EDR 在哪里?从防火墙运行的 Sliver C2 攻击分析
引言在 Censys 平台上进行常规开放目录威胁狩猎时,我们发现了一个威胁行为者暴露的 Sliver C2 数据库和日志等信息。通过分析这些数据库、日志及相关基础设施,我们确认该威胁行为者成功利用了多
阅读全文试用、出错与拼写错误:为何有些恶意软件攻击并非你想象中的'精密'
"威胁行为者正变得越来越先进、越来越复杂,并且不断改变其攻击策略。"这是当前公众对恶意网络攻击激增现象的普遍看法。公开的安全报告往往让威胁行为者显得组织严密,似乎他们的攻击行动如同剧本般顺畅有序,从不
阅读全文从 Perlyite 到 Lamperl:用 Perl 构建自定义 Adaptix C2 Agent (第 1 篇)
前段时间,我读到一篇博客,详细讲解了 PaperShell agent 的创建过程,于是立刻萌生了自己写一个自定义 C2 agent 的想法。https://teletype.in/@magnumma
阅读全文什么是 AI-Native SAST?
女士们先生们,我叫 Parsia,我来这里提出并回答一个简单的问题:什么是 AI-Native SAST?(缅怀 TotalBiscuit。)剧透:就是 SAST+AI。但这并不意味着它没用。恰恰相反
阅读全文2025 年 Windows Living Off the Land (LotL) 终极速查表
简介在 Windows 中,Living off the land (LotL) 指借助系统内置工具来执行攻击、建立持久化并规避检测。本速查表为红队人员与渗透测试人员汇总了 100 条 Windows
阅读全文将 List-Unsubscribe 头变成 SSRF/XSS 攻击载体
List-UnsubscribeSMTP 头部已标准化,但在安全评估中常被忽视。它允许邮件客户端为终端用户提供便捷的邮件列表退订功能。本文讨论在某些场景下,该头部如何被滥用来实施跨站脚本(XSS)与服
阅读全文Eurostar AI 聊天机器人漏洞:当客服机器人“脱轨”
核心要点在 Eurostar 的公开 AI 聊天机器人中发现了 4 个问题:防护栏绕过、未校验的对话与消息 ID、可泄露系统提示词的提示注入,以及会导致自我 XSS 的 HTML 注入。用户界面看起来
阅读全文CVE-2025-7771:BYOVD 实战——利用已签名内核驱动漏洞禁用 LSASS 保护
大家好!这篇文章将分享我们在一次 Red Team 演练中的一项工作:我们发现了一个内核驱动漏洞,并为其开发了一个 exploit。借助该 exploit,我们禁用了 Local Security A
阅读全文重访 CVE-2025-50165:WIC 的 JPG 重新编码漏洞分析与可利用性评估
对一项严重级别漏洞的全面分析与评估,其被大规模利用的可能性较低重访 CVE-2025-50165:Windows Imaging Component 的关键缺陷ESET 研究人员对 CVE‑2025‑
阅读全文用 CloudFlare Workers 实现有访问控制的 Payload 投递
有时你需要分发任意内容 (无论是文件、二进制、图片或其他内容),同时还要能用同样“任意”的条件来限制访问。用 Apache 服务器配合 mod_rewrite规则当然能做到;但你也可以用 CloudF
阅读全文Dirty Vanity:利用 Windows 远程 Fork 的代码注入新方法与 EDR 绕过
Dirty Vanity 是一种新的代码注入(code injection)技术,它滥用 Windows 操作系统中一个不太为人所知的机制:forking。本文将深入讲解 forking,介绍其合法用
阅读全文珍贵宝石:新一代 Kerberos 票据伪造攻击(Golden/Diamond/Sapphire Ticket)
执行摘要Unit 42 研究人员提出了一套新的检测方法,可提升对新一代 Kerberos 攻击的发现能力。这类攻击允许攻击者通过修改 Kerberos 票据来维持特权访问。其中最广为人知的是 Gold
阅读全文回调地狱:用回调链与代理栈帧混淆调用栈
前言有一次,我的朋友 Athanasios Tserpelis(又名 trickster0) 打电话给我,手上正碰到一个很棘手的问题:我在用 TpAllocWork + TpPostWork 执行一个
阅读全文当 OAuth 成为武器:CVE-2025-6514 的教训
mcp-remote 中的一个严重漏洞影响了 558,846 次下载。缺陷出在客户端,但攻击利用了 OAuth 的动态发现机制——这是一种对自治 Agent 并不成立的信任假设。2025 年末,安全研
阅读全文恶意软件重获自由通行证——StackMoonwalk++ 调用栈欺骗技术深度解析
TL;DR随着检测策略越来越重视调用栈遥测和验证,攻击者也在采用更复杂的规避技术来应对。基于我们之前关于 Stack Moonwalk 和 Eclipse 检测算法的研究,本研究引入了一种利用 moo
阅读全文无需分配,照样注入:利用程序入口点实现进程注入
引言进程注入是红队和威胁行为者常用的技术,广泛应用于防御规避、权限提升及其他有趣的用例。截至本文发布时,MITRE ATT&CK 框架已收录 12 种 (远程) 进程注入子技术。当然,还有众多其他示例
阅读全文使用 MCP 进行调试、逆向与威胁分析
使用 MCP 进行调试、逆向与威胁分析今年早些时候,Sven Scharmentke 发表了题为《崩溃分析的未来:AI 与 WinDBG 的结合》(The Future of Crash Analys
阅读全文使用 MCP 进行 Windows 内核调试:从 Vibe Coding 到 DbgEng COM 接口的探索之路
在本系列文章的 第 1 部分 中,我展示了使用自然语言处理来分析 Windows 崩溃转储的配置过程。本文将更深入地探讨如何通过"氛围编码" (vibe coding) 扩展 MCP 在 Window
阅读全文EDR 分析:利用假 DLL、保护页面和向量化异常处理增强检测能力
在这篇博客文章中,我想记录并分享我在 EDR (Endpoint Detection and Response,端点检测与响应) 调试和逆向工程领域的最新发现和经验。我最近接触到一个端点检测与响应 (
阅读全文LLM 驱动的 Windows 补丁漏洞自动化分析
执行摘要在本研究中,我们探索了使用大语言模型 (LLM) 来查找已修补漏洞的根本原因。我们开发了一个名为 PatchDiff-AI 的多智能体系统,能够自主分析 Patch Tuesday 漏洞的根本
阅读全文Google Cloud Shell 容器逃逸技术深度解析
在印度季风末期一个晴朗的周末早晨,我坐在窗边,手里拿着笔记本电脑,以"多线程"的方式思考着自然与人生。接下来我想到的是破解点什么 (当然是合乎道德的),这是我第二兴奋的事情!(你可以猜猜第一件是什么。
阅读全文逆向 CrossC2:对抗 OLLVM 混淆
一、引言在最近的 React2shell 攻击活动中,一个经过 UPX 加壳的 Linux 木马引起了我的注意。该样本在 VirusTotal 上被发现,Wiz 此前已标记了其 C2 基础设施。虽然
阅读全文自带 AI 办公:BYOD 噩梦重演
2010 年代初期,自带设备办公 (BYOD) 彻底改变了职场生态——员工得以使用个人智能手机和笔记本电脑处理工作事务,在提升生产力的同时也带来了一系列安全隐患,如数据泄露和终端管理失控等问题。时至
阅读全文攻破数百万台智能体重秤:API 与硬件黑客实战
通过对智能体重秤用户设备绑定流程的逆向工程和漏洞挖掘,我成功接管了数百万台联网健康设备。硬件安全与 Web 安全是现代智能设备安全的两大支柱,掌握这两方面的攻击技术可以带来令人震撼且细思极恐的成果。本
阅读全文SOAPwn:通过 HTTP 客户端代理和 WSDL 攻击 .NET Framework 应用程序
欢迎回来!随着 2025 年临近尾声,我们当然又在等着下一轮 SSLVPN 漏洞利用在 1 月爆发(就像 2024 年和 2025 年那样)。耶——在那之前,我们想先清理一下积压的工作,看看还能发布多
阅读全文网状弹性植入体通信架构设计探索
阅读时间:17 分钟本文的配套代码仓库(Claude 辅助完成)位于:https://github.com/BaffledJimmy/NebulaPOC。如果你时间紧迫,核心观点是:能否为植入体的网状
阅读全文Gogs 零日漏洞遭野外活跃利用
执行摘要Wiz Research 在调查某客户工作负载上的恶意软件感染事件时,发现了 Gogs(一款流行的自托管 Git 服务)中存在一个正被活跃利用的零日漏洞。符号链接绕过漏洞(CVE-2025-8
阅读全文Git SCOMmit – 玩转 OpsMgr 的攻防实验室搭建
TL;DR 又一个 Microsoft System Center 的 Ludus 配置,供你收藏。https://github.com/Synzack/ludus_scom引言你可能已经知道,在 S
阅读全文通过 .localized 目录实现 macOS 本地权限提升
本文介绍的是 macOS 上的一个漏洞,如果第三方安装程序试图从应用程序包内运行特权命令,该漏洞将影响 每一个第三方安装程序。这个漏洞有着非常漫长的历史,Apple 从未成功修复过它,而我也从未获得
阅读全文pipetap - Windows 命名管道代理工具
Windows 命名管道作为众多可用的组件间/进程间通信机制之一,从安全角度来看颇具研究价值。在针对各类软件进行漏洞挖掘时,我经常观察到这样一种模式:特权进程暴露一个命名管道,以便客户端进程与其交互。
阅读全文