蓝军技术推送

[文章推荐] DLL Hollowing（dll 镂空）

文章看点：本文区别于Phantom的dll镂空，它是基于module_overloading（模块重载）的方式来进行dll镂空。

推送亮点：本文的方法是使用模块重载技术，使用readonly打开正常的dll文件，然后在rw区域分配内存存放payload，最后通过远程进程注入来执行payload。在整个技术实现的过程中，dll是以只读的形式打开的，能规避杀软对这块内存的查杀。

原文链接：https://www.secforce.com/blog/dll-hollowing-a-deep-dive-into-a-stealthier-memory-allocation-variant/

[漏洞播报] CVE-2021-37580（Apache ShenYu Admin bypass JWT authentication ）

漏洞概述：ShenyuAdminBootstrap 中 JWT 的签名部分错误使用允许攻击者绕过身份验证，攻击者可通过该漏洞直接进入系统后台。此问题影响了 Apache ShenYu 2.3.0 和 2.4.0。

推送亮点：Apache ShenYu后台的condition支持SpEL、Grovvy这样的动态语言,可以进一步造成RCE漏洞。

原文链接：https://nosec.org/m/share/4906.html

[安全工具] lsarelayx

功能描述：这是一个ntlm中继工具，主要的功能特点是中继范围大（能中继SMB、HTTP、LDAP等）、能降级（能将kerberos降级到ntlm）、便于隐藏（能以被动模式运行，只捕获、存储NetNTLM）

推送亮点：区别于impacket的ntlm中继，此工具支持更多的中继协议、能将kerberos降级到ntlm来中继，并且被动模式还更适合隐秘渗透。这让ntlm中继能应用于更多场景。

工具链接：https://github.com/CCob/lsarelayx

[安全工具] CobaltStrikeParser

功能描述：此工具能解析cobaltstrike的stageless beacons，能从.data段解析出用4字节key来异或加密的beacons，并dump出其中的内存和C2地址，还能通过beacon直接和C2通信，混淆攻击者。

推送亮点：此工具能方便防守人员对攻击者进行溯源、反制，提高攻击者的攻击成本。

工具链接：https://github.com/Sentinel-One/CobaltStrikeParser

原文始发于微信公众号（luomasec）：蓝军技术推送（第七弹）