最近Typora <1.6.7会有RCE问题,并且目前官网的最新版本就是1.6.7,所以找了一个最新的破解版,打开恶意Markdown也不会RCE了。 Typora1.6.7按照包下载 破解补丁winmm.dll放在安装目录 Typora RCE威胁情报 最后再推荐一个发现的很好看的一个主题:dyzj
特点如下: Indirect Syscall Using Exception Directory to get SSNs Mask Syscall Stub in static file Dynamic decrypt stub and make Call 回来再详细看一下,学习一下
一本针对钓鱼佬写的指南,主要是钓鱼的一些手法。其中可以多学习一些APT的手法,也许会有不错的收获。
免杀那块就算了,Github的基本上杀的死死的。
C2那里老老实实用二开CS就足够了
唯一的问题是,360会有痕迹beacon> help adduserbysamr Use: adduserbysamr [username] [password] [groupName] e.g: adduserbysamr sysadmin p@ssw0rd adduserbysamr sysadmin p@ssw0rd Administrators adduserbysamr sysadmin p@ssw0rd "Remote Desktop Users" Add a user to localgroup by samr, groupName is "Administrators" by default, do not use it at AD.
优点:解决了程序用了indirect syscall时候直接去ntdll.dll调用syscall指令的问题 这里我感觉就是找到kernel32的ADD RSP,68;RE指令以后,做了一个堆栈欺骗的操作把,调用完成后返回到这个指令的地址 而且这样用硬件断点结合VEH,去实时更改上下文寄存器直接更改几个syscall用到的rip、rax、r10,也不用我们自己构造stub存放在程序中了(构造stub还存在一个stub特征,混淆后还需要在text段涉及一个virtualprotect的调用问题) 代码非常不错,看完可以学一下硬件断点这个操作,当然只需要学习其优点,其中的get SSN 方法就中规中矩了