Aggregator

A vulnerability marked as critical has been reported in Google Android. This impacts the function trusty_ffa_mem_reclaim of the file shared-mem-smcall.c. Performing manipulation results in memory corruption. This vulnerability is identified as CVE-2025-36935. The attack is only possible with local access. There is not any exploit available. It is suggested to install a patch to address this issue.

A vulnerability marked as critical has been reported in JetBrains TeamCity up to 2025.10. The affected element is an unknown function. This manipulation causes path traversal. This vulnerability is tracked as CVE-2025-67742. The attack is possible to be carried out remotely. No exploit exists. It is suggested to upgrade the affected component.

各位师傅们可能常常对着web站点一顿猛干，可能搞了半天没出货，这个时候可以去试试对应的小程序去试试，小程序的洞还是比较好找的。这次的证书站是在做好信息搜集的情况下，不断寻找小漏洞然后最后拼成一个中危才拿下的。

本文针对远程访问木马 NjRAT 的变种 0.7d Green Edition 进行样本分析，从静态与动态两个层面系统梳理其关键特征。静态分析还原了其基于 .NET 的结构、入口流程、安装与持久化机制（自复制、自启动、防火墙放行、USB 传播）以及将自身标记为关键进程从而导致强制终止触发 BSOD 的自保护逻辑。动态分析则通过系统与网络行为观察其注册表和文件操作、C2 上线与心跳协议、Base64

第一届小米汽车守护活动圆满结束！

Громкий успех «экзотических» методов вызвал бурные споры в научном сообществе.

开发者往往在追求极致效率的同时，无意中将未经过严格审查的 AI 输出直接推入生产环境，后果可能从单点漏洞演变为系统性供应链灾难。

适用于： Pornhub高级用户回复： Mixpanel 网络安全事件 2025日期： 2025年12月12日

HackerNews 编译，转载请注明出处： 一款名为PCPcat的新型恶意软件，通过针对性利用 Next.js 和 React 框架中的高危漏洞，在不到 48 小时内成功攻陷了 5.9 万余台服务器。 该恶意软件以 Next.js 部署环境为攻击目标，利用两个高危漏洞 ——CVE-2025-29927 和 CVE-2025-66478，实现无需身份验证的远程代码执行。攻击过程采用原型污染（prototype pollution）和命令注入（command injection）技术，在易受攻击的服务器上执行恶意命令。 这场攻击活动的成功率高达64.6%，在同类攻击行动中实属罕见。PCPcat 大规模扫描面向公众的 Next.js 应用程序，每批次测试2,000个目标，每30至60分钟运行一次此类扫描。 该恶意软件通过位于新加坡的一个命令控制服务器进行操作，该服务器协调着三个主要端口上的活动。 666 端口：恶意载荷分发中心 888 端口：处理反向隧道连接 5656 端口：运行主控制服务器，负责分配攻击目标并收集窃取的数据 安全研究人员在对 Docker 蜜罐进行持续监控时，通过对 C2 服务器的侦察，发现了该攻击行动的完整基础设施。 Beelzebub 的安全分析师指出，恶意软件在启动完整攻击链前，会先通过一条简单命令测试目标服务器是否存在漏洞。 一旦发现易受攻击的服务器，PCPcat 会提取环境配置文件、云服务凭证、SSH 密钥及命令历史文件，并通过无需身份验证的简单 HTTP 请求将窃取的信息回传至控制服务器。 窃取凭证后，恶意软件会尝试安装额外工具以维持长期控制，具体包括下载脚本在受攻陷服务器上部署 GOST 代理软件和 FRP 反向隧道工具 —— 这些工具能创建隐藏通道，即便初始漏洞被修复，攻击者仍可保持访问权限。 漏洞利用机制与代码执行流程 攻击的核心原理是向漏洞 Next.js 服务器发送特制 JSON 载荷，该载荷通过操纵 JavaScript 原型链，将命令注入子进程执行函数。恶意载荷结构如下： 该载荷可强制服务器执行攻击者指定的任意命令，执行结果会通过特殊格式的重定向响应头返回，使恶意软件能在不引发即时警觉的情况下提取数据。 随后，PCPcat 会系统性搜索高价值文件，包括.aws 文件夹中的 AWS 凭证、Docker 配置文件、Git 凭证以及包含近期执行命令的 bash 历史记录。 为实现持久化控制，恶意软件会创建多个系统服务，这些服务在被终止或服务器重启后会自动重启，持续运行代理工具和扫描工具，使受攻陷服务器始终处于僵尸网络中。 相关组件会安装在多个位置，确保至少有一个副本能在安全清理操作中幸存。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Plesk for Linux 中发现了一个严重的安全漏洞，可能允许用户在受影响的服务器上获取 root 访问权限。 该漏洞编号为 CVE-2025-66430，存在于 Plesk 的”密码保护目录”功能中，允许攻击者将任意数据注入 Apache 配置文件。 该漏洞源于”密码保护目录”功能对用户输入的处理不当。通过利用此漏洞，攻击者可以将恶意数据注入 Apache 配置，随后以 root 权限执行命令。 这代表一个关键的本地权限提升漏洞，对依赖 Plesk 进行服务器管理的组织构成了重大风险。 CVE ID 漏洞类型 受影响组件 CVE-2025-66430 本地权限提升 密码保护目录 任何有权访问”密码保护目录”功能的 Plesk 用户都可以利用此漏洞获取未经授权的 root 级别访问权限。 这使得攻击者能够以最高的系统权限执行任意命令，可能导致服务器完全被攻陷、数据盗窃、安装恶意软件或在网络内横向移动。 如果此漏洞未修补，运行受影响 Plesk 版本的组织将面临重大风险。从标准用户账户提升权限至 root 访问的能力，是服务器管理环境中最关键的安全威胁之一。 Plesk 已发布修复此漏洞的安全更新。 受影响的版本包括 Plesk 18.0.70 至 18.0.74。Plesk Onyx 安装也受到影响。 针对版本 18.0.73.5 和 18.0.74.2 的微更新已经发布，管理员应立即安装。为修复此漏洞，组织应立即更新其 Plesk 安装。 官方 Plesk 支持文档提供了在不同版本发布中安装更新的全面指南。 系统管理员应优先立即将所有受影响的 Plesk 安装更新至已修复的版本。 组织应审查”密码保护目录”功能的访问控制，并确保只有授权用户才能访问。 此外，建议监控日志中是否存在可疑的配置更改或命令执行尝试。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

年刊投稿活动奇安信攻防社区AI for securityAI安全稿费加20%，入选专刊再翻双倍《奇安信攻防社

HackerNews 编译，转载请注明出处： 一款名为 “Frogblight” 的复杂安卓银行木马已构成重大威胁，主要针对土耳其用户，采用欺骗手段窃取银行凭证和个人数据。 该恶意软件于2025年8月被发现，最初伪装成通过官方政府门户访问法庭案件文件的应用，后来演变为仿冒 Chrome 等流行应用的形式。 该恶意软件通过精心策划的社会工程手段进行传播。受害者会收到网络钓鱼短信，谎称其涉及法庭案件，短信中的链接会将用户导向旨在分发恶意应用的虚假政府网站。 一旦安装，”Frogblight” 便会请求访问敏感权限，包括读取和发送短信、访问存储空间以及获取设备信息。 当用户启动该应用时，欺骗行为仍在继续：它会通过嵌入式浏览器视图显示真实的政府网页，以制造一种虚假的真实感。 Securelist 的分析师指出，”Frogblight” 是一种多功能威胁，兼具银行盗窃能力和广泛的间谍软件功能。 该恶意软件会主动监控和记录短信、跟踪已安装的应用程序、监视设备文件系统，并能够向外部联系人发送任意文本消息。 最令人担忧的或许是，该恶意软件显示出持续活跃的开发迹象，在2025年9月期间增加了新功能，这表明其可能采用恶意软件即服务模式进行分发。 感染机制与指令架构 核心感染机制依赖于在受感染的 WebView 环境中注入 JavaScript 代码。当用户在恶意应用内显示的虚假政府门户网站上进行交互时，”Frogblight” 会悄无声息地捕获所有用户输入。 该恶意软件专门针对在线银行登录尝试，无论用户选择如何，都会在两秒延迟后自动启动银行登录屏幕。 与控制服务器的通信通过使用 Retrofit 库的 REST API 调用进行，恶意软件在活动期间每两秒向其控制器发送一次信号。 早期版本使用 REST API 端点来处理诸如获取待发消息、确认指令执行以及上传窃取的文件和数据等任务。 后续变种则转向使用 JSON 格式指令的 WebSocket 连接，以增强隐蔽性和持久性。 该恶意软件通过多个 Android 服务实现了复杂的持久化机制。AccessibilityAutoClickService 可防止应用被移除，同时打开攻击者指定的网站。PersistentService 负责处理与命令控制服务器的持续交互，而 BootReceiver 则通过任务调度和警报配置确保设备重启后恶意软件仍能持续存在。 “Frogblight” 还展示了其他规避技术，例如检测模拟器环境，以及使用地理围栏机制在美国境内禁用其功能。 在新版本的安卓系统上，该应用图标会变更为 “Davalarım”（土耳其语短语），而在较旧的系统上则保持隐藏。 卡巴斯基产品的检测签名包括 HEUR:Trojan-Banker.AndroidOS.Frogblight 及相关变种，有助于安全团队识别和拦截这一新兴威胁。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

大家好啊，这里是说的CTF

东胜物流代码审计分析

VCTF ez_app wp & 安卓逆向分析

反序列化字符逃逸

sknbCTF is a cybersecurity contest hosted by the Japanese CTF team "sknb."

MSSQL 横向：guest → appdev → 拖库 → Flask 哈希离线爆破 WinRM 喷洒：用 nxc 批量试口令，快速定位可用账户 BloodHound + SharpHound：图形化梳理 ACL 与攻击路径 BadSuccessor 漏洞利用：ligolo 打通隧道，bloodyAD 新建机器账户并配置 RBCD，Silver-Ticket 接管域控

最近这段时间，我一直在高强度地补课 LLM并陷入了一种对AGI的反思。

因幡電機産業株式会社が提供するチョコ停ウォッチャーminiには、複数の脆弱性が存在します。