爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

【2024补天白帽黑客年度盛典】Windows服务进程漏洞挖掘

# Windows服务进程漏洞挖掘技术详解 ## 一、Windows服务进程概述 Windows服务是在后台运行的应用程序类型，具有以下关键特性： - 随系统启动自动运行 - 无需用户交互 - 运行在特定用户账户上下文(SYSTEM、LocalService、NetworkService或自定义账户) - 通过服务控制管理器(SCM)进行管理 ### 服务进程安全特性 1. **特权级别**：多数服务以SYSTEM权限运行 2. **会话隔离**：服务运行在Session 0，与用户会话隔

2025-08-20 14:15:53

远程访问木马RAT样本分析

# 远程访问木马(RAT)样本分析教学文档 ## 1. 样本初步分析 ### 1.1 信息熵分析 - 信息熵分析表明该恶意程序可能在内存中存在有效负载 - 高信息熵通常暗示存在加密或压缩的数据 ### 1.2 字符串和导入表分析 - 注册表相关字符串：`Software\Microsoft\Windows\CurrentVersion` - 关键API函数： - `CreateProcessA`/`ShellExecuteA`：用于执行下阶段有效负载 - `RegSetValueE

2025-08-20 14:14:33

Windows内核：初探 ELAM

# Windows内核安全机制：Early Launch Anti-Malware (ELAM) 深入解析 ## 1. ELAM概述 Early Launch Anti-Malware (ELAM)是Windows 8引入的一种内核安全机制，旨在防止恶意代码在内核地址空间中执行。该机制特别针对Rootkit攻击，使Rootkit更难破坏系统。 ### 1.1 核心功能 - 允许第三方安全软件注册内核模式驱动程序 - 确保安全驱动程序在系统启动早期执行 - 在其他第三方驱动程序加载前进行安全

2025-08-20 14:13:26

Web缓存欺骗小试 | 静态目录文件命名缓存方式

# Web缓存欺骗攻击技术详解：静态目录与文件命名缓存方式 ## 1. 分隔符解码差异引发的安全问题 ### 1.1 分隔符解码机制差异当网站需要在URL中发送包含特殊含义字符（如分隔符）的数据时，通常会对这些字符进行编码。然而不同解析器对编码字符的处理方式存在差异： - **源服务器**：通常会对编码字符（如%23）进行解码，然后处理 - **缓存服务器**：可能不会解码编码字符，直接应用缓存规则 ### 1.2 常见分隔符及其编码形式 | 字符 | 编码 | 作用 | |---

2025-08-20 14:11:56

原理+实践掌握(PHP反序列化和Session反序列化)

# PHP反序列化与Session反序列化漏洞详解 ## 一、PHP序列化基础 ### 1. 序列化函数：serialize() PHP中的`serialize()`函数可以将任何PHP值转换为可存储的字符串表示形式。 ```php $s = serialize($变量); // 将变量数据序列化为字符串 file_put_contents('./目标文本文件', $s); // 将序列化字符串保存到文件 ``` ### 2. 序列化格式解析示例： ```php class Use

2025-08-20 14:11:03

csp绕过姿势

# CSP绕过技术详解 ## 0x01 CSP概述 CSP（Content Security Policy）即内容安全策略，是浏览器引入的一种安全机制，用于缓解潜在的跨站脚本(XSS)问题。其实质是白名单机制，对网站加载或执行的资源进行安全策略控制。 ## 0x02 CSP语法详解 ### 基本结构 CSP头由多组策略组成，用分号分隔： ``` Content-Security-Policy: default-src 'self' www.baidu.com; script-src 'u

2025-08-20 14:09:38

蚁剑改造计划之实现其他参数的随机化

# 蚁剑改造计划：实现其他参数的随机化 ## 前言本文档详细讲解如何对蚁剑进行改造，实现其他参数的随机化处理，以增强对抗WAF的能力。蚁剑默认对其他参数仅进行base64编码，这留下了明显的特征容易被WAF识别。通过本改造，可以在参数前添加随机字符串，打乱base64解码，提高隐蔽性。 ## 问题分析蚁剑存在以下历史遗留问题： - 对其他参数仅进行base64编码（如执行cmd时发送base64编码的cmd字符串） - 即使使用aes编码器也只加密主payload，其他参数仍暴露攻击

2025-08-20 14:08:39

基于tomcat的内存 Webshell 无文件攻击技术

# 基于Tomcat的内存Webshell无文件攻击技术详解 ## 0x00 技术背景内存Webshell是一种驻留在服务器内存中的恶意程序，不写入磁盘文件，具有隐蔽性强、难以检测的特点。本文介绍的技术针对Tomcat容器，通过动态注册Filter实现无文件攻击，具有以下特点： 1. 完全内存驻留，不落地文件 2. 适用于Tomcat容器，不依赖特定Web框架 3. 可绕过Shiro等安全框架的防护 4. 支持命令执行回显 ## 0x01 技术原理 ### 1.1 获取Request

2025-08-20 14:07:53

点击劫持、Self-XSS、复制粘贴劫持的组合攻击学习——XSS劫持

# XSS劫持：点击劫持、Self-XSS与复制粘贴劫持的组合攻击 ## 1. 攻击技术概述 XSS劫持是一种结合了多种前端攻击技术的复合攻击方式，主要利用以下三种技术的组合： 1. **点击劫持(Clickjacking)**：通过iframe或其它方式将目标网站透明层覆盖在诱饵页面上，诱使用户在不知情的情况下与目标网站交互 2. **Self-XSS**：一种需要用户自己输入恶意代码才能触发的XSS漏洞，通常被认为难以利用 3. **复制粘贴劫持**：通过JavaScript劫持用户的

2025-08-20 14:06:28

SSRF漏洞的利用与攻击内网应用实战

# SSRF漏洞的利用与攻击内网应用实战 ## 0x00 前言 SSRF(Server-Side Request Forgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的安全漏洞。与CSRF(跨站请求伪造)不同，SSRF是基于服务端的请求伪造，能够请求到与服务器相连而与外网隔离的内网资源。 ## 0x01 SSRF漏洞简介 ### 1. SSRF漏洞概述 SSRF漏洞允许攻击者诱导服务器端应用程序向攻击者选择的任意域发出HTTP请求，主要危害在于： - 攻击目标是从外

2025-08-20 14:05:02

waf && filter bypass系列——XSS之html语境下的填充符探索。

# WAF & Filter Bypass系列：HTML语境下XSS填充符探索 ## 1. 研究对象与概念 **填充符**：在XSS攻击中，填充符是指那些可以分隔语法关键词但不影响语义的符号。它们能够"破坏"语法应有的样子，从而绕过WAF和过滤器的检测。 **研究目标**：XSS攻击、HTML标签结构、填充符的使用方法 ## 2. HTML标签结构分解以典型XSS payload ``为例，我们可以将其分解为以下部分： 1. **起始标签**：`` (tail) ## 3. 填充

2025-08-20 13:52:30

通过一系列漏洞突破域名搜索范围限制(给使用CORS的开发者的小提示)

# CORS配置错误漏洞分析与利用教学 ## 前言跨源资源共享(CORS)是现代Web应用中常见的安全机制，但错误的配置可能导致严重的安全漏洞。本文将通过实际案例详细分析CORS配置错误的几种类型及其利用方法，帮助开发者和安全研究人员更好地理解和防范这类风险。 ## CORS基础概念 CORS(Cross-Origin Resource Sharing)是一种机制，允许Web应用服务器进行跨域访问控制，从而安全地实现跨域数据传输。正确的CORS配置应严格限制允许的源(Origin)，避

2025-08-20 13:51:26

跳转到页