- 博客(22)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 Windows原理深入学习系列-强制完整性检查
这是[信安成长计划]的第 24 篇文章0x00 目录0x01 介绍0x02 逆向分析 Win10_x64_20H20x03 总结0x04 参考文章最近因为一些事情,拖更了三个周,大家见谅啊,后面还会开始一些其他的系列内容,还等着大家来捧场了。现在我们接着之前的进度,继续完成 Windows 原理的学习。在刚开始的时候,我们介绍了强制完整性控制的机制,这次就来看一下在实际的权限检查当中是如何进行的。0x01 介绍这次也还是接着上一次的 ObpGrantAccess 函数往后分析了,根据名字
2022-04-12 11:00:02
344
原创 Windows原理深入学习系列-信任等级检查
这是[信安成长计划]的第 23 篇文章0x00 目录0x01 介绍0x02 逆向分析 Win10_x64_20H20x03 WinDBG0x04 参考文章在之前的时候,一直以为 SACL 只是单纯用来审计的,但是在分析的时候发现并不完全是这样,他还有一些其他的作用0x01 介绍根据资料可以发现,对于权限的检查是在 ObpGrantAccess 函数当中完成的在之前的文章中,我们知道了在进行权限检查的时候,会先进行完整性等级的检查,然后再检查 ACL,但是在跟入函数以后,发现了在之前还有其
2022-03-19 11:02:15
225
原创 Windows原理深入学习系列-Windows内核提权
这是[信安成长计划]的第 22 篇文章0x00 目录0x01 介绍0x02 替换 Token0x03 编辑 ACL0x04 修改 Privileges0x05 参考文章继续纠正网上文章中那些奇怪的情况和问题0x01 介绍虽然主题是 Windows 内核提权,但实际上还是对之前文章的一个总结,这篇文章中所用到的东西全都是前几篇文章所提到的知识点,所有的操作都是之前文章中所讲述过的,以下所有的实验都是在 Win10_x64_20H2 上进行的。0x02 替换 Token主要原理就是将 Sy
2022-03-15 11:09:18
474
原创 Windows原理深入学习系列-特权
这是[信安成长计划]的第 21 篇文章0x00 目录0x01 介绍0x02 结构分析0x03 进程注入测试0x04 参考文章0x01 介绍在 Token 当中还存在一个特别重要的内容——Privileges,它也是权限检查中的一个,当用户去执行一些特权操作的时候,会检查这个位置,看是否有执行的权限。通过滥用一些特权指令,可以达到权限提升等目的,最常见的一个特权就是 SeDebugPrivilege,除此之外,还有很多的特权这些权限都可以通过 AdjustTokenPrivileges 来
2022-03-11 13:20:31
3742
原创 Windows原理深入学习系列-访问控制列表-关于安全描述符的补充
这是[信安成长计划]的第 20 篇文章0x00 目录0x01 安全描述符的结构0x02 两个结构的不同点0x03 真正的查询方案0x04 参考文章0x01 安全描述符的结构在上一篇文章中,我们在取 DACL 的时候,对安全描述符的结构产生了疑问,在查到的资料中都在说使用 _SECURITY_DESCRIPTOR 结构,但是因为符号不是最新的等等原因,造成了错位,最后发现应该 +0x30而在我们去分析内核实际操作的时候发现,应该使用的是 _SECURITY_DESCRIP
2022-03-08 12:17:54
189
原创 Windows原理深入学习系列-访问控制列表
这是[信安成长计划]的第 19 篇文章0x00 目录0x01 介绍0x02 DACL0x03 创建DACL0x04 文件读取测试0x05 进程注入测试0x06 原理分析 Win10_x64_20H20x07 参考文章在最后分析的时候纠正一下网上大批分析文章中的一个错误,东西只有自己实践了才知道0x01 介绍在上一篇讲强制完整性控制的时候提到过,在权限检查的时候,会先进行强制完整性检查,然后再进行 DACL 检查,DACL 就是包含在这次要提到的 ACL 当中的。访问控制列表(Acce
2022-03-04 09:41:17
3556
原创 Windows原理深入学习系列-强制完整性控制
0x00 目录0x01 介绍0x02 完整性等级0x03 文件读取测试0x04 进程注入测试0x05 原理分析 Win10_x64_20H20x06 参考文章0x01 介绍强制完整性控制(Mandatory Integrity Control,MIC),它是对 discretionary access control list 的补充,并且是在 DACL 之前检查的这是从 Windows Vista 新增的安全机制,在 Windows XP 中几乎所有的进程都是运行在管理员权限下的。在官
2022-03-01 10:33:57
4257
原创 CobaltStrike逆向学习系列(15):CS功能分析-BOF
这是[信安成长计划]的第 15 篇文章0x00 目录0x01 BOF功能分析0x02 BOF功能执行0x03 写在最后其实在看过 RDI 与 DotNet 功能执行之后,BOF 的执行基本就不用再说了,唯一需要提及的可能就是它所包含的技术,而且相关的文章和代码也都很丰富了0x01 BOF功能分析在 CS 中,有相当一部分功能都是 BOF 形式的,我们随意选择一个它继承了 PostExInlineObject 类,需要自己实现的并不多,但实际上,一些函数还是自己实现的好在实际调用的时候,
2022-02-22 15:26:12
667
原创 CobaltStrike逆向学习系列(14):CS功能分析-DotNet
这是[信安成长计划]的第 14 篇文章0x00 目录0x01 DotNet功能分析0x02 DotNet功能执行0x03 写在最后在上两篇文章中,讲述了 CS 中的一种功能执行方式 RDI,这一次来分析一下另外一个非常重要的功能执行方式——DotNet0x01 DotNet功能分析CobaltStrike 提供了一种可以执行任意 DotNet 程序的方案,使用了名叫 invokeassembly 的 DLL,来加载和执行所传递的 DotNet 功能,提供这个方法的 Job 是 ExecuteA
2022-02-20 13:34:18
1763
原创 CobaltStrike逆向学习系列(13):RDI 任务执行流程分析
这是[信安成长计划]的第 13 篇文章0x00 目录0x01 任务号0x02 功能执行0x03 结果接收在上一篇文章中已经讲明了 RDI 类型的任务在发布时候的流程,接下来就是执行了,文中不提任务接收与结果回传,这部分内容在之前也已经分析过了,继续使用 HashDump 来进行分析0x01 任务号按照上一次流程的分析,RDI 在构建的时候实际发布了两个任务,一个是 HashDump 的任务号,还有一个是通过 getJobType 获取到的根据上一篇文章的流程 HashDump 所调用的任务
2022-02-20 13:33:07
1924
原创 CobaltStrike逆向学习系列(12):RDI 任务发布流程分析
这是[信安成长计划]的第 12 篇文章0x00 目录0x01 任务构建0x02 结果处理0x03 功能 DLL 分析之前的分析都是针对整个 CS 的框架来进行的,但是功能也是整个 C2 中相当重要的部分,接下来几篇文章会对基本的功能类型的流程进行分析0x01 任务构建CS 自带的 RDI 类型的功能也有好多,但所有的构建等也都是大同小异了,这里以 HashDump 来进行分析,HashDump 有两种触发方式,一种是在界面上直接点击,一种是通过命令这两种方式在执行前都会去判断当前用户的权限
2022-02-20 13:30:53
281
原创 CobaltStrike逆向学习系列(11):自实现 Beacon 检测工具
这是[信安成长计划]的第 11 篇文章关注微信公众号[信安成长计划]0x00 目录0x01 检测原理0x02 检测方案0x03 存在的问题0x04 解决方案0x05 示例代码0x06 写在最后年也过了,继续开始卷卷卷…目前使用比较多的检测工具就是 BeaconEye,在之前的文章中也已经提到过它的检测原理与 Bypass 的方法《Bypass BeaconEye》《Bypass BeaconEye - Beacon 堆混淆》,BeaconEye 所依赖的就是 C2Profile 解析后
2022-02-03 18:19:33
723
原创 CobaltStrike逆向学习系列(10):TeamServer 启动流程分析
这是[信安成长计划]的第 10 篇文章关注微信公众号[信安成长计划]0x00 目录0x01 基本校验与解析0x02 初始化0x03 启动 Listeners在之前的分析中,都是针对 CobaltStrike 整体通信流程的,也就忽略了中间的一些细节,其中一些细节对理解整个 CobaltStrike 也是非常重要的0x01 基本校验与解析先取了默认端口接着对 Java 环境及一些参数进行了验证,并校验了 license这里重点看一下对于参数的检测,可以看到有校验两个参数是否存在,当你
2022-01-28 10:32:30
779
原创 CobaltStrike逆向学习系列(9):Bypass BeaconEye - Beacon 堆混淆
这是[信安成长计划]的第 9 篇文章关注微信公众号[信安成长计划]0x00 目录0x01 CS4.5 Sleep_Mask0x02 HeapEncrypt0x03 效果0x04 参考文章在之前的文章《Bypass BeaconEye》中提过了两个 Bypass BeaconEye 的方法,都是通过打乱 C2Profile 结构来做的,还有另外一种方式就是在 Sleep 的时候加密堆内存,在 CS4.5 中也对 Sleep_Mask 进行了更新0x01 CS4.5 Sleep_Mask根据
2022-01-21 11:14:34
601
原创 CobaltStrike逆向学习系列(8):Beacon 结果回传流程分析
这是[信安成长计划]的第 8 篇文章关注微信公众号[信安成长计划]0x00 目录0x01 Beacon 接收与处理0x02 结果回传Beacon 在接受完命令并执行后,会将数据加密回传给 TeamServer,TeamServer 进行解析后,并根据类型对结果的格式进行处理后,再回传给 Controller0x01 Beacon 接收与处理直接在通信相关函数上下断,HttpSendRequest 发送任务,InternetReadFile 接收任务跟出函数以后再根据其上下文分析,也就能推
2022-01-19 11:31:34
3094
原创 CobaltStrike逆向学习系列(7):Controller 任务发布流程分析
这是[信安成长计划]的第 7 篇文章关注微信公众号[信安成长计划]0x00 目录0x01 Controller->TeamServer0x02 TeamServer->Beacon0x03 流程图所有的任务在 Controller 处理以后,都会直接发送到 TeamServer,接着等待 Beacon 回连的时候将任务取走,文章以 shell whoami 为例0x01 Controller->TeamServer当在 Console 中输入命令回车后,会进入 Beaco
2022-01-14 13:24:15
186
原创 CobaltStrike逆向学习系列(6):Beacon sleep_mask 分析
这是[信安成长计划]的第 6 篇文章关注微信公众号[信安成长计划]0x00 目录0x01 C2Profile 分析0x02 set userwx “true”0x03 set userwx “false”CobaltStrike 提供了一个内存混淆功能,它会在 Sleep 的时候将自身混淆从而避免一定的检测0x01 C2Profile 分析因为 sleep_mask 是从 C2Profile 中设置的,所以就需要先搞清楚 TeamServer 是如何解析的很明显它还跟其他的设置项有关,
2022-01-11 11:35:09
386
原创 CobaltStrike逆向学习系列(5):Bypass BeaconEye
这是[信安成长计划]的第 5 篇文章关注微信公众号[信安成长计划]0x00 目录0x01 BeaconEye 检测原理0x02 Bypass 10x03 Bypass 20x04 效果图在之前的三篇文章《Stageless Beacon 生成流程分析》《Beacon C2Profile 解析》《Beacon 上线协议分析》中,已经穿插着将 C2Profile 的全部内容介绍完了,也把 Bypass 所需要的一些内容也都穿插着提到过了,接下来就该说如何对其进行 Bypass0x01 Beac
2022-01-10 22:25:15
475
原创 CobaltStrike逆向学习系列(4):Beacon 上线协议分析
这是[信安成长计划]的第 4 篇文章关注微信公众号[信安成长计划]0x00 目录0x01 Beacon 发送0x02 TeamServer 处理0x03 流程图0x04 参考文章在上一篇讲解 C2Profile 解析的时候,已经提到过如何断入到真正的 beacon.dll 当中,并且也清楚了它执行时的调用顺序,Beacon 上线的所有流程也都是在第二次主动调用 DLLMain 时执行的。因为主要说明的是上线流程,功能性的暂且不提,但是中间会穿插 C2Profile 的读取操作。0x01
2022-01-10 22:22:46
310
原创 CobaltStrike逆向学习系列(3):Beacon C2Profile 解析
这是[信安成长计划]的第 3 篇文章关注微信公众号[信安成长计划]0x00 目录0x01 Controller 端分析0x02 Beacon 端分析0x03 展示图在上一篇文章中完成了 Stageless Beacon 生成的分析,接下来就是对 Beacon 的分析了,在分析上线之前先将 C2Profile 的解析理清楚,因为 Beacon 中大量的内容都是由 C2Profile 决定的。而且,目前 C2Profile 也是被作为检测 CobaltStrike 的一种手段,只有在理解了它的实
2022-01-10 21:27:55
600
原创 CobaltStrike逆向学习系列(2):Stageless Beacon 生成流程分析
这是[信安成长计划]的第 2 篇文章关注微信公众号[信安成长计划]0x00 目录0x01 Patch Beacon0x02 Patch Loader0x03 文件对比0x04 流程图CobaltStrike 的 Beacon 生成分为两种,Stage Beacon 和 Stageless Beacon,这次主要来说明的是无阶段的 Stageless Beacon,最终文件比较大,不用从网络中来拉取。本文的分析流程使用的 payload 是 windows/beacon_http/rever
2022-01-10 21:18:48
604
原创 CobaltStrike逆向学习系列(1):CS 登陆通信流程分析
这是[信安成长计划]的第 1 篇文章关注微信公众号[信安成长计划]0x00 目录0x01 密码校验0x02 aggressor.authenticate0x03 aggressor.metadata0x04 数据同步0x05 流程图0x06 参考文章先统一一下后续文章所提到的一些名词,以确保大家都在聊同一个东西,文中将 CobaltStrike分为 Controller、TeamServer、Beacon 三端,本文所描述的是 TeamServer 启动之后,从 Controller 登
2022-01-10 20:19:31
389
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人