好久好久没打过内网了,最近项目是内网的项目,才发现自己的储备已经远远不够了。推荐几个还不错的BOF 添加用户 反正过火绒是无压力的,项目中使用了,非常不错adduserbysamr sysadmin p@ssw0rd Administrators痕迹清理-自删除 项目已用,稳定好用self_delete PID命令执行套件 公鸡队之家修改版,主要利用Windows API来完成对应的命令,非常不错 屏幕截图 CS自带的屏幕截图在某些环境下会截不全,这个BOF可以保证你的截图是全的,很厉害。 其他的我暂时还没有用到,用到了再补充。
这篇文章聚焦于市面上的几种syscall的一些项目的特点做了介绍,主要就是介绍几种syscall如何获取系统调用号和如何系统调用,对于部分syscall还介绍了相关对stub的处理。 阅读的时候需要注意前面博主提到的名词:syscall stub,也就是这个mov r10,rcx mov eax,[系统调用号] syscall ret因为后面会反复提及这个名词
在做完马以后,经常会被360QVM,实际上是因为360会对不携带资源的可疑程序进行拦截,标签为HEUR/QVM202.0.29xx.Malware.Gen,以下是一些对照表 文章来源于2015年,较老,仅供参考HEUR/Malware.QVM06.Gen 一般情况下加数字签名可过 HEUR/Malware.QVM07.Gen 一般情况下换资源 HEUR/Malware.QVM13.Gen 加壳了 HEUR/Malware.QVM19.Gen 杀壳 (lzz221089提供 ) HEUR/Malware.QVM20.Gen 改变了入口点 HEUR/Malware.QVM27.Gen 输入表 HEUR/Malware.QVM18.Gen 加花 HEUR/Malware.QVM05.Gen 加资源,改入口点 QVM07加资源一般加到2M会报QVM06 再加数字签名,然后再慢慢减资源,这个方法对大部分木马有效果。 QVM06 加数字签名 QVM12杀壳 QVM13杀壳 QVM27杀输入表 QVM19 加aspack QVM20就加大体积/加aspack压缩
方便初学者理解CS Beacon的多种通信方式,文章介绍了包括 HTTP/HTTPS SMB DNS TCP
在Quan的上上篇,介绍了一种白文件DLL注入的事:滥用带有签名的DLL注入程序 有大哥发出了一些挖掘思路: 他发现了obs-studio中的一个DLL注入程序,并且该程序自带混淆 之后逆向了一下,找到了这个程序的使用方式:1. inject-helper64.exe dllname 1 target_threadid inject-helper64.exe dllname 0 target_pid最后,授人以鱼不如授人以渔,给出了一些类型,让我们自由探索挖掘1.进程行为监控类软件 2.屏幕、桌面录制、窗口识别、截屏类 3.商业远控类型 4.进程内存管理、搜索、调试类那么另外一个星球的大哥也是放出了一个程序,就是Bandizip\data下的RegDll这个程序,双击会出现它的使用方式,比较好的是,这个似乎可以指定调用某DLL的函数RegDll32.exe /calldll DllPathName,DllFunctionName