关注并星标🌟 一起学安全❤️作者:coleak 首发于公号:渗透测试安全攻防 字数:12280声明:仅供学习参考,请勿用作违法用途目录前记nim攻防基础FFI内存加载加解密、编码后记C#类型转换表n...
浅谈bypass Etw
关注并星标🌟 一起学安全❤️作者:coleak 首发于公号:渗透测试安全攻防 字数:19930声明:仅供学习参考,请勿用作违法用途目录c#ExecuteAssemblybypass etwc#loa...
CodeDom漏洞模式与SharePoint RCE
一什么是CodeDom机制.NET Framework 提供一种叫做 代码文档对象模型 (CodeDom) 的机制。我们可以使用 CodeDom 元素组合成 CodeDom 图来表示一段源...
查找 .Net 程序集
我从观看 .net 程序集被移动和挖空的经验中知道,不会有命令行参数。我的大部分内容都不会触发。但是,现在它的移动对我来说很重要。从过去的工作中,我知道 Windows 上有许多本机 .Net 程序集...
深入分析BundleBot新型恶意软件
Check Point Research (CPR)对被称为BundleBot的新型恶意软件进行了深入分析发现,BundleBot滥用dotnet bundle(单文件),这是一种自包含的格式,可以很...
ETW Bypass
1.NET 程序集 像 Java 是由 JVM 托管的,.NET 程序集(比如C_Sharp.exe) 都是由 CLR 托管的硬盘加载从硬盘中读取加载到内存通过三个接口可以启动 CLR 来对 .NET...
.NET预编译场景下的上传
上周碰到了这个问题,上传aspx马,访问后提示 "未预编译文件,因此不能请求该文件",尝试用asp马绕过无果。绕过限制:可上传文件到/bin目录下,或者说上传可以跨目录预编译原理.NET下的编译方式大...
无文件恶意软件内存中直接执行有害程序集
8月9日下午,卡巴斯基在郑州举行了网络安全研讨会,会议期间就着重谈到了无文件恶意软件在内存中直接执行这类攻击,说明卡巴斯基在此方面已经着手布局,以帮助用户实现抵御无文件恶意软件的攻击。刚刚又从IBM的...
工具:新版dnSpy
这个工具有一年时间没有升级了,近日发现它更新了,有了新版本了,非常开心,因为实在是太好用了。 dnSpy 是一个调试器和 .NET 程序集编辑器。即使您没有任何可用...
神兵利器 - C2框架Atlas (附下载地址)
目前仅针对 Windows 环境用法启动 TeamServer生成client、teamserver、implant的exe后,直接执行Teamserver.exe即可启动teamserver启动/管...
ASP.NET 无文件攻击入侵检测
背景 前一段时间某管理系统被黑客批量植入冰蝎并进行勒索,引发了本人对于ASP.NET无文件攻击检测的思考。搜了一下目前还没有相关的文章,就自己研究了一下。 C# 中的assembly 首先了解一下C#...
ASP.NET 无文件攻击入侵检测
点击蓝字 / 关注我们背景前一段时间某管理系统被黑客批量植入冰蝎并进行勒索,引发了本人对于ASP.NET无文件攻击检测的思考。搜了一下目前还没有相关的文章,就自己研究了一下。C# ...