22 KiB
安全资讯日报 2025-06-15
本文由AI自动生成,基于对安全相关仓库、CVE和最新安全研究成果的自动化分析。
更新时间:2025-06-15 02:02:30
今日资讯
🔍 漏洞分析
- 金融业“解码差异”漏洞
- CloudFlare XSS Bypass
- URL绕过的各种思路及其应用
- 信息安全漏洞周报第026期
- bi0sCTF 2025 Writeup by r3kapig
- 热门Selenium库WebDriverManager曝出CVSS 9.3分的严重XXE漏洞
- 一次非常规功能点的存储XSS
- 记一次SRC漏洞垂直越权挖掘
🔬 安全研究
🎯 威胁情报
🛠️ 安全工具
📚 最佳实践
🍉 吃瓜新闻
📌 其他
- 分享图片
- JetBrains 全家桶2025系列通用安装激活教程(IDEA、PhpStorm、Rider、CLion、Pycharm……)
- 活动报名|APP应用程序合规研讨会
- 数学之美总是超乎想象!
- 网安人的日常
安全分析
(2025-06-15)
本文档包含 AI 对安全相关内容的自动化分析结果。概览
AI-Malware-Detector - AI驱动的静态恶意软件检测
📌 仓库信息
| 属性 | 详情 |
|---|---|
| 仓库名称 | AI-Malware-Detector |
| 风险等级 | LOW |
| 安全类型 | 安全研究 |
| 更新类型 | 新增 |
📊 代码统计
- 分析提交数: 5
- 变更文件数: 8
💡 分析概述
该仓库是一个使用Random Forest模型进行静态恶意软件检测的AI项目。它分析可执行文件,提取特征,并构建一个模型来识别恶意软件,主要目的是进行安全研究。本次更新增加了README文件,详细说明了项目概述、工作原理、关键功能和快速设置指南,包括环境准备、代码获取、数据准备和运行检测器的步骤。虽然项目基于一个小型的自定义数据集,但展示了使用AI进行恶意软件检测的基本方法,并提供了未来增强的建议。README中也包含了运行结果和混淆矩阵,便于了解模型性能。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 使用AI(Random Forest模型)进行静态恶意软件检测。 |
| 2 | 提供详细的README文件,便于理解项目和快速部署。 |
| 3 | 使用自定义数据集进行实验,验证了静态分析的可行性。 |
| 4 | 项目重点在于展示AI在恶意软件检测中的应用,与AI Security高度相关 |
🛠️ 技术细节
使用pefile库提取PE文件特征。
使用Random Forest分类器进行模型训练和预测。
提供了提取特征、模型训练和预测的Python脚本。
🎯 受影响组件
• Python环境
• pefile库
• scikit-learn
• Random Forest模型
⚡ 价值评估
展开查看详细评估
项目使用AI技术进行静态恶意软件检测,与AI Security的关键词高度相关。虽然项目使用了小数据集,但展示了完整的流程,具有一定的研究价值和实践意义,符合安全研究的要求。
koneko - Cobalt Strike shellcode加载器
📌 仓库信息
| 属性 | 详情 |
|---|---|
| 仓库名称 | koneko |
| 风险等级 | MEDIUM |
| 安全类型 | 漏洞利用 |
| 更新类型 | GENERAL_UPDATE |
📊 代码统计
- 分析提交数: 1
- 变更文件数: 1
💡 分析概述
Koneko是一个Cobalt Strike shellcode加载器,具有多种高级规避功能。仓库主要功能是加载shellcode以绕过安全防护。更新内容主要体现在README.md文档的修改,包括项目描述、功能介绍、免责声明的更新,并增加了对绕过安全产品的介绍。虽然本次更新内容主要集中在文档方面,但鉴于其核心功能是加载shellcode,用于渗透测试和红队行动,因此具有一定的安全价值。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | Cobalt Strike shellcode加载器 |
| 2 | 具备多种高级规避功能 |
| 3 | 更新了README.md文档,改进了项目描述和功能介绍 |
| 4 | 强调绕过安全产品的能力 |
🛠️ 技术细节
项目核心功能是加载shellcode
使用高级规避技术绕过安全产品,如Palo Alto Cortex xDR、Microsoft Defender for Endpoints、Windows Defender和Malwarebytes Anti-Malware等
更新了README.md文档,对项目描述、功能和规避能力进行了补充说明
🎯 受影响组件
• 安全防护软件
• Cobalt Strike
⚡ 价值评估
展开查看详细评估
虽然本次更新主要是README.md文档的修改,但该项目本身的功能是加载shellcode,用于绕过安全防护,因此具有潜在的安全风险和渗透测试价值。
e0e1-config - 后渗透工具,浏览器数据提取
📌 仓库信息
| 属性 | 详情 |
|---|---|
| 仓库名称 | e0e1-config |
| 风险等级 | MEDIUM |
| 安全类型 | 安全研究 |
| 更新类型 | SECURITY_IMPROVEMENT |
📊 代码统计
- 分析提交数: 1
- 变更文件数: 1
💡 分析概述
该仓库是一个后渗透工具,主要功能包括从多种浏览器(Firefox、Chrome等)中提取浏览记录、密码、Cookie等敏感信息,以及从其他应用程序(如向日葵、ToDesk、Navicat、FinalShell等)中获取凭证和配置信息。本次更新主要集中在firefox浏览器内容解密, chromium内核浏览器内容解密,以增强对浏览器数据的提取能力。
该更新增加了对浏览器数据的提取,这可能涉及敏感信息的泄露。如果攻击者能够成功利用该工具,他们可以获取用户的浏览历史、登录凭证和其他敏感数据。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 提取多种浏览器和应用程序中的敏感信息 |
| 2 | 增加了firefox和chromium内核浏览器的数据解密功能 |
| 3 | 潜在的用户凭证和浏览历史泄露风险 |
| 4 | 用于后渗透阶段的信息收集 |
🛠️ 技术细节
使用Go语言编写,编译后可执行。
通过读取浏览器配置文件和注册表来提取数据,例如Firefox的浏览记录、cookie、密码等
支持向日葵、ToDesk等软件的配置信息提取
🎯 受影响组件
• Firefox浏览器
• Chrome及基于Chromium的浏览器
• Windows操作系统
⚡ 价值评估
展开查看详细评估
该工具提供了提取浏览器和应用程序敏感信息的功能,特别是增强了firefox和chromium浏览器数据的提取能力,这对于渗透测试和红队行动具有一定的价值。 即使风险是信息泄露,在红蓝对抗中也具有价值。
NavicatPwn - Navicat后渗透利用框架
📌 仓库信息
| 属性 | 详情 |
|---|---|
| 仓库名称 | NavicatPwn |
| 风险等级 | MEDIUM |
| 安全类型 | 安全研究 |
| 更新类型 | GENERAL_UPDATE |
📊 代码统计
- 分析提交数: 1
- 变更文件数: 1
💡 分析概述
该仓库是一个针对Navicat的后渗透利用框架。该框架旨在帮助安全专业人员识别漏洞并增强Navicat安装的安全性。本次更新主要修改了README.md文件,更新了工具的概述和使用说明。虽然更新内容未直接包含漏洞利用代码或安全防护措施,但根据仓库的整体功能,仍具有一定的安全研究价值。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | NavicatPwn是一个后渗透利用框架 |
| 2 | 目标是Navicat数据库管理工具 |
| 3 | 更新了README.md文件,包括工具概述和下载链接 |
| 4 | 有助于安全专业人员识别漏洞和增强安全性 |
🛠️ 技术细节
README.md文件的更新包括工具的介绍和使用说明,以及下载链接
该框架可能包含针对Navicat的漏洞利用和后渗透技术
🎯 受影响组件
• Navicat Premium
⚡ 价值评估
展开查看详细评估
虽然本次更新仅修改了README.md,但是该仓库是针对Navicat的后渗透框架,具有安全研究价值,更新说明可以帮助用户更好的了解和使用该工具,因此判定为有价值更新。
CVE-2025-44228 - Office文档RCE,恶意文档构建
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-44228 |
| 风险等级 | HIGH |
| 利用状态 | 理论可行 |
| 发布时间 | 2025-06-14 00:00:00 |
| 最后更新 | 2025-06-14 17:59:00 |
📦 相关仓库
💡 分析概述
该CVE描述了针对Office文档(例如DOC文件)的漏洞利用,通过恶意载荷和漏洞利用程序实现远程代码执行(RCE)。 相关GitHub仓库提供了用于构建利用Office文档漏洞的工具。 最新提交仅更新了LOG文件的日期信息,没有实质性的代码变更。 整体仓库功能是构建利用Office漏洞的恶意文档。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 利用Office文档漏洞进行RCE |
| 2 | 可能影响Office 365等平台 |
| 3 | GitHub仓库提供相关工具 |
| 4 | 最新的提交仅更新了日志文件 |
🛠️ 技术细节
漏洞利用涉及恶意载荷和Office漏洞利用程序
针对DOC、DOCX等文件类型
可能使用silent exploit builders等工具
RCE的实现方式和具体细节未在描述中详细说明
🎯 受影响组件
• Office文档
• Office 365 (可能)
⚡ 价值评估
展开查看详细评估
漏洞描述中提到了RCE,并且针对流行的Office文档格式,这表明潜在的危害较大。虽然没有提供详细的利用方法,但给出了明确的攻击目标和手段,以及对应的代码构建工具,可以认为存在利用的可能性。
CVE-2024-25600 - WordPress Bricks Builder RCE
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2024-25600 |
| 风险等级 | CRITICAL |
| 利用状态 | 漏洞利用可用 |
| 发布时间 | 2025-06-14 00:00:00 |
| 最后更新 | 2025-06-14 17:51:51 |
📦 相关仓库
💡 分析概述
该仓库提供了针对WordPress Bricks Builder插件(<=1.9.6)的CVE-2024-25600漏洞的利用代码。仓库内包含了一个Python脚本,用于检测漏洞、提取nonce,并在目标系统上执行任意命令。该脚本支持单URL和批量扫描,并提供了交互式shell。最新提交更新了README.md文件,改进了描述,添加了下载链接和使用说明,并修复了之前的代码bug。该漏洞允许未经身份验证的攻击者远程执行代码,可能导致网站完全被攻陷、数据泄露或恶意软件分发。漏洞利用方式是通过构造恶意请求,利用Bricks Builder插件的特定接口,注入并执行恶意PHP代码。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | WordPress Bricks Builder插件存在未授权RCE漏洞 |
| 2 | 影响版本:Bricks Builder <= 1.9.6 |
| 3 | 提供Python脚本,用于检测和利用该漏洞 |
| 4 | 攻击者可以远程执行任意代码,造成严重安全风险 |
🛠️ 技术细节
漏洞原理:Bricks Builder插件的/wp-json/bricks/v1/render_element接口存在输入验证缺陷,导致可以执行任意PHP代码。
利用方法:构造POST请求到/wp-json/bricks/v1/render_element,通过payload注入恶意代码。
修复方案:更新Bricks Builder插件到1.9.6以上版本,或者采取其他安全措施,如WAF。
🎯 受影响组件
• WordPress Bricks Builder Plugin
• WordPress
⚡ 价值评估
展开查看详细评估
该漏洞影响广泛使用的WordPress插件,存在明确的利用代码,且可导致远程代码执行,危害严重。
CVE-2025-0411 - 7-Zip MotW Bypass 漏洞
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-0411 |
| 风险等级 | HIGH |
| 利用状态 | POC可用 |
| 发布时间 | 2025-06-14 00:00:00 |
| 最后更新 | 2025-06-14 17:39:05 |
📦 相关仓库
💡 分析概述
该仓库提供了CVE-2025-0411 7-Zip Mark-of-the-Web (MotW) 绕过漏洞的POC。 仓库包含POC场景,通过构造恶意压缩包绕过MotW保护机制,实现代码执行。 初始版本中包含漏洞细节、易受攻击的版本信息、缓解措施和POC的详细说明,包括weaponization、delivery和execution过程。 更新主要集中在README.md文件的内容更新,修改了logo链接、下载链接,并增加了对POC使用的说明、漏洞原理的详细介绍、以及如何使用POC的指导。修复了之前的CVE链接错误。 该漏洞允许攻击者在用户打开特制压缩文件时执行任意代码,风险较高。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 7-Zip MotW Bypass 漏洞 |
| 2 | 通过构造恶意压缩文件绕过MotW保护 |
| 3 | 利用该漏洞可导致任意代码执行 |
| 4 | 影响7-Zip 24.08及以下版本 |
🛠️ 技术细节
漏洞原理是7-Zip在处理压缩文件时未正确处理Mark-of-the-Web信息,导致提取文件时未继承MotW标记,使得下载自不可信来源的恶意文件能够直接执行。
利用方法是构造一个双重压缩的7-Zip文件,其中包含恶意可执行文件。用户下载并解压该文件后,可执行文件会直接运行,绕过安全警告。
修复方案是升级到7-Zip 24.09或更高版本,该版本修复了MotW绕过漏洞。
🎯 受影响组件
• 7-Zip
• Windows操作系统
⚡ 价值评估
展开查看详细评估
该漏洞影响广泛使用的7-Zip软件,且具有明确的利用方法(构造恶意压缩包)。攻击者可以通过诱使用户下载并解压恶意压缩包,实现任意代码执行,从而控制用户系统。
CVE-2022-38691 - Spreadtrum Trusted Firmware Bypass
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2022-38691 |
| 风险等级 | CRITICAL |
| 利用状态 | POC可用 |
| 发布时间 | 2025-06-14 00:00:00 |
| 最后更新 | 2025-06-14 16:55:26 |
📦 相关仓库
💡 分析概述
该仓库致力于绕过Spreadtrum (展讯) 设备的Trusted Firmware签名验证。仓库提供了多个代码补丁,用于修改FDL1、SPL和FDL2等引导程序,从而实现对bootloader的解锁和定制固件的刷写。最近的更新集中在修复DHTB大小调整,并添加了针对不同芯片的自定义执行补丁。提交包含针对FDL1和SPL的补丁,以及调整代码以适应不同芯片型号。 仓库提供的代码可以用于解锁引导程序,允许用户刷写自定义固件。漏洞在于绕过了签名验证,这使得攻击者可以修改或替换设备上的关键组件。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 绕过Trusted Firmware签名验证 |
| 2 | 允许bootloader解锁 |
| 3 | 提供多个针对不同设备的补丁 |
| 4 | 代码包含POC, 可用于刷写定制固件 |
🛠️ 技术细节
代码修改了FDL1, SPL等引导程序,绕过了签名验证机制。
利用方法是使用提供的补丁修改原始的引导程序,然后刷写到设备中
修复方案: 确保引导程序签名验证的正确性,并阻止未授权的修改。
🎯 受影响组件
• Spreadtrum (展讯) 设备
• FDL1, SPL, FDL2
⚡ 价值评估
展开查看详细评估
该漏洞允许绕过设备的安全机制,解锁引导程序并刷写任意固件,这可能导致设备完全控制。
CVE-2025-31258 - macOS sandbox逃逸(RemoteView)
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-31258 |
| 风险等级 | HIGH |
| 利用状态 | POC可用 |
| 发布时间 | 2025-06-14 00:00:00 |
| 最后更新 | 2025-06-14 16:00:27 |
📦 相关仓库
💡 分析概述
该仓库是一个针对CVE-2025-31258的PoC,旨在通过RemoteViewServices实现macOS沙箱的部分逃逸。
初始提交创建了一个Xcode项目,包含AppDelegate、ViewController、Main.storyboard等基本文件,以及一个gitignore文件。
最新提交更新了README.md文件,详细介绍了PoC的概述、安装、使用方法、漏洞细节、贡献方式、许可证和版本发布信息。README.md文件还描述了漏洞影响的macOS版本(10.15 - 11.5),攻击向量(发送消息到RemoteViewServices,操控数据流绕过安全检查)和缓解措施(更新macOS,输入校验,使用沙箱技术)。
代码实现上,ViewController.m中定义了poc()函数,该函数调用PBOXDuplicateRequest函数,该函数尝试使用RemoteViewServices的私有API进行沙箱逃逸。writeFileAtPath()用于在逃逸成功后写入文件。
总的来说,该PoC提供了可执行代码,初步具备了漏洞利用的潜力,虽然代码质量有待提高,但是提供了漏洞利用思路。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 利用RemoteViewServices实现macOS沙箱逃逸 |
| 2 | PoC提供了可执行的Xcode项目 |
| 3 | README.md详细介绍了漏洞细节和利用方法 |
| 4 | 漏洞影响macOS版本范围明确 |
🛠️ 技术细节
漏洞原理:利用RemoteViewServices框架的潜在缺陷,通过构造特定消息或操作数据流,绕过macOS沙箱限制。
利用方法:PoC通过调用PBOXDuplicateRequest函数,该函数可能存在漏洞,进而尝试在沙箱外写入文件。
修复方案: 及时更新macOS版本,严格的输入验证,以及使用更完善的沙箱技术。
🎯 受影响组件
• macOS
• RemoteViewServices
⚡ 价值评估
展开查看详细评估
该PoC提供了可执行代码,演示了macOS沙箱逃逸的可能性,且README.md对漏洞细节和利用方法进行了详细说明,漏洞影响版本明确,具有一定的研究价值。
免责声明
本文内容由 AI 自动生成,仅供参考和学习交流。文章中的观点和建议不代表作者立场,使用本文信息需自行承担风险和责任。