IAT隐藏与混淆 简介在我们的导入表中有一些PE相关的信息，比如我们写了一个loader，里面有申请内存的操作，或者有文件读取的操作，这些函数都会在导入表中出现，为了避免蓝队分析我们的二进制文件，所以我们必须将这些函数... 2024-1-22 00:11:42 | 阅读: 36 | 收藏 | 白帽子 pbase ppeb pdte pldr pdoshader

API挂钩 简介API挂钩是一种可以拦截和修改Windows API行为的一种技术，比如现在很多成熟的EDR产品，都对R0或R3层的Windows API进行了HOOK操作，API挂钩一般使用自定义的API函数来... 2024-1-21 00:22:17 | 阅读: 27 | 收藏 | 白帽子 挂钩 detours ifdef ix86

映射Ntdll.dll来取消挂钩EDR EDR会在特定的Windows API函数上挂钩，例如NtWriteVirtualMemory函数，NTAllocateVirtualMemory函数等等。我们可以从磁盘加载Ntdll.dll文件来绕... 2024-1-20 00:35:17 | 阅读: 20 | 收藏 | 白帽子 moduleinfo ntdllbase 映射

某OA的代码审计 某次渗透中，在短期内没有发现突破口，随后决定把重心放在目标的OA系统上，因为前期经过信息搜集，已经知道了该OA的框架，而且此系统是开源的。即使尝试了之前的Nday，发现有价值的漏洞都修复了，但是只要能... 2024-1-19 00:2:58 | 阅读: 41 | 收藏 | 白帽子 备份 数据 遍历 数据库 审计

关于DLL劫持死锁的问题 有时候挖掘白名单的时候会发现在DllMain中编写的loader或shellcode无法执行这个原因和解决方式我们来解决一下：当DLL被加载到进程中的时候，DllMain函数在同步锁内执行，比如exp... 2024-1-18 00:4:12 | 阅读: 23 | 收藏 | 白帽子 dllmain msedge shellcode f9

取消Avast挂钩Hook 首先在这之前我们需要了解DEP和ASLP是什么，DEP 和 ASLR是微软默认的两个缓解措施。DEPDEP简单来说就是数据执行防护，可帮助保护你免受从不应启动的位置启动的可执行代码的损害。DEP 通过... 2024-1-17 00:40:13 | 阅读: 7 | 收藏 | 白帽子 注入 poy windows startupinfo ply

K8s攻击案例：组件未授权访问导致集群入侵 K8s集群往往会因为组件的不安全配置存在未授权访问的情况，如果攻击者能够进行未授权访问，可能导致集群节点遭受入侵。比较常见的的组件未授权访问漏洞，主要包括 API Server 未授权访问、kubel... 2024-1-16 00:31:31 | 阅读: 17 | 收藏 | 白帽子 攻击 集群 etcd kubeletctl 端口

反虚拟机和反沙箱相关 通过关注系统环境来检测沙箱或虚拟机。导致不运行恶意代码，而是运行其他无害的代码。RAM/CPU一般来说虚拟的内存和CPU的数量都是有限的，但是这里不建议加虚拟机的反调试，因为有时候我们去打项目的时候难... 2024-1-15 00:17:52 | 阅读: 25 | 收藏 | 白帽子 虚拟 ntdlltest dirname windows

API挂钩-Windows API 简介在windows API中SetWindowsHookEx函数是可以用于API挂钩的，它主要用于跟踪某些类型的系统事件，它和之前那几个项目不同的是SetWindowsHookEx API不会修改函... 2024-1-14 00:26:32 | 阅读: 5 | 收藏 | 白帽子 挂钩 wparam 信息 wh lparam

打造属于你自己的Cobalt Strike插件 2022年没事的时候录过一个Cobalt Strike插件开发的视频，希望能帮助到你，里面有些英文念得不是很标准 望体谅。最近在沉淀相关的东西，到时会一并发出来。后面凑字数了凑字数凑字数凑字数凑字数凑... 2024-1-13 00:37:42 | 阅读: 6 | 收藏 | 白帽子 没事 录过 cobalt 体谅

从Resource中加载shellcode 在开发malware过程中通常有两种加载shellcode方式： 1.把shellcode直接以硬编码的方式写入代码中    2.采用分离加载的方式 制作一个shellcode loader 从本地读... 2024-1-12 00:36:26 | 阅读: 31 | 收藏 | 白帽子 shellcode hrsrc hglobal pshellcode

【漏洞挖掘】任意用户密码修改漏洞 免责声明：本公众号所提供的文字和信息仅供学习和研究使用，不得用于任何非法用途。我们强烈谴责任何非法活动，并严格遵守法律法规。读者应该自觉遵守法律法规，不得利用本公众号所提供的信息从事任何违法活动。本公... 2024-1-11 00:2:56 | 阅读: 29 | 收藏 | 白帽子 漏洞 账号 信息 找回 挖掘

全是精华 | 2023 Seebug Paper 年度盘点 2023年悄然流逝，在这一年中，我们见证了行业的变化和技术的进步，Seebug 漏洞平台 Paper 栏目也见证着各位师傅的成长。新年伊始，我们整理了平台上过去一年的优质文章及创作者。感谢各位师傅们的... 2024-1-10 00:1:43 | 阅读: 29 | 收藏 | 白帽子 seebug 漏洞 攻击 数据 绕过

JavaAgent(笔记1) 在这个笔记开始之前，前面的内容大家可以上网去搜索，也可以关注公众号我发给，前面笔记不是特别的重要，是一些javaAgent的基础，例如JavaAgent如何打包，Agent Jar组成的3个部分。还有... 2024-1-9 00:45:14 | 阅读: 7 | 收藏 | 白帽子 agentargs transformer instrument

字节码与类的加载笔记三(重点) 类的加载概述在数据类型中可以分为基本数据类型和引用数据类型，基本数据类型是由虚拟机预先定义好的，引用数据类型需要进行类的加载。类的加载结构图类加载阶段简单点就是将Class字节码文件加载到内存中，并在... 2024-1-8 00:14:9 | 阅读: 10 | 收藏 | 白帽子 classloader 数据 虚拟 loadclass clinit

字节码和类的加载笔记二 字段表集合用于描述接口或类中声明的变量，字段(field)包括类级变量以及实例变量，说白就是成员变量。但是不包括方法中或者代码块中声明的变量。字段叫什么以及定义什么数据类型这些都是无法固定的，只能引用... 2024-1-7 00:2:58 | 阅读: 14 | 收藏 | 白帽子 指令 数据 javatest 信息

域渗透初级命令 大概总结了一些以前项目中遇到域时用到的初级命令，他山之石，可以攻玉，大家见笑。一、初始信息收集1.查看当前网络及域名ipconfig /all2.查看安装的软件版本wmic product get n... 2024-1-6 00:16:11 | 阅读: 7 | 收藏 | 白帽子 信息 psloggedon netview

字节码与类的加载(笔记1) 字节码是什么？源代码通过编译器编译之后生成一个字节码文件，字节码是一种二进制的类文件，它的内容是JVM的指令，而不是C/C++经由编译器直接生成机器码。什么是字节码指令(Byte code) ?Jav... 2024-1-5 00:3:3 | 阅读: 8 | 收藏 | 白帽子 字面 计数器 u2 十进制 虚拟机

反序列化基础之反射机制 最近在学其他东西，就把之前总结的笔记发出来吧 供大家参考！！！Java反射机制java反射机制的引入为什么要存在反射机制？如果没有反射机制那么Java这门语言就不会动态化，也就不会有所谓的Spring... 2024-1-4 00:1:46 | 阅读: 12 | 收藏 | 白帽子 reflex 修饰 修饰符 newinstance

FreeMarker入门到简要分析模版注入 FreeMarker简介FreeMarker 是一款 模板引擎：即一种基于模板和要改变的数据， 并用来生成输出文本(HTML网页，电子邮件，配置文件，源代码等)的通用工具。它不是面向最终用户的，而是一... 2024-1-3 00:15:23 | 阅读: 13 | 收藏 | 白帽子 freemarker 数据 payload calculator createdata