JDArmy Blog

蓝军推送(第7期)

字数统计: 498阅读时长: 1 min
2021/11/18

文章推荐:DLL Hollowing(dll 镂空)

文章看点:本文区别于Phantom的dll镂空,它是基于module_overloading(模块重载)的方式来进行dll镂空。

推送亮点:本文的方法是使用模块重载技术,使用readonly打开正常的dll文件,然后在rw区域分配内存存放payload,最后通过远程进程注入来执行payload。在整个技术实现的过程中,dll是以只读的形式打开的,能规避杀软对这块内存的查杀。

原文链接:https://www.secforce.com/blog/dll-hollowing-a-deep-dive-into-a-stealthier-memory-allocation-variant/

漏洞播报:CVE-2021-37580(Apache ShenYu Admin bypass JWT authentication )

漏洞概述:ShenyuAdminBootstrap 中 JWT 的签名部分错误使用允许攻击者绕过身份验证,攻击者可通过该漏洞直接进入系统后台。此问题影响了 Apache ShenYu 2.3.0 和 2.4.0。

推送亮点:Apache ShenYu后台的condition支持SpEL、Grovvy这样的动态语言,可以进一步造成RCE漏洞。

原文链接:https://nosec.org/m/share/4906.html

安全工具:lsarelayx

功能描述:这是一个ntlm中继工具,主要的功能特点是中继范围大(能中继SMB、HTTP、LDAP等)、能降级(能将kerberos降级到ntlm)、便于隐藏(能以被动模式运行,只捕获、存储NetNTLM)

推送亮点:区别于impacket的ntlm中继,此工具支持更多的中继协议、能将kerberos降级到ntlm来中继,并且被动模式还更适合隐秘渗透。这让ntlm中继能应用于更多场景。

工具链接:https://github.com/CCob/lsarelayx

安全工具:CobaltStrikeParser

功能描述:此工具能解析cobaltstrike的stageless beacons,能从.data段解析出用4字节key来异或加密的beacons,并dump出其中的内存和C2地址,还能通过beacon直接和C2通信,混淆攻击者。

推送亮点:此工具能方便防守人员对攻击者进行溯源、反制,提高攻击者的攻击成本。

工具链接:https://github.com/Sentinel-One/CobaltStrikeParser

CATALOG
  1. 1. 文章推荐:DLL Hollowing(dll 镂空)
  2. 2. 漏洞播报:CVE-2021-37580(Apache ShenYu Admin bypass JWT authentication )
  3. 3. 安全工具:lsarelayx
  4. 4. 安全工具:CobaltStrikeParser