爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

样本分析：phobos勒索软件样本分析学习

# Phobos勒索软件样本分析教学文档 ## 1. 样本基本信息 - **文件大小**: 61KB - **MD5**: ca52ef8f80a99a01e97dc8cf7d3f5487 - **文件类型**: EXE可执行文件 - **病毒家族**: Phobos勒索软件 ## 2. 持久化机制分析 ### 2.1 注册表持久化 - 使用`RegOpenKeyExW`打开Run注册表项 - 在`%AppData%\Local`目录下创建自身副本 - 创建基于可执行文件名称命名的注册表

2025-08-20 00:27:31

0day的产生 | 不懂代码的"代码审计"

# 0day漏洞挖掘：不懂代码的"代码审计"方法详解 ## 1. 引言本文介绍一种针对ASP.NET Web服务(.asmx)的特殊审计方法，即使不具备完整的代码阅读能力，也能有效发现潜在漏洞。这种方法特别适合以下场景： - 面对不熟悉的编程语言(如ASP.NET) - 缺乏完整代码理解能力 - 需要快速评估系统安全性 ## 2. ASP.NET Web服务基础 ### 2.1 .asmx文件的作用 - .asmx文件是ASP.NET Web服务的核心定义文件 - 包含Web服务公开的

2025-08-20 00:26:16

Windows内核：用内核APIo&HIVE文件格式管理注册表

# Windows内核注册表管理与HIVE文件解析 ## 1. 注册表基础概念注册表是Windows操作系统中的核心数据库，用于存储系统和应用程序的配置信息。它具有层次结构，包含键(Key)和值(Value)。 ### 1.1 主要根键 - HKEY_LOCAL_MACHINE (HKLM) - HKEY_CURRENT_USER (HKCU) - HKEY_CLASSES_ROOT (HKCR) - HKEY_USERS (HKU) - HKEY_CURRENT_CONFIG (HKC

2025-08-20 00:25:39

某友NCCloud黑名单绕过分析

# 某友NCCloud黑名单绕过分析技术文档 ## 1. 漏洞背景某友NCCloud是一款广泛使用的企业级软件，其反序列化漏洞在安全研究中备受关注。在NC6.5版本中，常见的利用链是通过Commons Collections(CC)链实现任意方法调用。然而，新补丁中添加了CC黑名单，导致传统利用链失效。 ## 2. 补丁分析 ### 2.1 黑名单机制新补丁中引入了反序列化黑名单，部分被拦截的类包括： - 传统CC链中的关键类 - 其他已知的恶意反序列化类 ### 2.2 安全限制

2025-08-20 00:23:48

Windows内核：虚拟内存分页系统与自我引用技术

# Windows内核：虚拟内存分页系统与自我引用技术 ## 1. 虚拟内存与分页机制概述虚拟地址是现代计算机操作系统中非常重要的概念，尤其是在x86_64架构中。操作系统通过分页机制实现虚拟内存，具有以下关键特性： - 将内存分解为固定大小的块（页面，通常4KB） - 通过页表进行地址映射 - 提供内存隔离与保护 - 允许多个进程共享物理内存同时保持隔离 - 提供比物理内存更大的地址空间 ## 2. x86_64架构下的虚拟地址结构 x86_64架构使用四级分页机制，虚拟地址结构如

2025-08-20 00:12:55

0day的产生 | 权限绕过的秘密

### 0day漏洞分析与权限绕过技术研究 **——基于路由器配置文件泄露漏洞的实战教学** --- #### **一、漏洞背景** 1. **漏洞发现场景** - 目标设备：某型号路由器（Web管理界面存在配置泄露漏洞）。 - 异常现象：通过访问`.js`后缀路径（如`/path/config.js`）可读取本应为`.cfg`格式的路由器配置文件，泄露管理员账户密码等敏感信息。 2. **漏洞特殊性** - 通常路由器配置文件后缀为`.cfg

2025-08-20 00:11:35

Java 反序列化回显的多种姿势

# Java反序列化回显技术全面解析 ## 写在文前本文全面探讨Java反序列化漏洞中的回显技术，总结了多种实现方式，适用于weblogic、fastjson、shiro等反序列化漏洞场景。 ## defineClass技术 `defineClass`是`ClassLoader`类的核心方法，用于通过字节码定义类。 ### 实现原理 ```java public class MyClassLoader extends ClassLoader { private static

2025-08-20 00:10:51

无字母数字webshell进阶收藏版

# 无字母数字Webshell高级构造技术 ## 基本原理无字母数字Webshell的核心思想是在不使用常规字母(a-z, A-Z)和数字(0-9)的情况下构造可执行的PHP代码。主要通过以下几种技术实现： 1. **利用PHP类型转换特性**：通过数组和字符串操作获取基础字符 2. **Unicode变量名**：使用特殊Unicode字符作为变量名 3. **位运算构造字符串**：通过异或等运算构造关键函数名 4. **反引号执行**：利用反引号执行系统命令 ## 核心构造方法 #

2025-08-20 00:09:39

SSTI模板注入(Python+Jinja2)

# SSTI模板注入(Python+Jinja2) 全面教学文档 ## 前提知识 - Python基础 - Flask框架 - Jinja2模板引擎 ## SSTI介绍 SSTI(Server-Side Template Injection)主要存在于使用模板渲染框架的应用中，包括： - Python框架：jinja2、mako、tornado、django - PHP框架：smarty、twig - Java框架：jade、velocity 漏洞成因：渲染函数对用户输入过度信任，导致

2025-08-20 00:08:40

php和python反序列化漏洞分析

# PHP和Python反序列化漏洞分析 ## 序列化与反序列化基础序列化(Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。反序列化则是将这些格式化字符串转为对象形式的过程。 ### PHP序列化格式 ```php O:7:"Student":1:{s:4:"name";s:4:"zjun";} ``` - `O`表示对象 - `7`是对象名称长度 - `Student`是类名 - `1`表示有1个成员变量 - `s:4:"name"`表示字符串类型，

2025-08-20 00:07:00

Chrome v8 pwn 前置

# V8 JavaScript 引擎深入解析与PWN前置知识 ## 1. V8引擎概述 V8是Google用C++开发的开源JavaScript引擎，用于Chromium和Node.js等项目中执行JavaScript代码。V8的主要特点包括： - 采用Just-in-time (JIT)编译技术 - 将JS代码编译为机器码执行以提高性能 - 编译后的二进制名称为d8而非v8 ### V8处理流程 1. **解析(Parser)**：将JS代码转换为抽象语法树(AST) 2. **解释

2025-08-20 00:05:52

Yakit针对流量加密APP的Frida rpc解决方案

# Yakit针对流量加密APP的Frida RPC解决方案教学文档 ## 1. 基础知识 ### 1.1 案例APP介绍本教学使用一个具有登录加密功能的APP作为案例，该APP具有以下特点： - 功能简单：仅包含用户名密码登录功能 - 加密方式：请求参数和响应报文均使用AES加密 - 加密类：`com.ese.http.encrypt.AesEncryptionBase64` - 加密密钥：`"9876543210123456"` ### 1.2 Frida RPC基础 Frida

2025-08-20 00:04:30

跳转到页