FreeBuf互联网安全新媒体平台

根据Enzoic的报告，2022年至2024年间，美国《财富》500强企业中有超过300万个与员工相关的企业账户被泄露。

大规模物联网数据泄露事件曝光27亿条记录，包含Wi-Fi密码，涉及全球设备用户，严重危及网络安全，呼吁立即采取措施保护敏感数据。

#File Scanner SSRF #Voting System RCE #Win注册表 #AlwaysInstallElevated #.MSI权限提升

#Spring Boot API #Cozy Cloud RCE #PostgreSQL #SSH权限提升

#HTB Printer #Server Operators sc.exe VSS权限提升

2024年，安天CERT捕获了多起挖矿木马的攻击活动，现将2024年典型的挖矿木马梳理形成组织/家族概览，进行分享。

思科否认指控，并透露泄露的凭证源于2022年5月发生的已披露的安全事件。

安天CERT从“赛博超脑”平台样本库中提取了上述两个僵尸网络所使用的僵尸木马样本，进行了进一步分析工作。

之前简单审计过DedeBIZ系统，网上还没有对这个系统的漏洞有过详尽的分析，于是重新审计并总结文章，记录下自己审计的过程。

VEP的披露一直存在数字缺失与公众疑虑的问题，在特朗普政府执政期间，这种信息不透明的问题可能会变得更严重。

SRC之若依系统弱口令恰分攻略

#Apache MQ RCE #Nginx ngx_http_dav_module权限提升

#.Git泄露 #ImageMagick-LFI #binwalk-v2.3.2权限提升

一、Inline Hook 技术原理1.1 Hook 技术分类在 Windows 系统中，Hook 技术主要分为两类：消息钩子：通过 SetWindowsHookEx拦截 GUI 消息代码级钩子：直接修改目标函数代码实现拦截Inline Hook（内联钩子）属于代码级钩子，其核心原理是通过修改目标函数入口处的指令，将其重定向到自定义函数，从而实现拦截和篡改。1.2 技术实现流程定位目标函数：获取函

该攻击利用间接提示词注入和延迟工具调用，破坏了AI的长期记忆，使得攻击者能够在用户会话之间植入虚假信息。

该漏洞编号为CVE-2025-21391，于2025年2月11日披露，属于权限提升漏洞，严重性被评定为“重要”级别。

本篇文章非常详细的讲述了xss-labs的过关流程，并且附上大多数关卡的源码来讲解作者考察的知识点和原理。

一、DeepSeek的快速接入：安全领域的"技术平权运动"在网络安全领域，大模型的落地正掀起一场"技术平权运动"。国内安恒、启明星辰等头部厂商近期密集官宣接入DeepSeek，标志着安全行业正式进入"大模型+垂直场景"的混战阶段。例如，国投智能推出的"星盾"威胁检测平台，以DeepSeek-R1为智能基座，通过多模态分析和实时攻防数据流训练，实现了DDoS攻击拦截效率提升40%、僵尸网络溯源时间缩

Fortinet警告称，攻击者利用零日漏洞CVE-2025-24472劫持防火墙，获取超级管理员权限，入侵企业网络。

中小企业如何在预算有限的情况下搭建一套可用流量检测与告警方案