river - 第 2 | CN-SEC 中文网

程序逆向

使用驱动移除内核回调，绕过Avast

好朋友，好大哥的文章，刚创的公众号，大家多多支持介绍创建该PoC的目的是了解驱动漏洞利用程序的强大功能，以及EDR如何使用内核回调以防止恶意软件的攻击。在代码中会用到一个Barakat发现并公开了的驱...

02月25日10 views评论

阅读全文

安全闲碎

Make JDBC Attacks Brilliant Again 番外篇

0x00 背景我在HITB Singapore 2021上做过一次关于JDBC攻击面的分享，议题为《Make JDBC Attacks Brilliant Again》如果有兴趣可以看看，slid...

02月25日12 views评论

阅读全文

安全文章

内核攻防-(2)致盲EDR

项目地址https://github.com/k3lpi3b4nsh33/BlindEdr需求背景在APT攻击中使用驱动致盲EDR(Endpoint Detection and Response)的意...

02月19日27 views评论

阅读全文

反反rootkit覆盖驱动与隐藏线程

覆盖驱动与隐藏线程在上一篇博客中，我们有了一个小型反Rootkit驱动的开发。这个驱动能够检测映射到无支持内存的恶意驱动，前提是这些恶意驱动要么作为标准的Windows驱动运行（为IRP通信注册设备对...

02月18日安全文章14 views评论

阅读全文

安全文章

CVE-2022-21999 Windows Print Spooler 权限提升漏洞分析

本文为看雪论坛优秀‍‍‍文章看雪论坛作者ID：蝶澈——一漏洞简介2022 年 2 月，微软修补了 CVE-2022-21999 漏洞。Windows Print Spooler 存在权限提升漏洞，经过...

02月16日14 views评论

阅读全文

安全文章

PHP Composer命令注入漏洞详情及利用方式

转自：SecTr安全团队概述Composer是PHP社区的依赖项管理器，它简化了安装，更新和使用第三方程序包的过程。Composer使用Packagist在线服务来确定正确的软件包下载供应链。据估计，...

02月15日11 views评论

阅读全文

安全文章

R0下一种简单的Irp包数据捕获方法

本文提出了一种方法可以在内核层使用“过滤”的方法来捕获Irp数据包。其中可以捕获到进入目标驱动前与目标驱动处理完后的Irp数据包。1Irp现在很多驱动都在使用Irp包的方式来与R3的程序进行通信。Ir...

02月14日11 views评论

阅读全文

安全新闻

【情报】暗网平台Doxbin 数据泄露事件：黑客泄露 13.6 万用户记录和黑名单文件

Doxbin 是一个存在于暗网（Darknet）中的平台，自 2011 年以来就存在。该平台以泄露名人等个人的私人数据而闻名。用户可以在该平台上分享他人的个人信息，通常包含姓名、物理地址、电话...

02月14日27 views评论

阅读全文

程序逆向

nt-load-order 第二部分 - 你想知道的更多内容

nt-load-order Part 2 More than you ever wanted to know - ColinFinck.de这是一个由两部分组成的博客系列的第二部分，主要介绍 WinD...

02月10日5 views评论

阅读全文

安全工具

SpiderX-V2.0发布解锁JS加密新姿势攻防武器

2天前刚发布了SpiderX的原始版本，原本以为春节期间不会有人注意个人写的小工具，却意外收到了一些师傅的 star和优化建议。同时还发现X上有不错的浏览量，虽然它某种程度夸大了我的工具功能🤦‍♂️作...

02月10日30 views评论

阅读全文

安全文章

EDR回调学习

我们都知道在用户层(R3)，每一个进程都有自己的执行环境，这意味着A进程崩溃了，但是是不会影响到B进程的。用户空间和内核空间是彼此隔离的。所以用户空间的应用程序是无法访问到内核中的结构的，除非在内核...

02月08日19 views评论

阅读全文

HTB_Cat(思路)

HTB_catlinux(Med)总结user.txt：代码审计(xss反弹cookie->sql盲注)root.txt：端口转发->敏感文件内容泄露->gitea-xss由于ses...

02月07日安全文章12 views评论

阅读全文

使用驱动移除内核回调，绕过Avast

Make JDBC Attacks Brilliant Again 番外篇

内核攻防-(2)致盲EDR

反反rootkit覆盖驱动与隐藏线程

CVE-2022-21999 Windows Print Spooler 权限提升漏洞分析

PHP Composer命令注入漏洞详情及利用方式

R0下一种简单的Irp包数据捕获方法

【情报】暗网平台Doxbin 数据泄露事件：黑客泄露 13.6 万用户记录和黑名单文件

nt-load-order 第二部分 - 你想知道的更多内容

EDR回调学习

HTB_Cat(思路)

在线咨询

微信