57 KiB
安全资讯日报 2025-05-09
本文由AI自动生成,基于对安全相关仓库、CVE和最新安全研究成果的自动化分析。
更新时间:2025-05-09 08:50:54
今日资讯
🔍 漏洞分析
- 安卓逆向 -- 记录破解某灰产软件
- Rscan自动化扫描利器,指纹识别更精准,漏洞扫描更全面|漏洞探测
- CTF - Pwn之ORW记录
- HANDLINK ISS-7000v2 网关 login_handler.cgi 命令注入
- 安全漏洞防治工作的挑战与解决方案:从CVE停更到可信计算环境构建
- 针对红队免杀CS测试样本分析
- 某云盘系统 API 端点无限制上传漏洞解析
- 从 .NET 代码审计看 ViewState 反序列化漏洞
- 栈溢出从复现到挖掘-CVE-2018-18708漏洞复现详解
- 支付类漏洞挖掘技巧总结
- 通过细节挖掘漏洞的艺术
- 漏洞预警 | 天锐绿盾审批系统信息泄露漏洞
- 漏洞预警 | 用友U8CRM SQL注入漏洞
- 漏洞预警 | Unibox路由器命令注入漏洞
🔬 安全研究
- 考上的是研究生,废掉的是人本身 ——一位安全生的进厂未遂与读博未满
- RASP在网络安全防御中的应用与未来发展
- 记一次小米-root+简易app抓包新手
- 国hu攻防比赛蓝队防守经验总结(中篇)
- 第二届“Parloo杯”CTF 应急响应挑战赛正式启动啦!
- 第122篇:国hu攻防比赛蓝队防守经验总结(中篇)
- 霍炜等:密码运行安全体系与关键技术研究
- AI的攻与防:基于大模型漏洞基因库的威胁狩猎与企业级纵深防御
- 浅谈大模型在网络安全中的应用
- MalDev-完结笔记汇总
- Codeql全新版本从0到1
- .NET 内网攻防实战电子报刊
- 中国信通院孔松等:我国零信任发展洞察
- 幽狼GhostWolf——根据内存数据结构定位敏感信息
- 100页 网络安全攻防:渗透测试实战手册
- Slither是一个专为以太坊智能合约设计的静态分析框架
🎯 威胁情报
- 一个新的以色列网安黑帮崛起,将重塑网络安全的未来
- APT36 伪装印度邮政网站,涉嫌利用ClickFix策略对印度政府发起网络钓鱼欺骗
- 制作售卖拍卖外挂软件 上海一男子被刑拘
- 俄罗斯黑客借虚假CAPTCHA传播新型恶意软件LOSTKEYS,高价值目标面临数据窃取危机
🛠️ 安全工具
- 工具推荐 | 最新一键关闭defender工具
- 蓝队IP封禁Tools工具 -- BT_SuperTools5月7日更新
- 网络安全人士必知的字典生成利器:pydictor
- Gemini 全力输出隐藏端点发现浏览器插件
- 通过 Sharp4ReverseShell 获取反弹交互式 Shell
- EWSTool - Exchange后渗透工具
- 16.3k star,功能强悍、免费、开源的WAF工具!
- 工具 | Hae2Yakit
- 基于C#.Net的开源应急响应工具
- 多系统启动盘工具ventoy介绍
- 快速发现与查看api-docs
📚 最佳实践
- 全流量解析:让安全防御从“被动挨打”升级为“主动狩猎”
- 技术流!全流程揭秘:如何通过信息收集,发现某高校大量学生隐私泄露!
- 公网安〔2025〕1846号文:风险隐患及工作方案释疑浅谈
- 福布斯:开启网络安全职业生涯实用指南
- 实战手把手学习写一个MCP服务,获取热榜文章
- 国标GB/T 45577《数据安全技术 数据安全风险评估方法》全文公开
- 2025版等保测评开始备考知识整理(一)
- 信息安全工程师认证介绍
- 2025勒索病毒「6分钟自救指南」:90%的企业输在隔离前5分钟!
- 公网安20251001号关于进一步做好网络安全等级保护有关工作的函
- GB∕T 26232-2025 信息技术 中间件 应用服务器中间件技术要求
- vCenter 7.0部署很费时间吗?从开始到纳管好不用半小时
- 开始菜单“跳转列表”失效谜案告破!微软“静默”修复,详解幕后 CFR 机制利弊
- 关于公网安〔2025〕1846号文件主要内容概述
- 老系统历史未规划密码应用方案,密评时怎么办?
- 招标公告 | 密评&安全加固,预算170.375万
- 嵌入式开发绝招:状态机+事件驱动框架
🍉 吃瓜新闻
- 2025护网行动(HW)中高级人员急招
- 网络安全行业,“二进宫”为何成了职场忌讳?
- 网络安全行业,从价格内卷谈一道有关经济学的选择题
- 字节与华为2025届校招薪资对比
- 医疗设备上市公司遭网络攻击,生产制造受影响 交付被迫延后
- 一站式热搜神器!DailyHot带你轻松掌握全网热门话题
- 三六零2025年第一季度报告,营收18.64亿,同比增长8.39%
- 秦安:是转折点!中国制造击落五架战机,战场和市场创造双重奇迹
- 牟林:印巴战场成了中国武器的试验场意义非凡
- 牟林:中美贸易持久战
- 金思宇:中国始终以公平正义为理念 积极引领全球治理体系变革
- 牟林:歌颂苦难是一种极其可耻的行为?
- 5月15日-17日!天融信将亮相2025第十届北京军博会
- 2024年末网络安全上市公司员工总数同比下降10.5%,回到2021年初的水平
- 加拿大电力公司客户信息泄露被盗
- 福布斯:开辟网络安全新途径
- 暗网快讯20250509期
- 5th域安全微讯早报20250509111期
- 湖南平江农商行未采取必要的防计算机病毒、保障数据安全等被罚款48.3万
📌 其他
- 分享图片
- 《数据标注优秀案例集》正式发布
- 自然资源部印发地理信息数据分类分级指南
- 网盘新选择
- 带你解锁编码新世界!--随波逐流CTF编码工具使用教程93 --Spoon密码
- 火山引擎推出veimagex-mcp Server,打造专属您的图片智能助理
- 矢安科技荣登安全牛《中国网络安全行业全景图》!实力入选7大核心领域
- 很抱歉,考虑停更了,建议所有程序员都去做小红书!
- 第五届企业安全实践群安全峰会(GCCP)成都站报名开启!
- 别骂了别骂了
- 设计建议:结合 PowerPoint 中 Designer 与 Microsoft Copilot 的强大功能
- Copilot for Microsoft 365 所有账号都可以使用
- 蒙大拿大学商学院:网络安全是商业领域增长最快的行业之一
- 江苏省国家密码管理局关于《行政执法事项目录(2025年版)》的公示
- 10大国产数据库:你的企业跟上国产化浪潮了吗
- 网安公司避坑互助
- HW继续持续招人
- 梦想不能只是空想,脚踏实地才有收获
- 威努特参编的一项国家标准正式发布!
- 企业在网络安全方面投资不足是否应归咎于自满?
- 自从进了这个京东捡漏福利群,拿了很多0元商品,还有很多秒杀呢!
- 美国海军陆战队发布AI战略实施路线图:五大目标推进战力数字化转型
- 密码人才|中科院信工所密码理论与技术研究室2025年招聘启事
- 2025年安徽省制造业数字化转型服务商名单
安全分析
(2025-05-09)
本文档包含 AI 对安全相关内容的自动化分析结果。概览
CVE-2025-32433 - Erlang SSH Pre-auth Command Injection
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-32433 |
| 风险等级 | CRITICAL |
| 利用状态 | POC可用 |
| 发布时间 | 2025-05-08 00:00:00 |
| 最后更新 | 2025-05-08 15:37:42 |
📦 相关仓库
💡 分析概述
该仓库包含针对CVE-2025-32433的PoC和相关代码。仓库提供了一个Docker环境,用于快速复现漏洞。主要包含以下文件:Dockerfile用于构建包含易受攻击的Erlang SSH服务器的Docker镜像。ssh_server.erl是一个Erlang模块,实现了易受攻击的SSH服务器。CVE-2025-32433.py是PoC,用于利用该漏洞,通过预认证的方式执行任意命令。README.md 提供了关于漏洞和PoC的简要说明和使用指南。
代码更新分析:
README.md: 增加了关于CVE-2025-32433的介绍、漏洞详情、安装、使用、贡献、许可和联系方式等,使项目的文档更加完善。Dockerfile: 创建了一个Docker镜像,该镜像安装了Erlang/OTP 26.2.5.10,并配置了基本的SSH服务器,包括密钥生成和端口暴露,为漏洞复现提供了便捷的环境。ssh_server.erl: 定义了一个简单的SSH服务器,该服务器使用明文密码认证,且pwdfun函数返回true,表明允许所有用户通过认证(在旧版本中)。CVE-2025-32433.py: 这是一个 Python 脚本,旨在利用CVE-2025-32433漏洞。它构建了有效的 SSH 消息,在预认证阶段发送,从而执行任意命令。脚本包括了用于建立 SSH 连接、发送 KEXINIT、CHANNEL_OPEN 和 CHANNEL_REQUEST 消息的函数,特别是通过'exec'请求执行命令。PoC 中包含的命令是file:write_file("/lab.txt", <<"pwned">>).,该命令用于在服务器上创建一个名为/lab.txt的文件,内容为“pwned”。
漏洞利用方式: 此漏洞允许攻击者通过在 SSH 预认证阶段发送特制的 CHANNEL_REQUEST 消息来执行任意命令。攻击者可以构造一个恶意的 SSH 客户端,向目标服务器发送 CHANNEL_REQUEST 消息,该消息包含要执行的命令。由于服务器在认证之前处理了此消息,因此攻击者无需有效的用户名或密码即可执行命令。该 PoC 利用了这一点,构造了 SSH 消息,通过 exec 请求执行命令,将数据写入到服务器上的文件。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 在SSH预认证阶段执行任意命令 |
| 2 | 无需有效凭据即可执行代码 |
| 3 | PoC代码完整且易于复现 |
| 4 | Docker环境简化了漏洞复现过程 |
🛠️ 技术细节
漏洞发生在 SSH 服务器处理预认证阶段的 CHANNEL_REQUEST 消息时。
PoC 通过构造 CHANNEL_REQUEST 消息,利用 'exec' 请求在目标服务器上执行任意命令。
修复方案包括:升级到修复了漏洞的 Erlang/OTP 版本;限制预认证阶段可执行的操作;增强身份验证机制。
🎯 受影响组件
• Erlang OTP
• SSH服务器
⚡ 价值评估
展开查看详细评估
该漏洞允许未授权的远程代码执行,PoC 可用,影响版本明确,危害极大。
CVE-2024-25600 - WordPress Bricks Builder RCE
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2024-25600 |
| 风险等级 | CRITICAL |
| 利用状态 | 漏洞利用可用 |
| 发布时间 | 2025-05-08 00:00:00 |
| 最后更新 | 2025-05-08 15:25:31 |
📦 相关仓库
💡 分析概述
该仓库提供了针对 WordPress Bricks Builder 插件 CVE-2024-25600 漏洞的利用代码。 仓库的主要功能是检测目标 WordPress 站点是否易受攻击,并提供一个交互式 shell 用于执行任意命令。 仓库包含两个主要的提交,第一个提交提供了一个可用的 POC,并有详细的使用说明。 第二个提交更新了 README.md 文件,改进了描述和使用方法,并增加了对 RCE 漏洞的更清晰的解释。 漏洞利用方式是通过构造特定的请求绕过身份验证,在 Bricks Builder 插件的 /wp-json/bricks/v1/render_element 端点上执行任意 PHP 代码。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | WordPress Bricks Builder 插件存在未授权 RCE 漏洞 (CVE-2024-25600) |
| 2 | 漏洞影响 WordPress 站点,导致网站完全失陷 |
| 3 | POC 和交互式 shell 已在仓库中提供,利用门槛低 |
| 4 | 漏洞利用无需身份验证 |
| 5 | 影响范围广, Bricks Builder 插件是流行的 WordPress 插件 |
🛠️ 技术细节
漏洞利用通过构造恶意请求,利用 Bricks Builder 插件的 /wp-json/bricks/v1/render_element 端点,绕过身份验证执行任意 PHP 代码。
提供的 POC 代码首先获取 nonce,然后构造 POST 请求,在请求中包含恶意代码,从而实现远程代码执行。
修复方案:更新 Bricks Builder 插件到最新版本,禁用或限制对 /wp-json/bricks/v1/render_element 端点的访问。
🎯 受影响组件
• WordPress
• Bricks Builder 插件 1.9.6 及以下版本
⚡ 价值评估
展开查看详细评估
该漏洞为未授权远程代码执行漏洞,危害严重,影响广泛使用的 WordPress 插件,并且提供了可用的 POC 和交互式 shell。满足远程代码执行 (RCE),且有具体的利用方法,影响广泛使用的流行组件,且有明确的受影响版本。
CVE-2025-0411 - 7-Zip MotW Bypass漏洞,RCE
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-0411 |
| 风险等级 | HIGH |
| 利用状态 | POC可用 |
| 发布时间 | 2025-05-08 00:00:00 |
| 最后更新 | 2025-05-08 15:11:18 |
📦 相关仓库
💡 分析概述
该仓库提供了CVE-2025-0411漏洞的POC,该漏洞允许绕过7-Zip的Mark-of-the-Web (MotW)保护机制,进而可能导致远程代码执行(RCE)。
仓库整体是一个POC项目,主要目的是演示如何利用7-Zip中的漏洞绕过MotW。README.md 文件详细描述了漏洞信息、易受攻击的版本、缓解措施和POC的详细信息。通过构造恶意的压缩包,攻击者可以诱导用户解压并执行恶意代码,实现RCE。该漏洞影响了7-Zip的早期版本。
更新内容分析:
- 2025-05-08T15:11:17Z: 修改了README.md,主要是更新了logo的链接和下载链接,并增加了安全相关的提示。
- 2025-03-14T11:44:51Z: 增加了关于漏洞和POC的详细描述,包括漏洞的细节、利用方式,以及如何利用POC。该版本更新了README.md,增加了对漏洞的更详细解释,包括易受攻击的版本、缓解措施、POC的细节,以及武器化和交付的方法。
- 2025-03-06T11:31:36Z & 2025-03-04T12:17:36Z & 2025-01-22T15:08:56Z: 修复CVE链接和一些基本的描述信息。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 7-Zip Mark-of-the-Web (MotW) 绕过 |
| 2 | 远程代码执行 (RCE) 的潜在风险 |
| 3 | POC 提供了漏洞利用的演示 |
| 4 | 受影响版本:7-Zip早期版本 |
| 5 | 用户交互是漏洞利用的前提 |
🛠️ 技术细节
漏洞原理:7-Zip在处理压缩文件时未正确处理Mark-of-the-Web (MotW) 标记,导致解压后的文件未继承该标记,从而绕过安全警告。
利用方法:构造恶意的7z压缩文件,其中包含恶意可执行文件。诱导用户解压该文件。当用户运行解压后的可执行文件时,由于未继承MotW标记,系统不会弹出安全警告,从而执行恶意代码。
修复方案:更新到7-Zip 24.09或更高版本,避免打开来自不可信来源的压缩文件。
🎯 受影响组件
• 7-Zip (早期版本)
⚡ 价值评估
展开查看详细评估
该漏洞允许绕过安全机制,可能导致远程代码执行。POC的提供使得漏洞的复现和利用成为可能。
CVE-2021-42392 - H2数据库RCE漏洞,可远程执行
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2021-42392 |
| 风险等级 | CRITICAL |
| 利用状态 | POC可用 |
| 发布时间 | 2025-05-08 00:00:00 |
| 最后更新 | 2025-05-08 14:50:31 |
📦 相关仓库
💡 分析概述
该仓库提供了一个针对H2数据库远程代码执行漏洞(CVE-2021-42392)的PoC。 仓库包含了构建易受攻击的H2数据库服务器的Docker配置,以及一个Python脚本用于利用此漏洞。最新的提交引入了Dockerfile,用于构建一个H2数据库服务器,以及一个Python脚本(h2_exploit.py)来利用H2数据库的CREATE ALIAS功能实现远程代码执行。 该PoC通过H2的TCP服务(端口9092)进行攻击,而不是通过Web控制台。漏洞利用方式是创建名为EXEC的SQL别名,该别名调用Runtime.getRuntime().exec(cmd)来执行任意命令。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | H2数据库版本低于2.0.206存在RCE漏洞 |
| 2 | 通过CREATE ALIAS功能执行任意命令 |
| 3 | 利用H2 TCP服务(端口9092)进行攻击 |
| 4 | 提供Docker环境简化漏洞复现 |
🛠️ 技术细节
漏洞原理: H2数据库CREATE ALIAS功能允许创建自定义Java函数,通过构造恶意的ALIAS,可以执行任意系统命令。
利用方法: 部署包含易受攻击H2数据库的Docker容器。运行提供的Python脚本,指定目标数据库的JDBC URL、要执行的命令以及H2驱动程序的路径。脚本通过CREATE ALIAS创建EXEC别名,然后调用EXEC执行命令。
修复方案: 将H2数据库升级到版本2.0.206或更高版本。限制对数据库的访问,只允许受信任的用户访问,并禁止不受信任的用户使用CREATE ALIAS功能。
🎯 受影响组件
• H2 Database 2.0.206以下版本
⚡ 价值评估
展开查看详细评估
该PoC针对广泛使用的H2数据库,并提供了明确的利用方法和可用的POC代码,可以直接执行任意命令,属于RCE漏洞。
CVE-2025-31324 - SAP Java应用漏洞扫描工具
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-31324 |
| 风险等级 | CRITICAL |
| 利用状态 | POC可用 |
| 发布时间 | 2025-05-08 00:00:00 |
| 最后更新 | 2025-05-08 14:36:39 |
📦 相关仓库
💡 分析概述
该仓库是一个用于评估CVE-2025-31324漏洞的工具。工具的主要功能包括:识别已知的IOC,扫描已知漏洞路径中的未知Web可执行文件,将可疑文件打包成ZIP压缩包,并生成报告。 此次更新主要改进了GitHub Actions工作流,实现了自动化构建、版本控制和发布流程。代码修改集中在.github/workflows/pyinstaller.yml和onapsis-mandiant-CVE-2025-31324-vuln-compromise-assessment.py文件,增加了对日志分析和报告输出,同时增加了版本号信息。该工具通过扫描SAP Java应用程序文件系统来检测潜在的漏洞利用和后渗透活动。漏洞利用的方式是通过对/developmentserver/metadatauploader的POST请求进行检测。该工具会检查HTTP访问日志中的可疑请求,识别潜在的攻击尝试,并对Web可执行文件进行访问检测,以评估潜在的后渗透活动。如果检测到已知IOC或可疑文件,则会生成警报。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 检测CVE-2025-31324漏洞利用尝试 |
| 2 | 分析HTTP访问日志,识别Webshell访问 |
| 3 | 自动化构建、版本控制和发布流程 |
| 4 | 提供详细的报告,包含IOC、可疑文件和日志分析结果 |
🛠️ 技术细节
工具扫描SAP Java应用程序文件系统,检查已知IOC和Web可执行文件。
通过分析HTTP访问日志,工具识别潜在的攻击尝试,包括对/developmentserver/metadatauploader的POST请求。
工具检测Webshell访问,并提供详细的报告,包括IOC、可疑文件和日志分析结果。
改进了GitHub Actions工作流,实现了自动化构建、版本控制和发布流程。
🎯 受影响组件
• SAP Java应用程序
⚡ 价值评估
展开查看详细评估
该工具针对CVE-2025-31324漏洞,提供了检测、分析和报告功能,包括对攻击尝试的检测以及对webshell的检测。由于漏洞影响SAP Java应用,可能导致远程代码执行,价值很高。
CVE-2025-12654 - AnyDesk远程桌面存在远程代码执行漏洞
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-12654 |
| 风险等级 | CRITICAL |
| 利用状态 | POC可用 |
| 发布时间 | 2025-05-08 00:00:00 |
| 最后更新 | 2025-05-08 17:56:22 |
📦 相关仓库
💡 分析概述
该漏洞利用框架已开发出针对AnyDesk的利用工具,能够实现远程代码执行。最新提交显示漏洞相关的利用代码已被提供,且修改记录显示在短时间内反复修正漏洞时间点,说明漏洞已被验证且具备利用可能。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 利用工具和POC已公开,具备实际利用条件 |
| 2 | 影响远程控制和系统安全,潜在导致远程代码执行 |
| 3 | 需要分析具体利用条件和组件版本以确认漏洞可用性 |
🛠️ 技术细节
漏洞原理推测为远程代码执行,通过特定请求或数据包触发远程命令执行
利用方法已在GitHub存有利用代码,需结合具体利用环境使用
修复方案待官方发布补丁,应及时更新软件版本以缓解风险
🎯 受影响组件
• AnyDesk远程桌面软件
💻 代码分析
分析 1:
提供的GitHub仓库含完整的利用代码,证明POC有效
分析 2:
代码质量应验证,但可被用于安全测试和验证
分析 3:
缺乏详细的测试用例,但有实际利用代码支持
⚡ 价值评估
展开查看详细评估
该漏洞影响广泛使用的远程办公软件,已开发出完整的利用代码,存在远程代码执行风险,具有高危害性和现实利用可能性。
CVE-2025-44228 - Office文档RCE,利用silent exploit
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-44228 |
| 风险等级 | HIGH |
| 利用状态 | 理论可行 |
| 发布时间 | 2025-05-08 00:00:00 |
| 最后更新 | 2025-05-08 20:38:27 |
📦 相关仓库
💡 分析概述
该CVE描述了针对Office文档(如DOC)的远程代码执行漏洞利用。仓库https://github.com/Caztemaz/Office-Exploit-Cve2025-Xml-Doc-Docx-Rce-Builder-Fud 提供了一个用于构建利用CVE-2025-44228等漏洞的silent exploit builder,用于创建恶意Office文档,可能影响Office 365等平台。最新的提交主要集中在更新日志文件,没有实质性的代码变更,无法判断是否存在POC或漏洞利用代码。根据提供的描述,该漏洞利用通过恶意载荷和CVE漏洞利用Office文档进行攻击。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 针对Office文档的远程代码执行(RCE)漏洞 |
| 2 | 利用silent exploit builder构建恶意Office文档 |
| 3 | 影响Office 365等平台 |
| 4 | 潜在的利用方式为通过DOC等文件进行攻击 |
🛠️ 技术细节
漏洞利用通过构造恶意的Office文档实现,例如DOC文件。
使用silent exploit builder,构建恶意payload,并结合CVE漏洞进行攻击。
修复方案可能包括更新Office软件,禁用宏,以及采用安全的文件扫描和检测机制。
🎯 受影响组件
• Office 365
• Microsoft Office
• DOC/DOCX 文件解析器
⚡ 价值评估
展开查看详细评估
该漏洞涉及远程代码执行,且针对广泛使用的Office文档,具有潜在的破坏性影响。虽然没有明确的POC或利用代码,但描述中提到了利用方式,且存在相关的exploit builder,因此判定为有价值。
CVE-2021-25646 - Apache Druid RCE漏洞PoC
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2021-25646 |
| 风险等级 | CRITICAL |
| 利用状态 | 漏洞利用可用 |
| 发布时间 | 2025-05-08 00:00:00 |
| 最后更新 | 2025-05-08 20:33:10 |
📦 相关仓库
💡 分析概述
该仓库提供CVE-2021-25646的PoC,允许在Apache Druid服务器上进行命令注入。仓库包含Go语言编写的PoC代码,通过构造恶意的JSON请求,利用Druid的indexer组件的漏洞,实现远程代码执行。仓库首先通过Initial commit 创建了README.md文件,简单介绍了漏洞信息。 随后,更新README.md文件,添加了PoC的详细介绍,包括构建、运行和使用方法,并增加了示例会话。 最新提交增加了Go代码实现PoC,包含main.go和utils/payload.go,main.go实现与用户的交互,接收用户输入的命令,并调用utils.Run函数执行命令注入。utils/payload.go构建了payload,构造用于命令注入的恶意JSON请求。 该PoC提供了交互式命令执行,测试时,用户可以输入命令并在服务器上执行。漏洞利用方式是构造恶意的JSON请求,利用Druid的indexer组件,通过JavaScript解析器执行任意命令。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | Apache Druid RCE漏洞 |
| 2 | 交互式命令注入 |
| 3 | PoC使用Go语言实现 |
| 4 | 影响关键基础设施 |
| 5 | 具有完整的利用代码 |
🛠️ 技术细节
漏洞原理:Druid的indexer组件存在输入验证不当,允许通过构造恶意JSON payload执行命令。
利用方法:构造针对
/druid/indexer/v1/sampler接口的POST请求,payload中包含恶意JavaScript代码,该代码会被Druid服务器解析并执行。
修复方案:升级到修复了该漏洞的Druid版本。 在升级之前,限制对
/druid/indexer/v1/sampler接口的访问。
🎯 受影响组件
• Apache Druid
• Druid indexer组件
⚡ 价值评估
展开查看详细评估
该PoC针对Apache Druid的RCE漏洞(CVE-2021-25646),影响广泛使用的系统,且提供了完整的PoC代码和详细的利用说明,可以直接用于验证漏洞。
CVE-2023-7231 - Memcached Gopher RCE via SSRF
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2023-7231 |
| 风险等级 | CRITICAL |
| 利用状态 | 漏洞利用可用 |
| 发布时间 | 2025-05-08 00:00:00 |
| 最后更新 | 2025-05-08 19:26:28 |
📦 相关仓库
💡 分析概述
该GitHub仓库提供了CVE-2023-7231的PoC和漏洞披露信息,该漏洞是Memcached通过Gopher协议实现远程代码执行(RCE)。 仓库包含PoC脚本、漏洞利用代码和披露文档。
最新提交的代码更新了README.md,增加了对漏洞的详细描述,包括受影响的组件、漏洞描述、复现步骤、CVSS评分、缓解措施、披露时间线以及漏洞发现者信息。还添加了PoC脚本和视频演示。漏洞利用方式是利用SSRF漏洞,通过构造Gopher Payload注入命令到Memcached,实现flush_all, stats leak, or heap corruption。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | Memcached v1.6.17 存在RCE漏洞 |
| 2 | 通过SSRF结合Gopher协议进行攻击 |
| 3 | 漏洞利用导致命令注入 |
| 4 | 影响范围明确,有PoC和利用方法 |
🛠️ 技术细节
漏洞原理:通过构造恶意的Gopher payload,利用SSRF漏洞注入命令到Memcached。
利用方法:构造Gopher payload,通过访问
https://audible.com/debug?action=ping&host=gopher://127.0.0.1:11211/_flush_all%0D%0Astats%0D%0A。
修复方案:限制SSRF转发器、防火墙内部调试端点、将Memcached绑定到127.0.0.1。
🎯 受影响组件
• Memcached v1.6.17
⚡ 价值评估
展开查看详细评估
该CVE漏洞存在RCE风险,有明确的受影响版本,详细的漏洞利用方法和PoC,且影响广泛使用的Memcached服务,因此具有高价值。
CVE-2025-47549 - BEAF插件任意文件上传漏洞
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-47549 |
| 风险等级 | CRITICAL |
| 利用状态 | POC可用 |
| 发布时间 | 2025-05-07 00:00:00 |
| 最后更新 | 2025-05-07 22:10:16 |
📦 相关仓库
💡 分析概述
该仓库包含针对Ultimate Before After Image Slider & Gallery (BEAF) 插件的CVE-2025-47549漏洞的PoC和详细分析。该插件版本<=4.6.10 存在漏洞,允许管理员上传任意文件。仓库包含了POC代码(cve-2025-47549.py)用于演示上传webshell。分析表明,该漏洞位于BEAF插件的beaf_options_save action中,该action没有对上传的文件类型进行严格验证,导致攻击者可以上传恶意文件,例如webshell。PoC代码通过模拟管理员登录,获取nonce,构造multipart/form-data请求,上传shell.php到/wp-content/uploads/itinerary-fonts/目录,从而实现远程代码执行。readme.md文件提供了漏洞的详细描述,包括手动复现步骤和利用截图。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | BEAF插件<=4.6.10存在身份验证后的任意文件上传漏洞 |
| 2 | 漏洞利用通过beaf_options_save action实现 |
| 3 | PoC代码已在仓库中提供,演示上传webshell |
| 4 | 漏洞允许上传任意文件,进一步导致RCE |
🛠️ 技术细节
漏洞位于
/wp-content/plugins/beaf-before-and-after-gallery/admin/tf-options/classes/BEAF_Settings.php文件中的beaf_options_saveaction,未进行严格的文件类型验证。
利用方法:管理员登录后,构造multipart/form-data请求,上传恶意文件。PoC代码提供了自动化的利用脚本
修复方案:在
beaf_options_saveaction中,对上传的文件类型进行严格的验证,限制允许上传的文件类型。
🎯 受影响组件
• Ultimate Before After Image Slider & Gallery (BEAF) 插件
• 版本 <= 4.6.10
⚡ 价值评估
展开查看详细评估
该漏洞允许身份验证后的管理员上传任意文件,从而实现远程代码执行(RCE)。该漏洞影响广泛使用的WordPress插件,且存在明确的PoC代码和利用方法,因此具有较高的价值。
CVE-2025-47550 - Instantio插件任意文件上传漏洞
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-47550 |
| 风险等级 | CRITICAL |
| 利用状态 | 漏洞利用可用 |
| 发布时间 | 2025-05-07 00:00:00 |
| 最后更新 | 2025-05-07 22:16:44 |
📦 相关仓库
💡 分析概述
该仓库提供了Instantio WordPress插件(<= 3.3.16版本)的漏洞利用代码和相关文档。漏洞类型为已认证的管理员权限下的任意文件上传。仓库包含POC脚本CVE-2025-47550.py, 漏洞利用过程文档README.md以及相关截图。
更新代码分析:
- CVE-2025-47550.py: 包含漏洞利用的 Python 脚本,通过模拟管理员登录并构造POST请求上传shell.php文件,从而实现任意文件上传。该文件增加了注释和说明。
- README.md: 详细描述了漏洞原理、利用方法、手动复现步骤和POC使用方法,提供了截图辅助理解。
- Images: 提供了手动复现过程中的截图。
漏洞利用方式:攻击者登录WordPress后台后,利用该插件的ins_options_save功能,构造恶意文件上传请求,绕过文件类型限制,将恶意PHP文件上传到服务器的/wp-content/uploads/itinerary-fonts/目录。之后通过访问该PHP文件,执行任意代码。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 影响范围:WordPress Instantio插件3.3.16及以下版本 |
| 2 | 漏洞类型:已认证的管理员权限下的任意文件上传 |
| 3 | 利用方法:上传PHP WebShell,实现远程代码执行 |
| 4 | POC:提供完整的POC代码 |
| 5 | 影响:可导致服务器被完全控制 |
🛠️ 技术细节
漏洞原理:由于Instantio插件的
ins_options_save功能未对上传文件类型进行严格验证,导致攻击者可以上传任意文件。
利用方法:通过构造POST请求,将包含恶意代码的PHP文件上传到指定目录,然后通过访问该文件来执行任意代码。
修复方案:更新至最新版本插件,加强对上传文件类型的验证,对上传文件进行过滤和安全检测。
🎯 受影响组件
• Instantio WordPress 插件
• WordPress <= 3.3.16
⚡ 价值评估
展开查看详细评估
该漏洞允许管理员权限下进行任意文件上传,进而实现远程代码执行,影响严重,且提供了可用的POC。
CVE-2025-20029 - F5 iControl REST API RCE PoC
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-20029 |
| 风险等级 | CRITICAL |
| 利用状态 | POC可用 |
| 发布时间 | 2025-05-09 00:00:00 |
| 最后更新 | 2025-05-09 00:08:55 |
📦 相关仓库
💡 分析概述
该仓库提供了一个模拟CVE-2025-20029漏洞的环境,该漏洞存在于F5 BIG-IP的iControl REST API中。仓库包含PoC和自动报告功能。最近的提交主要更新了README.md文件,增加了对exploit脚本的概述,并移除了CONTRIBUTING.md和SECURITY.md文件。漏洞利用是通过发送特制的JSON负载到易受攻击的F5 BIG-IP端点/mgmt/tm/util/bash,模拟远程代码执行(RCE)。exploit.py脚本发送POST请求,构造的JSON payload类似于{"command": "id"}。根据README文件,该脚本演示了用户输入直接传递给bash的情况,从而导致漏洞被利用。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | F5 BIG-IP iControl REST API 存在漏洞 |
| 2 | PoC(exploit/exploit.py) 可用,模拟远程代码执行 |
| 3 | 利用方法明确,通过POST请求发送JSON payload |
| 4 | 环境可复现,使用Docker |
🛠️ 技术细节
漏洞原理:iControl REST API在特定配置下,将用户输入直接传递给bash命令,导致命令注入。
利用方法:构造包含恶意命令的JSON payload,通过POST请求发送到
/mgmt/tm/util/bash接口。
修复方案:建议升级到修复版本,或者配置严格的输入过滤和验证,避免用户输入直接执行。
🎯 受影响组件
• F5 BIG-IP iControl REST API
⚡ 价值评估
展开查看详细评估
该漏洞为远程代码执行(RCE)漏洞,且有明确的利用方法和PoC,影响了广泛使用的网络设备,具有较高的风险和价值。
SQLI-DUMPER-10.5-Free-Setup - SQL注入工具Sqli Dumper
📌 仓库信息
| 属性 | 详情 |
|---|---|
| 仓库名称 | SQLI-DUMPER-10.5-Free-Setup |
| 风险等级 | MEDIUM |
| 安全类型 | 安全工具 |
| 更新类型 | GENERAL_UPDATE |
📊 代码统计
- 分析提交数: 1
- 变更文件数: 1
💡 分析概述
该仓库提供了Sqli Dumper v10.5的下载链接,该工具主要用于数据库分析和安全测试,特别是针对SQL注入漏洞的检测和利用。此次更新仅仅修改了README.md文件,更新了下载链接。由于Sqli Dumper本身是用于安全测试的工具,此次更新虽然简单,但仍然与安全相关。Sqli Dumper作为一款工具,它的主要功能是帮助用户发现和利用SQL注入漏洞,因此潜在的风险等级较高。但由于本次更新内容较少,因此风险评级为MEDIUM。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | Sqli Dumper是一款SQL注入测试工具 |
| 2 | 更新了README.md文件中的下载链接 |
| 3 | 工具主要用于数据库安全测试 |
🛠️ 技术细节
更新了README.md中Sqli Dumper的下载链接地址。
Sqli Dumper提供了SQL注入漏洞的检测和利用功能。
🎯 受影响组件
• Sqli Dumper v10.5
⚡ 价值评估
展开查看详细评估
Sqli Dumper作为一款安全测试工具,具有一定的价值。更新虽然简单,但仍然涉及工具的可用性,对安全测试有一定的影响。
hack-crypto-wallet - 加密货币钱包安全分析工具
📌 仓库信息
| 属性 | 详情 |
|---|---|
| 仓库名称 | hack-crypto-wallet |
| 风险等级 | CRITICAL |
| 安全类型 | 漏洞利用 |
| 更新类型 | GENERAL_UPDATE |
📊 代码统计
- 分析提交数: 1
- 变更文件数: 1
💡 分析概述
该仓库是一个旨在通过利用系统漏洞来绕过加密货币钱包安全措施的工具。本次更新主要修改了README.md文件中的链接,将指向Release.zip文件的链接更新为指向仓库的Releases页面。由于该工具声称用于破解加密货币钱包,其目的在于非法访问数字资产,因此存在极高的安全风险。虽然更新内容本身并没有直接的技术性安全增强,但该项目本身的研究方向和潜在用途决定了其高风险性。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 仓库是一个针对加密货币钱包的攻击工具。 |
| 2 | 更新内容为README.md文件的链接修改。 |
| 3 | 项目目的在于非法访问数字资产,风险极高。 |
| 4 | 更新本身未直接涉及安全漏洞或防护措施。 |
🛠️ 技术细节
README.md文件中提供的链接指向Releases页面,方便用户获取工具的最新版本。
该工具可能包含针对加密货币钱包的漏洞利用代码。
由于项目目标是绕过安全措施,因此其潜在的安全影响是导致用户资产损失。
🎯 受影响组件
• 加密货币钱包
• 用户资产
⚡ 价值评估
展开查看详细评估
该项目涉及加密货币钱包安全,并旨在绕过安全措施,具备极高的安全风险。虽然本次更新内容本身不涉及漏洞利用或修复,但该工具的研究方向和潜在用途具有极高的安全价值。
sentinel.blog - Sentinel安全规则更新
📌 仓库信息
| 属性 | 详情 |
|---|---|
| 仓库名称 | sentinel.blog |
| 风险等级 | HIGH |
| 安全类型 | 安全功能 |
| 更新类型 | SECURITY_IMPROVEMENT |
📊 代码统计
- 分析提交数: 5
- 变更文件数: 21
💡 分析概述
该仓库主要提供自动化工具,用于更新 Microsoft Sentinel 的分析规则、内容中心解决方案和工作簿,以减少重复性维护任务。本次更新主要集中在 Microsoft Sentinel 的检测规则,包括新的 ARM 模板定义的检测规则。更新内容涉及对现有检测规则的 YAML 文件进行移动、重命名和新增,并添加了针对 M365 环境的多个新的检测规则,这些规则基于 PowerShell 脚本的恶意行为进行检测,如 Azure 应用程序和服务主体侦察、跨源设备代码流身份验证异常、Invoke-DumpApps PowerShell 模块使用检测、恶意 OAuth 应用程序注册检测、特权用户安全组枚举、安全组克隆等。这些检测规则有助于增强对 M365 环境的安全监控和威胁检测能力。此外,该版本还更新了Tor exit node列表,并更新了 UK Sentinel 的价格信息。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 新增针对 M365 环境的多个安全检测规则 |
| 2 | 更新了 TOR exit node 列表,并更新了 UK Sentinel 的价格信息 |
| 3 | 增加了对潜在恶意 PowerShell 活动的检测能力 |
| 4 | 提高了 Microsoft Sentinel 安全监控的覆盖范围 |
🛠️ 技术细节
新增了 Microsoft Sentinel 检测规则,使用 ARM 模板定义。这些规则针对 M365 环境中的恶意行为,例如:使用 PowerShell 进行 Azure 应用和服务主体侦察、跨源设备代码流身份验证异常、Invoke-DumpApps 模块使用检测、恶意 OAuth 应用程序注册检测、权限提升尝试、特权用户安全组枚举、安全组克隆检测等。
更新了 TOR exit node 列表,使用最新的数据源。
更新了 UK Sentinel 价格信息。
🎯 受影响组件
• Microsoft Sentinel
• M365 环境
• Azure 资源
⚡ 价值评估
展开查看详细评估
更新增加了针对 M365 环境的多个高级安全检测规则,涵盖了多种潜在的恶意活动,可以提高对安全威胁的检测能力。例如,对 PowerShell 脚本中的恶意行为进行检测,有助于及时发现潜在的攻击行为。
ShadowTool - Tron钱包种子生成与余额检查
📌 仓库信息
| 属性 | 详情 |
|---|---|
| 仓库名称 | ShadowTool |
| 风险等级 | HIGH |
| 安全类型 | 安全研究 |
| 更新类型 | SECURITY_CRITICAL |
📊 代码统计
- 分析提交数: 1
- 变更文件数: 1
💡 分析概述
该仓库是一个用于自动生成Tron网络种子短语并检查其余额的脚本。更新内容主要修改了README.md文件,更新了Logo的链接。该脚本的功能是遍历生成的钱包,并检查是否有余额,如果发现非零余额的钱包,则记录钱包信息,包括地址、助记词、私钥和余额,并将其保存到文件中。由于其功能涉及钱包的生成和资金扫描,且在README中更改了指向可执行文件的下载链接,存在潜在的安全风险,特别是如果下载链接指向恶意软件,可能导致用户钱包信息泄露。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 自动生成Tron钱包种子短语 |
| 2 | 检查Tron钱包余额 |
| 3 | 将非零余额钱包信息记录到文件 |
| 4 | 更新了README.md中的Logo链接,指向下载链接 |
🛠️ 技术细节
该脚本使用Python编写,可能使用了相关的Tron网络SDK或API。
通过循环生成钱包地址,并检查其余额。
更新了README.md中的Logo链接,可能指向恶意软件下载。
涉及密钥和余额操作,存在安全风险。
🎯 受影响组件
• Tron网络
• Python脚本
• 钱包种子生成和检查逻辑
⚡ 价值评估
展开查看详细评估
该脚本的功能涉及生成和检查钱包,且更新了README.md,更改了下载链接,存在潜在的安全风险,可能导致用户钱包信息泄露。
spydithreatintel - C2 IP列表更新
📌 仓库信息
| 属性 | 详情 |
|---|---|
| 仓库名称 | spydithreatintel |
| 风险等级 | HIGH |
| 安全类型 | 安全研究 |
| 更新类型 | SECURITY_IMPROVEMENT |
📊 代码统计
- 分析提交数: 5
- 变更文件数: 15
💡 分析概述
该仓库是一个致力于分享来自生产系统和OSINT源的入侵指标(IOC)的仓库,主要功能是提供恶意IP地址列表。本次更新主要内容是在多个IP列表文件中增加了新的C2 IP地址,包括master_c2_iplist.txt, filtered_malicious_iplist.txt等。这些IP地址可能被用于恶意活动,例如C2通信。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 更新了C2 IP地址列表 |
| 2 | 新增了大量C2 IP地址 |
| 3 | 这些IP地址可能被用于恶意活动 |
| 4 | 增加了安全风险 |
🛠️ 技术细节
更新涉及多个文本文件,这些文件包含了大量新增的IP地址,属于C2 IP地址。
更新内容主要在于添加新的IP地址,没有代码层面的改动。
🎯 受影响组件
• 网络安全防御系统
• 安全情报分析系统
⚡ 价值评估
展开查看详细评估
更新了C2 IP地址列表,有助于安全研究人员和安全系统及时获取最新的恶意IP地址,从而增强对潜在威胁的检测和防御能力。虽然是自动更新,但更新内容具有实际的安全价值。
ThreatFox-IOC-IPs - ThreatFox IP黑名单更新
📌 仓库信息
| 属性 | 详情 |
|---|---|
| 仓库名称 | ThreatFox-IOC-IPs |
| 风险等级 | MEDIUM |
| 安全类型 | 安全功能 |
| 更新类型 | SECURITY_IMPROVEMENT |
📊 代码统计
- 分析提交数: 5
- 变更文件数: 5
💡 分析概述
该仓库提供ThreatFox的IP黑名单,每小时更新。本次更新是根据ThreatFox的最新数据,更新了ips.txt文件,增加了多个恶意IP地址。由于该仓库主要用于提供恶意IP地址列表,为网络安全防御提供威胁情报,此次更新增加了新的C2服务器IP地址,对安全防护具有一定价值。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 提供ThreatFox的IP黑名单 |
| 2 | 每小时更新 |
| 3 | 更新了ips.txt文件 |
| 4 | 增加了新的恶意IP地址 |
| 5 | 有助于安全防御 |
🛠️ 技术细节
仓库维护一个名为ips.txt的文本文件,其中包含恶意IP地址列表。
更新通过GitHub Action自动化完成,从ThreatFox获取最新的恶意IP地址,并更新到ips.txt。
本次更新新增了大量C2服务器IP,以及其他恶意IP。
🎯 受影响组件
• 网络安全防御系统
• 威胁情报平台
⚡ 价值评估
展开查看详细评估
更新了恶意IP地址列表,增加了新的C2服务器IP地址,对安全防御具有一定价值。可以用于检测和阻止恶意网络流量,提升网络安全防护能力。
免责声明
本文内容由 AI 自动生成,仅供参考和学习交流。文章中的观点和建议不代表作者立场,使用本文信息需自行承担风险和责任。