xiaoeryu

Cobalt Strike(三)

Cobalt Strike DNS Beacon的使用与原理
这一节实验需要有一台公网vps和一个域名
2021-05-26
渗透
-Cobalt Strike
阅读全文Cobalt Strike(三)
Cobalt Strike(二)

Cobalt Strike重定器
域名：kali123.com

dns服务器：192.168.3.40

csserver(kali)：192.168.3.8 k.kali.com

Ubuntu：192.168.3.42
2021-05-25
渗透
-Cobalt Strike
阅读全文Cobalt Strike(二)
Cobalt Strike使用（一）

基本使用
简介：
Cobalt Strike作为一款GUI的框架式渗透工具，集成了端口转发、服务扫描、自动化溢出、多模式端口监听、exe\dll\java木马生成、office宏病毒生成、木马捆绑；钓鱼攻击包括：站点克隆、目标信息获取、java执行、浏览器自动攻击等等。
2021-05-24
渗透
-Cobalt Strike
阅读全文Cobalt Strike使用（一）
ARM汇编笔记

ARM汇编的一些知识
寄存器数量
ARM处理器一共有37个32位寄存器。
30个为“通用“寄存器： r0-r14
未分组：r0-r7，即只有一个寄存器
分组：r8-r14，即有多个同名寄存器
r8-r12 ：两个
r13-r14：6个 r13(sp),R14(lr)
1个固定的程序计数器： pc (又称r15)
6个为状态寄存器： cpsr spsr
不能被同时访问,一种模式下最多同时访问18个寄存器
2021-05-24
ARM汇编
阅读全文ARM汇编笔记
Ocean Lotus样本分析

0x00样本简介
该样本是2018年5月份国内某安全厂商威胁情报系统捕获的一起针对中国及其他东亚地区国家政府、科研单位领域的攻击样本，该APT组织确认为APT-32（海莲花OceanLotus）。
此次攻击载体选用的是.doc后缀的rtf文件，该rtf文件通过利用漏洞CVE-2017-11882释放恶意文件到本地并加载执行。其释放文件利用了白加黑的组合加载手法逃避杀软的查杀，在运行过程中并无我们常见的多级注入行为，也并没有文件落地，具有较强的隐蔽性。原始样本信息如表１所示。

文件名称 Document_GPI Invitation-UNSOOC China.doc

Md5 02ae075da4fb2a6d38ce06f8f40e397e

文件类型 Rtf

表1
2021-05-24
样本分析
windows木马

| OceanLotus
阅读全文Ocean Lotus样本分析
一枚简单的未知壳

工具&环境:

工具系统环境

PEID win7_x86

OD

IDA

imporREC

查壳
先用PEID扫了一下发现什么都没有扫到
2021-05-24
Win逆向
Windows脱壳
阅读全文一枚简单的未知壳
HW样本分析

0x00 样本信息
HW期间拿到的一个样本，用了lnk的启动方式。运行后会启动隐藏属性的exe和dll文件，进行后续的内存解密操作后用域前置的方法执行外联操作。
2021-05-21
样本分析
windows木马
阅读全文HW样本分析
winXP安装mona
Windows XP，32位
1. 从https://github.com/corelan/windbglib/raw/master/pykd/pykd.zip下载pykd.zip
2. 解压后获得2个文件：pykd.pyd和vcredist_x86.exe
3. 使用管理员权限运行vcredist_x86.exe并接受默认值。
4. 将pykd.pyd复制到 C:\Program Files\Debugging Tools for Windows (x86)\winext
5. 打开具有管理员权限的命令提示符，然后运行以下命令：
```
c:
cd "C:\Program Files\Common Files\Microsoft Shared\VC"
regsvr32 msdia90.dll
(You should get a messagebox indicating that the dll was registered successfully)
```
6. 从https://github.com/corelan/windbglib/raw/master/windbglib.py下载windbglib.py
7. 将文件保存在下面C:\Program Files\Debugging Tools for Windows (x86) （如果需要，“取消阻止”文件）
8. 从https://github.com/corelan/mona/raw/master/mona.py下载mona.py
9. 将文件保存在下面C:\Program Files\Debugging Tools for Windows (x86) （如果需要，“取消阻止”文件）
2021-05-20
工具
winDbg插件
阅读全文winXP安装mona
go环境变量设置
question：
- linux下设置go环境变量之后，再次打开新的终端或者重启后环境变量会失效需要重新source /etc/profile 后才能生效
2021-05-20
工具
环境配置

| golang
阅读全文go环境变量设置
exploit编写系列2：栈溢出，跳转至shellcode
exploit编写系列2：栈溢出，跳转至shellcode
这篇blog是为了学习如何用各种方式去构造栈溢出类型漏洞的exp

执行shellcode的多种方法：
1. jump/call 寄存器
2. pop return
3. push return
4. jmp[reg + offset]
5. blind return
6. jmp code
7. SHE
8. call
2021-05-20
Win逆向
exploit编写

| 溢出类型漏洞
阅读全文exploit编写系列2：栈溢出，跳转至shellcode
exploit编写系列1:Easy RM to MP3 漏洞调试

Easy RM to MP3 漏洞调试
0X00 前言
分析这个漏洞主要是为了学习怎么通过调试并编写溢出类型漏洞的EXP

0X01 分析环境

调试环境版本

系统版本 XP_sp3

Easy RM to MP3 2.7.3.700

windbg 6.12
2021-05-20
Win逆向
exploit编写

| 溢出类型漏洞
阅读全文exploit编写系列1:Easy RM to MP3 漏洞调试

文件名称	Document_GPI Invitation-UNSOOC China.doc
Md5	02ae075da4fb2a6d38ce06f8f40e397e
文件类型	Rtf

工具	系统环境
PEID	win7_x86
OD
IDA
imporREC

调试环境	版本
系统版本	XP_sp3
Easy RM to MP3	2.7.3.700
windbg	6.12

CVE-2009-0927:PDF中的JS

0x00：分析环境

	使用的环境	备注
操作系统	Windows XP SP3	Vmware 16
Adobe Reader版本	9.0中文版
动态调试	OllyDbg v2.01	用的原版的OD其它的OD可能会断不下来
静态调试	IDA7.0

2021-05-20

Win逆向

PDF漏洞
| 漏洞分析

阅读全文CVE-2009-0927:PDF中的JS

1…7 8910

xiaoeryu

Cobalt Strike DNS Beacon的使用与原理

Cobalt Strike重定器

基本使用

简介：

ARM汇编的一些知识

寄存器数量

0x00样本简介

工具&环境:

查壳

0x00 样本信息

Windows XP，32位

question：

exploit编写系列2：栈溢出，跳转至shellcode

Easy RM to MP3 漏洞调试

0X00 前言

0X01 分析环境

0x00：分析环境