前两天看见鸭哥的文章https://mp.weixin.qq.com/s/cSZTzVSbUExF9A-7TsmWvw 里面利用内存的PAGE_GUARD属性 进行规避扫描 学习一下 记录一下过程 探测 先简单了解一下PAGE_GUARD PAGE_GUARD属性为内存提供一次性警报 访问PAGE_GUARD修饰的地址会引发STATUS_GUARD_PAGE_VIOLATION异常 并移除PAGE

Arcueid 发表于 浙江 · 1225浏览 · 2025-01-07 04:31

codeql 之 SSRF 漏洞自动化 寻找 环境搭建 下载项目 https://github.com/l4yn3/micro_service_seclab 然后放入 IDEA 即可，之后运行 这里主要研究 SSRF SSRF 的漏洞代码 package com.l4yn3.microserviceseclab.controller; import com.squareup.okhttp.Cal

真爱和自由 发表于 四川 · 1028浏览 · 2025-01-05 13:18

前言 对于webshell免杀来说，类绕过是最有效果且不易被检测出来的，那如果我们对类进行操作，在类里面加入一些算法和混淆代码，让代码逻辑变得十分混乱，不易读，甚至读不懂，但是却能够执行命令，可以rce，那岂不是可以bypass所有的杀毒软件和云沙箱了吗？ 利用稻妻雷元素方块阵 《原神》中的稻妻雷元素方块阵是一个解谜游戏 下面是示例代码： class InazumaPuzzle { pri

Werqy3 发表于 湖南 · 842浏览 · 2025-01-05 10:33

涉及 Js 逆向 无限 debugger 绕过 Js-rpc技术 Yakit 热加载批量 背景 之前写过的一篇文章https://xz.aliyun.com/t/16673 主要讲实战自动化加解密，其中对加密算法的处理就需要先分析再写加解密脚本 这种方式需要我们能够读懂目标JS代码的加密逻辑，完整还原加密链，然后再去编写代码。像0xsdeo师傅文章双层mitmproxy代理实现自动化加解密中提

Yu9 发表于 北京 · 842浏览 · 2025-01-03 07:09

cJSON库函数存在的堆溢出漏洞分析 附件：通过网盘分享的文件：test_cJSON.zip 链接: https://pan.baidu.com/s/1bfPQFxT2x_FuLsySkfakyQ?pwd=GAME 提取码: GAME 分享cJSON的起因 之前在某比赛里第一次遇到使用cJSON库函数的题目时。一直打不出来，就去看了看cve知道了存在了哪些漏洞。然后前不久强网拟态也遇到了调用cJS

1740025934885382 发表于 四川 · 208浏览 · 2025-01-02 12:58

前言 本文章中我们来讨论攻击者使用启用宏的Office文档来传递恶意代码的各种手段，概括了stager和stagerless的方式和相关的VBA实现方式，然后深入探究一下在OpenXML结构中隐藏攻击者意图的方法。这篇文章主要探讨比较基础的方式，后面有机会我们再谈谈一些用于隐藏Word，Excel和PowerPoint中的恶意数据，绕过工具及人员的分析的比较新（雾）的技术。 典型的payload传

Y5neKO 发表于 四川 · 414浏览 · 2025-01-02 06:54

前言概述 近日，笔者捕获到一例伪装成Chrome安装程序传播恶意软件的最新攻击样本，对该样本进行了详细分析，里面的恶意模块都使用了增肥和无效数字签名等技术，以逃避安全厂商的检测，同时还有一些反虚拟机检测，样本使用了三段ShellCode代码，还利用了一个开源的注入工具，会通过系统中的相关安全产品信息等，使用多种不同的方式注入加载执行ShellCode代码，分享出来供大家参考学习。 详细分析 1.初

熊猫正正 发表于 广东 · 710浏览 · 2025-01-01 23:46

0x00：测试环境 设备：Pixel 3 Android版本：12 面具版本：Magisk Delta 26.4-kitsune(26400) 0x01：加壳应用 某App 最新版本（24年9月最新版本） 某加密企业版 0x02：分析 App的root检测一般在Java代码层面检测，主要可能检测一些路径如 /system/xbin/ /system/bin/ /system/sbin/ /

amet707 发表于 北京 · 642浏览 · 2025-01-01 15:59

简介 AMSI是微软开发的一个用于扫描特殊攻击面的反病毒组件，可以看微软官方的AMSI介绍。这是微软官方的扫描原理介绍，ASMI接口会提供扫描的结果给杀毒软件，最后还是由杀软来处理恶意事件。官方还给出了AMSI的一些扫描API： 函数名称 说明 AmsiCloseSession 关闭由 AmsiOpenSession 打开的会话。 AmsiInitialize 初始化 AMSI A

真理的半说 发表于 四川 · 1791浏览 · 2024-12-31 06:08

今天心血来潮，学习一下php的bypass 混淆加密 https://splitline.github.io/PHPFuck/ <?php error_reporting(0); ((([]^[]).[][[]]^([]^[[]])+([]^[[]]).[][[]]^([].[])[([]^[[]])+([]^[[]])+([]^[[]])]).(([].[])[([]^[[]])]).((

Werqy3 发表于 湖南 · 2018浏览 · 2024-12-31 03:13

第一章：引言与背景 Android逆向工程，作为一种深入分析Android应用程序的技术，主要目的就是通过分析应用的代码、资源和行为来理解其功能、结构和潜在的安全问题。它不仅仅是对应用进行破解或修改，更重要的是帮助开发者、研究人员和安全人员发现并解决安全隐患。 本文主要对整个安卓逆向入门的体系进行整理,解决一些安卓逆向时候的痛点问题!每个知识点都会有对应的例题下载,或者前文对应刷题的链接,在刷题中

Brinmon 发表于 湖南 · 1299浏览 · 2024-12-30 07:27

前言 哥斯拉流量有三种PHP加密方式:PHP_EVAL_XOR_BASE64,PHP_XOR_BASE64,PHP_XOR_RAW,并且是通过密码和密钥进行加密的，那PHP_XOR_BASE64加密下，我们有流量的响应体和请求体的时候，却没有密钥or密码，该如何爆破？ 哥斯拉流量如何识别 先上传了小马 之后上传了一个大马 并且请求头没cookie，响应头出现了 set-cookie 响应体

J0J0 发表于 广东 · 778浏览 · 2024-12-30 05:24

本文所有代码位于：https://github.com/godownio/RASPAgent 环境配置 在讲晦涩难懂的理论之前，先配个代码环境： https://xz.aliyun.com/t/4902?time__1311=n4%2Bxni0QKmTbG8DBDBqDqpDUO2QooDkbIbReD https://xz.aliyun.com/t/4903?time__1311=n4%2Bxn

godown 发表于 广东 · 1283浏览 · 2024-12-30 02:30

在本篇文章中，我们将探讨常见的 shellcode 执行方式 部分在之前文章中具体分析过就不再赘述 所有代码 https://github.com/Arcueld/ShellcodeExec 常见shellcode执行方式 如下是常见的shellcode执行 或内存分配方式 内联汇编 指针 APC注入 EarlyBird 纤程 基于资源 回调函数 进程镂空 TLS 线程劫持 SetWindowHo

Arcueid 发表于 浙江 · 950浏览 · 2024-12-29 08:44

APC 如果不调用WindowsAPI 且 屏蔽中断 线程在不出现异常的情况下可以一直跑下去 那么我们该如何杀死线程呢? APC(Asynchronous Procedure Calls)异步过程调用 是Windows提供的一种机制，允许在某个线程上下文中执行异步函数 APC分用户模式和内核模式 我们先来看内核的 _KTHREAD中的ApcState成员存储了一个双向链表数组 一个是内核APC链表

Arcueid 发表于 浙江 · 582浏览 · 2024-12-29 08:43