每周蓝军技术推送（2024.8.10-8.16）

主要观点总结

本文介绍了近期网络安全领域的一系列重要话题，包括多个安全漏洞、攻击方式和相关技术研究。文章涵盖了Jenkins的安全问题、内网渗透、终端对抗、利用Office侦测云沙箱信息等内容。

关键观点总结

关键观点1: CVE-2024-23897：从Jenkins上的有限文件读取到完全访问权限漏洞。

涉及Jenkins平台上的一个关键安全漏洞，可能导致黑客获取完全的访问权限。

关键观点2: 内网渗透 SCCMSecrets：利用SCCM进行凭据获取和初始访问与横向移动。

描述了利用SCCM进行内网渗透的方式，包括凭据获取和初始访问以及横向移动。

关键观点3: udp-over-tcp：通过TCP协议代理UDP流量。

介绍了一种使用TCP协议代理UDP流量的技术。

关键观点4: 终端对抗 obj2shellcode：基于链接器的shellcode生成框架。

介绍了终端对抗中使用的一种基于链接器的shellcode生成框架。

关键观点5: 滥用例外规则规避AV/EDR检测。

介绍了一种利用滥用例外规则来规避AV/EDR检测的方法。

关键观点6: 漏洞CVE-2024系列和相关技术分析。

详细介绍了多个CVE漏洞及其相关的技术分析，包括Windows内核本地权限提升漏洞、Chrome浏览器沙箱渲染器RCE漏洞等。

关键观点7: AI安全威胁：M365 Copilot易受攻击和其他挑战。

讨论了人工智能领域的安全威胁和挑战，包括M365 Copilot易受攻击的情况。

关键观点8: 邮件安全性挑战与攻击方式。

探讨了邮件安全面临的挑战，包括绕过邮件发件人身份验证的攻击方式和针对邮件地址的Unicode字符fuzz实现账户接管等。

关键观点9: DEFCON 2024相关材料下载和微软与Forta合作打击滥用破解CobaltStrike的举措。

提供了DEFCON 2024相关材料的下载链接，并介绍了微软与Forta合作打击滥用破解CobaltStrike的举措。

文章预览

WEB安全 CVE-2024-23897：从Jenkins上的有限文件读取到完全访问权限 https://xphantom.nl/posts/crypto-attack-jenkins/ 内网渗透 SCCMSecrets：利用SCCM进行凭据获取、初始访问与横向移动 https://github.com/synacktiv/SCCMSecrets https://www.synacktiv.com/publications/sccmsecretspy-exploiting-sccm-policies-distribution-for-credentials-harvesting-initial udp-over-tcp：通过TCP协议代理UDP流量 https://github.com/jonhoo/udp-over-tcp 终端对抗 obj2shellcode：基于链接器的shellcode生成框架 https://github.com/jseclab/obj2shellcode 滥用MSC文件进行初始访问 https://www.outflank.nl/blog/2024/08/13/will-the-real-grimresource-please-stand-up-abusing-the-msc-file-format 借助微软Office侦测云沙箱信息，以及利用asd格式规避沙箱 https://bartblaze.blogspot.com/2024/08/microsoft-word-and-sandboxes.html DeadPotato：借助DCOM处理OXID时的RPCSS缺陷获取SYSTEM权限 https://github.com/lypd0/DeadPotato 不同Windows进程 ………………………………