开卷有益 · 不求甚解介绍 去年,我写了一篇关于Investigating .NET CLR Usage Log Tampering Techniques For EDR Evasion的博...
干货 | .NET 文件上传多个场景绕过预编译限制获取Shell
0x01 背景在攻防演练的这个大背景下,红蓝对抗也逐渐真正的提升到对抗这个层次,这不今天由dotNet安全矩阵星球圈友们组成的微信群里有位群友问起如何突破预编译拿webshell有什么方法,预编译已经...
对抗 | 利用de4dot解密被混淆的.NET代码
0x01 背景由dotNet安全矩阵星球圈友们组成的微信群里大家伙常常聊着.NET话题,这不今天有个群友下午1:06分抛出反编译后还是混淆的代码,那么肯定需要加密后获取正常的.NET代码,笔者1:35...
攻防对抗|利用de4dot解密被混淆的.NET代码
0x01 背景由dotNet安全矩阵星球圈友们组成的微信群里大家伙常常聊着.NET话题,这不今天有个群友下午1:06分抛出反编译后还是混淆的代码,那么肯定需要加密后获取正常的.NET代码,笔者1:35...
Pyinstaller新踩坑实录
网上关于pyinstaller的问题充斥着各种copy过来copy过去的答案,这大概就是各种无脑博客爬虫站最让人讨厌的地方。而且这方面的问题,stackoverflow也是回答的千奇百怪。强烈推荐官方...
Attacking SQL Server CLR Assemblies
本文中我将以Nathan Krik的CLR系列文章提到的CLRassembly)为基础进行拓展,同时我也会介绍如何创建、导入、导出以及修改SQL Server的CRL库去实现提权、命令执行以及持久化操...
神兵利器 - StayKit - Cobalt Strike 插件
StayKit 是 Cobalt Strike 持久性的扩展,它利用 SharpStay .NET 程序...
基于 CLR 的远程代码 loading 技术以及相应的 SOC 检测方法
几乎所有现代攻击都会使用 Mimikatz、SharpHound、SeatBelt、Rubeus、GhostPack 和其他社区可用的工具集。这种所谓的 githubification 正在降低攻击者...
如何将.NET程序集注入至现有进程
关于inject-assembly inject-assembly这款工具是Cobalt Strike的传统“fork-and-run”执行方式的替代方法。在该工具的帮助下,加载器可以注入到...
将.NET程序集注入至现有进程
关于inject-assemblyinject-assembly这款工具是Cobalt Strike的传统“fork-and-run”执行方式的替代方法。在该工具的帮助下,加载器可以注入到任何进程中,...
【技术分享】在MSSQL中使用CLR组件提权
1CLR介绍Microsoft SQL Server 2005之后,实现了对 Microsoft .NET Framework 的公共语言运行时(CLR)的集成CLR 集成使得现在可以使用...
2