蛇矛实验室

EVPN（Ethernet Virtual Private Network，以太网虚拟专用网络）是一种用于二层网络互联的虚拟专用网络技术，EVPN利用隧道技术将VPN报文封装在隧道中，并通过VPN Backbone建立专用数据传输通道，实现报文的透明传输。EVPN通过扩展BGP协议，使用扩展后的可达性信息，使不同站点的二层网络间的MAC地址学习和发布。

“边界”通常是指内网与外网之间的那条边界，在内网中，边界也包括各个区域之间的边界。本篇文章主要介绍在内网各种环境中的shell反弹、内网穿透及文件传输方面常用的一些方法和工具，利用这些方法来跨越内网中的层层边界。

云函数（Serverless Cloud Function，SCF）是腾讯云为企业和开发者们提供的无服务器执行环境，帮助您在无需购买和管理服务器的情况下运行代码。您只需使用平台支持的语言编写核心代码并设置代码运行的条件，即可在腾讯云基础设施上弹性、安全地运行代码。SCF 是实时文件处理和数据处理等场景下理想的计算平台。

在公司网络或者业务网络中，便于管理和共享，越来越多的用户选择使用域来代替工作组，在功能便捷的同时，也衍生出越来越多的关于域安全的相关问题。 由于真实的域环境通常分布在多个物理地域，涉及到大量的服务器、终端，网络设备的配置，构建真实的域环境做实验难度较大，利用火天网境的NFV支持、路由协议支持和强大的虚拟化仿真能力，我们可以轻松的构建出大规模基于广域网的域环境进行攻防的效能评估以及安全问题的复现验证。

Havoc是一个开源渗透框架，其客户端用 C++ 和 Qt 编写的跨平台 UI，Teamserver用 Golang 编写，支持团队合作，HTTP\HTTPS监听器，可定制化C2profile，Havoc可以作为CobaltStrike的代替方案。

无需重置计算机帐户即可利用 Zerologon 的方法

Zimbra是一家提供专业的电子邮件软件开发供应商，主要提供ZimbraDesktop邮件管理软件。另外提供一套开源协同办公套件包括WebMail，日历，通信录，Web文档管理和创作。他的最大特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox，Safari和IE浏览器。

MPLS L3VPN是服务提供商VPN解决方案中一种基于PE（Provider Edge）的L3VPN技术，它使用BGP（Border Gateway Protocol）在服务提供商骨干网上发布VPN路由，使用MPLS在服务提供商骨干网上转发VPN报文。

注册表是 Windows 操作系统中一个重要的数据库，它包含 Windows 操作系统和应用程序的重要设置和选项。由于注册表的功能非常强大，因此注册表对于恶意程序来说是非常有利用价值的。在 windows 注册表中存储二进制数据，这是一种常见的技术，常被恶意软件用于持久化或存储恶意的 payload。

一般的杀毒软件会在我们进程启动的时候注入DLL到进程中,然后对系统函数进行Hook(挂钩).从而拦截我们进程的执行流程,当然这个流程只针对于未被添加到白名单的程序.我们来看下效果图.这里我设置了白名单为apps目录,在次目录下不会被检测.我们运行一个系统自带的软件Notepad来看下效果.首先X64dbg附加进程我们随便搜索一个函数看看是否被HOOK。

由于各种工具对VBA的检测角度不同，单一宏隐藏技术不能不能满足我们的要求，因此在对抗检测工具时，我们需要打出一套组合拳，将文件重定向与VBA stomping相结合，使其无法通过解析源码方式分析脚本，也无法通过找到脚本的二进制文件来提取P-Code。

黑就是指我们自己的文件，没有有效证书签名，也不是微软文件。手动检测的方式也很简单，我们只需要多注意这种exe只带有一个dll的文件，因为如果是木马的话他一般不会有很多文件，我们可以dll右键属性看看是否有签名，如果没有就很可疑，如果有的话看看签名是否有效，这里也可以用代码去代替这个过程。此时看到这个图，不要认为我们又要换白程序了，报错是成功的一大步，到这里就说明我们已经成功百分之90了，这里的问题是我们dll虽然有了但是程序加载我们的dll后调用的函数我们并没有提供，好的我们用dumpbin来看下。

最简单的绕过是使用类似功能的函数进行替代，这里也可能存在一个问题,就是常见的那些函数已经被挂钩了，因为很多沙箱默认就挂钩了很多内存相关的API，如果我们如果只是替换一些函数可能还是会被检测到，当然不排除这些方式可以绕过一些沙箱，单这次遇到的沙箱我测试替换了很多API还是会被检测到。下一步我们要去判断软件架构，为什么要进行这一步是取决于我们的ShellCode是多少位的，这里我的ShellCode是64位，所以要过滤掉32位进程，不然在后续找到可读可写可执行内存的时候我们虽然可以写入到内存，但不能执行起来。

上述介绍中，可以知道该攻击利用了白加黑，那么想在每次开机时都执行恶意程序，saxbn.exe需要设置自启，该样本对saxbn.exe自启方式比较隐蔽，如果在没有原始样本的情况下，找到自启配置还是比较困难的，在隔离环境中执行样本，并将原始样本清理，然后试着用常规方式，看能否找到可疑的启动项。Autoruns 对自启动的检测是比较全面的，然而遗憾的是，我们在Autoruns中依然没有找到saxbn.exe自启动的信息，但是Autoruns帮我们排除了很多saxbn.exe可能配置的方法。

这里是我们要查询的关键，我们去看看注册表HKCU\Software\Classes\ms-settings\Shell\Open\command 存放的是什么。这里需要注意的是目前很多杀毒软件在我们的程序写注册表值到HKCU\Software\Classes\ms-settings\Shell\Open\command会报毒，解决办法网上也有很多种，可自行测试。在启动程序之前先创建HKCU\Software\Classes\ms-settings\Shell\Open\command的项。

反调试技术，是一种防止逆向的方案。逆向人员如果遇到复杂的代码混淆，有时会使用调试器动态分析代码逻辑简化分析流程。例如恶意软件通常会被安全研究人员、反病毒厂商和其他安全专业人员分析和调试，以了解其行为和功能，并开发相应的安全措施来保护系统，这时，恶意软件开发人员就会使用反调试技术阻碍逆向人员的分析，以达到增加自己恶意代码的存活时间。此外，安全人员也需要了解反调试技术，当遇到反调试代码时，可以使用相对应的反反调试。

下图说明了反射 DLL 注入的工作原理。在之前的文章中，通过模拟 Windows 映像加载程序的功能，完全从内存中加载 DLL 模块，而无需将 DLL 存储到磁盘上，但这只能从本地进程中加载进内存中，如果想要在目标进程中通过内存加载 DLL 模块，可以通过一些 I/O 操作将所需的代码写入目标进程，但这大量的 I/O 操作对病毒引擎来说过于敏感，还有一个思路就是编写一段引导程序，这段引导程序用来模拟 Windows 映像加载程序的功能加载所需 DLL 模块，这就是本文所描述的技术，反射 DLL 注入。

对于 Windows 操作系统，操作系统的大部分功能都是由 DLL 提供的。此外，当您在这些 Windows 操作系统上运行程序时，该程序的大部分功能可能由 DLL 提供。例如，一些程序可能包含许多不同的模块，程序的每个模块都包含在DLL中并分布在DLL中。DLL 的使用有助于促进代码的模块化、代码重用、有效的内存使用和减少磁盘空间。因此，操作系统和程序加载速度更快，运行速度更快，并且在计算机上占用的磁盘空间更少。当程序使用 DLL 时，称为依赖性的问题可能会导致程序无法运行。

本篇文章涉及了几个重要的点，CreateProcessA ETW 父进程伪装。目前我们所做的免杀并非单个技术就可以完成的，我们要结合很多种免杀的手段或者动态改变的手段才能让自己的程序在对抗杀软的时候不落下风。蛇矛实验室成立于2020年，致力于安全研究、攻防解决方案、靶场对标场景仿真复现及技战法设计与输出等相关方向。团队核心成员均由从事安全行业10余年经验的安全专家组成，团队目前成员涉及红蓝对抗、渗透测试、逆向破解、病毒分析、工控安全以及免杀等相关领域。

IAT（import address table，导入地址表）是指PE文件格式中的一个表结构，说到IAT就离不开导入表，在实际的开发过程中，难免会使用到Windows API，这些API的代码保存在Windows提供的不同的DLL（动态链接库）文件中，DLL将这些API导出，在可执行程序中使用到其他DLL的代码或数据时，编译器会将这些导入的信息填充到可执行程序的导入表中。由于VEH的异常处理发生在之前，所以通过`主动抛出异常，使程序触发异常，进而使控制权交给异常处理例程的这一系列操作来实现Hook。

隐藏的时候需要提前找到一个载体。我们目前通过的是读取文件获取我们demo的exe，可以提前获取好，放到我们的内存中，这样更隐蔽。需要注意main函数和winmain，main函数会报错蛇矛实验室成立于2020年，致力于安全研究、攻防解决方案、靶场对标场景仿真复现及技战法设计与输出等相关方向。团队核心成员均由从事安全行业10余年经验的安全专家组成，团队目前成员涉及红蓝对抗、渗透测试、逆向破解、病毒分析、工控安全以及免杀等相关领域。

当服务器可以将图像文件解释为PHP时，例如弱扩展检查、解析漏洞、本地文件包含漏洞、错误配置PHP解析扩展等方式，可以使用这些技术来造成代码执行。蛇矛实验室成立于2020年，致力于安全研究、攻防解决方案、靶场对标场景仿真复现及技战法设计与输出等相关方向。团队核心成员均由从事安全行业10余年经验的安全专家组成，团队目前成员涉及红蓝对抗、渗透测试、逆向破解、病毒分析、工控安全以及免杀等相关领域。

熟悉 Windows 编程的人应该知道，Native API 一般是不直接对外公开的，它通常作为操作系统内部的一个组件，并且只能由操作系统内部的组件或应用程序调用，所以在使用一些未文档的化的 Native API 时，需要通过网上公开的资料或者通过逆向取获取其函数原型和相关参数。在安全研发的过程中，难免会遇到在用户模式对抗 AV/EDR 的挂钩，应对的方法有很多，比如可以使用直接系统调用，还可以将杀软的所挂的钩子解除，还有一种就是寻找具有相同功能未被挂钩的 API。

对抗反虚拟机技术也是多种多样比如修改Vmware的.vmx文件就可以减轻虚拟机被检测的可能；修改跳转指令等等。在文章的最后最后介绍一种对抗反虚拟机技术，方法很多，仅给各位提供一个参考。在虚拟机文件中找到下图的文件，之后用记事本打开，输入以下代码即可缓解反虚拟机效果。

通过外网web服务器跳板机，获取内网主机权限，进而远程登录运维机，获得操作员站和工程师站的用户名信息，通过前期获得的信息撞库，可以以普通用户权限登录，登录后提权将普通用户权限提升至系统权限，运行工控软件。在win7-work上进行信息收集，发现浏览器书签中存在OA地址及用户名密码，进入OA系统，在邮件中发现OP的登录用户名和密码。尝试使用OP与win7-work密码进行撞库，成功使用win7-work密码登录，operator账户只有普通用户权限。对工程师站进行提权，上传提权软件，获取系统权限。

本场景基于某业务架构进行搭建，场景内包含了100余台主机以及20余子网，内置相关应用，包括Web服务、邮件服务、文件服务、OA服务等，但本场景多通过水坑攻击、钓鱼攻击、服务爆破等相关技术，其中包含了Chrome漏洞利用、Office漏洞利用等。通过本场景可以进行相关攻防技术训练。

本场景基于某业务架构进行搭建，场景内包含了100余台主机以及20余子网，内置相关应用，包括Web服务、邮件服务、文件服务、OA服务等，本场景多通过水坑攻击、钓鱼攻击、服务爆破等相关技术，其中包含了Chrome漏洞利用、Office漏洞利用等。通过本场景可以进行相关攻防技术训练。