• 本文转载于跳跳糖安全社区，原文链接为https://tttang.com/archive/1715/

0x00 C# 反射注入总结

      反射的流程一共有3种类型：CreateInstance类型，CallByName类型，Invoke类型。test

0x00 前言

      在ATT&CK框架中，持久性方面，攻击者使用计划任务，或者服务作为持久性的相关技术，但很少看到编号为T1546.015的COM组件劫持相关的利用。本文行文仓促，如有错误，请各位积极指正。

0x00 COM模型

      Component Object Model 译为组件对象模型，是一种独立于语言的一种二进制操作模型，攻击者通常使用组件对象模型(即COM)来执行本地代码。由于COM组件是语言独立的。所以，这些接口经常通过各种语言调用来进行代码执行，以及无文件下载以及持久性等诸多隐秘的操作，而被滥用。通常通过指定CLSID（标识GUID）或ProgID（程序标识符）来获得COM对象。

0x1 Dynamic Data Exchange

0x1.1 什么是 Dynamic Data Exchange

      Dynamic Data Exchange(DDE)，译为动态数据交换。DDE是一种Inter-Process Communication机制下的一种客服端服务器协议。

0x0 前言

      最近在学习Metasploit相关的东西，主要是基于msfvenom免杀相关的学习，由于免杀技术日新月异，更新速度快。所以本文只抛砖引玉。欢迎各位师傅探讨交流学习。

背景与前言

         根据360和微步在线公众号披露的情报称，从今年(2020年)11月份起，SideWinder开始策划针对中国的定向攻击。正如360威胁情报中心公众号所说，本次攻击是SideWinder利用邮件等方式传播带有远程模板的恶意文档发动的一次攻击，具体过程如下，首先利用远程模板注入从远程C2服务器上加载含有CVE-2017-11882漏洞的文档，之后执行恶意payload，加载释放在%temp%中的恶意js文件，该js脚本采用内存反射加载的方式执行C#文件，进而部署恶意后门程序。

0x0 前言

         前言略过，日后补齐~~

0x0 前言

         没事看看linux~~~~学习学习。然后的重点是linux的调试，文件结构，机制。慢慢积累。

0x1 常见混淆

• 基于大小写 ：hacky—>HaCky
• 基于字符分割：’Ha’+’Cky’—>HaCky
• 插入变量：’{0}{1}’-f ‘Ha’,’Kay’—>HaCky
• 反引号：H`aCky—>HaCky
• 基于命令转换(字符串转化为命令)&(HaCky)—>HaCky
• 基于空格或者ASCII
  阅读全文 »