2024-08-05 「红蓝热点」每天快人一步

1. 推送「新、热、赞」，帮部分人阅读提效
2. 学有精读浅读深读，艺有会熟精绝化，觉知此事重躬行。推送只在浅读预览
3. 机读为主，人工辅助，每日数万网站，10w推特速读
4. 推送可能大众或小众，不代表本人偏好或认可
5. 因渲染和外链原因，公众号甲方安全建设发送日报或日期,如20240805获取图文评论版pdf

目录

0x01 【2024-0731】向旧的 .NET Remoting 传授新的利用技巧
0x02 【2024-0801】利用VEH绕过EDR：LayeredSyscall技术解析
0x03 【2024-0802】Windows AppLocker驱动LPE漏洞CVE-2024-21338
0x04 【2024-0802】基于Python的445/tcp端口接管技术
0x05 【2024-0802】审计Atlassian插件：53个零日漏洞后的反思
0x06 【2024-0802】Homebrew安全审计发现潜在风险
0x07 【2024-0803】突破极限：通过首次序列同步扩展单包竞态条件以打破65,535字节限制
0x08 【2024-0803】“假”土豆病毒的解析——解码器博客
0x09 【2024-0805】利用RustPatchlessCLRLoader绕过Windows安全机制加载.NET程序集
0x0a 【2024-0805】泄露壁纸工具利用漏洞泄露用户NetNTLM哈希
0x0b 【2024-0805】Kerberos安全：红蓝队攻防策略之AS_REP Roasting
0x0c 【2024-0805】使用Rust语言开发的Windows内核Rootkit项目（shadow-rs）

0x01 向旧的 .NET Remoting 传授新的利用技巧

本文详细探讨了三种用于攻击硬化的 .NET Remoting 服务器的漏洞利用技术，即使在启用了 TypeFilterLevel.Low 和代码访问安全性（CAS）限制的情况下。

<<<左右滑动见更多 >>>

热评

「编者注」:赛博考古之 .NET Remoting
老牌 .NET 远程调用技术的新漏洞利用技巧

关键信息点

.NET Remoting 仍然存在未被充分探索的安全漏洞。
即使在严格的安全限制下，也存在绕过 CAS 限制的方法。
通过深入理解 .NET Remoting 的工作原理，可以发现新的利用技术。
安全研究人员应该持续关注和研究看似已经过时的技术，因为它们可能仍然存在未知的安全风险。

🏷️: 黑客技术, 网络安全, .NET Remoting, 代码访问安全

0x02 利用VEH绕过EDR：LayeredSyscall技术解析

本文介绍了一种利用 Vectored Exception Handling (VEH) 机制来欺骗 EDR 产品并执行间接系统调用的方法，从而实现恶意行为而不被检测。

<<<左右滑动见更多 >>>

热评

利用VEH和间接系统调用构建合法调用栈
LayeredSyscall: 利用VEH绕过EDR技术

关键信息点

EDR 产品通常通过在 ntdll.dll 或 kernel32.dll 中放置用户态钩子来监控系统调用。
绕过 EDR 的常见方法包括重新映射 ntdll.dll、直接系统调用和间接系统调用。
LayeredSyscall 利用 VEH 来生成合法的调用栈，通过间接系统调用绕过 EDR 钩子。
LayeredSyscall 通过两个 VEH 处理程序来实现其功能，分别用于设置硬件断点和生成调用栈。

🏷️: EDR绕过, VEH, 间接系统调用, 安全研究

0x03 Windows AppLocker驱动LPE漏洞CVE-2024-21338

网页主要介绍了 Windows 系统中的 AppLocker 驱动程序中的一个特权提升漏洞（CVE-2024-21338），该漏洞允许攻击者通过操纵内核指针和数据来提升权限。

热评

Windows AppLocker 驱动程序提权漏洞 CVE-2024-21338
Windows内核提权漏洞CVE-2024-21338分析

关键信息点

漏洞利用：攻击者可以通过触发 AppHashComputeImageHashInternal 函数来控制 RIP，从而实现特权提升。
安全机制绕过：由于 SMEP 和 kCFG 的保护，攻击者需要找到有效的内核空间指针和利用特定的函数来执行数据只攻击。
KASLR 问题：在 LocalService 用户上下文中，KASLR 不是主要障碍，可以通过 NtQuerySystemInformation 系统调用来获取必要的内核地址。
驱动程序加载：攻击者可以通过服务管理器或 AppLocker 相关的 ETW 提供程序来加载 appid.sys 驱动程序。

🏷️: 漏洞, Windows, 驱动, 权限提升, AppLocker

0x04 基于Python的445/tcp端口接管技术

SMBTakeover 是一种不需要加载驱动、加载 LSASS 模块或重启目标机器的技术，它通过在 Windows 系统上取消绑定并重新绑定 445/tcp 端口，用于简化 SMB 相关的 NTLM 中继攻击，特别是在通过 C2 通道时。

热评

「编者注」:x33fcon的那个 smb 工具放出来了, 优势不需要重启机器
通过SCM交互在Windows上解除445/tcp绑定的BOF和Python3实现

关键信息点

SMBTakeover 技术提供了一种无需重启目标机器的方法来取消绑定和重新绑定 SMB 服务的 445/tcp 端口，以便进行 NTLM 中继攻击。
该技术的实现依赖于 RPC over TCP 传输协议，以确保与远程目标的通信。
在使用 SMBTakeover 技术时，需要考虑目标机器的重要性和功能，因为禁用相关服务可能会影响其正常运行，尤其是在生产环境中。
尽管提供了 PoC，但用户可以选择其他工具与服务控制管理器交互，只要该工具支持 RPC over TCP 传输。

🏷️: 技术, Python, 网络安全, TCP, Windows

0x05 审计Atlassian插件：53个零日漏洞后的反思

本文主要介绍了对Atlassian插件生态系统进行审计的过程，发现了多个0day漏洞，并提出了对插件安全性的建议。

<<<左右滑动见更多 >>>

热评

「编者注」:白盒 + 灰盒，审计 Atlassian 插件 漏洞。
Atlassian 插件审计：53 个 0 天漏洞

关键信息点

Atlassian市场的插件安全审查流程存在不透明性，审查的详细程序和频率未公开。
插件开发者在编写宏模块时，缺乏输入验证和输出清理可能导致XSS漏洞。
XSS漏洞在Atlassian插件中的潜在影响很大，尽管有一定的安全措施，攻击者仍可通过各种方式造成破坏。
对于插件的安全审计应该是一个系统的过程，包括静态和动态分析，以及手动代码审查。

🏷️: Atlassian, 插件, 零日漏洞, 安全审计

0x06 Homebrew安全审计发现潜在风险

William Woodruff 与 Homebrew 维护者合作进行了对 Homebrew 的安全审计，发现了一些非关键但可能导致执行代码和破坏安全隔离的问题，并提出了改进建议。

热评

「编者注」:Mac Homebrew审计，15个中危漏洞
Homebrew CI/CD 安全审计：确保数百万 macOS 用户的软件安全

关键信息点

Homebrew 的安全性对于下游软件生态系统的整体安全性至关重要，因为它安装了许多关键的软件包。
尽管 Homebrew 采取了一些措施来提高软件包的可靠性和安全性，但其核心代码库的动态性质为攻击者提供了加载和执行代码的潜在途径。
Homebrew 的 CI/CD 配置复杂且依赖于 GitHub Actions 工作流程中的易于被滥用的模式，这可能被内部人员（如不忠的维护者）利用来破坏 CI/CD 的完整性和隔离假设。
审计过程中，与 Homebrew 维护者和 PLC 的紧密合作对于理解和改进 Homebrew 的安全性至关重要。

🏷️: Homebrew, 安全审计, CI/CD, 代码执行

0x07 突破极限：通过首次序列同步扩展单包竞态条件以打破65,535字节限制

RyotaK 在文章中介绍了如何通过IP分片和TCP序列号重排来克服单包跑赛攻击的限制，实现超过65,535字节的数据同时发送，从而可以利用超出限制的漏洞。

<<<左右滑动见更多 >>>

热评

「编者注」:单包搞条件竞争之类还是好使的
突破单包攻击限制：新技术实现166毫秒内发送10,000个请求

关键信息点

单包跑赛攻击的原始形式对于需要大量同时请求的漏洞利用有限制，因为它只能发送大约1,500字节的请求。
IP分片和TCP序列号重排可以扩展单包跑赛攻击的能力，允许发送超过65,535字节的数据，这超出了TCP的单个包大小限制。
通过这些技术，可以在短时间内发送大量请求，从而可能利用如一次性令牌认证的速率限制等严重漏洞。
服务器的TCP缓冲区大小和HTTP/2的SETTINGS_MAX_CONCURRENT_STREAMS设置对于同时发送的请求数量有重要影响。

🏷️: 网络安全, 攻击技术, 单包攻击, 竞态条件

0x08 “假”土豆病毒的解析——解码器博客

该文章探讨了在分析“SilverPotato”滥用时，作者发现的一个与“ShellWindows” DCOM 应用程序相关的安全漏洞。

<<<左右滑动见更多 >>>

热评

CVE-2024-38100 漏洞分析：意外漏洞！
FakePotato 漏洞 (CVE-2024-38100) 分析文章发布

关键信息点

DCOM 应用程序“ShellWindows”可能被滥用以在本地标准用户会话中执行外部命令或应用程序。
在高完整性级别下，真正的管理员用户（UAC 禁用）可以访问这些权限，而普通用户则无法访问。
利用 PowerShell 的 BindToMoniker() 调用，可以跨会话激活 DCOM 对象，并执行 ShellExecute() 方法，实现非特权用户向管理员用户发起攻击。
这一发现被确认为一个安全漏洞，并在 2024 年 7 月的 Patch Tuesday 中得到了修复（CVE-2024-38100）。

🏷️: DCOM, ShellWindows, SilverPotato, 网络安全, 攻击技术

0x09 利用RustPatchlessCLRLoader绕过Windows安全机制加载.NET程序集

RustPatchlessCLRLoader 是一个利用无需修补（patchless）技术的工具，用于绕过 Windows 事件跟踪（ETW）和反恶意软件扫描接口（AMSI），动态加载 .NET 程序集，以便在不修改系统文件和触发安全机制的情况下，隐蔽地执行托管代码。

<<<左右滑动见更多 >>>

热评

关键信息点

无需修补技术的优势：RustPatchlessCLRLoader 利用硬件断点技术，能够在不修改系统文件和触发安全机制的情况下，绕过 ETW 和 AMSI，这种方法具有减少检测和避免文件完整性监控的优势。
隐蔽执行托管代码：该工具的设计使得它能够隐秘地执行托管代码，特别是在安全性评估的环境中。
支持有效载荷加密：RustPatchlessCLRLoader 支持使用 RC4 加密有效载荷，增加了安全性和隐蔽性。
成功绕过多个安全产品：该工具已在多个主流的反恶意软件和 EDR 产品中进行了测试，并且在不引起行为检测的情况下成功加载和执行 .NET 程序集。

🏷️: Rust, Windows, AMSI, 反病毒, C2

0x0a 泄露壁纸工具利用漏洞泄露用户NetNTLM哈希

网页介绍了一个名为 LeakedWallpaper 的特权升级工具，该工具可以利用 CVE-2024-38100 漏洞（已在 KB5040434 中修复），从计算机上的任何会话中泄露用户的 NetNTLM 哈希值，即使是从低权限用户账户操作。

<<<左右滑动见更多 >>>

热评

壁纸泄露可暴露敏感信息，微软发布补丁修复漏洞

关键信息点

LeakedWallpaper 工具的核心功能：能够在不需要用户交互的情况下，从任何会话中捕获 NetNTLM 哈希值，这对于渗透测试和特权升级攻击具有重要意义。
漏洞修复：CVE-2024-38100 漏洞已在 KB5040434 安全更新中得到修复，强调了及时更新系统的重要性。
工具的操作方式：通过在低权限账户中执行工具并引用远程图片文件，诱使高权限账户进行身份验证，进而捕获其哈希值。
教育和演示资源：网页提供了一个 YouTube 视频链接和一个演示文件，用于教育用户如何使用该工具，以及在网络环境中可能遇到的问题。

🏷️: 漏洞利用, NetNTLM哈希, 权限提升

0x0b Kerberos安全：红蓝队攻防策略之AS_REP Roasting

网页主要介绍了AS_REP Roasting攻击的原理、OPSEC考虑、检测策略以及如何通过修改Rubeus工具来进行更隐蔽的攻击。

<<<左右滑动见更多 >>>

热评

Kerberos OPSEC：红蓝对抗中的攻击与防御策略（第二部分：AS REP 攻击）

关键信息点

AS_REP Roasting攻击利用了Kerberos协议中的一个漏洞，即用户可以请求另一用户的TGT而不需要知道密码。
攻击者可以通过暴力破解加密的会话密钥来尝试获取用户密码，尤其是当密码不够复杂时。
检测AS_REP Roasting攻击可以通过监控特定的LDAP查询、Kerberos票证加密类型、票证选项以及来源进程等手段来实现。
为了提高攻击的隐蔽性，攻击者可以通过修改Rubeus工具的代码来避免生成易于检测的行为，例如使用AES256加密、添加Name-Canonicalize标志等。

🏷️: Kerberos, AS_REP Roasting, 红队, 蓝队, 安全策略

0x0c 使用Rust语言开发的Windows内核Rootkit项目（shadow-rs）

Windows Kernel Rootkit in Rust (shadow-rs) 是一个旨在利用 Rust 语言安全和性能特性开发 Windows 内核根本套件的项目，目前正在积极开发中，专注于教育和研究目的，并明确警告不要滥用该软件。

<<<左右滑动见更多 >>>

热评

Rust 语言编写的 Windows 内核 Rootkit (shadow-rs)
Rust 语言编写 Rootkit 的尝试

关键信息点

教育与研究目的：项目强调其目的是教育和研究，而不是鼓励恶意使用。
利用 Rust 语言特性：项目选择 Rust 语言以利用其安全性和性能特性来开发内核根本套件。
已实现的功能：项目已经实现了多项关键功能，如进程和线程的隐藏与保护、驱动程序操作、键盘记录器、注册表保护等。
构建与安装指南：项目提供了详细的构建和安装指南，以便开发者可以在 Windows 环境中部署和测试根本套件。

🏷️: 网络安全, Rootkit, Windows, Rust