文章总结： 本文是绿盟科技天元实验室M01NTeam发布的2026年3月21日至27日每周蓝军技术推送，汇集了内网渗透Kerberos哈希解析工具、终端对抗技术包括BOF与TelegramC2隧道、多个重要CVE漏洞分析如Windows本地提权及OracleRCE、AI安全议题涵盖LLM部署安全与安全限制移除工具、社工钓鱼攻击案例以及IPKVM检测和Rust隧道等安全工具资源，为攻防人员提供较全面的技术参考资料。 综合评分： 62 文章分类： 内网渗透,漏洞分析,AI安全,社会工程学,终端安全

每周蓝军技术推送（2026.3.21-2026.3.27）

原创

天元实验室 天元实验室

M01N Team

2026年3月27日 18:00 北京

内网渗透

Krb5RoastParser：从pcap文件中解析Kerberos数据包并提取AS-REQ、AS-REP和TGS-REP哈希

https://github.com/jalvarezz13/Krb5RoastParser

终端对抗

分析Netskope Windows客户端补丁绕过技术，利用反向代理服务实现本地提权

https://blog.amberwolf.com/blog/2026/march/patch-bypass—netskope-client-for-windows—local-privilege-escalation-via-rogue-server/

toastnotify-bof：发送Windows toast通知的Beacon Object File (BOF)

https://github.com/brmkit/toastnotify-bof

teletunnel：使用C++编写的Telegram Bot工具，利用Telegram作为C2接口来绕过EDR检测

https://github.com/mhdgning131/teletunnel

演示如何将DOOM游戏引擎存储在2000个DNS TXT记录中并通过PowerShell加载器在内存中执行的技术概念验证

Can it Resolve DOOM? Game Engine in 2,000 DNS Records

漏洞相关

CVE-2026-20817：Windows错误报告服务本地提权漏洞分析与PoC

https://itm4n.github.io/cve-2026-20817-wersvc-eop/

CVE-2026-32746：GNU inetutils Telnetd预认证远程代码执行漏洞分析

https://labs.watchtowr.com/a-32-year-old-bug-walks-into-a-telnet-server-gnu-inetutils-telnetd-cve-2026-32746/

CVE-2026-21992：Oracle Identity Manager和Oracle WebServices Manager高危远程代码执行漏洞

https://www.tenable.com/blog/cve-2026-21992-critical-out-of-band-oracle-identity-manager-and-oracle-web-services-manager

CVE-2026-21514：Microsoft Word OLE绕过漏洞FAQ及在伊朗网络攻击行动中的影响分析

https://www.tenable.com/blog/faq-on-cve-2026-21514-ole-bypass-n-day-in-microsoft-word

https://www.tenable.com/blog/operation-epic-fury-why-exposure-data-changes-everything-about-irans-cyber-kinetic-campaign

人工智能和安全

agent-skills：Elastic公司发布的Skills套件，支持与其云、Elasticsearch等基础设施交互，及安全运营能力

https://github.com/elastic/agent-skills

深入探讨本地低权限LLM服务器的部署过程，重点关注底层堆栈安全性

https://www.synacktiv.com/en/publications/deep-dive-into-the-deployment-of-an-on-premise-low-privileged-llm-server

OBLITERATUS：可在几分钟内移除开源AI模型的安全限制，包括相关代码和教程资源

https://github.com/elder-plinius/OBLITERATUS

heretic：大语言模型审查自动移除工具

https://github.com/p-e-w/heretic

解释Codex Security为何不包含SAST报告，探讨AI安全工具的设计理念

https://openai.com/index/why-codex-security-doesnt-include-sast/

分享其开源仓库遭遇AI代理恶意贡献攻击的检测与防御经验，提供开源维护者的安全建议

https://www.datadoghq.com/blog/engineering/stopping-hackerbot-claw-with-bewaire/

介绍使用自主AI代理自动检测和修复代码库安全漏洞的架构与实践

https://cursor.com/blog/security-agents

介绍其AI驱动的安全漏洞自动修复系统，在6天内自动修复约100个安全问题

https://builders.ramp.com/post/100-vulnerabilities-patched-with-0-humans

分享使用Claude AI工具审查Python脚本发现的安全和逻辑问题，包括TOCTOU竞态条件、权限问题等

https://isc.sans.edu/diary/Tool+updates+lots+of+security+and+logic+fixes/32820

AI安全公司利用AI代理发现麦肯锡内部聊天机器人Lilli存在SQL注入漏洞，暴露大量敏感数据

https://www.thestack.technology/mckinsey-ai-agent-hacked-lilli/

发布研究报告，探讨AI代理行为治理，分析用户、开发者、角色和组织意图的协调对齐问题

https://techcommunity.microsoft.com/blog/microsoft-security-blog/governing-ai-agent-behavior-aligning-user-developer-role-and-organizational-intent/4503551

探讨AI快速部署带来的网络安全风险，分析AI作为攻击向量的威胁，强调统一暴露管理的重要性

https://www.tenable.com/blog/secure-ai-attack-surface-exposure-management

社工钓鱼

探讨如何滥用现代浏览器功能进行钓鱼攻击

Abusing Modern Browser Features for Phishing

FBI和CISA警告俄罗斯黑客通过钓鱼攻击劫持Signal和WhatsApp账户的大规模社工活动

FBI, CISA warn of Russian hackers hijacking Signal and WhatsApp accounts

报道东南亚诈骗团伙雇佣AI模特在视频通话中使用深度伪造技术进行诈骗活动

Scam compounds hiring “AI models” to seal the deal in deepfake video calls

FriendlyDealer社交工程活动通过1500多个仿冒官方应用商店的网站推送未审核的赌博应用

FriendlyDealer mimics official app stores to push unvetted gambling apps

其他

ludus_kali_setup：用于在Ludus环境中配置Kali Linux虚拟机的Ansible角色，优化演示和实验室设置

https://github.com/mojeda101/ludus_kali_setup

rustunnel：用Rust编写的开源隧道服务，复制ngrok核心功能，可将本地服务通过自托管或托管中继暴露到公网

https://github.com/joaoh82/rustunnel

project-nomad：一个自包含的离线生存计算机，集成了关键工具、知识和AI功能

https://github.com/Crosstalk-Solutions/project-nomad

介绍RSigma工具包，用Rust编写，用于直接对JSON日志评估Sigma检测规则，无需SIEM系统

https://mostafa.dev/pattern-detection-and-correlation-in-json-logs-fab16334e4ee

介绍Hyoketsu工具，用于解决逆向工程中厂商依赖库过多的问题，提高代码审计效率

Hyoketsu – Solving the Vendor Dependency Problem in RE

讨论IP KVM设备的安全威胁及检测方法，包括流氓IP KVM的滥用案例和检测技术

https://isc.sans.edu/diary/Detecting+IP+KVMs/32824

M01N Team公众号

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队

官方攻防交流群

网络安全一手资讯

攻防技术答疑解惑

扫码加好友即可拉群

往期推荐

每周蓝军技术推送（2026.3.14-2026.3.20）

每周蓝军技术推送（2026.3.7-2026.3.13）

每周蓝军技术推送（2026.2.28-2026.3.6）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：M01N Team 天元实验室 天元实验室《每周蓝军技术推送（2026.3.21-2026.3.27）》