Aggregator

适用于： Pornhub高级用户回复： Mixpanel 网络安全事件 2025日期： 2025年12月12日

HackerNews 编译，转载请注明出处： 一款名为PCPcat的新型恶意软件，通过针对性利用 Next.js 和 React 框架中的高危漏洞，在不到 48 小时内成功攻陷了 5.9 万余台服务器。 该恶意软件以 Next.js 部署环境为攻击目标，利用两个高危漏洞 ——CVE-2025-29927 和 CVE-2025-66478，实现无需身份验证的远程代码执行。攻击过程采用原型污染（prototype pollution）和命令注入（command injection）技术，在易受攻击的服务器上执行恶意命令。 这场攻击活动的成功率高达64.6%，在同类攻击行动中实属罕见。PCPcat 大规模扫描面向公众的 Next.js 应用程序，每批次测试2,000个目标，每30至60分钟运行一次此类扫描。 该恶意软件通过位于新加坡的一个命令控制服务器进行操作，该服务器协调着三个主要端口上的活动。 666 端口：恶意载荷分发中心 888 端口：处理反向隧道连接 5656 端口：运行主控制服务器，负责分配攻击目标并收集窃取的数据 安全研究人员在对 Docker 蜜罐进行持续监控时，通过对 C2 服务器的侦察，发现了该攻击行动的完整基础设施。 Beelzebub 的安全分析师指出，恶意软件在启动完整攻击链前，会先通过一条简单命令测试目标服务器是否存在漏洞。 一旦发现易受攻击的服务器，PCPcat 会提取环境配置文件、云服务凭证、SSH 密钥及命令历史文件，并通过无需身份验证的简单 HTTP 请求将窃取的信息回传至控制服务器。 窃取凭证后，恶意软件会尝试安装额外工具以维持长期控制，具体包括下载脚本在受攻陷服务器上部署 GOST 代理软件和 FRP 反向隧道工具 —— 这些工具能创建隐藏通道，即便初始漏洞被修复，攻击者仍可保持访问权限。 漏洞利用机制与代码执行流程 攻击的核心原理是向漏洞 Next.js 服务器发送特制 JSON 载荷，该载荷通过操纵 JavaScript 原型链，将命令注入子进程执行函数。恶意载荷结构如下： 该载荷可强制服务器执行攻击者指定的任意命令，执行结果会通过特殊格式的重定向响应头返回，使恶意软件能在不引发即时警觉的情况下提取数据。 随后，PCPcat 会系统性搜索高价值文件，包括.aws 文件夹中的 AWS 凭证、Docker 配置文件、Git 凭证以及包含近期执行命令的 bash 历史记录。 为实现持久化控制，恶意软件会创建多个系统服务，这些服务在被终止或服务器重启后会自动重启，持续运行代理工具和扫描工具，使受攻陷服务器始终处于僵尸网络中。 相关组件会安装在多个位置，确保至少有一个副本能在安全清理操作中幸存。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Plesk for Linux 中发现了一个严重的安全漏洞，可能允许用户在受影响的服务器上获取 root 访问权限。 该漏洞编号为 CVE-2025-66430，存在于 Plesk 的”密码保护目录”功能中，允许攻击者将任意数据注入 Apache 配置文件。 该漏洞源于”密码保护目录”功能对用户输入的处理不当。通过利用此漏洞，攻击者可以将恶意数据注入 Apache 配置，随后以 root 权限执行命令。 这代表一个关键的本地权限提升漏洞，对依赖 Plesk 进行服务器管理的组织构成了重大风险。 CVE ID 漏洞类型 受影响组件 CVE-2025-66430 本地权限提升 密码保护目录 任何有权访问”密码保护目录”功能的 Plesk 用户都可以利用此漏洞获取未经授权的 root 级别访问权限。 这使得攻击者能够以最高的系统权限执行任意命令，可能导致服务器完全被攻陷、数据盗窃、安装恶意软件或在网络内横向移动。 如果此漏洞未修补，运行受影响 Plesk 版本的组织将面临重大风险。从标准用户账户提升权限至 root 访问的能力，是服务器管理环境中最关键的安全威胁之一。 Plesk 已发布修复此漏洞的安全更新。 受影响的版本包括 Plesk 18.0.70 至 18.0.74。Plesk Onyx 安装也受到影响。 针对版本 18.0.73.5 和 18.0.74.2 的微更新已经发布，管理员应立即安装。为修复此漏洞，组织应立即更新其 Plesk 安装。 官方 Plesk 支持文档提供了在不同版本发布中安装更新的全面指南。 系统管理员应优先立即将所有受影响的 Plesk 安装更新至已修复的版本。 组织应审查”密码保护目录”功能的访问控制，并确保只有授权用户才能访问。 此外，建议监控日志中是否存在可疑的配置更改或命令执行尝试。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

年刊投稿活动奇安信攻防社区AI for securityAI安全稿费加20%，入选专刊再翻双倍《奇安信攻防社

HackerNews 编译，转载请注明出处： 一款名为 “Frogblight” 的复杂安卓银行木马已构成重大威胁，主要针对土耳其用户，采用欺骗手段窃取银行凭证和个人数据。 该恶意软件于2025年8月被发现，最初伪装成通过官方政府门户访问法庭案件文件的应用，后来演变为仿冒 Chrome 等流行应用的形式。 该恶意软件通过精心策划的社会工程手段进行传播。受害者会收到网络钓鱼短信，谎称其涉及法庭案件，短信中的链接会将用户导向旨在分发恶意应用的虚假政府网站。 一旦安装，”Frogblight” 便会请求访问敏感权限，包括读取和发送短信、访问存储空间以及获取设备信息。 当用户启动该应用时，欺骗行为仍在继续：它会通过嵌入式浏览器视图显示真实的政府网页，以制造一种虚假的真实感。 Securelist 的分析师指出，”Frogblight” 是一种多功能威胁，兼具银行盗窃能力和广泛的间谍软件功能。 该恶意软件会主动监控和记录短信、跟踪已安装的应用程序、监视设备文件系统，并能够向外部联系人发送任意文本消息。 最令人担忧的或许是，该恶意软件显示出持续活跃的开发迹象，在2025年9月期间增加了新功能，这表明其可能采用恶意软件即服务模式进行分发。 感染机制与指令架构 核心感染机制依赖于在受感染的 WebView 环境中注入 JavaScript 代码。当用户在恶意应用内显示的虚假政府门户网站上进行交互时，”Frogblight” 会悄无声息地捕获所有用户输入。 该恶意软件专门针对在线银行登录尝试，无论用户选择如何，都会在两秒延迟后自动启动银行登录屏幕。 与控制服务器的通信通过使用 Retrofit 库的 REST API 调用进行，恶意软件在活动期间每两秒向其控制器发送一次信号。 早期版本使用 REST API 端点来处理诸如获取待发消息、确认指令执行以及上传窃取的文件和数据等任务。 后续变种则转向使用 JSON 格式指令的 WebSocket 连接，以增强隐蔽性和持久性。 该恶意软件通过多个 Android 服务实现了复杂的持久化机制。AccessibilityAutoClickService 可防止应用被移除，同时打开攻击者指定的网站。PersistentService 负责处理与命令控制服务器的持续交互，而 BootReceiver 则通过任务调度和警报配置确保设备重启后恶意软件仍能持续存在。 “Frogblight” 还展示了其他规避技术，例如检测模拟器环境，以及使用地理围栏机制在美国境内禁用其功能。 在新版本的安卓系统上，该应用图标会变更为 “Davalarım”（土耳其语短语），而在较旧的系统上则保持隐藏。 卡巴斯基产品的检测签名包括 HEUR:Trojan-Banker.AndroidOS.Frogblight 及相关变种，有助于安全团队识别和拦截这一新兴威胁。 消息来源：cybersecuritynews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

大家好啊，这里是说的CTF

东胜物流代码审计分析

VCTF ez_app wp & 安卓逆向分析

反序列化字符逃逸

sknbCTF is a cybersecurity contest hosted by the Japanese CTF team "sknb."

MSSQL 横向：guest → appdev → 拖库 → Flask 哈希离线爆破 WinRM 喷洒：用 nxc 批量试口令，快速定位可用账户 BloodHound + SharpHound：图形化梳理 ACL 与攻击路径 BadSuccessor 漏洞利用：ligolo 打通隧道，bloodyAD 新建机器账户并配置 RBCD，Silver-Ticket 接管域控

最近这段时间，我一直在高强度地补课 LLM并陷入了一种对AGI的反思。

因幡電機産業株式会社が提供するチョコ停ウォッチャーminiには、複数の脆弱性が存在します。

作者：知道创宇404积极防御实验室 1. 引言 近年来，大型语言模型（LLM）在软件开发领域引入了革命性的新范式，Cursor、GitHub Copilot、Antigravity、Trae 等智能编程助手已经融入众多开发者的日常工作中，重塑了现代软件开发格局。根据 Github 2024 开发者调查报告显示 97% 的开发者使用过 AI 工具 ，许多组织现在高度依赖这些技术进行快速原型制作...

A vulnerability marked as problematic has been reported in Liferay Portal and DXP. Affected is an unknown function of the component Publications. This manipulation of the argument _com_liferay_change_tracking_web_portlet_PublicationsPortlet_ctCollectionId causes authorization bypass. The identification of this vulnerability is CVE-2025-62244. It is possible to initiate the attack remotely. There is no exploit available.

A vulnerability classified as problematic has been found in Liferay Portal and DXP. Affected by this issue is some unknown functionality of the component Publications. Performing manipulation of the argument _com_liferay_change_tracking_web_portlet_PublicationsPortlet_value results in incorrect authorization. This vulnerability is identified as CVE-2025-62243. The attack can be initiated remotely. There is not any exploit available.

A vulnerability was found in WatchGuard Fireware OS up to 12.11.4/2025.1.2. It has been declared as critical. The impacted element is an unknown function of the component Mobile User VPN. Executing manipulation can lead to release of reference. This vulnerability is handled as CVE-2025-11838. The attack can be executed remotely. There is not any exploit available.

A vulnerability, which was classified as problematic, was found in JetBrains TeamCity up to 2025.10. Affected by this vulnerability is an unknown functionality. The manipulation results in incorrect authorization. This vulnerability is reported as CVE-2025-67740. The attack can be launched remotely. No exploit exists. You should upgrade the affected component.

A vulnerability classified as problematic was found in IBM QRadar SIEM up to 7.5.0 UP13 IF02. This affects an unknown function. The manipulation results in cross site scripting. This vulnerability is reported as CVE-2025-36138. The attack can be launched remotely. No exploit exists. Upgrading the affected component is advised.

A vulnerability, which was classified as problematic, has been found in IBM QRadar SIEM up to 7.5.0 UP13 IF02. This impacts an unknown function of the component Web UI. This manipulation causes cross site scripting. This vulnerability appears as CVE-2025-36170. The attack may be initiated remotely. There is no available exploit. It is advisable to upgrade the affected component.