- 博客(109)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 DCOM远程激活拒绝访问的解决方式
在win7系统上一般是没有什么问题,而在win10及其以后的系统上,不出意外你就会得到这样的错误这是权限问题导致的拒绝访问,默认只允许Administrator用户远程激活。所以可以分为两种情况解决,一种是以Administrator用户进行远程激活,第二种是通过修改配置允许指定用户远程激活。在此之前需保证=》=》=》=》=》是的。
2024-08-19 19:18:42
722
原创 内核注入DLL,支持注入PPL
项目提供的release版本的驱动没有签名,请在调试模式下使用。已在Win7 x32/x64 ~ Win10 x32/x64上测试通过,Win11理论上也是支持的,请自测。Rookit和Anti-Rookit相关的功能。
2024-06-01 18:45:37
251
原创 Windows内核开发:如何使用STL
大家都知道应用层c++的STL非常强大,非常好用,但是在内核下就没法用了。针对这个问题,经过我不懈的寻找,终于找到了解决内核无法使用STL的方法。
2024-05-05 16:58:59
457
原创 windows内核开发:如何使用反汇编引擎
最近在写个人项目中需要在内核模式下使用到反汇编引擎,找到几个并使用对比后我强烈推荐一款名叫BeaEngine的反汇编引擎。
2024-05-04 17:18:17
516
原创 数据结构:图
在自动化程序分析中,图和树的一些算法起到了至关重要的作用,所以在开始自动化程序分析的研究前,我用了两天复习了一遍数据结构中的图。本章主要内容有图的基本概念,图的存储和图相关的经典算法,并在附录中附带上完整代码的仓库链接。注:文章中并不会提到关于图的所有概念和定理,只有和程序分析中相关性比较大的那部分。文章中若有错误请指出,代码也存在可优化的空间,欢迎把你的优化代码提到中。
2024-05-02 15:47:46
1102
1
原创 Anti Rookit -- 检测隐藏进程
检测隐藏进程除了众所周知的枚举进程ID之外,还有枚举句柄表的方式。不过今天给大家带来的是第三种方法。
2024-04-27 23:49:50
1194
2
原创 【CVE-2021-1675】Spoolsv打印机服务任意DLL加载漏洞分析
打印机服务提供了添加打印机的接口,该接口缺乏安全性校验,导致攻击者可以伪造打印机信息,在添加新的打印机时实现加载恶意DLL。这造成的后果就是以system权限执行任意代码。
2023-11-25 00:14:04
469
原创 ObRegisterCallbacks()返回0xC0000022(拒绝访问)解决办法
在开发测试环境下,没有打签名的驱动调用ObRegisterCallbacks会返回0xC0000022(拒绝访问)的错误码。这是由于该函数内部会进行驱动的签名校验。因此可以用以下代码绕过该检查。
2023-11-13 20:45:27
389
原创 ETW HOOK原理探析
关于ETW是什么我就不多说了,可以通过微软的相关文档了解到。据网上得知这项技术最早被披露于2345的驱动中,一位工程师将其代码逆向还原之后大白于天下。随后各大安全厂商相继使用这种技术实现监控系统调用、内存页错误等。它是一个相对于VT来说更稳定,更简单的系统监控方式。调用ZwTraceControlZwTraceControl启用ETW日志(Win8只有NtTraceControlNtTraceControl。
2023-11-11 20:58:37
1245
原创 Rookit系列二【文件隐藏】【支持Win7 x32/x64 ~ Win10 x32/x64平台的NTFS文件系统】
文件隐藏的方法有很多,这里分享的是一种通过内核文件重定向的方式动态规避检测的方法。举例:假设有一个安全软件A,A要扫描文件B,B是我们想要隐藏的文件。那么我们在内核中将A打开文件B的操作重定向到打开文件C,文件C我们设置为一个系统原有且自带微软签名的文件,这样文件B就躲过了A的扫描。等同于文件B对于安全软件A来说就是隐藏的。
2023-10-26 21:15:53
234
原创 CVE-2023-36874 Windows错误报告服务本地权限提升漏洞分析
Windows错误报告服务在提交错误报告前会创建wermgr.exe进程,而攻击者使用特殊手法欺骗系统创建伪造的wermgr.exe进程,从而以system权限执行代码。
2023-08-29 16:13:02
1986
原创 Anatova勒索病毒分析
2019年爆出在国外发现的一款新型勒索病毒。文件名:Anatova.exe病毒使用的是单线程加密。大体加密步骤:打开文件 =》读取文件 =》随机生成Key+Iv =》Sala20加密文件 =》加密Key和Iv =》复写文件 =》关闭文件句柄。勒索病毒生成Key和Iv使用的是系统函数CryptGenRandom。Key固定长度为32字节,Iv固定长度为8字节。勒索病毒使用系统函数CryptEncrypt加密Key和Iv。
2023-08-17 17:38:02
399
原创 Rookit系列一 【隐藏网络端口】【支持Win7 x32/x64 ~ Win10 x32/x64】
Rookit是个老生常谈的话题了,它包括隐藏进程、隐藏模块、隐藏端口等隐藏技术和其他对抗杀软的技术。作为一名二进制安全研究员你可以不去写这些代码,但你不能不懂,也因为最近隔壁组的同事在做这方面的检测向我请教了一些问题,索性我就利用空余时间研究了一下网络端口的隐藏。网上随便去搜搜隐藏端口的资料,发现能用的几乎没有。这才是我研究的动力和分享的意义。\textcolor{green}{这才是我研究的动力和分享的意义。这才是我研究的动力和分享的意义。于是就自己研究了一通,发现也没什么特别的。
2023-08-04 22:24:20
1028
7
原创 NISACTF2023 WP
2年多没玩CTF了,pwn显得手生了不少,我的PWN环境已经在硬盘的某个角落里吃灰了。今天参加了一场校赛,捣鼓了一下午,Reverse和PWN都AK了。其实比赛是新手向,没啥难度,不过有道PWN设计的比较巧妙,got了两个tips,也就是今天将要分享的。
2023-04-16 23:05:33
632
1
原创 IrpTrace最新版注册算法分析
没有时间系列:由于工作需要用到该软件,于是顺便研究注册算法玩玩。又是一款歪果仁的软件,搞搞应该没事吧?文末有惊喜!【版本】02.00.002IrpTrace已经很久不更新了,这是我能在网上找到的最新版。。。。。
2023-03-01 23:09:21
581
原创 01Editor最新破解
注册的提示信息还有界面的提示信息很丰富,这为我们定位关键代码提供了充分的线索。此函数条件为真的分支存在多对1情况,导致逆函数不能保证得到正确的原函数输入,而原函数的输入在后面验证的时候还需要用到。因此,这个函数的逆函数没有意义。在满足条件3、6和7,就能确定hb中的所有元素,然后反求得serial。注意:这个函数是多对一的,所以这个函数的反函数就成了一对多。以上就是所有注册算法流程,接下来考虑如何获得正确的任意用户名的序列号。因为有处条件永不满足。,用来和序列号某个部分进行对比的,所以该函数也不用求逆。
2022-12-30 13:01:56
10273
5
原创 纠正一下网上文章所说“利用RPC绕过CFG”的错误说法
网上说“利用RPC绕过CFG”的说法是不正确的,我先给出自己的观点,后面再说我的分析。网上有好几篇分析的文章,对绕过CFG一律都说是利用RPC。其实在这个漏洞场景下,攻击者只不过是借助RPC获得执行任意的功能(注意我这里说的是系统函数,因为系统函数必然是合法的地址。),如果是某个自己创建出来的堆栈地址则可能会触发CFG异常。注意到killcfg它的思路是利用RPC调用VirtualProtect函数去修改___guard_check_ical_pt。
2022-11-29 15:51:14
369
原创 House of pig 原理详解&实战
该方法适用于glibc-2.31及其以上版本,基本原理是综合glibc-2.31下的、IO_FILE结构和这三种利用手法,常用于目标程序中使用calloccalloc代替mallocmalloc分配内存的情形下。该方法的核心在于glibc中的IO_str_overflowIO_str_overflow函数内会连续调用mallocmalloc、memcpymemcpy、...
2022-08-29 16:57:16
1278
2
原创 Largebin Attack原理详解
攻击成效:能够向任意地址写堆地址,常配合其他攻击手法实现getshell。条件:能够修改Largebin−>bkLargebin−>bk。研究环境:Glibc2.31\textcolor{green}{研究环境:Glibc2.31}研究环境:Glibc2.31现在总结一下Largebin attack的一些利用条件和步骤。能够修改Largebin中的块的字段。程序中至少能够分配三种属于Largebin的不同大小的块。分配一块大小。...
2022-08-07 14:44:58
1590
原创 Tcache Stashing Unlink Attack 原理详解
calloc\textcolor{cornflowerblue}{calloc}calloc函数是直接调用_int_malloc\textcolor{cornflowerblue}{\_int\_malloc}_int_malloc函数分配内存的,并且会清空内存所以calloc\textcolor{cornflowerblue}{calloc}calloc可以越过 tcache取空闲内存。而malloc\textcolor{cornflowerblue}{malloc}malloc函数先是判断是否启用了
2022-08-06 17:28:38
1768
3
原创 CVE-2016-0165 分析&利用POC
1.3.危害等级7.8 | 高危这是未打补丁和打过补丁之后的RGNMEMOBJ::vCreate\textcolor{orange}{RGNMEMOBJ::vCreate}RGNMEMOBJ::vCreate函数对比图有点像找不同,发现主要有6处不同。这是在分配缓冲区之前增加的两个函数看到ULongAdd\textcolor{cornflowerblue}{ULongAdd}ULongAdd和ULongLongToULong\textcolor{cornflowerblue}{ULongLongToUL
2022-07-08 15:38:01
628
原创 CVE-2022-21882 分析&POC
0x0 漏洞描述该漏洞的成因和CVE-2021-1732类似,如果不了解,请先阅读我之前的分析:https://blog.csdn.net/qq_41252520/article/details/119349398主要因为xxxClientAllocExtraBytesFunc\textcolor{cornflowerblue}{xxxClientAllocExtraBytesFunc}xxxClientAllocExtraBytesFunc函数会回调用户空间中的user32!_xxxClientA
2022-04-29 23:17:05
2280
原创 父进程欺骗
3.1.简介父进程欺骗技术是说,把一个恶意进程的 PID指定为一个合法的进程(lsass.exe)的 PID。安全软件会通过对父子进程间关系的检测来判断该进程是否异常,攻击者以此技术规避启发式检测等防御手段。3.2.原理父进程欺骗用的最多的方法就是通过CreateProcess\textcolor{cornflowerblue}{CreateProcess}CreateProcess函数实现,其原型如下:BOOLWINAPICreateProcessA( _In_opt_ LPCS
2022-04-25 15:33:10
2937
原创 遗传算法学习
1.什么是遗传算法?1.1.遗传算法的定义遗传算法(Genetic Algorithm, GA)是受达尔文进化论的启示,模拟自然进化和遗传过程的计算模型。遗传算法的主要特点是通过种群的遗传和变异,采用概率化的寻优方法,不需要有确定的规则就能自动获取和指导优化搜索空间,自适应的调整搜索方向。1.2.遗传算法的相关术语基因型(genotype):性状染色体的内部表现;表现型(phenotype):染色体决定的性状的外部表现,或者说,根据基因型形成的个体的外部表现;进化(evolut
2022-04-22 09:56:23
1106
原创 Stack Overflow - SROP
0x0 原理signal机制是 类unix系统中进程之间传递信息的一种方法,也称之为 软中断信号,或 软中断。整个中断过程如下:内存向进程发送 signal信号,进程就会被挂起,进入内核态。内核会用将当前进程的 寄存器值、signal信息和指向 sigretrun的系统调用地址压入栈中,这几部分信息也叫做 ucontext以及siginfo,而保存这些信息的栈位于用户空间中。之后就会跳转到注册过得 signal handler中处理相应的 signal。在 signal handler执行完
2022-04-13 14:15:48
348
原创 两道逆向题分析总结
HWS2021——Enigma前言这是一道来自华为2021硬件安全冬令营线上赛的一道虚拟机逆向题,比较有特点的是整个虚拟机的操作隐藏在了异常处理函数中,正常用类似 OD调试器不能顺利调试。这种反调试结合虚拟机技巧值得学习。分析工具:IDA 7.01.分析1.1.整体流程程序没有加壳,运行之后出现提示:根据关键信息,来到主函数:int __cdecl main(int argc, const char **argv, const char **envp){ FILE *fout; //
2022-03-31 16:40:32
5273
原创 CVE-2021-40449 分析
前言该漏洞本身原理比较简单,而作为 Win10下的利用才是本篇文章的研究重点。1.漏洞简介1.1.漏洞描述win32kfull.sys中的 NtGdiResetDC\textcolor{cornflowerblue}{NtGdiResetDC}NtGdiResetDC函数存在 UAF漏洞,攻击者可以利用该漏洞进行本地权限提升。1.2.影响版本windows_10windows_10 20h2windows_10 21h1windows_10 1607windows_10 1809w
2022-03-24 17:38:50
1774
原创 Win7 x64下内核池溢出覆盖配额进程指针(Quota Process Pointer Overwrite)
0x0 简介在 Win7 x64位下,内核池的头部结构如下:nt!_POOL_HEADER +0x000 PreviousSize : Pos 0, 8 Bits // 前一个内核堆块大小除以0x10 +0x000 PoolIndex : Pos 8, 8 Bits // 该池所在池描述符表中的索引 +0x000 BlockSize : Pos 16, 8 Bits // 该池大小除以0x10 +0x000 PoolType
2022-03-19 20:24:07
1038
原创 NTFS驱动存在堆溢出(CVE-2021-31956 )分析
CVE-2021-319560x00 漏洞简介该漏洞发生在 Ntfs.sys文件中,由于该系统程序在处理文件额外信息查询时,对相关对象检查不严谨导致堆溢出,攻击者可以利用该漏洞进行本地权限提升。0x01 影响版本windows_10:-:*:*:*:*:*:*:*windows_10:20h2:*:*:*:*:*:*:*windows_10:21h1:*:*:*:*:*:*:*windows_10:1607:*:*:*:*:*:*:*windows_10:1809:*:*:*:*:*:*
2022-03-14 14:40:37
4220
原创 CVE-2019-1458 分析
CVE-2019-14580x00 漏洞简介CVE-2019-1458是Win32k中的特权提升漏洞,Win32k组件无法正确处理内存中的对象时,导致Windows中存在一个特权提升漏洞。成功利用此漏洞的攻击者可以在内核模式下运行任意代码。然后攻击者可能会安装程序、查看、更改或删除数据;或创建具有完全用户权限的新帐户。0x01 影响版本Microsoft Windows 10 Version 1607 for 32-bit SystemsMicrosoft Windows 10 Version
2021-09-15 15:05:50
2357
原创 CVE-2018-0744 分析
CVE-2018-07440x1 漏洞简介Windows 8.1 和 RT 8.1、Windows Server 2012 和 R2、Windows 10 Gold、1511、1607、1703 和 1709、Windows Server 2016 和 Windows Server 版本 1709 中的 Windows 内核由于对象的处理方式而允许提权漏洞在内存中,又名“Windows 特权提升漏洞”。0x2 影响版本Windows 8.1Windows RT 8.1Windows Serv
2021-09-10 18:13:44
650
原创 CVE-2019-9193 复现
CVE-2019-9193(PostgreSql 命令执行)复现0x0 简介PostgreSQL作者称为Post-Gres-Q-L,是开源的功能强大的关系型数据库,支持SQL语法。在9.3版本中增加了一个COPY TO/FROM PROGRAM功能。该功能允许数据库的超级用户以及pg_read_server_files组中的任何用户执行操作系统命令。0x1 影响版本9.3-11.20x2 环境搭建这里使用的是vulhub环境,进入到vulhub−master/postgres/CVE−20
2021-08-24 12:45:05
910
原创 CVE-2016-0095分析
CVE-2016-00950x1 前言这个漏洞曾被4年前的一场SSCTF比赛拿来出过题目,该漏洞利用起来很简单,但是善后工作并不能做得很完善,所以总体来说利用极不稳定。这里也不得不感叹,4年前的CTF比赛就这么硬核了,没有人带着打比赛真的是太难了~如果仅是作为赛后复盘的话,没必要说清楚漏洞产生,只管利用就好了,但是这里作为分析,所以还是尽可能讲清楚漏洞的前因后果。0x2 漏洞简介Microsoft Windows Vista SP2、Windows Server 2008 SP2和R2 SP1、
2021-08-17 14:48:12
649
原创 CVE-2016-07255 分析
文章目录CVE-2016-072550x1 漏洞描述0x2 影响版本0x3 漏洞分析■ xxxNextWindow 逆向分析■ 漏洞验证■ 漏洞利用■ EXP■ 演示0x5 总结0x6 参考CVE-2016-072550x1 漏洞描述在windows的图形处理驱动win32k.sys中,函数 xxxNextWindow\textcolor{cornflowerblue}{xxxNextWindow }xxxNextWindow未检查对象的合法性就直接使用,存在安全隐患。攻击者可以通过精心设置该对
2021-08-14 11:51:11
464
原创 CVE-2016-0167分析
文章目录CVE-2016-01670x1 前言0x2 漏洞描述0x3 影响版本0x4 评级0x5 漏洞分析■ xxxMNDestroyHandler逆向分析■ MNFreePopup逆向分析■ HMAssignmentUnlock逆向分析■ MNFlushDestroyedPopups■ xxxMNDestroyHandler简要执行流程图■ xxxTrackPopupMenuEx逆向分析■ xxxMNLoop逆向分析■ 一条通往xxxMNDestroyHandler的路径分析0x6 漏洞利用■ 漏洞触发■
2021-08-12 16:12:13
767
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人