通过替换Kernel32.dll来实现的后门功能的恶意代码。该恶意代码存在一个exe可执行文件和一个dll动态链接库，需要分别进行分析一.待解决问题这个恶意代码执行了什么功能？通过什么方式实现其功能？如何实现长久驻留？有什么关键特征，或者说这一类恶意代码有什么关键特征？如何清除该恶意代码造成的影响？二.分析流程查壳，查看程序类型无壳，32位程序使用IDA静态分析字符串，导入函数，程序逻辑使用Procommon函数查看程序行为三.具体分析首先使用ExeinfoPE查看程序类型和是否有加壳保护。无壳的32位程序，可以直接使用IDA和x32dbg载入。对dll进行基础静态分析IDA载入dll程序，查

近期，荷兰研究人员发现一种用于全球关键数据和语音无线电通信的技术存在严重的安全漏洞，甚至还有一个故意设置的后门。值得一提的是，该技术一直处于保密状态，以防止任何人仔细检查其安全属性，查找漏洞。从披露的信息来看，该后门存在于关键基础设施中用于商业用途的无线电中加密算法中，主要用于管道、铁路、电网、公共交通和货运列车中传输加密数据和命令。潜在的攻击者可以利用其窥探通信，了解系统的工作原理，然后向无线电设备发送指令，从而引发停电、天然气管道断流或火车改道。此外，研究人员在同一无线电技术的其它模块中也发现另外一个漏洞，该技术用于专门出售给警察部队、监狱人员、军队、情报机构和应急服务的专业系统中（例如荷

近期，荷兰研究人员发现一种用于全球关键数据和语音无线电通信的技术存在严重的安全漏洞，甚至还有一个故意设置的后门。值得一提的是，该技术一直处于保密状态，以防止任何人仔细检查其安全属性，查找漏洞。从披露的信息来看，该后门存在于关键基础设施中用于商业用途的无线电中加密算法中，主要用于管道、铁路、电网、公共交通和货运列车中传输加密数据和命令。潜在的攻击者可以利用其窥探通信，了解系统的工作原理，然后向无线电设备发送指令，从而引发停电、天然气管道断流或火车改道。此外，研究人员在同一无线电技术的其它模块中也发现另外一个漏洞，该技术用于专门出售给警察部队、监狱人员、军队、情报机构和应急服务的专业系统中（例如荷

文章目录权限维持-域环境&单机版-自启动权限维持-域环境&单机版-粘滞键权限维持-域环境&单机版-映像劫持权限维持-域环境&单机版-屏保&登录权限维持-域环境&单机版-自启动1、自启动路径加载C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\将后门放置该目录，服务器重启即上线2、自启动服务加载sccreateServiceTestbinPath=C:\shell.exestart=autoscdeleteServiceTest3、自启动注册表加载-当前用户键值HKEY_CURR

目录一、永恒之蓝概述二、SMB协议三、准备工作四、漏洞复现1、主机发现2、端口扫描3、利用模块五、演示功能1.获取cmd2.捕获屏幕3.上传文件4.下载文件5.远程登录6.上传后门7.免杀加壳8.运行wannacry9.清除日志六、预防方案1.打开防火墙2.安装杀毒软件3.禁用445端口 4.IPsec关闭高危端口5.注册表关闭445端口6.安装补丁七、总结一、永恒之蓝概述        永恒之蓝（EternalBlue）爆发于2017年4月14日晚，是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限，以此来控制被入侵的计算机。甚至于2017年5月12日，不法分子通过改造“永恒之

目录一、永恒之蓝概述二、SMB协议三、准备工作四、漏洞复现1、主机发现2、端口扫描3、利用模块五、演示功能1.获取cmd2.捕获屏幕3.上传文件4.下载文件5.远程登录6.上传后门7.免杀加壳8.运行wannacry9.清除日志六、预防方案1.打开防火墙2.安装杀毒软件3.禁用445端口 4.IPsec关闭高危端口5.注册表关闭445端口6.安装补丁七、总结一、永恒之蓝概述        永恒之蓝（EternalBlue）爆发于2017年4月14日晚，是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限，以此来控制被入侵的计算机。甚至于2017年5月12日，不法分子通过改造“永恒之

在之前的文章中，我们实现了一个正向的匿名管道ShellCode后门，为了保证文章的简洁易懂并没有增加针对调用函数的动态定位功能，此类方法在更换系统后则由于地址变化导致我们的后门无法正常使用，接下来将实现通过PEB获取GetProcAddrees函数地址，并根据该函数实现所需其他函数的地址自定位功能，通过枚举内存导出表的方式自动实现定位所需函数的动态地址，从而实现后门的通用性。1.7.1通过PEB定位GetProcAddress通过在第4.5章中笔者已经完整的分析并实现了定位kernel32.dll模块基地址的详细分析流程，以下将直接利用PEB查找kernerl32地址，读者可根据自身需求跳转到

本文将介绍如何将CMD绑定到双向管道上，这是一种常用的黑客反弹技巧，可以让用户在命令行界面下与其他程序进行交互，我们将从创建管道、启动进程、传输数据等方面对这个功能进行详细讲解。此外，本文还将通过使用汇编语言一步步来实现这个可被注入的ShellCode后门，并以此提高代码通用性。最终，我们将通过一个实际的漏洞攻击场景来展示如何利用这个后门实现内存注入攻击。1.6.1什么是匿名管道首先管道（Pipe）是一种IPC机制，用于在同一台计算机上进行进程间通信。它可以让一个进程将数据写入到管道中，然后另一个进程可以从管道中读取这些数据。一般而言管道可以分为匿名管道（AnonymousPipe）或命名管道

一、引言当RedTeam拿下了一台服务器并获取到系统较高权限，但不知道服务器的凭证时，RedTeam会采用怎样的技术获取系统凭证呢？又或者，在RedTeam拿下一台服务器，为达到长久控制的目的而专门定制持久化后门（免杀肯定是必须的）的前提下，他们会如何结合系统自身的某些特性，达到持久化控制的效果？BlueTeam在应急响应的过程中，又该如何尽早地排查出这些后门？为尽到“知己知彼，百战不殆”，本文将对Linux下常见的权限维持技术和凭据收集技术进行解析，希望能对从事攻防对抗研究的小伙伴有所帮助。 二、Strace获取登陆凭证1、strace获取登陆凭证原理凭证将会通过strace追踪到系统ssh

 在VMware上建立两个虚拟机：win7和kali。Kali：它是Linux发行版的操作系统，它拥有超过300个渗透测试工具，就不用自己再去找安装包，去安装到我们自己的电脑上了，毕竟自己从网上找到，也不安全。它甚至还集成了600多种黑客工具，很强大。可以永久免费使用，基本上学黑客攻击必会用到这个系统。靶机：Win764位（IP:192.168.10.45）--用ipconfig进行查询。攻击机：Kali（IP：192.168.10.21）--用ifconfig进行查询。【一一帮助安全学习，所有资源获取处一一】①网络安全学习路线②20份渗透测试电子书③安全攻防357页笔记④50份安全攻防面试指