红队工具的投毒相关 某大型活动还有一段时间,但是总会有很多新工具出现,想用但不敢用该怎么办,还是需要先了解下常见的源码投毒方式吧 方法1.代码带毒直接在代码中实现一个后门,常见的操作包括但不限于在程序启动时,按钮点击时,程序结束时等位置添加恶意代码。常见恶意代码为反向shell或各式各样的shellcode加载器 对于visual studio等编译器,不会在项目中显示未包含文件的代码,但是如果引用到了,依然会编译进 2023-05-09 Backdoor #Backdoor #BlueTeam
Pillager-一个浏览器信息提取工具 Pillager 介绍这是一个浏览器信息提取工具,将会长期维护,如果有任何问题或建议,欢迎发issues 在整理工具的过程中,发现目前的浏览器信息提取工具,普遍存在各种问题,最常见的如体积过大,缺少维护,Chrome提取都有可能存在问题,于是自己在现有工具的基础上进行整理,得到了这款工具 目前支持: IE/旧版Edge的密码,书签,历史记录提取 Chromium系浏览器的密码,书签,历 2023-04-25 Tools #Tools
Telegram取证相关的记录 因为各种原因,接触了一些场景要对Telegram进行信息收集,这里就记录下基本思路,只涉及Windows的官方客户端 1.关于tdata正常安装的Telegram会安装至 %appdata%\Telegram Desktop,在这个目录中 modules文件夹存放了一个D3D的dll,tdata文件夹存放所有数据,unins000.exe/unins000.dat文件是卸载相关,Updater.e 2023-04-15 Forensics #Forensics #Telegram
记录绕过某考试软件的安全防护 早在疫情期间就经历了好久的线上考试,最近又遇到了类似的需求,正好就写写相关的东西吧。为了防止暴露是哪几款软件,文中就不放图了,只是说说方法。 逆向相关目前遇到过的主流是C#/Electron的程序,也有部分C++的程序。 C#的可以直接用DnSpy查看代码并修改 Electron的可以解包asar查看代码,修改后也可以打包替换回去 C++的一般IDA辅助分析后,可以手动跳过部分函数或判断 2023-03-16 Crack #.Net #Crack #Electron
一个不太好用的过360启动方案 突发奇想的一个思路,不太好用就发出来玩玩吧 背景知识目录挂载subst是Windows自带的一个工具,可以将文件目录挂载为磁盘,但是重启后不会继续挂载了。 如果想长期挂载,需要修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\DOS Devices。 https://learn.microsoft.com/en-us/windo 2023-02-27 Persistence #Bypass #360 #Persistence
一种利用Appdomain特性实现隐蔽的反沙箱分析 这次是标题党了,主要还是记录一下自己在使用Appdomain中遇到的一点小坑 前情提要我一直很喜欢使用C#制作一些工具,或者制作一些技术的poc,在测试杀软对行为的拦截时为了避免频繁文件落地,都是使用对一个C#远控添加插件的方式测试的。 最常用的插件加载方式就是Assembly.Load了,使用过的都会发现这种方式可以加载不能卸载,用Procexp之类的软件可以很方便的查看进程内的Assembly 2023-02-17 Develop #.Net #Appdomain #Anti-VM
CobaltStrike二次开发 2022年过的真的很快啊,一转眼就2023了,本来想着元旦的时候,搞一点东西分享出来,但是因为太忙没有腾出时间,那就只好赶着春节前夕,水一点文章了。 CobaltStrike简介CobaltStrike是一套商业化的C2框架,提供了较好的兼容性和可扩展性,也因此成为了目前红队中最为广泛使用的C2。但是因为使用广泛,其特征也被大量采集,并用于识别beacon及TeamServer,这里我就简单的把自 2023-01-21 Develop #CobaltStrike #Modify
Code Page注入方法的武器化 起源一年多以前,Jonas L在推特首次提出了这个注入方法,并在评论区提出了一些可能的利用方法。半年前,有人在GitHub发布了一份Poc,某种程度上进行了对注入方案的验证。 原理控制台程序,会有一个对应的Code Page,也就是代码页,这个东西是字符代码的一个映射,每个控制台对应两个代码页,一个输入一个输出。 大部分Code Page都是nls文件,但是看到有一部分是dll文件,确切地说是5开 2022-11-25 Injection #Injection #CodePage #NLS
PrintNightmare 实战利用Tips 概述CVE-2021-1675 / CVE-2021-34527 这两个洞本质上就是一个洞,只是因为修复的问题分配了两个编号。具体的漏洞分析就不赘述了,很早就有人发过,没必要炒冷饭,这里只总结下实际使用时可能出现的问题,以及很多poc中不会提到的细节 复现攻击环境注意事项1.域相关目标机器为域内Windows Server机器时,攻击机必须为同一域内的机器;目标机器为非域环境Window 2022-11-13 Develop #0/N Day #PrintNightmare #CVE-2021-1675 #CVE-2021-34527
Hello World Again 历时半个多月,删站的我又决定把博客搭起来了,这次从用了五年的Wordpress换成了Hexo,自动部署的纯静态博客似乎也是不错的 不过之前的文章没有保存了,很多都是早年写的东西,现在看来已经没有意义了 后面会尽量恢复记笔记的习惯,也就顺手更一些文章吧,希望我的文章可以帮到你 2022-11-11 Life