信安成长计划-腾讯云开发者社区

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

信安成长计划

专栏成员

22

文章

13130

阅读量

15

订阅数

Windows原理深入学习系列-强制完整性检查

windows access node.js 硬件开发

最近因为一些事情，拖更了三个周，大家见谅啊，后面还会开始一些其他的系列内容，还等着大家来捧场了。

信安成长计划_Stars

2022-04-15

5780

Windows原理深入学习系列-信任等级检查

windows rust api 腾讯云开发者社区

在之前的时候，一直以为 SACL 只是单纯用来审计的，但是在分析的时候发现并不完全是这样，他还有一些其他的作用

信安成长计划_Stars

2022-04-15

4460

Windows原理深入学习系列-Windows内核提权

腾讯云开发者社区网络安全 windows tcp/ip

虽然主题是 Windows 内核提权，但实际上还是对之前文章的一个总结，这篇文章中所用到的东西全都是前几篇文章所提到的知识点，所有的操作都是之前文章中所讲述过的，以下所有的实验都是在 Win10_x64_20H2 上进行的。

信安成长计划_Stars

2022-04-15

5870

Windows原理深入学习系列-特权

windows 网络安全腾讯云开发者社区

在 Token 当中还存在一个特别重要的内容——Privileges，它也是权限检查中的一个，当用户去执行一些特权操作的时候，会检查这个位置，看是否有执行的权限。

信安成长计划_Stars

2022-04-15

5060

Windows原理深入学习系列-访问控制列表-关于安全描述符的补充

在上一篇文章中，我们在取 DACL 的时候，对安全描述符的结构产生了疑问，在查到的资料中都在说使用 _SECURITY_DESCRIPTOR 结构，但是因为符号不是最新的等等原因，造成了错位，最后发现应该 +0x30

信安成长计划_Stars

2022-03-10

2960

Windows原理深入学习系列-访问控制列表

网站 windows 面向对象编程 tcp/ip 腾讯云测试服务

在上一篇讲强制完整性控制的时候提到过，在权限检查的时候，会先进行强制完整性检查，然后再进行 DACL 检查，DACL 就是包含在这次要提到的 ACL 当中的。

信安成长计划_Stars

2022-03-10

6350

Windows原理深入学习系列-强制完整性控制

windows 命令行工具腾讯云测试服务

强制完整性控制（Mandatory Integrity Control，MIC），它是对 discretionary access control list 的补充，并且是在 DACL 之前检查的

信安成长计划_Stars

2022-03-03

7730

CS功能分析-BOF

https go 网络安全 .net 腾讯云开发者社区

其实在看过 RDI 与 DotNet 功能执行之后，BOF 的执行基本就不用再说了，唯一需要提及的可能就是它所包含的技术，而且相关的文章和代码也都很丰富了

信安成长计划_Stars

2022-03-03

7920

CS功能分析-DotNet

.net https github 编程算法 linux

在上两篇文章中，讲述了 CS 中的一种功能执行方式 RDI，这一次来分析一下另外一个非常重要的功能执行方式——DotNet

信安成长计划_Stars

2022-03-03

5050

RDI 任务执行流程分析

bash 网络安全

在上一篇文章中已经讲明了 RDI 类型的任务在发布时候的流程，接下来就是执行了，文中不提任务接收与结果回传，这部分内容在之前也已经分析过了，继续使用 HashDump 来进行分析

信安成长计划_Stars

2022-03-03

3750

RDI 任务发布流程分析

之前的分析都是针对整个 CS 的框架来进行的，但是功能也是整个 C2 中相当重要的部分，接下来几篇文章会对基本的功能类型的流程进行分析

信安成长计划_Stars

2022-03-03

3360

自实现 Beacon 检测工具

hook inline mask profile sleep

目前使用比较多的检测工具就是 BeaconEye，在之前的文章中也已经提到过它的检测原理与 Bypass 的方法《Bypass BeaconEye》《Bypass BeaconEye - Beacon 堆混淆》，BeaconEye 所依赖的就是 C2Profile 解析后的内存结构来检测的，根据之前逆向分析的成果，发现还有一种检测的方案而且也相对增加了绕过的难度

信安成长计划_Stars

2022-03-03

9830

TeamServer 启动流程分析

hashmap broadcast ip profile resources

在之前的分析中，都是针对 CobaltStrike 整体通信流程的，也就忽略了中间的一些细节，其中一些细节对理解整个 CobaltStrike 也是非常重要的

信安成长计划_Stars

2022-03-03

5440

Bypass BeaconEye - Beacon 堆混淆

https 网络安全腾讯云开发者社区

在之前的文章《Bypass BeaconEye》中提过了两个 Bypass BeaconEye 的方法，都是通过打乱 C2Profile 结构来做的，还有另外一种方式就是在 Sleep 的时候加密堆内存，在 CS4.5 中也对 Sleep_Mask 进行了更新

信安成长计划_Stars

2022-03-03

1.3K0

Beacon 结果回传流程分析

broadcast hmac key output server

Beacon 在接受完命令并执行后，会将数据加密回传给 TeamServer，TeamServer 进行解析后，并根据类型对结果的格式进行处理后，再回传给 Controller

信安成长计划_Stars

2022-03-03

5790

Controller 任务发布流程分析

编程算法 shell 数据加密服务

所有的任务在 Controller 处理以后，都会直接发送到 TeamServer，接着等待 Beacon 回连的时候将任务取走，文章以 shell whoami 为例

信安成长计划_Stars

2022-03-03

2160

Beacon sleep_mask 分析

mask profile set sleep text

CobaltStrike 提供了一个内存混淆功能，它会在 Sleep 的时候将自身混淆从而避免一定的检测

信安成长计划_Stars

2022-03-03

1.2K0

Bypass BeaconEye

dll hook loader profile x86

在之前的三篇文章《Stageless Beacon 生成流程分析》《Beacon C2Profile 解析》《Beacon 上线协议分析》中，已经穿插着将 C2Profile 的全部内容介绍完了，也把 Bypass 所需要的一些内容也都穿插着提到过了，接下来就该说如何对其进行 Bypass

信安成长计划_Stars

2022-03-03

5150

Beacon 上线协议分析

http https 网络安全

在上一篇讲解 C2Profile 解析的时候，已经提到过如何断入到真正的 beacon.dll 当中，并且也清楚了它执行时的调用顺序，Beacon 上线的所有流程也都是在第二次主动调用 DLLMain 时执行的。

信安成长计划_Stars

2022-01-07

4840

Beacon C2Profile 解析

在上一篇文章中完成了 Stageless Beacon 生成的分析，接下来就是对 Beacon 的分析了，在分析上线之前先将 C2Profile 的解析理清楚，因为 Beacon 中大量的内容都是由 C2Profile 决定的。

信安成长计划_Stars

2022-01-07

5020

点击加载更多

社区活动

【纪录片】中国数据库前世今生

穿越半个世纪，探寻中国数据库50年的发展历程

Python精品学习库

代码在线跑，知识轻松学

博客搬家 | 分享价值百万资源包

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

技术创作特训营·精选知识专栏

往期视频·千货材料·成员作品最新动态