文章总结： 本周蓝军推送涵盖Web、内网及终端对抗技术，介绍NGINX扫描器、BloodHound辅助工具及EDR绕过手段。重点分析SmarterMail和n8n的RCE漏洞及ClaudeCode安全风险。同时提供云原生检测指南和AiTM钓鱼工具TokenFlare，为安全研究人员提供丰富的实战攻防资源与漏洞分析。 综合评分： 88 文章分类： 红队,漏洞分析,内网渗透,AI安全,WEB安全

每周蓝军技术推送（2026.1.10-2026.1.16）

原创

天元实验室 天元实验室

M01N Team

2026年1月16日 18:00 北京

Web安全

Gixy-Next：NGINX配置安全扫描器和性能检查工具

https://github.com/MegaManSec/Gixy-Next

内网渗透

ScrappyDoo：用于BloodHound的Opengraph兼容JSON生成器

https://github.com/c0rdyc3ps/ScrappyDoo

flashingestor：用于Active Directory信息收集的TUI（文本用户界面）工具

https://github.com/Macmod/flashingestor

终端对抗

w11_shadow_copies：使用VSS API在Windows 11上创建、删除或列出卷影副本的工具

https://ricardojoserf.github.io/w11shadowcopies/

https://github.com/ricardojoserf/w11_shadow_copies

介绍在PatchGuard保护下隐藏进程的技术研究，探讨内核结构操纵和HVCI环境下的进程隐藏方法

https://www.outflank.nl/blog/2026/01/07/patchguard-peekaboo-hiding-processes-on-systems-with-patchguard-in-2026/

EDRStartupHinder：阻止杀毒软件和EDR运行

https://github.com/TwoSevenOneT/EDRStartupHinder

dumpguard_bof：提取NTLMv1哈希的BOF插件

https://github.com/0xedh/dumpguard_bof

ClipboardStealBOF：增强剪贴板窃取功能的BOF插件，支持启用/禁用和转储剪贴板历史记录

https://github.com/incursi0n/ClipboardStealBOF

AfterShell：用于Windows系统初始访问后快速进行后渗透利用的开源工具

https://github.com/Logisek/AfterShell

cc-agent：基于Golang的开源C2，用于远程控制和管理被控主机

https://github.com/JeanBonBeurre34/cc-agent

介绍unKover工具用于检测内核内存映射的rootkit，并探讨反rootkit检测技术

https://eversinc33.com/2024/03/23/anti-anti-rootkit-techniques-part-i-unkovering-mapped-rootkits

GachiLoader恶意软件使用新型”Vectored Overloading”注入，通过API追踪分析其攻击技术

https://research.checkpoint.com/2025/gachiloader-node-js-malware-with-api-tracing/

利用CloudFlare Workers进行红队载荷投递的技术，包括条件访问、载荷轮换等改进方法

https://blog.zsec.uk/capd/

漏洞相关

CVE-2025-52691：SmarterTools SmarterMail预认证远程代码执行漏洞分析及检测工具

https://labs.watchtowr.com/do-smart-people-ever-say-theyre-smart-smartertools-smartermail-pre-auth-rce-cve-2025-52691/

https://github.com/watchtowrlabs/watchTowr-vs-SmarterMail-CVE-2025-52691

CVE-2026-21858：n8n工作流自动化平台中的未授权远程代码执行漏洞分析，攻击者可接管本地部署实例

https://www.cyera.com/research-labs/ni8mare-unauthenticated-remote-code-execution-in-n8n-cve-2026-21858

Clang编译器安全加固指南更新，涵盖内存保护、控制流完整性、推测执行攻击防御等编译时安全机制

https://blog.quarkslab.com/clang-hardening-cheat-sheet-ten-years-later.html

人工智能和安全

研究人员发现Claude Code存在8种绕过权限控制执行任意命令的方法，涉及CVE-2025-66032漏洞

https://flatt.tech/research/posts/pwning-claude-code-in-8-different-ways/

研究论文探讨少量数据中毒如何导致LLM行为发生戏剧性变化，包括基于”当前年份”的诱导后门攻击

https://arxiv.org/pdf/2512.09742

Claude Code技能库，用于安全研究、漏洞检测和审计工作流

https://github.com/trailofbits/skills

Daniel Miessler提出个人AI成熟度模型，探讨AI助手从被动响应到主动协助的演进趋势

https://danielmiessler.com/blog/personal-ai-maturity-model

介绍Slack使用AI代理架构（Hub、Workers、Dashboard）优化安全调查流程，包括识别凭证泄露等案例

Streamlining Security Investigations with Agents

云安全

《云原生检测工程手册》：关于构建可扩展云原生检测系统的实用指南

https://cloudnativedetection.substack.com/p/the-cloud-native-detection-engineering

社工钓鱼

TokenFlare：无服务器的Adversary-in-the-Middle钓鱼框架，用于Entra ID/M365身份攻击

https://labs.jumpsec.com/tokenflare-serverless-AiTM-phishing-in-under-60-seconds/

其他

RemoveWindowsAI：强制移除Windows 11中Copilot、Recall等AI功能的工具

https://github.com/zoicware/RemoveWindowsAI

Barbhack 2025 CTF靶场，专注于使用NetExec工具进行AD域渗透的实战环境

https://github.com/Pennyw0rth/NetExec-Lab/tree/main/Barbhack-2025

TrustedSec更新Sysmon社区指南，分享来自一线实战的经验教训

https://trustedsec.com/blog/updating-the-sysmon-community-guide-lessons-learned-from-the-front-lines

探讨渗透测试人员从初级到高级所需的非技术性软技能，包括沟通、团队协作、客户关系管理等能力

https://blog.tobyjackson.io/blog/what-makes-a-senior-pentester/

BinYars：Binary Ninja的YARA-X插件项目，用于二进制分析中的YARA规则集成

https://github.com/xorhex/BinYars

M01N Team公众号

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队

官方攻防交流群

网络安全一手资讯

攻防技术答疑解惑

扫码加好友即可拉群

往期推荐

每周蓝军技术推送（2025.12.27-2026.1.9）

每周蓝军技术推送（2025.12.20-12.26）

每周蓝军技术推送（2025.12.13-12.19）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：M01N Team 天元实验室 天元实验室《每周蓝军技术推送（2026.1.10-2026.1.16）》