网络安全研究员 Gabe Kirkpatrick 分享了影响Windows 内核的高严重性特权提升漏洞( CVE-2024-26218 ) 错误的技术细节和概念验证 (PoC) 漏洞代码。微软于 4 ...
滥⽤分叉完成代码注⼊对抗EDR
分叉是 Windows 操作系统中存在的⼀种鲜为⼈知的机制。在这篇⽂章中,我们将深⼊研究分叉,探索其合法⽤途,并展示如何通过注⼊恶意代码将其操纵为盲⽬的EDR。分叉简介分叉进程是指从⼀个已存在的进程中...
高级免杀系列之白加黑免杀
概述目前大部分白加黑DLL劫持免杀都是将Shellcode写到劫持的DLL里面,然后程序运行时加载DLL,DLL解析Shellcode进行加载上线。那么这种方式DLL中既包含Shellcode,又包含...
警惕携带PDF特征的Word文件钓鱼攻击
攻击描述 近期,山石网科情报中心发现了一批恶意DOC文件,这些文件采用了巧妙的伪装技术,能够有针对性地绕过杀毒软件的文件检测。恶意攻击者利用MIME格式嵌入了PDF文件(ActiveMime)到Wor...
分析 CVE-2023-29300:Adobe ColdFusion 预授权 RCE
介绍Adobe ColdFusion 因其强大的 Web 开发功能而受到广泛认可,最近发布了一个重要的安全更新。此次更新特别针对三个安全问题,其中CVE-2023-29300是一个高度关注的预身份验证...
NtCreateUserProcess 初探与玩法
前置知识基于一些github的代码项目能更好的理解 首先我们先来了解一下,CreateProcess 和 NtCreateUserprocess。在以前的 XP 时代,必须执行四个系统调用(NtOpe...
.NET实现虚拟WebShell第3课之IAuthorizationFilter
0x01 背景授权过滤器(IAuthorizationFilter)在认证过滤器(IAuthenticationFilter)之后,从命名来看AuthorizationFilter用于完成授权相关的工...
浅谈EDR绕过
点击蓝字 / 关注我们前言我们知道一般EDR对可疑程序进行监控一般都会采用往程序里注入到检测的进程中,通过hook一些敏感的3环API来判断程序是否进行一些恶意操作,那么我们可以通...
调用NtCreateUserProcess创建进程绕过杀软hook
CreateProcessCreateProcess在3环最终会调用ntdll!NtCreateUserProcess通过syscall进入0环,我们可以通过调用NtCreateUserProcess...
RASP前置知识点:监控与软件攻防
点击蓝字 关注我们前言RASP技术可以快速的将安全防御功能整合到正在运行的应用程序中,它拦截从应用程序到系统的所有调用,确保它们是安全的,并直接在应用程序内验证数据请求。而这其中的部分实现依赖的就是j...
从一次漏洞挖掘入门ldap注入
在最近的一次测试中,随缘摸到了一个sso系统,留给前台的功能只有登陆。没有验证码,但是登陆点强制要求每个用户更改强密码,而且除了管理员和测试账号其他大部分都是工号形式,所以不考虑撞库。直接fuzz一把...