- 博客(27)
- 收藏
- 关注
RSS订阅原创 最简 RottenPotato 原型框架”的伪代码(包括自建 IStorage,管道监听、模拟 SYSTEM)
【代码】最简 RottenPotato 原型框架”的伪代码(包括自建 IStorage,管道监听、模拟 SYSTEM)
2025-05-13 20:32:31
93
原创 关于 \RPC Control\ 和软链接的创建
是 Windows NT 命名空间中的一个对象目录,专门用于命名管道的 RPC 通信。这就是 RottenPotato 中最关键的欺骗:让 SYSTEM 去连接你控制的内容。API 创建一个软链接(需要。
2025-05-13 18:17:30
80
原创 DCOM激活服务是什么东西——rotten potato原理篇
DCOM 激活服务问题回答Windows 默认开 DCOM 吗?✔️ 是的默认注册了像 BITS 这样的 CLSID 吗?✔️ 是的,大多数关键服务都有注册 CLSIDDCOM 默认要求认证吗?🌐 远程连接需要认证;📍 本地连接通常不验证我是普通用户,能激活 SYSTEM 服务吗?✅ 在本地可以(前提是服务暴露接口、未做权限控制)目标机器 DCOM 默认允许吗?✔️ Windows 默认开启了远程激活和访问,除非手动改注册表或 GPO。
2025-05-13 18:12:32
691
原创 烂土豆,rotten potato的原理,CoGetInstanceFromIStorage关系
问题回答是不是直接调用?❌ 不是,它和此漏洞无关要调用哪个函数?✅,用于远程 COM 激活要传什么?结构中传目标(比如 127.0.0.1),CLSID 指定 BITS会不会 SYSTEM 来连接我?✅ 会,触发 DCOM 激活 ➝ SYSTEM 尝试初始化 COM ➝ 系统连接你的 RPC能不能直接写 C 不导库?✅ 可以,只需标准 Windows COM API。
2025-05-13 17:32:23
347
原创 printspoofer的RPC调用接口的简单代码
方法优点缺点使用简单、直接、系统封装好了不够底层自己写 RPC 接口代码(手撸)灵活、深入理解提权机制麻烦、需要 RPC 基础。
2025-05-13 16:44:25
245
原创 进程是怎么创造出来的,是用线程创建的吗
管理的,不依赖用户线程。,我们称之为“主线程”。等系统调用创建进程。这句代码会让操作系统。的返回位置开始运行。
2025-05-12 14:20:48
298
原创 土豆提权的问题
这时,Windows 会用 SYSTEM 的 Token 自动进行 NTLM 握手(Type 1 → Type 2 → Type 3)。任务计划、服务、后台进程中触发了网络访问(比如 Windows Update、Outlook、WinHTTP 请求);有些提权工具(比如一些 Potato 变种)会主动发起一个 HTTP 请求,让系统自动去解析 WPAD;这个 SMB 服务会认为 “哦,这是个合法 SYSTEM 正在连我”,你就能。这个认证不需要你输入密码,是自动完成的;当前进程去触发 WPAD。
2025-05-08 23:31:56
331
原创 java反序列化的过程
Java反序列化(deserialization)就是把一段 序列化后的二进制数据(通常来自 文件、网络流等)还原成 Java 对象。读取魔数 + 版本号(stream header)每个 文件的前几个字节包含一个魔数,用来识别这是 Java 的序列化流( 开头)。后面跟着版本号(目前固定是 )。检查类的全限定名序列化数据中包含对象所属类的类名(例如 )。JVM 会使用这个类名,在当前 classpath 中查找是否有这个类的定义。检查 是否匹配这是用于版本控制的一个长整型字段。如果二进制流里的 和
2025-05-07 16:58:41
151
原创 冰蝎流量特征分析
这里给它解密下玩玩吧(怎么解密你就读你的木马文件就可以了)测试的冰蝎版本,天狐渗透工具箱社区版1.2——冰蝎4.1。如果单从http包的角度,我们发现ua头好像是没变的。第二这referer我也不知道什么鬼情况。强特征:请求体和响应体为纯base64状。现在打开wireshark开抓包。现在给它执行个命令,我们抓另类的包。现在生成个php木马,选个AES。再看请求体,纯base64体。先在再看当前流的第二个包。也是全base64体的。现在尝试连接,选自定义。再试着抓文件管理的包。
2025-04-22 00:22:55
207
原创 蚁剑流量特征分析
抓包,排出http包(前面的包是我之前抓的)返回包格式为 一段随机数+数据+一段随机数。最后好像有段base64码,看下能不能解密。现在修改写一句话木马的密码为passddd。开头是pass=@ini_set()结尾带个类似于base64的玩意。现在已经上传了一个一句话木马。连接成功后,右键选择文件管理。看下返回包,3段随机数。
2025-04-21 14:38:45
410
原创 红日靶场——此工作站和主域间的信任关系失败
我看了下如果只打开win7,其他域控什么的都关机的话,你其实还是能登上去的,说明什么,win7和域控是有一定信息差的,不是完全同步数据。再去打开win7改密码,这样能确保win7改了密码,域控能同时知道,就不会出现。所以你添加网卡时,是 原始的适配器为192.168.52.xxx (我的是vm5)所以其实是推荐你先打开域控,登入上去以后,就让域控挂在那。我在搭建红日靶场1时,发现改了下用户密码后。第一,它虚拟机的网卡是手工配好了ip的。此工作站和主域间的信任关系失败。新加的适配器随意,这有顺序的。
2025-04-19 23:48:42
345
原创 使用cyberchef解密冰蝎流量
双击operations就是添加,再双击recipe中的模块就是删除。所以用cyberchef肯定是先base64再aes解密。现在到wireshark中把冰蝎的流量复制下。默认密钥:e45e329feb5d925b。默认IV:0123456789abcdef。冰蝎流量是先aes128再base64的。打开cyberchef在线网站。搜索From Base64。粘贴上去,自动解密了。
2025-04-12 22:34:54
529
原创 为什么vmvare老是出现虚拟机的网络适配器网络电缆被拔出
额,我经常出现用虚拟机,虚拟机对外ping下,发现直接断网了。而我多次禁用重启虚拟机中的网络适配器没用,依旧显示。
2025-03-29 00:18:54
229
原创 天狐渗透工具箱——cs使用教学(带一点点应急响应知识)
直接esc加shift加ctrl打开资源管理器,看下有没有不认识的进程,给它结束就行。现在把整个文件夹复制粘贴进kali中(不然你的teamserver无法使用)(/f表示强制结束,/im表示按名字)(/pid表示用pid号)现在把这个.exe上传到win7,也就是靶机。这里显示我没权限的话,就换管理员打开cmd。./teamserver 你的ip 密码。现在在这页面打开个terminal。现在双击运行下,cs就上线了。现在回到天狐工具箱运行cs。现在生成个.exe木马。或者是tasklist。
2025-03-24 21:06:43
414
4
原创 idea的挂上fastjson
现在再在你的代码里导入必要的包就好了。这个时候,你的代码应该有红色波浪线。这个也许很基础,但还是记录一下。在pom.xml中添加这个依赖。
2025-03-10 21:14:13
248
原创 在ubuntu下安装docker进而vulhub需要注意事项
2,docker-compose 已经是过去版本了,现在的命令是docker compose,中间少了个。我最近在自己虚拟机装这玩意,发现vulhub这上面的办法老是失败。这样的代理,docker是默认不识别的,要单独给docker配。3. 如果你在ubuntu 的 terminal设置了。1,vulhub现在这个方法已经没用了。我以前装过docker和vulhub。用的办法是vulhub官网的一键安装。别在用vulhub官网的错误命令了。当时用的是阿里的香港云服务器。搞了一下午才明白几个点。
2025-03-09 17:07:44
120
原创 JavaSecLab的非docker,用idea的安装教程
这里我下载了1.8,你没有的话就点加号。你机器上的mysql的ip与端口。mysql -u 账号 -p。首先,到github下载,source 目标.sql。改下项目sdk,记得点“解压后,用idea打开。现在要记得改jdk版本。改下sdk版本为1.8。拉倒最下面就是1.8。
2025-03-08 22:01:51
138
原创 kali下go环境的安装与waybackurls的下载
检查是否安装在(或其他GOPATH目录)。将 Go 的二进制目录添加到PATH环境变量中。重新加载 shell 配置文件并执行命令。这些步骤应该能够解决你遇到的问题。重新加载zsh重新执行命令现在你可以重新执行命令,应该能够正确找到并执行但我的waybackurl好像用不了,不知道为什么,输入。
2025-02-15 00:31:42
854
原创 wpscan报错
然后记得关闭代理,不然你打的靶机网站全会走代理,就位置错了。虽然报错显示证书问题,但我试了下,挂个代理就可以了。今天用wpscan打自己电脑的靶机。
2025-01-25 23:26:14
192
原创 [0CTF 2016]piapiapia1 ctf解题思路
s:1:\"c\";中那么多\是为了告诉编辑器"是解释为字符,而不是闭合符号。现在把这个序列(O:3:"Ree":3:{s:1:"a";因为26,决定了接下来除了蓝色部分,连续的26个字符都是当成值的内容,也就是并没有闭合的意思。只有where是5个字符,如果在,序列化后,保存前,替换的话不就产生字符长度错误了吗。假设b的值是像题目一样是我们通过post传给它的,我们试着传个参数b覆盖后面c的值。O表示object对象,3表示Ree的长度为3,后面的3表示该对象有3个属性。
2025-01-19 16:16:31
910
原创 chrome中hackbar怎么绕过认证许可(hackbar如何破解)
我个人觉得这是因为chrome在运行官方插件时,会对源代码进行完整性签名校验,如果发现改了,就不让运行,所以你必须下载hackbar的zip包并解压,自己添加扩展才能修改。那么你去改hackbar的源代码后,重启hackbar会无法运行的。首先,如果你是在chrome的拓展商店下载hackbar的话。
2024-11-17 11:40:04
360
原创 vmwave明明装了vmwave tools为什么突然不能拖文件进去了
那可能是因为你要拖的文件比较大,或者运行内存和处理器一时,没反应过来。你只需要把鼠标悬停在虚拟机内多等一下,禁止图标就会变回来了。有部分友友,之前能拖文件,突然又不能拖了。
2024-10-08 18:41:16
383
3
原创 jpython官网上是没找到下载链接
我想下jpython standalone2.7.4的.jar包。但jpython官网上是没找到下载链接的。如何给burp装jpython。我问了下chatgtp。直接给了我个下载链接。
2024-09-21 22:28:01
435
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人