23 KiB
安全资讯日报 2025-05-07
本文由AI自动生成,基于对安全相关仓库、CVE和最新安全研究成果的自动化分析。
更新时间:2025-05-07 02:44:41
今日资讯
🔍 漏洞分析
- 支付漏洞实战
- 记一次诈骗网站渗透测试
- 新型webshell免杀 | 哥斯拉 Websocket型 webshell
- 基于 LNK 快捷方式获取Windows NTLM的 漏洞(无需运行,已复现!)
- Craft CMS generate-transform接口存在远程命令执行漏洞CVE-2025-32432 附POC
- 金和JC6协同管理平台 oaplusrangedownloadfile 任意文件下载漏洞
🔬 安全研究
- 安卓逆向 -- 某Video Pro版修改思路
- 利用Claude3.7调用kali进行渗透测试
- 开源情报—从入门到精通教程数字网络智能情报(二)
- Beacon连上了,人没回来 ——在这场“零误报”演练里,我们失去的,不止是告警
- RASP之内存马后渗透浅析
🎯 威胁情报
🛠️ 安全工具
- 开源应急响应工具 -- MaliciousCheck
- 最新Nessus2025.5.7版本主机漏洞扫描/探测工具Windows/Linux下载
- 渗透测试工具解放双手&Goby配合Awvs
- 开源日志平台GrayLog最新版本6.2.1的一键安装脚本
- AWS集群容器auditlog之falco
📚 最佳实践
- 详解SSH三种主流登录方式的安全之道
- 运维必备!10 个实战的 Shell 脚本编程,酷到封神?
- 云服务类型对比分析
- 数据脱敏:守护数据安全的 “易容术”
- CCSP备考经验分享 | CCSP注册云安全专家认证
- 安全开发: 驱动环境配置与第一个hello world
🍉 吃瓜新闻
- 网络安全行业,牛马们如何避免“内卷”!
- 亲测Bug!1秒白嫖Google $680 Gemini 高级会员全家桶!
- 我们网络安全大有前景!要好起来了!
- 中国最大的网络安全公司——中国电信
- 杭州,11-13k,应急响应和招投标双岗
- 网络安全真的那么好吗?
- 公网安20251846号文关于对网络安全等级保护有关工作事项进一步说明的函原文
- 公网安〔2025〕1846号文:第五级网络系统释疑浅谈
- 微软提醒 Windows 10 即将终止支持
- 智能法治论坛青年论坛
- 资讯安徽省政府印发《关于推动新兴产业“双招双引”和产业培育提质增效(2.0版)的意见》
安全分析
(2025-05-07)
本文档包含 AI 对安全相关内容的自动化分析结果。概览
CVE-2025-12654 - AnyDesk RCE漏洞分析
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-12654 |
| 风险等级 | CRITICAL |
| 利用状态 | 理论可行 |
| 发布时间 | 2025-05-06 00:00:00 |
| 最后更新 | 2025-05-06 16:38:07 |
📦 相关仓库
💡 分析概述
该仓库旨在构建 AnyDesk CVE-2025-12654 的 RCE 漏洞利用工具。仓库包含 README 文档、代码文件以及提交历史。 README 文件详细介绍了漏洞背景、利用方法和编译方法,并提供了项目链接和许可信息。最近的提交主要集中在更新 README.md 文件,增强了对漏洞的描述、使用说明和贡献指南。从提交历史来看,该项目正在积极开发中,虽然目前 Star 数量为 0,但该项目涉及 AnyDesk RCE 漏洞,具有较高的研究价值。根据描述,该漏洞可能允许攻击者执行任意代码,因此潜在危害非常大。
更新内容分析:
-
README.md 文件更新:
- 增加了关于 CVE-2025-12654 的描述,包括严重性、影响、缓解措施。增强了对 AnyDesk 漏洞的说明。
- 添加了安装步骤、使用方法和贡献指南。
- 明确了项目许可证为 MIT 许可证。
-
移除和修改文件:
- 删除了.github 目录下的 FUNDING.yml 和 main.yml 文件。删除工作流程文件,可能是为了简化项目。
- 修改了 AnyDesk 文件,修改了更新日期。
-
代码评估:
- 虽然目前没有 POC 或者 EXP 代码,但是根据仓库名称以及 README 文件的描述,可以推断该仓库后续会包含漏洞利用代码。
- 根据README中提供的编译和运行方法,可以推断项目有可操作性。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | AnyDesk 远程代码执行漏洞(CVE-2025-12654) |
| 2 | 潜在的RCE可能允许攻击者控制受影响的系统 |
| 3 | 仓库提供了漏洞利用的框架和工具 |
| 4 | 项目更新频繁,持续开发中 |
🛠️ 技术细节
漏洞原理:AnyDesk中的远程代码执行漏洞,允许攻击者执行任意代码。
利用方法:仓库可能提供漏洞利用代码或框架,具体利用方法需参考后续代码实现。
修复方案:及时更新AnyDesk到最新版本以修复漏洞。
🎯 受影响组件
• AnyDesk
⚡ 价值评估
展开查看详细评估
该漏洞为AnyDesk的RCE漏洞,可能导致远程代码执行,影响范围较广,具有较高的风险。虽然目前未发现完整的漏洞利用代码,但该仓库提供了POC开发的框架,且项目持续更新,存在较高的研究和利用价值。
CVE-2021-23017 - Nginx DNS溢出漏洞检测工具
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2021-23017 |
| 风险等级 | HIGH |
| 利用状态 | POC可用 |
| 发布时间 | 2025-05-06 00:00:00 |
| 最后更新 | 2025-05-06 16:36:42 |
📦 相关仓库
💡 分析概述
该仓库提供了一个针对CVE-2021-23017 Nginx DNS溢出漏洞的检测工具。仓库包含一个Python脚本CVE-2021-23017.py,用于检测Nginx服务器是否存在DNS溢出漏洞。该脚本通过构造一个包含恶意Host头的HTTP请求,如果目标服务器的Nginx配置了resolver,且存在漏洞,则可能会导致错误或在日志中产生错误。代码更新主要集中在添加PoC脚本和更新README.md文件。PoC代码相对简单,通过构造超长的Host头,触发Nginx DNS解析器的缓冲区溢出。该PoC不直接执行代码,仅用于被动检测漏洞。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 检测Nginx DNS溢出漏洞 |
| 2 | 提供PoC脚本进行漏洞验证 |
| 3 | PoC脚本通过构造恶意Host头触发漏洞 |
| 4 | PoC为被动检测,不直接执行代码 |
| 5 | 受影响Nginx版本未知 |
🛠️ 技术细节
漏洞原理:Nginx的DNS解析器存在缓冲区溢出漏洞。当处理恶意构造的DNS查询时,可能导致缓冲区溢出。
利用方法:PoC脚本构造一个包含超长Host头的HTTP请求,发送给目标Nginx服务器。如果服务器存在漏洞,且配置了resolver,则可能触发漏洞。
修复方案:升级到已修复的Nginx版本,或者禁用resolver。
🎯 受影响组件
• Nginx
⚡ 价值评估
展开查看详细评估
虽然PoC是检测性质,未直接执行代码。但是,该漏洞影响广泛使用的Nginx,并且提供了明确的利用方法,即构造恶意HTTP请求。这使得该漏洞具有较高的价值。
CVE-2025-32433 - Erlang SSH服务器pre-auth RCE
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-32433 |
| 风险等级 | CRITICAL |
| 利用状态 | 漏洞利用可用 |
| 发布时间 | 2025-05-06 00:00:00 |
| 最后更新 | 2025-05-06 16:28:13 |
📦 相关仓库
💡 分析概述
该仓库提供了针对CVE-2025-32433的PoC和受影响的Erlang SSH服务器环境。仓库包含以下文件:Dockerfile用于构建包含易受攻击的SSH服务器的Docker镜像;ssh_server.erl是Erlang SSH服务器的源代码,其中定义了密码验证函数,该函数目前设计为总是返回true,允许任何密码通过认证;CVE-2025-32433.py是Python编写的PoC,用于利用漏洞,通过发送构造的SSH消息,在pre-auth阶段执行任意命令;README.md提供了关于CVE-2025-32433的介绍和使用指南。
漏洞利用分析:
- 漏洞类型:pre-auth远程代码执行 (RCE)。
- 利用方法:PoC通过发送精心构造的SSH握手消息绕过身份验证,并在未授权的情况下执行任意Erlang代码,例如在目标服务器上创建文件。
- PoC代码分析:PoC代码质量良好,结构清晰,注释详细,易于理解和复现。它实现了SSH协议的关键部分,包括密钥交换和通道请求,能够成功利用漏洞。PoC包含以下步骤:
- 建立与SSH服务器的连接。
- 发送SSH banner。
- 发送KEXINIT消息。
- 发送CHANNEL_OPEN消息。
- 发送CHANNEL_REQUEST消息,其中包含要在服务器上执行的Erlang代码。
- 代码变更分析:最近的提交主要集中在构建PoC、Dockerfile用于创建易受攻击的环境、以及对README文件的更新。
- 测试用例:PoC代码本身即可视为有效的测试用例,因为它验证了漏洞的可利用性。通过运行PoC,攻击者可以在目标服务器上执行命令,验证漏洞的存在。
- Merge pull request #2 from ProDefense/martinsk-patch-1:修复无效登录(用于实验室,而不是PoC),这表明最初的设计意图是使 pwdfun 永远返回 true,以绕过 SSH 认证。
- Changes to make sure this tests what you want it to test:pwdfun 更改为返回 false,为了模拟攻击失败的情况,为了测试环境的目的。 但是该漏洞是由于在认证前就可执行命令导致的。
- Create README.md:创建README文档,说明PoC相关信息。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | Erlang SSH服务器存在pre-auth RCE漏洞 |
| 2 | PoC利用SSH握手消息绕过身份验证 |
| 3 | PoC能够执行任意Erlang代码 |
| 4 | PoC代码质量高,易于复现 |
| 5 | 受影响版本为使用该漏洞的Erlang SSH服务器 |
🛠️ 技术细节
漏洞原理:Erlang SSH服务器在身份验证流程中存在漏洞,攻击者可以通过发送精心构造的SSH消息,在未授权的情况下执行任意Erlang代码。
利用方法:PoC构造了SSH消息,利用CHANNEL_REQUEST请求在pre-auth阶段执行任意命令。例如,创建/lab.txt文件并写入'pwned'。
修复方案:修复该漏洞需要在Erlang SSH服务器的身份验证流程中进行正确的身份验证,并限制在认证前可以执行的操作。
🎯 受影响组件
• Erlang SSH服务器
⚡ 价值评估
展开查看详细评估
该漏洞允许攻击者在未授权的情况下执行任意代码,风险极高。PoC已公开,验证了漏洞的可利用性。
CVE-2024-25600 - WordPress Bricks Builder RCE漏洞
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2024-25600 |
| 风险等级 | CRITICAL |
| 利用状态 | 漏洞利用可用 |
| 发布时间 | 2025-05-06 00:00:00 |
| 最后更新 | 2025-05-06 16:16:24 |
📦 相关仓库
💡 分析概述
该仓库提供了针对WordPress Bricks Builder插件的CVE-2024-25600漏洞的利用代码。整体来看,仓库包含了一个Python脚本,用于检测Bricks Builder插件的RCE漏洞,并提供交互式shell。作者是so1icitx。仓库中README文件详细介绍了漏洞、利用方法、使用说明以及免责声明等信息,代码实现了获取nonce、发送恶意请求、解析响应和提供交互式shell等功能。具体而言,该漏洞存在于Bricks Builder插件的/wp-json/bricks/v1/render_element端点,攻击者可以构造恶意请求,执行任意PHP代码。最近的更新包括修改README文件,对利用方式进行更详细的说明,并优化了代码。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 未授权RCE漏洞,影响Bricks Builder插件 |
| 2 | 提供交互式shell,方便执行任意命令 |
| 3 | POC代码已发布,验证漏洞可行性 |
| 4 | 漏洞影响版本:Bricks Builder <= 1.9.6 |
| 5 | 易于利用,危害性高 |
🛠️ 技术细节
漏洞原理:Bricks Builder插件的
/wp-json/bricks/v1/render_element端点存在漏洞,攻击者构造恶意请求,注入恶意PHP代码。
利用方法:通过POST请求构造恶意数据包,触发漏洞,执行任意命令。
修复方案:升级Bricks Builder插件到1.9.6以上版本。
🎯 受影响组件
• Bricks Builder插件
• WordPress
⚡ 价值评估
展开查看详细评估
该漏洞为未授权RCE,可以直接执行任意代码,危害程度极高,且已有可用的POC。
CVE-2025-0411 - 7-Zip MotW绕过漏洞(CVE-2025-0411)
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-0411 |
| 风险等级 | HIGH |
| 利用状态 | POC可用 |
| 发布时间 | 2025-05-06 00:00:00 |
| 最后更新 | 2025-05-06 16:03:51 |
📦 相关仓库
💡 分析概述
该仓库提供了CVE-2025-0411漏洞的POC,该漏洞允许绕过7-Zip的Mark-of-the-Web (MotW)保护机制。 仓库主要包含POC场景,演示了如何通过构造恶意压缩文件来绕过安全防护,导致用户在解压文件时执行任意代码。 最新提交修改了README.md,更新了仓库的描述和链接,修复了CVE链接错误。 漏洞利用方式为:构造恶意压缩文件,诱导用户下载并解压,绕过MotW防护,进而执行恶意代码。 仓库提供了POC,证明了漏洞的可利用性,并给出了修复方案。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 7-Zip MotW绕过漏洞 |
| 2 | 可利用性:POC已提供 |
| 3 | 攻击者可通过恶意压缩包执行任意代码 |
| 4 | 影响版本:7-Zip 24.09之前版本 |
| 5 | 用户交互:需要用户解压恶意文件 |
🛠️ 技术细节
漏洞原理:7-Zip在处理压缩文件时未正确传播MotW标记,导致绕过安全机制。
利用方法:构造双重压缩的恶意7z文件,诱使用户解压,从而绕过MotW保护,执行恶意代码。
修复方案:升级到7-Zip 24.09或更高版本,避免打开未知来源的压缩文件。
POC实现:仓库提供了POC,展示了通过双重压缩绕过MotW并执行calc.exe的过程。
🎯 受影响组件
• 7-Zip
⚡ 价值评估
展开查看详细评估
该漏洞影响广泛使用的7-Zip软件,且存在POC,表明漏洞可被利用。 漏洞可导致远程代码执行,危害严重。
CVE-2025-31324 - SAP Web 应用程序 Webshell
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-31324 |
| 风险等级 | CRITICAL |
| 利用状态 | 漏洞利用可用 |
| 发布时间 | 2025-05-06 00:00:00 |
| 最后更新 | 2025-05-06 18:32:06 |
📦 相关仓库
💡 分析概述
该漏洞与 SAP 应用程序中 Webshell 的存在和检测有关。GitHub 仓库提供了一个扫描工具,用于检测潜在的 Webshell 文件。 仓库更新包括已知 Webshell 列表的扩展,增加了更多变体,包括大小写变体和隐藏文件。 漏洞的利用方式为攻击者上传或植入恶意 Webshell,从而获得对 SAP 系统的控制权。 由于描述中提及了活跃的漏洞利用行为,并且已知webshell被用于恶意目的,因此该漏洞具有较高的风险。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | SAP 系统中的 Webshell 漏洞 |
| 2 | 影响 SAP 应用程序,尤其是Web服务器 |
| 3 | 攻击者可以利用 Webshell 执行任意代码 |
| 4 | 工具可用于检测潜在webshell |
🛠️ 技术细节
漏洞原理:攻击者上传恶意 JSP 文件(Webshell),JSP 文件允许执行任意代码。
利用方法:攻击者上传 Webshell 后,通过 Web 浏览器访问该 Webshell,从而执行任意命令。
修复方案:检测并删除恶意 Webshell 文件,并加强 SAP 应用程序的安全性。
🎯 受影响组件
• SAP 应用程序
• SAP NetWeaver Application Server Java
⚡ 价值评估
展开查看详细评估
由于涉及 SAP 系统,且已知存在活跃的漏洞利用,该漏洞具有极高的价值。 远程代码执行(RCE),且有具体的利用方法
CVE-2025-34028 - Commvault Command Center RCE PoC
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-34028 |
| 风险等级 | CRITICAL |
| 利用状态 | POC可用 |
| 发布时间 | 2025-05-06 00:00:00 |
| 最后更新 | 2025-05-06 18:14:29 |
📦 相关仓库
💡 分析概述
该仓库提供CVE-2025-34028漏洞的PoC代码。代码是一个Python脚本,用于扫描Commvault Command Center,上传恶意文件,最终实现远程代码执行。更新内容包括核心的PoC脚本、依赖文件(requirements.txt) 和基本的README。PoC脚本核心功能:1. 验证 Commvault 的存在。2. 上传 shell 文件。3. 通过 shell 文件获取系统用户。漏洞利用方式:PoC 通过构造上传请求,将包含jsp shell的压缩文件上传到 Commvault Command Center 的特定目录。随后,PoC脚本访问shell,从而获取系统权限,实现远程代码执行。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | Commvault Command Center 远程代码执行漏洞 |
| 2 | 提供Python PoC,可直接利用 |
| 3 | 漏洞影响范围明确,影响关键基础设施 |
| 4 | PoC实现了文件上传和命令执行 |
🛠️ 技术细节
漏洞原理: Commvault Command Center 存在远程代码执行漏洞,PoC 利用了 Commvault 部署服务的接口,通过构造恶意的上传请求,上传包含jsp shell的压缩文件到服务器,进而执行任意代码。
利用方法: 运行 Python PoC 脚本,指定目标 Commvault Command Center 的 URL,PoC 会尝试上传恶意 shell,并尝试访问 shell 验证是否成功执行。
修复方案:及时更新 Commvault Command Center 至安全版本,禁用或限制部署服务的访问权限。
🎯 受影响组件
• Commvault Command Center
⚡ 价值评估
展开查看详细评估
该漏洞影响广泛使用的商业软件,且提供了可用的PoC,可以直接用于漏洞验证和攻击。该漏洞可导致远程代码执行,属于高危漏洞。
免责声明
本文内容由 AI 自动生成,仅供参考和学习交流。文章中的观点和建议不代表作者立场,使用本文信息需自行承担风险和责任。