17bdw随手笔记

摘要： 几个月前 "enSilo的终端防护平台" 阻止过在Windows正常进程里运行Payload的恶意行为。 深入挖掘后发现攻击者利用DLL搜索顺序加载恶意DLL。 受控环境里的有些样本和FireEye最近发布的FIN7组织新工具和技术（特别是BOOSTWRITE）报告里的样本描述吻合。 与BOOSTW 阅读全文

摘要： 几天前，我发布了 "Bug Diaries" Burp扩展。这是一个Burp扩展程序，使社区（免费）版 Burp 拥有相似的issue功能 。由于某些原因，现在决定用Java重写。这是我学习切换到Java系列文章的第一部分。 本部分讨论如何设置环境以使用 "Visual Studio Code" 进 阅读全文

摘要： 调用ftp.exe执行系统命令，不是太新奇的技术，可以不必大惊小怪。 在看雪论坛看到使用FTP执行恶意代码的病毒样本。 ，使用 号是转义到shell。 伪装快捷方式执行命令 样本伪装的文档快捷方式调用ftp.exe进行执行命令。而调用的恶意代码是隐写到文档里的，开头用ftp执行了内置的 转到shel 阅读全文

摘要： 使用浏览器对WebRTC的特性可以在渗透过程中扫描局域网，目前已经有许多利用 "XHR请求" 、 "websockets" 或 "存粹的HTML代码" 来发现和识别局域网设备的例子。WebRTC名称源自网页即时通信（英语：Web Real Time Communication）的缩写，是一个支持网页 阅读全文

摘要： 前言 因为需要提取源码测试某个漏洞。想不到2017年同系列的控制口漏洞还能被利用 "Moxa AWK 3131A多种功能登录用户名参数OS命令注入漏洞" 。 固件源码提取过程 漏洞原理 固件版本为1.4~1.7的Moxa AWK 3131A Industrial IEEE 802.11a/b/g/n 阅读全文

摘要： 本文主题主要是分析CVE-2019-16278漏洞原因、漏洞如何利用以及为什么会受到攻击。这个CVE跟Nostromo Web服务器（又名nhttpd）有关，这个组件是在FreeBSD，OpenBSD等Unix系统上非常流行的开源Web服务器。 Nostromo无法验证URL，导致可以通过路径遍历系 阅读全文

摘要： Facebook有一个GraphQL endpoint，只能由Facebook的某些应用程序使用。需要用户（或页面）access_token来查询GraphQL endpoint。 这里可以将Facebook用在Android应用程序的 客户端 令牌去尝试查询请求，endpoint返回的错误消息如下 阅读全文

摘要： 静态查杀 提取特征写成规则库，调用规则库查杀。基于规则，会比较快，但漏报、误报会比较明显，一般的Webshell一句话木马变形混淆会比较多。 yara规则 $eval = /( 阅读全文

摘要： 简介 分析这种VBS简单chr()函数编码的脚本技巧。只需要把vbs的execute()函数换成信息输出到控制台(dos窗口）函数就可以了。 输入命令CScript tmp.vbs，执行后输出内容为： 示例： 把语句切换成显示： 输入命令CScript tmp.vbs，执行后输出内容： 参考来源 编 阅读全文

摘要： APT33组织主要针对石油和航空业，这个组织使用了大约十二个命令与控制服务器(C&C)针对性的对目标攻击。APT33也一直在做定点针对性攻击。比如近两年来，该组织利用一位欧洲高级政治人物（该国国防委员会的成员）的私人网站向鱼产品供应链中的公司发送鱼叉式网络钓鱼电子邮件。目标包括一个供水设施，是提供美 阅读全文