文章总结： CTF工具ToolsFx1.18.0以下版本因内置翻译域名被恶意抢注，启动时强制跳转至涉黄及高风险站点，存在安全隐患。官方已移除该硬编码域名，建议用户立即更新至最新版本以规避风险并解除合规警报。 综合评分： 80 文章分类： 漏洞预警,安全工具,CTF,漏洞分析

紧急预警！CTF神器ToolsFx老版本暗藏涉黄陷阱

flower安全

2026年1月21日 16:38 甘肃

以下文章来源于玲珑安全 ，作者玲珑安全

玲珑安全 .

玲珑安全官方账号

近日，一款在CTF竞赛、网络安全测试及开发者群体中广泛使用的跨平台密码学工具箱ToolsFx，被曝出严重安全隐患：1.18.0版本以下的旧版软件因内置翻译域名失效并被恶意接管，导致用户打开该域名时可能被强制跳转至涉黄网站、违规推广页面及高风险内容站点。

一、工具背景

ToolsFx作为一款开源跨平台密码学工具箱，凭借其功能全面、操作便捷的特性，成为CTF爱好者、安全研究员及开发者的常用工具。该工具集成了编解码转换、对称/非对称加解密、哈希计算、MAC验证、数字签名、大数运算、文件压缩、二维码生成解析等核心功能，同时针对CTF竞赛场景优化了专属工具模块，支持Windows、Linux、macOS等多系统环境，无需复杂配置即可快速投入使用。

凭借开源透明的特性与丰富的功能覆盖，ToolsFx在GitHub平台积累了大量星标与fork，用户群体遍布全球，涵盖个人技术爱好者、企业安全测试团队、高校科研实验室等，其便捷性与实用性使其成为密码学相关场景下的“瑞士军刀”级工具。

安全可用的项目地址：https://github.com/Leon406/ToolsFx

二、安全危机

此次安全事件的核心诱因，在于Github某项目的ToolsFx旧版本中内置的第三方翻译服务域名存在漏洞。根据技术排查结果，1.18.0版本以下的ToolsFx软件在代码中预设了多个翻译服务地址，其中“fy.qtjx.net”域名因长期未使用已被原注册方废弃，后被恶意主体通过域名抢注方式接管。

当用户启动旧版ToolsFx并触发工具内置的翻译功能时（即使未主动使用翻译模块，部分工具初始化过程中也会自动发送翻译请求），软件会向“fy.qtjx.net”发送请求。

该请求随后通过302重定向或JS脚本跳转技术，强制导向涉黄网站、违规推广页面及其他高风险站点：

http://fy.qtjx.net/translate_a/single?client=gtx&dt=t&dj=1&hl=zh-CN&source=input&sl=en&tl=zh-CN&q=hello

在企业环境中，这类软件会被误判为灰产工具，可能直接触发内网安全告警、合规审计问题。

域名查询信息显示，“fy.qtjx.net”当前由Domain Landing Zone LLC注册商管理，注册时间为2025年1月31日，最新更新于2026年1月19日，距离域名过期仅11天，其DNS服务器指向parklogic旗下节点，存在明显的恶意跳转配置特征。

三、技术溯源

通过对ToolsFx旧版本源代码的溯源分析，此次安全事件的根源在于“硬编码不可控第三方域名”的开发缺陷。在GitHub仓库的历史提交记录中可以看到“fy.qtjx.net”被直接写入文件列表，与其他翻译服务地址共同构成硬编码数组。

具体代码位置：

https://github.com/rgsngdha/ToolsFx/blob/58d3acf2d1eeeae694f2834fb3ed882998a1509b/app/src/main/kotlin/me/leon/misc/Translator.kt#L46

这种开发方式存在致命安全隐患：第三方域名的控制权完全脱离软件开发者与用户，一旦域名过期、废弃或被恶意收购，攻击者即可通过解析配置篡改域名指向，将原本合法的服务请求劫持至恶意站点。由于旧版本软件未设置域名有效性检测机制，也未提供用户可配置的翻译服务切换选项，导致漏洞触发具有被动性——用户无需主动操作，仅启动软件即可中招，使其成为潜伏在设备中的定时炸弹。

四、更新指南

对比最新版本源代码（https://github.com/Leon406/ToolsFx）可以发现，开发者已移除“fy.qtjx.net”等多个不可控第三方域名，从根源上杜绝了废弃域名带来的安全风险。

培训咨询/报名二维码

ID：linglongsec

报喜专栏总览

https://www.ifhsec.com/list.html

SRC漏洞挖掘培训

学员每一期的收获、我们每一期的进步

玲珑安全第一期SRC漏洞挖掘培训

玲珑安全第二期SRC漏洞挖掘培训

玲珑安全第三期SRC漏洞挖掘培训

玲珑安全第四期SRC漏洞挖掘培训

玲珑安全第五期SRC漏洞挖掘培训

玲珑安全第六期SRC漏洞挖掘培训

玲珑安全第七期SRC漏洞挖掘培训

玲珑安全B站公开课

免费课程观看/日常消息更新/学员赏金报喜

https://space.bilibili.com/602205041

玲珑安全QQ群

191400300

往期漏洞分享

关注公众号 各种优质好文速递

谁在裸奔？1750万Ins用户数据泄露事件

Grok助推AI“脱衣”技术走向主流

脆弱的锁：SAML 认证的新型绕过方式

快手至暗一小时-当公域流量入口被劫持，平台的主权究竟掌握在谁手中？

离职当晚他敲下一行代码，不仅赔了600万，还把自己送进监狱

揭秘Cookie前缀保护失效的真实成因与攻击技巧

从 Lyft 费用导出到本地/内网文件泄露的实战案例

CSPT 漏洞原理、利用与实战浅析

雅虎商业平台密码重置漏洞分析与利用

利用 Python 中不安全的文件解压实现代码执行

Facebook 服务器上的远程代码执行

挖掘特斯拉Model 3上价值1w美元的漏洞

入侵Chess.com并获取5000万客户记录

入侵全球最大的航空公司和酒店奖励平台

黑进斯巴鲁——只需车牌号，10秒接管车辆

要挂科了？那就黑一下教务处系统吧…

价值10w的Google点击劫持漏洞

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：flower安全 《紧急预警！CTF神器ToolsFx老版本暗藏涉黄陷阱》