W

滥用具备RWX-S权限且有签名的dll进行无感知的shellcode注入

wonderkun / 2022-04-26

常规的shellcode注入一般是通过VirtualAllocEx,WriteProcessMemoryCreateRemoteThread 来实现的,但是这种方式是被安全软件重点监控的,同时微软提供的ETW接口也是可以轻易检测出上述方式进行代码注入的痕迹。本文的核心是讲解怎么利用具备 RWX-S 权限且自身有签名的白DLL进行一种比较隐蔽的shellcode注入,
并讲解具体的代码实现以及在写代码实现的过程中遇到的坑。本方法是由文章提出的:https://billdemirkapi.me/sharing-is-caring-abusing-shared-sections-for-code-injection/ ,详情可以参考此文章。

W

wonderkun

信息安全

twitter weibo github wechat

随机分类

事件分析 文章:223 篇
区块链 文章:2 篇
浏览器安全 文章:36 篇
memcache安全 文章:1 篇
安全管理 文章:7 篇

最新评论

1

123456lala

师傅,你好,<模块名>.__spec__.__init__.__globals_

D

DRKING

牛!感谢

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密