2025-05-11 微信公众号精选安全技术文章总览

洞见网安 2025-05-11

0x1 PXA Stealer最新攻击活动样本分析

黑白天实验室 2025-05-11 23:43:09

PXA Stealer是一款由越南语威胁行为者发起的新型信息窃取恶意软件，主要针对欧洲和亚洲的政府和教育机构。该恶意软件通过多种技术手段窃取受害者信息，包括在线账户凭证、浏览器登录数据、信用卡信息等。分析发现，PXA Stealer利用NTFS数据流隐藏文件、DLL劫持、反调试技术、数据解密和动态密钥生成等手段实现其恶意目的。攻击者通过伪装合法文件、使用cmd批处理脚本、lolbins、certutil和解压技术等方式来执行恶意代码，并绕过EDR（Endpoint Detection and Response）系统。此外，PXA Stealer还通过修改注册表实现持久化，并最终通过Telegram Bot API将窃取的信息上传到攻击者的服务器。

恶意软件分析 信息窃取 DLL劫持 侧加载攻击 反调试技术 数据加密 命令行脚本 注册表攻击 远程代码执行 网络钓鱼 安全漏洞利用 安全响应

0x2 栈溢出从复现到挖掘-CVE-2018-16333漏洞复现详解

我不懂安全 2025-05-11 22:38:04

本文详细分析了Web服务在处理POST请求时由于对ssid参数处理不当导致的栈溢出漏洞。文章首先介绍了漏洞的成因，即服务在处理请求时未对ssid参数进行长度限制，导致栈溢出。接着，文章通过ida反汇编和pwndbg调试，分析了栈溢出的具体位置和原因，并详细解释了如何利用这个漏洞。文章中包含了漏洞点位分析、漏洞成因、调试步骤、汇编代码详解、偏移量分析、漏洞利用链的切割、ROP链的构建以及完整的payload生成过程。最后，文章展示了如何通过构造特定的payload来执行远程代码，实现远程代码执行（RCE）攻击。

缓冲区溢出 Web安全 漏洞分析 ROP攻击 ARM架构 漏洞利用 IDA Pro GDB调试 Python脚本

0x3 HTB Environment 渗透测试全流程：信息收集到提权完整实战

夜风Sec 2025-05-11 22:32:16

本文记录了一次针对HTB环境下的网络安全学习过程。首先，通过nmap和dirsearch工具进行了端口扫描和目录扫描，发现了开放的服务和潜在的敏感目录。在80端口，发现了开放的服务如SSH和HTTP，并通过HTTP服务找到了后台管理页面。接着，使用dirsearch工具进行了进一步的目录扫描，发现了多个拒绝访问的目录，但通过特定的路径组合成功访问了一些敏感文件。在登录后台后，通过分析代码发现了环境变量注入的漏洞，利用CVE-2024-52301成功登录后台。在后台中，通过上传文件功能尝试绕过安全限制，并利用GIF89A混淆技术上传PHP文件。最后，通过MSF生成木马并反弹shell，成功提权至www-data用户，并通过gpg私钥解密获取了用户信息。整个过程中，详细记录了每一步的命令和发现，展示了从信息收集到提权的完整过程。

漏洞利用 渗透测试 环境变量注入 权限提升 Web应用安全 私钥泄露与解密 反弹shell 信息收集 代码审计

0x4 某报表漏洞分析

韭要学JAVA安全 2025-05-11 21:40:44

本文详细分析了某报表系统中的三个安全漏洞。首先，dataSphereServlet文件上传漏洞允许攻击者通过构造特定的HTTP请求上传任意文件，因为server-name参数中的类未验证文件类型。其次，InputServlet文件上传漏洞同样允许攻击者上传大文件，因为文件大小限制验证存在逻辑错误。最后，dataSphereServlet文件读取漏洞存在两个实例，一个是通过未过滤的path参数直接读取文件，另一个是通过fileName参数读取文件，这两个漏洞都可能导致敏感信息泄露。文章提供了详细的漏洞复现步骤和相应的攻击示例，并指出漏洞利用的关键点在于对用户输入的未充分验证。

文件上传漏洞 文件读取漏洞 路径拼接漏洞 输入验证不足 服务器配置问题 跨站脚本（XSS）

0x5 伪装成VPN安装程序银狐最新免杀样本分析

安全分析与研究 2025-05-11 21:33:49

本文分析了近期网络安全领域活跃的黑产团伙——银狐的最新攻击样本。银狐黑产团伙近年来活动频繁，不断更新攻击样本，采用免杀技术逃避安全检测。本文特别关注了一个伪装成VPN安装程序的银狐最新样本。该样本检出率低，未在沙箱检测出银狐木马特征或相关威胁情报。文章详细分析了该样本的新功能和免杀加载方式，包括使用正常数字签名和增肥技术来规避安全厂商的检测。作者从多个渠道捕获了该样本，并对其进行了人工分析，以揭示其攻击手段和潜在风险。

恶意软件分析 网络安全事件 免杀技术 VPN攻击 沙箱逃逸 数字签名滥用 远程控制木马 攻击样本分析

0x6 Google Pixel 6（Android 13）真机安全测试环境搭建全攻略

东方隐侠安全团队 2025-05-11 20:00:24

本文详细介绍了如何搭建Google Pixel 6（Android 13）的真机安全测试环境。文章从前置准备开始，包括安装Java SE Development Kit和Android SDK，接着是设备准备，包括开启开发者模式、OEM解锁和USB调试，以及电脑配置Platform-Tools和USB驱动。随后，文章讲述了如何解锁Boot Loader和获取Root权限，包括下载Kitsune Mask和安卓系统镜像。最后，文章指导如何部署抓包环境，包括安装证书、移动用户级证书到系统级以及配置Burp代理。整个过程涵盖了从环境配置到实际测试的各个环节，旨在帮助安全研究人员和逆向工程师搭建一个可控的测试环境。

移动安全 逆向工程 漏洞挖掘 Android安全 Root权限 安全测试 网络安全工具 操作系统安全

0x7 Druid & Swagger 未授权访问简单配置

Heihu Share 2025-05-11 17:55:44

本文主要介绍了Java SpringBoot服务中Druid和Swagger的未授权访问配置问题。首先，文章详细阐述了如何在项目中引入Druid依赖，并通过application.yml文件配置Druid的相关参数，包括监控功能和SQL防火墙等。接着，文章展示了如何在配置类中声明一个FilterRegistrationBean来启用Druid的监控功能，并通过访问/druid/路径来查看登录界面。随后，文章介绍了Swagger-UI的配置，包括引入依赖、配置Bean和访问Swagger-API调试界面。此外，文章还强调了SpringBoot版本与Swagger依赖版本匹配的重要性。最后，文章简要提及后续将总结actuator的利用。

漏洞利用 配置安全 Java应用安全 代码审计 SpringBoot安全

0x8 【权限维持】随意指定任意目录实现自启动

网安鲲为帝 2025-05-11 16:52:40

本文探讨了一种在Windows操作系统中实现自启动的方法。文章首先声明了免责声明，提醒读者仅用于技术讨论与学习。接着，介绍了Windows自带的Startup目录的特点，即在该目录下复制或移动文件会被杀软报毒，且容易被发现。文章提出了一种通过修改注册表来改变自启动目录的方法，并指出修改后的注册表位置。通过测试发现，使用这种方法可以避免杀软报毒，且文件能够成功自启动。最后，文章邀请读者加入交流群，以便持续跟进免杀技术和工具，并提供了加入群组的联系方式。

漏洞利用 权限维持 Windows系统安全 注册表操作 免杀技术 安全研究

0x9 深入解析Visual Studio反序列化零点击代码执行漏洞，实现 100% 稳定复现

crackme安全实验室 2025-05-11 15:51:58

本文深入分析了一种存在于Microsoft.VisualStudio.dll中的反序列化代码执行漏洞。该漏洞可能导致部分项目类型在从.sln文件打开时无法利用，而需要用户进行二次操作才能触发。文章通过调试和跟踪调用栈，揭示了漏洞的触发条件和利用方法。研究发现，漏洞的利用依赖于VSCorePackage的加载，而部分项目类型的延迟加载机制阻止了零点击攻击。文章进一步指出，通过窗体设计器或类视图解析功能，可以触发漏洞，从而实现零点击攻击。文章详细描述了利用链的构建过程，并提供了两种零点击攻击的实例，证明了漏洞的严重性和潜在的攻击风险。

反序列化漏洞 代码执行 漏洞利用 Visual Studio漏洞 软件安全 漏洞分析 延迟加载 零点击攻击

0xa 网络分析工具Wireshark系列专栏：06-从零学习分析数据包，极其详细！

网络技术联盟站 2025-05-11 15:32:55

本文是关于网络分析工具Wireshark的系列专栏之一，专注于学习如何分析捕获的数据包。文章首先回顾了Wireshark过滤器的基本使用，然后指导读者如何进行抓包前的准备工作，包括选择正确的网络接口。对于Wi-Fi网络流量分析，建议选择Wi-Fi接口，而本地测试则可以选择环回接口。文章还提供了一些建议，如通过观察接口流量活动来确定正确的接口。接着，文章介绍了如何使用Wireshark的捕获选项设置过滤器，并通过打开浏览器访问特定网站来触发数据包捕获。随后，文章详细介绍了数据包分析的过程，包括数据包列表、数据包详情、帧层、以太网层、IP层、传输层等多个方面的解析，以及如何使用字节视图、内容分段解析等技巧。Wireshark的三种视图也被提及，它们帮助用户从不同角度深入挖掘数据包中的信息。

网络安全工具 数据包分析 Wireshark教程 网络监控 网络协议

0xb 内网渗透-权限维持

土拨鼠的安全屋 2025-05-11 11:10:47

本文主要介绍了网络安全中的内网渗透和权限维持技术。针对Linux系统，文章详细说明了如何通过SSH软连接实现权限维持，并介绍了在Windows系统中使用计划任务和Dscync权限来维持权限的方法。此外，文章还探讨了通过SID权限维持和SID History来提升普通用户权限至域管理员权限的技巧。最后，文章提到了SSP权限维持和mimikatz工具的使用，以及如何通过修改注册表和添加万能密码来进一步维持权限。这些技术对于网络安全学习和实践具有重要的参考价值。

内网渗透 权限维持 SSH攻击 计划任务攻击 域渗透 密码学攻击 恶意软件 注册表攻击 安全策略

0xc CVSS 10 满分漏洞：CVE-2025-32432 Craft CMS RCE 及未公开利用链深度解构

自在安全 2025-05-11 08:01:43

近期Craft CMS曝出了两个高危漏洞CVE-2023-41892和CVE-2025-32432，这两个漏洞都利用了Yii框架的createObject函数触发可控类实例化来实现远程代码执行（RCE）。CVE-2023-41892影响版本为>= 4.0.0-RC1, <= 4.4.14，而CVE-2025-32432影响版本包括>= 3.0.0-RC1, <= 3.9.14; >= 4.0.0-RC1, <= 4.14.14; >= 5.0.0-RC1, <= 5.6.16。文章详细分析了漏洞的触发原理，包括请求路由分析、ConditionsController和AssetsController类的实例化过程，以及如何通过构造特定请求来触发RCE。文章还对比了CVE-2023-41892的补丁修改，并讨论了CVE-2025-32432的补丁对比和触发点分析。此外，文章还提供了一条未公开的利用链，并指出由于底层Yii框架的更新，某些利用链可能无法在最新版本中成功执行。

Web应用安全 漏洞分析 代码审计 RCE（远程代码执行） CVE编号 Yii框架 Craft CMS 安全补丁 安全漏洞利用 未公开漏洞

0xd Debian通过NetworkManager配置双网卡

铁军哥 2025-05-11 07:47:34

本文详细介绍了Debian系统通过NetworkManager配置双网卡的过程。文章首先指出Debian系统在配置双网卡时与其他系统如CentOS、OpenEuler和Ubuntu的不同之处，特别是Debian系统中网卡配置的复杂性。作者通过实际操作发现，在尝试连接第二张网卡时，第一张网卡会断开，并且配置信息会复用，导致网络连接不正确。为了解决这个问题，作者研究了NetworkManager的网络管理工具nmcli，了解到网络配置被存储为“连接”，并且每个设备在任何给定时间只能有一个活动连接。文章详细解释了如何通过nmcli创建新的连接，并调整IP地址等配置信息。最后，作者通过GUI界面展示了如何移除和添加连接配置，以及如何为不同网卡设置不同的网络配置。

操作系统配置 网络管理工具 网络故障排除 网络配置文件 网络安全配置

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

原文始发于微信公众号（洞见网安）：网安原创文章推荐【2025/5/11】