21 KiB
安全资讯日报 2025-05-09
本文由AI自动生成,基于对安全相关仓库、CVE和最新安全研究成果的自动化分析。
更新时间:2025-05-09 02:38:32
今日资讯
🔍 漏洞分析
- 安卓逆向 -- 记录破解某灰产软件
- Rscan自动化扫描利器,指纹识别更精准,漏洞扫描更全面|漏洞探测
- CTF - Pwn之ORW记录
- HANDLINK ISS-7000v2 网关 login_handler.cgi 命令注入
- 安全漏洞防治工作的挑战与解决方案:从CVE停更到可信计算环境构建
🔬 安全研究
- 考上的是研究生,废掉的是人本身 ——一位安全生的进厂未遂与读博未满
- RASP在网络安全防御中的应用与未来发展
- 记一次小米-root+简易app抓包新手
- 国hu攻防比赛蓝队防守经验总结(中篇)
- 第二届“Parloo杯”CTF 应急响应挑战赛正式启动啦!
- 第122篇:国hu攻防比赛蓝队防守经验总结(中篇)
- 霍炜等:密码运行安全体系与关键技术研究
- AI的攻与防:基于大模型漏洞基因库的威胁狩猎与企业级纵深防御
- 浅谈大模型在网络安全中的应用
🛠️ 安全工具
- 工具推荐 | 最新一键关闭defender工具
- 蓝队IP封禁Tools工具 -- BT_SuperTools5月7日更新
- 网络安全人士必知的字典生成利器:pydictor
- Gemini 全力输出隐藏端点发现浏览器插件
📚 最佳实践
- 全流量解析:让安全防御从“被动挨打”升级为“主动狩猎”
- 技术流!全流程揭秘:如何通过信息收集,发现某高校大量学生隐私泄露!
- 公网安〔2025〕1846号文:风险隐患及工作方案释疑浅谈
- 福布斯:开启网络安全职业生涯实用指南
- 实战手把手学习写一个MCP服务,获取热榜文章
🍉 吃瓜新闻
- 2025护网行动(HW)中高级人员急招
- 网络安全行业,“二进宫”为何成了职场忌讳?
- 网络安全行业,从价格内卷谈一道有关经济学的选择题
- 字节与华为2025届校招薪资对比
- 医疗设备上市公司遭网络攻击,生产制造受影响 交付被迫延后
- 一站式热搜神器!DailyHot带你轻松掌握全网热门话题
📌 其他
安全分析
(2025-05-09)
本文档包含 AI 对安全相关内容的自动化分析结果。概览
CVE-2025-32433 - Erlang SSH Pre-auth Command Injection
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-32433 |
| 风险等级 | CRITICAL |
| 利用状态 | POC可用 |
| 发布时间 | 2025-05-08 00:00:00 |
| 最后更新 | 2025-05-08 15:37:42 |
📦 相关仓库
💡 分析概述
该仓库包含针对CVE-2025-32433的PoC和相关代码。仓库提供了一个Docker环境,用于快速复现漏洞。主要包含以下文件:Dockerfile用于构建包含易受攻击的Erlang SSH服务器的Docker镜像。ssh_server.erl是一个Erlang模块,实现了易受攻击的SSH服务器。CVE-2025-32433.py是PoC,用于利用该漏洞,通过预认证的方式执行任意命令。README.md 提供了关于漏洞和PoC的简要说明和使用指南。
代码更新分析:
README.md: 增加了关于CVE-2025-32433的介绍、漏洞详情、安装、使用、贡献、许可和联系方式等,使项目的文档更加完善。Dockerfile: 创建了一个Docker镜像,该镜像安装了Erlang/OTP 26.2.5.10,并配置了基本的SSH服务器,包括密钥生成和端口暴露,为漏洞复现提供了便捷的环境。ssh_server.erl: 定义了一个简单的SSH服务器,该服务器使用明文密码认证,且pwdfun函数返回true,表明允许所有用户通过认证(在旧版本中)。CVE-2025-32433.py: 这是一个 Python 脚本,旨在利用CVE-2025-32433漏洞。它构建了有效的 SSH 消息,在预认证阶段发送,从而执行任意命令。脚本包括了用于建立 SSH 连接、发送 KEXINIT、CHANNEL_OPEN 和 CHANNEL_REQUEST 消息的函数,特别是通过'exec'请求执行命令。PoC 中包含的命令是file:write_file("/lab.txt", <<"pwned">>).,该命令用于在服务器上创建一个名为/lab.txt的文件,内容为“pwned”。
漏洞利用方式: 此漏洞允许攻击者通过在 SSH 预认证阶段发送特制的 CHANNEL_REQUEST 消息来执行任意命令。攻击者可以构造一个恶意的 SSH 客户端,向目标服务器发送 CHANNEL_REQUEST 消息,该消息包含要执行的命令。由于服务器在认证之前处理了此消息,因此攻击者无需有效的用户名或密码即可执行命令。该 PoC 利用了这一点,构造了 SSH 消息,通过 exec 请求执行命令,将数据写入到服务器上的文件。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 在SSH预认证阶段执行任意命令 |
| 2 | 无需有效凭据即可执行代码 |
| 3 | PoC代码完整且易于复现 |
| 4 | Docker环境简化了漏洞复现过程 |
🛠️ 技术细节
漏洞发生在 SSH 服务器处理预认证阶段的 CHANNEL_REQUEST 消息时。
PoC 通过构造 CHANNEL_REQUEST 消息,利用 'exec' 请求在目标服务器上执行任意命令。
修复方案包括:升级到修复了漏洞的 Erlang/OTP 版本;限制预认证阶段可执行的操作;增强身份验证机制。
🎯 受影响组件
• Erlang OTP
• SSH服务器
⚡ 价值评估
展开查看详细评估
该漏洞允许未授权的远程代码执行,PoC 可用,影响版本明确,危害极大。
CVE-2024-25600 - WordPress Bricks Builder RCE
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2024-25600 |
| 风险等级 | CRITICAL |
| 利用状态 | 漏洞利用可用 |
| 发布时间 | 2025-05-08 00:00:00 |
| 最后更新 | 2025-05-08 15:25:31 |
📦 相关仓库
💡 分析概述
该仓库提供了针对 WordPress Bricks Builder 插件 CVE-2024-25600 漏洞的利用代码。 仓库的主要功能是检测目标 WordPress 站点是否易受攻击,并提供一个交互式 shell 用于执行任意命令。 仓库包含两个主要的提交,第一个提交提供了一个可用的 POC,并有详细的使用说明。 第二个提交更新了 README.md 文件,改进了描述和使用方法,并增加了对 RCE 漏洞的更清晰的解释。 漏洞利用方式是通过构造特定的请求绕过身份验证,在 Bricks Builder 插件的 /wp-json/bricks/v1/render_element 端点上执行任意 PHP 代码。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | WordPress Bricks Builder 插件存在未授权 RCE 漏洞 (CVE-2024-25600) |
| 2 | 漏洞影响 WordPress 站点,导致网站完全失陷 |
| 3 | POC 和交互式 shell 已在仓库中提供,利用门槛低 |
| 4 | 漏洞利用无需身份验证 |
| 5 | 影响范围广, Bricks Builder 插件是流行的 WordPress 插件 |
🛠️ 技术细节
漏洞利用通过构造恶意请求,利用 Bricks Builder 插件的 /wp-json/bricks/v1/render_element 端点,绕过身份验证执行任意 PHP 代码。
提供的 POC 代码首先获取 nonce,然后构造 POST 请求,在请求中包含恶意代码,从而实现远程代码执行。
修复方案:更新 Bricks Builder 插件到最新版本,禁用或限制对 /wp-json/bricks/v1/render_element 端点的访问。
🎯 受影响组件
• WordPress
• Bricks Builder 插件 1.9.6 及以下版本
⚡ 价值评估
展开查看详细评估
该漏洞为未授权远程代码执行漏洞,危害严重,影响广泛使用的 WordPress 插件,并且提供了可用的 POC 和交互式 shell。满足远程代码执行 (RCE),且有具体的利用方法,影响广泛使用的流行组件,且有明确的受影响版本。
CVE-2025-0411 - 7-Zip MotW Bypass漏洞,RCE
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-0411 |
| 风险等级 | HIGH |
| 利用状态 | POC可用 |
| 发布时间 | 2025-05-08 00:00:00 |
| 最后更新 | 2025-05-08 15:11:18 |
📦 相关仓库
💡 分析概述
该仓库提供了CVE-2025-0411漏洞的POC,该漏洞允许绕过7-Zip的Mark-of-the-Web (MotW)保护机制,进而可能导致远程代码执行(RCE)。
仓库整体是一个POC项目,主要目的是演示如何利用7-Zip中的漏洞绕过MotW。README.md 文件详细描述了漏洞信息、易受攻击的版本、缓解措施和POC的详细信息。通过构造恶意的压缩包,攻击者可以诱导用户解压并执行恶意代码,实现RCE。该漏洞影响了7-Zip的早期版本。
更新内容分析:
- 2025-05-08T15:11:17Z: 修改了README.md,主要是更新了logo的链接和下载链接,并增加了安全相关的提示。
- 2025-03-14T11:44:51Z: 增加了关于漏洞和POC的详细描述,包括漏洞的细节、利用方式,以及如何利用POC。该版本更新了README.md,增加了对漏洞的更详细解释,包括易受攻击的版本、缓解措施、POC的细节,以及武器化和交付的方法。
- 2025-03-06T11:31:36Z & 2025-03-04T12:17:36Z & 2025-01-22T15:08:56Z: 修复CVE链接和一些基本的描述信息。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 7-Zip Mark-of-the-Web (MotW) 绕过 |
| 2 | 远程代码执行 (RCE) 的潜在风险 |
| 3 | POC 提供了漏洞利用的演示 |
| 4 | 受影响版本:7-Zip早期版本 |
| 5 | 用户交互是漏洞利用的前提 |
🛠️ 技术细节
漏洞原理:7-Zip在处理压缩文件时未正确处理Mark-of-the-Web (MotW) 标记,导致解压后的文件未继承该标记,从而绕过安全警告。
利用方法:构造恶意的7z压缩文件,其中包含恶意可执行文件。诱导用户解压该文件。当用户运行解压后的可执行文件时,由于未继承MotW标记,系统不会弹出安全警告,从而执行恶意代码。
修复方案:更新到7-Zip 24.09或更高版本,避免打开来自不可信来源的压缩文件。
🎯 受影响组件
• 7-Zip (早期版本)
⚡ 价值评估
展开查看详细评估
该漏洞允许绕过安全机制,可能导致远程代码执行。POC的提供使得漏洞的复现和利用成为可能。
CVE-2021-42392 - H2数据库RCE漏洞,可远程执行
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2021-42392 |
| 风险等级 | CRITICAL |
| 利用状态 | POC可用 |
| 发布时间 | 2025-05-08 00:00:00 |
| 最后更新 | 2025-05-08 14:50:31 |
📦 相关仓库
💡 分析概述
该仓库提供了一个针对H2数据库远程代码执行漏洞(CVE-2021-42392)的PoC。 仓库包含了构建易受攻击的H2数据库服务器的Docker配置,以及一个Python脚本用于利用此漏洞。最新的提交引入了Dockerfile,用于构建一个H2数据库服务器,以及一个Python脚本(h2_exploit.py)来利用H2数据库的CREATE ALIAS功能实现远程代码执行。 该PoC通过H2的TCP服务(端口9092)进行攻击,而不是通过Web控制台。漏洞利用方式是创建名为EXEC的SQL别名,该别名调用Runtime.getRuntime().exec(cmd)来执行任意命令。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | H2数据库版本低于2.0.206存在RCE漏洞 |
| 2 | 通过CREATE ALIAS功能执行任意命令 |
| 3 | 利用H2 TCP服务(端口9092)进行攻击 |
| 4 | 提供Docker环境简化漏洞复现 |
🛠️ 技术细节
漏洞原理: H2数据库CREATE ALIAS功能允许创建自定义Java函数,通过构造恶意的ALIAS,可以执行任意系统命令。
利用方法: 部署包含易受攻击H2数据库的Docker容器。运行提供的Python脚本,指定目标数据库的JDBC URL、要执行的命令以及H2驱动程序的路径。脚本通过CREATE ALIAS创建EXEC别名,然后调用EXEC执行命令。
修复方案: 将H2数据库升级到版本2.0.206或更高版本。限制对数据库的访问,只允许受信任的用户访问,并禁止不受信任的用户使用CREATE ALIAS功能。
🎯 受影响组件
• H2 Database 2.0.206以下版本
⚡ 价值评估
展开查看详细评估
该PoC针对广泛使用的H2数据库,并提供了明确的利用方法和可用的POC代码,可以直接执行任意命令,属于RCE漏洞。
CVE-2025-31324 - SAP Java应用漏洞扫描工具
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-31324 |
| 风险等级 | CRITICAL |
| 利用状态 | POC可用 |
| 发布时间 | 2025-05-08 00:00:00 |
| 最后更新 | 2025-05-08 14:36:39 |
📦 相关仓库
💡 分析概述
该仓库是一个用于评估CVE-2025-31324漏洞的工具。工具的主要功能包括:识别已知的IOC,扫描已知漏洞路径中的未知Web可执行文件,将可疑文件打包成ZIP压缩包,并生成报告。 此次更新主要改进了GitHub Actions工作流,实现了自动化构建、版本控制和发布流程。代码修改集中在.github/workflows/pyinstaller.yml和onapsis-mandiant-CVE-2025-31324-vuln-compromise-assessment.py文件,增加了对日志分析和报告输出,同时增加了版本号信息。该工具通过扫描SAP Java应用程序文件系统来检测潜在的漏洞利用和后渗透活动。漏洞利用的方式是通过对/developmentserver/metadatauploader的POST请求进行检测。该工具会检查HTTP访问日志中的可疑请求,识别潜在的攻击尝试,并对Web可执行文件进行访问检测,以评估潜在的后渗透活动。如果检测到已知IOC或可疑文件,则会生成警报。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 检测CVE-2025-31324漏洞利用尝试 |
| 2 | 分析HTTP访问日志,识别Webshell访问 |
| 3 | 自动化构建、版本控制和发布流程 |
| 4 | 提供详细的报告,包含IOC、可疑文件和日志分析结果 |
🛠️ 技术细节
工具扫描SAP Java应用程序文件系统,检查已知IOC和Web可执行文件。
通过分析HTTP访问日志,工具识别潜在的攻击尝试,包括对/developmentserver/metadatauploader的POST请求。
工具检测Webshell访问,并提供详细的报告,包括IOC、可疑文件和日志分析结果。
改进了GitHub Actions工作流,实现了自动化构建、版本控制和发布流程。
🎯 受影响组件
• SAP Java应用程序
⚡ 价值评估
展开查看详细评估
该工具针对CVE-2025-31324漏洞,提供了检测、分析和报告功能,包括对攻击尝试的检测以及对webshell的检测。由于漏洞影响SAP Java应用,可能导致远程代码执行,价值很高。
CVE-2025-12654 - AnyDesk远程桌面存在远程代码执行漏洞
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-12654 |
| 风险等级 | CRITICAL |
| 利用状态 | POC可用 |
| 发布时间 | 2025-05-08 00:00:00 |
| 最后更新 | 2025-05-08 17:56:22 |
📦 相关仓库
💡 分析概述
该漏洞利用框架已开发出针对AnyDesk的利用工具,能够实现远程代码执行。最新提交显示漏洞相关的利用代码已被提供,且修改记录显示在短时间内反复修正漏洞时间点,说明漏洞已被验证且具备利用可能。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 利用工具和POC已公开,具备实际利用条件 |
| 2 | 影响远程控制和系统安全,潜在导致远程代码执行 |
| 3 | 需要分析具体利用条件和组件版本以确认漏洞可用性 |
🛠️ 技术细节
漏洞原理推测为远程代码执行,通过特定请求或数据包触发远程命令执行
利用方法已在GitHub存有利用代码,需结合具体利用环境使用
修复方案待官方发布补丁,应及时更新软件版本以缓解风险
🎯 受影响组件
• AnyDesk远程桌面软件
💻 代码分析
分析 1:
提供的GitHub仓库含完整的利用代码,证明POC有效
分析 2:
代码质量应验证,但可被用于安全测试和验证
分析 3:
缺乏详细的测试用例,但有实际利用代码支持
⚡ 价值评估
展开查看详细评估
该漏洞影响广泛使用的远程办公软件,已开发出完整的利用代码,存在远程代码执行风险,具有高危害性和现实利用可能性。
免责声明
本文内容由 AI 自动生成,仅供参考和学习交流。文章中的观点和建议不代表作者立场,使用本文信息需自行承担风险和责任。