用 Yara 对红队工具 "打标"(二)
本篇是对 用Yara 对红队工具 "打标" 的继承和发展,让思维更高一层。
- 0
- 1
- 沐一·林
- 发布于 2022-10-19 09:30:00
- 阅读 ( 12800 )
沐一·林
关于Phar的深入探索与发现
相信大多数师傅应该都是和我之前一样, 对pahr的了解主要就是局限于它的压缩包功能和反序列化的使用, 但其实除了这两个功能外phar还提供了很多的其他函数, 甚至可以直接将一个phar文件作为一个简单的php服务运行.这几天因为一点别的原因我就对phar的使用做了更多的探索, 相信看了这篇文章之后可以解决不少小伙伴对phar的一些疑问
- 0
- 1
- markin
- 发布于 2022-10-17 10:03:52
- 阅读 ( 10089 )
markin
Mimikatz:msv功能模块浅析
没学过逆向的web小白,起初想着在主机做弱口检测,但基本都是以爆破的方式实现。由于获取主机明文密码受系统版本和注册表配置影响,所以只能想到NTLM比对,那么NTLM怎么获取呢,一起看看mimikatz的msv功能模块吧
- 0
- 1
- w1nk1
- 发布于 2022-10-11 09:14:24
- 阅读 ( 9775 )
w1nk1
Phar反序列化如何解决各种waf检测和脏数据的添加问题?
快来学习如何解决phar的压缩包的脏数据添加问题, 看完这篇文章之后对phar的waf检测和脏数据的问题再也不用挠头了
- 1
- 1
- markin
- 发布于 2022-09-27 11:24:09
- 阅读 ( 9946 )
用 Yara 对红队工具 "打标"
我们尝试使用 YARA 作为一种扫描工具,我们根据要扫描的红队工具提取出它们特有的二进制或文本特征,希望能整理成能唯一标识该类(不同版本)的红队工具的 YARA 规则,用于对特定主机扫描时可以快速识别该主机上是否存在对应的红队工具,以加强对目标主机的了解。
- 2
- 1
- 沐一·林
- 发布于 2022-09-27 11:26:59
- 阅读 ( 11532 )
.NET MVC实现虚拟WebShell第3课之IAuthorizationFilter
0x01 背景 授权过滤器(IAuthorizationFilter)在认证过滤器(IAuthenticationFilter)之后,从命名来看AuthorizationFilter用于完成授权相关的工作,所以它应该在Action方法被调用之前执行才能起到...
- 1
- 1
- Ivan1ee
- 发布于 2022-09-23 09:11:45
- 阅读 ( 8845 )
Ivan1ee
“电幕行动”(Bvp47)技术细节报告(二)——关键组件深度揭秘
在报告“Bvp47-美国NSA方程式组织的顶级后门”(参考1)的描述中,Bvp47本身像是一个巨大的壳或压缩包,共包含了18个分片,盘古实验室展示了对于Bvp47后门程序的归属分析和部分技术细节的描述,比如BPF隐蔽隧道,但依然还有部分其他模块值得深入探究,这些模块既可以作为Bvp47的一部分一起执行任务,也可以被独立使用。
- 0
- 1
- 奇安信攻防社区
- 发布于 2022-09-13 12:27:23
- 阅读 ( 10729 )
奇安信攻防社区
【实战】镜像检材取证和嫌疑人证据场景下实战思路教程 PART Ⅲ
故事背景(纯属虚构)是网络监控发现嫌疑人正在售卖自己非法授权攻击网站获取的学生和员工隐私信息(一个数据库),其中包含了性别,薪资情况,身份证,地址,手机号码,相似亲人手机号码等等,发现本次数据库交易金额为1万余元
- 2
- 1
- Tangerine
- 发布于 2022-09-26 09:21:46
- 阅读 ( 20416 )
Tangerine
PHP伪协议的一点新发现(php://temp)
今天从看到了青少年强网杯的一道题, 题目很简单, 但是却刚好使用了我以前注意到的一个点所以就继续深究了一下,也是有了一点发现, 发篇文章和大家分享一下这个php伪协议的一点知识.
- 2
- 1
- markin
- 发布于 2022-09-22 09:25:11
- 阅读 ( 11007 )
浅谈JFinal的DenyAccessJsp绕过
为了提升应用的安全性,JFinal 较新的版本默认不能对 .jsp 文件直接进行访问,也就是在浏览器地址栏中无法输入 .jsp 文件名去访问 jsp 文件,但是可以通过 renderJsp(xxx.jsp) 来访问 jsp 文件。但是实际上在某些场景下可以进行Bypass。
- 1
- 1
- tkswifty
- 发布于 2022-09-22 09:26:37
- 阅读 ( 12146 )
tkswifty
【实战】取证流程全解析Otter CTF实战操作 PART Ⅱ
数字取证是一门非常重要且关键的技术,这一次我们来练习从问题出发,像做数学题一样按步骤解析探索过程,给出题目,获取答案,获取镜像文件中关键信息。
- 1
- 1
- Tangerine
- 发布于 2022-09-21 09:13:06
- 阅读 ( 12627 )
通过Scheme Flooding达成的本地安装软件痕迹探测浅析
Scheme Flooding 的直译叫做「方案泛洪」漏洞,但是以这个关键词拿到百度搜索搜不出啥有用的东西,下文就以 Scheme Flooding 直接表示了,本文将从 效果-成因-反制 三个角度对此技术进行浅析,由于本人也是第一次接触这个漏洞类型,对我也是从零到一的过程,可能会存在错误,望各位师傅斧正,可以加本人微信:liyi19960723讨论
- 1
- 1
- 385
- 发布于 2022-09-15 09:31:01
- 阅读 ( 8844 )
就叫16385吧
恶意样本自动化配置提取初探
本文分享自己对 capev2 上 emotet 配置提取脚本的参考分析和探究历程,希望能给到大家知识帮助。
- 0
- 1
- 沐一·林
- 发布于 2022-09-07 09:43:23
- 阅读 ( 10661 )
从漏洞通告探索至POC——Dedecms article_coonepage_rule.php SQL注入(CVE-2022-23337)
本文笔者根据CVE官网的一纸通告,分析了Dedecms <v5.7.89的一个未公开POC的sql注入漏洞(CVE-2022-23337),并且经过分析和测试,得出了可用POC。
- 0
- 1
- 3r1cCheng
- 发布于 2022-09-02 09:51:26
- 阅读 ( 10675 )
.NET 逆向——AgentTesla样本分析(下)
此次分析的是 .NET APT 样本,用于学习和积累 .net 程序的分析方法,希望能给后面的人更多的经验分享。
- 0
- 1
- 沐一·林
- 发布于 2022-09-01 09:45:51
- 阅读 ( 9691 )
Alibaba Sentinel SSRF漏洞(CVE-2021-44139)浅析
Sentinel中的管控平台sentinel-dashboard存在认证前SSRF漏洞,恶意用户无需认证即可通过该接口进行SSRF攻击(CVE-2021-44139)。
- 2
- 1
- 3r1cCheng
- 发布于 2022-08-30 09:43:58
- 阅读 ( 13471 )