本文汇集了近期在网络安全领域值得关注的高级攻防技术热点，涵盖了内网渗透、终端对抗、特权提升、系统加固绕过以及虚拟机检测等多个方面。特别介绍了利用MS-EVEN协议进行NTLM中继攻击的EvilentCoerce工具，以及能够绕过Windows Defender的defendnot工具。此外，还包括了AI在安全领域的应用探索，如AI增强开源C2代理的动态功能生成，以及自然语言转Kubernetes操作工具kubectl-ai。文章还分析了近期披露的CVE-2024-26809和CVE-2025-2775等漏洞，为研究人员和安全从业者提供了宝贵的参考信息。

🧰 **内网渗透与特权提升工具**：EvilentCoerce利用MS-EVEN协议进行NTLM中继攻击，BOF-entra-authcode-flow则通过BOF获取Microsoft Entra令牌。LsassHijackingViaReg通过注册表键劫持实现LSASS持久化，PowerDodder提供低检测率的脚本文件持久化方案。

🛡️ **终端对抗与防御绕过技术**：Zip Smuggling允许创建隐藏额外数据的zip文件，便于执行后提取。defendnot工具可禁用Windows Defender，而UltimateWDACBypassList则汇总了WDAC绕过技术。AutoPwnKey是一个基于AutoHotKey的AV/EDR规避框架。

💻 **系统工具与虚拟机检测**：VMAware是一个跨平台虚拟机检测工具库，PhantomPipe是基于SSE和MCP协议的轻量级C2框架。文章还提及了与Windows Defender组件模糊测试技术相关的研究，以及Linux内核nftables双重释放漏洞CVE-2024-26809。

🤖 **AI在安全领域的应用**：GoSecure探讨了AI增强开源C2代理的动态功能生成，GoogleCloudPlatform的kubectl-ai工具则能将自然语言转换为Kubernetes操作指令，简化集群管理。

🚨 **漏洞分析与OSINT资源**：文章深入分析了CVE-2025-2775 SysAid On-Premise漏洞链，并列出了API-s-for-OSINT作为OSINT信息收集的API资源清单。

原创 天元实验室 2025-05-16 18:00 北京

关注高级攻防对抗技术热点，研究对手技术进行高级威胁模拟，研判攻击安全发展方向。

阅读原文

跳转微信打开