32 KiB
安全资讯日报 2025-04-27
本文由AI自动生成,基于对安全相关仓库、CVE和最新安全研究成果的自动化分析。
更新时间:2025-04-27 08:01:58
今日资讯
🔍 漏洞分析
- 2025FIC全国网络空间取证大赛初赛参考WP(除数据分析题目)
- 一文揭秘会话固定攻击全流程,4 道防线锁死会话安全!
- 内存取证例题练习
- 某初始访问代理(Initial Access Broker)正在利用SAP NetWeaver的零日漏洞进行攻击
🔬 安全研究
🎯 威胁情报
- 国家资助成为全球威胁,M-Trends报告指向朝鲜
- 2025年Verizon数据泄露调查报告,预示网络威胁经济转变的五大趋势
- 东欧宜家运营商 Fourlis 公司遭勒索软件攻击导致损失 2300 万美元
- 互锁勒索软件团伙开始泄露据称从领先肾脏透析公司DaVita窃取的数据
- 网络安全公司CEO被控在医院系统植入恶意软件
- 日本计算机应急响应小组警告称,黑客组织正在利用Ivanti Connect Secure设备部署新型远控木马DslogdRAT
- 勒索事件跟踪 | 德国电缆制造巨头HELUKABEL遭勒索,30GB敏感数据泄露
- 暗网要情一周概览20250427005期
- 每周网安态势概览20250427017期
🛠️ 安全工具
- 安装frida与frida-tools对应版本
- iPhone安装指定版本frida-server
- CTF自动化应急响应工具本地版 -- AutoIR_Local(4月26日更新)
- NIDS入侵检测系统-Snort3与Suricata
📚 最佳实践
- 医疗保健领域的零信任自动化:从风险评分到无需重新设计网络的动态策略执行
- ISO/IEC 27001: 2022 标准详解与实施(第2版)01,1 范围
- 国企供应商联合惩戒机制探讨:从高风险供应商名单共享看全链条风险防控
- 商用密码方案评估主要包括哪些内容?
- 一图读懂 上海“铸盾车联”2025年车联网网络和数据安全专项行动
- 周末工作愉快!图解口令攻击十大招-双因素认证原理-Windiws自带工具滥用!
- 安全高于一切:从微软“安全未来倡议SFI”看网络安全文化变革之路
🍉 吃瓜新闻
- 国外:一周网络安全态势回顾之第96期
- 网络安全行业,裁员广进的本质其实是“活下去”
- 美元“现金王”体验卡,像梦、像游戏一样
- 国家数据发展研究院正式揭牌
- 重要考试被泄题,答案提前发放…上海法院披露详情→
- 《信用中国》20250424期|高云飞:数字引擎 助力新能源跨越发展
- 秦安:印巴大战一触即发,是谁牵着鼻子操纵暴恐?中国至关重要!
- 牟林:美联储已经向特朗普缴械了?
📌 其他
- Stable-Diffusion-WebUi+ChilloutMix模型实现AI图片生成
- 分享图片
- 我战斗过,我不在乎结局!
- (优化一)Discord | 书籍资料(优化) 整理 (英原版)
- 中高考英语词汇字帖
- 金思宇:新质生产力的央企范式:从“四维跃迁”到全球竞争力重构
安全分析
(2025-04-27)
本文档包含 AI 对安全相关内容的自动化分析结果。概览
CVE-2025-2294 - Kubio插件LFI漏洞,可读取文件
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-2294 |
| 风险等级 | CRITICAL |
| 利用状态 | 漏洞利用可用 |
| 发布时间 | 2025-04-26 00:00:00 |
| 最后更新 | 2025-04-26 17:56:18 |
📦 相关仓库
💡 分析概述
该仓库提供了CVE-2025-2294的漏洞信息和相关工具。主要包含以下文件:kubio-cve-2025-2294_active.yaml,kubio-cve-2025-2294_passive.yaml, scanner.py 和 README.md。其中,kubio-cve-2025-2294_active.yaml 包含了针对该漏洞的POC,用于验证LFI(Local File Inclusion)漏洞,允许未经身份验证的攻击者通过构造特定的GET请求读取任意文件。scanner.py 提供了一个Python脚本,用于扫描目标网站是否存在此LFI漏洞。kubio-cve-2025-2294_passive.yaml 通过检查插件版本来检测潜在的漏洞。README.md 提供了关于漏洞的基本信息。该漏洞允许未经身份验证的攻击者通过构造特定请求读取服务器上的任意文件,例如/etc/passwd。其中 scanner.py 代码质量良好,测试用例完整,具有实际利用价值。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | Kubio Page Builder插件存在LFI漏洞 |
| 2 | 攻击者可读取任意文件 |
| 3 | POC和扫描脚本已提供 |
| 4 | 影响版本:Kubio AI Page Builder <= 2.5.1 |
| 5 | CVSS评分高达9.8 |
🛠️ 技术细节
漏洞原理:Kubio Page Builder插件在处理特定参数时,未对用户输入进行充分的过滤和验证,导致可以构造恶意请求读取服务器上的任意文件。
利用方法:构造GET请求,利用参数
__kubio-site-edit-iframe-classic-template拼接文件路径,读取任意文件内容,如/etc/passwd。
修复方案:升级Kubio AI Page Builder插件到2.5.1以上版本。或者,对用户输入进行严格的过滤和验证,避免文件路径穿越。
🎯 受影响组件
• Kubio AI Page Builder插件
• WordPress
⚡ 价值评估
展开查看详细评估
该漏洞具有远程代码执行(RCE)的潜在风险,且提供了明确的利用方法和POC。漏洞描述清晰,影响范围明确,CVSS评分9.8表明其危害程度极高。
CVE-2024-31317 - Android Zygote注入漏洞分析
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2024-31317 |
| 风险等级 | CRITICAL |
| 利用状态 | POC可用 |
| 发布时间 | 2025-04-26 00:00:00 |
| 最后更新 | 2025-04-26 17:53:32 |
📦 相关仓库
💡 分析概述
该仓库分析了CVE-2024-31317 Zygote 漏洞。 仓库包含README,LICENSE,解释性文档以及一个实现漏洞利用的Rust API的github链接。 漏洞利用方式是通过设置hidden_api_blacklist_exemptions绕过限制,从而注入Zygote命令,达到权限提升或代码执行的目的。Adam Gastineau 的提交提供了漏洞的详细解释和利用方法。更新包含了对漏洞利用的逐步说明,包括构造payload,执行步骤和清理方法。通过注入特定的payload到hidden_api_blacklist_exemptions,可以控制Zygote进程,进而执行任意代码。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 通过Zygote命令注入实现代码执行 |
| 2 | 利用隐藏的API黑名单绕过机制 |
| 3 | 详细的payload构造和利用步骤 |
| 4 | 影响Android系统所有使用Zygote的组件 |
🛠️ 技术细节
漏洞利用通过修改
hidden_api_blacklist_exemptions全局设置注入payload
payload构造包含大量逗号和换行,绕过缓冲区限制
利用
--set-api-denylist-exemptions参数注入恶意命令到Zygote
提供启动和清理exploit的命令。
🎯 受影响组件
• Android 系统
• Zygote 进程
• ActivityManagerService (AMS)
⚡ 价值评估
展开查看详细评估
该漏洞允许攻击者通过Zygote进程执行任意代码,从而可能导致远程代码执行(RCE)和权限提升,影响Android系统的安全性。提供了详细的利用方法和POC,具有实际利用价值。
CVE-2025-32433 - Erlang SSH pre-auth命令执行漏洞
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-32433 |
| 风险等级 | CRITICAL |
| 利用状态 | POC可用 |
| 发布时间 | 2025-04-26 00:00:00 |
| 最后更新 | 2025-04-26 17:29:34 |
📦 相关仓库
💡 分析概述
该仓库提供CVE-2025-32433的PoC,该漏洞影响Erlang/OTP。仓库包含一个Dockerfile用于构建一个易受攻击的SSH服务器,一个Python脚本作为PoC,以及一个Erlang文件定义SSH服务器。更新的内容包括:README.md的更新,增加了漏洞描述,安装和使用说明,以及代码示例。ssh_server.erl文件定义了SSH服务器的启动逻辑和身份验证,CVE-2025-32433.py文件是利用该漏洞的PoC,通过发送精心构造的SSH消息,在未授权的情况下执行命令。漏洞利用方式是:通过SSH预认证阶段发送构造的Channel Request,从而执行任意命令。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | Erlang SSH服务器 pre-auth 远程命令执行 |
| 2 | 影响范围:Erlang/OTP |
| 3 | PoC 代码已发布 |
| 4 | 利用条件简单,无需认证 |
| 5 | 可直接写入文件,造成破坏 |
🛠️ 技术细节
漏洞原理:Erlang SSH服务器存在安全漏洞,允许攻击者在未通过身份验证的情况下执行任意命令。利用该漏洞,攻击者可以构造恶意的SSH请求,从而在目标系统上执行任意代码。在pre-auth阶段发送请求,绕过了身份验证。
利用方法:使用提供的Python PoC,连接到目标SSH服务器,构造SSH Channel Request,请求执行任意命令,例如写入文件。
修复方案:升级Erlang/OTP到安全版本。对于已部署的系统,建议限制SSH服务的访问,加强安全审计和监控。
🎯 受影响组件
• Erlang/OTP SSH server
⚡ 价值评估
展开查看详细评估
该漏洞为远程命令执行漏洞(RCE),且有可用的PoC和利用方法。漏洞描述清晰,影响范围明确,并且可以直接用于攻击,因此具有高度的价值。
CVE-2025-30567 - WordPress WP01 路径穿越漏洞
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-30567 |
| 风险等级 | HIGH |
| 利用状态 | 理论可行 |
| 发布时间 | 2025-04-26 00:00:00 |
| 最后更新 | 2025-04-26 17:20:31 |
📦 相关仓库
💡 分析概述
该仓库是一个针对WordPress WP01插件的路径穿越漏洞的PoC。仓库包含一个README.md文件,详细介绍了漏洞的概述、漏洞细节、安装、使用方法、贡献方式和许可协议,以及相关的链接。初始提交创建了CVE-2025-30567.py 文件,该文件疑似加密文件。后续提交realcodeb0ss 添加了 pytransform 相关文件,用于代码混淆和加密,包含pytransform/init.py, pytransform/init.pyc, pytransform/_pytransform.dll, pytransform/license.lic, pytransform/pytransform.key以及一个 pytransform/@ 文件。 最新的提交修改了README.md,添加了更详尽的漏洞描述和使用说明,包含了安装和使用PoC的步骤,并提供了利用示例。其中exploit-file-name是关键的利用代码,但没有提供具体文件,只是提供了一个执行的示例。该漏洞允许攻击者通过构造恶意路径来读取服务器上的任意文件,从而可能导致敏感信息泄露。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | WordPress WP01插件存在路径穿越漏洞。 |
| 2 | 攻击者可以读取服务器上的任意文件,导致信息泄露。 |
| 3 | 仓库提供了PoC的说明和使用方法,但具体利用代码未提供。 |
🛠️ 技术细节
漏洞位于WordPress WP01插件,由于输入验证不当,导致路径穿越。
攻击者可以通过构造恶意的URL请求来读取服务器上的任意文件。
修复方案是更新WP01插件至最新版本,并加强输入验证。
🎯 受影响组件
• WordPress
• WP01 插件
⚡ 价值评估
展开查看详细评估
该漏洞影响广泛使用的WordPress插件,且具有明确的利用方法和潜在的危害。虽然没有提供完整的PoC代码,但是提供了利用示例和详细的漏洞描述,明确了攻击方式。信息泄露,影响范围明确,可以导致敏感信息泄露。
CVE-2024-25600 - WordPress Bricks Builder RCE漏洞
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2024-25600 |
| 风险等级 | CRITICAL |
| 利用状态 | 漏洞利用可用 |
| 发布时间 | 2025-04-26 00:00:00 |
| 最后更新 | 2025-04-26 17:16:53 |
📦 相关仓库
💡 分析概述
该仓库提供了针对WordPress Bricks Builder插件的CVE-2024-25600漏洞的利用代码。仓库最初版本提供了一个Python脚本,用于检测漏洞、获取nonce,并提供交互式shell以执行命令。最新的提交修改了README.md文件,增加了关于漏洞的描述,以及如何下载和使用该漏洞利用程序的说明。代码中包括了漏洞检测、nonce获取、请求构造、响应处理等功能,并且提供了单URL和批量扫描两种模式,以及交互式shell。漏洞利用方式是通过构造POST请求到/wp-json/bricks/v1/render_element接口,注入恶意PHP代码来实现远程代码执行。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | Bricks Builder插件存在未授权远程代码执行漏洞 |
| 2 | 影响版本为1.9.6及以下版本 |
| 3 | 提供Python脚本用于检测和利用漏洞 |
| 4 | 可以执行任意代码,导致网站被完全控制 |
| 5 | 包含交互式shell,方便执行命令 |
🛠️ 技术细节
漏洞原理:Bricks Builder插件的
/wp-json/bricks/v1/render_element接口存在输入验证漏洞,允许未授权用户构造恶意请求,注入并执行PHP代码。
利用方法:构造POST请求,将恶意PHP代码注入到特定的JSON字段中,通过该接口执行。
修复方案:更新Bricks Builder插件至1.9.6以上版本,或者采用WAF等安全措施阻止恶意请求。
漏洞复现:使用提供的Python脚本,指定目标URL,即可检测漏洞并进行利用。脚本会尝试获取nonce,构造恶意请求,执行命令,并返回结果。
🎯 受影响组件
• WordPress
• Bricks Builder 插件 1.9.6及以下版本
⚡ 价值评估
展开查看详细评估
该漏洞允许未授权远程代码执行,影响广泛使用的WordPress插件,危害严重。利用代码已公开,可直接用于攻击。
CVE-2025-0411 - 7-Zip MotW Bypass漏洞POC
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-0411 |
| 风险等级 | HIGH |
| 利用状态 | POC可用 |
| 发布时间 | 2025-04-26 00:00:00 |
| 最后更新 | 2025-04-26 17:03:38 |
📦 相关仓库
💡 分析概述
该仓库提供了CVE-2025-0411 7-Zip的Mark-of-the-Web (MotW) 绕过漏洞的POC。仓库主要包含POC场景,展示了如何绕过MotW保护机制,允许用户在解压恶意压缩文件时执行任意代码。
仓库更新主要集中在README.md文件的修改,包括:
- 更新仓库介绍和下载链接。
- 修复CVE链接。
- 完善漏洞细节和利用方法描述。
- 优化界面展示。
漏洞利用方式:攻击者构造一个恶意的7-Zip压缩包,该压缩包包含可执行文件。当用户解压该压缩包时,由于MotW bypass漏洞,可执行文件将绕过MotW保护机制,从而导致任意代码执行。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 7-Zip MotW Bypass漏洞 |
| 2 | POC提供绕过MotW的演示 |
| 3 | 用户解压恶意压缩包可能导致RCE |
| 4 | 影响7-Zip软件 |
| 5 | 包含详细的漏洞利用说明 |
🛠️ 技术细节
漏洞原理:7-Zip在处理压缩文件时,未能正确传播Mark-of-the-Web (MotW) 标记到解压后的文件,导致绕过MotW保护机制。
利用方法:攻击者构造一个带有恶意文件的7-Zip压缩包,并通过欺骗手段诱使用户下载并解压。用户解压后,恶意文件将直接执行。
修复方案:升级到7-Zip 24.09或更高版本。避免打开来自未知或不可信来源的文件,并确保操作系统和安全软件能够检测并阻止恶意文件。
🎯 受影响组件
• 7-Zip
⚡ 价值评估
展开查看详细评估
该漏洞影响广泛使用的7-Zip软件,且有明确的漏洞利用方法和POC。攻击者可以利用该漏洞实现远程代码执行,风险较高。
CVE-2024-27808 - PS4 Browser 内存越界漏洞
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2024-27808 |
| 风险等级 | HIGH |
| 利用状态 | POC可用 |
| 发布时间 | 2025-04-26 00:00:00 |
| 最后更新 | 2025-04-26 16:48:58 |
📦 相关仓库
💡 分析概述
该漏洞报告描述了针对PS4浏览器WebKit的两个漏洞,由Leandrobts创建。该GitHub仓库包含PoC代码,旨在测试和演示这些漏洞。提交的代码包含HTML文件,用于触发JavaScript代码中的内存损坏。第一个漏洞CVE-2024-27808,涉及在TypedArray/DataView中使用负偏移量。第二个漏洞CVE-2024-44308,关于通过Proxy操纵数组长度。 CVE-2024-27808允许在初始化DataView时使用负偏移量,导致内存越界读取,可能导致crash或信息泄露。 CVE-2024-44308,通过proxy修改length属性,通过创建一个Proxy对象,在concat操作中,改变其length属性值,从而尝试导致堆溢出或内存损坏。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | CVE-2024-27808:TypedArray Buffer Underflow,初始化 DataView 时使用负偏移导致内存越界。 |
| 2 | CVE-2024-44308:通过Proxy操纵数组的length属性,触发堆溢出。 |
| 3 | PoC代码已提供,理论上可复现漏洞。 |
| 4 | 影响PS4浏览器,可能导致任意代码执行或信息泄露 |
🛠️ 技术细节
CVE-2024-27808:漏洞原理是使用负偏移量初始化DataView,导致访问ArrayBuffer的范围之外的内存。利用方法是使用HTML/JavaScript,创建Uint32Array,然后用-4的偏移量创建DataView。 修复方案:在初始化DataView时进行边界检查,防止负偏移量。
CVE-2024-44308:漏洞原理是通过JavaScript Proxy拦截数组的length属性,并将其设置为一个极大的值。利用方法是通过HTML/JavaScript,创建一个Proxy对象,拦截length属性,并设置为0xFFFFFFF0。然后,调用concat方法,从而尝试触发堆溢出。 修复方案:在对Proxy进行操作时,对数组的length属性进行边界检查,防止设置过大的值。
提供的POC代码,展示了具体的漏洞触发方式。
🎯 受影响组件
• PS4 Browser
• WebKit
⚡ 价值评估
展开查看详细评估
漏洞涉及内存越界和堆溢出,提供了PoC,能够在PS4浏览器上触发,具有较高的安全风险,可能导致任意代码执行或信息泄露。
CVE-2023-39361 - Cacti SQL注入导致RCE
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2023-39361 |
| 风险等级 | CRITICAL |
| 利用状态 | POC可用 |
| 发布时间 | 2025-04-26 00:00:00 |
| 最后更新 | 2025-04-26 16:34:38 |
📦 相关仓库
💡 分析概述
该仓库提供了CVE-2023-39361的漏洞信息,该漏洞存在于Cacti的graph_view.php文件中,是一个SQL注入漏洞,可导致RCE。仓库的核心功能是提供PoC环境搭建和漏洞利用方法。更新内容详细说明了漏洞的成因,利用方式,以及PoC的构建过程。PoC利用了rfilter参数的SQL注入,通过构造恶意的SQL语句,可以获取数据库敏感信息,甚至进行代码执行。仓库提供了docker-compose.yml文件,方便用户复现漏洞。漏洞利用条件明确,且有详细的PoC,价值较高。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | Cacti graph_view.php 存在SQL注入漏洞 |
| 2 | 通过构造rfilter参数进行注入 |
| 3 | 可获取数据库敏感信息,如用户名密码 |
| 4 | 提供了详细的PoC和环境搭建方法 |
| 5 | 影响版本Cacti 1.2.24 |
🛠️ 技术细节
漏洞位于Cacti 1.2.24的graph_view.php文件中的grow_right_pane_tree函数。
攻击者可以通过构造恶意的rfilter参数,在SQL查询中注入恶意代码。
PoC提供了构造的SQL注入语句,用于获取数据库信息,如用户名,密码,数据库版本等。
修复方案建议:升级Cacti到安全版本,对用户输入进行严格的过滤和转义,使用参数化查询。
🎯 受影响组件
• Cacti 1.2.24
• graph_view.php
⚡ 价值评估
展开查看详细评估
该漏洞影响广泛使用的Cacti监控系统,且有明确的受影响版本和漏洞利用方法,可以远程获取数据库敏感信息,属于高危漏洞。
CVE-2022-27925 - Zimbra RCE漏洞利用工具
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2022-27925 |
| 风险等级 | CRITICAL |
| 利用状态 | POC可用 |
| 发布时间 | 2025-04-26 00:00:00 |
| 最后更新 | 2025-04-26 19:21:27 |
📦 相关仓库
💡 分析概述
该仓库提供了一个针对Zimbra RCE漏洞(CVE-2022-27925)的利用工具。仓库内包含main.py文件,该文件似乎实现了针对目标服务器的命令执行功能。根据提交历史,代码经过多次更新,主要集中在修正输出结果,增加命令执行成功后的反馈信息,以及修改命令行的参数。README.md文件也更新了使用方法。该漏洞利用工具的核心在于能够向Zimbra服务器发送恶意请求,从而实现远程代码执行。漏洞的利用方式是通过构造恶意的请求,在目标Zimbra服务器上执行任意命令。该工具的功能实现比较简单,但针对性很强,可以用于快速验证漏洞。根据给出的提交信息,可以看出开发者正在持续更新和完善该工具,修复一些细节问题,使其更易于使用。利用方式是,指定目标列表文件,输出文件,以及执行的命令。从更新内容可以判断出,该工具确实可以进行命令执行操作,具有较高的价值。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | Zimbra RCE漏洞利用 |
| 2 | 远程代码执行 |
| 3 | POC可用 |
| 4 | 更新优化代码 |
🛠️ 技术细节
漏洞原理:通过构造恶意请求,触发Zimbra服务器的漏洞,从而执行任意命令。
利用方法:使用
main.py工具,指定目标服务器列表、输出文件和要执行的命令。
修复方案:更新Zimbra至修复了CVE-2022-27925的最新版本
🎯 受影响组件
• Zimbra
⚡ 价值评估
展开查看详细评估
该工具提供了针对Zimbra RCE漏洞的POC,能够直接利用漏洞进行远程代码执行,风险极高,且具有明确的利用方法,因此具有很高的价值。
CVE-2025-32432 - CraftCMS RCE 漏洞,PHP Credits
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-32432 |
| 风险等级 | CRITICAL |
| 利用状态 | POC可用 |
| 发布时间 | 2025-04-26 00:00:00 |
| 最后更新 | 2025-04-26 23:57:15 |
📦 相关仓库
💡 分析概述
该漏洞分析涉及 CraftCMS 的一个 RCE (Remote Code Execution) 漏洞,编号为 CVE-2025-32432。 仓库提供了一个 Go 语言编写的 checker 工具,用于检测目标 CraftCMS 实例是否存在该漏洞。 仓库包含以下文件:
- main.go: 核心代码,实现了漏洞检测逻辑。包含
Checker接口定义、httpChecker结构体以及相关的FetchCSRF和CheckTransform方法,用于获取 CSRF 令牌并执行漏洞检测。 - go.mod, go.sum: Go 模块管理文件,用于依赖管理。
- README.md: 提供了工具的使用说明。
代码更新分析:
- Match with 'PHP Credits': 关键更新,将漏洞检测的字符串从
PHP Group修改为PHP Credits。说明漏洞触发点与PHP配置信息有关。 - Add random assetId: 增加随机
assetId参数。目的可能是绕过某些检查。
漏洞利用方式: 通过构造恶意的请求,触发 CraftCMS 中 assets/generate-transform 接口中的漏洞,从而导致 RCE。 利用方法为发送 POST 请求到 ?p=admin/actions/assets/generate-transform ,请求头包含 X-CSRF-Token 和 Content-Type: application/json ,请求体为构造的 JSON payload。通过代码中的 bytes.Contains(body, []byte("PHP Credits")) 判断服务器是否响应php配置信息,来确定是否存在漏洞。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | CraftCMS RCE漏洞 |
| 2 | 影响 CraftCMS 版本 |
| 3 | 提供POC代码, 可直接用于漏洞验证 |
| 4 | PHP Credits 信息泄露 |
🛠️ 技术细节
漏洞原理:通过构造恶意的 JSON payload,利用
assets/generate-transform接口,触发RCE漏洞。
利用方法:构造包含恶意代码的 JSON payload,发送POST请求到
?p=admin/actions/assets/generate-transform接口,请求头包含 CSRF token。根据响应包中是否包含 PHP Credits 信息来判断是否存在漏洞。
修复方案:升级CraftCMS到安全版本。或禁用有风险的组件或功能。
🎯 受影响组件
• CraftCMS
⚡ 价值评估
展开查看详细评估
该漏洞提供了可用的 POC 代码,可以用于远程代码执行,风险等级高,因此具有很高的价值。
SpyAI - C2框架的恶意软件,窃取屏幕截图
📌 仓库信息
| 属性 | 详情 |
|---|---|
| 仓库名称 | SpyAI |
| 风险等级 | HIGH |
| 安全类型 | 漏洞利用 |
| 更新类型 | GENERAL_UPDATE |
📊 代码统计
- 分析提交数: 1
- 变更文件数: 1
💡 分析概述
SpyAI是一个智能恶意软件,它能够截取整个显示器的屏幕截图,并通过Slack将它们泄露到C2服务器。C2服务器使用GPT-4 Vision来分析这些截图,并构建每日活动。本次更新修改了README.md文件,主要是对项目的功能和设置进行了更详细的描述,方便使用者进行配置。该项目是一个C2框架,具有较高的风险。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 恶意软件截取屏幕截图 |
| 2 | 通过Slack将数据泄露到C2服务器 |
| 3 | C2服务器使用GPT-4 Vision分析截图 |
| 4 | 更新了README.md文件 |
🛠️ 技术细节
该恶意软件使用Python和C++编写,C++部分可能用于绕过安全检测。
利用Slack作为C2通道,绕过防火墙和安全防护
GPT-4 Vision用于分析屏幕截图,生成活动日志
README.md文件包含设置和配置说明,便于恶意使用
🎯 受影响组件
• 操作系统
• Slack
• C2服务器
• GPT-4 Vision
⚡ 价值评估
展开查看详细评估
该项目是一个C2框架,具有实际的攻击和渗透测试价值。其核心功能涉及恶意代码,数据窃取和秘密通道,危害较大。
免责声明
本文内容由 AI 自动生成,仅供参考和学习交流。文章中的观点和建议不代表作者立场,使用本文信息需自行承担风险和责任。