0X00 前言 书接上回，本文介绍DLL远程注入 0x01 技术实现 我们这里创建一个notepad进程为例，并打印其PID和句柄。 if (CreateProcessA(NULL, (LPSTR)"notepad", NULL, NULL, TRUE, 0, NULL, NULL, &si, &pi) == NULL){ printf("[!] 进程...

0X00 前言 DLL注入，是向一个正在运行的进程注入代码的过程。我们注入的代码以DLL的形式存在。本文将DLL作为payload的用法，并演示如何在当前进程中加载恶意DLL文件。 0X01 DLL demo 这里笔者用一个简单的MessageBox 来作为演示demo #include <stdio.h> #include <windows.h> #incl...

0X00 前言 在昨天的文章中我们探讨了shellcode放置的几种方式，今天将接着昨天的文章，完成我们对.rsrc 区段的探讨。在我们实际的shelcode放置中，这也是一种比较好的方法，因为这个区段的优点有很多，比如可以存放更多的shellcode。 0X01 rsrc实现 我们先添加一个.rc 资源文件 然后导入一个ico 在到这一步的时候，我们输入RCDATA ...

0X00 前言 在我们编写自己的loader的时候，通常会把shellcode放在pe文件的不同地方，例如.data、.rdata 、.text 、.rsrc 等地方来实现自己的需求，在这里笔者将探讨这几种方式的实现。 0X01 .data区段 .data 是pe文件的一个区段，它包含已初始化的全局变量和静态变量，这个区段是可读可写的。当我们把shellcode设置为全局或局部变量，它...

0X00 前言 在实际环境中CreateRemoteThread会被诸如Windows Defender等各大杀软严格检测拦截。QueueUserAPC和NtMapViewOfSection是我们可以用来在进程中执行shellcode的另外两种方式。 0x01 QueueUserAPC 对于QueueUserAPC，这里主要有两种利用方式： 1.生成处于挂起状态的进程，在主线程上对A...

0X00 什么是进程注入 ​ 进程注入技术一直以来都是一个老生常谈的话题。这是一种广泛应用于恶意软件和无文件攻击中的逃避技术，这意味着攻击者可以将自定义代码运行在另一个进程的地址空间内，然后去进行敏感操作，以达到隐藏自身，绕过安全产品检测的目的。 0X01 CreateThread API ​ CreateThread API可以在调用进程过程中创建新线程，因此我们可以把shellco...

0X00 前言 ​ 在我们想要通过SQL Server来执行命令的时候，我们通常的做法是通过xp_cmdshell和sp_OACreate来实现执行命令的需求，然而在某些条件下，我们在利用这两个存储过程的时候经常会遇到被查杀拦截等情况，这些情况导致我们无法达到我们执行的命令的需求，本文将介绍另外一种方法：利用SQL Server CLR来实现不落地执行命令的需求。 0X01 什么是CLR...

0X00 什么是命令行欺骗 创建进程时，内部Windows数据结构Process Environment Block将会映射到进程虚拟内存中。该数据结构包含有关进程本身的大量信息，例如已加载模块的列表，以及用于启动进程的命令行。由于PEB（以及命令行）存储在进程的内存空间而不是内核空间中，因此只要我们对进程具有适当的权限，就很容易实现对其的覆盖。 0x01 为什么要用命令行欺骗 在蓝队...

0X00 什么是ASR Attack Surface Reduction(ASR)是微软推出一组Windows defender强化配置，旨在减缓攻击者常用的攻击技术。ASR规则在LUA中实现，并由Windows Defender执行。它们具体如下： 更加详细的细节可以在这个地方查看https://learn.microsoft.com/zh-cn/microsoft-365/sec...

0X00 PPID欺骗介绍 在我们使用CreateProcess API时，默认情况下，最后的进程将作为调用方的子进程生成。然而，PPID欺骗技术允许调用者更改派生进程的父进程。所以如果我们的beacon运行在powershell中，我们可以就将进程派生到一个完全不同的进程的子进程中，比如explorer.exe 。在默认情况下，大多数需要用户交互启动的程序都是由explorer.exe生...