渗透测试（Penetration Testing，又称道德黑客）是网络安全领域的关键流程，旨在识别和修复系统、网络及应用程序

苹果公司发布紧急安全公告，披露编号为CVE-2025-24200、CVE-2025-24201和CVE-2025-24085的三处

安全研究人员证实，在概念验证（PoC）利用代码公开后，针对CrushFTP关键身份验证绕过漏洞（CVE-2025-2825）的攻击

朝鲜国家支持的黑客组织"拉撒路集团"（Lazarus Group）近期发起代号为"虚假面试"（ClickFake Intervie

攻击活动概况

安全研究人员发现，利用微软Windows近期修补的零日漏洞（zero-day）发起攻击的黑客组织正在

戴尔科技近日发布关键安全更新，修复其Unity企业存储系统中存在的多个高危漏洞。攻击者利用这些漏洞可在无需认证的情况下以root权

HPE Insight集群管理工具（CMU）v8.2版本中存在一个关键的无认证远程代码执行漏洞（CVE-2024-13804），攻

黑客入侵事件始末

一名使用化名"CoreInjection"的黑客宣称对以色列网络安全公司Check Point的入侵事件负责，声称已获取该公司敏感内部数据和网络系统的访问权限。

该黑客于2025年3月30日（周日）在Breach Forums论坛发布声明，宣布以5比特币（434,570美元）的价格出售窃取的内

其他工具: Tyran(暴君) 后渗透持久化控制

地址:https://github.com/MartinxMax/tyrant

Information Gathering

$

全球网安事件速递

1. Crocodilus恶意软件窃取安卓用户的钱包密钥

Crocodilus 是一种新的银行恶意软件，可以实现控制设备、收集数据和远程控制。该恶意软件是通过一个专有的dropper分发的，绕过了Android 13（及以后版本）的安全保护措施。【外刊-

一、漏洞原理

Fastjson反序列化漏洞的核心问题在于：当反序列化过程中自动加载了恶意类（通过@type指定）时，可能触发任意代码执行。关键点：

1. AutoType机制：Fastjson通过@type标识类名，

每周都有新的安全疏漏被威胁行为体利用——一个配置错误、一个被忽视的漏洞，或是过度便利的云工具都可能成为入侵突破口。当防御者反被入侵，

Ubuntu Linux 系统中存在三处关键安全限制绕过漏洞，允许本地攻击者提升权限并利用内核漏洞。这些漏洞影响 Ubuntu 2

高级恶意软件采用多重规避技术

Zscaler威胁实验室ThreatLabz发现，自2024年9月开始活跃的CoffeeLoa

DarkCloud是一款2022年出现的复杂窃密木马，迅速成为同类威胁中最活跃的恶意软件之一。这款针对Windows系统的恶意软件

环境搭建

mysql8.0

java1.8

maven3.9

采用IDEA搭建

部署并入侵Windows机器，利用一个非常糟糕的安全媒体服务器。

Recon

使用 SYN 扫描集来扫描计算机上的所有端口

nmap -sS -sV -sC -T4 10.10.97.40

-sC  使用默认 Nmap脚本进行扫描

-sV这将扫描已发现服务的版本

-sS  TCP 协议SYN 端口

一、JNDI 注入的原理

1. 核心逻辑：

   • JNDI 是 Java 提供的统一资源访问接口，支持通过名称（如ldap://example.com/obj）动态加载远程对象。

   • 当攻击者能控制 JND