0pr

这篇文章尝试用各种方式，使用 C# 和 C++ 绕过 Avira 的检测，执行 shellcode。两种语言在绕过 Avira 的检测时，各有优劣。主要技巧还是通过运行时解析方法地址，再调用的方式，以及配合代码混淆，来躲避 Avira 的检测。下一篇文章，我们将对卡巴斯基发起挑战。同时，我们可能会会引入 Rust（视情况而定），看一下 Rust 在免杀实战中的表现。

本文对 Office Word RTF Heap Corruption（CVE-2023-21716）进行了一些分析。目前为止，我们找到了 wwlib 库中的问题方法，初步了解了 RTF 格式以及控制字符。接着我们对 wwlib 中的 **FSearchFtcmap** 方法进行了行为分析，知道了 font id 是存放在 esi 中，切 esi 作为循环加载字体的 index，index 值将会使用 **movsx** 指令分别加载到 ecx 和 edx 中。

终于有点时间写些东西了。这半年来一直在准备 Offensive Security 的各种考试，内容太多。直到昨天，也就是8月24日，我完成了第二轮 OSEP 的 Lab，心里踏实多了，等着9月4日考试的同时，也想做个小结，谈谈我拿 OSCP 的历程以及今后的目标。希望可以为想考取 OSCP 的同学指明一些道路。

这篇文章通过对 clr.dll，advapi32.dll，以及 ntdll.dll 的简单逆向，解析了 ETW（Event Tracing for Windows）的整体调用链。之后，我们介绍了两种 ETW 的绕过方式。一种是 patch EtwEventWrite 方法，另一种是 patch NtTraceEvent 方法。同时，配合 SilkETW，我们对两种绕过方式进行了成功验证。

这篇文章解释了 Command Line Spoofing 的原理，就是通过修改进程 PEB（Process Environment Block） 中的 RTL_USER_PROCESS_PARAMETERS 结构，来达到隐藏真实命令参数的效果。

Windows 访问控制，或者通常就叫权限，是随处可见的。每一个文件，每一个文件夹，甚至每一个注册表的键值，每一个服务，都有各自的权限（Permissions）。每个用户，或者组，对于一个文件的权限。每个用户，或者组，对于一个文件夹的权限。每个用户，或者组，对于一个注册表键值对的权限。以上看到的内容，就是 Windows 中，一个用户，或者组的 Access Control List（访问控制列表）。

PPID Spoofing 是通过在结构体中的 PPROC_THREAD_ATTRIBUTE_LIST lpAttributeList 成员中，使用来告诉最终调用调用的函数，将即将创建的进程，归入到指定的父进程之下。PPROC_THREAD_ATTRIBUTE_LIST lpAttributeList 成员是通过分配内存，并由函数设置其属性（设置成 PROC_THREAD_ATTRIBUTE_PARENT_PROCESS），来达到偷换父进程的目的。

这篇文章简单讲述了一下域证书服务的基本概念。接下来，我会继续深入，在 Lab 中配置 AD CS 服务，通过实践的方式，带出更多的域证书相关的内容。这包括自域证书白皮书发布以来，已经被发现的证书利用的漏洞（CVE-2022–26923），以及证书利用的其他手法（Shadow Credentials）。

目前为止，裸奔 Rust Payload 比 C++ 表现优异那么一些。在实践过程中发生的与原文的偏差。我认为可能是我编译 Rust 的过程有问题。原文作者没有指出编译细节。这个还需要继续深入挖掘一下。

这篇文章我们讲一下 Bronze Bit Attack 的基本原理。在未打上补丁的域环境中，S4U2Self 及 S4U2Proxy 协议成了被利用的对象。

这篇文章，讲解了 Active Directory 中的三种 Delegation（委派），同时讲到了 **Protocol Transition**，S4U 协议等概念。

这篇文章使用图例详细讲解了Kerberos整个鉴权过程。这篇文章之后，近期的计划就是承接这篇文章的内容，写一下 Active Directory Delegation（主要关于 protocol transition 的效用），再写一下 Bronze Bit Attack 的原理和利用。然后，我会尝试写一些关于Active Directory证书鉴权的文章，最后当然是如何利用配置不当的证书做提权和后渗透维持。读完这篇文章，如果大家对 Kerberos 的鉴权过程还有不清楚的地方，那么，就请多看几遍吧:D

这篇文章将讨论 PHP Web 应用中 **create_function** 的命令注入。命令注入，究其根源，都是未对用户提供的输入做合理过滤造成的。当然，编程语言本身内置的危险方法的使用，是命令注入频发的另一原因。

如今，WSL 已经能够支持 systemd。我们看一下怎么在 WSL 启用 systemd 来使用 snap。

这个系列写 Web 应用渗透测试相关的内容。此篇从信息收集开始，看一下 Web 应用端有哪些方面的信息值得渗透测试者去收集，能对后续的行动产生积极的影响。

Solve "The trust relationship between this workstation and the primary domain failed"

This article provides step by step guide on how to install Microsoft Endpoint Configuration Manager and use it to setup Attack Surface Reduction Rules.

Last time, we talked about Windows Defender and AppLocker. In this part, we will continue the journey and see what other defense mechanisms Microsoft Windows has in offer.

Windows Defender, together with AppLocker, will drastically limit what an attacker can do on the target. This article talks about main Windows Defense mechanisms, namely Windows Defender, AppLocker, ASR, and WDAC.

这篇文章对 Beacon 做了一些比较简单的分析。开个头先，之后还会不断深入。

感觉人们的搜索行为方式要发生巨大改变了。Google 我想已经瑟瑟发抖（提供数据但是门户可能要洗白）。GPT 的回答准确率只要能保证，我想绝大多数人还是会喜欢用 GPT 搜索答案，不需要在搜索引擎上一条一条点进去看了。Amazon Alexa，Google Home，这些在智能家居和人机交互方面做出过尝试的应用，也要重新审视一下未来的市场变革。想象一下 GPT 强大的语义处理如何配合上强大的语音处理，BANG！钢铁侠的管家 Jarvis 就成了。

这篇文章尝试了一下在 PEN300 课程之外的环境里面，Windows Defender 绕过的应用效果。在 RTO Lab 中看了一下 WD 的 Exclusion 设置，并没有添加任何文件和文件夹。意味着 WD 的运行应该就是真实环境中的那样，并没有任何干预。之后，再次用相同的 Payload 在 Data Center 2022 上做了一样的测试。Cobalt Strike 生成的被检测到并删除，而我们的 Payload 健在。

域渗透的过程中会用到很多 .Net 工具。但是官方仓库没有直接发布的二进制包，那么就需要我们自己手动编译。这些工具又有很多会选择做 NuGet 依赖。如果本地配置不对，就会导致编译失败。接下来我们就讨论一下怎么解决这个问题。

第一种避免 null byte 的方式其实很简单，开发过程中注意就行，有小数都换成大数加负数或者负数取负即可。第二种避免 null byte 的方式得结合实际情况，看当时哪个寄存器可用。可以看到除了特定的会产生 null byte 外，使用其他寄存器都是安全的。call 和 jmp 指令产生的 Null Byte，得从头开始讲了。不随便挖坑，还有坑没填完 😄。

Question about Resolving _IMAGE_DATA_DIRECTORY

This article serves as an accumulative note as I will add more and more instructions along the way, and I will constantly update each instruction for more details and more sophisticated and advanced usage. More on the way then.

给想报考 OSWE 的小伙伴一点提醒，我已经以身试法，在国内，报 WEB300 课程需谨慎，不知道考试环境会不会变动，最好提前联系官方确认。

在渗透测试涉及到 PostgreSQL（以下简称 PG） 的时候，如果已经拿到数据库 DBA 的账号和密码，那么就可以任意加载恶意动态库。就算最新版本的 PG 已经限制数据库只能从 `C:\Program Files\PostgreSQL\xx\lib` （windows）或者 `/var/lib/postgresql/xx/lib` 加载动态库，但是 DBA 还是可以用 `Large Objects` 这个特性随意写入动态库到指定的文件夹，然后加载。

9月4日，我完成了 OSEP 的考试并顺利通过。OSEP，即 Offensive Security Experienced Penetration Testers。该证书的内容涉及 Windows Defender，AppLocker，AMSI，CLM，network filter 等防护机制的绕过，更加接近真实环境。

学累了，读点 RFC 然后去睡觉...

不要下载和使用不明渠道的 deb 包看完这篇文章，我们会去打开 deb 看一下这些脚本，但是也不能保证二进制里面没有问题。安全最薄弱的一环还是人。

XposedAPIThis is one box that I found the official walkthrough is a little bit ambiguous after I finished it. The guess work on the request method to trigger the payload is too much of a guess work (maybe just for me 😄).So I present my own write up to cl

OverviewPretty simple box.SolutionReconNmapFIrst nmap the target. Got port 22 and 80 open.Try SSH to the box. SSH banner reveals no useful information.WebsiiteCheckout the website. I tried to use single quote in the login form to test for sqli, bu

背景近期创建了一种新的工作流，就是使用 VIM 的 Server-Client 模式。在这个模式下，所有打开的文件会被发送到同一个 VIM 窗口。这样的好处很明显，如果有多个窗口在编辑文件，就需要到处切换，找想要的文件，现在不用到处找了，都汇总在一起。我会使用 --remote-tab 在新的 vim tab 中加载新文件，这样非常直观，方便管理。但是有一个问题，就是非 root 用户运行的 vim server，是不能编辑系统文件的（也就是所属用户是 root）。解决方法是，要使用 sudo 来运行

Lab IntroA local police department has hired you to pentest their website. They had a new website created by a web development company and they want to make sure that everything is secure and in order.In this lab you will practice with Burp Suite, config

背景介绍FoxyProxy 已经是很好用的 Firefox 插件了，但是缺少键盘快捷键切换代理让使用体验变得很麻烦。举例说明，FoxyProxy 设置了 4 个代理，分别是 Socks，none，BurpSuite 以及 ZAP。Socks 你懂的，none 代表无需代理，BurpSuite 和 ZAP 是在测试 webapp 的时候使用（TryHackMe HackTheBox）。Burp 和 ZAP 我经常配合使用。麻烦事情就来了，如果每次使用 Burp 和 ZAP 的时候，都要手动切换，效率真的

CRC (Cyclic Redundancy Check)I’m not gonna talk about definitions here. It has been well documented, well, millions of times I guess. What I’m going to talk about here is the logic behind CRC and why certain arithmetic approach is adopted to calculate CRC

问题描述原始字符串为 mcinventoryv4er9ll1!ss，使用如下方式在命令行直接编码echo 'mcinventoryv4er9ll1!ss' | base64得到的结果是bWNpbnZlbnRvcnl2NGVyOWxsMSFzcwo=而正确的编码结果应该是bWNpbnZlbnRvcnl2NGVyOWxsMSFzcw==问题原因经过尝试，可能是由于字符串末尾不可见的换行字符造成的问题。也是因为不同版本 echo 的实现造成的。解决方法直接在命令行编码的时候，使用ech

目录今日目标深入 BoFBoF 的前世今生BoF 的种类BoF 的应对策略物理寻址的应用找到 Boot Sector 在内存中的前两个字节的位置寄存器寄存器的种类通用寄存器段寄存器指针寄存器索引寄存器控制寄存器段和段寄存器小结完成任务程序拆解及必要汇编指令org 指令jmp 指令times 指令pusha popa 指令条件控制指令其他必要的汇编指令总结参考链接今日目标今天细看了一下 narnia2（不知道这是什

目录这是什么？今日目标Level 1Level 2innerHTMLinnerHTML的安全问题EventLevel 3location.hashLevel 4Level 5Level 6Protocol-relative URLsDataURLs总结参考链接这是什么？XSS 系列开篇。WebApp 渗透测试是一个大话题，之前的 SQL 系列之后还会继续深入。本篇的 XSS 系列也一样，在后续的工作学习中，不断记录。我不再讲 XSS 的基本