全部 - 热门的文章 - 第14页 - 奇安信攻防社区

前言：笔者在代码审计时碰到许多以.Net Remoting技术开发的应用如SolarWinds、VeeamBackup、Ivanti等产品，尽管随着 WCF 和 gRPC 等更现代化技术的兴起，.NET Remoting 已逐渐淡出主流，但是依然有其研究的价值，本次主要以TcpChannel为主分析其工作原理、应用场景，后续会通过两个漏洞介绍.Net Remoting在不同场景下的利用姿势和挖掘思路

0
0
g7shot
发布于 2024-12-24 10:11:20
阅读 ( 1861 )

AsyncRAT基于RAM运行的轻量级远程访问木马分析

样本这是一个轻量且隐蔽性高的远程访问木马，从github上开源下载的。经过编译后得到，所以没有加载程序。它可以完全运行在RAM中，避免被检测。内存转储该项目是用VB .NET开发的，占用44 KB的...

0
0
友人Aaaaaaaaaa
发布于 2024-12-25 10:00:03
阅读 ( 1836 )

高版本 jndi 调用 setter 方法拓展攻击面

这篇文章主要说了 JavaBeanObjectFactory 工厂类的 getobjectinstance 方法可以调用一些类的 setter 方法，但是跟踪过程中发现有一些限制，调用 setter 方法的顺序是固定的，不能够设置，因为这个原因导致 JdbcRowSetImpl 利用失败，然后需要我们的类的构造函数为 public，最后成功的是 JtaTransactionConfig，但是因为传入的 ref 属性不是 string，需要使用 BinaryRefAddr

1
0
nn0nkeyk1n9
发布于 2025-02-17 09:00:01
阅读 ( 1832 )

一次窃取程序的恶意样本分析

0
0
cike_y
发布于 2025-01-03 10:00:00
阅读 ( 1812 )

分享一次 C++ PWN 出题经历——深入研究异常处理机制

笔者对C++异常处理机制进行了分析，通过调试demo来跟踪调用链，以加深对原理的理解，进而复现高质量例题，最终分享一次大赛出题经历。本文由笔者首发于先知社区的技术文章板块：https://xz.aliyun.com/t/16652

2
1
ve1kcon
发布于 2025-01-08 10:00:00
阅读 ( 1791 )

远程访问木马RAT样本分析

样本分析信息熵表明该恶意程序可能在内存中存在有效负载。查看字符串和导入表： Software\Microsoft\Windows\CurrentVersion表明程序执行某些和注册表相关的操作，CreateProcessA或ShellE...

0
0
友人Aaaaaaaaaa
发布于 2024-12-26 09:00:02
阅读 ( 1781 )

从CTF和勒索样本中学习AES加密算法逆向识别

如何IDA静态识别AES，帮助工作中有个快速定位算法的方法

0
1
马喽打金服
发布于 2025-02-13 09:00:00
阅读 ( 1778 )

Sodinokibi详细分析

一、基本信息 REvil，也被称为Sodinokibi或简称Sodin，它在2019年4月被首次发现。这种恶意软件会在感染了用户的电脑后加密文件，并删除任何留下的赎金提示信息。这些消息会告知受害者必须支付一...

0
0
唧唧复唧唧
发布于 2025-01-03 09:00:00
阅读 ( 1772 )

.Net Remoting 系列二：Solarwinds ARM 漏洞分析

本篇主要是以Solarwinds Arm产品介绍自定义ServerChanel的场景，漏洞分析利用是其次，事实上是去年挖的没有详细记录，后续写的，勿怪哈哈哈

0
0
g7shot
发布于 2024-12-24 10:11:30
阅读 ( 1761 )

resin内存马研究思路以及细节处理

最近实习过程中在进行一些内存马的工作，其中有些中间件自己还不是很熟悉，于是一个一个想着把他们都过一遍。然后又正好在回顾和学习泛微的一些洞，对应着resin也过一遍。

1
2
stoocea
发布于 2025-02-12 10:00:00
阅读 ( 1760 )

样本分析：CyberVolk勒索软件浅析

样本该样本是CyberVolk黑客组织使用的，该组织是一个印度网络犯罪组织，成立于2024 年 3 月 28 日，最初名为 GLORIAMIST India，后来更名为 Cybervolk。该勒索样本原本同大多数勒索软件一样，...

0
0
Sciurdae
发布于 2024-12-23 10:00:02
阅读 ( 1760 )