0X1前言 接上文,由于中途出现一点小事情升学方面的耽误了下片这里补充下片文章,本文中介绍间接系统调用 0X2间接系统调用介绍 上文当中说的直接系统调用是一中技术,现在的红队和攻击者成员还是在使用这种技术,比如说加载shellcode或lsass转存成,但是目前已不足够在各个阶段当中规避EDR的查杀(内核回调,直接系统调用的return语句不在ntdll.dll的内存范围之内)那某EDR就明确为W

本*v 发表于 湖南 · 834浏览 · 2024-05-22 09:15

一、COM组件简介 COM定义了适用于多操作系统和平台的二进制互操作性标准，包括标准线路格式和协议，促进不同硬件平台上对象之间的交互。COM组件独立于实现语言，可用不同编程语言创建COM库，支持跨平台软件重用。COM规范涵盖支持跨平台软件重用的基本概念，允许组件协同工作创建可重用组件生成的应用程序。类、接口和类型库可通过注册表查看，它们被定义为COM设置。在客户端和服务器通信时，可以使用服务器中的

唧*用 发表于 北京 · 580浏览 · 2024-05-22 08:54

本文案例下载地址： https://play.picoctf.org/practice/challenge/361?originalEvent=72&page=3 双击运行pico.exe 屏幕上方的一串英文是叫我们找flag，我在这个小地图里走来走去也没flag，上梯子后发现突破点 墙外有一个旗帜，但是我们无法出去，有空气墙，碰到旗帜就应该能拿到flag了 目前能拿到flag的思

Ba1_Ma0 发表于 四川 · 3904浏览 · 2024-05-22 04:14

背景知识 在之前的文章https://xz.aliyun.com/t/14542 和https://xz.aliyun.com/t/14487 中，我们介绍了静态欺骗和动态欺骗堆栈，今天我们来一起学习一下另一种技术，它被它的作者称为Custom Call Stacks,即自定义堆栈调用。 关于堆栈欺骗的背景我们就不再说了，这里我们补充一下回调函数和 windows 线程池的知识。 回调函数是指向函

fdx 发表于 山东 · 1273浏览 · 2024-05-21 13:24

C#程序的逆向 前言 本文将从简单C#入手，初步了解C#程序的逆向方式 1.认识C C#是微软公司发布的一种由C和C++衍生出来的面向对象的编程语言、运行于.NET Framework和.NET Core(完全开源)之上的高级程序设计语言。并定于在微软职业开发者论坛(PDC)上登台亮相。C#是微软公司研究员Anders Hejlsberg的最新成果。C#看起来与Java有着惊人的相似；它包括了诸如

1111815583505006 发表于 山东 · 1728浏览 · 2024-05-21 11:49

前言 在c语言中我们使用的MessageBoxA函数，其实存放在User32.dll动态链接库中，它是一个windows API函数 当c语言在链接时，它会将源文件中的代码、库函数等链接在一起，生成最终的可执行代码，形成可执行程序 当程序运行时，操作系统会加载程序所需的动态链接库到内存中，而User32.dll中的MessageBoxA函数也被放在了内存中的一个位置，供给程序使用 硬编码shell

ming9 发表于 山东 · 1703浏览 · 2024-05-21 03:25

翻译：https://www.elastic.co/security-labs/spring-cleaning-with-latrodectus LATRODECTUS 介绍 2023年10月，沃尔玛研究人员首次发现了LATRODECTUS，这是一种恶意软件加载器，在网络犯罪分子中越来越受欢迎。尽管被认为是一个新的家族，但由于行为和发展上的相似之处，包括一个下载和执行加密负载的命令处理程序，LA

朝闻道 发表于 湖北 · 611浏览 · 2024-05-20 15:54

Double Free 依赖于fast bin是单向链表，并且由于当chunk被释放时，fast bin 为了防止相邻堆块合并，而导致其next_chunk的prev_inuse不会被清空 然后main_arena指向了最后应该被释放的chunk的prev_use 因此 Double Free能够成功利用主要有两部分的原因： fastbin的堆块被释放后next_chunk的prev_inuse

YOLO 发表于 山东 · 631浏览 · 2024-05-16 13:28

pwn入门-任意地址写之堆利用 最近在进行堆利用的学习，进行了一些总结和各位师傅们分享一下 我们在栈题中可能会通过各种方式获得任意地址写的能力 而在堆利用中，我们则是可以通过对uaf,double free等漏洞的利用来获取任意地址写的能力 Use after Free漏洞 我们首先来认识一下use after free漏洞 void main() { int *ptr1 = mallo

柳贯一 发表于 江西 · 1197浏览 · 2024-05-14 14:39

前言 堆管理机制 fast bin后进先出 Use After Free UAF即使用释放后的chunk、 fastbin不仅使用单链表进行维护，由fastbin管理的chunk即使在被释放后chunk的p参数也不会被重置，而且在释放时只会对链表指针头部的chunk进行校验。 对于一个内存被释放后存在如下情况 内存块被释放后，其对应的指针被设置为空字节，再次使用时程序会崩溃 内存块被释放后，其对

YOLO 发表于 山东 · 850浏览 · 2024-05-14 13:17

前置知识 熟悉OD的界面与功能 了解什么是断点 C/C++基础知识 汇编指令 程序GUI 程序和用到的代码附件获取，切记不要本机运行！ 信息收集 破解第一步，永远都是对程序的信息收集，不熟悉程序的使用，就是纸上谈兵。 点击 Help --> register，弹出注册框。 首先，根据GUI，我们就可以了解到，程序有可能使用的Windows API。 GetDlgItemTextA

Yu9 发表于 河南 · 2128浏览 · 2024-05-14 08:30

pwn入门-任意地址写 在最近的ctf比赛中，新学到一点知识和师傅们分享一下 void _input() { void *buf; read(0,&buf,8ull) read(0,buf,8ull) } 我们一般会通过这种代码获得任意地址写任意内容的能力 第一个位置输入要篡改内容的地址， 第二个输入篡改后的内容 而有了这个能力之后，我们可以修改许多的内容来get

柳贯一 发表于 江西 · 1315浏览 · 2024-05-13 12:00

遍历Windows操作系统的执行体回调 前言 回调对象（Callback Objects），这是官方的名字，这个名字有点含糊，容易混淆，我更愿意叫它执行体回调。 因为相关的函数中包含：Ex*Callback。以便和CmRegisterCallback，ObRegisterCallbacks等概念区别。 这个对象的相关的流程是： 创建/打开：ExCreateCallback 注册/设置相关属性：

correy · 903浏览 · 2024-05-13 09:15

0X00 前言 最近在某技术论坛当中披露了一批APT组织的攻击样本，其中Kimsuky组织的钓鱼方式，引起了笔者的兴趣。Kimsuky组织，是一个已知的政府网络间谍组织（将军的恩情！！！），其活动可以追溯到2012年左右。这次Kimsuky组织的攻击手段是社会工程学+钓鱼邮件，攻击流程如下图所示(图片来源，笔者画图技巧有待提高，凑合看一下): 这其中笔者比较难以置信的是，Kimsuky居然通过

面包and牛奶 发表于 山东 · 718浏览 · 2024-05-13 01:31

翻译：https://www.mcafee.com/blogs/other-blogs/mcafee-labs/from-spam-to-asyncrat-tracking-the-surge-in-non-pe-cyber-threats/ AsyncRAT，也被称为“异步远程访问木马”，代表了一种高度复杂的恶意软件变种，精心设计用于破坏计算机系统的安全性并窃取机密数据。McAfee 实验室最近

朝闻道 发表于 湖北 · 542浏览 · 2024-05-11 08:55