Mccc_li的博客

域渗透

渗透测试

CobaltStrike自3.1.2就引入了SleepMask套件，SleepMask套件可以在http/https或dns Beacon进入sleep的时候混淆Beacon和堆。但是泄露的CS SleepMask已经被分析烂了，于是就自己写了个在睡眠状态混淆代码的Loader。

可以看到堆栈的情况，并没有调用LoadLibrary函数的情况，该dll加载先于程序的入口点，原始程序加载完dll运行一段时间就会退出，因此可以在msvcp140.dll被加载后将程序入口点patch阻断原始程序的运行流程。使用SharpDllProxy将msvcp140.dll的导出函数导出到文件中，该工具会生成一个.c的文件和一个dll，这个dll就是原始的msvcp140.dll。将上面导出的函数替换到下面代码的位置，然后编译生成dll文件，将该dll文件重命名为msvcp140.dll。

灵感来自于https://www.x86matthew.com/view_post?id=read_write_proc_memory微步在线不行奇安信行#include <Windows.h>#include <iostream>#include <compressapi.h>#pragma comment(lib,"Cabinet.lib")#pragma comment(linker,"/subsystem:\"windows\" /entry:

原文章:https://securelist.com/a-new-secret-stash-for-fileless-malware/106393/EventShellcodeDropper核心功能:下载shellcode和wer.dll,并将shellcode写入eventlogWer.dll核心功能:patch loader的入口点，从eventlog读取并执行shellcode，与原版的hook方式不同，原版使用了BlackBone中的inlineHook，不知道为啥我复现不成功，于是使用了V

#include <stdio.h>#include <vector>#include <windows.h>#include <psapi.h>#pragma comment(lib,"bcrypt.lib")#pragma warning(disable:4996)#define NT_SUCCESS(Status) (((NTSTATUS)(Status)) >= 0)#define STATUS_SUCCE.

#include <stdio.h>#include <vector>#include <windows.h>#pragma warning(disable:4996)#pragma comment(lib,"bcrypt.lib")#define NT_SUCCESS(Status) (((NTSTATUS)(Status)) >= 0)unsigned char shellcode[] = {};BOOL aes_decr

1.msf和cobalt strike都可以生成stageless或者stage的payload，在原则上来说使用stage的payload的被检测的可能性更小，但是由于各大杀软将stage的特征做的太死，所以目前来说不管是stage还是stageless的payload都是很容易直接被检测到的。stage的payload还有一个问题，就是其后续的stager下载也是一个特征，因此在我看来stage的payload会更加容易被检测到。由于cobalt strike的扩展性，可以通过用户自定义的插件来hook

#include <windows.h>DWORD test = NULL;DWORD oldflag = NULL;LPVOID ShellAddr = NULL;DWORD Protect = 0x01;LOGFONTA lf;HDC dc;typedef PVOID(NTAPI* FnAddVectoredExceptionHandler)(ULONG, _EXCEPTION_POINTERS*);FnAddVectoredExceptionHandler MyAdd

#define _CRT_SECURE_NO_WARNINGS#include <windows.h>#pragma comment(lib,"ntdll.lib")EXTERN_C NTSTATUS NTAPI NtUnmapViewOfSection(HANDLE, PVOID);char* decrypt(const char* string, short shift) { size_t len = strlen(string); unsigned short

虽然360对使用netuseradd 的api进行了一定的防护，但是做一下修改还是可以过的，甚至于我们可以尝试调用更加底层的api。mimikaz是真的强，还是还看源码才行。。。使用这个大哥写的工具测试的：添加链接描述Netuseradd稍稍修改一下：#define _CRT_SECURE_NO_WARNINGS#include <stdio.h>#include <Windows.h>#include <LM.h>#include <iostr

文章目录Command and Scripting InterpreterT1059.001 PowerShell基础命令PowerSploitnon-powershellPowerLinePowerShdllNopowershellSyncAppvPublishingServer调用MSBuild.exe调用cscriptT1059.003 Windows Command Shellcmd /cT1059.005 Visual BasicT1059.006 PythonT1059.007 JavaScri

test

#include <stdio.h>#include <Windows.h>#include <WinInet.h>#include <iostream>#include <string>#pragma comment(lib, "WinInet.lib")#pragma comment(linker,"/subsystem:\"windows\" /entry:\"mainCRTStartup\"")#pragma comme...

文章目录regsvr321.远程加载sct文件执行命令regsvr321.远程加载sct文件执行命令该手段的作用在于AWL(APPLICATION WHITELISTING，微软应用白名单策略：https://www.4hou.com/posts/4960)绕过，在windows10上绕过applocker这个东西不起作用了。。。。。1）sct文件的内容应该是类似于下面这种，文件后缀不一定是sct，但是文件的内容要是xml的格式.<?XML version="1.0"?><sc

testhttps://www.freebuf.com/articles/system/133990.htmlhttps://www.freebuf.com/sectool/254891.htmlhttps://www.freebuf.com/articles/network/249014.htmlhttps://www.cnblogs.com/-qing-/p/12234148.html#_lab2_1_1https://www.freebuf.com/articles/system/22823

文章目录一.测试环境二.横向手法1.系统漏洞类（1）.ms17-0102.凭据类（1）.使用IPC$进行横向移动1）前提条件：2）攻击手法：一.测试环境win7(192.168.100.132)->winserver2016(192.168.100.136)注意：所有的手法均在没有开启任何防护软件的情况下进行的！二.横向手法1.系统漏洞类（1）.ms17-0102.凭据类（1）.使用IPC$进行横向移动1）前提条件：1.对方主机开启admin$和c$等默认共享，通过ipc$连接可以

文章目录ThinkPHP 2.x 任意代码执行漏洞漏洞原理ThinkPHP 2.x 任意代码执行漏洞漏洞原理ThinkPHP 2.x版本中，使用preg_replace的/e模式匹配路由：$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));导致用户的输入参数被插入双引号中执行，造成任意代码执行漏洞。ThinkPHP 3.0版本因为Lite

文章目录Apache HTTPD 多后缀解析漏洞Apache HTTPD 换行解析漏洞Apache HTTPD 多后缀解析漏洞由于管理员启用了错误的配置文件导致文件被解析。以下配置会导致文件后缀中有.php的就会被当作拍黄片文件来解析测试：上传一个jpg格式的文件访问看看：发现php代码被解析Apache HTTPD 换行解析漏洞...