- 博客(346)
- 收藏
- 关注
RSS订阅原创 .NET 通过回调函数执行 Shellcode启动进程
Shellcode 是一种专门编写的机器码程序,通常用于利用计算机系统的漏洞。这些代码片段设计得非常紧凑和高效,目的是在目标系统上执行特定的操作。
2025-05-06 11:57:08
53
原创 .NET 内网通过执行命令查找出网机器
然而,这也提醒我们,在日常的网络安全防护中,需要高度重视对DNS流量的监控和分析,以防止内网信息的泄漏。使用起来非常简单,无需登录,只需在使用前点击 "Get SubDomain" 按钮,生成一个唯一的子域名,例如 q22gjj.dnslog.cn,这个子域名是用户在测试过程中使用的唯一标识符。在内网环境下,通过扫描网段获得内网主机所有的IP地址,Environment.MachineName 获取计算机名,Dns.GetHostAddresses 获取主机的所有IP地址。
2025-04-29 08:30:00
21
原创 .NET 实战对抗,内网渗透中红队通过 FSharp 执行命令绕过安全防护
在红队渗透测试中,Sharp4fsi.exe是一款基于F#的交互式编译器执行攻击负载的工具,通过封装或修改原始编译器,能够执行包含恶意代码的F#脚本文件。由于F#的交互式编译器本身带有微软的签名,因此Sharp4fsi.exe也继承了这一特性,使得在执行时能够绕过一些基于签名验证的安全防护软件。
2025-04-28 08:30:00
897
原创 .NET 通过进程管道执行CMD命令
cmd.exe作为Windows系统的传统命令行解释器,其行为模式广为人知,因此也成为了众多安全防护机制的重点监控对象,因此红队或者黑客在对抗时调用Windows系统kernel32.dll中的CreateProcess和CreatePipe函数实现任意系统命令的执行,这样做的好处是避免直接调用cmd.exe,能够降低被检测到的几率。接着,打开父进程的句柄,再通过DuplicateHandle函数将输出数据的句柄复制到父进程,使得子进程的输出数据能够重定向到父进程中,代码实现如下所示。
2025-04-22 08:30:00
25
原创 一种进程链欺骗的新思路,借壳 TrustedInstaller 服务,实现 SYSTEM 权限的隐匿执行
是一种比 SYSTEM 更高的服务账户,拥有对系统关键组件,如 Windows 更新、系统文件夹、驱动更高的操作权限。这时,如果能进一步提权为 TrustedInstaller,将拥有更广泛的控制权限。这个过程,Sharp4FromTrust 启动 Windows Modules Installer 服务,并调用其进程 PID,使用父子进程劫持技术将目标程序注入为该服务的子进程,从而实现以。这些阶段所涉及的工具集不仅代表了当前.NET安全领域的最前沿技术,更是每一位网络安全爱好者不可或缺的实战利器。
2025-04-21 08:30:00
323
原创 实战上传 DLL 型 WebShell,一文详解 .NET 程序集 VS C++ 动态链接库的区别
NET 程序集是包含 IL 代码的托管程序集,而 C/C++ 编译的 DLL 是操作系统直接运行的本地模块。清单记录了当前程序集正常运行所需的所有外部程序集、程序集的版本号、版权信息等等。文件,无论是在使用类库、调用系统 API,还是在安全研究、逆向分析中,DLL 都是一个不可绕过的重要组成部分。接着是当前程序集本身的信息,记录了程序集本身的各种特征,如版本号、模块名称等。文件,但从内容结构到运行方式,.NET 程序集和 C/C++ 动态链接库是完全不同的两种东西。工具打开的程序集的目录树中,双击。
2025-04-15 08:30:00
817
原创 .NET 通过五步调用API实现关闭Windows Defender
Windows Defender最早于2006年作为一款反间谍软件工具发布,后来逐步演变成一款全功能的反恶意软件解决方案。在Windows 8及其之后的版本中,Windows Defender被整合为操作系统的默认安全防护软件。Windows Defender能够检测和防护各种类型的恶意软件,包括病毒、间谍软件、特洛伊木马、蠕虫、勒索软件等。通过定期更新的病毒定义库,Windows Defender保持对新出现的威胁的最新防护能力。
2025-04-14 08:30:00
32
原创 .NET 通过傀儡进程执行Shellcode
首先通过调用CreateProcess函数来创建一个新的进程,并特别设置了该进程的启动标志为CREATE_SUSPENDED,这样在创建后会立即处于挂起状态,主线程不会立即执行任何代码,而是等待后续的指令来恢复其执行。综上,傀儡进程是通过篡改某进程的内存数据来实现的,具体做法是在内存中写入Shellcode,并操纵进程的执行流程,使其转而执行恶意的Shellcode。傀儡进程是指被攻击者通过技术手段,修改其内存数据,并植入恶意的Shellcode,进而控制其执行流程,使其转向执行恶意代码的进程。
2025-04-10 09:35:12
434
原创 .NET 四种方法上传 web.config 绕过限制实现RCE
在 .NET Web 应用安全领域,web.config文件不仅仅是一个普通的配置文件,还能成为攻击者绕过安全限制、执行任意代码的重要工具。最近,一篇关于某电力公司web.configRCE 的文章在安全圈引发了热议,详细描述了攻击者如何利用web.config实现远程代码执行,并成功获取系统控制权限。本篇文章将系统性地介绍web.config,结合真实案例,深入剖析其利用方式及相应防御措施。当 IIS 服务器,且无法上传.aspx.asmx.soap等扩展名的文件时,攻击者可以尝试上传特制的。
2025-04-09 08:30:00
656
原创 实战+分析 | .NET 分布式事务反序列化漏洞插件
在《.NET安全攻防指南》上册中,我们不仅详细讲解了各类漏洞的基本原理和防范措施,还深入探讨了如何利用代码审计技术精准定位潜在的漏洞点。同时,书中还介绍了一些实用的安全测试工具和插件,助力读者在实战中快速掌握核心技能。此外,书中还介绍了最新的安全工具和插件,助力读者在.NET安全领域不断前行。本文将深入解析该漏洞的利用方式,并展示如何构造攻击载荷,从而帮助安全研究人员理解该漏洞的危害,并提升防御能力。,用于反序列化恢复事务对象信息,也因此加载恶意的攻击载荷触发了反序列化漏洞。,因此在重组事务数据时使用了。
2025-04-08 08:30:00
920
原创 .NET 通过创建系统影子账户实现维持权限
综上,通过我们在正常的系统用户名后面添加 $ 符号,可以创建影子账户,从而提高了账户的隐蔽性。其中username是新用户的用户名,以$符号结尾,如前文所述在 Windows中,使用 $ 结尾的用户名通常不会显示在操作系统的用户列表中,因此这样的账户很难被发现,可以有效地隐藏账户,增加其隐蔽性。这里使用WinNT协议,该协议出现在Windows NT 4.0 及更高版本的计算机或域中的目录服务,专用于访问和管理 Windows 网络中的资源,包括本地用户和组、远程计算机上的用户和组、以及域用户和组。
2025-04-08 08:00:00
32
原创 .NET 内网实战:通过 slui.exe 绕过 UAC 实现提权
本文内容部分节选自小报童《.NET 通过 slui.exe 绕过 UAC 实现提权》。我们会长期更新!
2025-04-07 08:30:00
1672
原创 .NET 2025年3月份红队武器库和资源汇总
此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面。
2025-04-04 08:30:00
415
原创 绕过 WebShell 检测的新思路,通过 Sharp4Error 运行时报错执行命令
然而,传统 WebShell 由于明显的特征,往往容易被安全产品检测并拦截。,从而实现远程命令执行。相比传统的 ASPX WebShell,此方法能够在执行过程中制造异常,使得部分检测机制更难察觉其恶意行为。,从而隐藏真正的执行行为,因此,某些 WAF 可能不会深入分析错误页面,而只拦截正常输出的 WebShell。,并在进程执行后引发异常,使得页面返回错误信息,而实际的命令仍然在后台执行。这一机制,在触发异常之前先执行系统命令,从而实现更隐蔽的远程命令执行方式。后,执行系统命令,如下图所示。
2025-04-03 08:30:00
263
原创 .NET 通过系统计划任务维持权限
在渗透测试或恶意软件开发中,攻击者经常需要在目标系统上维持持久的访问权限,Windows计划任务是实现这一目标的有效工具之一,因为它允许攻击者在特定时间或事件触发时执行预定义的命令或脚本。下面,我们将详细介绍如何通过Windows计划任务来维持权限。Windows 任务计划程序 (Task Scheduler) 的 CLSID标识符是 0F87369F-A4E5-4CFC-BD3E-73E6154572DD,这串CLSID可以在taskschd.h文件中找到,如下图所示。
2025-04-03 08:00:00
35
原创 .NET 内网实战:通过 DirectorySearcher 执行域环境下的 LDAP 信息收集
本文内容部分节选自小报童《.NET 通过 DirectorySearcher 执行 LDAP 查询》,我们会长期更新!
2025-04-02 08:30:00
914
原创 .NET 通过事件订阅实现权限维持
WMI 全称 Windows Management Instrumentation,是 Windows 操作系统中的一项重要功能,常用于管理和监控系统硬件和软件的启动和运行。而WMI 事件订阅能帮助系统管理员监听系统特定事件并在事件触发时执行预定义操作。WMI 事件订阅涉及几个关键部分,包括 EventFilter、CommandLineEventConsumer 和 FilterToConsumerBinding。这些组合使得事件订阅系统能够监听事件并执行特定的响应操作。
2025-04-01 10:30:13
34
原创 .NET 通过Junction Folder实现权限维持
攻击者在对目标系统进行权限维持时,除了常见的COM劫持技术,还可以利用Windows的Junction Folder结合CLSID 和注册表来实现持久化。这种方法通过创建连接文件夹和修改注册表,使得攻击者可以在系统启动时加载自定义的恶意DLL,从而保持对系统的控制。本文将详细介绍这种技术的原理、实现步骤以及相应的.NET代码示例。
2025-04-01 10:28:38
173
原创 .NET 通过COM劫持实现权限维持
在 Windows 操作系统中,攻击者可以通过修改注册表UserInitMprLogonScript 键值来执行自定义的恶意程序,从而实现持久化控制。这种方法被一些红队工具用于权限维持。下面将详细介绍如何使用 .NET 代码修改 UserInitMprLogonScript 键值来实现权限维持。
2025-04-01 10:27:52
31
原创 .NET 修改UserInitMprLogonScript键值实现权限维持
在 Windows 操作系统中,攻击者可以通过修改注册表UserInitMprLogonScript 键值来执行自定义的恶意程序,从而实现持久化控制。这种方法被一些红队工具用于权限维持。下面将详细介绍如何使用 .NET 代码修改 UserInitMprLogonScript 键值来实现权限维持。
2025-04-01 10:26:38
27
原创 .NET 修改系统注册表UserInit键值实现权限维持
红队可以通过修改UserInit键值将自定义的可执行文件添加到路径中,比如某个远控生成的木马后门文件,这样用户登录时自动执行该文件,从而实现权限维持。通过修改注册表UserInit键来启动自定义程序,是红队在渗透测试和攻击活动中常用的方法之一,因此需定期检查和监控。方法将UserInit键的值更新为新值,确保在用户登录时启动calc.exe,具体代码如下所示。键位于Windows注册表的路径中,所包含的值,表示指向用户登录时系统要启动的初始化程序。键的配置,有助于确保系统的稳定和安全。
2025-04-01 10:18:48
429
原创 对抗逆向分析,通过 Sharp4NetVbsObfuscator 混淆 .NET 程序集和 VBS 脚本
Sharp4NetVbsObfuscator 采用多种混淆手段,从控制流、字符串保护到入口点隐藏等,全面提高代码的安全性。这些阶段所涉及的工具集不仅代表了当前.NET安全领域的最前沿技术,更是每一位网络安全爱好者不可或缺的实战利器。我们倾力打造专刊、视频等配套学习资源,循序渐进的方式引导加深安全攻防技术提高以及岗位内推等等服务。在逆向分析和代码保护对抗的背景下,混淆技术成为了保护 .NET 程序和脚本的重要手段。的核心混淆方法、功能特点及其使用方法。插入无意义的方法和代码段,增加代码复杂度。
2025-04-01 08:30:00
648
原创 .NET 调用API创建系统服务实现权限维持
在Windows操作系统中,Services服务以后台进程的形式运行的,通常具备非常高的权限启动和运行服务。因此红队往往利用.NET框架通过创建和管理Windows服务来实现权限维持。本文将详细介绍如何通过.NET创建Windows服务,以实现权限维持的基本原理和步骤。
2025-03-31 16:00:48
588
原创 Windows 高权限特权揭秘:通过 .NET 借助特权实现不同账户权限下的进程启动
在 Windows 操作系统中,特权是进程访问控制的关键机制之一,它决定了进程能够执行哪些敏感操作。某些特权,如和,赋予进程极高的权限,使其能够访问受保护的进程、修改系统令牌,甚至加载内核驱动。因此,这些特权在安全防御与攻击技术中都扮演着至关重要的角色。本篇文章将深入分析这三种关键特权,探讨它们的功能、常见应用场景及其安全影响。SeDebugPrivilege 允许进程访问,包括SYSTEM进程。这意味着持有该权限的进程可以读取、修改和注入代码到任何进程。许多 Windows 提权漏洞依赖于来访问。
2025-03-31 08:30:00
334
原创 Windows 内网渗透 | 通过 Sharp4KeyboardLogger 实现键盘记录技术
这些阶段所涉及的工具集不仅代表了当前.NET安全领域的最前沿技术,更是每一位网络安全爱好者不可或缺的实战利器。我们倾力打造专刊、视频等配套学习资源,循序渐进的方式引导加深安全攻防技术提高以及岗位内推等等服务。该工具运行后,所有按键都会被无声记录,无需用户交互。运行后,所有键盘输入都会被记录在当前目录下的 log.txt。,帮助渗透测试人员和安全研究者更好地理解这一技术。,能够捕获用户按下的所有按键,并将其记录到。进行全局键盘监听,从而实现按键日志的收集。,工具会在后台监听按键输入,并自动创建。
2025-03-28 08:30:00
404
原创 新书发布,.NET安全学习与实战指南,从入门到精通
随着的正式发布,经过团队商议我们特别推出限时福利活动——!.NET 安全研究者、渗透测试工程师,还是开发人员、架构师,这里都能帮你深入理解 .NET 安全攻防的核心知识,与顶尖安全专家面对面交流,共同提升!《.NET 安全攻防指南》是 dotNet 安全矩阵团队倾力打造的,全书,系统性覆盖了等核心领域。
2025-03-27 09:51:05
425
原创 域渗透环境下,通过 Sharp4TGT 实现 Kerberos 协议 TGT 请求与票据导出
它能够通过明文凭据直接向 KDC 请求 TGT,并将其导出为 base64 格式的票据文件,供后续 Kerberos 认证操作使用。Sharp4TGT 通过直接与域控制器通信,生成合法的 Kerberos 票据,帮助攻击者或渗透测试人员模拟用户身份,完成后续的 Kerberos 认证操作。其中,asktgt 参数表示 请求 Kerberos 认证服务并获取 TGT,/ppt 参数表示 输出 TGT 为 base64 格式,便于后续操作。
2025-03-27 07:30:00
240
原创 Sharp4ADInformation:Active Directory 域信息收集与内网渗透必备工具
该工具可以帮助渗透测试人员或红队成员快速了解当前域和林的结构、特权账户、委派设置、LDAP 配置信息等,为后续的权限提升、横向移动和域持久化提供有力的情报支持。Sharp4ADInformation 通过与域控制器通信,直接查询和提取 AD 结构中的关键信息,主要包括域林、域控、域信任、特权用户、委派、SPN服务等内容。打开 PowerShell 直接运行如下命令。,红队成员可以直接提取域控制器(DC)、Kerberos、LDAP、SPN 等配置信息,快速建立完整的域拓扑图,定位潜在的攻击路径。
2025-03-26 08:30:00
513
原创 .NET 总第 63 期红队武器库和资源汇总
此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面。
2025-03-25 08:30:00
359
原创 .NET内网实战:通过系统白名单文件 Fodhelper.exe 绕过 UAC 实现提权
本文内容部分节选自小报童《.NET 通过 Fodhelper.exe 绕过 UAC 实现提权》,我们会长期更新!
2025-03-24 08:30:00
764
原创 国内首本 .NET 攻防实战力作丨《.NET安全攻防指南》新书上线,文末领取福利!
不少读者反馈,本书内容系统全面,涵盖从基础原理到攻防实战的完整技术体系,特别是在.NET Web安全审计和逆向工程领域,提供了许多实用的思路和技巧,极具实战价值。上册主要聚焦于B/S架构下的安全实践,结构上从.NET基础知识入手,循序渐进地揭示.NET Web代码审计的核心技术与攻防思路,帮助读者全面掌握.NET Web应用的安全要点。本书凝聚了多年来在.NET安全领域的攻防实战经验,内容系统全面,涵盖从基础原理到红蓝对抗的完整技术体系,是.NET安全研究者和攻防实战者不可或缺的技术宝典。
2025-03-22 18:54:33
826
原创 域渗透环境下,通过 Sharp4TGT 实现 Kerberos 协议 TGT 请求与票据导出
它能够通过明文凭据直接向 KDC 请求 TGT,并将其导出为 base64 格式的票据文件,供后续 Kerberos 认证操作使用。Sharp4TGT 通过直接与域控制器通信,生成合法的 Kerberos 票据,帮助攻击者或渗透测试人员模拟用户身份,完成后续的 Kerberos 认证操作。其中,asktgt 参数表示 请求 Kerberos 认证服务并获取 TGT,/ppt 参数表示 输出 TGT 为 base64 格式,便于后续操作。
2025-03-21 08:30:00
240
原创 .NET内网实战:通过扩展名劫持和屏保劫持技术实现注册表权限维持
本文内容部分节选自小报童《.NET 通过扩展名劫持和屏保劫持技术实现权限维持》,目前已有300+位朋友抢先预定,我们会长期更新!
2025-03-20 08:30:00
836
原创 .NET内网实战:通过扩展名劫持和屏保劫持技术实现注册表权限维持
本文内容部分节选自小报童《.NET 通过扩展名劫持和屏保劫持技术实现权限维持》,我们会长期更新!
2025-03-19 08:30:00
465
原创 .NET 基于会话劫持的权限切换:通过 Sharp4SessionExec 实现在不同用户会话中执行命令
在内网渗透测试和红队活动中,渗透者通常需要在不同的用户会话之间切换,以模拟不同用户的操作,或者获取更高的权限。例如,攻击者可能通过窃取凭据或利用漏洞获得 SYSTEM 级权限,然后切换到其他低权限会话,执行特定操作,绕过安全监控。这些阶段所涉及的工具集不仅代表了当前.NET安全领域的最前沿技术,更是每一位网络安全爱好者不可或缺的实战利器。我们倾力打造专刊、视频等配套学习资源,循序渐进的方式引导加深安全攻防技术提高以及岗位内推等等服务。
2025-03-18 08:30:00
200
原创 攻防对抗战绩亮眼!dotNet安全矩阵团队荣获殊荣,解禁样本限时优惠等你来拿!
在这场高水平的对抗赛中,我们团队凭借丰富的实战经验和对.NET安全研究的长期积累,成功突围,获得了优异成绩。这不仅展现了我们在.NET安全攻防领域的专业能力,也为后续的HW等实战场景积累了宝贵的经验。由于Windows产品的广泛普及,.NET技术几乎贯穿整个攻击生命周期,从外部边界突破到内网渗透实战,各个环节均涉及相关的攻击方法和防御工具。大会上,专家们围绕.NET安全攻击手法、检测对抗技术、工具创新等方面展开了深入探讨,为安全研究人员和企业安全防御提供了重要参考。
2025-03-17 08:30:00
196
原创 Windows 域渗透环境下通过 Sharp4QueryAD 查询 LDAP 实现域内信息收集
Sharp4QueryAD.exe 是一款基于 .NET 开发的红队工具,主要用于在域渗透环境下执行 LDAP 查询,帮助攻击者或安全研究人员高效地获取域内用户、计算机、组、组策略对象等关键信息。在域渗透场景中,LDAP 是 Active Directory 交互的重要协议,攻击者可以利用 LDAP 查询获取大量域内信息,例如用户账户枚举、权限分析、组策略识别等。命名空间,实现高效、灵活的 LDAP 查询,支持各种复杂的 LDAP 过滤器语法,并允许指定返回的属性,提高查询效率。
2025-03-14 08:30:00
176
原创 .NET 任务计划隐藏与权限维持:注册表与 Wow64 文件系统重定向的结合应用
ptr参数传递一个指针变量,用于存储重定向状态的句柄,后续可用于恢复重定向,成功时返回非零值TRUE。
2025-03-13 08:30:00
516
原创 MachineKeys 大字典:利用 3000 条 MachineKeys 爆破 ViewState 反序列化漏洞
Sharp4DotNetBurst 是一款专门用于爆破远程主机。
2025-03-12 08:30:00
975
原创 .NET 实战中使用 Sharp4FUAC 通过 Windows 白名单文件绕过 UAC 实现本地权限提升
UAC 是 Windows 系统的一项安全机制,用于防止恶意软件在未经用户许可的情况下执行高权限操作。即使用户以管理员身份登录,其默认运行的程序权限也是受限的,只有在 UAC 提示框弹出并经过用户确认后,才可执行高权限操作。利用 Windows 系统中受信任的可执行文件,结合注册表劫持技术,在受限权限下执行高权限命令。目标用户必须具有管理员权限,但当前运行的进程处于 UAC 受限模式,该工具适用于 Windows 10 及以上版本。执行后,系统会弹出一个新的命令行窗口,该窗口以高权限运行。
2025-03-11 08:30:00
415
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人