每周蓝军技术推送(2022.6.18-6.24)

admin 2022年6月27日10:25:13评论152 views字数 2781阅读9分16秒阅读模式
每周蓝军技术推送(2022.6.18-6.24)


Web安全


探寻Tomcat文件上传流量层面绕waf新姿势

https://y4tacker.github.io/2022/06/19/year/2022/6/%E6%8E%A2%E5%AF%BBTomcat%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%B5%81%E9%87%8F%E5%B1%82%E9%9D%A2%E7%BB%95waf%E6%96%B0%E5%A7%BF%E5%8A%BF/

探寻Java文件上传流量层面waf绕过姿势系列二

https://y4tacker.github.io/2022/06/21/year/2022/6/%E6%8E%A2%E5%AF%BBJava%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E6%B5%81%E9%87%8F%E5%B1%82%E9%9D%A2waf%E7%BB%95%E8%BF%87%E5%A7%BF%E5%8A%BF%E7%B3%BB%E5%88%97%E4%BA%8C/

Awesome-RCE-techniques:在各种应用程序上实现远程代码执行 (RCE) 的技术列表

https://github.com/p0dalirius/Awesome-RCE-techniques


内网渗透


PSSW100AVB:具有 100% 绕过AV的 Powershell 脚本列表,包含Windows 11反向Shell和Windows 11 的Lsass Dump

https://github.com/tihanyin/PSSW100AVB

beacon_frp:支持内存加载、域前置与配置远程拉取

https://mp.weixin.qq.com/s/ztUnng7OPcwy6u4xyrEtPg

使用Firefox和FoxyProxy进行NTLM身份认证

https://offensivedefence.co.uk/posts/ntlm-auth-firefox/


终端对抗


滥用 TYK 云 API 管理隐藏恶意 C2 流量

https://shells.systems/oh-my-api-abusing-tyk-cloud-api-management-service-to-hide-your-malicious-c2-traffic/

研究“下一代恶意软件”——NightHawk 的混淆和睡眠

https://suspicious.actor/2022/05/05/mdsec-nighthawk-study.html

Ekko:使用CreateTimerQueueTimer构造ROP 链的睡眠混淆武器化项目

https://github.com/Cracked5pider/Ekko

针对Ekko等睡眠混淆技术的检测项目

https://github.com/joe-desimone/patriot

从 Windows Defender ASR 规则中提取白名单路径

https://adamsvoboda.net/extracting-asr-rules/

在 Microsoft InfoPath 中嵌入Payload并绕过控制

https://spaceraccoon.dev/embedding-payloads-bypassing-controls-microsoft-infopath/

NlsCodeInjectionThroughRegistry:通过注册表修改 NLS 代码页 ID 进行 DLL 注入

https://github.com/NtQuerySystemInformation/NlsCodeInjectionThroughRegistry

使用宏和 constexpr 使 API Hash计算更加友好

https://gist.github.com/rad9800/ccfbf5f085aff2218699d92d354fe91e

Antnium:用 Go 编写的 C2 框架和 RAT

https://github.com/dobin/antnium


漏洞相关


利用 Origin Fuzzing 检测浏览器里的 UXSS 漏洞

https://lifeasageek.github.io/papers/sunwoo-fuzzorigin.pdf

CVE-2022-26809:初识RPC 知识到漏洞点

https://s1ckb017.github.io/2022/06/17/CVE-2022-26809-Server-Side-vulnerable-point-reachability.html

使用 NetrDfsRemoveStdRoot 方法进行 MS-DFSNM 强制身份验证的 PoC

https://github.com/Wh04m1001/DFSCoerce

CVE-2021-30983:Google ProjectZero对野外使用的CVE-2021-30983漏洞利用分析

https://googleprojectzero.blogspot.com/2022/06/curious-case-carrier-app.html

CVE-2022-22620:Google ProjectZero对野外使用的safari 0 day漏洞利用分析

https://googleprojectzero.blogspot.com/2022/06/an-autopsy-on-zombie-in-wild-0-day.html


其他


Daniel Blackford、Selena Larson 和 Proofpoint 威胁研究团队 2022 年社会工程报告

https://www.proofpoint.com/us/blog/threat-insight/how-threat-actors-hijack-attention-2022-social-engineering-report

OfficeIMO:可创建或修改 Microsoft Word 与 Excel 文件的跨平台 .NET 库

https://github.com/EvotecIT/OfficeIMO

flare-floss:发布2.0版本,添加了通过 FLIRT 签名识别库函数、改进的日志记录和结果输出、增强的堆栈字符串和编码字符串的解码提取等功能

https://github.com/mandiant/flare-floss


每周蓝军技术推送(2022.6.18-6.24)

M01N Team公众号

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队

每周蓝军技术推送(2022.6.18-6.24)

官方攻防交流群

网络安全一手资讯

攻防技术答疑解惑

扫码加好友即可拉群


往期推荐

每周蓝军技术推送(2022.6.11-6.17)

每周蓝军技术推送(2022.6.4-6.10)

每周蓝军技术推送(2022.5.28-6.2)


原文始发于微信公众号(M01N Team):每周蓝军技术推送(2022.6.18-6.24)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月27日10:25:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   每周蓝军技术推送(2022.6.18-6.24)http://cn-sec.com/archives/1142621.html

发表评论

匿名网友 填写信息