Iam0x17-CSDN博客

原创 cobaltstrike teamserver调试配置

最近在研究cobaltstrike，想着看看控制端登录teamserver的验证部分，可是却不知道该如何调试teamserver搜了一下，往上cobaltstrike二次开发环境搭建的文章有很多，不过都没有说明对teamserver的调试。在配置teamserver调试的过程中踩了一点坑，遂记录一下。......

2022-06-16 17:16:34 2141 1

原创某抑云评论的获取思路及实现

文章目录前言分析总结前言网抑云评论区个个都是人才，这里的人说话又好听，我超喜欢这里的。把评论抓取下来方便练习网抑，又练习了爬虫，一举两得好，网抑开始分析首先，第一步肯定是打开网抑云网页，找到一首歌歌曲下面的内容为评论，我们要获取的就是评论。查看网页源代码，看看评论是否存在于源代码中，经过搜索，发现评论内容并不存在于源代码中，这时就需要使用浏览器的F12开发者工具了。选项调到network，重新加载网页，寻找和评论相关的数据，发现在get链接中存在评论内容再观察该链接的Headers

2021-08-06 17:20:05 792

原创 Frida的安装与使用

文章目录Frida介绍Frida安装Frida Java层HookFrida Native层HookFrida介绍Frida 是一款基于 Python + JavaScript的 Hook 与调试框架，可运行在Win、Mac、Linux、Android、iOS等平台它是一款易用的跨平台Hook工具，主要被用作动态二进制插桩技术Frida安装1.安装Frida模块，命令为pip install frida2.安装frida-tools模块，命令为pip install frida-tools3.

2021-04-25 23:29:39 19765 3

原创使用android studio动态调试smali代码

文章目录Android Studio配置smalieda获取apk的smali工程设置动态调试配置Android Studio配置smalieda打开android studio设置插件中选择本地插件选择下载好的smalidea，点击ok注意：android studio4.1不兼容smalidea0.05，需要下载新版的smalidea0.06进行使用获取apk的smali工程将apk拖入android killer，选择工程打开文件路径将Project复制出来将复制出来的工程导

2021-03-24 22:33:03 532

原创利用代码注入和JEB动态调试两种方式获取Android CrackMe注册码

文章目录前言代码注入法JEB动态调试总结前言本篇的所使用的CrackMe是Android软件安全权威指南第六章的课件使用android killer定位关键函数已知v0的值为真正注册码，可通过如下方式获取代码注入法在realSN上方插入log，将v0种的值打印出来修改smali代码后，重编编译打开ddms，降程序放入模拟器运行，输入错误的注册码在ddms的log信息中可以查看到当前正确的注册码将注册码复制，可看到注册成功JEB动态调试打开JEB，在关键位置下断附加进程

2021-03-23 21:48:35 315 1

原创 CVE-2017-11882漏洞分析

文章目录漏洞描述分析环境POC漏洞分析参考漏洞描述CVE-2017-11882是微软公布的一个远程执行漏洞，该漏洞的成因是EQNEDT32.EXE进程在读入包含MathType的ole数据时，在拷贝公式字体名称时没有对名称长度进行校验，从而造成栈缓冲区溢出。分析环境Win7 x64Office 2010POChttps://github.com/Ridter/CVE-2017-11882漏洞分析在虚拟机下运行exploit.rtf，弹出计算器已知漏洞出现在EQNEDT32.EXE中，设置

2021-02-21 11:27:53 521

原创将shellcode变成pe文件去执行的两种方法

方法一适用于shellcode的数据量很小的时候先将shellcode转成c代码数组转成C代码的数据将数据拷贝到开辟的内存空间中执行unsigned char buff[] = {}void* exec = VirtualAlloc(0, sizeof(buff), MEM_COMMIT, PAGE_EXECUTE_READWRITE);memcpy(exec, buff, sizeof(buff));((void(*)())exec)();方法二适用于shellcode的数据量很

2020-12-08 16:32:05 552 1

原创 Git二分法查错

文章目录前言实战总结前言在更新代码或者记录的时候，总是会遇见由于某一版本记录开始存在bug，在记录量比较大的情况下人工去找存在bug的记录总是有些困难，使用git二分法查错就会变得很简单实战以下是测试二分法查错提交的一些记录，问题出现在这些提交记录中，假设test3的提交存在问题，我们可以先把版本切换到早期一个没有问题的版本git checkout 6dfd1eb98a03719a63d2cf4f9f818e4dfd7082bc这是记录是没问题的，使用git bisect good设置一个没

2020-11-26 21:51:08 528

原创 2017年上信息安全工程师真题网络扫描技术案例分析

试题：扫描技术是网络攻防的一种重要手段，在攻和防当中都有其重要意义。nmap 是一个开放源码的网络扫描工具，可以查看网络系统中有哪些主机在运行以及哪些服务是开放的。 namp 工具的命令选项: sS 用于实现 SYN 扫描，该扫描类型是通过观察开放端口和关闭端口对探测分组的响应来实现端口扫描的。请根据下图回答问题。【问题 1】此次扫描的目标主机的 IP 地址是多少？因为是要扫描端口，肯定是要进行握手连接，三次握手连接的第一次握手是客户端向服务器发送一个SYN消息，服务器返回应答包，根据图示，可

2020-11-19 20:14:37 2270 6

原创一条Almanahe感染型查杀日志扩展出的知识点

工作中时刻要解决用户问题，用户的问题如下这个病毒一个小时定时复制到C盘，安全软件可以查杀，但是生成这个文件的程序找不到遇到这种问题，凭借用户所说的肯定是无法判断到底是怎么回事，首先让用户上传日志然后用户发来一条日志病毒防护,文件实时监控,发现病毒Virus/Almanahe.a!src, 已处理操作进程：System病毒路径：C:\setup.exe病毒名称：Virus/Almanahe.a!src病毒ID：A79AB283EE7EA771操作结果：已处理这一条日志，其实包含的点已

2020-11-12 12:26:20 2903 6

原创 powershell恶意脚本解混淆

文章目录前言分析总结前言现在许多病毒作者为了免杀，使用powershell脚本来执行恶意行为的病毒越来越多，这次分析的一个样本就是利用powershell混淆来隐藏嵌在其中的cs后门dll分析样本代码从图上可以很清晰的知道存放了一段base64数据，首先将base64数据解密，使用gzip解压，解压的数据进行执行想要解密，也很简单：IEX用于将字符串作为命令执行，当去掉IEX后，再文件尾加上| out-file decode.txt将IEX (New-Object IO.StreamRe

2020-11-11 23:02:37 1726

原创实现一个远程宏模板执行恶意代码

文章目录原理实现创建宏模板创建加载远程宏文档文件运行总结原理word远程宏模板是利用word文档加载附加模板时向远程服务器发起请求而达成攻击的目的，请求并加载远程的恶意宏模板可用来执行恶意行为文档本身无恶意代码，内容中只有指向远程服务器地址的url，可以绕过安全软件的静态查杀实现创建宏模板在这里生成了两种宏模板，一种是cs生成的后门，一种是测试的弹框宏代码使用CS，生成宏代码创建一个docx文件，Alt+F11 启动vb编辑器，将代码粘贴进去，另存为dotm文件测试弹框的宏代码创建

2020-11-09 18:37:52 556

原创 Lua脚本解密

文章目录前言分析前言前段时间的O泡果奶病毒火了一把，虽然平时很少看android，却也来了兴趣，大致看了一下，也搜了搜，知道了关键点在lua上，可惜之前没接触过lua，当时并没有把脚本解出来。今天看到了一个lua解密的帖子，就试了下，没想到真的成功了，在此作一下记录吧分析android目录结构关键的lua逻辑目录关键文件是main.lua使用编辑器看也不是luac文件当我看到这个帖子时，翻看了下android的目录，果然看到了libluajava.so文件又了解到libluajav

2020-11-03 11:22:40 14506 6

原创 Synares感染型简单分析

文章目录前言样本简单分析前言Synares是去年出现的感染型病毒，当时为了弄清病毒的感染逻辑，也大致分析了一下这个病毒，最近整理文档，又发现了之前写的简短的分析报告样本简单分析当运行非C:\ProgramData\Synaptics\Synaptics.exe目录的病毒文件，首先查找自己的资源是否存在，（资源名EXERESX是被感染的前的源文件，如果存在EXERESX资源说明这是一个已经被感染的文件），存在后释放到当前目录并隐藏，创建进程执行释放的源文件。样本会判断互斥体避免多开，获取一些资源

2020-10-24 12:12:27 20355 4

原创用python实现一个最基础的端口扫描器

端口扫描器是一种检测服务器或主机虚拟端口是开启或关闭的工具。原理是程序尝试与目标主机建立连接，如果目标主机有回复则说明端口开放。使用python写一个端口扫描器大致可以使用两种方式判断端口是否在开启状态方式一：s = socket.socket()s.connect((‘ip, port))result_code= s.recv(1024)方式二：s = socket.socket()result_code = s.connect_ex((ip, port))在这里我使用了方式二来

2020-10-21 16:21:07 743 2

原创恶意流量练习题之2015-01-18-traffic-analysis-exercise

文章目录pacp包地址问题与回答2015-01-18-traffic-analysis-exercise-1-of-2.pcap2015-01-18-traffic-analysis-exercise-1-of-2.pcappacp包地址https://www.malware-traffic-analysis.net/2015/01/18/2015-01-18-traffic-analysis-exercise-1-of-2.pcap.ziphttps://www.malware-traffic-an

2020-09-29 18:53:54 495 3

原创恶意流量练习题之2015-01-09-traffic-analysis-exercise

文章目录pacp包地址问题与回答BASIC QUESTIONSEXTRA QUESTIONSpacp包地址http://www.malware-traffic-analysis.net/2015/01/09/2015-01-09-traffic-analysis-exercise.pcap.zip问题与回答BASIC QUESTIONSWhat is the date and time of this activity?抓包的时间是2015.1.6 00:24-00:26What is

2020-09-23 14:32:41 428

原创 upatre下载器变种分析

文章目录概述样本信息样本分析反虚拟沙盒代码混淆shellcode部分总结概述Upatre是于2013年被发现的Downloader，一直作为Dyre，GameOver Zeus等其他恶意家族的下载工具，许多诱饵都伪装成pdf文件来诱骗用户点击，Upatre的文件通常很小，功能单一，但用到的对抗手法值得分析样本信息样本是一个伪装为pdf文件的pe样本SHA1:377f6a84c823dc9f0fd615040b7abbc2454c0e03样本分析此样本到执行下载恶意软件之前主要分为两项操作：反

2020-09-22 12:12:26 514

原创 Git的基本使用

文章目录git初始配置常用命令查看状态拉库推库切换分支比较更改分支管理合并分支内容加入暂存区提交理由提交记录查看单条记录打标签撤销合并撤销提交理由回退版本给命令设置别名git初始配置使用git的目的一般都是提交本地的代码或文件到远程仓库，因此在刚安装git的时候需要配置用户名和密码git config --global user.name "username" git config --global user.email "email"将username和email换成自己的用户名和邮箱即

2020-09-15 15:10:57 158

原创 AgentTesla变种分析

文章目录样本信息样本分析总结样本信息SHA1:44ce804719e52c09717e7da84dcad01036a2f4a3样本是伪装成pdf文件的pe文件，来源any.run样本分析样本为.NET程序，经过多层解密，最后得到最后的窃密程序在第一层解密中，样本读取资源中资源名为SB的数据经过将&Z替换为A，字符串反转，base64解密，得到一个原始文件名为AndroidStudio.dll的样本AndroidStudio.dll是一个.NET的dll解密出的dll直接在内存

2020-08-30 19:09:00 1732

原创恶意流量练习题之2014-12-15-traffic-analysis-exercise

文章目录pacp包地址问题与回答BASIC QUESTIONSEXTRA QUESTIONSpacp包地址https://www.malware-traffic-analysis.net/2014/12/15/2014-12-15-traffic-analysis-exercise.pcap.zip问题与回答BASIC QUESTIONSWhat are the host names of the 3 Windows hosts from the pcap?What is(are) th

2020-08-18 19:26:25 491

原创恶意流量练习题之2014-12-08-traffic-analysis-exercise

文章目录pacp包地址问题与回答BASIC QUESTIONSMORE ADVANCED QUESTIONSEXTRA QUESTIONSpacp包地址http://www.malware-traffic-analysis.net/2014/12/08/2014-12-08-traffic-analysis-exercise.pcap.zip问题与回答BASIC QUESTIONSWhat is the date and time of this activity?2014.12.8Wh

2020-08-06 22:02:31 745

原创恶意流量练习题之2014-12-04-traffic-analysis-exercise

文章目录pacp包地址问题与回答BASIC QUESTIONSMORE ADVANCED QUESTIONSEXTRA QUESTIONSpacp包地址https://www.malware-traffic-analysis.net/2014/12/04/2014-12-04-traffic-analysis-exercise.pcap.zip问题与回答BASIC QUESTIONSWhat is the IP address of the Windows host that gets inf

2020-08-05 19:44:24 1118

原创恶意流量练习题之2014-11-23-traffic-analysis-exercise

文章目录pacp包地址问题与回答BASIC QUESTIONSMORE ADVANCED QUESTIONSpacp包地址https://www.malware-traffic-analysis.net/2014/11/23/2014-11-23-traffic-analysis-exercise.pcap.zip问题与回答BASIC QUESTIONSWhat is the IP address of the Windows VM that gets infected?What is

2020-08-05 15:52:55 603 1

原创恶意流量练习题之2014-11-16-traffic-analysis-exercise

文章目录简要说明pacp包地址问题与回答LEVEL 1 ANSWERSLEVEL 2 ANSWERSLEVEL 3 ANSWERS简要说明在工作中也会陆陆续续的分析一些流量数据包，但总感觉学的东西还是不到位，便想系统的学一学，正好这个网站（www.malware-traffic-analysis.net）有练手的习题可以拿来分析学习，也算是记录我的学习过程pacp包地址http://malware-traffic-analysis.net/2014/11/16/2014-11-16-traffic-

2020-07-31 15:03:39 1264

空空如也

空空如也