mirror of
https://github.com/Hxnxe/CyberSentinel-AI.git
synced 2025-11-04 17:13:53 +00:00
491 lines
23 KiB
Markdown
491 lines
23 KiB
Markdown
|
||
# 安全资讯日报 2025-05-07
|
||
|
||
> 本文由AI自动生成,基于对安全相关仓库、CVE和最新安全研究成果的自动化分析。
|
||
>
|
||
> 更新时间:2025-05-07 02:44:41
|
||
|
||
<!-- more -->
|
||
|
||
## 今日资讯
|
||
|
||
### 🔍 漏洞分析
|
||
|
||
* [支付漏洞实战](https://mp.weixin.qq.com/s?__biz=MzkxMjg3NzU0Mg==&mid=2247485528&idx=1&sn=be29d63f30cca17dc28989aedb0ef043)
|
||
* [记一次诈骗网站渗透测试](https://mp.weixin.qq.com/s?__biz=MzU3NzY3MzYzMw==&mid=2247499785&idx=1&sn=5eeb3cfb9155f2bba0838e287c67aa68)
|
||
* [新型webshell免杀 | 哥斯拉 Websocket型 webshell](https://mp.weixin.qq.com/s?__biz=MzkwNjczOTQwOA==&mid=2247494560&idx=1&sn=3624e3dfb9098d403cbfdd08be01da15)
|
||
* [基于 LNK 快捷方式获取Windows NTLM的 漏洞(无需运行,已复现!)](https://mp.weixin.qq.com/s?__biz=Mzk0MzY3MDE5Mg==&mid=2247484222&idx=1&sn=513666d7126d02a4b8bdeb0e966ddf3c)
|
||
* [Craft CMS generate-transform接口存在远程命令执行漏洞CVE-2025-32432 附POC](https://mp.weixin.qq.com/s?__biz=MzIxMjEzMDkyMA==&mid=2247488445&idx=1&sn=e9e238c8521aec39f247c6cfbfaf041f)
|
||
* [金和JC6协同管理平台 oaplusrangedownloadfile 任意文件下载漏洞](https://mp.weixin.qq.com/s?__biz=MzkzNzMxODkzMw==&mid=2247485773&idx=1&sn=e57e9c5f49b3dd80fbb694ec5e14250b)
|
||
|
||
### 🔬 安全研究
|
||
|
||
* [安卓逆向 -- 某Video Pro版修改思路](https://mp.weixin.qq.com/s?__biz=MzA4MzgzNTU5MA==&mid=2652038724&idx=1&sn=01d35a4f8a74658d5d97ba7577f20e79)
|
||
* [利用Claude3.7调用kali进行渗透测试](https://mp.weixin.qq.com/s?__biz=MjM5NDcxMDQzNA==&mid=2247489632&idx=1&sn=f54a54b3d26f3a5da15f78302ada7a15)
|
||
* [开源情报—从入门到精通教程数字网络智能情报(二)](https://mp.weixin.qq.com/s?__biz=MzkxMTA3MDk3NA==&mid=2247487623&idx=1&sn=dba14867d7cce0039ef32412bfcac0bb)
|
||
* [Beacon连上了,人没回来 ——在这场“零误报”演练里,我们失去的,不止是告警](https://mp.weixin.qq.com/s?__biz=Mzg4NzgzMjUzOA==&mid=2247485772&idx=1&sn=92451f42163d51bf7722704889aa551c)
|
||
* [RASP之内存马后渗透浅析](https://mp.weixin.qq.com/s?__biz=MzU2NDY2OTU4Nw==&mid=2247520364&idx=1&sn=933e2c7b4ab22d44c869448dbb48f272)
|
||
|
||
### 🎯 威胁情报
|
||
|
||
* [美国一家工业技术公司 Sensata Technologies 遭受勒索软件攻击,运营受到影响](https://mp.weixin.qq.com/s?__biz=Mzg3ODY0NTczMA==&mid=2247492771&idx=1&sn=ebc3f7b64bbc5f5023643bdcf937c452)
|
||
* [钓鱼情报看紧你的钱包](https://mp.weixin.qq.com/s?__biz=MzkzNTQzNTI4Ng==&mid=2247484177&idx=1&sn=c3a5edf11f1d88fade0faf08c5c84f89)
|
||
* [网络犯罪团伙如何用USDT跑分:揭秘链上洗钱新手法](https://mp.weixin.qq.com/s?__biz=MzI3NzM5NDA0NA==&mid=2247491237&idx=1&sn=62a312271d0db59b8615836d920f365f)
|
||
|
||
### 🛠️ 安全工具
|
||
|
||
* [开源应急响应工具 -- MaliciousCheck](https://mp.weixin.qq.com/s?__biz=MzI4MDQ5MjY1Mg==&mid=2247516578&idx=1&sn=acebebb391f27e083899c06b5ec2958d)
|
||
* [最新Nessus2025.5.7版本主机漏洞扫描/探测工具Windows/Linux下载](https://mp.weixin.qq.com/s?__biz=Mzg3ODE2MjkxMQ==&mid=2247491238&idx=1&sn=172270b5a7a5a9b0072cdfa4fa8fb57a)
|
||
* [渗透测试工具解放双手&Goby配合Awvs](https://mp.weixin.qq.com/s?__biz=Mzk1Nzk3MjA5Ng==&mid=2247485166&idx=1&sn=9f7932a6f3bd358065e2f327912f421a)
|
||
* [开源日志平台GrayLog最新版本6.2.1的一键安装脚本](https://mp.weixin.qq.com/s?__biz=MzU2MjU1OTE0MA==&mid=2247499855&idx=1&sn=be038179072c50e18470a052bde6e448)
|
||
* [AWS集群容器auditlog之falco](https://mp.weixin.qq.com/s?__biz=Mzg2MjU2MjY4Mw==&mid=2247484973&idx=1&sn=438d195894a75b9fde61aa378757b756)
|
||
|
||
### 📚 最佳实践
|
||
|
||
* [详解SSH三种主流登录方式的安全之道](https://mp.weixin.qq.com/s?__biz=MzkyMTYyOTQ5NA==&mid=2247487086&idx=1&sn=99548c32c2e542dff8e00c0d463fc740)
|
||
* [运维必备!10 个实战的 Shell 脚本编程,酷到封神?](https://mp.weixin.qq.com/s?__biz=Mzg2NDYwMDA1NA==&mid=2247544832&idx=1&sn=a1519e16ca4e461a7c6e80bc7c06ce1e)
|
||
* [云服务类型对比分析](https://mp.weixin.qq.com/s?__biz=Mzg3NTUzOTg3NA==&mid=2247515637&idx=1&sn=8738303ce70accc7405ba64b49b1661a)
|
||
* [数据脱敏:守护数据安全的 “易容术”](https://mp.weixin.qq.com/s?__biz=Mzg2NTkwODU3Ng==&mid=2247515324&idx=1&sn=6b232f0cfc12bb759ece5156a45714dd)
|
||
* [CCSP备考经验分享 | CCSP注册云安全专家认证](https://mp.weixin.qq.com/s?__biz=MzI3NzM5NDA0NA==&mid=2247491237&idx=2&sn=eebbd3284a63498c687953db83b01ac5)
|
||
* [安全开发: 驱动环境配置与第一个hello world](https://mp.weixin.qq.com/s?__biz=MzkyOTc0NDY2Nw==&mid=2247484970&idx=1&sn=86ae126a52ce44e9f08081b05a55c956)
|
||
|
||
### 🍉 吃瓜新闻
|
||
|
||
* [网络安全行业,牛马们如何避免“内卷”!](https://mp.weixin.qq.com/s?__biz=MzUzNjkxODE5MA==&mid=2247490505&idx=1&sn=02ab41ad074eef267bb871ff55a704b3)
|
||
* [亲测Bug!1秒白嫖Google $680 Gemini 高级会员全家桶!](https://mp.weixin.qq.com/s?__biz=MzkwODI1ODgzOA==&mid=2247506975&idx=1&sn=614793425c7e8cd872824122d016b98c)
|
||
* [我们网络安全大有前景!要好起来了!](https://mp.weixin.qq.com/s?__biz=MzI1Mjc3NTUwMQ==&mid=2247539431&idx=1&sn=1382d95d03be3fe3dad3696ebee9f845)
|
||
* [中国最大的网络安全公司——中国电信](https://mp.weixin.qq.com/s?__biz=Mzk1NzIyODg2OQ==&mid=2247484507&idx=1&sn=2d743868c06c2242ca1bc343dec5be59)
|
||
* [杭州,11-13k,应急响应和招投标双岗](https://mp.weixin.qq.com/s?__biz=Mzg5OTg1MDk0Mw==&mid=2247485561&idx=1&sn=6374f6585e1509aae84d561fa6efd7ca)
|
||
* [网络安全真的那么好吗?](https://mp.weixin.qq.com/s?__biz=MzkwMTU2NzMwOQ==&mid=2247485110&idx=1&sn=e2d28c7a8063df510ad5627cb6eca784)
|
||
* [公网安20251846号文关于对网络安全等级保护有关工作事项进一步说明的函原文](https://mp.weixin.qq.com/s?__biz=MzU1ODM1Njc1Ng==&mid=2247498306&idx=1&sn=c5a2c1e60aca87f3f21f0f1ae7b2bb5b)
|
||
* [公网安〔2025〕1846号文:第五级网络系统释疑浅谈](https://mp.weixin.qq.com/s?__biz=MzA5MzU5MzQzMA==&mid=2652115603&idx=1&sn=a00087aec59a1a6d96b93c281402ff79)
|
||
* [微软提醒 Windows 10 即将终止支持](https://mp.weixin.qq.com/s?__biz=MzA5MzU5MzQzMA==&mid=2652115603&idx=2&sn=904682b131270bccb4fbea78bb626479)
|
||
* [智能法治论坛青年论坛](https://mp.weixin.qq.com/s?__biz=MzU1NDY3NDgwMQ==&mid=2247552229&idx=1&sn=661284ed11ef2fbd8ce8f20f383e786e)
|
||
* [资讯安徽省政府印发《关于推动新兴产业“双招双引”和产业培育提质增效(2.0版)的意见》](https://mp.weixin.qq.com/s?__biz=MzU1NDY3NDgwMQ==&mid=2247552229&idx=2&sn=a0315b7d4dac65bd2aef2e21e256df6f)
|
||
|
||
## 安全分析
|
||
(2025-05-07)
|
||
|
||
本文档包含 AI 对安全相关内容的自动化分析结果。[概览](https://blog.897010.xyz/c/today)
|
||
|
||
|
||
### CVE-2025-12654 - AnyDesk RCE漏洞分析
|
||
|
||
#### 📌 漏洞信息
|
||
|
||
| 属性 | 详情 |
|
||
|------|------|
|
||
| CVE编号 | CVE-2025-12654 |
|
||
| 风险等级 | `CRITICAL` |
|
||
| 利用状态 | `理论可行` |
|
||
| 发布时间 | 2025-05-06 00:00:00 |
|
||
| 最后更新 | 2025-05-06 16:38:07 |
|
||
|
||
#### 📦 相关仓库
|
||
|
||
- [Anydesk-Exploit-CVE-2025-12654-RCE-Builder](https://github.com/Subha-coder-hash/Anydesk-Exploit-CVE-2025-12654-RCE-Builder)
|
||
|
||
#### 💡 分析概述
|
||
|
||
该仓库旨在构建 AnyDesk CVE-2025-12654 的 RCE 漏洞利用工具。仓库包含 README 文档、代码文件以及提交历史。 README 文件详细介绍了漏洞背景、利用方法和编译方法,并提供了项目链接和许可信息。最近的提交主要集中在更新 README.md 文件,增强了对漏洞的描述、使用说明和贡献指南。从提交历史来看,该项目正在积极开发中,虽然目前 Star 数量为 0,但该项目涉及 AnyDesk RCE 漏洞,具有较高的研究价值。根据描述,该漏洞可能允许攻击者执行任意代码,因此潜在危害非常大。
|
||
|
||
更新内容分析:
|
||
|
||
1. README.md 文件更新:
|
||
* 增加了关于 CVE-2025-12654 的描述,包括严重性、影响、缓解措施。增强了对 AnyDesk 漏洞的说明。
|
||
* 添加了安装步骤、使用方法和贡献指南。
|
||
* 明确了项目许可证为 MIT 许可证。
|
||
|
||
2. 移除和修改文件:
|
||
* 删除了.github 目录下的 FUNDING.yml 和 main.yml 文件。删除工作流程文件,可能是为了简化项目。
|
||
* 修改了 AnyDesk 文件,修改了更新日期。
|
||
|
||
3. 代码评估:
|
||
* 虽然目前没有 POC 或者 EXP 代码,但是根据仓库名称以及 README 文件的描述,可以推断该仓库后续会包含漏洞利用代码。
|
||
* 根据README中提供的编译和运行方法,可以推断项目有可操作性。
|
||
|
||
#### 🔍 关键发现
|
||
|
||
| 序号 | 发现内容 |
|
||
|------|----------|
|
||
| 1 | AnyDesk 远程代码执行漏洞(CVE-2025-12654) |
|
||
| 2 | 潜在的RCE可能允许攻击者控制受影响的系统 |
|
||
| 3 | 仓库提供了漏洞利用的框架和工具 |
|
||
| 4 | 项目更新频繁,持续开发中 |
|
||
|
||
#### 🛠️ 技术细节
|
||
|
||
> 漏洞原理:AnyDesk中的远程代码执行漏洞,允许攻击者执行任意代码。
|
||
|
||
> 利用方法:仓库可能提供漏洞利用代码或框架,具体利用方法需参考后续代码实现。
|
||
|
||
> 修复方案:及时更新AnyDesk到最新版本以修复漏洞。
|
||
|
||
|
||
#### 🎯 受影响组件
|
||
|
||
```
|
||
• AnyDesk
|
||
```
|
||
|
||
#### ⚡ 价值评估
|
||
|
||
<details>
|
||
<summary>展开查看详细评估</summary>
|
||
|
||
该漏洞为AnyDesk的RCE漏洞,可能导致远程代码执行,影响范围较广,具有较高的风险。虽然目前未发现完整的漏洞利用代码,但该仓库提供了POC开发的框架,且项目持续更新,存在较高的研究和利用价值。
|
||
</details>
|
||
|
||
---
|
||
|
||
### CVE-2021-23017 - Nginx DNS溢出漏洞检测工具
|
||
|
||
#### 📌 漏洞信息
|
||
|
||
| 属性 | 详情 |
|
||
|------|------|
|
||
| CVE编号 | CVE-2021-23017 |
|
||
| 风险等级 | `HIGH` |
|
||
| 利用状态 | `POC可用` |
|
||
| 发布时间 | 2025-05-06 00:00:00 |
|
||
| 最后更新 | 2025-05-06 16:36:42 |
|
||
|
||
#### 📦 相关仓库
|
||
|
||
- [CVE-2021-23017](https://github.com/moften/CVE-2021-23017)
|
||
|
||
#### 💡 分析概述
|
||
|
||
该仓库提供了一个针对CVE-2021-23017 Nginx DNS溢出漏洞的检测工具。仓库包含一个Python脚本`CVE-2021-23017.py`,用于检测Nginx服务器是否存在DNS溢出漏洞。该脚本通过构造一个包含恶意Host头的HTTP请求,如果目标服务器的Nginx配置了resolver,且存在漏洞,则可能会导致错误或在日志中产生错误。代码更新主要集中在添加PoC脚本和更新README.md文件。PoC代码相对简单,通过构造超长的Host头,触发Nginx DNS解析器的缓冲区溢出。该PoC不直接执行代码,仅用于被动检测漏洞。
|
||
|
||
#### 🔍 关键发现
|
||
|
||
| 序号 | 发现内容 |
|
||
|------|----------|
|
||
| 1 | 检测Nginx DNS溢出漏洞 |
|
||
| 2 | 提供PoC脚本进行漏洞验证 |
|
||
| 3 | PoC脚本通过构造恶意Host头触发漏洞 |
|
||
| 4 | PoC为被动检测,不直接执行代码 |
|
||
| 5 | 受影响Nginx版本未知 |
|
||
|
||
#### 🛠️ 技术细节
|
||
|
||
> 漏洞原理:Nginx的DNS解析器存在缓冲区溢出漏洞。当处理恶意构造的DNS查询时,可能导致缓冲区溢出。
|
||
|
||
> 利用方法:PoC脚本构造一个包含超长Host头的HTTP请求,发送给目标Nginx服务器。如果服务器存在漏洞,且配置了resolver,则可能触发漏洞。
|
||
|
||
> 修复方案:升级到已修复的Nginx版本,或者禁用resolver。
|
||
|
||
|
||
#### 🎯 受影响组件
|
||
|
||
```
|
||
• Nginx
|
||
```
|
||
|
||
#### ⚡ 价值评估
|
||
|
||
<details>
|
||
<summary>展开查看详细评估</summary>
|
||
|
||
虽然PoC是检测性质,未直接执行代码。但是,该漏洞影响广泛使用的Nginx,并且提供了明确的利用方法,即构造恶意HTTP请求。这使得该漏洞具有较高的价值。
|
||
</details>
|
||
|
||
---
|
||
|
||
### CVE-2025-32433 - Erlang SSH服务器pre-auth RCE
|
||
|
||
#### 📌 漏洞信息
|
||
|
||
| 属性 | 详情 |
|
||
|------|------|
|
||
| CVE编号 | CVE-2025-32433 |
|
||
| 风险等级 | `CRITICAL` |
|
||
| 利用状态 | `漏洞利用可用` |
|
||
| 发布时间 | 2025-05-06 00:00:00 |
|
||
| 最后更新 | 2025-05-06 16:28:13 |
|
||
|
||
#### 📦 相关仓库
|
||
|
||
- [CVE-2025-32433](https://github.com/rizky412/CVE-2025-32433)
|
||
|
||
#### 💡 分析概述
|
||
|
||
该仓库提供了针对CVE-2025-32433的PoC和受影响的Erlang SSH服务器环境。仓库包含以下文件:`Dockerfile`用于构建包含易受攻击的SSH服务器的Docker镜像;`ssh_server.erl`是Erlang SSH服务器的源代码,其中定义了密码验证函数,该函数目前设计为总是返回true,允许任何密码通过认证;`CVE-2025-32433.py`是Python编写的PoC,用于利用漏洞,通过发送构造的SSH消息,在pre-auth阶段执行任意命令;`README.md`提供了关于CVE-2025-32433的介绍和使用指南。
|
||
|
||
漏洞利用分析:
|
||
1. 漏洞类型:pre-auth远程代码执行 (RCE)。
|
||
2. 利用方法:PoC通过发送精心构造的SSH握手消息绕过身份验证,并在未授权的情况下执行任意Erlang代码,例如在目标服务器上创建文件。
|
||
3. PoC代码分析:PoC代码质量良好,结构清晰,注释详细,易于理解和复现。它实现了SSH协议的关键部分,包括密钥交换和通道请求,能够成功利用漏洞。PoC包含以下步骤:
|
||
* 建立与SSH服务器的连接。
|
||
* 发送SSH banner。
|
||
* 发送KEXINIT消息。
|
||
* 发送CHANNEL_OPEN消息。
|
||
* 发送CHANNEL_REQUEST消息,其中包含要在服务器上执行的Erlang代码。
|
||
4. 代码变更分析:最近的提交主要集中在构建PoC、Dockerfile用于创建易受攻击的环境、以及对README文件的更新。
|
||
5. 测试用例:PoC代码本身即可视为有效的测试用例,因为它验证了漏洞的可利用性。通过运行PoC,攻击者可以在目标服务器上执行命令,验证漏洞的存在。
|
||
6. Merge pull request #2 from ProDefense/martinsk-patch-1:修复无效登录(用于实验室,而不是PoC),这表明最初的设计意图是使 pwdfun 永远返回 true,以绕过 SSH 认证。
|
||
7. Changes to make sure this tests what you want it to test:pwdfun 更改为返回 false,为了模拟攻击失败的情况,为了测试环境的目的。 但是该漏洞是由于在认证前就可执行命令导致的。
|
||
8. Create README.md:创建README文档,说明PoC相关信息。
|
||
|
||
#### 🔍 关键发现
|
||
|
||
| 序号 | 发现内容 |
|
||
|------|----------|
|
||
| 1 | Erlang SSH服务器存在pre-auth RCE漏洞 |
|
||
| 2 | PoC利用SSH握手消息绕过身份验证 |
|
||
| 3 | PoC能够执行任意Erlang代码 |
|
||
| 4 | PoC代码质量高,易于复现 |
|
||
| 5 | 受影响版本为使用该漏洞的Erlang SSH服务器 |
|
||
|
||
#### 🛠️ 技术细节
|
||
|
||
> 漏洞原理:Erlang SSH服务器在身份验证流程中存在漏洞,攻击者可以通过发送精心构造的SSH消息,在未授权的情况下执行任意Erlang代码。
|
||
|
||
> 利用方法:PoC构造了SSH消息,利用CHANNEL_REQUEST请求在pre-auth阶段执行任意命令。例如,创建/lab.txt文件并写入'pwned'。
|
||
|
||
> 修复方案:修复该漏洞需要在Erlang SSH服务器的身份验证流程中进行正确的身份验证,并限制在认证前可以执行的操作。
|
||
|
||
|
||
#### 🎯 受影响组件
|
||
|
||
```
|
||
• Erlang SSH服务器
|
||
```
|
||
|
||
#### ⚡ 价值评估
|
||
|
||
<details>
|
||
<summary>展开查看详细评估</summary>
|
||
|
||
该漏洞允许攻击者在未授权的情况下执行任意代码,风险极高。PoC已公开,验证了漏洞的可利用性。
|
||
</details>
|
||
|
||
---
|
||
|
||
### CVE-2024-25600 - WordPress Bricks Builder RCE漏洞
|
||
|
||
#### 📌 漏洞信息
|
||
|
||
| 属性 | 详情 |
|
||
|------|------|
|
||
| CVE编号 | CVE-2024-25600 |
|
||
| 风险等级 | `CRITICAL` |
|
||
| 利用状态 | `漏洞利用可用` |
|
||
| 发布时间 | 2025-05-06 00:00:00 |
|
||
| 最后更新 | 2025-05-06 16:16:24 |
|
||
|
||
#### 📦 相关仓库
|
||
|
||
- [CVE-2024-25600](https://github.com/cboss43/CVE-2024-25600)
|
||
|
||
#### 💡 分析概述
|
||
|
||
该仓库提供了针对WordPress Bricks Builder插件的CVE-2024-25600漏洞的利用代码。整体来看,仓库包含了一个Python脚本,用于检测Bricks Builder插件的RCE漏洞,并提供交互式shell。作者是so1icitx。仓库中README文件详细介绍了漏洞、利用方法、使用说明以及免责声明等信息,代码实现了获取nonce、发送恶意请求、解析响应和提供交互式shell等功能。具体而言,该漏洞存在于Bricks Builder插件的`/wp-json/bricks/v1/render_element`端点,攻击者可以构造恶意请求,执行任意PHP代码。最近的更新包括修改README文件,对利用方式进行更详细的说明,并优化了代码。
|
||
|
||
#### 🔍 关键发现
|
||
|
||
| 序号 | 发现内容 |
|
||
|------|----------|
|
||
| 1 | 未授权RCE漏洞,影响Bricks Builder插件 |
|
||
| 2 | 提供交互式shell,方便执行任意命令 |
|
||
| 3 | POC代码已发布,验证漏洞可行性 |
|
||
| 4 | 漏洞影响版本:Bricks Builder <= 1.9.6 |
|
||
| 5 | 易于利用,危害性高 |
|
||
|
||
#### 🛠️ 技术细节
|
||
|
||
> 漏洞原理:Bricks Builder插件的`/wp-json/bricks/v1/render_element`端点存在漏洞,攻击者构造恶意请求,注入恶意PHP代码。
|
||
|
||
> 利用方法:通过POST请求构造恶意数据包,触发漏洞,执行任意命令。
|
||
|
||
> 修复方案:升级Bricks Builder插件到1.9.6以上版本。
|
||
|
||
|
||
#### 🎯 受影响组件
|
||
|
||
```
|
||
• Bricks Builder插件
|
||
• WordPress
|
||
```
|
||
|
||
#### ⚡ 价值评估
|
||
|
||
<details>
|
||
<summary>展开查看详细评估</summary>
|
||
|
||
该漏洞为未授权RCE,可以直接执行任意代码,危害程度极高,且已有可用的POC。
|
||
</details>
|
||
|
||
---
|
||
|
||
### CVE-2025-0411 - 7-Zip MotW绕过漏洞(CVE-2025-0411)
|
||
|
||
#### 📌 漏洞信息
|
||
|
||
| 属性 | 详情 |
|
||
|------|------|
|
||
| CVE编号 | CVE-2025-0411 |
|
||
| 风险等级 | `HIGH` |
|
||
| 利用状态 | `POC可用` |
|
||
| 发布时间 | 2025-05-06 00:00:00 |
|
||
| 最后更新 | 2025-05-06 16:03:51 |
|
||
|
||
#### 📦 相关仓库
|
||
|
||
- [7-Zip-CVE-2025-0411-POC](https://github.com/dpextreme/7-Zip-CVE-2025-0411-POC)
|
||
|
||
#### 💡 分析概述
|
||
|
||
该仓库提供了CVE-2025-0411漏洞的POC,该漏洞允许绕过7-Zip的Mark-of-the-Web (MotW)保护机制。 仓库主要包含POC场景,演示了如何通过构造恶意压缩文件来绕过安全防护,导致用户在解压文件时执行任意代码。 最新提交修改了README.md,更新了仓库的描述和链接,修复了CVE链接错误。 漏洞利用方式为:构造恶意压缩文件,诱导用户下载并解压,绕过MotW防护,进而执行恶意代码。 仓库提供了POC,证明了漏洞的可利用性,并给出了修复方案。
|
||
|
||
#### 🔍 关键发现
|
||
|
||
| 序号 | 发现内容 |
|
||
|------|----------|
|
||
| 1 | 7-Zip MotW绕过漏洞 |
|
||
| 2 | 可利用性:POC已提供 |
|
||
| 3 | 攻击者可通过恶意压缩包执行任意代码 |
|
||
| 4 | 影响版本:7-Zip 24.09之前版本 |
|
||
| 5 | 用户交互:需要用户解压恶意文件 |
|
||
|
||
#### 🛠️ 技术细节
|
||
|
||
> 漏洞原理:7-Zip在处理压缩文件时未正确传播MotW标记,导致绕过安全机制。
|
||
|
||
> 利用方法:构造双重压缩的恶意7z文件,诱使用户解压,从而绕过MotW保护,执行恶意代码。
|
||
|
||
> 修复方案:升级到7-Zip 24.09或更高版本,避免打开未知来源的压缩文件。
|
||
|
||
> POC实现:仓库提供了POC,展示了通过双重压缩绕过MotW并执行calc.exe的过程。
|
||
|
||
|
||
#### 🎯 受影响组件
|
||
|
||
```
|
||
• 7-Zip
|
||
```
|
||
|
||
#### ⚡ 价值评估
|
||
|
||
<details>
|
||
<summary>展开查看详细评估</summary>
|
||
|
||
该漏洞影响广泛使用的7-Zip软件,且存在POC,表明漏洞可被利用。 漏洞可导致远程代码执行,危害严重。
|
||
</details>
|
||
|
||
---
|
||
|
||
### CVE-2025-31324 - SAP Web 应用程序 Webshell
|
||
|
||
#### 📌 漏洞信息
|
||
|
||
| 属性 | 详情 |
|
||
|------|------|
|
||
| CVE编号 | CVE-2025-31324 |
|
||
| 风险等级 | `CRITICAL` |
|
||
| 利用状态 | `漏洞利用可用` |
|
||
| 发布时间 | 2025-05-06 00:00:00 |
|
||
| 最后更新 | 2025-05-06 18:32:06 |
|
||
|
||
#### 📦 相关仓库
|
||
|
||
- [Onapsis_CVE-2025-31324_Scanner_Tools](https://github.com/Onapsis/Onapsis_CVE-2025-31324_Scanner_Tools)
|
||
|
||
#### 💡 分析概述
|
||
|
||
该漏洞与 SAP 应用程序中 Webshell 的存在和检测有关。GitHub 仓库提供了一个扫描工具,用于检测潜在的 Webshell 文件。 仓库更新包括已知 Webshell 列表的扩展,增加了更多变体,包括大小写变体和隐藏文件。 漏洞的利用方式为攻击者上传或植入恶意 Webshell,从而获得对 SAP 系统的控制权。 由于描述中提及了活跃的漏洞利用行为,并且已知webshell被用于恶意目的,因此该漏洞具有较高的风险。
|
||
|
||
#### 🔍 关键发现
|
||
|
||
| 序号 | 发现内容 |
|
||
|------|----------|
|
||
| 1 | SAP 系统中的 Webshell 漏洞 |
|
||
| 2 | 影响 SAP 应用程序,尤其是Web服务器 |
|
||
| 3 | 攻击者可以利用 Webshell 执行任意代码 |
|
||
| 4 | 工具可用于检测潜在webshell |
|
||
|
||
#### 🛠️ 技术细节
|
||
|
||
> 漏洞原理:攻击者上传恶意 JSP 文件(Webshell),JSP 文件允许执行任意代码。
|
||
|
||
> 利用方法:攻击者上传 Webshell 后,通过 Web 浏览器访问该 Webshell,从而执行任意命令。
|
||
|
||
> 修复方案:检测并删除恶意 Webshell 文件,并加强 SAP 应用程序的安全性。
|
||
|
||
|
||
#### 🎯 受影响组件
|
||
|
||
```
|
||
• SAP 应用程序
|
||
• SAP NetWeaver Application Server Java
|
||
```
|
||
|
||
#### ⚡ 价值评估
|
||
|
||
<details>
|
||
<summary>展开查看详细评估</summary>
|
||
|
||
由于涉及 SAP 系统,且已知存在活跃的漏洞利用,该漏洞具有极高的价值。 远程代码执行(RCE),且有具体的利用方法
|
||
</details>
|
||
|
||
---
|
||
|
||
### CVE-2025-34028 - Commvault Command Center RCE PoC
|
||
|
||
#### 📌 漏洞信息
|
||
|
||
| 属性 | 详情 |
|
||
|------|------|
|
||
| CVE编号 | CVE-2025-34028 |
|
||
| 风险等级 | `CRITICAL` |
|
||
| 利用状态 | `POC可用` |
|
||
| 发布时间 | 2025-05-06 00:00:00 |
|
||
| 最后更新 | 2025-05-06 18:14:29 |
|
||
|
||
#### 📦 相关仓库
|
||
|
||
- [CVE-2025-34028-PoC-Commvault-RCE](https://github.com/Mattb709/CVE-2025-34028-PoC-Commvault-RCE)
|
||
|
||
#### 💡 分析概述
|
||
|
||
该仓库提供CVE-2025-34028漏洞的PoC代码。代码是一个Python脚本,用于扫描Commvault Command Center,上传恶意文件,最终实现远程代码执行。更新内容包括核心的PoC脚本、依赖文件(requirements.txt) 和基本的README。PoC脚本核心功能:1. 验证 Commvault 的存在。2. 上传 shell 文件。3. 通过 shell 文件获取系统用户。漏洞利用方式:PoC 通过构造上传请求,将包含jsp shell的压缩文件上传到 Commvault Command Center 的特定目录。随后,PoC脚本访问shell,从而获取系统权限,实现远程代码执行。
|
||
|
||
#### 🔍 关键发现
|
||
|
||
| 序号 | 发现内容 |
|
||
|------|----------|
|
||
| 1 | Commvault Command Center 远程代码执行漏洞 |
|
||
| 2 | 提供Python PoC,可直接利用 |
|
||
| 3 | 漏洞影响范围明确,影响关键基础设施 |
|
||
| 4 | PoC实现了文件上传和命令执行 |
|
||
|
||
#### 🛠️ 技术细节
|
||
|
||
> 漏洞原理: Commvault Command Center 存在远程代码执行漏洞,PoC 利用了 Commvault 部署服务的接口,通过构造恶意的上传请求,上传包含jsp shell的压缩文件到服务器,进而执行任意代码。
|
||
|
||
> 利用方法: 运行 Python PoC 脚本,指定目标 Commvault Command Center 的 URL,PoC 会尝试上传恶意 shell,并尝试访问 shell 验证是否成功执行。
|
||
|
||
> 修复方案:及时更新 Commvault Command Center 至安全版本,禁用或限制部署服务的访问权限。
|
||
|
||
|
||
#### 🎯 受影响组件
|
||
|
||
```
|
||
• Commvault Command Center
|
||
```
|
||
|
||
#### ⚡ 价值评估
|
||
|
||
<details>
|
||
<summary>展开查看详细评估</summary>
|
||
|
||
该漏洞影响广泛使用的商业软件,且提供了可用的PoC,可以直接用于漏洞验证和攻击。该漏洞可导致远程代码执行,属于高危漏洞。
|
||
</details>
|
||
|
||
---
|
||
|
||
|
||
## 免责声明
|
||
本文内容由 AI 自动生成,仅供参考和学习交流。文章中的观点和建议不代表作者立场,使用本文信息需自行承担风险和责任。
|