每周蓝军技术推送(2023.2.11-2.17)
2023-2-17 18:1:16 Author: M01N Team(查看原文) 阅读量:24 收藏

Web安全

firefly:用于Web应用程序的黑盒Fuzzer

https://github.com/Brum3ns/firefly

基于install4j自动更新功能实现XXE攻击

https://frycos.github.io/vulns4free/2023/02/12/install4j-xxe.html

CORS中间件库的设计理念和Go实现

https://jub0bs.com/posts/2023-02-08-fearless-cors/

内网渗透

Windows Hello企业版攻击研究

https://www.mdpi.com/2410-387X/7/1/9

在企业中传播macOS恶意软件的7种方式

https://www.sentinelone.com/blog/7-ways-threat-actors-deliver-macos-malware-in-the-enterprise/

终端对抗

使用计时器动态欺骗调用堆栈

https://www.cobaltstrike.com/blog/behind-the-mask-spoofing-call-stacks-dynamically-with-timers/

Paruns-Fart:使用Parun的Fart技术进行NTDLL Unhook

https://github.com/MaorSabag/Paruns-Fart

UnhookingPatch:通过修补NT API Stub并在运行时解析SSN和系统调用指令来绕过EDR挂钩

https://github.com/TheD1rkMtr/UnhookingPatch

HWSyscalls:使用HWBP、HalosGate和kernel32上HWBP的合成蹦床执行间接系统调用的方法

https://github.com/Dec0ne/HWSyscalls

LdrDllNotificationHook:Hook所有使用LdrRegisterDllNotification注册的回调

https://github.com/m417z/LdrDllNotificationHook

从内存的对象文件中采用位置无关的Shellcode进行无线程注入

https://snovvcrash.rocks/2023/02/14/pic-generation-for-threadless-injection.html

ThreadlessInject:使用远程函数挂钩的无线程进程注入

https://github.com/CCob/ThreadlessInject

shellcode-plain-sight:将Shellcode隐藏到大内存区域中

https://github.com/LloydLabs/shellcode-plain-sight

LPEviaStorSvc:利用StorSvc服务进行Windows本地提权

https://github.com/blackarrowsec/redteam-research/tree/master/LPE%20via%20StorSvc

ExploitLeakedHandle:识别并利用泄漏的句柄进行本地权限提升

https://github.com/0x00Check/ExploitLeakedHandle

D1rkSleep:改进版Ekko,使用CreateTimerQueueTimer Win32 API的睡眠混淆技术

https://github.com/TheD1rkMtr/D1rkSleep

BokuLoader:用Assembly&C编写的Cobalt Strike用户定义的反射加载器,具有高级规避功能

https://github.com/xforcered/BokuLoader

漏洞相关

使用自定义TCP堆栈进行远程堆溢出利用

https://www.synacktiv.com/en/publications/exploiting-a-remote-heap-overflow-with-a-custom-tcp-stack.html

通过Avast Sandbox漏洞利用链CVE-2021-45335、CVE-2021-45336和CVE-2021-45337将Everyone的权限提升到System AmPPL

https://the-deniss.github.io/posts/2023/02/09/elevation-of-privileges-from-everyone-through-avast-av-sandbox-to-system-amppl.html

CVE -2023-21746:LocalPotato本地提权分析

https://decoder.cloud/2023/02/13/localpotato-when-swapping-the-context-leads-you-to-system/

POPKORN:利用污染分析和有针对性的符号执行,自动查找大规模的Windows内核驱动程序安全漏洞

https://gts3.org/assets/papers/2022/gupta:popkorn.pdf

云安全

利用Azure AD Kerberos票据,实现到云端的横向移动

https://www.trustedsec.com/blog/azure-ad-kerberos-tickets-pivoting-to-the-cloud/

Azure应用服务托管身份滥用

https://posts.specterops.io/abusing-azure-app-service-managed-identity-assignments-c3adefccff95

如何使用Delve和eBPF更快地调试Go程序

https://www.cnxct.com/how-debugging-go-programs-delve-and-ebpf-faster-zh_cn/

加强云安全防御的渗透测试指南

https://www.thesslstore.com/blog/a-pentesters-guide-to-strengthening-your-cloud-security-defenses/

其他

2022/2023年全球高科技犯罪趋势报告

https://www.group-ib.com/blog/know-thy-enemy/

Elastic全球威胁报告分解:防御规避

https://www.elastic.co/cn/blog/elastic-global-threat-report-breakdown-defense-evasion/?ultron=esl:_threat_research%2Besl_blog_post%2Bglobal_threat_report

CUDA程序介绍和逆向

https://bbs.kanxue.com/thread-275989.htm

SoulExtraction:在Windows驱动程序中提取证书信息的驱动程序库

https://github.com/gmh5225/Driver-SoulExtraction

使用各种遥测源创建多个检测以提供更好的覆盖范围

https://posts.specterops.io/telemetry-layering-89185b5348ba

使用ChatGPT进行IoC检测

https://securelist.com/ioc-detection-experiments-with-chatgpt/108756/

使用ChatGPT进行安全代码审查

https://research.nccgroup.com/2023/02/09/security-code-review-with-chatgpt/

使用ChatGPT分析Shellcode

https://www.archcloudlabs.com/projects/shellcode_gpt/

M01N Team公众号

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队

官方攻防交流群

网络安全一手资讯

攻防技术答疑解惑

扫码加好友即可拉群

往期推荐

每周蓝军技术推送(2023.2.4-2.10)

每周蓝军技术推送(2023.1.28-2.3)

每周蓝军技术推送(2023.1.7-1.13)


文章来源: http://mp.weixin.qq.com/s?__biz=MzkyMTI0NjA3OA==&mid=2247490688&idx=1&sn=d1b94218d2bc915df412d177d4b829d1&chksm=c187dc91f6f0558753dc882053ac6743964ac1892b8c8b80fda340ad5d0182fd62530feb31a4#rd
如有侵权请联系:admin#unsafe.sh