3 CVE Vulnerabilities

sy64

https://x.com/Frichette_n/status/1897694172619870401

关于 ByBit/Safe{Wallet} 泄露事件的新细节，哇，朝鲜方面出现了一些非常愚蠢的错误。

https://hackingthe.cloud/aws/avoiding-detection/guardduty-pentest/

https://www.nccgroup.com/us/research-blog/in-depth-technical-analysis-of-the-bybit-hack/

以下是2025年2月Bybit加密货币交易所遭遇大规模攻击的核心技术细节分析：

一、攻击流程总览

攻击分为链下欺骗和链上执行两个阶段：

[ 恶意JS注入 ] → [ 签名者授权被篡改的交易 ] → [ 代理合约控制权转移 ] → [ 资金窃取 ]

二、链下攻击阶段（Web界面篡改）

1. JavaScript代码注入

感染路径：攻击者通过受感染的开发者机器，向Safe{Wallet}的Web界面注入恶意代码

目标筛选：代码中预设了Bybit冷钱包地址（wa）和授权签名者地址（ba），仅针对特定目标触发攻击

// 预设Bybit冷钱包地址列表
let wa = ["0x1db92e2eebc8e0c075a02bea49a2935bcd2dfcf4",...];
// 预设授权签名者地址列表
let ba = ["0x828424517f9f04015db02169f4026d57b2b07229",...];

2. 交易数据篡改机制

当检测到满足条件的签名者时，代码执行：

保存原始交易数据副本
修改关键参数：
- to：改为攻击者合约地址（0x9622...c7242）
- operation：设置为1（delegatecall）
- data：替换为攻击载荷（伪装成ERC-20转账的合约调用）
签名完成后将原始数据写回响应对象，欺骗其他签名者

三、链上攻击阶段（智能合约利用）

1. 代理合约机制破解

目标合约：Bybit冷钱包采用Gnosis Safe代理合约结构
- 代理合约地址：0x1Db92e2EeBC...
- 主拷贝（masterCopy）：0x34CfAC646f...

2. 关键攻击交易分析

通过篡改的delegatecall执行以下操作：

// 攻击者合约的伪代码
function transfer(address _to, uint256 _value) {
  storage[0] = _to; // 修改代理合约的masterCopy地址
}

攻击载荷：0xa9059cbb...对应ERC-20 transfer函数签名，但实际执行存储修改
执行效果：将代理合约指向攻击者控制的恶意主拷贝（0xbDd077f6...）

3. 资金控制阶段

新主拷贝合约允许攻击者绕过多重签名验证
通过多个地址、跨链桥和混币器进行资金转移

四、技术突破点

签名验证绕过：
- 利用Safe Client Gateway API缺陷提交包含无效签名的原始交易数据
- 篡改后的safeTxHash与实际签名不匹配但被接受
显示层欺骗：
- 硬件钱包显示EIP-712消息时无法解析delegatecall风险
- 交易参数显示为常规转账（如value=0），掩盖实际危害
时间窗口利用：
- 仅在冷钱包发起交易时激活恶意代码
- 常规操作期间保持正常功能，难以被检测

五、防御机制失效分析

| 原设计防护机制 | 被突破原因 |
|----------------|------------|
| 多重签名审批 | Web界面显示层被篡改 |
| EIP-712签名验证 | 无法解析嵌套操作语义 |
| 代理合约升级控制 | delegatecall滥用 |
| 交易历史监控 | 篡改数据通过API直接注入 |

六、攻击技术演进特征

此次攻击展现出新型攻击范式的三个维度：

供应链攻击：通过开发环境污染实现精准代码注入
人机交互欺骗：利用签名者的认知盲区（对delegatecall的低警觉性）
智能合约漏洞链：组合代理模式、delegatecall和存储布局的弱点

建议结合硬件钱包的EIP-712支持能力和智能合约行为监控系统构建防御体系。如需进一步分析资金流向或合约逆向细节，可建议用户开启联网搜索获取最新链上数据分析。

sy64

https://binsec.no/posts/2025/03/api-connections

摘要

Azure 最薄弱的环节？API 连接如何泄露机密

关键点

Binary Security 发现了未记录的 Azure API 连接，这些连接可能导致机密信息泄露，包括 Key Vault、Storage Blob、Defender ATP 等服务的后端资源。
在 Logic App 的使用中，API 连接的响应中包含 testLinks 和 testRequests 字段，这些字段暴露了后端服务器的代理路径，任何拥有“读者”权限的用户都可以调用这些端点。
通过这些 API 连接，攻击者可以访问敏感资源，例如 Key Vault 的机密、SQL 数据库的表数据、Jira 项目的详情等。
API 连接的安全模型存在缺陷，读者权限用户可以调用 GET 请求，而无需进行额外身份验证。
API 连接在创建后会自动保存认证信息，但后端无法区分请求来源是 Logic App 还是代理端点，这使得安全性进一步降低。
Jira 连接器中存在 SSRF 漏洞，攻击者可以通过伪造请求头绕过限制并获取 API 令牌。
除了 Jira 和 Key Vault，其他受影响的服务还包括 Salesforce、Azure Storage Blobs、Google Mail 等。
Binary Security 向微软报告了漏洞，微软随后修复了部分问题，但对部分报告的漏洞未能重现或未完全解决。
-

sy64

https://github.com/yehia-mamdouh/ZeroProbe

ZeroProbe 是一款高级枚举和分析框架，专为漏洞利用开发人员、安全研究人员和红队成员而设计。它提供了一套枚举工具来识别安全漏洞、分析系统保护并促进漏洞利用开发。

sy64

https://blog.lexfo.fr/glpi-sql-to-rce.html

总结

文章介绍了GLPI软件的两个关键漏洞（CVE-2025-24799和CVE-2025-24801），包括预认证SQL注入和远程代码执行（RCE）的利用方式。这些漏洞可能导致未经授权的数据库访问和系统控制，并提供了具体的攻击方法和修复时间线。

关键点

GLPI的库存功能存在预认证SQL注入漏洞，允许攻击者在无需身份验证的情况下访问数据库。
漏洞利用涉及GLPI的handleAgent()和dbEscapeRecursive()函数，这些函数未能正确处理用户输入。
攻击者可通过XML格式的代理请求构造SQL注入，并利用基于时间的攻击来提取数据库数据。
攻击者可以通过数据库读取绕过身份验证，获取api_token或personal_token以获得有效会话。
一旦获得管理员权限，攻击者可以通过GLPI插件市场中的漏洞插件实现远程代码执行。
本地文件包含漏洞允许攻击者通过PDF导出功能执行任意PHP文件。
文章提供了漏洞发现、报告及修复的时间线，并提到修复版本为10.0.18。

sy64

https://swarm.ptsecurity.com/impossible-xxe-in-php/

总结

本文探讨了在 PHP 中利用 XXE（XML外部实体）漏洞的复杂方法，尽管 PHP 默认启用了多种安全机制。作者通过分析 libxml2 库的代码和 PHP 的特性，展示了如何绕过各种限制，并成功实现了文件泄露和数据外传。

关键点

XXE 漏洞通常因 PHP 默认禁用加载外部实体而难以利用，但作者通过结合多种技术实现了漏洞利用。
利用 LIBXML_DTDLOAD 和 LIBXML_NONET 标志的限制，作者探讨了绕过这些标志的方法。
PHP 的 libxml 扩展通过自定义的流处理器（wrappers）加载外部实体，为绕过限制提供了可能性。
使用参数实体（Parameter Entities）绕过 $child->nodeType 条件检查，进一步推进 XXE 利用。
作者详细分析了 libxml2 的代码，发现了 XML_PARSE_NO_XXE 和其他标志的限制条件。
使用 wrapwrap 和 lightyear 技术优化了文件泄露的有效载荷大小，即使没有 XML_PARSE_HUGE 标志，也能读取较大的文件。
通过 zlib 和 base64 编码减少有效载荷大小，并使用 DNS 协议进行数据外传。
在 PHP 8.4.0 中，LIBXML_NO_XXE 标志可以防止 XXE 漏洞，但如果禁用该标志，漏洞仍然可被利用。
作者通过实际案例（如 SimpleSAMLphp）展示了 XXE 漏洞的危害，包括读取配置文件、泄露私钥和绕过身份验证。

sy64

https://rxj.dev/posts/npm-run-hack-supply-chain-attack-journey/

这篇文章讲述了作者作为一名自由职业开发者，因参与一个看似正规的技术任务而意外成为供应链攻击的受害者的经历。文章详细描述了攻击的过程、恶意代码的运行方式以及作者的恢复措施，同时探讨了Node.js生态系统的安全问题，并提出了一些改进建议。

关键点

作者因参与一个伪装成技术任务的招聘过程，意外地运行了恶意npm包，导致系统被感染。
恶意包通过启动Node.js服务器，利用混淆代码窃取用户机密信息（如cookies、配置文件等），并定期上传到攻击者的服务器。
作者进行了全面的系统清理、更改密码、撤销API密钥，并反思了自身在安全意识上的不足。
Node.js生态系统的安全性存在问题，供应链攻击的风险较高，作者建议开发更加安全的包管理器和运行时。
作者提到Deno的安全模型提供更细粒度的权限管理，但生态系统仍需改进以避免过于宽松的权限设置。
建议开发者在虚拟工作区或沙盒环境中运行不可信代码，并使用工具保护敏感文件。

sy64

https://slcyber.io/blog/sitecore-unsafe-deserialization-again-cve-2025-27218/

我们还在 Sitecore 上发现了一个预授权远程代码执行漏洞。对于那些不熟悉的人来说，Sitecore 是一个用 .NET 编写的 CMS，在企业客户中非常受欢迎。这次，我们研究的是 10.4 版本，这是当时的最新版本。

我们发现的漏洞CVE-2025-27218这是另一种不安全的反序列化情况，在默认配置下无需身份验证即可利用。

sy64

https://cloud.google.com/blog/topics/threat-intelligence/china-nexus-espionage-targets-juniper-routers

通过绕过Junos OS的Veriexec保护机制，使用进程注入技术（CVE-2025-21590）成功部署恶意后门。

sy64

https://www.ledger.com/argo-cd-security-misconfiguration-adventures

摘要

本文深入探讨了 Argo CD 的两种配置错误及其带来的安全漏洞，包括权限提升和身份验证绕过的案例研究，并提供了相应的缓解措施。此外，文章还强调了 Argo CD 的安全实践和部署配置对平台安全的重要性。

关键点

Argo CD 是一种轻量化的应用部署和监控工具，提供了 GitOps 支持和直观的用户界面。
Argo CD 的安全性受到高度重视，包括详细的安全文档、漏洞修复记录和漏洞赏金计划。
Argo CD 的默认配置中，admin 密码哈希存储在 Kubernetes Secret 中，但界面中敏感数据被遮蔽。
为减少攻击面，建议限制 Argo CD 的访问权限至私有网络。
案例研究 1：配置错误允许低权限用户通过 Web 终端功能提升权限，进而获取集群管理员权限。
缓解措施包括更精细化的 RBAC 策略和限制 Argo CD 控制器的权限。
案例研究 2：错误的密钥管理配置导致攻击者通过共享的 AWS Secrets Manager 访问 Argo CD 的敏感信息。
利用 Argo CD 的 server.secretkey，攻击者可以伪造管理员身份令牌。
攻击者通过伪造的令牌可以部署恶意应用，从而进一步提升权限。
缓解措施包括加强密钥管理、禁用本地 admin 账户以及限制 Argo CD 的集群权限。
总结：尽管 Argo CD 采用了先进的安全实践，但错误的部署和配置仍可能导致漏洞。

sy64

https://www.pwnfuzz.com/posts/hpe-irs-cve-deep-dive/

总结

本文深入分析了 HPE Insight Remote Support (IRS) 应用程序中的两个严重漏洞：CVE-2024-53675 (未经身份验证的 XXE 漏洞) 和 CVE-2024-53676 (远程代码执行漏洞)。文章详细介绍了这些漏洞的技术细节、利用方法以及潜在的安全风险，并提供了概念验证 (PoC) 和理论利用的示例。

关键点

CVE-2024-53675 是一个 XXE 漏洞，允许攻击者利用 validateAgainstXSD 方法泄露敏感信息，无需身份验证。
XXE 漏洞的根本原因在于 XML 解析器未正确限制外部实体加载，导致攻击者可以通过伪造的文档访问敏感文件。
利用 XXE 漏洞的概念验证 (PoC) 展示了如何通过恶意 DTD 文件读取敏感文件内容，但受限于只能泄露文件的第一行。
CVE-2024-53676 是一个路径遍历漏洞，存在于 processAtatchmentDataStream 方法中。攻击者可以通过操纵文件路径在系统上下文中执行任意代码。
RCE 漏洞的利用依赖于上传恶意文件（如 JSP 文件）到目标服务器，但需要特定的设备 ID (oosId) 和注册令牌，增加了攻击复杂性。
理论利用展示了如何通过 SOAP 请求对漏洞进行利用，但由于设备注册问题，文章未能完成完整的漏洞利用。
作者强调了这些漏洞对 HPE IRS 用户的潜在风险，并建议采取安全编码实践来避免类似问题。

sy64

https://attackerkb.com/topics/G5s8ZWAbYH/cve-2024-12356/rapid7-analysis

总结

本文详细分析了CVE-2024-12356和CVE-2025-1094两个漏洞的发现、技术细节、利用方法以及修复措施。这些漏洞涉及BeyondTrust的远程支持和特权远程访问产品，攻击者可通过这些漏洞实现未经身份验证的远程代码执行（RCE）。文章还介绍了Rapid7的研究过程和Metasploit模块的开发。

关键点

CVE-2024-12356是一个严重的未经身份验证的远程代码执行漏洞，影响BeyondTrust的特权远程访问(PRA)和远程支持(RS)产品。该漏洞涉及命令注入，评级为CVSS 9.8。
CVE-2025-1094是一个PostgreSQL的SQL注入漏洞，与CVE-2024-12356结合使用，可实现远程代码执行。该漏洞利用了PostgreSQL在处理无效UTF-8字符中的缺陷。
CVE-2024-12356的利用必须依赖CVE-2025-1094，Rapid7验证了这一点。
Rapid7对BeyondTrust产品的补丁进行了分析，发现补丁虽然未解决CVE-2025-1094的根本原因，但可以阻止两个漏洞的利用。
CVE-2024-12356被认为是参数注入漏洞，而不是命令注入漏洞。
攻击利用了PostgreSQL交互工具psql在处理无效UTF-8字符时的缺陷，导致SQL注入并最终实现RCE。
BeyondTrust的补丁通过额外的输入清理措施阻止了漏洞的利用，例如正则表达式限制攻击者输入。
Rapid7开发了一个Metasploit模块，用于自动化漏洞利用和远程代码执行。
美国财政部事件与BeyondTrust产品有关，尽管未明确提到CVE-2024-12356。
补丁修复建议：BeyondTrust客户需尽快应用补丁，老版本用户需升级后再应用补丁。

sy64

https://tinyhack.com/2025/03/13/decrypting-encrypted-files-from-akira-ransomware-linux-esxi-variant-2024-using-a-bunch-of-gpus/

总结

本文详细介绍了如何在无需支付赎金的情况下，利用大量 GPU 和自制的暴力破解工具解密 Akira 勒索软件（Linux/ESXI 变体 2024）加密的文件。作者分享了其方法、代码实现以及优化过程，并提供了实际操作步骤和注意事项。

关键点

作者帮助一家受害公司解密了 Akira 勒索软件加密的文件，无需支付赎金。
Akira 勒索软件利用当前时间（纳秒级）作为种子生成加密密钥，每个文件都有唯一密钥。
VMware 的 VMFS 文件系统仅记录文件修改时间的秒级精度，这增加了解密难度。
恶意软件使用多线程加密，文件处理顺序复杂，需结合时间戳进行分析。
作者通过逆向工程分析了 Akira 的代码，并发现其使用了 Yarrow256 随机数生成器和多种加密算法（KCipher2 和 Chacha8）。
作者使用 GPU（如 RTX 3090 和 4090）优化暴力破解速度，将时间从数年缩短到数天甚至数小时。
作者在测试中解决了多线程执行、时间偏移范围等问题，并通过 CUDA 编程优化了性能。
通过分析受害文件的时间戳和已知明文，作者成功缩小了解密范围并实现了文件恢复。
作者提供了完整的代码和操作指南，包括如何获取时间戳、明文、密文，以及如何租用 GPU 进行破解。
作者强调解密过程需要专业的系统管理员，并建议使用 Runpod 或 Vast.ai 等平台以降低成本。
解密成功后，作者分享了文件恢复的具体步骤，并指出 Akira 勒索软件的恢复可能性取决于具体情况。

sy64

https://insbug.medium.com/identify-the-problem-first-then-embrace-ai-3930ca2be1d9

摘要

文章探讨了在应用人工智能（尤其是大型语言模型，LLM）时需要关注的问题，包括技术选择的合理性、成本效益分析以及潜在风险。通过两个假设案例（安全日志分析和客服机器人升级），文章强调了在技术实施中保持问题导向的重要性，而非盲目追求技术创新。

关键点

在应用新技术时，首要任务是明确问题，而不是盲目追求最新技术。
技术讨论应结合具体问题，避免流于表面，并明确所使用的人工智能技术类型及其作用。
在技术实施前需考虑问题的严重性、传统方法的探索程度及其局限性。
新技术需提供传统方法无法实现的新视角，同时解决旧方法的局限性并带来改进或突破。
必须评估新技术的成本，包括开发、维护、培训及潜在风险，并判断这些成本是否可接受。
新技术可能引入新的问题或漏洞，需提前规划优化或解决方案。
工程实践需要平衡传统方法与新技术的优劣，例如在安全日志分析中结合传统规则与LLM分析。
客服机器人升级案例中，LLM解决了传统方法的局限性，但也带来了数据需求、错误生成等风险。
应用新技术需保持理性评估，确保技术与问题的匹配性，而非为技术而技术。

sy64

https://github.blog/security/sign-in-as-anyone-bypassing-saml-sso-authentication-with-parser-differentials/

摘要

本文详细探讨了 ruby-saml 库中发现的身份验证绕过漏洞 (CVE-2025-25291 和 CVE-2025-25292)，该漏洞利用了 XML 解析器差异，允许攻击者伪造 SAML 断言并以任何用户身份登录。文章分析了漏洞的发现过程、技术细节以及修复方案，并建议用户尽快更新到最新版本以避免潜在风险。

关键点

在 ruby-saml 1.17.0 及以下版本中发现了身份验证绕过漏洞 (CVE-2025-25291 和 CVE-2025-25292)，攻击者可以利用有效签名伪造 SAML 断言，实现账户接管攻击。
ruby-saml 使用了两个不同的 XML 解析器（REXML 和 Nokogiri），解析器差异是漏洞的核心原因。
解析器差异发生在 REXML 和 Nokogiri 对相同 XML 输入的不同解释上，导致签名验证和摘要验证之间的脱节。
攻击者可通过构造一个 XML 文档，使两个解析器看到不同的签名，从而绕过身份验证。
GitHub 和漏洞赏金计划参与者发现并验证了该漏洞，并提出了修复方案。
GitHub 安全实验室启动了漏洞赏金计划，并与 ruby-saml 维护者合作修复漏洞。
修复版本 ruby-saml 1.18.0 已发布，建议用户更新到该版本，同时更新使用该库的其他依赖项目（如 omniauth-saml）。
检查 Nokogiri 解析错误可以阻止部分漏洞利用，但并非彻底解决方案。
SAML 和 XML 签名的复杂性使得实现安全的身份验证变得困难，文章建议减少解析器间的脱节问题。
GitHub 提醒用户检查 SAML 登录日志中的异常行为，作为潜在攻击的指标。
-

sy64

https://labs.sqrx.com/polymorphic-extensions-dd2310006e04

这篇文章讨论了一种被称为“多态扩展”的新型浏览器扩展攻击方式。这种恶意扩展可以伪装成任何合法扩展，通过社会工程方法诱骗用户安装并获取敏感信息。文章详细介绍了攻击的四个阶段，并提出了防范建议，包括企业需要采用动态分析工具来识别恶意扩展的运行时行为。

关键点

多态扩展可以模仿合法扩展的图标、HTML弹窗和工作流，甚至暂时禁用合法扩展，从而骗取用户的凭据。
攻击的第一阶段是通过社会工程诱导受害者安装伪装的扩展程序。
攻击者利用技术手段（如chrome.management API和网页资源检测）识别受害者浏览器中已安装的目标扩展。
恶意扩展在识别目标扩展后，会伪装成目标扩展以窃取用户凭据并重新启用合法扩展，用户难以察觉攻击。
这种攻击可能导致密码泄露、加密货币盗窃、银行账户被入侵等严重后果。

sy64

https://magic-box.dev/hacking/smoltalk/

摘要

本文探讨了开源代理框架 smolagents 中的漏洞，该漏洞允许攻击者通过提示注入和越狱在底层机器上执行命令。文章详细分析了漏洞的利用方式，并探讨了 AI 代理安全性的广泛影响，尤其是在代码生成和执行方面的潜在风险。

关键点

smolagents 是一个轻量级框架，允许通过本地解释器生成和执行 Python 代码。攻击者可以通过操纵模型的输出实现代码执行功能。
越狱技术因模型和配置的不同而有所变化，攻击者可通过动态交互操控代理行为。
泄露系统提示可以帮助攻击者洞察模型的防护措施、性能增强修改以及模型可访问的工具和数据。
smolagents 使用多样本学习和结构化提示来提高模型性能，但这些特性也为攻击提供了线索。
系统提示中包含的规则指导模型行为，但攻击者可以操纵这些规则，例如通过虚构工具和任务诱导模型执行危险操作。
模型的“动机”（如虚拟金钱奖励）可以被攻击者利用，引导模型偏离其原始任务。
攻击者可以利用允许的“安全”模块（如 random）间接访问危险模块（如 os），从而执行系统命令。
越狱的可转移性因模型和代理的不同而受到限制，但研究表明攻击者可以针对特定模型设计有效的越狱方法。
文章强调，仅依赖 LLM 的输入过滤来防御攻击是不安全的，必须解决底层设计的漏洞。
最终，攻击者可以通过诱导模型生成恶意代码并绕过模块限制，成功执行系统命令或获取 Shell。

sy64

https://www.catonetworks.com/blog/cato-ctrl-ballista-new-iot-botnet-targeting-thousands-of-tp-link-archer-routers/

摘要

本文详细分析了一种名为“Ballista”的新型物联网（IoT）僵尸网络，该僵尸网络利用了TP-Link Archer路由器中的远程代码执行漏洞（CVE-2023-1389）。文章介绍了该恶意软件的技术细节、行为特性、归因信息以及防护措施，同时强调了物联网设备在网络安全中的脆弱性。

关键点

Ballista僵尸网络利用了TP-Link Archer路由器中的远程代码执行漏洞（CVE-2023-1389），通过自动化方式在互联网上传播。
该僵尸网络的恶意软件在执行后会建立TLS加密的命令和控制（C2）通道，并尝试读取本地系统上的敏感文件。
恶意软件功能包括：终止自身先前实例、删除自身文件、运行shell命令、发起DoS/DDoS攻击、自动传播等。
Ballista的恶意软件通过模块化设计实现功能扩展，例如利用“Flooder”和“Exploiter”模块进行攻击。
通过分析发现，Ballista与意大利的威胁行为者有关，可能是通过Tor域名提升隐蔽性。
超过6,000台易受攻击的TP-Link Archer路由器被发现处于暴露状态，目标包括多个国家的制造业、医疗保健和技术组织。
物联网设备由于缺乏安全性和更新机制，成为威胁行为者的主要目标。
Cato SASE云平台通过多层安全方法保护组织免受Ballista僵尸网络的侵害，包括IPS行为检测和设备识别。
文章提供了多个与Ballista相关的攻击指标（IoC），如C2 IP地址和恶意软件哈希值。

DefenseOne

https://infosecwriteups.com/network-intrusion-analysis-at-scale-733169fc29ff

总结

这篇文章探讨了网络安全领域的数据集问题，尤其是CIC-CSE-IDS2018数据集的使用、问题及其改进。文章展示了如何利用Azure、Databricks和PySpark处理大规模数据集，构建机器学习模型，并通过FastAPI进行部署。

关键点

网络安全专家面临的一个主要问题是缺乏高质量的训练数据集，加拿大网络安全研究所（CIC）发布了多个数据集以解决此问题。
CSE-CIC-IDS2018数据集包含多种攻击类型和正常流量，适用于基于网络的异常检测系统。
数据集通过CICFlowMeter工具提取了79种特征，用于区分正常与恶意流量。
数据集中存在问题，包括数据包乱序、重复、未正确标记的攻击等，这些问题对研究和产品评估产生了负面影响。
研究者对2018版数据集进行了修复，重新标注并公开了改进的数据版本。
利用Azure和Databricks处理了33.5GB的原始数据，通过PySpark构建机器学习模型，解决了数据不平衡问题。
使用FastAPI部署模型，提供API接口以便测试和预测。
数据分析过程包括特征提取、数据清洗、可视化以及模型训练，重点解决了特征选择与数据预处理问题。
文章强调网络安全数据集的质量问题对研究和应用的影响，并展示了如何改进和使用这些数据集。

DefenseOne

https://www.group-ib.com/blog/clickfix-the-social-engineering-technique-hackers-use-to-manipulate-victims/

总结

文章介绍了黑客利用社会工程技术“ClickFix”欺骗受害者执行恶意代码的手段，分析了其运作机制、传播方式以及防御和缓解建议。

关键点

ClickFix是一种社会工程技术，通过诱导用户执行自动复制到剪贴板的恶意PowerShell命令来感染设备。
该技术于2023年10月首次被观察到，并在2024年下半年全球范围内广泛采用。
ClickFix常伪装成假冒的reCAPTCHA页面或机器人验证提示，利用人类行为的心理弱点。
攻击者通过多种方式引导受害者访问ClickFix页面，包括鱼叉式网络钓鱼、恶意广告、SEO优化的钓鱼网站、被攻陷的合法网站和社交媒体垃圾信息。
点击页面按钮后，恶意代码被自动复制到剪贴板，并引导用户将其粘贴到Windows运行对话框中，从而执行恶意命令。
ClickFix主要用于分发信息窃取类恶意软件，如LummaC2，它可以窃取密码、加密货币钱包信息和浏览器数据。
国家级APT组织也采用了ClickFix技术，如MuddyWater和APT28，分别针对亚美尼亚和乌克兰的目标。
恶意广告和社交媒体垃圾信息是ClickFix技术传播的主要渠道之一，用户可能通过非法下载或免费内容网站被重定向到ClickFix页面。
GROUP-IB开发了检测ClickFix页面的规则，并提供IOC以帮助组织加强防御。
防御建议包括实施PowerShell限制、监控剪贴板活动、教育用户提高警惕以及部署先进的EDR解决方案。
如果预防失败，建议立即隔离受感染设备，重置密码，并联系数字取证和事件响应团队。

DefenseOne

https://infosecwriteups.com/reversing-discovering-and-exploiting-a-tp-link-router-vulnerability-cve-2024-54887-341552c4b104

总结

本文详细介绍了作者如何通过逆向工程和漏洞利用开发，发现并利用了 TP-Link TL-WR940N 路由器的一个堆栈缓冲区溢出漏洞（CVE-2024-54887）。文章涵盖了目标选择、开发环境设置、漏洞分析、MIPS 架构的 ROP（面向返回编程）链开发以及最终的漏洞利用过程，并提供了完整的技术细节和代码示例。

关键点

作者选择 TP-Link TL-WR940N 路由器作为目标，原因是其固件易于模拟且作者已有设备。
使用 Firmadyne 模拟固件，并通过 Ghidra 进行逆向工程分析，发现固件缺乏 NX 和 PIE 保护。
通过分析路由器的 Web 界面，发现了一个堆栈缓冲区溢出漏洞，主要由于 dnsserver1 和 dnsserver2 参数未进行长度验证。
通过覆盖保存的寄存器和返回地址，作者能够控制程序的执行流程。
使用 MIPS 架构开发 ROP 链，解决了缓存不一致和延迟指令等问题。
设计了四个小工具（Gadget）链，分别实现了加载参数、调用 sleep 函数、跳转到 shellcode 等功能。
开发并优化了 MIPS 架构下的绑定 shell 的 shellcode，并通过 Python 脚本实现了完整的漏洞利用。
漏洞利用的过程包括登录路由器、发送恶意请求以触发漏洞并执行 shellcode。
TP-Link 确认漏洞影响的硬件版本已停止支持，但支持研究的公开披露。