JDArmy Blog

蓝军推送(第2期)

字数统计: 608阅读时长: 2 min
2021/10/13

文章推荐:Extract credentials from lsass remotely(从lsass远程提取凭证)

文章看点:本文主要讲述从手动procdump+mimikatz提取凭证到CrackMapExec远程提取凭证的整个过程和原理。

推送亮点:此文从开始的Procdump+mimikatz–>Procdump+pypykatz–>comsvcs.dll+pypykatz->CrackMapExec模块,在代码层次来详细讲述CrackMapExec模块的实现及优化过程,对其他的安全工具开发有很大的借鉴意义。

原文链接:https://en.hackndo.com/remote-lsass-dump-passwords/

漏洞播报:Microsoft Exchange Server 远程代码执行漏洞(CVE-2021-26427)

漏洞概述:由美国国家安全局(NSA)提交的漏洞,由于攻击的协议级别限制攻击者要从同一共享网络、逻辑网络、或者从网络管理域(例如vpn)中发起攻击。

推送亮点:exchange rce漏洞,但是利用难道较大,攻击过程可能需要用到类似arp这种局域网协议,需要等待后续poc或者exp来进一步评估漏洞危害。

原文链接:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26427

漏洞播报:Adobe Acrobat Reader DC堆缓冲区溢出(CVE-2021-39863)

漏洞概述:漏洞出现在Adobe Reader内置JavaScript引擎SpiderMonkey,PDF中嵌入的JS代码在Adobe Reader中被EScript.api处理执行,在当一个绝对地址的URL被构建时,需要把基地址URL和相对URL拼接起来,而在字符串拼接过程中,需要开辟相应的内存,计算每个字符串的长度。这些URL字符的两种编码方式分别是ANSI和Unicode,计算长度时会根据他们不同的编码方式计算。但是Adobe在拼接时,只考虑了基地址URL的编码方式,认为相对URL和基地址URL编码方式相同。这样,就造成源缓冲区的越界读和目的缓冲区的越界写。

推送亮点:Adobe的缓冲区溢出漏洞,本文详细分析了漏洞出现的原因和功能点,可用作安全研究和渗透测试。

原文链接:https://blog.exodusintel.com/2021/10/04/analysis-of-a-heap-buffer-overflow-vulnerability-in-adobe-acrobat-reader-dc-2/

安全工具:NimlineWhispers

功能描述:通过直接系统调用来绕过杀软和EDR的API Hook。

推送亮点:通过此工具简化了系统调用编写过程,方便了渗透测试人员绕过用户态api的Hook。

工具链接:https://github.com/codewhitesec/HandleKatz

CATALOG
  1. 1. 文章推荐:Extract credentials from lsass remotely(从lsass远程提取凭证)
  2. 2. 漏洞播报:Microsoft Exchange Server 远程代码执行漏洞(CVE-2021-26427)
  3. 3. 漏洞播报:Adobe Acrobat Reader DC堆缓冲区溢出(CVE-2021-39863)
  4. 4. 安全工具:NimlineWhispers