本文总结几个Windows 本地特权提升技巧

RedTeam

Windows 本地特权提升技巧

在内部分享的《彻底理解Windows认证》议题解读，本次议题围绕着Windows认证分别讲解了：Pass The Hash、Silver Tickets、Golden Tickets、Impersonation Token，这些技术分别能够满足我们在渗透中持续的维持权限、提权。

彻底理解Windows认证 - 议题解读

将之前都学习到的知识进行汇总，顺便把分享转化成文章

DLL Hijacking & COM Hijacking ByPass UAC - 议题解读

快过年了，最近学不进去东西，总结一下之前的基础知识，顺便结合起来。

开发

BMP位图隐写

360安全大脑监测到通过”驱动人生”供应链攻击传播的挖矿木马在1月30日下午4时左右再次更新……

恶意软件分析

Powershell

驱动人生供应链木马攻击2019.1.30变种木马分析

写一篇我在OWASP吉林沙龙分享的 后渗透与邮件安全 议题解读

安全沙龙

OWASP - 吉林沙龙《后渗透与邮件安全》 议题解读

OWASP - 吉林沙龙

本来是想写成一本书的，但是可能断断续续没有很好的产出，我只能以文章的形式分享出来了，希望我的研究成果能够给大家带来便利。

工具

Nmap扩展开发（四）

Nmap扩展开发（三）

Nmap扩展开发（二）

Nmap扩展开发（一）

网上的文章都太复杂了，我就写一个简单、详细的，刚好虚拟机都删了。

最快的方式搭建域环境

思考

又见四月

项目中准备开展内网渗透的时候，信息搜集给我带来的收获……

阿里云Access Token问题 - 项目收获记录

解决一个Python socketserver BaseRequestHandler传参问题

BaseRequestHandler 传参问题

本文介绍Swaks伪造邮件的技巧。

Swaks伪造邮件

深入了解一下DllMain与rundll32的用法

DllMain与rundll32详解

来来回回就会这么一点东西，不想一直停留在一个点上了，准备总结一下，往深的走。

静态恶意代码逃逸（第五课）

静态恶意代码逃逸（第四课）

静态恶意代码逃逸（第三课） 

静态恶意代码逃逸（第二课）

静态恶意代码逃逸（第一课）

本节课，我们来代入一个新的技术，这个技术与Windows PE格式的基础知识关联性较强，目的是实现全球AV查杀0报警的效果。

静态恶意代码逃逸（第六课）

通常情况下，遇到SQL Server注入点，我会比较关注是否是DBA权限，如果是，那么就可能拿到执行命令的权限，进而反弹到Ｃ2上，方便后续的后渗透工作。

SQL Server DBA WriteFile

通过进程注入技术，能够使得动态链接库被加载到一个正在运行的进程，因此较为隐蔽。

Linux权限维持之进程注入

通过LD_PRELOAD环境变量，能够轻易的加载一个动态链接库。通过这个动态库劫持系统API函数，每次调用都会执行植入的代码。

Linux权限维持之LD_PRELOAD

这个议题是我在公司年会上分享的，但正逢招人浪潮袭来，抱着和大家交流技术的想法的同时，想寻觅几个志同道合的同学来一起做研究！议题我将会总结成文字，为大家分享我的学习成果。

红队行动之鱼叉攻击-研究分享

Windows 特权提升相信大家已经不陌生了，常见的场景如：NETWORK SERVICE → SYSTEM，但从漏洞原理去了解，会发现利用漏洞利用本就是一个“使程序逻辑不按照正常方向运转”的过程。

Windows特权提升漏洞-符号

SSRF(Server-side Request Forge, 服务端请求伪造)。由攻击者构造的攻击链接传给服务端执行造成的漏洞，一般用来在外网探测或攻击内网服务...

SSRF漏洞配合Flask的巧妙利用 - 内网漫游

在后渗透阶段，目前较为流行的C2平台就属Cobalt Strike做的比较优秀了；目前国内的论坛、网站上已经放出很多版本，最新的为Cobalt Strike 3.14，目前最新版本4.0已不再有试用版。

Cobalt Strike Aggressor Script （第一课）

本文分享一下红队如何挖掘Bypass UAC的方法

红队分享-如何挖掘Windows Bypass UAC（第一课）

某次**，发现一处SQL Server注入点，记录一下解决问题过程

SQL Server注入 - STUFF与XML Path

本节课带大家做一个Say-Hello的脚本来熟悉菜单的构建以及对话框的使用

Cobalt Strike Aggressor Script （第二课）

本文不涉及Pass The Hash的攻击手段，因为使用C/C++实现起来很麻烦，因此本文只围绕Psexec这款工具的实现原理、防御、其他思路展开...

如何实现一个Psexec

本文主要从程序编写的角度实现atexec…

如何实现一个Atexec

本文主要参考通过OXID解析器获取Windows远程主机上网卡地址的拓展...

通过OXID解析器获取Windows远程主机上网卡地址

本节课，我们需要引入导入表的概念，并且通过代码的小技巧来隐藏导入表，减少文件特征

静态恶意代码逃逸（第七课）

本节课，使用HeapCreate API来关闭DEP保护，获取在堆上的代码执行权限，从而绕过对VirtualAlloc的检测。

静态恶意代码逃逸（第九课）

本节课，需要使用C++的特性来解决特殊字符串被标记的情况。

静态恶意代码逃逸（第八课）

本篇文章，主要是记录工作中想让外网打点和内网渗透的场景进行透明代理的体验。

Linux透明代理在红队渗透中的应用

本篇文章，主要是记录工作中遇到一个在不出网的机器上，构建正向代理尝试出的一个其他办法。

Web正向代理的思考

在红队行动中，一般使用邮件钓鱼会携带诱饵附件，但常被邮件网关拦截，如果想要去收集更多的有效信息，可以在邮件中埋入水坑链接。而埋入的水坑的制作，对于红队来说又有些繁琐，因此本文记录一下我实现自动化三种解决方案。

红队技巧：基于反向代理的水坑攻击

Qualys研究团队在sudo中发现了一个堆溢出漏洞，该漏洞在类似Unix的主要操作系统上都可以使用。通过利用此漏洞，任何没有特权的用户都可以使用默认的sudo配置在易受攻击的主机上获得root特权。

CVE-2021-3156 - Exploit修改

本节课，使用UUID的方式存储Shellcode，再介绍一些CALL BACK函数的特性来加载Shellcode。

静态恶意代码逃逸（第十课）

近年来终端安全检测与响应的产品发展迅速，我们不得不意识到，安全是在一个循环中发展的，从人们意识到安全开始，大部分了解到层面都是病毒、木马，然后接着是浏览器相关的Web安全领域，最后又开始回到终端。这个议题我们通过了解Windows操作系统下的访问控制技术，站在攻防的不同角度去进行对抗，提升自身的知识储备，个人觉得这些知识适用于许多使用Windows操作系统的用户。

Windows权限控制相关的防御与攻击技术

如今互联网上关于LDAP介绍的文章已经很多了，并且LDAP的发展历史相对来说也是较长的，它被应用于Windows的活动目录中，这让我们不得不去学习LDAP的一些基本概念。本文不是一个科普文章，主旨在于从渗透测试的角度出发，看看从LDAP中能收集哪些信息。

Windows活动目录中的LDAP

NPM是随同NodeJS一起安装的包管理工具，NPM可以通过NPM的源下载安装源上发布的JS代码，本文将使用NPM进行托管文件到NPM源，方便文件进行传输、下载。

文字

利用NPM仓库充当文件托管服务

最近在巩固汇编知识，写汇编的过程中遇到一个比较奇怪的点，然后开始了一段分析...

MASM中VirtualProtect函数的分析

在代码审计的过程中，梳理了一个某系统的漏洞，自己实现了一个大致的漏洞环境，记录一下过程。

某系统 - Java Filter内部反射功能完成远程代码执行

本节课详细的介绍Shellcode编写的原理、过程，以及使用NASM完成Shellcode加载器的编写，中间穿插了Windows PEB相关的基础知识。

静态恶意代码逃逸（第十一课）- 汇编语言编写Shellcode加载器

在获取内网通用口令的情景下，如何从大量的主机中寻找可以访问互联网的据点作为守控的高地？

通过Windows RPC批量寻找“出网”机器

在木马样本与杀毒软件的对抗中，再隐蔽的木马在被发现的那一刻，它的这一生就结束了。杀毒软件厂商通过SHA1/2、MD5等算法取得样本的唯一值来构建云端的特征库，当下一次攻击发生时，将会通过特征库进行比对，因此成本对抗不言而喻，红队的木马需要重新修改、编译，大大增加了对抗的时间、精力，这就是威胁情报的一种价值。反观有些软件确实会需要开发一些敏感行为的功能，如修改注册表、屏幕录像截图但这些是用户知情且授权的行为，这时杀毒软件再进行拦截的话，将大大降低软件使用的体验，所以出现了软件签名技术可以解决这类问题，当然软件签名技术不仅仅是为了只解决这一个问题而出现的....

x64dbg中的白加黑利用

通常情况下获得Java Webshell碰到数字杀毒的场景居多，在这个环境中经常会遇到无法执行命令或命令被拦截的情况，很多小伙伴遇到这个问题就劝退了，我猜测是有一套进程链的检测方式导致了命令无法执行，于是去查看Java的文档，查阅到Java能够加载动态链接库且能够执行动态链接库中的代码，本文演示如何利用Java加载动态链接库的方式实现绕过了数字杀毒的拦截，但在演示之前，需要铺垫一些基础知识，如：猜想的进程链、Windows错误代码、Java加载动态链接库常见的三种办法、Windows动态链接库、土豆提权原理、命名管道技术等。

通过动态链接库绕过反病毒软件Hook - Break JVM

很久没有写一些关于工作的感悟了，近期想通了一些事情，以此写一篇关于我三年的红队生涯总结。

我的三年红队生涯总结

Arch Linux是一款基于x86-64架构的Linux发行版。系统主要由自由和开源软件组成，支持社区参与。系统设计以KISS原则（保持简单和愚蠢）为总体指导原则，注重代码正确、优雅和极简主义，期待用户能够愿意去理解系统的操作。Arch Linux系统安装、删除和更新软件的软件包管理器叫做pacman....

分享一下最近使用Arch Linux的感受

Impacket工具包中所包含的内网横向技术大多都是依赖于RPC协议的，但对于RPC协议的攻击防御除了网络流量侧的检测识别以外，还可以通过Windows 内置的WFP(Windows Filtering Platform)技术。

使用RPC Filter技术防御内网RPC横向攻击

在工作中经常会看到一些做的比较好的C++开源项目，但是作者没有编写CI/CD去构建项目，发布Release版本的二进制文件，因此需要自己手动编译，但有时候又是临时的环境，还需要安装Visual Studio之类的IDE来构建，比较麻烦，因此appveyor可以支持各类语言的构建环境，只需要在网页上就可以发布二进制程序，解决了本地安装开发环境的痛点。

使用Appveyor构建VS项目-快速编译

本文记录一下常用的软件以及下载地址

常用软件记录

这篇文章是收集了多数红队在进行红队行动的经验之谈，由于工作发展原因，不再继续红队相关的工作，因此决定分享出来。

红队行动守则

日常办公和上网需要挂不同的代理，切换起来有点麻烦，所以记录一下配置Clash透明代理的流水账

记录一下配置Clash透明代理

今天中午看到一份关于Bitter组织针对亚太地区能源部门发起钓鱼活动分析报告，其中@Ryan Robinson 2023年3月24日对该组织使用的CHM样本进行了分析。于是开始详细了解为什么CHM格式在钓鱼中可以发挥如此大的价值。

邮件钓鱼与T1218.001

本文写于2022年，分享一下挖掘某安全数据交换系统漏洞的过程。

某安全数据交换系统的漏洞挖掘

早上 @Akkuman 说看到Vsocde中的扩展目录中有疑似签名过的DLL注入器，遂记录一下。

VsCode扩展中的DLL注入器

工具分享

心情随笔

技术分享

首页

搜索

留言

更多帮助请访问手册 → https://tangly1024.com/article/notion-next-secondary-menu

归档

赞助

链接

关于我

其他

旧博客

password

icon

date

type

slug

status

title

summary

表格

Notice

现阶段在进行有效性验证/攻击模拟相关的安全研究工作，我的博客会记录一些我的学习过程和部分安全技术研究成果。