redn3ck's blog

¶前言

如今 socks5 代理非常多，frp,iox 等，但就是因为众所周知，导致被杀软杀的体无完肤

之前发过一次无参数版 frp，在linux上免杀效果还不错，win defender都过不去

iox 自己编译能免杀一部分杀软，如卡巴个人标准版，进程类似这样 avp.exe <=> Kaspersky

但目前遇到卡巴服务器版，或者说是数据中心版，自编译 iox 还是被杀，进程类似这样 kavfswp.exe <=> Kaspersky Security for Windows Server processes

急需一种新型免杀 socks5 代理（也许并不新🤡）

¶0x01 前言

很多 apk 设置代理后，抓包都会出现没有包的情况，一部分原因就是使用 so 文件 https

经过大佬的一通研究后，用了意想不到的解决方案突破了该问题，高，实在是高，学习并记录

¶0x02 解决方案

正常抓包，模拟器配置好代理和 fiddler ，我这用的夜神，magisk+LSP+justTrustme 后开始按照正常流程抓包，可见无任何流量

¶1. 查找域名

winrar 解包 apk ，使用 npp 搜索相关域名，搜出3处 so 文件，在其中搜索 https 包含大量请求

¶前言

最近看到一款过 defender 的免杀工具，挺感兴趣，之所以感兴趣的原因是我觉得目前最强的杀软就是defender

外面有很多过火绒、360之类的，不感兴趣，因为用武之地不大，而且自带的 defender 更强力，过 defender 的意义更大

X系列安全工具-AV免杀框架-BypassAV

https://github.com/XTeam-Wing/X-AV

具体介绍就不赘述了，看 README 就好

¶安装

现在 go 日趋火热，不学点真的跟不上了，这款工具也是 go 开发的

¶前言

参数版已经有很多大佬改造过了，因为最近有需求需要把参数加密化，网上没找到现成的，所以手动改造，顺便学一点go语言 😅

基于uknowsec大佬的文章 FRP改造计划，实现作者说的：

所以可以直接加一些加密啥的，-t参数传入ip加密后的地址，然后在源码里加一个解密的步骤即可。

另外，个人觉得只加密ip不够隐蔽，所以连同port一起进行AES加密

¶改造

只需要修改cmd/frpc/sub/root.go即可

¶环境搭建

使用T00ls大佬的环境，war包放到webapps下重启tomcat即可

¶环境搭建

采用vulhub中weblogic CVE-2020-14882搭建，vulhub安装不赘述

1
2

cd vulhub/weblogic/CVE-2020-14882/
sudo docker-compose up

¶内存cmd实现

原理和机制感兴趣的可以去看参考链接，比较详细，我跳过（太菜，看不懂😭）

大致流程为：加载恶意类，动态注册filter

¶1. 编写恶意filter类

¶前言

常规的信息收集技术就不多讲了，前两天apt32砖家东给我发来一篇文章

https://www.freebuf.com/articles/web/279561.html

我一看，牛蛙，rdp远程桌面重现，没想到信息收集还能有这种姿势，属实稀奇，于是试玩了一波

¶原理

文章写的很详细，我就不赘述了，大致原理就是远程桌面会有缓存，解析缓存重现rdp

¶复现

打开缓存目录C:\Users\Administrator\AppData\Local\Microsoft\Terminal Server Client\Cache，看到确实有文件

¶漏洞简介

¶CVE-2021-1675

Print Spooler是Windows系统中管理打印事务的服务，用于管理所有本地和网络打印队列并控制所有打印工作。Windows系统默认开启该服务，攻击者可绕过RPCAddPrintDriver的身份验证，直接在打印服务器中安装恶意驱动程序。普通用户可以利用此漏洞提升至管理员权限。在域环境下，域用户可以远程利用该漏洞以SYSTEM权限在域控制器上执行任意代码，从而获得整个域的控制权。

¶CVE-2021-34527

34527的漏洞原理与1675一致，但因为github上发布的EXP可以绕过微软在6月安全补丁更新中发布的1675的修复程序。所以在7月2日，微软官方针对公开的EXP发布了CVE-2021-34527的漏洞公告，并提供临时解决方案，但目前暂未发布修复补丁，此漏洞仍处于0day状态。

¶漏洞时间线

2021-06-09 微软发布月度安全补丁：通告定义CVE-2021-1675为本地提权漏洞
2021-06-21 微软更新通告：将CVE-2021-1675改为远程代码执行漏洞
2021-07-02 微软紧急发布CVE-2021-34527通告（未发布补丁）

¶影响版本

¶0x01 前言

如此好用的漏洞，怎么能没有我？没有实际环境，就用本地复现8，跨起个小猫脸.jpg

¶0x02 工具准备

下载如下工具

https://github.com/risksense/zerologon
https://github.com/SecureAuthCorp/impacket
https://github.com/gentilkiwi/mimikatz/releases

python3安装最新版impacket

1
2

cd impacket-master
pip3 install .

¶0x03 复现

¶前言

拿到一个本地文件操作需求，写个py完成
水文，仅作笔记用途，再不水一年要过去了，蓝受。。香菇。。

¶需求

要求：解析"文件信息.txt"，根据解析出的md5值找到对应的文件，按照解析出的文件路径复制到相应的目录下。
例如：解析第一行，根据第一个md5值38C45AC1A54F65732CFE56C7BCC17A87遍历当前文件夹及子文件夹找到对应的文件123.exe，再根据解析出的路径"I_DONOT_远控"复制到"C:\I\DONOT\远控"下。

¶Code