Khan安全团队

代码在线跑，知识轻松学

Python精品学习库

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

博客搬家 | 分享价值百万资源包

往期视频·干货材料·成员作品 最新动态

技术创作特训营·精选知识专栏

新邀入驻腾讯云开发者社区，福利多多！

如何运用「云、端融合的数智化安全体系」高效护航数据安全

左手AI，右手安全 —— 一汽丰田数字化转型之路

近日，Symantec 发布调查报告，揭示Chrome扩展生态中的一项普遍安全隐患：开发者在扩展源代码中硬编码API密钥、令牌和敏感凭证，导致超过2100万用户面临数据滥用、隐私泄露和经济损失的多重风险。

Chrome插件硬编码API密钥泄露，超2100万用户受影响

动态 API 解析是一种在运行时解析 Windows API 函数地址的技术，而不是在程序编译或加载时预先导入和声明。

使用 PowerShell 中的动态 API 解析绕过 AMSI

此概念验证演示了 Microsoft Telnet 客户端的 MS-TNAP 身份验证协议中的一个漏洞。当客户端通过 URI 超链接连接到恶意 Telnet 服务器时telnet.exe，telnet://如果检测到 MS-TNAP 扩展，服务器就可以从客户端提取身份验证信息。如果该漏洞利用程序由内联网或受信任区域中的主机运行，则凭证会在不提示的情况下自动发送，这非常适合红队使用。

Microsoft Telnet 客户端 MS-TNAP 服务器端身份验证令牌漏洞

传统方法通常依赖从终端提取主刷新令牌 (PRT)，这可通过信标（如使用 aad_prt_bof 或 Kozmer 的 request_aad_prt 之类的 BOF）实现。然而，当信标运行在未加入域的 BYOD 设备上时，PRT 提取方法会遇到阻碍，因为此类设备缺乏必要的域环境支持。本文将探讨在此类受限环境下，如何通过替代方法获取刷新令牌，以确保在信标失效时仍能维持对被攻陷身份的访问。

通过 Beacon 获取 Microsoft Entra 刷新令牌

首先，打开 Burp Suite 工具，确保其代理功能处于开启状态，并将浏览器代理设置为与 Burp Suite 一致，保证流量能够被正常拦截。在浏览器中正常访问目标 Web 应用，找到需要测试的特定请求，例如获取 “/ 我的账户” 信息的 GET 请求，该请求在 Burp Suite 的 “Proxy” 模块 “Intercept” 选项卡中会被捕获显示，形如GET /我的账户 HTTP/2 。

如何使用 Burp Suite Intruder 查找路径分隔符问题

旨在协助取证调查员和事件响应人员进行快速的实时取证调查。它通过收集不同的系统信息，以便进一步审查是否存在异常行为或意外数据输入来实现这一点，它还会查找异常文件或活动并向调查员指出。需要特别注意的是，该脚本本身没有内置智能，调查员需要自行分析输出结果并得出结论或决定是否进行更深入的调查。

Live Forensicator - 应急响应取证Powershell 脚本

在 Windows 系统中，当一个嵌入 SMB 路径的特制.library-ms 文件被打包至 RAR 或 ZIP 压缩包并执行解压操作时，即便用户未主动触发打开或点击行为，Windows 资源管理器仍会基于其内置的索引与预览机制自动解析文件内容。这一现象的根源在于，Windows 资源管理器默认对特定文件类型实施自动预处理，以便快速生成预览图、缩略图或索引元数据。作为一种基于 XML 格式的文件，.library-ms 承载着定义搜索范围与库位置的功能，由于系统对其存在固有信任机制，文件一经提取，索引服务与资源管理器的内置解析模块便会立即介入，深度分析文件内容，从而为用户呈现适配的图标、缩略图及元数据信息。

CVE-2025-24071：通过 RAR/ZIP 提取和 .library-ms 文件泄露 NTLM 哈希值

该攻击链采用独特的多层级阶段来传播类似 Agent Tesla 变种、Remcos RAT 或 XLoader 的恶意软件。攻击者越来越依赖这种复杂的传播机制来逃避检测、绕过传统沙盒，并确保成功传播和执行有效载荷。我们分析的网络钓鱼活动使用伪装成订单发布请求的欺骗性电子邮件来传播恶意附件。

级联阴影：一种逃避检测并复杂化分析的攻击链方法

在 Next.js 这个开源 Web 开发框架中发现了编号为 CVE-2025-29927 的严重漏洞，该漏洞可能允许攻击者绕过授权检查，使其无需经过关键安全检查就能发送到达目标路径的请求。Next.js 是一个流行的 React 框架，在 npm 上每周下载量超 900 万次，用于构建全栈 We    b 应用程序，其中包含用于身份验证和授权的中间件组件，被前端和全栈开发人员广泛用于构建 React 的 Web 应用，TikTok、Twitch、Hulu、Netflix、Uber 和 Nike 等知名公司也在其网站或应用中使用了 Next.js 。

CVE - 2025 - 29927 POC Next.js 存在严重漏洞，可导致黑客绕过授权

混淆检测 是一款 Binary Ninja 插件，用于检测二进制文件中的混淆代码和可疑代码结构（例如状态机）。对于给定的二进制文件，该插件可以通过识别在逆向工程过程中可能值得仔细查看的代码位置来简化分析。

混淆检测

LDAP（轻量级目录访问协议）是一种用于访问和管理目录信息服务的协议。它通常用于 Windows Active Directory 和 Linux 目录服务。

LDAP端口 389、636、3268、3269如何利用？

CVE-2025-0411 正在被野外利用，该漏洞是在 7-Zip 归档器中发现的，并被用于针对乌克兰组织的 SmokeLoader 恶意软件活动。据信，一个俄罗斯网络犯罪集团在俄乌冲突期间使用了这种策略进行网络间谍活动，利用被入侵的电子邮件账户和同形文字攻击来利用漏洞。

CVE-2025-0411 7-Zip Mark-of-the-Web 绕过

利用此漏洞的代码位于“spoof.go”文件中。该文件模拟了C2服务器的代理。为了利用此漏洞，我们需要了解以下信息：

CVE-2025-26244 DeimosC2 XSS

XSS 从 PDF 中窃取数据

从 LSASS 转储凭证并非新鲜事，多年来一直是攻击性和犯罪分子手法的一部分。LetMeowIn 的核心是使用 dbghelp.dll 中的 MiniDumpWriteDump 函数创建 LSASS 进程的内存转储，但它并非直接将转储写入磁盘，而是先使用 MINIDUMP_CALLBACK_INFORMATION 在内存中操作转储数据，从而使该工具能够在将转储数据写入磁盘之前先在内存中操作转储数据。LetMeowIn 宣称其具备一些额外的隐身和规避功能，使其能够绕过常见的端点安全产品，例如 CrowdStrike Falcon 和 Microsoft Defender。ARC 实验室已确认，LetMeowIn 能够在多个安全端点解决方案运行时转储 LSASS。

LetMeowIn – 凭证转储程序分析

隐写术是指将恶意代码隐藏在看似无害的图像文件中。虽然这种技术在野外并不常见，但发现它总是令人兴奋的，而且它往往能揭示攻击者为传递有效载荷而采取的巧妙手段。

Stego-Campaign 传播 AsyncRAT

根据 Sekoia 威胁检测与研究（TDR）团队的深度报告，一个精密且复杂的恶意软件交付基础设施被曝光。该设施非法利用 Cloudflare 隧道服务，部署 AsyncRAT 等远程访问木马（RAT）。值得警惕的是，这一恶意基础设施自 2024 年 2 月起便持续运作，通过构建错综复杂的感染链，不断迭代升级，意图绕过各类检测工具，渗透企业网络环境。研究人员强调，相关感染链步骤繁多、构造复杂，并且在不同攻击活动中呈现出差异化特征，展现出攻击者高超的技术手段与多变的攻击策略。

揭秘多阶段恶意软件攻击：Cloudflare 滥用和 AsyncRAT 传播

核心功能功能模块技术实现URL去重输入文件哈希去重+结果文件增量校验智能限速令牌桶算法（支持动态时序调整）并发控制ThreadPoolExecutor线程池管理异常处理7大类错误分类统计（含QUIC协议错误） 蜜罐识别Cookie检测+备注密度分析。

蜜罐检测

Whoami 用不了咋办？（cmd篇）

SVG文件本质是XML格式，可以内嵌脚本来执行代码 。在钓鱼SVG中，攻击者插入了经过混淆的恶意JavaScript代码，利用<![CDATA[ ... ]]>块包装脚本，使其不影响SVG的XML解析。代码中包含字符串数组和字符编码转换，通过String.fromCharCode()将数组中的数值转为可执行的字符串片段，然后借助Function构造函数动态执行生成的代码。模拟此类代码行为：

混淆重定向SVG钓鱼邮件技术分析

文章

问答

视频

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋 

腾讯云代码助手

CODING DevOps

Cloud Studio

SDK中心

API中心

命令行工具

腾讯云开发者社区推出了Khan安全团队专栏，为你提供了Khan安全团队的相关文章，致力于帮助开发者快速成长与发展。

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐