蓝军技术推送(第十三弹)

渗透技巧 3年前 (2022) admin
686 0 0

蓝军技术推送

[文章推荐] Zooming in on Zero-click Exploits

文章看点:谷歌Project Zero出品,大家快来学习。此文章介绍了Zoom视频会议软件中存在的2个漏洞,其中包括:

一、Linux客户端和MMR服务器通信时存在缓冲区溢出。

思路是通过分析客户端与MMR服务器之间的通信逻辑, 客户端对数据进行反序列化时, 进行了拷贝数据. 拷贝长度是从缓冲区对象中直接获取, 没有进一步对长度进行校验.这意味着,攻击者对缓冲区对象进行修改,便可以达到缓冲区溢出的目的.

二、MMR服务器信息泄露。

思路是通过分析服务端转发数据的过程中, 在对数据进行反序列化时, 字符串的转换没有以空为结束符.这将导致服务端内存数据的泄露.

推送亮点:Zoom是当前热门的视频会议软件, 并对外提供sdk,因此受众非常广. 此文章讲述了Zoom软件的漏洞挖掘和利用思路在此之上,读者可以尝试挖掘其他漏洞。

原文链接:https://googleprojectzero.blogspot.com//2022/01/zooming-in-on-zero-click-exploits.html

[文章推荐] Operation Bleeding Bear(流血熊行动)

文章看点:本文主要分析勒索软件BleedingBear,BleedingBear主要行为有以下有以下几步:

一、阻止系统运行

通过CreateFile和WriteFile两个函数来修改磁盘的MBR数据来达到让系统无法运行的目的。

二、防御规避

通过powershell命令:powershell.exe Set-MpPreference -ExclusionPath 'C:'来设置defender排除项。

通过签名程序AdcancedRun来关闭defender:AdvancedRun.exe /EXEFilename "C:WindowsSystem32sc.exe" /WindowState 0 /CommandLine "stop WinDefend" /StartDirectory "" /RunAs 8 /Run。原理是通过AdcancedRun来以TrustedInstaller的sid运行SCM关闭denfender程序。当然也可以通过管理员的SeDebugPrivilege权限来获取到TrustedInstaller权限,来关闭defender。

通过AdcancedRun来删除defender目录:AdvancedRun.exe /EXEFilename "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe" /WindowState 0 /CommandLine "rmdir 'C:ProgramDataMicrosoftWindows Defender' -Recurse" /StartDirectory "" /RunAs 8 /Run

三、损坏文件

在所有文件的文件头添加1MB的脏数据,后将文件名重命名为随机扩展名,并进行自删除。

推送亮点:很典型的一个勒索软件制作流程,其中关闭defender的程序可以作为一个小tips。

原文链接:https://elastic.github.io/security-research/malware/2022/01/01.operation-bleeding-bear/article/

[安全工具] LdapRelayScan

功能描述:LDAP中继扫描器,能枚举LDAPS中打开channel binding功能和LDAP签名的域控。

推送亮点:帮助渗透测试人员快速发现能进行LDAP中继的目标。

工具链接:https://github.com/zyn3rgy/LdapRelayScan

蓝军技术推送(第十三弹)


原文始发于微信公众号(luomasec):蓝军技术推送(第十三弹)

版权声明:admin 发表于 2022年1月20日 上午10:00。
转载请注明:蓝军技术推送(第十三弹) | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...