- 博客(23)
- 资源 (1)
- 收藏
- 关注
RSS订阅
原创 Cobalt Strike CS2 Beacon免杀技术分析
Cobalt Strike 2/4.x (CS2) 是当前红队演练和APT模拟中最常用的控制框架。由于它的 Beacon payload 默认给出的可执行文件、加载器和 shellcode 均已被大量杀毒软件加入特征并纵向检测,因此,Beacon 免杀处理是正常使用的必须技术前缀。免杀技术分为静态免杀,动态免杀,行为干扰免杀,内存免杀和正常行为防护等方面,以下进行精细分类。利用 VirtualAlloc / VirtualProtect 创建可执行内存段自定义 shellcode 解密流程。
2025-04-03 19:20:12
1491
原创 Chrome漏洞可窃取数据并获得未经授权的访问权限
这些缺陷被识别为CVE-2025-3619和CVE-2025-3620,在Windows和Mac的135.0.7049.95/.96之前影响Chrome版本,影响Linux的135.0.7049.95/.96。该公司的内部安全工具,包括AddressSanitizer,MemorySantizer和libFuzzer,在发现和减轻这些威胁之前,在它们被广泛利用之前发挥了关键作用。一旦被利用,攻击者可能会窃取存储在浏览器中的密码、财务信息和其他敏感数据,甚至控制受影响的设备。关键 Chrome 漏洞。
2025-04-17 12:02:15
1114
原创 DC-6 靶机渗透实战笔记
信息收集与初始突破:通过域名识别和 WordPress 渗透实现初始访问。用户口令弱点与爆破:WordPress 用户弱口令爆破拿下后台访问权限。插件漏洞利用:借助插件中命令注入实现 RCE 并反弹 shell。横向移动与文件分析:利用残留文件中的账号信息,实现横向用户转换。脚本配置不当:通过备份脚本反弹 shell 到 jens 用户。Nmap NSE 脚本提权:利用 sudo 权限下的 Nmap 执行恶意 Lua 脚本获得 root shell。此靶机综合考查了。
2025-04-17 11:54:24
792
原创 BOF免杀与Linux隐匿执行技术详解:对抗、策略与实战路径
Unit][Service]User=root[Install](注意:隐藏在以“.”开头的 systemd 服务中默认不被 systemctl list-unit-files 显示)在 EDR + AI 行为检测 + 云原生微服务背景下,未来攻击早已不再依赖“一个文件一个控制点”的旧逻辑。动态加载、函数级执行、分布式通信、调用链扰动才是未来主流。Linux 平台也正在走向“攻击与防御并行演进”的新时代,系统服务组件与安全模块越开放,越成为高阶红队持久控制的载体。“不是没有攻击,只是你没看到。
2025-04-09 08:00:00
857
原创 超详细 sqlmap 使用教程(从入门到进阶)
例 1:自动识别 + 导出所有数据例 2:POST 登录接口注入测试例 3:使用 Burp 抓包测试例 4:读取数据库用户信息并执行 whoami建议理由使用--batch做自动测试减少交互操作,提高效率指定-p参数避免浪费时间在无关参数学会使用-r静态请求文件更适合测试复杂 POST、Cookie 请求配合使用手动确认参数后自动化测试更高效测试环境先用线上目标避免影响服务禁用系统功能或告警如--os-shell等需谨慎使用🚀 七、sqlmap 高级技巧 & 实战应用拓展。
2025-04-08 09:00:00
1289
原创 后门持久化与隐匿技术分析:原理、机制与实战演化
后门技术的终极目标从来不是“上线”,而是“沉默存活”。从入口投送、模块部署、免杀策略、行为隐藏,到最终的通信逃避与长期管理,构建一个真正意义上难以察觉、难以清理、难以中断的持久控制体系,才是红队实战中的王道。多节点联动的链式触发多平台切换的逻辑状态机多信道可选的自适应 Beacon多阶段模块的自动化加载管理“看不见的不是不存在,是已经与环境融为一体。愿你所布控的每一条链路,都能悄无声息、久久为功。
2025-04-08 08:00:00
1121
原创 反序列化漏洞 Waf 绕过技术:解析与执行的认知博弈
在当前的安全攻防实践中,针对反序列化漏洞的 WAF 检测机制仍存在诸多盲区与不完善之处。为了更深入地理解其绕过方式,我查阅了大量公开研究、实战案例与工具源码,并系统性地梳理出了9 类典型的反序列化漏洞 WAF 绕过技术策略。“在不被识别为恶意的前提下,如何让 payload 既具备混淆性,又能精准执行?WAF 绕过从来不只是编码和隐藏,更是一种关于解析、执行路径与安全策略认知的博弈。希望本文的内容,能为你的实战思路带来一些启发。💡。
2025-04-08 08:00:00
1160
原创 Web常见漏洞全面技术介绍与Payload分析
Web安全是一项系统性工程,漏洞防护需贯穿于需求设计、开发实现、上线测试、运维加固等各个环节。常见漏洞虽模式固定,但攻击链灵活多变,攻击者会结合多个漏洞绕过防护或提升权限。
2025-04-07 08:56:19
871
原创 内存免杀技术分析:原理、方法与实战应用
内存免杀代表了攻防技术的集大成者,它将加密算法、内核原理、操作系统行为、线程模型、模块结构、执行逻辑伪装融为一体,形成真正意义上的多维立体隐匿技术。这是对现代EDR架构的深度挑战,也是对安全工程师知识体系的极限拷问。未来,随着硬件安全模块、行为追踪引擎和 AI 模型加速部署,内存免杀将成为持久控制、无文件攻击与多态演化的必备核心技术之一。“能被看见的攻击,才值得被防御;真正的免杀,从未暴露。愿每一位隐匿于内存深处的研究者,都能以极致之术,行无痕之道。
2025-04-07 08:00:00
1123
原创 CVE-2025-1648 漏洞全解析|WordPress Yawave 插件 SQL 注入漏洞分析
漏洞编号组件名称:WordPress 插件 Yawave漏洞类型:SQL 注入(基于时间的盲注)危害等级:高危(CVSS ≥ 8.0)认证要求:无需认证,远程可利用影响版本发现时间:2025 年第一季度利用复杂度:低(无需特殊认证或逻辑绕过)Yawave 是一款用于提升用户互动体验的 WordPress 插件,具备在线问卷、实时博客(LiveBlog)、互动表单等功能,广泛用于社区平台、新闻网站与营销页面。在其处理 AJAX 异步请求的模块中,由于未正确过滤和验证lbid。
2025-04-07 08:00:00
894
原创 CVE-2025-30065 漏洞全解析|Apache Parquet 反序列化远程代码执行漏洞分析
漏洞编号影响组件:Apache Parquet(parquet-avro 模块)漏洞类型:反序列化漏洞(Unsafe Deserialization)危害等级:高危(CVSS 评分 ≥ 9.0)攻击向量:本地文件或远程数据载入(取决于使用场景)影响版本认证要求:无需认证,仅需触发反序列化逻辑修复版本:1.15.1发布日期:2025 年第一季度。
2025-04-06 17:24:49
1386
原创 CVE-2025-24813 漏洞全解析|Apache Tomcat 关键路径绕过与RCE
是 Apache Tomcat 中一个关键的路径等效性(Path Equivalence)漏洞,允许未经身份验证的远程攻击者在特定配置下实现远程代码执行(RCE)、读取敏感文件,甚至篡改文件内容。该漏洞已在野外被观察到存在实际利用行为,影响范围广泛。CVE-2025-24813 是一次典型的“路径+反序列化+配置缺陷”复合型漏洞,表面上源于文件路径处理缺陷,实际利用则依赖于多个错误配置的叠加效应。边界可信假设失效、中间件权限设置失误、反序列化引擎暴露等老问题,在现代系统中依旧构成致命威胁。
2025-04-06 09:00:00
3624
原创 Apache Tomcat CVE-2025-24813 反序列化RCE漏洞在公开后仅 30 小时就大量利用
换句话说,攻击需要发送一个 PUT 请求,其中包含一个 Base64 编码的序列化 Java 有效负载,该负载被写入 Tomcat 的会话存储目录,随后在反序列化过程中通过发送带有指向恶意会话的 JSESSIONID 的 GET 请求来执行。“虽然此漏洞滥用了会话存储,但更大的问题是 Tomcat 中的部分 PUT 处理,这允许将几乎任何文件上传到任何地方,”它补充道。该公司表示:“此次攻击利用了 Tomcat 的默认会话持久机制及其对部分 PUT 请求的支持。2025 年 4 月 6 日。
2025-04-06 08:30:00
404
原创 行为免杀技术分析:原理、方法与实战应用
动态免杀技术的发展,不仅是对安全检测体系的持续挑战,更是攻防对抗演进中的技术巅峰。在红队、APT、渗透测试等真实作战场景中,只有深刻理解检测逻辑、充分掌握行为链条构造与伪装机制,才能真正实现隐秘渗透与稳定控制。“在被看见之前,先让自己不存在;在被分析之前,先让行为不可还原。未来的攻防战,将不再是“工具对工具”的静态比拼,而是“认知对认知”的隐蔽交锋。希望本文能为你的红队体系构建、安全研究或高强度实战提供强有力的理论基础与操作路径。黑暗中的潜行,需要极致的控制;静默中的战斗,需要清晰的策略。
2025-04-06 08:00:00
1104
原创 Next.js 中间件漏洞 CVE-2025-29927 原理及利用介绍
Next.js 的中间件机制极大地提升了开发效率与控制粒度,但本次 CVE-2025-29927 漏洞也警示我们:框架级封装中的“内部机制”若缺乏边界验证,极易被外部恶意请求滥用,从而导致严重的认证绕过问题。这不仅是一次技术层面的漏洞修复,更是对开发者和安全团队的提醒——“内部接口不可信,所有输入皆需控在追求高性能、低延迟架构的同时,安全策略的细节设计同样应同步演进。中间件不是“安全的代名词”,而是“责任的起点”。安全防线,不仅来自中间件执行的逻辑判断,更来自开发者对信任边界的清醒认知。
2025-04-06 06:00:00
2412
原创 最新Next.js 漏洞可使攻击者绕过中间件授权检测
仅影响使用“next start”和“output: standalone”的自托管版本。JFrog表示:“该漏洞允许攻击者轻松绕过 Next.js 中间件中执行的授权检查,从而可能允许攻击者访问为管理员或其他高权限用户保留的敏感网页。Next.js在一份公告中表示: “Next.js 使用内部标头 x-middleware-subrequest 来防止递归请求触发无限循环。Next.js React 框架中披露了一个严重的安全漏洞,该漏洞可能在某些条件下被利用来绕过授权检查。
2025-04-05 22:00:00
262
原创 Ingress NGINX 控制器漏洞允许在无需身份验证的情况下进行 RCE
大约 43% 的云环境容易受到这些漏洞的影响。Kubernetes的Ingress NGINX 控制器中披露了五个严重的安全缺陷,可能导致未经身份验证的远程代码执行,并将组件暴露给公共互联网,使 6,500 多个集群面临直接风险。该公司在与 The Hacker News 分享的一份报告中表示:“利用这些漏洞会导致攻击者未经授权访问 Kubernetes 集群中所有命名空间中存储的所有机密,从而导致集群接管。“准入控制器的提升权限和不受限制的网络可访问性创建了一条关键的升级路径,”Wiz 解释道。
2025-04-05 17:29:54
975
原创 严重的 Ivanti 漏洞被利用部署 TRAILBLAZE 和 BRUSHFIRE 恶意软件
除了对CVE-2023-4966进行零日攻击,影响Citrix NetScaler设备之外,UNC5221还利用受感染的Cyberoam设备、QNAP设备和华硕路由器的干扰网络在入侵操作期间泄露其真实来源,微软上个月初也强调了这一点,详细介绍了Silk Typhoon的最新技巧。该公司表示,它知道“有限数量的客户”的 Connect Secure 和已终止支持的 Pulse Connect Secure 设备遭受了攻击。Silk Typhoon 是微软对这一活动的称呼,我们无法确定其归属。
2025-04-05 16:38:45
852
原创 Apache Parquet Java 库 反序列化漏洞 CVE-2025-30065
CVE-2025-30065 是 Apache Parquet Java 库(特别是其 parquet-avro 模块)中一个严重的反序列化漏洞,允许攻击者通过特制的 Parquet 文件在目标系统上执行任意代码。由于官方未明确指出具体的类名,建议查看 parquet-avro 模块中负责模式解析的相关类,以进一步分析漏洞细节。然而,鉴于该漏洞的严重性,建议用户立即采取措施进行防护。限制不受信任的输入: 在处理来自外部或不受信任来源的 Parquet 文件时,务必谨慎,避免处理未经验证的文件。
2025-04-05 15:43:39
532
原创 Apache Parquet 中的严重缺陷允许远程攻击者执行任意代码
云安全公司 Aqua 在本周发布的分析报告中表示,发现了一项新的攻击活动,该攻击活动针对具有易于猜测的凭据的 Apache Tomcat 服务器,以部署加密负载,旨在窃取 SSH 凭据进行横向移动,并最终劫持系统资源进行非法加密货币挖掘。虽然没有证据表明该漏洞已被广泛利用,但 Apache 项目中的漏洞已成为威胁行为者的攻击目标,他们希望趁机侵入系统并部署恶意软件。“此外,该脚本还用于检查用户是否具有 root 权限,如果具有,则执行两个功能来优化 CPU 消耗,以获得更好的加密挖掘结果。
2025-04-05 14:38:05
391
原创 动态免杀技术分析:原理、方法与实战应用
检测引擎类型描述示例技术关键词/检测手段沙箱行为分析在隔离虚拟环境运行样本,记录其系统/网络行为Cuckoo、FireEye、360沙箱虚拟化检测、延时触发、环境感知EDR 行为监控引擎实时拦截可疑行为,API hook、DLL注入监控,行为建模识别API混淆、直接系统调用、行为链拆分内存扫描引擎(Memory AV)检查 RWX 页、挂钩内存页、无签名代码、Shellcode 模板特征内存加密、动态解密、代码签名伪造调试器/脚本跟踪监控。
2025-04-05 08:00:00
2658
原创 CERT-UA 报告称,乌克兰国家系统遭 WRECKSTEEL 恶意软件攻击
上个月底,SEQRITE 实验室透露,俄罗斯的学术、政府、航空航天和国防相关网络正成为武器化诱饵文件的攻击目标,这些诱饵文件很可能是通过网络钓鱼电子邮件发送的,这是一项名为“Operation HollowQuill”的活动的一部分。在某些情况下,这些链接嵌入在 PDF 附件中。俄罗斯能源公司、工业企业以及电子元件供应商和开发商组织也成为了代号为Unicorn的威胁行为者发起的网络钓鱼攻击的受害者,该攻击释放了一种 VBS 木马,旨在从受感染主机中窃取文件和图像。这些攻击尚未被归咎于任何国家。
2025-04-05 00:36:50
677
原创 静态免杀技术分析:原理、方法与实战应用
静态免杀作为红队链路中的第一步,是让代码从“形”上看起来是安全的。它要求我们既要隐藏好“刀刃”(Shellcode/关键逻辑),又要给“刀鞘”(Loader/EXE文件)精心包装。在现代检测技术面前,仅靠静态免杀已无法长时间维持潜伏。关注我,后面将免费更新免杀和漏洞原理文章作者:Factor。
2025-04-04 08:00:00
1319
shiro反序列化利用工具 shiro-attack-4.7.0 550 721 利用工具
2025-04-03
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人