2024-10-10 「红蓝热点」每天快人一步

目录

0x01 CUPS打印系统漏洞报告泄露

热评

关键信息点

• CUPS打印系统的漏洞可能导致严重的安全风险，包括远程代码执行。
• 漏洞利用的方式包括通过UDP端口631接收任何来源的自定义数据包，以及通过mDNS广播。
• 受影响的系统包括多种GNU/Linux发行版、Google ChromeOS和大多数BSD系统。
• 漏洞的根本原因在于CUPS打印机发现机制（cups-browsed）和其他CUPS系统组件没有对外部输入进行足够的消毒和验证。

🏷️: CUPS, 漏洞, 泄露, OpenPrinting, GitHub

0x02 CUPS漏洞快速概念验证

热评

• CUPS 漏洞允许 Linux 远程代码执行

关键信息点

• Cupshax 是针对 CUPS 漏洞的一个快速开发的 PoC 工具。
• 该工具的开发受到了公开的 OpenPrinting CUPS 仓库中的一个提交的启发，但由于 embargo 提前结束，工具代码相对仓促。
• Cupshax 依赖于 dns-sd 打印机发现，需要目标设备与攻击者在同一网络中。
• 利用工具使用了 zeroconf 和 ippserver，可以通过 pip 安装。

🏷️: CUPS, 漏洞, 技术细节, PoC, dns-sd

0x03 恶意软件虚拟化在EDR时代的逃避策略

热评

• EDR时代下的红队攻击：利用恶意软件虚拟化逃避端点检测
• EDR 时代下的红队攻击：利用恶意软件虚拟化绕过终端检测

关键信息点

• 随着EDR系统的不断提升，攻击者需要不断改进他们的方法来逃避检测。
• 传统的杀毒Signature检测已不再有效，打包器和多态引擎出现了，但它们也面临着被检测的问题。
• 恶意软件的虚拟化能够有效地隐藏攻击者的真实intent和code flow，通过这种方式来逃避EDR的检测。
• 使用自定义虚拟机和Bytecode可以实现恶意软件的高度定制和逃避检测的能力。

🏷️: 恶意软件, EDR, 虚拟化, 逃避策略, 网络安全

0x04 利用ProxyNotShell后的Exchange PowerShell：无参数构造函数

<<<左右滑动见更多 >>>

热评

关键信息点

• ConvertViaNoArgumentConstructor 的强大能力：这一转换机制允许攻击者通过允许的类型的成员进行反序列化，即使这些成员的类型不在允许列表上。这显著扩大了攻击面。
• 成员反序列化的风险：即使成员没有公共 setter，或者有 setter 但不是公共的，反序列化过程仍然会发生。
• 微软对 NTLM 中继的态度：微软认真对待 Exchange 中的 NTLM 中继漏洞，因为它可能导致权限提升。
• 安全加固的挑战：即使在对 PowerShell Remoting 进行加固后，仍然存在利用允许的类型成员进行攻击的漏洞。

🏷️: Exchange, PowerShell, 漏洞利用, 网络安全, ProxyNotShell

0x05 中国防火墙引发的漏洞问题

<<<左右滑动见更多 >>>

热评

• 中国域名DNS污染影响3000万+域名，PrettyRecon可查询受影响域名
• DNS 污染影响数千万域名：研究揭示中国域名服务器风险

关键信息点

• DNS 污染问题：中国防火长城通过篡改 DNS 查询结果，导致域名解析到随机或特定的 IP 地址，这种行为可能是出于审查目的。
• 影响范围广泛：受影响的域名不仅限于 .cn 顶级域名，任何通过中国基础设施路由的域名都可能受到影响。
• 关键词触发：DNS 污染行为似乎基于子域名中的关键词触发，这些关键词与中国审查的内容相关联。
• 安全风险：这种 DNS 污染可能导致子域名接管、XSS 攻击以及其他安全问题。

🏷️: 防火墙, 漏洞, DNS, 攻击, 中国

0x06 通过RPC调用Google Chrome提升服务解密App绑定密钥

热评

• 绕过App-Bound Chromium 加密：最小 PoC 示例
• Chromium 应用绑定加密被绕过，PoC 可解密 Local State 密钥

关键信息点

• Google Chrome Elevation Service 可以通过 RPC 调用来解密应用程序绑定的加密密钥。
• 通过提供的 C++ 代码，可以实现对存储在文件中的加密密钥进行解密的操作。
• 这个 PoC 展示了如何与 Elevation Service 进行交互，包括如何调用其提供的接口来执行解密操作。
• 代码中使用了 COM 技术和 Windows 特有的安全机制，如 CoInitializeEx、CoCreateInstance 和 CoSetProxyBlanket。

🏷️: Google Chrome, 加密, RPC调用, 安全漏洞, PoC

0x07 Supermicro 系统漏洞 CVE-2024-36435 的 PoC 工具

热评

• 公开的 PoC 利用漏洞执行任意命令

关键信息点

• GitHub 仓库中的 CVE-2024-36435.py 文件是一个用于展示 Supermicro 设备漏洞的 PoC 工具。
• 该工具与 Supermicro 硬件的 CVE-2024-36435 漏洞相关。
• 网页显示了最新的提交记录，包括代码更新的细节和统计信息。
• 用户尝试执行某个操作时遇到了限制，这可能是由于权限不足、操作限制或其他技术问题。

🏷️: CVE-2024-36435, Supermicro, PoC, 漏洞, 网络安全

0x08 Office URI方案中的NTLMv2哈希捕获漏洞

<<<左右滑动见更多 >>>

热评

• 微软Office NTLMv2 漏洞 CVE-2024-38200 披露与 PoC
• 微软Office NTLMv2 漏洞 CVE-2024-38200 披露与 PoC

关键信息点

• Office URI 方案可以被利用来捕获 NTLMv2 哈希值，这可能导致对域控制器的 NTLM Relaying 攻击。
• 利用 HTTP 302 重定向到 UNC 路径的方法，可以在用户无意中的情况下捕获哈希值。
• GPO 设置和 DNS 记录欺骗可以迫使 Office 应用程序进行自动认证，这使得哈希捕获更加容易。
• 浏览器的信任区域设置对 NTLM 认证行为有重要影响，攻击者可以利用这一点来实现自动认证。

🏷️: CVE, Office, URI, NTLMv2, 哈希

0x09 检测和缓解Active Directory的妥协

热评

• Active Directory安全指南：防御和检测攻击

关键信息点

• Active Directory是攻击者的主要目标：由于其在企业IT网络中的核心作用，Active Directory经常成为攻击者的目标。
• 安全配置和监控是关键：通过合理配置AD组件、使用强密码、限制权限和监控异常活动，可以显著降低攻击风险。
• 多因素认证（MFA）的重要性：MFA可以有效阻止许多攻击技术，如密码喷雾和无约束委派。
• 定期更改KRBTGT密码：为了防止Golden Ticket攻击，应定期更改KRBTGT账户的密码。

🏷️: Active Directory, 网络安全, 妥协检测, 缓解措施

0x0a CVE-2024-6769：利用激活缓存漏洞从中等权限提升至高权限

<<<左右滑动见更多 >>>

热评

关键信息点

• DLL劫持和激活上下文缓存中毒是提升权限的有效手段：通过这两个漏洞，攻击者可以从中等完整性级别提升到高完整性级别，并获得与管理员相同的权限。
• 激活上下文缓存中毒利用了CSRSS服务器的机制：攻击者可以通过构造恶意的激活上下文消息，使CSRSS服务器接受并使用恶意的XML清单，从而控制DLL的加载路径。
• ALPC攻击矢量是中毒激活缓存的关键：ALPC提供了一种跨进程通信的机制，攻击者可以利用它直接与CSRSS服务器通信，实现缓存中毒。
• 攻击者需要绕过安全检查以成功执行提权：文章中提到了微软在2022年10月的更新中增加的RID检查，攻击者需要找到方法绕过这些检查以确保提权攻击的成功。

🏷️: CVE-2024-6769, 激活缓存, DLL劫持, 权限提升, Ekoparty 2023

0x0b Zimbra邮件平台远程命令执行漏洞（CVE-2024-45519）

<<<左右滑动见更多 >>>

热评

• Zimbra 远程命令执行漏洞 CVE-2024-45519
• Zimbra 远程命令执行漏洞 CVE-2024-45519

关键信息点

• 及时打补丁至关重要：文章强调了应用安全更新的紧迫性，以防止恶意攻击者利用已知漏洞。
• 漏洞分析和利用：通过反汇编和动态分析，作者详细说明了如何分析补丁和利用漏洞。
• 配置管理：正确配置 zimbraMtaMyNetworks 参数对于防止未授权访问和远程利用至关重要。
• 安全工具的使用：Nuclei 等安全工具可以帮助自动化漏洞检测，提高安全防御。

🏷️: Zimbra, 远程命令执行, CVE-2024-45519, 漏洞分析, 安全更新

0x0c Ruby-SAML库中的GitLab认证绕过漏洞分析

热评

• GitLab 身份验证绕过漏洞（CVE-2024-45409）
• GitLab 存在 SAML 身份验证绕过漏洞 CVE-2024-45409

关键信息点

• SAML 协议的安全性依赖于对断言的数字签名和摘要的正确验证。这些验证确保了数据在传输过程中未被篡改。
• Ruby-SAML 库中的一个 XPath 选择器漏洞允许攻击者绕过签名验证。攻击者可以在 SAML 响应中的任意位置插入一个 DigestValue 元素，从而迷惑验证过程。
• GitLab 在描述漏洞时存在信息不准确的问题。文章指出，GitLab 的描述误导人们认为成功利用漏洞需要多个断言，而实际上只需要一个断言即可。
• 提供了一个 Nuclei 模板来检测 CVE-2024-45409 漏洞。这个模板可以帮助安全研究人员快速识别是否存在此类漏洞。

🏷️: GitLab, SAML, 认证绕过, 漏洞分析, 数字签名

0x0d 通过iTunes利用的Windows本地权限提升漏洞

<<<左右滑动见更多 >>>

热评

• iTunes 0day 漏洞可导致 Windows 本地提权
• iTunes 0day 漏洞可导致 Windows 本地提权

关键信息点

• CVE-2024–44193 漏洞利用了 AppleMobileDeviceService.exe 服务的安全漏洞，该服务在启动时会删除 C:\ProgramData\Apple\Lockdown\ 目录下的非法文件和文件夹，但没有正确管理用户权限，导致普通用户可以写入该目录，进而实现权限提升。
• 利用该漏洞的关键在于结合 NTFS 硬链接和服务重启，攻击者可以实现任意文件或文件夹的删除，进而提升到 SYSTEM 权限，执行任意代码。
• 文章中提到的 FilesystemEoPs 和 FolderOrFileDeleteToSystem 等工具是实现利用链的重要组成部分，它们分别负责文件和文件夹的操作，以及恶意代码的执行。
• 通过这次漏洞的分析，揭示了 iTunes 安装在 Windows 系统上的安全问题，并提供了一个详细的权限提升技术，这对于恶意软件作者和漏洞防御者都具有重要意义。

🏷️: CVE-2024-44193, iTunes, 本地权限提升, 漏洞, Apple

0x0e Zimbra Postjournal漏洞利用指南

热评

• CVE-2024-45519 漏洞利用与实验环境搭建
• Zimbra 远程命令执行漏洞 CVE-2024-45519

关键信息点

• CVE-2024-45519 漏洞严重影响 Zimbra Collaboration Suite 的安全性，允许未认证攻击者执行任意命令。
• 搭建实验室环境需要在 Ubuntu 20.04.6 LTS 上操作，并且要求严格按照指南进行，包括安装、配置和服务管理。
• 利用此漏洞的过程需要准备相应的利用脚本，并且要确保目标系统的 IP 地址和端口号正确。
• 文章提供的信息旨在用于教育和合法的安全测试，严禁在未经授权的系统上使用。

🏷️: CVE-2024-45519, Zimbra, 漏洞利用, 网络安全

0x0f PrintNightmare漏洞仍未解决

<<<左右滑动见更多 >>>

热评

• 绕过限制，低权限用户也能安装漏洞驱动程序提升权限
• Mod0 Red Team 发现 PrintNightmare 漏洞绕过方法

关键信息点

• PrintNightmare漏洞的安全限制可以被绕过：尽管有多种安全措施，但通过DNS欺骗等方法仍然可以攻击PnP配置。
• UNC Hardened Access不足以阻止攻击：虽然硬化UNC路径可以提供额外的安全性，但攻击者可以通过使用本地路径来绕过。
• RPC over named pipe的保护不可靠：即使重新启用了RPC over named pipes，攻击者仍然可以通过RPC over TCP fallback来进行攻击。
• Print Driver exclusion list方法存在缺陷：这种方法实施起来复杂，且安全性不足，因为它基于一个“阻止列表”而非“允许列表”。

🏷️: PrintNightmare, 打印机, 安全漏洞, PnP, RPC

0x10 C#程序查找Windows Defender文件夹排除项

热评

• 使用MpCmdRun.exe检查文件夹是否被Windows Defender排除
• C# 程序使用 Windows Defender 命令行工具查找排除文件夹

关键信息点

• 安全研究：SharpExclusionFinder 是为安全研究人员设计的，帮助他们发现系统中的 Windows Defender 排除项，这对于恶意软件分析和安全评估非常重要。
• 递归扫描与多线程：程序支持递归扫描目录，可以设置扫描深度，并且利用多线程技术提高扫描效率。
• 日志记录：程序能够将扫描结果和错误信息详细记录到用户指定的日志文件中，便于后续分析。
• 无需管理员权限：该工具的设计允许在不需要管理员权限的情况下进行扫描，降低了使用门槛。

🏷️: C#, Windows Defender, 文件夹排除项, 多线程扫描

0x11 TeamViewer漏洞利用：非特权用户加载任意内核驱动

热评

• TeamViewer 漏洞 CVE-2024-7479 & CVE-2024-7481 可加载任意内核驱动
• TeamViewer 漏洞 CVE-2024-7479 和 CVE-2024-7481 允许内核提权

关键信息点

• TeamViewer的两个安全漏洞（CVE-2024-7479和CVE-2024-7481）允许未授权的权限提升。
• 这些漏洞的存在是由于TeamViewer在处理客户端与SYSTEM服务之间的IPC通信时，未能验证驱动程序的真实性和签名。
• 利用这些漏洞的方法包括BYOD技术，通过模拟TeamViewer客户端来加载有效签名的驱动程序，并执行提升权限的操作。
• TeamViewer的某些安全检查只在GUI层面有效，而通过IPC可以绕过这些检查。

🏷️: CVE, 漏洞利用, TeamViewer, 内核驱动, 安全披露

0x12 识别常见EDR进程和服务的工具Invoke-EDRChecker

热评

• EDR 检测工具：Invoke-EDRChecker
• 识别 EDR 进程、目录和服务：Invoke-EDRChecker 简易 BOF

关键信息点

• Invoke-EDRChecker 是一个用于识别EDR软件的工具，它能够检测EDR相关的进程、目录和服务。
• 该工具是对开源项目Invoke-EDRChecker的扩展，提供了额外的功能或改进。
• 网页强调了识别EDR软件的重要性，这对于维护系统安全和进行安全研究至关重要。
• 通过提供对原始项目的引用，网页鼓励用户了解和使用开源工具，同时也提供了进一步学习和研究的资源。

🏷️: EDR, Invoke-EDRChecker, 网络安全, 进程识别, 服务识别

0x13 基于Socks5代理的Windows管理员级植入工具包

热评

• IllusiveFog：一款用于 Windows 网络的隐蔽植入工具
• Windows 管理员级别后门植入

关键信息点

• 安全与隐私：IllusiveFog 的设计侧重于长期和隐蔽地维持对 Windows 网络的访问，显示了对隐私和安全性的重视。
• 教育目的：项目创建者强调该工具的教育价值，鼓励用户通过学习 Windows 内部和检测机制来提升自身技能。
• 开源精神与责任：IllusiveFog 作为一个开源项目，遵循 MIT 许可证，同时明确表示创建者不对项目的使用负责，强调用户的责任。
• 技术挑战：项目可能包含需要反向工程的代码部分，这为研究人员和爱好者提供了技术挑战，同时也可能作为对手的一种防御机制。

🏷️: Socks5, Windows, 植入工具, Python, C++

0x14 CVE-2024-38816 路径遍历漏洞概念验证

热评

• Spring 框架路径遍历漏洞 CVE-2024-38816
• Spring框架发现路径穿越漏洞 CVE-2024-38816

关键信息点

• 漏洞验证: 通过 Docker 环境中的 Spring Boot 应用程序，演示了 CVE-2024-38816 漏洞的验证过程，包括构建镜像、运行容器、执行 PoC 命令，并通过文件内容的显示来确认漏洞。
• 修复和问题: 漏洞在 Spring Framework 6.1.13 版本中得到了修复。分析显示，漏洞可能与新增符号链接选项和修改了处理 %-编码字符的代码的两个问题有关。
• 攻击条件: 成功利用漏洞的攻击可能需要满足特定的功能使用、符号链接存在以及 %-编码字符的使用等条件。
• 教育和研究用途: PoC 旨在教育和安全研究目的，强调在实际系统中使用之前确保漏洞已修复且有适当授权，并对滥用代码不承担责任。

🏷️: CVE, Spring Boot, 路径遍历, PoC, Docker

0x15 Pwnlook：一款控制Outlook应用的攻击后利用工具

热评

• Pwnlook: 攻击者可完全控制Outlook桌面应用
• pwnlook: 攻击后利用工具，完全控制 Outlook 桌面应用

关键信息点

• Pwnlook 是一个专门针对 Outlook 桌面应用程序的后期利用工具，它能够提供对配置在其中的电子邮件的完整控制。
• 该工具的功能包括但不限于列出邮箱、文件夹、邮件信息，读取邮件、搜索邮件以及下载附件。
• Pwnlook 使用 .NET 4.8.1 编写，需要在编译时注册 DLL 文件，但在执行时不需要。
• 通过使用 Redemption 库和 COM，Pwnlook 能够在不触发用户警报的情况下收集信息。

🏷️: 攻击后利用, Outlook, 邮件控制, 网络安全

0x16 利用Visual Studio转储文件的CVE-2024-30052漏洞

<<<左右滑动见更多 >>>

热评

• Visual Studio 漏洞 CVE-2024-30052 允许通过转储文件进行利用
• Visual Studio 漏洞 CVE-2024-30052 利用：通过转储文件攻击

关键信息点

• Visual Studio 在处理内存转储文件时，对于嵌入式 PDB 文件中的源代码文件没有进行充分的安全检查，这可能导致任意代码执行。
• 攻击者可以通过将恶意代码嵌入到 PDB 文件中的源代码文件中，并利用 Visual Studio 对特定文件扩展名的处理行为，来实现代码执行。
• 微软最初低估了这个漏洞的严重性，但后来认识到了其潜在的危险，并进行了修复。
• 这个漏洞的存在强调了开发者在处理来自不可信来源的内存转储文件时需要保持警惕的重要性。

🏷️: CVE-2024-30052, Visual Studio, 漏洞利用, 代码执行, 调试