- 博客(9)
- 资源 (6)
- 收藏
- 关注
RSS订阅原创 常见注册表键值
进入B的注册表,选择文件中的连接网络注册表,在查找位置中输入aaaaa,这时注册表中出现了songxiang计算机的注册表,修改键值:aaaaa\HEKY_USERS\S-1-5-21-823518204-688789844-842925246-500\Software\Microsoft\Windows\CurrentVersion\Policies\System下的disableregistrytools值改为0就可以了。新用户根据默认用户的配置信息来生成自己的配置文件,该配置文件包括环境、屏幕和声。
2024-05-13 11:22:29
467
1
原创 TokenTactics利用绕过微软多重身份验证
例如,如果您有一个 Graph 或 MSGraph 令牌,您可以连接到Azure并导出用户、组等信息。接着,切换到Outlook令牌并读取/发送电子邮件,或者切换到 MS Teams 令牌并读取/发送消息!Azure 访问令牌允许您以使用设备代码登录的用户身份进行身份验证,即使他们使用了多因素身份验证。一旦获得用户的访问令牌,可能可以访问某些应用程序,如 Outlook、SharePoint、OneDrive、MSTeams 等。简单点说,它可以用来微软绕过身份认证,获得用户的访问令牌。
2024-03-15 15:27:07
322
1
原创 Hook技术之API拦截,Detours
Detour作为微软官方的Hook库,其代码是非常稳定的,并且。(当然了没有绝对的安全,日常使用够了)
2024-01-16 18:26:23
410
1
原创 利用 CVE-2023-36025 进行防御规避
当利用 CVE-2023-36025 的恶意 .url 文件(钓鱼等方式投递)被执行,它就会连接到攻击者控制的服务器以下载并执行控制面板项 (.cpl) 文件。引起公众注意的是,各种演示和概念验证代码已在社交媒体上流传,详细介绍了 CVE-2023-36025 的利用情况。攻击者通过使用 .cpl 文件作为恶意有效负载传送机制的一部分,制作 Windows 快捷方式 (.url) 文件来逃避 SmartScreen 保护提示。当恶意.cpl文件通过Windows控制面板进程二进制文件执行时,它会依次调用。
2024-01-16 18:11:17
1618
1
原创 Pyinstaller打包程序解包,反编译(部分支持python3.11)
程序为Github开源项目打包的Release。将pyc文件反编译为py文件(可能会存在部分文件无法反编译)。支持如下py版本~。
2023-08-25 17:52:54
1257
1
原创 2021-04-22
OllyDbg中,快速查找指定代码的四种方法代码执行法:例如:在调试器中调试CreakME.exe时,main()函数的MessageBox()函数在某个时刻就会被调用执行,弹出消息对话框。基本原理就这些,当程序功能非常明确时,逐条执行指令来查找需要查找的位置。字符串检索法:鼠标右键菜单 -- Search for——All referenced text strings API检索法——在调用代码中设置断点:鼠标右键菜单 -- Search for——All intermodular call
2021-08-23 21:11:35
74
原创 2021-04-22
关于启动函数:启动函数(Stub code)并不是用户编写的代码入口,而是编译器任意添加的代码。 编译程序时,不同编译器会根据自身特点添加不同启动函数,特别是EP代码区域中存在着许多启动函数,它们也被称为启动代码。调试程序时,不需要分析这些启动函数,但是有必要分清楚程序中哪些是启动函数,哪些是用户代码。在vc中可以通过调用堆栈查看启动函数:也可以在OllyDbg中查看。第一次发文章,不会排版,不会组织语言。选取启动函数作为第一篇文章,是希望有始,学海无涯,同意暗示有终。...
2021-04-22 14:46:33
57
Hook技术之API拦截,Detours
2024-01-16
PyInstaller打包程序解包,反编译工具
2023-08-25
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人