# 安全资讯日报 2025-06-20

> 本文由AI自动生成，基于对安全相关仓库、CVE和最新安全研究成果的自动化分析。
> 
> 更新时间：2025-06-20 08:07:55

<!-- more -->

## 今日资讯

### 🔍 漏洞分析

* [关于漏洞“宝塔Linux面板存在任意命令执行”的说明](https://mp.weixin.qq.com/s?__biz=Mzg4NDg2NTM3NQ==&mid=2247484808&idx=1&sn=5abe422c4016fe5301be0b7b67ce939e)
* [Burp新利器解决请求包加密问题 CloudX自动化解密AES、SM4、DES等加密方式的接口|漏洞探测](https://mp.weixin.qq.com/s?__biz=Mzg3ODE2MjkxMQ==&mid=2247492539&idx=1&sn=250730046fc1116e0a28c8ea9e77bbb5)
* [CVE-2025-48957 AstrBot get_file接口存在任意文件读取漏洞](https://mp.weixin.qq.com/s?__biz=MzkzNzMxODkzMw==&mid=2247485953&idx=1&sn=8c198027b4a8441d92fc0ca20bdcc39d)
* [GeoServer TestWFSpost 存在SSRF漏洞CVE-2024-29198 附POC](https://mp.weixin.qq.com/s?__biz=MzIxMjEzMDkyMA==&mid=2247488656&idx=1&sn=0f20df860f2ce3b09498578185b5795d)
* [DLL 注入术（四）：狸猫换太子——DLL 劫持的“白加黑”策略](https://mp.weixin.qq.com/s?__biz=MzUyNTUyNTA5OQ==&mid=2247485562&idx=1&sn=229b7474e7e7ef67de827e2020339a48)
* [Linux 内核 OverlayFS 漏洞 CVE-2023-0386 被利用来提升 Root 权限](https://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247531136&idx=2&sn=71883f588c565f53ef733bcfcb8c5c13)
* [使用分支对抗进行webshell bypass](https://mp.weixin.qq.com/s?__biz=MzU2NDY2OTU4Nw==&mid=2247521103&idx=1&sn=6d2b547b1f00539a4b99c8cf2416f583)
* [Chrome N-Day漏洞利用工程指南](https://mp.weixin.qq.com/s?__biz=MzI1MDA1MjcxMw==&mid=2649908325&idx=2&sn=06326aff0db92eb3b0cf94102cdbec84)
* [Windows惊现致命权限漏洞！普通员工1分钟变管理员，数亿设备暴露风险CVE-2025-24286](https://mp.weixin.qq.com/s?__biz=Mzg4NTg5MDQ0OA==&mid=2247488137&idx=1&sn=e07f4a50cf1f03d17bac8b2800bd37b4)

### 🔬 安全研究

* [达梦数据库手动注入](https://mp.weixin.qq.com/s?__biz=MzkxNjMwNDUxNg==&mid=2247488333&idx=1&sn=7b13a07dd5ab4b02ee95f21be9b7ffee)
* [史上最大规模实时登录凭证泄露事件：160亿条敏感数据暴露引发安全危机](https://mp.weixin.qq.com/s?__biz=MzkyMjQ5ODk5OA==&mid=2247511146&idx=1&sn=f2ee3f17c9cc7f1dbdcaec9ddd9bab61)
* [重温Kerberos中继劫持技术](https://mp.weixin.qq.com/s?__biz=MzI1MDA1MjcxMw==&mid=2649908325&idx=1&sn=f55a21cedfdd713498e7c87d6d566460)
* [思维链劫持越狱技术介绍](https://mp.weixin.qq.com/s?__biz=MzI1MDA1MjcxMw==&mid=2649908325&idx=3&sn=c0fa5a64d175d466aa7fca66ac4cf83c)
* [某鱼自定义协议请求抓包＋加密参数分析](https://mp.weixin.qq.com/s?__biz=Mzg4MTU4NTc2Nw==&mid=2247497642&idx=1&sn=332511a659cc9bb3dbf01853d51f8fa3)
* [2025适合网安人的速成加解密逆向教程](https://mp.weixin.qq.com/s?__biz=MzkzNDI5NjEzMQ==&mid=2247484866&idx=2&sn=3789cf0e5acf0b3687b761ab98bbdfee)
* [用这套提示词绕过限制，DeepSeek直接把数据库的账号密码交代了](https://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247489295&idx=1&sn=3978eb82a264cb4f0ffef1352a06c8cb)

### 🎯 威胁情报

* [美国最大钢铁巨头纽柯公司遭遇网络攻击，导致业务中断](https://mp.weixin.qq.com/s?__biz=Mzg3ODY0NTczMA==&mid=2247493008&idx=1&sn=84edf0b1bb7ff79b68acc764bcc14385)
* [忧郁（Noroff）：朝鲜复杂的 Web3 入侵](https://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247531136&idx=1&sn=6d7813d9ab5e4981459e1705482b9136)
* [暗网快讯20250620期](https://mp.weixin.qq.com/s?__biz=MzkyMjQ5ODk5OA==&mid=2247511146&idx=2&sn=b2cf000542bd3c5d76825ae3cd189124)
* [5th域安全微讯早报20250620147期](https://mp.weixin.qq.com/s?__biz=MzkyMjQ5ODk5OA==&mid=2247511146&idx=3&sn=3da55afa893a9f627afe4a09ae53700c)
* [透明牢笼（Glass Cage）行动攻击链技术解构](https://mp.weixin.qq.com/s?__biz=MzI1MDA1MjcxMw==&mid=2649908325&idx=4&sn=3db55db6dae0c1e71a51d81f673e9225)
* [FuCkPassw0rd_bot](https://mp.weixin.qq.com/s?__biz=MzU2MDYxNDQ4Ng==&mid=2247484498&idx=1&sn=4e9dedb9dc96e17f5077be9e21e5dfe0)

### 🛠️ 安全工具

* [吾爱大佬出品文件粉碎工具，杜绝泄漏，支持单文件，文件夹，磁盘擦除，右键菜单！](https://mp.weixin.qq.com/s?__biz=Mzk0MzI2NzQ5MA==&mid=2247487465&idx=1&sn=0637edc4bae545eef1784c2d479a63f8)
* [渗透测试 | BurpSuite+MitmProxy 自动计算 Sign](https://mp.weixin.qq.com/s?__biz=MzkwMzQyMTg5OA==&mid=2247487644&idx=1&sn=67440b76b956bdd4a9556d11fa90697e)
* [免杀 | 过360核晶、火绒、defender上线CS、运行mimikatz的万能加载器XlAnyLoader 1.5正式发布!](https://mp.weixin.qq.com/s?__biz=MzkwNjczOTQwOA==&mid=2247494976&idx=1&sn=6a6da6e5501e8ed88722cdb61644d036)
* [攻防利器Tomcat漏洞批量检测工具](https://mp.weixin.qq.com/s?__biz=MzkzNDI5NjEzMQ==&mid=2247484866&idx=1&sn=65eb8293ccb79f02d72c47f620a51d97)

### 📚 最佳实践

* [远控工具Sliver教程1：基本使用-单人](https://mp.weixin.qq.com/s?__biz=MzkwOTUzMDk4OA==&mid=2247483804&idx=1&sn=c7446fda63a6ca3ca39951044745b68a)
* [浅谈重要数据识别重要性及与等级保护之间关系](https://mp.weixin.qq.com/s?__biz=Mzg2NjY2MTI3Mg==&mid=2247500553&idx=1&sn=aa3133db661106c66a1011b75c4e2aa6)
* [等级测评高风判险定： 安全通信网络](https://mp.weixin.qq.com/s?__biz=Mzg2NjY2MTI3Mg==&mid=2247500553&idx=2&sn=0ad8ce856886e365bf5c978026f5ba51)
* [OpenWrt高级玩法：iStoreOS多VLAN划分+跨设备VLAN通信配置指南](https://mp.weixin.qq.com/s?__biz=MzI4NjAzMTk3MA==&mid=2458860807&idx=1&sn=e0234e2dd682e5712c6ecde805f56b4f)
* [伪装大师课：用 UUID / IPv6 / MAC 混淆 Shellcode](https://mp.weixin.qq.com/s?__biz=MzUyNTUyNTA5OQ==&mid=2247485570&idx=1&sn=1717de677cab62bb70b5d97559c0f6a3)
* [GB/T 45574—2025《数据安全技术 敏感个人信息处理安全要求》](https://mp.weixin.qq.com/s?__biz=Mzg5OTg5OTI1NQ==&mid=2247491127&idx=1&sn=f8de0aba990a132cdab22a6077dc61fe)

### 🍉 吃瓜新闻

* [分享图片](https://mp.weixin.qq.com/s?__biz=MzI3Njc1MjcxMg==&mid=2247495701&idx=1&sn=a3ec114107b46ba777c671037faa1ee6)
* [辽宁三家银行被罚款均超百万，其中涉及网络和数据安全管理](https://mp.weixin.qq.com/s?__biz=MzA5MzU5MzQzMA==&mid=2652116669&idx=1&sn=1d11e739fbe15d95a5ab1114bbf43afd)
* [交通银行辽宁省分行因多项违规被罚116万元，其中含网络和数据安全管理](https://mp.weixin.qq.com/s?__biz=MzA5MzU5MzQzMA==&mid=2652116669&idx=2&sn=8e909494bc1638283545e4f020e208cc)
* [聊聊网络安全行业里的一所“黄埔军校” 大专院校出了个王炸！今年高考落榜就来这！](https://mp.weixin.qq.com/s?__biz=MzI1Mjc3NTUwMQ==&mid=2247539530&idx=1&sn=183cad838618577905dca9802d01995f)
* [聊天吹水群人数满200了，需要进群的加我好友备注一下](https://mp.weixin.qq.com/s?__biz=MzI5MzkwMzU1Nw==&mid=2247485249&idx=1&sn=bc072965dbaa3055120fe7279dc405a2)
* [竞争力百强 | 爱加密入选《新质・中国数字安全百强（2025）》](https://mp.weixin.qq.com/s?__biz=MjM5NzU4NjkyMw==&mid=2650748617&idx=1&sn=8f5a61956cd37c1a8cedd7f34ce581d5)
* [瑞银UBS.US13万名员工数据被黑客公布到暗网](https://mp.weixin.qq.com/s?__biz=MzkxNTI2NTQxOA==&mid=2247497795&idx=1&sn=d30366c42fa3f743cb8ec45ed4615301)
* [汽车巨头斯堪尼亚确认保险理赔数据泄露并遭遇勒索威胁](https://mp.weixin.qq.com/s?__biz=MzkxNTI2NTQxOA==&mid=2247497795&idx=2&sn=2b9eb6fc6ccb383ec46661942400adcb)

### 📌 其他

* [网络安全行业，技术从业者最好的归属是转型销售，而不是管理](https://mp.weixin.qq.com/s?__biz=MzUzNjkxODE5MA==&mid=2247491451&idx=1&sn=ecc5404442fd06aaa16565c9480bc6f9)
* [急招护网！初中高级蓝队研判，最早下周一入场](https://mp.weixin.qq.com/s?__biz=MzkzMzE5OTQzMA==&mid=2247487238&idx=1&sn=8f2b928b4de7b02c9021d25681fc78ce)
* [信安转型焦虑：纯技术路线真的走不通了吗？](https://mp.weixin.qq.com/s?__biz=MzU5NzQ3NzIwMA==&mid=2247486702&idx=1&sn=a80ae1b95603156ccb4c1443e9150cc9)
* [8月班PMP可以报名啦！内含备考资料包](https://mp.weixin.qq.com/s?__biz=MzU4MjUxNjQ1Ng==&mid=2247524044&idx=1&sn=8da85bf86b03dbb91d5dd426e2616620)
* [国标《网络安全技术 网络安全产品互联互通 第4部分：威胁信息格式（征求意见稿）》](https://mp.weixin.qq.com/s?__biz=MjM5OTk4MDE2MA==&mid=2655284224&idx=2&sn=864f4c5b9254a0eeffc2273c427b5286)
* [基于工业互联网的智能安防终端网络化协同制造新模式：智能安防终端网络化协同制造](https://mp.weixin.qq.com/s?__biz=MjM5OTk4MDE2MA==&mid=2655284224&idx=3&sn=e15e9a66d733b44293533bdf593785e1)
* [基于云管端架构的数字化终端智能制造工厂创新实践：云管端新质生产力在智造工厂的应用](https://mp.weixin.qq.com/s?__biz=MjM5OTk4MDE2MA==&mid=2655284224&idx=5&sn=8bc0af806a1b7b6cec236eef3c219fdb)
* [注塑汽车零部件智能工厂：打造注塑“无忧”工厂](https://mp.weixin.qq.com/s?__biz=MjM5OTk4MDE2MA==&mid=2655284224&idx=6&sn=23ddb3bebcee1e54cdc170b4ca6429a3)
* [你当领导了，公司找你要裁员名单，你会怎么办？同时你还在搞技术吗？](https://mp.weixin.qq.com/s?__biz=MzkwOTE5MDY5NA==&mid=2247506750&idx=1&sn=9fc0bcffd7c1f90f284dc36e83f7b6ea)
* [2025年7月1日起,国家密码管理局商用密码检测中心颁发的《商用密码产品认证证书》统一注销](https://mp.weixin.qq.com/s?__biz=MzkxMjczNzAzMA==&mid=2247486116&idx=1&sn=62e17f55188204240f36e0e3645d5e86)
* [项目经理的宿命：要么搞定人！要么被搞定！](https://mp.weixin.qq.com/s?__biz=MjM5NTk5Mjc4Mg==&mid=2655227665&idx=1&sn=34ecd4e49add46f8a43df9fe6b794430)
* [SDL 74/100问：有没有SDL相关的监管要求？](https://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&mid=2247486882&idx=1&sn=19c4e662374469ee8f7d423567cc1659)

## 安全分析
(2025-06-20)

本文档包含 AI 对安全相关内容的自动化分析结果。[概览](https://blog.897010.xyz/c/today)


### CVE-2025-44228 - Office文档RCE漏洞，利用构建工具

#### 📌 漏洞信息

| 属性 | 详情 |
|------|------|
| CVE编号 | CVE-2025-44228 |
| 风险等级 | `HIGH` |
| 利用状态 | `理论可行` |
| 发布时间 | 2025-06-19 00:00:00 |
| 最后更新 | 2025-06-19 15:58:27 |

#### 📦 相关仓库

- [Office-Exploit-Cve2025-Xml-Doc-Docx-Rce-Builder-Fud](https://github.com/Caztemaz/Office-Exploit-Cve2025-Xml-Doc-Docx-Rce-Builder-Fud)

#### 💡 分析概述

该CVE描述了针对Office文档的漏洞利用，特别是针对CVE-2025-44228。该仓库可能是一个利用漏洞的构建工具，用于生成恶意Office文档，例如DOC文件，以实现远程代码执行（RCE）。仓库的更新日志显示了作者在持续更新，但具体更新内容仅为更新时间戳。从提交信息来看，仓库可能正处于开发或维护阶段。由于描述提及了Office 365等平台，表明潜在影响范围广泛。考虑到利用Office文档进行攻击的常见性和潜在的RCE能力，该漏洞具有较高的风险。

#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | 针对Office文档的RCE漏洞 |
| 2 | 利用恶意Office文档进行攻击 |
| 3 | 潜在影响Office 365等平台 |
| 4 | 仓库可能包含漏洞构建工具 |

#### 🛠️ 技术细节

> 漏洞利用目标是CVE-2025-44228相关漏洞。

> 利用Silent Exploit Builder等工具

> 通过恶意载荷和CVE漏洞利用Office文档，包括DOC文件等。


#### 🎯 受影响组件

```
• Office 365
• Office文档处理程序(如Word)
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

由于涉及RCE利用，且针对广泛使用的Office文档，具有潜在的危害。 仓库信息暗示可能存在POC或EXP，即使信息有限，但潜在影响重大。
</details>

---

### CVE-2025-33073 - NTLM反射SMB漏洞PoC

#### 📌 漏洞信息

| 属性 | 详情 |
|------|------|
| CVE编号 | CVE-2025-33073 |
| 风险等级 | `HIGH` |
| 利用状态 | `漏洞利用可用` |
| 发布时间 | 2025-06-19 00:00:00 |
| 最后更新 | 2025-06-19 14:59:48 |

#### 📦 相关仓库

- [CVE-2025-33073](https://github.com/joaozixx/CVE-2025-33073)

#### 💡 分析概述

该仓库提供了一个针对CVE-2025-33073 NTLM反射SMB漏洞的PoC(Proof of Concept)利用代码。仓库包含了利用该漏洞的python脚本。 仓库最新更新主要在README.md中增加了对SOCKS选项的介绍和使用方法，并完善了GUI和CLI的调用示例。漏洞利用方法是通过SMB协议中的NTLM反射机制，攻击者可以利用伪造的请求，诱导目标机器向攻击者的机器进行NTLM认证，从而窃取凭证或执行命令。该PoC演示了如何使用impacket-ntlmrelayx工具进行攻击，并提供了GUI和CLI两种模式。漏洞利用需要配置攻击者IP、DNS IP、目标机器等信息。  根据文档分析，漏洞影响Windows Server 2019、2016、2012 R2、2008 R2以及Windows 10 (up to 21H2)版本。

#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | 利用NTLM反射SMB漏洞进行攻击 |
| 2 | 提供PoC代码和详细的利用步骤 |
| 3 | 影响多种Windows Server和Windows 10版本 |
| 4 | 可导致未授权访问和命令执行 |

#### 🛠️ 技术细节

> 漏洞原理：利用SMB协议中的NTLM反射机制，诱导目标机器进行NTLM认证。

> 利用方法：使用impacket-ntlmrelayx工具，配置目标IP、攻击者IP等参数，触发漏洞。

> 修复方案：微软官方已发布补丁，用户应及时更新系统，同时限制NTLM的使用。


#### 🎯 受影响组件

```
• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2
• Windows Server 2008 R2
• Windows 10 (up to 21H2)
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

该漏洞涉及远程代码执行和权限提升，且具有明确的利用方法和PoC代码，对企业网络安全构成严重威胁。
</details>

---

### CVE-2025-31258 - macOS沙箱逃逸PoC

#### 📌 漏洞信息

| 属性 | 详情 |
|------|------|
| CVE编号 | CVE-2025-31258 |
| 风险等级 | `HIGH` |
| 利用状态 | `POC可用` |
| 发布时间 | 2025-06-19 00:00:00 |
| 最后更新 | 2025-06-19 14:27:19 |

#### 📦 相关仓库

- [CVE-2025-31258-PoC](https://github.com/BODE987/CVE-2025-31258-PoC)

#### 💡 分析概述

该仓库是一个针对macOS沙箱逃逸漏洞（CVE-2025-31258）的PoC项目。 仓库包含了Xcode项目文件，用于演示如何通过RemoteViewServices实现部分沙箱逃逸。最初提交创建了Xcode项目，包括AppDelegate、ViewController等文件，以及基本的项目配置。最新的提交（BODE987）更新了README.md文件，增加了项目概述、安装、使用说明、漏洞细节等内容，更详细地描述了PoC的用途和技术细节，特别是说明了RemoteViewServices框架在沙箱逃逸中的作用，并给出了攻击向量和缓解策略。PoC利用了RemoteViewServices框架的潜在漏洞，攻击者可以构造恶意消息或操纵数据流来绕过安全检查。该漏洞影响macOS 10.15到11.5版本。PoC通过调用PBOXDuplicateRequest函数尝试复制文件，实现了沙箱逃逸。

#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | 利用RemoteViewServices框架进行沙箱逃逸 |
| 2 | 影响macOS 10.15至11.5版本 |
| 3 | PoC提供部分沙箱逃逸的实现 |
| 4 | 通过复制文件实现沙箱逃逸 |

#### 🛠️ 技术细节

> 漏洞利用了RemoteViewServices框架，允许应用程序跨进程共享视图和数据，为攻击者创造了攻击途径

> 攻击者可以构造恶意消息或操作数据流来绕过安全检查

> PoC通过调用PBOXDuplicateRequest函数尝试复制文件，从而实现部分沙箱逃逸

> PoC需要用户手动选择Documents目录以获取读取权限，增加了利用的复杂性


#### 🎯 受影响组件

```
• macOS
• RemoteViewServices框架
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

该PoC针对macOS沙箱逃逸，属于高危漏洞。PoC提供了可运行的程序，演示了如何利用RemoteViewServices框架进行沙箱逃逸。虽然是部分逃逸，但提供了具体的利用方法和漏洞细节，具有较高的研究价值。
</details>

---

### CVE-2024-3094 - xz-utils后门漏洞，RCE

#### 📌 漏洞信息

| 属性 | 详情 |
|------|------|
| CVE编号 | CVE-2024-3094 |
| 风险等级 | `CRITICAL` |
| 利用状态 | `漏洞利用可用` |
| 发布时间 | 2025-06-19 00:00:00 |
| 最后更新 | 2025-06-19 14:20:22 |

#### 📦 相关仓库

- [threat-intel-cve-2024-3094](https://github.com/24Owais/threat-intel-cve-2024-3094)

#### 💡 分析概述

该仓库提供了关于CVE-2024-3094 (xz-utils后门)的威胁情报报告。 仓库主要包含一个PDF报告，详细分析了xz-utils压缩库中的后门漏洞，该漏洞影响了5.6.0和5.6.1版本，允许通过SSH认证进行远程代码执行。仓库还包含IOC列表，提供了关于恶意文件的信息和行为特征。 最新提交修改了README.md文件，增加了漏洞的概要信息，关键细节和防御建议。并且创建了IOC-list.txt，提供了相关IOC信息。该漏洞是供应链攻击，通过篡改构建脚本在xz-utils库中植入后门，危害严重。

#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | xz-utils供应链攻击 |
| 2 | 影响版本：5.6.0和5.6.1 |
| 3 | 后门功能：SSH认证远程代码执行 |
| 4 | 利用条件：特定版本的xz-utils库被恶意代码感染 |
| 5 | 影响：远程代码执行，权限提升，供应链攻击 |

#### 🛠️ 技术细节

> 漏洞原理：攻击者通过篡改xz-utils的构建脚本，在库中植入后门代码，后门代码在SSH认证过程中被触发，允许执行任意代码。

> 利用方法：攻击者可以通过构造恶意的SSH认证请求来触发后门。

> 修复方案：立即降级到未受影响的版本(5.4.x)，验证软件供应链，监控SSH认证中的异常活动，应用YARA或Sigma规则检测恶意行为模式。


#### 🎯 受影响组件

```
• xz-utils 5.6.0
• xz-utils 5.6.1
• Linux系统
• OpenSSH (通过systemd)
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

该漏洞属于供应链攻击，影响广泛使用的压缩库，且漏洞细节明确，影响范围广，可以导致远程代码执行，权限提升等严重后果。并且有明确的受影响版本。
</details>

---

### CVE-2025-0411 - 7-Zip MotW Bypass 漏洞

#### 📌 漏洞信息

| 属性 | 详情 |
|------|------|
| CVE编号 | CVE-2025-0411 |
| 风险等级 | `HIGH` |
| 利用状态 | `POC可用` |
| 发布时间 | 2025-06-19 00:00:00 |
| 最后更新 | 2025-06-19 13:43:17 |

#### 📦 相关仓库

- [7-Zip-CVE-2025-0411-POC](https://github.com/dpextreme/7-Zip-CVE-2025-0411-POC)

#### 💡 分析概述

该仓库提供了CVE-2025-0411 7-Zip Mark-of-the-Web (MotW) 绕过漏洞的POC。仓库通过双重压缩技术绕过MotW保护，允许用户执行恶意代码。仓库的README文件详细描述了漏洞细节、易受攻击的版本和缓解措施。最新提交更新了README文件，优化了下载链接，并修复了CVE链接。POC通过构建特制的压缩包，并诱导用户解压运行，从而实现代码执行。漏洞利用需要用户交互，但利用成功后可绕过安全警告。仓库提供了POC，有助于安全研究人员理解和复现漏洞。

#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | 7-Zip 软件的 Mark-of-the-Web (MotW) 绕过漏洞 |
| 2 | 通过构造特制压缩文件实现漏洞利用 |
| 3 | 用户交互是漏洞利用的前提条件 |
| 4 | POC 演示了通过绕过安全警告实现代码执行 |

#### 🛠️ 技术细节

> 漏洞原理：7-Zip 在处理压缩文件时，没有正确地将 MotW 标记传递给解压后的文件，导致绕过安全保护。

> 利用方法：构造双重压缩的恶意 7-Zip 文件，诱导用户解压，进而执行恶意代码（例如 calc.exe）。

> 修复方案：升级到 7-Zip 24.09 或更高版本，避免打开来自不明来源的压缩文件。


#### 🎯 受影响组件

```
• 7-Zip
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

该漏洞影响广泛使用的 7-Zip 软件，且有明确的POC和利用方法，可以绕过安全机制，造成远程代码执行。
</details>

---

### CVE-2025-33053 - WebDAV .url RCE PoC

#### 📌 漏洞信息

| 属性 | 详情 |
|------|------|
| CVE编号 | CVE-2025-33053 |
| 风险等级 | `HIGH` |
| 利用状态 | `漏洞利用可用` |
| 发布时间 | 2025-06-19 00:00:00 |
| 最后更新 | 2025-06-19 18:01:33 |

#### 📦 相关仓库

- [CVE-2025-33053-WebDAV-RCE-PoC-and-C2-Concept](https://github.com/kra1t0/CVE-2025-33053-WebDAV-RCE-PoC-and-C2-Concept)

#### 💡 分析概述

该仓库提供了CVE-2025-33053的PoC，该漏洞利用WebDAV和.url文件传递来实现远程代码执行（RCE）。PoC演示了如何通过构造恶意的.url文件，配合WebDAV服务器，在目标系统上执行任意代码。仓库包含一个docker-compose.yml文件用于搭建WebDAV环境，一个setup_webdav_payload.py脚本用于生成.url文件，并打包成zip文件伪装成PDF文档，以及一个route.exe作为payload。最新提交中，增加了详细的README文档，演示视频，以及清理脚本。漏洞的利用方式是，攻击者构造.url文件，指向WebDAV服务器上的恶意文件。当用户打开.url文件时，系统会尝试从WebDAV服务器下载并执行恶意文件，从而实现RCE。

#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | 利用.url文件和WebDAV实现RCE |
| 2 | PoC包含完整的利用流程 |
| 3 | 提供docker环境搭建 |
| 4 | 利用.url文件绕过安全提示 |

#### 🛠️ 技术细节

> 通过构造.url文件，设置WorkingDirectory为WebDAV服务器，诱导系统执行WebDAV服务器上的恶意文件。

> 攻击者将.url文件伪装成PDF文件，增加欺骗性。

> PoC使用iediagcmd.exe程序，并执行route.exe，route.exe从WebDAV服务器上下载，实现代码执行。

> 使用docker搭建WebDAV环境，方便复现漏洞。


#### 🎯 受影响组件

```
• Windows系统
• WebDAV客户端
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

该PoC提供了完整的RCE利用链，包含利用脚本、docker环境搭建以及详细的说明，可以帮助安全研究人员深入理解漏洞原理和利用方法，具备较高的研究和复现价值。
</details>

---

### CVE-2025-6335 - dedeCMS模板注入RCE

#### 📌 漏洞信息

| 属性 | 详情 |
|------|------|
| CVE编号 | CVE-2025-6335 |
| 风险等级 | `CRITICAL` |
| 利用状态 | `POC可用` |
| 发布时间 | 2025-06-19 00:00:00 |
| 最后更新 | 2025-06-19 17:08:51 |

#### 📦 相关仓库

- [CVE-2025-6335](https://github.com/jujubooom/CVE-2025-6335)

#### 💡 分析概述

该仓库包含了dedeCMS 5.7 sp2版本中的一个模板注入漏洞的分析和利用信息。仓库中包含README.md文件，详细描述了漏洞的成因、利用方法和PoC。漏洞位于/include/dedetag.class.php文件，攻击者可以通过访问/dede/co_get_corule.php接口，在notes参数中注入恶意代码，从而执行任意命令。最新提交更新了README.md文件，增加了漏洞的详细描述，包括漏洞描述、利用步骤、验证方法以及PoC代码。该漏洞危害严重，攻击者可以完全控制服务器。

#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | dedeCMS 5.7 sp2版本存在模板注入漏洞 |
| 2 | 通过/dede/co_get_corule.php接口注入恶意代码 |
| 3 | 利用模板注入实现远程代码执行(RCE) |
| 4 | PoC已提供，验证漏洞可行性 |

#### 🛠️ 技术细节

> 漏洞原理：dedeCMS在处理模板时，未对用户提交的notes参数进行充分过滤，导致恶意代码被注入并执行。

> 利用方法：访问/dede/co_get_corule.php?notes={dede:");system('calc');///}&job=1接口，执行任意命令。

> 修复方案：升级到安全版本，或对notes参数进行严格的输入验证和过滤，禁止执行eval()等危险函数。


#### 🎯 受影响组件

```
• dedeCMS 5.7 sp2
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

该漏洞属于远程代码执行(RCE)，且有明确的利用方法和PoC。攻击者可以通过此漏洞完全控制服务器，危害极大。
</details>

---

### CVE-2025-23121 - Backup Server 存在RCE漏洞

#### 📌 漏洞信息

| 属性 | 详情 |
|------|------|
| CVE编号 | CVE-2025-23121 |
| 风险等级 | `CRITICAL` |
| 利用状态 | `漏洞利用可用` |
| 发布时间 | 2025-06-19 00:00:00 |
| 最后更新 | 2025-06-19 17:06:43 |

#### 📦 相关仓库

- [CVE-2025-23121-RCE](https://github.com/nagenar/CVE-2025-23121-RCE)

#### 💡 分析概述

该仓库提供了一个针对Backup Server的远程代码执行(RCE)漏洞的利用工具。仓库包含了README.md文件，其中详细描述了漏洞细节、利用方法和使用示例。  

更新内容分析：
- 2025-06-19T17:06:43Z: README.md新增了一张图片。
- 2025-06-19T16:40:59Z: README.md 详细描述了漏洞细节，包括漏洞类型（认证后RCE），攻击向量（通过API注入恶意任务），先决条件（有效域凭据、Backup Server版本低于12.3.2.3617，网络访问Backup服务，TCP/6060），以及一个示例输出。 
- 2025-06-19T16:39:13Z: 初始提交，包含LICENSE和README.md文件，README.md描述了漏洞名称。

漏洞利用方式：
该漏洞利用需要有效的域凭据。攻击者可以使用提供的`backuprceauth.py`脚本通过API注入恶意任务，从而在Backup Server上执行任意代码。  该利用工具通过提供域账号密码以及要执行的命令来实现RCE。

#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | Backup Server 存在认证后RCE漏洞 |
| 2 | 利用需要有效的域凭据 |
| 3 | 攻击者可以通过API注入恶意任务 |
| 4 | 提供了Python脚本`backuprceauth.py` |

#### 🛠️ 技术细节

> 漏洞原理：Backup Server API存在安全漏洞，允许攻击者在通过身份验证后注入恶意任务，从而执行任意代码。

> 利用方法：使用提供的`backuprceauth.py`脚本，提供有效的域凭据和要执行的命令。

> 修复方案：更新Backup Server至安全版本，加强API的输入验证和身份验证机制。


#### 🎯 受影响组件

```
• Backup Server
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

该漏洞是远程代码执行，且提供了可用的POC和利用方法，影响重要系统。
</details>

---

### CVE-2025-20682 - 注册表利用，FUD技术绕过检测

#### 📌 漏洞信息

| 属性 | 详情 |
|------|------|
| CVE编号 | CVE-2025-20682 |
| 风险等级 | `HIGH` |
| 利用状态 | `POC可用` |
| 发布时间 | 2025-06-19 00:00:00 |
| 最后更新 | 2025-06-19 19:54:03 |

#### 📦 相关仓库

- [Phantom-Registy-Exploit-Cve2025-20682-Runtime-Fud-Lnk](https://github.com/Caztemaz/Phantom-Registy-Exploit-Cve2025-20682-Runtime-Fud-Lnk)

#### 💡 分析概述

该CVE描述了注册表漏洞利用，攻击者使用类似 reg exploit 或 registry-based payloads 的技术，利用漏洞进行静默执行。漏洞利用可能使用FUD (Fully UnDetectable) 技术绕过检测。 仓库提供了一个注册表漏洞利用的POC，并使用了FUD技术。代码库主要功能是注册表漏洞利用的开发和测试。最新提交只更新了日志文件中的时间戳。根据描述，该漏洞利用可能涉及 RCE，但具体细节和利用方法尚不明确。根据提供的仓库链接和描述，可以推断该漏洞可能涉及系统注册表的安全问题。

#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | 注册表漏洞利用 |
| 2 | FUD技术绕过检测 |
| 3 | 潜在的远程代码执行 |
| 4 | POC/EXP存在 |

#### 🛠️ 技术细节

> 漏洞原理: 注册表漏洞利用，攻击者通过构造恶意注册表项或修改现有注册表项来触发漏洞。

> 利用方法: 通过 reg exploit 或 registry-based payloads 进行静默执行。FUD技术用于绕过检测。

> 修复方案: 修复注册表漏洞，加强安全监控，提高检测恶意注册表操作的能力。


#### 🎯 受影响组件

```
• 操作系统注册表
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

该漏洞涉及远程代码执行的潜在风险，并且提到了利用方法和绕过检测的技术。虽然细节不够明确，但存在 POC 且涉及FUD技术，增加了其价值。此外，针对系统注册表，一旦漏洞被利用，影响范围较大，风险较高。
</details>

---

### CVE-2025-44203 - HotelDruid SQL注入导致信息泄露

#### 📌 漏洞信息

| 属性 | 详情 |
|------|------|
| CVE编号 | CVE-2025-44203 |
| 风险等级 | `HIGH` |
| 利用状态 | `POC可用` |
| 发布时间 | 2025-06-19 00:00:00 |
| 最后更新 | 2025-06-19 19:09:04 |

#### 📦 相关仓库

- [CVE-2025-44203](https://github.com/IvanT7D3/CVE-2025-44203)

#### 💡 分析概述

该仓库包含HotelDruid 3.0.0和3.0.7版本中的一个敏感信息泄露漏洞的利用代码和相关信息。主要功能包括：exploit.py用于发送POST请求尝试获取敏感信息，brute.py用于密码爆破。漏洞利用方式是通过发送多个POST请求触发SQL错误信息，从而泄露用户名、密码哈希和salt。如果配置的密码较弱，攻击者可以通过爆破获取明文密码。最新提交包含了exploit.py和brute.py，以及README.md文件，提供了漏洞描述、利用方法和测试环境的说明。 漏洞利用需要满足一定的配置条件，如"Restrict HotelDruid access to localhost?"选项设置为No。 漏洞利用的成功率受多种因素影响，可能需要多次尝试。 README.md 文件提供了详细的漏洞描述、利用步骤和 PoC 代码的使用方法。

#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | HotelDruid 3.0.0/3.0.7版本存在敏感信息泄露漏洞。 |
| 2 | 通过发送POST请求触发SQL错误，泄露用户名、密码哈希和salt。 |
| 3 | 提供exploit.py进行漏洞利用，brute.py进行密码爆破。 |
| 4 | 漏洞利用需要满足一定的配置条件，如"Restrict HotelDruid access to localhost?"选项设置为No。 |

#### 🛠️ 技术细节

> 漏洞原理：通过构造特定的POST请求，触发SQL错误，导致敏感信息泄露，包括用户名、密码哈希和salt。

> 利用方法：运行exploit.py，指定目标IP地址，程序将发送多个POST请求尝试获取敏感信息。如果成功，获取salt和密码哈希，再通过brute.py进行密码爆破。

> 修复方案：升级到修复版本，或加强密码策略，禁用SQL错误信息的详细输出。


#### 🎯 受影响组件

```
• HotelDruid 3.0.0
• HotelDruid 3.0.7
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

该漏洞涉及敏感信息泄露，提供了可用的POC，且影响广泛使用的HotelDruid版本，具有较高的实际攻击价值。
</details>

---

### CVE-2025-36041 - IBM MQ SSL Bypass 漏洞

#### 📌 漏洞信息

| 属性 | 详情 |
|------|------|
| CVE编号 | CVE-2025-36041 |
| 风险等级 | `CRITICAL` |
| 利用状态 | `漏洞利用可用` |
| 发布时间 | 2025-06-19 00:00:00 |
| 最后更新 | 2025-06-19 22:55:10 |

#### 📦 相关仓库

- [CVE-2025-36041](https://github.com/byteReaper77/CVE-2025-36041)

#### 💡 分析概述

该仓库提供了一个针对 IBM MQ 的 SSL 绕过漏洞的 PoC (CVE-2025-36041)。 仓库包含一个 C 语言编写的 exploit 程序，用于绕过 IBM MQ 的 SSL 证书验证，允许未经授权的客户端连接到 IBM MQ 服务器。 PoC通过注入伪造的 SSL 证书， 并使用定制的 MQCONNX 参数来实现此目的。 该 PoC 的功能包括：SSL 绕过、自动化利用、自定义参数。 此次更新包括：LICENSE 文件，exploit.c 文件(PoC 源码)和 README.md 文档，其中详细介绍了漏洞概述、特性、构建、使用方法和免责声明。漏洞利用方式：编译提供的 exploit.c 文件，指定伪造 SSL 证书的路径、目标队列名称和队列管理器名称。成功利用后，可以发送测试消息，证明 SSL 绕过成功。

#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | 绕过 IBM MQ 的 SSL 证书验证 |
| 2 | 允许未经授权的客户端连接 |
| 3 | 使用伪造的 SSL 证书进行攻击 |
| 4 | 提供 PoC 验证漏洞 |

#### 🛠️ 技术细节

> 漏洞原理：通过在连接 IBM MQ 服务时，注入伪造的 SSL 证书来绕过 SSL 证书验证。

> 利用方法：编译提供的 exploit.c 文件，并使用 -p 参数指定伪造 SSL 证书的路径， -n 参数指定目标队列名称，-m 参数指定队列管理器名称。

> 修复方案：升级 IBM MQ 版本，并正确配置 SSL 证书验证。


#### 🎯 受影响组件

```
• IBM MQ
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

该漏洞允许绕过 SSL 证书验证，导致未经授权的访问，可以直接影响 MQ 消息的安全性。由于提供了 PoC，漏洞利用门槛较低，风险极高。
</details>

---

### ThreatFox-IOC-IPs - ThreatFox C2 IP 黑名单更新

#### 📌 仓库信息

| 属性 | 详情 |
|------|------|
| 仓库名称 | [ThreatFox-IOC-IPs](https://github.com/elliotwutingfeng/ThreatFox-IOC-IPs) |
| 风险等级 | `MEDIUM` |
| 安全类型 | `安全功能` |
| 更新类型 | `SECURITY_IMPROVEMENT` |

#### 📊 代码统计

- 分析提交数: **5**
- 变更文件数: **5**

#### 💡 分析概述

该仓库维护了由 Abuse.ch 提供的 ThreatFox 项目的 C2 IP 地址黑名单，并每小时更新一次。本次更新增加了多个新的 C2 IP 地址。由于该仓库主要提供恶意 IP 地址列表，用于安全防御，此次更新增加了新的 C2 IP，有助于提升对威胁的检测和防御能力。

#### 🔍 关键发现

| 序号 | 发现内容 |
|------|----------|
| 1 | 维护了 ThreatFox 的 C2 IP 黑名单 |
| 2 | 定时更新 C2 IP 地址列表 |
| 3 | 更新增加了新的恶意 IP 地址 |

#### 🛠️ 技术细节

> 仓库通过 GitHub Actions 定时更新 ips.txt 文件，其中包含了恶意 C2 IP 地址列表。

> 更新内容为在 ips.txt 中新增了多个 IP 地址。


#### 🎯 受影响组件

```
• 安全防御系统
• 网络安全设备
```

#### ⚡ 价值评估

<details>
<summary>展开查看详细评估</summary>

更新了 C2 IP 黑名单，有助于提升安全防御系统对威胁的检测能力。
</details>

---


## 免责声明
本文内容由 AI 自动生成，仅供参考和学习交流。文章中的观点和建议不代表作者立场，使用本文信息需自行承担风险和责任。