- 博客(4)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 利用Openssl写一个简陋的https劫持
背景前面说过可以使用WinDivert+MITM搞一手流量透明,现在转发流量的项目已经有了,虽然只有第一部分(后面的代码分析可能会鸽了,代码已经看完了也大概知道了原理,但是不想写),然后需要知道https流量劫持怎么处理,于是在互联网的帮助下找到了这个,虽然他也是转发,但是原文已经找不到了,所以象征的贴一下,还有一个是模拟ssl握手的项目。开整这部分涉及到很多知识,可能会提及,也可能不会,不会的可能比较大。下面是https代理的原理,如果你使用windows下面的internet setti
2021-11-24 16:59:22
2809
原创 WinDivert驅動的簡單分析(1)
。。。爲什麽你的字體變成了繁體字?因爲按錯了Ctrl+shift+F,於是先將就用幾天看好不好用。不知道會不會持續更新這個,先寫寫看,因爲我比較懶,説不定就不想寫了!背景WinDivert是一個開源的基於WFP的網絡驅動,主要用在嗅探、抓包、防火墻,這裏就簡單的分析一下該驅動,因爲自己也沒怎麽接觸過WFP和WDF的驅動編程,文中一定會出現理解或者解釋有誤的地方,我也控制不了!WFP簡介WFP是windows提供的用來做網絡過濾的一種組件,當然還有tdi、ndis這類傳統的網絡過濾,一般w
2021-11-16 17:49:47
1155
原创 WinDivert+MITM实现https流量透明
1.背景自己想了解一下Https如何透明,于是找到了这个项目,但是需要自己把流量定位到8080端口。windows是支持代理流量的,常见的代理方式是修改internet setting(某不愿透露姓名的哥儿说SSR也是通过这种方式代理本地的流量),如下图所示。接着简单分析一下这个代理服务器是如何实现。通过ProMon不难发现,iexplore是通过修改注册表的方式实现的。那么我们怎么通过API来指定自己的代理服务器,这里通过栈回溯,发现使用的是WININET.dll下的InternetS
2021-11-12 10:32:20
3783
4
原创 某超级注入程序的驱动逆向
1、起因从哥们儿那找到了一个超级注入的工具,打开一看加了vmp,然后还有驱动的驱动,于是这里把驱动提取出来,简单分析一下。1.1运行让程序先把驱动释放出来,可以看到这里需要买卡,然后才会释放驱动加载(简单破解一下就行,不是重点)1.2破解之后下一个CreateServiceA断点,让它在加载驱动之前断下,接着将驱动拷贝出来。从下图可以看到虽然驱动有签名,但是个过期签名,高版本windows10上是加载不上的。2、驱动分析好消息是驱动没有加壳,可以f5分析一下2.1W.
2021-11-05 16:39:44
2563
7
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人