Aggregator

North Korean state-sponsored remote IT workers have significantly evolved their infiltration tactics, incorporating artificial intelligence tools and sophisticated deception techniques to penetrate organizations worldwide. Since 2024, these highly skilled operatives have enhanced their fraudulent employment schemes by leveraging AI-powered image manipulation, voice-changing software, and professional photo enhancement to create more convincing fake identities. The operation […]

The post North Korean Remote IT Workers Added New Tactics and Techniques to Infiltrate Organizations appeared first on Cyber Security News.

You must login to view this content

You must login to view this content

Human trafficking tied to online scam centers is spreading across the globe, according to a new crime trend update from INTERPOL. Human trafficking victims by country of origin (Source: INTERPOL) By March 2025, people from 66 countries had been trafficked into these scam operations, with every continent affected. INTERPOL found that 74% of victims were taken to scam centers in Southeast Asia, the original hotspot for this type of crime. But these centers are now … More →

The post Scam centers are spreading, and so is the human cost appeared first on Help Net Security.

分析发现 Solon 框架在3.1.0版本上存在一个有意思的模板漏洞，对这个漏洞进行简单分析后，发现整个漏洞的利用链是非常有意思的。同时发现最新版的修复方式过于简单，询问 AI 后，AI 也认为修复也是不完善的安全修复，于是进行一系列的绕过尝试，最后还是没有利用成功，简单进行分享。

Solon 是一个轻量级的 Java 应用开发框架，类似于 Spring Boot ，但更加轻量。支持多种模板引擎，包括 Beetl、FreeMarker、Velocity 等。在模板处理方面，Solon 采用了灵活的渲染器映射机制，也是出现这个漏洞的关键原因。

https://solon.noear.org/start/build.do?artifact=helloworld_jdk8&project=maven&javaVer=1.8

可以下载 solon 的项目模板 并进行修改

修改一下 pom.xml 文件 设置 solon 的版本为 3.1.0

将原本的视图插件 solon-view-freemarker 替换为以下的任意一种

‍

在 DemoController.java 中 添加代码 并启动运行

我们选用视图插件solon-view-velocity，不同的视图插件对跨目录的处理有所不同，之后会对此进行详细解释

可以看到传入的参数通过 ../ 实现了跨目录的文件读取并将内容解析到页面上

通过调试对这个漏洞进行分析

遇到这种情况有一个小的 tips 我们可以通过尝试加载一个不存在的文件，这样 idea 的控制台中会输出相对详细的调用链，方便我们下断点进行调试分析。

org.noear.solon.core.handle.RenderManager#render

这里会根据文件后缀来选择视图插件，如果没有匹配的就选择用默认渲染器来处理

org.noear.solon.view.velocity.VelocityRender#render

org.noear.solon.view.velocity.VelocityRender#render_mav

org.apache.velocity.runtime.RuntimeInstance#getTemplate(java.lang.String, java.lang.String)

org.apache.velocity.runtime.resource.ResourceManagerImpl#getResource

‍

整体流程顺下来应该是

用户输入 → Context.param() → ModelAndView() → RenderManager.render()→ 模板引擎处理

在模板引擎处理之前没有对模板文件的路径进行处理和限制，这样一来如果模板引擎处理的时候没有对模板文件的路径进行处理时，就会产生任意文件读取漏洞。

我们可以尝试看看利用别的视图插件看看效果如何。

我们看到 freemarker 对 模板文件的路径进行了处理，不允许跨目录的访问

org.noear.solon.view.freemarker.FreemarkerRender#render

org.noear.solon.view.freemarker.FreemarkerRender#render_mav

freemarker.template.Configuration#getTemplate(java.lang.String, java.lang.String)

freemarker.template.Configuration#getTemplate(java.lang.String, java.util.Locale, java.lang.Object, java.lang.String, boolean, boolean)

freemarker.cache.TemplateCache#getTemplate(java.lang.String, java.util.Locale, java.lang.Object, java.lang.String, boolean)

调用 name = templateNameFormat.normalizeRootBasedName(name); 来对传入的模板文件名进行处理

freemarker.cache.TemplateNameFormat.Default020300#normalizeRootBasedName

对传入的参数进行规范化处理，以确保安全并处理路径中的特殊序列。

org.noear.solon.core.handle.RenderManager#getViewRender

我们注意到修复方式是添加了这一部分代码

看起来处理方式简单粗暴，实际上是非常有效的

用户输入 → Context.param() → ModelAndView() → RenderManager.render()→ RenderManager.getViewRender()安全检测→模板引擎处理

在模板引擎处理之前就添加了对传入路径的检测，一次 url 编码无法绕过，两次 url 编码虽然可以绕过检测，但是实际处理时，找不到文件所在的位置，再加上并不是从根目录开始读取文件的，最前面还存在目录限制，所以这样一来就无法利用这个漏洞了。

Security researchers have uncovered severe vulnerabilities in Django that could allow attackers to execute arbitrary code on affected systems. These flaws, ranging from directory traversal to log injection, highlight critical security risks in one of Python’s most popular web frameworks. Recent Security Advisories Django’s security team addressed multiple vulnerabilities in 2025: Exploit Chain: Directory Traversal […]

The post Django App Vulnerabilities Allow Remote Code Execution appeared first on GBHackers Security | #1 Globally Trusted Cyber Security News Platform.

题目描述：某某文化有限公司的运维小王刚刚搭建服务器发现cpu莫名的异常的升高请你帮助小王排查一下服务器，flag格式为：flag{CVE-2020-12345}

查看Administrator的桌面，存在CrushFTP

搜CrushFTP近期CVE漏洞

题目描述：flag为配置名称（无空格）

可能的原因分析

1. 计划任务（Task Scheduler）

• Windows 默认有一些维护任务（如 Defrag 碎片整理、WindowsUpdate 自动更新）可能在夜间运行。

• 检查 taskschd.msc（任务计划程序）中的任务。

2. Windows Update 自动更新

• WindowsUpdate 可能配置为夜间自动更新，占用大量资源。

3. 磁盘碎片整理（Defrag）

• 默认情况下，Windows 会定期进行磁盘优化（ScheduledDefrag）。

4. 防病毒扫描（Windows Defender 或第三方杀毒软件）

• 可能设置了夜间全盘扫描。

5. 资源占用高的服务

• 如 Superfetch（SysMain）、Windows Search 索引服务可能导致卡顿。

6. 虚拟内存（Pagefile）配置问题

• 如果虚拟内存设置不合理，可能导致系统变卡。

根据以上思路，找到了恶意的计划任务，如下图

sql backing up就是导致每晚卡顿的原因

• 知识：

C:\Windows\System32\Tasks 是 Windows 操作系统存储计划任务（Scheduled Tasks）的默认路径。

也可以通过 任务计划程序（taskschd.msc） 管理所有任务

题目描述：flag格式为：flag{xxx.xxxxxxxx.xxx}

查看计划任务调用的内容

这段代码是一个 XML 格式的操作指令，通常用于自动化任务或系统配置中。具体解释如下：

1. <Actions Context="Author"> 表示这是一个"作者上下文"的操作（可能是创建或设计阶段使用的操作）

2. <Exec> 执行命令的指令

3. <Command>"C:\Program Files\Microsoft SQL Server\90\Shared\sqlwsmprovhost.vbs"</Command> 指定要执行的命令是运行位于 SQL Server 2005(版本90)共享目录下的一个 VBScript 文件

找到该路径下的sqlwsmprovhost.vbs文件，并查看，如下图

这段 VBScript 代码的功能是创建一个 WScript.Shell 对象，并运行一个名为 sqlwscript.cmd 的批处理文件（隐藏窗口运行）。具体解释如下：

1. WScript.Shell

• 是 Windows 脚本宿主（WSH）提供的对象，用于执行系统命令、操作注册表、运行程序等。

• 这里主要用于运行外部程序（.cmd 文件）。

2. ws.Run """sqlwscript.cmd""", 0

• Run 方法用于执行指定的程序或命令。

• """sqlwscript.cmd""" 的写法是因为 VBScript 需要用双引号包裹路径，而路径本身可能包含空格，所以用 "" 进行转义（相当于 "sqlwscript.cmd"）。

• 0 表示运行时不显示窗口（隐藏运行）。

然后，打开sqlwscript.cmd查看如下：

这段批处理脚本 (sqlwscript.cmd) 是一个 无限循环执行的挖矿脚本，通常用于 加密货币挖矿（可能是恶意挖矿程序）。以下是详细分析：

• 关闭命令回显，使脚本运行时不会显示执行的命令（隐蔽执行）。

• 切换到脚本所在的目录（%~dp0 表示当前批处理文件的完整路径）。

• 确保脚本能正确访问同目录下的文件（如 sqlwpr.exe）。

• 定义一个标签 :start，用于循环跳转。

• sqlwpr.exe 是一个 加密货币挖矿程序（可能是恶意软件）。

• 参数解析：

• -a rx/0：指定挖矿算法（RandomX，常用于门罗币 Monero/XMR 挖矿）。

• --url b.oracleservice.top：连接到的矿池服务器地址（矿工提交算力并获取奖励）。

• --user 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ：挖矿钱包地址（收益归攻击者所有）。

• -t 0：使用所有可用的 CPU 线程挖矿（最大化资源占用）。

• 跳回 :start 标签，形成无限循环，确保挖矿程序持续运行（即使崩溃也会重启）。

所以 恶意域名是矿池服务器地址

1. 这是一个隐蔽的恶意挖矿脚本：

• 通过 @echo off 和隐藏窗口运行（结合之前的 VBScript）来避免被发现。

• 无限循环确保挖矿程序长期驻留。

2. 使用的技术：

• RandomX 算法（rx/0）通常用于 门罗币（XMR） 挖矿。

• 矿池地址 b.oracleservice.top 可能是攻击者控制的服务器。

• 钱包地址 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ 用于接收挖矿收益。

3. 影响：

• CPU 资源占用极高，导致系统变卡、发热增加。

• 长期运行会增加电费消耗，并可能缩短硬件寿命。

• 可能是通过木马或漏洞植入的（如恶意软件、钓鱼攻击等）。

1. 立即终止恶意进程：

• 打开任务管理器（Ctrl+Shift+Esc），结束 sqlwpr.exe 和 wscript.exe 进程。

• 检查后台程序，关闭可疑项目。

2. 删除相关文件：

• 找到脚本所在目录（%~dp0），删除 sqlwscript.cmd 和 sqlwpr.exe。

• 检查启动项（msconfig 或 任务管理器 > 启动），移除恶意条目。

3. 安全防护：

• 使用杀毒软件（如 Windows Defender、Malwarebytes）全盘扫描。

• 检查系统是否被植入其他后门（如远控木马）。

4. 防止再次感染：

• 不要随意运行来历不明的脚本或程序。

• 保持系统和软件更新，修补安全漏洞。

题目描述：flag格式为：flag{123XXX}（无空格注意大小写）

搜索恶意域名，发现是8220挖矿组织

继续搜索8220挖矿组织，搜到其全名

最终 该组织为8220 Gang

题目描述：flag格式为：flag{123.123.123.123}

查看挖矿程序的上传时间，确定时间大概在2025.5.27 23:20:00左右

查询windows的安全日志，筛选 5156 事件（Windows 过滤平台放行连接），逐一查询这段时间之后powershell的出战痕迹

当然，也可以直接导出筛选日志进行关键词搜索

将已筛选的日志导出为txt文件，然后直接搜索powershell.exe关键词，找出可疑的出站目的IP地址，即为C2服务器IP

CAPTCHAs are the most recognizable anti-bot mechanism on the web. Whether you're logging into a game, signing up for a new service, or checking out online, chances are you've been asked to click on traffic lights, solve a puzzle, or interpret distorted letters. These tests—

The post CAPTCHAs 101: what they are, how they work, and where they fall short appeared first on Security Boulevard.

The Cybersecurity and Infrastructure Security Agency (CISA), along with the FBI, Department of Defense Cyber Crime Center, and National Security Agency, has issued an urgent warning regarding potential cyber attacks by Iranian-affiliated actors targeting U.S. critical infrastructure. Despite ongoing ceasefire negotiations and diplomatic efforts, these threat actors continue to pose significant risks to American networks […]

The post CISA Warns of Iranian Cyber Actors May Attack U.S. Critical Infrastructure appeared first on Cyber Security News.

应用服务器 TongWeb v7 全面支持 JavaEE7 及 JavaEE8规范，作为基础架构软件，位于操作系统与应用之间，帮助企业将业务应用集成在一个基础平台上，为应用高效、稳定、安全运行提供关键支撑，包括便捷的开发、随需应变的灵活部署、丰富的运行时监视、高效的管理等。

本文对该中间件部分公开在互联网，但未分析细节的漏洞，进行复现分析：

sysweb后台上传getshell：

在互联网搜索发现该版本存在sysweb后台文件下载，可惜却没有复现细节，且访问显示如下：

发现通过默认口令thanos/thanos123.com无法登录，且未发现任何相关的默认口令：

于是自己找到配置文件查看权限校验情况：

\sysweb\WEB-INF\web.xml：

发现配置情况如上，一切/*请求均需要admin权限才行，但目前互联网暂未发现任何其他相关权限账号，自己尝试admin相关弱口令也均为成功，于是继续寻找用户相关功能点：

点击安全服务--安全域管理：

点击该安全域：找到默认账户的thanos用户：

点击保存，查看数据包：

发现该账户的userRole为tongweb与sysweb要求的admin并不匹配，于是点击创建用户：

但并未发现可以随意设置用户的useRole，于是点击保存，并拦截数据包：

将空白的userRole设置为admin，并放包：

发现创建成功。于是尝试sysweb登录：

发现仅仅是如上页面，但是至少权限问题解决了。

接着返回sysweb的配置文件:

跟进分析：

发现未进行任何校验过滤，直接通过parseFileName()方法解析header获取文件名赋值给fileName。

构造如下文件上传数据包：

上传成功，shell加一：

任意文件下载漏洞：

默认账号密码:thanos/thanos123.com登录后台，在快照管理处存在下载功能点：

点击下载抓包查看：

下载文件打包成压缩包下载：

如上，疑似存在下载漏洞，跟进路由：

如上，先找到类级别的路径位置，注解表示由/rest/monitor/snapshots根路径发起的请求均会被该类处理。

随后再找到方法级别的路由位置，download的post请求均会被该方法处理：

可见该方法接收了前面数据包传输的参数filename，并赋值给snapshotname参数。

分析如上代码存在以下路径：

Path：根路径，由system.getProperty/temp/download组成

snapshotRootPath：由path/snapshotname组成。

随后进入AgentUtil.receiveFileOrDir()进行目标文件压缩，下载，且此处未进行任何校验：

但如果直接修改数据包filename进行任意文件下载依然会失败，因为紧接着代码进行了如下校验：

判断下载路径snapshotRootPath的父路径是否是path，也就是对snapshotname与path拼接后的路径进行校验，如果snapshotname值为../../或者为/a/b这种格式则无法通过校验，也就是限制了跨目录操作。

但回过头来查看具体下载操作：

是通过fileOrDir路径与snapshotRootPath进行文件下载的，查找location的值：

且发现location参数值可控：

于是先通过如下数据包修改location的值(修改为想任意下载的目录)：

随后再进行下载：

如下，下载成功：