- 博客(118)
- 收藏
- 关注
RSS订阅
原创 红队内网靶场
下面几个跨域靶场会陆续加上vCenter/Kubernetes/gitlab/ADCS/exchange/等常见系统,也会陆续做安全运营相关靶场从防守方视角反推红队攻击路径逆向分析木马IoC排查终端木马编写相关报告,如果大家对靶场系列感兴趣的话欢迎关注。
2023-04-14 11:18:49
4372
3
原创 域权限维持(ACL滥用)
本篇文章讲述如何使用Rights-GUID方式添加ACE以及现在常见的八种ACL权限滥用的配置与利用,其中使用到的工具有Admod/Adinfd/powerview等,ACL的域权限维持手段还是以最小权限为优,比如RBCD/重置密码/写入成员等尽量不要添加全部ACE这种在实战的时候可以尽量使用简单的权限维持手法。
2023-03-28 21:55:15
1928
原创 域权限维持(黄金票据与白银票据)
黄金票据和白银票据通常被认为属于票据传递攻击(Pass-the-Ticket,简称PTT)的一种。 这是一种针对Windows身份验证系统的攻击,攻击者可以利用缺陷或弱点获取用户或系统 帐户的票据信息,然后将其用于进一步攻击或访问敏感资源本篇文章注意讲述了黄金票据 与白银票据的数据包分析以及如何进行PTT攻击,讲述了多种利用方式包括CS/mimikatz/Impacket等。
2023-03-19 23:28:59
2466
原创 内网跨域渗透利用
本篇文章讲述了3种跨域利用方式以及跨域使用Adfind和bloodhound做侦查 1.使用域间信任密钥进行跨域利用 2.子域Krbtgt 密钥创建跨域金票 3.打印机BUG/PetitPotam+非约束委派进行跨域利用
2023-03-16 19:29:37
1739
原创 NTLM Relay利用
讲述了多种NTLM Relay的利用方式包括打印机bug以及PetitPotam强制触发NTLM认证方式以及Exchange Relay与ADCS Relay的利用
2023-03-07 13:48:38
4204
原创 基于资源约束委派利用
关于基于资源的约束委派本文章总共说了常用的三种利用方式:1.Ntlm Relay+打印机bug+基于资源的约束委派拿下目标控制权2.Acount Operators组权限滥用进行基于资源约束委派获取目标权限3.拿下目标机器入域的域账号拿下目标控制权以及一种绕过方式:1.CVE-2020-17049 Kerberos Bronze Bit+基于资源的约束委派绕过敏感账号限制。
2023-02-25 15:29:41
1549
原创 HTB打靶(Active Directory 101 Multimaster)
Active Directory 101 Multimaster
2023-02-16 17:13:38
2039
1
原创 段、GDT、调用门学习笔记
保护模式什么是保护模式x86 CPU的3个模式:实模式、保护模式、虚拟8086模式。AMD64与Intel64AMD在1999年的时候拓展了这套指令集,成为x86-64后改名叫AMD64,AMD是首先开发了64拓展,但是AMD的64位拓展并不支持32位,后来Intel也开发了64位拓展成为Intel64并首先做到了向下兼容32位。保护的特点段的机制、页的机制,段页机制主要是为了保护操作系统的数据结构,比如保护系统的GDT表和IDT表,关键寄存器比如CR0寄存器段寄存器结构什么是段寄存
2022-02-06 19:54:05
2465
原创 ShellCode原理以及编写
0x0 ShellCode编写注意事原理1)不能使用字符串的直接偏移即使你在C/C++代码中定义一个全局变量,一个取值为“Hello world”的字符串,或直接把该字符串作为参数传递给某个函数。但是,编译器会把字符串放置在一个特定的Section中(如.rdata或.data)。2)不能确定函数的地址(如printf)在shellcode中,我们却不能以逸待劳了。因为我们无法确定包含所需函数的DLL文件是否已经加载到内存。受ASLR(地址空间布局随机化)机制的影响,系统不会每次都把DLL文件加载
2021-07-02 11:06:52
3271
原创 数据取证技术面试题(持续更新中)
最近在自学数据取证下面是我整理的问题和答案,仅供参考如果发现错误可以联系QQ:10242754401.什么是数据取证电子取证是指从计算机设备中获取信息,供案、事件调查使用。2.数据取证有几种方式(2.1)硬盘取证(2.2)内存取证3.硬盘数据取证(3.1)PC硬盘复制硬盘有机械硬盘和SSD闪存硬盘,从数据获取的角度来看,获取方式大同小异,在取证硬盘数据的时候应该使用专用的取证Linux启动光盘,避免常规系统使用页交换空间带来的数据损坏风险。在使用专用取证Linux系统之后把一块大小不小于被
2021-01-14 13:22:00
2056
2
原创 PE面试题
自己学习PE的笔记,可能会存在错误如果有发现错误可以联系QQ:10242754401.可执行文件格式NE和可执行国格式文件PE之间的关系是什么2.PE文件早期衍生建立在3.什么是COFF文件格式4.COFF文件与PE文件的关系是什么有什么相似的地方5.描述PE和COFF格式主要的头文件是6.EXE文件和DLL文件的区别是什么7.64位PE于32位PE有什么不同8.PE基本概念9.基地址10.PE文件与DLL文件默认装载基址是多少11.什么是虚拟地址(Virtual Address VA
2020-12-19 13:20:42
2503
1
原创 ZERO DAY ATTACK(持续更新目前完成25%)
因为是自己的学习笔记本肯定有错的地方希望阅读的朋友们可以指出来方便改正,联系QQ:1024275440ZERO DAY ATTACK1.现代攻击的精髓是2.Bug和漏洞的区别是什么3.什么是PoC4.什么是Exp5.什么是补丁比较漏洞分析方法6.什么是CVE、CETR7.Black Tuesday是什么0day、1day、5day是指8.#pragma data_seg()的作用是什么9.r3内存和r0内存的区别10.什么是硬盘内存11.文件偏移地址、装载基址、虚拟内存地址、相对虚拟
2020-11-21 16:17:47
692
原创 Windows内核面试题(持续更新,目前完成度30%约1.8万字)
WINDOWS内核编程问题与答案1.WDK和SDK的区别是什么2.WDK全称叫做3.如何创建WDK程序4.WinDbg如何连接虚拟机5.Windows内核符号表的作用6.如何设置内核符号表与源文件7.如何设置断点与源码调试8.什么时候共享内核空间9.内核模块与驱动程序的区别是什么10.内核模块运行在什么空间11.PsGetCurrentProcessId函数的作用是什么12.System进程的作用是什么13.x64和x86操作系统的用户空间和内核空间的范围分别是多少14.WDK基
2020-11-03 17:08:05
3213
原创 数据包分析面试题带答案
自己在学习Wireshark数据包分析实战过程中整理的问题。1.请简单说明下数据包嗅探原理:2.请写出几个常见的协议:3.协议通常是用来解决什么问题的:4.请写出七层OSI参考模型:5.请简单写出七层OSI模型的功能:6.半双工模式和全双工模式的区别是什么:7.什么是广播流量、组播流量、单播流量:8.什么是子网掩码:9.请简单写出ARP协议的作用:10.IPv4网络地址和主机地址如何区分他们的作用是什么:11.请简单说明下IPv4的头部信息与功能:12.IPv4中存活时间TTL的作用
2020-10-26 12:51:15
2255
1
原创 Windows线程面试题附带答案(自己整理)
联系QQ:10242754401.创建进程的函数是什么:2.创建线程的函数是什么:3.如何让被创建线程挂起状态:4.如何让创建的线程立刻运行:5.线程上下文作用是什么:6.如何打开一个现有的线程对象:7.请写出返回当前进程句柄的函数:8.请写出返回当前线程句柄的函数:9.Usage Count的作用是什么:10.等待线程结束函数:11.唤醒挂起线程的函数:12.Suspend Count暂停次数有什么作用:13.如何挂起一个线程:14.上下文转换的作用是什么:15.GetExi
2020-09-23 10:42:11
699
原创 整理的51道汇编题带答案
自己整理的一些汇编题有些问题是我自己提出来的然后自己找的答案其中有我自己的理解,不能保证答案全部正确如果发现错误欢迎大家指正我的QQ:10242754401.写出4个传送指令:2.写出8个转移指令:3.写出7个运算指令:4.写出1个处理机控制指令:5.EFLAGS寄存器包括的标志位有那些他们的功能是什么:6.大小端模式的区别是什么:7.一串二进制第一位为1则是否为正数:8.请写出ADC指令的语义:9.请写出SBB指令的语义:10.有符号数和无符号数的区别是什么:11.无符号5的补码是多
2020-09-07 19:20:05
2034
原创 新人第一次写病毒分析报告=,=
基本信息报告名称:svchost.exe作者:nullptr报告更新日期:2020/8/18样本发现日期:2020/8/18样本类型:登录凭证窃取样本文件MD5 校验值:a9c55bb87a7c5c3c923c4fa12940e719可能受到威胁的系统:微软操作系统工具:IDA Pro、Wireshark、Strings、PE Explorer、Ollydbg、VMware简介[svchost.exe ]窃取操作系统登录账户与密码信息,使用GINA拦截技术文件系统变化将要被创建C:
2020-08-18 19:22:23
889
原创 二进制漏洞挖掘(WinAFL Fuzzing)Windows篇
本文介绍了Windows环境下使用WinAFL进行二进制漏洞挖掘的方法。主要内容包括: WinAFL与AFL的区别:WinAFL仅支持DynamoRIO动态插桩技术,而AFL支持源码插桩和QEMU动态插桩 WinAFL的编译安装: 需要Visual Studio和CMake环境 编译时需指定DynamoRIO路径 提供了详细的编译命令和常见问题解决方案 DynamoRIO的安装配置: 下载并解压DynamoRIO工具包 重点使用bin64目录中的核心工具 WinAFL使用详解: 提供了完整的fuzzing命
2026-02-05 20:47:29
950
原创 二进制漏洞挖掘(AFL Fuzzing)使用篇
本文介绍了Fuzzing模糊测试技术及其核心工具AFL的使用方法。Fuzzing通过自动生成随机输入数据来检测程序漏洞,AFL则通过代码覆盖率反馈和遗传算法提高测试效率。文章详细演示了在Ubuntu系统中安装AFL、编译测试程序、准备种子文件以及运行模糊测试的完整流程,并展示了如何利用GDB调试发现的崩溃。测试结果显示AFL成功触发了一个缓冲区溢出漏洞,验证了该技术在二进制漏洞挖掘中的有效性。
2026-02-04 20:21:16
612
原创 ETW 技术全解析
ETW(Event Tracing for Windows)是Windows内置的高效事件跟踪系统,由提供者、控制器、会话和使用者四大组件构成。它支持动态监控系统事件,无需重启即可收集内核和应用级数据。通过Logman工具可快速演示进程创建监控:启动内核会话捕获进程事件,使用WPA分析日志。ETW架构清晰,提供者生成事件,控制器管理会话,使用者处理数据,适用于诊断调试、性能分析等场景,是Windows平台强大的诊断基础设施。
2026-01-08 20:16:13
941
原创 杀毒软件开发驱动篇ObRegisterCallbacks(进程保护)
本文介绍了Windows杀毒软件如何利用ObRegisterCallbacks机制实现进程保护。该API从Vista系统引入,允许在内核层拦截进程/线程句柄操作,相比传统Hook方式更稳定可靠。文章详细阐述了ObRegisterCallbacks的功能特点:可拦截进程句柄创建、线程句柄创建和句柄复制操作,并能修改访问权限以防止进程被终止。同时提供了代码示例展示如何保护特定进程(如notepad.exe),通过清除PROCESS_TERMINATE等关键权限位实现防护。这种官方支持的机制避免了PatchGua
2025-12-19 14:56:48
886
原创 PWN常见漏洞(上篇)
本文介绍了PWN中常见的栈溢出和堆溢出漏洞。通过源码与IDA伪代码对比,展示了如何快速识别漏洞。重点分析了栈溢出原理:缓冲区溢出覆盖返回地址控制程序流,并演示了通过ROP技术绕过DEP/ASLR等防护措施实现代码执行。文章还提供了静态分析工具VulFi插件的使用方法,以及常见防护机制(DEP、ASLR、CFG、Stack Canary等)的详细说明。最后指出尽管发现溢出点是漏洞利用的第一步,但在现代操作系统强大防护下,构造完整利用链仍面临巨大挑战。
2025-12-18 19:55:36
264
原创 杀毒软件开发驱动篇Minifilter
摘要:本文介绍了杀毒软件开发中Minifilter驱动框架的应用。Minifilter作为微软官方提供的文件系统过滤框架,能够稳定拦截文件I/O操作(如创建、读写),实现病毒扫描、访问控制等功能。文章详细讲解了Minifilter的核心概念(Pre/Post回调、IRP、Altitude等)、常用结构体、进程信息获取方法以及拦截机制。同时提供了VS+WDK开发环境配置指南和一个最小可编译Demo,展示了如何实现文件操作监控功能。相比非官方Hook技术,Minifilter具有更好的兼容性和安全性,是杀毒软件
2025-12-08 19:55:37
755
原创 操作系统真象还原笔记
操作系统真象还原中关于计算机系统启动流程、内存管理和CPU工作模式的要点。主要内容包括:IVT和IDT的区别、BIOS/MBR/OBR的启动流程、MBR文件的编译与转换方法、Bochs模拟器的配置使用。重点讲解了32位模式下的物理地址寻址、全局描述符表(GDT)的结构与作用,以及CPU三种工作模式(实模式、保护模式和平坦模式)的特点与切换方法。同时详细介绍了寄存器分类(可见/不可见寄存器)及其功能,以及段描述符中各字段的含义和计算方法。这些知识为理解操作系统底层机制提供了基础框架。
2025-10-13 13:50:36
1155
原创 利用VEH单步异常运行ShellCode使用PAGE_GUARD保护ShellCode
【代码】利用VEH单步异常运行ShellCode使用PAGE_GUARD保护ShellCode。
2024-10-12 15:11:03
473
原创 使用Detours进行HOOK
Detours是微软研究院开发的一款软件工具,用于Windows平台上的应用程序重定向和修改。它可以在运行时修改应用程序的执行路径,允许开发人员注入自定义代码来改变应用程序的行为,而不需要修改其源代码。Detours通常用于进行应用程序的跟踪、调试、性能分析以及行为修改等任务。Detours的工作原理是通过截取目标应用程序的API调用,然后将这些调用重定向到开发人员自己编写的代码中。
2024-03-31 14:53:31
1505
2
原创 C++发起Https请求
相信很多朋友使用C++ WINAPI开发的时候网络模块的时候遇到Https忽悠证书无效的情况下,仍然希望获取结果下列代码便是忽略异常的Https CA证书。
2024-01-29 15:05:20
1926
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人