2024-10-25 「红蓝热点」每天快人一步

1. 推送「新、热、赞」，帮部分人阅读提效
2. 学有精读浅读深读，艺有会熟精绝化，觉知此事重躬行。推送只在浅读预览
3. 机读为主，人工辅助，每日数万网站，10w推特速读
4. 推送可能大众或小众，不代表本人偏好或认可
5. 因渲染和外链原因，公众号甲方安全建设发送日报或日期,如20241025获取图文评论版pdf

目录

0x01 【2024-1018】中国背景APT团伙“IcePeony”利用‘996’工作文化进行网络攻击
0x02 【2024-1018】利用.NET反序列化漏洞部署Specula后门
0x03 【2024-1018】CVE-2024-30090：Windows本地提权漏洞PoC公布
0x04 【2024-1020】使用LLMs进行零样本漏洞发现的工具
0x05 【2024-1020】COM对象激活的陷阱与解决方案
0x06 【2024-1020】Grafana中的CVE-2024-9264漏洞允许执行任意DuckDB SQL查询
0x07 【2024-1021】SAP NetWeaver AS Java 代码注入漏洞修复
0x08 【2024-1021】活动目录渗透测试全面指南
0x09 【2024-1021】近期最珍贵的Android用户空间漏洞CVE-2024-31317分析
0x0a 【2024-1022】Servicelens：枚举和分析Microsoft 365域名服务
0x0b 【2024-1022】使用CSS泄露HTML文本节点的挑战
0x0c 【2024-1022】远程Chrome滥用概念验证工具remotechrome
0x0d 【2024-1023】微软远程注册表客户端中的权限提升漏洞
0x0e 【2024-1023】黑客基础：Linux 日志系统
0x0f 【2024-1024】在URL凭证中隐藏有效载荷
0x10 【2024-1024】Kubernetes权限提升攻击分析（第一部分）
0x11 【2024-1024】国家间谍利用FortiManager漏洞进行网络攻击
0x12 【2024-1025】将有效载荷嵌入PNG文件的GitHub项目
0x13 【2024-1025】Spip内容管理系统0-day漏洞研究
0x14 【2024-1025】Lazarus APT组织的加密游戏：投资者与零日漏洞的对决
0x15 【2024-1025】开放目录中发现Rekoobe后门，或针对TradingView用户

0x01 中国背景APT团伙“IcePeony”利用‘996’工作文化进行网络攻击

研究人员发现了一起名为“IcePeony”的中国背景高级持续性威胁（APT）团伙，该团伙自2023年起活跃，采用SQL注入等手段攻击包括印度、毛里求斯和越南等国家的政府机构、学术机构和政治组织，目的是窃取凭证信息。

<<<左右滑动见更多 >>>

热评

揭秘未知APT组织：冰凌花
IcePeony 揭露 '996' 工作文化

关键信息点

IcePeony是一起具有中国背景的APT团伙，自2023年起针对亚洲国家的政府和教育机构进行攻击。
他们的攻击手段通常包括SQL注入、部署Webshell和后门以及窃取凭证信息。
攻击者使用了多种开源工具，并且定制了一些自己的工具，如StaX、ProxyChains、IceCache和IceEvent。
IceCache是针对IIS服务器的定制恶意软件，基于开源项目reGeorge，增加了文件传输和命令执行功能。

🏷️: IcePeony, APT, 网络攻击, 中国背景, 996工作文化

0x02 利用.NET反序列化漏洞部署Specula后门

本文介绍了如何利用.NET反序列化漏洞，通过Specula工具在工作站上部署后门。

热评

关键信息点

.NET反序列化是一种可以被利用用于红队行动的技术。
Specula工具可以用来在工作站上部署后门，通过设置特定的注册表项来实现。
利用.NET反序列化时，直接执行C#代码比通过cmd.exe执行命令更为隐蔽和有效。
对于ysoserial这样的工具，理解其内部工作机制对于有效利用和进一步的工具改进至关重要。

🏷️: .NET, 反序列化, Specula, 后门, 漏洞利用

0x03 CVE-2024-30090：Windows本地提权漏洞PoC公布

CVE-2024-30090 是由 DEVCORE 的 Angelboy 发现的一个本地提权（LPE）漏洞，该漏洞的 PoC（概念证明）已公布。

热评

CVE-2024-30090 漏洞利用PoC：提权至SYSTEM
CVE-2024-30090 漏洞利用 PoC 实现，可提升至 SYSTEM 权限

关键信息点

CVE-2024-30090 是一个严重的安全漏洞，它允许攻击者在受影响的 Windows 系统上提升权限。
Angelboy 的工作显示了如何编译 x86 程序来利用这个漏洞，以及如何通过 NtQuerySystemInformation 函数获取内核基地址。
此 PoC 的开发得益于社区的资源和指导，包括 Cedric Halbronn 的教程和 bruno-1337 的 SeDebugPrivilege 利用代码。
资源 & 引用部分提供了深入的学习材料，包括技术文章和视频，这些内容对于理解和学习如何从 Windows 内核中传播和利用漏洞至关重要。

🏷️: CVE, LPE, Windows, 漏洞, PoC

0x04 使用LLMs进行零样本漏洞发现的工具

Vulnhuntr 是一个利用大型语言模型（LLMs）和静态代码分析来识别远程可利用漏洞的工具，专注于 Python 代码库，并支持发现包括本地文件包含（LFI）、任意文件覆盖（AFO）、远程代码执行（RCE）、跨站脚本（XSS）、SQL 注入（SQLI）、服务器端请求伪造（SSRF）和不安全的直接对象引用（IDOR）等漏洞类型。

<<<左右滑动见更多 >>>

热评

Vulnhuntr 发布 14 个 LLM 发现的 0day 漏洞
Vulnhuntr发布！首款AI发现0day漏洞的静态代码分析工具

关键信息点

Vulnhuntr 是首个利用 LLMs 发现 0day 漏洞的工具，它采用了独特的方法来识别和分析漏洞。
该工具的核心优势在于能够结合大型语言模型的分析能力和静态代码分析，提供更全面的安全检查。
Vulnhuntr 的分析过程包括 LLM 对代码的总体分析和针对特定漏洞的深入分析，以及对代码中的函数、类和变量进行的上下文请求，以完成从用户输入到服务器处理的整个调用链。
分析报告中包含了漏洞的置信度评分，这有助于开发者评估和优先处理潜在的安全风险。

🏷️: LLMs, 漏洞发现, 代码分析, Python, 网络安全

0x05 COM对象激活的陷阱与解决方案

本文讨论了在使用COM对象（如ICorPublish接口）时，由于版本不兼容导致的问题，并提供了解决方案。

<<<左右滑动见更多 >>>

热评

COM 对象激活的陷阱：.NET 非托管 API 的安全风险
COM 对象激活的陷阱：.NET 非托管 API 的安全问题

关键信息点

COM接口在.NET应用程序的调试和托管中起着关键作用，但是在实际使用中可能会遇到与CLR版本不兼容的问题。
COM对象的创建API（如CreateInstance等）可能会加载错误版本的mscordbi.dll，导致无法预测的行为，往往是方法调用失败。
通过DllGetClassObjectInternal Win32 API获取正确版本的mscordbi.dll是解决问题的关键步骤。
手动激活COM类并确保与CLR版本兼容可以避免接口方法调用失败的问题，文章中的C++代码示例说明了这一点。

🏷️: COM, ICorPublish, 版本兼容性, 解决方案

0x06 Grafana中的CVE-2024-9264漏洞允许执行任意DuckDB SQL查询

网页主要介绍了Grafana中的CVE-2024-9264漏洞利用方法，该漏洞允许经过身份验证的用户通过修改Grafana仪表板中的表达式执行任意DuckDB SQL查询，从而读取文件系统中的任意文件。

热评

Grafana 认证 RCE 漏洞分析：CVE-2024-9264
Grafana 任意文件读取漏洞 (CVE-2024-9264) 利用

关键信息点

CVE-2024-9264是一个严重的安全漏洞，可以被用来读取Grafana服务器上的任意文件，这对于系统的安全性和数据的保密性构成了严重威胁。
漏洞的存在与否取决于DuckDB的安装状态。默认情况下，Grafana不包含DuckDB，因此在默认安装的Grafana服务器上，该漏洞不可利用。
Grafana团队已经提供了修复方案，即完全移除了SQL表达式功能，这是一种有效的修复策略，能够完全阻止漏洞的利用。
安全更新是防止漏洞利用的关键。用户应该及时更新到最新的修复版本，以确保他们的Grafana环境不受攻击。

🏷️: CVE, Grafana, SQL注入, DuckDB, 漏洞利用

0x07 SAP NetWeaver AS Java 代码注入漏洞修复

SAP 发布了安全更新 3433192，解决了 SAP NetWeaver AS Java 管理员日志查看器插件中的关键代码注入漏洞（CVE-2024-22127），该漏洞可能允许攻击者上传恶意文件，危及系统的保密性、完整性和可用性。

<<<左右滑动见更多 >>>

热评

SAP NetWeaver AS Java 代码注入漏洞
SAP NetWeaver AS Java 中发现代码注入漏洞

关键信息点

该代码注入漏洞对 SAP NetWeaver AS Java 系统构成严重威胁，需要立即应对。
通过限制文件上传类型和激活病毒扫描配置文件，可以显著降低漏洞利用的风险。
管理员应该优先考虑升级系统、配置病毒扫描以及调整用户角色来提高安全性。
除了应对已知漏洞，定期进行 SAP 渗透测试也是保障系统安全的重要手段。

🏷️: SAP, 漏洞, 代码注入, 安全更新, CVE-2024-22127

0x08 活动目录渗透测试全面指南

该网页提供了一份全面的指南，用于在活动目录（AD）环境中进行渗透测试，涵盖了常见的AD端口和服务、各种利用工具和技术、以及后渗透攻击的方法。

热评

Active Directory 渗透测试指南
Active Directory 渗透测试指南

关键信息点

网页内容的主要观点是，为了有效地评估和保护AD基础设施的安全，安全专业人员需要深入了解AD的工作原理、常见漏洞以及可能的攻击路径。通过使用提供的工具和技术，可以对AD环境进行全面的安全评估，发现潜在的安全漏洞，并采取相应的安全措施来减轻风险。文章强调了渗透测试在AD安全中的重要性，并提供了实用的指导和资源，帮助安全专业人员在渗透测试中更加高效和有效。

🏷️: 渗透测试, 活动目录, AD, 网络安全, 工具

0x09 近期最珍贵的Android用户空间漏洞CVE-2024-31317分析

网页主要分析了 Android 系统中的 CVE-2024-31317 漏洞，这是一种用户模式下的普遍漏洞，可以用来获取任意用户ID（UID）的代码执行权限，类似于绕过 Android 沙箱，获取任何应用的权限。

热评

关键信息点

CVE-2024-31317 漏洞是 Android 用户模式下最有价值的漏洞之一，它允许攻击者获取任意 UID 的代码执行权限，类似于绕过 Android 沙箱。
Zygote 的工作原理和命令注入的方法对于理解和利用该漏洞至关重要。
在 Android 12 及以上版本中，利用该漏洞变得更加复杂，需要新的技术来解决由于缓冲区预读取优化带来的问题。
通过控制 Zygote 参数，攻击者可以实现特权提升，并可能通过 jdwp 协议实现代码注入。

🏷️: Android, 漏洞, CVE-2024-31317, 网络安全, 代码执行

0x0a Servicelens：枚举和分析Microsoft 365域名服务

Servicelens 是一个用于识别与特定域名相关联的 Microsoft 365 域名及其服务的 Python 脚本，通过检查 DNS 记录来分类和总结这些服务。

热评

关键信息点

Servicelens 主要用于域名和服务发现：它能够识别与特定域名相关联的 Microsoft 365 域名，并通过分析 DNS 记录来发现和分类这些域名使用的服务。
脚本提供详细的服务分类：Servicelens 将服务分为多个类别，如 Email Services、Cloud Platforms 等，为用户提供了一个清晰的服务使用概览。
易于安装和使用：用户可以通过克隆 GitHub 仓库并安装 dnspython 库来快速部署 Servicelens，并通过命令行参数来运行脚本。
支持详细输出：通过 -v 标志，用户可以获得更详细的输出，以便进一步分析。

🏷️: Servicelens, Microsoft 365, DNS记录, 服务分析, Python脚本

0x0b 使用CSS泄露HTML文本节点的挑战

网页主要探讨了如何利用纯 CSS 泄露 HTML 文本节点中的内容，并通过一个具体的挑战实例，展示了一种新的 CSS 注入技术。

热评

CSS注入文本节点数据窃取技术

关键信息点

CSS 可以用于数据泄露：尽管存在限制，但 CSS 可以被用来泄露 HTML 文本节点中的敏感信息，如认证令牌。
CSS 注入的新技术：传统的 CSS 注入技术在某些情况下不适用，如在没有 JavaScript 的情况下。作者提出了一种新的技术，利用 CSS 动画和条件样式来测量和泄露文本节点的内容。
字体加载差异的利用：通过观察字体加载时的高度差异，可以推断出文本节点中的字符集。
CSS 动画时间线的测量能力：CSS 动画时间线可以用来精确测量 HTML 元素的尺寸，这为条件样式提供了可能性。

🏷️: CSS, 网络安全, CTF

0x0c 远程Chrome滥用概念验证工具remotechrome

网页主要介绍了 remotechrome 和 remotechrome_curl 这两个 Python 脚本，它们用于通过远程连接到 Chrome 浏览器进行操作和调试，支持多种认证方式，并且可以导出 cookies 为 JSON 格式。

热评

关键信息点

remotechrome 和 remotechrome_curl 是专门为了远程操作和调试 Chrome 浏览器而设计的工具，它们提供了强大的功能和灵活的配置选项。
这些工具支持多种认证方式，包括传统的 NTLM 哈希认证和现代的 Kerberos 认证，以及 AES 加密，这使得它们可以在各种安全环境中使用。
通过将 cookies 导出为 JSON 格式，remotechrome 提供了一种方便的方式来分析和重放用户会话。
这些工具的命令行界面设计简洁，易于集成到自动化脚本和安全测试工作流中。

🏷️: 远程访问, Chrome, 安全漏洞, 概念验证

0x0d 微软远程注册表客户端中的权限提升漏洞

Akamai 研究人员 Stiv Kupchik 发现了 Microsoft 远程注册表客户端中的一项新的提权漏洞 CVE-2024-43532，该漏洞通过利用 WinReg 客户端实现中的回退机制，可以将客户端的 NTLM 认证详情中继到 Active Directory 证书服务 (ADCS)，进而获取用户证书以在域中进一步进行认证。该漏洞已在 2024 年 10 月的 Patch Tuesday 中被修复。

热评

「编者注」:poc地址: https://github.com/akamai/akamai-security-research/tree/main/PoCs/cve-2024-43532
NoHat 2024 大会总结：RPC、身份验证等技术解析

关键信息点

MS-RPC 是 Windows 操作系统的核心组件，但随着时间的推移，安全原则的演变使得大多数 RPC 服务器和客户端现在都是安全的。
WinReg 客户端 中的回退机制可能会在 SMB 传输不可用时使用不安全的认证级别，导致 NTLM 中继攻击。
攻击者可以通过中继 NTLM 认证到 ADCS 来请求用户证书，然后利用该证书在域中进行认证，而不需要再次中继认证。
尽管 RPC 协议 本身设计时考虑了安全性，但仍然可能发现一些不安全的接口实现，这表明网络防御必须非常严格，以防止任何古老的接口暴露或运行。

🏷️: RPC, 权限提升, 漏洞, 微软, 远程注册表

0x0e 黑客基础：Linux 日志系统

网页主要介绍了Linux操作系统中的日志系统，特别是journalctl这一工具的使用方法和在网络战中的重要性。

<<<左右滑动见更多 >>>

热评

Journalctl指南：黑客的Linux日志系统指南

关键信息点

journalctl是现代Linux系统中的核心日志管理工具，它提供了强大的查询和分析功能。
对于网络战的参与者来说，理解和能够操作journalctl是至关重要的，因为它可以用于收集情报、监控系统、清理痕迹以及建立持久化访问。
虽然journalctl提供了许多优势，但它的日志记录和安全特性也为攻击者的行为留下了更多的痕迹，增加了被发现的风险。
在进行日志操作时，攻击者需要采取精心的方法来避免引起系统管理员的怀疑，例如通过例行维护的方式清理日志，以及在进行横向移动时模仿正常的通信模式。

🏷️: Linux, 日志系统, 黑客, 系统管理, 安全工程

0x0f 在URL凭证中隐藏有效载荷

Johan Carlsson 发现可以在 URL 的凭证部分隐藏有效载荷，这种方法在 Chrome 和 Firefox 中能够使有效载荷在地址栏中不可见，并且在同源导航中仍然有效。

<<<左右滑动见更多 >>>

热评

URL凭证隐藏有效载荷，实现DOM XSS和DOM Clobbering攻击
URL凭证中的隐藏负载：利用URL凭证隐藏恶意代码

关键信息点

URL 凭证部分的隐藏有效载荷：这是一种新型的攻击技术，可以在不显示在地址栏的情况下传输有效载荷，增加了攻击的隐蔽性。
document.URL 和 location 对象的差异：document.URL 包含 URL 的凭证部分，而 location 对象不包含，这一差异为攻击者提供了获取有效载荷的途径。
Firefox 对单引号的处理：Firefox 不对 URL 凭证部分的单引号进行编码，这一特性可以被利用来进行 DOM XSS 攻击。
锚点元素的操纵：可以通过 URL 的凭证部分来控制锚点链接中的 username 和 password 属性，这可以通过 DOM 覆盖技术进一步扩展攻击面。

🏷️: URL, 凭证, Firefox, DOM, 有效载荷

0x10 Kubernetes权限提升攻击分析（第一部分）

本文讨论了Kubernetes环境中的权限提升攻击，包括账户操纵、有效账户的滥用以及系统Pod的潜在风险。

热评

关键信息点

Kubernetes权限提升是一种严重的安全威胁，攻击者可以通过多种手段实现，包括操纵账户、利用有效账户、滥用系统Pods等。
基于角色的访问控制（RBAC）是Kubernetes安全机制的关键，但错误配置的RBAC角色和绑定可能会被攻击者利用来提升权限。
系统Pods的错误配置为Kubernetes集群带来了潜在的安全风险，攻击者可能会利用这些Pods作为提升权限的跳板。
安全控制应该是多层次的，包括预防和应对措施，以确保Kubernetes环境的安全。

🏷️: Kubernetes, 权限提升, 云安全, 容器安全

0x11 国家间谍利用FortiManager漏洞进行网络攻击

网页揭露了FortiNet产品中的FortiGate到FortiManager协议（FGFM）的零日漏洞，该漏洞被国家级攻击者利用进行间谍活动，且FortiNet未及时公开CVE信息和补丁。

热评

关键信息点

FortiNet在处理该漏洞的透明度和责任感上存在问题：尽管该漏洞已被广泛利用，FortiNet未能及时公开漏洞信息和补丁，延迟了用户的防御响应。
FGFM协议的默认配置存在安全风险：FortiManager默认允许任何设备注册，只要有有效的证书，这降低了注册门槛，增加了被入侵的风险。
FortiGate防火墙漏洞的普遍性：网页提到了另一个在2024年10月由CISA标记的FGFM漏洞（CVE-2024–23113），这表明FortiGate防火墙的漏洞并不个别。
FortiNet的安全措施不完善：部分版本的补丁尚未发布，且即使发布了补丁，补丁的描述也缺乏详细的安全问题说明。

🏷️: FortiManager, 漏洞, 国家间谍, 网络安全, CVE

0x12 将有效载荷嵌入PNG文件的GitHub项目

GitHub - Maldev-Academy/EmbedPayloadInPng 仓库提供了一种将有效载荷嵌入PNG文件的方法，通过在多个IDAT部分中分割有效载荷，并使用RC4加密算法为每个部分单独加密。

<<<左右滑动见更多 >>>

热评

将加密有效载荷嵌入PNG文件的多节段方法
PNG 文件多段加密载荷嵌入技巧

关键信息点

多个IDAT部分：有效载荷被分割并嵌入到PNG文件的多个IDAT部分中，每个部分都进行了RC4加密。
加密方式：每个IDAT部分使用自己的16字节密钥进行RC4加密。
文件结构：嵌入有效载荷的PNG文件结构包括一个随机IDAT部分标记有效载荷的开始，接着是多个包含加密有效载荷的IDAT部分。
最大大小限制：由于IDAT部分的大小限制，每个部分的实际大小为8176字节，最后一个部分包含剩余的有效载荷字节。

🏷️: payload, PNG, 加密, IDAT, RC4

0x13 Spip内容管理系统0-day漏洞研究

这篇文章主要介绍了对 Spip 内容管理系统的一个 0-day 漏洞的研究，该漏洞允许未授权的远程代码执行（RCE），并已在 Spip 的 4.2.9 版本中的 4-3-0-alpha2、4-2-13 和 4.1.16 版本中被修复。

<<<左右滑动见更多 >>>

热评

SPIP 远程代码执行漏洞分析：The Feather篇

关键信息点

Spip 的安全性受到威胁：Spip 的一个 0-day 漏洞允许未授权的远程代码执行，这对 Spip 用户的安全性构成了严重的威胁。
定期代码审计的重要性：作者通过定时任务每天审计代码更改，这表明了定期代码审计在发现安全漏洞中的重要性。
插件安全更新的必要性：即使 Spip 的核心代码被修复，如果相关插件没有更新，用户仍然可能面临风险。
预览功能可能成为安全隐患：Spip 的预览功能存在安全漏洞，可以被利用来实现代码执行。

🏷️: Spip, 漏洞, 远程代码执行, 0-day, 安全修复

0x14 Lazarus APT组织的加密游戏：投资者与零日漏洞的对决

Lazarus APT 利用其标志性恶意软件 Manuscrypt 进行攻击，其中包含了对 Google Chrome 的零日漏洞利用，攻击者通过一个模仿 DeFi NFT 游戏的网站诱骗用户点击，从而完全控制受害者的电脑。

<<<左右滑动见更多 >>>

热评

朝鲜黑客利用零日漏洞攻击视频游戏行业，盗取加密货币
Chrome 远程代码执行漏洞 CVE-2024-4947 分析

关键信息点

Lazarus APT 利用了高度复杂的社交工程和零日漏洞来进行攻击，这表明他们在金融获利方面的动机和技术能力的持续发展。
攻击者通过模拟真实 DeFi NFT 游戏的网站，诱骗用户下载恶意软件，展示了他们在社交工程方面的专业技能。
Lazarus 利用了 V8 引擎的漏洞，特别是新引入的 Maglev 编译器的漏洞，以及 Irregexp VM 的漏洞来绕过 V8 沙箱，这表明他们对浏览器内部工作机制有深入的了解。
Kaspersky 在发现这些漏洞后，采取了负责任的披露政策，帮助了 Google 修复漏洞，并通过开发自己的游戏服务器来研究攻击者的手段，展示了他们在应对高级威胁行为者方面的专业能力。

🏷️: Lazarus APT, 加密货币, 零日漏洞, 网络安全, 威胁行为者

0x15 开放目录中发现Rekoobe后门，或针对TradingView用户

研究人员在开放目录中发现了Rekoobe后门，该后门可能针对TradingView用户，并且与APT31等攻击者的网络攻击活动有关。

热评

Rekoobe 恶意软件样本公开目录揭示交易平台风险
交易平台后门“Rekoobe”被发现，可能针对TradingView用户

关键信息点

Rekoobe后门的发现揭示了针对特定金融平台用户的可能威胁，特别是TradingView用户。
开放目录中的恶意软件样本和模仿性域名的存在暗示了攻击者试图通过网络间谍和数据窃取来实现其目标。
通过共享SSH密钥的方式，研究人员能够揭示更广泛的攻击者基础设施网络，这表明了进一步的安全威胁。
合法安全工具（如Yakit）的恶意使用提醒了安全社区需要对这类工具的使用保持警惕，以防其被用于不良目的。

🏷️: Rekoobe, 后门, TradingView, APT31, 网络攻击