Ctrl_C+Ctrl_V's Blog

摘要： 一、查询哪台机器登录了哪些用户 psloggedon.exe \DC PVEFindADUser.exe -current >> 2.txt 二、域管理员进程定位 1.确定域管理员的活动会话ip FOR /F %i in (dcs.txt) do @echo [+] Querying DC %i & 阅读全文

摘要： 一、基础命令 + whoami # 查看当前用户 + net user # 查看所有用户 + query user # 查看当前在线用户 + ipconfig /all # 查看当前主机的主机名/IP/DNS等信息 + route print # 查看路由表信息 + netstat -ano # 查 阅读全文

摘要： 零、参考文章而和书籍 https://www.jianshu.com/p/f69b1f2fcdcf https://zhuanlan.zhihu.com/p/22417081 https://www.cnblogs.com/murkuo/p/14877153.html https://zhuanla 阅读全文

摘要： 一、参考链接 https://zeo.cool/2020/07/04/%E7%BA%A2%E9%98%9F%E6%AD%A6%E5%99%A8%E5%BA%93!fastjson%E5%B0%8F%E4%BA%8E1.2.68%E5%85%A8%E6%BC%8F%E6%B4%9ERCE%E5%88% 阅读全文

摘要： 一、进程伪装 对于木马病毒来说，最简单的进程伪装方式就是修改进程名称。例如，将本地文件名称修改为svchost.exe、services.exe等系统进程,从而不被用户和杀软发现。接下来，将要介绍的进程伪装可以修改任意指定进程的信息，即该进程信息在系统中显示的时另一个进程的信息。这样，指定进程与伪装 阅读全文

摘要： 一、UAC 触发UAC时，系统会创建一个consent.exe进程，该进程通过白名单和用户选择来判断是否创建管理员权限进程。请求进程将要请求的进程cmdline和进程路径通过LPC接口传递给appinfo和RAiLuanchAdminProcess函数。该函数首先验证路径是否在白名单中，并将结果传递 阅读全文

摘要： 一、参考文章 https://docs.microsoft.com/zh-cn/windows/win32/secauthz/authorization-portal https://blog.csdn.net/u011801161/article/details/45567289?utm_medi 阅读全文

摘要： 一、API 1、OpenProcessToken函数 打开与进程关联的访问令牌 https://docs.microsoft.com/zh-cn/windows/win32/api/processthreadsapi/nf-processthreadsapi-openprocesstoken 2、L 阅读全文

摘要： 一、内存直接加载运行 把DLL或者exe等PE文件从内存中直接加载到病毒木马的内存中去执行，不需要通过LoadLibrary等线程的API函数去操作，以此躲过杀毒软件的拦截检测。 假如程序需要动态调用DLL文件，内存加载运行技术可以把这些DLL作为资源插入到自己的程序中。此时直接在内存中加载运行即可 阅读全文

摘要： 一、突破SESSION 0隔离创建用户进程 在Windows XP、Windows Server 2003，以及更老版本的Windows操作系统中，服务和应用程序使用相同的会话（SESSION）来运行，而这个会话是由第一个登录到控制台的用户来启动的，该会话就称为SESSION 0。将服务和用户应用程 阅读全文