自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(31)
  • 收藏
  • 关注

原创 2026第三届 “獬豸杯” 解题思路WP

本文摘要:文章详细记录了一起涉及安卓手机、计算机、服务器取证的网络安全调查过程。通过分析多个检材,包括手机序列号、已删除联系人、隐写工具、交易记录、数据库备份、内存镜像等,逐步揭示了嫌疑人使用加密通信、数据贩子交易、勒索病毒等手法进行非法活动的证据链。调查涉及技术包括SQLite数据库分析、隐写术、逆向工程、流量分析、内存取证等,最终成功解密关键文件并获取认证令牌。整个取证过程展示了从数据提取到关联分析的完整技术路径,为类似案件调查提供了参考范例。 (摘要共147字)

2026-06-14 13:54:43 1306

原创 Hermes 老在开发中打断你?问题可能不在权限,而在协作方式

很多重度用 Hermes 做开发的人都碰过这个问题:它不是不会做,而是太容易在过程中打断你。改一步来问一次,跑个命令来确认一次,遇到一点歧义就停下来等你拍板。事情还没推进多少,汇报已经来了两三轮。第一反应通常是:开--yolo不就好了?--yolo。

2026-04-24 14:22:22 833

原创 小众App取证难?截图传电脑太麻烦?别再手动一张张截图了,ChatExtractor 实现自动化采集!未来AI 联动 Hermes 实现内容重构

1.连接手机:开启 USB 调试。2.运行程序。3.自动化采集:目前初级版本需要手动先打开聊天页面,然后启动程序,脚本会自动识别聊天标题(如果未识别需要自行输入),你只需敲下回车,剩下交给时间。

2026-04-10 09:14:24 499

原创 被软件识破虚拟机?3行配置教你“伪装成真机”,VM虚拟机稳定绕过方案(不崩版)

本文所述技术仅用于合法授权的安全研究、教学演示及防御机制开发。作者及发布平台不承担因读者误用、滥用本内容所导致的任何法律责任。请严格遵守《中华人民共和国网络安全法》及相关法律法规。

2026-03-28 14:37:39 659

原创 OpenClawWeComzh 实战:安卓 APK 分析与手机取证全自动化基础玩法

在上一篇文章《OpenClaw 中文增强版 openclawWeComzh 发布:适配 Qwen/DeepSeek、多智能体并行、高危操作拦截》中,我们介绍了 OpenClawWeComzh 的基础功能和私有化部署优势。本篇文章将基于前文内容,展示如何在 Windows 渗透测试工具包环境中使用 OpenClawWeComzh,实现安卓电子取证与 APK 分析的全流程实战。OpenClawWeComzh 通过自动化指令,可以将整个安卓分析流程标准化、自动化,大幅提升效率。本文将从。

2026-03-15 17:06:31 531

原创 OpenClaw“小龙虾”爆火!这个项目让 12 个顶级 AI 全部变成“免费 API”|如何解决OpenClaw费Token的问题?

如果你最近在玩OpenClaw 小龙虾那openclaw-zero-token 基本是必装组件。AI API 成本12个平台28+模型统一API完全免费。

2026-03-11 23:34:25 1241 3

原创 Windows后门应急(二)--计划任务后门分析与处置|Windows取证分析

计划任务后门是 Windows 环境中极为常见的一种权限维持手段,其核心思想是:利用 Windows 任务计划程序(Task Scheduler),定时或触发执行恶意程序,实现持续控制。特点隐蔽性强(不依赖自启动项)稳定性高(系统原生机制)不易被一次性排查发现计划任务是Windows 后门中最常见的权限维持方式之一周期性网络行为任务计划程序TCPView + 任务计划程序 =高效发现组合看到“周期性联网的陌生进程”,第一反应就该去看计划任务。

2026-02-12 09:23:58 909 2

原创 Windows 后门应急响应 —— 隐藏账户后门分析与排查实战|Windows取证分析

摘要:本文介绍了Windows系统隐藏账户的创建、检测及应急处理方法。通过添加$符号创建隐藏账户(如0xSec$)并修改注册表可实现账户隐藏,但通过注册表比对和安全日志分析仍可发现异常。检测方法包括对比注册表与系统账户管理界面,以及分析安全日志中的账户操作事件(如4720创建账户)。发现隐藏账户后,可通过删除注册表对应项彻底清除。本文内容仅限合法安全研究,严禁非法使用。

2026-02-10 11:16:37 646

原创 Windows 安全日志全景解析:EVTX 文件结构、事件 ID 与取证实战|HW应急响应笔记

依赖的服务:EventLog服务EVTX 文件是 Windows Vista 及以上系统采用的事件日志存储格式,全称为 Event Log XML (Binary),以二进制 XML 方式高效保存系统、安全和应用程序的运行记录。文件通常位于 C:\Windows\System32\winevt\Logs\,常见类型包括 Security.evtx(登录审计、权限变更)、System.evtx(服务启停、系统重启)和 Application.evtx(程序崩溃)等。项目内容文件扩展名.evtx全称。

2026-02-06 08:53:03 1095

原创 APK,一次“重打包”,一次失控:APK 后门植入原理与防范实战

【摘要】本文通过技术实验演示了Android APK重打包与后门植入过程,使用Apktool反编译合法应用并注入Meterpreter后门代码。重点展示了反编译、代码注入、重打包签名等关键步骤,同时强调该技术仅限合法安全研究用途。文章揭示了此类攻击的危害性,包括远程控制、隐私窃取等风险,并提供了用户和开发者的防护建议,如仅从官方渠道下载应用、启用代码混淆等。最后重申网络安全责任,呼吁技术应用需符合法律规范。(149字)

2025-12-18 16:31:11 959

原创 电子取证之windows知识点:从 0 到 1 掌握 Windows 事件日志取证:以 玄机靶场-第五章 Windows 实战-evtx 文件分析

项目内容文件扩展名.evtx全称格式类型二进制 XML(非纯文本)所属系统Windows Vista 及以上(取代旧版.evt存储位置由题目可知,重点关注“应用程序.evtx”在2020:10:8 15:53:06shutdown mysql在2020:10:8 15:53:09 starting mysql→ 启动信息并且正常的 MySQL 实例名是mysqld,而不是以开头极可能是攻击者部署的一个伪装 MySQL 实例进程号是8820flag{8820}

2025-10-30 16:20:07 1339

原创 SRC通杀案例分享:一次有趣的尝试:从前端 JS 加密逻辑生成“字典”

前端加密逻辑并不是无法突破的“黑箱”。理解它的原理,用代码复现,再批量生成测试数据,就能在实际安全测试中发挥巨大作用。

2025-09-26 14:56:28 294

原创 实战漏洞挖掘:JS 逆向与前端加/解密 —— 拆解 encrypt-labs 靶场(js 无混淆)

但常见问题是:加密参数(Key、IV、签名接口)泄露或设计不当,反而给攻击者可利用的入口。本次我们以 encrypt-labs 为例,逐关拆解常见的几类问题,并给出检测与加固建议。🔐本文为靶场(encrypt-labs)实战记录与防御建议,侧重于“如何识别前端加密逻辑、如何复现验证、以及如何改进防护”。至于第二关,服务器获得key和iv其实也没啥难度,只是没直接写在前端罢了,抓个包的事情。可以看到,这种就是硬编码了,直接把 Key 和 iv 都写在前端了。通常,AES 带 iv 的,一般是 CBC 模式。

2025-09-23 10:34:26 1294

原创 工具分享篇:RSA Timestamp Payload Generator (UI)—Burp 插件实时生成动态 RSA 时间戳

实时生成有效时间戳自动 RSA 加密 & Base64 输出支持动态更新公钥,无需重启 Burp提升安全测试效率⚡提示:适合安全研究员、渗透测试工程师快速搞定动态签名接口测试问题。

2025-09-19 14:55:33 567

原创 App测试已安装证书仍无法抓包?教你简单判断 Android App 是单向 TLS 还是双向 mTLS?

当我们遇到 Android 渗透测试场景时,即便已经在设备中正确安装了 Burp/Fiddler 的 CA 根证书,依旧可能发现流量抓取失败。这种情况往往让人困惑:明明系统已经信任了代理证书,为什么应用层仍然报错?常见原因有两个:接下来,我们将通过实际测试思路,来快速判断目标 App 是采用了哪种机制。单向 TLS:客户端只验证服务器证书是否可信。若 App 内置了证书固定(Pinning),即便系统信任代理证书,也会拒绝连接。双向 mTLS:不仅客户端验证服务端证书,服务端也会强制要求客户端提供合法的证书

2025-09-18 09:07:42 308

原创 电子取证之云知识3:了解阿里云-云数据库 RDS

可以看到有“实例 ID/名称,运行状态,创建时间,实例类型,数据库类型,所有所在区,网络类型,付费类型,标签,操作等”功能。注意“实例 ID、数据库、付费类型、管理”等功能,查看数量和类型;注意保证服务器资源可用,防止服务器到期资源被删除释放等。产品->精选产品->云数据库 RDS->云数据库 RDS控制台->实例列表->登录数据库,直接登录->常用功能->数据库导出->筛选,提交申请。

2025-09-17 12:21:18 173

原创 电子取证之云知识2:为何阿里云OSS存储桶权限配置导致了云接管?

一旦开阻止公共访问,那么对外该存储桶的所有服务都不对外提供,坚不可摧。

2025-09-08 08:37:11 886

原创 电子取证之云知识1-深入了解云安全:从对象存储到临时授权

什么是云安全云安全指的是保护云计算环境中数据、应用程序和基础设施免受各种威胁和攻击的措施和技术。它涵盖数据加密、访问控制、身份验证、合规性、风险管理等方面,以确保云服务的安全性和可靠性。什么是对象存储服务对象存储服务是一种云存储解决方案,专门用于存储和管理海量的非结构化数(如文件、图片、视频等)。数据以对象的形式存储,每个对象由数据、元数据和唯一标识符组成,支持高扩展性和高可用性。什么是存储桶?存储桶是对象存储服务中的一种容器,用于存放和组织对象。

2025-09-05 09:14:12 759

原创 Edusrc某证书站案例分享:验证码复用与弱口令导致批量登录漏洞-已修复

同时,验证码机制存在可复用问题,使得攻击者能够在不受限制的情况下对账号密码进行暴力破解。在该系统中,教师账号密码直接采用工号作为初始凭证,这是导致批量用户可被登录的关键风险点之一。最终,这种缺陷可能导致攻击者批量登录系统,并获取大量学生的敏感信息。教师账号默认使用工号作为初始密码,弱口令问题严重。登录验证码未进行一次性校验,存在。

2025-09-02 12:16:07 431

原创 如何快速识别与取证常见在线客服系统(仅作技术分享)

本文所涉及的所有网站链接均为公开可访问的资源,仅用于技术分析和安全研究分享。请勿将本文内容用于任何违法或未经授权的操作。任何因违规使用造成的后果,作者概不负责。

2025-08-13 17:22:27 1533

原创 ADB和Frida安装与配置开启自己的安卓安全测试之路

众所周知,frida是一个轻量级的HOOK工具, 它都能在应用的运行过程中插入你的 JS/Python 代码,实时 Hook、调试和修改逻辑并支持多个平台使用,Android ,iOS , Windows 等。frida分为两部分,服务端运行在目标机上面,通过进程注入的方式来实现劫持应用函数,另一部运行在系统机器上。选择对应的frida-server(电脑端frida和手机端server端端Frida版本要一致)下载后使用 linux 解压,文件是xz格式,所以需要使用xz进行解压。

2025-08-12 09:59:01 776

原创 SRC测试案例|XSS-PDF攻击与制作实战模拟:从制作原理到靶场测试

XSS-PDF 是一种结合 PDF 文件格式与 JavaScript 注入的攻击方式,攻击者通过构造特定的 PDF 文件,在受害者打开文件时触发 JavaScript 代码,从而实现弹窗、信息窃取等效果。受害者使用支持嵌入JS执行的PDF阅读器(如Adobe Reader)XSS-PDF 是一种比较冷门但仍具危害的攻击方式,尤其在文件上传点众多的场景中更应引起重视。通过本文的两个制作方式+实际测试场景,希望能帮助你掌握这一技巧,并提醒开发者做好安全防护。

2025-08-06 09:39:41 575

原创 玄机靶场|SQL注入日志分析-Mssql日志分析WP|涉及Mssql数据库知识点讲解

模块核心知识日志分析IIS 日志路径、sqlmap特征识别配置取证web.config 数据库连接字符串提取异常登录SQL Server ERRORLOG 日志追踪攻击IP作业分析msdb.sysjobs、sysjobsteps 分析攻击逻辑存储过程master 库内查看攻击者创建过程恶意程序集sys.assemblies 与 sys.assembly_files 提取恶意DLL知攻善防~SQL Server 应急分析(上)知攻善防~SQL Server 应急分析(下)

2025-07-17 20:51:45 1502 4

原创 适合新手入门“老洞新挖” | EDUSRC小程序因 SessionKey 泄露可导致任意用户登录

随着数字政务与民生服务的推进,越来越多的幼儿园、中小学采用小程序形式进行报名、信息登记与通知管理,极大提升了家长使用便捷性。但与此同时,部分小程序安全意识薄弱,仍旧停留在“只要能用就行”的阶段。***报名小程序中存在 session_key 泄露漏洞,可能被黑产用于非法登录、信息窃取等行为,带来数据泄露风险。登录数据包必须满足三要素 sessionKey iv data出现才能出现漏洞通常只要解出了手机号,账号就能轻松拿下;

2025-06-29 10:59:36 929

原创 EDUSRC信息收集经验分享|新手挖洞如何通过端口信息扩大资产面(以某高校证书站为例)

🔐 安全提醒本文所有内容基于公开授权场景进行演示,。在 EDUSRC 渗透测试实践中,。很多测试者在公开资产上苦苦扫描,却忽略了通过一些“半公开+侧面信息”扩展资产视角的可能性。以某高校下属的证书申请子站点为例,我们展开一次完整的信息收集实操。

2025-06-28 14:17:39 708

原创 linux各个版本默认配置静态网络的文件路径,包含Centos\Ubuntu\RHEL

【代码】linux各个版本默认配置静态网络的文件路径,包含Centos\Ubuntu\RHEL。

2025-03-29 16:06:13 1492

原创 电子取证之服务器取证思路

服务器取证是一个技术性很强的领域,涉及到多个环节,包括网站重构、网站代码分析、容器分析等。数据库密码的获取通常通过查看配置文件、日志文件、备份等途径,同时可以通过一些绕过技术如禁用身份验证来获取权限。对于不同的数据库,需要根据其特性采取相应的应对方法和命令。

2025-01-09 19:57:05 2333

原创 第四章 windows实战-向日葵

结合上题得到的“DEC.pem”, 像是RSA解密。通过分析日志发现恶意软件在qq群中。windows命令md5加密。linux命令md5加密。

2025-01-09 12:45:45 558

原创 第六章 流量特征分析-蚁剑流量分析

前提-蚁剑的流量特征:1. 默认的USER-agent请求头 是 antsword xxx,可以通过修改:/modules/request.js 文件中 请求UA绕过2. 每个请求体都存在@ini_set(“display_errors”, “0”);@set_time_limit(0)开头。并且后面存在base64等字符3. 蚁剑混淆加密后还有一个比较明显的特征,即为参数名大多以“_0x......=”这种形式(下划线可替换),所以以_0x开头的参数名也很可能就是恶意流量4. 默认的蚁剑

2025-01-09 10:49:44 623

原创 Windows应急-应急与研判训练计划 - 玄机靶场

使用者”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。“进程信息”字段表明系统上的哪个帐户和进程请求了登录。“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。“身份验证信息”字段提供关于此特定登录请求的详细信息。

2025-01-06 16:10:48 2142 4

原创 国家中小学智慧教育平台(课件、课本、视频 )下载器

国家中小学智慧教育平台(课件、课本、视频 )下载器。

2024-08-15 20:09:51 8243

国家中小学智慧教育平台(课件、课本、视频 )下载器

国家中小学智慧教育平台(课件、课本、视频 )下载器

2024-08-15

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除