• Persistence学习总结
  阅读全文 »

• 本文主要总结了几种不太常见的高级注入技术
  • Module Stomping(LoadLibrary)
  • Module Stomping(NtMapViewOfSection)
  • AtomBombing
  • Process Hollowing
  • Process Doppelgänging
  • Transacted Hollowing
  • Process Ghosting等

0x00 前言及原因分析

        CVE-2015-2546是发生在win32k!xxxMNMouseMove函数的一个释放后重引用漏洞(UAF),在win32k!xxxMNMouseMove中调用xxxSendMessage发送MN_SELECTITEM(0x1E5)和MN_SETTIMERTOOPENHIERARCHY(0x1F0)消息的时候，执行流可能会回调进入用户侧，当执行流从用户侧返回之后，win32k!xxxMNMouseMove函数并没有对tagPopupMenu对象进行校验，就将其传入win32k!xxxMNHideNextHierarchy对其进行了访问，从而引用UAF。

0x00 前言

        CVE-2014-4113是Win32k下的释放后重引用漏洞(UAF)，该漏洞位于win32k!xxxHandleMenuMessages中，通过调用win32k!xxxMNFindWindowFromPoint获取tagWnd指针，在此期间，执行流通过回调机制，返回用户侧，在用户侧释放目标菜单对象，并返回0xFFFFFFFB。当执行流重新返回内核侧，
并没有针对返回值进行校验，直接使用该返回值作为参数传入win32k!xxxSendMessage发送MN_BUTTONDOWN消息，由此造成UAF。

• HEVD简单学习
  阅读全文 »

0x00 前言与背景

        本文没有什么创新，只是在学习beacon生成和调试分析和检测beacon的过程中的一些记录。本文首发于跳跳糖安全社区(https://tttang.com/archive/1631/)

0x00 项目简介

        SysWhispers2Demo是通过逆向分析kernel32.dll或者kernelbase.dll文件，从而仿写部分Win32 API的实现逻辑，以解决部分SysWhispers2使用者在利用SysWhispers2做EDR规避时候所遇到的开发困难。SysWhispers2Demo在仿写Win32 API的时候，部分采用最小开发原则，即部分参数需要使用微软API文档所约定的默认参数，以减轻仿写的工作量。项目地址:https://github.com/findream/SysWhispers2Demo

0x00 绿盟科技-每周蓝军技术推送（2022.5.28-6.2）

• 原文链接：每周蓝军技术推送（2022.5.28-6.2
• 这一周的内容推送主要是一些工具推荐
• 释放UDRL（用户定义反射加载器）内存的BOF
• 基于低熵的香农编码隐藏shellcode
• Cobalt Strike Beacon 的用户定义反射加载器，伪造线程起始地址并在执行入口点后释放
• C# 编写的 COM 劫持持久化辅助工具
  阅读全文 »

• 本文转载于跳跳糖安全社区，原文链接为https://tttang.com/archive/1662/

0x00 每周蓝军技术推送（2022.5.14-5.20）

• 这一周的推送，主要学习了三部分内容：
• 篡改注册表与ETW，隐匿执行计划任务
• 使用NtCreateUserProcess进行PPID欺骗 和BlockDLL
• Windows环境下的自保护探究
  阅读全文 »