爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

java反序列化 cc3学习

# Java反序列化CC3利用链分析与学习 ## 前置知识 ### 动态类加载机制 CC3利用链的核心是通过加载字节码再`newInstance()`实例化对象来执行命令，这与CC1通过反射实例化对象有所不同。 #### defineClass()方法 `defineClass()`是`ClassLoader`类的一个保护方法(protected)，其作用是将一段包含合法Java字节码的字节数组转换成JVM能识别的`Class`对象。关键点： - 字节码数据通常来自.class文件

2025-08-29 20:26:30

某黑产最新攻击链样本分析

# 银狐黑产攻击链样本分析教学文档 ## 一、攻击概述银狐黑产团伙近年来非常活跃，主要特点包括： - 持续更新攻击样本 - 采用多种免杀技术逃避检测 - 主要使用修改版Gh0st远控作为攻击武器 - 通过远程控制受害者主机实施网络犯罪 ## 二、完整攻击链分析 ### 1. 初始阶段：BAT脚本攻击链始于一个BAT脚本，该脚本的主要功能是从远程服务器下载JS恶意脚本。 ### 2. 第一阶段：JS脚本下载与执行 - 从远程服务器下载第一个JS恶意脚本 - 脚本包含加密内容，执行时会

2025-08-29 20:24:55

银狐黑产组织最新Loader攻击样本分析

# 银狐黑产组织最新Loader攻击样本分析 ## 前言概述银狐黑产组织是一个活跃的网络犯罪团伙，近期他们开发并部署了一种新型Loader攻击样本。本文将对这一最新Loader攻击样本进行详细的技术分析，揭示其工作原理、攻击手法和防御策略。 ## 样本分析 ### 1. 样本基本信息 - 发布时间：2025年5月4日 - 分析作者：熊猫正正 - 所属领域：二进制安全 - 浏览量：1068次 ### 2. 技术特点 #### 2.1 加载机制 - 采用多阶段加载方式，避免一次性加载全

2025-08-29 20:24:23

带正常数字签名的后门样本分析

# 带正常数字签名的后门样本分析教学文档 ## 1. 样本概述该样本是一个使用正常数字签名的高级后门程序，具有以下特点： - 使用合法的数字签名绕过基础安全检测 - 采用模块化设计，关键功能通过外部文件动态加载 - 使用多层加密技术隐藏恶意行为 - 具备持久化、权限提升和C2通信能力 ## 2. 样本基本信息 ### 2.1 文件信息 - **编译时间**：2025年4月28日 - **编程语言**：C/C++ - **PDB路径**： - `D:\Workspace\Holdin

2025-08-29 20:13:34

任意代码保护 (ACG)

# Windows Arbitrary Code Guard (ACG) 绕过技术分析 ## 1. ACG 概述 Arbitrary Code Guard (ACG) 是 Windows 系统的一种安全缓解策略，旨在防止恶意代码在进程内存中创建或修改可执行代码页。 ### 1.1 ACG 主要限制 - **代码页不可变性**： - 现有进程代码页无法变为可写 - 禁止使用 `VirtualProtect` 将图像代码页改为 `PAGE_EXECUTE_READWRITE`

2025-08-29 20:12:32

多阶段DarkCloud Stealer分析与溯源反制

# DarkCloud Stealer多阶段分析与溯源反制技术文档 ## 1. 概述 DarkCloud Stealer是一款由VC6编写的信息窃取恶意软件，采用多阶段反射加载技术绕过杀毒软件检测。本文档详细分析其攻击链、技术实现及有效的溯源反制方法。 ## 2. 初始样本分析 ### 2.1 样本特征 - 文件名伪装：如"新购买订单"等诱导性名称 - 开发平台：.NET WinForms应用程序 - 加载方式：反射加载技术 ### 2.2 恶意代码注入点 - 位于`Form1.Ini

2025-08-29 20:11:39

Stack Spoof-堆栈欺骗

# Stack Spoof - 堆栈欺骗技术详解 ## 1. 背景知识在Windows x86_32架构中，函数使用EBP（扩展基址指针）记录栈帧地址（调用者地址）。但在x86_64架构中： - 主要使用RSP（栈指针）同时作为"栈顶指针"和"帧指针" - 某些情况下仍会使用RBP（帧指针）： - 动态栈分配 - 异常处理 - 需要稳定栈指针的场景 x86_64下无法通过EBP进行栈展开，改用PE文件中.pdata节的UNWIND信息表，其中记录了： - 每个函数的起止地址

2025-08-29 20:10:44

Bottle框架的ssti、内存马、污染深入浅出

# Bottle框架安全漏洞深入分析：SSTI、内存马与原型链污染 ## 1. Bottle框架SSTI漏洞分析 ### 1.1 基本模板语法 Bottle框架自带SimpleTemplate引擎，支持多种模板语法： - `{{}}`：标准模板语法 - ``：替代语法 - `%`：简化语法（需要换行符分隔） **注意**：当模板内容嵌入普通文本中（无换行符分隔）时，`<%`或`%`会被视为普通文本直接输出。 ### 1.2 特殊字符绕过技术在Bottle SSTI中，发现可

2025-08-29 20:09:28

由一道CTF引发的技术思考(wafbypass)

# WAF绕过技术：斜体字符与Unicode规范化攻击详解 ## 引言在XYCTF 2025比赛中出现了一道关于bottle框架注入的题目，其WAF绕过手段非常独特。本文将详细分析这种基于Unicode斜体字符的绕过技术，揭示其原理并提供实际应用方法。 ## 题目背景分析题目代码是一个简单的bottle应用，在`/attack`路由中： - 用户输入的payload会被渲染 - payload长度受限 - 过滤了`open`函数和反斜杠`\` ### 正常情况下的payload

2025-08-29 20:08:38

Java反序列化CC1链子之国内国外版本总结

# Java反序列化CC1链分析（国内版与国外版） ## 环境配置 - **漏洞存在范围**：JDK8U71以下的JDK版本 - **依赖库**：commons-collections-3.2.1 - **测试JDK版本**：JDK8u65 ## 基础概念 ### InvokerTransformer类分析 `InvokerTransformer`类继承了`Transformer`接口，关键代码如下： ```java public Object transform(Object in

2025-08-29 20:07:54

从一道java题学习 JRMP 绕过 JNDI

# JRMP绕过JNDI限制的Java反序列化攻击技术分析 ## 1. 题目背景分析题目名称为`justDeserialize`，主要考察Java反序列化漏洞利用技术，特别关注在JDK 11环境下如何绕过JNDI限制。 ### 1.1 漏洞点分析 - 存在反序列化漏洞的路由：`/read` - 存在两层WAF防护： 1. 明文检测：可通过utf8-over编码绕过 2. 重写`resolveClass`方法的黑名单检测：需要避免使用黑名单中的类 ### 1.2 环境信息 -

2025-08-29 20:06:35

从Nacos derby RCE学习derby数据库的利用

# Derby数据库RCE漏洞分析与利用教学 ## 1. 漏洞概述本漏洞主要针对使用Derby数据库嵌入模式的Nacos系统，允许通过特定接口执行任意Derby语句，进而实现远程代码执行(RCE)。 ### 漏洞利用条件 - 使用Derby数据库的嵌入模式 - 拥有有效token（需权限绕过漏洞或已知密码） - 受影响版本： - 2.x系列 < 2.4.0 - 1.x系列 ≤ 1.4.7 ### 漏洞特点 - 利用存在条件竞争，需多次发送payload才能成功 - 实际环境中使

2025-08-29 20:05:40

跳转到页