- 博客(5)
- 收藏
- 关注
RSS订阅原创 实战捕获的⼀次样本分析
摘要:分析恶意样本9ffb0825346e44788e2f294706d0dbaa,发现其通过PE32位程序执行导入函数,利用沙箱检测环境。样本包含反调试手段(60秒延时触发和单步调试检测),分两阶段触发恶意行为:先禁用Windows Defender,再通过纤程注入执行加密的shellcode。解密后的shellcode访问已下线的恶意IP。攻击链为:安装程序→释放恶意DLL+shellcode→通过rundll32执行→解密shellcode→纤程注入执行。关键特征包括进程快照获取、字符串转换和GetT
2026-01-06 17:13:44
509
原创 蓝队溯源手册溯源篇
正常的程序总是会包含很多字符串。重点看第三个和第四个函数,其中第三个参数指定了新线程的入口地址,第四个参数为新线程所需的参数,当程序调用此函数来创建线程的时候,定位到线程的入口地址设置断点,一般情况下,程序会在后面调用 Sleep或WaitForSingleObject函数,这样的话,程序的控制权就到了新线程里面。还有一种创建子进程的方式,就只是简单的开启一个子进程运行,这种情况比较简单,需要注意的一点就是父进程创建子进程时传给子进程的参数,使用 OD打开要运行的子进程,传入所需的参数即可开始调试。
2025-12-20 03:04:20
846
原创 春秋云镜CVE-2022-23366解题思路CVE-2022-23366解题思路
本文介绍了CVE-2022-23366漏洞的利用过程。首先使用BURP抓取登录请求包,然后通过sqlmap工具检测出存在时间盲注漏洞。通过逐步执行sqlmap命令,依次获取数据库名(CTF)、表名(flag)和列名,最终成功dump出flag数据。整个过程展示了从漏洞发现到数据提取的完整SQL注入利用链。
2025-12-18 13:17:14
208
原创 春秋云镜CVE-2022-28512
FantasticBlog CMS存在SQL注入漏洞,攻击者可通过/single.php路径下的id参数实施注入攻击。该漏洞无需任何代码知识即可利用,使用sqlmap工具可直接获取系统flag。摘要提示该CMS虽然功能强大但存在严重安全缺陷,建议用户及时修复此高危漏洞。
2025-12-18 13:11:10
213
原创 第二届国家网络安全行业职业技能大赛预赛wp
本文总结了多个网络安全挑战的解决方案:1)通过源码审计绕过逻辑判断获取flag;2)使用base32+base64解码获取压缩包中的flag;3)利用PHP反序列化漏洞读取文件;4)通过LSB隐写和zsteg工具提取隐藏信息;5)构造特殊MD5碰撞实现命令执行;6)逆向分析UPX加壳木马程序,解码获取C2服务器地址172.253.63.100:25565;7)分析SSH日志发现爆破成功的IP地址202.45.169.243。这些案例涵盖了代码审计、加密解码、反序列化、隐写术、逆向工程和日志分析等网络安全技术
2025-12-16 23:52:50
1227
文章主要探讨了在Agentic AI(代理型人工智能)时代背景下,应用安全面临的新型挑战及应对策略
2026-01-08
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人