FreeBuf互联网安全新媒体平台

#snmp #SQLI #SSH #IPV6 #BOF #NOP-Sled权限提升

随着网络暴力的升级，“开盒”逐渐从信息曝光演变为“人肉搜索＋系统性暴力”的结合体。

Kali Linux 2025.1a 发布，新增 Hoaxshell 工具，全新主题和桌面更新，提升安全测试体验。

利用合法系统进程的未使用内存页注入 shellcode，通过内存地址随机化+熵值混淆技术。

介绍一部分信息收集的方法

研究人员利用“沉浸式世界”技术越狱顶级LLM，成功打造完全可用的Google Chrome信息窃取工具。

AMI BMC 存在严重漏洞，攻击者可远程绕过认证，完全控制服务器，可能导致恶意软件部署、固件篡改甚至硬件损坏。

mySCADA myPRO曝重大漏洞，攻击者可控制工业设施，未授权访问或致严重运营中断和财务损失。CVSS评分9.3，命令注入风险极高。

​CVE-2025-24813 RCE复现 ​免责声明：本文只用作技术分析和学习，任何利用本文内容进行非法攻击的行为均与作者无关！！！

VPN漏洞成为威胁行为者攻击组织的关键工具，勒索软件攻击与之直接相关，全球大量FortiGate设备被攻陷，数据泄露严重。

CISA 警告 GitHub Action 供应链攻击已遭利用。

网络钓鱼攻击绕过了现有防御，MFA 不再安全，凭据窃取和账户接管威胁加剧！企业需突破传统防护，从浏览器层面拦截攻击，防止身份安全危机。

Windows文件管理器漏洞CVE-2025-24071可导致攻击者通过解压文件窃取NTLM哈希，无需用户交互，PoC已发布。

Miniconda的安装与环境变量配置。Conda虚拟环境的创建与激活。NVIDIA 驱动与 CUDA 版本检查。PyTorch 2.6.0 的安装与验证。本指南适用于Windows 10 64 位系

新型“规则文件后门”攻击利用AI代码编辑器注入恶意代码，通过隐藏的Unicode字符绕过审查，操纵AI生成有害代码，构成供应链风险，影响数百万用户。

新型广告欺诈活动利用331款恶意应用，展示侵扰性广告并实施钓鱼攻击，已影响超6000万用户。

知名头部安全厂商押注AI/数据赋能安全；Cloudflare 提升防御能力，应对未来量子安全威胁

本文中主要集中在hutool这一常用组件中，在动态代理以及JDBC attack这两个角度在利用过程中可能存在的一部分链子。

Bybit遭黑，超40万ETH被盗！

威胁行为者利用ChatGPT的SSRF漏洞（CVE-2024-27564）针对美国金融和政府机构发起攻击，一周内超过1万次尝试，凸显中等漏洞的潜在危险性。