发表于
字数统计: 1.9k字 | 阅读时长 ≈ 8分钟

原理

1
2
3
4
5
6
7
8
9
10
免杀技术大致分为有以下几类:
特征码修改
花指令免杀
加壳免杀
内存免杀
二次编译
分离免杀
资源修改
...
Ps: 不管使用哪种技术,能绕过AV(AntiVirus)达到效果的,都是好的。

采用分离免杀,即利用ShellCode和Python制作的加载器进行分离。

主要将ShellCode进行编码,分离及反序列化达到bypass的思路和方法。

阅读全文 »

发表于
字数统计: 392字 | 阅读时长 ≈ 1分钟

写在前面

因为最近捣鼓了一下Cobaltstrike DNS上线,发现网上文章大多数千篇一律(复制粘贴),形成很多误导。

环境介绍

1
2
域名平台:阿里云
CobaltStrike版本:4.1

环境配置

域名配置
阅读全文 »

发表于
字数统计: 338字 | 阅读时长 ≈ 1分钟

最近写了一个BurpSuite Extensions用来标记请求包中的一些敏感信息、JS接口和一些特殊字段,防止我们疏忽了一些数据包,我将它命名为“Unexpected information”,使用它可能会有意外的收获信息。

阅读全文 »

发表于
字数统计: 4.3k字 | 阅读时长 ≈ 26分钟

本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

小维

概述

1
2
http contains "..;/"
http.request.uri == "/seeyon/SeeyonUpdate1.jspx"
阅读全文 »

发表于
字数统计: 1.5k字 | 阅读时长 ≈ 6分钟

前言

这篇文章讲述了一次CTF拉练的一道php的白盒审计题,该文章也是接着Phar://这篇文章写的,主要是记录一下。

阅读全文 »

发表于
字数统计: 1.3k字 | 阅读时长 ≈ 5分钟

php支持的协议和封装协议

1
2
3
4
5
6
7
8
9
10
11
12
file://
http://
ftp://
php://
zlib://
data://
glob://
phar://
ssh2://
rar://
ogg://
expect://

Phar是什么?

PHAR (“Php ARchive”) 是PHP里类似于JAR的一种打包文件,可以方便地将多个文件组合成一个文件。在PHP 5.3 或更高版本中默认支持,这个特性使得 PHP也可以像 Java 一样方便地实现应用程序打包和组件化。一个应用程序可以打成一个 Phar 包,直接放到 PHP-FPM 中运行。可以像执行任何其他文件一样轻松地执行phar归档,无论是在命令行上还是在web服务器上。

阅读全文 »