Execute-Assembly 攻守之道 发表于 2023-04-02 | 分类于 Windows 攻防 0x01 Execute-Assembly 原理 在《Cobalt Strike 原理分析》一文中,介绍了内存加载程序集(Assembly)的主要有四步: 1> 加载CLR环境 2> 获取程序域 3> 装载程序集 4> 执行程序集 阅读全文 »
Sliver源码分析 发表于 2023-03-02 | 分类于 Windows攻防 Implant上线分析 sliver的Implant存在两种工作模式,一种是beacon模式,这是一种异步处理模式,Implant收到指令之后,并不会立即执行,而是等待一段时候之后进行处理。另外一种是session立即处理模式。在https://github.com/BishopFox/sliver/blob/master/implant/sliver/sliver.go的main函数中,分别存在beaconStartup和sessionStartup。beaconStartup对应的是beacon模式,sessionStartup对应的是session模式。 阅读全文 »
detect threat inject —— 以Get-InjectedThread为例 发表于 2023-02-20 | 分类于 红蓝对抗 本文以Get-InjectedThread脚本为例,概括了检测线程注入的方法 阅读全文 »
CVE-2018-8120 内核提权漏洞分析 发表于 2023-02-08 | 分类于 Windows 内核提权漏洞 0x1 漏洞描述 CVE-2018-8120漏洞是一个位于win32k模块中的SetImeInfoEx函数的任意地址覆盖漏洞,漏洞产生的根本原因是没有对tagWINDOWSTATION结构的spklList成员做有效性验证,就对其进行解引用,如果spklList为NUll的话,继而对其进行解引用,导致漏洞触发。 阅读全文 »
Lsass Dump 发表于 2022-12-30 | 分类于 windows安全 0x01 现成工具 任务管理器 procdump:procdump -ma lsass.exe lsass.dmp Sharp dump:其核心也是使用MiniDumpWriteDump Out-MiniDump:是PowerSploit下的一个转储组件。同理也是使用MiniDumpWriteDump 阅读全文 »