分类:
技术分享
邮件钓鱼与T1218.001

今天中午看到一份关于Bitter组织针对亚太地区能源部门发起钓鱼活动分析报告,其中@Ryan Robinson 2023年3月24日对该组织使用的CHM样本进行了分析。于是开始详细了解为什么CHM格式在钓鱼中可以发挥如此大的价值。

某安全数据交换系统的漏洞挖掘

本文写于2022年,分享一下挖掘某安全数据交换系统漏洞的过程。

VsCode扩展中的DLL注入器

早上 @Akkuman 说看到Vsocde中的扩展目录中有疑似签名过的DLL注入器,遂记录一下。

记录一下配置Clash透明代理

日常办公和上网需要挂不同的代理,切换起来有点麻烦,所以记录一下配置Clash透明代理的流水账

使用Appveyor构建VS项目-快速编译

在工作中经常会看到一些做的比较好的C++开源项目,但是作者没有编写CI/CD去构建项目,发布Release版本的二进制文件,因此需要自己手动编译,但有时候又是临时的环境,还需要安装Visual Studio之类的IDE来构建,比较麻烦,因此appveyor可以支持各类语言的构建环境,只需要在网页上就可以发布二进制程序,解决了本地安装开发环境的痛点。

使用RPC Filter技术防御内网RPC横向攻击

Impacket工具包中所包含的内网横向技术大多都是依赖于RPC协议的,但对于RPC协议的攻击防御除了网络流量侧的检测识别以外,还可以通过Windows 内置的WFP(Windows Filtering Platform)技术。

x64dbg中的白加黑利用

在木马样本与杀毒软件的对抗中,再隐蔽的木马在被发现的那一刻,它的这一生就结束了。杀毒软件厂商通过SHA1/2、MD5等算法取得样本的唯一值来构建云端的特征库,当下一次攻击发生时,将会通过特征库进行比对,因此成本对抗不言而喻,红队的木马需要重新修改、编译,大大增加了对抗的时间、精力,这就是威胁情报的一种价值。反观有些软件确实会需要开发一些敏感行为的功能,如修改注册表、屏幕录像截图但这些是用户知情且授权的行为,这时杀毒软件再进行拦截的话,将大大降低软件使用的体验,所以出现了软件签名技术可以解决这类问题,当然软件签名技术不仅仅是为了只解决这一个问题而出现的....

通过动态链接库绕过反病毒软件Hook - Break JVM

通常情况下获得Java Webshell碰到数字杀毒的场景居多,在这个环境中经常会遇到无法执行命令或命令被拦截的情况,很多小伙伴遇到这个问题就劝退了,我猜测是有一套进程链的检测方式导致了命令无法执行,于是去查看Java的文档,查阅到Java能够加载动态链接库且能够执行动态链接库中的代码,本文演示如何利用Java加载动态链接库的方式实现绕过了数字杀毒的拦截,但在演示之前,需要铺垫一些基础知识,如:猜想的进程链、Windows错误代码、Java加载动态链接库常见的三种办法、Windows动态链接库、土豆提权原理、命名管道技术等。

通过Windows RPC批量寻找“出网”机器

在获取内网通用口令的情景下,如何从大量的主机中寻找可以访问互联网的据点作为守控的高地?

静态恶意代码逃逸(第十一课)- 汇编语言编写Shellcode加载器

本节课详细的介绍Shellcode编写的原理、过程,以及使用NASM完成Shellcode加载器的编写,中间穿插了Windows PEB相关的基础知识。

某系统 - Java Filter内部反射功能完成远程代码执行

在代码审计的过程中,梳理了一个某系统的漏洞,自己实现了一个大致的漏洞环境,记录一下过程。

MASM中VirtualProtect函数的分析

最近在巩固汇编知识,写汇编的过程中遇到一个比较奇怪的点,然后开始了一段分析...