2025-04-30 微信公众号精选安全技术文章总览

洞见网安 2025-04-30

0x1 利用微软 OAuth 授权流钓鱼

RedTeam 2025-04-30 21:40:08

本文详细分析了一起针对Microsoft 365的精准钓鱼攻击事件。攻击者利用了Visual Studio Code的OAuth授权流程，通过伪装成官方链接引导目标用户进行认证，从而获取对用户M365账户的完全访问权限。攻击者使用了包括Signal和WhatsApp在内的加密通讯软件，冒充欧洲官员，通过精心设计的社工手法建立信任。文章还介绍了攻击的升级版本，攻击者通过设备注册漏洞提升权限，甚至可以引导用户批准双因素认证请求。文章总结了攻击的亮点，并提供了检测和防御这类攻击的建议，包括监控特定客户端ID、检测可疑OAuth URL格式、加强用户教育等。

钓鱼攻击 OAuth安全 社会工程学 Microsoft 365安全 APT组织攻击 设备注册漏洞 安全防御建议 安全意识教育

0x2 linux 权限提升：进阶篇

week网安热爱者 2025-04-30 20:56:34

本文深入探讨了Linux系统中的权限提升技术，包括利用tar命令注入执行恶意代码、通过SID提权、以及NFS提权等高级攻击手段。文章详细介绍了如何通过查找以root权限运行的计划程序，注入木马并执行，以及如何利用特定的系统漏洞进行权限提升。此外，还介绍了如何通过SID提权，利用NFS协议进行提权，以及如何通过SSH密钥交换实现免密码登录。文章提供了具体的命令和步骤，帮助网络安全学习者了解和防御这些高级攻击技术。

Linux Security Privilege Escalation Exploit Techniques Cron Job Security NFS Protocol Security Password Cracking Security Tools System Hacking

0x3 API接口深度发现的动态爬虫实现(1)

李姐姐的扫描器 2025-04-30 19:38:15

本文主要讨论了在网络安全领域中，API接口漏洞检测的重要性以及现有爬虫工具在实现深度发现API接口方面的不足。文章指出，随着API接口在Web应用中的普及，自动化检测API接口漏洞已成为黑盒Web漏洞扫描的关键。然而，目前常用的爬虫工具如Crawlergo、Rad和Burp Suite在实现深度发现API接口方面存在缺陷。Crawlergo在表单填充逻辑、元素识别和API接口捕获方面存在不足；Rad在结果稳定性上存在问题；Burp Suite则不支持直接固定和保存认证身份，且cookie jar无法预注入到chromium爬虫中。文章强调了爬虫工具在登录、身份维持、接口爆破、自动填表和触发API请求等方面的复杂性，并提出了针对这些问题的解决方案。

API安全 动态爬虫 漏洞挖掘 自动化测试 工具比较 网络安全

0x4 信息安全漏洞周报（2025年第17期）

CNNVD安全动态 2025-04-30 19:27:13

2025年第17期的信息安全漏洞周报显示，本周国家信息安全漏洞库（CNNVD）共采集到568个安全漏洞，接报漏洞总数达到37683个。其中，信息技术产品漏洞（通用型漏洞）327个，网络信息系统漏洞（事件型漏洞）18个。漏洞新增数量有所下降，WordPress基金会新增漏洞最多，为193个。跨站脚本类的安全漏洞占比最大，达到16.90%。本周共发布超危漏洞41个，高危漏洞120个，中危漏洞380个，低危漏洞27个。已有430个漏洞发布了修复补丁，整体修复率为75.70%。重要漏洞实例包括IBM Power Hardware Management Console安全漏洞、Apache HttpClient安全漏洞和WordPress plugin abcsubmit代码注入漏洞等。此外，CNNVD还接收了37338个漏洞平台推送漏洞，接报漏洞345个，并收录了121份漏洞通报。

漏洞周报 安全漏洞 CNNVD 漏洞统计 漏洞修复 漏洞实例 网络安全 漏洞类型 厂商漏洞 漏洞报送

0x5 【漏洞处置SOP】PHP CGI代码注入漏洞（CVE-2024-4577）

方桥安全漏洞防治中心 2025-04-30 18:02:34

本文详细介绍了PHP CGI代码注入漏洞（CVE-2024-4577）的处置标准作业程序（SOP）。该漏洞存在于PHP 8.1.29之前的版本，可能导致远程代码执行。文章首先概述了SOP的基本信息，包括名称、版本、发布日期和作者。接着，详细说明了SOP的用途和目标用户技能要求。随后，文章深入分析了漏洞的详细信息，包括漏洞名称、CVE编号、风险等级、CVSS评分、漏洞描述、影响范围以及漏洞利用条件。针对该漏洞，文章提供了升级到安全版本的解决方案和临时缓解方案，并给出了详细的漏洞修补步骤，包括识别漏洞、实施修复、验证修复等环节。最后，文章提供了参考链接，方便读者进一步了解漏洞和相关安全信息。

PHP漏洞 代码注入 远程代码执行 CVE编号 系统安全 安全操作流程 漏洞修复 版本管理 漏洞分析 网络安全知识

0x6 【漏洞通告】微软Telnet Server(MS-TNAP)身份验证绕过漏洞

绿盟科技CERT 2025-04-30 17:12:25

绿盟科技CERT发布了一则关于微软Telnet Server(MS-TNAP)身份验证绕过漏洞的通告。该漏洞编号为NS-2025-0025，发布日期为2025年4月30日。该漏洞存在于Windows 2000至Windows Server 2008 R2的多个版本中，攻击者可以通过绕过身份验证，利用Guest账户获取管理员权限。漏洞利用过程涉及设置特定SSPI标志和发送篡改的NTLM消息。由于微软尚未发布修复补丁，建议用户采取临时防护措施，包括禁用Guest账户、禁用NTLM认证、禁用Telnet服务并使用SSH替代、实施网络层过滤和应用控制策略。绿盟科技提供了自动化渗透测试工具（EZ）用于检测该漏洞，并鼓励用户注册M-SEC社区以获取更多信息。

操作系统漏洞 身份验证绕过 NTLM认证 Telnet协议 安全公告 网络安全

0x7 某实战项目登录口处的渗透测试

Tide安全团队 2025-04-30 17:03:02

在某次实战项目测试过程中，发现登录口的加密逻辑可被利用，从而将这次比较有意思的渗透过程记录下来进行分享

渗透测试 密码学 漏洞分析 安全漏洞 自动化工具 实战经验 安全防护 安全编码

0x8 功能上新 | 流量分析，一键启动！

Yak Project 2025-04-30 17:01:23

本文介绍了Yakit流量分析功能的新增功能。传统的流量分析通过History页面处理数据库中的流量，但这种方式在复杂筛选条件下的效率较低。Yakit的流量分析功能通过YAK代码和MITM规则提取器规则，能够更高效地分析流量。文章详细介绍了流量分析的功能分布、运行流程，包括筛选页面、分析方式和配置页面。筛选页面允许用户通过多种方式筛选流量，分析方式支持规则和热加载两种，配置页面则包括数据类型、并发和去重等配置。此外，文章还介绍了如何通过热加载函数analyzeHTTPFlow实现自定义流量分析，以及如何导出分析结果。Yakit的流量分析功能增强了安全测试的效率，并支持历史数据重分析和多源数据实时处理。

流量分析 网络安全工具 数据包分析 MITM（中间人攻击） 热加载 数据筛选 历史数据重分析 Web安全

0x9 网站日志攻击特征分析

小兵搞安全 2025-04-30 16:27:32

本文详细介绍了网站日志的格式类型、日志文件的位置、常用的日志分析方法以及网站可视化分析工具。首先，文章阐述了常见的网站日志格式类型，包括通用日志格式（CLF）、组合日志格式、W3C 扩展日志格式、NCSA 扩展日志格式和自定义日志格式。接着，介绍了不同Web服务器（如Apache、Nginx、Microsoft IIS）的默认日志文件位置。然后，文章重点介绍了常用的日志分析方法，包括网站访问频率分析、特征字符分析、恶意文件上传和一句话木马分析等。此外，还讨论了如何进行扩展命令分析、误报过滤以及防御与响应措施。最后，文章推荐了多种网站可视化分析工具，如Graylog、Logstash、Elasticsearch、Kibana、Fluentd、GoAccess、AWStats和Analog等，并简要介绍了WebLog Expert和逆火日志分析工具。

网站日志分析 网络安全监控 入侵检测 SQL注入攻击 XSS攻击 恶意文件上传 一句话木马 Web扫描 日志格式处理 可视化分析工具

0xa 创宇安全智脑 | 小皮面板 JWT 硬编码认证绕过等71个漏洞可检测

创宇安全智脑 2025-04-30 15:50:37

创宇安全智脑是基于知道创宇17年来AI+安全大数据在真实攻防场景中的经验积累构建的下一代全场景安全智能算力平台

0xb 【情报】SAP NetWeaver存在RCE漏洞

毅心安全 2025-04-30 15:35:25

本文报道了一个关于SAP NetWeaver的严重安全漏洞，该漏洞编号为CVE-2025-31324U0001f972。SAP NetWeaver Visual Compose组件中的特定路径允许未授权用户上传恶意文件，这可能导致服务器被攻陷。该漏洞已经被公开，且由于SAP NetWeaver在中国和美国的使用量都很大，存在被大范围利用的风险。目前，漏洞的详细信息已经对外公开，提醒用户需要采取相应的安全措施来防范潜在的安全威胁。

SAP漏洞 远程代码执行 高危漏洞 恶意文件上传 漏洞利用 跨国影响 网络安全情报

0xc 【免杀思路】无视杀软扫描-静态篇

安全天书 2025-04-30 15:22:46

本文主要讨论了网络安全领域中的加密技术、混淆工具以及红蓝对抗等相关内容。文章首先强调了加密技术、思路和工具的合法使用范围，并列举了几个加密技术的示例，包括异或加密和InterlockedXor8函数加密。接着，文章推荐了一些优秀的加密项目，如Shellcode-Hastur、ShellcodeEncryption等，并提供了基于熵检测的混淆工具使用方法。此外，文章还推荐了多种加密方式，如UUID、IPv4、IPv6、MAC等，并提醒避免使用熵值过高的加密方式。最后，文章介绍了红蓝对抗、钓鱼手法、武器化操作等研究方向，并提到了一个红蓝对抗的小圈子，分享了一些相关技术文章和免杀技巧。

加密技术 安全测试 防御研究 安全开发 恶意代码分析 红蓝对抗 免杀技术 安全工具 技术分享 安全社区

0xd CVE-2025-0282复现

星盟安全 2025-04-30 15:13:41

CVE-2025-0282是Ivanti Connect Secure中的一个严重漏洞，允许攻击者通过缓冲区溢出执行远程命令执行。文章详细介绍了该漏洞的复现过程，包括获取shell、提取文件系统、解密文件系统以及利用漏洞进行远程命令执行的方法。复现过程中涉及了逆向工程、文件系统解密、虚函数表解引用和ROP链构造等技术。文章还分析了漏洞成因，指出是由于strncpy函数未正确指定复制长度导致的溢出。最后，文章提供了漏洞利用的详细步骤和ROP链的构造方法，并附上了exp下载地址和星盟安全团队的纳新信息。

CVE 缓冲区溢出 远程命令执行 远程攻击 命令执行 文件上传 内核漏洞 逆向工程 安全漏洞分析 安全研究

0xe 右键点击就能窃取 NTLM 密码？- 技术分析与 PoC

骨哥说事 2025-04-30 15:11:49

本文讨论了CVE-2025-24054漏洞，这是一个与Windows身份验证绕过相关的安全漏洞。文章提到了一个名为@nafiez的网友报告的LNK文件潜在安全问题，尽管微软认为该问题依赖于MOTW（Mark of the Web）机制，因此未计划修复。文章深入分析了LNK文件结构，特别是HasArguments标志和带有UNC路径的EnvironmentVariableDataBlock，以及如何利用这些特性来控制执行流程。文章还解释了MOTW机制的问题，以及LNK文件如何通过不同的载体进行传输。此外，文章提供了PoC代码的示例，并解释了Windows如何解析UNC路径以及如何通过IShellFolder2接口处理网络资源。最后，文章简要介绍了PoC代码的执行过程和结果。

Windows 漏洞 NTLM 验证绕过 LNK 文件攻击 恶意快捷方式 环境变量数据块 安全研究 系统安全 漏洞利用

0xf 纵深攻击链分析——以某菠菜站渗透实战为例

Rot5pider安全团队 2025-04-30 15:06:46

本文以一次Web应用渗透测试案例为基础，详细分析了攻击者如何通过利用Nacos组件漏洞、中间件配置缺陷及内网横向移动技术实现对目标服务器的完整控制。文章揭示了攻击路径，包括未授权访问、反序列化RCE、内存马植入和域控提权等关键环节。分析了Nacos未授权访问漏洞和Nacos JRaft Hessian反序列化漏洞的技术原理，并构建了攻击链。此外，文章还提出了防御策略，包括绕过WAF检测、规避杀软监控和内存马驻留等技术，并给出了安全加固建议，如增强Nacos专项防护和内网安全加固。文章最后讨论了攻击面的转移、攻防对抗的升级和云原生威胁，强调了企业应建立组件版本监控体系和零信任网络架构，以提升防御能力。

网络安全 Web安全 漏洞利用 中间件安全 内网渗透 攻击链 防御策略 实战案例

0x10 Flutter框架开发的安卓app抓包记录

OneTS安全团队 2025-04-30 15:00:17

本文由OneTS安全团队成员Gal0nYu撰写，主要介绍了在进行安卓app渗透测试时，如何解决Flutter框架开发的app抓包困难的问题。文章首先描述了作者在尝试抓包Flutter开发的app时遇到的困境，包括无法抓取到任何数据包，即使更换了多种抓包工具和代理设置。随后，文章分析了Flutter应用抓包困难的原因，包括不走系统代理、不支持设置代理、不信任系统证书以及证书校验被写死在so文件中等。为了解决这些问题，作者提出了使用Frida进行hook libflutter.so中函数的方法，并通过修改代码来实现抓包。此外，文章还介绍了如何通过VPN模式结合brook、charles和burpsuite来实现抓包。最后，文章提到了一个安全技术分享的内部圈子，分享前沿安全攻防技术、SRC挖洞技巧、钓鱼、免杀技术以及内部自研工具等信息。

移动应用安全 抓包技术 Flutter框架 SSL/TLS安全 逆向工程 动态调试 Android安全

0x11 【东方隐侠渗透工具箱】发布：红队作战效率革命

东方隐侠安全团队 2025-04-30 14:15:46

东方隐侠安全团队发布了名为“隐侠渗透工具箱”的全栈式渗透工具集，旨在提升红队在安全攻防领域的作战效率。该工具箱包含信息搜集、漏洞扫描、漏洞利用、编码加密、代理隧道等多个核心模块，支持快速布防和渗透。工具箱内嵌多种WebShell管理工具，适用于不同场景下的权限控制需求，并提供图形化界面和轻量化工具。此外，工具箱还具备强大的信息收集能力，包括搜索引擎、资产发现、深度信息挖掘等。在漏洞扫描与利用方面，工具箱提供自动化扫描和框架级漏洞利用工具，覆盖漏洞全生命周期。工具箱还包含免杀与对抗工具，以绕过安全防护。最后，工具箱支持抓包代理与后渗透，提供纵深渗透的战略支援。工具箱的使用和更新可通过指定链接下载，东方隐侠安全团队将持续根据用户反馈进行迭代更新。

红队工具 渗透测试 安全攻防 WebShell管理 信息收集 漏洞扫描与利用 免杀与对抗 抓包代理与后渗透 自动化渗透 网络安全工具

0x12 【工具】Nmap安装及使用参数说明

菜根网络安全杂谈 2025-04-30 12:13:20

本文详细介绍了Nmap（Network Mapper）这款网络探测和安全审计工具的安装及使用。首先介绍了Nmap的基本功能和用途，包括网络发现、端口扫描及服务识别。接着，文章提供了Nmap的下载地址和安装步骤，包括下载、安装和启动方法。随后，文章深入讲解了Nmap的各种参数和使用方法，涵盖了主机发现、端口扫描技术、端口规格和扫描顺序、服务/版本检测、脚本扫描、操作系统检测、时间和性能设置、防火墙/标识闪避和疏散、输出格式等多个方面。最后，文章还提到了Nmap的一些其他功能和选项，如IPv6扫描、操作系统检测、数据文件位置指定等，为读者提供了全面的使用指南。

网络安全工具 网络扫描 端口扫描技术 服务版本检测 操作系统检测 脚本扫描 防火墙绕过 输出格式 IPv6扫描 安全审计

0x13 AI+应急响应

锐鉴安全 2025-04-30 11:58:08

本文主要介绍了如何利用DeepSeek工具和Python脚本进行网络安全应急响应中的流量分析。文章详细阐述了从解析Wireshark抓包文件、数据预处理、特征工程到使用DeepSeek API进行威胁分析的全过程。首先，介绍了如何使用PyShark库解析PCAP文件并转换为DataFrame，然后通过高级解析方法提取更多协议细节。接着，对数据进行预处理和特征工程，包括时间特征提取、协议类型编码、流标识符生成和流统计特征计算。随后，介绍了如何初始化DeepSeek分析器，准备分析数据，并执行分析以获取威胁结果。最后，通过可视化工具和Markdown报告生成器对威胁进行分析和报告。文章还提供了代码示例和步骤说明，以便读者理解和实践。

0x14 浅谈src漏洞挖掘中容易出洞的几种姿势

神农Sec 2025-04-30 11:51:20

扫码领资料获网安教程网络安全领域各种资源，EDUSRC证书站挖掘、红蓝攻防、渗透测试

0x15 Apache Tomcat发布安全更新，修复两个关键安全漏洞

网络个人修炼 2025-04-30 10:24:55

Apache软件基金会最近发布了Apache Tomcat的安全更新，针对两个关键漏洞CVE-2025-31650和CVE-2025-31651进行了修复。CVE-2025-31651是一个低危漏洞，与不当处理转义、元字符或控制序列有关，可能导致安全策略绕过。受影响的版本包括Tomcat 9.0.0.M1至9.0.102，10.1.0-M1至10.1.39，以及11.0.0-M1至11.0.5。CVE-2025-31650是一个高危漏洞，涉及输入验证不当，可能导致内存泄漏和拒绝服务攻击（DoS）。这个漏洞影响Tomcat 9.0.76至9.0.102，10.1.10至10.1.39，以及11.0.0-M2至11.0.5。建议所有受影响的用户升级到最新的版本以防止潜在的安全风险。

0x16 windows rookit防护-进程隐藏

不止Sec 2025-04-30 09:12:15

本文深入解析了Windows Rootkit中进程隐藏的核心功能。文章首先介绍了测试环境，并详细剖析了在Driver.c中的processIoctlRequest函数如何处理进程隐藏的ioctl请求。重点在于HideProcess函数的实现，该函数通过PsLookupProcessByProcessId查找EPROCESS，并从activelist双向链表中移除当前eprocess。文章还提到了ActiveProcessLinks链表和UniqueProcessId的作用，以及如何通过双向链表删除作为数据结构基础。此外，文章讨论了锁的设计，以避免条件竞争，并解释了即使在任务管理器中进程被隐藏，为何在windbg中依然可以通过PID找到该进程的问题。

Rootkit Windows Security Kernel-level Security Process Hiding Ioctl Security Analysis Anti-cheat

0x17 HTB-TwoMillion：不是吧不是吧 easy 靶机都拿不下？

红队安全圈 2025-04-30 08:30:40

0x18 一行日志引发的“密码泄露”恐慌？深度解析 Coinbase 2FA 误报 Bug 技术内幕与安全启示

技术修道场 2025-04-30 08:29:45

最近，Coinbase平台的一个日志错误导致用户误以为自己的账户密码已被泄露，引发了广泛的恐慌。这个错误将密码尝试失败错误地标记为双因素认证（2FA）失败，导致用户误以为攻击者已经通过了密码验证。Coinbase已确认并修复了这个Bug，强调了安全日志准确性对于安全体系的重要性。错误的日志不仅会导致用户恐慌，还可能干扰安全监控、影响威胁狩猎和事后取证。此外，错误的日志可能被攻击者利用进行社会工程学攻击。文章提供了用户侧的安全建议，包括保持警惕、通过官方渠道核实信息、定期审视安全设置等，强调了安全意识和多层防御的重要性。

网络安全漏洞 双因素认证（2FA） 日志管理 社会工程学攻击 用户意识教育 事件响应 密码安全

0x19 具有资产测绘、子域名枚举、信息泄露检测、漏洞扫描、目录扫描、子域名接管、爬虫、页面监控功能的工具

白帽学子 2025-04-30 08:11:21

本文介绍了一款集成了多种网络安全功能的工具——Scope Sentry。该工具在网络安全演练中表现出色，能够帮助用户快速识别和应对网络安全威胁。文章详细描述了Scope Sentry在资产测绘、子域名枚举、信息泄露检测、漏洞扫描、目录扫描、子域名接管、爬虫、页面监控等方面的应用。通过实际案例，展示了工具在发现隐藏子域名、未修复漏洞、敏感信息泄露等方面的能力。同时，文章也提到了无线网络加密技术、入侵检测与防御系统、访问控制技术、密钥管理与动态更新机制、安全审计与漏洞评估等网络安全关键技术点，以及如何利用这些技术提升网络安全防护能力。

子域名枚举 资产测绘 信息泄露检测 漏洞扫描 目录扫描 子域名接管 爬虫 页面监控 网络安全工具 红蓝对抗 漏洞复现

0x1a 实战Windows后门挖矿分析，附赠完整环境下载！

PTEHub 2025-04-30 08:03:59

Windows挖矿清除附赠完整环境和38页操作手册

0x1b 基于GRUB2的Bootkit：疑似与NSA方程式组织关联的新型恶意软件威胁

T0daySeeker 2025-04-30 08:00:55

一款被多个安全厂商归类为EquationDrug恶意软件的Bootkit程序，可配合NSA方程式组织工具加载使用。

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

原文始发于微信公众号（洞见网安）：网安原创文章推荐【2025/4/30】