伪装todesk安装程序病毒分析
2025-02-06 390 字 1 分钟

伪装todesk安装程序病毒分析

该病毒为本地指令远控类病毒,主要用于盗窃WEB3加密货币 ​​ setup factory打包工具 ​​ 尝试安装到目录 ​​ 定位安装目录 ​​ 但是实际上执行的是安装目录下dev目录下的软件 ​​ 恶意逻辑位于crt.dll,根据以往经验可知其中一个文件会是加密的PE文件,推测是Prokectiodn.u6mg,下createfile断点调试,直接运行无效,想起之前快捷方式的目标中有输入参数g5hc的环节,推测需要参数g5hc,格式为空格加在后面 ​​ createfile无法断下,断下createfileW,显示 ​​ 并且是先加载Prgkectiodn.D6DD5,后加载Prgkec
Apache ActiveMQ RCE 漏洞(CVE-2023-46604)分析
2025-02-06 993 字 3 分钟

Apache ActiveMQ RCE 漏洞(CVE-2023-46604)分析

漏洞描述 ActiveMQ中对应消息的传递有着自己的序列化/反序列化逻辑,不过反序列化至对象的过程中不调用通用方法辅助(区别传统反序列化调用readobject) 并且该反序列化不是通用的(即每个类的反序列化过程都不一样) 漏洞点源于org.apache.activemq.openwire.v1.BaseDataStreamMarshaller#createThrowable方法存在可控的任意调用,而这个可控的任意调用可以由ExceptionResponse这个类的序列化操作器ExceptionResponseMarshaller触发,所以只需要传递ExceptionResponse
伪装工业防火墙软件的病毒样本分析
2025-02-06 421 字 1 分钟

伪装工业防火墙软件的病毒样本分析

初始样本伪装成防火墙安装程序,使用的NSIS打包程序,NSIS是一个开源的打包安装项目,该样本对其源码进行了修改,常规的NSIS提取脚本无法提取NSIS安装设置脚本​动态创建一系列文件​​​​​​​​​​​​​​​通过动态函数调用注入代码到windows.storage.dll里创建cmd.exe进程,传入参数为”\“C:\\Windows\\System32\\cmd.exe\“ /c copy Kilometers Kilometers.cmd && Kilometers.cmd”,这里创建进程通过dwCreationFlags 中传入 CREATE_SUSPEN
伪装word文档病毒分析
2025-02-06 1.1k 字 4 分钟

伪装word文档病毒分析

样本伪装部分 初始样本伪装成word文档,但实际上是一个快捷方式 ​​ 有五个文件,但是只显示一个,其他被隐藏了 ​​ 可以在powershell中强制查看文件Get-ChildItem -Force ​​ 要让其显示需要使用Windows + R快捷键打开「运行」对话框,执行control folders命令打开「文件夹选项」取消勾选隐藏受保护的操作系统文件 ​​ 隐藏的文件内容如下 ​​ ink文件分析,这里是command line形式,通过explorer传递参数启动这个程序__MACOS\wps.com ​​ ​​ wps.com分析 实际上正常软件.exe改为.com也能运行,跟e
windows输入事件层次
2025-02-06 765 字 2 分钟

windows输入事件层次

1234567891011[硬件层] ↓[HAL - 硬件中断处理] ↓[HID层: HID Miniport Driver → HID Class Driver] ↓[输入堆栈: Device Driver → Filter Driver → Class Driver] ↓[Windows输入子系统: 内核模式输入管理器 → 用户模式输入管理器] ↓[用户模式: Raw Input / 窗口消息 / DirectInput] 硬件层 (Hardware Layer) 实际的物理设备(如鼠标、键盘)通过S/2、USB 或其他标准协议通过输入信号触发硬件
Apache Struts(CVE-2023-50164)文件上传漏洞分析
2025-02-06 1.7k 字 8 分钟

Apache Struts(CVE-2023-50164)文件上传漏洞分析

描述在struts2处理文件上传时,通过ParametersInterceptor#setParameters将解析的http关于文件上传的参数(文件名,文件类型(content-type),文件操作(upload))绑定到ACTION类中,但是存储参数的中间类map的存放顺序受大小写的影响,set方法设置数据时又不区分大小写,攻击者可以添加额外的变量uploadfilename覆盖原本的绑定文件名的变量UploadFileName(包含大写字母)来绕过目录穿越的检查,进而实现目录穿越,上传文件至任意地址 基本开发使用demo学习创建一个javaEE的web项目,导入strust2依赖 123
24年11月学习历程总结
2025-02-06 662 字 2 分钟

24年11月学习历程总结

11.1SpringCloudGateway分析和复现(CVE-2022-22947) 11.2简单看了下强网,web1和misc1,然后学点内网powershell 11.3主要在休息,简答学习了一下域渗透视频绕过AMSI以及活动目录枚举工具的使用 11.4处理琐事 11.5纯在休息 11.6下午学习内网代理扫描 11.7=横向移动理论部分,IPC协议进行横向移动,PsExec工具进行横向移动,利用WMI进行横向移动,利用哈希传递攻击进行横向移动,利用票据传递攻击进行横向移动 11.8纯在休息,简单看了一下Jackrabbit 的漏洞CVE-2023-37895 11.9简单看了看
24年10月学习历程总结
2025-02-06 496 字 1 分钟

24年10月学习历程总结

PS:从今年的10月的20号开始记录自己每天都学了什么 10.20今天系统性的学习了一下免杀,首先使用MSF生成后门shellcode,MSF的使用和shellcode加载的相关知识,以及复健花指令,雷池waf的部署,nginx基础部署 10.21前面的雷池waf部署完善,nginx配置完善,XSSlabs打雷池waf,SSL证书配置,jackson1链测试,FastJson TemplatesImpl利用链,fastjson原生反序列化,writeReplace() 方法原理 10.22完善前面的fastjson原生反序列化和templatesImpl调用链,以及CC链各自的总结描述,自己动
backtop