2025-05-30 微信公众号精选安全技术文章总览

洞见网安 2025-05-30

0x1 frida脚本编写环境搭建

进击的HACK 2025-05-30 22:35:30

本文主要介绍了如何搭建frida脚本编写环境。首先强调了文章中涉及的技术、思路和工具仅供安全学习交流使用，禁止非法用途。文章首先介绍了frida-agent-example的两个版本，一个是早期只有JavaScript版本，另一个是后期加入TypeScript的版本。作者推荐使用最新版，并指出最新版虽然使用TypeScript，但也支持JavaScript编写脚本。接着，文章详细介绍了如何安装npm环境和frida-agent-example项目，包括下载地址和git clone操作。此外，文章还提到了TypeScript开发环境，推荐使用PyCharm打开项目，因为PyCharm支持JavaScript和Python，方便通过Python启动HTTP服务调用frida提供的RPC。最后，文章讨论了使用JavaScript还是TypeScript编写脚本的问题，并提供了相关资源链接。

网络安全工具 动态调试 脚本编写 JavaScript Python 环境搭建 开源项目

0x2 一键挖宝！红队神器AppInfoScanner：移动端/Web资产扫描全攻略

泷羽Sec-陌離 2025-05-30 22:20:15

本文介绍了红队神器AppInfoScanner，一款由中国开发者打造的移动端/Web资产扫描工具。该工具专为渗透测试、红队和攻防演练设计，能够快速扫描Android、iOS、Web、H5和静态站点，提取核心资产信息。AppInfoScanner具备自动脱壳、网络嗅探和AI降噪等特色功能，能够省去手工解包反编译的繁琐步骤，直接输出结构化情报。文章详细介绍了工具的四大核心功能：全自动资产扫描、智能绕过加固壳、网络嗅探模式和深度自定义规则。同时，提供了实战场景演示，包括快速HW资产测绘、APP敏感信息挖掘和静态站点审计。此外，文章还提供了工具的安装指南、法律红线提醒和避坑指南，以及资源获取方式。

移动端安全 Web安全 渗透测试 红队工具 自动化扫描 信息收集 加固脱壳 网络安全法

0x3 【免杀】C2免杀技术（十一）DLL导入表注入（白加黑）

仇辉攻防 2025-05-30 21:27:55

本文探讨了C2免杀技术中的DLL导入表注入方法，简称“白加黑”。其中，“白”代表合法的、可信的、经过签名的程序，如系统自带程序和正规厂商软件；“黑”则指恶意代码，包括恶意DLL和恶意shellcode等。攻击者通过利用“白程序”加载和执行“黑代码”，以绕过安全检测、提升隐蔽性并逃避杀软查杀。文章详细介绍了导入表的概念，即在Windows可执行文件（PE文件）中的一个核心数据结构，用于记录程序运行时需要用到的外部DLL和函数。通过分析一个白程序（如xshell）的DLL加载情况，文章展示了如何使用火绒查看程序加载的DLL，从而确定环境位数，为后续的注入步骤做准备。

网络安全 免杀技术 DLL注入 白加黑攻击 PE文件分析 逆向工程 系统安全

0x4 【攻防实战】ThinkPHP-RCE集锦

儒道易行 2025-05-30 20:00:34

本文详细分析了ThinkPHP框架中存在的多个安全漏洞。首先介绍了ThinkPHP 2.x版本中由于preg_replace函数的/e模式匹配路由导致的任意代码执行漏洞，以及ThinkPHP 3.0版本在Lite模式下未修复的相同漏洞。接着，文章描述了ThinkPHP 5.0.23版本之前版本中获取method的方法未正确处理导致的远程代码执行漏洞，并提供了相应的攻击示例。此外，文章还讨论了ThinkPHP 5 SQL注入漏洞和敏感信息泄露问题，包括如何通过构造错误的SQL语法来泄漏数据库账户和密码。最后，文章分析了ThinkPHP 5 5.0.22和5.1.29版本中由于未正确处理控制器名导致的远程命令执行漏洞，并提供了利用这些漏洞的示例。

ThinkPHP漏洞 PHP框架安全 远程代码执行 SQL注入 安全漏洞分析 实战经验 安全防御

0x5 应急响应 - 隐藏用户排查(Linux)

信安一把索 2025-05-30 17:55:19

本文主要介绍了Linux系统中的账户排查方法，包括查看用户信息、排查超级用户、检查空口令账户等。首先，通过cat命令查看/etc/passwd文件内容来获取用户信息，使用awk命令查找超级用户，以及grep命令查看可登录用户。接着，文章介绍了如何创建空口令账户，包括编辑sshd_config文件允许空密码登录，重启SSH服务，并使用passwd命令清除用户密码。此外，文章还提供了一个Python脚本，用于检查空口令用户、非ROOT超级用户、可交互登录用户、所有用户最后登录时间、用户最近登录情况以及当前登录用户。最后，文章鼓励读者补充其他排查方法，并欢迎加入讨论群。

Linux 安全审计 用户权限管理 SSH 安全配置 密码策略 脚本安全 日志分析 安全工具使用 安全最佳实践

0x6 指纹识别+精准化 POC 攻击

蚁景网络安全 2025-05-30 17:50:15

本文详细介绍了开发一款漏洞扫描器的目的和思路。首先，针对传统漏洞扫描器扫描量大、无用POC多的问题，提出了指纹识别、POC和扫描三个方面的开发思路。文章重点阐述了如何获取实时更新的POC，并介绍了使用Nuclei扫描器的优势。接着，深入探讨了指纹识别技术，包括收集指纹的方法，如特定文件、页面关键字和response header等。通过Python代码示例，展示了如何实现指纹识别功能。此外，文章还介绍了如何使用EHole指纹库进行指纹匹配，并提供了相应的代码实现。最后，结合Nuclei引擎，实现了精准化打击和漏洞库的查询，通过多线程和分类目标，提高了扫描效率和准确性。

漏洞扫描 指纹识别 POC开发 自动化工具 开源工具 网络安全技术 Python脚本 多线程处理

0x7 深度警报：俄APT组织Void Blizzard新攻势，Evilginx与“传递Cookie”并用，全球政企面临严峻情报窃取风险

技术修道场 2025-05-30 17:05:58

微软安全情报中心发出警告，一个与俄罗斯相关的APT（高级持续性威胁）组织——“Void Blizzard”（亦称Laundry Bear），正针对全球范围内对俄政府具有战略价值的目标展开积极的网络间谍活动，其核心目的是大规模窃取敏感情报。

APT攻击 网络间谍活动 情报窃取 钓鱼攻击 中间人攻击（MITM） 多因素认证（MFA） 凭证窃取 云安全 安全意识培训 威胁情报 网络安全防御

0x8 预接管漏洞挖掘：条件竞争与逻辑缺陷的组合利用

漏洞集萃 2025-05-30 16:56:55

0x9 IBM Power HMC漏洞披露：受限Shell突破与权限提升

山石网科安全技术研究院 2025-05-30 16:01:01

本文详细分析了IBM Power HMC（硬件管理控制台）中的两个关键安全漏洞：受限Shell突破（CVE-2025-1950）和权限提升（CVE-2025-1951）。这两个漏洞允许攻击者利用环境变量和setuid二进制文件获取系统根权限。文章介绍了漏洞的发现过程、攻击路径，包括如何通过LD_PRELOAD突破受限的bash环境，以及如何使用setuid二进制文件提升权限。此外，文章还讨论了IBM提供的修复措施，包括防止shell突破和权限提升的缓解策略。最后，文章概述了漏洞的披露时间线与客户协调过程，以及与IBM的合作修复情况。

硬件漏洞 权限提升 Shell突破 环境变量攻击 setuid二进制文件 红队演练 IBM安全漏洞 漏洞披露 系统管理 网络安全策略

0xa Day17 Kali开源信息收集

泷羽Sec-静安 2025-05-30 14:56:34

本文详细介绍了网络安全领域的一系列工具和技巧，旨在帮助学习者理解并应用最新的网络安全动态。文章首先介绍了如何通过泷羽Sec和泷羽Sec-静安公众号获取相关资源，如OSCP配套工具等。接着，文章通过实际案例展示了如何使用Google语法搜索和解析GitHub上的员工信息，并利用John the Ripper和Hashcat等工具进行密码破解。此外，文章还介绍了GitLeaks和GitRob工具的使用方法，用于检测和扫描Git仓库中的敏感信息。文章还探讨了Shodan网络空间搜索引擎的使用，包括网页端和命令行工具的安装与配置，以及如何进行高级搜索和结果解析。最后，文章简要介绍了Security Headers Scanner、SSL Server、Pastebin、Stack Overflow、theHarvester、Social Media Tools、OSINT Framework和Maltego等工具的使用，为网络安全学习者提供了丰富的工具和资源。

网络安全研究 开源情报收集 漏洞分析与利用 安全工具使用 网络安全测试 安全配置与管理 数据泄露防护 社交工程 安全意识提升

0xb 你一定能学会的CNVD证书洞挖掘技巧，从黑盒到白盒挖掘

C4安全团队 2025-05-30 14:48:40

本文详细介绍了网络安全学习者如何通过黑盒和白盒挖掘技巧来发现和利用CMS系统的文件上传漏洞。文章以一个基于ThinkPHP二次开发的CMS系统为例，分享了三个文件上传漏洞的挖掘思路。首先是通过JavaScript接口发现未授权文件上传漏洞，接着通过源码审计发现了另外两个漏洞，一个是因为Ueditor组件的文件上传接口未做鉴权，另一个是通过base64编码解析文件内容时未校验文件后缀。文章中提供了具体的漏洞利用方法和数据包构造示例，最后还推荐了相关的学习资源和内部圈子，供网络安全爱好者参考和交流。

漏洞挖掘 黑盒测试 白盒测试 文件上传漏洞 ThinkPHP CNVD证书 网络安全

0xc Windows系统调用（syscall）

想要暴富的安服仔 2025-05-30 13:49:28

本文详细介绍了Windows系统调用（syscall）的概念和作用。系统调用是程序与操作系统交互的接口，允许程序请求特定服务，如文件读写、进程创建和内存分配。文章解释了系统调用的原理，包括它们如何将用户参数传递到内核执行操作，并返回结果。此外，文章还讨论了不同类型的系统调用，如Nt和Zw调用，以及它们在用户模式和内核模式中的应用。系统调用服务号（SSN）的作用以及如何通过SSN区分不同的系统调用也被阐述。最后，文章简要介绍了系统调用结构，包括64位系统上的NtAllocateVirtualMemory的示例，以及WoW64模拟技术对系统调用的处理。

操作系统安全 系统调用安全 Windows安全 内核安全 逆向工程 漏洞分析 安全开发

0xd Linux常见进程解析及其在应急响应中的重要性

格格巫和蓝精灵 2025-05-30 13:26:02

本文详细解析了Linux系统中常见的进程及其在网络安全应急响应中的重要性。文章首先介绍了进程在Linux系统中的作用，强调了了解合法进程对于系统管理和应急响应的必要性。接着，文章列举了如init/systemd、kthreadd、sshd、cron/crond、rsyslogd/syslog-ng/journald、dbus-daemon/dbus-broker-launch、NetworkManager/systemd-networkd/dhclient/dhcpcd、Web服务器进程和数据库服务进程等常见进程，并分析了它们在系统中的作用以及可能面临的威胁。此外，文章还提供了在应急响应中分析进程的关键点，包括识别异常进程、使用工具进行进程分析、关联日志分析以及样本获取与分析等方法。最后，强调了持续监控和定期审计进程活动在主动防御中的重要性。

操作系统安全 Linux进程管理 应急响应 入侵检测 日志分析 恶意软件分析 系统安全审计

0xe K8s外联应急排查思路全解析

事件响应回忆录 2025-05-30 12:00:29

🔥K8Sxa0运维必看！删除xa0Podxa0后自动复活？强制删除xa0+xa0外联排查两大思路，附核心xa0DNSxa0日志开启xa0\x26amp;xa0容器网络空间抓包技巧，轻松搞定疑难杂症💻

容器安全 Kubernetes安全 网络安全监控 应急响应 日志分析 入侵检测

0xf 实战攻防演练中安全有效性验证体系构建与实践

深安安全 2025-05-30 10:46:03

本文探讨了在数字化转型背景下，企业网络安全面临的挑战和构建安全有效性验证体系的重要性。文章指出，尽管企业投入大量资源部署安全设备，但实际安全能力仍面临诸多问题。文章强调了安全有效性验证的核心价值，包括暴露防御盲区、验证响应能力、量化安全ROI和提升实战能力。文章提出了构建三维一体实战验证体系的方法，包括互联网侧、数据中心侧和办公网侧的验证框架，并详细阐述了每个侧面的验证方法和目标。此外，文章还强调了安全有效性验证的实践落地和持续改进的重要性，以及如何将验证活动制度化、常态化。最后，文章总结了通过实战攻防演练构建安全有效性验证体系的重要性，并介绍了南京深安科技有限公司提供的安全有效性验证解决方案。

网络安全攻防 安全有效性验证 实战演练 安全设备配置 安全策略 安全运营 安全评估 APT攻击 勒索软件 安全ROI

0x10 巴基斯坦电信公司（PTCL）遭印度APT组织定向网络攻击——每周威胁情报动态第224期 （05.23-05.29）

白泽安全实验室 2025-05-30 09:01:01

本文报道了多起网络安全事件，包括巴基斯坦电信公司PTCL遭受印度APT组织Bitter APT的定向网络攻击，利用Cityworks系统0Day漏洞的UAT-6382攻击活动，阿迪达斯客户数据泄露，法国政府电子邮件数据大规模泄露，土耳其用户遭遇DBatLoader恶意软件攻击，DragonForce勒索软件组织针对MSP及其客户进行攻击，以及新型Nitrogen勒索软件针对美、英、加金融企业发起攻击。这些事件涉及APT攻击、数据泄露、恶意软件攻击和勒索软件攻击等多种网络安全威胁，揭示了网络攻击的复杂性和多样性。

APT攻击 网络钓鱼 漏洞利用 恶意软件 数据泄露 政府机构攻击 金融行业攻击 行业安全事件 地域攻击 安全漏洞

0x11 教你如何免费激活 Windows 和 Office

像梦又似花 2025-05-30 09:00:51

本文介绍了如何使用Microsoft Activation Scripts (MAS) 项目免费激活Windows和Office软件。MAS是一个开源项目，支持Windows 10-11、Windows Server以及Office的激活。文章详细介绍了两种激活方法：PowerShell方法和传统方法。PowerShell方法适用于熟悉命令行操作的用户，而传统方法适用于无法使用PowerShell或更喜欢手动操作的用户。文章还对比了MAS支持的激活方式及其特点，包括HWID、Ohook、TSforge、KMS38和Online KMS等，并提供了故障排除的建议。此外，文章强调了安全注意事项，提醒用户确保从官方来源下载脚本，避免恶意软件，并在安全环境中操作。

Hacking Tools Software Piracy Security Risks Cybersecurity Open Source Software Licensing

0x12 攻防演练｜分享最近一次攻防演练RTSP奇特之旅

神农Sec 2025-05-30 09:00:36

扫码加圈子获内部资料网络安全领域各种资源，EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章，以及工具分享、

0x13 任意文件读取&下载漏洞的全面解析及利用

富贵安全 2025-05-30 08:20:55

本文深入分析了任意文件下载漏洞的原理和利用方法。文章指出，许多网站为了方便用户下载和读取文件，提供了相应的接口，但这种方式可能导致安全漏洞。文章首先介绍了三种常见的文件下载URL格式，并分析了其潜在的安全风险。特别是对于第三种格式，由于可以通过URL参数控制文件路径，因此存在任意文件下载漏洞的风险。文章详细讲解了漏洞位置、绕过思路以及不同操作系统的利用方法。对于Linux系统，提到了如何通过读取敏感文件如`/etc/passwd`、`/etc/shadow`等来获取系统信息或权限。对于Windows系统，虽然存在类似的路径控制问题，但由于Windows文件系统的特性，利用难度更大。文章最后提供了一些修复建议，并分享了一个实战案例，展示了如何通过漏洞获取大量用户数据。

漏洞挖掘 文件操作漏洞 SQL注入 渗透测试 编码绕过 Linux安全 Windows安全 数据泄露 漏洞利用 安全修复

0x14 大道至简，druid弱口令+接口测试组合拳轻松拿下30w+敏感信息

富贵安全 2025-05-30 08:20:55

本文详细描述了一次针对某省级大型目标的网络安全攻击案例。攻击者通过资产测绘，将目标分为金融、网络、业务和人员四个空间进行信息收集。在网络空间中，利用灯塔或TscanPlus等工具进行资产扫描，并通过自研轮子进行优先级区分。在业务空间，针对特定目标进行深入分析，发现其业务逻辑和系统架构。在人员空间，通过分析人员的社会身份和数字足迹，寻找攻击突破口。测试阶段，攻击者通过简单的任意账户劫持，发现系统中的弱密码和漏洞，进而通过Druid弱口令登录系统，获取大量敏感数据。整个攻击过程涉及业务逻辑漏洞、资产测绘、弱口令利用等多个环节，最终实现了30w+敏感数据泄露。文章总结了攻击链条的各个环节，为网络安全防护提供了参考。

弱口令攻击 数据泄露 接口测试 资产测绘 漏洞利用 Druid数据库 攻击链构建 跨站攻击 漏洞扫描

0x15 深度剖析DeroMiner：Golang构筑的蠕虫级挖矿魔爪如何通过失陷Docker API野蛮生长，技术细节与防御策略

技术修道场 2025-05-30 08:00:33

近期，一种名为DeroMiner的加密货币挖矿恶意软件引起了安全社区的广泛关注。该恶意软件利用配置不当的Docker API实例进行大规模传播，攻击者通过未授权访问Docker API的2375端口，获取宿主机root用户权限。恶意软件的核心组件以Golang语言编写，包括伪装的“nginx”模块和挖矿模块“cloud”。攻击流程高度自动化，利用masscan工具进行IP端口扫描，并通过Docker CLI工具链进行横向传播。DeroMiner采用去中心化传播方式，不依赖传统的C2服务器，给网络安全防御带来挑战。文章建议采取严格的安全措施，如封锁Docker API暴露面、强制TLS加密与认证、精细化访问控制、强化容器安全等，以抵御此类威胁。

Malware Analysis Docker Security Golang Security Cryptojacking Worm-like Propagation Container Security P2P Networking Security Best Practices Threat Intelligence

0x16 新型Windows RAT来袭！破坏DOS/PE头隐身数周

道玄网安驿站 2025-05-30 07:00:56

“ 新招式。”

0x17 jndi植入agent马相关研究与测试

代码审计Study 2025-05-30 00:37:58

本文主要探讨了通过JNDI漏洞植入内存马的方法，尤其是针对Java环境下常见的漏洞，如log4j和fastjson。文章指出，Tomcat的filter内存马是常用的植入方式，但需要特定容器支持。对于其他Web容器，作者提出了使用agent马的方法，并展示了一个兼容性强的agent马代码示例。该agent马支持多种内存马工具，如冰蝎、哥斯拉、sou5和neo，并能实现shell和不出网代理的功能。文章还介绍了如何将agent马压缩植入到JNDI利用工具中，并通过反射调用注入agent马。最后，文章通过一个实战案例说明了agent马在护网测试中的应用，强调了其广泛的Web容器兼容性和实用性。

Java安全漏洞 JNDI攻击 内存马 Web容器漏洞 Agent马 实战测试 冰蝎，哥斯拉，sou5，neo内存马 代理服务

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

原文始发于微信公众号（洞见网安）：网安原创文章推荐【2025/5/30】