这是我们第三次对在野利用的0-day漏洞进行年度回顾[2020年，2019年]。每年，我们都对所有已检测到并公之于众的在野0-day漏洞进行回顾，并总结我们认为的趋势和收获。这份报告的宗旨，并非详细说明各个漏洞，而是把当年的漏洞作为整体进行分析，寻找趋势、差距、经验教训、成功案例等。如果您对单个漏洞的分析感兴趣的话，可以访问我们的根本原因分析库。

Postgresql 数据库作为 python 应用中比较常见的数据库，其利用手段公开的不多,而且利用方式也比较单一，我搜集了国内外一些相关的利用思路进行总结，如有遗漏还请指正。

在第一篇文章中，我们介绍了ChakraCore exploit的开发环境，考察了JavaScript（更具体地说，Chakra/ChakraCore引擎）是如何管理内存中的动态对象的，并分析了CVE-2019-0567漏洞——它是一个影响基于Chakra引擎的Microsoft Edge和ChakraCore的类型混淆漏洞。在本文中，我们将为读者介绍该漏洞的概念验证脚本，该脚本能够利用类型混淆漏洞让Edge和ChakraCore发生崩溃，进而将其转换为一个读/写原语。然后，该原语将被用来获得针对ChakraCore和ChakraCore shell（ch.exe）的代码执行，而ChakraCore shell本质上就是一个允许执行JavaScript代码的命令行JavaScript shell。就本文来说，我们可以把ch.exe看作是Microsoft Edge，但没有提供可视化功能。接下来，在第三篇文章中，我们将把这里介绍的exploit移植到Microsoft Edge上，以获得完整的代码执行。

BPF 的全称是 Berkeley Packet Filter，是一个用于过滤(filter)网络报文(packet)的架构。（例如tcpdump)，目前称为Cbpf（Classical bpf）。BPF 在数据包过滤上引入了两大革新：

• 一个新的虚拟机 (VM) 设计，可以有效地工作在基于寄存器结构的 CPU 之上；
• 应用程序使用缓存只复制与过滤数据包相关的数据，不会复制数据包的所有信息。这样可以最大程度地减少BPF 处理的数据；

由于这些巨大的改进，所有的 Unix 系统都选择采用 BPF 作为网络数据包过滤技术，直到今天，许多 Unix 内核的派生系统中（包括 Linux 内核）仍使用该实现。

我们知道杀软在API函数的监控上一般有两种手段，一种是在3环直接通过挂钩到自己的函数判断是否调用了这个API，另外一种方式就是在0环去往SSDT表的路径上挂钩来判断进0环后的操作。那么我们如果不想杀软监控我们的行为，之前提过的内核重载是一种绕过的方式，但是内核重载的动静太大，这里我们就通过直接重写3环到0环的API，通过重写KiFastCallEntry来自己调用内核的函数，以达到规避杀软的效果。

本章主要介绍NTLM中继和反射

• NTLM中继和反射
• [NTLM中继]
  • [SMB 协议和欺骗]
  • [工具介绍]
  • [实战解析]
• [NTLM反射]
  • [原理讲解]
  • [利用方法]
  • [历史土豆分析]
• 总结知识点

最近一段时间学习了MSSQL数据库提权相关的知识，总结了一些常见手段，应该是比较全的了，如有遗漏还请指正。

Hacking satellite。

这两个字，听起来真的令人印象深刻。至少对我来说是这样。

这是黑客文化中的一个梦想，经常出现在关于间谍/黑客题材的电视剧/电影中，藉此可以“重定向卫星”，以便从轨道上更好地观察敌人的行动。

从小时候起，我就一直梦想着获得这样的技能：黑掉一些你看不到它们，但它们却能看到你的东西。由于卫星能够赋予用户强大的力量，所以，它自然是国家防御中最关键的系统之一，因此，卫星应该很难被黑客侵入的。

本文主要是根据ptaint这篇论文的思想：将指针分析和污点分析统一起来进行分析，实现ByteCodeDL的污点分析功能，在阅读本文之前建议先学习下面三份资料

• https://yanniss.github.io/ptaint-oopsla17-prelim.pdf
• https://www.youtube.com/watch?v=IA08d-kiCy8
• https://pascal-group.bitbucket.io/lectures/Security.pdf

如果需要让你对一套CMS的安全性进行研究分析，你会从哪里入手？

或许你会回答代码审计的那一套知识点。

那么，如果需要让你要对 Spring Framework 框架的安全性进行研究分析，你会从哪里入手？

更宽泛一点，如果需要让你对一个大型的开源组件的安全性进行研究分析，你会从哪里入手？

在本文中，我们将继续为读者介绍与Active Directory相关的攻防知识。

最近学习了两篇关于Java内存攻击的文章：
Java内存攻击技术漫谈

Linux下内存马进阶植入技术

其中我对无文件的Java agent技术挺感兴趣。于是乎花了点时间从头学习了一波，尤其是游望之师傅在Linux下植入无文件java agent的技术。本文将会对这个技术再进行一个梳理。但因我二进制的基础比较薄弱，所以本文在说明Linux下无文件Java Agent时，也会较详细的说明一些二进制相关的基础。希望能帮助同样二进制基础薄弱的同学学习和理解，二进制还是很有趣哒。

RMI(Remote Method Invocation)是Java语言执行远程方法调用的Java API，相当于面向对象的远程过程调用（RPC），支持直接传输序列化的Java类和分布式垃圾回收。

前两天看到一篇老外写的用codeql挖掘Java反序列化gadget的文章 https://www.synacktiv.com/en/publications/finding-gadgets-like-its-2022.html，虽然显示的效果还可以，但用了种比较土味的半自动化半人工的方式。直觉上感觉codeql用法应该不会这么呆，于是研究了下，有了这篇文章。

朋友叫帮忙打一个内存马进去，用的是cb链，无cc依赖，我寻思这不是有手就行吗，谁知道接下来遇到了无数的坑。