• SmartAttack:通过智能手表利用超声波频率从空气隔离系统中窃取敏感数据
本文揭示了一种利用智能手表通过超声波绕过空气隔离系统的新攻击方式SmartAttack,技术细节详实,挑战了传统对空气隔离安全性的认知,具有极高的研究与防御参考价值。
• Microsoft Defender for Identity 存在关键伪造漏洞,可导致权限提升和AD环境入侵
本文深入分析了微软 Defender for Identity 中的一个关键伪造漏洞(CVE-2025-26685),揭示攻击者可通过降级认证协议捕获高权限账户的 Net-NTLM 哈希,并结合其他漏洞实现权限提升。其最大亮点在于展示了无需初始凭证即可从本地网络发起攻击的完整利用链,对 Active Directory 环境安全构成重大威胁。
• 利用目录穿越漏洞对某光猫进行固件提取 - IOTsec-Zone
本文详细揭示了一款光猫设备中存在的多个高危漏洞,包括目录穿越、越权下载和明文密码泄露,展示了从漏洞利用到固件提取的完整过程。其最大的亮点在于通过Web界面和UART串口两种方式成功绕过系统限制,获取敏感信息,为物联网设备的安全审计提供了重要的实践参考。
• 通过恶意 HLS 播放列表攻击 Sonos Era 300
本文详细介绍了如何通过恶意HLS播放列表对Sonos Era 300智能音箱进行远程漏洞利用,成功获取零日漏洞并获得奖金,是智能设备安全研究的典范。
• XZ Utils 和 XRP NPM 包后门事件
2023年,开源软件供应链安全再次受到严重威胁,XZ Utils和XRP官方NPM包先后被植入后门。攻击者通过在关键开源组件中插入恶意代码,实现了对用户数据的窃取和潜在的加密货币盗窃。XZ Utils后门通过构建工具影响了全球大量系统,而XRP恶意版本则通过NPM包分发,将用户私钥发送至外部服务器。事件暴露了开源软件维护和分发流程中的安全漏洞,并促使社区加强审查机制和CI/CD流水线安全。
• 通过 WOPI 协议在 ONLYOFFICE Docs 中发现的反射型 XSS 漏洞
本文详细披露了 ONLYOFFICE Docs 中一个关键的反射型 XSS 漏洞(CVE-2025-5301),攻击者可通过构造恶意 HTTP POST 请求注入脚本,进而执行任意代码。该漏洞存在于 WOPI 协议接口中,且无需身份验证,具有极高利用价值。
• afl-cov-fast:AFL++ 模糊测试中的高效代码覆盖率分析工具
本文介绍了 afl-cov-fast,这是一个高效生成 AFL++ 模糊测试代码覆盖率报告的工具,支持源码和二进制模式,解决了现有工具在性能和可维护性方面的不足,是提升模糊测试效果的重要工具。
* 查看或搜索历史推送内容请访问:
* 新浪微博账号: 腾讯玄武实验室
* 微信公众号: 腾讯玄武实验室
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...