名,使得微信在解析文件名时直接执行嵌入的命令。作者通过实验证明,只要文件名中包含特定内容,微信就会执行系统命令,如id、Iscpu等。文章强调,该漏洞的技术分析仅供合法测试和交流讨论,poc仅供企业自查使用,切勿用于非法测试。文章未深入探讨漏洞是否可用于权限提升或武器化,也未详细描述漏洞利用的具体过程。
漏洞披露 命令执行漏洞 逆向工程 POC复现 企业安全 安全研究 Linux安全
0x108 蛰伏的Shell:攻击者如何在Ivanti EPMM中植入休眠后门
骨哥说事 2026-02-10T15:11:35 骨哥说事
本文详细分析了针对Ivanti Endpoint Manager Mobile(EPMM)的攻击事件。攻击者通过植入休眠后门,利用了Ivanti EPMM中的两个严重漏洞CVE-2026-1281和CVE-2026-1340,这两个漏洞都涉及到身份验证绕过和远程代码执行。攻击者在部署了休眠的、驻留内存的Java类加载器后,并未执行任何命令,而是静待触发。该类加载器通过Base64编码的Java类文件实现,不提供交互式命令执行功能,而是作为阶段化的加载器,等待加载第二个Java类。文章指出,这种攻击模式与传统的WebShell不同,更像是初始访问代理(IAB)的行为,攻击者可能是在建立访问权限储备库。文章还提供了检测和防御的建议,包括打补丁、重启应用程序服务器、审查访问日志等。
网络安全漏洞 移动端安全 WebShell攻击 内存攻击 初始访问代理 Java安全 事件响应 恶意软件分析
0x109 【0day】天地伟业Easy7 downloadNote 文件读取漏洞
0day收割机 2026-02-10T14:34:07
天地伟业Easy7是一款视频监控管理的软件系统,近日发现其/Easy7/rest/file/downloadNote接口存在前台任意文件读取漏洞。攻击者可构造恶意路径参数,如使用../../../etc/group等,读取服务器上的任意文件,可能导致敏感信息泄露。该漏洞存在于多个版本,包括fofa语法中列出的版本。本文提供了漏洞复现步骤,但提醒用户仅限安全研究和学习使用,传播或利用相关信息产生的后果由使用者自行承担。该软件常用于关键基础设施领域,公网暴露实例存在严重安全风险。
文件读取漏洞 信息泄露 关键基础设施 漏洞复现 安全风险 视频监控软件
0x10a 微信 linux最新版 1click RCE 已复现
棉花糖fans 2026-02-10T14:14:00 © 棉花糖糖糖
本文揭示了微信Linux版本存在的一个安全漏洞,该漏洞允许攻击者通过特定的文件名构造恶意命令,并在微信forLinux中执行。漏洞复现表明,攻击者只需将恶意命令嵌入文件名中,点击该文件即可触发命令执行。作者通过逆向分析和调试发现了这一漏洞,并指出微信在处理文件名时未进行安全校验或转义,导致命令执行。尽管作者没有深入探究该漏洞是否可用于权限提升或进一步武器化,但这一发现对网络安全领域具有重要意义。文章强调,此技术分析仅供交流讨论,poc仅供合法测试,未授权测试造成的后果由使用者承担。
漏洞分析 命令执行漏洞 二进制逆向工程 Fuzz测试 安全测试 微信安全 操作系统安全
0x10b 黑客团伙滥用Hugging Face平台传播数千款安卓恶意软件变种
嘶吼专业版 2026-02-10T14:03:13 胡金鱼
近期,黑客团伙利用Hugging Face平台作为恶意软件的仓库,传播了数千种安卓恶意软件变种。这些恶意软件专门窃取主流金融和支付平台的用户凭证。攻击者通过恐吓式广告诱导用户下载名为TrustBastion的恶意应用,该应用伪装成安全工具,并模仿Google Play商店界面。安装后,应用会引导用户通过Hugging Face平台下载恶意软件。恶意软件通过服务端多态技术生成新变种,以规避安全检测。恶意软件具有远程控制功能,可以获取用户权限,监控用户操作,窃取信息,甚至伪造登录界面骗取凭证。尽管Hugging Face平台已移除恶意数据集,但攻击者以新名称重新上线,继续进行攻击活动。安全专家建议用户避免从第三方应用商店下载应用,并仔细检查应用权限。
恶意软件传播 平台滥用 移动安全 金融安全 人工智能安全 社会工程学 安全漏洞 安全告警
0x10c 【高危漏洞预警】Apache Airflow认证绕过漏洞CVE-2026-22922
飓风网络安全 2026-02-10T13:44:44 cexlife
Apache Airflow 3.1.0至3.1.6版本存在一个认证绕过漏洞(CVE-2026-22922),该漏洞可能导致权限受限的用户绕过访问控制查看任务日志,从而可能获取敏感信息。攻击者可以通过该漏洞获取到执行命令、参数、环境变量等敏感数据。建议受影响的用户升级至Airflow 3.1.7或更高版本以修复此漏洞。同时,建议采取最小权限原则限制用户权限,启用日志审计功能以监控异常行为,并在无法立即升级的情况下通过配置文件或网关层增加访问控制策略。官方已发布更新版本,建议用户尽快升级以保障系统安全。
认证漏洞 Apache Airflow 漏洞修复 日志访问控制 信息泄露 高危漏洞
0x10d 【高危漏洞预警】Gogs自托管Git服务远程命令执行漏洞CVE-2025-64111
飓风网络安全 2026-02-10T13:44:44 cexlife
本文报道了一个名为CVE-2025-64111的高危漏洞,该漏洞存在于Gogs自托管Git服务中。Gogs是一个广泛使用的开源Git服务,但在0.13.3及之前版本中,由于对CVE-2024-56731补丁的不充分,攻击者可以通过更新.git目录中的文件来执行远程命令。攻击者可以通过构造恶意请求,无需用户交互即可在.git目录中写入或修改文件,从而实现未授权的远程代码执行。本文提供了漏洞的详细描述、攻击场景、PoC示例,并指出了受影响的产品版本。针对此漏洞,建议用户升级到Gogs 0.13.4或更高版本,或者在无法立即升级的情况下,限制.git目录的写入权限,并通过网络隔离和日志监控等措施来缓解风险。
远程命令执行漏洞 自托管Git服务 CVE编号 代码执行安全 版本控制漏洞 漏洞预警 安全补丁 漏洞缓解措施 网络安全策略
0x10e Web安全实战指南:从信息收集到架构分析的完整武器库
AlphaNet 2026-02-10T13:42:22 © 萧瑶
本文详细介绍了Web安全测试中的信息收集和架构分析方法,强调了信息收集在Web安全测试中的关键作用。文章首先概述了从基础信息收集到深度架构分析的完整方法论,包括操作系统识别、资产发现、指纹识别、源码泄漏、JS分析和CDN绕过等核心环节。接着,文章针对每个环节提供了具体的实战技巧和工具推荐。对于基础信息收集,文章讨论了操作系统识别、IP资产信息收集、端口服务探测和域名资产收集等内容。在Web架构深度分析部分,文章介绍了架构组件识别、指纹识别技术、WAF识别与绕过以及蜜罐检测方法。源码获取实战技巧部分分析了源码泄漏的原因和获取方法,包括已知指纹源码获取和未知指纹源码获取。JS前端安全分析部分则讨论了JS信息收集的价值、安全问题类型和JS框架识别。CDN识别与绕过技术部分解释了CDN的工作原理和识别方法,并介绍了多种CDN绕过技术。最后,文章强调了实战思维要点和持续学习的重要性,并提供了相关的扩展阅读资源。
Web安全 信息收集 渗透测试 漏洞分析 网络安全工具 系统指纹识别 CDN绕过 源码分析 JS安全 安全意识
0x10f 攻防演练必备:HW/红队移动端资产收集(一键扫描APP关键资产信息)
0xSecDebug 2026-02-10T13:33:30 © 0xSecDebug
AppInfoScanner是一款专为HW行动、红队和渗透测试团队设计的移动端信息收集扫描工具,支持Android、iOS、WEB、H5和静态网站等多种场景。该工具能够帮助渗透测试工程师快速收集移动端或静态网站的关键资产信息,如Title、Domain、CDN、指纹信息、状态信息等。其适用场景包括日常渗透测试、大型攻防演练、对APP、WEB网站源代码、H5页面进行信息采集,以及对特定APP进行定向信息收集。工具支持目录级别的批量扫描,能够处理DEX、APK、IPA、MACH-O、HTML、JS、Smali、ELF等文件,并自动下载APK、IPA、H5文件进行一键信息收集。此外,它还支持自定义请求头、请求报文、请求方法,以及规则自定义、忽略资源文件、配置Android壳和中间件规则。工具能够检测Android加固壳、iPA官方壳,并采集IP地址、URL地址、中间件信息,支持Android包名下内容的采集,具备网络嗅探功能,并提供基本的信息输出。AppInfoScanner支持Windows、MacOS和*nix系列系统,并具备简单的AI识别功能,可以快速过滤三方URL地址。指纹识别模块支持国际化语言包,能够一键自动修复APK文件,并在识别到壳时自动进行脱壳处理。
移动安全 渗透测试 信息收集 Web安全 文件分析 脱壳分析 规则自定义 网络嗅探 多平台支持 自动化工具
0x110 ctfshow web入门 命令执行2
哦0吼 2026-02-10T13:00:28 © zoe
本文详细分析了多个Web安全挑战的解题思路和payload。这些挑战主要涉及PHP内置函数的利用、正则表达式过滤绕过、命令注入等技术。在Web40中,利用get_defined_vars()、postnext()和array_pop()函数结合GET或POST传参,可以实现变量读取和命令执行。Web41中,针对异或过滤,通过暴力破解和正则匹配,生成有效字符组合进行命令注入。Web42至Web49,通过逐步增加的过滤条件,如重定向、特定命令过滤、通配符过滤等,使用不同的绕过技巧,如使用||进行命令分隔,%09代替空格,?代替*等。Web50和Web51中,分别绕过对%09和特定命令的过滤,使用<fla''g.php等payload。Web52中,结合$IFS变量和命令替换,进一步绕过限制,实现命令执行。这些挑战展示了在复杂过滤条件下,如何灵活运用PHP函数和命令注入技巧进行安全测试和渗透。
Web安全 PHP安全 命令注入 正则表达式过滤绕过 URL编码 信息收集 Web渗透测试
0x111 外网到内网渗透测试案例(1)
智检安全研习社 2026-02-10T11:48:35 © 小木说安全
本文详细记录了一次渗透测试环境的搭建和攻击过程,涉及多种漏洞类型。测试环境包括自主搭建的WEB主机(Ubuntu)、Windows 7主机和Windows 2008主机(DC),网络配置分为192.168.111.x和192.168.183.x两个网段。测试过程中,首先通过nmap扫描发现WEB主机存在多个端口服务,包括Struts2框架、Tomcat页面和未密码保护的phpMyAdmin。Struts2框架存在S2-045和S2-046漏洞,其中S2-046成功执行命令,获得shell权限。phpMyAdmin版本为4.8.1,存在远程文件包含漏洞(CVE-2018-12613),可利用该漏洞写入马来获得会话。Tomcat文件上传漏洞利用CVE-2017-12615,成功上传jsp文件并获取web权限。进一步判断发现,获取的shell位于Docker容器中,通过检查hostname、/proc/1/cgroup和.dockerenv文件确认。利用Docker特权模式逃逸,将宿主机磁盘挂载到容器中,并设置计划任务,最终通过nc监听获得宿主机root权限。整个过程展示了从端口扫描到漏洞利用、权限提升和Docker逃逸的完整渗透测试流程。
渗透测试 漏洞利用 Web安全 命令执行 反序列化 Docker Docker逃逸 内网渗透 信息收集 Windows Linux
0x112 Windows 后门应急响应 —— 隐藏账户后门分析与排查实战|Windows取证分析
0xSec笔记本 2026-02-10T11:05:59 © 0xSec笔记本
本文详细介绍了在Windows Server 2016系统中创建隐藏账户作为后门的技术,并阐述了其应急响应和发现方法。文章首先介绍了隐藏账户的概念,指出这是一种简单有效的权限维持方式,攻击者通过创建以'$'结尾的用户名,使其在常规用户管理界面中不可见。接着,文章演示了通过net user和net localgroup命令创建隐藏账户并赋予管理员权限的步骤,同时也分析了该方法的优缺点,如优点在于默认情况下难以被发现,但缺点是通过特定方式(如计算机管理)仍可查看到。文章进一步深入探讨了通过修改注册表文件(如SAM数据库)来隐藏账户的详细过程,包括调整权限、复制和粘贴键值对等操作。最后,文章提出了发现隐藏账户后门的应急响应方法,包括通过注册表和系统账户管理界面进行比对排查,以及通过分析安全日志(如事件ID 4720、4722等)追溯账户创建和登录行为。对于已发现的隐藏账户,文章建议通过删除注册表项(如HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users下的相关项)来彻底清除后门。
Windows后门 隐藏账户 权限维持 命令行操作 注册表操作 应急响应 安全日志分析 系统安全 攻击技术 防御与检测
0x113 【热点漏洞】——飞牛OS路径穿越、协议认证、命令执行(内附POC)
网络安全民工 2026-02-10T10:47:23 © 网络安全民工
飞牛OS(fnOS)近期爆发严重安全事件,涉及高危路径穿越漏洞,允许攻击者访问NAS上的任意文件,包括系统配置和私人数据。攻击随后升级,攻击者推出病毒变种破坏OTA更新功能,阻止用户安装补丁,并伴随DDoS攻击。官方在2月初连续发布多个紧急更新(从1.1.15到1.1.19)以修复漏洞。截至2月4日,仍有超过30万台设备暴露在公网,面临风险。事件时间线显示,漏洞在1月底被曝光,官方迅速发布修复版本,但攻击者持续升级攻击手段。POC漏洞利用简单,只需浏览器或curl命令发送构造的HTTP请求。漏洞影响严重,攻击者可读取系统文件、窃取应用凭证、访问业务数据甚至获取Webshell。此外,飞牛OS还存在Websocket协议认证绕过漏洞,攻击者可通过构造合规加密包接入通信通道,实现命令注入RCE。该漏洞利用登录逻辑和Token生成逻辑,无需读取RSA私钥文件。此外,还存在授权命令执行漏洞,涉及CGI路径穿越和命令执行,需结合认证绕过和PostgreSQL数据库中的longtoken利用。官方提供了多种修复方案,但用户需谨慎使用非官方工具,并关注官方信息以获取最新修复。
路径穿越漏洞 Websocket认证绕过 授权命令执行 任意文件读取 系统更新拦截 远程代码执行(RCE) 命令注入 安全事件 漏洞利用工具
0x114 Stirling PDF SSRF漏洞(CVE-2025-55150)
Nday Poc 2026-02-10T10:29:50 Superhero
本文介绍了Stirling PDF SSRF漏洞(CVE-2025-55150)的详细信息。该漏洞存在于Stirling PDF接口中,允许攻击者在未经身份验证的情况下访问某些受限资源,获取内部服务器信息,从而可能导致系统处于极不安全的状态。文章中提供了漏洞的概述、复现方法、自查工具以及修复建议。此外,还介绍了Nday Poc公众号和内部圈子【Nday漏洞实战圈】,该圈子专注于公开1day/Nday漏洞复现和工具链适配支持,包括整合全网公开1day/Nday漏洞POC详情、适配检测脚本等。文章强调了合法授权测试的重要性,并提醒使用者在使用过程中可能产生的后果由使用者本人负责。
漏洞分析 服务器请求伪造 CVE编号 漏洞复现 安全工具 安全修复 网络安全
0x115 一次JAVA系统三个组合拳RCE代码审计案例
进击安全 2026-02-10T10:01:11 © 学员投稿
本文详细分析了一个基于Spring-MVC框架和Tomcat中间件的系统的代码审计过程,并发现了一个权限绕过和文件上传漏洞。首先,通过识别系统框架和配置文件,确定了系统使用Spring-MVC框架开发,并发现Tomcat中间件可能存在权限绕过风险。接着,深入分析权限校验逻辑,发现AuthInterceptor类在获取URL方式上存在错误,配合Tomcat中间件导致权限校验被绕过。随后,定位到文件上传漏洞,发现系统未对上传文件名进行有效过滤,且上传路径与权限拦截器中的判断路径不一致,从而成功绕过权限控制进行文件上传。最后,通过构造数据包成功上传文件,并进一步发现系统在文件上传后存在信息泄露和文件解析漏洞,最终实现了远程代码执行(RCE)。该漏洞利用了系统在权限控制和文件上传处理上的缺陷,展示了如何通过代码审计发现和利用安全漏洞。
Web安全 权限绕过 文件上传 Spring-MVC 代码审计 Tomcat
0x116 内网渗透中的权限扩展(三):在最高 UAC 级别下获取管理员与 SYSTEM 权限
寰宇密阁 2026-02-10T10:00:58 © 寰宇秘阁
本文深入探讨了在Windows系统中,当用户账户控制(UAC)设置为最高安全级别时,攻击者如何通过权限扩展技术获取管理员或SYSTEM权限。文章首先回顾了后渗透阶段的目标,包括获取管理员权限、读取密码、横向移动以及访问关键业务数据。接着,介绍了在最高UAC级别下,攻击者无法利用自动化绕过机制提升权限,但可以通过请求用户交互的方式获取管理员权限。文章以Metasploit框架为例,展示了如何使用ask模块请求权限,并通过社会工程学手段诱导用户点击允许,从而获取提升后的权限。最后,文章提出了针对防御的建议,强调了安全意识培训的重要性,并指出即使在高安全配置下,用户的错误操作也可能导致安全漏洞。
内网渗透 权限提升 UAC绕过 社会工程学 安全意识 防御研究 Windows安全 渗透测试
0x117 安卓逆向 -- 记一次SSL Pinning绕过
逆向有你 2026-02-10T09:24:02 lichuntian00
本文详细记录了一次针对某海外金融APP的SSL Pinning绕过过程。作者通过使用Google pixel4真机、Fiddler、JADX、Fr1.Frida等工具链,首先确认了APP未禁用系统代理且流量未解密,表明证书不被信任。接着,通过JADX反编译APK并搜索实现了多种自定义X509TrustManager,最终确定了SSL Client Factory类中的证书锁定机制。作者编写了Frida脚本,成功清空了证书固定规则,从而绕过了SSL Pinning,最终捕获到解密后的登录数据包。文章中还提供了部分Frida脚本的代码和执行结果截图,以供读者参考。
移动安全 逆向工程 SSL Pinning绕过 证书透明度 应用安全测试 安全漏洞 Frida框架 网络通信安全
0x118 BurpSuite插件 | Xia Sql二开 SQL注入扫描神器!
黑白之道 2026-02-10T09:18:56
本文介绍了Burp Suite插件S-XIASQL,这是一款专业的SQL注入检测工具,旨在自动化检测Web应用中的SQL注入漏洞。插件通过智能分析HTTP请求响应,快速识别潜在的SQL注入点,提高渗透测试效率。主要功能包括自动SQL注入检测、智能参数识别、多种Payload测试、响应差异分析、时间盲注检测、SQL注入确认机制、自动URL解码测试、一键sqlmap集成、自定义Payload、自定义报错信息、智能过滤和可视化界面。此外,还提供了详细的配置选项和使用方法,并强调了安全特性和更新日志,以确保用户了解插件的最新功能和改进。
Burp Suite 插件 SQL注入检测 渗透测试工具 自动化安全测试 漏洞扫描 代码审计 白名单机制 自定义配置 可视化界面
0x119 【银行逆向百例】16Android逆向之算法助手+frida绕过环境检测分析加密算法
挖个洞先 2026-02-10T09:16:25 © 挖个洞先
本文详细记录了在Windows 11专业版系统上,使用MuMu模拟器进行应用安全分析的过程。首先,作者通过安装KitsuneMagisk和LSPosed等工具,为模拟器获取root权限并启用Zygisk。接着,利用算法助手和Frida等工具,对目标应用进行弹窗拦截、日志分析和网络请求拦截。作者通过Hook Dialog.show方法绕过应用的环境检测弹窗,并成功定位到应用使用的RSA和AES加密算法。进一步,作者使用Frida编写脚本,对RSAUtils和AESUtils类进行延迟Hook,实现了对加密过程的详细监控和日志输出。最终,通过分析日志和抓包数据,验证了Hook效果,并成功绕过了应用的安全检测。整个过程涉及多个安全工具的使用和脚本编写,展示了在模拟环境中进行应用安全分析的技术细节和方法。
Android安全 Hook技术 逆向工程 加密解密分析 安全绕过 Frida使用 模拟器环境 安全研究
0x11a 【红队工具】Heavenly自动化生成白加黑免杀
安全天书 2026-02-10T09:11:02 © Hello888
本文介绍了一款名为Heavenly的自动化生成白加黑免杀工具,该工具旨在简化白加黑流程,方便用户实现黑DLL的生成。工具支持免杀国内外多种杀软,包括360安全卫士、腾讯电脑管家、Defender、火绒等。文章强调了该工具的使用仅限于安全测试和防御研究,禁止用于非法入侵或攻击他人系统。此外,文章还提到了一个名为“红蓝偶像练习生小圈子”,该圈子专注于渗透测试、红蓝对抗、钓鱼手法思路、武器化作,以及红队工具的二开与免杀。圈子内分享了一系列相关技术文章、攻防经验总结、学习笔记以及自研工具与插件,目前圈子成员已超过300人。文章中还展示了一些与免杀相关的图片,包括BIN文件加密、DLL文件分析、以及不同杀软的扫描结果。
网络安全工具 免杀技术 红队工具 渗透测试 安全研究 安全测试 恶意软件防御 杀软对抗
0x11b Fortinet FortiClientEMS 存在严重漏洞,可远程执行代码
暗镜 2026-02-10T09:01:38 © ZM
Fortinet近期发布紧急公告,揭露了其FortiClientEMS软件中的一个严重漏洞,编号为CVE-2026-21643,CVSS评分为9.1。这个漏洞是由于SQL注入问题,即未妥善处理特殊元素,使得未经身份验证的攻击者能够通过构造的HTTP请求执行未经授权的代码或命令。该漏洞可能导致攻击者获得目标网络的初步立足点,进行横向移动或部署恶意软件。Fortinet指出,该漏洞是由其产品安全团队内部发现的。受影响的版本包括FortiClientEMS 7.2和7.47.4.4,而8.0版本不受影响。用户应升级至7.4.5或更高版本以修复此漏洞。尽管Fortinet未透露该漏洞是否已被实际利用,但这一公告强调了及时更新软件以防止潜在安全威胁的重要性。
漏洞披露 SQL注入 远程执行代码 FortiClientEMS 紧急修复 身份验证绕过 横向移动 恶意软件部署
0x11c 殡仪馆 AshesSearch.jsp 存在信息泄露漏洞
实战安全研究 2026-02-10T09:00:28
本文报道了殡仪馆Web系统中AshesSearch.jsp页面存在的信息泄露漏洞。该漏洞由于未设置有效的身份验证、权限管控及访问限制,导致任何人无需登录和授权即可访问页面,获取页面中存储的逝者及家属的敏感隐私信息。该漏洞属于典型的访问控制缺失导致的信息泄露。文章提供了漏洞的影响版本、FOFA语法、漏洞复现步骤、检测POC以及漏洞修复建议。同时,文章也提到了一个名为“1day/Nday漏洞实战圈”的服务,该服务提供漏洞POC和复现步骤,适合渗透测试、攻防演练、安全运维、企业自查和SRC漏洞挖掘等安全领域人员使用。
信息泄露漏洞 Web应用安全 权限控制 漏洞复现 安全补丁 安全工具 安全研究 行业安全
0x11d 【已复现】深信服运维安全管理系统 common.jsp 存在任意文件上传(CVE-2025-15503)
momo安全 2026-02-10T08:50:52 © 蟑螂恶霸
本文介绍了深信服运维安全管理系统中的一个高危漏洞CVE-2025-15503。该漏洞存在于common.jsp文件中,由于未对上传文件进行校验,攻击者可以远程上传恶意脚本并直接执行,从而接管服务器。文章详细描述了漏洞的影响版本、复现方法以及修复建议,包括关闭互联网暴露面、升级至安全版本等。同时,文章还提供了Fofa语法、漏洞复现步骤、漏洞修复方法以及漏洞脚本下载方式。此外,文章还提到了相关的技术服务推广信息。请注意,本文内容仅供技术学习和讨论,禁止用于非法活动。
漏洞分析 文件上传漏洞 远程执行 安全修复建议 网络安全 深信服产品安全 技术讨论
0x11e GOGS 严重缺陷(CVSS 9.3)允许远程代码执行和绕过双因素认证
sec随谈 2026-02-10T08:46:13 sec随谈
Gogs,一款广受欢迎的自托管Git服务,近期被发现存在三个严重安全漏洞,分别追踪为CVE-2025-64111、CVE-2025-64175和CVE-2026-24135。其中,CVE-2025-64111是最严重的,CVSS评分为9.3,允许攻击者通过篡改配置文件执行远程命令,这一漏洞源于之前补丁的不完善。CVE-2025-64175(CVSS 7.7)影响了用户身份验证,攻击者可以绕过双因素认证。CVE-2026-24135(CVSS 7.2)是wiki更新功能中的路径遍历漏洞,允许已认证用户删除服务器上的任意文件。维护人员已在更新版本中修复了这些问题,建议管理员升级到最新版本以防止漏洞被利用。
开源软件漏洞 远程代码执行 双因素认证绕过 路径遍历漏洞 Git服务安全 系统入侵 安全更新
0x11f 压缩文件密码暴力破解测试解压工具 -- 7zrpw V1.6(2月10日更新)
Web安全工具库 2026-02-10T08:37:16 hillghost86
本文介绍了一款名为7zrpw的基于7-Zip的压缩文件密码破解和解压工具。该工具支持多种压缩格式,包括ZIP、RAR、7Z、TAR、GZ、BZ2、XZ、CAB、ISO、ARJ、LZH和WIM等,并具备中文界面。7zrpw具备密码破解功能,支持密码字典文件自动识别、手动输入密码、多线程破解以及密码自动保存。此外,工具还支持自动解压,智能文件类型检测,支持右键菜单集成和拖放文件操作。文章提醒用户在使用此工具时要注意合法合规,并建议在虚拟机中运行以防止病毒传播。文章还提供了工具的下载链接和安装使用说明,以及一个二维码,有效期为7天。
密码破解工具 压缩文件格式 网络安全工具 免责声明 虚拟机使用建议
0x120 Bloody Wolf 利用 NetSupport RAT 在鱼叉式网络钓鱼活动中攻击乌兹别克斯坦和俄罗斯
安全圈的那点事儿 2026-02-10T08:33:00 © 网络安全9527
Bloody Wolf 是一个针对乌兹别克斯坦和俄罗斯的网络攻击组织,他们利用NetSupport RAT远程访问木马进行鱼叉式网络钓鱼攻击。自2023年以来,该组织活跃于俄罗斯、吉尔吉斯斯坦、哈萨克斯坦和乌兹别克斯坦,针对制造业、金融业和IT行业发起攻击。卡巴斯基公司追踪到此次攻击造成了乌兹别克斯坦约50人感染,俄罗斯10台设备受到影响。攻击者利用网络钓鱼邮件传播恶意PDF附件,进而触发感染。NetSupport RAT被用于实现远程访问,而攻击者还在相关基础设施上发现了Mirai僵尸网络有效载荷,表明可能已扩展恶意软件库。此外,文章还提到了其他针对俄罗斯组织的网络攻击事件,包括ExCobalt和“惩罚猫头鹰”组织等,这些攻击涉及利用安全漏洞、窃取凭证、数据泄露等多种手段。
鱼叉式网络钓鱼 远程访问木马 恶意软件传播 国家间网络攻击 经济利益动机 网络间谍活动 物联网设备攻击 定向攻击 政府机构攻击 恶意软件库扩展
0x121 最新二开 fscan 发布:免杀突破火绒 360,流量伪装再升级
星夜AI安全 2026-02-10T08:28:01 © 星夜AI安全
本文详细介绍了一个网络安全扫描工具的增强功能和优化策略,重点关注提高扫描效率、降低被检测风险以及增强结果输出。工具通过优化端口扫描和服务识别流量特征、随机化HTTP请求头和Cookie、扰动爆破顺序和速率等方式,有效避免被WAF/IDS识别。此外,工具还引入了CEL表达式评估引擎,支持自定义POC脚本路径和名称,并提供了丰富的内置函数用于字符串处理、编码解码、随机数生成等。在Web扫描方面,工具实现了Referer、Cookie、X-Forwarded-For的随机化,以及请求速率扰动和基础头部伪装,进一步降低被风控识别的概率。日志与结果输出方面,工具支持全局静默模式、进度条显示、慢速日志输出和彩色输出控制。输出格式方面,工具支持文本、JSON和CSV格式,其中CSV格式增强了输出功能,包含22个详细列,自动分类设备类型和风险等级,便于用户进行数据分析。最后,文章还介绍了作者的职业背景和技术能力,以及其开发的多款安全工具和成果。
网络安全工具 漏洞扫描 Web安全 信息收集 渗透测试 安全防护 免杀技术 内网渗透
0x122 【CobaltStrike】NeoCS 4.9 终极版(自破解+二开+BUG修复)
星夜AI安全 2026-02-10T08:28:01 © 星夜AI安全
本文详细介绍了NeoCS 4.9终极版的破解、二开与BUG修复过程,以及其核心优化功能和免杀效果。该版本基于原版Cobalt Strike 4.9进行修改,移除了所有暗桩,并修复了多项已知BUG,提升了使用便捷性和稳定性。主要优化包括界面染色、实用功能增强、文件浏览器优化和默认设置优化。界面染色方面,对进程和文件浏览进行了个性化配色,并支持自定义修改。实用功能增强包括IP归属地显示、目标页面note多行显示优化、进程浏览搜索功能等。文件浏览器优化支持多文件上传、自动修改文件时间戳、CrossC2适配等。默认设置优化包括监听器默认配置、服务端一键启动和c2profile适配。此外,还介绍了该版本的免杀效果和使用方式,包括基础启动流程、核心功能使用和高级配置说明。该版本适用于安全测试与技术研究场景,并提供了多种免杀优化措施,以应对主流杀毒软件的检测。
CobaltStrike 恶意软件分析 网络攻击工具 渗透测试 免杀技术 软件破解 安全研究 二进制分析 C2架构
0x123 一款资产存活验证工具
星夜AI安全 2026-02-10T08:28:01 星夜AI安全
本文介绍了一款名为Web-SurvivalScan的资产存活验证工具。该工具用于在渗透测试项目中快速验证Web资产的存活状态。用户需要将目标Web资产地址批量复制到一个TXT文件中,然后运行脚本进行存活验证。脚本会自动识别目标地址,并提供代理IP和端口的设置选项。运行完成后,会生成output.txt和outerror.txt两个文件,分别用于导出验证存活成功和失败(状态码非200)的Web资产。此外,还会生成data/report.json和report.html文件,方便进一步处理和可视化展示。文章还提到了工具的版本、作者信息以及如何获取工具和加入交流群的相关信息。
网络安全工具 渗透测试 自动化测试 脚本编写 安全意识提升 风险防范 开源项目
0x124 跨站脚本攻击(XSS)速查手册(进阶篇)
Khan安全团队 2026-02-10T08:11:42
本文为网络安全领域的跨站脚本攻击(XSS)进阶篇,详细介绍了多种XSS攻击的载荷类型和利用场景。文章涵盖了不同情况下XSS载荷的应用,包括脚本块内字符串定界值、字符串引号被反斜杠转义、单行JS代码多位置反射、逻辑块内字符串定界值、反引号定界字符串、页面中双反射和三反射场景、文件上传场景下的XSS载荷,以及Markdown和XML页面中的XSS利用方法。文中通过示例代码和注释,深入解析了各种XSS攻击的实现方式,为网络安全学习者提供了宝贵的参考和实战经验。
XSS攻击 网络安全 Web安全 漏洞利用 脚本注入 安全防御
0x125 漏洞预警 | 用友U8Cloud SQL注入漏洞
浅安安全 2026-02-10T08:00:26 浅安
本文报道了一起用友U8Cloud SQL注入漏洞的预警信息。用友U8Cloud是一款面向成长型和创新型企业的云ERP解决方案。该漏洞存在于/u8cloud/openapi/ce.paper.query接口,未经身份验证的远程攻击者可能利用此漏洞获取数据库中的敏感信息。在更高权限的情况下,攻击者甚至可以向服务器中写入木马,进而获取服务器系统权限。目前,用友官方已经发布了漏洞修复版本,建议用户及时升级以保障系统安全。该漏洞被评定为高危等级,影响版本为用友U8Cloud。漏洞详情和修复建议已经公开,以便用户及时采取措施。
SQL注入漏洞 云ERP安全 企业级应用安全 高危漏洞 信息泄露风险 远程攻击 漏洞修复
0x126 基于Node.js的新型LTX窃取攻击程序可窃取用户登录凭证
安全圈的那点事儿 2026-02-10T07:50:55 © 网络安全9527
一种名为“LTX Stealer”的新型恶意软件利用Node.js架构入侵Windows系统,旨在窃取用户敏感信息。该恶意软件通过合法的安装程序隐藏其恶意意图,并使用大文件大小策略绕过防病毒引擎。它攻击基于Chromium内核的浏览器,窃取密码和会话cookie,并扫描加密货币钱包。LTX Stealer使用混淆技术保护其代码,使其难以分析。防御措施包括阻止已知指标、监控文件创建、标记大型二进制文件和检测凭据访问。
Node.js Malware LTX Stealer Windows Security Data Theft Browser Exploitation Cryptocurrency Threats Advanced Persistent Threats (APTs) Cloud Services Abuse File Analysis
0x127 【商密测评】电子门禁系统进出记录数据的存储完整性:HMAC-SM3算法原理、合规分析与部署指南
利刃信安 2026-02-10T07:19:00 © 利刃信安
本文详细探讨了电子门禁系统进出记录数据的存储完整性,重点介绍了HMAC-SM3算法的原理、合规性分析以及部署指南。文章首先阐述了商用密码应用安全性评估标准中物理和环境安全要求,强调了采用国密算法、密钥全生命周期安全、数据完整性保护机制、密码模块合规以及审计与日志安全的重要性。接着,深入解析了HMAC-SM3算法的技术实现原理与计算步骤,包括密钥预处理、内部填充与外部填充、内层哈希计算、外层哈希计算等。文章还分析了HMAC-SM3在电子门禁数据库表完整性保护中的应用机制,从基础的单条记录完整性绑定到增强的抗重放与链式完整性防护。最后,从合规视角分析了HMAC-SM3部署的强制性要求与必要性,并提出了电子门禁数据库表安全性的最佳实践与参考架构,为构建高安全等级的电子门禁系统提供了全面的指导。
网络安全 商用密码应用 数据完整性 HMAC-SM3 密码学 电子门禁 合规性 防重放攻击 密钥管理 安全审计
0x128 分享1个发现隐藏资产的技巧,附实战
锐鉴安全 2026-02-10T07:00:24 © 锐鉴安全
本文分享了一个发现隐藏资产的技巧,通过实际案例展示了如何通过信息收集和漏洞挖掘过程发现高校人脸采集系统的未授权漏洞。作者通过灯塔工具发现了一个未被常规资产收集工具索引的系统,并通过fuzz测试发现了注册账号的漏洞。接着,文章介绍了一种通过微信公众号发现隐藏资产的方法,通过分析高校微信公众号中的服务功能,找到了一个未知的登录入口,并利用默认密码提示成功注册并登录系统。文章强调了这种方法对于提升漏洞挖掘效率的重要性,并提醒读者不要利用文中提供的技术进行非法测试。
漏洞挖掘 未授权访问 安全测试 漏洞利用 Fuzz测试 信息收集 社交媒体安全 教育机构安全 敏感信息保护 网络安全意识
0x129 资产快速发现工具 TscanPlus
进击的HACK 2026-02-10T00:04:15
本文介绍了一款名为TscanPlus的网络安全资产快速发现工具。TscanPlus支持多种平台,用户下载后无需复杂配置即可使用。该工具具备丰富的功能,包括信息搜集、端口探测、服务识别、URL指纹识别、POC验证、弱口令猜解、目录扫描等。此外,还提供了编码解码、加密解密、CS上线、反弹shell、杀软查询、提权辅助等辅助功能。TscanPlus还支持项目管理,用户可以创建项目进行资产扫描。文章中还提到了TscanClient的GUI和命令行工具,以及如何使用TscanPlus进行信息收集和轻武器库的使用。
网络安全工具 自动化扫描 信息搜集 漏洞扫描 安全评估 开源工具 命令行工具
0x12a SRC挖洞的立体化作战:从“撒网捕鱼”到“精准狙击”的工业级漏洞狩猎体系
逍遥子讲安全 2026-02-10T00:01:58 © 逍遥
本文深入探讨了网络安全领域中SRC(Security Response Center)漏洞挖掘的立体化作战方法,从传统的“撒网捕鱼”式漏洞挖掘,提升至“精准狙击”的工业级漏洞狩猎体系。文章首先介绍了资产测绘革命的三个阶段,包括子域名枚举的终结、关联资产挖掘以及股权穿透分析。接着,阐述了技术栈深度剖析的四个维度,即精确版本+已知漏洞识别、非常规端口服务发现、前端源码“考古学”以及第三方依赖供应链分析。随后,介绍了历史与动态情报的利用,包括Wayback Machine的时间旅行、GitHub/Gitee的意外馈赠以及漏洞情报的主动监控。文章还强调了业务逻辑深度测绘的重要性,包括用户角色权限图谱和关键业务流“压力测试”。最后,介绍了武器化的自动化框架,以及如何通过系统工程师、数据科学家和漏洞研究者的思维模型,将SRC挖洞转化为可预测、可优化、可复制的工业化生产流程。
漏洞挖掘 安全研究 SRC挖洞 自动化工具 信息收集 技术栈分析 历史与动态情报 业务逻辑分析 自动化框架
0x12b 网络安全必备要素检查清单(Checklist)
河南等级保护测评 2026-02-10T00:00:58 何威风
本文提供了一份企业网络安全检查清单,旨在帮助企业IT和安全团队、审计人员以及管理层全面评估网络安全状况。清单涵盖了网络基础设施、远程访问、无线网络、身份认证、特权账户管理、数据保护、备份与灾难恢复、终端与服务器安全、日志监控、安全事件响应、员工安全意识以及合规审计等多个方面。每个方面都列出了具体的检查项目,如防火墙配置、VPN加密协议、多因素认证、数据分类分级、备份策略、终端防病毒等。清单强调了定期审查、审计和应急响应的重要性,并建议结合资产清单和风险分级使用。此外,还提醒了清单仅供参考,需结合实际情况进行调整,并承担相应的责任。
网络安全策略 网络基础设施 远程访问安全 无线网络安全 身份认证与访问控制 特权账户管理 数据安全 备份与灾难恢复 终端与服务器安全 安全监控与日志 安全事件响应 员工安全意识 合规与审计
0x12c 工具推荐 | JeecgBoot 全场景漏洞检测工具,覆盖 20+ 高危漏洞
星落安全团队 2026-02-10T00:00:57 Msup5
本文介绍了一款名为JeecgBoot的全场景漏洞检测工具,该工具专为JeecgBoot框架设计,用于检测和防御SQL注入、命令执行等高危漏洞。JeecgGo工具基于Go语言开发,集成了20余种高危漏洞检测模块,支持多种测试模式,包括基础URL一键扫描、携带Token授权测试和指定漏洞精准验证。工具检测结果可自动导出为JSON格式,便于分析和报告生成。文章详细介绍了JeecgGo的使用方法和核心功能,包括SQL注入、命令执行、文件上传、信息泄露和权限漏洞等多个方面的检测能力,旨在帮助安全团队高效完成JeecgBoot框架的安全评估。同时,文章也提醒了读者,所涉及的技术、思路和工具仅用于安全测试和防御研究,不得用于非法目的。
网络安全工具 漏洞检测 JeecgBoot框架 SQL注入 命令执行 安全评估 Go语言开发 JSON输出 安全研究
0x12d AI智能体的“连接”危机:MCP架构攻击面解读
锦岳智慧 2026-02-10T00:00:25
本文深入探讨了AI智能体上下文协议(MCP)的架构及其潜在的安全风险。MCP作为由Anthropic推出的开放标准,旨在简化大型语言模型与外部数据源和工具的连接,但其灵活性和开放性也带来了安全挑战。文章分析了MCP的架构,包括其核心组件如MCP Server、MCP Client和MCP Host,以及服务端托管平台和数据源等。接着,文章从协议层设计、认证与授权、供应链与第三方依赖、工具执行和数据泄露与隐私等方面分析了MCP架构的安全风险。最后,文章提出了基于风险维度的攻击面映射与威胁,并给出了纵深防御、供应链治理、最小权限原则和持续监控与审计等核心防护建议。
AI安全 协议安全 软件供应链安全 数据泄露与隐私 命令注入 认证与授权 Web服务安全 供应链攻击 网络攻击 系统安全
0x12e WordPress WC Designer Pro(CVE-2025-6440)分析
GET不到的FLAG 2026-02-09T21:46:39 © 仰恩网安校队
本文分析了WordPress WC Designer Pro插件中的一个任意文件上传漏洞(CVE-2025-6440)。该漏洞存在于插件的一个未经验证的文件上传功能中,允许攻击者通过构造特定的JSON数据包,控制文件名、后缀名和上传目录,从而上传Webshell。文章详细描述了漏洞的发现过程,包括插件的工作流程、路由入口、鉴权机制(或缺乏鉴权)以及漏洞函数的具体逻辑。通过分析,作者确定了攻击者可以利用该漏洞上传Webshell的方法,并提供了相应的漏洞复现步骤。
漏洞分析 WordPress安全 文件上传漏洞 代码审计 安全漏洞复现 安全防护
0x12f 深入学习PE文件结构系列五自己实现一个PE解析器
卡卡罗特取西经 2026-02-09T21:33:26 © ybdt
本文介绍了如何使用C++实现一个PE Parser,用于解析PE32和PE32+格式的PE文件。该Parser能够解析PE文件的各个部分,包括DOS头、Rich头、NT头、数据目录、节头、导入表和重定位表。Parser首先通过读取DOS头和NT头的签名来判断文件是否为有效的PE文件,然后根据PE可选头的字段判断文件是32位PE还是64位PE。接着,Parser会解析DOS头、Rich头、NT头、节头、导入数据目录、重定位数据目录等信息,并输出文件名、文件类型、DOS头签名、PE文件签名、节的数量、代码节大小、数据节大小、入口点地址、代码节起始RVA、期望的映像基址、节对齐、文件对齐、映像文件大小、各类头的大小、数据目录中每一项的名字、RVA和大小、节头中每一项的名字、节在文件中的起始地址和大小、节在内存中的起始地址和大小、节的属性、导入表中每个DLL的名字、ILT和IAT、是否使用绑定导入、使用名称还是需要搜索函数、函数名称表的RVA、重定位表中每个块对应的页面RVA、块大小、块项的数量等信息。
PE File Format PE File Analysis PE File Parser Cybersecurity Education Malware Analysis
0x130 通过补丁对比分析 N-day 漏洞
securitainment 2026-02-09T21:31:56 c0w5lip
本文深入介绍了网络安全领域的“补丁对比”技术,并通过CVE-2023-38831这一影响WinRAR的真实漏洞案例进行了详细分析。文章首先解释了补丁对比的基本概念,即比较应用补丁前后的二进制文件,以识别修复过程中的所有代码变化。接着,文章阐述了进行补丁对比的原因,包括帮助研究人员反向工程漏洞、绕过补丁以及发现新漏洞等。文章详细描述了如何使用Diaphora或BinDiff等工具进行补丁对比,包括将二进制文件导出到数据库、对比筛选和审查对比结果等步骤。以WinRAR为例,文章展示了如何获取二进制文件、分析过程以及如何从代码变化中识别潜在的可利用内容。此外,文章还讨论了动态分析与静态分析的区别,并总结了补丁对比技术的应用价值。
漏洞分析 逆向工程 二进制对比 网络安全工具 Windows安全 漏洞利用 安全研究
0x131 Administrator Protection 安全边界绕过漏洞分析
securitainment 2026-02-09T21:31:56 James Forshaw
本文详细介绍了Windows 11最新版本25H2中的Administrator Protection功能,该功能旨在取代传统的User Account Control (UAC),为系统建立一个更稳健、可防御的安全边界。文章首先概述了UAC的缺陷,如设计上的根本问题导致受限用户可绕过权限控制,以及自动提升机制带来的安全隐患。随后,介绍了Administrator Protection的工作原理及其优势,包括使用独立的影子管理员账户和无需用户输入凭据等。作者James Forshaw通过逆向工程和行为分析,发现了九种绕过Administrator Protection并静默获取管理员权限的方法,其中最有趣的一种涉及利用登录会话和DOS设备对象目录的访问控制漏洞。该漏洞利用了多个操作系统行为,最终使受限用户获得对影子管理员令牌DOS设备对象目录的完全访问权限。作者对Microsoft的快速响应表示赞赏,但也建议Administrator Protection应更具可配置性和可控性,并作为独立模式供系统管理员选择。文章最后强调,使用Windows最安全的方式是永远不以管理员身份运行,并避免让恶意软件进入系统。
Windows 11 UAC (User Account Control) 权限提升 (Elevation of Privilege) 内核安全 TokenLinkedToken 绕过漏洞 (Bypass Vulnerability) 内核机制利用 竞争条件 (Race Condition) 安全缓解措施 安全研究
0x132 Windows内核溢出漏洞——栈溢出保护(上篇)
众亦信安 2026-02-09T21:09:53 miracleyifang
本文详细介绍了在开启SMEP和GS保护的情况下如何进行Windows内核栈溢出攻击。首先,文章分析了GS保护机制,即通过security_cookie来检测栈溢出,指出security_cookie位于.data段且可被改写,以及SEH部分不受保护的特点。针对GS保护,提出通过任意地址写入漏洞重写security_cookie,或在栈溢出前触发异常处理来绕过。接着,文章阐述了SMEP和SMAP的保护机制,重点讲解通过PTE复写技术绕过SMEP的方法,包括获取RSP值、修改PTE页表属性以允许内核执行用户态代码,并使用wbinvd指令刷新缓存。最后,针对wbinvd指令破坏栈的问题,提出通过swapgs恢复内核态→用户态切换所需的寄存器状态,并使用sysret指令直接返回用户态,实现稳定的安全退出。文章还提到了提权后不要直接关闭内核句柄,以避免进程卡死。
0x133 RecoverIt 新工具滥用 Windows 服务故障恢复机制执行恶意载荷
Ots安全 2026-02-09T20:50:40
一款名为“RecoverIt”的新型攻击性安全工具近期发布,它利用Windows服务的故障恢复机制进行恶意载荷的执行。这种攻击方式绕过了传统的检测方法,如监控服务创建和二进制路径。攻击者通过修改Windows服务的“恢复”选项卡,使服务在故障时自动执行恶意命令。该工具能够自动识别容易崩溃的服务,并修改其恢复逻辑。由于不触及合法的图像路径,这种技术绕过了服务的主要入侵指标(IOC),从而难以被检测和防御。RecoverIt工具的发布为网络安全带来了新的挑战,要求防御者更加关注Windows服务配置的审查和监控。
恶意软件攻击 Windows服务漏洞 横向移动 持久化 绕过检测 安全工具 红队工具 EDR绕过
0x134 路由器:你家网络的“盲区管家”正在泄露多少秘密?
渗透测试知识学习 2026-02-09T19:05:33 © xxxxxx
本文深入探讨了家庭路由器可能存在的安全隐患,指出长时间未更新的固件、弱密码设置以及默认的远程管理功能等常见漏洞,这些漏洞可能被黑客利用,入侵智能家居设备。文章提供了五步加固方案,包括更新固件、设置强密码、启用网络加密、关闭不必要功能和创建访客网络,以及如何使用检测工具进行快速自查。此外,还提醒了用户注意紧急警告信号,并建议养成定期检查路由器安全的良好习惯,强调了保护网络入口点对于整个数字家庭安全的重要性。
网络设备安全 固件更新 密码安全 WPS漏洞 远程管理 智能家居安全 网络加密 安全检查习惯 安全工具
0x135 【安全圈】SandboxJS 四大高危漏洞(CVSS 10.0)可导致宿主系统沦陷
安全圈 2026-02-09T19:02:08
SandboxJS,一款专为隔离和保护JavaScript执行而设计的库,近期被发现存在四个高危漏洞(CVE-2026-25520、CVE-2026-25586、CVE-2026-25587 和 CVE-2026-25641),这些漏洞均被评为CVSS 10.0的最高风险评分。这些漏洞允许攻击者绕过沙箱限制,在宿主系统上执行任意代码。其中,CVE-2026-25520漏洞利用了函数返回值处理缺陷,CVE-2026-25587漏洞针对Map对象的安全机制失效,CVE-2026-25586漏洞是宿主原型污染漏洞,而CVE-2026-25641则是检查时与使用时差漏洞。这些漏洞对依赖SandboxJS安全运行非受信代码的开发者构成了严重威胁,可能导致沙箱的安全承诺被彻底瓦解。
JavaScript安全 沙箱逃逸 高危漏洞 CVE编号 代码审计 安全漏洞公告 网络安全
0x136 SQL注入理论与实践合集总结
武文学网安 2026-02-09T18:49:38 © 武文学网安
本文是对SQL注入技术的一次全面总结。作者通过完成sqli-labs靶场的所有关卡,提炼出SQL注入的核心流程和可复用方法。文章详细介绍了SQL注入的核心流程,包括识别注入点、判断闭合方式、判断回显能力、确定注入类型、构造稳定Payload、信息收集、数据获取和权限利用等步骤。同时,文章还涵盖了闭合方式、注释符、注入类型分类、信息收集标准流程、权限利用以及真实环境注意事项等内容。作者强调,建立攻击流程思维是学习SQL注入的关键,并指出sqli-labs靶场的学习价值在于培养这种思维。最后,作者预告了下一阶段的学习内容,包括XSS、文件上传漏洞、认证绕过、SSRF和反序列化等安全知识点。
SQL注入 网络安全 渗透测试 漏洞利用 数据库安全 靶场学习 技术总结
0x137 第20天-信息收集完全指南:从端口扫描到源码泄漏
AlphaNet 2026-02-09T18:43:12 © 萧瑶
本文详细介绍了网络安全中的信息收集过程,涵盖了从基础信息收集到应用服务识别、角色定性判定等多个方面。文章首先介绍了如何通过操作系统识别、端口服务特征和TTL值判断等手段来识别操作系统类型和IP资产。接着,详细讲解了端口资产探测的方法,包括使用网络资产测绘引擎、在线端口扫描工具以及本地扫描工具。文章还介绍了应用服务识别端口协议对应服务的方法,以及如何进行角色定性判定。此外,还涉及了域名资产拓展、Web架构分析、源码获取策略、JS前端分析等方面的内容。最后,总结了信息收集的方法论,强调了逻辑思维、方法体系和工具辅助的重要性,并指出掌握这些技巧对于渗透测试、安全评估和红队行动至关重要。
网络安全 信息收集 渗透测试 漏洞分析 技术工具 操作系统 端口扫描 域名解析 Web应用安全 实战技巧
0x138 第19天-网络安全基石:全方位信息收集与资产测绘实战笔记
AlphaNet 2026-02-09T18:24:26 © 萧瑶
本文深入探讨了网络安全中的信息收集与资产测绘实战方法。文章首先强调了信息收集在网络安全中的重要性,并详细介绍了从外围资产发现到深层源码获取的全链路信息收集方法论。文章分为多个章节,包括资产发现、资产剖析、域名与子域名挖掘、Web架构分析与指纹识别、WAF与蜜罐识别以及源码获取实战。每个章节都提供了具体的工具和方法,如IP资产探查、端口资产测绘、域名信息收集、指纹识别等。文章强调了信息收集是一个循环迭代的过程,并建议读者掌握系统性的方法论和各类工具,以构建清晰的目标画像,从而在网络安全攻防中取得优势。
网络安全基础 渗透测试 红队行动 安全防护 信息收集 资产测绘 Web安全 漏洞挖掘 工具使用 实战技巧
0x139 记一次坎坷的内网靶场渗透
陌笙不太懂安全 2026-02-09T17:46:08 © 陌笙
本文详细记录了一个基于红日靶场的网络安全实战渗透测试过程。首先,通过信息收集发现一个Web资产,初步访问和目录扫描未发现明显突破口。随后,扫描发现开放了3389和1433等端口,并识别出WebLogic中间件。利用WebLogic的NDAY漏洞成功获取管理员权限,并上线内存马。由于360杀软的存在,内存马被清除,尝试通过创建用户和远程登录卸载360失败。进一步收集信息发现域环境,通过解密boot.properties文件获取域管理员密码。使用该密码成功登录WebLogic控制台,并尝试使用CS木马进行提权,但多次失败。最终,通过密码喷射和psexec成功在另一台主机上获取shell,并计划进行横向移动和提权操作。整个过程涉及漏洞利用、权限提升、横向移动等多个网络安全技术点。
Web安全 漏洞利用 提权 横向移动 恶意软件 Windows安全 域渗透 信息收集 密码破解与解密 工具使用
0x13a 0127.XML 中隐藏的危险:深入剖析 XXE 注入,助力现代渗透测试人员。
Rsec 2026-02-09T17:31:29 © Fuzzyy Duck
本文深入探讨了XML中隐藏的危险,特别是XML外部实体注入(XXE)漏洞。文章首先介绍了XML的基本原理和其在现代Web应用中的重要性,随后详细解释了XXE漏洞的内部工作原理和攻击向量。通过实例展示了XXE攻击如何导致本地文件泄露、SSRF攻击和拒绝服务攻击。文章还分析了XXE漏洞存在的原因,如遗留系统、不安全的默认解析器和配置错误。最后,提供了预防XXE漏洞的工程级策略,包括禁用DTD处理、使用安全的解析器库和实施网络层面的控制措施。
XML安全 渗透测试 漏洞分析 安全防御 编程语言 网络攻击
0x13b 【高危漏洞预警】Microsoft Office 安全功能绕过漏洞(CVE-2026-21509)
信通云服 2026-02-09T17:11:09
本文报道了Microsoft Office软件套件中存在的一个安全功能绕过漏洞(CVE-2026-21509)。该漏洞允许攻击者通过构造特制文档来绕过Microsoft Office中用于防御不安全OLE对象的防护机制。攻击者无需用户认证即可利用此漏洞,且已发现漏洞在野利用。受影响的Office版本包括2016、2019、LTSC 2021、LTSC 2024以及Microsoft 365 Apps for Enterprise。微软已发布修复该漏洞的最新版本,建议用户更新至最新版本。同时,提供了一些临时修复建议,如关闭未使用的功能模块、遵循最小权限原则、限制访问源为可信范围等,以减少潜在风险。
Microsoft Office 漏洞 安全功能绕过 CVE-2026-21509 文档攻击 远程代码执行 漏洞利用 软件更新 企业安全 网络安全
0x13c 安全简讯(2026.02.09)
启明星辰安全简讯 2026-02-09T17:02:13
本文报道了2026年2月9日网络安全领域的一些重要事件。Flickr因第三方服务漏洞导致用户数据泄露,可能涉及用户姓名、邮箱等个人信息。思科Talos揭露了针对中文用户的Linux网关攻击框架DKnife,该框架自2019年起被用于恶意活动。美国支付网关BridgePay遭遇勒索软件攻击,导致全国服务中断。美国CISA将SmarterMail和React Native的漏洞加入已知可利用漏洞目录,并要求联邦机构修复。英国建筑公司遭受Prometei僵尸网络攻击,该僵尸网络与俄罗斯有关。此外,国家支持组织TGR-STA-1030/UNC6619发起了名为“影子行动”的大规模网络攻击,渗透多个国家的关键基础设施。
数据泄露 恶意软件 勒索软件攻击 漏洞披露 僵尸网络攻击 国家支持网络攻击
0x13d 记一次组合拳之SPEL
马哥网络安全 2026-02-09T17:01:52 点击关注👉
本文详细记录了一次渗透测试的完整过程,从信息收集到获取shell。作者首先尝试弱密码登录未果,随后进行目录扫描发现heapdump泄露,通过heapdump获取到管理员密码。进入内部界面后,作者分析了多个接口,发现一个疑似表达式注入的接口。通过尝试不同的表达式和黑名单绕过技巧,作者确定了是SPEL表达式注入,并遇到了WAF限制。为了绕过WAF,作者深入研究SPEL表达式和Java反射机制,通过分析源码,最终成功实例化Runtime类并执行命令,获取了shell。整个过程充满了挑战和思考,作者强调了思考过程的重要性,并分享了通过分析源码找到绕过方法的心得。
Web安全 漏洞利用 Java安全 表达式注入 渗透测试 源码审计 WAF绕过 堆转储
0x13e 浅谈 webshell 构造之如何获取恶意函数
蚁景网安 2026-02-09T16:30:39 lll
本文主要探讨了如何获取恶意函数的方法。文章首先介绍了使用 get_defined_functions() 函数获取所有已定义函数的数组,并通过分析数组中的函数名来找到恶意函数,例如 system 函数。接着,文章提出通过 get_defined_constants() 函数获取所有常量的关联数组,并从中提取出 system 函数。此外,文章还介绍了一种自定义方法,通过将数字转换为字符串来隐含获取恶意函数名。文章进一步探讨了利用异常类 ParseError 和 DirectoryIterator 类来获取恶意函数的方法。通过分析 ParseError 类的属性和方法,以及 DirectoryIterator 类的 getFilename 方法,文章展示了如何构造出恶意函数名。最后,文章通过 pack 函数的示例,展示了如何将ASCII码值和十六进制字符串转换为恶意函数名。这些方法为网络安全学习者提供了获取恶意函数的实用技巧。
PHP Web安全 代码注入 函数滥用 恶意代码执行 安全研究
0x13f C2后门程序通信的 “低交互、弱心跳” 技术原理分析
白帽子社区团队 2026-02-09T16:23:02 © 无问社区
传统C2通信模式存在固定心跳、高信道占用率、易暴露基础设施和响应迟滞等问题,在现代防御体系中难以生存。为应对这些局限,攻击者提出了“低交互、弱心跳”理念,通过事件驱动和第三方平台(如GitHub Gist、Slack Webhook、AWS Lambda等)实现隐蔽通信。这种新型C2架构采用去中心化、非周期性通信模型,并融合多源异步通信和动态信道切换机制,显著降低了被检测的风险。然而,这也对现有防御体系提出了挑战,需要构建具备上下文感知、动态学习、跨域联动能力的下一代智能防御体系,才能有效应对这场攻防博弈的演变。
C2架构 传统C2通信模式 低交互、弱心跳架构 事件驱动型回连机制 多信道冗余设计 动态信道生成 无服务器反向通道 网络安全防御 行为基线建模 上下文感知检测 云服务日志深度分析 零信任架构
0x140 BeyondTrust 修复了远程支持和 PRA 中的关键身份验证前远程代码执行漏洞
安全圈的那点事儿 2026-02-09T16:22:15 © 网络安全9527
BeyondTrust公司近日发布更新,修复了其远程支持(RS)和特权远程访问(PRA)产品中的一个严重身份验证前远程代码执行漏洞。该漏洞(CVE-2026-1731)评级为CVSS 9.9,允许未经身份验证的攻击者通过发送构造请求在用户上下文中执行操作系统命令。该漏洞影响了远程支持25.3.1及更早版本和特权远程访问24.3.4及更早版本。BeyondTrust已发布补丁,针对远程支持为25.3.2及更高版本,针对特权远程访问为25.1.1及更高版本。公司建议所有自托管客户手动应用补丁,并提醒用户尽快更新到最新版本以防止未经授权的访问和数据泄露。安全研究员Harsh Jaiswal指出,该漏洞被发现时已有约11,000个实例暴露在互联网上,其中约8500个是本地部署且未应用补丁。
漏洞修复 远程代码执行 身份验证漏洞 CVE编号 CVSS评分 操作系统命令注入 产品安全 自动更新 安全补丁 网络安全事件
0x141 NightHawk C2 服务端无法连接修复方法
RedTeam回忆录 2026-02-09T16:18:11 © Pop
本文详细分析了NightHawk C2服务端无法连接的问题及其解决方法。文章指出,新机器上无法连接服务端的根本原因在于使用了旧机器的operator.cfg配置文件。这是因为新机器启动服务端后会生成新的CA根证书,而旧配置文件中的客户端证书是由旧CA根证书签发,导致认证失败。文章提供了详细的步骤,指导用户在新机器上重新生成operator.cfg文件,以确保其与新机器的CA根证书匹配,从而成功连接服务端。同时,文章还提醒用户注意一些易错点,如旧operator.cfg的不可复用性以及重新生成配置文件时需要确保服务端已启动过一次。总结来说,解决NightHawk C2服务端连接问题需要在新机器上重新生成operator.cfg文件。
网络安全配置 网络安全工具 安全漏洞修复 证书管理 跨平台安全
0x142 【AI高危漏洞预警】OpenClaw PATH命令注入漏洞CVE-2026-24763
飓风网络安全 2026-02-09T16:14:19 cexlife
本文分析了OpenClaw(前身为Clawdbot)个人AI助手存在的一个高危漏洞CVE-2026-24763。该漏洞由于PATH环境变量处理不当,导致攻击者可能通过已认证用户控制环境变量,进而执行任意命令。漏洞影响OpenClaw Clawdbot版本小于2026.1.29的用户。官方已发布补丁,建议用户升级至最新版本2026.2.3以修复漏洞。同时,文章提供了限制权限、输入验证、日志监控和镜像安全扫描等多方面的安全建议,以增强系统的安全性。
漏洞分析 个人AI助手安全 环境变量漏洞 命令注入 Docker安全 版本更新 安全最佳实践
0x143 【蓝队攻防对抗必备】从威胁狩猎到事件响应一站式资源汇总(蓝队清单,涵盖SIEM/EDR/蜜罐等20+领域)
0xSecDebug 2026-02-09T14:14:22 © 0xSecDebug
本文提供了一份针对网络安全蓝队攻防对抗的一站式资源汇总,内容涵盖了SIEM/EDR/蜜罐等20多个领域。文章首先强调了读者在使用这些资源时不得从事非法渗透测试,并对可能产生的后果承担责任。资源列表包括自动化工具、代码库、安全编排自动化与响应平台、安全通讯、DevSecOps、应用加固、模糊测试、策略执行、蜜罐、Tarpits、主机防护工具、沙箱、事件响应工具、事件响应管理平台、事件证据搜集、网络外围防御、防火墙、操作系统、网络钓鱼意识和报告、攻防演练、安全监控、端点防护及响应、网络安全监控、安全信息和事件管理等服务。文章还提到了一系列自动化工具,如Ansible Lockdown、Clevis、DShell等,以及安全编排自动化与响应平台如SOAR、Security Orchestration, Automation and Response。此外,还涉及云平台安全、通讯安全、DevSecOps、模糊测试、策略执行、蜜罐、Tarpits等领域。文章最后提供了项目地址和钉钉群信息,以便读者获取更多资源和最新威胁情报。
网络安全 蓝队攻防 威胁狩猎 事件响应 SIEM/EDR 蜜罐技术 威胁情报 DevSecOps 安全自动化 安全社区
0x144 TA584黑客团伙利用Tsundere Bot与XWorm实施勒索软件攻击
嘶吼专业版 2026-02-09T14:01:18 胡金鱼
TA584黑客团伙被发现利用Tsundere Bot和XWorm远程访问木马,获取目标网络访问权限,为后续勒索软件攻击做准备。自2020年以来,Proofpoint研究人员持续追踪TA584的活动,发现其攻击规模在2025年末较第一季度增长两倍,攻击范围扩展至德国、欧洲多国及澳大利亚。TA584主要通过发送钓鱼邮件,诱导用户执行PowerShell命令,进而加载Tsundere Bot或XWorm。Tsundere Bot是一款具备后门与加载器功能的恶意软件即服务(MaaS)平台,通过WebSocket协议与C2服务器通信,具备信息收集、数据窃取等功能。该恶意软件平台还内置交易市场,可直接进行木马程序的买卖交易。
勒索软件攻击 初始访问中间商(IAB) 远程访问木马 恶意软件分析 攻击链 信息收集与窃取 横向移动 恶意软件即服务(MaaS) Node.js 攻击趋势
0x145 记docker复杂环境下的内网打点
掌控安全EDU 2026-02-09T13:57:25 © zkaq-syst1m
本文详细描述了一个网络安全渗透测试的完整流程,从外部利用到内网渗透,最终实现多台主机的控制。首先,通过1Day SQL注入(MySQL)和XXE漏洞获取初始权限,发现隐藏的Jeecg-Boot系统并利用RCE漏洞获取Shell。由于目标环境严格限制出网,常规反弹Shell失败,最终使用特制版哥斯拉成功植入内存马。进入Docker环境后,由于无法逃逸,手动打入sou5内存马建立隧道进入Docker内网。内网侦察阶段,使用webshell工具自带的端口扫描和fscan发现多个开放服务。横向渗透阶段,通过Swagger API接口报错注入获取MySQL root密码,破解哈希后尝试连接但受限制,通过密码复用进入MSSQL服务器但同样不出网。利用S2漏洞攻陷Linux服务器,发现多台SSH弱口令主机,使用永恒之蓝攻陷Windows机器并抓取密码。通过已攻陷的Windows主机作为跳板,进入内网其他隔离网段,继续扫描发现更多弱口令和未授权访问漏洞。最终成果为控制多台内网主机(Linux、Windows、数据库),获取多个高权限账户,突破内网隔离进入不同网段。整个过程展示了多种漏洞利用技术和内网渗透技巧,强调了防护措施的重要性。
SQL注入 XXE漏洞 RCE(远程命令执行) 内存马注入 Docker环境 内网横向渗透 数据库安全 Web安全 S2漏洞 永恒之蓝(MS17-010) 弱口令攻击 网络隔离突破 安全意识 实战案例
0x146 黑客正积极利用 SolarWinds Web Help Desk 的远程代码执行漏洞部署自定义工具
安全圈的那点事儿 2026-02-09T13:48:00 © 网络安全9527
SolarWinds Web Help Desk (WHD) 的远程代码执行 (RCE) 漏洞正被黑客积极利用,用于部署自定义工具。Huntress 指出,超过80%的受影响组织正在运行此软件,暴露了广泛的风险。攻击者利用漏洞通过Java进程执行cmd.exe,安装了Zoho ManageEngine RMM代理,这是一个合法的远程管理工具,常被用作后渗透攻击目标。攻击者随后部署了开源DFIR平台Velociraptor,尽管它是为防御者设计的,但在被滥用时也能作为有效的C2框架。攻击者使用Velociraptor执行了一系列操作,包括禁用Windows安全功能、建立隧道访问和从GitHub安装Cloudflared。他们还利用Elastic Cloud构建了一个受害者管理和分类平台。受影响的组织应更新至最新版本并采取其他安全措施。
漏洞利用 供应链攻击 后渗透攻击 远程管理工具 恶意软件部署 防御策略 安全事件分析
0x147 【CobaltStrike】NeoCS 4.9 终极版(自破解+二开+BUG修复)
星夜AI安全 2026-02-09T13:15:52 © 星夜AI安全
本文详细介绍了NeoCS 4.9终极版,这是一个基于Cobalt Strike 4.9进行破解、二开和BUG修复的版本。该版本移除了原版的所有暗桩,并进行了大量优化,包括界面染色优化、实用功能增强、文件浏览器优化、默认设置优化以及BUG修复。界面染色方面,对进程和文件进行了个性化颜色标注,并优化了文件上传和下载功能。实用功能增强包括IP归属地显示、目标页面note多行显示优化、进程浏览搜索功能以及beacon右键信息查看等。文件浏览器优化支持多文件上传、自动修改文件时间戳以及CrossC2适配。默认设置优化包括监听器默认配置、服务端一键启动以及c2profile适配。此外,还修复了多个BUG,如截图保存为空、cna脚本函数调用修复、网络断开重连显示修复等。文章还介绍了使用方式、免杀效果以及获取方式,强调了该版本在安全测试与技术研究场景中的应用价值。
CobaltStrike 漏洞利用 恶意软件分析 免杀技术 网络渗透测试 工控安全 二进制分析 C2架构
0x148 一款红队在信息收集时规避IP封禁的傻瓜式一键代理池,通过大量代理节点轮询的代理池工具
星夜AI安全 2026-02-09T13:15:52 星夜AI安全
本文介绍了一款名为Befree的代理池工具,该工具旨在帮助红队在信息收集时规避IP封禁。Befree通过轮询各类订阅节点来实现代理池的功能,它能够解析订阅中的各个节点,并重新生成Clash配置文件,从而调用Clash进行节点轮询。文章强调了使用该工具时应遵守的法律法规和道德规范,并提醒使用者自行承担知识运用不当、工具使用故障带来的损失。此外,文章还介绍了工具的使用方法,包括查看帮助信息、指定订阅文件路径、本地YAML文件、端口号、速度测试链接以及自定义Clash YAML配置文件等。最后,文章提到了作者的个人背景和参与的安全项目,以及提供的其他安全工具和成果。
红队工具 代理池 信息收集 网络安全 IP封禁规避 Clash代理 安全工具开发
0x149 最新二开 fscan 发布:免杀突破火绒 360,流量伪装再升级
星夜AI安全 2026-02-09T13:15:52 © 星夜AI安全
本文详细介绍了一个网络安全扫描工具的优化和新增功能。该工具针对端口扫描、服务识别、Web扫描、爆破与弱口令检测以及日志输出等方面进行了多项优化,包括流量特征优化、请求头部随机化、爆破速率扰动等,以降低被WAF/IDS检测到的概率。此外,工具新增了CEL表达式评估引擎,支持自定义POC脚本路径和名称,并提供了丰富的内置函数,如字符串处理、编码解码、随机数生成等。在Web扫描增强功能方面,工具支持HTTP代理、Cookie管理、超时控制等。扫描模式与插件管理方面,工具支持全扫描、自定义模式、本地模式等,并分类说明了服务插件、Web插件和本地插件。输出与显示控制方面,工具支持文本、JSON、CSV格式输出,并提供了静默模式、无颜色输出、日志级别控制等选项。最后,工具增强了CSV输出功能,提供了22个详细列的增强CSV文件,包括IP地址、端口、服务版本、操作系统、设备类型、漏洞情况等,便于用户进行数据分析。
漏洞分析 Web安全 渗透测试 安全工具 防御对抗 安全意识 信息收集 日志安全
0x14a DNN 最新漏洞挖掘与技术复盘:从 Unicode 转换到 SMB 凭证窃取
星盟安全团队 2026-02-09T13:14:06 © 阿 bin
本文详细分析了一个存在于DNN(DotNetNuke)CMS中的安全漏洞,该漏洞允许攻击者通过未认证的文件上传端点,利用C#中的Path.Combine方法和Unicode规范化问题,构造恶意输入,绕过多层防护机制,最终实现对目标系统SMB服务器的调用并窃取NTLM凭据。文章首先介绍了DNN的历史及其安全表现,接着铺垫了C#与Windows文件系统操作相关的安全隐患,重点分析了Path.Combine方法的“坑点”和Unicode规范化问题。随后,文章深入剖析了DNN代码中的防护逻辑及其失效关键点——Utility.ConvertUnicodeChars方法中的编码转换错误,导致恶意Unicode字符被畸形转换,从而构造出恶意的UNC路径。最后,文章梳理了漏洞的触发流程,挖掘了攻击向量变体,并提出了编码转换需谨慎、防护逻辑需闭环、老旧软件需重视等安全启示。
漏洞分析 反序列化攻击 SMB 攻击 Unicode 规范化 路径遍历 编码转换 C# 编程 Windows 安全 Web 应用安全 防护失效 安全审计
0x14b 英国建筑公司遭隐藏在 Windows 服务器中的 Prometei 僵尸网络攻击
安全圈的那点事儿 2026-02-09T12:48:37 © 网络安全9527
2026年1月,英国一家建筑公司发现其Windows服务器被Prometei僵尸网络入侵。该僵尸网络与俄罗斯有关联,自2016年起活跃,主要功能是挖掘门罗币,但也擅长窃取密码和远程控制系统。攻击者可能仅通过猜测简单密码或默认密码,利用远程桌面协议(RDP)获得访问权限。Prometei是一个完整的工具包,能够在系统启动时自动运行。它通过下载加密的有效载荷,使用Mimikatz工具窃取密码,并通过匿名TOR网络路由流量。该恶意软件能够规避检测,执行诱饵操作伪装成无害行为,并阻止其他黑客入侵。为了安全,建议使用复杂密码和多因素身份验证,同时保持软件更新。eSentire发布了工具帮助研究恶意软件,并提供了安全建议。
僵尸网络攻击 Windows服务器安全 加密货币挖掘 密码窃取 远程控制攻击 恶意软件分析 弱密码漏洞 安全策略建议 威胁情报
0x14c PHP mail() 命令注入到远程代码执行(RCE)
安全狗的自我修养 2026-02-09T12:20:20 haidragon
本文详细分析了PHP中的mail()函数及其潜在的安全风险。mail()函数是PHP中常用的用于发送邮件的内置函数,常用于动态Web应用中的联系表单。然而,如果使用不当,特别是未对用户输入进行过滤和校验,mail()函数可能引发严重的安全漏洞。文章以一个简单的联系表单为例,展示了如何通过mail()函数的最后一个参数$additional_parameters传递额外的sendmail参数,从而实现命令注入、任意文件操作甚至远程代码执行(RCE)。具体来说,攻击者可以通过控制$additional_parameters中的-X参数将日志写入指定的.php文件,生成WebShell;或利用-C参数指定sendmail配置文件,结合-X参数将输出写入Web可访问目录,实现任意文件读取。文章强调,任何系统级调用都应被视为潜在命令执行入口,不应盲目信任mail()函数,即使是看似简单的功能也可能导致严重的安全问题。
PHP mail() 函数 命令注入 远程代码执行 (RCE) Web 安全 邮件服务器安全 输入验证 sendmail 任意文件操作 WebShell
0x14d 2.免杀基础
Relay学安全 2026-02-09T12:07:24 © kernel
本文详细介绍了Windows API及其相关数据类型和概念。首先,Windows API为开发者提供了一种与Windows操作系统交互的方式,包括显示内容、修改文件和查询注册表等操作。文章介绍了几个关键的数据类型,如DWORD、SIZE_T、VOID、PVOID、HANDLE和HMODULE,以及它们在32位和64位系统中的表示方式。此外,还讨论了ANSI和Unicode函数的区别,以及输入和输出参数的概念。在错误调试方面,文章解释了如何使用GetLastError函数和NTAPI调试错误。接着,文章深入解析了PE文件格式,包括DOS头、NT头、文件头、可选头和节区头等结构,以及它们的作用和解析方法。最后,文章介绍了数据目录的概念,特别是导出目录(导出表)的结构和解析方法,以及如何将内存中的偏移地址转换为文件中的偏移地址。这些内容对于理解Windows API和PE文件格式具有重要意义,有助于开发者和安全研究人员进行更深入的学习和研究。
Windows API PE文件格式 数据类型 输入输出参数 错误调试 ANSI和Unicode 数据目录
0x14e 承影 Agent V3 通关 Wiz Bug Bounty Masterclass 记录
谁不想当剑仙 2026-02-09T11:48:10 © yhy0
本文记录了作者使用承影 Agent V3 通关 Wiz Bug Bounty Masterclass 的实战过程。作者通过前两篇实战报告的经验,对 V3 架构进行了优化,实现了在 Wiz Bug Bounty Masterclass 中以 GLM-4.7 模型,零人工干预的方式,9/9 通关并获取认证。文章详细描述了 V3 架构的核心思路,包括 Claude SDK 单会话自循环、MCP 工具和反思机制。同时,作者对每一道题的通关过程进行了复盘,分析了每道题的解题思路和工具调用情况。文章还讨论了从 V1 到 V3 的架构演化路径,以及在实际操作中遇到的问题和改进措施,如 Agent 对执行环境的认知不足、Flag 提取的假阳性问题等。最后,作者总结了从实战中得到的认识,并展望了未来的发展方向。
网络安全教育 人工智能安全 漏洞挖掘 云安全 CTF竞赛 Bug Bounty 代码审计 渗透测试 自动化工具
0x14f XXE漏洞测试工具 -- go-fake-ftp-server(2月6日更新)
网络安全者 2026-02-09T11:42:22 z9nn8w
本文介绍了一款名为go-fake-ftp-server的XXE漏洞测试工具。该工具使用Go语言编写,能够通过伪造FTP服务来测试XML外部实体(XXE)漏洞。工具默认运行在8008端口的HTTP服务和2121端口的FTP服务上,使用同目录下的evil.dtd文件作为恶意dtd文件。文章详细说明了如何编写恶意XML文档和evil.dtd文件,以及如何使用该工具进行测试。文章还提供了工具的安装和使用方法,包括如何指定参数启动服务,并展示了工具在实际测试中的运行日志和结果。最后,文章提醒用户不要利用该工具进行非法测试,并提供了工具的下载链接。
XML外部实体(XXE)攻击 Go语言工具 网络安全测试 文件传输协议(FTP) 漏洞利用 恶意代码 虚拟机测试
0x150 职场实操|工作中常见网络安全应急事件梳理(含系统恢复与加固要点)
北京昊网CTF题解 2026-02-09T11:39:18 北京昊网
本文详细梳理了职场中常见的六类网络安全应急事件,包括勒索病毒攻击、数据泄露、服务器入侵/瘫痪、网站篡改、终端病毒爆发和DDoS攻击。针对每类事件,文章分析了事件特征、系统恢复要点和安全加固要点,强调了应急响应的核心目标是快速止损、全面恢复和防范复现。文章指出,系统恢复和安全加固是应急事件处置的关键,直接关系到是否会再次遭遇同类攻击。此外,文章还强调了实战经验和标准化流程的重要性,以及在日常防护中补丁更新、权限管控和员工培训的重要性,以最大限度地降低企业损失。
网络安全应急响应 勒索软件 数据泄露 服务器安全 网站安全 终端安全 DDoS攻击 安全加固 系统恢复 网络安全培训
0x151 每个人都会的frp免杀!!!
渗透安全团队 2026-02-09T11:23:13 自然嗨
本文主要介绍了一种利用Trae SOLO模式的AI编程工具进行FRP(内网穿透工具)免杀处理的方法。文章首先声明了内容来源和法律责任,然后详细描述了免杀处理的三个步骤:静态处理、流量侧处理和代码报错处理。在静态处理中,要求仅对FRP源代码进行修改,修改关键特征值,同时保持逻辑功能不变。流量侧处理则着重于功能完整性保障、流量规避策略和兼容性要求。代码报错处理要求对项目进行全面错误排查和分析。文章最后强调了注意事项,包括定期更新、合理配置、合法使用、安全监控和备份配置,并总结了免杀处理的效果和目的。
网络安全工具 代码安全 免杀技术 安全测试 操作系统安全 流量安全 安全配置
0x152 恶意谷歌广告伪装苹果官网,诱导Mac用户执行终端命令致系统被控
汇能云安全 2026-02-09T11:04:45
本文报道了近期多起网络安全事件。其中包括恶意谷歌广告伪装苹果官网,诱导Mac用户执行终端命令导致系统被控的事件;波兰风能与热电设施遭受网络攻击,攻击者旨在破坏通信与工业控制系统;利用Microsoft Outlook插件漏洞窃取邮件,绕过审计日志不留痕迹;法国公共就业服务机构数据泄露,4300万求职者信息被窃遭巨额罚款;新型无恶意软件钓鱼攻击瞄准企业,通过虚假PDF订单窃取Dropbox凭证;IDIS IP摄像头管理软件曝高危漏洞,点击链接即可导致Windows电脑完全沦陷;苹果为部分新机型增强位置隐私,限制与运营商共享数据的精度以防范监控;韩国政府模拟攻防演习结果严峻,被测七大公共系统全部沦陷;Panera Bread数据泄露事件影响510万账户。这些事件凸显了网络安全威胁的多样性和严重性,提醒用户和组织加强安全防护。
钓鱼攻击 恶意软件 网络钓鱼 恶意广告 终端命令攻击 Mac系统安全 关键基础设施攻击 工业控制系统攻击 数据泄露 电子邮件攻击 Dropbox凭证窃取 摄像头安全漏洞 AI攻击 隐私保护 政府网络安全 数据安全
0x153 记一次在应急响应中捕获的流量检测绕过方法 - 天眼篇
NoCrackme 2026-02-09T11:02:42 © hony
该文章描述了一个XML反序列化0day漏洞攻击事件,攻击者成功注入了一个内存马,并通过该内存马进行了一系列操作。攻击者利用业务系统常用的参数进行传参,对传入的参数值和响应进行编码处理,以逃避HIDS等主机安全设备的检测。攻击者通过ScriptEngine执行Java代码,将响应内容也进行了编码,进一步增加了检测难度。然而,由于POST请求包过大,天眼未能保存完整的POST数据包,导致无法反编译攻击者加载的class字节码文件,从而使得流量侧的排查无法继续进行。文章总结了攻击者的行为特征,包括使用业务系统常用参数传参、对参数值和响应进行编码、使用代码执行而非命令执行等,并指出了使用超大包可能导致流量保存不完整的问题。
XML反序列化漏洞 内存马 绕过安全设备 编码解码 ScriptEngine 流量分析 Post数据包过大
0x154 威胁情报|ClawHub 恶意 skills 投毒分析
慢雾科技 2026-02-09T10:42:05 © 慢雾安全团队
开源AI Agent项目OpenClaw的插件中心ClawHub成为攻击者实施供应链投毒的新目标,由于平台缺乏严格审核机制,大量恶意skill混入其中,用于传播恶意代码或投放有害内容。攻击者通过在SKILL.md中伪装依赖安装或初始化步骤,利用Base64编码和分段脚本隐藏真实命令,诱导用户执行恶意操作,实现下载并执行Payload,进而窃取数据。恶意skill常指向少量固定域名或IP,资源复用和收敛特征明显,攻击手法团伙化、批量化。恶意域名socifiapp[.]com和IP地址91.92.242.30被频繁复用,与Poseidon组织相关,该组织常见作案方式包括数据窃取后的勒索。MistEye安全监控工具已触发高危告警,并推送相关威胁情报。事件反映出skill生态的供应链风险,建议用户警惕来源不明的安装脚本和系统提示,优先从官方渠道获取依赖与工具。
恶意软件分析 供应链攻击 威胁情报 安全漏洞 恶意域名/IP 安全监控 安全建议 开源安全 动态分析
0x155 大蚂蚁即时通讯系统任意文件上传漏洞 附POC
北风漏洞复现文库 2026-02-09T10:39:22 © 安服仔
本文详细介绍了大蚂蚁即时通讯系统中的一个严重漏洞,该漏洞允许攻击者通过构造特定的恶意参数,绕过系统预设的存储目录限制,将恶意文件上传至Web根目录,从而获取服务器控制权限。大蚂蚁即时通讯系统是一款面向企业及政府机构的国产即时通讯平台,具备多种安全功能。然而,由于文件上传接口未进行严格的类型和路径校验,攻击者可以利用这一点进行攻击。文章提供了漏洞名称、影响版本、漏洞简介、资产测绘、漏洞复现POC、修复建议等信息,并提醒读者不要利用文章中的技术进行非法测试。
即时通讯系统安全 文件上传漏洞 Web应用安全 服务器安全 安全漏洞分析 国产软件安全 安全修复建议
0x156 端点暴露:FortiClient EMS 存在严重缺陷(CVSS 9.1),允许未经身份验证的远程代码执行
sec随谈 2026-02-09T10:36:35 sec随谈
Fortinet发布了针对FortiClient企业管理服务器(EMS)的紧急安全公告,指出存在一个严重的SQL注入漏洞(CVE-2026-21643),该漏洞的CVSS评分为9.1,属于严重级别。漏洞允许攻击者无需身份验证即可执行任意代码,这直接威胁到企业的终端安全防护。该漏洞影响FortiClientEMS 7.4版本,但不影响7.2和8.0版本。Fortinet已发布修复程序,建议受影响的用户升级到7.4.5或更高版本。此漏洞的风险极高,建议所有使用FortiClientEMS的组织立即检查版本并应用补丁,以防止未经授权的代码执行,确保终端安全不受威胁。
漏洞披露 SQL注入 未经身份验证的远程代码执行 终端安全 Fortinet 安全补丁 网络安全风险
0x157 Liunx黑客入侵痕迹排查工具
乌雲安全 2026-02-09T10:28:06 HuyaThomas
本文介绍了一个名为Linux_checklist.sh的Linux系统安全检查脚本,该脚本旨在快速检测Linux系统的常见安全问题和运行状况。脚本涵盖了多个方面的检查,包括但不限于:网络嗅探、进程和文件异常、命令替换、SSH密钥安全、定时任务检查、系统资源使用情况、网络连接、进程分析、账号权限、持久化与启动项、文件完整性、日志与痕迹等。脚本通过多种方法检查系统是否存在恶意软件或入侵迹象,如挖掘程序、Rootkit、未授权账号、恶意启动脚本等。文章还提供了脚本的GitHub项目地址,方便用户下载和使用。
Linux 安全审计 入侵检测 安全工具 Rootkit 检测 恶意软件分析 权限管理 日志分析 脚本安全
0x158 大蚂蚁 (BigAnt) 即时通讯系统 loginByToken 权限绕过登陆后台
安羽安全 2026-02-09T10:05:28 © 安羽安全
本文揭示了即时通讯系统BigAnt中的一个安全漏洞,即登录绕过漏洞。该漏洞存在于/login/loginByToken接口,攻击者可以绕过正常的登录验证流程,直接进入系统后台。文章中提到了漏洞的复现步骤,并指出系统内置的四个管理用户(超级管理员、系统管理员、安全管理员、审计管理员)都可以直接登录。此外,文章还提供了fofa搜索结果的相关信息,包括匹配结果的数量、搜索时间以及关键词搜索等。最后,作者提醒读者该文章内容仅供学习使用,禁止非法测试,并声明不对由此造成的后果负责。
漏洞分析 权限绕过 即时通讯系统 安全漏洞 渗透测试 安全防护
0x159 金和C6 CallSystemShow.aspx SQL注入漏洞
Nday Poc 2026-02-09T09:58:20 Superhero
本文详细介绍了金和OA系统中存在的SQL注入漏洞。该漏洞存在于CallSystemShow.aspx接口,攻击者可以利用此漏洞获取数据库中的敏感信息,如管理员密码和用户个人信息。在特定情况下,攻击者甚至可以在服务器上写入木马,进一步获取系统权限。文章提供了漏洞的复现方法和自查工具,并建议采取关闭互联网暴露面、升级至安全版本等措施进行修复。此外,还介绍了Nday漏洞实战圈,这是一个专注于公开1day/Nday漏洞复现和工具链适配支持的内部圈子,提供漏洞POC详情、适配检测脚本和实用POC资源,但强调仅限合法授权测试,严禁违规使用。
SQL注入漏洞 数据库安全 OA系统漏洞 企业信息安全 漏洞复现 安全工具 安全修复 安全社区
0x15a 05-文件读取/下载备忘录
黑域之路 2026-02-09T09:53:59 © 界|晓
本文详细介绍了文件读取/下载漏洞的相关知识。首先,文章解释了任意文件读取/下载漏洞的概念,即攻击者通过应用程序的脆弱性接口读取或下载应用程序之外的文件。接着,文章提供了测试文件读取/下载漏洞的方法,包括使用谷歌语法搜索相关关键词、确定常见功能位置和请求链接,以及列出常见的参数。然后,文章讨论了绕过文件读取/下载限制的多种方法,如双写绕过、URL编码绕过、Unicode编码绕过、Base64编码绕过、截断后缀绕过、文件路径绕过、特殊字符绕过和伪协议绕过等。此外,文章还介绍了如何利用这些漏洞查看配置文件、敏感信息文件、日志文件,下载源代码进行审计,以及列出了一些常用的文件路径。最后,文章提出了修复文件读取/下载漏洞的建议,包括限制访问目录、检查用户输入、使用正则表达式校验输入、白名单限定访问目录、路径、名称和后缀等。
网络安全漏洞 漏洞利用 安全测试 漏洞修复 编码技术 文件处理 操作系统安全 Web安全
0x15b 【林晓月的新漏洞科普】Arista 下一代防火墙命令执行漏洞科普(CVE-2025-6978)
幻泉之洲 2026-02-09T09:20:28 © 塑造者壹号
本文深入分析了CVE-2025-6978漏洞,该漏洞存在于Arista NG Firewall的网络诊断组件中,由于对JSON-RPC API接口的输入验证存在缺陷,攻击者可以注入任意操作系统命令,导致完全控制目标防火墙设备。文章详细介绍了漏洞的技术背景、成因分析、漏洞触发路径、关键缺陷、漏洞利用链以及攻击模拟。同时,文章还讨论了漏洞的威胁等级、受影响版本和修复方案,强调了输入验证的重要性,并提出了白名单验证、参数化执行、权限降级等修复措施。此外,文章还探讨了结合XSS的间接利用方式,以及如何通过漏洞链实现从零权限到root权限的攻击。
漏洞分析 命令注入 防火墙安全 JSON-RPC 网络安全 漏洞利用 白名单/黑名单策略 XSS攻击 安全漏洞修复
0x15c OpenClaw高危漏洞可一键窃取主密钥,攻击者直通上帝模式
黑白之道 2026-02-09T09:18:25
深度安全研究团队发现开源AI个人助手OpenClaw存在高危漏洞,该漏洞可被武器化进行远程代码执行攻击。攻击者通过恶意链接即可完全控制受害者系统,无需用户交互。漏洞源于OpenClaw架构赋予AI Agent '上帝模式'权限,以及三个组件的串联缺陷。攻击链包括未经验证的URL参数接收、立即建立网关连接和自动传输认证令牌。OpenClaw开发团队已修复该漏洞,建议用户升级至最新版本,并轮换认证令牌。此事件突显了在缺乏严格配置和网络连接验证的情况下,AI Agent无限制系统访问权限的安全风险。
漏洞分析 远程代码执行 AI安全 WebSocket劫持 安全漏洞修复 网络安全风险
0x15d 网安每日干货分享之《文件包含漏洞01》-0209
建哥聊安全 2026-02-09T09:10:07 © 建哥聊安全
本文详细介绍了利用Apache日志文件进行漏洞利用以获取shell的技术。实验首先通过访问包含文件包含漏洞的页面,分析错误信息以获取服务器信息,并猜测日志文件路径。接着,通过包含Apache访问日志文件来验证其路径。实验的关键步骤在于利用Burp Suite抓包工具,将包含PHP信息的请求记录到Apache访问日志中,并通过抓包转发去除编码,使日志中的代码能够被正确解析执行。最终,通过包含日志文件成功执行PHP代码,实现Getshell。该实验展示了在无其他漏洞且无法上传shell文件的情况下,如何通过文件包含漏洞和日志文件结合Burp Suite工具来获取目标服务器的shell权限。
文件包含漏洞 日志利用 Getshell Web安全 渗透测试 Apache PHP Burp Suite
0x15e 红队行动指南:深入vulnhub的Tomato靶机,寻找潜在威胁
数字序言 2026-02-09T09:00:22 © 沐青序
本文主要描述了一个网络安全学习案例,涉及Web渗透和内网渗透两个部分。在Web渗透部分,通过目录爆破和反爬机制分析,发现目标站点存在一个带有反爬机制的网页,该网页存在一个名为'image'的GET参数。通过该参数可以包含'/var/log/auth.log'文件,并成功写入用户名的SSH恶意代码。尝试使用不同的PHP代码作为恶意代码写入,但发现靶机将恶意代码视为PHP代码执行,导致无法查看。最终,通过上传特定的payload成功反弹了shell。在内网渗透部分,尝试使用python3命令提权,并尝试利用dirtyc0w和CVE-2024-1086进行提权,但均未成功。最后,通过在Ubuntu上本地编译CVE-2017-6074成功提权,并提示漏洞利用后系统性能会受到影响。文章最后还提到了扫码进交流群和关注最新消息的方式。
Nmap SSH FTP Web渗透 文件包含 PHP 反弹shell 内网渗透 提权 pty.spawn dirtyc0w CVE-2024-1086 CVE-2017-6074
0x15f DKnife 工具包利用路由器进行间谍活动并传播恶意软件
军哥网络安全读报 2026-02-09T09:00:22 会杀毒的单反狗
DKnife是一款自2019年以来被用于劫持路由器流量并在网络间谍攻击中传播恶意软件的Linux工具包。它能够检查和篡改数据,并在多种设备上安装恶意软件。Cisco Talos的研究报告指出,DKnife包含七个基于Linux的植入程序,能够执行深度包检测、操纵流量,并通过路由器和边缘设备传播恶意软件。该工具包被用于劫持软件下载和安卓应用更新,传播ShadowPad和DarkNimbus后门。DKnife不仅能够劫持Android更新,还能拦截Windows和其他二进制文件的下载,传播恶意软件。它还具备干扰安全流量、监控用户活动等功能。研究人员发现,DKnife可能以物联网设备为目标,攻击范围可能更广。DKnife的发现凸显了现代攻击干预威胁的先进能力,强调了持续监控路由器和边缘基础设施的必要性。
网络安全攻击 恶意软件分析 路由器安全 中间人攻击 恶意软件传播 Linux安全 物联网安全 数据窃取 后门攻击 持久化攻击
0x160 跨站脚本攻击(XSS)速查手册(绕过篇)
Khan安全团队 2026-02-09T08:40:15
本文详细介绍了跨站脚本攻击(XSS)的绕过技巧,包括大小写混合、未闭合标签、全大写载荷、编码绕过、特殊字符脚本标签、PHP邮箱验证和URL验证绕过,以及注释内绕过等。此外,文章还提到了如何绕过Web应用防火墙(WAF),特别是Cloudflare WAF的绕过方法,涉及字符实体编码、事件属性变形等技巧。XSS攻击的核心在于将恶意脚本注入页面并触发执行,根据触发方式可分为反射型、存储型和基于DOM三类。文章强调了载荷设计需适配输入所处的上下文,并介绍了XSS绕过手段利用语法特性、编码和上下文逃逸等方式突破检测的方法。
跨站脚本攻击 Web安全 网络安全防御 编码绕过 WAF绕过 漏洞利用
0x161 一款资产存活验证工具
菜鸟学信安 2026-02-09T08:30:50 AabyssZG
本文介绍了一款名为Web-SurvivalScan的资产存活验证工具。该工具旨在帮助网络安全学习者在日常渗透测试工作中快速验证Web资产的存活状态。用户需将目标Web资产地址批量复制到TXT文件中,然后运行脚本进行存活检测。工具支持代理设置,并能智能识别不同的URL格式。检测结果会输出到output.txt和outerror.txt两个文件中,其中output.txt包含状态码为200的存活资产,outerror.txt包含其他状态码的资产。此外,所有资产的运行数据将以JSON格式导出到data/report.json,并提供报告.html进行可视化展示。工具由曾哥(@AabyssZG)和jingyuexing共同开发,开源项目地址为https://github.com/AabyssZG/Web-SurvivalScan。
渗透测试工具 网络安全扫描 自动化测试 脚本开发 开源项目 Web安全
0x162 漏洞预警 | 孚盟云SQL注入漏洞
浅安安全 2026-02-09T07:50:29 浅安
本文报道了一起针对孚盟云平台的高危SQL注入漏洞。孚盟云是一款企业服务平台,提供数字化管理和运营解决方案。该漏洞存在于/m/Dingding/Ajax/AjaxProviderList.ashx和/m/Dingding/Ajax/AjaxReadMail.ashx接口,攻击者可以利用这个漏洞通过伪造cookie来获取系统访问权限,进而窃取数据库中的敏感信息。漏洞已被官方确认,并已发布修复版本,建议用户尽快升级以保障平台安全。
SQL注入 云计算安全 企业安全 数据泄露风险 高危漏洞 安全修复
0x163 漏洞预警 | 金和OA XXE漏洞
浅安安全 2026-02-09T07:50:29 浅安
本文预警金和OA系统中存在的高危XXE漏洞。金和网络提供信息化服务,其OA系统C6版本中的/c6/Jhsoft.Web.govset/ExamineNodXml.aspx/和/c6/Jhsoft.Web.examinenod/ExamineNodCommisionDefault.aspx/接口存在XXE漏洞,可能导致未授权攻击者读取敏感文件或探测内网服务信息,进而可能导致服务器失陷。官方已发布修复版本,建议用户升级至安全版本以避免风险。
XXE漏洞 信息泄露 高危漏洞 OA系统安全 服务器安全 安全修复
0x164 漏洞预警 | Microsoft Office安全功能绕过漏洞
浅安安全 2026-02-09T07:50:29 浅安
本文报道了一个编号为CVE-2026-21509的高危漏洞,该漏洞存在于微软Office软件中。该漏洞允许攻击者通过构造恶意Office文档,绕过保护用户免受脆弱COM/OLE控件侵害的安全机制,从而执行任意代码。受影响的版本包括Microsoft Office 2016、2019、LTSC 2021、LTSC 2024以及Microsoft 365 Apps for Enterprise。尽管官方已发布修复版本,但目前漏洞的Proof of Concept(PoC)尚未公开。建议用户尽快升级到安全版本以防止潜在的安全威胁。
Microsoft Office 漏洞 CVE编号 安全功能绕过 执行任意代码 文档漏洞 高危漏洞 软件更新
0x165 网络侦查之目标(企业)资产信息收集全攻略
网络侦查研究院 2026-02-09T07:31:47 © 子午猫
本文详细阐述了网络侦查中目标资产信息收集的重要性及其多种方法与技巧。首先介绍了目标单位清单信息收集的方法,包括通过通用搜索引擎、网络安全搜索引擎、企业注册信息查询、工信部备案信息查询和企业分配IP段查询等途径。接着,文章深入讨论了IP资产梳理和域名资产梳理的技巧,涉及IP正则表达式、IP转C段、常用域名服务器、whois查询、子域名挖掘、旁站挖掘、域名转IP、IP真实性判定等内容。此外,还介绍了其他信息收集方式,如图片搜索、icon指纹识别、证书透明度等。最后,强调了在信息收集过程中应遵守法律法规,确保网络侦查活动的合法性。
网络安全侦查 资产信息收集 网络渗透 搜索引擎使用 IP地址分析 域名挖掘 漏洞扫描 法律法规遵守
0x166 第二十七篇:FastJson反序列化RCE漏洞复现
成渝Sec 2026-02-09T06:00:48 © 成渝Sec
本文详细介绍了FastJson反序列化RCE漏洞的复现过程。Fastjson是一款高性能的JSON解析器,广泛应用于Java项目中。该漏洞存在于1.2.24版本后的反序列化白名单功能中,攻击者可以利用特定构造的JSON字符串绕过白名单检测,执行任意命令。文章首先介绍了职场新人利用JDNI工具进行攻击的背景,接着详细描述了攻击步骤,包括准备公网云主机、配置防火墙策略、反弹shell以及使用JDNI工具进行攻击。文章中还展示了如何构造攻击载荷,以及攻击成功后获取flag的过程。同时,文章还提到了漏洞复现录屏和相关的配置信息,为读者提供了完整的攻击流程和细节。
JSON解析漏洞 Java安全漏洞 代码执行漏洞 RCE(远程代码执行) 打靶实战 漏洞复现 JDNI注入 网络安全防护
0x167 【工具推荐】自动化资产发现工具 xingrin
进击的HACK 2026-02-09T00:04:29
本文推荐了一款名为Xingrin的自动化资产发现工具。Xingrin是一个攻击面管理平台(ASM),主要用于自动化资产发现与漏洞扫描。文章介绍了Xingrin的特点,包括手动添加下载资产、对导入资产信息进行搜索、方便查找企业资产等。此外,还详细说明了如何使用Docker搭建Xingrin环境,包括克隆仓库、安装脚本、登录界面以及测试过程。文章还提到了如何进行资产测试,以及如何在系统日志中查看操作记录。最后,简单介绍了工具管理部分,包括管理字典、指纹和nuclei pocs等。
网络安全工具 资产发现 漏洞扫描 自动化测试 开源项目 云安全 移动安全 SRC挖掘
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
