- 博客(38)
- 收藏
- 关注
RSS订阅原创 MemoryEvasion
CobaltStrike自3.1.2就引入了SleepMask套件,SleepMask套件可以在http/https或dns Beacon进入sleep的时候混淆Beacon和堆。但是泄露的CS SleepMask已经被分析烂了,于是就自己写了个在睡眠状态混淆代码的Loader。
2022-10-27 21:42:09
1531
原创 一种应用更广泛的DLL侧载方法
可以看到堆栈的情况,并没有调用LoadLibrary函数的情况,该dll加载先于程序的入口点,原始程序加载完dll运行一段时间就会退出,因此可以在msvcp140.dll被加载后将程序入口点patch阻断原始程序的运行流程。使用SharpDllProxy将msvcp140.dll的导出函数导出到文件中,该工具会生成一个.c的文件和一个dll,这个dll就是原始的msvcp140.dll。将上面导出的函数替换到下面代码的位置,然后编译生成dll文件,将该dll文件重命名为msvcp140.dll。
2022-09-20 18:13:09
976
原创 灵感来自于x86matthew
灵感来自于https://www.x86matthew.com/view_post?id=read_write_proc_memory微步在线不行奇安信行#include <Windows.h>#include <iostream>#include <compressapi.h>#pragma comment(lib,"Cabinet.lib")#pragma comment(linker,"/subsystem:\"windows\" /entry:
2022-06-27 23:37:35
249
原创 对卡巴斯基发现的一个将shellcode写入evenlog的植入物的复现
原文章:https://securelist.com/a-new-secret-stash-for-fileless-malware/106393/EventShellcodeDropper核心功能:下载shellcode和wer.dll,并将shellcode写入eventlogWer.dll核心功能:patch loader的入口点,从eventlog读取并执行shellcode,与原版的hook方式不同,原版使用了BlackBone中的inlineHook,不知道为啥我复现不成功,于是使用了V
2022-06-24 23:04:35
560
原创 从m0yv学到了一个新的api——RtlDecompressBuffer
#include <stdio.h>#include <vector>#include <windows.h>#include <psapi.h>#pragma comment(lib,"bcrypt.lib")#pragma warning(disable:4996)#define NT_SUCCESS(Status) (((NTSTATUS)(Status)) >= 0)#define STATUS_SUCCE.
2022-03-07 12:14:26
460
1
原创 Wowinjector-偷的
#include <stdio.h>#include <vector>#include <windows.h>#pragma warning(disable:4996)#pragma comment(lib,"bcrypt.lib")#define NT_SUCCESS(Status) (((NTSTATUS)(Status)) >= 0)unsigned char shellcode[] = {};BOOL aes_decr
2022-02-19 22:13:44
453
原创 Evasion Techniques and Breaching Defenses by Offensive Security学习笔记
1.msf和cobalt strike都可以生成stageless或者stage的payload,在原则上来说使用stage的payload的被检测的可能性更小,但是由于各大杀软将stage的特征做的太死,所以目前来说不管是stage还是stageless的payload都是很容易直接被检测到的。stage的payload还有一个问题,就是其后续的stager下载也是一个特征,因此在我看来stage的payload会更加容易被检测到。由于cobalt strike的扩展性,可以通过用户自定义的插件来hook
2022-02-19 21:56:29
2809
原创 记录一下VEH学习
#include <windows.h>DWORD test = NULL;DWORD oldflag = NULL;LPVOID ShellAddr = NULL;DWORD Protect = 0x01;LOGFONTA lf;HDC dc;typedef PVOID(NTAPI* FnAddVectoredExceptionHandler)(ULONG, _EXCEPTION_POINTERS*);FnAddVectoredExceptionHandler MyAdd
2022-01-23 22:24:23
485
原创 Process_hollowing_x64
#define _CRT_SECURE_NO_WARNINGS#include <windows.h>#pragma comment(lib,"ntdll.lib")EXTERN_C NTSTATUS NTAPI NtUnmapViewOfSection(HANDLE, PVOID);char* decrypt(const char* string, short shift) { size_t len = strlen(string); unsigned short
2021-12-19 22:41:55
255
原创 水一篇-netuseradd
虽然360对使用netuseradd 的api进行了一定的防护,但是做一下修改还是可以过的,甚至于我们可以尝试调用更加底层的api。mimikaz是真的强,还是还看源码才行。。。使用这个大哥写的工具测试的:添加链接描述Netuseradd稍稍修改一下:#define _CRT_SECURE_NO_WARNINGS#include <stdio.h>#include <Windows.h>#include <LM.h>#include <iostr
2021-10-02 16:26:34
668
2
原创 ATT&CK-Execution
文章目录Command and Scripting InterpreterT1059.001 PowerShell基础命令PowerSploitnon-powershellPowerLinePowerShdllNopowershellSyncAppvPublishingServer调用MSBuild.exe调用cscriptT1059.003 Windows Command Shellcmd /cT1059.005 Visual BasicT1059.006 PythonT1059.007 JavaScri
2021-09-18 09:15:59
530
1
原创 shellcode加载器--从入门到放弃
testhttps://www.freebuf.com/articles/system/133990.htmlhttps://www.freebuf.com/sectool/254891.htmlhttps://www.freebuf.com/articles/network/249014.htmlhttps://www.cnblogs.com/-qing-/p/12234148.html#_lab2_1_1https://www.freebuf.com/articles/system/22823
2021-03-12 16:30:31
4038
3
原创 改特征,我也会
#include <stdio.h>#include <Windows.h>#include <WinInet.h>#include <iostream>#include <string>#pragma comment(lib, "WinInet.lib")#pragma comment(linker,"/subsystem:\"windows\" /entry:\"mainCRTStartup\"")#pragma comme...
2021-01-23 20:33:49
202
1
原创 att&ck-Execution
文章目录regsvr321.远程加载sct文件执行命令regsvr321.远程加载sct文件执行命令该手段的作用在于AWL(APPLICATION WHITELISTING,微软应用白名单策略:https://www.4hou.com/posts/4960)绕过,在windows10上绕过applocker这个东西不起作用了。。。。。1)sct文件的内容应该是类似于下面这种,文件后缀不一定是sct,但是文件的内容要是xml的格式.<?XML version="1.0"?><sc
2021-01-17 23:34:12
1253
原创 工作组下的横向移动-完全初学者指南
文章目录一.测试环境二.横向手法1.系统漏洞类(1).ms17-0102.凭据类(1).使用IPC$进行横向移动1)前提条件:2)攻击手法:一.测试环境win7(192.168.100.132)->winserver2016(192.168.100.136)注意:所有的手法均在没有开启任何防护软件的情况下进行的!二.横向手法1.系统漏洞类(1).ms17-0102.凭据类(1).使用IPC$进行横向移动1)前提条件:1.对方主机开启admin$和c$等默认共享,通过ipc$连接可以
2020-11-14 20:55:48
1880
1
原创 Vulhub-thinkphp
文章目录ThinkPHP 2.x 任意代码执行漏洞漏洞原理ThinkPHP 2.x 任意代码执行漏洞漏洞原理ThinkPHP 2.x版本中,使用preg_replace的/e模式匹配路由:$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。ThinkPHP 3.0版本因为Lite
2020-08-09 21:47:11
615
原创 Vulhub-httpd
文章目录Apache HTTPD 多后缀解析漏洞Apache HTTPD 换行解析漏洞Apache HTTPD 多后缀解析漏洞由于管理员启用了错误的配置文件导致文件被解析。以下配置会导致文件后缀中有.php的就会被当作拍黄片文件来解析测试:上传一个jpg格式的文件访问看看:发现php代码被解析Apache HTTPD 换行解析漏洞...
2020-08-09 21:46:48
286
原创 leetcode-C++
文章目录single-numbermaximum-depth-of-binary-treesingle-number题目描述现在有一个整数类型的数组,数组中素只有一个元素只出现一次,其余的元素都出现两次。分析:题目说了除了一个数字外,其他的都会出现两次,因此我们可以使用异或的方法来找出那个数。因为a xor a xor b = b。因此我们只要让数组中的每一个数字异或一下就能够得出结果了。开始有点疑惑为什么-1^3=-4,后面想了一下是对每个数的二进制进行逐位异或的。class Solut
2020-08-09 21:38:07
174
原创 vulhub-Solr
文章目录Apache Solr 远程命令执行漏洞(CVE-2017-12629)使用postCommit测试使用newSearcher测试Apache solr XML 实体注入漏洞(CVE-2017-12629)Apache Solr 远程命令执行漏洞(CVE-2017-12629)使用postCommit测试1.第一次命令执行我们需要创建一个listenerGET /solr/demo/config HTTP/1.1Host: 192.168.100.129:8983User-Agent:
2020-08-09 20:35:56
329
原创 Sqlmap使用(sqli-lab)
1.get使用方法:1.查看是否有注入点:sqlmap -u 网址2.爆出数据库名:sqlmap -u 网址 --dbs5.爆出数据库的表名:sqlmap -u 网址 -D security --tables6.爆出数据库的列名:sqlmap -u 网址 -D security -T users --columns7.dump出数据:sqlmap -u -D security -...
2020-05-06 17:33:34
3775
1
原创 BUUCTF(web:1-50)
[HCTF 2018]WarmUp打开网页发现是一个滑稽,查看源代码:访问这个网页:分析代码:1.首先可以看到它定义了一个类,类里面有个checkFile函数2.然后有一个判断条件要求我们传入的file参数不为空,并且是字符串,然后可以通过checkFile的验证3.如果满足的话就包含我们传入的参数checkFile函数:首先设置了一个白名单数组:有两个元素source.ph...
2020-04-24 23:12:25
3284
原创 SSRF-lab
SSRF(服务端请求伪造)原理:很多web应用都提供了从其他的服务器上获取数据的功能。使用用户指定的URL,web应用可以获取图片,下载文件,读取文件内容等。这个功能如果被恶意使用,可以利用存在缺陷的web应用作为代理攻击远程和本地的服务器。如图:正常情况下,一个客户端发送指定的url给服务器去请求一个东西,当服务器收到这个请求后首先查看这个url是否合法,然后再去向内网资源去请求这个ur...
2020-04-24 20:10:54
1308
原创 Upload-Labs
1.level1可以看到,设置了白名单,要求我们上传图片类的文件:查看源代码发现是前端js脚本过滤的,因此我们可以抓包修改文件的后缀:如图:可以看到上传成功了,然后就可以使用菜刀连接了...
2020-04-19 22:43:27
597
原创 vulhub-php_cve-2019-11043
漏洞成因:如果服务器是nginx + php-fpm这种配置,并且有类似如下的配置(目前漏洞利用php的版本在7以上,而其以前的版本也有漏洞但没有利用):location ~ [^/]\.php(/|$) { #正则表达式,用于匹配uri ... fastcgi_split_path_info ^(.+?\.php)(/.*)$; #Nginx默认获取不到PATH_INFO的值,得通过fa...
2020-04-19 13:42:29
218
原创 vulhub-php_cve-2012-1823
PHP的几种运行模式:转载于这里CGI模式:CGI即通用网关接口(Common Gateway Interface),它是一段程序, 通俗的讲CGI就象是一座桥,把网页和WEB服务器中的执行程序连接起来,它把HTML接收的指令传递给服务器的执行程序,再把服务器执行程序的结果返还给HTML页。CGI 的跨平台性能极佳,几乎可以在任何操作系统上实现。 CGI已经是比较老的模式了,这几年都很少用了...
2020-04-18 22:06:26
377
1
原创 XSS-labs
大佬总结的xss的原理1.level1输入 < script>alert<\script>就通过了,这道题应该是反射型的xss,数据到了后端再回到浏览器为什么能够运行?GET输入了name的参数,然后 PHP 会读取该参数,如果不为空,则直接打印出来,这里不存在任何过滤。也就是说,如果参数中存在 HTML 结构性的内容,打印之后会直接解释为 HTML 元素。常见...
2020-04-09 21:59:45
1144
3
原创 Sqli-lab
1. lessless1输入 1 正常回显输入1’ 报错输入1’%23或者1’–+ 正常回显(可以判断出是字符型的)输入1’ and 1=1–+正常回显输入1’ and 1=2–+不回显(可以判断存在注入点)输入1’ order by 1/2/3/4 发现输入4的时候报错,字段为三输入-1’ union select 1,2,database(),看数据库名输入:-1' ...
2020-04-09 20:23:01
443
原创 CTFhub技能树web-RCE
1.命令注入打开源代码发现是一个ping命令然后我们ping环回地址发现其数据包长度为56,这应该是一台linux主机linux中命令的链接符号:1.每个命令之间用;隔开说明:各命令的执行给果,不会影响其它命令的执行。换句话说,各个命令都会执行,但不保证每个命令都执行成功。2.每个命令之间用&&隔开说明:若前面的命令执行成功,才会去执行后面的命令。这样可以保证所有...
2020-04-05 20:24:19
1333
2
原创 CTFhub技能树web-SQL注入
1.数字型1 and 1=1 正常输出1 and 1=2 不输出存在数字型注入,接下来猜字段1 order by 1,2输出正常1 order by 1,2,3不输出,所以有两个字段1 and 1=2 union select 1,database(),看数据库名字1,group_concat(table_name)from information_schema.table...
2020-04-05 14:35:11
1287
1
原创 CTFhub技能树web-Git泄露
1.log使用dirsearch扫描一下网站:在git/log中可以看到add flag版本用Githack下载项目再用git diff HEAD^查看flag
2020-04-04 14:10:54
1266
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人