ga0weI Blog

「纸上得来终觉浅」

借助Windows_WFP静默端上edr等应用

学习windows底层的流量过滤平台在攻防场景中的使用及思考

0x01 背景 之前接触到了edr致盲的思路,于是学习了下windows下的WFP的使用; 作为windows上底层的网络过滤平台,防火墙、一些防病毒软件、vpn等相关产品都是基于WFP来实现的; 最常见的edr致盲手段就是通过防火墙禁止IP、应用来实现,而防火墙其实就就是一个封装好带ui的简易版WFP;所以这里准备直接学习下WFP的原理、开发即使用; 0x02 WFP使用 WFP...

Posted by Ga0weI on October 19, 2024

记一次某红队样本分析_自研C2框架

记录下对某样本(加载器、shellcode)分析过程,总结学习其使用的相关技术

0x01 背景 分析了一个比较有意思的样本,通过分析,发现该样本具备较强的免杀能力,并且其制作者应该具备较强的免杀能力以及安全开发能力,分析下来收获不小;有段时间没有更新blog正好也就写篇文章记录下。 0x02 样本基础信息 利用微软应用的dll劫持漏洞,白加黑运行 1 2 3 4 5 6 7 8 9 10 黑dll name:mpclient.dll md5:3f88191d...

Posted by Ga0weI on October 15, 2024

微信数据库解密聊天信息获取

学习微信数据的加密原理,以及从进程拿到的加密使用的直接key,从而实现对微信数据的解密获取聊天记录,最后简单写了各聊天查看工具

0x01 前言 学习下微信 数据库解密备份操作,之前是一直知道这东西能做,也测过几个github上的开源工具,但是没有具体了解怎么找key和微信的数据库加密方式以及结构;于是找了些资料看了下,学习了下;记录的学习过程如下。 0x02 学习过程 要想解密,需要拿到的key和数据库文件; 拿数据库文件,需要wxid; 所以核心就是从进程中拿到的wxid、key、数据库文件路径; 一、...

Posted by Ga0weI on October 15, 2024

UAC流程及提权原理分析

windows的UAC机制学习、绕过利用原理分析及检测思路落地

0x01 背景 此文首发:奇安信攻防社区 https://forum.butian.net/share/3710 之前分析一个样本里面内置了一堆Bypasss UAC提权的操作,分析完之后测试发现一些杀软这个行为检测不到,于是准备详细分析下Bypass UAC提权的行为,看下如何针对这种Bypass UAC 提权行为产生的特征进行关联从而落下来一个检测思路; 0x02 UAC流程 一...

Posted by Ga0weI on September 19, 2024

忆往昔-忆往昔_JAVA内存马的一生

记录常见java内存马实现原理以及一些检测和反检测思路

两年前写的文章最近出了后续系列(过几天发出来是关于“应急响应”—>内存马排查检测相关的),在blog上先更新下之前的文章; 此文首发于先知:https://xz.aliyun.com/t/11003 一、前言 前段时间总是发现客户那边出现了内存马弄的我头大,当时好像是一个脚本小子拿着SummerSec师傅的ShiroAttack2工具打的,客户那边正好shiro存在反序列化漏洞,...

Posted by Ga0weI on September 4, 2024

BypssUAC_com组件CMSTPLUA_ICMLuaUtil接口提权

UACME_41技术分析,利用进程伪装+CMSTPLUA组件任意ICMLuaUtil命令执行接口绕过UAC

0x01 前言 UACME这个项目基本时收录了目前所有公开的bypassuac手段,这些绕过手段大致可以分为几大类,其中较为常见的一类是: 通过利用某些com组件的某些接口存在的方法可以任意命令执行,并通过白名单进程(explorer.exe 、dllhost.exe等)或者做了属性伪装的进程调用对应的接口,从而实现提权; 0x02 原理 com组件本质上是二进制文件(dll、exe...

Posted by Ga0weI on July 29, 2024

忆往昔-记一次(白加黑dll劫持+域名前置)样本分析

通过一个样本来看dll劫持和域名前置

0x01 前言 22年在客户处HVV的时候,写的一篇分析文章,因为一些原因一直没发出来,今天分析某样本的时候想起来之前的分析文章,顺便在blog上更新下; 域名前置这个技术真的是历久弥新,从21年国内攻击队开始范围使用,到最近的hvv还比较常见,从23年年底开始笔者发现这个域名前置技术,有的攻击队开始老树开新花,一改往日作风,把前置域名干掉,样本里面内置cdn节点,然后直接上后置域名,也...

Posted by Ga0weI on July 26, 2024

BypassUAC_fodhelper进程Registry-Shell_Open_Command提权

UACME_33技术分析,利用fodhelper依赖HKCU低权限注册表shell-open-command绕过UAC

0x01 前言 UACME这个项目基本时收录了目前所有公开的bypassuac手段,这些绕过手段大致可以分为几大类,其中较为常见的类型之一是: 通过修改低权限注册表HKCU下的相关项,使某些windows内置的能够不弹窗自提权的exe的逻辑被篡改,从而实现提权; 如UACME33: 利用fodhelper.exe本身符合uac的无弹窗提权校验(两个条件,一个是路径是system32,...

Posted by Ga0weI on July 26, 2024

BypassUAC 白名单_PkgMgr_DLL劫持

UACME_23技术分析,利用IFileOperation+白名单+dll劫持绕过UAC

0x01 前言 UACME这个项目基本时收录了目前所有公开的bypassuac手段,这些绕过手段大致可以分为几大类,其中最常见的一类就是: 通过利用IFileOperation往高权限目录(system32\syswow)写dll文件,劫持windows内置的能够不弹窗自提权的exe,从而实现提权; 这篇blog,主要就是详细分析这种bypassuac的手段原理和实现方式; 0x02...

Posted by Ga0weI on July 19, 2024

BypassUAC_IFileOperation越权写文件

BypassUAC借助com接口对可信程序的校验漏洞调用com接口越权写文件

0x01 背景 最近在研究分析uac流程,学习uacbypass的一些手法手段;uac流程逆向分析差不多了,文章准备先发到攻防实战社区,后续再更新blog这边; 然后是借助ucame项目学习绕过uac的一些技术手段原理,所以准备开一个系列文章,对一些技术的学习分享到blog上面; 正题 基于uacme项目,其实我们可以看到有一大部分的bypassuac的方式原理是: 利用IFile...

Posted by Ga0weI on July 17, 2024

FEATURED TAGS
免杀 windows 代码 应急 逆向 BypassUAC 样本分析 隐藏 shellcode 心得 进程属性伪造 Rootkit dllHijack 内核 影藏 权限维持 编码 ELK R3 winapi hook/unhook
ABOUT ME

纸上得来终觉浅

FRIENDS