2025年 第24周 微信公众号精选安全技术文章总览
洞见网安 2025-6-16
0x1 文件分离免杀
XYsec 2025-06-22T12:43:54 ©
本文介绍了一种名为文件分离免杀的技术,该技术通过将恶意二进制文件进行分离处理,以绕过杀毒软件的检测。首先,使用CS工具生成一个二进制文件,然后通过一个Python脚本对二进制文件进行异或加密,生成加密文件。接着,创建一个解密并执行加密二进制文件的EXE文件,该文件使用Visual Studio编译。最后,将生成的EXE文件和原始二进制文件放置在目标机器上执行,以测试免杀效果。该技术涉及二进制文件的加密、解密和动态加载执行过程,对于网络安全研究者而言具有一定的参考价值。
0x2 三层交换机在局域网中的应用
运维星火燎原 2025-06-22T00:00:15
本文详细介绍了三层交换机在局域网中的应用。文章首先阐述了交换机在局域网中的两种应用方式:作为二层交换机用于划分VLAN实现同网段数据访问,以及作为三层交换机部署网关实现跨网段数据访问。接着,文章以用户PC1和PC2属于不同VLAN域为例,说明了三层交换机在实现不同VLAN间跨网段数据访问的具体配置步骤。包括批量创建VLAN、配置VLANIF接口、配置连接PC和路由器的接口,以及配置缺省路由等。文章最后对配置思路进行了简要说明,强调了默认路由器的配置已经完成。
局域网技术 网络交换技术 路由配置 网络安全配置 IP地址规划
0x3 HCIE-Datacom-SSH原理
运维星火燎原 2025-06-21T00:00:53 ©
本文详细介绍了SSH协议及其工作原理,包括SSH协议的概述、组件构成、工作原理以及版本协商、算法协商、密钥交换、用户认证等阶段。此外,文章还介绍了Python的Paramiko模块,该模块是实现SSHv2协议的模块,支持口令认证和公钥认证,并可用于安全的远程命令执行、文件传输等功能。文章中还阐述了Paramiko模块的组件架构和常用类方法,如Transport、Key handling、SFTPClient和SSHClient类的方法。最后,文章通过两个实践案例展示了如何使用Paramiko模块实现SSH登录和SFTP文件传输。
安全协议 远程登录 加密算法 认证机制 网络安全 Python库 代码安全 服务器配置 客户端配置 文件传输安全
0x4 cipher命令去除windows文件加密状态
秦小信 2025-06-20T18:04:33 © 青青青青
本文主要介绍了如何使用Windows系统自带的cipher命令来去除文件加密状态。文章指出,当用户尝试手动去除桌面加密文件属性时,可能会遇到报错问题,这通常是因为整个桌面文件夹及其所有子文件夹和文件都被加密了。作者通过手动解密/解密的方法,发现使用cipher命令可以成功解决这个问题。cipher命令是Windows系统中用于管理加密文件系统(EFS)的命令行工具,它可以加密或解密NTFS分区上的文件和文件夹,并提供了查看加密状态、备份证书、清除空闲空间等功能。文章详细解释了cipher命令的参数用法,包括递归进入指定目录下的所有子目录、加密指定目录及其内容、解密指定目录及其内容等。此外,文章还包含了一张图片,展示了如何通过图形界面手动选择去掉加密属性的过程。
加密技术 命令行工具 文件系统安全 操作系统安全 技术故障排除
0x5 漏洞通告 | Windows SMB权限提升漏洞(CVE-2025-33073)
晟晖科技 2025-06-19T11:30:00
本文报道了Windows SMB(Server Message Block)协议中的一个权限提升漏洞(CVE-2025-33073)。该漏洞由于访问控制不当,使得具有普通域用户权限的攻击者能够通过添加恶意的DNS记录并强制域内计算机进行解析,从而获取域内所有用户的权限。此漏洞影响了包括Windows Server 2008 R2、Windows Server 2008、Windows Server 2016、Windows 10等在内的多个Windows操作系统版本。为了防止利用此漏洞的攻击,官方已经发布了相应的补丁,建议受影响的用户及时更新至最新版本,以避免遭受黑客攻击。文章还提供了补丁下载链接,供用户参考。
操作系统漏洞 权限提升 SMB协议 攻击向量 域控制器攻击 安全通告 Windows系统 补丁更新
0x6 【紧急漏洞通告】泛微 E-cology 存在高危 SQL 注入漏洞,未授权攻击可致服务器沦陷
信息安全新动态 2025-06-19T11:03:10 © 信息安全新动态
2025年6月19日,泛微E-cology协同管理平台发布紧急漏洞通告,指出存在高危SQL注入漏洞。该漏洞允许攻击者无需身份验证即可执行数据库操作,可能导致敏感数据泄露、服务器权限被窃取甚至完全控制服务器。受影响的版本为泛微E-cology 9版本(版本号小于v10.75)。漏洞源于系统接口未对用户输入进行严格过滤,攻击者可以构造特殊参数绕过权限验证。建议用户立即升级至最新版本v10.75,或在未升级前采取临时防护措施,包括关闭非必要对外服务端口和添加防火墙规则。同时,建议建立系统补丁更新机制、部署WAF、定期进行漏洞扫描和渗透测试,以及加强开发人员的安全编码培训。目前已有利用案例出现,用户需在24小时内完成修复。
SQL注入漏洞 高危漏洞 未授权访问 服务器安全 安全漏洞修复 安全建议 漏洞预警 网络安全
0x7 等级保护-Windows快速测评软件
网络安全快乐屋 2025-06-18T23:00:29 admin
本文介绍了一款用于Windows Server安全配置策略基线检测的脚本。该脚本基于GitHub代码进行完善,能够检测Windows Server 2008 R2、2012 R2、2016 DataCenter、Windows 10、Windows 11等操作系统版本,并对照等级保护标准进行安全配置核查。脚本包含多个功能模块,如系统信息记录、Mac及IP地址信息、磁盘与空间剩余查询、系统账号检查、系统账号策略配置核查、系统事件审核策略配置核查、操作系统用户权限管理策略检查、操作系统策略组安全选项权限配置检查、操作系统注册表相关配置检查、操作系统服务及运行程序检查等。此外,脚本还支持从微软安全响应中心获取最新的服务器安全补丁列表信息,并检查系统补丁安装情况。脚本运行结束后会生成一个ip.txt文件,其中包含详细的检测结果。用户可以使用ps2exe软件对脚本进行打包,并以管理员权限运行,方便进行安全配置核查。
等级保护 Windows Server 安全配置 脚本 漏洞检测 日志分析
0x8 RMI 注入漏洞原理深度解析
POP Star安全 2025-06-18T18:31:14 © POP Star安全
本文深入解析了RMI(远程方法调用)注入漏洞的原理。RMI是Java编程语言中用于实现远程过程调用的API,允许客户端程序调用远程服务器上的对象。RMI注入漏洞的根本原因是对序列化数据的无条件信任,攻击者可以通过构造特殊的对象链(Gadget Chain)在反序列化过程中执行任意代码。文章详细介绍了RMI的基本架构、漏洞注入的三大路径(攻击注册表、服务端、客户端)、RMI关键漏洞类型(反序列化漏洞、动态类加载漏洞、注册表暴露与未授权访问风险、信息泄露风险、DGC漏洞),以及网络层、运行时环境和代码层的加固措施。此外,还讨论了JNDI与RMI结合的安全风险以及RMI与LDAP的区别。文章最后强调了RMI注入漏洞的严重性,并鼓励读者关注相关安全文章和课程。
远程过程调用安全 Java安全漏洞 序列化安全 RMI反序列化攻击 安全防御策略 JVM安全配置 分布式计算安全 信息泄露风险
0x9 【已复现】泛微E-cology9存在远程代码执行漏洞
安恒信息CERT 2025-06-18T17:50:21
泛微E-cology9企业级协同办公(OA)平台存在严重的安全漏洞,该漏洞被评级为1级,CVSS3.1评分高达9.8。漏洞由某接口参数可控且直接拼接SQL语句导致,攻击者可利用此漏洞在数据库中写入数据,导出Webshell,实现远程代码执行。该漏洞影响了泛微E-cology9的所有补丁版本低于v10.75的版本。安恒研究院已复现此漏洞,并建议受影响的用户尽快更新至v10.75或更高版本以修复漏洞。官方已发布修复方案,用户可通过官方网站下载补丁。
SQL注入漏洞 远程代码执行(RCE) 企业级协同办公平台漏洞 高危漏洞 数据安全风险 软件补丁更新
0xa Pichome 任意文件读取漏洞 (CVE-2025-1743)复现
SkillLab 2025-06-18T07:50:36 零界安全
本文详细分析了Pichome 任意文件读取漏洞(CVE-2025-1743)的概述和复现过程。该漏洞存在于Pichome 10.2.1.0版本中,由于/index.php?mod=textviewer接口未对用户输入的src参数进行充分验证和过滤,攻击者可以构造恶意路径读取服务器上的任意文件,从而获取敏感信息,如数据库配置文件、系统配置文件和Web应用源代码文件等,可能导致数据泄露等安全问题。文章提供了漏洞复现的步骤,包括使用特定的GET请求参数来读取特定文件的内容,以及如何通过FOFA搜索引擎来识别受影响的系统。
漏洞分析 文件读取漏洞 Pichome 漏洞 CVE 标识 Web 应用安全 信息泄露风险
0xb LDAP 注入漏洞原理深度解析
POP Star安全 2025-06-17T18:03:02 © POP Star安全
本文深入解析了LDAP注入漏洞的原理。LDAP(轻量级目录访问协议)是Windows Server和Active Directory域环境中访问目录服务信息的核心组件,其安全漏洞可能严重影响域安全。文章首先介绍了LDAP的基本架构和漏洞的处置优先级、类型、危害等级等信息。接着详细阐述了LDAP注入的原理,即利用应用程序对用户输入缺乏过滤或转义,拼接恶意内容改变原始查询逻辑。文章还分析了攻击流程和漏洞类型,如LDAP注入、匿名绑定、NTLM中继攻击、权限提升漏洞和配置型漏洞。此外,文章提供了临时缓解方案和升级修复方案,强调安装官方补丁的重要性,并提醒了LDAP注入漏洞的严重性及其对服务器和整个域环境可能造成的影响。
网络安全漏洞 LDAP协议安全 Windows系统安全 目录服务安全 入侵检测与防御 漏洞利用与缓解 安全补丁管理
0xc BFScan:在JAR/WAR/APK文件中发现隐藏URL、路径与密钥
棉花糖网络安全工具箱 2025-06-17T15:23:11 棉花糖糖糖
BFScan是一款用于分析APK、XAPK、DEX、JAR和WAR应用的工具,它能够在源代码和资源中搜索类似URI、路径或密钥的字符串。该工具支持多种生成原始HTTP请求和客户端库,包括Square Retrofit、Ktorfit和Feign。BFScan还支持多种服务器端库,如Spring Web注解、JAX-RS、JAX/Servlet注解等。用户可以通过命令行参数指定分析模式、支持缩小化注解、映射文件、搜索字符串、URL和日志级别。文章中还提供了使用Spring注解的类的示例,展示了如何生成对应的HTTP请求和OpenAPI规范。此外,BFScan还支持处理混淆代码,通过映射文件替换类名来分析应用。
应用安全 代码审计 静态代码分析 密钥管理 OpenAPI Java安全 移动应用安全
0xd 基于口令凭据的横向移动:技术与实战
SecPass 2025-06-17T09:51:48
本文深入探讨了基于口令凭据的横向移动在网络安全中的重要性。横向移动是攻击者在获取初始立足点后,扩展控制范围和寻找高价值目标的关键阶段。文章详细介绍了攻击者如何利用口令凭据,如明文密码、哈希值或Kerberos票据,在Windows域环境中进行横向移动。文章涵盖了攻击者在域内和域外进行横向移动的技术和工具,包括IPC域内横向移动、网络探针、端口扫描、文件操作、后门生成和执行、计划任务、工具版Impact CS插件、WMI、WMIC、DCOM、WinRM、RDP等多种协议和服务。此外,文章还提到了密码喷射、CrackMapExec等工具的使用,以及如何通过这些工具进行域渗透和密码攻击。最后,文章强调了理解这些技术和工具对于渗透测试人员的重要性,并为防守方提供了防御建议。
网络安全 渗透测试 内网攻击 口令凭据 Windows域安全 技术工具 实战分析 防御策略
0xe CVE-2025-24071(.library-ms 漏洞)复现
SkillLab 2025-06-17T07:50:30 零界安全
本文详细分析了CVE-2025-24071漏洞,这是一个Windows文件资源管理器欺骗漏洞,CVSS评分7.5(高危)。该漏洞利用Windows对(library-ms)文件的隐式信任,通过构造包含恶意SMB路径的压缩包,诱导用户解压时自动触发系统向攻击者控制的SMB服务器发送NTLMv2凭据哈希。文章介绍了漏洞的技术原理、利用机制、恶意文件构造方法、触发流程以及受影响系统范围。此外,还提供了PoC脚本的使用步骤、威胁情报、在野利用情况以及修复与缓解措施,包括官方补丁更新、网络层阻断、邮件安全配置、权限控制和认证加固等。
Windows漏洞 文件资源管理器漏洞 NTLM哈希泄露 哈希传递攻击 内网渗透 恶意文件构造 攻击工具 PoC脚本 漏洞复现 威胁情报 修复与缓解措施 网络安全防护
0xf JNDI 注入漏洞原理深度解析
POP Star安全 2025-06-16T18:20:43 © POP Star安全
本文深入解析了JNDI注入漏洞的原理和攻击过程。JNDI(Java Naming and Directory Interface)是Java应用程序的标准命名系统接口,而JNDI注入漏洞则发生在应用程序动态解析用户可控的JNDI名称时。攻击者通过控制JNDI查找的地址,可以指向恶意的命名服务,从而实现攻击。文章详细描述了JNDI注入的攻击原理、步骤,包括寻找注入点、搭建恶意服务、构造恶意请求等。此外,文章还提供了JNDI注入的复现方法,包括搭建恶意RMI服务器和Exploit类,以及一个易受攻击的Java应用程序示例。文章还讨论了JNDI注入的触发条件和防御措施,强调了升级JDK到安全版本、避免使用用户输入直接构造JNDI查找、对JNDI查找参数进行严格过滤和验证的重要性。
JNDI注入 Java安全漏洞 漏洞利用 远程代码执行 安全防御 网络安全
0x10 【AI风险通告】MCP Inspector存在远程代码执行漏洞(CVE-2025-49596)
安恒信息CERT 2025-06-16T17:59:15
本文报道了MCP Inspector存在的一个严重远程代码执行漏洞(CVE-2025-49596),该漏洞由安恒信息CERT团队发现,评级为1级,CVSS3.1评分为9.8。漏洞源于Inspector客户端与代理之间缺乏身份验证,使得未经身份验证的请求能够通过stdio启动MCP命令。MCP Inspector是一款用于测试和调试MCP服务器的开发者工具,广泛应用于多个行业。该漏洞的严重性高,建议用户尽快检查并更新至安全版本MCP Inspector >= 0.14.1。官方已发布修复方案,用户可从GitHub获取。
远程代码执行 漏洞通告 CVE编号 CVSS评分 安全工具 开发者工具 身份验证漏洞 安全修复
0x11 BUUCTF-SimpleRev-解题思路
XYsec 2025-06-16T15:25:48 © Xing_yu
0x12 蓝牙攻防实战指南:通过蓝牙识别苹果设备
寰宇密阁 2025-06-16T10:00:47 ©
蓝牙安全 无线通信安全 设备识别 苹果设备安全 开源工具 安全研究 渗透测试 隐私保护
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
