2026年 第27周 微信公众号精选安全技术文章总览
洞见网安 2026-7-6
0x1 电子壳里的漏洞:Electron应用如何成为攻击者的后门温床
幻泉之洲 2026-07-11T11:08:14
本文分析了Electron应用中存在的安全漏洞,指出其设计缺陷如安装到用户目录、未加密的asar包、以及Chrome调试协议等,为攻击者提供了持久化后门的入口。文章详细探讨了BEEMKA脚本注入、DLL劫持、远程调试三种攻击手法,并提供了相应的监控方案。文章首先介绍了Electron框架及其广泛应用,随后分析了BEEMKA通过修改asar文件进行攻击的方法,DLL劫持技术以及如何利用Chrome远程调试协议进行攻击。最后,文章强调了AppData目录下的文件变化监控的重要性,并提供了相关的参考资料。
Electron 应用安全 桌面应用安全 代码注入攻击 DLL 劫持 远程调试攻击 持久化攻击 安全监控 漏洞分析 跨平台安全
0x2 炸裂!这款 BurpSuite 插件让 Web 漏洞探测效率提升十倍
棉花糖网络安全工具箱 2026-07-11T10:38:51 棉花糖糖糖
本文介绍了一款名为xia_tan的BurpSuite插件,该插件旨在提高Web漏洞探测的效率。xia_tan插件专注于对常见Web漏洞进行初步扫描,无外部依赖,体积小巧但功能强大。它支持多种漏洞检测,包括反射型XSS、SQL注入、SSTI模板注入、NoSQL注入等。插件采用行级Jaccard相似度算法和布尔盲注对照算法,能够有效减少误报,提高检测效率。xia_tan插件还提供了详细的扫描流程、配置管理和结果查看功能,支持手动扫描和自动监控。文章还介绍了插件的技术亮点、架构设计、项目结构和使用方式,并对编译部署环境提出了要求。
网络安全工具 漏洞扫描 Web安全 安全测试 编程技术 开源项目
0x3 DVWA每日实操系列|第8期 弱会话ID漏洞 Weak Session IDs
网络安全学习室 2026-07-11T10:31:36 © 点击关注👉
本文详细介绍了DVWA(Damn Vulnerable Web Application)中的弱会话ID漏洞及其不同安全级别的防护措施。文章首先解释了会话ID漏洞的通俗原理,即通过简单的Session-ID生成规则,攻击者可以猜测会话值并伪造Cookie登录他人账号。接着,文章分别针对Low、Medium、High和Impossible级别防护的漏洞成因、防护逻辑和绕过方式进行了解释。最后,文章提供了真实SRC(Security Response Center)落地思路和漏洞报告模板,并给出了修复建议,包括使用安全随机函数生成Session-ID、设置会话超时时间等。文章还提醒读者,弱会话ID在中小型开发项目中十分常见,并且只要Session-ID规律性强,就可以提交漏洞。
Web安全 漏洞分析 安全编程 SRC挖洞 网络安全入门 CTF比赛 实战教程
0x4 AI与云安全事件案例分析周报|2026.07.06 - 2026.07.10
绿盟科技研究通讯 2026-07-11T08:00:00 © 星云实验室
本周网络安全事件聚焦于AI Agent执行边界、AI编排平台暴露、云身份钓鱼与开发者供应链安全。GhostApproval攻击利用AI编码助手处理恶意符号链接时的审批绕过,将恶意仓库变成本地主机入口,影响Amazon Q Developer等多款工具。Langflow多漏洞被利用,其编排平台成为算力、凭证和二阶段载荷入口,CISA要求联邦机构紧急修复。Forg365平台将Microsoft 365钓鱼、OAuth与会话持久化产品化,利用AI生成钓鱼邮件并刷新SSO cookie。Injective SDK npm供应链投毒事件中,恶意版本窃取钱包密钥并通过HTTP POST外传,影响大量依赖链。GitHub ghost accounts被用于系统性枚举企业代码组织,攻击者使用休眠账号和泄露PAT进行低噪声枚举。Helix新型vishing组织利用device-code phishing窃取SharePoint数据,通过电话诱导完成认证并注册新的MFA认证器维持访问,自动化枚举并批量下载SharePoint文件。这些事件揭示了AI技术融合带来的新型攻击路径和风险,涉及供应链安全、身份认证、数据窃取等多个层面,需要加强边界防御、权限管理和应急响应能力。
云安全 人工智能安全 供应链安全 身份认证安全 社会工程学 开发者安全
0x5 【病毒分析】某银狐伪装Steam客户端启动器”Steam.exe“、”Telegram简体中文语言包“隐蔽投毒
只会看监控的实习生 2026-07-11T08:00:00 菜狗
该文章详细分析了一个被恶意代码修改过的Steam启动器样本。样本通过protobuf注册路径在WinMain执行前触发恶意代码,而非常见的入口点或TLS回调方式。恶意代码首先在内存中构造模块名,并使用自定义API哈希逻辑解析函数地址。接着,样本检查当前模块路径是否包含“语言”字符串,若包含则解码字符串并打开Telegram汉化钓鱼链接。随后,恶意代码通过ShellExecuteA打开URL下载bmp文件到内存中。下载的文件大小为0x22808字节,但文章中提到访问该地址时已无法下载。解密算法采用原地逐字节XOR变换,使用自定义密钥和混合计数器进行解密。最终,解密后的shellcode作为gdi32!EnumObjects的回调函数执行,从而在枚举GDI对象过程中执行远程恶意代码。文章最后提供了样本的IOC信息,包括URL、MD5和SHA值,并提醒用户下载软件时需谨慎,注意辨别是否为官方版本。
恶意软件分析 植入攻击 网络钓鱼 文件下载 内存解密 API Hooking 社会工程学 隐蔽性技术
0x6 ThinkCMF漏洞全解析:从版本识别到Getshell的实战指南
小兵搞安全 2026-07-11T07:39:48 © simeon的文章
本文详细梳理了ThinkCMF内容管理系统在三个主要版本(X系列、5.x系列、6.x系列)中存在的十余个已确认漏洞,并提供了完整的利用路径和防御方案。文章首先强调了版本识别的重要性,因为不同版本的攻击路径差异很大,识别技巧包括访问/README.md、/admin和查看响应头等。接着,文章详细分析了四个主要的Getshell漏洞:X系列的前台模板注入(无需认证,CVSS 9.8)、5.x系列的后台路由注入(需后台权限)、X系列和6.x系列的Ueditor文件上传漏洞(需前台登录或权限),以及5.x系列的ThinkPHP5底层RCE漏洞(无需认证)。此外,还提到了一些辅助漏洞,如SQL注入系列、任意文件删除、CSRF创建超级管理员等。文章最后提供了一个实战决策树,帮助攻击者根据目标版本选择合适的攻击路径,并推荐了自动化检测工具和防御加固方案,强调了版本升级、权限控制、安全配置和代码审计的重要性。
CMS安全 漏洞分析 ThinkPHP 模板注入 文件上传漏洞 路由注入 SQL注入 跨站脚本(XSS) 跨站请求伪造(CSRF) 权限提升 Webshell获取 漏洞利用 防御加固 版本识别 安全研究
0x7 威胁情报 | Injective SDK 投毒,加密钱包私钥失窃
白帽子 2026-07-11T07:11:00 慢雾安全团队
安全研究公司 Socket 和 SlowMist MistEye 发现 @injectivelabs/sdk-ts 1.20.21 版本存在异常行为,该 SDK 是 Injective 官方 SDK,用于查询链上数据、构造交易、签名以及导入或生成钱包密钥。恶意代码会在部分私钥派生接口被调用后,将助记词或字符串私钥推入队列,经 Base64 编码后放入 X-Request-Id 请求头,再以 HTTP POST 请求发出。恶意代码被植入了 SDK 的密钥派生路径,触发条件不是安装,而是应用实际调用钱包接口。正常的 SDK 外观掩盖了异常的参数,恶意区块位于 accounts 构建文件中,注释使用了 key-derivation-telemetry、anonymized usage metrics 和 SDK optimization 等字样,但参数承载的却是钱包根密钥。程序先把记录放入全局队列,等待约 2 秒;如果期间发生多次密钥派生,就用 | 连接成一批,随后,程序使用 Base64 编码。发送函数优先使用 fetch,把数据放到 X-Request-Id 请求头,正文为空;如果 fetch 不可用且 __require 可用,才回退到 Node.js 的 https.request。主机名没有明文写在代码中,而是被拆成数字数组,再通过 String.fromCharCode 还原。当前报告记录其曾解析到 15[.]235[.]87[.]88;DNS 结果会随时间和查询位置变化,不能单独用来判断服务控制权。对使用者而言,最紧迫的问题是确认密钥是否经过受影响的接口。建议检查依赖树、依赖锁定文件、缓存、容器镜像和已构建前端资产,确认没有继续使用 @injectivelabs/sdk-ts@1.20.21。升级到维护者确认并由组织自行验证的安全版本;不要只删除缓存后继续使用原有钱包密钥。盘点所有通过该 SDK 派生或导入的助记词、私钥和测试密钥。对高价值钱包生成新密钥并转移资产,同时撤销旧地址的授权、合约角色和自动签名权限。
供应链攻击 恶意代码注入 密钥管理 数据泄露 npm 生态安全 后门机制 Web3 安全 静态/动态分析
0x8 fast-mcp-telegram 存在严重漏洞,攻击者无需令牌即可访问 Telegram 会话
暗镜 2026-07-11T06:00:00 © ZM
fast-mcp-telegram 存在一个严重的安全漏洞(CVE-2026-52830),该漏洞允许攻击者无需有效的持有者令牌即可访问 Telegram MCP 会话。漏洞源于会话文件解析中的路径遍历缺陷,攻击者可以通过构造特定的路径遍历别名来绕过令牌验证。该漏洞影响了 fast-mcp-telegram 的所有版本(≤ 0.19.0),在版本 0.19.1 中得到了修复。攻击者可以利用此漏洞读取和发送 Telegram 消息、执行 MTProto API 调用,并访问为该会话配置的工具和附件。
漏洞披露 身份验证漏洞 路径遍历 Telegram安全 服务器安全 代码审计 安全更新
0x9 威胁情报 | Injective SDK 投毒,加密钱包私钥失窃
慢雾科技 2026-07-10T21:53:00 © 慢雾安全团队
安全研究公司 Socket 和 SlowMist MistEye 在对 npm 生态的威胁狩猎中,发现 Injective 官方 SDK @injectivelabs/sdk-ts 1.20.21 版本存在异常行为,涉及恶意代码注入。该 SDK 用于处理链上数据、交易、签名及钱包密钥,具有高度信任性。恶意代码在调用部分私钥派生接口后,会将助记词或私钥推入队列,经 Base64 编码后放入 X-Request-Id 请求头,再以 HTTP POST 请求发出。分析显示,恶意代码被植入 SDK 的密钥派生路径,而非安装阶段。虽然 SDK 外观正常,但恶意代码直接接收完整助记词或私钥,未做任何匿名化处理。恶意数据会等待约 2 秒后批量发送,使用 gRPC-Web 风格的 Content-Type,但请求正文为空,密钥数据仅出现在请求头中。目标地址为 Injective 官方域名下的 testnet.archival.chain.grpc-web.injective.network,但无法确认数据是否已被服务端保存或读取。建议用户检查依赖树、升级到安全版本、盘点所有通过该 SDK 派生或导入的密钥,并监控相关日志。MistEye 平台可提供恶意活动检测与供应链风险预警能力。
供应链攻击 恶意软件 密钥窃取 npm 安全 后门 数据泄露 Web3 安全 恶意代码分析
0xa 让codex或chatgpt对外提供API key给安全工具
进击的HACK 2026-07-10T20:45:41 © 进击的HACK
本文介绍了Codex-proxy这款工具,它能够将Codex Desktop的能力以OpenAI、Anthropic、Gemini标准协议对外暴露,使得其他AI客户端能够无缝接入。这种中转站的方式对于个人用户来说可能不是必需的,但对于需要使用API和Key的网络安全工具来说,Codex-proxy提供了便利。文章详细说明了如何在Windows上配置Codex-proxy,包括添加账号、配置代理、获取接口和Key信息,以及如何使用curl进行验证。此外,文章还通过CipherBridge等安全工具的例子,展示了如何将Codex-proxy集成到其他安全工具中,提高了网络安全分析的能力。
API安全 开源安全 中间件安全 AI安全 安全配置 逆向工程 云安全
0xb CVE-2026-54390-JTL-Shop-Smarty-SSTI-远程代码执行
Sec打更人 2026-07-10T19:51:32 md-bot
CVE-2026-54390是一个影响JTL Shop 5.2.0至5.7.1版本的服务器端模板注入(SSTI)漏洞。该漏洞允许攻击者在联系表单的“邮件主题”字段中注入恶意模板语法,如Smarty语法,而系统未能对这些输入进行充分的安全过滤。攻击者可以利用这一漏洞读取服务器上的敏感文件,或在5.4.0至5.7.1版本中,通过注册的危险的Smarty修饰符,如unserialize和file_get_contents,从远程服务器下载文件内容,并将恶意内容写入Web目录,从而实现远程代码执行(RCE)。该漏洞的危害等级被评定为严重,CVSS评分为9.8,未经身份验证的攻击者可远程执行代码,完全控制服务器,窃取敏感信息。漏洞利用无需用户交互或特定权限,攻击者首先通过版本检测和版本信息收集来确认目标应用类型和版本,然后利用漏洞探测和远程代码执行payload来触发攻击。
服务器端模板注入(SSTI) 远程代码执行(RCE) XSS攻击 漏洞利用 JTL Shop 软件漏洞 安全公告 安全修复
0xc CVE-2026-40860-ApacheCamel-JMS反序列化RCE 漏洞分析报告
Sec打更人 2026-07-10T19:51:32 md-bot
CVE-2026-40860是Apache Camel中多个JMS相关组件存在的一个严重的不安全反序列化漏洞。该漏洞的核心成因在于camel-jms组件中的JmsBinding.extractBodyFromJms()方法和camel-sjms组件中的JmsBinding类,在处理JMS ObjectMessage时直接进行反序列化,未施加任何限制。攻击者可以通过构造恶意的ObjectMessage,在目标服务器上执行任意代码,实现远程代码执行。该漏洞影响范围广泛,CVSS评分为9.8。攻击者需要目标应用作为JMS消费者运行,并向其监听的队列或主题发布恶意消息。Apache官方已发布修复版本,建议用户升级至安全版本。加固方法包括升级Camel版本、配置JVM级别的反序列化过滤器、配置JMS提供商的反序列化过滤等。
Apache Camel 漏洞 反序列化漏洞 JMS 安全问题 Java 安全 代码执行漏洞 远程代码执行 CVSS 评分高 安全升级建议
0xd 休眠的 GitHub 账户帮助攻击者在映射企业组织时融入其中
HackSee安全生活 2026-07-10T19:47:55 HackSee安全团队
Datadog安全实验室近日警告称,攻击者通过GitHub API系统性地枚举企业GitHub组织、存储库和用户帐户。攻击者利用休眠的GitHub账户和受损的OAuth令牌或个人访问令牌(PAT)进行活动,这些账户往往已有多年历史。攻击者使用自动抓取工具,通过这些账户在GitHub上克隆私有存储库。尽管大多数活动针对公共数据,但攻击者已成功克隆私有存储库。这种攻击手段旨在避免引起注意,将活动伪装成合法的API使用。攻击者利用GitHub API的无需身份验证的部分,通过聚合大量账户的活动来克隆私有数据。
GitHub 安全漏洞 API 安全 账户安全 数据泄露 自动化攻击 持续监控
0xe Telegram租用的RedWing恶意软件,可致任何人获取Android间谍工具
FreeBuf 2026-07-10T19:20:48
Telegram平台上发现名为RedWing的Android间谍软件,以订阅制形式出售,技术源自Oblivion恶意软件家族。该恶意软件通过提供详细文档、视频教程和定制机器人系统,降低了攻击者的入门门槛。RedWing通过钓鱼链接和伪造应用商店页面进行感染,利用社会工程学手法诱导用户授权关键系统权限。恶意软件具备深度系统控制权,可窃取银行凭证、拦截短信、监控设备摄像头和麦克风。RedWing还具有模块化架构和动态目标更新技术,能够通过控制面板更换攻击目标和应用皮肤。防御建议包括不安装不明链接应用、拒绝无明确需求的应用的权限请求,以及警惕隐藏图标的应用。RedWing还能将感染设备组成僵尸网络,进行协同DDoS攻击。
Android恶意软件 恶意软件即服务(MaaS) 间谍软件 Telegram平台 钓鱼攻击 社会工程学 权限劫持 远程监控 僵尸网络
0xf GitHub API遭滥用,企业代码库面临隐秘侦查威胁
FreeBuf 2026-07-10T19:20:48
本文揭示了GitHub API被滥用的网络安全威胁。攻击者利用GitHub公共API和幽灵账户对企业软件环境进行画像,以隐蔽的方式融入正常开发者活动。GitHub作为软件供应链的核心,提供了源代码、密钥和自动化流水线,成为攻击者的目标。Datadog安全研究团队发现,这些攻击活动呈现持续性模式,通过定制化自动扫描工具和幽灵账户网络进行。攻击者使用多年历史的账户和定制工具,通过GitHub API获取组织架构、仓库成员关系等信息。文章还提供了企业防护建议,包括监控用户代理、启用多因素认证、定期审查用户访问权限等,以应对此类威胁。
API Security Code Repository Security Enterprise Security Attack Detection Software Supply Chain Phishing and Account Compromise Automated Attack Tools Data Leakage
0x10 Apple Model I/O再爆USD越界写入漏洞
船山信安 2026-07-10T18:10:00 © Only
本文详细分析了苹果公司近期修复的一个Model I/O框架中的USD文件越界写入漏洞。该漏洞源于Pixar开发的USD场景描述语言,苹果在iOS、macOS、visionOS等多个产品中内置了该框架。漏洞存在于处理Alembic文件时,由于libusd_ms组件在解析Property值时未进行充分校验,导致攻击者可以通过构造畸形USD文件触发越界写入。恶意文件可以通过多种方式触发解析,如Quick Look预览、Spotlight索引等。Apple在2026年2月11日发布了修复补丁,涉及iOS、iPadOS、macOS和visionOS等多个版本。
软件漏洞 缓冲区溢出 文件解析漏洞 操作系统安全 漏洞利用 安全更新
0x11 魔改二开哥斯拉webshell工具--助力红蓝对抗
安全天书 2026-07-10T18:09:08 © Hello888
本文介绍了一种基于原版Godzilla的二次开发版本的webshell工具,该工具在原版基础上进行了重构与增强,重点解决了请求连接时的默认流量和免杀等问题。文章强调了该工具的使用仅限于安全测试和防御研究,禁止用于非法入侵或攻击他人系统。工具的免杀测试和更多魔改二开细节在文章中未详细展开,但提到了该工具已经同步到特定圈子中。圈子内分享了许多红队技术文章、攻防经验总结、自研工具与插件,包括多种免杀工具、红队场景下的钓鱼技术和对抗EDR的方法。文章还提到了一些往期推荐的免杀课程和红队工具更新。
Webshell 免杀技术 红蓝对抗 渗透测试 网络安全工具 安全研究 实战经验 技术分享
0x12 勒索软件用上了微软签名的恶意驱动:GodDamn把你的EDR变成了瞎子
安世加 2026-07-10T18:00:00
Symantec威胁猎手团队近日揭露了一个名为GodDamn的勒索软件家族,该家族利用了一个带有微软合法签名的恶意内核驱动,能够在攻击前使目标系统的EDR和杀毒软件失效。该勒索软件由开发者Hyadina所创建,已有四年历史,其攻击手段不断升级,包括从32位Windows系统扩展到支持Linux和ESXi,并增加了多语言支持。GodDamn勒索软件使用PoisonX驱动,该驱动能够绕过Windows的驱动签名验证,使得攻击者能够在不被察觉的情况下加载恶意驱动。攻击者通过部署防御规避工具、凭证收割工具包和横向移动技术,逐步控制目标网络。文章强调了恶意驱动获得微软签名和勒索团伙防御规避系统化的趋势,并建议企业安全团队加强内核驱动安装行为的监控,以及提高对远程访问工具和横向移动命令链的警惕。
勒索软件 恶意驱动 安全漏洞 EDR绕过 防御规避 Windows安全 安全事件分析 恶意软件家族 安全趋势
0x13 安全热点周报:Adobe ColdFusion 曝高危漏洞,披露后两小时内即遭利用
奇安信 CERT 2026-07-10T17:42:41
本文摘要了最新的网络安全资讯,包括多个漏洞情报、新增在野利用、安全事件以及政策法规动态。在漏洞情报方面,通报了用友U8cloud、XWiki Platform、Linux FUSE page cache、Citrix NetScaler和Adobe ColdFusion等多个产品的安全漏洞,这些漏洞涉及SQL注入、路径遍历、本地权限提升、内存越界读取和任意文件上传等风险。新增在野利用部分,重点介绍了Adobe ColdFusion、Langflow和JoomShaper等产品的漏洞被攻击者积极利用的情况。安全事件方面,报道了AI编程工具Claude Code的安全后门隐患、埃森哲数据泄露、中学生利用ChatGPT攻击动漫网站、首个AI勒索攻击以及马来西亚数字停车服务被黑等事件。政策法规动态包括欧盟发布《网络安全与人工智能行动计划》、中国发布多项网络安全国家标准以及《国有文物资源数据管理办法》等。这些信息提醒网络安全从业者需高度关注并及时应对潜在的安全威胁。
漏洞情报 在野利用 安全事件 政策法规 SQL注入 路径遍历 权限提升 内存越界 路径穿越 不安全直接对象引用 任意文件上传 AI安全 勒索软件 数据泄露 金融业安全 欧盟政策
0x14 【高危漏洞预警】Firefox JIT引擎误编译漏洞CVE-2026-10702
飓风网络安全 2026-07-10T17:40:44 jufeng
本文详细分析了Mozilla Firefox浏览器中存在的一个高危漏洞CVE-2026-10702。该漏洞位于Firefox的JavaScript引擎(IonMonkey JIT编译器)中,是一种即时编译误编译漏洞。攻击者可以利用构造的恶意JavaScript代码触发JIT编译器生成存在边界逻辑错误的机器码,从而实现越界内存访问和沙盒内任意代码执行。Mozilla在Firefox 151.0.3版本中修复了该漏洞。漏洞分析包括背景、漏洞成因、利用路径和危害,以及影响范围和风险评估。文章还提供了漏洞验证的POC代码,并讨论了修复方案和缓解措施,包括官方修复方案、临时缓解措施和企业侧防护建议。此外,文章还提到了在野利用态势,指出尽管目前没有公开证据显示该漏洞已被在野批量利用,但攻击复现门槛持续降低,存在被定向攻击的风险。
Web安全 浏览器漏洞 JIT编译器漏洞 内存访问违规 沙盒逃逸 Android安全 高危漏洞 漏洞预警
0x15 phpmyadminxa0未授权 getshell
蚁景网安 2026-07-10T16:30:00 © The Ju1y
本文主要讲述了一个关于phpMyAdmin的未授权漏洞利用过程。作者在进行渗透测试时,偶然发现了一个较少见的phpMyAdmin攻击手法。文章首先介绍了环境搭建过程,使用的是Metasploitable2靶场。接着,作者详细描述了如何发现并利用CVE-2012-1823漏洞,通过设置allow_url_include和auto_prepend_file选项来开启远程文件包含功能,并通过php://input读取HTTP请求体中的内容。作者使用了一句话木马getshell进行攻击,并通过反弹shell的技术成功获取了目标服务器的控制权。最后,作者展示了如何利用Kali Linux中的webshell来反弹shell,并说明了整个过程没有生成文件。
0x16 红队内网渗透实战:CVE-2020-0796 SMBGhost 利用(附 EXP 工具)
倍果科技 2026-07-10T13:21:43 © 倍果科技
本文详细介绍了CVE-2020-0796,也称为SMBGhost,这是一个影响Windows SMBv3.1.1压缩机制的远程代码执行漏洞。文章首先提供了获取利用该漏洞的工具的方法,并简要介绍了漏洞的常见影响范围和修复节点。接着,文章讨论了红队护网中可能遇到的典型场景,并提醒了使用MSF攻击可能导致目标蓝屏的风险。文章重点介绍了基于Go语言编写的exp工具,该工具可以在内网渗透中使用,且无需额外安装运行环境。此外,文章还提供了工具的参数说明、实战利用的注意事项,并讨论了实战中可能遇到的误区和常见错误。文章强调了检测漏洞存在并不代表一定能成功利用,并指出目前没有工具能100%精准判定漏洞是否存在。最后,文章提醒读者不要将内容用于非法用途,并提供了免责声明。
漏洞利用 红队攻击 内网安全 Windows系统安全 EXP工具 漏洞修复 实战案例分析
0x17 群友靶机之Putty
MS02423 2026-07-10T11:01:33 © MS02423
本文记录了一次针对Sublarge佬的网络安全靶机实战过程。作者首先通过rustscan探测靶机开放端口,发现80端口存在信息,随后使用gobusterdir进行目录扫描,并绕过了403错误,成功获取了名为1.zip的文件。通过分析,发现该文件包含PuTTY格式的SSH私钥,但需转换成OpenSSH格式。作者成功连接到系统后,尝试获取rosers用户的shell权限,并通过公钥写入到brendon用户的.ssh/authorized_keys中,使用SSH密钥登录rosers用户。最后,作者通过将RFC4716格式的公钥写入root用户的.ssh/authorized_keys,成功以root用户权限登录系统。整个渗透过程详细展示了信息收集、漏洞利用、权限提升和提权等网络安全攻击步骤。
渗透测试 网络安全漏洞 靶场学习 SSH安全 Web安全 信息收集
0x18 西软云XMS download2 任意文件读取漏洞
Nday Poc 2026-07-10T10:09:36 Superhero
本文介绍了西软云XMS download2接口存在的任意文件读取漏洞。该漏洞允许未经身份验证的远程攻击者获取服务器敏感信息,对系统安全构成严重威胁。文章中提到了如何通过搜索引擎FOFA进行漏洞搜索,并提供了漏洞复现步骤和自查工具。同时,还给出了修复建议,包括关闭互联网暴露面、设置访问权限和升级至安全版本。此外,文章还介绍了Nday漏洞实战圈,一个专注于公开1day/Nday漏洞复现的内部圈子,包括资源内容、更新计划和适用场景,并强调了仅限合法授权测试的重要性。
漏洞分析 任意文件读取 安全漏洞 网络安全 漏洞复现 防护建议
0x19 【CVE-2026-46215】通过 DRM GEM change_handle 中的UAF功能获得ROOT权限
骨哥说事 2026-07-10T09:49:24 © 骨哥说事
本文详细介绍了一个存在于DRM GEM核心ioctl DRM_IOCTL_GEM_CHANGE_HANDLE 中的释放后重用漏洞,该漏洞允许任何能访问渲染节点的本地用户提升至root权限。漏洞源于drm_gem_change_handle_ioctl()在移动GEM对象句柄时,未正确调整对象的handle_count,导致在短暂的时间窗口内,对象存在两个IDR条目而其句柄计数仍显示为1。在此期间,若对旧句柄执行并发DRM_IOCTL_GEM_CLOSE,会导致计数降至0并释放对象,而新句柄仍指向该已释放的对象,形成悬垂句柄,造成释放后重用。由于相关ioctl标记为DRM_RENDER_ALLOW,任何能打开/dev/dri/renderD*的本地用户均可触发此漏洞。在主流桌面发行版上,systemd-logind 默认授予活动会话读写该节点的权限,因此普通登录用户无需特殊权限即可利用此漏洞。文章还描述了利用链的构建过程,包括通过喷洒pipe_buffer数组回收其slab槽位、泄漏内核指针以绕过KASLR、设置PIPE_BUF_FLAG_CAN_MERGE来绕过DirtyPipe修复,以及通过页面缓存覆盖只读的/etc/passwd,最终实现无密码root权限获取。修复方案由David Francis和Dave Airlie提出,他们选择直接禁用change_handle ioctl而非持续修补,并在7.1版本中彻底移除该接口。
内核漏洞 竞争条件 提升权限 本地漏洞 引用计数错误 DRM 内核安全 利用链
0x1a 当漏洞猎人成了猎物:ChocoPoC 木马借假 PoC 仓库精准攻陷安全研究员
幻泉之洲 2026-07-10T09:47:00
ChocoPoC木马通过GitHub上的假漏洞利用代码(PoC)仓库攻击安全研究员。攻击者利用安全研究人员急于验证新漏洞的心理,在GitHub上发布恶意依赖包,一旦研究人员克隆并运行代码,木马便激活并窃取浏览器密码、Cookie和文件,同时开启后门。ChocoPoC木马的设计狡猾,恶意代码藏于依赖包中,且不会在沙箱环境中触发。它能够窃取密码、Cookie、浏览历史、文本文件、本地数据库等,并通过合法的地图服务平台Mapbox进行通信,以规避检测。攻击者已发现至少七个假的PoC仓库,针对多个高危漏洞,其中skytext包下载量高达2400次。安全研究员成为攻击目标,因为他们的机器上存有敏感信息。研究人员建议对PoC持怀疑态度,检查依赖链,并在隔离环境中测试,同时警惕供应链攻击的可能性。
网络安全攻击 恶意软件分析 漏洞利用 供应链攻击 安全研究员 代码审计 安全意识 漏洞披露 GitHub安全
0x1b 漏洞复现 | OpenCode content 接口任意文件读取漏洞
实战安全研究 2026-07-10T09:00:00
本文详细介绍了OpenCode content接口的任意文件读取漏洞。该漏洞允许未经身份验证的攻击者通过构造特定的路径参数来读取服务器上的任意文件,包括敏感信息如系统配置文件和数据库凭证。文章首先说明了漏洞的描述和影响,指出漏洞存在于OpenCode3版本中,并通过FOFA语法进行了测绘。接着,文章提供了漏洞复现的方法和检测POC,并建议用户联系厂商打补丁或升级版本,增加Web应用防火墙防护,以及限制接口访问权限来修复漏洞。此外,文章还提到了一个内部圈子,提供了一站式的漏洞POC和复现服务,并强调了合法安全测试的重要性。
漏洞分析 文件读取漏洞 未授权访问 安全研究 漏洞复现 漏洞修复 开源安全
0x1c OPNsense Root RCE 漏洞(CVE-2026-57155,CVSS 9.9) PoC已公开,建议立即升级!
杂杂咱谈 2026-07-10T08:55:31 © tuto
本文详细介绍了OPNsense防火墙中一个严重的高危漏洞CVE-2026-57155。该漏洞CVSS评分高达9.9,允许攻击者通过拥有Firewall: Alias: Edit权限,利用GeoIP Alias Importer功能中的任意文件写入缺陷,最终获取Root权限并执行任意代码。漏洞允许攻击者从任意URL下载恶意数据库,通过构造恶意路径写入系统任意位置。官方已发布修复更新,建议用户升级至最新版本以消除风险。文章还提供了漏洞的详细技术分析、影响版本、修复版本以及安全建议,包括立即升级、收紧权限管理、检查异常配置和加强日志监控等,以帮助用户降低被攻击的风险。
漏洞分析 安全漏洞 防火墙安全 权限提升 PoC公开 安全建议 开源安全
0x1d 你的 Claude Code 可能在偷偷“汇报”——官方通报后门,附处置 checklist
重生之咸鱼说安全 2026-07-10T08:54:48 © 重生之咸鱼说安全
近日,工信部网络安全威胁和漏洞信息共享平台(NVDB)发布风险提示,指出美国Anthropic公司开发的AI编程工具Claude Code存在安全后门隐患。该工具在v2.1.91至v2.1.196版本中,未经用户同意向远程服务器回传地域、身份标识等敏感信息。Claude Code的监控机制通过静默扫描环境、使用Unicode撇号变体打隐写水印、随正常请求回传水印等手段,几乎不被防火墙检测到。事件暴露出AI coding工具在运行于最高权限的开发终端时,可能对代码仓库和本地配置构成威胁。NVDB建议受影响终端立即卸载或升级至最新版本,并加强网络层、终端层和治理层的防护措施。
AI工具安全 安全后门 数据泄露风险 软件供应链安全 监管与合规 漏洞分析 网络安全事件 逆向工程 隐私保护
0x1e 微软修复 Windows Defender RoguePlanet 漏洞 CVE-2026-50656
黑猫安全 2026-07-10T08:46:55 鹏鹏同学
微软近期发布了安全更新,修复了Windows Defender中的一个严重漏洞CVE-2026-50656,该漏洞代号为RoguePlanet,CVSS评分为7.8。这个漏洞影响Windows Defender的恶意软件防护引擎,允许攻击者在已获得系统访问权限的情况下提升本地权限。微软在6月中旬承认了该漏洞的存在,并迅速开发补丁。安全研究员Chaotic Eclipse(网名Nightmare-Eclipse)公开了该漏洞的概念验证漏洞利用代码(PoC),指出漏洞源于竞争条件。研究人员在安装了6月周二补丁日的更新后成功复现了漏洞。尽管微软已经修复了该漏洞,但研究人员仍发现Windows Defender存在其他高危缺陷。该漏洞利用程序目前无法在Windows服务器系统上生效,但研究人员指出,底层漏洞仍可能影响服务器环境。微软建议用户开启软件自动更新功能,并定期检查软件分发机制是否正常运作。
漏洞修复 本地权限提升 Windows Defender 恶意软件防护 零日漏洞 安全更新 竞争条件漏洞 安全研究员 系统安全 软件补丁
0x1f 【应急响应】 护网中,蓝队该如何撰写技法?
那夜的雨夹雪 2026-07-10T08:13:00 © 我是一只白大鹅
本文探讨了网络安全攻防演练中蓝队如何撰写技战法文档。文章首先明确了技战法的定义和重要性,指出技战法是攻防对抗过程中实战技巧的系统化总结,能够为参赛人员提供攻防思路参考与实战指导。接着,文章从多个角度分析了技战法的选题方向,包括溯源反制、资产漏洞管控、装备设备工具产品、情报分析、应急处置和整体防御策略等。此外,文章还提供了几个技战法主题的参考,并介绍了技战法文章的常见架构,包括背景、目的、思路、主要内容、总结等。最后,文章以一个反制红队AI的技战法示例进行说明,并推荐了一些相关文章和博客,供读者参考学习。
网络安全应急响应 网络安全攻防演练 技战法撰写 溯源反制 资产漏洞管控 安全设备工具 情报分析 应急处置 整体防御策略 人工智能在网络安全
0x20 CVE复现 | CVE-2026-31816漏洞复现
凌日网络与信息安全团队LapR1skT 2026-07-10T08:00:00 © LRT凌日
本文详细介绍了CVE-2026-31816漏洞的复现过程。该漏洞存在于Budibase开源低代码平台中,由于服务端authorized()中间件在处理Webhook路径时使用了非锚定正则表达式,导致攻击者可以通过在API请求末尾拼接特定的Webhook路径字符串来绕过身份认证和CSRF防护,实现对服务端所有API端点的完全访问和操作。文章中提供了漏洞逻辑源码地址、代码定位、环境配置和漏洞验证的详细步骤,包括基于docker-compose搭建环境、启动服务、创建workspace以及如何通过附加Webhook路径模式来获取appid和敏感信息。同时,文章还引用了相关参考资料,并提出了免责声明。
漏洞复现 低代码平台安全 Webhook安全 身份认证漏洞 CSRF防护 API安全 开源软件安全
0x21 【热点安全风险】7月10日 |Google发布Chrome更新,修复27个安全漏洞,包含多个常用组件中的Critical级别漏洞
华顺信安威胁情报中心 2026-07-10T07:30:00
本文详细分析了近期网络安全领域的主要风险和漏洞。包括Google发布的Chrome 150更新修复的27个安全漏洞,Ubiquiti披露的UniFi OS多项关键漏洞,AI编码代理的安全问题,Microsoft 365身份治理中的新认证方式风险,伪造支付SDK包的攻击,以及保险行业的数据泄露事件。文章提出了相应的风险处置建议,强调企业应重点关注浏览器补丁、网络管理平台、AI研发工具、身份注册流程、开源依赖和敏感数据文件等安全风险,并提供了具体的加固建议和应对措施。
浏览器安全漏洞 企业安全防护 网络设备安全 AI安全风险 身份认证安全 支付安全 数据泄露 开源依赖管理 终端安全管理
0x22 TLCP(ECC_SM4_CBC_SM3)流量包验签解密
利刃信安 2026-07-10T00:30:00 © 利刃信安
本文详细分析了TLCP(ECC_SM4_CBC_SM3)协议的流量包验签解密过程,涉及SM2验签、SM4-CBC解密和HMAC-SM3完整性校验。文章首先介绍了协议概览,包括协议类型、鉴别类型、密码套件、加密算法、杂凑算法和签名算法等。接着,详细描述了TLCP握手流程,包括客户端和服务端的交互过程。在SM2签名验签过程中,文章解释了随机数生成、服务端证书、签名值、签名源数据和验签过程。密钥派生过程部分,介绍了预主密钥、主密钥和工作密钥的派生方法。SM4-CBC逐条解密过程部分,详细解析了EtM算法、记录1(客户端Handshake)、记录2(服务端Handshake)、记录3(客户端AppData)和记录4(服务端AppData)的解密和HMAC验证过程。最后,文章总结了密码学算法参数和HMAC-SM3验证详解,验证了所有记录的HMAC有效性。
0x23 【高危漏洞预警】GhostLock (CVE-2026-43499):Linux内核15年栈UAF漏洞,本地提权与容器逃逸风险通告
飓风网络安全 2026-07-09T23:43:03
Nebula Security团队于2026年7月7日公开了Linux内核中存在长达15年的高危本地权限提升漏洞CVE-2026-43499,命名为GhostLock。该漏洞影响Linux 2.6.39至7.1版本的几乎所有主流Linux发行版,攻击者仅需本地普通用户权限即可触发,实现内核权限提升至root,并可完成容器环境逃逸。漏洞利用代码已公开,对云主机、容器集群、共享服务器等场景构成严重威胁。该漏洞的核心问题在于内核实时互斥锁子系统的remove_waiter()函数中的逻辑错误,导致栈释放后使用(Stack Use-After-Free)漏洞。文章详细分析了漏洞的技术深度,包括背景、根因、栈UAF的形成,以及影响范围和风险评级。同时,文章还提供了漏洞验证POC和修复方案与防护建议,包括官方补丁、临时缓解措施和注意事项。
Linux内核安全 本地提权漏洞 栈溢出漏洞 容器逃逸 高危漏洞 云安全 漏洞利用 安全补丁 安全加固
0x24 银狐病毒应急响应方案
灰帽大于 2026-07-09T21:35:36 灰帽大于
本文详细介绍了针对企业环境中发现的银狐病毒(Silver Fox)的应急响应方案。方案首先描述了银狐病毒的特征,包括钓鱼邮件传播、微信滥用、信息窃取、持久化控制和横向移动等。接着,方案分为三个阶段:紧急遏制、深入排查和清理与恢复,详细说明了每个阶段的步骤和操作。此外,方案还提供了后续加固建议,包括邮件安全、终端安全、网络安全、账户安全和安全意识培训等方面。最后,方案提供了常见的IOC指标、应急响应时间线模板、联系人与资源以及附录,以便于应急响应过程中的参考和操作。
恶意软件分析 应急响应 钓鱼攻击 病毒防护 网络安全意识 企业安全 Windows系统安全 网络攻击技术
0x25 hvv 2026 - 今年攻防演练的新变量:WAF 看不见,后端却执行了
MessFreeSecurity 2026-07-09T20:02:20 © MessFeel
《Cast Attack: A New Threat Posed by Ghost Bits in Java》一文揭示了Java生态中一种新型的安全威胁。该攻击利用Java的char类型为16位,但在很多代码中只使用低8位的特性,导致高位字符在转换为字节时被截断,从而产生语义分叉。WAF在HTTP层看到的请求可能是一串乱码,而后端在执行时却解析出攻击指令。文章详细分析了四种攻击场景:文件上传绕过、Jackson和fastjson的JSON字段变形、路径穿越和认证绕过、SMTP注入和邮件头注入。这些攻击利用了Java资产面广、蓝队关注度不足、天然适合WAF绕过、容易造成日志错位等特点。蓝队可以通过资产排查、代码检索、日志检测和统一解析语义来防范此类攻击。文章强调,高位字符出现在敏感位置时不应被忽略,并且需要建立一种意识,将所有进入路径、协议、文件名、Header、邮箱、JSON key的高位字符视为潜在的攻击向量。
0x26 npm 和 PyPI 恶意软件活动通过虚假支付 SDK 窃取 CI/CD 机密信息
安全圈的那点事儿 2026-07-09T19:08:00 © 网络安全9527
本文报道了一起针对npm和PyPI的供应链攻击,攻击者通过伪装成知名支付服务SDK的恶意软件包,窃取CI/CD机密信息。攻击涉及17个恶意软件包,分发给npm和PyPI,伪装成PaySafe、Skrill和Neteller等支付服务的SDK。这些恶意软件包在发布后迅速被发现为恶意软件。攻击者通过构建逼真的SDK外观,在后台执行数据窃取,并将敏感信息发送到攻击者控制的远程服务器。恶意软件能够规避沙箱和反分析检查,专门针对CI/CD环境中的常见密钥,如API密钥和令牌。该攻击显示出了高度的专业性和经济动机,攻击者通过在不同生态系统之间快速切换,增加了防御的难度。文章还提供了防御建议,包括审查依赖项、加强密钥管理和实施供应链卫生措施。
供应链攻击 恶意软件 CI/CD 漏洞 支付服务攻击 环境感知攻击 反分析技术 数据泄露 漏洞利用
0x27 首个一键式Android 17漏洞利用链可使攻击者完全控制手机
FreeBuf 2026-07-09T18:32:00
Android 17曝一键Root漏洞链,15年内核0Day可致设备完全沦陷。
Android安全 移动安全 漏洞利用 0Day漏洞 内核安全 浏览器安全 自动化安全 安全漏洞披露
0x28 SharePoint远程代码执行漏洞PoC及技术细节公开
FreeBuf 2026-07-09T18:32:00
针对Microsoft SharePoint Server中存在的高危远程代码执行(RCE)漏洞CVE-2025-53770,研究人员已公开概念验证(PoC)利用代码及技术细节。该漏洞允许未经身份验证的攻击者通过网络执行任意代码,影响SharePoint Server 2016、2019及订阅版。微软已发布补丁,但攻击者仍可通过滥用PerformancePoint BI服务的ExcelDataSet控件实现RCE。攻击者利用XML模式处理绕过安全验证,通过构造特定载荷触发RCE。PoC演示了使用低权限账户实现攻击,安全厂商建议立即应用补丁并采取其他安全措施。
远程代码执行(RCE) SharePoint漏洞 数据反序列化漏洞 代码执行漏洞 紧急补丁和补丁管理 XML模式处理漏洞 网络攻击技术 安全建议和应急响应
0x29 【漏洞通告】XWiki Platform Old Core 目录遍历漏洞(CVE-2026-34151)
深信服千里目安全技术中心 2026-07-09T18:06:22 深瞳漏洞实验室
本文详细介绍了XWiki Platform Old Core目录遍历漏洞(CVE-2026-34151)的相关信息。该漏洞存在于XWiki Platform版本低于17.10.518.0.0-rc-1至18.2.0之间,主要影响XWiki平台。漏洞利用条件简单,无需用户认证即可读取高敏感信息,被评定为高危漏洞。漏洞出现在/bin/skin/资源访问接口中,攻击者可以通过双重编码绕过路径校验,读取Jetty进程权限范围内可访问的本地文件。官方已发布修复方案,建议用户升级至17.10.5或更高版本或18.2.0或更高版本。同时,提供了临时修复建议和深信服解决方案,包括风险资产发现、漏洞主动检测等,以及时间轴上漏洞的发现和发布信息。
目录遍历漏洞 XWiki 平台漏洞 CVE-编号 远程攻击 高危漏洞 信息泄露风险 版本更新 漏洞响应
0x2a 【漏洞通告】Linux Kernel GhostLock 权限提升漏洞(CVE-2026-43499)
深信服千里目安全技术中心 2026-07-09T18:06:22 深瞳漏洞实验室
本文介绍了Linux Kernel GhostLock 权限提升漏洞(CVE-2026-43499)的相关信息。该漏洞存在于多个Linux内核版本中,包括Ubuntu和Debian等操作系统。漏洞类型为权限提升,攻击者可以通过构造特定的Futex PI requeue场景来触发该缺陷,进而获得本地root权限。漏洞的影响范围涵盖了多个版本的Linux内核和操作系统。官方已发布漏洞补丁,建议用户及时更新以修复该漏洞。此外,文章还提到了一些临时修复建议,如关闭未使用的功能模块和限制访问源。深信服提供了针对该漏洞的主动检测方案,以帮助用户快速识别风险。
操作系统漏洞 权限提升 高危漏洞 内核漏洞 本地攻击 安全补丁 Linux安全 漏洞通告
0x2b 【已复现】用友U8cloud XChangeServlet SQL注入漏洞(QVD-2026-38848)安全风险通告
奇安信 CERT 2026-07-09T17:43:01
本文通报了用友U8cloud XChangeServlet SQL注入漏洞(QVD-2026-38848),这是一个高危漏洞,CVSS 3.1分数为9.1,可能导致信息泄露和代码执行。该漏洞存在于用友U8cloud的/servlet/XChangeServlet接口,由于对sender参数缺少严格校验,攻击者可以通过构造恶意XML请求来注入SQL语句,进而执行任意命令,获取服务器控制权限。该漏洞影响了包括2.0到5.1sp等多个版本的用友U8Cloud产品。奇安信威胁情报中心已成功复现该漏洞,并提供了相应的安全更新补丁和缓解措施。建议用户尽快检查受影响的系统并应用补丁。
SQL注入漏洞 云ERP系统漏洞 高危漏洞 企业级安全风险 安全补丁更新 奇安信漏洞情报
0x2c AI赋能&&edusrc从前台到后台的简单挖掘案例分享
陌笙不太懂安全 2026-07-09T17:38:00 © 陌笙
本文分享了一个关于edusrc从前台到后台的网络安全挖掘案例。作者通过资产测绘发现了一个IP站点,并从登录框开始进行测试。在信息收集阶段,作者使用了IP138网站来证明资产。测试过程中,作者尝试了用户名枚举、密码爆破、接口测试等手段。通过发现漏洞,作者成功地添加了用户并确认了密码规则。接着,作者测试了上传功能,发现可以上传各种格式的文件,但没有路径解析。在后台测试中,作者发现后台测试比前台简单,并测试了上传功能,但没有成功实现远程代码执行。作者还测试了任意文件读取漏洞,并尝试了越权操作。最后,作者提到了一些突破方向,并使用AI工具进行辅助测试。文章还介绍了陌笙安全纷传圈子,以及提供的一些安全资源和服务。
网络安全实战 漏洞挖掘 渗透测试 漏洞分析 漏洞利用 安全工具 安全框架 安全意识
0x2d 面向红队队员的进攻性 PowerShell 脚本及防御规避技巧
Ots安全 2026-07-09T14:00:56
本文深入探讨了PowerShell在网络安全攻击和红队演练中的应用。文章首先介绍了PowerShell的基础知识,包括其作为命令行解释器和脚本语言的功能,以及如何使用cmdlet和脚本执行任务。接着,文章强调了PowerShell为何在攻击者中如此受欢迎,包括其预装在Windows系统上、支持多平台以及允许内存执行等特点。文章还详细讨论了攻击者如何绕过PowerShell的内置防御措施,如执行策略、AMSI、日志记录和PowerShell受限语言等,并提供了具体的绕过技术,如降级PowerShell版本、字符串混淆、反射技术和内存修补等。此外,文章还介绍了PowerShell在武器化阶段的应用,包括使用下载摇篮技术动态加载脚本、创建反向shell、以及将有效载荷嵌入到HTA文件、Office文档和快捷方式文件中等。文章还重点介绍了ClickFix(伪造验证码)和FileFix(文件资源管理器地址栏)等社会工程学攻击技术,以及如何进行内部侦察和横向移动,包括使用PowerSploit框架和BloodHound工具进行Active Directory枚举,以及使用PowerShell cmdlet和WMI进行横向移动。最后,文章还讨论了内存中.NET程序集执行技术,以避免在磁盘上留下痕迹。
PowerShell 红队演练 无文件攻击 社会工程学 内部侦察 横向移动 防御规避 APT ClickFix BloodHound
0x2e AI 渗透初探:从零开始的实战赋能记录
不秃头的安全 2026-07-08T12:34:18 月
本文介绍了一种基于AI的渗透测试方法论,强调在合法合规的前提下利用AI提高测试效率。作者分享了如何通过设定目标和行为边界,引导AI进行宏观信息收集、业务逻辑梳理、JS接口提取、路由表扒取以及接口参数追踪和Fuzz构造。文章还探讨了非预期漏洞挖掘的重要性,以及如何通过AI进行源码审计、参数模糊测试和漏洞利用。作者认为,AI在信息收集和攻击面放大方面效率很高,但在接口测试的具体分析上仍需人工辅助。此外,作者还介绍了如何编写场景化的Skill来固化测试思路,以及如何将Skill拆分成多个小Skill以适应不同场景。最后,作者提出通过精细化Prompt做行为约束或拆分Skill来进一步提升AI在模糊测试中的能力,并呼吁安全社区共同探索AI在网络安全领域的应用。
人工智能安全 渗透测试 模糊测试 漏洞挖掘 业务理解 技能开发 非预期漏洞 接口测试 安全工具 安全意识
0x2f EDUSRC--记一次信息泄露进入某学院学工系统的渗透测试
掌控安全EDU 2026-07-08T12:21:59 zkaq - kpc
本文介绍了一种通过信息搜集和漏洞利用来渗透学校内部系统的方法。首先,作者建议通过浏览器搜索、Fofa、学校官网以及社交平台等方式搜集学生的学号、身份证后六位等敏感信息。接着,使用鹰图工具搜集学校内部系统资产,发现学工系统存在默认密码,即身份证后六位,从而成功进入系统。进入系统后,作者分析了该系统的技术栈,判断为.NET框架,并推测数据库为MSSQL。针对MSSQL数据库,作者进行了SQL报错注入和布尔盲注测试,成功获取了数据库名称。此外,作者还测试了越权漏洞,发现修改家庭信息模块存在越权问题,并成功触发了XSS漏洞。文章强调了在渗透测试中要全面测试各个功能,避免遗漏漏洞,并根据不同的技术栈有针对性地进行测试。最后,作者提醒读者不要将技术用于非法途径,并强调获取授权的重要性。
0x30 政务网站常见网络安全隐患及整改落地指南
菜根网络安全杂谈 2026-07-08T11:46:20 © Caigensec
本文详细分析了政务网站常见的网络安全隐患,包括网站架构与服务器隐患、程序代码与应用漏洞、数据与信息安全隐患、内容与运维管理隐患等多个方面。文章指出,政务网站的安全运行直接关系到政府公信力、群众信息安全与网络空间稳定。针对这些隐患,文章提出了相应的整改措施,如更新软件版本、收紧账户权限、加强输入验证、部署安全设备、定期安全巡查等。同时,文章还强调了敏感信息泄露、个人信息防护不足、挂马暗链等问题,并提供了相应的防护建议。此外,文章还涉及运维账号管理、外包及供应链管理、日常巡检与应急机制、过期域名管理等方面,为政务网站的安全运营提供了全面的指导。
政务网络安全 网络安全漏洞 安全整改措施 安全合规 安全运维 安全意识
0x31 Tenda 路由器曝隐藏后门:家用设备,也可能成为网络入口
字节脉搏实验室 2026-07-08T11:17:44 © tcode
本文揭示了Tenda路由器固件中存在的隐藏后门问题,这是一个安全漏洞,可能使攻击者绕过正常密码校验并获得设备管理员级访问权限。CERT/CC在Vulnerability Note VU#213560中披露了这一漏洞(CVE-2026-11405),指出多个Tenda固件版本存在未记录的认证后门。事件发生后,没有可用的补丁,因此建议用户关闭远程Web管理,减少设备被互联网直接触达的机会。文章还分析了这一漏洞对家庭和小微企业网络安全的潜在影响,并提供了一些应对建议,如确认设备信息、关闭远程管理、关注补丁或考虑替换设备等。此外,还强调了网络设备的安全管理不应被忽视,尤其是在家庭和小微企业环境中。
路由器安全漏洞 固件后门 网络入口安全 认证机制漏洞 家庭网络安全 小微企业网络安全 安全配置建议 网络安全意识
0x32 DEBULL 滥用设备代码登录:MFA 不是“点一下就安全”的护身符
字节脉搏实验室 2026-07-08T11:17:44 © tcode
本文分析了DEBULL工具链滥用Microsoft 365设备代码流程进行身份攻击的事件。文章指出,尽管许多企业已经启用了多因素认证(MFA),但攻击者仍然可以通过诱导用户在真实登录流程中输入攻击者提供的代码,从而绕过MFA。DEBULL攻击利用了协作类诱饵,如协作文档、共享文件夹和付款等,引导受害者进入合法的Microsoft登录体验。文章强调,设备代码流程本身是合法的OAuth机制,但攻击者可以利用其特性进行钓鱼攻击。文章还提到了Cisco Talos的研究,指出设备代码钓鱼已经与邮箱访问、业务电子邮件诈骗和文件访问等环节结合。文章最后提出了针对企业和普通用户的应对建议,包括强化用户提醒、审计设备代码登录、调整条件访问和监控邮箱后续行为等。
多因素认证(MFA) 钓鱼攻击 身份验证 企业安全 Microsoft 365 安全意识教育 安全审计 持续监控
0x33 BeyondTrust 修复高危认证绕过:远程支持平台,必须按关键资产管理
字节脉搏实验室 2026-07-08T11:17:44 © tcode
BeyondTrust 官方公告指出,其 Remote Support(RS)和 Privileged Remote Access(PRA)产品存在多项安全漏洞,包括CVE-2026-40138至CVE-2026-40141,其中CVE-2026-40138与CVE-2026-40139被评定为Critical级别。这些漏洞可能导致未认证的攻击者在特定配置下绕过访问控制,获得对设备的未授权访问。尽管目前没有证据表明这些漏洞已被外部利用,但鉴于RS/PRA是远程运维和特权访问的入口,存在被攻击者关注的风险。因此,企业应立即确认资产范围,升级到最新版本或安装安全补丁,并采取一系列措施,如收紧管理面暴露、复核特权账号和会话、纳入高价值系统监控等,以确保远程支持平台的安全。
认证绕过 远程访问安全 漏洞修复 关键基础设施保护 横向移动风险 特权账号管理 企业安全策略
0x34 大象要一口一口吃:PHP PDO扩展中的NUL字节SQL注入与空指针解引用漏洞
幻泉之洲 2026-07-08T10:38:00
本文深入剖析了PHP Data Objects (PDO) 扩展中的两个代表性漏洞:pdo_firebird驱动中因NUL字节处理不当导致的SQL注入(CVE-2025-14179),以及pdo_pgsql在模拟预处理模式下因libpq报错引发的空指针解引用(CVE-2025-14180)。这两个漏洞揭示了PHP托管环境与C级库之间对边界输入的不安全处理问题。文章首先介绍了PHP中DBMS访问的整体架构,包括通用PDO接口和原生扩展,以及ODBC层的作用。接着详细解释了PDO的两种预处理模式:模拟模式和关闭模拟模式。对于pdo_firebird漏洞,文章分析了NUL字节在引用和预处理阶段的处理差异,指出strncat()函数的不安全使用导致SQL语句结构被破坏,从而引发SQL注入。对于pdo_pgsql漏洞,文章探讨了模拟预处理模式下,libpq报错导致引用函数返回NULL,进而引发空指针解引用崩溃的过程。这两个漏洞都强调了审查关键驱动例程的重要性,以及PHP应用开发者应警惕看似安全的防御机制中可能存在的严重弱点。
SQL Injection Null Pointer Dereference PHP Security Database Security Code Quality Vulnerability Analysis C Library Interaction Prepared Statements
0x35 7月8日高危CVE漏洞速报
探知安全 2026-07-08T10:14:20
本文报道了2026年7月8日发布的多项高危CVE漏洞。其中包括BeyondTrust Remote Support产品线的四个严重漏洞,其中两个认证绕过漏洞CVSS评分达到9.2,可能导致远程支持设备被完全接管;Linux内核的0-day漏洞BadEpoll(CVE-2026-46242)存在竞态条件和释放后使用缺陷,可能被无特权用户提升至root权限;FortiBleed凭证窃取行动已窃取超过1.1亿条FortiGate凭证;Opera GX浏览器存在零点击Mod静默安装漏洞,可窃取敏感数据;Ubiquiti UniFi Protect SSRF漏洞CVSS 9.9可实现低权限用户提权。文章详细分析了每个漏洞的影响范围和修复建议,提醒用户及时更新和修补系统以防止安全风险。
高危漏洞 认证绕过 权限提升 内核漏洞 凭证窃取 零点击攻击 网络安全设备 远程访问 浏览器漏洞 Android安全 勒索软件 企业安全 固件安全
0x36 AI 渗透初探:从零开始的实战赋能记录
Yfansec 2026-07-08T10:02:14 月
本文详细介绍了一位网络安全学习者在实战中摸索出的AI辅助测试方法论。该方法主要利用AI简化信息收集和业务理解,通过简洁的Prompt梳理业务逻辑、提取JS接口、扒路由表,以及进行接口参数追踪和Fuzz构造。文章强调了AI在非预期漏洞挖掘、后端接口测试、业务理解辅助测试等方面的强大能力,并通过多个实际案例展示了如何结合AI进行漏洞挖掘和利用。同时,文章也探讨了如何编写有效的AI测试Skill,以及如何通过精细化Prompt和Skill拆分来提升AI测试的效率和灵活性。最后,作者分享了自己在使用AI进行模糊测试中的经验和思考,并提出了未来改进的方向。
人工智能安全 渗透测试 模糊测试 漏洞挖掘 接口安全 业务逻辑漏洞 技能开发 (Skill Development) 非预期漏洞 安全测试方法学
0x37 AI 渗透初探:从零开始的实战赋能记录
福Us1r 2026-07-08T09:47:41 月
本文详细介绍了作者在网络安全测试中如何利用AI提高效率的方法和经验。作者主要通过设定目标、约束行为边界和明确指令,让AI在规则内进行无限推理,以简化信息收集和业务理解。文章涵盖了多种测试场景,如小程序反编译、接口参数追踪、非预期漏洞挖掘、存储桶Fuzz等,展示了AI在识别漏洞、追踪JS接口、构造攻击思路等方面的强大能力。作者强调,通过精细化Prompt和Skill设计,可以进一步约束AI的行为,提高测试效率。同时,作者也指出了AI测试的局限性,如泛化能力受限、可能产生冗余测试等,并提出了拆解Skill、按需触发的解决方案。最后,作者分享了AI在模糊测试中的落地深度探索,以及如何通过实战不断优化AI测试方法。
AI安全测试 渗透测试 模糊测试 非预期漏洞挖掘 接口安全 业务理解 技能/Skill开发 漏洞利用 前端安全 后端安全
0x38 魔改二开哥斯拉webshell工具--助力红蓝对抗
安全天书 2026-07-08T09:24:00 © Hello888
本文所涉及的技术、思路和工具仅用于安全测试和防御研究,切勿将其用于非法入侵或攻击他人系统等目的,一切后果由
网络安全 渗透测试 免杀技术 红蓝对抗 恶意软件对抗 钓鱼攻击 工具开发 网络安全社区 EDR对抗 后渗透
0x39 腾达路由器疑似出行暗藏后门,可直接获取管理员权限,暂无官方修复补丁
黑猫安全 2026-07-08T08:50:14 鹏鹏同学
美国CERT/CC发布安全预警,指出腾达多款路由器固件存在一个未公开的内置后门漏洞CVE-2026-11405。攻击者能够利用专属后门密码绕过用户自定义管理员密码,直接获取设备后台管理员权限。受影响的型号包括FH1201、W15E、AC10、AC5、AC6等多个产品线。该漏洞位于设备的Web登录逻辑中,攻击者只需输入特定的后门密码,无论用户名如何,都能成功登录。腾达官方尚未确认或回应此漏洞,也没有发布修复计划。CERT/CC建议用户立即关闭路由器远程管理功能,修改默认LAN网段,以降低风险,但这些措施并不能彻底修复漏洞。
路由器安全漏洞 后门攻击 固件漏洞 设备管理权限泄露 内网渗透风险 无官方修复 安全预警 网络安全事件
0x3a 正在被恶意利用的 Gitea 容器高危漏洞,可泄露代码仓库与密钥
黑猫安全 2026-07-08T08:50:14 鹏鹏同学
Sysdig 研究团队发现并警告,Gitea 容器存在一个编号为 CVE-2026-20896 的高危漏洞,CVSS 评分达到 9.8 分。该漏洞影响 1.26.3 版本之前所有官方 Gitea Docker 镜像,攻击者可利用该漏洞绕过身份验证,无需密码或令牌,仅通过构造特定的 HTTP 请求头即可访问所有公网暴露的 Gitea 服务。漏洞的根源在于不安全的默认配置,允许任意 IP 接入而未限制可信代理。Sysdig 监测到漏洞公布后不久便有野外攻击案例。Gitea 1.26.3、1.26.4 版本已修复此漏洞,但使用官方 Docker 镜像的 Gitea 用户应立即升级以防止数据泄露。
漏洞披露 身份验证绕过 代码泄露 密钥泄露 Gitea容器安全 Docker镜像漏洞 反向代理配置缺陷 安全配置建议
0x3b Frida学习笔记(二十六):DEX 脱壳实战
泡泡以安 2026-07-08T08:44:00 © 泡泡以安
本文深入分析了三种主流的Frida脱壳工具:frida-dexdump、frida_dump和FART,并探讨了它们在脱壳过程中的原理、关键源码和使用边界。文章首先介绍了加固壳的本质和工作流程,以及加固壳的代际演进,帮助读者理解不同代际壳的脱壳难度和选择合适工具的方法。接着,文章详细解析了frida-dexdump、frida_dump和FART的源码,包括DEX搜索的核心机制、内存提权、磁头修复、主动触发、拦截LoadMethod和CodeItem重组等关键步骤。此外,文章还讨论了这些工具的已知短板和对策,以及脱壳后的验证方法。最后,文章通过实际的脱壳案例,展示了如何根据不同的脱壳场景选择合适的工具,并分析了当代脱壳生态面临的挑战和解决方案。
网络安全 Android 安全 逆向工程 脱壳技术 Frida 安全对抗 APK 分析 软件开发
0x3c HVV面试!红蓝对抗10连问
306Safe 2026-07-08T08:25:13 © ladon
本文针对网络安全领域中的高级面试问题进行了详细的分析和解答。文章首先介绍了护网面试中常见的高级问题,如WebShell的横向移动、黄金票据与白银票据的区别、Pass the Hash攻击原理等。接着,文章深入探讨了Windows和Linux系统的提权方式、安全加固措施、域渗透的攻击思路以及内网横向移动的检测和防范方法。此外,还分析了红队钓鱼攻击的常见手法和防范措施,以及护网实战中蓝队的核心工作流程。文章内容丰富,涵盖了网络安全领域的多个高级实战场景,对于网络安全学习者和从业者都具有很高的参考价值。
网络安全面试 网络安全实战 渗透测试 内网安全 域渗透 安全加固 横向移动 钓鱼攻击 安全防护 红蓝对抗
0x3d 新型“Bad Epoll”零日漏洞允许攻击者获取Linux服务器和安卓设备的root权限
暗镜 2026-07-08T06:11:35 © ZM
最新曝光的Linux内核漏洞“Bad Epoll”(CVE-2026-46242)允许未经授权的本地用户在Linux服务器、桌面和Android设备上通过内核epoll子系统中的竞争条件和释放后使用漏洞提升至root权限。这个UAF漏洞位于ep_remove()函数中,当文件对象在清除过程中被并发使用时可能导致内核内存损坏。漏洞被Google的kernelCTF计划以零日漏洞形式提交,价值高达71,337美元。与常见的Linux权限提升漏洞不同,Bad Epoll可以用于获取Android的root权限,且由于其是核心组件,无法禁用。研究人员通过扩大竞争窗口并实施重试策略,提高了攻击的可靠性。尽管内核提交引入了补丁,但最初的努力并不完美,修复工作最终在漏洞首次披露两个月后完成。攻击者可以通过/proc/self/fdinfo获得内核内存读取权限,并通过ROP技术获取root shell。由于禁用epoll会影响核心功能,管理员只能通过应用补丁或等待发行版更新来修复这个问题。
Linux内核漏洞 Root权限提升 Android安全 内存损坏漏洞 零日漏洞 内核竞态条件 内核内存管理 漏洞利用 安全补丁 安全研究
0x3e 【已复现】Linux FUSE page cache 本地权限提升漏洞(CVE-2026-31694)安全风险通告
奇安信 CERT 2026-07-07T20:16:59
本文介绍了Linux FUSE page cache本地权限提升漏洞(CVE-2026-31694)的安全风险。该漏洞允许攻击者在获得本地低权限后,通过触发Linux内核FUSE page cache越界写操作,篡改内核缓存中的敏感文件内容,从而提升至root权限。成功利用此漏洞可能导致系统权限被完全接管、敏感数据泄露、系统配置被篡改、后门账户被植入,甚至系统崩溃或业务中断。漏洞影响多个Linux内核版本,包括Ubuntu和Fedora等发行版。奇安信CERT已成功复现该漏洞,并提供了详细的利用条件和影响范围。建议受影响的用户升级至官方已修复版本,并在无法立即升级时采取临时缓解措施。
Linux内核漏洞 本地权限提升 内存损坏 CVE编号 奇安信安全通告 系统崩溃风险 安全更新建议 漏洞复现
0x3f 【代码审计】客户端漏洞之未授权文件上传+dll劫持实现命令执行rce
挖个洞先 2026-07-07T20:12:58 © 挖个洞先
这篇文章详细描述了一个基于网络服务器的漏洞利用过程。首先,通过配置文件定义HTTP端口80,并发现服务绑定到0.0.0.0,允许远程攻击。通过netstat和Process命令定位到Server.exe进程。接着,使用Strings工具搜索定位接口,发现存在一个名为UploadFile的接口,该接口存在目录穿越漏洞,允许攻击者将文件上传到服务器安装目录的根路径。进一步分析发现,version.dll没有写绝对路径,存在dll劫持漏洞。文章还提供了构造version.dll和利用dll劫持执行命令的详细步骤,包括使用curl工具上传dll文件到服务器,并最终触发命令执行,打开计算器。整个过程涉及多个步骤和工具的使用,包括参数配置、进程定位、字符串搜索、数据包构造和命令执行等。
Web应用程序安全 文件上传漏洞 命令注入 DLL劫持 服务器安全 恶意软件部署 逆向工程
0x40 CTFPlus逆向每周练习-冲刺!偷摸零!、only_flower、CTF+Binary练习题-Re-Day7、CTF+Binary练习题-Re-Day11、CTF+Binary练习题-Re-Day5
SPEEDCoding 2026-07-07T19:12:11 © 李北辰
这篇文章详细描述了五个网络安全学习者的CTF实践练习,涵盖了不同类型的挑战,包括游戏逆向、PE可执行程序分析和二进制漏洞利用。第一个挑战涉及一个跑酷游戏,通过JD-GUI打开JAR包发现SQLite数据库,并利用SQL注入获取第一部分flag。第二部分flag通过分析GameOverView中的异或加密逻辑,使用Python脚本解密得到。第二个挑战是一个PE可执行程序,使用IDA静态分析并去除混淆指令后,发现输入字符串经过两个加密函数处理,分别使用异或和ROL8操作,通过Python脚本解密得到flag。第三个挑战同样使用IDA分析,涉及输入字符串格式检查和两个加密函数,分别是异或和自定义加密算法,通过Python脚本解密得到flag。第四个挑战也是一个PE可执行程序,输入字符串被分割并经过两个加密函数处理,第一个是异或操作,第二个是修改轮数的TEA加密,使用C语言脚本解密得到flag。第五个挑战同样使用IDA分析,涉及函数地址修复和三个加密函数,其中一个是自定义RC4加密,使用C语言脚本解密并进一步处理得到flag。这些练习展示了逆向工程、密码分析和脚本编写在网络安全学习中的应用。
SQL注入 异或加密 PE可执行程序分析 花指令混淆 TEA加密 异或加密 RC4加密
0x41 BeyondTrust 修复了远程支持和 PRA 中的关键身份验证绕过漏洞
安全圈的那点事儿 2026-07-07T19:02:00 © 网络安全9527
BeyondTrust近日发布更新,修复了远程支持(RS)和特权远程访问(PRA)产品中的多个关键安全漏洞。这些漏洞可能被未经身份验证的攻击者利用,从而绕过访问控制并控制易受攻击的设备。其中包括CVE-2026-40138和CVE-2026-40139两个身份验证子系统中的预身份验证漏洞,以及CVE-2026-40140和CVE-2026-40141与网络通信和Web应用程序组件相关的漏洞。CVE-2026-40138和CVE-2026-40139的成功利用依赖于特定的身份验证配置,而CVE-2026-40141则限于具有特定权限的账户。这些问题已在RS 25.3.3和PRA 25.3.3版本中得到修复。BeyondTrust强调,用户应尽快应用这些修复程序以防止潜在的安全风险。
身份验证漏洞 远程访问安全 CVE编号 软件更新 权限提升 拒绝服务攻击 系统完整性 网络安全产品
0x42 Frida学习笔记(二十五):签名校验绕过
泡泡以安 2026-07-07T18:35:21 © 泡泡以安
本文详细分析了Android应用签名机制以及绕过签名校验的方法。文章首先介绍了Android签名的三代方案:v1、v2和v3,并解释了为什么修改APK的任何字节都会导致安装失败。接着,文章深入探讨了Java层和Native层读取签名的API集,以及常见的签名校验姿势,包括直接计算hash比对、反射调用和JNI调用。文章还介绍了Frida在绕过签名校验中的三种打法,并提供了具体的Frida脚本示例。此外,文章通过QQ音乐和网易云音乐两个实战案例,详细讲解了如何通过Frida hook和smali patch来绕过签名校验。最后,文章总结了签名校验绕过的关键点和注意事项,并强调了逆向工作需要耐心和细致,不能盲目添加hook,而要逐步排查,找到真正的突破口。
Android 网络安全 应用逆向工程 签名校验绕过 Frida 加固对抗 原生代码分析 调试技巧
0x43 微软Edge漏洞可致攻击者远程执行任意代码
FreeBuf 2026-07-07T18:00:00
微软近日披露了一个影响其基于Chromium的Microsoft Edge浏览器的严重安全漏洞(CVE-2026-57992),该漏洞属于Use-After-Free(UAF)内存破坏问题,CVSS评分为7.5,被归类为关键级漏洞。攻击者可以通过诱骗用户访问特制网页来利用此漏洞,在受影响的系统上执行任意代码。攻击需要用户交互,包括两次点击手势来触发Edge的自动填充功能,因此攻击复杂度较高。目前尚无官方补丁或公开的PoC利用代码。企业和用户应关注微软安全响应中心的补丁发布信息,并采取教育用户、启用增强安全模式、限制自动填充功能等措施作为临时缓解方案。
浏览器安全漏洞 Chromium引擎漏洞 Use-After-Free漏洞 远程代码执行 高危漏洞 社会工程学攻击 微软产品安全 安全补丁和缓解措施
0x44 匿名WebDAV载荷服务器关联Windows窃密远控工具全链路研判分析
CyberOk 2026-07-07T17:26:34 © CyberOk
近期,安全研究者揭露了一款疑似黑客组织使用的Windows窃密远程控制工具的攻击链。该工具通过公开的WebDAV服务器进行恶意载荷分发,并集成了多种高级技术,包括反调试、虚拟机沙箱对抗、系统持久化、SSL校验绕过、内存无文件执行、自清除、剪贴板劫持和数字货币窃取。工具链包括批处理加载器、DLL劫持模块、Python加载器以及多种攻击载荷。攻击者能够通过WebDAV服务器上传和修改恶意载荷,工具链的文件时间戳表明它持续处于维护和优化状态。该攻击链具备钓鱼投放、环境适配、对抗免杀、长期驻留和远程控制等完整闭环攻击能力,对Windows终端及政企内网构成严重安全威胁。
网络安全分析 恶意软件分析 WebDAV攻击 远控木马 钓鱼攻击 持久化攻击 信息窃取 免杀技术 攻击链路分析 企业安全
0x45 恶意WebDAV载荷中转站深度研判报告
CyberOk 2026-07-07T17:26:34 © CyberOk
该文章详细分析了一个活跃的Windows黑产窃密/远控工具链专属载荷分发基础设施。该基础设施运行在DigitalOcean法兰克福机房,通过WsgiDAV匿名读写服务(TCP/8080)和DuckDNS动态域名(gogettate.duckdns.org)进行载荷分发,同时在HTTPS/443端口由nginx提供面向受害终端的载荷下发通道。站点内可见完整攻击组件源码、迭代备份、钓鱼诱饵、便携Python环境及DLL劫持模块,具备明显的专业化黑产运维特征。威胁等级极高,主要危害包括剪贴板加密货币地址劫持、浏览器凭据窃取、多重持久化、Defender排除与Office宏绕过。攻击入口通过伪装Q1财报的钓鱼HTML/ZIP/DOCM/LNK/HTA多载体投递。文章还详细还原了攻击链路,包括投递阶段、落地与加载、深度驻留与对抗、窃密与牟利模块,并对关键样本进行了静态分析。最后,文章提出了网络层和终端层的处置建议,并提供了检测规则建议。
WebDAV C2服务器 钓鱼攻击 恶意软件 持久化 凭证窃取 剪贴板劫持 反分析 动态域名 双通道架构 Office宏 DLL劫持 远程更新
0x46 进程强杀最新版火绒6
安全天书 2026-07-07T16:45:43 © Hello888
本文主要介绍了火绒6.0的最新版本进程强杀技术。文章强调了所涉及的技术、思路和工具仅用于安全测试和防御研究,并警告读者切勿用于非法目的。文章中展示了火绒6.0的更新日志,包括版本号、病毒库更新时间等详细信息。此外,还提到了一个名为“红蓝偶像练习生小圈子”的平台,该平台专注于渗透测试、红蓝对抗、钓鱼手法等研究方向,并分享了多个免杀工具和插件,如HeavenlyBypassAV、Heavenly自动化红队后渗透工具等。文章最后推荐了加入该圈子,并提供了往期推荐的安全课程和工具信息。
网络安全工具 免杀技术 红队工具 渗透测试 红蓝对抗 安全研究
0x47 TongWeb 反序列化的图形化检测与利用工具
不秃头的安全 2026-07-07T15:57:27 © CurlySean
本文介绍了一款名为TongWebExploit的图形化检测与利用工具,该工具专注于TongWeb反序列化漏洞场景。工具由CurlySean开发并开源,具备漏洞探测、EL表达式执行、内存马注入等功能。漏洞探测支持Sleep和DNS两种模式,内存马注入支持基于MemShellParty生成或自定义内存马注入。工具还支持批量检测和自定义全局配置。文章详细介绍了工具的概览、快速上手、功能模块、配置以及实战场景,适用于护网演练、授权渗透测试和安全团队资产巡检。
网络安全工具 反序列化漏洞 中间件安全 漏洞利用 图形化界面 攻防演练 开源项目
0x48 工具 | ARL灯塔 二开重构版本 自动化资产发现和漏洞监控平台
渗透安全团队 2026-07-07T15:47:47 owl234
ARL-Next 是一款针对网络安全团队的现代化重构版本,它旨在提供极简高效的自动化资产发现和漏洞监控解决方案。该平台具备全局仪表盘,直观展示资产分布、任务状态和实时日志,便于安全团队快速了解安全态势。平台支持企业资产查询,内置 ICP 备案和天眼查查询功能,能够快速定位企业资产边界,并支持一键下发自动化扫描任务。任务管理功能精细,支持多维度过滤和插件分类,交互直观。系统设置允许用户在 Web 端热更新扫描字典,灵活调整任务并发,并配置多渠道告警推送。ARL-Next 适合二次开发者和安全研究人员使用,其后端服务运行在 Docker 容器中,前端在本地独立运行并代理请求,提供了良好的开发和部署体验。文章还提供了详细的部署指南,包括构建后端开发环境、配置前端 API 代理和启动前端开发服务器等步骤。
自动化工具 资产发现 漏洞监控 安全态势感知 二次开发 Docker Web安全 安全配置 告警系统
0x49 0182.IDOR 导致通过电子邮件重新分配进行账户接管
Rsec 2026-07-07T15:34:25 © Gambacorta
本文分析了由身份识别漏洞(IDOR)引起的账户接管事件。一个大型信用机构的消费者门户网站存在个人资料更新端点漏洞,攻击者可以修改请求将其他用户的注册邮箱地址更改为自己控制的地址,利用密码恢复流程接管账户。攻击者通过两个步骤完成账户接管:首先修改受害者的备用邮箱,然后触发密码恢复。文章详细描述了漏洞的发现、利用过程、根本原因分析以及补救指南。该漏洞CVSS评分9.1(危急),可能导致信用数据泄露、身份盗窃等严重后果。
账户接管 身份验证漏洞 密码恢复攻击 数据泄露风险 网络安全测试 API安全 漏洞利用 漏洞补救
0x4a 【原创工具】burp-mcp-bridge v1.1.0:把 Burp 的 33 个能力通过 MCP 桥接到 AI 客户端
吃瓜安全 2026-07-07T12:19:03 © A4n9g7e2l
本文详细介绍了一个名为burp-mcp-bridge的项目,旨在通过MCP协议将Burp Suite的核心功能以及BApp商店中的第三方插件桥接到AI客户端,使LLM agent能够真正"看到"Burp的全部武器。作者A4n9g7e2l指出,官方burp-mcp-all.jar只暴露了27个Burp核心工具,而忽略了BApp商店的300多个插件,这些插件在实际渗透测试中非常重要。为了解决这个问题,作者花费3周时间开发了burp-mcp-bridge,包含33个MCP工具(26个基础工具+7个Phase 3高级工具),这些工具能够实际执行,如sqlmap、dddocr、xpoc等。项目使用了Java 17、Montoya API 2024.12、NanoHTTPD、Gson等技术栈,并提供了详细的安装和使用教程。作者还分享了开发过程中遇到的坑和解决方案,如绕过mcp-proxy.jar的OAuth 2.1探测、解决JDK 21移除Nashorn的问题等。最后,作者提出了未来的Roadmap,包括BApp Store上架、Phase 4高级功能、多用户协作和Web UI等。
Burp Suite MCP (Model Context Protocol) BApp (Burp App Store) AI Automation Web Security Testing Penetration Testing Extensibility Java Python Open Source
0x4b 最新 Linux 内核提权漏洞,获得八万美金,潜伏 19 年+
SecureNexusLab 2026-07-07T11:38:51 © i3eg1nner
2007年提交的一个Linux内核commit中存在一个长期未被发现的安全漏洞,编号CVE-2026-43456,影响Linux 2.6.24至6.12.77版本。该漏洞源于net/bonding子系统中的类型混淆,攻击者只需具备CAP_NET_ADMIN权限即可触发,提权成功率超过99%,且全程不超过一秒。漏洞利用涉及KASLR泄露、改写skb的flags以及精确控制skb->data的位置等步骤。研究员Yuki Koike和Kota Toda通过IP6GRE和GRE设备链的巧妙构造,成功绕过KASLR并实现任意代码执行。该漏洞隐藏近20年未被察觉,直至2026年被发现并修复。受影响版本建议升级至最新内核,或通过禁用bonding模块、限制非特权用户获取CAP_NET_ADMIN等缓解措施进行防护。
内核漏洞 提权漏洞 类型混淆 网络设备 KASLR 泄露 任意代码执行 缓冲区溢出 漏洞利用 内核安全 长潜伏期漏洞 AI 在安全研究中的应用
0x4c ColdFusion 高危漏洞被利用:老牌 Web 平台,不能再靠“低调运行”避险
字节脉搏实验室 2026-07-07T10:53:50 © tcode
Adobe ColdFusion近期遭遇高危漏洞CVE-2026-48282的利用,该漏洞可能导致任意代码执行、权限提升等问题。Adobe已发布安全公告,建议用户升级至最新版本。然而,由于ColdFusion在政府、教育等领域的广泛应用,许多实例可能存在安全隐患。本文分析了该漏洞的影响,并提出了针对企业应对的建议,包括资产清单审查、升级到最新版本、复核开发调试与管理能力、回看日志和主机痕迹等。同时,强调了企业应重新调整对老牌Web中间件的补丁优先级,并提醒系统虽然可以老,但台账、补丁、隔离和监控不能老。
漏洞利用 安全更新 Web应用安全 漏洞评估 系统维护 历史系统风险 企业安全策略 攻击者行为
0x4d DVWA每日实操系列|第5期 文件包含漏洞 四层手把手通关+SRC高危报告
网络安全学习室 2026-07-07T09:44:58 点击关注👉
本文详细介绍了DVWA(Damn Vulnerable Web Application)的文件包含漏洞的实操学习过程。文章首先解释了文件包含漏洞的原理,包括本地文件包含(LFI)和远程文件包含(RFI),并指出了开发中常见的漏洞成因,即直接将用户输入用于文件加载函数,未进行过滤。文章接着从Low到Impossible级别,逐步介绍了不同安全级别下如何通关文件包含漏洞,包括绕过黑名单过滤的方法和高级防护下的绕过技巧。此外,文章还提供了真实的SRC挖洞落地思路,包括漏洞检测、复现步骤和影响危害分析。最后,文章对新手学习网络安全提出了建议,并提供了学习福利,包括200节攻防教程和后续更新的网安实战内容。
文件包含漏洞 漏洞复现 安全漏洞 Web安全 安全修复 网络安全 安全培训 SRC挖洞
0x4e CVE-2026-40138 与 CVE-2026-40139:BeyondTrust 未经身份验证漏洞(CVSS 评分 9.2)
sec随谈 2026-07-07T09:06:55 sec随谈
BeyondTrust公司近日披露了两个影响其Remote Support和Privileged Remote Access产品的严重预授权漏洞,CVE-2026-40138和CVE-2026-40139。这两个漏洞均被赋予CVSS评分9.2,源于身份验证校验不当,允许未经身份验证的远程攻击者绕过访问控制,获得未授权访问权限。此外,还有一个高危漏洞CVE-2026-40140,源于客户端输入验证不足,可能导致拒绝服务攻击。另一个漏洞CVE-2026-40141允许已通过身份验证的用户访问其无权访问的资源。这些漏洞影响多个版本的BeyondTrust企业软件。BeyondTrust已为云端客户自动应用了补丁,而自托管客户需手动采取措施或升级到更高版本以修复这些漏洞。
漏洞披露 远程支持软件漏洞 预授权漏洞 身份验证缺陷 CVSS评分 BeyondTrust 安全补丁 内部网络安全 拒绝服务攻击(DoS)
0x4f 漏洞 CVE-2026-20896 披露仅 13 天,威胁攻击者已针对 Gitea 容器漏洞开展探测攻击
黑猫安全 2026-07-07T08:57:10 鹏鹏同学
云安全厂商Sysdig发现,Gitea容器镜像中存在一个高危安全漏洞CVE-2026-20896,CVSS评分9.8。该漏洞允许外部攻击者无需身份验证即可获取高权限访问权限。漏洞源于Gitea官方Docker镜像默认配置为信任所有来源IP,导致攻击者可以伪造X-WEBAUTH-USER请求头登录系统。官方已发布修复方案,但该漏洞公开披露仅13天,已有攻击者进行探测攻击。Sysdig监测到约6200台Gitea实例可能受影响,建议用户尽快升级修复以保障安全。
漏洞利用 容器安全 代码平台安全 反向代理安全 身份验证安全 安全配置错误 安全响应时间 DevOps安全
0x50 FatFs 存在七处漏洞,物联网与嵌入式设备面临安全风险
黑猫安全 2026-07-07T08:57:10 鹏鹏同学
网络安全厂商runZero近期披露了FatFs开源库中存在的七处安全漏洞,这些漏洞可能导致物联网与嵌入式设备面临安全风险。FatFs是一款广泛应用于嵌入式设备的文件系统库,支持读写FAT和exFAT格式的存储介质。runZero的研究团队通过人工智能工具发现这些漏洞,其中部分漏洞被评为高危,可能导致远程代码执行。这些漏洞影响了包括乐鑫ESP-IDF、意法半导体STM32Cube等在内的多个主流平台和设备,如消费级物联网设备、工业控制器等。由于许多设备未搭载内存保护机制,如地址空间布局随机化(ASLR),使得设备容易受到攻击。尽管部分漏洞已有修复,但仍有大量设备使用旧版本,需要厂商及时更新固件。runZero建议设备厂商和运维方采取措施加强安全防护,并及时更新固件以修复漏洞。
嵌入式系统安全 文件系统安全 开源软件安全 漏洞分析 自动化安全测试 物联网安全 内存安全 补丁管理
0x51 Opera GX 浏览器存在漏洞,恶意网站可自动安装扩展模组,窃取用户访问页面中的数据
黑猫安全 2026-07-07T08:57:10 鹏鹏同学
研究人员在Opera GX浏览器中发现了一个严重漏洞,该漏洞允许恶意网站静默安装扩展模组,进而窃取用户访问页面中的敏感数据。攻击者无需用户交互即可利用该漏洞,通过概念验证环境,能够窃取用户的Gmail邮箱地址。Opera官方已修复该漏洞,并发布了更新版本。该漏洞的严重性在于其利用了浏览器模组的自动安装机制,攻击者可以通过CSS样式全局覆盖用户访问的所有网站,实现数据窃取。尽管Opera官方认为该漏洞的利用门槛较高,但研究人员通过演示证明了其零交互入侵的可能性。此外,该漏洞还可能导致无痕模式下浏览器崩溃并清空所有标签页。
浏览器安全漏洞 扩展模组安全 跨站信息泄露 无痕模式安全 自动安装机制漏洞 安全赏金计划 零交互攻击 隐私泄露
0x52 存在长达 16 年的 Linux KVM 漏洞,英特尔、AMD x86 平台虚拟机可突破隔离逃逸至宿主机
黑猫安全 2026-07-07T08:57:10 鹏鹏同学
本文详细介绍了Linux KVM虚拟化管理程序中存在的一个严重漏洞,该漏洞名为Januscape,编号CVE-2026-53359,是一个释放后重用(use-after-free)漏洞,存在于KVM影子内存管理单元(shadow MMU)代码中。该漏洞影响英特尔和AMD x86架构的虚拟机,可以导致虚拟机逃逸至宿主机,从而实现任意代码执行。该漏洞存在时间长达16年,由安全研究员金贤宇发现。目前,公开的概念验证(PoC)程序只能导致宿主机内核崩溃,但研究人员称存在一个未公开的完整利用程序。该漏洞的触发依赖于虚拟机具备root权限和宿主机开启嵌套虚拟化功能。文章还讨论了漏洞的原理、受影响范围、实际风险场景以及处置方案,包括内核补丁的推送和必要时的嵌套虚拟化关闭。
操作系统安全 虚拟化安全 内核漏洞 逃逸漏洞 代码执行 x86架构安全 硬件虚拟化 安全研究 漏洞赏金计划
0x53 聊聊流量解析那些事:遇到不认识的协议,设备是不是就“失明”了?
倬其安 2026-07-07T08:35:55 Hash先生
本文探讨了网络安全中的流量解析问题,针对流量威胁检测设备在面对不熟悉的私有或特殊通信协议时的表现进行了分析。文章首先解释了流量检测设备生成日志的基本过程,包括会话流重组、协议识别和字段提取三个步骤。接着,详细说明了设备如何通过五元组识别通信会话,通过端口匹配和深度包检测来识别协议,以及如何提取关键字段形成结构化日志。文章进一步讨论了当设备遇到不认识的特殊协议时,日志和检测层面的影响,指出设备仍能生成基础会话日志,但应用层细节可能缺失。此外,文章还介绍了针对未知协议的威胁检测策略,包括自定义解析规则、行为基线分析和业务日志关联补全。最后,强调了在实际工作中,应根据不同协议的特点采取相应的检测策略,并注重工具的灵活运用和短板的补充。
网络安全协议 流量分析 威胁检测 日志分析 深度包检测(DPI) 网络安全策略
0x54 CitrixBleed Infinity:NetScaler预认证内存越读漏洞(CVE-2026-8451)
黑白之道 2026-07-07T08:32:47 © Red Hunter
本文介绍了Citrix NetScaler设备中发现的最新预认证内存越读漏洞CVE-2026-8451,该漏洞被归类为CitrixBleed漏洞家族的最新成员。该漏洞允许攻击者在无需认证的情况下读取服务器进程内存中的敏感数据。漏洞存在于NetScaler解析SAML AuthnRequest时,由于XML属性解析器的缺陷,可能导致越界读取。该漏洞的影响范围包括多个版本的NetScaler ADC和NetScaler Gateway。文章详细分析了漏洞的技术细节、利用方法和修复建议,并提供了检测工具的下载链接。
漏洞分析 Citrix NetScaler 内存越读漏洞 SAML IDP 安全漏洞披露 网络安全事件 安全补丁和修复 信息泄露 拒绝服务攻击
0x55 DirtyClone:Linux内核 DirtyFrag 漏洞家族新变种分析与利用(CVE-2026-43503)
黑白之道 2026-07-07T08:32:47 © Red Hunter
JFrog安全研究团队发现了Linux内核中一个名为"DirtyClone"的新漏洞(CVE-2026-43503),该漏洞是DirtyFrag漏洞家族的最新成员,CVSS评分为8.8。该漏洞允许无权限的本地用户通过操纵Linux页缓存获得root访问权限(LPE),攻击无声无息,不留日志痕迹。DirtyClone漏洞利用了XFRM/IPsec子系统中的不同数据包处理路径,通过在原地加密转换过程中修改共享页缓存内存,导致文件数据被破坏。攻击者首先映射特权二进制文件到页缓存,然后构造IPsec数据包,利用本地环回IPsec隧道确保数据包在本地处理,并通过控制解密输出修补二进制文件,最终实现权限提升。修复该漏洞需要更新Linux内核到v7.1-rc5或应用相关补丁。临时缓解措施包括设置kernel.unprivileged_userns_clone=0和黑名单esp4、esp6和rxrpc内核模块。
0x56 浏览器里也能跑勒索?Chromium 文件访问 API 风险
NowSec 2026-07-07T08:00:00 © JacobWang
Check Point Research 发布的研究指出,勒索软件攻击者可能不需要安装恶意软件或利用浏览器漏洞,仅通过诱导用户在浏览器中打开网页并授权文件系统访问权限,即可实施勒索攻击。该研究分析了一个由 AI 生成的恶意样本,该样本尝试利用 Chromium 的 File System Access API 读取、处理和修改用户授权目录中的文件。虽然该样本不完整且未形成稳定在野攻击,但它展示了 AI 如何将看似“幻觉式”的恶意需求与真实存在的浏览器能力相结合,揭示了新的攻击路径。文章强调,浏览器权限被社会工程化滥用是关键风险,用户需谨慎对待浏览器中的权限提示。企业应加强浏览器权限管理,关注浏览器进程的异常文件行为,并重新理解浏览器安全边界。AI 时代,攻击者可能利用 AI 工具发现并组合现有能力,形成新的攻击方式,防守方需提前将这些能力纳入风险管理。
勒索软件 浏览器安全 社会工程学 API滥用 AI安全风险 权限管理 零日漏洞(广义) 终端安全 Web安全 钓鱼攻击
0x57 自带智能体:劫持暴露的AI 后端以支撑攻击性行动
安全行者老霍 2026-07-07T08:00:00 © Zenity Labs
本文分析了2026年3月至5月期间,网络安全研究者捕获的三起针对暴露的AI后端服务的攻击事件。攻击者利用未设置有效身份验证的AI服务端点,如Ollama和LiteLLM,将其作为攻击工具链的后端,运行渗透测试智能体、工具和Web逆向工程程序。攻击者包括使用自主渗透测试框架的团队,以及利用OpenAI Codex智能体绕过安全限制的人员。文章详细描述了攻击者的行为、使用的工具和暴露出的设计缺陷,如默认的身份验证机制和错误的网络配置。文章还提供了拦截检测目标和安全加固建议,强调了企业应采取的措施来保护其AI基础设施免受类似攻击。
AI 安全 端点安全 渗透测试 智能体滥用 数据泄露 身份验证安全 安全配置错误 网络安全监控 新兴威胁
0x58 【热点安全风险】7月7日 |SharePoint Server CVE-2026-45659进入KEV,低权限用户可触发远程代码执行
华顺信安威胁情报中心 2026-07-07T07:30:00
本文详细分析了近期网络安全领域的重要风险和漏洞。首先,SharePoint Server的CVE-2026-45659漏洞被加入KEV目录,低权限用户可触发远程代码执行,对企业内部网络构成威胁。其次,Linux内核的CVE-2026-46242漏洞可能导致本地提权,影响服务器、容器宿主机等。FatFs文件系统库存在七个漏洞,影响IoT和工业控制器。此外,ARToken暴露EvilTokens关联面板,Microsoft 365设备码钓鱼风险增加。QuimaRAT提供跨平台远控能力,需关注终端安全。NetNut住宅代理网络被打击,企业需关注IoT设备被代理化和身份攻击溯源失真。文章最后给出了总体处置建议,包括补丁闭环、外部暴露面收敛、Token与会话审计等,以帮助企业应对这些安全风险。
SharePoint 漏洞 远程代码执行 Linux 提权 IoT 安全 Microsoft 365 钓鱼 跨平台恶意软件 代理网络攻击 补丁管理 身份验证安全 终端安全
0x59 codeql实战:codeql检测sql注入
信安路漫漫 2026-07-07T07:00:00 © 信安路漫漫
本文介绍了如何利用CodeQL检测原生JDBC SQL注入查询。文章首先介绍了官方提供的查询示例,该示例主要导入了SqlInjectionQuery和QueryInjectionFlow两个库,分别用于定义数据流的sink点和构建数据流。QueryInjectionSink类负责定义SQL注入的sink点,包括SqlInjectionSink、PersistenceQueryInjectionSink等,这些sink点代表了可能发生SQL注入的漏洞点。QueryInjectionFlow类则用于构建数据流,通过定义源点、sink点和障碍点,来分析数据在程序中的流动路径。文章指出,官方已经定义了大部分常见的sink点,可以直接使用来检测SQL注入漏洞。最后,文章提供了一个简单的查询示例,展示了如何使用这些库来检测SQL注入漏洞。需要注意的是,该检测暂时不包含使用MyBatis等框架的检测,后续会有专门的文章来检测MyBatis框架下的SQL注入漏洞。
网络安全 SQL注入 CodeQL 静态代码分析 漏洞检测 JDBC 数据流分析 安全研究
0x5a PEEP-专为高级红队设计的浏览器侧控制平台
巡音安全 2026-07-07T00:21:23
PEEP是一款专为高级红队设计的浏览器侧控制平台,用于授权渗透测试与红队演练。该平台通过在目标主机的浏览器中部署轻量级的Agent插件,结合本地的Master Server控制端,实现实时窃取标签、Cookie、书签、历史、剪切板与截图等功能。PEEP能够以浏览器身份访问内网或受限系统,无需密码即可携带目标用户的Cookie和登录态。平台的核心能力包括Tab Monitor,可以持续监控目标浏览器的标签页,并按域名规则配置告警和截图。此外,PEEP还具备全量浏览器数据采集的能力,包括标签页、Cookie、书签、历史记录、页面截图和剪贴板等。Master Server控制台通过Wails桌面应用完成所有操作,无需命令行。PEEP还提供了静默安装工具,支持绕过开发者模式直接修改Secure Preferences,以及多种Profile和远程安装支持。
浏览器安全 渗透测试工具 红队工具 代理转发 数据窃取 网络监控 安全测试 内网渗透 持久化攻击 用户行为分析
0x5b 物理隔离也能传数据?揭秘苹果Find My网络的隐蔽数据通道
黑鸟 2026-07-06T23:52:46 © 黑鸟
本文介绍了一个名为 hzgl-air-bridge 的开源项目,该项目利用苹果的 Find My 网络,可以在物理隔离的电脑上实现数据窃取。即使电脑完全断开网络连接,拔掉网线关闭 WiFi,甚至屏蔽手机信号,通过植入一枚蓝牙硬件,也能将内部数据悄无声息地传输到千里之外。该方案利用了 Find My 网络的运行逻辑,即通过全球十几亿台苹果设备组成的低功耗无线传输网络,将自定义数据编码进广播包,通过苹果设备捕获转发至苹果服务器,再由服务端拉取解密并拼接还原原始数据。项目主要由 ESP32-C3 自定义信标固件、服务端对接组件和轻量级 Web 应用三部分组成。固件负责广播位置报告和环境数据,服务端组件模拟苹果设备身份认证信息并拉取解密数据,Web 应用则用于数据还原和前端展示。该项目基于多个开源项目的研究成果,实现了在完全隔离环境下通过 Apple 生态的全球定位网络进行低调数据传输。虽然该技术本身是中性的,可用于合法场景下的数据回传,但也可能被滥用于涉密场景,对气隙系统的安全造成威胁。该方案存在传输速率低、依赖苹果设备密度、协议调整风险等局限性,但其价值在于拓展了网络边界的认知,提醒安全防护需要完善物理防护的漏洞。
物理隔离绕过 蓝牙攻击 Find My 网络 数据泄露 信标(Beacon)攻击 协议利用 无线传输 开源项目 隐私风险 社会工程学/环境依赖
0x5c 面向APP/Web 加解密逆向分析的工具
进击的HACK 2026-07-06T21:03:13
本文介绍了一个名为CipherBridge的可视化解密框架,专为APP/Web加解密逆向分析和渗透测试人员设计。该框架能够处理多种加密算法,如AES、DES、SM4等,并支持MD5、SHA256、HMAC等签名算法。CipherBridge的核心特性包括AI自动生成mitmdump插件代码、可视化配置加解密流程、Burp Suite双向加解密桥接、自定义Python函数扩展、浏览器Hook和AI自动分析生成脚本、内置加解密测试工具、自动识别Base64、Hex、JWT等编码格式,以及项目导入导出功能。该框架支持Windows、macOS和Linux操作系统,并要求Python 3.10以上版本。文章还提供了安装指南和项目启动方法,旨在帮助网络安全学习者和专业人士更高效地进行加解密逆向分析和渗透测试工作。
网络安全工具 逆向工程 加密技术 渗透测试 软件开发 浏览器安全
0x5d 【工具更新】EasyShell v2.3 版本更新,1. 新增win进程注入、2. 优化页面布局、3. 修复kcp协议偶尔离线的bug
渗透云记 2026-07-06T20:35:16 © 沐寒
EasyShell v2.3版本进行了多项更新,包括新增Windows进程注入功能,优化页面布局,以及修复了KCP协议偶尔离线的bug。此外,更新还合并了日志中心和系统管理标签,备忘录与下载管理标签,并支持标签页拖拽。默认Windows生成图标逻辑也被优化,以避免每次生成图标一致。用户界面也进行了调整,如将下载管理与备忘录合并展示,系统管理与日志中心标签合并等。更新还包括对旧版bug的修复,如进程注入的改进和界面交互的优化。EasyShell控制台的用户界面也进行了更新,包括仪表盘、客户端管理、监听管理等功能模块的调整。文章还提到了EasyTools渗透测试工具箱V2.2.2的更新,以及渗透云记博客的相关信息。
网络安全工具 漏洞修复 软件更新 进程注入 用户界面优化 云安全 数据库安全 Webshell管理
0x5e 冰蝎webshell神器--免杀360、火绒、defender、卡巴斯基等
安全天书 2026-07-06T19:46:26 © Hello888
本文介绍了一款名为ByPassBehinder的自动化免杀生成工具,该工具可以帮助用户绕过360、火绒、Defender、卡巴斯基等安全软件的检测,实现免杀效果。文章强调了该工具的使用仅限于安全测试和防御研究,禁止用于非法入侵或攻击他人系统。文章还介绍了该工具的使用方法,包括生成免杀文件的过程和效果展示。此外,文章还提到了一个名为“纷传”的圈子,该圈子主要研究渗透测试、红蓝对抗、钓鱼手法思路、武器化,红队工具二开与免杀,并分享了多个相关技术文章和工具,如HeavenlyBypassAV、Heavenly自动化红队后渗透工具等。文章最后推荐了往期相关内容,并鼓励读者加入圈子交流学习。
Webshell 免杀技术 安全测试 渗透测试 AV/EDR对抗 工具开发 红队工具 安全研究
0x5f HTB-Redeemer:Redis 基础知识分享
小安数记pro 2026-07-06T19:23:35 © 小安Air
本文详细介绍了网络安全领域中的Redis数据库服务器的基础知识。文章首先阐述了Redis作为一个高性能键值数据库服务器的特点,包括其快速读写速度、支持多种数据结构以及其在缓存、计数器、排行榜等应用场景中的使用。接着,文章以HTB-Redeemer靶机为例,展示了如何通过端口扫描识别Redis服务,并使用redis-cli命令行工具与Redis服务器进行交互。文章详细描述了如何连接Redis服务器、获取服务器信息、选择数据库、统计键数量以及读取键值数据等基本操作。最后,文章强调了Redis配置不当可能带来的安全风险,并建议在实际生产环境中采取合理的安全措施,以避免安全风险。通过完成Redeemer靶机,读者可以全面了解Redis的工作原理和应用场景,为后续学习数据库安全和中间件安全打下基础。
网络安全 靶场实践 Redis安全 信息收集 命令行工具 中间件安全 渗透测试 安全意识
0x60 FatFs漏洞使攻击者可利用特制USB/SD卡镜像执行代码
网安百色 2026-07-06T18:27:00
FatFs文件系统库近期曝出七项高危漏洞,攻击者可利用特制USB或SD卡镜像触发内存损坏,甚至实现远程代码执行。这些漏洞影响多个平台,包括Espressif ESP-IDF、STM32Cube、Zephyr RTOS、MicroPython及TizenRT等。其中,CVE-2026-6682是最严重的漏洞,源于整数溢出,CVE-2026-6687和CVE-2026-6688分别涉及卷标长度校验缺失和长文件名处理缺陷。研究人员通过AI辅助模糊测试技术发现了这些漏洞,并呼吁厂商审计代码、验证补丁并审查文件处理逻辑。由于多数嵌入式环境缺乏内存保护机制,攻击者只需短暂接触设备即可实现系统控制。
文件系统漏洞 嵌入式设备安全 代码执行漏洞 物理安全 漏洞挖掘 供应链安全 安全修复
0x61 SSH攻击者利用单条exec命令规避交互式蜜罐分析
网安百色 2026-07-06T18:27:00
本文分析了SSH攻击者利用单条exec命令规避传统蜜罐分析的趋势。研究发现,99.23%的SSH蜜罐认证会话仅包含单个非交互式命令请求,而非交互式shell和文件传输尝试的比例极低。攻击者通过自动化工具和僵尸网络基础设施在1秒内完成攻击,这表明攻击行为已高度自动化。独立Cowrie蜜罐即服务(HaaS)数据集也证实了这一趋势,非交互式SSH会话自2018年起普遍存在,2024年末占比超过97%。文章指出,传统的SSH蜜罐设计假设攻击者认证后会开启交互式shell,但现实情况是攻击者通过单条命令快速收集信息。这导致依赖交互时长或命令数量的评估指标失效,研究人员需要转向识别短时单次命令。文章还提到,基于LLM的SSH蜜罐需要优化以应对这种攻击模式,并强调验证探测的正确性而非对话操控的重要性。
SSH安全 蜜罐技术 自动化攻击 网络安全趋势 防御策略 安全漏洞 安全检测
0x62 AI安全案例分析xa0| JadePuffer勒索软件利用AI代理自动化攻击
M01N Team 2026-07-06T18:01:00 © 天元实验室
2026年7月初,Sysdig披露了一起由AI驱动的勒索软件攻击事件,名为JadePuffer。该勒索软件利用Langflow漏洞(CVE-2025-3248)获得初始访问权限,并借助大语言模型代理自动执行攻击链,包括侦察、凭证窃取、横向移动、权限提升和文件加密。这是首次记录的完全由AI代理驱动的端到端勒索软件攻击事件,标志着勒索软件攻击进入自主化和智能化阶段。攻击者首先攻陷Langflow实例,然后横向移动至生产数据库服务器。攻击过程中,AI代理展现了自适应能力和对自然语言上下文的理解。该案例表明,勒索软件不再仅限于高技能攻击者,AI代理能够自动化完成复杂攻击,同时提醒安全防御需升级以应对自主推理和自适应攻击。
勒索软件 AI攻击 漏洞利用 自动化攻击 大语言模型 云安全 数据库安全 自适应攻击 网络安全趋势
0x63 银狐木马总结与通用应急响应流程
问渠安全实验室 2026-07-06T17:37:36 © z3nbyte
本文详细分析了银狐木马这一网络安全威胁,强调防守、排查、取证与处置的重要性。银狐木马并非单一样本名,而是国内安全社区对一类以钓鱼投递、仿冒软件、远控控制、窃密和免杀对抗为主要特征的 Windows 远控木马活动的统称。文章指出,银狐木马常与多种技术交织出现,如 Winos4.0、ValleyRAT、Gh0st 派生远控、BYOVD 驱动对抗、DLL 侧加载、内存加载、插件化远控等。对于一线应急响应人员,识别银狐木马的关键在于理解其常见的行为链,包括搜索或点击仿冒软件/钓鱼链接、下载恶意安装包、释放加载器或 DLL、进行 DLL 侧加载/反射加载/内存加载、连接 C2 或下载二阶段组件、计划任务/服务/注册表/驱动等权限维持,以及远控、屏幕、文件管理、窃密、横向移动等恶意行为。文章还介绍了银狐木马的传播入口、执行与加载方式、对抗与权限维持方法,并提供了详细的现场排查步骤和工具建议。最后,文章强调了在应急响应过程中,应结合威胁情报平台、流量日志和终端证据进行二次确认,并提出了针对银狐木马事件的通用应急响应流程和复盘加固建议。
恶意软件分析 应急响应 钓鱼攻击 Windows安全 IOC分析 APT活动 对抗技术
0x64 记 “ 羊城杯 ” 部分题目的解题思路
蚁景网安 2026-07-06T17:14:08 秋名山上的小柠
本文详细记录了作者在参加“羊城杯”CTF比赛时的解题思路。文章首先分析了web1题目的PHP代码,发现了unserialize函数被滥用,以及一系列魔术方法的使用,从而可以构造序列化对象来执行任意代码。作者详细解释了如何通过构造payload来触发这些魔术方法,最终实现命令执行并获取flag。接着,文章简要介绍了misc题目的解题过程,通过分析图片格式和二进制转换来提取隐藏信息。最后,作者分享了re1题目的解题思路,涉及对exe文件的逆向工程,使用Godot Re tools工具提取代码,并通过解码自定义编码的字符串来获取flag。文章内容涵盖了CTF比赛中常见的PHP漏洞利用、图片隐写术和逆向工程等网络安全技术。
PHP 安全漏洞 CTF 挑战题解析 Web 应用安全 反序列化攻击 魔术方法利用 代码审计 渗透测试 安全工具使用 二进制分析 逆向工程
0x65 记一次Exchange邮件服务器登录入口的爆破实战:二次开发 + 拨号换IP + 延迟爆破
渗透安全团队 2026-07-06T16:18:41 abc123info
本文详细描述了在渗透测试中针对仅暴露Exchange邮件服务器的情况,如何进行用户名和密码的枚举与爆破。首先,文章指出Exchange 2019支持多种用户名格式登录,并推荐使用特定工具进行用户名枚举。在密码爆破方面,作者对比了多个工具后选择了EBurst,因为它支持多种Exchange爆破接口且易于改造。针对实战中遇到的问题,作者对EBurst进行了优化,解决了SSL证书校验问题、增加了用户pass格式字典支持以及中文编码问题。此外,针对IP封禁和账号锁定问题,作者最初采用拨号换IP的方式规避限制,后因效率问题改为增加延迟机制。整个过程持续约5天,最终成功获取一组有效账号密码,为后续测试提供了关键突破口。文章强调了在AI时代Python代码修改的便捷性,并分享了修正后的工具。
Exchange服务器 用户枚举 密码爆破 工具使用 SSL/TLS 字典攻击 IP封禁绕过 自动化脚本 网络安全测试 防御绕过
0x66 工具 | 一款基于 Windows 桌面端渗透测试工具箱
渗透安全团队 2026-07-06T16:18:41 Ga047
ICE是一款专为渗透测试人员设计的综合工具集,旨在简化日常安全服务渗透测试中的工具切换过程。该工具基于Python开发,适用于Windows桌面环境,集成了信息收集、武器库、工具箱和编码转换等四大类共18个子模块。主要功能包括端口扫描、子域名挖掘、目录扫描、JSFinder、指纹识别、权重查询、JWT破解、IP查询、反弹Shell生成、常用命令、WebShell集合、文件下载工具箱、数据处理、社工字典生成、弱密码查询、杀软识别以及多种编码转换方法。ICE提供了快速开始指南,包括克隆仓库、安装依赖和运行工具的步骤。该工具的使用需遵循免责声明,确保行为符合当地法律法规,并已获得足够的授权。
渗透测试工具 信息收集工具 武器库工具 安全分析工具 编码转换工具 Python开发 Windows平台
0x67 新的“糟糕的”Linux内核漏洞让非特权用户获得Root,打击Android
HackSee安全生活 2026-07-06T15:42:59 HackSee安全团队
最近发现的一个名为Bad Epoll的Linux内核漏洞(CVE-2026-46242)允许非特权用户以root身份完全控制一台机器,影响了Linux桌面、服务器和Android系统。这个漏洞由研究人员Jaeyoung Chung发现,它利用了内核代码中的一个缺陷,允许攻击者通过特定的内存冲突从普通用户账户提升到root权限。该漏洞可以通过Chrome的渲染器沙箱触发,并且由于其时间窗口非常窄,使得攻击难度增加。尽管已经发布了修复程序,但这个漏洞仍然是一个严重的威胁,因为它可以追溯到2023年对epoll代码的一次修改。此外,文章还提到了其他几个类似的Linux内核漏洞,如Bad Binder、Bad IO_uring和Bad Spin,以及它们对Android系统的潜在影响。
Linux内核漏洞 Root权限提升 Android安全 人工智能安全 竞争条件漏洞 零日漏洞 内核安全 漏洞利用 安全修复 操作系统安全
0x68 朝鲜黑客在PolinRider行动中发布108个恶意软件包及扩展程序
FreeBuf 2026-07-06T15:26:12
朝鲜黑客组织近期在名为PolinRider的活动中发布了108个独特的恶意软件包和扩展程序,这些恶意组件分布在不同平台上,包括npm、Packagist、Go和Google Chrome。这些恶意软件通过入侵维护者账户、篡改合法代码库并发布受感染的软件包版本进行传播。攻击者利用伪造的招聘流程针对软件开发人员和加密货币行业从业者,通过LinkedIn、GitHub或自由职业网站建立信任,最终投递恶意软件。PolinRider活动自2023年起持续活跃,攻击者在公开GitHub仓库中植入经过混淆的JavaScript恶意载荷,用于传播与“传染性面试”相关的恶意软件。恶意软件执行后会扫描特定文件并追加恶意JavaScript代码,同时修改Git历史记录。最新的攻击链演变中,恶意软件会连接到区块链基础设施获取加密的第二阶段载荷,并释放DEV#POPPER RAT和OmniStealer恶意软件。安全专家建议用户审查仓库活动日志、软件包发布元数据等,并审计开发工作站和仓库中的修改。
朝鲜黑客攻击 恶意软件发布 开源软件漏洞 供应链攻击 社会工程学 JavaScript恶意软件 GitHub攻击 VS Code攻击 区块链安全 Git历史篡改
0x69 ldap利用工具公开——JNDIexp
珂技知识分享 2026-07-06T15:17:24 © 珂字辈
JNDIexp是一个用于Java环境的JNDI注入利用工具,由初学者开发,采用命令行界面且较为简陋。该工具在VPS上监听1389端口,并通过命令行参数指定目标地址、模块、gadget和payload进行利用。工具支持多种gadget和payload组合,如calc、tomcat、weblogic、spring等,以及不同的Java版本和库。使用方法包括指定LDAP服务器地址、模块名称、gadget名称和payload内容,其中模块和gadget的选择取决于目标环境和需求。注释中提供了简陋的提示信息,帮助用户理解不同gadget和payload的用途。工具支持多种Java库和框架的利用,如Fastjson、Jackson、Rome、C3P0、 CommonsDbcp、 TomcatDbcp、 Druid、 HikariJNDI等,以及不同的数据库和Web应用服务器。用户可以根据目标环境选择合适的gadget和payload进行利用。工具的详细使用说明和gadget信息在help中提供,但为了简洁没有全部枚举,而是提供了提示信息。该工具对于学习和研究Java JNDI注入利用具有一定的参考价值。
JNDI_exploitation Java_sandbox_bypass Deserialization_vulnerability Payload_delivery Exploitation_tool Environment_variable Gadget_selection Java_version_dependency Web_app_exploitation Command_line_tool
0x6a 2026平航杯 计算机取证题解析
取证与溯源 2026-07-06T13:03:18 怪叔叔
本文档详细记录了2026平航杯计算机取证任务「早起王的电脑」的解题过程。任务涉及分析早起王的PC镜像,涵盖Windows Build版本提取、SAM Hash解析、邮件隐写解码、VeraCrypt隐藏卷、AI模型配置、数据恢复、VBA宏分析、JScript混淆代码、BloodHound域控分析、跨机钓鱼邮件、.NET木马反编译等多个知识点。解题过程中使用了多种取证工具和技术,如strings、impacket-secretsdump、stegsnow、VBA_Parser、olefile、dnspy等,并对关键证据链进行了详细分析和交叉验证,最终成功完成了所有题目的解答。
0x6b WinPE:作为 Windows 驱动测试与模糊测试的无状态测试框架
securitainment 2026-07-06T12:50:00 bednars.me
本文探讨了使用Windows PE(预安装环境)作为Windows驱动测试和模糊测试的无状态测试框架的解决方案。文章分析了Windows系统CI/CD环境编排中的挑战,如资源消耗、非确定性环境以及冷启动时间过长。作者提出使用WinPE,一个官方的精简环境,它运行在RAM中,资源消耗低,且不支持图形界面,非常适合自动化测试。文章详细介绍了如何通过修改BCD和QEMU配置来优化WinPE的启动速度和稳定性,包括引导优化、测试模式配置、禁用安全特性以及硬件拓扑选择。此外,还讨论了KDNET网络调试机制、WinPE的幂等性保证、外壳修改以及如何通过SAC控制台进行系统管理。最后,文章强调了Hyper-V enlightenments对KDNET稳定性的影响,并提供了避免该问题的配置建议。
操作系统安全 驱动程序安全 模糊测试 虚拟化安全 测试自动化 WinPE 网络调试 安全研究
0x6c 重磅APT预警|Nexus TAG182组织大肆投放MarkiRAT间谍木马,定向窃取涉密、涉外企业核心资料
AI紫队安全研究 2026-07-06T11:53:00 © AI紫队安全研究
本文详细分析了Nexus TAG182组织利用自研MarkiRAT间谍木马进行大规模持续性间谍行动的情况。该组织具有国家级背景,主要目标是收集战略情报、商业机密和涉外业务数据。MarkiRAT木马通过Office宏、IM钓鱼等方式入侵政企终端,具备键盘记录、截屏、文件窃取和凭证抓取等功能。文章详细拆解了团伙的攻击链路、木马的核心能力和防御方案。攻击链路包括社工投递、宏代码执行、落地驻留和情报收集。防御方案分为全员基础防护、终端安全加固、网络边界防护和应急处置步骤。文章强调了企业应采取的全面防护措施,以防止APT攻击和核心资料泄露。
APT攻击 间谍木马 恶意软件分析 网络安全预警 钓鱼攻击 远程控制木马 键盘记录 数据窃取 企业安全 防御策略
0x6d 【银狐应急复盘】伪装 Telegram 的“白加黑”银狐木马,从深度溯源到彻底清除的闭环响应实录(附自查 IOC)
solar应急响应团队 2026-07-06T11:02:02 © 州弟学安全
Solar 安全运营响应团队分享了处置银狐木马攻击的应急响应案例。该案例的排查难度较高,因为攻击者已执行了部分“痕迹抹除”操作,如清空浏览器历史记录和删除原始下载的 Telegram 安装包。团队通过深度取证与逆向还原,完成了从外联告警到攻击全链路的闭环溯源。主要步骤包括:定位异常外联进程 tracerpt.exe,利用内存 Dump 技术提取恶意 DLL 样本,通过分析 JumpList 和 Prefetch 文件寻找被抹除的攻击足迹,识别伪装细节,进行恶意程序逆向分析,最终定位并清除恶意服务项和文件。该案例展示了在有限取证条件下,如何通过综合技术手段实现攻击溯源和清除。文章还提到了 Solar 团队处理的其他勒索病毒案例,并强调了防御与响应的重要性。
应急响应 恶意软件分析 APT攻击 勒索病毒 溯源分析 安全运营 技术对抗
0x6e RunPack内部版v1.2单文件免杀工具 | 绕过常见杀软火绒/360/Defender
词不达意安全团队 2026-07-06T10:57:33 © 词不达意
RunPack内部版v1.2是一款基于Patch技术的免杀工具,通过将自定义shellcode Patch到二进制程序,实现单文件免杀。本次更新增加了内置常见图标使用教程,用户可以选择常见软件安装目录进行扫描,并选择c2载荷(仅支持x64)。工具提供了三个Patch模板:template_msg.bin(单文件带有文件损坏提示弹窗)、template_normal.bin(常规单文件上线模板)和template_sandbox.bin(单文件上线带反沙箱功能,支持绕过微步、天穹沙箱、virustotal、奇安信情报沙箱)。使用时,用户需选择模板并生成单文件loader,自定义图标可放置在icons目录下。建议选择体积较大的二进制程序(如2mb起)进行patch,以提升静态规避效果。工具适用于降低被火绒、Defender360等杀软检测的概率。此外,文章还介绍了纷传圈子,提供红队终端安全对抗、社工钓鱼、免杀冲锋马、内网/域渗透等交流,并分享了往期文件内容,如冲锋马一键生成工具、lnk文件一键生成工具、bypass内存扫描插件等。重要声明:本文所涉及的技术、思路和工具仅供本地靶场安全测试和防御研究,禁止用于非法入侵或攻击他人系统。
免杀 Patch技术 单文件工具 反沙箱 网络安全工具 恶意软件开发 攻防演练 社区分享
0x6f Apache ActiveMQ Classic 重大 RCE 研究:CVE-2026-34197 及其补丁绕过 CVE-2026-42588 全解析
Ots安全 2026-07-06T10:17:11
本文深入分析了Apache ActiveMQ Classic中的一个严重远程代码执行(RCE)漏洞CVE-2026-34197,并揭示了官方补丁CVE-2026-42588的绕过方法。研究详细拆解了攻击链,包括Jolokia → addNetworkConnector → xbean/Spring-XML的远程代码执行过程。文章不仅复现了CVE-2026-34197,还发现了补丁绕过的方法,并对6.2.6版本的ActiveMQ Classic进行了全面审计。审计发现,虽然6.2.6版本有效封堵了主要RCE链,但仍存在一些中低危问题。文章还与Crowdfense的公开绕过文章进行了对比,并提供了官方修复措施的建议,包括升级至6.2.6或更高版本,限制Jolokia访问,禁用不必要的管理操作,并审查认证配置。
漏洞分析 远程代码执行 安全漏洞 Apache ActiveMQ Classic 软件安全 漏洞利用 代码审计 安全研究
0x70 Synacktiv 公开披露了一个 Kerberos 反射绕过漏洞(CVE-2026-26128),并提供了 PoC 漏洞利用代码
Ots安全 2026-07-06T10:17:11
Synacktiv 公开披露了一个编号为 CVE-2026-26128 的 Kerberos 反射绕过漏洞,该漏洞允许域用户在目标 Windows 计算机上获得 SYSTEM 权限。该漏洞利用了 Windows 组件处理 Unicode 字符方式的差异,通过 DNS 查询和 SMB 服务触发身份验证反射,从而在目标机器上建立 SYSTEM 会话。尽管微软在 2026 年 3 月修复了该漏洞,但概念验证的漏洞利用代码已公开,对 Active Directory 网络构成了实际风险。该漏洞影响 2026 年 3 月补丁之前的所有 Windows 版本,而 Windows 11 24H2 版本由于强制执行 SMB 签名而不会受到影响。微软的两个补丁未能完全修复问题,Synacktiv 的研究揭示了这一漏洞的利用链,并提供了详细的攻击原理和漏洞利用代码。建议所有服务器尽快应用最新的更新,并启用 SMB 签名以增强安全性。
Kerberos 漏洞 权限提升 Windows 漏洞 Active Directory 攻击 概念验证代码 补丁管理 身份验证问题
0x71 【原创】Operation Phnom Penh:银狐Ghost分发商针对特定目标投递MODBEACON特马
奇安信威胁情报中心 2026-07-06T10:00:00 © 威胁情报中心
银狐/UTG-Q-1000被误认为是低水平的仿冒软件黑产,实则是一个类似Malware-as-a-Service(MaaS)的组织架构。该组织利用ghost变种、winos等木马,通过SEO投放仿冒软件安装包在亚洲地区活动。2026年,奇安信红雨滴团队发现该组织针对特定目标下发一款由Rust编写的特种木马MODBEACON,该木马高度模块化,采用插件化架构和gRPC隧道流式通信,并复用开源抗审查代理框架Xray/V2Ray的传输层作为C2信道以规避审查。该组织不仅从事诈骗业务,还针对柬埔寨博彩行业进行"黑吃黑"活动,其动机可能存在外包性质的政治意图。天擎“六合”高级威胁防御引擎已可对MODBEACON stage shellcode进行拦截。文章还详细分析了MODBEACON的技术细节,包括其初始化流程、C2配置选择、gRPC/TLS通信流程、主机指纹采集、命令与插件分发等。目前,奇安信全线产品已支持对此类攻击的精确检测。
恶意软件分析 APT攻击 木马技术 威胁情报 网络安全事件 C2通信 黑产分析 跨境攻击
0x72 DVWA每日实操系列|第4期CSRF跨站请求伪造|四层零基础通关 + 篡改任意用户密码 + 可直接上交SRC
网络安全学习室 2026-07-06T09:31:01 点击关注👉
本文深入探讨了CSRF(跨站请求伪造)漏洞的原理、危害以及不同安全级别的防护措施。文章首先解释了CSRF的基本概念,即在用户登录状态下,通过诱导点击恶意链接,攻击者可以自动执行用户的操作,如改密码、改手机号等,而无需用户账号密码或会话劫持。接着,文章详细分析了Low、Medium、High和Impossible四个安全级别的防护措施,包括Token防护、Referer校验等,并指出不同级别防护的绕过方法和实际危害。此外,文章还提供了真实网站SRC挖洞的落地思路,以及如何提交漏洞报告的模板。最后,文章鼓励新手网络安全学习者,并提供了学习福利和后续内容预告。
CSRF跨站请求伪造 Web安全 漏洞复现 网络安全入门 SRC挖洞 漏洞防护 网络安全实战 漏洞等级 漏洞修复
0x73 Cursor IDE 中的两个关键性 RCE 漏洞,通过零点击提示注入触发
骨哥说事 2026-07-06T09:11:43 © 骨哥说事
Cato AI Labs 发现了 Cursor IDE 中的两个关键性远程代码执行(RCE)漏洞,这两个漏洞被命名为 "DuneSlide",分别获得了 9.8 的 CVSS 评分。这些漏洞允许攻击者通过零点击提示注入的方式在开发者的本地系统上写入任意文件,并最终实现非沙盒的 RCE,导致系统完全失陷。第一个漏洞源于沙盒对工作目录参数的处理不当,攻击者可以通过提示注入设置攻击者控制的路径,从而绕过沙盒限制。第二个漏洞则与符号链接规范化失败有关,攻击者可以创建符号链接绕过越界写入保护。这两个漏洞的共同点是它们都利用了提示注入技术,展示了在 LLM 层面之上的代码路径中的经典漏洞。Cursor 团队已经确认了这两个漏洞的严重性,并发布了修复补丁。
远程代码执行(RCE) IDE安全漏洞 沙盒逃逸 提示注入攻击 零点击攻击 财富500强公司相关 负责任披露 AI安全
0x74 【威胁情报】Kongtuke组织利用ClickFix社工技术及高级规避手段投放Havoc C2载荷
TtTeam 2026-07-06T08:52:00 Z
本文详细分析了Kongtuke组织发起的新一轮定向攻击活动。该组织利用ClickFix社工技术,通过虚假验证码诱导用户执行恶意命令,最终投放搭载Havoc远控(C2)的恶意载荷。攻击者伪装正规软件安装包,结合多种高级对抗技术,如进程隐藏、沙箱逃逸、内存混淆等,实现隐蔽性和抗分析性。攻击链路包括静默恶意安装、代理侧加载、窗口伪装、沙箱逃逸、内存偏移混淆、无监控回调执行、自定义加密、PowerShell隐蔽执行和持久化驻留等步骤。恶意载荷运行依赖于一个高熵独立容器文件,攻击者通过创建系统计划任务实现长期驻留。文章提供了攻击的关键配置、载荷特征和威胁指标,并提出了相应的防御建议。
定向攻击 威胁情报 恶意软件 社会工程学 高级持续性威胁(APT) 对抗技术 恶意软件分析 安全防御 浏览器安全 内存安全
0x75 新型 Linux 内核漏洞 “Bad Epoll” 曝光,普通无权限用户可提权获取最高管理员权限,安卓系统同样受影响
黑猫安全 2026-07-06T08:47:19 鹏鹏同学
Linux内核近日曝光了一个名为“Bad Epoll”的新型漏洞(CVE-2026-46242),该漏洞允许普通无特殊权限的用户提升至最高管理员权限。该漏洞存在于Linux桌面、服务器及安卓设备,影响了广泛的应用程序和系统。漏洞源于内核代码中的一处竞争条件,使得攻击者可以通过特定的时序条件篡改内核内存,实现权限提升。尽管研究人员已经开发出了可利用该漏洞的攻击程序,但截至发布时,尚未有证据表明该漏洞被实际利用。官方已发布修复补丁,用户应尽快更新系统以避免潜在的安全风险。同时,文章还提到了其他相关的Linux内核漏洞,以及AI在漏洞挖掘中的局限性。
Linux内核安全 Root权限提升 操作系统漏洞 零日漏洞 AI漏洞挖掘 竞争条件漏洞 安卓系统安全 安全补丁发布 安全竞赛
0x76 AI漏掉的Linux内核提权漏洞,普通用户也能拿到Root权限,Android手机也受影响
二进制空间安全 2026-07-06T08:30:00 © suntiger
本文详细介绍了Linux内核中的一个严重漏洞,名为Bad Epoll,这是一个允许本地用户提升权限至root级别的Use-After-Free竞态条件漏洞。该漏洞存在于Linux内核的epoll子系统,通过一个极窄的竞态窗口,普通用户可以绕过权限限制,获得root权限。该漏洞不仅影响传统的Linux服务器,还影响Android手机。尽管AI模型Mythos曾在同一代码段中发现另一个竞态漏洞,但漏掉了Bad Epoll。文章解释了epoll的工作原理和为什么它难以关闭,详细描述了Bad Epoll的漏洞原理和攻击链,包括权限提升的步骤。最后,文章提供了漏洞的时间线、影响范围和修复信息,并警告不要将漏洞利用代码用于非法用途。
Linux内核安全 权限提升漏洞 Use-After-Free(UAF) 竞态条件漏洞 Android安全 系统崩溃(DoS) 安全研究
0x77 Avalon恶意软件利用合法文件诱饵来传播CrownX勒索软件的功能
暗镜 2026-07-06T06:00:00 © ZM
本文分析了名为Avalon的恶意软件框架,该框架利用伪造的法律文件诱饵和多阶段的无文件链传播CrownX勒索软件组件。Avalon框架展示了多种进攻能力的整合,降低了威胁行为者部署复杂模块化工具集的门槛。恶意软件通过电子邮件传播,隐藏在ISO镜像和伪装的MSBuild项目文件中,并使用多种遥测规避技术。Avalon具备凭证窃取、持久化、横向移动、反取证和勒索软件等功能,通过DPAPI收集敏感数据,并通过WinHTTP进行C2通信。CrownX勒索软件模块实现了强大的加密和反取证措施,旨在阻止恢复和加密大量文件。本文详细描述了Avalon的传播方式、技术细节和潜在影响。
勒索软件 恶意软件分析 钓鱼攻击 无文件攻击 内存加载 勒索软件加密 远程访问木马 凭证窃取 系统破坏 防取证技术
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
