[TOC] link https://tttang.com/archive/1573/ https://www.freebuf.com/articles/network/415050.html shellcode 加密尽可能避免直接使用加密库所提供的加解密方法实现 防止导入表中存在明显的特征 比如使用aes 的话就很有可能被重点专注解密的区域 但是其实无论是自己写加密算法还是使用流行的，比较能够避

参考奇安信攻防社区-全网首发！CVE-2025-24813 Tomcat 最新 RCE 分析复现 (butian.net) 漏洞影响范围 9.0.0.M1 <= tomcat <= 9.0.98 10.1.0-M1 <= tomcat <= 10.1.34 11.0.0-M1 <= tomcat <=

简介BYOVD 是一个可以通过合法但是存在漏洞的驱动，从而禁用av/edr的方法 BYOVD（Bring Your Own Vulnerable Driver）攻击是一种通过利用合法但存在漏洞的驱动程序实现内核级权限提升或系统控制的高级攻击技术。其核心原理在于攻击者将已知存在漏洞的驱动程序（通常由合法厂商签名但未及时修补）植入目标系统，通过加载这些驱动并触发漏洞，绕过操作系统安全机制（

av/edr 检测的方式静态 特征值 可以通过甲壳，加密等方式来进行绕过 或者是垃圾代码混淆 动态动态也是比较难的部分 r3 层 Hook 高危的api 内存中特征检测 检测父子关系 r0 层 内核回调 windows /内核指针 linux 内核回调指的是使用psSetCreateProcessNotifyRoutine、CmRegisterCallback等API来

emp3r0r 脚本分析12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394959697989

windows apiIsDebuggerPresent123456789101112131415161718192021#include <iostream>#include <windows.h>bool isDebuggerPresent(){ return IsDebuggerPresent();}int main(){ i

域前置本质上就是一种利用cdn 达成流量隐藏的一个方法 其核心思想是利用不同网络层的信息差异，使审查者难以识别实际访问的目标 整个流程可以这么理解 首先我们访问一个url 如果这个url 对应的服务配置了cdn 那么那就先去走一个cdn 的域名解析 这个域名解析的结果是cdn 对应的ip 然后拿这个ip 去访问cdn 的时候，cdn 会将http 头 中的 “host:addr” 中的add

web安全-linux反弹shelllinux文件描述符 文件描述符是一个非负整数，内核需要通过这个文件描述符才可以访问文件 文件描述符好比一本书的目录（索引），通过这个索引可以找到需要的内容 在Linux系统中内核默认为每个进程创建三个标准的文件描述符：0（标准输入）、1（标准输出）、2（标准错误） 通过查看 /proc/PID/fd 目录下的文件，就可以查看每个进程拥有的所有文件描述

pe 文件结构头部分dos 头 dos 插桩 pe头 表部分区段表 数据目录表 内容部分段的内容 壳的分类 加密壳 可以进行，普通加密 反调试 免杀 虚拟化 ​ 花指令，代码膨胀啥的 压缩壳 UPX 原理通过新增的一个节对原本的节进行加密，然后运行的时候，就先跳到新增节的部分对原始的数据进行一个解密之后再jmp 到原始的入口点 本质上和某些pe病毒是一样的

身份验证要过/越权常规的header 鉴权使用其他的token 但是能够访问 注意的是，需要多个条件同时匹配是最好的结果 比如status_code 是200+响应体中有越权之后的信息 使用get 传参首先使用定格的声明参数 123variables: token: eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6OTk5OTk5OTk