老鑫安全培训-优快云博客

原创难绷，一种重命名+符号链接禁用EDR（Crowdstrike）的方法

第二点符号链接，NTFS 文件系统中的一种功能，允许将一个目录作为另一个目录的快捷方式或符号链接。他在Windows的研究非常强大，以至于很多国外安全研究员的研究几乎都引用他的研究就找出一个新的绕过安全产品的攻击手法或CVE出来，可以说Windows Security的财富密码都来自于James Forshaw(可能夸张点了)设计是用来对一些被占用的文件进行操作，因为有些被操作的文件当前正在使用而无法立即完成操作，此值可用于在启动时强制移动或删除文件。话又说回来，其实上面的项目会操作注册表，不是很隐蔽。

2025-01-15 17:10:00 1060

原创利用jmg快速注入内存马

发现目标响应400这里判断目标进行了长度限制，这里继续利用yso的长度限制让偶共。将内存马字节填入进去之后在yak代码哪里编辑生成。使用利用链：CommonsCollectionsK2。这里我们利用jmg首先生成一段base64编码。这里docker环境有问题无法注入内存马。抓取利群执行命令的数据包之后直接替换。直接利用liqun对扫key和链。这里用vulhub搭建漏洞环境。之后利用yakit的yso插件。这里换成了tomcat环境。shiro注入内存马。

2025-01-04 22:47:53 1423

原创 MOTW Bypass

流，Chrome 浏览器与 IAttachmentExecute 交互的示例可在https://chromium.googlesource.com/chromium/src/+/6ab174bd663c2e6ef4e620eee1af40c6adcfa399/components/download/quarantine/quarantine_win.cc找到。PackMyPayload是一种将程序打包到输出容器中以逃避 Mark-of-the-Web 的非常棒的工具。那具体怎么判断信誉度呢？

2025-01-02 21:29:45 644

原创 Cobalt Strike流量改造

这里我们只需要在http get里面修改就行了。这里我设置的是bilibil对于内容的搜索。这里我们直接伪造成bilibili的。其他的操作都差不多，这里推荐一个工具。这里可以依据实际情况改。

2024-12-31 15:40:29 382

原创老鑫网络安全培训课程收费多少钱

虽然课程费用因课程类型和培训形式的不同而有所差异，但提升网络安全意识和技能的投资，无疑是对未来的负责。如果你希望提升自己的网络安全知识，不妨考虑参加老鑫的相关课程，为自己的网络安全打下坚实的基础。尽管老鑫网络安全课程的收费相对市场上其他培训机构可能略高，但考虑到课程的专业性、师资力量以及实际应用价值，这样的投资是非常值得的。很多学员在网上横向对比各家网络安全课程培训的适合除了考虑课程目录，授课老师的适合，价格也是很重要的考虑环节。老鑫网络安全课程的收费标准因课程内容、培训时长和培训形式的不同而有所差异。

2024-12-30 11:03:57 950

原创 Windows IPC

命名管道起源于 OS/2 时代，是一种进程间通信机制，可在两台计算机上的进程之间提供可靠的、面向连接的双向通信。命名管道是 Microsoft Windows 操作系统和应用程序中客户端/服务器通信的一种形式。虽然管道这个名字听起来有点奇怪好像很复杂的样子，但管道却是一种非常基本且简单的技术，可以在两个进程之间实现通信和共享数据，其中术语管道描述了这两个进程使用的共享内存段。有两种类型的管道：命名管道匿名管道大多数时候，在引用管道时，可能指的是命名管道，因为命名管道提供了较为完整的功能。

2024-12-29 17:54:06 969

原创老鑫安全培训到底怎么样？

首先，老鑫自己本人是计算机语言php方向出生，在一些专门做安全的大厂里面也工作过，比如启明星辰等，最后自己喜欢研究这个技术就一天沉浸在技术研究的海洋之中，在这个技术群里有很多小伙伴咨询技术性问题，最后发现很多小伙伴的问题我都能回答，我就真的是自发的出于帮忙就给回答了，这个过程中有小伙伴愿意付费跟我学习网络安全技术，慢慢的就走上了这个网络安全技术培训的事业。众所周知，老鑫安全培训在行业内已经有5年多的时间了，培训超过百名学习，有口皆碑，所以很多小伙伴在认识到老鑫安全的时候都想知道，老鑫安全培训怎么样。

2024-12-28 15:43:08 746

原创 Mimikatz之父：本杰明·德尔皮的编程革命

动机来自我发现微软并不关心......当时，这不是一个问题（对他们而言）。对于客户而言，我可以说这是一个问题。所以我让它不断发展，让它与所有 Windows 版本兼容。“Mimikatz 的最初目的不是泄露密码，而是作为一个业余项目让我学习 C 语言和Windows编程。“2011 年，我第一次公开发现了密码，明文密码。“我认为我们必须诚实：如果不是 Mimikatz，就会有其他工具。“当你为善意创造这样的东西时，你知道它也可以被坏人利用。“第一次我感觉非常非常糟糕，”“对我来说一切都很奇怪，”

2024-12-27 14:27:52 1192

原创从安全角度看 SEH 和 VEH

le索软件是一种恶意软件，其唯一目的是加密对受害目标来说很重要的文件。加密后，le索软件会“暴露”自己，宣布文件已被加密，并要求献上“赎金”才能释放文件。(一般就是hacker by xxxx 打钱！比特币账户:xxxxx)基本上，le索软件只是劫持数据的软件。既然是通过加密来挟持对方，那么加密的手段就非常关键，一般来说，加密有2种分类：对称加密：加密密钥和解密密钥相同。非对称加密：加密密钥和解密密钥不同。

2024-12-26 11:39:36 1661

原创打破“无文件落地”的神话

在网络安全行业，新词汇层出不穷，“无文件落地”就是其中之一。这个术语的意思是恶意代码并不以文件的形式存在于本地硬盘上。对于不了解这一点的人来说，这个术语可能会误导他们认为完全没有使用文件，但事实并非如此。要使恶意软件得以运作并持续存在，硬盘上总得有某些文件。无文件恶意软件通常指的是恶意代码通过注册表、内存或合法的系统进程来运行，而不是通过传统的可执行文件。然而，这并不意味着完全没有文件。例如，通过计划任务实现权限维持，这些任务保存在XML文件中，也保存在注册表（文件）中。

2024-12-25 21:45:28 791

原创没做好权限控制的安全软件会被狠狠X的哟

为进程和线程提供的安全上下文的描述。安全上下文包括以下信息：账户信息（SID）组信息（SID）授予的权限（例如 SeDebugPrivilege）登录会话 ID完整性级别UAC虚拟化状态第一个令牌是在用户登录时生成的。此时，它会检查目标用户的权限，并根据该信息生成令牌。通常，此令牌会提供给 Explorer.exe。每个子进程都会继承其创建者（进程或线程）令牌的副本。

2024-12-24 14:50:56 1213

原创一种简易的免杀绕过方法

这里我们直接参考师兄的项目https://github.com/snnxyss/In-Swor。利用提供的py脚本将123.txt shellcode加密。生成之后将123.txt放到config目录下。直接回到上一目录修改payload.ini。从这里我们可以看到 geacon已经不行了。exe-shellcode-加密-运行。这里我们将exe转shellcode。这里我们用geacon作为本次实验。之后可以看到生成了123.dat。一种简易的免杀绕过方法。

2024-12-23 20:53:48 460

原创正道：现代红队基础免杀心法：内存扫描与主动防御

本文章的目标受众是困惑的初入免杀/红队武器开发人员。最近当一些人们讨论免杀时，我看到他们只关心shell加载，使用像msf、Cobalt Strike、Winos 这样的框架等等，像他们这样的人确实喜欢认为免杀AV/EDR只是加载Shellcode代码，然后看到可能会得到一个信标或其他东西，然后就完事大吉了，其它什么都不做。其实这很不现实对不对，在获取立足点之后，通常来说，你必须采取进一定的步骤才能实现你的目标，你需要收集信息，你需要横向移动，你需要提取凭证。

2024-12-21 23:34:29 940

原创红队武器开发系列：利用 Windows 线程池 API 和 I/O 完成回调来实现代理 DLL 加载

本文介绍如何利用 Windows 线程池 API 和 I/O 完成回调来实现代理 DLL 加载。这种方式可以避免 EDR（端点检测与响应）监测到返回地址位于 shellcode 内存区域的情况，从而提高 OPSEC。Brute Ratel C4的作者Chetan Nayak深入探讨过该技术，技术背景：大多数知名的C2（如 CobaltStrike 和 Metasploit）的核心都使用反射 DLL，该 DLL 通常在 shellcode 内引导。

2024-12-20 14:22:15 985

原创红队必备知识：哥斯拉流量魔改以及模板生成

这里可以很清楚的发现哥斯拉aspx脚本的处理流程：读取data-有无加解密-发送data，明白了这一点就可以直接上手。这是哥斯拉默认加密方法AES_RAW，加解密流程读取data-AES解密-AES加密-发送data。data-解密-加密-data，其中javaAesRaw.java中的流程是加密-解密。其中的xc 也就是aes加密的密钥，就是哥斯拉pass+key的md5编码。unicode解密-base64解密-rc2解密。rc2加密-base64加密-unicode加密。

2024-12-19 20:54:58 234

原创杀死名为360安全的软件

参考这个https://bbs.kanxue.com/thread-281120.htm逆向分析以及我们的内存搜索，我们可以发现许多白名单进程，特别是一些系统常驻进程。白名单进程因为受到防病毒软件的信任，往往不会被严格监控，因此可以作为攻击者的突破口。在这些常驻进程中，svchost（Service Host Process）是一个较为典型的例子。svchost是Windows系统中的核心进程，用于托管和运行各种服务，具有极高的系统权限。然而，svchost。

2024-12-18 18:24:44 456

原创 webshell下的Rasp简易绕过

在2014年的时候，Gartner引入了一词，简称为RASP。它是一种新型应用安全保护技术，它将保护程序像疫苗一样注入到应用程序中，应用程序融为一体，能实时检测和阻断安全攻击，使应用程序具备自我保护能力，当应用程序遭受到实际攻击伤害，就可以自动对其进行防御，而不需要进行人工干预。RASP技术可以快速的将安全防御功能整合到正在运行的应用程序中，它拦截从应用程序到系统的所有调用，确保它们是安全的，并直接在应用程序内验证数据请求。Web和非Web应用程序都可以通过RASP。

2024-12-17 15:51:16 1206

原创自写C2，补充大脑营养，促进骨骼生长

Cobalt Strike 是目前使用人数最多的C2框架。然而这使得它备受各大安全厂商的和。在大多数环境中，不更改默认设置是行不通的，因为这会立即被检测到。1.将Malleable C2 配置文件中的选项设置为 false。这将阻止 Cobalt Strike 在其 Web 和 DNS 服务器上托管有效载荷阶段。这样做对 OPSEC 有很大好处。启用暂存后，任何人都可以连接到您的服务器，请求有效载荷并分析其内容以从您的有效载荷配置中查找信息。

2024-12-16 10:24:38 1201

原创 AEGON-LIFEv1.0存在SQL注入漏洞(CVE-2024-36597)

Aegon Life v1.0 clientStatus.php 中的 client_id 参数包含 SQL 注入漏洞。

2024-12-15 17:10:03 256

原创 Adobe-ColdFusion任意文件读取漏洞CVE-2024-20767

Adobe ColdFusion 由于在鉴权方面存在疏漏，导致了可未授权访问，从而通过pms接口进行任意文件读取。

2024-12-14 19:46:35 914

原创查找和利用泄露的代码签名证书

找到后，下一步就是破解这些证书的密码。你可以从GitHub下载该工具（https://github.com/crackpkcs12/crackpkcs12），并且可以在Weakpass上（https://weakpass.com/wordlist）下载到常用的密码字典，例如 rockyou.txt。接下来，就可以使用微软提供的签名工具（https://learn.microsoft.com/en-us/dotnet/framework/tools/signtool-exe）来签名你的软件。

2024-12-13 17:08:04 584

原创 1Panel面板最新前台RCE漏洞(CVE-2024-39911)

网站监控功能影响 == 1panel/openresty:1.21.4.3-3-1-focal WAF功能影响 <= 1panel/openresty:1.21.4.3-3-1-focal。专业版 v1.10.10-lts 社区版 v1.10.10-lts 1panel/openresty:1.21.4.3-3-1-focal。/www/sites/网站代号(默认为域名)/index/安装有1P-openresty容器且搭建有php环境网站。安装有1P-openresty容器且搭建有php环境网站。

2024-12-12 00:23:51 743

原创通过修复功能禁用 Cortex XDR

XDR（扩展检测和响应）是对复杂威胁和有针对性的攻击的高级检测和响应。此类解决方案基于一个供应商的产品，也就是说，它在更大程度上是一个单一供应商的故事。EDR（端点检测和响应）是XDR 的关键要素。没有 EDR，就不可能有 XDR。XDR应建立在强大的 EDR 之上，EDR 本身应覆盖端点内的大量数据源：PC、笔记本电脑、虚拟机、移动设备以及各种操作系统（Windows、Linux、MacOS、Android、iOS 等）。XDR与 EDR 不同。XDR 基于 EDR 技术的扩展。

2024-12-10 23:09:47 1208 1

原创 EDR 如何运作？我们详细分析防病毒保护机制

在红队行动中，进程隐藏、系统调用隐藏、代码混淆以及绕过AV/EDR（防病毒软件/终端检测与响应）等技术是常见的讨论话题。但如果你不仅仅想依赖教程，避免被束缚，还希望独立探索这些技术，就必须深入理解防病毒软件和EDR的基本工作原理。我们将深入探讨这些原理。本篇文章将使用SentinelOne解决方案作为示例来解剖EDR内部架构。早期计算机恶意软件刚刚出现的时候，它们通常是由一些疯狂且热衷于编程每天只穿着拖鞋坐在电脑前的人出于娱乐目的而编写的，是真正意义上的业余爱好者，而不是以此追求利润。

2024-12-09 17:14:28 957

原创哥们都被打穿了，你居然还在刷抖音擦边

LNK 钓鱼方法是许多网络钓鱼活动中一种经久不衰的手段，攻击者通过滥用 LNK 文件的独特属性来欺骗用户并规避检测和预防对策，使其成为危害系统和网络的有力工具。很多APT组织也是用LNK文件作为投递的主要载荷。当然关于LNK 钓鱼方法网上资料数不胜数，但鉴于读者水平参差不齐，这里大概讲一下，算是科普吧，了解它，然后更好的防御这种攻击手段(当然，最好的办法就是别人发的东西不要瞎几把点)简介lnk文件是用于指向其他文件的一种文件。

2024-11-26 19:03:57 1087

原创对不起，CrowdStrike哥，刚才外面人多

而且构建一个稳定的内核驱动程序本身就具备一定的复杂性，检测能力随着复杂性成正比，代码越多，规则越多，出错的可能性也就越大，这是一个显而易见的道理。此次更新可能是Cobalt Strike在3天前发布的新版本中实现了一项新的命名管道功能，而CrowdStrike的“签名”马上就跟上来了。人工智能和机器学习：该平台使用先进的人工智能和机器学习算法来分析大量数据并识别异常，这有助于检测新的和未知的威胁。威胁情报：CrowdStrike 提供有关当前网络威胁和趋势的数据，使组织能够掌握最新的威胁和漏洞。

2024-11-24 22:41:55 422

原创全面技术分析—Crowdstrike 网络安全公司是如何造成了全球大面积网络攻击(机场、银行、单位、医院等地的计算机崩溃蓝屏)

但由于 Falcon 传感器在内核模式下运行，可以理解成和Windows系统内核在一个内存空间里面，所以如果驱动程序发生一点点错误，比如对一个不正确的地址进行读写都会导致电脑蓝屏死机，这变相也是微软的保护措施之一，就怕你的驱动在内核层乱搞。唯一的解决方法是：进入安全模式，并从C:\Windows\System32\drivers\Crowdstrike目录中删除C-00000291*.sys（基本上是所有以“C-00000291”开头的“.sys”文件）obj- > a 是 0 + 4。

2024-11-23 20:07:43 282

原创 IPCam Bruter3.4.2—一款好玩的用于审核和测试摄像头安全性工具

这些端口是最常用的，因此，与非标准端口 8001、8181、8200 不同，搜索它们不会花费您太多时间，并且会给出最佳结果。该篇文章分享的安全工具和项目均来源于网络，仅供安全研究与学习之用，如用于其他用途，由使用者承担全部法律及连带责任，与工具作者和篇文章无关。只有在暴力破解后才会将端口添加到屏幕截图的名称中，并通过内置扫描仪扫描 IP 范围，（Masscan GU I），或使用终端！如果您使用非标准端口 8001、8181 或 8200，那么您将需要扫描更多的 IP 地址，该程序，您需要禁用防病毒软件！

2024-11-23 19:58:33 593 2

原创红队技巧：欺骗你的端点日志

在计算机领域要分析一个东西无外乎源码审计、逆向、FUZZ，而Powershell源码是公开的，所以通过查看其源码：https://github.com/PowerShell/PowerShell/blob/7ec8e4ed8f47e81e70de5353500f8a01d5fe396c/src/System.Management.Automation/engine/runtime/CompiledScriptBlock.cs#L4。同时，我自己也创建了一个论坛，欢迎各位访问，里面干货多多。

2024-11-22 16:03:51 307

UUniversity的博客