CVE Vulnerabilities

sy64

https://www.mobile-hacker.com/2024/06/17/exfiltrate-sensitive-user-data-from-apps-on-android-12-and-13-using-cve-2024-0044-vulnerability/

利用 CVE-2024-0044 漏洞泄露在 Android 12 或 13 上运行的任何 Android 应用的 #WhatsApp 聊天或内部数据

https://blog.lleavesg.top/article/CVE-2024-0044

sy64

https://blog.qdsecurity.se/2024/04/07/forest-compromise-through-ama-abuse/

Forest Compromise Through AMA Abuse

您的林中至少注册了一个 AMA OID，直接或间接链接到高权限组（例如企业管理员）
您的 KDC 隐式或显式地信任至少一个您不一定拥有完全控制权的 CA，例如，如果您已委派证书管理器权限或使用"在请求模板中提供"
您已将林中任意域中至少一个常规用户帐户的写入权限委托给企业管理员以外的其他人

sy64

https://bc-security.org/scriptblock-smuggling/

核心原因是PowerShell v5和 AMSI 中引入了 PowerShell 安全日志记录。这为蓝队提供了重要的工具来对抗来自 PowerShell 的威胁。自从这些推出以来，已经出现了几种 AMSI 绕过方法，例如 Matt Grabber 的反射绕过或 Rastamouse 对AmsiScanBuffer的修补，并且已经发布了少量 ScriptBlock 日志记录绕过方法，例如 Cobbr 的ScriptBlock Logging Bypass。但这些都涉及完全禁用日志记录。到目前为止，还没有一种方法可以伪造这些日志。ScriptBlock Smuggling 允许攻击者在绕过 AMSI 的同时将任意消息伪造到 ScriptBlock 日志中。更有趣的是，它也不需要执行任何反射或内存修补。特别是 AMSI 修补已经开始成为许多 AV 和 EDR 解决方案的目标，因此这是该技术的一个主要优势。

sy64

https://www.proofpoint.com/us/blog/threat-insight/clipboard-compromise-powershell-self-pwn

该技术会引导用户复制和粘贴恶意的 PowerShell 脚本，从而用恶意软件感染他们的计算机

sy64

https://www.netspi.com/blog/technical-blog/red-team-operations/microsoft-outlook-remote-code-execution-cve-2024-21378/

2023年,NetSPI发现Microsoft Outlook容易受到通过同步表单对象进行的经过身份验证的远程代码执行(RCE)攻击。本博客将介绍如何发现CVE-2024-21378并通过修改Ruler（SensePost发布的Outlook渗透测试工具）将其武器化。

https://github.com/NetSPI/ruler

Ruler 是一款允许您通过 MAPI/HTTP 或 RPC/HTTP 协议远程与 Exchange 服务器交互的工具。主要目的是滥用客户端 Outlook 功能并远程获取 shell。

sy64

https://www.rezonate.io/blog/bypassing-oktas-passwordless-mfa-technical-analysis-and-detection/

绕过 Okta 的无密码 MFA：技术分析和检测

关键技术包括:

从被入侵的终端设备提取Okta Verify数据库: 从Windows机器的%LocalAppData%\Okta\OktaVerify路径下提取DataStore.db或OVStore.db文件。
获取设备绑定和用户验证因素的密钥: 使用OktaInk工具从数据库中提取这些密钥。
生成有效的FastPass认证令牌: 攻击者使用OktaTerrify工具模拟FastPass认证流程,生成可被Okta接受的认证令牌。

总之,攻击者利用了对终端设备的控制权,从而获取了Okta无密码MFA所依赖的关键密钥,最终绕过了这一安全机制。

https://blog.talosintelligence.com/how-are-attackers-trying-to-bypass-mfa/

窃取员工的身份验证令牌。然后，攻击者重放已完成 MFA 检查的会话令牌（为攻击者提供可信任的用户身份，以便在网络中横向移动）。
利用攻击者的设备对 IT 部门进行社会工程以添加新的启用 MFA 的设备。
危害公司承包商，然后更改他们的电话号码，以便他们可以在自己的设备上访问 MFA。
破坏单个端点，将其权限升级到管理员级别，然后登录 MFA 软件以停用它。
欺骗员工（也称为内部攻击）点击来自攻击者的 MFA 推送的“允许”。

sy64

https://cloud.google.com/blog/topics/threat-intelligence/uncovering-unc3886-espionage-operations/

FortiOS 中的 CVE-2022-41328 被利用来在 FortiGate 设备上下载并执行后门。
VMware vCenter 中的 CVE-2022-22948 被利用来获取 vCenter 的 postgresDB 中的加密凭据，以便进行进一步访问。
VMware Tools 中的CVE-2023-20867被利用来从 ESXi 主机向客户虚拟机执行未经身份验证的客户操作。

sy64

https://unit42.paloaltonetworks.com/cloud-virtual-machine-attack-vectors/

本研究重点关注三大云服务提供商 (CSP) 提供的 VM 服务：Amazon Web Services (AWS)、Azure 和 Google Cloud Platform (GCP)。

https://unit42.paloaltonetworks.com/sugarcrm-cloud-incident-black-hat/

SugarCRM 漏洞CVE-2023-22952是允许威胁行为者访问 AWS 账户的初始攻击媒介。这不是由于 AWS 中的漏洞，它可能发生在任何云环境中。相反，威胁行为者利用错误配置在初始入侵后扩大了访问权限。

sy64

https://www.secureworks.com/research/dumping-nthashes-from-microsoft-entra-id

可以通过 Microsoft Graph API 恢复存储的 NTHash，并使用存储在 Azure AD 域服务 ( Azure AD DS ) [2]域控制器上的证书进行解密。恢复的 NTHash 可用于传递哈希攻击。

sy64

https://publication.osintambition.org/building-a-versatile-threat-intelligence-program-for-any-environment-fe2d6935baa2

了解有效 CTI 的情报要求
成功的 CTI 计划还取决于对情报需求的识别和分类：

GIR（一般情报要求）：这些要求范围很广，涵盖了总体情报需求，可为您的威胁形势提供广角视图。
PIR（优先情报需求）：重点关注需要立即关注的最关键领域，帮助优先安排资源和行动。
FCR（重点收集要求）：针对特定领域进行深入数据收集，以便集中精力应对特定威胁。
IER（信息提取要求）：详细说明所需的确切数据和信息，确保情报收集工作的准确性。
DIR（数据智能要求）：强调数据在驱动智能活动中的重要性，指导如何有效地管理和利用数据。
SIR（特定情报要求）：这些是最详细和最精确的，概述了解决特定威胁所需的确切需求和行动。

sy64

https://www.semperis.com/blog/meet-silver-saml/

Golden SAML 是一种已知的攻击技术，由 CyberArk 发现并由Shaked Reiner 发布。多年来，Golden SAML 一直以从 Active Directory 联合身份验证服务 (AD FS) 中提取签名证书并使用这些证书伪造 SAML 身份验证响应而闻名。今天，我们介绍了 Golden SAML 的新应用 - 在 Microsoft Entra ID 中，无需使用 AD FS。了解 Silver SAML。

未修复

sy64

https://www.elastic.co/security-labs/grimresource

在微软默认禁用互联网文档的 Office 宏后，JavaScript、MSI 文件、LNK 对象和 ISO 等其他感染媒介的流行度激增。然而，这些其他技术受到防御者的严格审查，被发现的可能性很高。成熟的攻击者试图利用新的和未公开的感染媒介来获取访问权限，同时逃避防御。最近的一个例子是朝鲜参与者在 MSC 文件中使用了一种新的命令执行技术。

Elastic 研究人员发现了一种新的感染技术，也利用了 MSC 文件，我们将其称为 GrimResource。它允许攻击者在mmc.exe用户点击特制的 MSC 文件后获得完整的代码执行权。利用 GrimResource 的样本于 6 月 6 日首次上传到 VirusTotal。

sy64

https://github.com/S3cur3Th1sSh1t/Amsi-Bypass-Powershell/tree/master

包含我在不同博客文章中发现的一些 Amsi Bypass 方法

sy64

Kerberos Ticket Dump
Local Privilege Escalation as Network Service
LSASS Dump
SeDebugPrivilege
SeImpersonatePrivilege
SeLoadDriverPrivilege
Many More...!

Visit: https://pentest.party/notes/windows/privilege-restore

sy64

开放网络威胁情报平台 https://filigran.io/

OpenCTI 是一个开源平台，允许组织管理其网络威胁情报知识和可观察数据。它旨在构建、存储、组织和可视化有关网络威胁的技术和非技术信息。

sy64

https://dfir.ch/posts/php_dangerous_functions_and_webshell/

介绍了 PHP 中的 disable_functions 指令及其作用。
分析了常见的 PHP 代码执行函数(popen、proc_open 等)如何被用于构建 webshell。
探讨了使用 Yara 规则检测 webshell 的局限性,并提出了其他检测方法,如手动分析和日志分析。
介绍了一些工具(Velociraptor、UAC)在 webshell 检测中的应用。
强调了不能过度依赖自动化工具,需要结合多种方法进行综合分析。

sy64

https://www.alteredsecurity.com/post/disabling-tamper-protection-and-other-defender-mde-components

通过删除 WdFilter 驱动程序的 Altitude 注册表项,使其无法加载从而停止运行。这样就可以绕过 WdFilter 对 Defender 注册表项的保护。
禁用 Tamper Protection 注册表项,从而可以修改 Defender 的其他设置。
最后禁用 Defender 的实时监控和其他功能。

sy64

https://github.com/meirwah/awesome-incident-response/

数字取证和事件响应 (DFIR) 团队是组织中负责管理安全事件响应的人员群体，包括收集事件证据、补救其影响以及实施控制以防止事件在未来再次发生。

sy64

https://medium.com/@INTfinitySG/fortinet-series-1-analysis-of-cve-2022-40684-88870994e6e0

https://medium.com/@INTfinitySG/fortinet-series-2-analysis-of-sslvpn-exploit-cve-2022-42475-5c45ff9505ef

CVE-2022-40684 是一个严重的身份验证绕过漏洞，CVSSv3 评分为 9.6。该漏洞允许攻击者通过替代途径绕过身份验证，并在系统中以管理权限执行命令。这可以通过使用精心设计的 HTTP/HTTPS 请求来实现，这些请求会欺骗系统相信该请求来自本地 IP 地址和受信任的用户代理。因此，攻击者发送的 HTTP/HTTPS 请求无需任何形式的身份验证即可得到处理。

https://bishopfox.com/blog/exploit-cve-2022-42475

https://blog.scrt.ch/2023/03/14/producing-a-poc-for-cve-2022-42475-fortinet-rce/

https://www.fortinet.com/blog/psirt-blogs/importance-of-patching-an-analysis-of-the-exploitation-of-n-day-vulnerabilities

https://arcticwolf.com/resources/blog/cve-2022-40684-widespread-exploitation-of-critical-fortinet-authentication-bypass-vulnerability/

https://www.truesec.com/hub/blog/fortinet-cve-2022-40684-vulnerability-from-an-incident-response-perspective

https://github.com/carlosevieira/CVE-2022-40684/blob/main/exploit.py

https://github.com/horizon3ai/CVE-2022-40684/blob/master/CVE-2022-40684.py

在使用上先用carlosevieira师傅的获取用户名，然后将用户名作为参数给到horizon3ai师傅的脚本。
https://mp.weixin.qq.com/s/l4g6Rd2CRJLto5LjiICGZw

https://attackerkb.com/topics/QWOxGIKkGx/cve-2022-40684/rapid7-analysis

sy64

https://www.picussecurity.com/resource/blog/the-ten-most-common-kubernetes-security-misconfigurations-how-to-address-them

根据网页内容,Kubernetes 中十大最常见的安全配置错误及如何解决如下:

过度宽松的基于角色的访问控制 (RBAC)
不安全的工作负载配置
集群组件配置错误
监控和日志记录不到位
未及时更新 Kubernetes 版本
身份验证配置错误
缺乏网络隔离控制
使用弱密码
Kubernetes 中的策略执行配置错误
未运行 Docker 的最新版本