0x00 前言 本文演示了白名單AppLocker bypass的最常見和最熟悉的技術。我們知道，出於安全原因，系統管理員添加組策略來限制本地用戶的應用程序執行。在上一篇文章中，我們討論了“ Windows Applocker策略 - 初學者指南 ”，因為它們為應用程序控制策略定義 ...

0x00 簡介 很長一段時間以來，HTA文件一直被web攻擊或在野惡意軟件下載程序用作惡意程序的一部分。HTA文件在網絡安全領域內廣為人知，從紅隊和藍隊的角度來看，它是繞過應用程序白名單有價值的“古老”方式之一。運行Microsoft HTML應用程序主機的Mshta.exe ...

一、Wmic.exe wmic實用程序是一款Microsoft工具，它提供一個wmi命令行界面，用於本地和遠程計算機的各種管理功能，以及wmic查詢，例如系統設置、停止進程和本地或遠程運行腳本。因此，它可以調用XSL腳本來執行。 二、攻擊方法 1.第一種方法：Koadic ...

一、MSbuild.exe簡介 Microsoft Build Engine是一個用於構建應用程序的平台。此引擎也被稱為msbuild，它為項目文件提供一個XML模式，該模式控制構建平台如何處理和構建軟件。Visual Studio使用MSBuild，但它不依賴於Visual ...

今天，我們將學習有關HTA攻擊的不同方法。HTA是有用且重要的攻擊，因為它可以繞過應用程序白名單。在上一篇文章中，我們討論了“ Windows Applocker策略-入門指南 ”，因為它們定義了應用程序控制策略的AppLocker規則以及如何使用它們。但是今天，您將學習如何使用mshta.exe ...

默認情況下，AppLocker允許在文件夾中執行二進制文件，這是可以繞過它的主要原因。已經發現，這樣的二進制文件可以很容易地用於繞過AppLocker和UAC。與Microsoft相關的二進制文件之一是CMSTP。CMSTP welcomes INF文件，因此通過INF進行開發 ...

常見的MIME類型 1）超文本標記語言.html文件的MIME類型為：text/html 2）普通文本.txt文件的MIME類型為：text/plain 3） ...

繞過黑名單驗證（00截斷繞過）00截斷原理0x00是十六進制表示方法，是ascii碼為0的字符，在有些函數處理時，會把這個字符當做結束符。系統在對文件名的讀取時，如果遇到0x00,就會認為讀取已結束。在PHP5.3之后的版本中完全修復了00截斷。並且00截斷受限於GPC,addslashes函數 ...