- 博客(19)
- 收藏
- 关注
RSS订阅原创 对免杀木马RingQ的分析、代码附在文中
然后最近想找一些开源的免杀项目生成免杀马,就想起了这个项目该项目原理是先用create.exe将shellcode\exe转换成main.txt,然后用RingQ.exe加载main.txt进行上线。因为RingQ.exe是开源的,因此分析RingQ.exe的代码这里用到反沙箱,因为沙箱可能会跳过line257的sleep,通过这种方式规避沙箱。然后用xor解密,key是520520,然后直接写入内存执行了。https://github.com/T4y1oR/RingQ
2024-07-09 15:15:27
1151
2
原创 从零开始的白加黑免杀的查杀情况
1.只对shellcode做加密混淆:defender静态能过 动态被查杀;火绒静态被查杀,vt 15/74。4.尝试defender\360\火绒 ,火绒静态报毒,defender\360可免杀。目前来看火绒的静态扫描比较强,猜测报毒的原因可能是复用了网上的一些代码。2.添加ico资源,然后去掉调试信息,更改文件时间。3.添加反沙箱,unhook机制 vt 5/74 微步 1/23。
2024-06-04 17:29:42
461
原创 深入解析[羊城杯 2020]Easyphp2
0.遇到回显:Sorry, only people from GWHT are allowed to access this website.23333。b.打开蚁剑命令行 find / -name flag*7.直接切换用户不行,因为蚁剑shell不是完整tty。所以用 find /GWHT -name flag*a.如何将简单的Shell转换成为完全交互式的TTY。3.直接命令执行看不到flag,命令执行写马。直接读flag.txt是不行的,没有权限。先放官方wp,写的比较简易。6.手动翻找其他线索。
2024-03-07 17:03:04
674
原创 从0开始的安卓逆向入门
前言尝试安卓入门,网上没有全流程的基础教程,自己拼凑了多个教程,总体上比较详细。希望能提供帮助整体思路是,先查询apk信息,然后脱壳,然后反汇编出jar包,最后逆向出源代码。工具分别为apkscan-pkid、frida-dexdump、dex2jar、JD GUI 下载路径在后文给出。
2023-09-18 09:29:35
1769
1
原创 buuctf [第九章][9.4.1 鼠标流量分析]鼠标流量分析writeup
当取0x00时,代表没有按键,当取0x01时,代表按左键,当取0x02时,代表当前按键为右键。当这个值为正时,代表鼠标水平右移多少像素 当这个值为负时,代表鼠标水平左移多少像素。三个字节与第二字节类似,代表垂直上下移动的偏移。1.得到usbdata.txt。4.用gnuplot工具绘图。一般的鼠标流量都是四个字节。2.得到out.txt。
2023-09-07 20:44:54
1353
6
原创 BUUCTF的wireshark流量分析题目writeup汇总
1.Transfer-Encoding: chunked分块编码。筛选 URB_INTERRUPT in 的HID Data数据。2./9j是jpg文件头的base64编码。这中间一顿爆破爆不出来,还是得找流量。要密码,爆破试一下 5790。说明下载的是6666.jpg。
2023-09-06 18:16:46
5023
15
原创 陇剑杯2023writeup
这里筛选出木马的流量,做题没找到,实际上是在tcp.stream eq 143 第二项的数据,base64解码,其他的数据都是一致的D:/phpStudy/PHPTutorial/WWW/sqlii/Less-7/ 这些。看了网上的内容,发现这其实是个PNG图片...用010editor发现CRC校验报错,推测修改了图片高度。smailsword这个题的流程较多,虽然每一步都不难,但是没有什么提示。翻了一下流量,发现有个d00r.php,但是提交报错。两个网段,一个是162,另一个是101。
2023-09-06 18:09:29
303
1
原创 CobaltStrike特征修改
这样的好处主要是避免在引起目标网络的蓝队人员的关注后,尽量打消其疑虑、避免其对真实 C2 后端服务器的进一步分析行为。keytool -keystore cobaltstrike.store -storepass 密码 -keypass 密码 -genkey -keyalg RSA -alias google.com -dname "CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码)"如何避免这种反查呢?
2023-08-30 15:50:46
584
1
原创 2023免杀方法学习汇总
内存免杀技术大多数只需要使用 “ShellCode 加载器” 就可以达到很好的免杀效果,内存免杀后门大部分基于 “VirtualAlloc” 函数申请内存,使用 shellcode 加载器将 shellcode 直接加载进内存,避免文件落地就可以绕过文件扫描。判断当前时区是否为北京时区,否则不进行上线操作、判断虚拟机关键文件是否存在,存在则不进行上线操作。火绒对编译参数的限制多,有较多hash和字符串特征进行识别的动作,但是免杀主要集中在于静态,静态能过动态基本不进行查杀,同时对很多go库的调用报毒。
2023-08-30 15:38:44
878
1
原创 HW-自动收集爱企查信息
选择适合的版本下载,这里在win11上,选择了enscan-0.0.11-windows-amd64.zip。可使用ENScan_GO一键收集控股公司ICP备案、APP、小程序、微信公众号等信息聚合导出。解压后执行 .\enscan-0.0.11-windows-amd64.exe -v。然后抓爱企查的包,将cookie放入config.yaml,其他的可以不用配置。这里的命令是,筛选666666的子公司以及孙子公司,控股在70%以上。为减少 信息收集中【爱企查】子公司及域名等 的手工工作量。
2023-06-05 16:38:01
1187
3
原创 2023年postfix搭建公网邮件服务器+gophish发送钓鱼邮件+CobaltStrike木马
最近尝试发送钓鱼邮件,发现网上关于gophish的教程基本上一致,碰到的问题却找不到解决方法;postfix的教程各种各样,不太清楚应该按照哪个教程来走,这里分享一下我的安装、使用流程。本文章更多作为一个补充,关注关键步骤以及遇到的坑,其他教程已经有的内容不再赘述。
2023-05-31 16:30:37
11583
2
原创 NACOS漏洞深入解析(审计+复现)
目前攻防对抗实战中,Nacos的环境遇到非常多,并且无一例外都没有开启auth,很多防守方甚至只是用防火墙阻断网上公开的那几条exp利用的关键地址,Nacos里面保存了企业很多的配置文件比如数据库连接信息、AK/SK信息等等,拿到账号密码等信息之后用来做密码本,然后再进行内网横向,杀伤力非常之大。看一下/config/src/main/java/com/alibaba/nacos/config/server/controller/ConfigController.java文件中369行开始的代码。
2023-03-27 09:37:43
5469
原创 shiro反序列化漏洞学习(工具+原理+复现)
由于shiro反序列化需要用到AES加密,而该加密方法的密钥是加解密一致的,所以我们使用shiro反序列化时,AES加密的密钥必须跟服务器一致,所以经常需要盲猜服务器的密钥,好在java开发们一般都不会去修改它,而且常常直接copy论坛和github上的代码,所以可以大量收集各种密钥,然后遍历来完成反序列化漏洞利用。反过来,把字节序列(json/xml)恢复为Java对象的过程就叫反序列化。"方法,Base64.decode()中的字符串就是shiro的密钥,要确保该密钥的安全性,千万不要使用公开的密钥。
2023-03-10 09:49:48
16724
原创 0212[ACTF2020 新生赛]Upload
这个插件可以批量测试已创建好连接的存活情况,但是需要批量去创建连接,相当于只能完成一半的需求。对于这种允许很多种文件后缀上传但是不执行的题,有必要形成一个较小的字典。我的问题:如何批量连接已上传的脚本,过滤出其中能够成功连接的webshell.用phtml连接则可以看到其实PHP已经上传上去了,只是没法执行。解题思路:上传phtml,蚁剑连接,获取 /flag。这个方法是在.htaccess中设置了禁止的方法。验证php可执行:在其中添加add.php文件。我的问题:如何禁止php3,phP等文件执行。
2023-02-14 20:26:22
419
原创 buuctf/web/[SUCTF 2019]EasySQL做题笔记
这个handler也被过滤了,不过在学习过程中发现可以预编译绕过,试一下。还有table参数,但是只支持MySQL 8.0.19版本的...if,or,and,union,order 过滤了。我的问题:有方法绕过from去查询表中的内容吗?结果flag也给过滤了.......回显NONONO代表被过滤了。感觉这条路已经封死了......没有过滤,试一下堆注入。这个不行,from也过滤了。PREPARE也被过滤了。方法:用HANDLER。很多内容都被过滤了。
2023-02-11 22:45:00
144
原创 adworld/web/very_easy_sql做题笔记
2.将1进行urllib.parse.quote处理,%0A替换成%0D%0A,再进行urllib.parse.quote处理。实际上是因为后续有两次decode,1.ssrf服务器2.web服务器,所以要对报文的内容进行两次encode。实际验证发现,gopher://127.0.0.1:80转一次或者不转均可以,但是两次则不可。new = tmp.replace('%0A','%0D%0A') #CRLFL漏洞。这道题也是第一次应用ssrf的gopher协议进行攻击,并且结合了sql注入的知识点。
2023-02-11 22:38:12
283
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人