高级攻防对抗技术热点追踪

M01NTeam 09月12日

高级攻防对抗技术热点追踪

本文关注高级攻防对抗技术热点，研究对手技术进行高级威胁模拟，研判攻击安全发展方向。内容涵盖OWASP业务逻辑滥用Top 10、JBoss远程代码执行漏洞实战利用、SSRF漏洞访问Redis并获取管理员令牌、内网渗透探讨常见网络配置错误及其被利用的风险等。

🔍 关注高级攻防对抗技术热点，研究对手技术进行高级威胁模拟，研判攻击安全发展方向。

📊 介绍OWASP业务逻辑滥用Top 10及其方法论，帮助理解业务逻辑漏洞的危害和利用方式。

🔧 提供JBoss远程代码执行漏洞的实战利用指南，包括漏洞原理、利用步骤和防御措施。

🔧 利用SSRF漏洞访问Redis并获取管理员令牌，展示SSRF漏洞的利用技巧和风险。

🌐 内网渗透探讨常见网络配置错误及其被利用的风险，帮助提高网络安全性。

原创天元实验室 2025-06-20 18:06 北京

关注高级攻防对抗技术热点，研究对手技术进行高级威胁模拟，研判攻击安全发展方向。

Web安全

ONLYOFFICE Docs中WOPI协议的反射型XSS漏洞分析

https://sec-consult.com/vulnerability-lab/advisory/reflected-cross-site-scripting-in-onlyoffice-docs-documentserver/

介绍OWASP业务逻辑滥用Top 10及其方法论

https://owasp.org/www-project-top-10-for-business-logic-abuse/

JBoss远程代码执行漏洞的实战利用指南

https://medium.com/@Klasster/exploiting-jboss-for-remote-code-execution-rce-a-step-by-step-practical-walkthrough-85eb606e9cfa

利用SSRF漏洞访问Redis并获取管理员令牌

https://medium.com/@0m4rel/ssrf-to-access-redis-and-retrieve-admin-token-0e22af094709

内网渗透

探讨常见网络配置错误及其被利用的风险

https://aenoshrajora.medium.com/top-6-real-world-network-misconfigurations-that-hackers-exploit-easily-257bbd32b658

ADCS利用技术的内网渗透实践

https://medium.com/@offsecdeer/adcs-exploitation-part-3-living-off-the-land-9c6494d6a84e

终端对抗

MemLoader：原生PE及.NET内存加载器

https://github.com/NtDallas/MemLoader

SGCC：基于powershell的C2，支持通过关闭功能精简木马

https://github.com/JCSteiner/SGCC---public

cIdentifyServiceDependencies_BOF：识别Windows服务依赖关系的BOF

https://github.com/EspressoCake/cIdentifyServiceDependencies_BOF

滥用VBS安全区域实现终端攻击隐蔽

https://www.outflank.nl/blog/2025/02/03/secure-enclaves-for-offensive-operations-part-i/

https://www.outflank.nl/blog/2025/06/16/secure-enclaves-for-offensive-operations-part-ii/

Windows 11上的管理员保护新机制剖析

https://specterops.io/blog/2025/06/18/administrator-protection/

探讨Windows上AV/EDR绕过技术及工具

https://medium.com/@shaheeryasirofficial/av-edr-bypass-techniques-attacking-defending-windows-101-ec1fe5e5e811

探讨无文件恶意软件的攻击与隐藏技术

https://infosecwriteups.com/fileless-malware-the-ghost-in-your-machine-6dbeb7eba566

漏洞相关

CVE-2025-26685：Microsoft Defender伪造漏洞可导致AD权限提升

https://www.netspi.com/blog/technical-blog/network-pentesting/microsoft-defender-for-identity-spoofing-cve-2025-26685/

通过恶意HLS播放列表利用Sonos Era 300漏洞

https://blog.ret2.io/2025/06/11/pwn2own-soho-2024-sonos-exploit/

Google Gerrit平台供应链漏洞分析

https://www.tenable.com/blog/gerriscary-hacking-the-supply-chain-of-popular-google-products-chromiumos-chromium-bazel-dart

Netflix依赖混淆漏洞的发现与分析

https://www.landh.tech/blog/20250610-netflix-vulnerability-dependency-confusion/

afl-cov-fast：高效生成AFL++模糊测试代码覆盖率报告

https://www.sstic.org/2025/presentation/afl-cov-fast/

人工智能和安全

分析首个零点击AI漏洞EchoLeak及其数据泄露风险

https://www.aim.security/lp/aim-labs-echoleak-blogpost

微调小型语言模型用于代码中的秘密检测

https://www.wiz.io/blog/small-language-model-for-secrets-detection-in-code

探讨现代语言模型对悖论的反应

https://medium.com/@zahir.meddour.1988/when-ai-melts-how-modern-language-models-react-to-paradox-c4d63a26a6c3

云安全

攻击测试 Microsoft Azure，靶场构建与攻击步骤

https://itm8.com/articles/read2own-red-teaming-microsoft-azure

AWS攻击技术矩阵

https://aws-samples.github.io/threat-technique-catalog-for-aws/

社工钓鱼

GitPhish：GitHub设备代码钓鱼攻击

https://www.praetorian.com/blog/introducing-github-device-code-phishing

search.profiler.me：分析泄露数据和数字足迹的OSINIT工具

https://medium.com/@D4nYeD/%EF%B8%8F-%EF%B8%8Fas%C3%AD-analizo-correos-usuarios-tel%C3%A9fono-datos-filtrados-y-perfiles-digitales-con-0bda424d7ff6

其他

sharpeye：Linux入侵检测与威胁狩猎系统

https://github.com/sgInnora/sharpeye

游戏VAC反作弊机制分析

https://codeneverdies.github.io/posts/gh-2/

M01N Team公众号

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队

官方攻防交流群

网络安全一手资讯

攻防技术答疑解惑

扫码加好友即可拉群

往期推荐

每周蓝军技术推送（2025.6.7-6.13）

每周蓝军技术推送（2025.6.1-6.6）

每周蓝军技术推送（2025.5.24-5.30）

阅读原文

跳转微信打开

Fish AI Reader

AI辅助创作，多种专业模板，深度分析，高质量内容生成。从观点提取到深度思考，FishAI为您提供全方位的创作支持。新版本引入自定义参数，让您的创作更加个性化和精准。

FishAI

鱼阅，AI 时代的下一个智能信息助手，助你摆脱信息焦虑

Fish AI Reader

FishAI

联系邮箱 441953276@qq.com

相关标签