- 博客(361)
- 收藏
- 关注
RSS订阅原创 PNG中潜伏.NET攻击载体,红队借图突围EDR防线
在红队攻防演练中,安全产品对传统.NET加载行为的监控越来越精准,任何携带可识别特征的.NET程序集都容易触发防护机制。为了提升载荷的隐蔽性,红队常常尝试将恶意代码藏在看似无害的载体中进行传输与执行。
2025-06-13 08:30:00
505
原创 .NET内网实战:通过winlogon进程提升至SYSTEM权限
本文内容部分节选自小报童《.NET 通过winlogon进程提升至SYSTEM权限》,完整的文章内容请加入小报童后订阅查看。现在限时只需69元,永久买断!目前已有280+位朋友抢先预定,我们会长期更新,对.NET内网安全的朋友们请尽快订阅该报刊!
2025-06-11 08:30:00
916
原创 .NET 2025年第 75 期工具库和资源汇总
此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面。
2025-06-09 11:17:08
360
原创 .NET 内网实战:通过 EnumSystemCodePagesA 函数执行 ShellCode
本文内容部分节选自小报童《.NET 通过 EnumSystemCodePagesA 函数执行ShellCode》,完整的文章内容请加入小报童后订阅查看。现在限时只需69元,永久买断!目前已有380+位朋友抢先预定,我们会长期更新,对.NET内网安全的朋友们请尽快订阅该报刊!
2025-06-06 08:30:00
420
原创 技术精华 | .NET 四种方法上传 web.config 绕过限制实现 RCE
在 .NET Web 应用安全领域,web.config 文件不仅仅是一个普通的配置文件,还能成为攻击者绕过安全限制、执行任意代码的重要工具。本篇文章将系统性地介绍,结合真实案例,深入剖析其利用方式及相应防御措施。当 IIS 服务器,且无法上传 .aspx、.asmx、.soap 等扩展名的文件时,攻击者可以尝试上传特制的 web.config,让其作为 .NET 脚本运行。
2025-06-05 08:30:00
619
原创 免杀 WebShell,通过 Sharp4AppdShell.aspx 绕过服务端 WAF 的监测和拦截
在现代网络攻防对抗中,WebShell 依旧是渗透测试过程中常用的持久化控制手段之一。而面对日益严苛的杀软检测机制和流量分析系统,传统的 WebShell 已越来越容易被检测拦截。从服务端的任务管理器进程里可以看到winver.exe已经成功启动,对于传统规则基杀软,比如基于关键字、行为特征,该 WebShell 难以被检测。部署后,用户只需通过浏览器或 HTTP 客户端请求带参数的 URL 即可远程执行系统命令。,结构简洁、易于部署,同时具备一定的免杀能力。,并将标准输出返回到浏览器页面。
2025-06-04 08:30:00
273
原创 WebShell 对抗进化,规避w3wp进程树监测,黑屏之下绕过 cmd.exe 调用链静默执行
在当今红蓝对抗持续升级的环境中,越来越多的安全产品已经不再满足于传统的文件特征识别方式,而是将重点转向对。
2025-05-30 08:30:00
420
原创 攻防实战,基于全新 Unicode 编码方式实现的 .NET 免杀 WebShell
随着安全防护产品对传统 WebShell 特征的识别能力不断增强,许多经典的 WebShell 编码方式,比如。被提出,它可以有效绕过大部分终端安全检测,甚至在 Visual Studio 等开发工具中也无法被正确解析。已经被纳入主流杀软与 WAF 的规则库中,失去了原有的隐身能力。本文将详细介绍一款采用此技术实现的 WebShell-,并剖析其免杀核心机制与典型使用场景。
2025-05-28 08:45:00
156
原创 .NET WebShell 绕过 EDR 监控,不调用 cmd.exe 也能实现命令执行
在红队渗透环境中,攻防对抗的深度不断升级,安全厂商纷纷将注意力从传统病毒特征识别,转向对行为链的监控和阻断。红队常用的。
2025-05-27 08:30:00
629
原创 .NET 白名单文件通过反序列化执行系统命令
VisualUiaVerifyNative.exe 是一款具备微软签名的可执行文件,属于Microsoft UI Automation框架的一部分,最初设计用于帮助开发人员验证UI自动化的状态,一般在 Microsoft Windows SDK(Windows Kits)包中,比如路径:Windows Kits\10\bin\10.0.22621.0\x64\UIAVerify,该工具通常依赖于以下两个重要的动态链接库(DLL)文件:
2025-05-26 08:15:00
20
原创 .NET看不见的武器,通过隐形字符绕过WebShell检测
之所以这么流行,是因为 UTF-8 完全兼容 ASCII,对于 ASCII 字符,UTF-8 使用和 ASCII 完全一样的编码方式,同样只使用一个字节,这就意味着,如果被编码的字符仅含 ASCII 字符,那即使是用 UTF-8 进行编码,只支持 ASCII 的旧系统仍然能够准确地解码。原//价//258//元,现//限//量//优//惠,全//套//仅//售//点//击//京//东//链//接:https://item.jd.com/10140917044329.html。
2025-05-22 08:30:00
966
原创 .NET 通过Fsharp执行命令绕过安全防护
除了交互式执行代码,fsi.exe 还可以用来执行 .fsx 和 .fsscript 文件(F# 脚本文件),并且与.NET框架深度捆绑集成,可以在 F# Interactive 中调用 .NET API,甚至与 C# 和其他 .NET 语言无缝集成。F# 是一种功能强大、功能式编程为主的编程语言,F# 是 .NET 平台的一部分,能够与 C# 和 Visual Basic 等 .NET 语言无缝集成,允许开发者使用函数式编程的优点,同时也可以使用面向对象和命令式编程。
2025-05-20 08:30:00
20
原创 免杀 WebShell,通过 Sharp4AppdShell.aspx 绕过服务端 WAF 的监测和拦截
在现代网络攻防对抗中,WebShell 依旧是渗透测试过程中常用的持久化控制手段之一。而面对日益严苛的杀软检测机制和流量分析系统,传统的 WebShell 已越来越容易被检测拦截。从服务端的任务管理器进程里可以看到winver.exe已经成功启动,对于传统规则基杀软,比如基于关键字、行为特征,该 WebShell 难以被检测。部署后,用户只需通过浏览器或 HTTP 客户端请求带参数的 URL 即可远程执行系统命令。,结构简洁、易于部署,同时具备一定的免杀能力。,并将标准输出返回到浏览器页面。
2025-05-16 08:30:00
239
原创 .NET 通过命令行解密web.config配置
在.NET应用系统中,保护数据库连接字符串的安全性至关重要。.NET 提供了一种通过 DataProtectionConfigurationProvider 加密连接字符串的方法,以防止敏感数据泄露。然而,在内网信息收集阶段,攻击者只需在目标主机上运行aspnet_regiis.exe这个命令行工具即可完成解密,获取数据库连接的明文字符串。aspnet_regiis.exe 是一个命令行工具,用于配置和管理 .NET 应用程序在 IIS 中的注册和设置。
2025-05-15 10:20:46
174
原创 .NET 通过执行XOML文件代码绕过安全防护
WFC.exe 是 .NET Framework 工具套件的一部分,用于编译 Windows Workflow Foundation (WF) 来构建支持工作流程的应用程序,具体来说,WFC.exe 通过将工作流程文件(通常是 .XOML 文件)编译成可执行的.NET程序集。
2025-05-09 08:30:00
36
原创 .NET 通过回调函数执行 Shellcode启动进程
Shellcode 是一种专门编写的机器码程序,通常用于利用计算机系统的漏洞。这些代码片段设计得非常紧凑和高效,目的是在目标系统上执行特定的操作。
2025-05-06 11:57:08
258
原创 .NET 内网通过执行命令查找出网机器
然而,这也提醒我们,在日常的网络安全防护中,需要高度重视对DNS流量的监控和分析,以防止内网信息的泄漏。使用起来非常简单,无需登录,只需在使用前点击 "Get SubDomain" 按钮,生成一个唯一的子域名,例如 q22gjj.dnslog.cn,这个子域名是用户在测试过程中使用的唯一标识符。在内网环境下,通过扫描网段获得内网主机所有的IP地址,Environment.MachineName 获取计算机名,Dns.GetHostAddresses 获取主机的所有IP地址。
2025-04-29 08:30:00
36
原创 .NET 实战对抗,内网渗透中红队通过 FSharp 执行命令绕过安全防护
在红队渗透测试中,Sharp4fsi.exe是一款基于F#的交互式编译器执行攻击负载的工具,通过封装或修改原始编译器,能够执行包含恶意代码的F#脚本文件。由于F#的交互式编译器本身带有微软的签名,因此Sharp4fsi.exe也继承了这一特性,使得在执行时能够绕过一些基于签名验证的安全防护软件。
2025-04-28 08:30:00
915
原创 .NET 通过进程管道执行CMD命令
cmd.exe作为Windows系统的传统命令行解释器,其行为模式广为人知,因此也成为了众多安全防护机制的重点监控对象,因此红队或者黑客在对抗时调用Windows系统kernel32.dll中的CreateProcess和CreatePipe函数实现任意系统命令的执行,这样做的好处是避免直接调用cmd.exe,能够降低被检测到的几率。接着,打开父进程的句柄,再通过DuplicateHandle函数将输出数据的句柄复制到父进程,使得子进程的输出数据能够重定向到父进程中,代码实现如下所示。
2025-04-22 08:30:00
39
原创 一种进程链欺骗的新思路,借壳 TrustedInstaller 服务,实现 SYSTEM 权限的隐匿执行
是一种比 SYSTEM 更高的服务账户,拥有对系统关键组件,如 Windows 更新、系统文件夹、驱动更高的操作权限。这时,如果能进一步提权为 TrustedInstaller,将拥有更广泛的控制权限。这个过程,Sharp4FromTrust 启动 Windows Modules Installer 服务,并调用其进程 PID,使用父子进程劫持技术将目标程序注入为该服务的子进程,从而实现以。这些阶段所涉及的工具集不仅代表了当前.NET安全领域的最前沿技术,更是每一位网络安全爱好者不可或缺的实战利器。
2025-04-21 08:30:00
362
原创 实战上传 DLL 型 WebShell,一文详解 .NET 程序集 VS C++ 动态链接库的区别
NET 程序集是包含 IL 代码的托管程序集,而 C/C++ 编译的 DLL 是操作系统直接运行的本地模块。清单记录了当前程序集正常运行所需的所有外部程序集、程序集的版本号、版权信息等等。文件,无论是在使用类库、调用系统 API,还是在安全研究、逆向分析中,DLL 都是一个不可绕过的重要组成部分。接着是当前程序集本身的信息,记录了程序集本身的各种特征,如版本号、模块名称等。文件,但从内容结构到运行方式,.NET 程序集和 C/C++ 动态链接库是完全不同的两种东西。工具打开的程序集的目录树中,双击。
2025-04-15 08:30:00
835
原创 .NET 通过五步调用API实现关闭Windows Defender
Windows Defender最早于2006年作为一款反间谍软件工具发布,后来逐步演变成一款全功能的反恶意软件解决方案。在Windows 8及其之后的版本中,Windows Defender被整合为操作系统的默认安全防护软件。Windows Defender能够检测和防护各种类型的恶意软件,包括病毒、间谍软件、特洛伊木马、蠕虫、勒索软件等。通过定期更新的病毒定义库,Windows Defender保持对新出现的威胁的最新防护能力。
2025-04-14 08:30:00
58
原创 .NET 通过傀儡进程执行Shellcode
首先通过调用CreateProcess函数来创建一个新的进程,并特别设置了该进程的启动标志为CREATE_SUSPENDED,这样在创建后会立即处于挂起状态,主线程不会立即执行任何代码,而是等待后续的指令来恢复其执行。综上,傀儡进程是通过篡改某进程的内存数据来实现的,具体做法是在内存中写入Shellcode,并操纵进程的执行流程,使其转而执行恶意的Shellcode。傀儡进程是指被攻击者通过技术手段,修改其内存数据,并植入恶意的Shellcode,进而控制其执行流程,使其转向执行恶意代码的进程。
2025-04-10 09:35:12
454
原创 .NET 四种方法上传 web.config 绕过限制实现RCE
在 .NET Web 应用安全领域,web.config文件不仅仅是一个普通的配置文件,还能成为攻击者绕过安全限制、执行任意代码的重要工具。最近,一篇关于某电力公司web.configRCE 的文章在安全圈引发了热议,详细描述了攻击者如何利用web.config实现远程代码执行,并成功获取系统控制权限。本篇文章将系统性地介绍web.config,结合真实案例,深入剖析其利用方式及相应防御措施。当 IIS 服务器,且无法上传.aspx.asmx.soap等扩展名的文件时,攻击者可以尝试上传特制的。
2025-04-09 08:30:00
726
原创 实战+分析 | .NET 分布式事务反序列化漏洞插件
在《.NET安全攻防指南》上册中,我们不仅详细讲解了各类漏洞的基本原理和防范措施,还深入探讨了如何利用代码审计技术精准定位潜在的漏洞点。同时,书中还介绍了一些实用的安全测试工具和插件,助力读者在实战中快速掌握核心技能。此外,书中还介绍了最新的安全工具和插件,助力读者在.NET安全领域不断前行。本文将深入解析该漏洞的利用方式,并展示如何构造攻击载荷,从而帮助安全研究人员理解该漏洞的危害,并提升防御能力。,用于反序列化恢复事务对象信息,也因此加载恶意的攻击载荷触发了反序列化漏洞。,因此在重组事务数据时使用了。
2025-04-08 08:30:00
943
原创 .NET 通过创建系统影子账户实现维持权限
综上,通过我们在正常的系统用户名后面添加 $ 符号,可以创建影子账户,从而提高了账户的隐蔽性。其中username是新用户的用户名,以$符号结尾,如前文所述在 Windows中,使用 $ 结尾的用户名通常不会显示在操作系统的用户列表中,因此这样的账户很难被发现,可以有效地隐藏账户,增加其隐蔽性。这里使用WinNT协议,该协议出现在Windows NT 4.0 及更高版本的计算机或域中的目录服务,专用于访问和管理 Windows 网络中的资源,包括本地用户和组、远程计算机上的用户和组、以及域用户和组。
2025-04-08 08:00:00
78
原创 .NET 内网实战:通过 slui.exe 绕过 UAC 实现提权
本文内容部分节选自小报童《.NET 通过 slui.exe 绕过 UAC 实现提权》。我们会长期更新!
2025-04-07 08:30:00
1725
原创 .NET 2025年3月份红队武器库和资源汇总
此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面。
2025-04-04 08:30:00
428
原创 绕过 WebShell 检测的新思路,通过 Sharp4Error 运行时报错执行命令
然而,传统 WebShell 由于明显的特征,往往容易被安全产品检测并拦截。,从而实现远程命令执行。相比传统的 ASPX WebShell,此方法能够在执行过程中制造异常,使得部分检测机制更难察觉其恶意行为。,从而隐藏真正的执行行为,因此,某些 WAF 可能不会深入分析错误页面,而只拦截正常输出的 WebShell。,并在进程执行后引发异常,使得页面返回错误信息,而实际的命令仍然在后台执行。这一机制,在触发异常之前先执行系统命令,从而实现更隐蔽的远程命令执行方式。后,执行系统命令,如下图所示。
2025-04-03 08:30:00
280
原创 .NET 通过系统计划任务维持权限
在渗透测试或恶意软件开发中,攻击者经常需要在目标系统上维持持久的访问权限,Windows计划任务是实现这一目标的有效工具之一,因为它允许攻击者在特定时间或事件触发时执行预定义的命令或脚本。下面,我们将详细介绍如何通过Windows计划任务来维持权限。Windows 任务计划程序 (Task Scheduler) 的 CLSID标识符是 0F87369F-A4E5-4CFC-BD3E-73E6154572DD,这串CLSID可以在taskschd.h文件中找到,如下图所示。
2025-04-03 08:00:00
52
原创 .NET 内网实战:通过 DirectorySearcher 执行域环境下的 LDAP 信息收集
本文内容部分节选自小报童《.NET 通过 DirectorySearcher 执行 LDAP 查询》,我们会长期更新!
2025-04-02 08:30:00
930
原创 .NET 通过事件订阅实现权限维持
WMI 全称 Windows Management Instrumentation,是 Windows 操作系统中的一项重要功能,常用于管理和监控系统硬件和软件的启动和运行。而WMI 事件订阅能帮助系统管理员监听系统特定事件并在事件触发时执行预定义操作。WMI 事件订阅涉及几个关键部分,包括 EventFilter、CommandLineEventConsumer 和 FilterToConsumerBinding。这些组合使得事件订阅系统能够监听事件并执行特定的响应操作。
2025-04-01 10:30:13
48
原创 .NET 通过Junction Folder实现权限维持
攻击者在对目标系统进行权限维持时,除了常见的COM劫持技术,还可以利用Windows的Junction Folder结合CLSID 和注册表来实现持久化。这种方法通过创建连接文件夹和修改注册表,使得攻击者可以在系统启动时加载自定义的恶意DLL,从而保持对系统的控制。本文将详细介绍这种技术的原理、实现步骤以及相应的.NET代码示例。
2025-04-01 10:28:38
193
原创 .NET 通过COM劫持实现权限维持
在 Windows 操作系统中,攻击者可以通过修改注册表UserInitMprLogonScript 键值来执行自定义的恶意程序,从而实现持久化控制。这种方法被一些红队工具用于权限维持。下面将详细介绍如何使用 .NET 代码修改 UserInitMprLogonScript 键值来实现权限维持。
2025-04-01 10:27:52
43
原创 .NET 修改UserInitMprLogonScript键值实现权限维持
在 Windows 操作系统中,攻击者可以通过修改注册表UserInitMprLogonScript 键值来执行自定义的恶意程序,从而实现持久化控制。这种方法被一些红队工具用于权限维持。下面将详细介绍如何使用 .NET 代码修改 UserInitMprLogonScript 键值来实现权限维持。
2025-04-01 10:26:38
44
原创 .NET 修改系统注册表UserInit键值实现权限维持
红队可以通过修改UserInit键值将自定义的可执行文件添加到路径中,比如某个远控生成的木马后门文件,这样用户登录时自动执行该文件,从而实现权限维持。通过修改注册表UserInit键来启动自定义程序,是红队在渗透测试和攻击活动中常用的方法之一,因此需定期检查和监控。方法将UserInit键的值更新为新值,确保在用户登录时启动calc.exe,具体代码如下所示。键位于Windows注册表的路径中,所包含的值,表示指向用户登录时系统要启动的初始化程序。键的配置,有助于确保系统的稳定和安全。
2025-04-01 10:18:48
479
原创 对抗逆向分析,通过 Sharp4NetVbsObfuscator 混淆 .NET 程序集和 VBS 脚本
Sharp4NetVbsObfuscator 采用多种混淆手段,从控制流、字符串保护到入口点隐藏等,全面提高代码的安全性。这些阶段所涉及的工具集不仅代表了当前.NET安全领域的最前沿技术,更是每一位网络安全爱好者不可或缺的实战利器。我们倾力打造专刊、视频等配套学习资源,循序渐进的方式引导加深安全攻防技术提高以及岗位内推等等服务。在逆向分析和代码保护对抗的背景下,混淆技术成为了保护 .NET 程序和脚本的重要手段。的核心混淆方法、功能特点及其使用方法。插入无意义的方法和代码段,增加代码复杂度。
2025-04-01 08:30:00
667
原创 .NET 调用API创建系统服务实现权限维持
在Windows操作系统中,Services服务以后台进程的形式运行的,通常具备非常高的权限启动和运行服务。因此红队往往利用.NET框架通过创建和管理Windows服务来实现权限维持。本文将详细介绍如何通过.NET创建Windows服务,以实现权限维持的基本原理和步骤。
2025-03-31 16:00:48
602
原创 Windows 高权限特权揭秘:通过 .NET 借助特权实现不同账户权限下的进程启动
在 Windows 操作系统中,特权是进程访问控制的关键机制之一,它决定了进程能够执行哪些敏感操作。某些特权,如和,赋予进程极高的权限,使其能够访问受保护的进程、修改系统令牌,甚至加载内核驱动。因此,这些特权在安全防御与攻击技术中都扮演着至关重要的角色。本篇文章将深入分析这三种关键特权,探讨它们的功能、常见应用场景及其安全影响。SeDebugPrivilege 允许进程访问,包括SYSTEM进程。这意味着持有该权限的进程可以读取、修改和注入代码到任何进程。许多 Windows 提权漏洞依赖于来访问。
2025-03-31 08:30:00
348
原创 Windows 内网渗透 | 通过 Sharp4KeyboardLogger 实现键盘记录技术
这些阶段所涉及的工具集不仅代表了当前.NET安全领域的最前沿技术,更是每一位网络安全爱好者不可或缺的实战利器。我们倾力打造专刊、视频等配套学习资源,循序渐进的方式引导加深安全攻防技术提高以及岗位内推等等服务。该工具运行后,所有按键都会被无声记录,无需用户交互。运行后,所有键盘输入都会被记录在当前目录下的 log.txt。,帮助渗透测试人员和安全研究者更好地理解这一技术。,能够捕获用户按下的所有按键,并将其记录到。进行全局键盘监听,从而实现按键日志的收集。,工具会在后台监听按键输入,并自动创建。
2025-03-28 08:30:00
434
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人