APT研究系统安全二进制安全渗透复现 [2021]Office DDE恶意代码执行技术 随着office宏病毒的被检测率提高, Office DDE恶意代码执行技术在这几年开始流行起来.在这里就简单的介绍并且复现一下DDE的技术实现: 打开一个office文档,插入-文档部件-域,选择第一个= (Formula) 然后右键切换域代码来编辑代码,插入你想执行的payload: ![](https://key08.com/usr/uploads/2021/05/3768934303.png) 阅读全文 2021-05-30 huoji 0 条评论
APT研究系统安全渗透案例web安全渗透复现 [2021]windows威胁猎捕 (一) 开一个新坑,介绍老外那边在windows上的一些常用威胁猎捕方法.当然这是一个长篇,每部分打算介绍五种威胁的检测方案。 本篇将介绍如何检测到如下威胁 1. RDP链接 2. PsLoggedOn 3. PsExec 4. DDE活动的Office文档 5. net.exe 阅读全文 2021-05-30 huoji 0 条评论
系统安全C/C++汇编Shellcode [2021]微软如何检测到hypervisor以及如何预防 微软挺奇怪的,什么事都要管一腿.总所周知 win 1809后hypervisor的一些功能比如msr hook(通过替换msr_lstar寄存器)的方案已经无了.怎么无的呢?除了kva shadow的问题,还有如下几个问题: 翻开微软的内核,有如下函数 KiErrata361Present KiErrataSkx55Present KiErrata704Present ... 这些函数有如下特点: 1. 名字莫名其妙 2. 调用者也莫名其妙,比如KiErrata361Present在一个IDA分析都要半个小时的函数里面调用. 3. 大部分都是微软检测虚拟机的函数 KiErrata704Present: 他长这样: 阅读全文 2021-05-13 huoji 1 条评论
APT研究系统安全二进制安全C/C++汇编 [2021]CVE-2018-8897简单理解笔记 这是我从CVE-2018-8897中学习的一个小笔记 段寄存器的一个问题, 当出现段寄存器操作的时候,mov和pop等,都会发出一个中断,但是中断会在下一个指令执行完毕后才触发,这个是intel CPU设计的一个特性,而CVE-2018-8897就是利用这个特性在下一个指令面前加一个硬件断点 下一条指令是int3 int3在内核中会交换gs,然后此时R3的硬件断点就会被处理,并且交给R3的异常处理程序,这个时候我们就可以操作KPCR的内容从而R3直接进入内核. 具体如何操作可以移步can1357的博客: https://blog.can.ac/2018/05/11/arbitrary-code-execution-at-ring-0-using-cve-2018-8897/ 阅读全文 2021-03-13 huoji 0 条评论
APT研究系统安全二进制安全C/C++易语言渗透复现 [2020]CVE-2018-8897 原理深度漫游、漏洞利用、调试实战 [CVE-2018-8897 原理深度漫游、漏洞利用、调试实战.pdf](https://key08.com/usr/uploads/2020/12/374400346.pdf) 阅读全文 2020-12-09 huoji 0 条评论
APT研究系统安全二进制安全渗透复现Shellcode [2015]CVE-2015-2387ATMFD分析 就是那个大名鼎鼎的hacking team泄露的内核提权0day [stuxnet_about2_3.pdf](https://key08.com/usr/uploads/2020/08/3986559131.pdf) 阅读全文 2020-08-18 huoji 0 条评论