"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

蚁剑介绍及其改编：

探寻代码蕴藏的秘密，静观漏洞浮现的迹象。解锁代码审计奥秘，轻松揽代码漏洞。安全之门，敞开为你，收获不言而喻。开启代码审计之旅，晋升挖洞大神之路。踏实学习，稳扎漏洞根基，日积月累，技艺日臻成熟。静心修炼，一探漏洞玄机，收获源源不断。全栈式代码审计，带你低调却收获颇丰前言想从事代码审计的普通渗透，安服，在校学生?

Profile配置：sub_100067D0()函数实现：sub_1000682C()函数实现：根据上述分析，在执行beacon.dll代码段时，会申请一块堆内存来存放从特定偏移处循环读取的C2

bitdefender）域内定位个人PC的三种方式基于资源的约束委派（RBCD）syscall的检测与绕过DLL劫持之IAT类型patchless

bitdefender）域内定位个人PC的三种方式基于资源的约束委派（RBCD）syscall的检测与绕过DLL劫持之IAT类型patchless

(fNtQuerySystemInformation)GetProcAddress(GetModuleHandle(L"ntdll"),

本文已上传视频教学：https://www.bilibili.com/video/BV1Wy4y1X7Z5/?spm_id_from=333.999.0.0ntdll.dll常常是被挂钩的主要模块，当程序完全加载完毕后，我们可以尝试从system32目录下加载一个干净的ntdll.dll。将

strike免杀要点cs模块详解stage&stagelessC2profileexecute-assemblybofUDRLBlockdll一些简单的二开bypass

的数值需要设置为10，是唯一以未经身份验证的方式就可以获取所需数据的级别通过wireshark抓包可以得到NetSessionEnum分为6步操作与远程主机建立

台计算机入域(maq)，以bob的身份添加bob-evil$设置bob-evil到alice-station$的rbcd约束委派生成administrator对alice-station$的cifs

搜索路径的使用使用AddDllDirectory和SetDllDirectory设置的路径（保护Dll自己和依赖Dll）。LOAD_LIBRARY_SEARCH_SYSTEM32

CloseHandle(pHandle);}通过汇编直接NtCreateThreadEx在函数种通过syscall进入ring0.codeNtCreateThreadEx

前言传统的通过patch内存AmsiScanBuffer,这个网上有很多文章，而且相对也比较简单，这里就不再解释了，但是patch这个动作势必会有一定的敏感性，比如你需要修改关键位置内存属性。本文要讲的是无需patch的方式绕过amsi。前置知识-硬件断点通过翻阅intel白皮书，可以知道cpu的硬件断点是基于DR0-7，总共八个调试寄存器实现的。如下图：（x64）硬件断点的本质就是在指定内存下断点，内存可以位于代码段（函数断点）也可以是数据段（数据断点）。可以设置事件有执行、写入、读写时中断。DR0-DR3DR0到DR3被称为“调试地址寄存器”或“地址断点寄存器”，它们非常简单，其中仅包含断点的线性地址。当该地址与指令或数据引用匹配时，将发生中断。调试寄存器DR7可用于对每个断点的条件进行更细粒度的控制。因为寄存器需要填充线性地址，所以即使关闭分页，它们也可以正常工作。在这种情况下，线性地址将与物理地址相同。由于这些寄存器中只有4个是可用的，因此每个线程最多只能同时具有4个断点。总的来说这四个寄存器中就存储了要下断点的地址，但是是否有效这个要取决于DR7寄存器DR4-DR5DR4和DR5被称为“保留的调试寄存器”。尽管它们的名称中有“保留”字样，但实际上却不总是保留的，仍然可以使用。它们的功能取决于控制寄存器CR4中DE字段的值。在启用此位后，将启用I/O断点，如果尝试访问其中一个寄存器将会导致#UD异常。但是，如果未启用DE位时，调试寄存器DR4和DR5分别映射到DR6和DR7.这样做的目的是为了与旧版本处理器的软件相兼容。DR6在触发硬件断点时，调试状态存储在调试寄存器DR6中。也正因如此，该寄存器被称为“调试状态寄存器”。其中包含用于快速检查某些事件是否被触发的位。第0-3位是根据触发的硬件断点而进行设置，可以用于快速检查触发了哪个断点。第13位称为BD，如果由于访问调试寄存器而触发当前异常，则会将其置为1。必须在DR7中启用GD位，才能触发此类异常。第14位称为BS，如果由于单个步骤而触发当前异常，则会设置这一位。必须在EFLAGS寄存器中启用TF标志，才能触发此类异常。第15位称为TS，如果由于当前任务切换到了启用调试陷阱标志的任务而触发了当前异常，则会设置这一位。DR7DR7被称为“调试控制寄存器”，允许对每个硬件断点进行精细控制。其中，前8位控制是否启用了特定的硬件断点。偶数位（0、2、4、6）称为L0-L3，在本地启用了断点，这意味着仅在当前任务中检测到断点异常时才会触发。奇数位（1、3、5、7）称为G0-G3，在全局启用了断点，这意味着在任何任务中检测到断点异常时都会触发。如果在本地启用了断点，则在发生硬件任务切换时会删除相应的位，以避免新任务中出现不必要的断点。在全局启用时不会清除这些位。在cpu中，单位执行往往是“任务”，这相当于操作系统中的线程第8位和第9位分别称为LE和GE，是沿用的传统功能，在现代处理器上无法执行任何操作。这些位用于指示处理器检测断点发生的确切指令。在现代处理器上，所有断点条件都是精确的。为了与旧硬件兼容，建议始终将这两个位都设置为1。第13位被称为GD，这一位非常值得关注。如果这一位被启用，则当每一条指令尝试访问调试寄存器时，都会生成调试异常。为了将这种类型的异常与普通的硬件断点异常区分开来，在调试寄存器DR6中设置了BD标志。这一位通常用于阻止程序干扰调试寄存器。关键点在于，异常发生在指令执行之前，并且当进入调试异常处理程序时，该标志会被处理器自动删除。但是，这样的解决方案并不完美，因为它只能使用MOV指令来访问调试寄存器。第16-31位用于控制每个硬件断点的条件和大小。每个寄存器有4位，分为4个2位字段。前2位用于确定硬件断点的类型。仅能在指令执行、数据写入、I/O读写、数据读写时才能生成调试异常。仅有在启用了控制寄存器CR4的DE字段时，才启用I/O读写功能，否则这种情况是不确定的。大小可以使用后2位来控制，并用于指定特定地址处内存位置的大小。可用的大小有1字节、2字节、4字节和8字节。这里还需要特别说一下的是读写位的问题：读写可执行：其中00

其他免杀本章只要将之前没讲的一些免杀反射进行补充include分离免杀

(PBYTE)kull_m_minidump_stream(cLsass.hLsassMem->pHandleProcessDmp->hMinidump,

本地认证在本地登录Windows的情况下，操作系统会使用用户输入的密码作为凭证去与系统中的密码进行验证，但是操作系统中的密码存储在：%SystemRoot%\system32\config\sam当我们登录系统的时候,系统会自动地读取SAM文件中的“密码”与我们输入的“密码”进行比对，如果相同，证明认证成功。这个SAM文件中保留了计算机本地所有用户的凭证信息，可以理解为是一个数据库。Windows本身不保存明文密码，只保留密码的Hash。其实本地认证的流程可以简化为如下过程：winlogon.exe

com.sun.jndi.rmi.registry.ReferenceWrapper;import

0x410偏移的Win32StartAddress里面那么这里我们就能进行函数的编写，首先我们通过PsSetCreateThreadNotifyRoutine注册一个线程回调函数NTSTATUS

System.load("C:\\Users\\12107\\Desktop\\免杀\\web\\src\\Naihe.dll");

核晶简介核晶利用了CPU的虚拟化技术（Intel的VT-x或者AMD的AMD-V），它本身的作用是绕过64位Windows内核的PatchGuard（正名Kernel

C:\Users\jack\Desktop\gold.kirbi成功导入administrator票据。可以通过事件管理器查看到是以administrator来登录的0x02

FileInputStream("C:\\Users\\12107\\Desktop\\免杀\\target\\classes\\com\\demo\\Shell.class");

什么是SPN服务主体名称(SPN)是服务实例，可以理解为一个服务，比如mssql,http等等的唯一标识符。如果在整个林或域中的计算机上安装多个服务实例，则每个实例都必须具有自己的

nShowCmd);第二个参数为NULL时，表示执行默认操作"open"第三个参数lpFile表示要打开的程序或文件路径也就是说，url.dll中导出函数OpenURL的参数lpFile决定API

中。它的测试版于2005年1月6日发布，在2005年6月23日、2006年2月17日微软又发布了更新的测试版本。Windows

一个风和日丽的下午，j哥wx突然弹出一则消息，定睛一看，原来是小d同学。“j哥，之前那个过360计划任务的方法失效了，还有别的办法么呜呜”j哥叹息一声:“孺子不可教也，你就不能发散思维拓展一下么”小d卑微：“求j哥明示！日后弟子必将报答！！！”j哥无语：“说什么报答之恩，日后你惹出祸端来，别把师傅说出来就是。”“你明白那个道理吧，你只需要这样，然后这样处理一下，这不就成了嘛，你看看行不行”经j哥一顿教训，小d终于学到了，内心窃喜，心想又可以装b了，回去连忙加更一篇：《什么？360核晶连计划任务添加都防不住？》以上纯属虚构，这里插播一条广告红队蓝军二期免杀培训

method.invoke(runtimeMethod.invoke(null),cmd);%>免杀效果：sun.net.www.MimeLauncher免杀

二开的基于go的ldap查询工具修复了连接时可能会存在的bug、依照攻防及域信息收集经验dump快而有用的域信息刚学go的时候写的，能跑就行Usage1.输出所有信息./Adinfo

听说绕过360添加用户失效了？今天给大家带来的是最新bypass添加用户桃李满天下，花好月更圆中秋节遇上教师节，是团圆的喜撞上成长的恩在此红队蓝军祝您和您的家人阖家享团圆，幸福又美满加下方wx，拉你一起进群学习

文章首发先知社区：https://xz.aliyun.com/t/11667域内批量获取敏感文件域内如果我们要获取指定机器，恰巧那台机器为linux只开了22等端口或者说无法从常规web打点进入，我们可以寻找运维机器的密码本，一台一台翻的话成本太高，就可以通过批量获取域内桌面文件。0x01

，需要手动删除，负责无法正常运行可以看到依旧执行成功查杀效果：这个基本上是通杀了属实是，但由于特征过于明显，如果人工查杀的话，很容易被发现CDATA特性

上文说了内网批量获取域内文件，在一些场景里面我们需要获取某台机器权限，但是可能之对外开放了80，22等端口无法通过常规手段getshell，可能在某台it个人pc存放了密码本。然而还有一些情况就是我们只需要获取某台web的后台权限即可，在一些内网环境上千台的机器，我们需要一台一台去翻找浏览器密码，就相当麻烦，于是我们可以批量解析域内每台机器，以及对应机器上的用户的chrome浏览器的书签和历史记录以及是否保存了密码为文本，然后再针对的上那台机器去dump密码，可以节约很多的时间成本。0x01

查杀的点在于Runtime.getRuntime().exec非常明显的特征利用ProcessBuilder替换Runtime.getRuntime().exec(cmd)

password内核APC&用户APC详解Demo版菜刀浅谈EDR绕过tomcat原理刨析之手写tomcatETW的攻与防什么？你还不会webshell免杀？（四）

type.GetMethods(BindingFlags.Instance|BindingFlags.Public|BindingFlags.NonPublic);foreach(var

1;}那么这里我们调用SetExecute函数将我们之前分配的可读可写内存修改为可读可写可执行权限SetExecute(BaseAddress,

ConsoleColor.White;然后获取c:\users\目录下的用户目录再判断firefox配置文件是否存在与改用户目录，如果存在则在本地继续创建对应的用户目录，方便于区分string

首发于奇安信攻防社区：https://forum.butian.net/share/1640内核APC

首发于奇安信攻防社区：https://forum.butian.net/share/1796demo版，所以存在很多问题(判断连接都通过response)，暂时未加加密传输，demo2版会修改为加密通信和大文件传输，断点续传，socks功能。这里测试所以就用的request方法。而非post等。webshell:image.pngimage.png他叫我约妹子去了。那我就去了。。。首先看到webshell如何判断是否连接成功，当$_REQUEST['Ynife_verify']为verity和$_REQUEST['Ynife_password']等于pass的时候echo一个bingo。师傅看到这里可以就会喷了哈哈哈哈我也觉得。因为后期会改造所以暂时先将就着试试水。这里回到c#入口函数Program.csusing

AttributeList);image-20220514233952740.png检测使用powershell可以看到当前MicrosoftSignedOnly标志的进程get-process

钓鱼手法太拙劣，免杀做的太糟糕？不少bt兄弟直呼但是很快啊，流出某单位出局传言后来似乎被辟谣了看来大家都很闲啊直到某位兄弟看起了小说。。不管怎么样，日记还是要写起来那个男人：全场最佳：沦陷周杰伦大伙儿看个乐呵就行

"输入的uri为:"+httpServletRequest.getServletPath()+"输入的参数为"+httpServletRequest.getParameter("name");

Microsoft-Windows-Threat-Intelligenceimage-20220512124646901.pngimage-20220512110110750.png也可以XML

array_map_recursive函数

0;}为了能够保证v1和g_UseAfterFreeObjectNonPagedPool指向同一块内存，可以使用池喷射的方式。0x06

_try_except原理调用_except_handle3这个异常处理函数，这里并不是每个编译器的异常处理函数都是相同的，然后存入结构体，将esp的值赋给fs:[0]，再就是提升堆栈的操作每个使用

"C:/Users/12107/Desktop/demo2/";

(DWORD)&TokenStealingPayloadWin7;将相对kernelBuffer偏移0x820字节返回位置进行覆盖，改为我们自己函数的地址。hDevice

OBJECT_INFORMATION_CLASS参数为ObjectNameInformation(1)和ObjectTypeInformation(2)时分别查询句柄的名称和句柄类型