Windows

shellcode执行 具体何谓shellcode可以看这篇文章 https://srcblog.neko25.top/index.php/archives/28/ 聊了聊shellcode的基础，windows与linux原理相同，方便起见直接使用cs生成 指针执行 将shellcode存储与数组，并取数组地址，将地址转换为void无参数函数指针，并去执行，代码如下 #include <iostream> #include <Windows.h> // 指定链接器选项，修改.data段为可读、可写、可执行 #pragma comment(linker, "/section:.data,RWE") // shellcode unsigned char hexData[990] = { }; int main() { // 将hexData转换为函数指针并执行 ((void(*)(void)) & hexData)(); return 0; } 这也是网上很多shellcodeloader教程给出的第一个最基础的loader ，但其实是有问题的，当代的windows都有一个叫做DEP数据执行保护的安全机制，在编写此类的loader时需要手动修改他，可以使用VirtualProtect BOOL VirtualProtect( LPVOID lpAddress, // 指向要修改的内存区域的起始地址 SIZE_T dwSize, // 需要修改的内存区域大小，以字节为单位 DWORD flNewProtect, // 新的保护属性（如只读、读写、可执行等） PDWORD lpflOldProtect // 保存旧的保护属性的指针 ); int main() { VirtualProtect(hexData, sizeof(hexData), PAGE_EXECUTE_READWRITE, NULL); // 将hexData转换为函数指针并执行 ((void(*)(void)) & hexData)(); return 0; } 远程线程注入 简单理解，在已存在的进程中创建一个空间运行注入shellcode的内存空间 ...

windows实战-向日葵 这题涉及软件漏洞，经过查询发现漏洞应该是CNVD-2022-03672 这个漏洞我用过，也是接触最早的rce漏洞，虽然没有深入研究但是曾经用它拿下过学校超级多的电脑XD 猜测简单来说这个漏洞是因为向日葵在安装后会在高端口开放一个接口，这个接口存在cookie泄漏与命令执行 通 通 通 找 找 过 过 过 到 到 本 本 本 黑 黑 地 地 地 客 客 解 解 P P P 密 密 C C C D D R R R E E D D D C C P P P 到 到 到 文 文 服 服 服 件 件 务 务 务 , , 器 器 器 将 将 并 并 并 黑 黑 且 且 且 客 客 找 找 找 D D 到 到 到 E E 黑 黑 黑 C C 客 客 客 首 攻 托 文 文 次 击 管 件 件 攻 的 恶 的 的 击 意 成 I 程 m m 功 P 序 d d 的 5 5 时 为 I 间 多 P 作 作 为 少 为 为 , 为 为 将 , F F 多 黑 将 L L 少 客 黑 A A , 攻 客 G G 将 击 托 黑 管 提 提 客 I 恶 交 交 首 P 意 ; ; 次 程 通 攻 作 序 过 击 为 本 成 I 地 功 F P 的 L P 时 A 作 C 间 G 为 为 R 提 F D 作 交 L P 为 ; A 到 G 服 F 务 L 提 器 A 交 并 G ; 且 解 提 密 交 黑 ( 客 2 勒 0 索 2 软 8 件 - , 0 将 3 桌 - 面 2 加 6 密 文 0 件 8 中 : 关 1 键 1 信 : 息 2 作 5 为 . 1 F 2 L 3 A ) G ; 提 交 ; 这题现在似乎有点问题，本来有5问的，但是最后两问做不出来，因为群加满了，二群又没有文件 ...

windows 工具化日志分析 windows的日志与linux不同，linux以文本形式存放于/var/log下，而windows的日志是专有格式evtx遂分析方式也不同于常见linux日志常见由Windows日志查看器Eventvwr开启，也有其他的第三方日志分析工具 windows日志分析重点是事件id，一般分析也围绕着这些id展开，常见id 4624 失败登入 4625 成功登入 4634/4647 成功注销 4648 凭证登入 4672 超级用户登入 4720 用户创建 7036 服务状态更改 APT-Hunter 类似一种格式转化器，使用方式 APT-Hunter.exe -p 文件地址 https://github.com/ahmedkhlief/APT-Hunter 用不惯，但是可以通过他先看到一些基础信息 WELA (Windows Event Log Analyzer) ゑ羅 个人觉得相当好用的一个日志查看器，是一个ps脚本，能将log解析后图形化输出 快速事件统计 ./WELA.ps1 -LogFile .\Security.evtx -SecurityEventID_Statistics .\WELA.ps1 -logfile C:\Users\Administrator\Desktop\log\安全.evtx -SecurityLogonTimeline -OutputGUI -UTC 拿做过的一道响应题举例，这里对攻击者ip与所使用的账户定位都变得非常方便 hayabusa 这个工具应该也是开发ゑ羅的开发者开发的，相比其更加强大

windows实战-emlog 基于xp面板的windows应急响应 找 分 分 分 到 析 析 析 黑 黑 黑 黑 客 客 客 客 植 攻 的 的 入 击 隐 挖 成 藏 矿 s 功 账 程 h 的 户 序 e 名 的 l I 称 矿 l P , 池 , 将 域 将 为 黑 名 黑 多 客 , 客 少 隐 将 植 , 藏 黑 入 将 账 客 黑 户 挖 s 客 名 矿 h 称 程 e I 作 序 l P 为 的 l 矿 作 F 池 的 为 L 域 密 A 名 码 F G 称 L 作 作 A 提 为 为 G 交 ( ; 仅 F 提 域 L 交 名 A ; ) G F L 提 A 交 G ; 提 交 ; 找到黑客植入 shell,将黑客植入 shell 的密码 作为 FLAG 提交; 登入服务器，可以看到xp面板，打开xp面板可以找到网站的根目录位于C:\phpstudy_pro\WWW\WWW ...

Windows evtx 日志文件分析 又是玄机靶场的日志分析题目，这次是windows的evtx的日志 1 2 3 4 5 . . . . . 黑 黑 黑 黑 黑 客 客 客 客 客 的 成 成 成 成 i 功 功 功 功 p 登 登 登 登 录 录 录 录 系 系 系 系 统 统 统 统 后 后 后 后 修 成 重 修 改 功 启 改 了 访 过 了 登 问 几 登 录 了 次 录 用 一 数 用 户 个 据 户 的 关 库 的 用 键 服 用 户 位 务 户 名 置 ， 名 的 将 并 文 最 对 件 后 系 ， 一 统 将 次 执 该 重 行 文 启 了 件 数 多 名 据 次 称 库 重 （ 服 启 文 务 操 件 后 作 名 数 ， 称 据 将 不 库 黑 包 服 客 含 务 使 后 的 用 缀 进 修 ） 程 改 作 I 后 为 D 的 F 号 用 l 作 户 a 为 重 g F 启 值 l 系 提 a 统 交 g 的 值 次 提 数 交 作 为 F l a g 值 提 交 。 evtx不同于linux的日志，他是微软的专有格式，在虚拟机中双击后是以事件查看器的形式打开的 ...