2026年第8周微信公众号精选安全技术文章总览

洞见网安 2026-2-23

0x1 Spring Boot Actuator 配置错误利用实战：路径探测、绕过技巧与敏感端点攻击

securitainment 2026-03-01T22:20:31 Damian Strobel

本文深入探讨了Spring Boot Actuator模块在配置不当的情况下可能被利用的风险，为渗透测试人员和红队成员提供了宝贵的参考。文章指出，Actuator端点虽然现在更难被发现，但仍然存在于许多系统中，尤其是在配置错误的情况下。作者介绍了多种发现Actuator端点的方法，包括路径探测、使用特殊HTTP头（如X-Forwarded-For和X-Original-URL）、访问mappings和metrics端点等。此外，文章还详细讨论了路径遍历和分号绕过等技巧，以及如何利用httptrace端点实现会话接管。文章通过真实案例展示了攻击者如何利用这些方法获取敏感信息甚至接管用户会话。最后，作者提出了加固Actuator端点的建议，如禁用不必要的端点、设置认证、使用白名单等，以帮助管理员和开发者提高系统的安全性。

Spring Boot Actuator 网络安全 Web安全配置错误端点安全信息泄露路径遍历绕过技术会话劫持漏洞赏金安全加固

0x2 RCE-labs靶场通关WP-(Apursuit-the0n3)-第三章(共三章)

Xudde-Sec 2026-03-01T22:05:22 © Xudde

本文详细介绍了RCE-labs靶场第三章的通关过程，该章节共包含51个小节，每个小节都针对不同的绕过技巧进行讲解。文章从空格绕过、环境变量分隔符、单引号和双引号绕过等基本技巧开始，逐步深入到更复杂的命令执行和文件读取方法。文章中提供了详细的通关payload，包括使用正则表达式、无特殊语义转义符、参数列表、临时文件执行等高级技巧。此外，文章还提供了一个通关payload板块速查表，方便快速查找不同命令的绕过方法。最后，文章提到完成该靶场后，将有其他内容更新，暗示后续章节的难度和技巧将进一步提升。

网络安全靶场缓冲区溢出命令注入环境变量绕过 Web安全漏洞利用渗透测试安全编码

0x3 一次完整的Kubernetes黑盒渗透测试实战记录

Z2O安全攻防 2026-03-01T21:01:52 骨哥说事

本文详细介绍了对Kubernetes集群进行黑盒渗透测试的完整过程，从零知识开始，逐步推进至完全控制集群。首先通过nmap扫描发现开放端口和服务，识别易受攻击的Web应用程序和Kubernetes API服务器。接着利用暴露的服务账户令牌获取初始访问权限，并验证其拥有集群管理员权限。随后，通过kubectl工具进行集群资源枚举，包括命名空间、Pod、Secrets和服务账户等，进一步了解集群结构。利用命令注入漏洞获得root shell，并提取环境变量获取敏感信息。接着，通过SQL注入攻击访问数据库。在容器逃逸阶段，利用特权容器访问宿主机文件系统。最后，创建恶意Pods、提取所有Secrets、创建持久性后门并窃取集群配置，展示对集群的完全控制。整个过程约1.5-2小时完成，关键漏洞包括令牌暴露、命令注入、SQL注入、特权容器和RBAC配置错误，建议采取相应措施进行防御。

Kubernetes 黑盒渗透测试 Web应用程序安全 Kubernetes安全凭证窃取命令注入 SQL注入容器逃逸横向移动权限提升

0x4 Tomcat URL 解析特性导致的鉴权绕过

进击的HACK 2026-03-01T20:22:02 © 进击的HACK

本文深入探讨了Tomcat URL解析特性导致的鉴权绕过问题。文章首先解释了Java Web中URL结构的组成以及HttpServletRequest中解析URL的相关函数。接着，详细分析了Tomcat URL解析的解码特性，并通过实例演示了如何通过URL编码绕过权限控制。文章指出，开发者对URI解析的差异理解不足，可能导致URI以奇怪的形式发送到服务，而服务仍能解析。文章还提供了搭建测试环境的步骤，并通过具体的URL路径示例展示了如何利用Tomcat的URL解析特性进行攻击。最后，文章提出了针对这种漏洞的修复建议，包括避免使用startsWith()、endsWith()进行判断，使用成熟的权限控制框架，以及标准化处理相关接口访问等。

Web应用安全 Tomcat漏洞鉴权绕过代码审计渗透测试

0x5 [脚本小子必备]资产存活探测httpx

略懂安全的三秋 2026-03-01T20:09:53 © 略懂安全的三秋

本文介绍了由Project Discovery团队开发的httpx工具，这是一个快速且多功能的HTTP工具包，用于资产存活探测。httpx支持多种探测功能，能够自动回退到HTTP协议，并支持主机、URL和CIDR作为输入。工具需要Go语言1.24.0或更高版本才能安装，并提供了丰富的命令行选项和配置方式。文章详细介绍了工具的安装、使用方法，包括如何作为库使用、如何处理不同类型的身份验证以及如何进行自定义探测。同时，文章也提醒用户在使用httpx时需谨慎，并明确指出开发者不对滥用或损害承担责任。

网络安全工具资产发现 HTTP协议 Go语言代码审计 Web安全自动化测试配置管理

0x6 跟着OpenClaw学OpenClaw: Skills：功能扩展的艺术

zyliang 2026-03-01T19:28:46

本文深入介绍了OpenClaw的功能扩展系统——Skills。作者首先讲解了Skills的概念，它是OpenClaw的核心功能扩展单元，可以提供如查天气、翻译PDF、管理笔记等实用能力。文章详细对比了Skills、插件和Channel的不同，并解释了它们在OpenClaw中的作用。接着，作者通过实际操作步骤，指导读者如何查看已安装的Skills、使用Skills查天气和搜索网页等。此外，还介绍了如何安装新的Skills，并解答了关于Skills的一些常见问题，如Skill与工具的区别、Skill在飞书中的使用限制等。最后，作者简要总结了Skills的学习要点，并预告了下篇文章的内容。

网络安全工具 AI安全技能扩展日志管理插件系统安全配置漏洞分析

0x7 【安全圈】OpenClaw本地网关漏洞导致AI代理成攻击入口

安全圈 2026-03-01T19:01:11

近日，开源AI代理框架OpenClaw被披露存在一个“零点击”高危漏洞，该漏洞由Oasis Security发现，影响范围因OpenClaw在开发者中的普及而扩大。该漏洞允许攻击者在开发者无插件、无扩展、无交互的情况下，通过诱导访问恶意网站，劫持本地运行的AI代理，实现接近整机控制级别的权限获取。漏洞利用的关键在于OpenClaw默认信任本地连接的设计假设，攻击者可以通过JavaScript脚本与本地OpenClaw网关通信，并通过暴力猜测密码的方式获得管理员级控制权限。OpenClaw项目方已发布修复版本，建议所有用户升级至最新版本，并审查开发者终端上的实例，同时撤销不必要的API密钥与节点权限，将AI代理纳入统一身份与访问管理框架。这一事件突显了AI代理安全边界的重要性，以及其在企业安全治理体系中的核心地位。

安全漏洞 AI代理安全本地安全零点击攻击 WebSocket安全浏览器安全自动化工具安全软件更新企业安全治理

0x8 【安全圈】Windows CLFS漏洞PoC公开：普通用户两次API调用即可触发不可恢复蓝屏

安全圈 2026-03-01T19:01:11

本文报道了针对Windows Common Log File System（CLFS）驱动漏洞CVE-2026-2636的安全研究人员Ricardo Narvaja发布的PoC代码。该漏洞允许任意低权限本地用户无需提权即可触发不可恢复的蓝屏死机，属于拒绝服务（DoS）类型漏洞，CVSS评分为5.5。漏洞根源在于CLFS!CClfsRequest::ReadLogPagingIo函数对关键IRP标志位校验不当。攻击过程简单，仅需两次API调用。微软已在2025年9月发布的Windows 11 2024 LTSC和Windows Server 2025累积更新中修复了该问题，但Windows 11 23H2及更早版本仍未修补。建议企业部署最新的累积更新，并重点监测针对CLFS日志句柄的异常行为。

Windows 漏洞拒绝服务攻击本地用户攻击蓝屏死机安全补丁驱动漏洞安全研究系统崩溃

0x9 【0day】九佳易管理系统 PrivilegedCodeDestroy.asmx SQL注入漏洞

0day收割机 2026-03-01T17:27:42

九佳易系统管理系统中的PrivilegedCodeDestroy.asmx通用处理程序接口存在SQL注入漏洞。该漏洞允许攻击者通过构造恶意的SQL语句片段，利用未对客户端传入参数进行严格校验的接口，执行非授权的SQL操作。攻击者可能窃取、篡改或销毁数据库中的敏感数据。漏洞影响版本未知，复现漏洞需要通过特定的SOAP请求发送恶意数据。该漏洞的利用需要一定的技术知识，且仅供安全研究和学习使用。文章作者提醒，使用者因传播或利用该漏洞信息而产生的任何后果均由使用者自行承担。

SQL注入漏洞 Web应用安全后端安全数据安全漏洞复现安全研究

0xa 网络抓包分析实战：Wireshark与tcpdump定位网络故障

马哥网络安全 2026-03-01T17:01:11 点击关注👉

本文深入探讨了网络抓包分析实战，重点介绍了Wireshark和tcpdump这两款常用抓包工具。文章首先概述了抓包分析的重要性，强调了其在运维排障中的关键作用，并解释了OSI模型中不同层级的数据包截获和分析方法。接着，详细介绍了tcpdump的核心用法，包括基础语法、常用参数、BPF过滤表达式、输出格式解读以及pcap文件的保存与读取。同时，文章还讲解了Wireshark/tshark的分析技巧，包括捕获过滤器与显示过滤器的区别、常用显示过滤器、统计功能等。此外，文章还分析了TCP三次握手与四次挥手过程，以及HTTP/HTTPS和DNS流量分析实战。最后，文章总结了最佳实践、注意事项、故障排查和监控、备份与恢复等关键内容，为网络安全学习者提供了全面的抓包分析指南。

网络抓包 tcpdump Wireshark tcp 分析 HTTP 分析 DNS 分析故障排查性能监控最佳实践抓包技巧网络安全

0xb 第60天-WEB攻防进阶：XSS跨站从原理到文件触发与业务场景全解析

AlphaNet 2026-03-01T16:52:43 © 萧瑶

本文深入解析了XSS（跨站脚本）攻击的原理、分类、触发方式和业务场景。文章首先阐述了XSS的本质，即浏览器解析链路被劫持的现象，并强调了理解“解析链路”对于防御XSS的重要性。接着，文章详细介绍了XSS的三种基本类型：反射型、存储型和基于DOM的XSS，并分析了它们各自的攻击流程和特点。此外，文章还扩展讨论了文件类型触发XSS、功能逻辑触发型XSS和业务场景型XSS，以及Vue、React等现代前端框架带来的新攻击面。最后，文章总结了XSS的攻击利用方式、SRC挖洞复盘思路、安全修复方案和测试流程，强调XSS不是简单的低级漏洞，而是涉及多个机制的复杂博弈。

XSS攻击 Web安全漏洞利用安全防御浏览器安全安全测试编码规范 CSP 安全框架

0xc 第59天-WEB攻防 · XSS跨站脚本漏洞

AlphaNet 2026-03-01T16:51:22 © 萧瑶

本文深入探讨了XSS（跨站脚本漏洞）的原理、分类、利用方式、修复方法和实战案例。XSS漏洞是由于服务器将用户可控数据输出到HTML环境中，被浏览器错误地当作代码执行而导致的。文章首先概述了XSS的核心原理，然后详细介绍了XSS的分类，包括反射型、存储型和DOM型XSS，并分析了每种类型的攻击流程和常见场景。接着，文章讨论了XSS的拓展类型，如jQuery XSS、mXSS、uXSS等，并说明了XSS攻击的常见利用方式，如Cookie窃取、Token窃取、页面劫持等。此外，文章还提供了XSS的测试流程和防御机制，包括输出编码、HttpOnly、CSP、WAF和富文本白名单机制等。最后，文章通过真实案例复盘了XSS漏洞的修复不当问题，并展望了XSS的未来趋势，强调了对浏览器解析机制的理解和防御技术的深入研究对于网络安全的重要性。

Web安全 XSS攻击漏洞利用防御机制实战案例浏览器安全前端安全安全测试

0xd 逻辑漏洞：邮箱注册 tips #11

漏洞集萃 2026-03-01T15:46:49 © Pwn1

本文介绍了在测试一个私有漏洞赏金计划时发现的一个邮箱注册逻辑漏洞。该漏洞允许攻击者通过在电子邮件地址中使用加号（+）和不同的序列号来创建多个账户，从而在订阅平台上的免费试用期间无限期延长试用期。漏洞的原因在于应用程序未能规范化电子邮件地址，导致每个变体都被视为新用户。文章详细分析了漏洞的原理、漏洞代码示例、差异以及修复方法，并提供了规范化电子邮件地址的函数和修复后的注册用户函数。该漏洞的发现提醒开发者要注意电子邮件地址的处理，特别是在涉及数据库查询和业务逻辑处理时，要考虑到电子邮件协议中的子地址特性。

逻辑漏洞邮箱注册安全免费试用期滥用应用程序漏洞邮件协议理解不足安全编码实践

0xe OpenClaw 零点击漏洞允许恶意网站劫持开发者 AI 代理

安全圈的那点事儿 2026-03-01T14:26:26 © 网络安全9527

Oasis Security的研究人员发现，开源AI代理框架OpenClaw存在一个严重的零交互漏洞。该漏洞允许恶意网站在无需用户操作的情况下，完全控制开发者的AI代理。OpenClaw是一款自托管的AI代理，连接到即时通讯应用、日历、开发工具和本地文件系统。攻击者通过访问恶意网站，利用JavaScript暴力破解网关密码，获得代理的完全管理员级别控制权。该漏洞的根本原因在于三个错误的设计假设，使得远程攻击者可以直接与AI代理交互，执行任意命令。Oasis Security的概念验证展示了完整的端到端攻击链，成功破解了网关密码，并从无关的浏览器会话与实时代理实例进行了交互，对开发者构成严重威胁。

零点击攻击 AI代理安全开源软件漏洞 Websocket安全开发者安全浏览器安全身份验证与授权网络安全策略

0xf 网络钓鱼攻击利用 .arpa 顶级域名和 IPv6 隧道来逃避检测

安全圈的那点事儿 2026-03-01T13:06:35 © 网络安全9527

Infoblox Threat Intel的研究人员揭露了一种新型的网络钓鱼攻击，攻击者利用了.arpa顶级域名和IPv6隧道来规避检测。攻击者通过在.arpa域名下创建伪装成核心基础设施地址的域名，以及利用免费的IPv6隧道服务来托管恶意内容，从而绕过了传统的域名信誉检查。此外，攻击者还劫持了废弃的CNAME记录，以掩盖其恶意流量。这种攻击方式利用了互联网基础架构的盲点，对网络安全构成了新的挑战。为了应对这种攻击，组织需要将核心DNS基础设施视为潜在的攻击面，并采取专门的过滤措施来监控.arpa命名空间中的异常记录添加。

网络钓鱼攻击域名滥用 IPv6安全 DNS安全高级持续性威胁(APT) 安全防御策略恶意软件分发

0x10 网安每日干货分享《后缀名检测与绕过之.htaccess文件攻击》-0301

建哥聊安全 2026-03-01T10:00:49 © 建哥聊安全

本文详细介绍了网络安全领域中文件上传服务端的后缀名检测原理及其绕过方法。文章首先阐述了文件上传服务端防护的重要性，接着介绍了常见的后缀名检测绕过技术，包括黑名单绕过、白名单利用以及特定文件（如.htaccess文件）的攻击方式。.htaccess文件作为Apache服务器的分布式配置文件，其攻击方式包括将特定内容文件解析为PHP脚本、匹配文件名中的关键字以及匹配文件名执行代码等。文章通过一个实验步骤，展示了如何通过上传特定的文件和配置.htaccess文件来绕过后缀名检测，最终成功解析上传的脚本文件。实验结果验证了后缀名检测的绕过方法在实际应用中的可行性，提醒网络安全学习者关注此类漏洞及其防护策略。

文件上传漏洞后缀名检测绕过 Web服务器配置配置文件攻击漏洞利用网络安全防护脚本文件解析

0x11 【渗透测试必备】：Burp的自动化JS安全分析插件(75+规则)

0x八月 2026-03-01T09:39:52 © 0x八月

本文介绍了一款名为PuremilkJS的Burp Suite企业级JavaScript安全分析插件。该插件集成了75+检测规则，能够精准识别敏感信息泄露与API端点。PuremilkJS基于Source Map还原与智能上下文分析，实现混淆代码的深度安全检测。插件支持Vue/React/Webpack等多框架，并能自动解码十六进制、Unicode编码字符串。其核心亮点包括Source Map一键还原分析、智能上下文误报过滤以及多框架API精准提取。技术优势包括Java原生开发、LRU智能缓存、Source Map v3解析、正则引擎优化等。使用指南中详细说明了插件的安装、操作和结果查看方法。文章还提供了项目地址和联系方式，方便用户获取更多信息和技术支持。

渗透测试安全分析代码审计 Burp Suite JavaScript 安全漏洞自动化工具

0x12 从数据包到手机数据库：宇树机器人里两个让人直接当上“主人”的漏洞（CVE-2026-27509和CVE-2026-27510）

幻泉之洲 2026-03-01T09:30:58

本文详细分析了宇树Go2机器人存在的两个严重安全漏洞CVE-2026-27509和CVE-2026-27510，以及漏洞的发现过程和利用方式。安全研究员通过购买遥控手柄，发现了Go2机器人在V1.1.7和V1.1.11固件中存在的远程代码执行漏洞。CVE-2026-27509利用了DDS数据包的滥用，无需认证即可以最高权限执行任意Python代码；CVE-2026-27510则通过篡改存储在安卓App本地数据库中的预设动作块，实现了远程代码执行。两个漏洞的利用都涉及到按下物理遥控器上的快捷键。研究员与宇树安全团队进行了积极的沟通和漏洞修复工作，最终在V1.1.13的OTA更新中修复了CVE-2026-27510。本文还介绍了研究员在挖掘漏洞过程中所采用的技术手段和工具，以及与厂商的协作过程。

远程代码执行 (RCE) DDS (Data Distribution Service) 固件漏洞 Android应用漏洞数据库漏洞认证绕过授权绕过代码注入物联网 (IoT) 安全中间件安全越狱 (Jailbreaking)

0x13 【工具推荐】新一代wmiexec免杀横向工具

隐雾安全 2026-03-01T09:01:24

本文介绍了一款名为wmiexec-Pro的新一代网络安全工具，该工具由隐雾安全团队开发，旨在帮助安全研究人员和网络安全从业者进行横向移动和AV闪避。wmiexec-Pro利用端口135进行操作，无需SMB连接，支持多种新特性，包括AMSI旁路、文件传输、远程启用RDP、Windows防火墙滥用、事件日志循环清理、远程启用WinRM等功能。工具提供了一系列的命令行操作，如枚举、执行命令、文件传输、远程桌面配置、服务管理、事件日志操作、RID劫持等。此外，文章还提供了使用示例和帮助信息，方便用户了解和操作该工具。

网络安全工具免杀技术 Windows系统安全横向移动脚本语言事件日志管理服务管理注册表操作文件传输

0x14 虚假的 Zoom 和 Google Meet 网络钓鱼活动部署 Teramind 监控软件

安全圈的那点事儿 2026-03-01T08:35:42 © 网络安全9527

本文详细分析了近期网络安全领域的一个复杂网络钓鱼活动。攻击者冒充Zoom和Google Meet，通过伪造登录页面诱骗用户，进而秘密部署合法的终端监控软件Teramind。这种部署方式利用了Teramind的隐蔽功能，进行未经授权的监视。攻击过程涉及伪造的Microsoft Store页面和恶意的MSI安装程序，安装程序依赖于内置的.NET操作来提取攻击者的特定实例ID。该软件安装后以隐藏模式运行，隐藏任务栏图标和程序列表条目，同时支持SOCKS5代理以逃避检测。攻击者部署了两个高弹性的服务以确保持久性。文章提供了相关的妥协指标（IOC），以帮助安全团队监控和防御此类攻击。

网络钓鱼攻击恶意软件部署伪装技术隐蔽攻击持久化机制 C2通信终端监控软件滥用安全检测与响应 Windows平台攻击

0x15 青龙面板鉴权绕过漏洞 | 文件上传、RCE、密码重置、信息泄露复现&研究

404号浪漫 2026-03-01T03:39:47 © 404号浪漫

本文详细分析了青龙面板存在的一个严重鉴权绕过漏洞。该漏洞源于/back/loaders/express.ts文件中第54行的鉴权中间件逻辑缺陷，由于Express框架默认路由匹配不区分大小写，而该检查仅匹配小写路径，攻击者可通过构造大小写混合路径绕过身份验证。漏洞允许攻击者直接访问原本需认证的敏感接口，包括系统重置、脚本上传与执行等高危功能。文章通过YML和手动方式复现了漏洞，并深入分析了漏洞原理，指出漏洞存在于路径大小写判断和业务逻辑执行两个方面。具体来说，Express框架的路由匹配默认不区分大小写，而鉴权中间件仅对小写路径进行检查，导致鉴权绕过；同时，系统在处理密码重置、脚本执行、命令执行和文件上传等业务时存在缺陷，如无条件信任传入参数、无文件类型检查、无沙箱隔离等，使得攻击者可以轻易实现RCE、账号接管、敏感数据泄露等攻击。文章最后提供了修复建议，包括启用大小写敏感路由、避免公网暴露、部署WAF拦截等临时防护措施，并提醒用户注意安全研究的目的和法律责任。

漏洞分析权限绕过命令执行敏感数据访问文件上传账号接管 Web安全 Node.js Express框架安全研究

0x16 数据安全：SQL Server 2022 部署与远程登陆

成渝Sec 2026-03-01T00:15:32 © 成渝Sec

本文详细介绍了SQL Server 2022的部署过程和远程登录配置。首先概述了SQL Server的基本概念和DBMS的功能，然后指导读者如何下载并安装SQL Server的安装包，包括自定义安装路径和配置实例。接着，文章介绍了如何安装SSMS管理工具，并展示了如何使用SSMS进行数据库操作，如创建数据库和表，以及插入数据。此外，文章还讨论了SQL Server的用户登录方式，包括Windows身份验证和SQL Server身份验证，并解释了两者之间的区别。最后，文章详细介绍了如何配置SQL Server以支持远程连接，包括启用TCP/IP协议、重启服务、配置防火墙规则等步骤，以确保远程连接能够成功。

数据库安全 SQL注入防护远程访问安全身份验证安全网络安全配置

0x17 【AI安全】提示词绕过+远程未授权创建定时任务RCE

挖个洞先 2026-02-28T22:35:08 © 挖个洞先

本文探讨了利用AI技术进行网络安全攻击的案例。通过在A机器上运行目标程序，并在B机器上探测端口，攻击者利用中文或英文提示词绕过智谱glm4.7模型的提示词安全限制。通过使用阿拉贡语，攻击者成功创建了一个名为'test'的用户，密码为'test/test'，并开启了3389服务。随后，B机器发送的数据包被设置为每天16:50自动执行任务，A机器成功创建了定时任务，并最终实现了远程未授权的创建定时任务RCE攻击。整个过程展示了AI技术在网络安全中的潜在风险和攻击手段。

AI安全安全漏洞绕过机制远程攻击定时任务攻击端口扫描用户创建远程桌面攻击密码破解

0x18 game of active directory(GOAD) part 3 - enumeration with user

ListSec 2026-02-28T22:02:16 © 凉城

本文是关于网络安全学习者在GOAD（Game of Active Directory）靶场中进行渗透测试的第三部分。文章详细介绍了如何利用已获取的凭证进行用户枚举，包括使用密码喷洒技术、LDAP查询、Kerberoasting等手段来收集用户信息。文章中还提到了如何使用BloodHound工具分析域环境，以及如何通过远程桌面连接到域内机器。此外，还涉及了使用SharpHound和BloodHound.py进行数据收集的方法，并讨论了在BloodHound中导入不同数据源的问题。

Active Directory 枚举攻击密码破解域渗透 Kerberos BloodHound SharpHound 密码学 Windows安全

0x19 SYN Flood 攻击原理剖析与检测规则实战

sec0nd安全 2026-02-28T20:57:18 网络安全菜鸟

本文深入剖析了SYN Flood攻击的原理，介绍了其作为一种经典的DDoS攻击方式的工作机制。文章首先解释了SYN Flood攻击的定义，即通过发送大量伪造的TCP SYN报文来耗尽目标服务器的连接资源，从而阻止合法用户访问。接着，详细描述了TCP三次握手的正常流程，并分析了攻击者如何利用这个过程进行攻击。文章进一步说明了攻击原理，包括伪造源IP/端口和服务器维护大量半连接导致资源耗尽。随后，文章介绍了如何使用Kali Linux模拟攻击环境，并通过抓包工具tcpdump收集数据包进行分析。最后，文章展示了如何编写Suricata检测规则来识别SYN Flood攻击，并提供了规则告警的查看方法。

DDoS攻击 TCP协议漏洞网络安全防御入侵检测系统网络攻击原理系统漏洞利用

0x1a 银狐木马样本分析：基于TLS回调与动态加载的恶意行为解析

sec0nd安全 2026-02-28T20:57:18 昨夜西风凋碧树

本文详细分析了名为 ongihwe.cn_926_X8_NULL.exe 的银狐木马样本，该木马通过钓鱼邮件进行传播。文章首先介绍了样本的动态行为，包括读取系统配置文件检测虚拟机环境、自我删除、与 C2 服务器通信、释放恶意文件等。接着，文章深入剖析了样本的静态行为，发现其使用了 TLS 回调机制进行反调试，并通过内存解密和地址修复技术隐藏恶意逻辑。分析还揭示了样本通过伪造数字签名、释放恶意 DLL 文件、创建计划任务等方式实现持久化的手段。最后，文章总结了样本的恶意行为和处置措施，提醒用户注意防范钓鱼邮件和恶意软件的攻击。

0x1b .NET代码审计初识

思极安全实验室 2026-02-28T20:25:36 © wowo

本文介绍了.NET代码审计的基本知识和一个具体的审计案例。首先，文章强调了使用本公众号信息产生的后果由使用者本人负责。接着，作者通过ILSpy反编译dll源码，并使用Visual Studio Code进行代码搜索，发现了三个主要漏洞。第一个是文件上传漏洞，由于上传位置未进行权限校验，存在未授权上传的风险。第二个是SQL注入漏洞，通过搜索关键词发现拼接语句未过滤，存在注入风险。第三个是弱口令问题，尽管存在用户名遍历和登录验证码延时缺陷，但通过密码加密和错误封禁机制，爆破尝试均未成功，最终通过代码层面找到密码初始化的值，实现了爆破。文章详细描述了每个漏洞的发现过程和可能的攻击方式，为.NET代码审计提供了参考。

代码审计漏洞分析白名单校验权限控制安全编码实践漏洞复现

0x1c THJCC CTF 2026（部分）

玄网安全 2026-02-28T20:08:34 © 玄网安全 oPis

本文是一份网络安全学习者的学习资料，包含了多个网络安全相关的题目和任务。这些任务涵盖了多种网络安全领域，包括隐写术、加密解密、逆向工程、Web安全等多个方面。每个任务都提供了详细的背景介绍、解题思路和操作步骤，并附带了一些相关的代码示例。通过学习这些内容，学习者可以深入了解网络安全的基本原理和技术，并掌握一些常见的网络安全攻防技巧。

加密解密逆向工程隐写术 Web安全命令行工具 TOTP CWE-698 竞争条件脚本语言

0x1d 黑客端口扫描器Sharanga

渗透测试知识学习 2026-02-28T19:59:26 © xxxxxx

文章介绍了Sharanga，一个基于Python 3编写的高速异步端口扫描器。与Nmap和Angry IP Scanner相比，Sharanga在速度、轻量级和易用性方面具有优势。它支持IP/域名/CIDR网段扫描、自定义端口范围、Banner抓取和服务识别等功能，适用于信息收集、渗透测试和网络分析。Sharanga利用Python的异步IO，能够同时发送大量请求，扫描速度快，且无需复杂依赖，安装简便。文章详细介绍了Sharanga的安装和使用方法，并通过一个实际场景展示了其如何帮助发现网络安全隐患。与Nmap相比，Sharanga更专注于快速扫描端口，而Nmap则是一个功能全面的工具。文章最后强调了Sharanga对于网络安全的重要性，鼓励用户使用它来检查服务器配置，防止潜在的安全风险。

网络安全工具端口扫描 Python开发异步编程性能优化渗透测试系统管理员 Nmap比较

0x1e 【安全圈】恶意npm包“ambar-src”投毒Windows、Linux与macOS

安全圈 2026-02-28T19:02:04

Tenable Research近日披露了一个名为“ambar-src”的恶意npm包，该包在上线后被下载约5万次，针对Windows、Linux和macOS开发者进行跨平台攻击。恶意包利用typosquatting手法伪装成热门包ember-source，通过npm的preinstall脚本机制在安装时触发恶意代码。攻击链根据操作系统不同而有所区别，包括Windows系统执行msinit.exe文件，Linux系统执行ELF二进制文件，macOS系统下载JavaScript载荷。攻击者通过云服务隐藏通信，并使用十六进制混淆和代码伪装技术增强隐蔽性。尽管npm迅速移除了恶意包，但已受感染的主机被视为完全失陷，需要轮换所有密钥和凭证，并排查后门。此事件强调了供应链攻击的精细化与长期化趋势，呼吁开发团队采取更多安全措施。

恶意软件 npm包攻击供应链攻击跨平台攻击 typosquatting 软件供应链安全安全漏洞安全防护

0x1f MiniFilter内核回调

Relay学安全 2026-02-28T18:19:05 © kernel

本文详细介绍了微过滤器内核回调在文件系统操作监控和拦截中的应用，特别是EDR如何利用这些回调捕获恶意文件系统活动的遥测数据。微过滤器内核回调存储在双向链表中，每个微过滤器实例维护自己的列表，通常注册操作前和操作后回调。微过滤器驱动程序采用分层架构，拦截和监控文件系统操作，每个驱动可以拥有多个实例，分别挂钩到不同的文件系统卷或操作。每个实例内部注册了针对特定文件系统操作的回调节点，包含操作前和操作后的内核回调。FltRegisterFilter函数用于在Filter Manager中注册微过滤器，FLT_REGISTRATION结构体是微过滤器配置的核心，包含各种回调函数的指针。文章还介绍了如何使用Windbg和fltmc命令来查看和管理微过滤器，以及如何通过修改链表结构来移除微过滤器的回调节点，从而实现对特定文件系统操作的监控或绕过。

微过滤器驱动文件系统监控 EDR (端点检测与响应) 驱动程序开发系统调用拦截实例管理动态分析内核回调注册表配置链表操作

0x20 热门游戏工具隐藏恶意软件？电脑或被远程操控

安全威胁纵横 2026-02-28T18:15:56 HackerNews

本文揭示了网络安全领域的一项新威胁，即恶意软件被隐藏在热门游戏工具中，通过绕过用户防御机制进行传播。微软安全团队发现，攻击者利用用户对日常软件的信任，向用户分发恶意化的游戏工具版本。这些工具一旦运行，会部署远程访问木马（RAT），使攻击者获得对受感染主机的完全控制。恶意软件通过浏览器和聊天平台传播，攻击者利用用户对从非正规渠道下载的可执行文件的低警惕性。文章详细分析了恶意软件的攻击链，包括恶意软件的加载器、执行器、下载器和RAT的多功能能力。攻击者通过IP地址为79.110.49 [.] 15的C2服务器控制受感染系统，能够窃取个人文件、登录凭据和敏感信息。文章还提供了防御该威胁的建议，包括监控恶意域名和IP地址、审计安全工具排除项和计划任务，以及隔离受影响终端等。

恶意软件攻击远程访问木马（RAT）漏洞利用社会工程学安全防御策略游戏安全企业安全威胁情报

0x21 朝鲜APT37黑客组织利用新型恶意软件渗透物理隔离系统

FreeBuf 2026-02-28T18:07:20

朝鲜APT37黑客组织近期发动了代号为"Ruby Jumper"的新型攻击活动，利用专门针对物理隔离系统定制的恶意软件工具进行渗透。该组织通过五个全新恶意软件组件，包括RESTLEAF、SNAKEDROPPER、THUMBSBD、VIRUSTASK和FOOTWINE，构建了一个多阶段攻击链，最终在物理隔离设备上植入监控程序。攻击始于恶意的Windows快捷方式文件，通过云服务作为命令控制基础设施，攻击者能够突破物理隔离系统的安全措施。其中，THUMBSBD后门能够将可移动介质转变为隐蔽的双向通信通道。安全团队应采取措施，如限制可移动介质使用、监控异常计划任务、审查云存储访问等，以防御此类攻击。

APT攻击恶意软件物理隔离系统渗透云服务滥用多阶段攻击链恶意快捷方式信息窃取网络安全防御

0x22 SSH协议与Python中的Netmiko库

网络技术联盟站 2026-02-28T18:02:00 © Lino

本文介绍了SSH协议及其在Python编程中的应用，特别是Netmiko库。SSH协议是一种用于在网络上提供安全远程登录和命令执行的网络协议，由芬兰的Tatu Ylönen于1995年开发，旨在取代不安全的Telnet和rlogin协议。SSH协议的工作原理包括连接建立、加密协商和数据传输三个阶段。连接建立阶段，客户端与服务器协商并验证身份，防止中间人攻击；加密协商阶段，双方协商加密算法和认证方法，确保数据传输的安全性。Python中的Netmiko库利用SSH协议，允许开发者通过Python脚本远程管理网络设备，如路由器和交换机。

SSH协议网络安全远程登录加密传输网络协议 Python编程 Netmiko库主机密钥中间人攻击

0x23 初探漏洞挖掘基础-信息收集

陌笙不太懂安全 2026-02-28T17:43:07 p1g3

本文深入探讨了漏洞挖掘的基础步骤，特别强调了信息收集的重要性。作者首先介绍了对漏洞的认知，指出理解漏洞的产生原因和修复方案对于挖掘漏洞至关重要。文章强调了在拿到一个网站时，需要根据已有知识制定挖掘步骤，并思考如何绕过防护措施如WAF。接着，作者详细阐述了前期信息搜集的方法，包括使用天眼查、ICP备案查询、维基百科、Whois查询、Shodan、Zoomeye、Fofa、GitHub和微信公众号等工具获取资产信息。文章还介绍了如何使用这些工具来搜集子域名、IP地址、端口和服务等资产。在资产搜集完成后，作者提到了使用扫描器和指纹识别工具进行初步扫描，以及后续的手动测试过程。最后，作者提醒读者，虽然工具不断更新，但掌握基本的挖掘步骤和方法仍然是至关重要的。

漏洞挖掘网络安全信息收集 SQL注入 WAF绕过资产搜集子域名挖掘 IP扫描漏洞扫描工具敏感信息搜集

0x24 利用子域的System权限通往父域

蚁景网络安全 2026-02-28T17:40:57 Jumbo

本文探讨了通过子域的System权限突破至父域的网络安全技术。文章首先介绍了在子域域控机器上查看配置命名上下文的方法，发现子域中的信息实际上是父域的副本，并注意到SYSTEM特权用户拥有完全控制权限。作者尝试使用SYSTEM权限控制父域的配置命名上下文，并成功修改了来自父域的配置对象。文章进一步介绍了利用GPO（组策略）的方式，通过子域的SYSTEM权限将GPO链接到父域，并展示了父域更新组策略的过程。最终，文章总结了这种攻击手法的可能性，为网络安全提供了新的思考方向。

域渗透权限提升 GPO利用 ADSI攻击系统安全安全研究

0x25 应急响应：银狐木马病毒防控

小话安全 2026-02-28T17:35:39 © 小话安全

本文详细介绍了针对银狐木马病毒的应急响应措施。通过分析威胁情报，发现病毒通过访问特定IP地址并下载snipaste进行传播。病毒对系统正常程序进行注入，并尝试访问IPv6地址。样本分析表明，这是一种无文件病毒，执行过程中使用了powershell。由于未获取有效信息，病毒进程被终止，但随后又注入到其他程序中。通过使用Everything搜索工具，发现了可疑文件夹，并找到了病毒程序。使用火绒软件粉碎病毒程序，并进行全盘查杀。在条件允许的情况下，建议重做系统以彻底清除病毒。

应急响应恶意软件分析终端安全病毒防护安全工具使用文件系统安全

0x26 【CupakeC2】我不管C2我就要用小蛋糕！！！

貔瑞安全实验室 2026-02-28T17:30:16 © 小Tiamo

Cupcake C2（v3.0.5）是一个网络安全工具，该版本进行了多项更新和优化。它修复了文件上传下载删除功能，增加了正向连接和命令上线，并优化了免杀能力。文章详细介绍了Cupcake C2的技术栈，包括使用ServerGo、AgentRust和FrontendVue等技术进行开发。特别强调了其核心免杀和OpSec特性，如动态自修复补丁、流量与内存混淆、多路复用通信等。此外，还提到了前端体验的优化，如首屏优化和实时进度反馈。最后，提供了部署指南和环境准备步骤，并提醒使用者遵守法律法规，不得滥用此工具。

恶意软件 C2服务器网络安全工具后门免杀技术内网渗透编程语言安全开发

0x27 【0day】九佳易管理系统 Ajax_XT.ashx SQL 注入漏洞

0day收割机 2026-02-28T16:35:34

本文报道了九佳易管理系统中存在的一个SQL注入漏洞。该漏洞位于Ajax_XT.ashx通用处理程序接口，由于接口未对客户端传入的参数进行充分的校验和转义，攻击者可以通过构造恶意的SQL语句片段注入请求参数，进而可能执行非授权的SQL操作，对数据库中的敏感数据进行窃取、篡改或销毁。漏洞影响版本未知，复现方式包括GET、POST以及multipart格式的POST请求。作者提醒，漏洞仅供安全研究和学习使用，任何基于本文信息的传播或利用所产生的后果均由使用者自行承担，作者不承担任何责任。

SQL注入 Web应用安全后端安全漏洞复现安全研究

0x28 CVE-2026-1731 BeyondTrust 远程支持预授权远程代码执行漏洞概念验证

TtTeam 2026-02-28T16:29:34

本文分析了CVE-2026-1731漏洞，这是一个影响BeyondTrust远程支持（RS）和特权远程访问（PRA）的严重命令注入漏洞。该漏洞与CVE-2024-12356相关，源于可通过WebSocket访问的端点。漏洞源于服务器thin-scc-wrapper脚本对攻击者控制的输入执行算术比较，允许攻击者通过精心构造的有效载荷触发任意命令执行。尽管BeyondTrust添加了数值完整性检查，但该端点仍然存在被利用的风险。攻击者可以在身份验证之前通过WebSocket连接发送恶意版本值，从而获得代码执行权限。文章提供了相应的概念验证脚本，用于展示漏洞的利用过程。

远程支持漏洞命令注入 CVE编号 WebSocket 权限提升软件漏洞漏洞补丁

0x29 fastjson写文件挑战2——两个fastjson链

珂技知识分享 2026-02-28T16:18:11 © 珂字辈

本文详细分析了两个基于Fastjson的Java Deserialization链：jdk11_write和jdk11_read。首先，文章介绍了jdk11_write链，该链在Fastjson 1.2.80版本中通过利用org.apache.tools.ant.util.LazyFileOutputStream、javax.imageio.stream.FileImageOutputStream和com.fasterxml.jackson.core.io.DataOutputAsStream等类，实现了在JDK 11环境下对任意文件的写入。文章还探讨了使用sun.rmi.log.LogOutputStream和com.fasterxml.jackson.core.io.DataOutputAsStream组合的替代链。其次，文章深入剖析了jdk11_read链，该链由jcw发现，通过利用java.io.DataInput、java.io.RandomAccessFile、ChannelInputStream、com.fasterxml.jackson.core.io.MergedStream和java.util.zip.ZipInputStream等类，实现了读取指定文件的内容。文章详细解释了如何通过伪造ZipInputStream的结构体来获取所需文件内容，并讨论了该链的局限性以及如何通过修改POC来规避问题。最后，文章列举了基于commons-compress库的tar、ar和cpio格式的读取链，并提出了关于jdk11_read链的探索性问题，包括文件读取长度控制、二进制文件读取、最大文件读取大小、目录或HTTP请求结果读取、JDK版本兼容性以及回显方法等。

Fastjson Java反序列化 RCE (Remote Code Execution) 文件操作漏洞利用网络安全 Web安全数据输入验证

0x2a 匿名 LDAP 枚举如何导致 AS-REP Roasting 并最终攻陷域控

安全狗的自我修养 2026-02-28T15:14:00 haidragon

本文详细描述了网络安全学习者在准备CRTP认证过程中，通过分析Active Directory（AD）的攻击面和潜在弱点，成功攻陷域控制器的全过程。作者首先通过员工信息泄露构建可能的用户名，然后使用nmap扫描目标主机端口，发现开放的服务包括LDAP。由于匿名LDAP绑定被禁止，作者尝试AS-REP Roasting攻击获取用户凭据。通过Hashcat破解AS-REP哈希，获得用户名和密码。利用WinRM获取初始访问权限，并通过BloodHound分析域关系，发现DCSync权限。最后，通过Pass-the-Hash攻击获得SYSTEM级别的shell，完成对域控制器的完全控制。文章强调了Kerberos认证流程、预认证禁用的风险、离线哈希破解、AD权限关系图分析和域复制权限滥用等安全知识点。

Active Directory Security LDAP Enumeration Kerberos Authentication Domain Controller Compromise Password Cracking Privilege Escalation Pass-the-Hash Attack Security Analysis Tools Red Team Techniques

0x2b 从 MSSQL 到域管理员：混合 Active Directory 中的无文件横向移动

安全狗的自我修养 2026-02-28T15:14:00 haidragon

本文详细解析了一例混合Active Directory环境中的无文件横向移动攻击案例。攻击者从一个低权限用户开始，利用原生SQL功能、Kerberos委派、身份配置错误和跨林信任关系等手段，逐步提升权限直至获得Domain Admin权限。攻击过程中未使用恶意软件，也未执行凭证转储工具，整个攻击链基于信任关系和身份架构设计缺陷。案例涵盖了攻击的各个阶段，包括通过Kerberos进行MSSQL侦察、SQL模拟提权、Linked Server多跳横向移动、无文件SQL CLR组件滥用、委派与RBCD、跨林信任横向移动、Azure AD Connect横向移动以及域复制滥用等。文章强调了在真实企业环境中，身份配置错误可能比零日漏洞更具破坏力，并提供了检测建议和红队方法论转变的思考。

网络安全攻击横向移动 Active Directory 无文件攻击身份验证与授权混合云安全 SQL注入与滥用内部威胁安全防御策略

0x2c Dohdoor恶意软件以多阶段攻击为目标，瞄准美国学校和医疗机构

安全圈的那点事儿 2026-02-28T15:14:00 © 网络安全9527

Dohdoor恶意软件通过复杂的多阶段攻击链，针对美国学校和医疗机构进行攻击。该恶意软件利用DNS-over-HTTPS（DoH）和云基础设施隐藏其命令和控制流量。攻击者可能与社会工程相结合，通过网络钓鱼邮件或PowerShell脚本触发恶意批处理脚本的下载。该恶意软件在受感染的系统上建立后门，并通过反射运行在合法进程中来逃避检测。Dohdoor使用DNS-over-HTTPS解析C2基础设施，并通过HTTPS隧道获取加密的有效负载。其技术特征与Lazarus Group的工具相似，表明可能与朝鲜黑客组织有关联。攻击活动自2025年12月以来一直在进行，对教育和医疗行业构成严重威胁。

恶意软件分析后门攻击网络钓鱼社会工程学横向移动 DNS-over-HTTPS 云基础设施滥用朝鲜黑客组织恶意软件变种

0x2d 【新洞速递】CVE-2026-21962 Weblogic RCE漏洞

EchoSec 2026-02-28T15:04:57 。。。。

本文详细分析了CVE-2026-21962 Weblogic RCE漏洞。该漏洞是Oracle WebLogic中间件中的一个严重安全漏洞，CVSS评分高达10.0，允许攻击者无需任何身份凭证即可远程执行命令。漏洞的根本原因在于WebLogic Server代理插件处理HTTP请求时的逻辑顺序错误，导致攻击者可以通过双重URL编码绕过安全校验。文章介绍了完整的攻击链路，包括目标探测、构造恶意请求、发送请求、绕过校验、解码与触发以及远程控制等步骤。此外，文章还提供了漏洞复现实战方法，包括环境准备、基础使用、复现示例和核心代码解析。最后，文章强调了该漏洞的影响范围和利用现状，并提醒读者未经授权测试他人系统属于违法行为。

WebLogic漏洞远程命令执行安全补丁漏洞利用网络安全研究企业安全 PoC工具行业影响

0x2e 信息安全漏洞周报（2026年第8期）

CNNVD安全动态 2026-02-28T14:45:12 © CNNVD

2026年第8期的信息安全漏洞周报显示，国家信息安全漏洞库（CNNVD）在2026年2月16日至2026年2月22日采集到了1310个安全漏洞，其中接报漏洞585个，包括信息技术产品漏洞和网络信息系统漏洞。WordPress基金会报告了最多的漏洞，共480个，主要漏洞类型为跨站脚本。超危漏洞46个，高危漏洞200个，中危漏洞1033个，低危漏洞31个。漏洞修复方面，已有751个漏洞发布了修复补丁，整体修复率为57.33%。报告还列出了本周的重要漏洞实例，包括IBM Concert、Microsoft Windows Admin Center、WordPress plugin IDonate等产品的漏洞，以及人工智能漏洞实例，如MLflow、OpenClaw、OpenSift等。此外，CNNVD还接收了漏洞平台推送的542个漏洞和接报的43个漏洞，并收录了31份漏洞通报。

漏洞披露安全漏洞网络安全漏洞修复漏洞类型厂商漏洞人工智能漏洞漏洞报送漏洞通报

0x2f 信息安全漏洞周报（2026年第7期）

CNNVD安全动态 2026-02-28T14:45:12 © CNNVD

本文是2026年第7期的信息安全漏洞周报摘要。本周（2026年2月9日至2026年2月15日），CNNVD共采集到1167个安全漏洞，接报漏洞2073个。其中，Linux基金会新增漏洞最多，有110个。跨站脚本类安全漏洞占比最大，达到7.88%。本周共发布超危漏洞40个，高危漏洞228个，中危漏洞873个，低危漏洞26个。869个漏洞已有修复补丁发布，整体修复率为74.46%。报告还列举了WordPress plugin Truelysell Core、Adobe After Effects、Microsoft Hyper-V等具体漏洞实例，并涉及人工智能领域的漏洞案例，如AutoGPT授权问题、Cursor安全漏洞、Keras安全漏洞等。

安全漏洞周报 CNNVD漏洞库漏洞统计漏洞类型漏洞等级漏洞修复重要漏洞实例人工智能漏洞漏洞报送情况

0x30 RustFS 控制台中的存储型 XSS 漏洞使 S3 管理员凭据面临风险

安全圈的那点事儿 2026-02-28T14:29:13 © 网络安全9527

RustFS 控制台被发现存在一个严重的安全漏洞，编号为 CVE-2026-27822，CVSS v3 评分为 10.0，属于最高级别的关键漏洞。该漏洞允许攻击者在管理控制台中执行任意 JavaScript 代码，存在账户被盗用的风险。漏洞源于文件预览时对内容类型验证不当和 S3 对象交付与管理控制台之间的源分离问题。攻击者可以通过上传特制的恶意文件，如名为 xss.pdf 但内容类型为 text/html 的文件，利用此漏洞窃取管理员凭据。该漏洞影响了 RustFS 1.0.0-alpha.82 之前的版本，已在后续版本中得到修复。

XSS漏洞 RustFS S3安全账户安全软件漏洞安全补丁跨平台攻击

0x31 第58天-WEB攻防之SQL注入深度剖析：堆叠注入、二次注入与自动化利用实战

AlphaNet 2026-02-28T14:11:12 © 萧瑶

本文深入探讨了SQL注入这一Web安全领域的“远古级”漏洞。文章首先阐述了SQL注入的持续存在原因，指出其本质是输入处理失控导致的语义污染问题。接着，文章从攻击模型出发，分析了堆叠注入、二次注入以及SQLMap自动化利用等高级攻击手段，揭示了这些攻击的执行条件、原理和潜在危害。此外，文章还探讨了Tamper脚本的工作原理以及如何通过参数化查询、ORM框架、最小权限原则等防御措施来抵御SQL注入攻击。最后，文章强调SQL注入的长期存在是由于开发者重复拼接字符串导致的工程纪律问题，并指出代码与数据分离是解决这一问题的根本途径。

SQL注入 Web安全安全漏洞攻击模型防御策略安全开发自动化工具代码审计

0x32 C2后门隐蔽通信与流量合法化伪装研究分析

白帽子社区团队 2026-02-28T14:10:47 © 无问社区

现代C2后门通信机制已不再依赖单一协议或固定行为模式，而是采用“非对称加密+信道混淆+行为模拟”三位一体的复合策略，以应对日益成熟的检测体系。文章通过对比Cobalt Strike、Sliver、Metasploit等主流攻击框架的通信机制，揭示了当前主流技术路径的本质特征。Cobalt Strike使用HTTPS短连接和Base64编码，Sliver采用gRPC over TLS和自定义流式协议，Metasploit使用TCP和自定义二进制协议。文章分析了这些框架的协议类型、加密方式、通信模式和伪装能力，并指出了当前隐蔽通信的典型暴露点，包括网络层的高频短连接、传输层的非人类访问模式和应用层的异常请求路径等。文章强调，防御者应建立全生命周期行为画像，实现跨系统日志聚合与关联分析，引入上下文感知的异常检测机制。未来，隐蔽通信将更依赖上下文理解能力，例如将命令转化为自然语言指令，由大模型生成合理语义，从而彻底融入企业日常运营语境。防御方应聚焦于“让攻击者无法获得有效情报”，构建以“行为可信度”为核心的新型防护框架，推动“全生命周期行为审计”制度化，引入基于图神经网络的跨域流量关联分析，建立“合法流量基线库”并实现动态阈值调整。

C2后门隐蔽通信协议伪装行为模拟加密与编码多通道协同合法流量劫持反检测机制 AI驱动检测未来趋势防御策略

0x33 第57天-WEB攻防 · SQL注入进阶高权限场景下的跨库访问、文件操作与带外数据外传

AlphaNet 2026-02-28T14:08:40 © 萧瑶

本文深入探讨了SQL注入的进阶攻击技术，特别是在数据库拥有高权限时可能引发的严重安全风险。文章首先阐述了SQL注入的本质和权限等级的重要性，指出高权限数据库账户可能导致攻击者从读取数据升级到跨库访问、文件操作和带外数据外传，最终控制服务器。接着，文章分析了数据库权限模型的安全边界，包括数据库的四层结构和关键敏感函数。此外，文章详细分解了影响SQL注入进阶利用的技术因素，如数据库类型、参数数据类型、数据编码等。在高权限场景下，文章探讨了核心利用路径，包括权限识别、跨库数据枚举、文件读写攻击以及带外注入。最后，文章强调了防御SQL注入的重要性，建议通过限制数据库权限、使用预编译语句和部署WAF等措施来缩小数据库的能力边界，从而提升整体安全性。

SQL注入数据库安全权限控制 Web安全攻击技术防御策略渗透测试

0x34 【网络安全】JWT缺陷下的越权漏洞详解与实操！

无名的安全小屋 2026-02-28T14:05:09 © 無名

本文详细介绍了JWT（JSON Web Token）在网络安全中的缺陷，尤其是越权漏洞的原理和实操方法。文章首先解释了JWT的基本结构和组成，包括Header、Payload和Signature，并指出使用Base64URL编码而非加密的潜在风险。接着，文章深入分析了JWT令牌篡改和客户端权限提升漏洞的攻击技术，包括通过修改用户标识（uid）和权限类型（UType）来实现身份伪造和权限提升。文章还提供了在玄域靶场平台上的实操技巧演示，包括使用Burp Suite进行抓包和解密JWT令牌，以及如何通过修改JWT字段实现权限提升。最后，文章提到了学习资源和工具包的获取方式，并提供了相关技术解析和实操演示的信息。

身份认证 JSON Web Token 安全漏洞安全防护渗透测试编码实践安全漏洞分析

0x35 国家网络安全通报中心发布新一批重点防范境外恶意网址和恶意IP

嘶吼专业版 2026-02-28T14:04:44

中国国家网络与信息安全信息通报中心近日发现了一批境外恶意网址和恶意IP，这些网址和IP与中国及其他国家的网络攻击密切相关。攻击类型包括建立僵尸网络、后门利用等，对中国国内联网单位和互联网用户构成重大威胁。恶意网址和IP主要分布在包括美国、英国、意大利、捷克、斯洛伐克、沙特阿拉伯、立陶宛等国家和地区。通报中详细列出了恶意网址、关联IP、归属地、威胁类型、病毒家族以及具体描述。针对这些威胁，通报中心提出了详细的排查方法和处置建议，包括查看网络记录、部署流量检测设备、及时更新防护规则以及报告公安机关等。

恶意软件网络攻击网络安全威胁境外攻击网络监控威胁情报网络安全防护国际合作

0x36 思科Catalyst SD-WAN严重认证绕过漏洞遭长期入侵，可植入恶意节点控制网络

嘶吼专业版 2026-02-28T14:04:44 胡金鱼

思科近日发布安全预警，指出其Cisco Catalyst SD-WAN存在严重认证绕过漏洞（CVE-2026-20127），该漏洞已被在野攻击利用。攻击者可远程攻陷控制器，在目标网络中添加恶意节点，并可能通过降级系统版本、利用其他漏洞提权至root用户。思科已发布软件更新修复该漏洞，美国CISA紧急要求联邦机构在2026年2月27日前完成补丁安装。全球范围内的Cisco Catalyst SD-WAN部署面临威胁，机构需加强安全措施，包括更新系统、审查日志、限制网络暴露面等。

认证绕过漏洞思科设备漏洞软件定义网络（SD-WAN）远程攻击零日攻击网络渗透恶意活动追踪安全响应与修复政府机构响应

0x37 Rust 在预览模式中存在严重存储型 XSS | CVE-2026-27822 复现&研究

404号浪漫 2026-02-28T13:56:31 © 404号浪漫

本文详细分析了RustFS分对象存储系统中存在的存储型跨站脚本（Stored XSS）漏洞（CVE-2026-27822），该漏洞影响版本低于1.0.0-alpha.83。漏洞利用RustFS控制台管理界面中PDF预览功能的缺陷，攻击者可通过上传恶意构造的PDF文件，诱导管理员预览后，在管理控制台上下文中执行任意JavaScript代码。由于CORS配置宽松且前端逻辑存在缺陷，攻击者可绕过PDF预览逻辑，窃取本地存储中的管理员明文凭证，导致账户被完全接管和系统受到损害。文章深入剖析了漏洞原理，包括前端入口与架构、路由分发、攻击面分析、前端核心漏洞点以及后端存储与响应逻辑。修复建议包括升级到最新版本、优化凭证存储、强制设置安全响应头以及加强日志监控与告警。文章最后强调了安全研究的目的性，并提醒使用者需获得目标系统所有者明确授权，否则可能承担法律责任。

XSS RustFS Web安全凭证泄露本地存储攻击对象存储 CORS 前端安全后端信任问题权限提升

0x38 天清汉马VPN安全网关系统任意文件读取漏洞附POC

北风漏洞复现文库 2026-02-28T12:54:16 © 安服仔

本文介绍了天清汉马VPN安全网关系统的一个严重漏洞，即任意文件读取漏洞。该漏洞允许攻击者通过构造特定的请求来读取服务器上的敏感文件，如配置文件和账号密码等，从而可能获取系统权限或进一步渗透内网。天清汉马VPN安全网关系统是启明星辰集团旗下天清汉马品牌推出的网络安全设备，主要提供安全的远程接入和分支机构互联解决方案。文章中提供了一个漏洞复现的POC（Proof of Concept），并建议用户升级至最新版本以修复该漏洞。需要注意的是，本文仅供学习和研究之用，不得用于非法测试。

漏洞分析网络安全设备文件读取漏洞远程接入安全内网渗透安全漏洞修复

0x39 RCE-labs靶场通关WP-(Apursuit-the0n3)-第二章(共三章)

Xudde-Sec 2026-02-28T11:16:10 © Xudde

本文详细介绍了从Level21到Level40的一系列网络安全学习内容，涵盖了多个Linux命令及其在Web安全中的应用。Level21至Level25主要讲解了diff、find、cp、mv和ping命令的使用，以及如何通过这些命令间接查看或移动文件内容。Level26至Level28介绍了curl、echo和wget命令用于植入一句话木马，实现远程代码执行。Level29和Level30则聚焦于nc和ncat命令，用于建立反弹shell以获取远程服务器的控制权，并讨论了如何绕过命令过滤进行shell连接。Level31至Level38深入探讨了sed命令的文本处理功能，以及利用通配符、变量定义与拼接、逻辑运算符和反引号等技巧绕过命令限制，查看或修改文件内容。最后，Level39和Level40介绍了如何利用注释符和空格的URL编码来绕过命令过滤，实现文件查看。这些关卡旨在通过实际操作，帮助学习者理解和掌握各种命令的用途及绕过限制的方法，提升网络安全技能。

Web安全命令注入绕过机制文件操作木马植入网络工具信息泄露 CTF

0x3a 基线检查项目实施文档

北京昊网CTF题解 2026-02-28T11:07:58 北京昊网

本文详细阐述了企业网络设备、服务器和办公电脑的基线检查项目实施全流程。项目始于前期筹备，明确需求、划定边界、确定方案，并选择合适的检查工具。随后进入正式实施阶段，按照网络设备、服务器、办公电脑的顺序，对照基线标准进行全面排查，重点关注账号安全、密码策略、权限分配、系统补丁、服务管理、防火墙配置、数据备份、日志监控等方面。实施过程中强调过程管控，每日复盘、数据管控和应急处理。检查结束后，产出基线检查报告，汇总检查结果，详细列出不符合项，并提出问题分析和整改要求。项目组全程参与隐患修复，提供指导、跟踪和协调。所有不符合项整改完成后，进行复测验证，确保整改效果。最后进入完整交付阶段，完成成果归档、项目总结和后续支持，确保项目闭环。本文为通用版实施文档，可根据企业实际场景和监管要求进行调整，并建议常态化开展基线检查，持续防范安全隐患。

网络安全基线检查网络安全合规网络安全风险评估网络设备安全服务器安全终端安全漏洞管理权限管理安全审计安全运维

0x3b 某CMS最新版本后台注入漏洞分析

进击安全 2026-02-28T10:27:43 © 学员投稿

本文详细分析了某CMS最新版本后台注入漏洞。文章首先介绍了漏洞的基本情况，包括漏洞位置、代码片段和审计分析。漏洞位于MessageController.php文件中，通过explode和implode函数处理GET参数时存在逻辑错误，导致攻击者可以利用逗号分隔符and来补位，从而绕过安全检查。接着，文章深入分析了模型层MessageModel.php和核心模型Model.php中的代码，指出直接拼接用户输入的SQL语句是高危操作。文章还提供了SQLite和MySQL环境下的漏洞利用方法，包括报错盲注和条件判断。最后，文章简要介绍了如何判断数据库类型以及相关课程信息。

后端安全 SQL注入代码审计安全漏洞安全防御数据库安全漏洞利用

0x3c 攻破Active Directory：Kerberos委派与RBCD滥用实战

柠檬赏金猎人 2026-02-28T10:00:23

本文详细描述了一种攻击Active Directory域控制器的方法，通过多种技术手段，包括RID循环攻击、AS-REP Roasting、Kerberoasting、ACL滥用、影子凭证、GMSA密码提取、约束委派和基于资源的约束委派（RBCD）等，最终实现了获取域管理员权限。文章首先介绍了攻击的背景和目标，接着详细解释了攻击过程中的各个阶段，包括信息收集、初始访问、横向移动与权限提升、关键信息获取、委派滥用与域控妥协等。文章还列举了所涉及的攻击工具和命令示例，并对攻击过程中可能遇到的问题和注意事项进行了说明。此外，文章还提供了相关的参考链接，供读者进一步学习和研究。

Active Directory Security Kerberos Protocol Privilege Escalation Lateral Movement Password Attack Delegation Abuse Security Configuration Issues Security Tools Security Best Practices

0x3d SYN Flood 攻击原理剖析与检测规则实战

安全孺子牛 2026-02-28T09:46:12 © 网络安全菜鸟

本文深入剖析了SYN Flood攻击的原理，介绍了其作为一种经典的DDoS攻击手段的工作机制。文章首先阐述了SYN Flood攻击的定义和基本原理，解释了攻击者如何利用TCP协议的三次握手漏洞，通过发送大量伪造的SYN报文来耗尽服务器资源，导致服务拒绝。接着，文章详细描述了TCP三次握手的正常流程，以及攻击者如何利用这些流程中的漏洞。此外，文章还提供了使用Kali进行攻击测试的方法和环境模拟步骤，并建议如何进行服务器抓包。最后，文章介绍了如何编写Suricata检测规则来识别SYN Flood攻击，并通过具体的规则示例展示了如何设置阈值和警报条件，以便在检测到攻击时及时响应。

DDoS攻击 TCP协议网络安全防御入侵检测系统网络攻击技术数据包分析

0x3e 银狐木马样本分析：基于TLS回调与动态加载的恶意行为解析

NoCrackme 2026-02-28T09:42:25 © 昨夜西风凋碧树

本文分析了一款名为ongihwe.cn_926_X8_NULL.exe的银狐木马样本。该木马通过钓鱼邮件传播，解压后首先进行反调试检测，然后自我删除。随后，样本会连接C2服务器下载文件，并在Internet Explorer目录下释放nvgpu_x64.exe和nvml.dll文件。nvgpu_x64.exe会加载nvml.dll，而nvml.dll则伪装使用光明食品的数字签名。动态行为分析显示，该木马主要用于远程下载文件并形成计划任务，通过nvgpu_x64.exe加载nvml.dll和nvml.bin上线，从而控制主机。静态分析发现，样本使用了TLS回调机制进行反调试检测，并通过动态解密内存中的载荷文件。最终，分析确定了木马的大体流程，包括内存解密、地址修复、文件释放、启动傀儡程序、加载恶意DLL以及执行恶意行为等步骤。处置措施建议删除相关文件和计划任务。

钓鱼邮件银狐木马反调试内存解密文件释放 C&C通信计划任务数字签名伪造 GPU信息收集 DLL注入 COM组件伪造

0x3f 0day | 青龙面板最新版本鉴权绕过导致远程代码执行漏洞

实战安全研究 2026-02-28T09:00:54

本文介绍了一个影响青龙面板最新版本的鉴权绕过漏洞，该漏洞可能导致远程代码执行。攻击者可以利用这一漏洞在服务器端任意执行代码，写入后门，从而获取服务器权限并控制整个Web服务器。漏洞影响的是最新版本的用户，且通过特定的FOFA语法可以检测到。文章提供了漏洞复现的步骤和检测的POC（漏洞利用代码），并建议用户联系厂商打补丁或升级版本，同时增加Web应用防火墙防护，并限制访问权限以降低风险。文章还提到了一个专注于1day/Nday漏洞POC和复现的内部圈子，提供了一系列福利和专属权益，并强调了合法安全测试的重要性。

漏洞分析远程代码执行鉴权绕过青龙面板网络安全研究 Web安全漏洞利用安全防护

0x40 开源发布！CloudFox GCP：谷歌云攻击路径测绘工具

云原生安全指北 2026-02-28T08:38:47 Dubito

CloudFox GCP 是一款专为 Google Cloud Platform 设计的攻击性安全工具，旨在帮助安全专业人员从攻击者的角度理解并识别云环境中的风险。它通过枚举云资源、映射身份权限、识别服务帐户风险以及揭示权限提升链、横向移动机会和数据外泄风险，扩展了 CloudFox 的攻击性安全方法论。文章强调了 GCP 独特的安全模型及其带来的挑战，如 IAM 继承、服务帐户泛滥、跨项目信任等，并通过多个真实案例说明了配置错误可能导致的严重后果。CloudFox GCP 包含 64 个模块，分为身份与访问管理、存储与 secrets 信息安全、计算与容器安全、网络安全以及攻击路径分析五个类别，能够深入洞察 GCP 环境的安全状况。该工具与即将发布的 FoxMapper 集成，可以绘制 IAM 权限提升图谱，并提供可操作的攻击路径和利用剧本。CloudFox GCP 的层级化输出结构有助于安全团队理解组织内部的风险分布，并按优先级进行修复。它支持多种身份验证方式，并推荐使用预定义角色以获取必要的读取权限。文章还介绍了 CloudFox GCP 的未来发展方向，包括对 Azure 和 Kubernetes 的支持、多云攻击路径检测、增强的攻击路径分析以及 CI/CD 安全分析等。

云安全身份与访问管理 (IAM) 云配置管理权限提升横向移动数据泄露防护安全评估工具 Google Cloud Platform (GCP) 攻击路径分析

0x41 CISCN 2018 白盒AES加密逆向完整分析

破镜安全 2026-02-28T08:01:54 © 破镜安全

本文详细分析了CISCN 2018密码学逆向题目，该题目提供了一个ELF可执行文件，要求找到正确的输入使程序输出成功信息。通过静态分析和动态调试，文章确定了程序使用了白盒AES加密算法。作者通过GDB调试，在加密函数执行的关键时刻提取了明文和第0轮的输出。利用AES算法的特性，特别是第0轮使用原始密钥，作者实现了密钥的恢复。通过逆运算，将提取的数据逆向处理，成功恢复了密钥。最后，使用恢复的密钥解密预期密文，验证了密钥的正确性，并得到了最终的flag：CISCN-a3%v^8as=f。文章还深入探讨了白盒密码学的攻击面、AES逆运算的数学本质以及题目设计的巧妙之处，并提供了相关的参考资料和延伸阅读。整个过程展示了系统化的分析方法、密码学理论的应用以及实用的逆向技能，对于理解白盒密码学的原理及其攻击方法具有重要意义。

逆向工程密码学白盒密码学 AES加密动态调试密钥恢复 CTF ELF文件分析

0x42 一款轻量便捷的 Windows 应急响应辅助工具

李白你好 2026-02-28T08:01:47 WenGui

本文介绍了一款名为WG-Win-Check的轻量级Windows应急响应辅助工具。该工具基于原生Win32 API开发，体积小巧，仅600余KB。其主要功能包括用户排查、进程排查、网络连接排查、启动项排查、服务排查、计划任务排查、文件排查和事件日志排查等，旨在帮助安全人员快速识别恶意进程、可疑启动项、异常网络连接等安全风险。此外，工具还提供威胁检索、活动痕迹聚合等功能，以及内置基础风险判定规则和原生API实现，确保无第三方依赖。文章还提供了工具的下载地址和授权说明，方便用户获取和使用。

应急响应系统安全恶意代码检测安全工具 Windows 平台

0x43 青龙面板 v2.20.1 路由重写引发的鉴权绕过与配置写入风险（复现记录）

摸鱼冲浪研究所 2026-02-28T08:01:46 冲浪

本文详细分析了一个名为青龙面板的软件在版本v2.20.1中存在的安全漏洞。该漏洞主要涉及路由重写和鉴权机制的问题，导致未授权用户可能绕过安全校验，访问到受保护的接口。文章通过具体的复现步骤，包括重置密码、获取token、读取配置文件、后台查看配置文件以及利用配置写入功能进行路径逃逸等，展示了如何利用这一漏洞进行攻击。此外，文章还提到了如何通过修改config.sh文件来执行远程代码执行（RCE），从而揭示了漏洞的严重性。最后，文章提醒读者，所分享的资源和技术仅供网络安全研究和教学使用，并强调了使用责任自负的原则。

漏洞分析鉴权绕过配置写入风险路由重写网络安全复现记录

0x44 EverShop严重安全漏洞警报：密码重置令牌直接暴露，CVSS 9.8分

CVE-SEC 2026-02-28T08:01:02 © CVE-SEC

开源电商平台EverShop近日被曝出严重安全漏洞CVE-2026-28213，CVSS评分高达9.8分。该漏洞允许攻击者在无需身份验证的情况下直接获取密码重置令牌，从而劫持任意用户账户。漏洞源于API响应中直接暴露密码重置令牌，违反了多个基本安全原则。该漏洞的影响范围广泛，已引起安全社区的高度关注。EverShop官方已发布修复版本v2.1.1，建议用户立即升级。文章详细分析了漏洞的技术原理、攻击场景、危害评估以及如何自查和修复，并对开发者提出了安全代码审查和自动化安全测试的建议。同时，文章还强调了开源软件供应链安全的重要性，并提供了相应的管理建议。

信息泄露身份认证漏洞 API安全开源软件安全供应链安全漏洞评分事件响应安全最佳实践

0x45 浏览器流量被动嗅探与溯源反制神器

只会看监控的实习生 2026-02-28T08:00:46 菜狗

本文介绍了一款名为Heimdallr的浏览器流量被动嗅探与溯源反制工具。该工具具备核心功能，包括被动监控浏览器所有流量、实时提示目标框架漏洞、拦截蜜罐JSONP请求、清除浏览器持久化特征等。Heimdallr安装快速，仅需30秒，且无需配置即可使用。它支持Chrome浏览器，要求Chrome版本不低于v96。工具具备丰富的功能规则，包括高危漏洞指纹和蜜罐特征识别，能够提供弹窗告警。此外，Heimdallr还具备反浏览器追踪、流量嗅探等功能，并提供详细的配置选项。文章还介绍了Heimdallr的使用指南、高级使用技巧以及指纹库二次开发方法。实战场景示例展示了工具在攻防演练、蜜罐站点识别和浏览器特征对抗环境中的应用。性能方面，Heimdallr对CPU和内存的影响极小，网络流量零额外请求。

网络安全监控漏洞检测与防护浏览器安全反追踪技术蜜罐技术开源工具

0x46 通往内核的七条路：RCE获取服务器权限的完整狩猎指南

逍遥子讲安全 2026-02-28T02:46:03 © 逍遥

本文深入探讨了远程代码执行（RCE）的狩猎体系，涵盖了从命令注入、反序列化、SSTI到竞态条件、组件漏洞等七大类核心攻击面，并提供了12个2025-2026年的实战案例。文章强调了RCE的价值层级，从回显型到链式RCE，奖金区间从3000元到30000元不等，突出了RCE的深度利用潜力。对于命令注入，文章详细介绍了高危函数、挖掘方法、绕过技巧和实战案例；对于不安全反序列化，分析了Java、PHP、Python等生态的漏洞原理、挖掘方法和实战案例，如Log4j2的JNDI注入漏洞和React2Shell漏洞；对于服务器端模板注入（SSTI），介绍了高危引擎、基础检测、无引号绕过技术和实战案例；对于SSRF链式RCE，阐述了漏洞原理、挖掘思路和实战案例，如从SSRF到Redis RCE；对于第三方组件漏洞，列举了2025-2026年的重大RCE漏洞，并提供了挖掘方法和实战案例，如Electron桌面应用RCE；对于云原生RCE，分析了容器逃逸RCE的常见向量，并介绍了Dangerzone容器逃逸赏金计划；最后，文章还提供了自动化武器库，包括命令注入检测脚本、SSTI检测Payload库和Nuclei RCE模板示例。文章总结指出，RCE狩猎需要系统性的方法论，应深入挖掘RCE的利用潜力，而不仅仅是提交简单的漏洞。

SQL注入远程代码执行 (RCE) 命令注入反序列化服务器端模板注入 (SSTI) SSRF (服务器端请求伪造) 第三方组件漏洞云原生安全自动化工具 Web安全漏洞挖掘防御绕过

0x47 工具推荐 | Burp_Parsing深度扫描HTTP响应，自动化提取与验证未公开API接口

星落安全团队 2026-02-28T00:01:12 w-sega

本文介绍了Burp_Parsing插件，这是一个用于自动化API接口提取、参数解析及批量验证的Burp Suite插件。该插件能够从HTTP响应中快速挖掘未公开的API端点并进行有效性测试。主要功能包括智能提取与构造API路径和参数、请求重组、智能填充测试值、格式转换等。此外，Burp_Parsing还支持批量验证与扫描，包括被动监听、批量发包、过滤与配置、自定义头、可视化结果等。文章还简要介绍了如何加载插件、提取接口、分析与发送以及批量验证等操作步骤。同时，提到了URLReplayer的合并以及其使用方法。最后，文章简要介绍了博主的工作背景和参与的安全技术领域。

网络安全工具 API安全 Burp Suite插件自动化测试 HTTP响应分析安全测试代码审计

0x48 【AI高危漏洞预警】Claude Desktop命令注入漏洞CVE-2026-26029

飓风网络安全 2026-02-27T23:21:00 cexlife

本文报道了Claude Desktop软件中存在的一个高危漏洞CVE-2026-26029，该漏洞由sf-mcp-server组件引起，这是一个为Claude for Desktop实现的Salesforce MCP服务器。漏洞源于对用户输入处理的不安全，攻击者可以通过构造恶意输入，利用child_process.exec执行任意系统命令，从而在目标系统上以MCP服务器进程权限执行任意shell命令。受影响的版本为在提交99fba0171b8c22b5ee3c0405053ccfd2910a066d之前的所有版本。建议用户立即升级至修复版本，并对所有用户输入进行严格过滤，避免使用未经验证的用户输入直接拼接至命令行，同时启用最小权限运行、禁用不必要的shell执行权限，并部署WAF或运行时行为监控以检测异常命令调用。

命令注入漏洞 CVE编号远程攻击服务器漏洞权限提升安全最佳实践软件更新

0x49 烽火狼烟丨暗网数据及攻击威胁情报分析周报（02/23-02/27）

盛邦安全应急响应中心 2026-02-27T20:25:59

WebRAY安全服务团队本周监测到暗网数据贩卖事件284起，同比增加13.60%，贩卖数据总量达51408.2万条，涉及7个地区和7种数据分类，其中贸易、金融、个人信息等数据类型占比显著。主要威胁来自软件恶意软件、AI工具及网站攻击，fast-xml-parser XML构建器栈溢出漏洞尤为突出。内部安全运营中心发现恶意攻击来源IP 7779条，主要涉及webshell攻击和敏感信息泄露。重点数据泄露事件包括Wendy数据库、Elastic NV公司信息、CarGurus账户记录、Odido用户信息及法国银行信息泄露。热点资讯涉及Optimizely语音钓鱼事件、AI加速攻击网络威胁、密西西比大学医学中心勒索软件攻击、Adelaide大学无人机网络安全系统及Predator间谍软件在iPhone上的传感器监控。热点技术包括恶意NPM包伪造成正常依赖包下载后控制系统、AI工具入侵Fortinet防火墙、黑客伪造Zoom更新页面安装监控软件、利用恶意OpenClaw插件传播Atomic macOS信息窃取器以及针对欧洲金融机构发起的钓鱼攻击。热点漏洞则包括Ajenti未授权远程代码执行漏洞、Langflow CSV Agent节点远程代码执行漏洞、Agenta-API服务器端模板注入漏洞、Copyparty反射型跨站脚本漏洞及fast-xml-parser XML构建器栈溢出拒绝服务漏洞。

数据泄露恶意软件勒索软件钓鱼攻击社会工程学 AI攻击漏洞利用信息窃取内部威胁供应链安全

0x4a iOS虚拟手机实现原理解析

软件安全与逆向分析 2026-02-27T20:25:47 © 非虫

本文详细解析了iOS虚拟手机的实现原理，主要基于Apple Silicon服务器上的Private Cloud Compute（PCC）固件中嵌入的虚拟iPhone运行环境。文章首先介绍了Virtualization.framework的公开和私有API能力边界，指出通过逆向分析框架二进制，可以发现用于创建虚拟iPhone的私有API。接着，文章详细阐述了虚拟机从创建到运行的完整技术实现，包括环境准备、固件准备与混合策略、引导链补丁剖析、虚拟机创建与DFU引导、Ramdisk构建与系统修补、CFW安装以及首次启动与远程访问等关键步骤。其中，引导链补丁涉及对多个启动组件进行41+处二进制修改，以绕过签名验证、文件系统保护、信任缓存检查等安全机制。最后，文章总结了虚拟iPhone作为逆向分析平台的使用场景和已知限制，并提供了相关参考资源。

iOS虚拟化逆向工程安全研究私有API 苹果设备 macOS ARM64

0x4b 关注 | 新一批重点防范境外恶意网址和恶意IP公布！

商密君 2026-02-27T20:15:38

中国国家网络与信息安全信息通报中心近日公布了新一批重点防范的境外恶意网址和恶意IP，这些恶意网址和IP与境外黑客组织相关，用于对中国和其他国家发起网络攻击。恶意网址和IP涉及美国、英国、意大利、捷克、斯洛伐克、沙特阿拉伯、立陶宛等地，关联的病毒家族包括Quasar、SoftBot、XorDDos、CondiBot、DcRat、V3G4Bot、NjRAT、AsyncRAT、Mirai等。攻击类型包括建立僵尸网络、后门利用等，对中国国内联网单位和互联网用户构成重大威胁。文章提供了详细的恶意地址信息、排查方法和处置建议，提醒用户保持警惕，及时更新防护措施，并向公安机关报告相关情况。

网络安全事件恶意软件境外攻击僵尸网络 DDoS攻击威胁情报安全防护网络监控

0x4c FreeBSD 漏洞允许攻击者导致整个系统崩溃

O安全研究员 2026-02-27T19:42:19 O安全研究员

FreeBSD操作系统近日发现了一个严重的安全漏洞（CVE-2025-15576），该漏洞可能导致攻击者逃离安全隔离的监狱环境，从而获得对主机底层文件系统的完全、未经授权的访问权限。这个漏洞主要影响那些配置了两个兄弟监狱共享目录的系统，攻击者可以通过Unix域套接字交换目录描述符，绕过内核的文件系统隔离检查，从而突破chroot限制。该漏洞的严重性在于攻击者可能访问根文件系统，修改关键系统文件，窃取敏感数据，或进一步攻击以提升主机权限。目前没有临时的变通方法，管理员必须升级到已补丁的发布分支，并重启系统以确保安全更新生效。对于源代码安装的环境，管理员需要下载并验证官方补丁，重新编译内核。

操作系统漏洞系统崩溃越狱攻击文件系统访问控制安全更新 FreeBSD系统安全 Unix域套接字 chroot隔离

0x4d 使用 Python 通过 Telnet 连接到 EVE-NG 中已启动的 Cisco CSR1000V 路由器节点

网络技术联盟站 2026-02-27T18:24:19 © Lino

本文旨在指导网络安全学习者如何使用Python通过Telnet连接到EVE-NG中运行的Cisco CSR1000V路由器节点。文章首先介绍了EVE-NG为每个节点分配的临时Telnet端口，通常从30000开始递增。接着，作者介绍了Python标准库中的telnetlib模块如何实现Telnet连接，并提供了两种连接方式：交互式连接和自动化脚本。文章详细说明了环境准备要求，包括Python版本和系统配置。交互式连接方法简单，适合初次使用者手动操作，而自动化脚本则适用于批量配置或自动化测试。最后，文章提供了一个交互式Telnet连接的代码示例，包括建立连接、等待首次提示以及进入交互模式的步骤。

网络安全工具网络设备管理自动化脚本 Python编程 EVE-NG平台

0x4e 某次通用型漏洞挖掘思路分享

陌笙不太懂安全 2026-02-27T18:07:44 ajie

这篇文章主要分享了一个网络安全学习者在挖掘CMS通用型漏洞过程中的思路和方法。文章首先建议初学者选择简单的CMS进行挖掘，推荐了几个CMS源码下载地址，并解释了选择低版本、GitHub Star少、源码量小且非框架型CMS的原因。接着，文章介绍了挖掘前期需要准备的环境，包括PHPstudy、代码扫描工具（seay和fortify）、BurpSuite、漏洞扫描工具（Xray+burp联动）以及编辑器。在挖掘中期，文章详细描述了如何使用代码扫描工具和黑白盒配合发现漏洞，并强调了分析扫描结果、定位漏洞、研究路由的重要性。文章还通过一个具体的漏洞案例，展示了如何验证任意创建文件、任意文件写入和任意文件删除漏洞，并尝试了组合漏洞扩大成果的方法。最后，文章总结了挖掘过程和思路，并鼓励学习者积极实践。

Web安全漏洞挖掘代码审计 CMS安全渗透测试黑盒测试安全工具学习资源

0x4f Claude Code遭入侵，RCE漏洞可窃取组织API密钥

FreeBuf 2026-02-27T18:07:38

Anthropic 公司开发的 AI 命令行开发工具 Claude Code 存在严重安全漏洞，可能导致远程代码执行（RCE）并窃取 API 密钥。Check Point Research 发现，攻击者可利用存储在代码库中的配置文件实现 RCE，并通过恶意项目钩子自动执行命令。此外，还存在绕过模型上下文协议（MCP）同意机制和通过篡改环境变量截获 API 密钥的漏洞。这些漏洞暴露了 AI 辅助开发工具的供应链风险，攻击者可入侵开发者设备。Anthropic 已修复漏洞并增强安全验证，建议开发者立即更新至最新版本，并对配置文件进行严格审查。

远程代码执行（RCE） API密钥泄露配置文件漏洞供应链攻击 AI工具安全安全漏洞修复安全配置管理用户交互安全

0x50 伪装成AI助手，30款恶意Chrome扩展程序窃取账号凭证

长亭安全观察 2026-02-27T18:07:25

据悉，超过30万的用户安装了30款伪装成AI助手的恶意Chrome扩展程序，这些扩展程序旨在窃取用户的账号凭证、邮件内容和浏览信息。这些恶意扩展程序由同一攻击团伙控制，其中最流行的扩展名为Gemini AI Sidebar，用户量达8万。尽管Gemini AI Sidebar已被Chrome应用商店下架，但仍有其他恶意扩展程序继续存在。这些扩展程序通过加载远程域名内容提供所谓的“AI服务”，实际上并没有实现AI功能。它们利用Mozilla的Readability库从用户访问的网页中提取内容，特别是针对Gmail数据的扩展程序能够窃取邮件内容，并通过Web Speech API实现录音功能。研究人员建议用户自查并重置账号密码以确保安全。

恶意软件攻击浏览器安全账号凭证窃取 AI伪装数据泄露 Chrome扩展商店安全 JavaScript安全后端服务器安全

0x51 【0day】青龙面板最新版v2.20.1 鉴权绕过致RCE漏洞

0day收割机 2026-02-27T17:56:24

本文描述了一系列网络安全漏洞复现的过程，涉及多个API接口的操作。首先，通过发送GET请求到/api/health和/api/system接口，可以获取服务器状态和版本信息。接着，使用PUT请求到/open/user/init接口，可以重置密码。然后，通过POST请求到/api/user/login接口，使用正确的用户名和密码可以获取到token。获取token后，可以使用GET请求到/api/configs/config.sh接口读取文件内容，也可以使用/api/configs/detail?path=config.sh的方式读取文件。此外，还可以通过POST请求到/api/configs/save接口，利用路径穿越技术将恶意代码写入到指定路径，例如写入到../.././../../../tmp/vuln目录下。如果成功写入，可以通过修改config.sh文件，在文件末尾添加shell代码，实现远程命令执行（RCE）。这些操作仅供安全研究和学习使用，任何因传播、利用本文档信息而产生的后果均由使用者自行承担，文章作者不承担责任。

漏洞复现信息泄露密码破解身份认证文件包含远程代码执行安全研究责任声明

0x52 【0day】九佳易管理系统 picHY.ashx SQL 注入漏洞

0day收割机 2026-02-27T17:56:24

本文详细介绍了九佳易管理系统中存在的SQL注入漏洞。该漏洞位于picHY.ashx通用处理程序接口，该接口用于处理前端AJAX请求与后端数据库交互。由于接口未对客户端传入的参数进行严格的校验和转义，攻击者可以构造恶意SQL语句注入请求参数，从而执行非授权的数据库操作。漏洞影响版本为fofa语法title="VSQL" && body="/Scripts/Login_A8/"。文章提供了漏洞复现的步骤，包括参数获取方式和利用方法，并指出成功利用后会在响应中回显当前数据库用户信息。文章强调，此信息仅供安全研究和学习使用，使用者需自行承担因传播或利用此信息而产生的任何后果。

SQL注入安全漏洞系统安全后端攻击 Web安全数据泄露漏洞复现

0x53 Cobalt Strike的各类反向上线操作

蚁景网络安全 2026-02-27T17:40:40 昱子

本文详细分析了Cobalt Strike中存在的安全漏洞及其反制方法。Cobalt Strike使用Java的SWING框架开发，攻击者可以通过CS木马在beacon元数据中注入恶意HTML标签，诱导Cobalt Strike加载并执行恶意代码，从而在目标系统上实现远程代码执行（RCE）。文章首先介绍了漏洞的实现原理，即攻击者利用CS木马注入恶意payload，并通过Frida框架钩入Windows API函数（如Kernel32.dll中的Process32Next和FindFirstFileW等）来拦截和修改函数行为。以Process32Next函数为例，攻击者可以修改返回的进程名，将其改为恶意payload，当受害者查看进程列表时触发反制，执行RCE。文章还提供了详细的反制复现步骤，包括环境准备、修改POC脚本、编译恶意jar文件、部署web服务以及执行POC脚本等。此外，文章强调即使是已知的漏洞，由于仍有许多用户使用存在漏洞的Cobalt Strike版本，因此反制思路依然具有实际意义，攻击者可以利用多种Windows API进行类似的反制操作。

CobaltStrike 漏洞利用 Web技术反制 Frida WindowsAPI 注入技术恶意软件 Exploit开发网络安全工具

0x54 关注 | 新一批重点防范境外恶意网址和恶意IP公布！

中国信息安全 2026-02-27T17:36:47

中国国家网络与信息安全信息通报中心近期公布了新一批境外恶意网址和恶意IP，这些恶意网址和IP与特定木马程序或木马程序控制端紧密相关，黑客组织利用这些恶意网址和IP对中国和其他国家进行网络攻击，包括建立僵尸网络、后门利用等，对中国国内联网单位和互联网用户构成严重威胁。恶意网址和IP主要分布在美国、英国、意大利、捷克、斯洛伐克、沙特阿拉伯、立陶宛等国家。文章详细列举了这些恶意网址和IP的详细信息，包括关联的IP地址、归属地、威胁类型、病毒家族和具体描述。同时，文章还提供了排查方法和处置建议，提醒用户保持警惕，及时更新规则，并向公安机关报告相关情况。

恶意网址恶意IP 网络攻击僵尸网络后门程序 DDoS攻击网络威胁情报网络安全防护国际网络安全网络安全意识

0x55 [EDU]一次简单的OSS漏洞

略懂安全的三秋 2026-02-27T17:24:01 © 略懂安全的三秋

本文记录了一次针对某OSS（对象存储服务）平台的简单漏洞挖掘过程。作者首先尝试了常见的登录测试方法，包括弱口令测试、密码爆破和目录扫描，但均未成功。随后，作者转向查看平台插件，并在雪瞳插件中发现了一个有趣的接口。通过接口拼接，作者发现这是一个指向OSS存储桶的接口。利用OSS下载脚本，作者成功下载了多个文件。进一步分析文件内容后，作者通过重发模块将请求包发送，并将请求模式改为PUT，发现可以写入文件。作者尝试覆盖文件，并成功执行。文章中还包含了一些截图，展示了服务器的登录界面、请求包的内容以及相关的HTTP响应头信息。

云安全漏洞挖掘弱口令攻击目录扫描插件漏洞文件上传漏洞脚本下载请求重放渗透测试

0x56 【天问】发现针对CI/CD的PyPI恶意包投毒攻击

奇安信技术研究院 2026-02-27T17:06:15 星图实验室

本文分析了2026年2月发现的一批针对CI/CD的恶意软件包攻击。这些恶意包伪装成Python等主流生态的依赖包，通过PyPI等公共仓库传播。攻击者利用CI/CD环境自动化安装依赖的机制，在安装过程中执行恶意代码，窃取敏感信息如API令牌、云平台密钥等。文章详细介绍了三个恶意样本的攻击逻辑，包括利用setup.py自动执行、识别CI环境进行定向攻击、以及通过HTTP外联将窃取的数据发送至攻击者服务器。针对此类攻击，文章提出了依赖完整性校验、运行环境权限控制、构建阶段动态监控以及供应链威胁检测等防御建议。

软件供应链攻击 CI/CD安全 PyPI安全依赖包投毒环境变量窃取横向移动后门部署防御策略安全分析

0x57 【干货】漏洞挖掘技巧+深层原理分析前端鉴权绕过（一）

小草培养创研中心 2026-02-27T17:01:34

本文详细分析了前端鉴权绕过的实现技巧和底层原理，并总结了可落地的挖掘方法与防范原则。文章首先通过一个密码找回功能的案例，展示了如何通过修改验证码响应包来绕过前端鉴权，进而触发后端未授权访问漏洞。接着，从核心本质和代码逻辑两层剖析了此类漏洞的原因，指出漏洞本质是后端API的未授权访问，前端鉴权绕过只是触发手段。文章还通过具体的前端代码示例，揭示了两个可绕过的节点：绕过登录API的响应判断和绕过localStorage存储Token的操作。在前后端分离架构下，前端承担部分鉴权工作，但后端API的鉴权往往存在疏漏，导致前端鉴权绕过成为可能。文章总结了四类高频业务场景，包括角色操作类、交易/支付/资产类、特殊权限资源访问类和身份验证类，并指出这些场景的共同点是前端存在明显的功能拦截但后端未做二次验证。最后，文章提出了三种破解前端鉴权拦截的实操方法：修改鉴权接口返回值、构造合规返回值和篡改/重写JS代码。

前端安全权限控制漏洞挖掘 Web安全 API安全渗透测试安全开发

0x58 记一次艰难的多级域内渗透过程

马哥网络安全 2026-02-27T17:01:14 点击关注👉

外网打点端口扫描使用nmap进行端口探测，发小存在22和80端口开放。然后探测其确定版本。子域名枚举接着进行子域名枚举。

端口扫描版本探测子域名枚举目录遍历漏洞利用 XSS SQL注入命令执行内网信息收集域渗透 Kerberos中继攻击 NTLM中继攻击提权凭证提取

0x59 午夜闲谈-Fastjson<=1.2.68+mysql漏洞利用

午夜安全 2026-02-27T16:56:53 © 午夜安全

本文详细分析了Fastjson版本低于1.2.68与不同版本的mysql-connector-java结合时的漏洞利用方式，涵盖了SSRF和反序列化两种主要攻击手法。文章首先介绍了Fastjson与mysql-connector-java 5.0.2-5.1.5结合时的SSRF漏洞利用，通过构造特定的JSON payload，可以连接到指定的DNSLOG地址进行探测。接着，文章探讨了Fastjson版本低于1.2.68与mysql-connector-java 5.1.1-5.1.49结合时的漏洞利用，包括SSRF和反序列化两种情况。SSRF利用DNSLOG进行探测，而反序列化则需要使用MySQL_Fake_Server搭建假的MySQL服务器，并通过利用链进行探测和命令执行。文章还提到了@Y4tacker大佬的利用链，并提供了生成字节码文件的代码，以及如何修改server.py文件来读取恶意字节码文件。最后，文章介绍了Fastjson版本低于1.2.68与mysql-connector-java 6.0.2-6.0.3和8.0.19结合时的反序列化漏洞利用方式，并提供了相应的JSON payload示例。文章强调了通用组件的反序列化漏洞和高危漏洞的重要性，并鼓励读者关注《午夜闲谈》系列的相关内容。

Fastjson 反序列化 SSRF Java安全数据库安全漏洞利用

0x5a 青龙面板存在鉴权绕过：可获取面板账户密码、执行任意命令

Cloud Security lab 2026-02-27T16:26:02 © Allen666

近日，网络安全研究者发现青龙面板存在严重的安全漏洞，攻击者可以绕过身份验证机制，通过特定接口执行任意系统命令，从而获取管理员账号密码等敏感信息，对系统安全构成严重威胁。该漏洞源于青龙面板的身份验证机制缺陷，包括API白名单处理和自定义鉴权中间件的逻辑问题。攻击者可以利用这个漏洞执行远程代码执行（RCE）攻击，获取敏感信息。文章还提供了漏洞验证和利用的方法，以及如何通过特定链接下载相关资源。此外，文章还提及了一个公众号Cloud Security lab对青龙面板在中国地区开放资产的探测结果，发现了大量开放端口为5700的资产。

漏洞分析身份认证系统安全命令执行网络攻击代码审计漏洞利用网络安全漏洞

0x5b 字符串分析器实战指南：从二进制文件中提取并分析字符串

安全狗的自我修养 2026-02-27T16:15:00 haidragon

本文介绍了一个名为String Analyzer的Python工具，该工具能够帮助网络安全学习者从二进制文件、内存转储和磁盘镜像中提取和分析字符串。它简化了传统的strings命令输出，提供了自动提取可打印字符串、分类（如URL、IP、注册表键、Windows API等）以及生成AI分析提示词的功能。String Analyzer是一个单文件Python工具，无需安装额外的依赖，且运行时仅依赖Python标准库。文章详细介绍了如何安装和使用String Analyzer，包括通过命令行调用、在Python中集成以及如何在真实工作流中应用，如恶意软件初筛、逆向工程和取证分析。此外，文章还讨论了为什么单纯的strings命令不够用，以及String Analyzer如何自动完成字符串提取、模式检测和熵计算等任务，最终以分类报告、原始字符串或AI提示词的形式输出结果。

网络安全工具二进制分析逆向工程取证分析恶意软件分析自动化分析 Python工具命令行工具人工智能辅助

0x5c 【漏洞复现】高危预警！H3C 多款路由器目录遍历漏洞致敏感信息泄露（附 POC + 修复方案）

玄武盾网络技术实验室 2026-02-27T15:50:42 © xuzhiyang

本文详细介绍了H3C多款路由器目录遍历漏洞，该漏洞可能导致敏感信息泄露。漏洞影响范围包括ER6300G2、ER5200G2、GR2200等多款型号，攻击者可以通过未授权访问缺陷获取设备核心配置信息，包括后台管理账号密码、WiFi名称及密码、设备端口配置和内网拓扑信息。文章提供了漏洞复现的POC示例，并建议用户升级至最新固件版本以修复漏洞。同时，还提供了资产排查和监控的方法，以降低风险。

路由器安全漏洞敏感信息泄露路径穿越攻击固件升级修复网络安全法遵守安全配置加固资产测绘应急响应

0x5d 2026年1月高危漏洞应急指南：7条措施+15类系统，安全人速查！

绿叶 GhostShield 2026-02-27T15:33:17 Spirits

本文针对2026年1月的高危漏洞发布了应急指南，指出高危漏洞占比达到45.88%，严重漏洞占比26.47%，超过七成漏洞可直接利用。主要漏洞类型包括SQL注入、任意文件读取、RCE等，重点目标包括OA、ERP、HR、报表系统等业务系统以及IoT设备和视频监控平台。文章列出了高风险系统TOP15，并提出了7条落地防护措施，包括资产梳理、标记高危接口、访问隔离、凭据治理、启用多因素认证、安全规则设置、行为回溯和补丁管理等。同时，还强调了合规处置要求，包括对外不发布漏洞细节、对内下发清单、对客户和监管披露信息等。

高危漏洞应急响应漏洞分析系统安全漏洞修复网络安全合规性

0x5e 7zip第三方网站“投毒”事件流程

松杨网络安全资料库 2026-02-27T14:38:45

近期发现存在仿冒7-zip官方网站的第三方站点，通过篡改下载链接传播恶意程序，用户下载后可能面临终端感染风险。该仿冒网站在2026年1月12日至1月22日期间，将官方安装程序的下载链接替换为带有恶意可执行文件的伪装安装程序。事件具有域名高度相似、页面布局一致、特定时间段替换文件、利用软件下载环节实施供应链攻击等特征。攻击链路包括引流、下载、执行、控制与利用阶段，恶意程序可能用于窃取信息、收集文件、横向移动等。为防范此类攻击，建议用户从官方网站下载软件，并检查下载文件来源和服务是否存在异常。

钓鱼攻击供应链攻击恶意软件传播域名欺诈软件漏洞利用用户教育安全事件分析

0x5f Bugku逆向题目-4.HelloSmali2

SPEEDCoding 2026-02-27T14:34:14 © 李北辰

本文分析了Bugku逆向题目中的4.HelloSmali2题目。题目提供了一个smali文件，通过使用jadx工具分析源码，发现了一个名为check的方法，该方法对输入的字符串进行特殊变换后与目标字符串比较。变换过程包括将字符串转换为二进制形式，确保长度为8的倍数，然后判断是否为6的倍数，如果不是则在末尾补0。接着，将字符串每6位进行截取，转换为10进制数字，根据数字找到指定字符数组中的字符进行替换，实现了一种修改过的Base64编码算法。解题过程中，作者编写了逆向脚本，通过分析算法逻辑，最终解出Flag。文章中包含了详细的解题步骤和脚本代码，以及题目的相关信息和描述。

逆向工程漏洞分析编码与解码网络安全移动安全 CTF（Capture The Flag）

0x60 【安全研究】使用内核驱动程序来隐藏和终止进程

CppGuide 2026-02-27T14:30:43 © 安全研究员

本文详细介绍了如何使用Windows内核模式驱动程序来隐藏和终止进程。首先，文章指导读者配置Windows 11虚拟机，禁用安全启动，并使用bcdedit启用测试签名模式以安装未签名的内核驱动程序。接着，文章分析了ActiveProcessLinks数据结构的偏移量，并在Visual Studio中创建了一个内核驱动程序项目，展示了如何通过修改进程的ActiveProcessLinks链表来隐藏指定PID的进程。此外，文章还介绍了如何通过IOCTL与用户模式应用程序通信，实现进程的隐藏和终止。最后，提供了用户模式程序的代码，用于发送hide或kill指令到内核驱动程序。文章还提到了内核驱动程序需要数字签名才能安装的问题，并推荐了后续文章来探讨如何绕过这一限制。整个文章深入浅出地讲解了内核驱动程序在进程管理中的应用，为读者提供了实用的技术指导。

内核驱动进程管理 Windows安全驱动开发 IOCTL通信 ZwTerminateProcess 调试工具数字签名

0x61 0day 麒麟操作系统 KysecScene D-Bus 服务本地提权漏洞分析附poc

阿乐你好 2026-02-27T13:56:19 KoWayMin

本文详细分析了麒麟操作系统中的KysecScene D-Bus服务本地提权漏洞。该漏洞允许低权限用户通过服务暴露的LoadJson和SaveJson方法读取高敏感文件和向任意路径写入数据，从而实现本地提权。文章首先介绍了漏洞的概述和定位过程，包括枚举系统D-Bus服务和检查D-Bus策略文件。接着分析了漏洞的成因，指出服务高权限运行、调用控制过宽和方法缺少安全约束是漏洞的关键因素。随后，文章提供了PoC验证过程，包括任意文件读取和任意文件写入的示例。最后，文章对漏洞的影响进行了评估，并提出了防护建议，强调收紧D-Bus调用策略和接口输入校验的重要性。

操作系统漏洞本地提权漏洞 D-Bus漏洞文件操作漏洞权限提升漏洞代码审计安全评估

0x62 行业资讯：境外攻击者滥用谷歌云邮件功能实施多阶段钓鱼攻击

君说安全 2026-02-27T13:31:49

本文报道了一起境外攻击者利用谷歌云邮件功能实施的多阶段钓鱼攻击事件。攻击者通过伪造谷歌官方邮件，借助谷歌云应用集成服务大规模分发钓鱼邮件。攻击手法核心在于滥用谷歌云基础设施的信任背书，绕过传统邮件安全网关的过滤检测。攻击者仿冒企业日常运营中的各类通知场景，降低收件人警惕性。监测数据显示，攻击波及全球多个区域，包括美国、亚太地区、欧洲、加拿大及拉丁美洲。攻击技术细节包括突破谷歌云邮件发送功能限制，规避邮件认证机制，并通过伪造图形验证码或字符验证码进行验证。谷歌已采取措施阻断攻击通道，并持续强化安全管控。攻击目标涵盖多个行业，利用合法云服务的自动化与工作流功能实施攻击，给企业网络安全防护带来挑战。

钓鱼攻击云服务安全邮件安全跨国攻击企业安全安全漏洞恶意软件身份盗窃

0x63 Burp插件AutoRepeater(增强版):自动化挖掘SSRF与未授权访问

0x八月 2026-02-27T13:12:53 © 0xSecDebug

AutoRepeater是一款Burp Suite插件，旨在自动化检测SSRF、OpenRedirect、SQLi等常见漏洞类型以及敏感信息泄露。该插件的核心优势在于基于原始请求响应的正则匹配，无需额外资源占用，实现高效的漏洞挖掘。AutoRepeater支持自定义参数匹配规则，允许用户灵活配置需测试的参数名与Payload。其关键亮点包括修复了原版插件在处理JSON格式参数匹配失败的问题，增强了现代API接口的测试能力；采用轻量级响应比对机制，通过分析响应内容差异来判断未授权访问，避免对目标系统造成额外负载；同时，插件采用模块化设计，可独立开关控制SSRF、Redirect、Sqli三大模块，配合自定义Replacements规则，实现精准漏洞探测。AutoRepeater的技术优势在于深度集成Burp Suite，无缝衔接手工测试流程，基于原始响应文本匹配不增加网络负载，适合生产环境谨慎测试，并支持参数级精准替换，减少误报和干扰。使用指南方面，用户需根据Burp版本下载对应JDK版本的插件，在Burp Extender中加载，并在配置界面勾选需开启的模块，配置dnslog token，添加待检测的参数名。查看Modified标签页中的修改后响应，通过Bug Type列的comment定位敏感信息类型，测试未授权时观察删除Cookie后是否仍能正常响应。

SSRF 未授权访问 OpenRedirect SQLi 敏感信息泄露 Burp Suite 自动化测试参数替换正则表达式 Json解析

0x64 【红队必备】460+POC内外网资产探测与漏洞检测工具

0x八月 2026-02-27T13:00:59 © 0xSecDebug

Fvuln（Find-Vulnerability）是一款面向安服与红队的自动化扫描工具，集成了460+漏洞检测与多协议爆破功能，适用于内外网授权测试。该工具的核心优势在于其服务感知智能调度机制，能够根据目标开放的端口和服务类型智能匹配相应的漏洞检测模块和爆破策略，避免对关闭的服务进行无效扫描，从而提升扫描效率。Fvuln支持单IP、CIDR网段、URL列表、Fofa查询结果四种目标导入方式，并对Fofa集成进行了优化，方便用户进行互联网边界梳理与内网资产盘点。此外，工具内置了460+漏洞检测模块，支持通过参数指定特定组件进行定向扫描，并配合自动追加HTTP协议头、智能识别URL格式的容错设计，减少手工调整成本。Fvuln还具备多源资产接入能力、场景化漏洞验证、存活探测优先ICMP与TCP多层探测、服务指纹识别、460+漏洞POC持续更新的检测模块库、多协议爆破以及自动报表生成等特性，能够快速筛选在线主机，精准匹配漏洞检测与爆破模块，并生成结构化txt输出，直接用于报告撰写。使用Fvuln前需要下载对应系统版本并配置Fofa邮箱与Key，通过指定参数进行单目标或批量任务扫描，扫描完成后可查看自动生成的txt报表，包含存活资产、开放服务、漏洞发现及爆破成功凭证。

漏洞扫描红队工具资产探测漏洞检测协议爆破自动化安全测试 POC 内外网扫描

0x65 CVE-2026-21962 Weblogic RCE漏洞（复现）

船山信安 2026-02-27T12:14:14 。。

本文详细分析了CVE-2026-21962 Weblogic RCE漏洞。该漏洞由Oracle WebLogic Server代理插件处理HTTP请求时的逻辑顺序错误导致，攻击者可利用该漏洞无需身份凭证即可远程执行命令。文章首先介绍了漏洞的核心原因和攻击链路，包括目标探测、构造恶意请求、发送请求、绕过校验、解码与触发以及远程控制等步骤。接着，文章提供了漏洞复现实战的详细步骤，包括环境准备、基础使用、复现示例以及核心代码解析。最后，文章概述了漏洞的影响范围、利用现状，并强调了未经授权测试他人系统的法律风险。

Oracle WebLogic 漏洞远程代码执行（RCE）中间件安全漏洞复现安全补丁网络安全 Web应用安全安全漏洞分析

0x66 搭建Nginx反向代理服务器

simple安全团队 2026-02-27T12:05:01 © simple安全团队

本文详细介绍了如何搭建Nginx反向代理服务器以增强企业内网的安全性。文章首先概述了使用Nginx作为反向代理服务器的优势，即隐藏后端服务器的真实IP地址和端口。接着，文章给出了搭建Nginx反向代理服务器的具体方案，包括所需的前置条件，如安装Ubuntu系统、拥有管理员权限、域名、出口防火墙和固定公网IP。方案中详细说明了Nginx服务器的配置，包括端口映射、DNS解析、防火墙端口转发和Nginx反向代理的设置。文章还提供了详细的操作步骤，包括在Ubuntu系统上安装Nginx、编写Nginx反向代理配置文件、配置出口防火墙进行端口转发、配置域名解析以及测试与验证。最后，文章讨论了可能遇到的问题和相应的解决方案。

网络安全配置防火墙策略 DNS解析安全 SSL/TLS加密反向代理服务器安全端口映射日志审计

0x67 Windows 11 KB5077241 更新改进了 BitLocker，并添加了 Sysmon 工具

独眼情报 2026-02-27T11:52:16

微软发布了Windows 11的KB5077241可选累积更新，该更新包含29项更改，主要针对BitLocker加密功能进行了改进，增强了网络速度测试工具和原生系统监视器(Sysmon)功能。KB5077241是每月的非安全预览更新，不包含安全修复，但提供了质量改进。更新提高了BitLocker的可靠性，修复了从睡眠状态唤醒时的可靠性问题，并减少了恢复时间。此外，更新引入了Sysmon功能，并自动在符合条件的Windows专业版设备上启用快速机器恢复(QMR)。更新还提供了新的网络速度测试工具，允许用户在任务栏中查看网络连接速度，并增加了新的功能，如将WebP图片设置为桌面背景和为Windows 11 Arm64设备添加了对远程服务器管理工具(RSAT)的支持。

操作系统安全加密技术系统监控补丁管理安全配置网络安全性用户教育

0x68 IngressNightmare (CVE-2025-1974) 深度解析

云梦安全 2026-02-27T11:40:47 云梦DC

本文深入解析了IngressNightmare（CVE-2025-1974）漏洞。该漏洞存在于Kubernetes的Admission Controller Ingress-NGINX中，允许攻击者通过伪造AdmissionReview请求，向控制器注入恶意Ingress配置，无需认证即可直接干预Ingress配置生成逻辑。漏洞的严重性在于它突破了信任边界，使得控制平面组件被错误暴露到可访问网络。CVE-2025-1974本身虽不能直接实现远程代码执行，但可以与其他漏洞组合形成利用链。攻击者可以通过组合漏洞触发NGINX加载恶意模块，实现命令执行。文章还分析了漏洞的影响范围、严重性，并提供了修复与防御建议，包括升级Ingress-NGINX、限制对外暴露、启用NetworkPolicy和mTLS等。最后，文章强调了控制平面组件不应默认信任内部网络，以及任何暴露都是潜在攻击面的安全启示。

Kubernetes 安全漏洞 Admission Controller 漏洞 Ingress-NGINX 漏洞配置注入攻击集群级风险云原生安全组合漏洞利用安全最佳实践

0x69 堡垒机安全加固规范｜等保合规必看：16 项核心检查项 + 配置手册

野猪与安全 2026-02-27T11:34:50 耶度

本文详细介绍了堡垒机安全加固规范，强调了堡垒机在等保2.0和网络安全合规检查中的重要性。文章从远程管理安全登录、用户账号与口令安全、日志与审计安全以及网络与安全防护四个方面，提供了16项核心检查项和配置手册。具体内容包括优先采用HTTPS安全连接登录、限制登录闲置超时、关闭无关服务、账号密码管理、密码策略加固、登录安全控制、日志与审计安全管理权限分离、安全审计覆盖范围、网络与安全防护端口最小化开放等。文章旨在帮助读者全面了解堡垒机安全加固的要点，确保堡垒机安全稳定运行。

堡垒机安全网络安全合规安全加固用户账号安全密码策略日志审计网络防护远程管理

0x6a 安全小知识-第二十五期_智能硬件（IoT）安全

今木安全 2026-02-27T11:32:20 © 今木安全

本文深入探讨了智能硬件（IoT）的安全性，从概念到实战，为安全研究人员、渗透测试工程师及固件开发者提供了一套立体化渗透测试框架。文章详细介绍了覆盖“端-管-云”的渗透测试方法，包括固件层、移动应用层、通信协议层和云端接口层的攻击面、关键技术工具和预期漏洞类型。文章还深入讲解了固件分析、移动应用分析、通信协议逆向与模糊测试等实操技术，并通过实战案例展示了智能灯泡漏洞链的构建过程。最后，文章总结了智能硬件安全研究的进阶方向，包括硬件交互深化、无线电安全、自动化与AI辅助、供应链安全，以及企业安全实践和研究人员的技术提升路径。

IoT安全渗透测试固件分析移动应用安全通信协议安全漏洞挖掘命令注入逆向工程模糊测试自动化测试

0x6b Prometheus 服务发现机制导致的敏感信息泄露分析

黑熊安全 2026-02-27T11:09:10 © 黑熊先生

本文分析了Prometheus服务发现机制导致的敏感信息泄露问题。Prometheus在云原生环境中被广泛使用，但其服务发现机制可能会泄露大量运行时元数据，如SSH登录用户信息、Kubernetes集群敏感标签、服务注册中心账号密码等。文章详细介绍了Prometheus服务发现的工作原理，并分析了可能泄露的敏感字段，如GCE/GCP环境的SSH密钥、Kubernetes环境的ServiceAccount Token等。文章还指出了几个可能导致敏感信息泄露的接口，如/api/v1/targets和/service-discovery。此外，文章还讨论了Admin API和Lifecycle API未授权访问的高危风险，并提出了安全加固建议，包括禁止公网暴露Prometheus、增加访问认证、禁止开启高危参数等。总结指出，Prometheus的安全风险往往被低估，其接口访问控制应被纳入云原生安全基线的核心要求。

云原生安全服务发现漏洞元数据泄露 Prometheus安全配置管理内部威胁安全加固

0x6c 新型攻击 -利用客户端路径遍历实现 CSRF 攻击

迪哥讲事 2026-02-27T11:01:22

本文介绍了“Incrementally Better Cookies”计划及SameSite属性对CSRF攻击的缓解作用，但指出客户端路径遍历（CSPT）可被用来恢复CSRF攻击，构成新的安全威胁。文章详细阐述了CSPT2CSRF攻击的概念、来源（如URL片段、查询参数等）和接收端（Sink，如API请求），并强调了准确描述来源和接收端对评估漏洞严重性的重要性。文章还介绍了攻击者的目标寻找和利用CSPT2CSRF的方法，包括使用Bambda工具发现漏洞，以及通过链式攻击组合不同类型的CSPT2CSRF漏洞。文章以Mattermost为例，说明了如何通过CSPT2CSRF实现状态更改等操作。最后，文章呼吁安全研究人员和开发人员重视CSPT2CSRF漏洞，并提供了相关的白皮书和Burp Suite插件作为参考资料。

CSRF 客户端路径遍历 (CSPT) CSPT2CSRF Web 安全漏洞利用浏览器安全安全审计渗透测试攻击向量漏洞评估

0x6d 银狐木马分析：从攻击行为到完整应急处置流程

爱喝酒烫头的曹操 2026-02-27T10:47:27 墨守安全

银狐木马，又称“游蛇”或“谷堕大盗”，是一类长期活跃、持续演化的远控木马家族，主要在国内使用。该木马隐蔽性强、存活时间长，常被用于长期控制终端主机、窃取数据或作为后续攻击的跳板。自2022年起，银狐木马迅速演化，已成为国内最活跃的病毒木马家族之一，对政企机构和个人用户的网络安全构成严重威胁。银狐木马的行为可分为传播行为与感染行为。传播阶段主要依赖社会工程学手段与用户操作行为完成初始入侵，主要方式包括通过聊天工具（如微信、企业微信）进行扩散，以及通过仿冒网站诱导用户下载并执行恶意程序。感染阶段则建立持续控制并实现扩散，涵盖初始执行、环境适配、持久化机制建立、远程控制通信以及横向扩散准备等多个环节。银狐木马处置的重点在于快速止损、阻断传播链路、彻底清除驻留并防止复发。处置流程包括初始事件发现与研判、快速阻断与扩散控制、感染主机分析与处置、溯源分析与处置闭环。预防措施包括企业侧加强即时通讯工具的安全管控、提升终端侧的基础防护与可视能力、规范软件获取和安装行为，以及个人侧警惕软件下载来源和聊天工具中的文件，及时反馈终端异常行为。

木马社会工程学即时通讯工具仿冒网站恶意软件持续性威胁应急处置安全意识恶意通信恶意载荷

0x6e 三星MagicINFO SWUpdateFileUploader 文件上传漏洞(CVE-2025-4632)

Nday Poc 2026-02-27T10:20:31 Superhero

本文详细分析了三星MagicINFO SWUpdateFileUploader接口存在的文件上传漏洞（CVE-2025-4632）。该漏洞允许未经身份验证的攻击者在服务器端任意执行代码，可能写入后门并获取服务器权限，进而控制整个web服务器。文章中提供了漏洞概述、搜索引擎FOFA的使用方法、漏洞复现步骤、自查工具以及修复建议。同时，介绍了Nday漏洞实战圈的相关信息，包括资源内容、更新计划、适用场景以及重要声明，强调了合法授权测试的重要性。

文件上传漏洞服务器安全代码执行权限提升 CVE编号安全修复漏洞复现安全工具安全社区安全意识

0x6f Frida 脚本无 Root 一键持久化方案

黑白之道 2026-02-27T10:12:50

本文详细介绍了如何将Frida脚本固化到APP中，并实现一键打包生成Xposed模块的完整过程。作者首先尝试使用frida-gadget但在Android 16上遇到问题，于是决定自行实现。目标是只需运行一行命令就能自动打包出Xposed模块、已固化Frida脚本的APP包，以及可注入运行Frida脚本的.so和.dll文件。作者通过编译Frida-GumJS库，关闭V8和内置Database以减小体积，并使用Rust编写CLI工具将脚本数据嵌入到二进制文件中。在处理ELF和PE文件时，作者遇到了多个挑战，如Segment对齐、Section重叠和PT_PHDR Segment加载问题，并逐一解决。最后，作者实现了通过Xposed模块加载.so文件的功能，避免了使用gradlew和手动处理安卓压缩格式。整个过程涉及自定义编译、二进制文件编辑、加载到目标进程等多个技术环节，最终实现了高效、便捷的Frida脚本固化方案。

Frida Xposed Frida-Gadget 二进制编辑 APK 打包动态加载软件开发注入技术嵌入式脚本 Android 安全

0x70 黑客用 DeepSeek、Claude 把攻击做成了“流水线”，全球批量攻击FortiGate设备；OpenClaw 被大规模利用，3万实例沦陷；

黑白之道 2026-02-27T10:12:50

本文报道了两起网络安全事件。首先，黑客利用DeepSeek和Claude两个工具自动化攻击FortiGate防火墙，通过泄露的服务器进行全球批量攻击。研究人员发现，一台服务器泄露了大量FortiGate配置文件和攻击手册，与多起已确认的入侵有关联。攻击者利用大模型DeepSeek和Claude加速攻击流程，通过ARXON和CHECKER2组件进行自动化攻击。其次，开源AI Agent框架OpenClaw遭受大规模攻击，超过30,000个实例被攻陷。攻击者利用远程代码执行漏洞和供应链攻击，窃取API Key和劫持流量。OpenClaw事件标志着AI Agent生态首次被武器化，揭示了AI框架安全的重要性。

黑客攻击自动化攻击防火墙漏洞 AI安全数据泄露供应链攻击网络监控安全防护

0x71 绕过某绒内存防护！BypassMemLoader 工具重磅发布！

星夜AI安全 2026-02-27T10:03:15 © 星夜AI安全

本文介绍了一款名为BypassMemLoader的工具，该工具旨在绕过某绒内存防护，实现免杀加载器。文章首先指出某绒静态防护强大，容易检测出shellcode加密后的特征，但内存防护较为严格。为了解决这个问题，作者推出了BypassMemLoader，该工具通过先进的内存隐匿技术，使Payload在内存中隐形，避免安全软件检测。文章详细解释了BypassMemLoader的工作原理，包括内存隐匿技术、绕过内存防护机制、高强度加密和极速体验等特点。同时，提供了使用该工具的三步傻瓜式教程，并强调该工具仅用于网络安全研究和授权渗透测试，不得用于非法用途。作者还分享了自己在网络安全领域的经验和成果，包括多款主流杀软通杀工具和免杀Webshell集合等。

内存防护绕过免杀技术安全工具恶意代码分析红队技术安全研究安全社区安全意识

0x72 漏洞复现 | 汉王e脸通综合管理平台 resourceUploadFile.do 任意文件上传漏洞

实战安全研究 2026-02-27T10:00:17

本文介绍了汉王e脸通综合管理平台中存在的一个严重漏洞，即resourceUploadFile.do任意文件上传漏洞。该漏洞允许未经身份验证的攻击者通过构造特定的上传请求，绕过文件类型限制，将任意文件上传至服务器。这可能导致远程代码执行或服务器控制，严重威胁系统的完整性和安全性。文章提供了漏洞的描述、影响版本、Fofa语法、漏洞复现步骤和检测POC，并建议用户联系厂商打补丁或升级版本，增加Web应用防火墙防护，以及关闭互联网暴露面或接口设置访问权限来修复漏洞。此外，文章还介绍了内部圈子提供的相关服务和注意事项，强调了合法安全测试的重要性，并提醒用户谨慎购买相关虚拟资源服务。

漏洞分析文件上传漏洞远程代码执行安全研究应用安全安全漏洞修复安全工具

0x73 恶意广告利用新的广告系列平台漏洞绕过谷歌广告审核

安全圈的那点事儿 2026-02-27T09:57:00 © 网络安全9527

本文揭示了名为1Campaign的恶意广告平台如何利用新的广告系列平台漏洞绕过谷歌广告审核。该平台由开发者DuppyMeister运营，已活跃三年多，为攻击者提供了一站式工具来运行恶意Google Ads广告系列。1Campaign的核心功能是伪装引擎，能够根据访问者身份显示不同内容，帮助欺诈性广告通过初步审核。平台还提供高级分析、访客追踪和动态屏蔽功能，使得攻击者可以绕过Google Ads政策。此外，1Campaign允许攻击者按地理位置和设备类型定位用户，并提供“白色”和“黑色”广告系列的功能，使攻击者能够模仿受信任的组织。Varonis的研究表明，1Campaign等平台的存在揭示了传统网络钓鱼检测系统的缺陷，并强调了需要更先进的检测系统来应对日益复杂的攻击。

恶意软件广告欺诈钓鱼攻击 Google Ads 滥用网络安全漏洞自动化攻击工具 IP 地址追踪威胁情报

0x74 微软 Code Runner 插件爆高危漏洞，配置文件被篡改可导致远程代码执行（CVE-2025-65715）

幻泉之洲 2026-02-27T09:43:35

微软VS Code的热门插件Code Runner被发现存在一个高危漏洞（CVE-2025-65715），该漏洞允许攻击者通过修改配置文件诱导用户执行任意恶意命令，从而实现远程代码执行。这个漏洞影响了所有版本的插件，攻击者可以通过钓鱼邮件、聊天消息或伪造技术文档来诱使用户将恶意代码段复制到settings.json文件中，或者通过恶意扩展插件来修改配置文件。一旦恶意命令被触发，攻击者可以远程控制受害者的电脑。目前该漏洞尚未修复，建议用户暂时禁用或卸载Code Runner插件，并提高警惕，避免复制来历不明的配置代码段。

软件漏洞远程代码执行 VS Code 插件安全配置文件篡改钓鱼攻击恶意软件传播代码审计安全意识

0x75 Markdown Preview Enhanced 打开恶意文件可执行任意 JavaScript（CVE-2025-65716）

幻泉之洲 2026-02-27T09:43:35

安全公司OX Security近日发现，VS Code插件Markdown Preview Enhanced存在一个编号为CVE-2025-65716的高危漏洞。该漏洞允许攻击者在用户预览恶意构造的Markdown文件时执行任意JavaScript代码，进而扫描本地网络端口、收集系统信息，甚至实现远程代码执行。漏洞源于插件在渲染包含特定攻击代码的Markdown文件时，将这些代码放入iframe中执行，从而绕过了同源策略的限制。由于Markdown Preview Enhanced插件在技术写作和文档工作中广泛应用，该漏洞的风险被评估为较高。目前，官方尚未发布修复补丁，建议用户谨慎使用该插件预览未知来源的Markdown文件。

软件漏洞远程代码执行 VS Code插件安全 JavaScript注入数据泄露风险网络安全意识

0x76 VS Code 高人气预览插件曝出高危XSS漏洞，可窃取本地文件

幻泉之洲 2026-02-27T09:43:35

微软的VS Code官方扩展“Live Preview”被发现存在高危XSS漏洞，该漏洞可能允许攻击者通过恶意网站窃取开发者电脑上的敏感文件，包括.env文件中的密钥和API凭证。该扩展拥有超过1100万次下载，因此大量用户可能受到影响。微软在9月修复了该漏洞，并发布了更新版本0.4.16。OX Research团队在发现漏洞后，与微软进行了负责任的披露，并提醒用户更新扩展以保护其开发环境。该漏洞的严重性在于它允许攻击者未经认证地访问本地文件系统，可能导致数据泄露。

XSS漏洞 VS Code扩展敏感数据泄露恶意网站攻击软件开发安全安全补丁和更新

0x77 VS Code的Live Server扩展存在漏洞，可被用于窃取本地文件（CVE-2025-65717）

幻泉之洲 2026-02-27T09:43:35

OX安全研究人员近日发现，VS Code的Live Server扩展存在一个编号为CVE-2025-65717的高危漏洞，该扩展拥有超过7200万的安装量。该漏洞使得攻击者只需访问一个恶意网页，就能在开发者后台运行Live Server时窃取其电脑上的本地文件。漏洞CVSS评分高达9.1分，属于严重级别，影响所有版本的Live Server扩展。攻击者可以利用这个漏洞窃取敏感源代码、凭证以及本地数据。漏洞的原理在于Live Server默认没有实施CORS保护，使得外部网页可以像同源请求一样访问localhost:5500端口上的文件。该漏洞至今尚未得到维护者的回应，因此存在潜在的安全风险。

软件漏洞代码审计跨站请求伪造（CSRF）信息泄露 VS Code扩展安全 Web服务器安全漏洞利用 JavaScript安全

0x78 内网横向边界安全测试工具 - GYscan

菜鸟学信安 2026-02-27T09:28:55 xiguayiqiu

GYscan是一款基于Go语言开发的内网横向移动和边界安全测试工具，专为安全研究人员和渗透测试人员设计。它集成了多种内网渗透测试功能，如端口扫描、服务识别、漏洞检测、远程命令执行、弱口令爆破等。该工具具有以下核心优势：专注于内网安全，功能丰富，支持跨平台操作，模块化设计，配置审计，证据追踪，以及优异的性能。GYscan支持Windows、Linux、macOS三大主流操作系统，并提供详细的安装指南和依赖包安装说明。工具包含多个模块，如ca配置审计、crunch密码字典生成、database数据库密码破解、dirscan网站目录扫描等，覆盖了网络安全测试的多个方面。

内网安全渗透测试工具 Go语言开发跨平台配置审计漏洞检测密码破解网络扫描命令执行系统信息收集

0x79 安卓逆向 -- 某对app算法分析

逆向有你 2026-02-27T09:11:22 xiayutianz

这篇文章详细分析了某安卓应用中登录接口的算法。首先，通过抓包确定了关键的参数和接口。接着，使用Unidbg模拟执行并定位了三个关键函数：nativeInitBaseUtil、nativeSetToken和nativeGetSign。nativeInitBaseUtil函数通过魔改的DES算法和MD5算法生成一组16进制结果，该结果用于nativeSetToken函数。nativeSetToken函数使用魔改的DES算法解密请求响应结果，并将解密后的数据设置到全局变量中。nativeGetSign函数计算最终的sign值，该值是通过对传入的base64格式明文进行MD5运算得到的。文章还详细分析了DES算法的魔改之处，包括秘钥编排过程的修改和字节序的翻转。最后，文章总结了整个算法的流程和每个函数的入参、返回值和算法实现，并强调了理解每个明文来源的重要性。

网络安全分析算法分析逆向工程 Android安全登录接口安全

0x7a 远程命令/文件/会话管理工具 -- SimpleWebShell（2月25日更新）

网络安全者 2026-02-27T09:06:28 FasterEdge

本文介绍了一个名为SimpleWebShell的远程命令、文件和会话管理工具。该工具提供了受密码保护的WebShell功能，支持通过GET/POST方式执行命令，并可以选择携带session保持会话持久化。它支持工作目录、环境快照、首选shell、命令历史、用户/组信息，以及CPU、内存、磁盘和主机元数据的探测。SimpleWebShell的前端采用一页式设计，包括命令输入、会话选择/新建、历史会话列表操作、文件上传/下载等功能，并提供了进度条和取消下载的选项。文件上传支持multipart格式，可以指定目标路径，而文件下载支持中途取消。工具的API以纯文本/JSON格式返回数据，便于脚本调用。文章中提供了工具的安装与使用方法，包括启动服务的命令示例、默认的shell和环境设置，以及工具的下载链接。需要注意的是，文章中明确指出请勿利用文章内的技术进行非法测试，并提醒使用者自行负责使用工具产生的后果。

WebShell 远程访问命令执行文件管理会话管理安全工具安全漏洞利用安全测试 API 虚拟机

0x7b 【项目实战】Druid低危+低危=高危

隐雾安全 2026-02-27T09:05:24 © 隐雾安全

本文详细介绍了Druid数据库监控系统的安全漏洞挖掘实战。文章首先阐述了在众测和SRC挖掘中，很多安全人员对于Druid未授权访问或弱口令的处理往往过于简单，导致报告被降级。接着，作者通过实际案例，手把手教学如何通过报错页面、框架特征、目录扫描等方式快速定位Druid资产。文章详细描述了如何应对未授权访问和弱口令两种情况，并提供了相应的路径爆破字典和密码猜测策略。此外，文章还重点介绍了如何提取Session，并利用Burp Suite进行批量盲测，最终接管整个系统。最后，作者给出了生产环境中防止类似漏洞的建议，包括关闭监控、修改默认口令、严格的访问控制等。

数据库安全 SQL注入 Web应用安全渗透测试安全漏洞挖掘安全配置漏洞评级

0x7c 【已复现】深科特LEAN MES系统的MesATEApi.asmx接口存在任意文件上传漏洞

momo安全 2026-02-27T08:51:50 © 蟑螂恶霸

本文报道了深科特LEAN MES系统中的一个严重漏洞，该漏洞存在于MesATEApi.asmx接口，允许攻击者上传任意文件，从而导致远程代码执行（RCE）。漏洞的原因是接口没有对上传的文件进行严格的校验和过滤。该漏洞可能会被用于上传恶意脚本，进而控制受影响的系统。本文提供了漏洞的详细描述、影响版本、Fofa语法、漏洞复现步骤以及修复建议。同时，提醒读者不要将本文提供的技术用于非法活动，并提供了获取漏洞利用脚本的途径。此外，还介绍了相关的技术服务和认证信息。

漏洞分析文件上传漏洞远程代码执行 MES系统安全漏洞复现漏洞修复安全工具安全社区

0x7d 第56天-Web安全：SQL注入之盲注深度解析（布尔、延时、报错）

AlphaNet 2026-02-27T08:47:38 © 萧瑶

本文深入解析了Web安全领域中的SQL注入漏洞，特别是盲注这一特殊形式。文章首先回顾了数据库基础知识，包括核心概念、系统数据库、用户权限、敏感函数等。接着，阐述了SQL注入的产生原理和影响因素，如数据库类型、数据操作方法、参数数据类型等。文章详细介绍了SQL注入的利用过程，包括黑盒和白盒测试方法。随后，重点讲解了盲注的原理、分类、利用技巧和实际案例，包括布尔盲注、时间盲注和报错盲注。文章还讨论了增删改查功能与注入的关系，并提供了实际案例和常用函数参考。最后，给出了防御SQL注入的建议，强调了使用预编译语句、严格输入过滤和最小化数据库权限的重要性。

SQL注入 Web安全网络安全漏洞渗透测试数据库安全编码安全安全防护

0x7e 第55天-SQL注入攻击深入剖析：从数据库原理到HTTP头注入实战

AlphaNet 2026-02-27T08:43:57 © 萧瑶

本文深入探讨了SQL注入攻击的各个方面，从数据库基础知识回顾到SQL注入的原理和影响其的因素进行了详细的阐述。文章首先回顾了数据库的核心概念、关键信息和SQL操作类型，接着分析了SQL注入的本质原因和产生原理。文章进一步讨论了影响SQL注入的六大因素，包括数据库类型、操作方法、参数类型、数据格式、提交方式和回显处理。随后，文章详细介绍了SQL注入的标准利用流程，包括核心判断技巧和增删改查场景的注入分析。此外，文章还深入解析了HTTP头注入的多种场景，如User-Agent、Cookie、X-Forwarded-For和Referer注入。最后，文章探讨了高级注入技巧，包括加密数据+JSON注入和403绕过技巧，并提供了黑盒/白盒发现SQL注入的方法论。文章强调了安全建议，如使用预编译语句、严格过滤用户输入、最小权限原则分配数据库账户和定期进行安全审计，并指出技术方法仅用于安全研究和授权测试，严禁用于非法用途。

SQL注入 Web安全数据库安全安全漏洞安全测试安全防御安全审计安全研究

0x7f 网安每日干货分享《后缀名检测与绕过之Windows特性（空格【】）绕过》-0227

建哥聊安全 2026-02-27T08:40:52 © 建哥聊安全

本实验旨在帮助学习者掌握文件上传服务端检测中的后缀名检测原理及绕过方法。实验环境包括Win10操作机和Apache + PHP靶机，实验地址为http://ip/upfile/2/upload4.html。实验首先介绍了服务端检测的必要性，并列出了常见的检测与绕过方法，包括后缀名检测、MIME类型检测、文件内容检测等。在后缀名检测绕过方面，实验重点讲解了黑名单绕过方法，特别是Windows特有的两种绕过方式：在文件名末尾添加点（.）和在文件名末尾添加空格（空格）。实验步骤详细演示了如何使用Burp Suite抓包工具修改文件名后缀，并利用Windows特性绕过后缀名检测，最终成功上传文件并解析。实验总结强调了掌握后缀名检测原理的重要性，并指出了利用Windows特性绕过检测的具体方法。

文件上传安全后缀名检测后缀名绕过 Windows系统特性安全防护原理 Burp Suite 实验操作

0x80 针对SM2加密的APP测试

我不懂安全 2026-02-27T08:00:27 © Vlan911

本文详细描述了如何对需要连接深信服零信任才能联网的APP进行抓包分析。首先，通过将PC端连接深信服零信任并保持在同一WiFi环境，再将移动端代理设置成PC端，尝试绕过代理检测，但发现APP仍存在HTTP代理检测。使用socks代理和proxypin后成功拦截数据包。进一步分析发现，APP请求包是加密的，而返回包是明文的。通过重复请求观察密文变化，确定采用非对称加密。使用jadx进行APP逆向，定位到NetWowkManager和NetWorkStructure类，发现其中配置了网络请求的核心组件，并包含SM2加密方法。通过Frida脚本hook加密方法，成功获取加密前的请求体。整个过程涉及代理绕过、加密识别、APP逆向和Frida脚本编写等多个网络安全技术点。

零信任网络网络代理与抓包加密检测与绕过应用逆向工程 Frida Hook SM2加密代理检测规避

0x81 Tesla网络钓鱼攻击活动利用流程空心化和反分析技术逃避检测

安全圈的那点事儿 2026-02-27T07:59:06 © 网络安全9527

最新发现的一起网络钓鱼攻击活动利用了多阶段攻击链，传播Agent Tesla恶意软件。该恶意软件几乎不会在受害者计算机上留下痕迹，通过商业主题的钓鱼邮件、混淆脚本和内存执行技术窃取敏感数据。攻击者构建了多层管道来传播恶意软件，每个阶段都旨在绕过检测。攻击从伪装成商业咨询的钓鱼邮件开始，通过压缩的RAR文件和JScript编码文件执行。恶意软件在内存中运行，无需写入磁盘，使用进程空洞化技术隐藏其存在。Agent Tesla能够窃取浏览器凭证、键盘输入和电子邮件账户信息，并通过SMTP协议发送到攻击者的服务器。安全团队应采取措施阻止基于脚本的电子邮件附件，并监控出站SMTP流量以发现数据泄露迹象。

网络钓鱼恶意软件内存执行进程空洞化反分析技术端点安全数据泄露防御策略

0x82 从越权到RCE：深度剖析SolarWinds Serv-U 最新4大致命漏洞

安全圈动向 2026-02-27T07:57:28 © Kit Chung

本文详细分析了SolarWinds Serv-U文件传输中间件最新发布的四个致命漏洞。这四个漏洞均被评分为CVSS 9.1，可被黑客利用执行远程代码，获取Root权限。漏洞包括越权访问、类型混淆和不安全的直接对象引用。文章深入解析了漏洞的成因、攻击路径和利用方法，指出尽管Windows环境下风险较低，Linux用户仍需高度警惕。文章建议用户升级至最新版本，检查日志，最小化权限，并强调了解漏洞原理对安全防护的重要性。

文件传输中间件漏洞远程代码执行（RCE）权限提升越权访问类型混淆漏洞 IDOR漏洞 APT攻击安全补丁和升级日志审计权限最小化原则

0x83 你的邮箱可能正在被\"合法\"读取：Entra ID OAuth同意滥用攻击深度解析

暗镜 2026-02-27T07:06:22 © ZM

本文详细解析了OAuth同意滥用攻击，这是一种新型的攻击模式，攻击者利用合法授权伪装，实现对邮箱、文件、聊天记录的隐蔽访问。文章首先通过一个案例展示了攻击的现场，然后解释了OAuth同意滥用的原理，包括攻击者的操作步骤和关键风险点。接着，文章分析了Microsoft Entra ID（原Azure AD）的默认漏洞，以及如何通过审计日志捕捉此类攻击。最后，文章提供了应急响应和防御加固的策略，包括撤销OAuth授权、移除服务主体，以及三层防护策略的建议。文章强调，OAuth同意滥用攻击利用了用户合法的授权行为，因此安全团队应确保每一次授权都在可控的框架内进行，以防止合法化的攻击行为。

OAuth安全身份验证企业安全恶意软件防御审计与监控安全策略攻击模式

0x84 新的沙箱逃逸漏洞使 n8n 实例容易受到远程代码执行攻击

犀牛安全 2026-02-27T00:01:32 Rhinoer

本文报道了n8n工作流自动化平台中的两个关键漏洞CVE-2026-1470和CVE-2026-0863，这两个漏洞可能导致攻击者完全控制受影响的n8n实例，访问敏感数据，并在底层主机上执行任意代码。CVE-2026-1470是一个JavaScript沙箱逃逸漏洞，评分高达9.9分，而CVE-2026-0863是一个Python AST沙箱逃逸漏洞。尽管需要身份验证，这两个漏洞依然严重，因为非管理员用户可能利用它们获得基础设施级别的控制权。JFrog公司已发布修复补丁，建议用户尽快升级到最新版本。n8n云平台已解决这些问题，但自托管的n8n部署仍存在风险。

漏洞披露远程代码执行沙箱逃逸工作流自动化平台 JavaScript安全 Python安全身份验证绕过软件更新开源软件安全

0x85 开工特惠 | ApiHunter智能参数填充+自动跑接口： API 接口漏洞检测工具

星落安全团队 2026-02-27T00:01:08 11firefly11

本文介绍了ApiHunter是一款功能强大的API接口安全检测工具，专为渗透测试人员和安全研究人员设计。该工具支持Swagger/OpenAPI和ASP.NET Help Page文档一键导入，自动解析接口、智能填充参数、批量测试，并提供敏感信息检测和漏洞扫描功能。ApiHunter的特点包括POST智能填充与多格式测试、多文档格式一键导入、自动文件上传检测、强大的结果去重、敏感信息深度检测、安全模式与生产环境保护、交互式数据包重发、全面的代理与网络支持等。此外，工具还支持自定义参数值、代理设置、状态码过滤、自定义敏感规则、请求头配置、变异测试等。ApiHunter针对Web网站渗透测试场景，提供了Swagger/OpenAPI自动化测试、ASP.NET Web API Help Page支持和自动文件上传漏洞检测三大核心自动化功能，极大简化了手动操作流程。使用前需确保获得目标系统的合法授权，本工具仅用于授权的安全测试。

API安全渗透测试漏洞扫描敏感信息检测 Swagger/OpenAPI ASP.NET Web API 自动化测试文件上传检测安全防御研究网络安全工具

0x86 Windows企业域环境防火墙策略

运维星火燎原 2026-02-27T00:00:51 © 刘军军

本文详细介绍了Windows企业域环境下的防火墙策略配置。文章首先阐述了整体安全原则，包括启用三个防火墙配置文件（域、专用、公用），以及入站和出站连接的默认策略。接着，文章介绍了Windows防火墙全局策略，包括默认操作和必须开启的系统规则。针对域控制器、成员服务器和客户端，文章分别提供了详细的防火墙策略配置，包括允许和拒绝的端口、协议和远程IP。此外，文章还强调了企业域中最危险的端口，并提供了可直接导入的GPO防火墙策略模板。最后，文章给出了最简单的落地建议，包括防火墙的启用、入站和出站连接的严格控制，以及GPO规则的具体配置。

网络安全策略 Windows防火墙域控制器安全入站和出站规则组策略对象（GPO）网络安全最佳实践

0x87 【攻防实战4】记一次某地市卫校内网穿透

安全研究实验室 2026-02-26T21:40:45 十二

此次针对某地市卫生学校的实战攻防行动，成功通过Shiro反序列化漏洞获取初始访问权限。攻击者利用了Shiro框架默认密钥kPH+bIxk5D2deZiIxcaaaA==，使用工具直接进行利用，初步获得了命令执行权限，但执行whoami发现未获得管理员权限。随后，攻击者使用Pwnkit工具成功提权至root权限，并通过socks协议建立内网代理。在内网渗透阶段，攻击者发现了多个高危和中等风险漏洞，包括未利用的MS17-010（永恒之蓝）漏洞、两个Redis未授权访问点（分别位于192.168.200.210和192.168.209.236:6379）、一台SSH服务器、两个MSSQL数据库的SA权限、三个Web应用的弱口令、三个FTP匿名登录点（分别位于192.168.190.30:21、192.168.197.42:21和192.168.197.178:21）、两个SMB弱口令，以及智慧宿舍管理平台的弱口令管理员权限。最终，攻击者共获取了四个RDP远程桌面管理员权限。整个过程中，攻击者严格遵守了仅用于技术研究的目的，并强调了严禁非法使用。

shiro反序列化提权内网渗透 MS17-010永恒之蓝 redis未授权 SSH MSSQL web弱口令 FTP匿名登录 SMB弱口令智慧宿舍平台 RDP SpringBoot未授权 Swagger接口泄露安全研究实战攻防

0x88 CTFshow:请求伪造漏洞_CSRF

sec0nd安全 2026-02-26T20:56:31 小话安全

本文详细介绍了跨站请求伪造（CSRF）漏洞的原理、危害和常见防御措施。CSRF攻击利用用户已登录的身份，在用户不知情的情况下，诱导其浏览器向目标网站发送恶意请求，从而执行非用户本意的操作。文章通过一个示例流程说明了攻击过程，包括用户登录、访问恶意网站、恶意请求构造等步骤。文章还列举了CSRF的主要危害，如篡改用户数据、执行敏感操作等。为了防御CSRF攻击，文章介绍了三种常见措施：CSRF Token、SameSite Cookie属性和验证Referer/Origin头。此外，文章还提供了一个JavaScript代码示例，展示了如何通过获取CSRF token来修改密码。最后，文章提到了一个CTF练习任务，旨在通过CSRF方式修改管理员密码，并给出了任务细节和注意事项。

Web安全漏洞跨站请求伪造请求伪造安全防御措施漏洞利用认证信息泄露 XSS攻击安全编码实践

0x89 APP漏洞挖掘六脉神剑：组件、存储、证书、生物、Root、动态加载

sec0nd安全 2026-02-26T20:56:31 逍遥

本文深入探讨了移动端（小程序和APP）的网络安全漏洞挖掘技术，强调了移动端与Web端安全差异，以及移动端特有的攻击面和漏洞类型。文章首先介绍了移动端攻击的“三重维度”，包括小程序与APP的本质差异、小程序专属攻击面（如云开发环境、小程序码、插件机制等）以及APP专属攻击面（如组件暴露、本地存储、证书锁定、生物识别绕过等）。接着，详细阐述了小程序和APP的信息收集方法、漏洞挖掘技巧（如sessionkey泄露、云开发环境密钥泄露、小程序码scene参数注入、组件暴露、本地存储敏感信息泄露、证书锁定绕过、生物识别绕过等），以及移动端抓包与动态调试技巧。文章还提供了多个实战案例，展示了如何利用这些技术挖掘和利用移动端漏洞。最后，讨论了自动化武器库的应用、移动端SRC报告写作技巧，并指出移动端安全测试的重要性以及未来发展趋势。

移动安全小程序安全 APP安全逆向工程漏洞挖掘漏洞利用信息收集抓包分析实战案例 SRC 攻防技术

0x8a 存储型XSS漏洞checklist

sec0nd安全 2026-02-26T20:56:31 游山玩水

本文详细介绍了存储型XSS漏洞的渗透测试checklist，包括概述、测试重点、测试步骤和字典使用。文章首先解释了存储型XSS的利用链，即攻击者通过提交恶意输入，使得应用将输入存储在数据库或文件中，然后其他用户访问特定页面，应用读取并输出数据到页面，最终恶意脚本在受害者浏览器中执行。文章强调了测试时应关注的用户可控输入点，如论坛、博客、聊天系统、评价系统等。接着，文章提供了详细的测试步骤，包括输入测试、源码查看、爆破测试等，并列举了六种字典类型用于不同场景下的测试。最后，文章提到了一些常用的xss漏洞检测工具和资源，鼓励读者在评论区分享自己的经验。

网络安全 Web安全 XSS攻击渗透测试漏洞分析检查表单安全实践安全工具安全开发

0x8b 【工业控制系统网络安全系列课程】第2课-工业控制系统的网络安全风险-过程控制漏洞利用（二）典型漏洞利用路径

老付话安全 2026-02-26T20:37:35 © 老付话安全

本文详细介绍了工业控制系统的网络安全风险，特别是针对过程控制层的漏洞类型、利用方式及实际影响。文章首先概述了ICS环境中过程控制层的常见漏洞原理，并讲解了漏洞利用的基本路径与方法。接着，文章深入分析了攻击者如何通过侦察、初始访问、横向移动和持久化等阶段逐步渗透工控系统。文章还重点介绍了攻击者可能采取的物理过程影响攻击，如传感器欺骗、执行器攻击、逻辑篡改和拒绝服务。最后，文章总结了工控系统攻击的防御思路，强调了侦察阶段的重要性以及工控网络内部信任关系和密码管理的脆弱性。

工业控制系统安全网络安全风险漏洞利用攻击路径防御策略工控协议物理过程影响安全意识

0x8c [脚本小子必备]漏洞扫描Nuclei图形化

略懂安全的三秋 2026-02-26T19:02:19 © 略懂安全的三秋

本文介绍了一款名为Nuclei的漏洞扫描图形化工具，该工具基于PyQt5开发，支持POC管理、资产搜索、AI辅助分析和漏洞报告生成等功能。工具支持Windows、macOS和Linux平台，并提供了详细的安装步骤。文章中提到了如何安装Nuclei和Nuclei GUI，以及如何同步最新的POC库。此外，还介绍了工具的快捷键功能，如新建扫描、保存设置、导出结果等。文章强调了该工具的使用应仅限于安全学习和交流，不得用于非法目的。

漏洞扫描工具网络安全图形化界面 Python开发跨平台 POC管理 AI辅助分析漏洞报告生成 FOFA/Hunter/Shodan

0x8d fastjson写文件挑战2——进展

珂技知识分享 2026-02-26T18:35:43 © 珂字辈

本文主要介绍了fastjson写文件挑战2的进展情况。由于出现了众多非预期的解决方案，作者不得不发布这篇中途进展的文章。文章中提到，无交互的利用方式主要是通过写入恶意so，然后使用特定手段触发so。作者提到了77加载恶意so首次利用成功的案例，但指出这种方式容易因为先行触发而导致利用失败，因此更适合CTF场景而不是实战。此外，jcw发现了一个新的fastjson读文件链路，突破了随机jdk路径的限制，但利用条件较为苛刻。su18在77的基础上找到了一个冷门但成功的恶意so利用方式，并实现了内存马。文章还提到了一种需要管理员进行bash操作的恶意so劫持方法。最后，作者总结了非预期奖金已经不存在，鼓励读者自己搭建靶场尝试找到已知或未知的非预期解法。

Fastjson 漏洞 Java 插件化攻击内存马 CTF 挑战靶场搭建逆向工程漏洞利用

0x8e 攻击者利用Apache ActiveMQ漏洞获取RDP权限并部署LockBit勒索软件

FreeBuf 2026-02-26T18:32:03

Apache ActiveMQ 存在一个严重漏洞（CVE-2023-46604），攻击者利用该漏洞入侵企业网络并部署 LockBit 勒索软件。攻击者通过向暴露的 Windows 服务器发送特制命令，利用该漏洞执行远程代码，从而获得系统访问权限。攻击者在19天内多次入侵，窃取LSASS进程内存中的凭据，并通过横向移动获得域管理员权限。最终，攻击者将 LockBit 勒索软件部署到网络中的多个主机上，导致数据加密。文章详细描述了攻击过程、横向移动、勒索软件部署以及攻击者的痕迹清除和持久化策略。建议企业修补漏洞、加强LSASS保护、监控事件日志、限制远程访问和重置凭据以防止未来的攻击。

漏洞利用远程代码执行勒索软件横向移动凭证窃取网络入侵事件响应安全漏洞系统安全恶意软件分析

0x8f CVE-2021-1732 内核提权详细分析

看雪学苑 2026-02-26T18:07:34 默文

本文详细分析了Windows内核漏洞CVE-2021-1732的原理和利用手法。该漏洞的核心并非单纯的未初始化内存，而是win32k通过KeUserModeCallback主动执行用户态回调函数的设计缺陷。KernelCallback机制使内核在关键对象构造和状态迁移阶段依赖用户态返回的数据，一旦回调入口或回调协议的完整性被破坏，如KernelCallbackTable被劫持或返回数据语义校验不足，将导致内核执行流和对象状态被用户态间接控制。文章深入探讨了tagWND结构体、窗口扩展内存的创建和标志位修改过程，以及利用SetWindowLong和NtUserConsoleControl等函数进行越界读写的原理。利用手法分为v1.0、v2.0和latest三个版本，逐步完善了从任意地址写到获取任意内核地址的能力，并最终通过伪造spMenu和替换pEPROCESS结构体成员，实现本地提权到SYSTEM。文章强调了KernelCallback路径的攻击价值，并指出无论是内核还是Web应用，都应严格校验传入数据，避免结构性信任失效导致的漏洞。

内核漏洞内存破坏提权漏洞 KernelCallback Windows安全漏洞利用结构信任失效

0x90 工控协议研究：三菱PLC协议安全分析

珞安科技 2026-02-26T18:02:39 © 自主研发技术驱动

直击协议原生缺陷与安全隐患，并提出有效防护策略。

工业控制系统安全协议逆向工程身份认证拒绝服务攻击重放攻击暴力破解固件安全安全配置与防护

0x91 GNU InetUtils telnetd 参数注入身份验证绕过漏洞 (CVE-2026-24061)

TtTeam 2026-02-26T17:47:33

GNU InetUtils 1.9.3至2.7版本中的telnetd服务器存在一个远程身份验证绕过漏洞（CVE-2026-24061），这是一个严重的参数注入漏洞（CWE-88），CVSS v3.1评分达到9.8。漏洞允许攻击者通过注入特定的USER环境变量值来绕过身份验证，无需密码即可获得root权限。攻击者可以利用该漏洞在telnet连接中注入-f标志，从而触发登录程序跳过身份验证。该漏洞的利用方法包括构造特定的telnet命令，成功利用后，攻击者可以获得root shell访问权限。该漏洞在telnetd服务启动后，在2323端口监听，可以通过docker容器进行测试和利用。

漏洞分析参数注入身份验证绕过 GNU InetUtils telnet服务安全漏洞 CVSS评分 Docker Linux

0x92 CTFshow:请求伪造漏洞_CSRF

小话安全 2026-02-26T17:43:40 © 小话安全

本文详细介绍了跨站请求伪造（CSRF）漏洞的原理、危害和常见防御措施。CSRF攻击利用用户已登录的身份，在用户不知情的情况下，诱导其浏览器向目标网站发送恶意请求，执行非用户本意的操作。攻击成功的前提是用户已在浏览器中登录了目标网站。文章通过一个示例流程展示了攻击过程，并列举了主要危害，如篡改用户数据、执行敏感操作等。为了防御CSRF攻击，文章提出了几种常见措施，包括使用CSRF Token、设置SameSite Cookie属性、验证Referer/Origin头等。此外，文章还提供了一个JavaScript代码示例，展示了如何通过获取和利用CSRF token来修改密码。最后，文章提到了一个CTF练习任务，旨在通过CSRF方式静默修改管理员密码，并提供了相关的攻击示意图和代码示例。

Web安全 CSRF攻击跨站请求伪造漏洞分析安全防御编程安全漏洞利用安全测试

0x93 深度解析CastleLoader：一种高级恶意加载器的威胁剖析与应对

聚铭网络 2026-02-26T17:31:32

本文深入剖析了CastleLoader，一种高级恶意加载器的威胁。CastleLoader作为攻击链的第一阶段，能够将恶意组件悄无声息地载入目标设备并执行，从而窃取账号凭据、控制设备，并为后续攻击铺路。文章详细描述了CastleLoader的攻击流程、执行链路、技术特点、检测难点，以及其传播手法和社会工程策略。CastleLoader的威胁影响巨大，能够绕过传统安全检测，对政府机构、关键基础设施构成严重威胁。为了应对这一威胁，文章介绍了聚铭网络流量智能分析审计系统（iNFA），该系统能够通过全流量深度解析、AI行为建模及威胁情报联动等多方面能力，提供有效的检测方案。

恶意软件分析网络安全威胁攻击链技术安全检测与防护社会工程学内存注入技术恶意软件传播手法高级持续性威胁APT

0x94 CVE-2026-27822 漏洞深度分析

零漏安全 2026-02-26T17:08:28 © 零漏安全

RustFS是一个用Rust编写的分布式对象存储系统，兼容S3 API，提供S3兼容的对象存储、Web管理控制台、预签名URL功能和文件预览功能。该系统存在一个严重的安全漏洞（CVE-2026-27822），属于存储型XSS攻击，并与同源策略问题叠加导致。漏洞根源于不安全的预览实现和同源部署下localStorage存储敏感数据。攻击流程包括上传恶意载荷文件、诱导管理员预览、执行恶意JS窃取凭证，最终导致攻击者获得完全控制权。漏洞代码分析显示，预览组件仅根据文件扩展名判断是否为PDF，并使用iframe渲染，未验证实际Content-Type，且iframe内容与控制台同源，可访问localStorage中的敏感数据。CVSS 3.1评分为9.1（Critical），影响范围广，机密性、完整性和可用性均为高影响。文章提供了完整的PoC自动化攻击脚本和凭证利用脚本，并建议升级到修复版本或实施额外的安全措施，如源分离、添加CSP头和改用HttpOnly Cookie存储凭证。

Stored XSS Cross-Site Scripting (XSS) Web Application Security Authentication Bypass Authorization Bypass Same-Origin Policy (SOP) Vulnerability Sensitive Data Exposure Client-Side Storage Vulnerability Code Review Proof of Concept (PoC)

0x95 【0day】大蚂蚁 (BigAnt) 即时通讯系统安装程序二次注入致远程代码执行漏洞

0day收割机 2026-02-26T17:03:00

本文详细分析了大蚂蚁（BigAnt）即时通讯系统安装程序中存在的一个二次注入漏洞。该漏洞允许攻击者通过删除或重命名install.lock文件，重新进入安装流程，并在数据库配置部分注入恶意PHP代码，从而实现远程代码执行。该漏洞影响BigAnt 5.5.x及以上版本，包括最新版本6.0.1.20250407.1。复现漏洞的过程涉及设置特定的POST请求，并在数据库配置部分注入恶意代码。文章中还提供了漏洞复现的具体步骤和截图，包括数据库连接检测和数据库创建的过程。此外，文章强调了该漏洞仅供安全研究和学习使用，并提醒使用者对于因传播或利用该漏洞信息而产生的任何后果或损害，使用者需自行承担。

远程代码执行（RCE）注入漏洞即时通讯系统安全数据库配置漏洞软件安装漏洞漏洞利用版本影响

0x96 Java S2-002 漏洞复现分析

蚁景网安 2026-02-26T16:31:24 Drunkbaby

本文详细介绍了Struts2-002漏洞的复现与分析。Struts2-002是一个XSS漏洞，存在于s:url和s:a标签中，当标签的属性includeParams=all时，即可触发该漏洞。影响版本为Struts 2.0.0 - Struts 2.1.8.10。文章首先介绍了环境搭建过程，包括配置struts.xml文件、index.jsp文件、welcome.jsp文件以及web.xml文件。接着，通过调试和分析代码，揭示了漏洞的触发机制：在includeParams=all的情况下，参数未经URL编码直接被合并到请求中，导致XSS漏洞的产生。文章还详细描述了漏洞的修复过程，指出升级Struts2版本至2.0.11虽然有所改进，但修复措施并不彻底。最后，文章总结了XSS漏洞的成因，强调未进行URL编码或转码是主要原因，并建议通过分析参数处理过程来挖掘类似的漏洞。

XSS Struts2 Web安全漏洞复现 Java安全参数处理

0x97 天锐绿盾 findUserPage.do sql注入漏洞

Nday Poc 2026-02-26T15:59:28 Superhero

本文详细介绍了天锐绿盾审批系统中findUserPage.do接口存在的SQL注入漏洞。该漏洞允许攻击者通过SQL注入获取数据库中的敏感信息，如管理员后台密码和用户个人信息。在特定情况下，攻击者甚至可能向服务器写入木马，进一步获取服务器系统权限。文章提供了漏洞的概述、复现步骤、自查工具以及修复建议。同时，文章还介绍了Nday Poc公众号和内部圈子，提供了漏洞复现、工具链适配支持等信息，并强调了合法授权测试的重要性。

SQL注入漏洞数据库安全漏洞复现安全工具漏洞修复安全运维红蓝对抗网络安全实战漏洞信息共享

0x98 使用隐藏 API 解锁 IBM Data Refinery 自动化

安全狗的自我修养 2026-02-26T14:55:40 haidragon

本文介绍了如何在不依赖 Web UI 的情况下自动化 IBM Data Refinery 工作流，并将其集成到 CI/CD 流水线中，实现零人工干预。由于 IBM 未官方支持 Data Refinery 的 API，文章提出了一种通过逆向分析网络流量来获取支撑 UI 的 API 的方法。整个过程分为三步：首先，通过浏览器开发者工具捕获并创建 Data Refinery Flow，观察网络流量并找到 /shaper/api/dataflows API 调用，获取 JSON 格式的 payload 数据；其次，使用 /v2/data_flow_spark API 和捕获的 payload 创建 flow 步骤，并使用 /v2/jobs API 创建一个 job 来执行 flow；最后，使用 /v2/jobs//runs API 触发 job 运行，完成 Data Refinery 作业的自动化。文章强调这种方法并非 IBM 官方支持，API 未文档化且可能变化，但只要根据所使用的 IBM Cloud Pak for Data 版本进行验证，它可以稳定运行。

API安全逆向工程自动化运维 Web安全 CI/CD集成零信任安全内部工具安全

0x99 存储型XSS漏洞checklist

山水SRC 2026-02-26T14:38:25 © 游山玩水

本文详细介绍了在网络安全渗透测试中检测存储型XSS漏洞的checklist。文章首先概述了存储型XSS漏洞的基本原理和利用链，强调了攻击者通过提交恶意输入，应用将输入存储在数据库或文件中，然后其他用户访问特定页面，恶意脚本在受害者浏览器中执行的过程。接着，文章列出了多个用户可控输入点，包括论坛、博客、聊天系统、商品评价、文档协作平台、用户配置文件、管理员后台等。文章还提供了详细的测试步骤，包括输入测试、源码查看、爆破测试等，并针对不同类型的输入点提供了相应的字典和绕过过滤的方法。最后，文章推荐了一些xss漏洞检测工具和资源，如GitHub上的fuzzDicts项目，供读者参考使用。

Web安全 XSS漏洞渗透测试漏洞利用安全工具安全漏洞代码审计防御策略

0x9a 第53天-WEB安全深入学习：SQL注入与SSTI实战

AlphaNet 2026-02-26T14:29:22 © 萧瑶

本文深入探讨了Web安全领域的两种经典漏洞类型：SQL注入和模板注入（SSTI）。文章首先介绍了SQL注入的核心知识，包括数据库基础概念、关键元信息、数据库特有元素以及SQL注入的产生原理和影响因素。接着，详细阐述了SQL注入的通用利用流程和黑盒与白盒发现技巧，并针对MySQL、MSSQL、Oracle、SQLite、Sybase、PostgreSQL、DB2和MongoDB等数据库类型提供了具体的注入实战案例。文章的第二部分转向了Flask框架与Jinja2模板注入（SSTI）的讨论，解释了Flask基础、Jinja2模板渲染方式以及SSTI漏洞的成因。最后，文章提供了SQL注入和SSTI的防御建议，强调了安全防御的重要性。

SQL注入模板注入 Web安全数据库安全代码审计漏洞利用防御策略安全开发

0x9b SQL 注入漏洞总结

xsec 2026-02-26T14:20:56 x7ovl

SQL注入是一种历史悠久的Web安全漏洞，长期位居OWASP Top 10榜单。该漏洞源于用户可控数据被直接拼接进SQL语句，导致数据库无法区分合法查询与恶意逻辑，从而执行非预期操作。SQL注入可造成严重后果，包括数据泄露、数据篡改、权限绕过乃至服务器完全沦陷。文章系统梳理了SQL注入的主要类型、利用技术、WAF绕过手法与防御实践，构建完整的知识体系。主要注入类型包括联合查询注入（UNION-based）、报错注入（Error-based）、布尔盲注（Boolean-based Blind）、时间盲注（Time-based Blind）、带外注入（OOB）与堆叠注入（Stacked Queries）、二次注入（Second-Order Injection）和宽字节注入（Wide-byte Injection）。文章还详细介绍了不同数据库（MySQL、MSSQL、Oracle、PostgreSQL）的注入差异特性。WAF绕过技巧包括注释符与内联注释绕过、大小写混淆、空格替代方案、等价函数与表达式替换、HTTP层面绕过等。最后，文章强调了预编译参数化查询、最小权限原则、输入验证与白名单等核心防御措施，并介绍了SQLMap自动化工具的使用以及完整的防御体系清单。

SQL注入 Web安全漏洞利用 WAF绕过安全防御安全工具输入验证数据库安全

0x9c Java Webshell 对抗全解析：静态查杀、流量拦截与实战 Trick

野猪与安全 2026-02-26T13:01:05 耶度

本文详细分析了Java Webshell在静态和动态对抗中的生存技巧，帮助学习者理解其被检测的原因及绕过方法。在静态对抗方面，文章指出Webshell容易被D盾等工具查杀的核心原因是静态查杀工具通过正则关键字扫描，而普通命令执行马和连接工具服务端Shell因其自带敏感特征码而极易被识别。解决思路主要是避开关键字，如exec、system等，并通过字符串拼接、编码等方式间接调用；替换系统操作相关方法，如用fileSeparator替代System.getProperty/getProperties；替换回显接收方法，如用Scanner替代BufferedReader。在动态对抗方面，文章强调了伪装正常行为的重要性，针对流量层面对抗，提出了修改请求头、调整请求长度和参数、打乱Cookie位置等方法来规避WAF拦截；语义WAF对抗中，利用Java的Unicode编码特性等语言特性绕过检测；RASP对抗中，则通过新线程启动Context、JNI接口逃离HOOK点、异常中执行恶意代码等方法打破调用栈监控。此外，文章还分享了几个实战小技巧，如利用Java API实现反弹Shell避开EDR告警，以及利用Base64兼容性差异混淆编码等，以进一步提升Webshell的存活概率。

Webshell 静态对抗动态对抗 Java Webshell WAF RASP 安全检测绕过检测安全学习

0x9d [攻防]红队基于 WAF 感知行为对抗

知攻善防实验室 2026-02-26T12:31:22 © ChinaRan404

本文探讨了红队如何基于WAF（Web应用防火墙）的感知行为进行对抗。文章首先介绍了动态对抗WAF拦截的基本思路，包括浏览器指纹、TLS指纹、IP信息和攻击行为感知等方面。接着，作者详细阐述了IP对抗策略，如使用代理池更换IP、使用ClashTun或软路由进行多层跳转等。对于TLS指纹对抗，作者建议使用随机客户端握手消息来规避检测。在浏览器指纹对抗方面，作者推荐使用My Fingerprint插件。最后，文章还讨论了攻击行为感知的对抗策略，包括限制扫描频率、随机增插正常用户行为流量和动态Token等。文章最后鼓励读者在留言区分享更多对抗思路。

红队攻击 WAF对抗动态对抗浏览器指纹 TLS指纹 IP对抗安全设备网络安全防护

0x9e 如何自动捕获银狐

Mimi is Cat 2026-02-26T12:18:16 © kelvin

银狐团伙通过搜索引擎投放木马，利用人性弱点进行攻击。为对抗此团伙，文章提出模拟员工行为主动捕获木马并提取特征，以实现持续跟踪。通过搜索员工常用软件的关键词，如Todesk、WPS等，在Bing搜索引擎中找到大量仿冒网站，以Todesk为例，可使用AI脚本定时执行返回结果，并交给OpenClaw处理。分析发现，搜狗输入法使用NSIS打包，解压后可提取配置文件和释放文件路径。银狐木马常通过MSI、NSIS、Inno等打包工具捆绑，提取特征即可使用，也可交由AI处理。恶意行为分析包括反混淆的PowerShell命令、多层解密释放、持久化机制以及进程执行时序。通过沙箱观察可提取全部IOA、IOC，进而编写威胁狩猎规则和自动处置。文章建议通过模拟用户行为搜索软件，提取非官方域名和下载链接，将文件丢到情报沙箱，获取分析结果后提取IOC、IOA信息，编写威胁狩猎规则，配置自动处理规则将检测到的文件、设备隔离并通知相关人员进行处置。这些均可通过自动化完成，并已在应对强对抗性黑产组织中取得奇效。

恶意软件分析威胁狩猎持续性威胁人工对抗与自动化恶意软件分发威胁情报与响应搜索引擎利用 AI在安全中的应用

0x9f APP漏洞挖掘六脉神剑：组件、存储、证书、生物、Root、动态加载

逍遥子讲安全 2026-02-26T11:40:30 © 逍遥

本文深入探讨了小程序和APP的网络安全漏洞挖掘技术，强调了移动端攻击与Web端的不同之处，并提出了移动端攻击的“三重维度”概念。文章详细介绍了小程序和APP的信息收集方法，包括小程序的反编译、域名关联分析以及APP的APK/IPA分析。接着，文章从七个方面阐述了小程序漏洞挖掘的“七种武器”，如sessionkey泄露、云开发环境密钥泄露、小程序码scene参数注入等，并提供了实战案例。同样，文章还从六个方面介绍了APP漏洞挖掘的“六种武器”，包括组件暴露、本地存储敏感信息泄露、证书锁定绕过等。此外，文章还分享了移动端抓包与动态调试技巧，以及小程序和APP的自动化武器库。最后，文章强调了移动端漏洞挖掘的重要性，并提出了移动端SRC的“奖金密码”，即漏洞本身价值、利用深度和业务影响系数。文章旨在帮助网络安全学习者掌握移动端漏洞挖掘的核心技术和方法，提高实战能力。

移动安全逆向工程漏洞挖掘协议分析 Web漏洞安全测试安全研究小程序安全 APP安全信息收集

0xa0 【海外SRC实战】通过反向代理劫持OAuth Code以接管帐户

菜卷安全 2026-02-26T11:35:34 © 菜卷

本文详细分析了目标网站1377.targetstaging.app的OAuth2.0认证流程及其潜在的安全漏洞。首先，文章介绍了OAuth认证的四个主要请求步骤，包括从统一登录入口重定向到谷歌登录授权页面，获取code，以及最终获取auth cookie的过程。作者尝试通过修改redirect_uri参数来劫持code，但发现该参数被严格限制在公司域名上，无法更改。接着，作者在登录控制面板中发现了更新个人资料图片的请求，并怀疑存在SSRF（服务器端请求伪造）漏洞。然而，经过多次测试，包括更改协议、使用重定向技巧、XSS或LFI攻击等，均未成功。最后，作者通过结合反向代理和路径遍历漏洞，成功修改了state参数，从而能够接收code并访问账户。这一过程展示了如何通过组合多种技术手段来发现和利用OAuth认证流程中的安全漏洞。

OAuth2.0 认证劫持重定向攻击 SSRF (服务器端请求伪造) 反向代理路径遍历参数篡改 XSS (跨站脚本) LFI (本地文件包含) 安全测试

0xa1 【渗透测试】Reverse Shell Generator 工具使用指南

利刃信安 2026-02-26T11:27:51 © 利刃信安

Reverse Shell Generator 是一个开源的反向 Shell 生成器，主要用于 CTF 竞赛和安全测试。该工具支持生成多种监听器和反向 Shell 命令，并支持保存生成的 Payload。它还支持 URI 和 Base64 编码，以及本地存储持久化保存配置。此外，该工具还支持主题模式，包括深色、浅色和 Meme 模式，以及 HoaxShell 集成和自定义监听器本地部署。用户可以通过 Netlify 或 Docker 运行该工具。文章还列出了使用不同编程语言和工具生成的反向 Shell 命令，包括 Bash、Netcat、C、C#、Python、Ruby、PowerShell、Java、Node.js、Groovy、zsh、Lua、Golang、Vlang、Awk、Dart 和 Crystal 等。这些命令适用于不同的操作系统和平台，如 Linux、Windows 和 macOS。最后，文章还提供了使用 MSFVenom 生成不同平台反向 Shell 命令的示例，并强调了该文档仅供安全研究和教育目的使用，请确保在使用这些技术时遵守当地法律法规，仅在授权范围内进行测试。

网络安全 CTF 安全测试反向 Shell 渗透测试命令生成器开源工具网络编程安全研究教育目的

0xa2 绕过卡巴斯基的隐秘提权：不出网低权限如何破局？

巡音安全 2026-02-26T11:06:09

本文详细描述了一个网络安全渗透测试的完整过程，重点在于如何在不出网环境下，通过WebShell初步立足后，实现SYSTEM权限提升和隐蔽的权限维持。首先，通过手动上传WebShell并与本地beacon通讯，实现文件列举、读取和正向木马上传。接着，利用C#内置方式启动进程，观察卡巴斯基的静默反应。为了规避EDR对fork & run的检测，采用BOF实现内存驻留的命令执行。随后，利用Potato系列工具绕过AMSI保护并实现权限提升，整个过程低噪音且未被卡巴斯基告警。最后，通过WFP实现指定端口的流量监控和注册表写入，即使WebShell被删除，也能通过特殊协议与beacon通讯，实现持久化。此外，文章还介绍了r0级rootkit技术，如驱动滥用和minifilter实现文件、进程隐藏。总结指出，在现代攻防对抗中，武器化是攻击链的核心，需实现快速、稳定、低噪音的攻击闭环，包括信息收集、权限提升、横向移动、持久化和数据窃取等环节。

渗透测试 WebShell 权限提升持久化 EDR绕过 BOF Potato WFP 驱动滥用 APT 武器化内存驻留零文件落地

0xa3 从提示注入到RCE：剖析AI智能体中的参数注入攻击

骨哥说事 2026-02-26T10:29:20 © 骨哥说事

本文详细分析了在AI智能体系统中存在的参数注入漏洞，这些漏洞可被利用实现远程代码执行（RCE）。文章指出，尽管AI智能体系统通常只允许执行预先批准的命令，但通过参数注入攻击，攻击者可以利用这些命令执行恶意操作。文章通过三个不同AI智能体平台的真实案例，展示了如何通过利用命令参数的特性来实现RCE。这些案例包括使用go test的-exec标志、结合git show和ripgrep创建并执行恶意文件，以及利用外观模式中的工具处理程序进行参数注入。文章强调了当前防御措施的有效性和局限性，如沙盒化技术可以提供有效的隔离，但需要仔细配置；而安全命令列表和正则表达式过滤则存在难以维护和绕过的问题。最后，文章为开发者、用户和安全工程师提供了建议，包括优先实现沙盒化、使用参数分隔符、缩减安全命令列表、进行定期审计和日志记录，以及用户应谨慎授予系统访问权限。

参数注入命令注入 AI安全远程代码执行 (RCE) 设计反模式沙盒安全研究防御策略命令执行

0xa4 Stealelite RAT 可从单个面板发起双重勒索攻击

安全圈的那点事儿 2026-02-26T10:29:00 © 网络安全9527

Stealelite RAT是一款新型的远程访问木马，它将数据窃取和勒索软件功能集成到一个Web面板中，使犯罪分子能够通过单个控制面板执行远程代码执行、凭证窃取、实时监控、文件窃取和勒索软件部署等操作。该工具自2025年11月首次出现在地下网络犯罪网络中，自称为“最佳Windows远程访问木马”，并具备“完全无法检测”（FUD）的功能。Stealelite支持Windows 10和11操作系统，并具有稳定的HVNC监控功能和绕过银行应用程序的能力。它的控制面板可以在浏览器中运行，提供实时监控受害者信息、文件管理、实时流媒体、网络摄像头和麦克风访问等功能。此外，Stealelite还计划开发Android勒索软件模块，以进一步扩展其功能。这种集成式攻击工具的出现使得数据窃取和勒索软件攻击之间的界限变得模糊，对网络安全构成了严重威胁。

远程访问木马勒索软件数据窃取 Web面板移动勒索软件 Windows攻击网络犯罪工具双重勒索安全漏洞利用社会工程学

0xa5 凌曦安全：jsrpc小程序注入tips

凌曦安全 2026-02-26T10:02:40 © Syst1m

本文提供了一篇关于微信小程序环境适配的JavaScript代码示例，旨在帮助读者理解如何在小程序中实现WebSocket通信。文章首先强调了所有信息仅用于教育目的，严禁用于非法活动。接着，介绍了小程序环境的适配方法，包括检查微信小程序环境、挂载全局变量、构造函数适配小程序API等。代码实现了WebSocket连接、监听事件（如打开、消息、错误、关闭）、重连机制、发送消息等功能，并对小程序环境进行了特殊处理。此外，还展示了如何注册和执行自定义函数，以及如何处理请求和发送响应。最后，文章提到了在小程序中hook外部模块时需要注意的路径问题，因为反编译的目录与实际打包后的目录不一致。这些内容对于网络安全学习者来说，有助于理解小程序中的通信机制和安全注意事项。

Web安全小程序安全 API安全代码注入反编译分析安全开发异常处理

0xa6 UAT-8616 对 Cisco Catalyst SD-WAN 的主动利用

安全圈的那点事儿 2026-02-26T10:02:00 © 网络安全9527

本文详细介绍了Cisco Catalyst SD-WAN控制器（原vSmart）中的一个严重漏洞CVE-2026-20127的利用情况。该漏洞允许未经身份验证的远程攻击者绕过身份验证并获取系统管理权限。Talos发现该漏洞至少被利用了三年，攻击者可能通过软件版本降级和CVE-2022-20775漏洞来获取root权限。文章强调了网络威胁行为者针对网络边缘设备的持续攻击，并提供了针对该漏洞的安全建议，包括对Cisco Catalyst SD-WAN日志的审查、对等连接事件的验证、日志分析和异常行为的识别。文章还列出了可能表明入侵成功的指标，如恶意用户账户、交互式root会话、异常日志大小和版本降级等。

CVE-2026-20127 Cisco Catalyst SD-WAN 未经身份验证的访问远程攻击管理权限提升网络威胁行为者持续监控安全公告日志分析安全漏洞利用

0xa7 红队技巧：通过Impacket的SMB服务器实现隐蔽文件传输

柠檬赏金猎人 2026-02-26T10:00:52

本文介绍了一种利用Impacket工具集在攻击机上搭建简易SMB文件共享服务器的方法，以实现通过Windows内置的net use命令从靶机连接并进行文件传输。这种方法特别适用于内网环境，能够稳定地实现文件的上传与下载。文章详细说明了在攻击机（如Kali Linux）上启动SMB服务器的过程，以及在Windows靶机上连接共享并传输文件的步骤。此外，还讨论了在受限环境中使用此方法的方法，并提供了注意事项，如安全性、操作安全（OpSec）以及环境适用性。文章强调了在使用此方法时要注意保护敏感信息，并提醒用户在严格网络环境中可能遇到的问题。

Windows安全文件传输红队技巧 SMB协议 Impacket工具内网渗透隐蔽攻击

0xa8 【网安】参数污染技巧！结合越权漏洞实操演示和讲解！

无名的安全小屋 2026-02-26T10:00:20 © 無名

HTTP参数污染是一种利用Web应用后端对同名参数或数组型参数解析逻辑不一致或处理不当的攻击技术。攻击者通过构造JSON数组格式的参数，绕过安全限制、篡改业务逻辑或越权访问数据。例如，当后端未严格校验参数类型时，将uid参数（设计为接收单个用户标识）解析为数组，可能导致在NoSQL或SQL数据库中执行批量查询，实现水平越权，即一个普通用户获取其他用户敏感信息。此外，参数污染可能绕过基于单值比对的权限检查逻辑，如JavaScript中数组与字符串的松散相等比较。更深层的危害包括批量未授权操作或与NoSQL注入、命令注入等漏洞组合攻击。文章以玄域靶场越权漏洞-11为例，演示了通过修改uid为数组形式成功越权查询其他用户数据的过程，并指出若存在utype等用户类型参数，可尝试修改为admin等高权限值。为防护此漏洞，开发层面应实施输入层严格类型校验、传输层请求签名加密，以及逻辑层彻底摒弃从客户端读取用户身份标识，确保服务端权威数据源，实现"服务端会话权威化"。

参数污染 Web安全越权访问数据库注入输入验证安全防护权限控制渗透测试 Burp Suite 安全学习

0xa9 Nuclei 漏洞扫描图形化工具 | POC 管理、FOFA/Hunter/Shodan 资产测绘、AI 辅助分析、漏洞报告生成

黑白之道 2026-02-26T09:50:53

Nuclei GUI Scanner是一款基于PyQt5开发的Nuclei漏洞扫描图形化工具，旨在提供友好的用户界面和丰富的功能。该工具支持POC管理、资产搜索、AI辅助分析以及漏洞报告生成等功能。用户可以通过仪表盘查看扫描统计概览，包括总扫描次数、发现漏洞数和POC数量，以及漏洞趋势图表。漏洞扫描功能支持单目标/批量目标扫描，并可选择多个POC模板，实时显示扫描进度和结果。任务队列管理功能允许用户多任务排队执行，设置任务优先级，并支持断点续扫。POC管理功能允许用户浏览和搜索POC列表，导入POC，在线同步，编辑和快速测试POC。资产搜索功能支持多个资产搜索引擎，如FOFA、Hunter、Quake360和Shodan。AI助手功能支持OpenAI兼容接口，提供FOFA语法生成、POC生成、漏洞分析和智能推荐等功能。漏洞报告生成功能支持一键生成AI漏洞报告，包括补天/SRC提交报告格式、详细技术分析报告、简要漏洞说明和修复建议。此外，工具还提供设置扫描参数、FOFA配置和AI配置等功能。

漏洞扫描工具图形化界面 POC管理资产测绘 AI辅助分析漏洞报告生成网络安全 Python开发

0xaa 绕过防火墙，实现权限横向移动？

黑白之道 2026-02-26T09:50:53 GhostShell

本文深入探讨了内网渗透测试中绕过防火墙和实现权限横向移动的关键技术和策略。文章首先分析了内网防火墙的三类核心部署场景（边界防火墙、内网分段防火墙、主机防火墙）及其防护重点，阐述了防火墙的核心防护原理（规则匹配+流量检测）。接着，详细介绍了内网防火墙的合规绕过思路与技巧，包括利用合法端口穿透、防火墙规则配置漏洞、合法服务代理和隧道技术等针对边界防火墙的绕过方法，以及利用跳板机、网段信任关系和修改防火墙规则等针对内网分段防火墙的绕过技巧。此外，文章还总结了主机防火墙的绕过思路，如直接关闭、修改规则、合法进程旁路和利用规则漏洞等。最后，文章阐述了权限横向移动的前提准备和核心技巧，包括凭据复用（哈希传递、票据传递、密码复用）、漏洞利用（SMB漏洞、RPC漏洞、Web漏洞）和合法工具滥用（WMI、PowerShell、远程桌面），并分析了权限横向移动的难点与突破思路。全文强调合规、安全、可控的原则，旨在帮助网络安全学习者掌握内网渗透测试的核心技术。

网络安全渗透测试防火墙内网渗透权限横向移动信息收集凭据复用漏洞利用合规渗透测试安全防御策略

0xab 新型C2方案：基于Azure Blob Storage与Mythic构建隐蔽通信

星夜AI安全 2026-02-26T09:39:25

本文详细介绍了如何利用Azure Blob Storage进行命令与控制（C2）通信，并展示了如何将其集成到Mythic平台中。文章首先指出，许多成熟企业的防火墙规则会限制出站流量，但通常会对可信的云服务设置宽泛的例外规则，例如允许出站访问 *.blob.core.windows.net。基于此发现，作者创建了一个名为 azureBlob的Mythic C2配置文件，该配置文件利用Azure Blob Storage，并将其集成到一个经过修改的Medusa版本中。文章详细描述了在Azure中创建存储账户、获取访问密钥、安装和配置C2配置文件和代理的步骤。关键在于，服务器端基础设施配置在生成载荷时完成，代理仅与分配给自身的容器进行通信，从而提高了安全性。文章还介绍了容器隔离与令牌安全措施，确保即使代理被攻破，影响范围也限制在该单一代理内。C2通信工作原理部分解释了消息流和代理与服务器之间的交互方式。此外，文章提供了一个名为Pegasus的测试代理，用于验证配置和展示如何将C2配置文件集成到其他代理中。最后，文章提到未来工作将集中在提升SOCKS代理速度，计划将ProxyBlob的客户端从Go语言移植到Python，以实现更高的性能。

网络安全云安全 C2通道 Azure Blob Storage 网络安全工具网络安全策略网络安全防护网络安全研究网络安全攻防

0xac SilentButDeadly：使用WFP阻止EDR/AV软件云通信的网络隔离工具

安全天书 2026-02-26T09:31:51 © Hello888

SilentButDeadly是一款基于Windows过滤平台（WFP）的网络通信拦截工具，旨在阻止EDR/AV软件的云连接，实现网络隔离。该工具主要用于交战前测试、EDR旁路受控环境隔离、红队行动中的立足点建立以及安全研究中的EDR行为分析。SilentButDeadly不支持IPv6，需要EDR流程处于活动状态，且部分EDR可能具有内核级网络驱动程序。此外，Windows防火墙必须启用以使WFP正常工作。文章还提到了一个专注于渗透测试、红蓝对抗、钓鱼手法思路、武器化作的红队工具圈子，分享包括免杀工具、钓鱼技术、AV对抗策略等在内的技术文章和经验总结。

网络安全工具网络隔离 EDR/AV对抗 Windows过滤平台(WFP) IPv4 红队工具安全研究社区与交流

0xad EventLog-in：利用微软Windows事件日志服务进行弱凭证横向移动（CVE-2025-29969）

幻泉之洲 2026-02-26T09:16:41

SafeBreach 实验室的研究人员发现了一个存在于 MS-EVEN RPC 协议中的高危远程代码执行漏洞（CVE-2025-29969），该漏洞允许攻击者利用低权限凭证在 Windows 11 和 Windows Server 2025 系统上远程写入任意文件，并绕过默认的共享限制。研究人员通过 RPCView 工具寻找可远程访问的 RPC 服务，最终聚焦于事件日志服务（MS-EVEN）的 ElfrOpenBELW 和 ElfrBackupELFW 函数。他们发现这些函数允许低权限用户检查远程文件存在性，并通过与 SMB 共享结合，实现了绕过权限限制的文件写入。进一步研究揭示了服务在备份操作时未重新检查文件头的竞争条件漏洞，从而实现了任意文件写入和代码执行。攻击者可以利用此漏洞写入批处理文件到用户启动目录或劫持 DLL，实现远程代码执行。在域环境中，该漏洞尤为严重，因为低权限用户可以写入域内多台机器的共享路径，包括域控制器，从而进行横向移动和信息收集。该漏洞已于 2025 年 5 月被微软修复，但信息收集能力依然存在。SafeBreach 实验室已按负责任披露政策向微软报告，并公开了研究细节和 PoC 利用脚本。

远程代码执行 (RCE) MS-EVEN RPC 漏洞权限提升/绕过信息收集 Windows安全竞争条件 (TOCTOU) SMB利用域安全 Impacket

0xae MIMICRAT：一个利用真实网站投递的“精装修”远控木马

幻泉之洲 2026-02-26T09:16:41

ClickFix攻击活动利用被入侵的合法网站作为跳板，投放了一个包含五个阶段的复杂攻击链，最终植入定制化的远程访问木马（RAT）——MIMICRAT。该木马用C++编写，具有极强的隐蔽性和功能性，支持权限提升、SOCKS5代理隧道，并包含22条命令，实现从文件操作到进程注入的完整攻击链。攻击链的第一阶段通过剪贴板中的PowerShell命令启动，第二阶段下载混淆的PowerShell脚本，绕过ETW事件追踪和AMSI反恶意软件扫描，并投递下一阶段载荷。第三阶段使用Lua加载器在内存中执行shellcode，第四阶段将shellcode反射式加载到内存中，第五阶段则部署MIMICRAT木马。MIMICRAT木马采用隐蔽的C2通信方式，并利用云服务商域名做C2，通信加密采用RSA-1024和AES。该攻击活动展示了攻击者对公共资源的“创造性”利用和对细节的打磨，对传统的基于信誉或签名的防御手段构成威胁。面对此类攻击，防御者需要更深层次的检测，关注行为和攻击链条，升级防御体系。

恶意软件攻击链 ClickFix PowerShell 绕过防御 C2通信命令与控制木马基础设施隐蔽性

0xaf 如何安全运行 OpenClaw：身份、隔离与运行时风险

幻泉之洲 2026-02-26T09:16:41

本文详细分析了企业自托管AI助手运行时（如OpenClaw）带来的安全挑战。由于运行时默认安全控制有限，它允许持有长期凭证的代码执行不受信任的内容和第三方扩展，从而引发身份滥用、内存篡改和主机入侵等核心风险。文章指出，运行时继承了宿主机的信任级别和风险，并使用赋予它的凭证执行动作，使得运行时环境本身成为新的安全边界。文章提出了一个“有毒”的技能攻击场景，展示了从恶意技能的分发、安装到通过合法API进行权限复用，以及通过配置实现持久化的完整入侵链条。针对无法避免部署的组织，文章建议了最低安全操作基线，包括在隔离环境中运行、使用专用凭证和非敏感数据、监控状态是否被篡改、备份状态以便快速重建，并定期重装。文章还结合微软安全产品矩阵，提出了身份、终端与主机、供应链、网络与出口、数据保护、监控与响应等方面的安全控制措施，并提供了多个狩猎查询来帮助发现和调查AI助手运行时的异常行为。

人工智能安全运行时安全代码执行风险凭证管理身份滥用内存篡改主机入侵隔离策略监控与日志恢复与重建供应链安全端到端攻击间接提示词注入技能木马微软安全产品矩阵

0xb0 fscan_bypass【用于对fscan等EXE文件进行免杀处理的工具集】

白帽学子 2026-02-26T09:08:51 © 白帽学子

fscan_bypass是一个用于绕过网络安全软件检测的工具集，它通过将fscan等扫描器程序的核心代码加载到内存中执行，从而避免直接在磁盘上运行，以规避基于静态文件特征的检测。该工具的原理包括将原始EXE文件转换为Shellcode并进行XOR加密，然后通过一个轻量级的加载器程序（loader.exe）在内存中解密并执行。这种方式可以有效地绕过EDR（终端防护）的监控，因为它在磁盘上只留下了一个无害的loader.exe和一个看似随机的output.bin文件。工具的使用需要配置Python环境和Visual Studio，并提供了一个批处理脚本以简化操作。此外，工具允许用户修改loader.exe的源代码，以增加混淆并生成新的加载器版本，进一步提高了绕过检测的可能性。

恶意软件防御免杀技术二进制代码内存执行加密技术安全工具攻击技术逆向工程

0xb1 漏洞复现 | 用友NC importExcelTemplate 任意文件上传漏洞

实战安全研究 2026-02-26T09:00:23

本文详细描述了用友NC软件中的一个严重漏洞——importExcelTemplate任意文件上传漏洞。该漏洞允许未经身份验证的攻击者通过构造特定的上传请求，绕过文件类型限制，将任意文件上传至服务器。这种攻击可能导致远程代码执行或服务器控制，对系统的完整性和安全性构成严重威胁。文章提供了漏洞的描述、影响版本、fofa语法、漏洞复现步骤、检测POC以及漏洞修复建议。同时，文章还提醒读者，本文内容仅用于技术学习和安全研究，禁止用于非法活动。此外，文章还介绍了内部圈子信息，包括POC数量、漏洞实战圈上线情况以及加入圈子的价格和福利。

漏洞分析文件上传漏洞用友NC 远程代码执行安全修复渗透测试安全运维企业安全

0xb2 Entra ID授权攻击案例解析&防御指南

云原生安全指北 2026-02-26T08:35:58 Dubito

本文探讨了在 Azure AD（Entra ID）中发生的假设性 OAuth 攻击场景，该攻击利用 ChatGPT 获取用户电子邮件账户的访问权限。文章详细分析了攻击过程，包括添加服务主体和授权 OAuth 权限，并强调了检测和修复此类攻击的重要性。文章建议的检测策略包括监控非管理员用户授予新第三方应用程序的非管理员权限，特别是当应用程序被授予常被滥用的权限时。对于修复措施，文章提供了移除授权授予和添加到租户的服务主体的方法。此外，文章还讨论了 Microsoft 提供的三种选项来缓解非管理员用户引入未经审查的应用程序和过度授予 OAuth 权限的风险，包括不允许用户授权、允许用户授权已验证发布者的应用，以及让 Microsoft 管理授权设置。这些措施有助于提高组织的安全性，减少潜在的安全风险。

OAuth 攻击权限滥用第三方应用程序用户授权身份验证与授权检测与响应安全配置

0xb3 Frida 脚本无 Root 一键持久化方案

HACK之道 2026-02-26T08:33:31 _MicroBlock

本文详细介绍了如何将Frida脚本固化到APP中，并实现一键打包生成Xposed模块的过程。作者首先尝试使用frida-gadget但在Android 16上遇到问题，因此决定自行实现持久化方案。文章核心内容围绕编译Frida-GumJS库、将脚本数据嵌入二进制文件以及加载二进制文件到目标进程展开。作者通过关闭V8和内置Database来减小Frida-GumJS体积，并使用xmake项目调用GumJS执行脚本。为了嵌入JS脚本，作者设计了一个带有Magic标记的结构体，并使用Rust编写CLI工具将脚本数据嵌入到.so文件中。在处理ELF和PE文件时，作者遇到了多个挑战，如Section重叠和PT_PHDR Segment问题，并提供了相应的解决方案。最后，作者实现了通过Xposed模块加载.so文件的方法，避免了依赖gradlew和手动处理安卓压缩格式等问题。整个过程涉及ELF/PE文件编辑、二进制文件加载以及Xposed模块构建等多个技术点，最终实现了只需运行一行命令即可自动打包出所需文件的目标。

Frida Xposed 逆向工程二进制编辑动态代码注入软件开发 APK 打包与修改安全工具开发

0xb4 【SRC赏金猎人必备】SRC资产扫描利器(集成四测绘引擎+549 POC)

0x八月 2026-02-26T08:10:00 © 0xSecDebug

本文介绍了一款名为FuYao的Go语言开发的自动化资产探测与漏洞扫描工具，适用于赏金猎人及安全团队进行SRC活动。该工具集成了Hunter、FoFa、Quake、Shodan四大网络空间测绘API，实现子域发现到漏洞验证的全自动化闭环。FuYao支持多源资产收集、被动在线资源发现、有效子域存活验证和联动探测，并自动验证资产存活状态。此外，它还支持TCP/DNS/HTTP/FILE协议的多协议漏洞扫描，并基于Afrog引擎精准验证549个漏洞。文章详细介绍了工具的功能、优势、技术特性和使用指南，并提供了项目地址和联系方式。需要注意的是，该工具目前维护中且不再开源，使用时需遵守当地法律和免责声明。

网络安全工具漏洞扫描资产发现 Go语言自动化扫描开源项目 SRC活动协议支持漏洞验证

0xb5 黑客可滥用 Cortex XDR Live Terminal 功能进行 C2 通信

安全圈的那点事儿 2026-02-26T08:09:03 © 网络安全9527

最新研究发现，Palo Alto Networks的Cortex XDR Live Terminal功能存在安全漏洞，可能被黑客用于建立隐蔽的命令与控制（C2）通道。该功能允许安全团队远程管理端点，但研究人员发现其依赖的协议缺乏命令签名验证，攻击者可利用此漏洞重定向端点连接至其控制的服务器。攻击者可以通过两种方法滥用此特性：跨租户攻击和创建自定义服务器。尽管Palo Alto Networks已发布修复程序，但测试表明修复并不完全有效。此漏洞允许攻击者在不受检测的情况下执行命令、横向移动和收集文件，对网络安全构成严重威胁。

漏洞利用端点检测与响应（EDR）命令与控制（C2）远程管理漏洞跨租户攻击安全设计缺陷恶意软件分发安全更新

0xb6 个人资料/配置页检查清单

漏洞集萃 2026-02-26T08:03:46 © Pwn1

本文详细分析了个人资料/配置页可能存在的安全漏洞。文章首先指出，在测试私有漏洞赏金计划时发现的多项安全漏洞，包括未授权的个人资料修改、邮箱/手机号变更导致的账户接管、通过个人资料更新实现权限提升等问题。此外，文章还讨论了认证与会话处理问题，如敏感操作后活跃会话仍然存在、认证 token 泄露等。文章还涉及输入验证与注入问题，如存储型 XSS、SQL 注入等。最后，文章分析了文件上传问题、速率限制与滥用、CSRF 与跨域问题以及 API 特有的个人资料更新问题，如缺少必填参数、接受额外参数等。

漏洞分析安全测试身份验证输入验证文件上传权限提升跨站请求伪造（CSRF）跨站脚本（XSS） SQL注入速率限制与滥用

0xb7 Nim编写Windows平台shellcode免杀加载器 | 免杀，Bypassav，免杀框架

夜组安全 2026-02-26T08:01:14 aeverj

本文介绍了一种使用Nim语言编写的Windows平台shellcode免杀加载器。该工具可以快速生成免杀的可执行文件，具有以下特点：支持23种加载方式，可自行拓展加载方式，支持凯撒密码、AES加密和异或加密三种加密技术，每次生成文件都有不同的hash值，并允许自定义图标。文章详细说明了安装和使用步骤，包括安装Nim和mingw64，下载安装依赖，以及如何使用CodeLoader.exe生成免杀可执行文件。此外，还提供了如何自定义nim代码文件，以及如何修改Compiler.ini文件以使用不同的加载方式和加密技术。文章最后提醒用户，所有工具安全性自测，仅限技术研究和获得正式授权的测试活动使用。

免杀技术 Shellcode Nim编程语言 Windows平台安全加密技术逆向工程安全工具网络安全研究

0xb8 网安每日干货分享《后缀名检测与绕过之Windows特性（末尾的点【.】）绕过》-0226

建哥聊安全 2026-02-26T08:00:19 © 建哥聊安全

本文详细介绍了在网络安全中，特别是文件上传服务端检测中后缀名检测的原理和绕过方法。文章以一个实验为例，讲解了如何通过Windows特性（末尾的点【.】）来绕过后缀名检测。实验环境包括Win10操作系统和Apache + PHP靶机。文章首先介绍了文件上传服务端检测的重要性，然后详细阐述了后缀名检测的常见绕过方法，包括黑名单大小写绕过、名单列表绕过、Windows特性绕过等。实验步骤详细描述了如何使用Burp Suite工具进行抓包修改后缀名，成功绕过服务端验证并上传文件。最后，文章总结了实验结果，强调了掌握文件上传服务端检测中后缀名检测原理的重要性，并指出Windows特性在绕过后缀名检测中的应用。

文件上传漏洞后缀名检测绕过 MIME类型检测服务器端安全 Burp Suite工具 Windows系统安全 Web应用安全

0xb9 深扒 npm 恶意包新变种：从“偷 Token”到“AI 注入”，供应链攻击进入 Next Level

技术修道场 2026-02-26T07:57:56 © Hankzheng

本文详细分析了近期网络安全领域出现的新威胁——代号为SANDWORM_MODE的恶意npm包攻击行动。黑客利用了MCP（Model Context Protocol）协议的漏洞，通过恶意npm包在用户的AI编程助手配置文件中注入恶意代码，实现窃取SSH密钥、AWS凭证、npm配置文件和.env文件等敏感信息。此外，黑客还使用了本地化的“多态变异”技术，通过Ollama实例和DeepSeek Coder模型重构恶意代码，以绕过静态代码扫描。攻击还具备蠕虫属性，可窃取CI/CD凭证并冒用身份发布恶意包。文章提醒开发者自查可能的恶意包，并提出了防范建议，如加强关键密钥管理、定期轮换Token和SSH Key等，以保护自己的开发环境不受侵害。

供应链攻击恶意软件 AI攻击多态变异代码混淆数据窃取 VS Code插件攻击 npm安全安全意识

0xba 高，实在是高：利用EDR Live Terminal构建隐蔽C2通道的新型攻击技术

网空闲话plus 2026-02-26T07:35:39 © 网空闲话

本文揭示了攻击者如何利用Palo Alto Networks Cortex XDR的Live Terminal功能构建隐蔽的命令与控制（C2）通道。攻击者通过Live Terminal的WebSocket连接和cortex-xdr-payload.exe程序，在受保护的主机上植入几乎无法察觉的后门。文章详细分析了攻击的技术原理，包括Live Terminal的正常工作机制、协议分析揭示的缺陷，以及攻击者如何利用这些缺陷进行跨租户劫持和伪造服务器。文章还讨论了攻击的实现路径、潜在危害和防御策略，指出攻击者可能利用该通道进行长期潜伏、横向移动和数据窃取。此外，文章强调了传统基于签名的规则更新难以根治此类攻击，并呼吁安全厂商从架构设计层面加强安全措施。

EDR攻击 Living off the Land C2通道 Palo Alto Networks 网络安全漏洞应急响应代码审计供应链攻击安全防御策略

0xbb Upload Labs 第 5 关完整通关笔记：从原理到踩坑排错

武文学网安 2026-02-26T01:32:28 武文

本文详细分析了Upload Labs第5关的漏洞利用方法，核心目标是绕过后缀过滤，实现.php文件的执行。文章首先指出原靶场环境不支持.user.ini，因此改用phpstudy在Windows下重新搭建。关卡目标是通过绕过后缀过滤，使服务器“误执行”上传的文件。理论基础部分解释了服务器如何判断文件是否执行，以及PHP运行模式对攻击方式的影响。实战前必须确认服务器是否支持.user.ini，文章提供了两种确认方法：通过phpinfo()查看Server API和搜索user_ini.filename，以及通过上传特定文件测试。通关方式一利用.user.ini的auto_prepend_file功能，通过上传.jpg文件马和.user.ini文件，实现.php文件的自动包含和执行。通关方式二利用Windows文件系统特性，“.空格.”绕过后缀过滤，将文件名修改为shell.php.，使服务器解析为.php文件。文章对比了两种方式的依赖环境、隐蔽性、稳定性、技术深度，并强调了攻击的核心是“机制差异”。最后，文章总结了两种绕过方式，即利用PHP配置覆盖和Windows文件名处理机制，本质都是服务器解析逻辑与过滤逻辑的不一致。

文件上传漏洞后缀绕过 PHP配置服务器配置 Web安全 Windows特性安全审计

0xbc ACF插件漏洞使黑客能够获得5万个WordPress网站的管理权限

犀牛安全 2026-02-26T00:00:36 Rhinoer

本文报道了WordPress的ACF插件存在一个严重漏洞，编号为CVE-2025-14533。该漏洞允许未经身份验证的攻击者远程获取管理权限。ACF Extended插件是一个扩展ACF功能的插件，大约有10万个网站在使用。漏洞存在于0.9.2.1及更早版本中，攻击者可以通过滥用“插入用户/更新用户”表单操作来获取管理员权限。尽管Wordfence指出，只有在配置了角色字段的“创建用户”或“更新用户”表单上才能利用此漏洞，但研究人员警告说，这可能导致网站完全被控制。Wordfence在漏洞被发现后不久就发布了修复程序，大约有5万个用户下载了修复后的版本。此外，文章还提到了针对WordPress插件的大规模侦察活动，以及其他几个正在被积极利用的漏洞，如CVE-2025-11833和CVE-2024-28000。

WordPress 安全漏洞插件漏洞远程攻击权限提升安全修复网络安全监测安全研究员软件安全

0xbd EDR绕过技术发展时间线

绝对防御局 2026-02-25T23:25:57 © 绝对防御局

本文详细梳理了终端检测与响应（EDR）解决方案与攻击者绕过技术之间的对抗历程。从2010年至2023年，EDR绕过技术的发展经历了奠基年代、挂钩战争、直接系统调用革命、间接系统调用时代以及高级规避技术等阶段。文章介绍了每个阶段的关键技术突破，如进程空洞化、DLL注入、反射式DLL加载、API Hooking、UnHooking技术、直接系统调用、调用堆栈欺骗、向量异常处理（VEH）技术等。同时，文章还探讨了EDR响应和反演变的策略，包括内核级监控、基于硬件的绕过、供应链攻击和系统工具滥用等。最后，文章指出AI和机器学习等新兴技术在EDR绕过领域的应用，以及组织在日益复杂的威胁环境中保持有效安全态势的重要性。

EDR 网络安全红队攻击威胁情报技术发展恶意软件分析防御策略安全工具漏洞利用系统调用

0xbe 可深度抓取网站JS文件的工具 Packer-InfoFinder

进击的HACK 2026-02-25T21:38:19

本文介绍了一款名为Packer-InfoFinder的网络安全工具，该工具主要用于抓取网站中的JavaScript文件。文章详细介绍了该工具的安装过程，包括使用pip安装Deno运行时环境，以及如何在Windows和macOS系统上安装Deno。接着，文章提供了使用Packer-InfoFinder的详细说明，包括参数概览、使用示例，如对单个目标进行JS文件抓取和Webpack还原，以及如何进行完整扫描以发现敏感信息。此外，文章还介绍了如何批量扫描多个目标，以及如何使用代理和Cookie进行扫描。最后，作者总结了Packer-InfoFinder在网络安全测试中的重要性，强调其在JS信息收集中的实用性。

网络安全工具 JavaScript代码分析渗透测试 Web应用安全自动化测试信息收集工具

0xbf 【工业控制系统网络安全系列课程】第2课-工业控制系统的网络安全风险-过程控制漏洞利用（一）ICS过程控制漏洞概述

老付话安全 2026-02-25T20:47:52 © 老付话安全

本文深入探讨了工业控制系统（ICS）中的网络安全风险，特别是过程控制层的漏洞。文章首先介绍了ICS环境中常见的漏洞类型，包括协议漏洞、软件漏洞、固件漏洞、配置漏洞和供应链漏洞，并详细描述了每种漏洞的特点和可能的影响。接着，文章对比了工控系统漏洞与传统IT系统漏洞的差异，强调了工控系统漏洞的生命周期长、补丁部署困难、影响物理过程与安全、协议缺乏加密与认证等特点。此外，文章还提到了漏洞的危害等级分布趋势，并提醒读者工控系统安全的重要性，以及如何通过合理的安全措施来降低风险。

工业控制系统安全协议漏洞软件漏洞固件漏洞配置漏洞供应链漏洞漏洞利用防御思路安全风险安全防护

0xc0 网安社团周报 Week3 - Nullbyte靶机 SQL注入 Linux提权

志在片语 2026-02-25T20:32:26 © 小志z

该文章详细记录了一个初级到中级难度的Boot2Root渗透挑战的完整过程。首先，通过Nmap扫描确定了靶机的IP地址为10.10.110.237，并发现开放了SSH（端口777）、HTTP（端口80）和UDP端口111等服务。在Web渗透阶段，发现了一个隐藏的图片文件，通过分析其Exif信息获得了隐藏的密码，但尝试登录失败。随后，通过POST请求的密码爆破，成功获得了用户权限。利用Web页面搜索功能的SQL注入漏洞，成功写入了webshell到指定目录。进一步利用MySQL数据库信息，通过phpMyAdmin登录，并使用获得的用户密码成功连接到SSH服务，获得低权限shell。最后，通过两种方法提权获得root权限：一是利用CVE-2021-4034漏洞，编译并执行poc程序获得root shell；二是利用SUID提权，通过修改环境变量和创建软连接，成功以root权限执行shell。最终成功获取/root/proof.txt文件，完成挑战。

Nmap扫描 Web渗透密码破解 SQL注入 Webshell利用数据库渗透提权漏洞利用横向移动文件操作

0xc1 使用DropBox构建隐秘C2通道

Relay学安全 2026-02-25T18:34:14 © kernel

本文介绍了如何利用DropBox作为C2（命令与控制）服务器，实现远程命令执行和结果回传。首先，文章指导读者在DropBox开发者平台注册应用，获取App Key和App Secret，并设置文件读写权限。接着，通过OAuth2流程获取访问令牌，包括Refresh Token，用于后续的DropBox操作。文章提供了Python脚本示例，演示如何使用Dropbox SDK执行系统命令（如ipconfig），并将结果上传至DropBox。为了实现C2功能，文章进一步展示了如何创建一个简单的Agent，该Agent会定期检查DropBox中特定文件（如read_[ID].txt）的内容，执行命令并将结果写入write_[ID].txt文件。最后，文章提供了一个基于Flask的Web界面，允许用户通过HTML页面发送命令到Agent，并读取执行结果。整个流程涉及DropBox API、OAuth2认证、系统命令执行、文件操作以及Web开发技术，为网络安全学习者提供了一个实践C2架构的案例。

云存储滥用 C2通道命令执行文件操作身份认证自动化与监控 Web界面后门机制数据持久化

0xc2 GitHub Copilot漏洞可致代码库遭劫持，攻击者利用AI静默窃取敏感令牌

FreeBuf 2026-02-25T18:05:51

GitHub Codespaces中的一个名为RoguePilot的漏洞被披露，允许攻击者通过在GitHub问题中注入恶意Copilot指令来获取代码库的控制权。Orca Security发现了这一漏洞，微软已发布补丁。攻击者可以通过在GitHub问题中隐藏恶意指令，使GitHub Copilot自动处理，实现对Codespaces内AI Agent的静默控制。这种攻击属于被动或间接提示注入攻击，恶意指令被嵌入大型语言模型（LLM）处理的数据或内容中。攻击者可以利用这个漏洞泄露敏感数据，如GITHUB_TOKEN。此外，微软的研究发现，强化学习技术Group Relative Policy Optimization（GRPO）可用于移除LLM的安全功能，存在多种可武器化的侧信道，可以推断用户对话主题甚至指纹识别用户查询。AI安全公司警告，攻击者可以通过长期记录请求来映射内部端点、访问时间及数据流，而用户可能不会意识到这些攻击。

漏洞利用供应链攻击 AI安全云安全代码注入数据泄露安全漏洞修复恶意软件

0xc3 Apache ActiveMQ漏洞遭利用，LockBit勒索软件批量入侵企业

看雪学苑 2026-02-25T17:59:34 看雪学苑

近期，黑客利用Apache ActiveMQ服务器的远程代码执行漏洞CVE-2023-46604，成功入侵企业网络并部署LockBit勒索软件。攻击者在发现漏洞后，仅用约19天时间便完成了从渗透到加密的全过程。攻击者通过发送特制命令诱导服务器加载恶意配置文件，并使用Windows CertUtil工具下载攻击程序。攻击程序执行后，迅速获得系统最高权限并窃取跳板机账户凭证。尽管黑客在入侵次日被逐出，但由于漏洞服务器未打补丁，攻击路径依然开放。18天后，黑客利用相同漏洞和窃取的凭证再次入侵内网，并在确认域管理员权限后，通过伪装扫描工具枚举内网主机，并执行加密操作。攻击者通过多种手段规避检测，包括窃取凭证、多重混淆处理攻击命令，并在成功入侵后清除痕迹。企业应立即打补丁、启用LSASS保护、监控日志清空行为、限制未授权远程访问工具的使用，并在怀疑入侵后重置所有账户凭证以防范此类攻击。

Apache ActiveMQ 漏洞远程代码执行（RCE）勒索软件攻击企业网络安全漏洞利用恶意软件分析安全防御建议安全事件溯源

0xc4 漏洞挖掘中的组合拳攻击

陌笙不太懂安全 2026-02-25T17:41:34 xiaoqiuxx

本文主要讨论了如何提升XSS（跨站脚本攻击）的危害性。文章首先指出，在挖掘XSS时，不能仅凭直觉判断是否存在漏洞，因为触发方式可能不正确，且防护措施可能很强，导致攻击效果不佳。接着，文章提出结合CSRF（跨站请求伪造）技术来增强XSS攻击的威力。通过一个新建课件功能的案例，展示了如何通过插入payload并结合CSRF攻击，将无法直接对他人造成危害的XSS漏洞转化为具有较大危害的攻击。文章强调，在测试XSS时需要细心观察，寻找所有可能的触发点，并通过组合拳的方式（如结合系统功能或CSRF）来最大化漏洞的危害。另一个案例则展示了如何利用系统分享功能来传播XSS攻击。最后，文章总结了提升XSS危害性的关键方法：结合系统本身的功能或利用CSRF漏洞。

XSS跨站脚本攻击 CSRF跨站请求伪造漏洞挖掘安全测试危害提升 Web安全组合攻击

0xc5 CVE-2026-24061：潜伏11年的致命漏洞深度解析

SEVENTEENSEC 2026-02-25T16:18:49 © Faithtiann

CVE-2026-24061是一个潜伏了11年的严重安全漏洞，由安全研究人员Kyu Neushwaistein于2026年1月20日报告给GNU项目。这个漏洞影响GNU InetUtils 1.9.3至2.7版本，CVSS评分高达9.8，允许未认证攻击者通过构造恶意环境变量实现远程root权限获取。漏洞存在于telnetd/telnetd.c文件中的login_invocation模板字符串，由于对环境变量USER的未充分验证，攻击者可以执行命令并获取root权限。本文深入剖析了漏洞的技术原理、攻击流程、影响范围以及防御策略，并提供了漏洞复现环境和利用条件。此外，文章还讨论了漏洞潜伏的原因，包括遗留协议关注度下降、开源项目维护资源有限以及小众使用场景隐蔽性等因素。

漏洞分析开源安全参数注入系统安全网络安全漏洞复现防御策略

0xc6 通过错误配置的验证密钥伪造 zkSNARK 证明：Veil_01_ETH 攻击事件

安全狗的自我修养 2026-02-25T15:35:52 haidragon

本文分析了Base网络上私有资金池Veil_01_ETH遭受的攻击事件。攻击利用了Groth16验证器中delta参数与gamma参数相同的问题，破坏了验证器的完备性。攻击者通过伪造nullifierHash值，循环提取了0.1 ETH，总损失达2.9 ETH。文章指出，攻击者并没有重新生成完整的Groth16证明，而是对现有证明进行了修补。真正的漏洞在于Groth16验证器部署时gamma2等于delta2，这破坏了pairing校验的soundness。攻击者通过预编译地址动态计算IC线性组合与C的修补值，成功进行攻击。文章还提到，攻击者通过迭代nullifier的方式实现攻击，但实际上漏洞的根本原因在于验证器参数配置错误。

区块链安全智能合约安全安全漏洞加密货币安全验证器漏洞攻击分析安全事件

0xc7 PDF.JS任意JS代码执行漏洞踩坑实践

shadowsec 2026-02-25T15:28:52 © ss

本文详细分析了PDF.js库中的一个严重漏洞CVE-2024-4367。PDF.js是Mozilla开发的开源PDF阅读器库，广泛应用于Firefox浏览器和Web应用中。该漏洞允许攻击者通过构造恶意PDF文件执行任意JavaScript代码，影响范围包括Firefox浏览器及依赖PDF.js的Web/Electron应用。文章介绍了漏洞的探测方法，指出通过特定的URL格式可以确定是否使用了PDF.js组件。文章进一步说明了如何通过远程加载恶意PDF文件来利用该漏洞，并提供了相应的PoC代码。此外，文章还讨论了在Python服务器上启用CORS以允许跨域请求的问题，并提供了相应的Python脚本。最后，文章展示了如何使用该漏洞获取cookie和执行代码，并提到了可能的攻击链和防御措施。

漏洞分析 Web安全 PDF.js JavaScript执行跨站请求伪造（XSS）远程代码执行（RCE）浏览器安全漏洞利用

0xc8 红蓝博弈中的进程隐藏方法

0xSecurity 2026-02-25T15:22:37 © hyyrent

本文详细介绍了多种Windows系统下的恶意软件隐藏和伪装技术。首先，文章讨论了使用SigThief工具对EXE文件进行签名伪装，以及使用BeCyIconGrabberPortable和Resource Hacker进行图标提取和替换，以欺骗杀毒软件。其次，文章介绍了如何利用Windows计划任务API创建定时任务来执行恶意程序，并通过修改注册信息和触发器设置来隐藏恶意行为。接着，文章提到了使用ChTimeStamp工具修改文件时间戳，以避免通过时间筛选被检测。此外，还介绍了使用attrib命令和Go_Processhider工具隐藏文件和进程，以绕过系统工具的检测。最后，文章讨论了使用Go_Processhider工具进行DLL注入和内存映射，以实现进程隐藏和恶意代码的持久化。这些技术展示了恶意软件作者如何利用系统API和工具来逃避检测和监控，对网络安全学习和研究具有重要参考价值。

恶意软件社会工程学反检测技术 Windows API 权限维持文件操作

0xc9 【0day】大蚂蚁 (BigAnt) 即时通讯系统 PublicController 任意文件读取漏洞

0day收割机 2026-02-25T14:36:36

本文介绍了杭州九麒科技大蚂蚁（BigAnt）即时通讯系统中的一个严重漏洞。该漏洞存在于PublicController的download接口，允许攻击者通过特殊参数绕过系统限制，读取系统上的任意文件内容。这一漏洞可能导致敏感信息泄露，如系统配置文件、用户密码等。该漏洞影响BigAnt 5.5.x及以上版本，包括最新版本6.0.1.20250407.1。文章详细描述了漏洞的复现过程，包括如何利用thinkphp的路由特性进行攻击，以及如何通过双重url编码绕过部分垃圾WAF。文章还提醒读者，对于因传播或利用此信息而产生的任何后果，使用者需自行承担责任。

即时通讯系统漏洞任意文件读取漏洞企业级应用安全 ThinkPHP框架漏洞敏感信息泄露安全研究

0xca 黑客滥用Claude发动ClickFix攻击向macOS用户分发信息窃取木马

嘶吼专业版 2026-02-25T14:01:03 胡金鱼

近期，网络安全研究人员发现黑客利用Claude共享内容和谷歌广告发起了一种名为ClickFix的攻击，针对搜索特定关键词的macOS用户分发信息窃取类恶意软件。攻击者通过在谷歌搜索结果中推广恶意Claude共享内容和假冒苹果官方支持的Medium文章，诱导用户在终端中执行恶意Shell命令。这些命令会下载并执行MacSync信息窃取木马的加载器，窃取设备上的敏感数据。研究人员指出，这种攻击表明大模型滥用已扩散至更多主流平台，提醒用户保持谨慎，不要在终端执行来源不明或无法完全理解的命令。

网络安全攻击恶意软件分发漏洞利用 macOS安全大语言模型滥用终端安全信息窃取 C2通信

0xcb Crazy勒索软件团伙滥用监控与远程工具实施网络入侵

嘶吼专业版 2026-02-25T14:01:03 胡金鱼

Crazy勒索软件团伙近期被发现在网络攻击中滥用员工监控软件Net Monitor for Employees Professional和远程支持工具SimpleHelp。攻击者通过这些工具在目标企业网络中建立持久化控制，并规避安全检测。他们使用合法的Windows安装程序安装监控软件，并通过PowerShell命令安装SimpleHelp以保持远程访问。攻击者还会尝试禁用Windows Defender，并监控与加密货币相关的活动，为可能的勒索软件部署做准备。安全研究人员发现，攻击者使用多种远程访问工具，以确保即使其中一种被发现或删除，仍能控制目标系统。这一团伙的攻击手法表明，合法远程管理和监控工具的滥用在网络安全威胁中日益普遍，企业需要加强对这些工具的监控和控制，并实施多因素认证以增强安全性。

勒索软件远程访问工具员工监控软件持久化控制安全漏洞利用企业网络安全威胁情报恶意软件分析

0xcc 【逆向分析】自动化逆向分析提示词

利刃信安 2026-02-25T14:00:00 © 利刃信安

本文档详细介绍了一个专为 IDA Pro 设计的 AI 助手提示词，通过 MCP（Model Context Protocol）与用户的 IDA 实例进行交互，实现自动化逆向分析。该提示词遵循专业性、主动性、上下文意识、安全性和清晰性五个核心原则，为逆向工程和恶意软件分析提供全面支持。AI 助手精通多种处理器架构、编程语言、文件格式和操作系统，具备强大的分析能力，包括静态分析、动态调试、脚本自动化、知识整合和可视化辅助。在交互过程中，AI 助手会主动预判分析需求，推荐操作路径，并充分利用 MCP 工具获取实时上下文信息，确保分析结果的精准性和针对性。同时，AI 助手严格遵循 MCP 工具交互规范，确保所有 IDA 数据库操作安全可控，禁止输出任何直接操作 IDA 数据库的代码。最后，AI 助手会自动生成详细的分析报告，包括分析目标与样本信息、分析过程与推理依据、发现的关键特征与结论、函数/结构定义与命名建议、后续分析方向与建议、相关截图或图表引用，确保分析过程可追溯、可复现、可审计。

逆向工程恶意软件分析自动化安全分析 IDA Pro MCP (Model Context Protocol) 安全原则恶意软件检测逆向分析技术固件分析

0xcd 持久化：驻留的艺术

securitainment 2026-02-25T13:37:32 DbgMan

本文是一份面向所有平台的权威红队持久化指南，详细介绍了超过50种持久化技术，涵盖了Windows、Linux、macOS和云平台。文章首先强调了持久化的重要性，将其视为区分红队与渗透测试的关键阶段，并介绍了成熟的持久化策略应具备的冗余性、隐蔽性和韧性三大要素。接着，文章详细阐述了MITRE ATT&CK TA0003持久化技术框架，并对Windows注册表持久化、计划任务、WMI事件订阅、DLL/COM劫持、UEFI Bootkits、Active Directory持久化、Linux持久化、macOS持久化以及云平台持久化等关键技术进行了深入分析，结合真实APT案例研究，展示了各种技术的实际应用和检测方式。最后，文章提出了持久化OPSEC行动安全实战指南，强调了分层策略、命名规范、错开部署时间、避免明显的时间戳以及将持久化与C2解耦等关键原则，以帮助红队在终端、Active Directory和云基础设施上构建冗余的、有韧性的、不可见的据点，实现长期隐蔽驻留。

网络安全持久化 APT Windows安全 Linux安全 macOS安全云安全 MITRE ATT&CK OPSEC

0xce 登录框漏洞checklist（三）

山水SRC 2026-02-25T13:17:32 © 游山玩水

本文详细介绍了网络安全渗透测试中针对登录框的漏洞检测方法。文章首先概述了Vue前端路由未授权访问的漏洞存在原因，即在前后端分离架构中，如果后端API接口缺乏有效身份验证和授权检查，攻击者可能通过直接访问前端路由对应的URL或调用后端API获取未授权数据。文章提供了使用wappalzer插件和AntiDebug_Breaker工具的测试方法，并说明了如何通过插件检测可能存在的漏洞。此外，文章还讨论了恶意账号锁定、注册覆盖/Session覆盖等安全问题，并给出了具体的测试步骤和案例。文章强调了在测试过程中需要结合bp（Burp Suite）等工具检查数据包中的敏感信息，并探讨了用户枚举漏洞与注册覆盖/Session覆盖之间的关系。

漏洞分析渗透测试前端安全身份验证后端安全账号枚举脚本攻击测试工具

0xcf OpenClaw 防攻击者指令破坏的安全加固方案探索

毕方安全实验室 2026-02-25T12:33:45 © be4c0n

本文详细分析了攻击者通过已控制的 OpenClaw 指令通道（如 WhatsApp、Discord 等）或入侵的 Web UI 对系统进行恶意破坏、修改或删除配置文件的潜在风险。文章首先梳理了攻击者可能利用的七条攻击路径，包括执行删除命令、覆盖配置文件、修改运行时配置、直接执行破坏性命令等。接着，提出了多层防御策略：通过 tools.deny 配置在代码级硬性移除高风险工具；利用 Docker 沙箱实现物理级隔离，限制命令执行环境和文件访问；对 write/edit 工具进行路径限制，防止非沙箱模式下任意文件写入；严格控制 Gateway API 权限，避免 Web UI 获得过高的系统管理权限；禁用危险的聊天命令如 bash、config 等；实施操作系统级文件权限加固，确保关键文件安全；建议 Docker 部署 OpenClaw 自身以增强隔离；最后通过 SOUL.md 提示词安全约束进一步降低 LLM 协作风险。文章强调了纵深防御和最小权限原则的重要性，并提供了详细的安全配置模板和验证方法。

网络安全纵深防御最小权限 OpenClaw 配置管理沙箱权限控制提示词安全 Docker 安全加固

0xd0 [脚本小子必备]综合工具dirsearch_bypass403

略懂安全的三秋 2026-02-25T12:08:53 © 略懂安全的三秋

本文介绍了dirsearch_bypass403工具，这是一款综合性的网络安全测试工具，具备目录扫描、JS文件中提取URL和子域、403状态绕过以及指纹识别等功能。该工具可以帮助安全测试人员在信息收集阶段进行目录枚举和指纹识别，尤其适用于绕过403状态目录，从而可能获取管理员权限。文章详细说明了工具的核心能力、环境要求、使用命令、功能场景以及结果保存方式。同时，还提供了使用示例和关键操作注意事项，包括目标合法性、环境问题、参数顺序和单独绕过工具的使用方法。

网络安全工具目录扫描 403状态绕过 JavaScript提取指纹识别 Python脚本渗透测试安全测试

0xd1 防范提示词注入，深入讲解Agent权限配置

Security for AI 2026-02-25T12:00:54 说出吾名吓汝一跳

本文深入探讨了网络安全领域中Agent权限配置的重要性，以及如何防范提示词注入风险。文章指出，尽管许多团队已经采取了输入清洗、输出拦截和注入检测等措施，但工具调用和数据访问上的问题仍然频发，其根本原因在于权限边界不清。文章强调，权限模型不是静态的，而是随着会话、工具和任务的变化而变化的决策系统。文章提出了四个关键问题，包括谁可以做、能做什么、在什么条件下做以及做完后如何追责，以帮助系统避免权限漂移和安全事故。文章还讨论了Agent风险从单轮文本攻击升级为跨轮、跨工具、跨状态的组合攻击，并分析了权限模型在传统应用和Agent系统中的不同。此外，文章探讨了RBAC（基于角色的访问控制）和ABAC（基于属性的访问控制）在Agent系统中的价值与盲区，以及如何通过策略即代码和指令优先级来增强权限模型的防御能力。最后，文章强调了会话级临时权限、工具级最小权限和高危动作引入人工确认的重要性，以更好地防范提示词注入和权限越界等安全威胁。

安全漏洞访问控制动态权限安全配置攻击模式安全架构 AI安全权限漂移令牌安全

0xd2 第51天-JavaEE身份验证实战：JWT与Spring Security完全学习笔记

AlphaNet 2026-02-25T11:40:51 © 萧瑶

本文深入探讨了JavaEE环境下的身份验证技术，主要介绍了JWT（JSON Web Token）和Spring Security两种主流技术。文章首先概述了身份验证的常见技术，包括JWT、Shiro、Spring Security、OAuth 2.0、SSO和JAAS，并着重分析了JWT和Spring Security的特点和应用场景。接着，文章详细讲解了JWT的技术原理、结构、快速入门以及安全问题，并通过Java示例展示了JWT的创建和解析过程。此外，文章还深入解析了Spring Security的核心概念、配置方法以及常见安全问题，并提供了Spring Security与Spring Boot集成的实战示例。最后，文章对比了JWT和Spring Security的优缺点，并提供了相关的安全最佳实践和参考资源。

身份验证无状态认证分布式系统安全 Web安全框架令牌认证安全编码实践 Java安全

0xd3 实战漏洞挖掘

迪哥讲事 2026-02-25T11:00:33 陌笙

本文详细描述了一次实战漏洞挖掘的过程。作者首先通过灯塔工具收集到一个统一身份认证登录页面，然后进行了一系列的测试。在测试中发现，由于没有图形验证码，作者尝试了密码喷洒攻击，意外地获取到了一些学生的学号和身份证号。随后，作者使用固定密码进行爆破，成功进入了后台。在后台中，作者通过抓包和数据分析，发现了多个敏感信息泄露的接口，以及存在越权的问题。此外，文章还介绍了几种测试SQL注入的方法，并推荐了TsojanScan插件进行辅助测试。最后，作者鼓励读者加入知识星球，以获取更多实战经验和技巧。

漏洞挖掘实战教程网络安全渗透测试信息收集漏洞分析数据库安全工具使用

0xd4 “违纪名单” 竟是银狐木马陷阱，攻击路径全解析

丁永博的成长日记 2026-02-25T10:44:26 © 丁永博

近期，永博安全团队发现了一款名为“2025年度xx各单位内制人员违纪名单”的恶意压缩包，其中隐藏了SilverFox（银狐）木马。该木马通过伪装成内部文件诱使用户下载，并利用AES加密和进程注入等技术手段隐藏自身，实现持久化运行。攻击路径包括释放核心组件、建立计划任务、信息搜集和反检测、以及与远程服务器建立连接。该木马可能被用于窃取用户信息、操控主机以及进行进一步的网络攻击。文章详细解析了木马的攻击过程、核心特征，并提出了相应的安全防护建议，强调了加强安全意识、强化终端防护和及时关闭终端的重要性。

恶意软件分析木马攻击网络安全防护攻击路径解析恶意样本识别网络安全威胁安全意识教育

0xd5 [伪造安装模块] - 拦截恶意安装检测，绕过强制安装第三方应用，保护设备应用列表隐私

黑白之道 2026-02-25T09:56:45

本文介绍了一款名为“伪造安装模块”的Android应用防护工具，该工具基于Android底层Hook技术，旨在保护设备应用列表隐私，拦截恶意安装检测，并绕过应用强制安装限制。该模块能够拦截应用的PackageManager、文件、命令行和网络等多维度安装检测，并返回自定义的伪造结果，以防止应用因检测特定包而限制功能、强制退出或强制推送下载。文章详细说明了该模块的核心作用、适用场景、核心功能、前置条件、安装教程以及注意事项。该工具支持双模式状态伪造、全场景检测拦截、检测退出拦截、自动权限伪造和配置持久化等功能，旨在为用户提供便捷的安全防护。

Android 安全应用防护 Hook 技术隐私保护绕过检测安全工具逆向工程 Root 权限

0xd6 网安每日干货分享《后缀名检测与绕过之大小写绕过》-0225

建哥聊安全 2026-02-25T09:06:59 © 建哥聊安全

本文详细介绍了网络安全中文件上传服务端的后缀名检测原理及其绕过方法。实验通过Apache + PHP环境，演示了如何通过大小写变化绕过后缀名检测。文章首先阐述了文件上传服务端检测的重要性，接着介绍了后缀名检测的常见绕过方法，包括黑名单和大小写绕过、名单列表绕过、Windows特性绕过等。通过实际操作步骤，展示了如何利用大小写绕过后缀名检测，并成功上传脚本文件。最后，文章总结了掌握后缀名检测原理和绕过方法对于网络安全的重要性。

网络安全文件上传漏洞后缀名检测大小写绕过实验教程漏洞利用 PHP安全

0xd7 漏洞复现 | 泛微e-office OfficeServer2.php 文件上传漏洞

实战安全研究 2026-02-25T09:00:42

本文详细描述了泛微e-office OfficeServer2.php文件上传漏洞，这是一个允许未经身份验证的攻击者上传恶意代码的漏洞。该漏洞可能导致攻击者植入后门，获取服务器权限，并控制整个Web服务器。文章中提到了受影响版本、漏洞复现过程、检测POC以及漏洞修复建议。同时，还介绍了如何使用FOFA工具进行漏洞搜索，并提供了漏洞复现的截图和详细步骤。此外，文章还提到了一个名为“1day/Nday漏洞实战圈”的服务，该服务提供漏洞POC和复现，适合渗透测试、攻防演练、安全运维、企业自查和SRC漏洞挖掘等场景。文章最后提醒读者仅限授权范围内的合法安全测试，严禁未授权攻击行为。

漏洞分析文件上传漏洞 Web应用安全漏洞复现安全修复安全研究安全工具安全社区

0xd8 OpenClaw 安全性探讨

安全行者老霍 2026-02-25T09:00:38 © BlackFog

ClawdBot和OpenClaw是两款开源的本地AI助手，它们引发了网络安全领域的关注。这些AI助手具备全系统访问权限，可以读取文件、执行shell命令、发送邮件、管理日历和操控浏览器，并将所有数据（包括API密钥、OAuth令牌、聊天记录和私人笔记）以明文形式存储在本地磁盘配置文件中。这种存储方式带来了严重的安全风险，因为攻击者可以通过恶意软件或暴露的控制面板轻松窃取这些数据。ClawdBot和OpenClaw的配置文件存储在可预测的目录中，且未加密，这使得它们成为信息窃取活动的理想目标。攻击者可以获取大型语言模型服务商的API密钥、所有集成服务的令牌，以及有效使用这些凭证的上下文信息。此外，OpenClaw的配置文件和加密密钥被窃取后，攻击者可以冒充受害者设备签名，访问加密日志或关联云服务。这些AI助手的存在使得企业面临数据泄露和账户接管的风险，因此企业应采取行动扫描终端设备、盘点已连接的凭证及服务、轮换API密钥和OAuth令牌、监控外发连接、阻止新安装的实例，并审查网络日志中连接特定端口的记录。

AI安全数据泄露凭证窃取恶意软件影子AI 本地AI风险配置管理未加密数据安全建议

0xd9 冰蝎魔改基础

web安全小白 2026-02-25T09:00:17 web安全小白

本文详细介绍了冰蝎特征数据包的基础启用方法和反编译过程。首先，文章强调了在使用冰蝎工具时，使用者需自行承担因传播、利用所提供信息而造成的任何后果及损失。接着，指导读者如何启用代理后门数据包，并通过在线或本地反编译工具对 Behinder.jar 文件进行反编译，以便查看和修改源码。文章还详细阐述了如何修改 JAR 文件的报文头特征，包括修改 Accept 和 Accept-Language 值，以适应不同的浏览器和请求场景。此外，文章还介绍了如何修改工具显示的版本信息，以及如何添加和修改加密算法。具体来说，文章展示了如何使用 Base64 编码、Rot13 加密、十六进制转换等技术来加密和解密数据。最后，文章提供了视频讲解链接，帮助读者更好地理解操作步骤。这些内容对于网络安全学习者来说，具有重要的参考价值，有助于深入理解冰蝎工具的工作原理和安全特性。

冰蝎网络安全反编译 Java 数据包分析恶意软件分析加密解密

0xda 【CobaltStrike】NeoCS 4.9 终极版（自破解+二开+BUG修复）

星夜AI安全 2026-02-25T08:56:22 © 星夜AI安全

本文详细介绍了NeoCS 4.9终极版，一个基于Cobalt Strike 4.9进行破解、二开和BUG修复的网络安全工具。该版本移除了原版的所有暗桩，并带来了大量实用体验优化，包括界面染色优化、进程和文件浏览的染色功能、IP归属地显示、目标页面note多行显示优化、进程浏览搜索功能、beacon右键信息查看等。此外，还增强了文件浏览器的多文件上传、上传文件时间戳自动修改、CrossC2适配等功能。在BUG修复方面，解决了截图保存为空、cna脚本函数调用为空、网络断开重连显示等问题，提升了软件的稳定性。文章还介绍了该工具的使用方式，包括基础启动流程、核心功能使用和高级配置说明，并详细阐述了其免杀效果，包括特征隐藏、进程伪装、通信优化、代码净化等亮点，以及在实际杀毒软件中的测试效果。最后，文章提供了获取该工具的方式，并介绍了作者在网络安全领域的专业背景和技术成果。

CobaltStrike 漏洞利用恶意软件分析安全工具免杀技术二进制分析渗透测试逆向工程网络攻防

0xdb 最新二开 fscan 发布：免杀突破火绒 360，流量伪装再升级

星夜AI安全 2026-02-25T08:56:22 © 星夜AI安全

本文详细介绍了一个网络安全扫描工具的优化和新增功能。该工具在端口扫描和服务识别方面进行了流量特征优化，通过随机sleep和探测包内容扰动来避免流量过于规律，并预留TCP参数伪装功能。在Web扫描方面，实现了Referer、Cookie、X-Forwarded-For等头的随机化，以及请求速率扰动和基础头部伪装。爆破与弱口令检测方面，通过扰动用户名/密码顺序、爆破速率扰动和连接行为模拟来降低被风控识别的概率。日志与结果输出方面，支持全局静默模式、进度条显示、慢速日志输出和彩色输出控制。新增了CEL表达式评估引擎，提供了丰富的字符串处理、编码解码、随机数生成和特殊功能函数。在Web扫描增强功能方面，支持超时控制、代理支持和Cookie管理。扫描模式与插件管理方面，支持全扫描模式、自定义模式和本地模式，并对插件进行了分类说明。输出与显示控制方面，支持文本、JSON和CSV格式输出，并提供了静默模式、无颜色输出、日志级别控制和进度显示等选项。增强CSV输出功能，新增了22个详细列的增强CSV文件，提供更全面和美观的扫描结果展示，并实现了设备类型自动分类、漏洞情况评估和易于分析等特性。最后，介绍了该工具的使用示例、优势特性和注意事项。

漏洞扫描渗透测试安全工具 Web安全内网渗透恶意代码分析应急响应安全意识

0xdc Zyxel 严重缺陷（CVSS 9.8）使路由器易受远程命令注入攻击

sec随谈 2026-02-25T08:50:35 sec随谈

Zyxel近日发布了一系列安全补丁，旨在修复其4G LTE/5G NR客户端设备、DSL/以太网路由器、光纤光网络终端和无线扩展器产品线中的多个安全漏洞。其中，CVE-2025-13942是一个严重的命令注入漏洞，CVSS评分高达9.8，可能允许远程攻击者完全控制受影响的设备。此外，还发现了两个身份验证后的命令注入漏洞（CVE-2025-13943和CVE-2026-1459），以及三个拒绝服务漏洞。Zyxel建议用户尽快安装最新补丁，并遵循最小权限原则，如禁用远程广域网访问和未使用的UPnP服务，以确保安全。

路由器安全漏洞远程命令注入攻击固件更新 CVSS评分身份验证漏洞拒绝服务攻击 UPnP安全网络设备安全最小权限原则

0xdd 0day 麒麟操作系统 KysecScene D-Bus 服务本地提权漏洞分析附poc

棉花糖fans 2026-02-25T08:46:33 © KoWayMin

本文分析了麒麟操作系统KysecScene D-Bus服务的本地提权漏洞。该漏洞允许任意本地用户通过服务暴露的LoadJson和SaveJson方法，读取高敏感文件如/etc/shadow，并以root身份向任意路径写入数据如/etc/passwd。通过D-Bus接口，普通用户可以绕过权限限制，实现本地提权。文章详细描述了漏洞的定位过程、成因分析、PoC验证过程，并评估了该漏洞可能带来的安全后果。建议收紧D-Bus调用策略和接口输入校验，以避免类似漏洞的出现。

操作系统漏洞 D-Bus 漏洞本地提权权限提升漏洞代码审计安全配置漏洞分析

0xde 扒一扒APT28最新攻击链：无头浏览器+合法Webhook，极简代码的“教科书级”免杀！

技术修道场 2026-02-25T07:59:17 © Hankzheng

本文深入分析了俄罗斯黑客组织APT28的最新攻击活动，代号为Operation MacroMaze。APT28利用了简单的工具和合法基础设施，如批处理、VBS和HTML，构建了一个隐蔽且高效的攻击链。攻击者通过钓鱼邮件中的“信标”机制来追踪受害者，并在确认目标后使用宏代码进行免杀攻击。攻击过程中，APT28采用了无头浏览器和键盘模拟技术来绕过安全软件的拦截。此外，攻击者还利用了系统自带的Edge浏览器和Webhook服务进行数据传输，使得攻击难以被检测。文章指出，这种攻击方式强调了系统底层行为监控和异常关联的重要性，对于网络安全防御提出了新的挑战。

APT攻击定向攻击恶意软件分析免杀技术无头浏览器 Webhook利用 Living off the Land（离地攻击）网络安全防御恶意文档分析系统安全策略

0xdf JSHunter助你挖掘JS中的漏洞\"宝矿\"

锐鉴安全 2026-02-25T07:02:06 © 锐鉴安全

本文介绍了使用JSHunter工具来挖掘JavaScript中的漏洞。文章以一个高校人脸采集系统的漏洞挖掘案例为背景，详细描述了如何通过信息收集和fuzz测试发现未授权注册漏洞。作者利用JSHunter工具分析了系统的入口文件，通过修改登录数据包中的关键字实现了注册账号的成功，从而揭示了系统的安全漏洞。文章还介绍了JSHunter工具的功能和工作原理，包括自动提取chunk映射、智能URL构造、敏感信息扫描、并发下载与重试以及结果输出等。此外，文章还提供了JSHunter工具的使用方法和配置示例，并提醒读者不要利用文中提供的技术进行非法测试。

Web安全漏洞挖掘自动化工具 JavaScript安全教育安全渗透测试

0xe0 BurpSuite插件 | Xia Sql二开 SQL注入扫描神器！

无影安全实验室 2026-02-24T21:35:43 s-smile

本文介绍了一款名为S-XIASQL的Burp Suite SQL注入检测插件。该插件旨在自动化检测Web应用中的SQL注入漏洞，通过智能分析HTTP请求响应，快速识别潜在的SQL注入点，从而提升渗透测试效率。插件具备自动SQL注入检测、SQL注入确认机制、自动URL解码测试、一键sqlmap集成、自定义Payload、自定义报错信息、智能过滤和可视化界面等功能。文章详细介绍了插件的核心功能、使用方法和下载方式，并强调了安全使用的重要性，提醒读者不要利用插件从事非法测试。

网络安全工具 SQL注入检测 Burp Suite插件渗透测试自动化测试漏洞扫描安全开发

0xe1 【SRC】使用Punycode编码同形异义词攻击利用实现零点击账号劫持

Z2O安全攻防 2026-02-24T21:03:39 © coffinxp

国际化域名（IDN）同形异义词攻击利用不同语言中外观相似的字符，如西里尔语的а和拉丁语的a，通过Punycode编码将这些字符转换为看似相同但技术层面不同的地址，从而欺骗系统引发安全漏洞。文章详细介绍了该攻击的原理和利用步骤，包括使用正常邮箱注册、在邮箱地址中植入Punycode编码字符重新注册、通过Burp Suite拦截并修改请求以替换为Punycode编码内容、触发密码重置流程，最终实现账号劫持。此外，文章还探讨了在邮箱用户名段植入Punycode编码的攻击方法，以及如何绕过二次验证。修复方案包括强化邮箱验证规则、统一邮箱地址标准化处理流程、屏蔽Punycode编码域名，以及在注册、登录、密码重置流程中应用统一的验证逻辑。该攻击手段隐蔽且破坏性强，被列为高危漏洞，掌握相关工具和安全思维有助于发现此类高危漏洞。

国际化域名 (IDN) 同形异义词攻击 Punycode 编码账号劫持邮件安全 Web安全输入验证漏洞 0点击攻击渗透测试漏洞利用安全防护

0xe2 【工业控制系统网络安全系列课程】第2课-工业控制系统的网络安全风险-过程控制漏洞利用过程

老付话安全 2026-02-24T20:35:21 © 老付话安全

本文深入探讨了工业控制系统（ICS）中的网络安全风险，特别是过程控制层的漏洞类型、利用方式及其对实际目标的影响。文章通过一个工控网络拓扑示例，详细描述了攻击者如何通过多个步骤渗透企业网络，最终控制HMI并影响过程控制系统。文章首先介绍了攻击者如何通过钓鱼邮件和恶意软件进入企业内部网络，然后穿越DMZ，横向移动到关键数据服务器，深入控制网络攻击PLC，最后直接控制HMI。文章还讨论了可能造成的后果，如设备损坏、生产中断、安全事故和数据窃取，并强调了加强工控系统网络安全的重要性。

工业控制系统安全 ICS网络安全漏洞利用网络安全风险网络攻防安全漏洞安全实践

0xe3 【安全圈】OpenClaw 被大规模利用，上千实例沦陷

安全圈 2026-02-24T19:02:07

2026年初，开源AI框架OpenClaw因其在技术社区的迅速走红，却在大规模部署后不久遭到黑客组织的系统性攻击。超过30,000个OpenClaw实例被攻陷，用于窃取API Key、劫持消息流量，并分发恶意软件。OpenClaw因其具备系统级访问权限、持久化记忆和可调用外部服务API等特性，成为攻击者的目标。攻击者利用远程代码执行漏洞（CVE-2026-25253）实现任意命令执行，并通过多种手段建立持久后门和横向移动。此外，攻击者还通过伪装成加密工具的脚本进行供应链攻击，并在技能市场上投毒。这一事件标志着AI Agent生态首次遭遇大规模武器化攻击，暴露了AI框架在安全设计上的缺陷，并提醒企业采取加固措施以保护自主AI框架的安全。

AI安全开源框架安全远程代码执行供应链攻击恶意软件分发 API密钥泄露自动化攻击网络安全事件

0xe4 CTF刷题：混合型XSS详解

小话安全 2026-02-24T18:02:03 © 小话安全

网站打开为登录框测试是否有注入点，未发现注入点。账号口令爆破，未爆破成功。

XSS Web安全渗透测试数据泄露攻击工具防御绕过 Cookie利用表单劫持代码审计

0xe5 [技术深潜] APT28 用这个 Office 零日打穿欧洲军政目标

极客零零七 2026-02-24T18:01:57 © 丘驰

本文深入分析了俄罗斯APT组织APT28如何利用Microsoft Office的一个零日漏洞（CVE-2026-21509）对欧洲多个军事和政府机构进行定向攻击。APT28，也称为Fancy Bear，是一个活跃超过15年的黑客组织，其攻击特点包括高度定向、利用0day和N-day漏洞，以及通过鱼叉式钓鱼邮件作为攻击入口。CVE-2026-21509是一个COM/OLE安全控制绕过漏洞，允许攻击者在用户无任何安全警告的情况下执行恶意代码。文章详细描述了APT28的攻击链，包括侦察、鱼叉邮件投递、漏洞触发、初始载荷执行和后渗透等步骤。此外，文章还讨论了政府和军方组织在防御此类攻击时面临的挑战，包括补丁部署缓慢、OLE功能的重要性以及APT28钓鱼邮件的精准性。最后，文章提出了针对CVE-2026-21509的防御措施和检测已入侵系统的异常行为。

APT攻击零日漏洞 Office安全漏洞定向钓鱼攻击政府机构安全网络安全防御恶意软件分析漏洞利用威胁情报

0xe6 【漏洞预警】JeecgBoot uploadImgByHttp接口存在SSRF漏洞(CVE-2026-2945)

信通云服 2026-02-24T17:35:46

JeecgBoot 3.9.0版本中存在一个服务器端请求伪造漏洞，该漏洞位于/sys/common/uploadImgByHttp文件的一个未知功能中。攻击者可以通过执行参数fileUrl来远程发起攻击，导致服务器端请求伪造。攻击者可以利用易受攻击的服务器作为代理，绕过网络边界防火墙，进行内部侦察，并扫描内部网络中的活跃服务。此外，攻击者还可以直接读取内部Web应用的数据，造成信息泄露。该漏洞的复现步骤包括下载并解压JeecgBoot 3.9.0版本，修改配置文件，编译并启动服务，以及使用Python开启一个简单的HTTP服务来模拟内网环境。修复建议是将JeecgBoot升级至最新版本3.9.0以上。该漏洞的相关信息可以在多个安全数据库中找到，包括NVD、FIRST、VulDB等。

服务器端请求伪造 (SSRF) 漏洞利用 (Exploitation) 信息泄露 (Information Disclosure) 内部侦察 (Internal Reconnaissance) 防火墙绕过 (Firewall Bypass) 低代码平台 (Low-Code Platform) Web 应用安全 (Web Application Security)

0xe7 【人工智能】自动化逆向分析提示词

利刃信安 2026-02-24T17:08:09 © 利刃信安

本文介绍了专为IDA Pro设计的AI助手——自动化逆向分析提示词。该助手具备广泛的处理器架构和编程语言知识，能够分析多种可执行文件格式和脚本格式。它通过MCP与IDA实例交互，提供专业、主动、上下文意识强的逆向分析服务。助手在安全性方面遵循严格规范，确保所有操作安全可控。此外，它还强调清晰性，通过透明化的推理过程和详细的文档输出，确保分析过程可追溯、可复现、可审计。文章详细阐述了助手的五大核心分析能力领域，包括静态分析、动态调试、脚本自动化、知识整合和可视化辅助，以及交互流程和文档输出规范。

网络安全逆向工程 IDA Pro 自动化分析恶意软件分析编程语言操作系统虚拟化软件分析工具

0xe8 Java反序列化(0)：URLDNS的反序列化调试分析

蚁景网安 2026-02-24T16:30:25 icfh

本文详细介绍了Java反序列化分析的基础知识，特别是URLDNS攻击链的分析过程。文章首先回顾了Java原生序列化和反序列化的基本原理，通过代码示例展示了如何使用ObjectOutputStream和ObjectInputStream进行对象的序列化和反序列化。接着，文章介绍了ysoserial环境搭建，这是一个用于分析Java安全payload的集成化工具。重点分析了URLDNS攻击链，指出其影响版本问题与JDK版本无关，攻击链实现依赖于Java内置类。URLDNS攻击链的调试分析包括Gadget Chain的追踪，从Deserializer.deserialize()到HashMap.readObject()，再到HashMap.putVal()，最终通过URL的hashCode()方法调用getHostAddress()进行域名解析。文章还详细描述了URLDNS程序入口的运行结构，包括序列化过程和反序列化链的触发机制。最后，文章给出了URLDNS链的使用示例，展示了如何通过反射机制设置不发起DNS解析，并触发反序列化过程。整个分析过程详细阐述了URLDNS攻击链的工作原理和实现细节，为Java反序列化安全研究提供了有价值的参考。

0xe9 CVE-2026-20817 - Windows错误报告(WER) ALPC权限提升漏洞深度分析

赛博知识驿站 2026-02-24T16:02:58 oxfemale

CVE-2026-20817是一个影响Windows错误报告(WER)服务的本地权限提升漏洞。该漏洞允许低权限用户通过向WER服务发送特制的ALPC消息，以SYSTEM权限执行任意代码。漏洞的核心原因在于处理触发特权进程创建请求时缺少授权检查。攻击者可以通过创建共享内存并写入恶意命令行，然后发送特定的ALPC消息到WER服务，从而利用此漏洞。微软在2026年1月的安全更新中修复了此漏洞。本文详细分析了漏洞的技术原理、调用链、漏洞利用流程，并提供了补丁分析和防御建议。受影响的操作系统包括Windows 10、Windows 11、Windows Server 2019和Windows Server 2022（2026年1月前的版本）。

Windows漏洞本地权限提升 ALPC漏洞安全设计缺陷系统提权漏洞分析安全响应系统安全

0xea 现代红蓝对抗中红队针对大型目标的渗透战术分析

白帽子社区团队 2026-02-24T15:58:11 © 无问社区

本文详细探讨了网络安全领域中基于人工智能（AI）的多种攻击和防御技术。文章首先介绍了基于AI的情报链构建技术，通过自然语言理解和语义级指纹识别，从非结构化文本中提取深层信息，实现高隐蔽性的情报聚合。其次，文章阐述了零信任环境下的被动侦察与行为建模技术，利用合法第三方服务和行为模式模仿，规避SIEM/SOAR系统的基线告警。接着，文章分析了AI赋能的钓鱼攻击技术，通过口吻建模、视觉一致性和时间敏感性，实现高度拟真的信息投递。此外，文章还介绍了基于边缘计算的分布式投递机制，以及基于可信身份的隐身渗透技术和基于供应链污染的持久化植入技术。最后，文章总结了从“显性破坏”到“隐形控制”的范式跃迁，并提出了未来红队核心竞争力在于“长期潜伏而不被察觉”，建议防御体系重构方向，包括构建“信任链可视图”、实施“最小权限+动态授权”原则，以及引入AI驱动的异常检测引擎。

红蓝对抗漏洞分析漏洞挖掘应急响应社会工程学无文件攻击持久化植入 AI安全零信任横向移动

0xeb 新型变种木马 XWorm 7.2 攻击链深度拆解：Excel漏洞 + 图片隐写 + 进程镂空

网络安全研究站 2026-02-24T15:46:38 © ZKAFKA

Fortinet的FortiGuard Labs最新调查披露了一起复杂的钓鱼攻击活动，攻击者通过伪装成商务主题的钓鱼邮件传播最新变种的XWorm 7.2远程访问木马（RAT）。该攻击链利用了经典的Excel公式编辑器漏洞（CVE-2018-0802），并结合了图片隐写术、进程镂空等技术，实现对Windows系统的完全控制。攻击路径包括钓鱼邮件投递、Excel漏洞利用、HTA文件执行、图片隐写术提取.NET模块、下载最终载荷以及进程镂空实现隐身执行。XWorm 7.2具有加密通信、丰富的控制命令和插件架构等特点，支持多种远程控制命令和功能扩展。该攻击之所以能绕过传统防御，主要得益于隐写术绕过文件扫描、全程无文件执行、利用可信进程Msbuild.exe以及利用老旧漏洞CVE-2018-0802。企业应修补已知漏洞，强化Office宏策略，监控异常进程行为，实施内容消除与重构，并加强员工安全意识教育。文章还提供了相关的入侵指标（IOC）和样本SHA-256哈希值，以帮助识别该攻击活动的痕迹。

钓鱼攻击漏洞利用无文件攻击图片隐写术进程镂空远程访问木马 (RAT) 恶意软件恶意载荷 C2 通信插件架构社会工程学 Office 漏洞

0xec 新型恶意软件ZeroDayRAT可完全远程控制安卓与iOS设备

嘶吼专业版 2026-02-24T14:03:46 胡金鱼

一款名为ZeroDayRAT的新型恶意软件平台在Telegram上被推广，声称能够远程控制受感染的安卓和iOS设备。该软件提供功能齐全的管理面板，支持多个安卓和iOS版本。它能够窃取数据、实施实时监控、进行金融盗窃，包括实时追踪位置、记录应用使用情况、截取短信和OTP、开启摄像头和麦克风、录制屏幕、记录键盘输入以及窃取加密货币和银行信息。ZeroDayRAT被视为一套完整的移动设备入侵工具集，其传播方式尚不明确，但可能导致企业级数据泄露和个人隐私泄露，以及直接经济损失。安全建议包括从官方应用商店安装应用，并在iOS和安卓设备上启用高级保护功能。

恶意软件移动安全远程控制数据窃取实时监控金融盗窃键盘记录双因素认证绕过企业安全个人隐私

0xed 登录框漏洞checklist（二）

山水SRC 2026-02-24T13:44:26 © 游山玩水

本文详细介绍了在渗透测试中对登录框进行安全测试的checklist（检查表单）。文章首先阐述了本地IP限制或白名单限制的测试案例，包括通过修改HTTP头绕过IP检查逻辑的方法。接着，文章介绍了如何通过修改返回包和请求包来测试登录框的安全性，例如修改返回包进行测试流程，以及通过修改请求包中的参数来绕过账号审核等步骤。此外，文章还讨论了如何通过猜测注册框路径来测试注册功能的存在，并提供了相应的测试建议。整体上，本文为网络安全学习者提供了关于登录框安全测试的实用技巧和策略。

网络安全渗透测试登录框安全漏洞 HTTP头篡改测试用例绕过安全机制 IP地址欺骗分步流程测试安全测试工具后端接口测试

0xee 【人工智能】自动化逆向分析实例：Xray 漏洞扫描器授权认证机制逆向分析

利刃信安 2026-02-24T13:18:32 利刃信安

【人工智能】自动化逆向分析实例：Xray 漏洞扫描器授权认证机制逆向分析

授权认证机制逆向分析漏洞利用安全设计安全防护

0xef Nuclei 漏洞扫描图形化工具 | POC 管理、FOFA/Hunter/Shodan 资产测绘、AI 辅助分析、漏洞报告生成

星夜AI安全 2026-02-24T13:10:20 星夜AI安全

本文介绍了一款名为Nuclei GUI Scanner的网络安全漏洞扫描图形化工具。该工具基于PyQt5开发，提供友好的可视化界面，并集成了POC管理、资产搜索、AI辅助分析等功能。文章详细介绍了工具的仪表盘、漏洞扫描、任务队列管理、POC管理、资产搜索、AI助手、漏洞报告生成等主要功能。同时，文章还提到了工具的配置说明、快捷键设置以及如何获取项目下载地址和加入交流群。此外，文章强调了使用该工具时需遵守的法规和道德规范，以及在使用过程中可能产生的风险和责任归属。

漏洞扫描工具图形化界面 POC管理资产测绘 AI辅助分析漏洞报告生成网络安全意识法律法规遵守

0xf0 自动化 DAST 测试：Burp Suite + AI 智能体实战指南

骨哥说事 2026-02-24T11:53:06 © 骨哥说事

本文介绍了一种使用BurpSuite Professional、MCP（模型上下文协议）和AI智能体（如Cursor/Claude）进行自动化安全测试的方法。文章首先强调了网络安全研究者和渗透测试人员面临的重复性工作，如筛选HTTP请求、分析API和手动生成测试用例。为了解决这些问题，作者提出了一种集成BurpSuite Professional、MCP和AI智能体的解决方案，该方案能够自动获取HTTP历史记录、理解上下文、执行安全测试、识别漏洞，并将可疑端点发送到Repeater进行进一步验证，同时避免对生产环境造成破坏。文章详细介绍了MCP的概念及其在BurpSuite中的作用，并提供了设置BurpSuite MCP Server扩展、连接Cursor/Claude智能体的步骤。此外，文章还分享了一个实际的工作流程，包括捕获HTTP请求、让AI智能体分析请求、在Repeater中验证误报以及执行自动化DAST（安全模式）测试。该方法的优势在于提高了测试效率，减少了重复性工作，同时保持了测试的准确性和安全性。

Burp Suite MCP (Model Context Protocol) AI 智能体自动化安全测试渗透测试 API 安全漏洞识别 OWASP Repeater 安全研究

0xf1 Echo_Driver任意读驱动

Relay学安全 2026-02-24T11:50:24 © kernel

本文详细分析了一个名为Echo_Driver.sys的驱动程序中的任意读漏洞。该驱动程序可以通过特定的IOCTL控制码与用户空间进行交互。首先，文章介绍了如何使用IDA PRO加载并分析驱动程序，找到关键的MmCopyVirtualMemory函数，该函数用于在两个进程的虚拟地址空间之间直接复制内存数据。接着，文章分析了sub_140001B80函数，该函数调用了MmCopyVirtualMemory，并确定了其调用路径。文章进一步解释了如何通过设备链接\\DosDevices\EchoDrv与驱动设备句柄进行交互，并发现了IRP_MJ_DEVICE_CONTROL类型所对应的派遣函数sub_140001830。在sub_140001830函数中，文章找到了多个IOCTL控制码的处理分支，包括0x60A26124、0x9E6A0594和0xE6224248。其中，0x60A26124分支存在任意读漏洞，需要先通过0x9E6A0594和0xE6224248分支来填充驱动层的PID全局变量和获取目标进程的句柄。最后，文章提供了一个完整的POC代码示例，演示了如何利用该漏洞读取指定进程的内存内容。

驱动程序分析内核漏洞任意读漏洞设备驱动 Exploit开发 Windows内核

0xf2 【已复现】东方通 TongWeb 的 EJB 服务接口存在反序列化远程代码执行漏洞

momo安全 2026-02-24T11:49:55 蟑螂恶霸

本文介绍了东方通TongWeb EJB服务接口存在的一个反序列化远程代码执行漏洞。该漏洞允许攻击者通过向/ejbserver/ejb接口发送特定的序列化数据来触发命令执行，从而可能获取目标系统的权限。受影响的版本需要参考厂商官方公告。文章提供了Fofa语法、nuclei批量复现方法和POC下载链接。建议用户关注官方安全通告，升级到最新版本，并对/ejbserver/ejb接口进行访问控制，同时启用WAF/IPS来拦截异常流量，并检查服务器日志以排查异常请求。

远程代码执行反序列化漏洞东方通TongWeb EJB服务接口 Web应用安全安全漏洞修复

0xf3 一键账户接管：通过 Deep Link 自动附加 Token 实现攻击

安全狗的自我修养 2026-02-24T11:10:30 haidragon

本文分析了通过Deep Link技术在Android应用中实现的一键账户接管攻击。该攻击利用了Android应用在通过Deep Link打开URL时静默附加认证令牌的机制。文章详细解释了Android Deep Link的工作原理，包括URI Scheme Deep Links、App Links和Intent URIs。指出漏洞点在于应用在处理page=webview时，没有对objectType进行URL校验，导致攻击者可以加载任意URL，并将用户的认证Token作为查询参数发送到攻击者服务器。文章描述了攻击流程，包括搭建攻击服务器、构造恶意Deep Link、诱导受害者点击和攻击执行。分析了Token泄露的危险性，并指出了漏洞的三个设计失败：Deep Link无URL校验、无条件附加Token和使用Query参数传输Token。提出了四个安全修复方案，并建议采用分层防御策略来防止此类攻击。

Android安全 Deep Link漏洞 Token泄露 WebView安全网络安全防御漏洞分析与利用

0xf4 后渗透工具免杀

词不达意安全团队 2026-02-24T10:25:47 © 词不达意

本文详细介绍了后渗透场景下工具免杀的技术和思路。作者首先声明了本文的技术和工具仅用于安全测试和防御研究，并强调了遵守网络安全法的重要性。文章中提到了从暗涌免杀平台下载白文件patch分离马子，并通过下载calc.bin文件来展示如何分离马子。作者强调了在使用这些工具时，需要将白文件设置为控制台模式，并使用donut、pe_to_shellcode等工具将fscan转为bin格式文件。接着，使用encryptor.exe对bin文件进行加密生成config文件。文章还展示了如何将patch过的白文件和config文件放置在同一目录下，以正常运行fscan并规避病毒检测。此外，作者还提供了virustotal和360全家桶的检测结果，表明工具在静态检测中效果良好。最后，文章提到了纷传平台的介绍，以及如何加入圈子获取更多相关资源和工具。

后渗透技术免杀工具安全测试白文件技术静态分析动态分析恶意软件分析网络安全法

0xf5 从SMB 枚举到 Kerberoasting 的域渗透学习之旅

柠檬赏金猎人 2026-02-24T10:00:27

本文详细介绍了在Active Directory环境中进行域渗透测试的过程，涵盖了SMB共享枚举、组策略首选项（GPP）密码解密、Kerberoasting攻击以及使用PsExec获取系统权限等技术。文章以一个具体的渗透测试案例为例，逐步展示了如何通过信息收集、枚举共享、解密密码、获取初始立足点、执行Kerberoasting攻击、破解Kerberos票据、获取管理员权限和系统Shell等步骤来实现域渗透。同时，文章还强调了使用最新工具版本、注意哈希格式、密码策略以及防御措施的重要性，并提醒合法授权的使用环境。

Active Directory 渗透测试域渗透 SMB 枚举 Kerberoasting 密码破解横向移动权限提升信息收集安全工具安全意识

0xf6 验证码陷阱：虚假的“ClickFix”提示如何释放了黑寡妇蜘蛛超级恶意软件

暗镜 2026-02-24T10:00:00 © ZM

近期，一起名为“ClickFix”的虚假验证码攻击活动成功入侵了一家大型企业网络。此次攻击并非利用复杂的零日漏洞，而是通过欺骗性的网页提示诱使用户执行恶意代码。攻击者通过Win+R快捷键执行命令，绕过了初始边界防御。恶意软件Latrodectus随后被部署，并利用DLL侧加载技术加载恶意文件。该恶意软件具有强大的反分析机制，研究人员通过内存转储技术破解了其规避手段。进一步分析发现，攻击者还部署了属于Supper恶意软件家族的DLL文件，并通过自定义加密算法与C2服务器通信。此次攻击凸显了用户欺骗手段在网络安全中的潜在风险，报告建议对员工进行培训以增强安全意识。

验证码攻击恶意软件分析 DLL侧加载内存操纵 C2通信协议破解用户欺骗企业网络安全员工培训

0xf7 某企业src的弱口令案例

黑白之道 2026-02-24T09:18:52

本文讲述了某企业SRC的低危到中危安全漏洞案例。通过分析企业培训平台的登录过程，发现存在明文传输、SQL注入防护不足等问题。作者通过编写脚本提取验证码并进行用户枚举，成功获取多个账号。进一步分析后，发现账号密码可能存在一致性，通过尝试登录，成功进入系统。在测试过程中，作者发现课程查询接口返回文件绝对路径，存在未授权访问风险。通过参数fuzzing，成功提取多个文件，最终拿到中危级别的漏洞。文章强调了安全研究应以学习交流为目的，并提醒读者不得将技术用于非法用途。

弱口令攻击 SQL注入验证码绕过业务逻辑漏洞渗透测试 Web安全漏洞挖掘

0xf8 渗透测试中常用提权漏洞详解！

黑白之道 2026-02-24T09:18:52

本文详细介绍了渗透测试中提权的全流程及其在Windows和Linux系统中的常用漏洞类型。提权是连接获取低权限 foothold 和掌控目标系统的关键环节，通常通过Web漏洞、弱口令等方式获取的权限不足以访问核心资源。文章首先阐述了提权的本质，即利用系统配置缺陷、软件漏洞或权限管理疏忽来绕过权限校验机制。接着，分别针对Windows和Linux系统，详细解析了常见的提权漏洞及其利用思路和防御建议。Windows系统中的提权漏洞主要分为服务权限配置错误、注册表键值劫持、内核提权漏洞（如CVE-2021-1732和CVE-2025-24076）以及DLL劫持提权。Linux系统中的提权漏洞则包括SUID/SGID权限滥用、sudo配置错误、内核漏洞（如CVE-2022-0847）、计划任务（Cron）漏洞以及/etc/passwd文件可写和Docker提权等。文章最后总结了提权漏洞的核心防范思路，强调及时更新系统和软件、规范权限配置、强化安全审计、禁用不必要的功能和服务以及提升管理员安全意识的重要性。

提权漏洞渗透测试 Windows安全 Linux安全漏洞原理漏洞利用安全防御内核漏洞配置错误

0xf9 一款轻量级Windows 应急响应辅助工具 -- WG-Win-Check

Web安全工具库 2026-02-24T09:12:56 SECWG

WG-Win-Check是一款基于原生Win32 API实现的轻量级Windows应急响应辅助工具，其64位版本大小仅为600余Kb。该工具旨在以轻量便捷的特性，通过多维度的系统常规排查，帮助安全人员快速识别安全风险。主要功能包括用户排查，可枚举系统所有用户账户（包括隐藏用户）的基础信息，识别克隆账户和异常权限；进程排查，监控列举系统所有进程，支持按类型、签名、关键字过滤，并提供进程树、DLL模块、执行文件hash、在线验证、签名校验以及进程结束操作；网络连接排查，监控所有TCP/UDP连接，支持按协议、状态、外联、关键字过滤，并提供一键提取所有外联IP；启动项排查，扫描系统常见启动项，包括注册表启动项、启动文件夹、Winlogon劫持、IFEO等；服务排查，枚举所有系统服务，支持按类型、签名、启动类型、服务状态过滤，包含签名校验及其他基础风险高亮规则，同时可快捷管理服务；计划任务排查，列举所有计划任务，支持类型、运行状态、关键字快速过滤，并提供基础计划任务暂停、运行、删除等快捷操作；文件排查，扫描常见的恶意文件落地目录，支持自定义扫描路径；事件日志排查，提供常见事件类型排查，以及快速关联打开操作；威胁检索，基于IOC进程内存特征的威胁检索，便于快速定位可疑进程；活动痕迹聚合，解析UserAssist、Prefetch、最近访问、登录等多种活动来源，梳理程序执行、最近访问等活动时间线。使用该工具时，用户需注意免责声明，不可利用文章内的相关技术从事非法测试，并应在虚拟机中运行。

应急响应恶意软件分析系统安全检测 Windows安全安全运维数字取证

0xfa 俄黑客组织 APT28 利用基于 Webhook 的宏恶意软件攻击欧洲实体

军哥网络安全读报 2026-02-24T09:02:53 会杀毒的单反狗

西班牙网络安全公司S2 Grupo的LAB52团队揭露了俄罗斯APT28黑客组织针对西欧和中欧特定实体的新攻击活动，代号为“MacroMaze行动”。攻击始于鱼叉式网络钓鱼邮件，包含指向托管JPG图片的webhook URL的诱饵文档。当文档被打开时，会触发HTTP请求，记录元数据以确认文档已被打开。攻击者使用宏恶意软件，通过VBScript执行命令，建立持久化，并在Microsoft Edge无头模式下渲染HTML有效载荷。攻击利用了简单的工具和合法服务，以最大程度地减少检测痕迹。此次攻击表明了攻击者使用基础工具和合法基础设施的技巧，以及将操作转移到隐藏的浏览器会话中的策略。

APT攻击网络钓鱼宏恶意软件 Webhook利用跨平台攻击数据泄露恶意软件分析欧洲安全事件

0xfb 【红队必备】红队批量打点/Getshell利器(集成百个框架高危漏洞)

0xSecDebug 2026-02-24T08:59:45 © 0xSecDebug

WebFrameworkTools是一款面向红队的批量Web框架漏洞利用工具，集成了超过百个高危EXP，支持一键获取shell和自定义DLL插件扩展。该工具的核心优势在于其实战化一键getshell设计，每个集成漏洞都经过实战验证，优先采用RCE、反序列化、上传等方式直接获取权限，大幅压缩了从发现漏洞到获取权限的时间窗口。此外，工具支持通过Visual Studio编写C# DLL插件，内置一键生成器降低开发门槛，可以快速将Python EXP转化为C# DLL模块，具备持续进化能力。精准的模块控制策略提供-include和-exclude参数实现精细化扫描，避免全量检测触发WAF导致IP被封，并支持代理模式抓取真实EXP数据包。针对无回显漏洞，工具集成了DNSLog验证功能，解决内网不出网场景下的漏洞确认难题。技术方面，工具采用.NET Framework和C#混合C++开发，单文件部署，无需Python/Java环境依赖，支持多线程引擎和DLL插件架构，以及代理与编码支持、DNSLog集成等特性。使用时需要安装.NET Framework 4.5.1+及VC++运行库，下载release版本，创建包含目标URL的url.txt文件，然后通过指定框架、模块、线程数等参数执行扫描，并将getshell结果写入shell.txt。扩展开发方面，可以使用内置DLL生成器创建C#插件，或编写自定义DLL放入目录，通过-dllname参数加载新EXP进行批量利用。

红队工具 Web漏洞利用 Getshell 批量扫描插件扩展漏洞库自动化渗透安全测试红队演练

0xfc APT28 利用基于 Webhook 的宏恶意软件攻击欧洲实体

安全圈的那点事儿 2026-02-24T08:47:44 © 网络安全9527

APT28，一个与俄罗斯有关联的国家支持的威胁行为体，近期发起了一项针对西欧和中欧特定实体的新攻击活动，代号为“MacroMaze行动”。该攻击利用基于Webhook的宏恶意软件，通过鱼叉式网络钓鱼邮件分发带有诱饵文档，文档中的XML字段指向托管JPG图片的Webhook URL。当用户打开文档时，会触发HTTP请求，攻击者通过记录元数据来确认文档已被打开。攻击链进一步利用宏执行VBScript，通过计划任务建立持久化，并在Microsoft Edge的无头模式下渲染HTML有效载荷。攻击者通过Webhook服务收集命令输出，实现数据泄露，展示了攻击者利用基础工具实现隐蔽攻击的能力。

APT攻击鱼叉式网络钓鱼宏恶意软件 Webhook攻击 Visual Basic脚本数据泄露无头浏览器键盘模拟持久化攻击欧洲网络安全

0xfd 红队实战利器：RapidDNS CLI + Nuclei/Httpx 打造自动化漏洞挖掘流水线

RapidDNS 2026-02-24T08:46:07 © 男人老白

本文详细介绍了基于RapiDNS API的实用工具——RapidDNS CLI，该工具专为红队实战场景设计，支持管道流、数据清洗和自动化导出，可无缝对接httpx和nuclei等工具，实现从资产收集到漏洞扫描的流程自动化。使用该工具需要RapidDNS的PRO或MAX账号以获取API Key。文章提供了两种安装方式：直接下载压缩包或使用Go环境进行安装。核心配置步骤包括获取API Key并配置到工具中。实战技巧部分展示了如何使用一行命令结合httpx进行HTTP存活探测，如何通过nuclei实现自动化子域名接管，以及如何利用高级语法进行精准打击。此外，工具还支持自动化资产清洗与IP统计，并能处理海量数据。最后，文章还介绍了如何通过Export模式进行自动化导出，并提供了付费指南和全量数据售卖信息。

子域名发现 RapidDNS 工具使用红队工具自动化管道流数据清洗漏洞扫描高级查询 API 使用资产统计

0xfe 基于Context上下文驱动的Android 恶意软件检测实现

暴暴的皮卡丘 2026-02-24T08:30:42 © 比心皮卡丘

传统 Android 恶意软件检测方法在面对不断演化的攻击手段、数据集偏差以及缺乏可解释性等问题时，逐渐显得力不从心。近年来，大型语言模型（LLMs）凭借其出色的零样本推理能力和强大的语义理解能力，为恶意软件检测领域带来了新的希望。然而，将 LLMs 直接应用于 Android 恶意软件检测时，却面临着两大核心挑战：一是 Android 应用中海量的支持代码远超 LLMs 的上下文窗口限制，使得恶意行为在良性功能中难以被识别；二是 Android 应用复杂的程序结构和组件间依赖关系，超出了 LLMs 基于序列的推理能力，导致代码分析碎片化，无法准确推断恶意意图。为解决这些难题，提出了一种创新的上下文驱动框架，通过关键上下文提取和分层代码推理机制，充分释放 LLMs 在 Android 恶意软件检测中的潜力，实现高效、可解释的恶意软件检测。该框架首先通过可疑 API 收集和反向程序切片算法，从海量代码中筛选出与恶意行为相关的关键代码片段；然后构建结构化的控制流图（CFG）和函数调用图（FCG），保留代码的结构依赖关系；最后采用三层推理机制，从函数级、API 级、APK 级逐步递进分析，生成检测结果和解释报告；引入事实一致性验证机制，减少 LLM 幻觉带来的错误。实验结果表明，该框架能够有效解决 LLMs 应用于 Android 恶意软件检测时面临的挑战，实现高效、可解释的恶意软件检测。

恶意软件检测大型语言模型 (LLMs) Android安全上下文信息利用可解释性静态分析程序切片分层推理

0xff Linux黑客入侵痕迹排查工具

菜鸟学信安 2026-02-24T08:30:13 HuyaThomas

本文介绍了一个名为Linux_checklist.sh的脚本，该脚本用于快速检查Linux系统的常见安全问题和运行状况。脚本主要检查内容包括：网络嗅探、无文件攻击、命令替换、SSH免密登录公钥、定时任务中的恶意命令、系统资源占用、网络连接、进程分析、账号与权限、持久化与启动项、文件完整性、日志与痕迹等方面。脚本通过多种检查手段，帮助用户发现潜在的安全威胁，并提供了一种有效的系统安全维护工具。

Linux 安全审计入侵检测系统安全工具 Rootkit 检测恶意软件检测权限管理日志分析脚本安全

0x100 GrayCharlie 入侵 WordPress 网站，传播 NetSupport RAT 和 Stealc 恶意软件

安全圈的那点事儿 2026-02-24T08:02:31 © 网络安全9527

GrayCharlie 恶意组织利用 WordPress 网站传播 NetSupport RAT 和 Stealc 恶意软件。攻击者通过注入恶意 JavaScript 代码，利用虚假浏览器更新和 ClickFix 社会工程策略诱导用户下载恶意软件。Insikt Group 发现 GrayCharlie 是一个以经济利益为目标的威胁行为者，自 2023 年年中以来活跃，专门将合法 WordPress 网站转变为恶意软件传播点。攻击者使用外部托管链接注入受感染页面，重定向用户至虚假浏览器更新页面或执行 ClickFix 命令。一旦 NetSupport RAT 安装成功，攻击者可远程访问系统，进行文件操作和信息窃取。GrayCharlie 运营庞大的基础设施，包括专用的 C2 服务器和恶意 JavaScript 模板服务器。攻击者主要使用虚假浏览器更新和 ClickFix 社会工程，攻击目标包括律师事务所等，旨在窃取数据获取经济利益。

恶意软件传播 WordPress安全漏洞社会工程学攻击远程访问木马（RAT）数据窃取供应链攻击高级持续性威胁（APT）基础设施分析

0x101 [伪造安装模块] - 拦截恶意安装检测，绕过强制安装第三方应用，保护设备应用列表隐私

李白你好 2026-02-24T08:01:35 永恒之蓝(小淋)

本文介绍了一款名为“伪造安装模块”的应用防护工具，该工具基于Android底层Hook技术，旨在通过伪造应用安装状态来保护设备应用列表隐私。该模块能够拦截应用的PackageManager、文件、命令行、网络等多维度安装检测，并返回自定义的伪造结果，如“已安装”或“未安装”，以防止应用因检测特定包而限制功能、强制退出或强制推送下载。该工具适用于保护隐私、绕过强制安装限制和规避安装状态检测。它支持双模式状态伪造、全场景检测拦截、检测退出拦截和自动权限伪造等功能。该模块适用于已ROOT和未ROOT的设备，对Android 8.0+（API 26）至Android 16（API 36）的设备有效。文章还提供了安装教程，包括ROOT方案和非ROOT方案的具体步骤。

Android 安全应用防护 Hook 技术隐私保护反检测技术系统权限开源社区

0x102 XSS检测单兵工具

锐鉴安全 2026-02-24T07:00:23

本文介绍了XSS检测单兵工具，一款专注于检测XSS（跨站脚本）漏洞的Web应用安全扫描工具。文章首先通过一个高校人脸采集系统的案例，展示了如何通过fuzz测试发现未授权的注册账号漏洞。接着，详细介绍了XSS检测单兵工具的功能和工作原理，包括多种漏洞检测、全面的扫描能力、网页技术识别、高级WAF绕过功能、增强的XSS检测以及高级功能等。最后，文章提供了下载链接，并提醒读者不要利用文中提供的技术从事非法测试。

XSS攻击漏洞检测工具网络安全扫描渗透测试漏洞挖掘安全漏洞 Web应用安全教育机构安全实战案例

0x103 eScan 确认更新服务器遭到入侵，并向客户推送恶意更新

犀牛安全 2026-02-24T00:01:03 Rhinoer

MicroWorld Technologies 公司旗下的 eScan 防病毒产品更新服务器遭到入侵，导致恶意更新被分发给部分客户。恶意更新通过合法的更新基础设施分发，影响了从特定区域集群下载更新的用户。安全公司 Morphisec 分析了恶意活动，并指出恶意更新使用了修改版的 eScan 更新组件 'Reload.exe'，该组件被用于持久化、执行命令、修改 Windows HOSTS 文件以阻止远程更新，并连接到恶意服务器下载更多有效载荷。eScan 已经发布修复更新程序，并建议客户屏蔽恶意服务器以提高安全性。事件发生时，eScan 通过监控和客户报告内部发现了问题，并在短时间内隔离了受影响的基础设施。MicroWorld Technologies 对 Morphisec 是第一个发现或报告该事件的公司的说法提出异议，声称自己也是第一时间发现并响应的。

服务器入侵恶意软件分发更新基础设施安全代码签名滥用后门部署指挥控制服务器安全漏洞利用安全响应客户通知安全公告

0x104 Windows追踪事件-ETW

Relay学安全 2026-02-23T22:32:23 © kernel

Windows追踪事件简称ETW，是一种用于收集系统上发生的事件和活动信息的机制。事件由操作系统自身、用户模式进程或内核模式驱动程序产生，并通过唯一的GUID标识每个事件生产者。ETW架构包括提供程序（事件生产者）、追踪会话（逻辑容器，用于捕获和管理事件）、控制器（管理和控制追踪会话）以及消费者（读取和处理事件的应用程序）。ETW追踪文件以.etl扩展名保存，记录提供程序产生的事件。控制器负责绑定提供程序和追踪会话，并将事件发送给消费者。ETW的各个组件存在于内核中，通过Windows API与用户态程序交互，如EventWrite、StartTraceA等。ntoskrnl.exe中的EtwTi*函数实现内核级ETW功能。Logman.exe是用于创建和管理ETW追踪会话的命令行工具，可指定会话名称、文件输出路径和提供程序名称。ETWExplorer工具用于深入分析ETW提供程序，而SilkETW工具则用于实时收集日志并推送到事件日志。

Windows追踪事件 (ETW) 系统监控事件日志安全监控日志分析内核模式用户模式日志管理安全工具追踪会话提供程序 (Provider)

0x105 【Web 安全实战】黑名单全覆盖？带你用 .htaccess 玩转文件上传绕过

武文学网安 2026-02-23T21:10:31 © 武文学网安

本文详细分析了Web安全学习中的一个案例，重点关注了服务器解析机制的漏洞。文章指出，尽管开发者采取了多层防御措施，如使用黑名单、强制小写处理、去除尾部点、去除::$DATA以及去除空格等，但这些措施仍然存在漏洞。关键在于服务器解析机制的控制权。由于黑名单中遗漏了.htaccess文件，攻击者可以通过上传.htaccess文件并修改Apache的解析规则，使得服务器将.jpg等文件按PHP解析执行。文章详细描述了实战步骤，包括上传.htaccess文件、上传一句话木马文件，并通过访问测试验证漏洞。此外，文章还探讨了Apache的加载顺序机制，解释了为什么即使配置文件中AllowOverride为null，.htaccess仍然生效。最后，文章强调了正确的安全开发思路，包括禁止目录级覆盖、上传目录禁止执行、执行目录与上传目录分离以及采用白名单策略等，以防止此类漏洞的发生。

Web安全文件上传漏洞黑名单绕过服务器解析机制 HTACCESS 权限提升安全开发扩展名绕过

0x106 阿里云一键部署 Wireguard-Easy（WireGuard可视化面板）｜实测39万+速度｜内网穿透/远程桌面/远程访问/

灰帽安全 2026-02-23T20:13:37 © SzHackingClub

虚拟专用网络(VPN) 网络安全配置内网穿透 SSH连接容器化技术反向代理 DNS解析

0x107 App 接口安全：被低估的系统安全边界

进击的HACK 2026-02-23T19:54:05 Dudu

本文深入探讨了App接口安全的重要性，指出在安全认知中，App安全往往被局限于客户端能力，而忽略了接口安全。文章指出，App接口是客户端与服务端之间最主要的通信通道，承载着核心数据和业务逻辑，但在实际开发中，接口安全常被忽视。文章分析了接口安全被低估的原因，包括权限判断环节缺失、前端控制过度依赖等。文章进一步阐述了接口安全问题可能导致的业务风险，如越权访问、数据泄露和资金损失等。最后，文章提出了加强接口安全的建议，包括独立的权限判断能力、对象级校验、完善的安全防护体系等，强调接口安全是系统安全的核心边界。

App安全接口安全网络安全安全漏洞安全设计安全防护安全开发安全意识

0x108 Apache Tomcat 漏洞允许攻击者通过 HTTP/0.9 请求绕过安全约束机制

网安百色 2026-02-23T18:38:44

Apache Software Foundation发布安全公告，披露了编号为CVE-2026-24733的Apache Tomcat漏洞。该漏洞评定为低危，允许攻击者在特定访问控制规则配置下，通过发送HTTP/0.9请求绕过安全约束机制。HTTP/0.9协议已废弃，但在某些情况下可能被攻击者利用。漏洞触发条件为URI配置允许HEAD请求但拒绝GET请求。受影响的Tomcat版本包括1111.0.0-M1至11.0.1411.0.15，10.110.1.0-M1至10.1.4910.1.50，9.09.0.0.M1至9.0.1129.0.113等。官方建议升级至修复版本，并采取额外安全措施，包括审查访问控制策略和验证代理设备的行为。

Web服务器漏洞 HTTP协议漏洞访问控制绕过低危漏洞 Apache Tomcat 安全加固建议

0x109 跑？Solana 全链资产要完！ Rust Bug 实现 Validator RCE 和 Money-Printin

sec0nd安全 2026-02-23T15:22:47 一个不正经的黑客

本文详细分析了 Solana 区块链中 Direct Mapping 优化引入的严重漏洞，该漏洞由指针管理疏漏导致，最终使攻击者能够在 validator node 上实现远程代码执行（RCE）。文章首先介绍了 Solana 的账户模型、交易和指令流程、rBPF 虚拟机以及传统的程序执行模型。接着，文章深入探讨了 Direct Mapping 优化如何通过将 account data 直接映射到 VM 内存来提升性能，但同时也引入了新的安全问题。文章详细解释了 Direct Mapping 优化如何改变内存管理，引入了新的 CoW 策略，以及这对 Cross-Program Invocation（CPI）的影响。随后，文章分析了 Direct Mapping 优化引入的漏洞，即攻击者可以操纵 MemoryRegion.host_addr 字段，从而实现 out-of-bounds read/write，并最终导向 RCE。文章还描述了漏洞挖掘的过程，包括最初的 PoC 失败以及最终的利用策略。最后，文章强调了基础设施层安全问题的系统性风险，以及持续披露、快速修复和工程化防御能力的重要性。

区块链安全远程代码执行 (RCE) Solana 内存安全漏洞挖掘 Direct Mapping 优化内存管理漏洞 Cross-Program Invocation (CPI) 利用链安全研究

0x10a 跑？Solana 全链资产要完！ Rust Bug 实现 Validator RCE 和 Money-Printin

一个不正经的黑客 2026-02-23T14:21:48 © 一个不正经的黑客

本文详细分析了 Solana 区块链中 Direct Mapping 优化引入的严重漏洞，该漏洞源于 pointer management 的疏漏，最终导致在 validator node 上实现远程代码执行（RCE）。文章首先介绍了 Solana 的执行环境、账户模型、事务和指令流程，以及 rBPF 虚拟机的工作原理。接着，它深入探讨了传统模型和 Direct Mapping 优化的区别，以及 Direct Mapping 如何通过内存区域管理和 copy-on-write 策略来保证数据一致性。然而，Direct Mapping 的实现存在缺陷，攻击者可以通过篡改 AccountInfo.data 指针来混淆 MemoryRegion 的映射，从而实现 out-of-bounds 访问。文章还描述了攻击者如何利用 size mismatch 来获取 arbitrary read/write 能力，并最终构建 ROP 链实现 RCE。最后，文章强调了安全研究的真实过程，以及 Solana 团队对漏洞的及时响应和修复，体现了其对安全的重视。

区块链安全远程代码执行 (RCE) 内存安全 Solana 漏洞挖掘利用开发系统安全

0x10b 登录框漏洞checklist（一）

山水SRC 2026-02-23T14:10:57 © 游山玩水

本文详细介绍了在进行网络安全渗透测试时，针对登录框可能存在的漏洞进行的检查清单。文章首先介绍了登录框SQL注入测试方法，包括使用BP插件xia SQL进行数据包参数注入和响应长度对比。接着，文章讨论了弱口令测试和用户名枚举测试，并提供了任意用户注册的案例。此外，文章还详细解释了密保找回漏洞的测试方法，包括在源码和返回包中搜索密保，以及如何测试URL分步式和单页面应用式的密码找回流程漏洞。这些内容为网络安全学习者提供了实用的渗透测试技巧和漏洞检测方法。

SQL注入渗透测试漏洞检测安全测试工具密保找回安全漏洞分类信息收集用户枚举

0x10c 小程序抓包Proxifier+BP

略懂安全的三秋 2026-02-23T11:45:09 © 略懂安全的三秋

本文介绍了如何使用Proxifier软件进行网络代理设置。首先，用户需要从官网下载Proxifier软件，并根据需要选择是否使用汉化版本。在汉化版本安装过程中，如果出现提示框，应选择“否”。接下来，用户需要进入Proxifier的配置文件设置，在“代理服务器”选项中添加代理服务器的详细信息。然后，在“代理规则”中指定需要通过代理运行的程序，例如WeChatAppEx.exe和WechatBrowser.exe。此外，文章还提到了导入BP证书以配置系统证书的步骤，包括在BP浏览器中输入代理地址，导入证书，并安装系统证书。最后，用户可以打开小程序以通过代理进行网络连接。整个过程涉及Proxifier的多个配置选项，包括代理服务器设置、代理规则配置、证书导入和系统证书安装，旨在帮助用户实现网络代理的设置和使用。

代理软件代理配置证书导入网络安全工具应用代理

0x10d Netdragon：一个带有 HTTP 后门和内核 rootkit 的 fnOS 僵尸网络

安全圈的那点事儿 2026-02-23T11:26:00 © 网络安全9527

Netdragon 是针对 Feiniu NAS 设备（fnOS）的定向攻击活动，利用未公开的远程代码执行/命令注入漏洞进行初始渗透。攻击者在目标设备上部署 HTTP 后门，并通过注入内核模块 async_memcpys.ko 隐藏进程和网络活动，建立基于 ChaCha20 的 C2 通道。该攻击活动经历了显著演变，从 2025 年 12 月的首批 ELF 后门样本，到 2026 年 1 月添加内核模块和持久化机制，再到 2 月引入动态会话密钥、多 ASN C2 和 DDoS 模块。感染规模估计超过 1500 台活跃设备，主要位于亚洲。攻击者通过 Web 界面 CGI 处理程序的未身份验证命令注入漏洞获得初始访问权限。HTTP 后门在 57132/57199 端口运行，支持执行命令、文件传输和后门更新等操作。内核模块用于隐藏后门进程和端口信息。攻击者还利用 systemd 和内核模块加载机制实现持久化，并通过多种手段抵抗清理。分析发现，攻击的 C2 握手过程和内核模块的钩子机制提供了检测线索。

Web Attack Command Injection Remote Code Execution (RCE) Backdoor Rootkit Persistence Anti-Forensics C2 Communication DDoS Exploit Development IoC Malware Evolutionary Attack

0x10e 网络攻击 —— WEB脚本入侵攻击，零基础入门到精通，收藏这篇就够了

海哥网络安全 2026-02-23T10:39:01 海哥网络安全

本文详细介绍了网络安全领域中常见的WEB脚本入侵攻击技术。文章首先概述了WEB脚本攻击的对象、方式和目标，指出攻击者通常通过数据库入侵或脚本漏洞获取后台管理权限，进而获得webshell权限，最终提升权限以渗透内网。由于攻击操作主要通过80端口进行，难以被防火墙拦截，因此防范难度较大。文章随后深入分析了多种WEB脚本攻击技术，包括SQL注入攻击、跨站脚本攻击（XSS）、数据库入侵攻击、文件上传漏洞入侵以及webshell权限提升等。针对每种攻击方式，文章都阐述了其攻击原理、攻击目的和相应的防范措施。例如，SQL注入攻击通过插入恶意SQL语句绕过身份验证，防范措施包括使用参数化查询和限制数据库用户权限；XSS攻击通过注入恶意脚本在用户浏览器中执行，防范措施包括过滤用户输入和使用内容安全策略；数据库入侵攻击包括默认数据库下载、暴库下载和数据库弱口令连接等；文件上传漏洞入侵则利用文件上传功能上传恶意文件获取服务器权限。文章最后强调了在获得网站权限后不应进行非法修改，而应尽力修补漏洞并提醒管理员进行修补。

SQL注入攻击跨站脚本攻击（XSS）数据库入侵攻击文件上传漏洞 Webshell权限提升网站安全漏洞利用攻击方法安全防范 Web安全

0x10f Wireshark Agent Skills | Packet Challenge 之 SMB 案例分析

Echo Reply 2026-02-23T10:20:35 © 7ACE

本报告分析了名为SMBForce.pcapng的网络流量捕获文件，旨在识别网络中的攻击行为、手法和路径。捕获文件包含55,091个数据包，涉及TCP、UDP、SMB、DCERPC、Kerberos等协议。分析发现，攻击者（10.20.20.20）成功通过SMB暴力破解攻击登录文件服务器（10.1.1.3），使用账户drk-1枚举共享资源并访问敏感目录。攻击者进一步通过DCERPC的SAMR接口枚举域用户，通过DRSUAPI获取域信息，并尝试通过WinRM进行横向移动。报告还检测到NTLM匿名认证和大量TCP RST连接。分析结果表明，这是一次完整的Active Directory渗透攻击，攻击手法专业，符合APT攻击特征。报告建议立即采取措施，包括禁用攻击者使用的账户、隔离可疑主机、加强密码策略、限制远程协议访问、禁用匿名访问等，以减轻攻击影响并防止进一步损害。

0x110 春节特刊 | 提示词注入：大模型安全漏洞案例剖析

绿盟科技 2026-02-23T10:03:13 星云实验室

随着大模型技术的广泛应用，提示词注入引发的数据泄露事件日益增多。文章分析了多个2025年发生的大模型数据泄露事件，包括ChatGPT泄露Windows产品密钥、Cursor代码编辑器曝MCP漏洞、ChatGPT Google Drive连接器漏洞以及ChatGPT对话内容被公开等。这些事件揭示了AI模型在内容审核、信任机制、权限管理等方面的安全漏洞，攻击者利用这些漏洞通过提示词注入技术窃取敏感数据或执行恶意指令。文章指出，AI模型自身的安全围栏易被绕过，且模型与业务间缺乏严谨的认证授权机制，导致攻击者可以利用漏洞进行远程命令执行造成系统入侵。为了防护此类攻击，文章建议进行严格的输入/输出验证与过滤、建立清晰的信任边界和权限管理、构建沙盒环境、强化模型和系统提示的鲁棒性、进行对抗性训练以及部署AI安全网关。同时，用户也需要谨慎授予第三方应用访问权限，并注意来源不明的文件，保持对AI输出的批判性思维。

大模型安全提示词注入数据泄露社会工程学远程代码执行 (RCE) 系统入侵第三方应用集成风险配置错误安全防护建议 MITRE ATT&CK

0x111 突破检测封锁：如何构建你自己的“隐身”版Frida

柠檬赏金猎人 2026-02-23T10:00:14

Phantom-Frida是一个开源项目，旨在增强Frida服务器的反检测能力。该项目通过约90个补丁，覆盖了16种常见的Frida检测向量，能够有效规避安全应用和反调试机制的扫描。Phantom-Frida通过四个阶段的补丁对Frida源码进行修改，包括源码级、针对性、构建后和二进制补丁，以实现反检测。项目支持手动构建和每周自动构建的“隐身”版本，适用于移动安全研究、逆向工程和渗透测试。文章详细介绍了Phantom-Frida的技术原理、核心反检测向量覆盖、构建选项和使用示例，并提供了在GitHub Actions和本地WSL环境中构建的方法。同时，文章也强调了法律与道德责任，提醒用户仅在合法授权的设备上进行测试。

移动安全逆向工程渗透测试反检测技术安全工具开源项目代码安全漏洞分析

0x112 别再瞎爆破！最全的内网凭据密码收集方法和技巧总结

黑白之道 2026-02-23T09:18:59

本文详细分析了内网凭据密码收集在网络安全攻防对抗中的核心地位和常用方法。摘要涵盖本地系统凭据挖掘、网络服务凭据探测、域环境凭据收集以及突破技术防护的人性弱点等四个方面。在本地系统凭据挖掘中，介绍了Windows和Linux系统下内存、注册表、配置文件和日志等位置的凭据提取技术，如使用Mimikatz提取Windows内存凭据、读取Linux shadow文件等。网络服务凭据探测则重点讲解了利用SharpScan、Nmap等工具进行资产扫描和服务识别，以及通过弱口令爆破、密码喷洒和协议漏洞利用（如MS17-010、Kerberoasting）获取凭据的方法。域环境凭据收集部分详细阐述了Kerberos协议漏洞利用、黄金票据与白银票据技术，以及域内信息枚举与凭据推导等高级攻击手段。最后，文章还探讨了利用钓鱼邮件、水坑攻击、物理接触和内部人员诱导等社会工程学方法获取凭据，并提供了工具选型、实操避坑指南和多层次防御建议，强调从技术、管理和人员层面构建全方位防护体系的重要性。

网络安全渗透测试内网安全凭据管理攻击技术防御策略 Windows安全 Linux安全域安全社会工程学工具使用

0x113 当LLM进入“杀伤链”：起底那个横跨大洲的定制MCP与FortiGate攻击行动

幻泉之洲 2026-02-23T09:16:19

2026年2月，一个配置错误的服务器暴露在互联网上，其中包含全球多家企业的防火墙配置、攻击计划以及一套将大型语言模型（LLM）集成到入侵流程中的自动化攻击工具链。攻击者通过暴露的FortiGate防火墙配置文件获取了VPN用户凭证，并利用这些凭证进行内部侦察。他们使用定制的MCP服务器处理扫描结果，并向LLM（如Claude）提供信息以生成攻击计划。这些LLM被用于指导自动化攻击，包括凭证收割、网络扫描和潜在的数据提取。攻击者还使用了定制的Go语言编排器（CHECKER2）和Python模型上下文协议服务器（ARXON）来并行处理目标并执行攻击。从2025年12月使用HexStrike到2026年2月使用定制工具，攻击者展示了从半手动到全自动攻击的演化。此次事件凸显了LLM在自动化攻击中的应用，对安全防御提出了新挑战，要求防御体系必须匹配攻击者使用AI后的节奏。

AI安全攻击服务器安全配置错误防火墙安全凭证窃取与利用自动化攻击工具链漏洞利用内部网络侦察域渗透 MCP（模型上下文协议）持续监控与演化

0x114 OpenClaw集成VirusTotal扫描检测恶意ClawHub Skills

安全行者老霍 2026-02-23T09:00:16 © thehackernews

OpenClaw，前身为Moltbot和Clawdbot，宣布与VirusTotal合作，以增强其智能体生态系统安全性。所有上传到ClawHub的技能都将通过VirusTotal的威胁情报进行扫描，包括新的Code Insight功能。该系统通过创建技能的SHA-256哈希并与VirusTotal数据库进行交叉检查来识别恶意代码。OpenClaw强调，尽管VirusTotal扫描提供了额外的安全层，但它并非完美无缺，一些恶意技能可能仍然会漏网。此外，OpenClaw还发布了全面的威胁模型、安全报告流程和安全审计细节。文章指出，ClawHub上发现了数百种恶意技能，OpenClaw添加了报告选项，允许用户标记可疑技能。文章还讨论了OpenClaw的安全风险，包括恶意技能可能窃取数据、注入后门和安装恶意软件，以及智能体可能成为数据泄漏的通道。

恶意软件检测智能体安全代码审计威胁情报安全漏洞数据泄露安全最佳实践 AI安全平台安全

0x115 第48天-JavaEE 开发中的第三方依赖安全风险笔记：Log4j、FastJson、XStream 与 Shiro

AlphaNet 2026-02-23T08:56:21 © 萧瑶

本文详细分析了JavaEE开发中四个常用第三方库的安全风险，包括Log4j、FastJson、XStream和Shiro。文章首先介绍了每个库的基本功能和常见用法，随后深入探讨了它们各自的安全漏洞，如Log4j的JNDI注入漏洞、FastJson的反序列化漏洞、XStream的反序列化漏洞以及Shiro的反序列化漏洞和配置不当问题。对于每个漏洞，文章都提供了详细的原理分析、漏洞演示、利用方式和防御建议。最后，文章总结了防御措施，并给出了一些建议，以帮助开发者和安全人员更好地理解和防范这些风险。

JavaEE 安全第三方库安全代码审计漏洞利用安全防护日志安全反序列化漏洞 Shiro 安全

0x116 第47天-JNDI注入深度剖析：从原理到高版本绕过，一篇全掌握！

AlphaNet 2026-02-23T08:54:50 © 萧瑶

本文深入剖析了JNDI注入的原理、攻击方法和防御措施。首先，文章解释了JNDI注入的概念和原因，指出其通过控制JNDI的lookup方法参数，从远程服务器加载恶意对象，执行任意代码的攻击方式。接着，文章介绍了JNDI的基础知识，包括命名服务、目录服务、ObjectFactory和Reference等核心概念。然后，详细阐述了JNDI注入的攻击原理，包括攻击者如何通过恶意RMI/LDAP服务绑定Reference，受害者应用调用lookup方法，以及恶意代码执行的过程。文章还提供了攻击实战的例子，包括工具复现和手工复现。最后，讨论了如何通过升级JDK版本、严格控制输入、配置安全管理器、关注第三方库漏洞和定期安全审计等方法来防御JNDI注入攻击。

JNDI注入 Java安全远程代码执行漏洞分析防御策略漏洞利用安全工具代码审计

0x117 网络安全新闻周报：PayPal 数据泄露、Chrome 零日漏洞、BeyondTrust 远程代码执行漏洞等

安全圈的那点事儿 2026-02-23T08:00:00 © 网络安全9527

本周网络安全领域发生了一系列重大事件。PayPal、SpyX 和 California Cryobank 发生了数据泄露，涉及数百万用户的个人信息。同时，Chrome 浏览器、BeyondTrust 和其他产品发布了紧急安全补丁，以修复严重的漏洞。勒索软件攻击者加大了对企业目标的攻击力度，其中 Hellcat 组织入侵了 Ascom 的工单系统，窃取了大量敏感数据。一名威胁行为者利用人工智能服务入侵了 FortiGate 设备，这是人工智能攻击的里程碑案例。Cloudflare 因密码轮换失败导致全球服务中断，突显了可用性在安全中的重要性。此外，Noodlophile 信息窃取程序和 VoidLink 恶意软件框架的出现，展示了攻击者使用新技术的趋势。

数据泄露漏洞披露勒索软件远程代码执行人工智能攻击云安全恶意软件威胁情报网络安全事件

0x118 零逆向 DLL 劫持后门生成器

只会看监控的实习生 2026-02-23T08:00:00 菜狗

本文介绍了名为DllShimmer的零逆向DLL劫持后门生成器的使用方法和原理。该工具能够自动提取目标DLL的导出表，生成代理DLL，并在程序加载时先执行用户代码，再转发给原始函数。文章详细说明了如何安装和配置DllShimmer，包括依赖安装、下载和验证步骤。此外，还提供了快速使用指南，包括劫持动态链接库和静态链接库的示例。文章还包含了参数速查表，解释了每个参数的作用和示例用法。此外，还讨论了核心限制，如架构支持、浮点参数处理和调试技巧。最后，文章展示了两个案例，说明如何劫持系统程序和游戏反作弊工具，并提供了调试技巧以帮助理解工具的工作过程。

DLL劫持后门生成逆向工程恶意软件渗透测试安全工具安全漏洞

0x119 多个黑客组织利用 OpenClaw 实例窃取 API 密钥并部署恶意软件

暗镜 2026-02-23T06:55:51

多个黑客组织利用开源的自主AI框架OpenClaw的漏洞进行攻击，窃取API密钥并部署恶意软件。OpenClaw框架自2026年1月下旬被广泛采用后，迅速成为攻击目标。攻击者利用多个严重漏洞，包括远程代码执行漏洞和供应链投毒，窃取凭证和数据。分析显示，超过30,000个OpenClaw实例被用于恶意活动，其中一项名为“ClawHavoc”的攻击特别严重。攻击者将恶意软件伪装成合法工具，用户安装时被感染。此外，攻击者通过OpenClaw社区市场发布带有后门的“技能”，窃取OAuth令牌、密码和API密钥。Shodan扫描发现大量OpenClaw实例在默认端口上运行，且未进行身份验证。这一事件凸显了自主人工智能代理安全领域的关键问题，即有组织威胁团体如何将原本优先考虑能力而非网络安全的生态系统武器化。攻击主要发生在多个国家，其中中国和美国受到影响最为严重。

恶意软件攻击 API密钥泄露供应链攻击 AI框架安全远程代码执行漏洞凭证窃取横向移动社区市场安全蜜罐部署国际攻击趋势

0x11a windows server 2019等保核查命令大全｜亲测有效 + 持续更新

汤池杂货铺 2026-02-23T04:21:55 © Fuyuanzi

本文提供了一套针对Windows Server 2019系统的网络安全检查方法，旨在解决现有检查命令过时、覆盖不全、泛化且缺乏验证等问题。文章从身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据传输与存储安全、备份恢复、剩余信息保护以及个人信息保护等多个方面进行了详细阐述。具体包括检查账户管理、登录失败处理、远程管理通信加密（WinRM、RDP、WMI）、密码复杂度策略、双因素认证、登录超时、账户权限审计、匿名用户/默认账户、共享账户/文件查询、最小权限原则、访问控制粒度审计、强访问控制状态、审计服务配置、审计记录核查、最小安装原则、高危端口查看、终端接入审计、补丁查看、安全服务使用、第三方安全服务、系统文件检查、TLS/SSL和SMB协议安全、Kerberos认证、BitLocker驱动器加密、本地及异地备份恢复、鉴别信息内存清除、敏感数据内存清除以及个人信息保护等检查方法和命令。文章旨在帮助网络安全学习者建立一套系统化、持续维护的检查方法，确保Windows Server 2019系统的安全配置和防护。

身份鉴别访问控制安全审计入侵防范恶意代码防范可信验证数据传输安全数据存储安全数据备份恢复剩余信息保护个人信息保护 Windows安全配置安全基线检查

0x11b 针对iOS系统的国家级网络攻击深度分析与个人安全防护体系报告

白帽子安全笔记2.0 2026-02-23T00:00:34 © 陆安予

本文深入分析了针对iOS平台的国家级网络攻击，特别是雇佣兵式间谍软件（如Pegasus、Predator和“三角测量操作”）的技术逻辑和防护策略。文章指出，随着零日漏洞挖掘技术的进步，攻击已从传统的病毒传播转向高度隐蔽的定向渗透，主要通过iMessage、WebKit等系统组件的漏洞实现零点击攻击。FORCEDENTRY漏洞链和“三角测量操作”中的硬件级绕过技术展示了攻击的复杂性和深度。为应对威胁，文章建议用户关闭iMessage和FaceTime等非必要功能，启用无痕浏览模式，警惕异常附件，并在风险情况下断网重启。此外，苹果的“封锁模式”为高风险用户提供了极限防御。文章强调，防御国家级攻击的关键在于最小化攻击面，结合技术手段和用户习惯，并认识到安全是一个持续博弈的过程。

移动安全间谍软件零日漏洞零点击攻击 iOS安全漏洞利用防御策略国家级攻击硬件安全 Lockdown Mode

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

2026年 第8周 微信公众号精选安全技术文章总览

0x1 Spring Boot Actuator 配置错误利用实战：路径探测、绕过技巧与敏感端点攻击

0x2 RCE-labs靶场通关WP-(Apursuit-the0n3)-第三章(共三章)

0x3 一次完整的Kubernetes黑盒渗透测试实战记录

0x4 Tomcat URL 解析特性导致的鉴权绕过

0x5 [脚本小子必备]资产存活探测httpx

0x6 跟着OpenClaw学OpenClaw: Skills：功能扩展的艺术

0x7 【安全圈】OpenClaw本地网关漏洞导致AI代理成攻击入口

0x8 【安全圈】Windows CLFS漏洞PoC公开：普通用户两次API调用即可触发不可恢复蓝屏

0x9 【0day】九佳易管理系统 PrivilegedCodeDestroy.asmx SQL注入漏洞

0xa 网络抓包分析实战：Wireshark与tcpdump定位网络故障

0xb 第60天-WEB攻防进阶：XSS跨站从原理到文件触发与业务场景全解析

0xc 第59天-WEB攻防 · XSS跨站脚本漏洞

0xd 逻辑漏洞：邮箱注册 tips #11

0xe OpenClaw 零点击漏洞允许恶意网站劫持开发者 AI 代理

0xf 网络钓鱼攻击利用 .arpa 顶级域名和 IPv6 隧道来逃避检测

0x10 网安每日干货分享《后缀名检测与绕过之.htaccess文件攻击》-0301

0x11 【渗透测试必备】：Burp的自动化JS安全分析插件(75+规则)

0x12 从数据包到手机数据库：宇树机器人里两个让人直接当上“主人”的漏洞（CVE-2026-27509和CVE-2026-27510）

0x13 【工具推荐】新一代wmiexec免杀横向工具

0x14 虚假的 Zoom 和 Google Meet 网络钓鱼活动部署 Teramind 监控软件

0x15 青龙面板鉴权绕过漏洞 | 文件上传、RCE、密码重置、信息泄露复现&研究

0x16 数据安全：SQL Server 2022 部署与远程登陆

0x17 【AI安全】提示词绕过+远程未授权创建定时任务RCE

0x18 game of active directory(GOAD) part 3 - enumeration with user

0x19 SYN Flood 攻击原理剖析与检测规则实战

0x1a 银狐木马样本分析：基于TLS回调与动态加载的恶意行为解析

0x1b .NET代码审计初识

0x1c THJCC CTF 2026（部分）

0x1d 黑客端口扫描器Sharanga

0x1e 【安全圈】恶意npm包“ambar-src”投毒Windows、Linux与macOS

0x1f MiniFilter内核回调

0x20 热门游戏工具隐藏恶意软件？电脑或被远程操控

0x21 朝鲜APT37黑客组织利用新型恶意软件渗透物理隔离系统

0x22 SSH协议与Python中的Netmiko库

0x23 初探漏洞挖掘基础-信息收集

0x24 利用子域的System权限通往父域

0x25 应急响应：银狐木马病毒防控

0x26 【CupakeC2】我不管C2我就要用小蛋糕！！！

0x27 【0day】九佳易管理系统 Ajax_XT.ashx SQL 注入漏洞

0x28 CVE-2026-1731 BeyondTrust 远程支持预授权远程代码执行漏洞概念验证

0x29 fastjson写文件挑战2——两个fastjson链

0x2a 匿名 LDAP 枚举如何导致 AS-REP Roasting 并最终攻陷域控

0x2b 从 MSSQL 到域管理员：混合 Active Directory 中的无文件横向移动

0x2c Dohdoor恶意软件以多阶段攻击为目标，瞄准美国学校和医疗机构

0x2d 【新洞速递】CVE-2026-21962 Weblogic RCE漏洞

0x2e 信息安全漏洞周报（2026年第8期）

0x2f 信息安全漏洞周报（2026年第7期）

0x30 RustFS 控制台中的存储型 XSS 漏洞使 S3 管理员凭据面临风险

0x31 第58天-WEB攻防之SQL注入深度剖析：堆叠注入、二次注入与自动化利用实战

0x32 C2后门隐蔽通信与流量合法化伪装研究分析

0x33 第57天-WEB攻防 · SQL注入进阶 高权限场景下的跨库访问、文件操作与带外数据外传

0x34 【网络安全】JWT缺陷下的越权漏洞详解与实操！

0x35 国家网络安全通报中心发布新一批重点防范境外恶意网址和恶意IP

0x36 思科Catalyst SD-WAN严重认证绕过漏洞遭长期入侵，可植入恶意节点控制网络

0x37 Rust 在预览模式中存在严重存储型 XSS | CVE-2026-27822 复现&研究

0x38 天清汉马VPN安全网关系统任意文件读取漏洞 附POC

0x39 RCE-labs靶场通关WP-(Apursuit-the0n3)-第二章(共三章)

0x3a 基线检查项目实施文档

0x3b 某CMS最新版本后台注入漏洞分析

0x3c 攻破Active Directory：Kerberos委派与RBCD滥用实战

0x3d SYN Flood 攻击原理剖析与检测规则实战

0x3e 银狐木马样本分析：基于TLS回调与动态加载的恶意行为解析

0x3f 0day | 青龙面板最新版本鉴权绕过导致远程代码执行漏洞

0x40 开源发布！CloudFox GCP：谷歌云攻击路径测绘工具

0x41 CISCN 2018 白盒AES加密逆向完整分析

0x42 一款轻量便捷的 Windows 应急响应辅助工具

0x43 青龙面板 v2.20.1 路由重写引发的鉴权绕过与配置写入风险（复现记录）

0x44 EverShop严重安全漏洞警报：密码重置令牌直接暴露，CVSS 9.8分

0x45 浏览器流量被动嗅探与溯源反制神器

0x46 通往内核的七条路：RCE获取服务器权限的完整狩猎指南

0x47 工具推荐 | Burp_Parsing深度扫描HTTP响应，自动化提取与验证未公开API接口

0x48 【AI高危漏洞预警】Claude Desktop命令注入漏洞CVE-2026-26029

0x49 烽火狼烟丨暗网数据及攻击威胁情报分析周报（02/23-02/27）

0x4a iOS虚拟手机实现原理解析

0x4b 关注 | 新一批重点防范境外恶意网址和恶意IP公布！

0x4c FreeBSD 漏洞允许攻击者导致整个系统崩溃

0x4d 使用 Python 通过 Telnet 连接到 EVE-NG 中已启动的 Cisco CSR1000V 路由器节点

0x4e 某次通用型漏洞挖掘思路分享

0x4f Claude Code遭入侵，RCE漏洞可窃取组织API密钥

2026年第8周微信公众号精选安全技术文章总览

0x33 第57天-WEB攻防 · SQL注入进阶高权限场景下的跨库访问、文件操作与带外数据外传

0x38 天清汉马VPN安全网关系统任意文件读取漏洞附POC

0x57 【干货】漏洞挖掘技巧+深层原理分析前端鉴权绕过（一）

0x61 0day 麒麟操作系统 KysecScene D-Bus 服务本地提权漏洞分析附poc

0x7f 网安每日干货分享《后缀名检测与绕过之Windows特性（空格【】）绕过》-0227

0x95 【0day】大蚂蚁 (BigAnt) 即时通讯系统安装程序二次注入致远程代码执行漏洞