影响范围

• 引入commit：fdb9c405e35bdc6e305b9b4e20ebc141ed14fc81
• 修复commit：7e6bc1f6cabcd30aba0b11219d8e01b952eacbb6
• 时间跨度：2020/04/28 ~ 2022/07/03
• 版本跨度：v5.8 ~ v5.19

只有我们知道了windows如何管理内存空间，才能够得心应手的进行对抗，所以了解windows内存管理是很有必要的。

我们如果想要实现进程隐藏在3环通常会使用到PEB断链去达到隐藏进程的效果，但是那只是表面上的进程隐藏，所有内存的详细信息都会被储存在vad树里面，这里我们就来探究在64位下如何隐藏可执行内存

Malleable PE 直译就是可拓展PE，通常来说，很多同学在做免杀的时候，会针对Loader进行免杀，并不会考虑针对beacon进行免杀，这就导致了很多杀软/EDR的内存防护能针对默认设置的beacon进行查杀。C2Profile提供了很好地操作beacon的方法，C2Profile不仅仅可以自定义beacon的通信属性(例如uri，header等等)，还可以对beacon进行操作，从而实现免杀的目的。

这题是 GLIBC 2.27-3ubuntu1.5 的版本，想着 2.27 可以直接 free 两次，但是这个 2.27-3ubuntu1.5 patch 了 double free，还加了 key，double_free 就没那么好搞，所以这题我用的是任意写 free_hook 为 system 进行getshell

这里的rwctf_station-escape的主要基于长亭师傅在知乎的文章进行，在此基础上进行了比较详细的exp分析和调试

2022年1月14日，一个编号为CVE-2022-23222的漏洞被公开，这是一个位于eBPF验证器中的漏洞，漏洞允许eBPF程序在未经验证的情况下对特定指针进行运算，通过精心构造的代码，可以实现任意内核内存读写，而这将会造成本地提权的风险。

注册表是windows的重要数据库，存放了很多重要的信息以及一些应用的设置，对注册表进行监控并防止篡改是十分有必要的。在64位系统下微软提供了CmRegisterCallback这个回调函数来实时监控注册表的操作，那么既然这里微软提供了这么一个方便的接口，病毒木马自然也会利用，这里我们就来探究其实现的原理和如何利用这个回调函数进行对抗

libmalloc为MacOS以及IOS中的用户态下的堆管理器，在实现细节上与linux下常用的glibc有较大的不同，本文初步介绍一下libmalloc中Tiny堆的管理机制和一些基本的漏洞利用。

本文介绍了off by null的爆破法和直接法两类做法，并基于已有的高版本off by null的利用技巧做了一点改进，提出一种无特殊限制条件的直接法，更具有普适性。

我们知道一般EDR对可疑程序进行监控一般都会采用往程序里注入到检测的进程中，通过hook一些敏感的3环API来判断程序是否进行一些恶意操作，那么我们可以通过添加流程缓解措施和漏洞利用保护参考来实现保护，从而防止EDR的dll注入对进程进行检测。

本文中，我们将以hxp2020 CTF中的“kernel-rop”挑战题为基础，介绍如何利用驱动程序中的漏洞进行提权。我们知道，内核漏洞利用的主要目标，与用户空间的漏洞利用有很大不同，它不是直接生成一个shell，而是控制存在漏洞的内核代码以实现提权。至少在典型的CTF风格的场景中，生成shell都是后面的事情。有时，只要获得了任意读写原语，就足以渗出敏感信息，或覆盖与安全休戚相关的东西。

ETW全称为Event Tracing for Windows，即windows事件跟踪，它是Windows提供的原生的事件跟踪日志系统。由于采用内核层面的缓冲和日志记录机制，所以ETW提供了一种非常高效的事件跟踪日志解决方案，本文基于ETW探究其攻与防的实现

学习经典的fuzz框架AFL，通过源码的阅读学习fuzz，为以后针对特定目标进行模糊测试打下基础。

AFL的基础使用可以去看通过afl-training学习afl，具体的使用不再进行说明。

我们要想在32位下实现进程保护很简单，通过SSDT hook重写函数即可实现，但是在64位系统下因为引入了PG和DSE的原因，导致SSDT hook实现起来处处受限。但微软同样为了系统安全，增加了一个对象回调函数的接口，利用该回调可以实现对对象请求的过滤保护自身的进程，目前大部分64位下的安全软件保护机制都是基于该方法，我们深入进行探究