记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

使用 Ghidra 分析 phpStudy 后门

这次事件已过去数日,该响应的也都响应了,虽然网上有很多厂商及组织发表了分析文章,但记载分析过程的不多,我只是想正儿八经用 Ghidra 从头到尾分析下。1 工具和平台主要工具:· Kali Linux· Ghidra 9.0.4· 010Editor 9.0.2样本环境:· Windows7· phpStudy 201802112 分析过程先在 Windows 7 虚拟机中安装 PhpStudy 20180211,然后把安装完后的目录拷贝到 Kali Linux 中。根据网上公开的信息:后门存在于 php_xmlrpc.dll 文件中,里面存在“eval”关键字,文件 MD5 为
发布时间:2019-10-22 18:10 | 阅读:13720 | 评论:0 | 标签:技术 Ghidra 后门

利用Ghidra分析TP-link M7350 4G随身WiFi的RCE漏洞

0x01 漏洞描述TP-Link M7350(V3)受预身份验证(CVE-2019-12103)和一些后验证(CVE-2019-12104)命令注入漏洞的影响。如果攻击者位于同一LAN上或者能够访问路由器Web界面,则可以远程利用这些注入漏洞。CVE-2019-12103也可以通过跨站请求伪造(CSRF)在任何浏览器中利用此漏洞。如果你正在使用其中的一个设备,请立即更新到新固件(版本190531)。这篇文章是关于使用Ghidra逆向分析这个RCE漏洞的总结,如有问题,请帮我指出来大多数路由器的安全性都很差,大多数消费级网络硬件都带有嵌入式web服务器。Web服务器是用户使用GUI访问设备配置的一种非常简单的方法。但是很
发布时间:2019-09-19 13:10 | 阅读:22890 | 评论:0 | 标签:漏洞 Ghidra RCE漏洞

使用Ghidra对iOS应用进行msgSend分析

背景之前在《使用IDA Pro的REobjc模块逆向Objective-C二进制文件》一文中,我们提到了在使用IDA Pro分析iOS应用的过程中,由于Objective-C语言的动态特性,大部分的方法调用都是通过调用_objc_msgSend方法加上实际调用方法名作为参数的方式进行,以至于在IDA Pro分析完成后,在交叉引用列表中缺失了许多原本应该存在的引用记录。DUO Labs的Todd Manning开发了一款IDA Pro的脚本,可以帮助逆向研究者更全面地获取交叉引用的信息。可惜的是,这款脚本仅面向x64平台,所以如果我们分析的是iOS应用,这款工具只能补全针对模拟器编译的应用包,对于实际情况下的逆向工作还是
发布时间:2019-09-16 18:10 | 阅读:130393 | 评论:0 | 标签:系统安全 Ghidra iOS

基于Ghidra和Neo4j的RPC分析技术

对于我来说,寻找新型的横向渗透方法或有趣的代码执行技术是一种消磨时光的好方法。由于Windows在启动时会生成大量的RPC服务,所以,在寻找与众不同的代码执行技术的时候,难度会直线下降。通常来说,这些活动的投入产出比还是非常客观的,因为SOC或EDR供应商往往专注于更常见的已公之于众的技术,而能够在主机上触发代码执行的新方法的问世可能会给调查团队的工作带来麻烦。在以前的文章中,我试图找出能够用于混合常见攻击签名的不同方法。自从撰写探索Mimikatz和lsass内部机制的文章以来,我收到了许多关于如何找到所展示的lsass DLL加载技术以及如何识别其他技术方面的信息的请求。所以,在这篇文章中,我将为读者介绍一个工作流
发布时间:2019-08-18 13:10 | 阅读:37863 | 评论:0 | 标签:技术 Ghidra Neo4j RPC分析技术

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云