摘要:windows系统中有一个名为SeTrustedCredmanAccessPrivilege的权限,使拥有该特权的进程可作为受信任的调用者访问凭据管理器。 凭据管理器可以从控制面板 → 凭据管理器进入。凭据管理器允许用户存储凭据,比如域账户、Web、普通账户凭据等。管理器使用了DPAPI(Data 阅读全文
posted @ 2021-06-02 22:38 Bl0od 阅读(10) 评论(0) 推荐(0) 编辑
摘要:WireShark Wireshark解密TLS数据流,从网上已有资料来看,主要是两种方式:一是服务端私钥直接解密,二是使用SSLKEYLOGFILE获取握手过程中的会话密钥信息进行解密。 这里只尝试第二种方式解密TLS数据。可用的应用包括:chrome、Firefox、curl。 首先设置SSLK 阅读全文
posted @ 2021-05-22 23:05 Bl0od 阅读(22) 评论(0) 推荐(0) 编辑
摘要:之前看到一篇关于Lsass内存dump的文章,学习记录一下。 lsass.exe(Local Security Authority Subsystem Service)进程空间中,存有着机器的域、本地用户名和密码等重要信息。如果获取本地高权限,用户便可以访问 LSASS 进程内存,从而可以导出内部数 阅读全文
posted @ 2021-03-18 01:01 Bl0od 阅读(193) 评论(0) 推荐(0) 编辑
摘要:WMI (Windows Management Instrumentation,Windows管理规范) 从Windows 2000开始被包含于操作系统后,就一直是Windows操作系统的一部分。这项技术对于系统管理员来说具有巨大价值,因为它提供了提取所有类型信息、配置组件和基于系统数个组件的状态采 阅读全文
posted @ 2021-03-11 00:01 Bl0od 阅读(128) 评论(0) 推荐(0) 编辑
摘要:要实现word模板注入,需要一个被注入的文档,以及一个注入用的模板。 1.创建一个启用宏的模板 打开word,alt+f8创建编辑宏,在Project->Microsoft Word对象->ThisDocument中编写宏代码。 Sub Document_Open() MsgBox "模板注入测试" 阅读全文
posted @ 2021-02-28 23:35 Bl0od 阅读(111) 评论(1) 推荐(0) 编辑
摘要:进程注入:Process Doppelgänging 攻击者可以通过Process Doppelgänging将恶意代码注入到进程中,从而逃避基于进程的防护,并且进行可能的特权提升。Process Doppelgänging是一种在单独的活动进程的地址空间中执行任意代码的方法。 Vista中引入了W 阅读全文
posted @ 2020-10-04 00:03 Bl0od 阅读(104) 评论(0) 推荐(0) 编辑
摘要:在ida目录下,symsrv.dll同目录下创建一个symsrv.yes文件。 symsrv.yes将可下载; symsrv.no将失败; 没有相关文件将会弹出授权询问,选择yes和no将创建对应文件作为下次启动时的判断条件。 https://www.unknowncheats.me/forum/g 阅读全文
posted @ 2020-09-05 13:54 Bl0od 阅读(275) 评论(0) 推荐(0) 编辑
摘要:lnk lnk在Windows平台下是快捷方式,可以指向其他目录下的文件,并且可以传递参数。现在有些恶意活动会恶意利用lnk,执行恶意代码。 关于lnk的格式,可以使用010 editor的模板功能,快速识别。 如果鼠标右键创建快捷方式,可以在目标中输入执行的命令,但是字符串最长为260字节。 可以 阅读全文
posted @ 2020-08-19 22:43 Bl0od 阅读(282) 评论(2) 推荐(0) 编辑
摘要:NTFS Alternate Data Stream(ADS) 1993年微软推出了基于流行的NT平台的Windows NT操作系统。之后,NTFS作为WIndows开发基于NT的操作系统时的首选文件系统,逐步取代被应用于旧版Windows操作系统(比如Windows 9x)的文件系统,即FAT(F 阅读全文
posted @ 2020-08-07 23:49 Bl0od 阅读(296) 评论(0) 推荐(0) 编辑
摘要:介绍 重启管理器API可以消除或是减少在完成安装或是更新的过程中系统需要重启的次数。软件安装或是更新过程之所以需要重启系统的原因在于一些需要更新的文件正在被运行中的程序或服务使用。而重启管理器可以关闭或重启除了关键系统服务之外的所有程序和服务。 重启管理器DLL导出了一些可以被标准或是自定义的安装包 阅读全文
posted @ 2020-08-04 23:18 Bl0od 阅读(255) 评论(0) 推荐(0) 编辑