腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
返回腾讯云官网
潇湘信安
专栏作者
举报
223
文章
252084
阅读量
35
订阅数
订阅专栏
申请加入专栏
全部文章(223)
网络安全(54)
工具(43)
shell(38)
腾讯云开发者社区(37)
腾讯云测试服务(35)
网站(35)
安全(35)
windows(32)
漏洞(25)
tcp/ip(24)
http(22)
linux(19)
测试(18)
公众号(18)
https(17)
数据库(13)
sql(13)
powershell(12)
php(10)
编程算法(10)
iis(10)
插件(10)
内存(10)
打包(9)
脚本(9)
权限(9)
java(8)
github(8)
开源(8)
连接(8)
html(7)
网站渗透测试(7)
进程(7)
数据(7)
系统(7)
bash(6)
android(6)
git(6)
函数(6)
搜索(6)
python(5)
actionscript(5)
api(5)
自动化(5)
微信(5)
程序(5)
管理(5)
学习笔记(5)
go(4)
asp.net(4)
ide(4)
命令行工具(4)
asp(4)
web(4)
编码(4)
代理(4)
服务(4)
后台(4)
配置(4)
域名(4)
源码(4)
云服务器(3)
.net(3)
xml(3)
nginx(3)
bash 指令(3)
访问管理(3)
检测工具(3)
企业(3)
爬虫(3)
ssh(3)
sql server(3)
ftp(3)
app(3)
apt(3)
exe(3)
hash(3)
编译(3)
登录(3)
服务器(3)
浏览器(3)
软件(3)
渗透测试(3)
网络(3)
文件上传(3)
终端(3)
主机(3)
javascript(2)
c#(2)
vbscript(2)
json(2)
云数据库 SQL Server(2)
ubuntu(2)
windows server(2)
apache(2)
thinkphp(2)
存储(2)
黑客(2)
jdk(2)
unity(2)
udp(2)
验证码(2)
com(2)
ip(2)
xss(2)
备份(2)
博客(2)
磁盘(2)
工作(2)
互联网(2)
加密(2)
监控(2)
接口(2)
路由(2)
乱码(2)
命令行(2)
推送(2)
线程(2)
协议(2)
异常(2)
远程桌面(2)
其他(1)
区块链(1)
ios(1)
c++(1)
jsp(1)
node.js(1)
单片机(1)
access(1)
phpmyadmin(1)
jar(1)
tomcat(1)
unix(1)
centos(1)
容器镜像服务(1)
批量计算(1)
文件存储(1)
图像处理(1)
渲染(1)
sass(1)
容器(1)
分布式(1)
运维(1)
jvm(1)
gui(1)
dns(1)
grep(1)
flash(1)
jenkins(1)
kernel(1)
机器人(1)
数据分析(1)
安全漏洞(1)
系统架构(1)
sas(1)
unicode(1)
漏洞扫描服务(1)
agent(1)
assembly(1)
config(1)
cs(1)
dll(1)
dp(1)
execute(1)
fastjson(1)
google(1)
icon(1)
javafx(1)
local(1)
microsoft(1)
mysql(1)
nacos(1)
next(1)
pandas(1)
pdf(1)
redis(1)
reflection(1)
security(1)
server(1)
sh(1)
sudo(1)
target(1)
tools(1)
twitter(1)
txt(1)
url(1)
virtualbox(1)
weblogic(1)
webrtc(1)
wifi(1)
xlsx(1)
安全防护(1)
报表(1)
遍历(1)
变量(1)
并发(1)
操作系统(1)
高性能(1)
供应链(1)
后端(1)
基础(1)
技巧(1)
计算机(1)
教程(1)
解决方案(1)
客户端(1)
可视化(1)
流量(1)
内核(1)
逆向工程(1)
实践(1)
视频(1)
手机(1)
数组(1)
调试(1)
网关(1)
序列化(1)
研发(1)
硬件(1)
优化(1)
语法(1)
中间件(1)
漏洞管理(1)
代码审计(1)
搜索文章
搜索
搜索
关闭
Windows Redis DLL劫持在实战中的利用
redis
函数
系统
windows
dll
举例: 例如,假设有一个应用程序叫做"example.exe",它依赖于名为"example.dll"的动态链接库。而"example.exe"在加载"example.dll"时没有使用绝对路径,而是仅仅指定了DLL的名称。攻击者可以将恶意的"example.dll"文件放置在与"example.exe"相同的目录下,当"example.exe"启动时,系统会先在当前目录中查找"example.dll"文件,如果找到,就会加载该文件并执行其中的恶意代码。 DLL劫持可以函数转发劫持也可以往完整DLL插入恶意代码,这里用的函数转发劫持,大致流程如下图所示: https://kiwings.github.io/2019/04/04/th-DLL%E5%8A%AB%E6%8C%81/ 2.2 劫持dbghelp.dll redis-server.exe在执行bgsave时,会先在应用?目录查找dbghelp.dll,找不到再去system32目录下找: 而不管redis的权限是Administrator还是普通用户或者Network Service,它对自己的应用目录一定有写文件的权限,我们可以通过Redis的主从复制在应用目录里写入恶意DLL。 2.3 函数转发劫持 对DLL进行函数转发劫持需要导出原本DLL的函数和地址,以保证程序通过恶意DLL调用这些函数时不影响正常功能,DLL的导出函数一般比较多,用Aheadlib之类的工具可以自动化处理。 我这里用的是DLLHijacker,它会自动处理导出表并生成一个VS2019的项目,但这个python脚本有几个bug: https://github.com/kiwings/DLLHijacker (1) VS项目中文乱码: 修复:几个写文件的地方添加 encoding="utf-8"。 (2) 函数导出表有匿名函数的时候,会导致以下报错 [-]Error occur: 'NoneType' object has no attribute 'decode 修复:在几个for循环里添加函数名是否为空的判断可以解决这个问题。 (3) 生成C/C++代码时,没有使用目标DLL的绝对路径,只是用了DLL的名字填充LoadLibrary(),这是一个很严重的bug,会导致函数转发失败、Redis的功能受到影响从而只能劫持一次: 修复:我改成了根据输入的目标DLL路径自动填充。 如果没有使用原DLL的绝对路径,在Process Monitor可以看到,只会调用应用程序目录里的恶意DLL,并没有调用原本的system32下的dbghelp.dll: 从而redis的功能受到影响,导致redis的bgsave只能触发一次DLL调用,第二次bgsave的进程会被阻塞从而无法调用DLL,并且Redis关闭后将无法启动: 这也是网上部分师傅的文章写”不会影响redis运行 但会无法重启“的原因,因为他们也是用的DLLHijacker,并且没有发现有这个坑,这不仅会影响业务,而且只能劫持一次: 正常的DLL劫持不会影响程序的功能,可以劫持很多次,假如我第一次劫持想上线CS但是没有成功,那对面可能不出网,那我可能会再劫持打一个MSF的反向shell,都没成功我也可以继续尝试MSF盲打命令: 正常的DLL转发劫持如下,调用完应用程序目录里的恶意DLL后会调用原DLL: 0x03 漏洞利用 3.1 工具使用 工具下载地址: https://github.com/P4r4d1se/dll_hijack 如是是Windows 64位的Redis DLL劫持的话,可以直接用里面的VS2022版的dbghelp项目。 其他要用我修改后的DllHijacker.py和目标DLL路径生成VS项目: python3 DLLHijacker.py C:\Windows\System32\dbghelp.dll 下载安装VS2022,只用勾C++桌面开发: https://visualstudio.microsoft.com/zh-hans/downloads 打开生成目录里的sln文件,因为原本是VS2019的项目所以会提醒你升级,选确定,不然得另外安装v142的编译组件才能编译VS2019的项目: 打开后在源文件的dllmain.app,修改里面的shellocde就行,其他不用改: 3.2 出网——Cobalt Strike 如果Redis主机直接出网,或者能通其他已经上线CS的出网主机,那直接上CS是最好的选择,CS生成C语言的payload: 源文件的dllmain.app里把payload替换进去,然后选Release x64,生成——生成解决方案: 然后主从复制将dbghelp.dll写过去并bg
潇湘信安
2024-05-18
95
0
记一次通告引起的漏洞复现记录
漏洞
路由
搜索
源码
中间件
2024年4月@不会飞的鱼师傅投稿分享的一篇文章,记录的是他因一起用友的漏洞通告而找到对应的POC并对该漏洞进行复现测试的过程,文章版权归原作者所有。
潇湘信安
2024-05-09
175
0
PostExpKit - 20240423更新
脚本
进程
线程
测试
插件
前段时间分享了PostExpKit插件的提权模块:简单好用的CobaltStrike提权插件,这次主要更新一些我认为比较实用的功能:1、2、3过部分防护场景,BOF合集见原项目,其他都是一些命令增强脚本......。
潇湘信安
2024-04-30
168
0
Arsenal-kit免杀套件编译与测试
测试
插件
脚本
源码
编译
CobaltStrike原生Artifact Kit生成的Artifact几乎已被所有主流杀软查杀,但我们可以用CobaltStrike官方Arsenal Kit免杀套件来替代原生Artifact Kit,目前还有一定免杀效果,过国内杀软问题不大。
潇湘信安
2024-04-24
136
0
MS17-010永恒之蓝绕过数字上线
脚本
漏洞
内存
变量
测试
@格林师傅在实战中遇到的一个场景:已代理进内网,通过扫描发现内网某台主机存在有MS17-010,但是因为这台机器上存在360而无法直接利用,不过可以通过ms17_010_command模块执行命令,现在我们需要考虑的是如何绕过360将免杀木马落地到目标磁盘、或者远程加载执行上线。
潇湘信安
2024-04-23
203
0
记一次H1漏洞提交记录
后端
基础
漏洞
数据库
程序
现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
潇湘信安
2024-04-15
84
0
记一次对天翼安全网关的渗透
安全
登录
配置
搜索
网关
现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
潇湘信安
2024-04-15
184
0
开源远程桌面,TeamViewer替代品
开源
服务
配置
软件
远程桌面
现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
潇湘信安
2024-04-15
93
0
继上章简单代码审计一波
代码审计
函数
后台
漏洞
数组
现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
潇湘信安
2024-04-15
104
0
一个IP Geteshll
ip
后台
加密
域名
源码
现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
潇湘信安
2024-04-15
66
0
简单好用的CobaltStrike提权插件
内存
测试
插件
程序
工具
大家好,我是3had0w,今天给大家分享一个我最近在写的CobaltStrike后渗透插件(PostExpKit),目前暂时只完成了提权模块,其他模块功能还在编写和测试...。
潇湘信安
2024-04-03
189
0
自动化资产收集工具高级版
自动化
工具
管理
流量
域名
你还在用Excel进行目标管理吗?你还在为收集目标的信息而烦恼吗?你还在测试时不停地复制粘贴吗?那么来试试 domain hunter pro 吧!方便快捷的目标管理、自动化的信息收集、与burp无缝衔接、与外部安全工具联动...
潇湘信安
2024-04-03
96
0
2024不错的“实战沉淀字典”项目
源码
备份
测试
工具
硬件
@SexyBeast233师傅分享的一个“实战沉淀字典”,收集整理了他在实战测试中常用到的一些字典,目录结构如下。
潇湘信安
2024-04-03
63
0
带小白实现wih自由
网站
容器
安全
并发
工具
WebInfoHunter(简称 wih)工具是一款功能强大、易用性高、扩展性强的命令行工具。可以快速地获取指定网页中的各种特定信息。采用 Golang 编写。
潇湘信安
2024-04-03
201
0
简单好用的403绕过利用脚本
脚本
apt
sh
sudo
工具
潇湘信安
2024-04-03
88
0
解决渗透测试信息收集任务的工具
网站
工具
函数
渗透测试
域名
专注一站化解决渗透测试的信息收集任务,功能包括域名ip历史解析、nmap常见端口爆破、子域名信息收集、旁站信息收集、whois信息收集、网站架构分析、cms解析、备案信息收集、CDN信息解析、是否存在waf检测、后台寻找以及生成检测结果html报告表。
潇湘信安
2024-04-03
96
0
JsonExp!fastjson漏洞批量检测工具
检测工具
fastjson
服务
工具
漏洞
若存在dnslog回弹结果,将会生成/result/xxx_dnslog.html文件,没触发dnslog则不会生成该文件。
潇湘信安
2024-04-03
111
0
记一次Fake-POC投毒项目的追溯
打包
博客
漏洞
数据
网络
之前某一次写关于Vcenter漏洞文章的时候,了解了一个比较冷门的漏洞,CVE-2021-21980:VMware vCenter Server文件读取漏洞。
潇湘信安
2024-03-22
116
0
CVE-2024-25153:Fortra FileCatalyst中的远程代码执行
操作系统
漏洞
文件上传
安全
遍历
这篇文章为机翻文,部分内容翻译的可能不是很准确,建议阅读原文:https://labs.nettitude.com/blog/cve-2024-25153-remote-code-execution-in-fortra-filecatalyst/
潇湘信安
2024-03-22
301
0
一款AI智能多数据库客户端工具
工具
客户端
研发
数据库
报表
Chat2DB是一款有开源免费的多数据库客户端工具,支持Windows、Mac本地安装,也支持服务器端部署,Web网页访问。和传统的数据库客户端软件Navicat、DBeaver相比Chat2DB集成了AIGC的能力,能够将自然语言转换为SQL,也可以将SQL转换为自然语言,可以给出研发人员 SQL 的优化建议,极大的提升人员的效率,是AI时代数据库研发人员的利器,未来即使不懂SQL的运营业务也可以使用快速查询业务数据、生成报表能力。
潇湘信安
2024-03-22
157
0
点击加载更多
社区活动
RAG七天入门训练营
鹅厂大牛手把手带你上手实战
立即学习
Python精品学习库
代码在线跑,知识轻松学
立即查看
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
立即体验
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
立即查看
领券
问题归档
专栏文章
快讯文章归档
关键词归档
开发者手册归档
开发者手册 Section 归档
http://www.vxiaotou.com