26 KiB
安全资讯日报 2025-06-20
本文由AI自动生成,基于对安全相关仓库、CVE和最新安全研究成果的自动化分析。
更新时间:2025-06-20 04:04:59
今日资讯
🔍 漏洞分析
- 关于漏洞“宝塔Linux面板存在任意命令执行”的说明
- Burp新利器解决请求包加密问题 CloudX自动化解密AES、SM4、DES等加密方式的接口|漏洞探测
- CVE-2025-48957 AstrBot get_file接口存在任意文件读取漏洞
- GeoServer TestWFSpost 存在SSRF漏洞CVE-2024-29198 附POC
- DLL 注入术(四):狸猫换太子——DLL 劫持的“白加黑”策略
- Linux 内核 OverlayFS 漏洞 CVE-2023-0386 被利用来提升 Root 权限
- 使用分支对抗进行webshell bypass
🔬 安全研究
🎯 威胁情报
🛠️ 安全工具
- 吾爱大佬出品文件粉碎工具,杜绝泄漏,支持单文件,文件夹,磁盘擦除,右键菜单!
- 渗透测试 | BurpSuite+MitmProxy 自动计算 Sign
- 免杀 | 过360核晶、火绒、defender上线CS、运行mimikatz的万能加载器XlAnyLoader 1.5正式发布!
📚 最佳实践
🍉 吃瓜新闻
- 分享图片
- 辽宁三家银行被罚款均超百万,其中涉及网络和数据安全管理
- 交通银行辽宁省分行因多项违规被罚116万元,其中含网络和数据安全管理
- 聊聊网络安全行业里的一所“黄埔军校” 大专院校出了个王炸!今年高考落榜就来这!
- 聊天吹水群人数满200了,需要进群的加我好友备注一下
- 竞争力百强 | 爱加密入选《新质・中国数字安全百强(2025)》
📌 其他
安全分析
(2025-06-20)
本文档包含 AI 对安全相关内容的自动化分析结果。概览
CVE-2025-44228 - Office文档RCE漏洞,利用构建工具
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-44228 |
| 风险等级 | HIGH |
| 利用状态 | 理论可行 |
| 发布时间 | 2025-06-19 00:00:00 |
| 最后更新 | 2025-06-19 15:58:27 |
📦 相关仓库
💡 分析概述
该CVE描述了针对Office文档的漏洞利用,特别是针对CVE-2025-44228。该仓库可能是一个利用漏洞的构建工具,用于生成恶意Office文档,例如DOC文件,以实现远程代码执行(RCE)。仓库的更新日志显示了作者在持续更新,但具体更新内容仅为更新时间戳。从提交信息来看,仓库可能正处于开发或维护阶段。由于描述提及了Office 365等平台,表明潜在影响范围广泛。考虑到利用Office文档进行攻击的常见性和潜在的RCE能力,该漏洞具有较高的风险。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 针对Office文档的RCE漏洞 |
| 2 | 利用恶意Office文档进行攻击 |
| 3 | 潜在影响Office 365等平台 |
| 4 | 仓库可能包含漏洞构建工具 |
🛠️ 技术细节
漏洞利用目标是CVE-2025-44228相关漏洞。
利用Silent Exploit Builder等工具
通过恶意载荷和CVE漏洞利用Office文档,包括DOC文件等。
🎯 受影响组件
• Office 365
• Office文档处理程序(如Word)
⚡ 价值评估
展开查看详细评估
由于涉及RCE利用,且针对广泛使用的Office文档,具有潜在的危害。 仓库信息暗示可能存在POC或EXP,即使信息有限,但潜在影响重大。
CVE-2025-33073 - NTLM反射SMB漏洞PoC
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-33073 |
| 风险等级 | HIGH |
| 利用状态 | 漏洞利用可用 |
| 发布时间 | 2025-06-19 00:00:00 |
| 最后更新 | 2025-06-19 14:59:48 |
📦 相关仓库
💡 分析概述
该仓库提供了一个针对CVE-2025-33073 NTLM反射SMB漏洞的PoC(Proof of Concept)利用代码。仓库包含了利用该漏洞的python脚本。 仓库最新更新主要在README.md中增加了对SOCKS选项的介绍和使用方法,并完善了GUI和CLI的调用示例。漏洞利用方法是通过SMB协议中的NTLM反射机制,攻击者可以利用伪造的请求,诱导目标机器向攻击者的机器进行NTLM认证,从而窃取凭证或执行命令。该PoC演示了如何使用impacket-ntlmrelayx工具进行攻击,并提供了GUI和CLI两种模式。漏洞利用需要配置攻击者IP、DNS IP、目标机器等信息。 根据文档分析,漏洞影响Windows Server 2019、2016、2012 R2、2008 R2以及Windows 10 (up to 21H2)版本。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 利用NTLM反射SMB漏洞进行攻击 |
| 2 | 提供PoC代码和详细的利用步骤 |
| 3 | 影响多种Windows Server和Windows 10版本 |
| 4 | 可导致未授权访问和命令执行 |
🛠️ 技术细节
漏洞原理:利用SMB协议中的NTLM反射机制,诱导目标机器进行NTLM认证。
利用方法:使用impacket-ntlmrelayx工具,配置目标IP、攻击者IP等参数,触发漏洞。
修复方案:微软官方已发布补丁,用户应及时更新系统,同时限制NTLM的使用。
🎯 受影响组件
• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2
• Windows Server 2008 R2
• Windows 10 (up to 21H2)
⚡ 价值评估
展开查看详细评估
该漏洞涉及远程代码执行和权限提升,且具有明确的利用方法和PoC代码,对企业网络安全构成严重威胁。
CVE-2025-31258 - macOS沙箱逃逸PoC
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-31258 |
| 风险等级 | HIGH |
| 利用状态 | POC可用 |
| 发布时间 | 2025-06-19 00:00:00 |
| 最后更新 | 2025-06-19 14:27:19 |
📦 相关仓库
💡 分析概述
该仓库是一个针对macOS沙箱逃逸漏洞(CVE-2025-31258)的PoC项目。 仓库包含了Xcode项目文件,用于演示如何通过RemoteViewServices实现部分沙箱逃逸。最初提交创建了Xcode项目,包括AppDelegate、ViewController等文件,以及基本的项目配置。最新的提交(BODE987)更新了README.md文件,增加了项目概述、安装、使用说明、漏洞细节等内容,更详细地描述了PoC的用途和技术细节,特别是说明了RemoteViewServices框架在沙箱逃逸中的作用,并给出了攻击向量和缓解策略。PoC利用了RemoteViewServices框架的潜在漏洞,攻击者可以构造恶意消息或操纵数据流来绕过安全检查。该漏洞影响macOS 10.15到11.5版本。PoC通过调用PBOXDuplicateRequest函数尝试复制文件,实现了沙箱逃逸。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 利用RemoteViewServices框架进行沙箱逃逸 |
| 2 | 影响macOS 10.15至11.5版本 |
| 3 | PoC提供部分沙箱逃逸的实现 |
| 4 | 通过复制文件实现沙箱逃逸 |
🛠️ 技术细节
漏洞利用了RemoteViewServices框架,允许应用程序跨进程共享视图和数据,为攻击者创造了攻击途径
攻击者可以构造恶意消息或操作数据流来绕过安全检查
PoC通过调用PBOXDuplicateRequest函数尝试复制文件,从而实现部分沙箱逃逸
PoC需要用户手动选择Documents目录以获取读取权限,增加了利用的复杂性
🎯 受影响组件
• macOS
• RemoteViewServices框架
⚡ 价值评估
展开查看详细评估
该PoC针对macOS沙箱逃逸,属于高危漏洞。PoC提供了可运行的程序,演示了如何利用RemoteViewServices框架进行沙箱逃逸。虽然是部分逃逸,但提供了具体的利用方法和漏洞细节,具有较高的研究价值。
CVE-2024-3094 - xz-utils后门漏洞,RCE
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2024-3094 |
| 风险等级 | CRITICAL |
| 利用状态 | 漏洞利用可用 |
| 发布时间 | 2025-06-19 00:00:00 |
| 最后更新 | 2025-06-19 14:20:22 |
📦 相关仓库
💡 分析概述
该仓库提供了关于CVE-2024-3094 (xz-utils后门)的威胁情报报告。 仓库主要包含一个PDF报告,详细分析了xz-utils压缩库中的后门漏洞,该漏洞影响了5.6.0和5.6.1版本,允许通过SSH认证进行远程代码执行。仓库还包含IOC列表,提供了关于恶意文件的信息和行为特征。 最新提交修改了README.md文件,增加了漏洞的概要信息,关键细节和防御建议。并且创建了IOC-list.txt,提供了相关IOC信息。该漏洞是供应链攻击,通过篡改构建脚本在xz-utils库中植入后门,危害严重。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | xz-utils供应链攻击 |
| 2 | 影响版本:5.6.0和5.6.1 |
| 3 | 后门功能:SSH认证远程代码执行 |
| 4 | 利用条件:特定版本的xz-utils库被恶意代码感染 |
| 5 | 影响:远程代码执行,权限提升,供应链攻击 |
🛠️ 技术细节
漏洞原理:攻击者通过篡改xz-utils的构建脚本,在库中植入后门代码,后门代码在SSH认证过程中被触发,允许执行任意代码。
利用方法:攻击者可以通过构造恶意的SSH认证请求来触发后门。
修复方案:立即降级到未受影响的版本(5.4.x),验证软件供应链,监控SSH认证中的异常活动,应用YARA或Sigma规则检测恶意行为模式。
🎯 受影响组件
• xz-utils 5.6.0
• xz-utils 5.6.1
• Linux系统
• OpenSSH (通过systemd)
⚡ 价值评估
展开查看详细评估
该漏洞属于供应链攻击,影响广泛使用的压缩库,且漏洞细节明确,影响范围广,可以导致远程代码执行,权限提升等严重后果。并且有明确的受影响版本。
CVE-2025-0411 - 7-Zip MotW Bypass 漏洞
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-0411 |
| 风险等级 | HIGH |
| 利用状态 | POC可用 |
| 发布时间 | 2025-06-19 00:00:00 |
| 最后更新 | 2025-06-19 13:43:17 |
📦 相关仓库
💡 分析概述
该仓库提供了CVE-2025-0411 7-Zip Mark-of-the-Web (MotW) 绕过漏洞的POC。仓库通过双重压缩技术绕过MotW保护,允许用户执行恶意代码。仓库的README文件详细描述了漏洞细节、易受攻击的版本和缓解措施。最新提交更新了README文件,优化了下载链接,并修复了CVE链接。POC通过构建特制的压缩包,并诱导用户解压运行,从而实现代码执行。漏洞利用需要用户交互,但利用成功后可绕过安全警告。仓库提供了POC,有助于安全研究人员理解和复现漏洞。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 7-Zip 软件的 Mark-of-the-Web (MotW) 绕过漏洞 |
| 2 | 通过构造特制压缩文件实现漏洞利用 |
| 3 | 用户交互是漏洞利用的前提条件 |
| 4 | POC 演示了通过绕过安全警告实现代码执行 |
🛠️ 技术细节
漏洞原理:7-Zip 在处理压缩文件时,没有正确地将 MotW 标记传递给解压后的文件,导致绕过安全保护。
利用方法:构造双重压缩的恶意 7-Zip 文件,诱导用户解压,进而执行恶意代码(例如 calc.exe)。
修复方案:升级到 7-Zip 24.09 或更高版本,避免打开来自不明来源的压缩文件。
🎯 受影响组件
• 7-Zip
⚡ 价值评估
展开查看详细评估
该漏洞影响广泛使用的 7-Zip 软件,且有明确的POC和利用方法,可以绕过安全机制,造成远程代码执行。
CVE-2025-33053 - WebDAV .url RCE PoC
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-33053 |
| 风险等级 | HIGH |
| 利用状态 | 漏洞利用可用 |
| 发布时间 | 2025-06-19 00:00:00 |
| 最后更新 | 2025-06-19 18:01:33 |
📦 相关仓库
💡 分析概述
该仓库提供了CVE-2025-33053的PoC,该漏洞利用WebDAV和.url文件传递来实现远程代码执行(RCE)。PoC演示了如何通过构造恶意的.url文件,配合WebDAV服务器,在目标系统上执行任意代码。仓库包含一个docker-compose.yml文件用于搭建WebDAV环境,一个setup_webdav_payload.py脚本用于生成.url文件,并打包成zip文件伪装成PDF文档,以及一个route.exe作为payload。最新提交中,增加了详细的README文档,演示视频,以及清理脚本。漏洞的利用方式是,攻击者构造.url文件,指向WebDAV服务器上的恶意文件。当用户打开.url文件时,系统会尝试从WebDAV服务器下载并执行恶意文件,从而实现RCE。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 利用.url文件和WebDAV实现RCE |
| 2 | PoC包含完整的利用流程 |
| 3 | 提供docker环境搭建 |
| 4 | 利用.url文件绕过安全提示 |
🛠️ 技术细节
通过构造.url文件,设置WorkingDirectory为WebDAV服务器,诱导系统执行WebDAV服务器上的恶意文件。
攻击者将.url文件伪装成PDF文件,增加欺骗性。
PoC使用iediagcmd.exe程序,并执行route.exe,route.exe从WebDAV服务器上下载,实现代码执行。
使用docker搭建WebDAV环境,方便复现漏洞。
🎯 受影响组件
• Windows系统
• WebDAV客户端
⚡ 价值评估
展开查看详细评估
该PoC提供了完整的RCE利用链,包含利用脚本、docker环境搭建以及详细的说明,可以帮助安全研究人员深入理解漏洞原理和利用方法,具备较高的研究和复现价值。
CVE-2025-6335 - dedeCMS模板注入RCE
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-6335 |
| 风险等级 | CRITICAL |
| 利用状态 | POC可用 |
| 发布时间 | 2025-06-19 00:00:00 |
| 最后更新 | 2025-06-19 17:08:51 |
📦 相关仓库
💡 分析概述
该仓库包含了dedeCMS 5.7 sp2版本中的一个模板注入漏洞的分析和利用信息。仓库中包含README.md文件,详细描述了漏洞的成因、利用方法和PoC。漏洞位于/include/dedetag.class.php文件,攻击者可以通过访问/dede/co_get_corule.php接口,在notes参数中注入恶意代码,从而执行任意命令。最新提交更新了README.md文件,增加了漏洞的详细描述,包括漏洞描述、利用步骤、验证方法以及PoC代码。该漏洞危害严重,攻击者可以完全控制服务器。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | dedeCMS 5.7 sp2版本存在模板注入漏洞 |
| 2 | 通过/dede/co_get_corule.php接口注入恶意代码 |
| 3 | 利用模板注入实现远程代码执行(RCE) |
| 4 | PoC已提供,验证漏洞可行性 |
🛠️ 技术细节
漏洞原理:dedeCMS在处理模板时,未对用户提交的notes参数进行充分过滤,导致恶意代码被注入并执行。
利用方法:访问/dede/co_get_corule.php?notes={dede:");system('calc');///}&job=1接口,执行任意命令。
修复方案:升级到安全版本,或对notes参数进行严格的输入验证和过滤,禁止执行eval()等危险函数。
🎯 受影响组件
• dedeCMS 5.7 sp2
⚡ 价值评估
展开查看详细评估
该漏洞属于远程代码执行(RCE),且有明确的利用方法和PoC。攻击者可以通过此漏洞完全控制服务器,危害极大。
CVE-2025-23121 - Backup Server 存在RCE漏洞
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-23121 |
| 风险等级 | CRITICAL |
| 利用状态 | 漏洞利用可用 |
| 发布时间 | 2025-06-19 00:00:00 |
| 最后更新 | 2025-06-19 17:06:43 |
📦 相关仓库
💡 分析概述
该仓库提供了一个针对Backup Server的远程代码执行(RCE)漏洞的利用工具。仓库包含了README.md文件,其中详细描述了漏洞细节、利用方法和使用示例。
更新内容分析:
- 2025-06-19T17:06:43Z: README.md新增了一张图片。
- 2025-06-19T16:40:59Z: README.md 详细描述了漏洞细节,包括漏洞类型(认证后RCE),攻击向量(通过API注入恶意任务),先决条件(有效域凭据、Backup Server版本低于12.3.2.3617,网络访问Backup服务,TCP/6060),以及一个示例输出。
- 2025-06-19T16:39:13Z: 初始提交,包含LICENSE和README.md文件,README.md描述了漏洞名称。
漏洞利用方式:
该漏洞利用需要有效的域凭据。攻击者可以使用提供的backuprceauth.py脚本通过API注入恶意任务,从而在Backup Server上执行任意代码。 该利用工具通过提供域账号密码以及要执行的命令来实现RCE。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | Backup Server 存在认证后RCE漏洞 |
| 2 | 利用需要有效的域凭据 |
| 3 | 攻击者可以通过API注入恶意任务 |
| 4 | 提供了Python脚本backuprceauth.py |
🛠️ 技术细节
漏洞原理:Backup Server API存在安全漏洞,允许攻击者在通过身份验证后注入恶意任务,从而执行任意代码。
利用方法:使用提供的
backuprceauth.py脚本,提供有效的域凭据和要执行的命令。
修复方案:更新Backup Server至安全版本,加强API的输入验证和身份验证机制。
🎯 受影响组件
• Backup Server
⚡ 价值评估
展开查看详细评估
该漏洞是远程代码执行,且提供了可用的POC和利用方法,影响重要系统。
CVE-2025-20682 - 注册表利用,FUD技术绕过检测
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-20682 |
| 风险等级 | HIGH |
| 利用状态 | POC可用 |
| 发布时间 | 2025-06-19 00:00:00 |
| 最后更新 | 2025-06-19 19:54:03 |
📦 相关仓库
💡 分析概述
该CVE描述了注册表漏洞利用,攻击者使用类似 reg exploit 或 registry-based payloads 的技术,利用漏洞进行静默执行。漏洞利用可能使用FUD (Fully UnDetectable) 技术绕过检测。 仓库提供了一个注册表漏洞利用的POC,并使用了FUD技术。代码库主要功能是注册表漏洞利用的开发和测试。最新提交只更新了日志文件中的时间戳。根据描述,该漏洞利用可能涉及 RCE,但具体细节和利用方法尚不明确。根据提供的仓库链接和描述,可以推断该漏洞可能涉及系统注册表的安全问题。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | 注册表漏洞利用 |
| 2 | FUD技术绕过检测 |
| 3 | 潜在的远程代码执行 |
| 4 | POC/EXP存在 |
🛠️ 技术细节
漏洞原理: 注册表漏洞利用,攻击者通过构造恶意注册表项或修改现有注册表项来触发漏洞。
利用方法: 通过 reg exploit 或 registry-based payloads 进行静默执行。FUD技术用于绕过检测。
修复方案: 修复注册表漏洞,加强安全监控,提高检测恶意注册表操作的能力。
🎯 受影响组件
• 操作系统注册表
⚡ 价值评估
展开查看详细评估
该漏洞涉及远程代码执行的潜在风险,并且提到了利用方法和绕过检测的技术。虽然细节不够明确,但存在 POC 且涉及FUD技术,增加了其价值。此外,针对系统注册表,一旦漏洞被利用,影响范围较大,风险较高。
CVE-2025-44203 - HotelDruid SQL注入导致信息泄露
📌 漏洞信息
| 属性 | 详情 |
|---|---|
| CVE编号 | CVE-2025-44203 |
| 风险等级 | HIGH |
| 利用状态 | POC可用 |
| 发布时间 | 2025-06-19 00:00:00 |
| 最后更新 | 2025-06-19 19:09:04 |
📦 相关仓库
💡 分析概述
该仓库包含HotelDruid 3.0.0和3.0.7版本中的一个敏感信息泄露漏洞的利用代码和相关信息。主要功能包括:exploit.py用于发送POST请求尝试获取敏感信息,brute.py用于密码爆破。漏洞利用方式是通过发送多个POST请求触发SQL错误信息,从而泄露用户名、密码哈希和salt。如果配置的密码较弱,攻击者可以通过爆破获取明文密码。最新提交包含了exploit.py和brute.py,以及README.md文件,提供了漏洞描述、利用方法和测试环境的说明。 漏洞利用需要满足一定的配置条件,如"Restrict HotelDruid access to localhost?"选项设置为No。 漏洞利用的成功率受多种因素影响,可能需要多次尝试。 README.md 文件提供了详细的漏洞描述、利用步骤和 PoC 代码的使用方法。
🔍 关键发现
| 序号 | 发现内容 |
|---|---|
| 1 | HotelDruid 3.0.0/3.0.7版本存在敏感信息泄露漏洞。 |
| 2 | 通过发送POST请求触发SQL错误,泄露用户名、密码哈希和salt。 |
| 3 | 提供exploit.py进行漏洞利用,brute.py进行密码爆破。 |
| 4 | 漏洞利用需要满足一定的配置条件,如"Restrict HotelDruid access to localhost?"选项设置为No。 |
🛠️ 技术细节
漏洞原理:通过构造特定的POST请求,触发SQL错误,导致敏感信息泄露,包括用户名、密码哈希和salt。
利用方法:运行exploit.py,指定目标IP地址,程序将发送多个POST请求尝试获取敏感信息。如果成功,获取salt和密码哈希,再通过brute.py进行密码爆破。
修复方案:升级到修复版本,或加强密码策略,禁用SQL错误信息的详细输出。
🎯 受影响组件
• HotelDruid 3.0.0
• HotelDruid 3.0.7
⚡ 价值评估
展开查看详细评估
该漏洞涉及敏感信息泄露,提供了可用的POC,且影响广泛使用的HotelDruid版本,具有较高的实际攻击价值。
免责声明
本文内容由 AI 自动生成,仅供参考和学习交流。文章中的观点和建议不代表作者立场,使用本文信息需自行承担风险和责任。