更新

2025-11-04 17:13:53 +00:00 · 2025-05-12 03:00:01 +08:00 · 2025-05-12 03:00:01 +08:00 · ef82a31406
commit ef82a31406
parent 4d683eb80b
1 changed files with 293 additions and 0 deletions
--- a/results/2025-05-12.md
+++ b/results/2025-05-12.md
@ -0,0 +1,293 @@
 # 安全资讯日报 2025-05-12
 > 本文由AI自动生成，基于对安全相关仓库、CVE和最新安全研究成果的自动化分析。
 > 
 > 更新时间：2025-05-12 02:58:27
 <!-- more -->
 ## 今日资讯
 ### 🔍 漏洞分析
 * [文化局小程序的一次越权测试](https://mp.weixin.qq.com/s?__biz=MzkwODc1NTgyMg==&mid=2247485007&idx=1&sn=c880314e69567fc368851a0fbf4d86be)
 * [通过CE固定小程序动态密钥后自动化加解密|挖洞技巧](https://mp.weixin.qq.com/s?__biz=Mzg3ODE2MjkxMQ==&mid=2247491359&idx=1&sn=cf1b949ccb8d1929339bfd5eb4228aaf)
 * [PXA Stealer最新攻击活动样本分析](https://mp.weixin.qq.com/s?__biz=MzU4NTY4MDEzMw==&mid=2247494102&idx=1&sn=5516a2721e433c526b1afa2677656037)
 * [新型Mamona勒索软件滥用Ping命令攻击Windows系统](https://mp.weixin.qq.com/s?__biz=MzU2NDY2OTU4Nw==&mid=2247520424&idx=1&sn=3030e4f9b17e87b75076303fa1eef06a)
 ### 🔬 安全研究
 * [能力验证分组密码的工作模式](https://mp.weixin.qq.com/s?__biz=MzU1Mjk3MDY1OA==&mid=2247520765&idx=1&sn=15fa3a80ed4194bf0b2e4533ef3a409a)
 * [密码套件：网络安全的“密码锁组合”如何命名？详解TLS加密背后的命名玄机](https://mp.weixin.qq.com/s?__biz=MzkyMTYyOTQ5NA==&mid=2247487109&idx=1&sn=a197098e9071dd61126fbaaa8e7ae4a9)
 * [网安人没吃过shi的可以挖挖gov小程序](https://mp.weixin.qq.com/s?__biz=MzkwMTcwNzEwOA==&mid=2247483775&idx=1&sn=bfb4544ddf2645360c2199728646d1aa)
 ### 🎯 威胁情报
 * [德国因涉嫌19亿美元洗钱关闭eXch，查获3400万欧元加密货币和8TB数据](https://mp.weixin.qq.com/s?__biz=MzA5MzU5MzQzMA==&mid=2652115674&idx=2&sn=8a3cd177f6e0abc710c089e47bc3f122)
 * [俄罗斯黑客利用恶意驱动器攻击西方军事使团](https://mp.weixin.qq.com/s?__biz=Mzg3ODY0NTczMA==&mid=2247492775&idx=1&sn=7b1f6cf6ba2b394c7e1d109f4cb6959d)
 * [威胁分析平台更新](https://mp.weixin.qq.com/s?__biz=Mzk0NDI2MTQzMw==&mid=2247484663&idx=1&sn=e58f71e4b49d634c7d285bd02f291a72)
 ### 🛠️ 安全工具
 * [工具推荐 | 最新密探渗透测试工具v1.2.3 版本](https://mp.weixin.qq.com/s?__biz=MzkwNjczOTQwOA==&mid=2247494582&idx=1&sn=817c80f8b40732473698c75a2545e265)
 ### 📚 最佳实践
 * [NIST差异隐私保证评估指南](https://mp.weixin.qq.com/s?__biz=MzA5MTYyMDQ0OQ==&mid=2247493893&idx=1&sn=6dec687e2ed2dd0266ca64132f33eaa0)
 * [2025公安部网安局等级保护工作要求最新动向浅析](https://mp.weixin.qq.com/s?__biz=Mzg2NjY2MTI3Mg==&mid=2247499873&idx=1&sn=ba7e7fae2beb45365b5d63bbd2d75508)
 * [网络安全知识：什么是网络安全？](https://mp.weixin.qq.com/s?__biz=Mzg2NjY2MTI3Mg==&mid=2247499873&idx=2&sn=af86ced48bae8220de2f6dd324a775bf)
 * [华为云流量监控与安全防护策略](https://mp.weixin.qq.com/s?__biz=Mzg3NTUzOTg3NA==&mid=2247515651&idx=1&sn=22d4694178f01a2fe39da9f25398eb47)
 ### 🍉 吃瓜新闻
 * [公网安〔2025〕1846号文：风险隐患及工作方案释疑浅谈](https://mp.weixin.qq.com/s?__biz=MzA5MzU5MzQzMA==&mid=2652115674&idx=1&sn=4ca9a24d4c150d25d46d04a47176985c)
 * [网络安全行业，果然浑水摸鱼的不在少数！从某90万防火墙预算采购到了269 元路由器谈起](https://mp.weixin.qq.com/s?__biz=MzUzNjkxODE5MA==&mid=2247490701&idx=1&sn=c5bb340bbc4a582dfef8bf3d226901cc)
 ### 📌 其他
 * [2025护网行动（HW）中高级人员招聘](https://mp.weixin.qq.com/s?__biz=Mzg3ODE2MjkxMQ==&mid=2247491359&idx=2&sn=ec57c507017649b13851a080873262ff)
 * [母亲节祝天下母亲，节日快乐！](https://mp.weixin.qq.com/s?__biz=MzI2MTUwNjI4Mw==&mid=2247489458&idx=1&sn=ea331348ac29fef481d55f314c5d0837)
 ## 安全分析
 (2025-05-12)
 本文档包含 AI 对安全相关内容的自动化分析结果。[概览](https://blog.897010.xyz/c/today)
 ### CVE-2025-32433 - Erlang SSH 预认证命令执行漏洞
 #### 📌 漏洞信息
 | 属性 | 详情 |
 |------|------|
 | CVE编号 | CVE-2025-32433 |
 | 风险等级 | `CRITICAL` |
 | 利用状态 | `漏洞利用可用` |
 | 发布时间 | 2025-05-11 00:00:00 |
 | 最后更新 | 2025-05-11 16:52:54 |
 #### 📦 相关仓库
 - [CVE-2025-32433](https://github.com/rizky412/CVE-2025-32433)
 #### 💡 分析概述
 该仓库针对CVE-2025-32433漏洞进行了PoC验证。仓库包含一个 Dockerfile 用于构建一个 Erlang 环境的 SSH 服务器，该服务器模拟了漏洞环境。核心功能实现是一个 SSH 服务器，允许未授权的命令执行。关键更新包括：
 1.  `CVE-2025-32433.py`：这是核心的 PoC 脚本，它通过构造恶意的 SSH 握手过程，在预认证阶段发送 `exec` 请求，从而触发远程命令执行。 PoC脚本尝试在目标服务器上写入文件 `/lab.txt`，验证漏洞存在。代码质量相对较高，可直接运行，但需要根据目标环境调整 IP 和端口。
 2.  `ssh_server.erl`：Erlang 代码，用于创建一个易受攻击的 SSH 服务器。该文件定义了一个简单的 SSH 服务器，其中 `pwdfun` 函数被设置为允许所有用户通过身份验证，简化了攻击过程。
 3.  `Dockerfile`：用于构建 Docker 镜像，该镜像配置了 Erlang 环境，并启动了易受攻击的 SSH 服务器。Dockerfile 安装了必要的依赖项，构建了 Erlang/OTP，并且生成了 SSH 密钥。
 4.  `README.md`：README 文件提供了漏洞的背景信息，PoC 的说明，以及项目结构概述。该 README 已经更新，添加了关于漏洞的详细说明，并且链接到了相关的安全建议。
 CVE-2025-32433 是一个预认证的命令执行漏洞。攻击者可以通过构造恶意的 SSH 握手数据包，在未进行身份验证的情况下执行任意命令。 PoC 利用了 SSH 协议中的 `exec` 请求，在预认证阶段发送该请求，从而在服务器上执行命令。 漏洞在于SSH服务器对客户端发送的请求未进行充分的认证，允许攻击者在认证流程之前执行命令。 漏洞的利用方法：构建恶意的 SSH 握手数据包，在预认证阶段发送 `exec` 请求。PoC 脚本 (`CVE-2025-32433.py`) 构建了 KEXINIT，然后直接发送 `channel_open` 和 `channel_request` 请求，请求执行命令。
 #### 🔍 关键发现
 | 序号 | 发现内容 |
 |------|----------|
 | 1 | 预认证命令执行 |
 | 2 | PoC代码可用 |
 | 3 | 影响 SSH 服务器 |
 | 4 | 利用无需身份验证 |
 | 5 | 影响广泛 |
 #### 🛠️ 技术细节
 > 漏洞原理：SSH 服务器在预认证阶段未充分验证客户端发送的请求，允许执行任意命令。
 > 利用方法：PoC 脚本通过构造恶意的 SSH 握手数据包，在预认证阶段发送 `exec` 请求。
 > 修复方案：升级或修补 SSH 服务器，加强对预认证阶段的请求验证。
 #### 🎯 受影响组件
 ```
 • Erlang SSH 服务器
 • OpenSSH_8.9
 ```
 #### ⚡ 价值评估
 <details>
 <summary>展开查看详细评估</summary>
 该漏洞允许未授权的远程代码执行，具有明确的利用方法 (PoC 代码) ，且影响关键组件（SSH服务器）。
 </details>
 ---
 ### CVE-2024-25600 - WordPress Bricks Builder RCE漏洞
 #### 📌 漏洞信息
 | 属性 | 详情 |
 |------|------|
 | CVE编号 | CVE-2024-25600 |
 | 风险等级 | `CRITICAL` |
 | 利用状态 | `漏洞利用可用` |
 | 发布时间 | 2025-05-11 00:00:00 |
 | 最后更新 | 2025-05-11 16:40:53 |
 #### 📦 相关仓库
 - [CVE-2024-25600](https://github.com/cboss43/CVE-2024-25600)
 #### 💡 分析概述
 该仓库提供了针对WordPress Bricks Builder插件的CVE-2024-25600漏洞的利用代码。主要功能是检测目标WordPress站点是否易受攻击，提取nonce值，并提供一个交互式shell以执行任意命令。 仓库包含了利用脚本、README文档。 最新提交主要更新了README.md文件，优化了描述，增加了下载链接和使用说明，并且更新了代码。漏洞的利用方式是通过构造恶意请求，利用Bricks Builder插件的render_element端点中的输入处理缺陷，执行任意PHP代码。 攻击者无需身份验证即可利用此漏洞，造成远程代码执行（RCE）。
 #### 🔍 关键发现
 | 序号 | 发现内容 |
 |------|----------|
 | 1 | WordPress Bricks Builder插件存在未授权RCE漏洞 |
 | 2 | 利用插件的render_element端点执行任意PHP代码 |
 | 3 | 提供交互式shell进行远程命令执行 |
 | 4 | 漏洞影响版本为Bricks Builder <= 1.9.6 |
 #### 🛠️ 技术细节
 > 漏洞原理：Bricks Builder插件的render_element端点存在输入验证不足，允许攻击者构造恶意请求执行任意PHP代码。
 > 利用方法：通过发送精心构造的POST请求到/wp-json/bricks/v1/render_element端点，在queryEditor参数中注入恶意PHP代码，从而执行任意命令。
 > 修复方案：更新Bricks Builder插件到1.9.6以上版本，以修复该漏洞。
 #### 🎯 受影响组件
 ```
 • WordPress Bricks Builder 插件
 ```
 #### ⚡ 价值评估
 <details>
 <summary>展开查看详细评估</summary>
 该漏洞为未授权RCE，可导致完全控制受影响的WordPress网站。 仓库提供了可用的POC/EXP，且影响范围明确，因此判断为高价值漏洞。
 </details>
 ---
 ### CVE-2025-0411 - 7-Zip MotW Bypass 漏洞 POC
 #### 📌 漏洞信息
 | 属性 | 详情 |
 |------|------|
 | CVE编号 | CVE-2025-0411 |
 | 风险等级 | `HIGH` |
 | 利用状态 | `POC可用` |
 | 发布时间 | 2025-05-11 00:00:00 |
 | 最后更新 | 2025-05-11 16:28:50 |
 #### 📦 相关仓库
 - [7-Zip-CVE-2025-0411-POC](https://github.com/dpextreme/7-Zip-CVE-2025-0411-POC)
 #### 💡 分析概述
 该仓库提供了CVE-2025-0411漏洞的POC，该漏洞是7-Zip的Mark-of-the-Web (MotW) 绕过漏洞。仓库包含POC场景，演示了如何绕过MotW保护机制。该漏洞允许攻击者在用户打开恶意压缩包后执行任意代码。根据最近的提交，仓库持续更新以完善POC和提供更清晰的解释。该漏洞涉及了对压缩文件处理的不当，导致了安全隐患。该仓库的主要功能是提供POC，帮助理解和测试CVE-2025-0411漏洞。仓库包含漏洞细节、利用说明，以及受影响的版本信息。通过双重压缩可触发此漏洞，然后将压缩文件上传到payload服务器。当受害者下载该文件并执行其中包含的程序时，即可触发漏洞。通过查看最近的提交，修复了CVE链接，并更新了readme文档的描述信息和图片链接。
 #### 🔍 关键发现
 | 序号 | 发现内容 |
 |------|----------|
 | 1 | 7-Zip MotW 绕过漏洞 |
 | 2 | POC演示绕过MotW保护机制 |
 | 3 | 允许执行任意代码 |
 | 4 | 受影响版本为 7-Zip 24.09之前的版本 |
 #### 🛠️ 技术细节
 > 漏洞原理：7-Zip在处理压缩文件时，没有正确地将MotW标记传递给解压后的文件，导致MotW绕过。
 > 利用方法：构造一个恶意的压缩文件，其中包含可执行文件。通过双重压缩绕过MotW检测。诱使用户下载并解压该文件。当用户运行解压后的可执行文件时，代码将被执行。
 > 修复方案：升级到7-Zip 24.09或更高版本。避免打开来自不可信来源的压缩文件。
 #### 🎯 受影响组件
 ```
 • 7-Zip
 • Windows操作系统
 ```
 #### ⚡ 价值评估
 <details>
 <summary>展开查看详细评估</summary>
 该POC展示了7-Zip的MotW绕过漏洞，该漏洞可以导致远程代码执行。影响了广泛使用的7-Zip版本，并且有明确的利用方法和POC，具有较高的安全价值。
 </details>
 ---
 ### CVE-2023-42793 - TeamCity RCE漏洞，身份认证绕过
 #### 📌 漏洞信息
 | 属性 | 详情 |
 |------|------|
 | CVE编号 | CVE-2023-42793 |
 | 风险等级 | `CRITICAL` |
 | 利用状态 | `漏洞利用可用` |
 | 发布时间 | 2025-05-11 00:00:00 |
 | 最后更新 | 2025-05-11 17:00:18 |
 #### 📦 相关仓库
 - [Nuclei-Template-CVE-2023-42793.yaml](https://github.com/syaifulandy/Nuclei-Template-CVE-2023-42793.yaml)
 #### 💡 分析概述
 该仓库提供针对CVE-2023-42793的nuclei扫描模板。漏洞存在于JetBrains TeamCity 2023.05.4之前的版本中，是一个身份验证绕过漏洞，可导致TeamCity服务器上的远程代码执行（RCE）。
 最新提交更新了CVE-2023-42793.yaml文件，该文件定义了nuclei扫描模板，用于检测和利用此漏洞。yaml文件包含漏洞的详细信息，例如漏洞名称、描述、严重性、参考链接等。它还包括了用于漏洞利用的HTTP请求。通过创建用户令牌，然后启用调试功能，最终通过debug功能实现RCE。
 漏洞利用步骤如下：
 1.  删除用户ID为1的用户的Token
 2.  创建用户ID为1的用户的Token，获取token
 3.  修改TeamCity的内部配置文件，启用调试模式
 4.  使用token进行身份验证，执行远程命令
 #### 🔍 关键发现
 | 序号 | 发现内容 |
 |------|----------|
 | 1 | JetBrains TeamCity身份验证绕过漏洞 |
 | 2 | 可导致远程代码执行（RCE） |
 | 3 | 影响范围明确，有明确的受影响版本 |
 | 4 | 提供了完整的POC和利用代码 |
 #### 🛠️ 技术细节
 > 漏洞原理：由于身份验证的缺陷，攻击者可以绕过身份验证，并利用TeamCity的debug功能执行任意命令。
 > 利用方法：通过构造特定的HTTP请求，删除并创建用户token，然后通过修改配置文件启用debug模式，最终利用debug接口执行远程命令。
 > 修复方案：升级到JetBrains TeamCity 2023.05.4或更高版本。
 #### 🎯 受影响组件
 ```
 • JetBrains TeamCity
 ```
 #### ⚡ 价值评估
 <details>
 <summary>展开查看详细评估</summary>
 该漏洞影响广泛使用的TeamCity，且有明确的受影响版本和详细的利用方法，提供了完整的POC，属于远程代码执行（RCE）漏洞，危害严重。
 </details>
 ---
 ## 免责声明
 本文内容由 AI 自动生成，仅供参考和学习交流。文章中的观点和建议不代表作者立场，使用本文信息需自行承担风险和责任。