ga0weI Blog

忆往昔-忆往昔_JAVA内存马的一生

记录常见java内存马实现原理以及一些检测和反检测思路

两年前写的文章最近出了后续系列（过几天发出来是关于“应急响应”—>内存马排查检测相关的），在blog上先更新下之前的文章；此文首发于先知：https://xz.aliyun.com/t/11003 一、前言前段时间总是发现客户那边出现了内存马弄的我头大，当时好像是一个脚本小子拿着SummerSec师傅的ShiroAttack2工具打的，客户那边正好shiro存在反序列化漏洞，...

Posted by Ga0weI on September 4, 2024

BypssUAC_com组件CMSTPLUA_ICMLuaUtil接口提权

UACME_41技术分析，利用进程伪装+CMSTPLUA组件任意ICMLuaUtil命令执行接口绕过UAC

0x01 前言 UACME这个项目基本时收录了目前所有公开的bypassuac手段，这些绕过手段大致可以分为几大类，其中较为常见的一类是：通过利用某些com组件的某些接口存在的方法可以任意命令执行，并通过白名单进程（explorer.exe 、dllhost.exe等）或者做了属性伪装的进程调用对应的接口，从而实现提权； 0x02 原理 com组件本质上是二进制文件(dll、exe...

Posted by Ga0weI on July 29, 2024

忆往昔-记一次（白加黑dll劫持+域名前置）样本分析

通过一个样本来看dll劫持和域名前置

0x01 前言 22年在客户处HVV的时候，写的一篇分析文章，因为一些原因一直没发出来，今天分析某样本的时候想起来之前的分析文章，顺便在blog上更新下；域名前置这个技术真的是历久弥新，从21年国内攻击队开始范围使用，到最近的hvv还比较常见，从23年年底开始笔者发现这个域名前置技术，有的攻击队开始老树开新花，一改往日作风，把前置域名干掉，样本里面内置cdn节点，然后直接上后置域名，也...

Posted by Ga0weI on July 26, 2024

BypassUAC_fodhelper进程Registry-Shell_Open_Command提权

UACME_33技术分析，利用fodhelper依赖HKCU低权限注册表shell-open-command绕过UAC

0x01 前言 UACME这个项目基本时收录了目前所有公开的bypassuac手段，这些绕过手段大致可以分为几大类，其中较为常见的类型之一是：通过修改低权限注册表HKCU下的相关项，使某些windows内置的能够不弹窗自提权的exe的逻辑被篡改，从而实现提权；如UACME33：利用fodhelper.exe本身符合uac的无弹窗提权校验（两个条件，一个是路径是system32，...

Posted by Ga0weI on July 26, 2024

BypassUAC 白名单_PkgMgr_DLL劫持

UACME_23技术分析，利用IFileOperation+白名单+dll劫持绕过UAC

0x01 前言 UACME这个项目基本时收录了目前所有公开的bypassuac手段，这些绕过手段大致可以分为几大类，其中最常见的一类就是：通过利用IFileOperation往高权限目录（system32\syswow）写dll文件，劫持windows内置的能够不弹窗自提权的exe，从而实现提权；这篇blog，主要就是详细分析这种bypassuac的手段原理和实现方式； 0x02...

Posted by Ga0weI on July 19, 2024

BypassUAC_IFileOperation越权写文件

BypassUAC借助com接口对可信程序的校验漏洞调用com接口越权写文件

0x01 背景最近在研究分析uac流程，学习uacbypass的一些手法手段；uac流程逆向分析差不多了，文章准备先发到攻防实战社区，后续再更新blog这边；然后是借助ucame项目学习绕过uac的一些技术手段原理，所以准备开一个系列文章，对一些技术的学习分享到blog上面；正题基于uacme项目，其实我们可以看到有一大部分的bypassuac的方式原理是：利用IFile...

Posted by Ga0weI on July 17, 2024

某大厂红队钓鱼样本分析

某大厂红队样本分析，域前置玩出新花样

0x01 前言好久没更新blog，简单记录下前两天分析的一个某大厂红队做的钓鱼马； 0x02 样本分析 1 2 3 4 5 6 7 8 样本：《故障信息.rar》 md5:b51c0f4492538e3a7302e8f13aa3642a 解压 pwd:comac 释放一个伪装为doc的快捷方式，和一个影藏文件夹``_init_`` 名称：《商飞系统故障信息.docx....

Posted by Ga0weI on July 15, 2024

ELK日志分析本地环境搭建

记录本地搭建、破解ELK环境的过程和踩的坑

0x01 简介搭建一个elk环境，分析日志准备两个虚拟机： ubantu 22：搭建elasticsearch、kibana、fleet windows10：配置elastic_agent采集系统、应用、安全日志，安装sysmon采集日志 0x02 环境搭建及使用 1、操作系统 ubantu 官网下载即可：这里使用的是22.04版本 https://mirror.ny...

Posted by Ga0weI on June 18, 2024

一次样本分析过程中的免杀shellcode分析

简单分析一个免杀的shellcode

0x01 背景某次样本分析过程种提出的shellcode，静态没有被wd和相关是杀软杀，简单看下其实现以及免杀的点： 0x02 分析一、shellcode 从样本中提取的shellcode: 1 2 shellcode = "6UMEAADMzMxIi8RIiVgISIloEEiJcBhIiXggQVZIg+wgSGNBPEyLyUmL2IuMCIgAAACL6oXJdGpCg...

Posted by Ga0weI on June 3, 2024

记一次对pyc反编译还原问题的分析

分析并解决uncompyle6、pycdc等反编译工具处理长字节数组出现问题

0x01 背景上周分析一个pyinstaller打包的样本的时候遇到了一个pyc反编译成py文件的问题，使用开源的反编译工具（如:uncompyle6、pycdc等）都解决不了，后续通过学习pyc文件结构以及cpython虚拟机指令配合调试uncompyle6源码成功解决，并且发现基本所有的开源py反编译工具都存在这个问题；使我对py反编译、以及cpython虚拟机指令有了一定的了解，比...

Posted by Ga0weI on May 31, 2024