摘要: 当前样本是一个RTF文档,内嵌一个公式编辑器对象,该对象利用Office编辑器漏洞CVE-2018-0798执行shellcode,对EQNEDT32.exe进行代码注入,执行恶意代码。 使用rtfobj查看文档结构,可以看到携带了3个OLE对象,但是id为1的对象并未被使用。 第二个是一个pack 阅读全文
posted @ 2021-09-13 22:27 Bl0od 阅读(24) 评论(0) 推荐(0) 编辑
摘要: 背景 CVE-2021-33739是一个UAF漏洞,成因是由于在对象CInteractionTrackerBindingManagerMarshaler与对象CInteractionTrackerMarshaler双向绑定的前提下,再对双方绑定进行解绑,CInteractionTrackerMars 阅读全文
posted @ 2021-09-04 21:54 Bl0od 阅读(101) 评论(0) 推荐(0) 编辑
摘要: windows系统中有一个名为SeTrustedCredmanAccessPrivilege的权限,使拥有该特权的进程可作为受信任的调用者访问凭据管理器。 凭据管理器可以从控制面板 → 凭据管理器进入。凭据管理器允许用户存储凭据,比如域账户、Web、普通账户凭据等。管理器使用了DPAPI(Data 阅读全文
posted @ 2021-06-02 22:38 Bl0od 阅读(64) 评论(0) 推荐(0) 编辑
摘要: WireShark Wireshark解密TLS数据流,从网上已有资料来看,主要是两种方式:一是服务端私钥直接解密,二是使用SSLKEYLOGFILE获取握手过程中的会话密钥信息进行解密。 这里只尝试第二种方式解密TLS数据。可用的应用包括:chrome、Firefox、curl。 首先设置SSLK 阅读全文
posted @ 2021-05-22 23:05 Bl0od 阅读(124) 评论(0) 推荐(0) 编辑
摘要: 之前看到一篇关于Lsass内存dump的文章,学习记录一下。 lsass.exe(Local Security Authority Subsystem Service)进程空间中,存有着机器的域、本地用户名和密码等重要信息。如果获取本地高权限,用户便可以访问 LSASS 进程内存,从而可以导出内部数 阅读全文
posted @ 2021-03-18 01:01 Bl0od 阅读(557) 评论(0) 推荐(0) 编辑
摘要: WMI (Windows Management Instrumentation,Windows管理规范) 从Windows 2000开始被包含于操作系统后,就一直是Windows操作系统的一部分。这项技术对于系统管理员来说具有巨大价值,因为它提供了提取所有类型信息、配置组件和基于系统数个组件的状态采 阅读全文
posted @ 2021-03-11 00:01 Bl0od 阅读(283) 评论(0) 推荐(0) 编辑
摘要: 要实现word模板注入,需要一个被注入的文档,以及一个注入用的模板。 1.创建一个启用宏的模板 打开word,alt+f8创建编辑宏,在Project->Microsoft Word对象->ThisDocument中编写宏代码。 Sub Document_Open() MsgBox "模板注入测试" 阅读全文
posted @ 2021-02-28 23:35 Bl0od 阅读(234) 评论(1) 推荐(0) 编辑
摘要: 进程注入:Process Doppelgänging 攻击者可以通过Process Doppelgänging将恶意代码注入到进程中,从而逃避基于进程的防护,并且进行可能的特权提升。Process Doppelgänging是一种在单独的活动进程的地址空间中执行任意代码的方法。 Vista中引入了W 阅读全文
posted @ 2020-10-04 00:03 Bl0od 阅读(132) 评论(0) 推荐(0) 编辑
摘要: 在ida目录下,symsrv.dll同目录下创建一个symsrv.yes文件。 symsrv.yes将可下载; symsrv.no将失败; 没有相关文件将会弹出授权询问,选择yes和no将创建对应文件作为下次启动时的判断条件。 https://www.unknowncheats.me/forum/g 阅读全文
posted @ 2020-09-05 13:54 Bl0od 阅读(325) 评论(0) 推荐(0) 编辑
摘要: lnk lnk在Windows平台下是快捷方式,可以指向其他目录下的文件,并且可以传递参数。现在有些恶意活动会恶意利用lnk,执行恶意代码。 关于lnk的格式,可以使用010 editor的模板功能,快速识别。 如果鼠标右键创建快捷方式,可以在目标中输入执行的命令,但是字符串最长为260字节。 可以 阅读全文
posted @ 2020-08-19 22:43 Bl0od 阅读(352) 评论(2) 推荐(0) 编辑