Aggregator

RequestShield是一款HTTP请求威胁识别与检测工具，旨在帮助广大安全分析人员更好地分析和识别HTTP请求中的潜在安全威胁。

A vulnerability, which was classified as problematic, has been found in opacewebdesign AI Scribe Plugin up to 2.3 on WordPress. Affected by this issue is the function engine_request_data of the component Setting Handler. The manipulation leads to missing authorization. This vulnerability is handled as CVE-2024-12606. The attack may be launched remotely. There is no exploit available.

2024ImaginaryCTF 12月练习赛——部分Crypto题解分享

禅道CMS开源版SQL注入漏洞分析

第二届CN-fnst::CTF WriteUp(web,misc,crypto,osint,pwn)

CVE-2024-13025-Codezips 大学管理系统 faculty.php sql 注入分析及拓展

BurpSuite插件：OneScan - 递归目录扫描插件

前端加密对抗常见场景突破

shiro codeql分析理解（附带完整ql代码）

无限安全靶场-月挑战靶场1

USR Holdings Lost Electronic PHI for Nearly 3,000 Patients in Breach
A Florida-based behavioral health holding company has paid federal regulators a $337,750 HIPAA settlement for a 2018 incident involving the deletion of electronic protected health information pertaining to nearly 3,000 patients. How should other entities avoid these data loss situations?

Cado Security Deal Brings Enhanced Forensics, Automation and AI-Powered Analytics
By acquiring Cado Security, Darktrace strengthens its ability to secure multi-cloud environments. The transaction brings together Cado's forensic capabilities with Darktrace's AI analytics to deliver comprehensive threat detection and response to organizations in regulated industries.

Officials Worry Trump's Cybersecurity Agenda Could Scrap Biden's Final Cyber Orders
An executive order set to be published by the Biden administration in its waning days could offer the next White House a blueprint to counter Chinese cyberattacks, but experts fear its timing - so close to the transition of power - could make it practically dead on arrival.

中国国家网络与信息安全信息通报中心发现一批境外恶意网址和恶意IP，境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。

京东集团信息安全部招聘信息

中国国家网络与信息安全信息通报中心发现一批境外恶意网址和恶意IP，境外黑客组织利用这些网址和IP持续对中国和其他国家发起网络攻击。这些恶意网址和IP都与特定木马程序或木马程序控制端密切关联，网络攻击类

本次题目跟第七届HWS线下的re2有类似的地方，均有后门函数。二进制后门可以理解为：我们只需要修改某个字节或某个函数，就可以将加密的过程变成解密的过程，大大节省逆向成本。本题先对内置

本次题目跟第七届HWS线下的re2有类似的地方，均有后门函数。

二进制后门可以理解为：我们只需要修改某个字节或某个函数，就可以将加密的过程变成解密的过程，大大节省逆向成本。

本题先对内置的dll进行解密，然后调用其加密函数对我们的txt进行加密，如果我们将加密的函数nop为解密函数，就可以直接解密，类比与RC4动态解密技术。

1、初次分析

0地址异常反调试

本题的一大亮点就是有访问0地址的异常反调试，小伙伴们在做的时候有没有发现调试异常艰难呢

故意访问0地址

然后走作者自定义的处理函数，如果我们在IDA动调的时候不经过处理函数，程序就会卡在哪里不能继续运行。

做法很简单：将访问0地址的代码和异常处理函数完全给nop掉

（说白了：就是将所有跟异常有关的汇编都给nop掉就完事）

处理函数也是完整nop

返回处也nop，跟开头相对应

main函数

分析main函数，发现反编译爆红

很正常，查看汇编代码，发现了异常反调试和异常花指令干扰分析

做法很简单：直接nop即可

具体做法参考：上面一小节，0地址异常反调试

nop

成功生成函数

TLS回调函数

尝试运行，发现直接退出，发现了TLS反调试函数

nop即可

生成函数

将exit函数nop掉即可，不用管反调试的事情了

2、内置DLL资源解密

使用工具打开file_encrypt

发现内置 pe程序，猜测key为0x33，解密

这是程序使用0x33解密

发现了很多加密函数和解密函数（Crypt开头），因此本题程序使用本dll进行加密和解密操作

在后面的分析中，也发现了函数加载了我们的dll

3、关键函数分析

sub_401320

使用IDA动调发现了很多bug，莫名其妙断下，改用x64dbg

sub_402000

路径和盘符有关，比如我在C盘

C:......\document\1.txt

找到1.txt

sub_4017E0

加载dll

sub_4013E0

4、解密

既然使用了encrypto，那么我们改为decrypto就可以啦

I added the missing CryptDecrypt call to the binary's import table and patched the executable to decrypt the files. The decryption call takes one parameter less than the encryption one, so I NOP'ed one push to the

stack as well: