ATT&CK视角下的红蓝对抗：四. 内网穿透之通过Earthworm(EW)进行隧道穿透

当红队人员在进行内网渗透时，经常会遇到目标主机不出网的场景，而主机不出网的原因有很多，常见的原因例如目标主机未设置网关，被防火墙或者其他防护设备拦截设置了出入站策略，只允许特定协议或端口出网等。当我们遇到这种情...

22.在现有的192.168.1.114上尝试对10.0.0.8进行pth（administrator权限）横向成功，当然也可以用impacket工具包里的psexec：

由于普通的，基于某个功能点的漏洞，已经是非常常见了，在这里分享一些基于框架漏洞的代码审计，毕竟大家都学了这么多反序列化漏洞与一堆的框架，还是要用于实战当中。...

最近无意间发现了cpl文件,之前对该类型的文件了解几乎为零,由于触及到我的知识盲区,于是决定探究。

CreateProcess在3环最终会调用ntdll!NtCreateUserProcess通过syscall进入0环，我们可以通过调用NtCreateUserProcess来规避AV/EDR对CreateProcess的监控

在windows里面调试跟异常息息相关，如果想要对调试得心应手，异常处理的知识是必不可少的，本文主要介绍的是软件调试方面的有关知识，讲解调试程序和被调试程序之间如何建立联系...

•环境变量PATH中所有目录。需要注意的是，这里不包括App Paths注册表项指定的应用程序路径。

1.CPU检测到INT 3指令2.查IDT表找到对应的函数3.CommonDispatchException4.KiDispatchException5.DbgkForwardException收集并发送调试事件

我们知道杀软在API函数的监控上一般有两种手段，一种是在3环直接通过挂钩到自己的函数判断是否调用了这个API，另外一种方式就是在0环去往SSDT表的路径上挂钩来判断进0环后的操作。那么我们如果不想杀软监控我们的行为，之...