- 博客(110)
- 收藏
- 关注
RSS订阅
原创 红队内网靶场
下面几个跨域靶场会陆续加上vCenter/Kubernetes/gitlab/ADCS/exchange/等常见系统,也会陆续做安全运营相关靶场从防守方视角反推红队攻击路径逆向分析木马IoC排查终端木马编写相关报告,如果大家对靶场系列感兴趣的话欢迎关注。
2023-04-14 11:18:49
2705
3
原创 域权限维持(ACL滥用)
本篇文章讲述如何使用Rights-GUID方式添加ACE以及现在常见的八种ACL权限滥用的配置与利用,其中使用到的工具有Admod/Adinfd/powerview等,ACL的域权限维持手段还是以最小权限为优,比如RBCD/重置密码/写入成员等尽量不要添加全部ACE这种在实战的时候可以尽量使用简单的权限维持手法。
2023-03-28 21:55:15
1017
原创 域权限维持(黄金票据与白银票据)
黄金票据和白银票据通常被认为属于票据传递攻击(Pass-the-Ticket,简称PTT)的一种。 这是一种针对Windows身份验证系统的攻击,攻击者可以利用缺陷或弱点获取用户或系统 帐户的票据信息,然后将其用于进一步攻击或访问敏感资源本篇文章注意讲述了黄金票据 与白银票据的数据包分析以及如何进行PTT攻击,讲述了多种利用方式包括CS/mimikatz/Impacket等。
2023-03-19 23:28:59
1939
原创 内网跨域渗透利用
本篇文章讲述了3种跨域利用方式以及跨域使用Adfind和bloodhound做侦查 1.使用域间信任密钥进行跨域利用 2.子域Krbtgt 密钥创建跨域金票 3.打印机BUG/PetitPotam+非约束委派进行跨域利用
2023-03-16 19:29:37
1165
原创 NTLM Relay利用
讲述了多种NTLM Relay的利用方式包括打印机bug以及PetitPotam强制触发NTLM认证方式以及Exchange Relay与ADCS Relay的利用
2023-03-07 13:48:38
3422
原创 基于资源约束委派利用
关于基于资源的约束委派本文章总共说了常用的三种利用方式:1.Ntlm Relay+打印机bug+基于资源的约束委派拿下目标控制权2.Acount Operators组权限滥用进行基于资源约束委派获取目标权限3.拿下目标机器入域的域账号拿下目标控制权以及一种绕过方式:1.CVE-2020-17049 Kerberos Bronze Bit+基于资源的约束委派绕过敏感账号限制。
2023-02-25 15:29:41
806
原创 HTB打靶(Active Directory 101 Multimaster)
Active Directory 101 Multimaster
2023-02-16 17:13:38
912
1
原创 段、GDT、调用门学习笔记
保护模式什么是保护模式x86 CPU的3个模式:实模式、保护模式、虚拟8086模式。AMD64与Intel64AMD在1999年的时候拓展了这套指令集,成为x86-64后改名叫AMD64,AMD是首先开发了64拓展,但是AMD的64位拓展并不支持32位,后来Intel也开发了64位拓展成为Intel64并首先做到了向下兼容32位。保护的特点段的机制、页的机制,段页机制主要是为了保护操作系统的数据结构,比如保护系统的GDT表和IDT表,关键寄存器比如CR0寄存器段寄存器结构什么是段寄存
2022-02-06 19:54:05
2060
原创 ShellCode原理以及编写
0x0 ShellCode编写注意事原理1)不能使用字符串的直接偏移即使你在C/C++代码中定义一个全局变量,一个取值为“Hello world”的字符串,或直接把该字符串作为参数传递给某个函数。但是,编译器会把字符串放置在一个特定的Section中(如.rdata或.data)。2)不能确定函数的地址(如printf)在shellcode中,我们却不能以逸待劳了。因为我们无法确定包含所需函数的DLL文件是否已经加载到内存。受ASLR(地址空间布局随机化)机制的影响,系统不会每次都把DLL文件加载
2021-07-02 11:06:52
2853
原创 数据取证技术面试题(持续更新中)
最近在自学数据取证下面是我整理的问题和答案,仅供参考如果发现错误可以联系QQ:10242754401.什么是数据取证电子取证是指从计算机设备中获取信息,供案、事件调查使用。2.数据取证有几种方式(2.1)硬盘取证(2.2)内存取证3.硬盘数据取证(3.1)PC硬盘复制硬盘有机械硬盘和SSD闪存硬盘,从数据获取的角度来看,获取方式大同小异,在取证硬盘数据的时候应该使用专用的取证Linux启动光盘,避免常规系统使用页交换空间带来的数据损坏风险。在使用专用取证Linux系统之后把一块大小不小于被
2021-01-14 13:22:00
1602
2
原创 PE面试题
自己学习PE的笔记,可能会存在错误如果有发现错误可以联系QQ:10242754401.可执行文件格式NE和可执行国格式文件PE之间的关系是什么2.PE文件早期衍生建立在3.什么是COFF文件格式4.COFF文件与PE文件的关系是什么有什么相似的地方5.描述PE和COFF格式主要的头文件是6.EXE文件和DLL文件的区别是什么7.64位PE于32位PE有什么不同8.PE基本概念9.基地址10.PE文件与DLL文件默认装载基址是多少11.什么是虚拟地址(Virtual Address VA
2020-12-19 13:20:42
1838
1
原创 ZERO DAY ATTACK(持续更新目前完成25%)
因为是自己的学习笔记本肯定有错的地方希望阅读的朋友们可以指出来方便改正,联系QQ:1024275440ZERO DAY ATTACK1.现代攻击的精髓是2.Bug和漏洞的区别是什么3.什么是PoC4.什么是Exp5.什么是补丁比较漏洞分析方法6.什么是CVE、CETR7.Black Tuesday是什么0day、1day、5day是指8.#pragma data_seg()的作用是什么9.r3内存和r0内存的区别10.什么是硬盘内存11.文件偏移地址、装载基址、虚拟内存地址、相对虚拟
2020-11-21 16:17:47
548
原创 Windows内核面试题(持续更新,目前完成度30%约1.8万字)
WINDOWS内核编程问题与答案1.WDK和SDK的区别是什么2.WDK全称叫做3.如何创建WDK程序4.WinDbg如何连接虚拟机5.Windows内核符号表的作用6.如何设置内核符号表与源文件7.如何设置断点与源码调试8.什么时候共享内核空间9.内核模块与驱动程序的区别是什么10.内核模块运行在什么空间11.PsGetCurrentProcessId函数的作用是什么12.System进程的作用是什么13.x64和x86操作系统的用户空间和内核空间的范围分别是多少14.WDK基
2020-11-03 17:08:05
2286
原创 数据包分析面试题带答案
自己在学习Wireshark数据包分析实战过程中整理的问题。1.请简单说明下数据包嗅探原理:2.请写出几个常见的协议:3.协议通常是用来解决什么问题的:4.请写出七层OSI参考模型:5.请简单写出七层OSI模型的功能:6.半双工模式和全双工模式的区别是什么:7.什么是广播流量、组播流量、单播流量:8.什么是子网掩码:9.请简单写出ARP协议的作用:10.IPv4网络地址和主机地址如何区分他们的作用是什么:11.请简单说明下IPv4的头部信息与功能:12.IPv4中存活时间TTL的作用
2020-10-26 12:51:15
1956
1
原创 Windows线程面试题附带答案(自己整理)
联系QQ:10242754401.创建进程的函数是什么:2.创建线程的函数是什么:3.如何让被创建线程挂起状态:4.如何让创建的线程立刻运行:5.线程上下文作用是什么:6.如何打开一个现有的线程对象:7.请写出返回当前进程句柄的函数:8.请写出返回当前线程句柄的函数:9.Usage Count的作用是什么:10.等待线程结束函数:11.唤醒挂起线程的函数:12.Suspend Count暂停次数有什么作用:13.如何挂起一个线程:14.上下文转换的作用是什么:15.GetExi
2020-09-23 10:42:11
564
原创 整理的51道汇编题带答案
自己整理的一些汇编题有些问题是我自己提出来的然后自己找的答案其中有我自己的理解,不能保证答案全部正确如果发现错误欢迎大家指正我的QQ:10242754401.写出4个传送指令:2.写出8个转移指令:3.写出7个运算指令:4.写出1个处理机控制指令:5.EFLAGS寄存器包括的标志位有那些他们的功能是什么:6.大小端模式的区别是什么:7.一串二进制第一位为1则是否为正数:8.请写出ADC指令的语义:9.请写出SBB指令的语义:10.有符号数和无符号数的区别是什么:11.无符号5的补码是多
2020-09-07 19:20:05
1706
原创 新人第一次写病毒分析报告=,=
基本信息报告名称:svchost.exe作者:nullptr报告更新日期:2020/8/18样本发现日期:2020/8/18样本类型:登录凭证窃取样本文件MD5 校验值:a9c55bb87a7c5c3c923c4fa12940e719可能受到威胁的系统:微软操作系统工具:IDA Pro、Wireshark、Strings、PE Explorer、Ollydbg、VMware简介[svchost.exe ]窃取操作系统登录账户与密码信息,使用GINA拦截技术文件系统变化将要被创建C:
2020-08-18 19:22:23
675
原创 使用Detours进行HOOK
Detours是微软研究院开发的一款软件工具,用于Windows平台上的应用程序重定向和修改。它可以在运行时修改应用程序的执行路径,允许开发人员注入自定义代码来改变应用程序的行为,而不需要修改其源代码。Detours通常用于进行应用程序的跟踪、调试、性能分析以及行为修改等任务。Detours的工作原理是通过截取目标应用程序的API调用,然后将这些调用重定向到开发人员自己编写的代码中。
2024-03-31 14:53:31
648
2
原创 C++发起Https请求
相信很多朋友使用C++ WINAPI开发的时候网络模块的时候遇到Https忽悠证书无效的情况下,仍然希望获取结果下列代码便是忽略异常的Https CA证书。
2024-01-29 15:05:20
1216
1
原创 PE_Loade技术解析
PeLoader技术是模拟Windows EXE装载过程,主要用于红蓝对抗对EDR查杀的规避能够具有很强静态免杀效果,随着对抗的升级PeLoader在遇到有着较强内存查杀的EDR时候,往往显得力不从心,可以使用其他技术进行对抗比如模块.text reload卸载R3 HOOK,白+黑进行白名单绕过等等,红蓝对抗是永无止境。
2023-12-29 15:15:33
539
原创 Minifilter过滤驱动与R3程序通讯实现文件保护
实现保护文件或目录、R3层通过与过滤驱动通讯通知要保护的文件或目录,可执行创建不可删除或修改
2023-09-07 16:09:25
375
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人