ProcessHollowing与ReflectiveDLL

前段时间稍微学了下进程镂空这个操作（ProcessHollowing），顺带就学了一点简单的windows PE结构，顺带复习了一下经典ReflectiveDll loader原理，理解了一下注入都是怎么做到的，最后扩展学习到了跨位数进程注入。。。

ProcessHollowing

一个已经有五六年历史的技术了，我最近才听说。。。与进程注入类似，都是拉起一个傀儡进程后使其运行恶意代码，和进程注入较大的区别是不使用CreateRemoteThread等函数，并且可以直接将一个PE放进去跑，无需对其进行额外操作（如添加ReflectiveLoader）

既然不使用CreateRemoteThread，那么必然得使用其他的危险函数，这里用的是SetThreadContext，具体思路其实很简单，读一个PE到内存中（可以不触碰磁盘），拉起傀儡进程，将傀儡进程的内存空间用NtUnmapViewOfSection一把释放掉，这样子这个进程里面就没有东西了，此时我们再将我们的PE文件填进去，就完成了一个套皮进程的运行，当然，在实现上还有很多需要考虑的地方

pollution here, pollution there, pollution everywhere

高级网络攻防课上的一个题，一个原型链污染打electron的题。龚老师要求写报告，就把报告改一下当篇wp记一下。rmb说准备当升级赛题后来又换掉了，太顶级了，完全不会electron，头都被打歪了

但是这门课上起来及其坐牢，每个人都要做web，pwn，re三个方向，会一个方向的就已经非常坐牢了，一个方向都不会的顶级坐牢。最重要的是上课讲的技术就是两句话的介绍，然后实验环节做中等偏低难度的题（这个题顶级难度），跨方向做题无比坐牢。总而言之，这个课上学的东西都不是教的，是给你布置一个奇奇怪怪的题然后自己硬学坐牢学会的。。。
得出结论：不要选这门课！！！不要选这门课！！！不要选这门课！！！

wp

题目分为两部分，server端和bot端，flag放在bot端，可以让bot访问server的页面，bot是用electron写的，看起来就是electron的xss2rce，但是完全不会electron，学了半天也不是很会

hxpCTF2022wp

又跟着科恩疯狂偷学，天哥一人单刷全部web，我在科恩后面偷看答案复现
以及，这是一场在23年办的2022ctf

valentine

有效的代码部分如下

app.post('/template', function(req, res) {
  let tmpl = req.body.tmpl;
  let i = -1;
  while((i = tmpl.indexOf("<%", i+1)) >= 0) {
    if (tmpl.substring(i, i+11) !== "<%= name %>") {
      res.status(400).send({message:"Only '<%= name %>' is allowed."});
      return;
    }
  }
  let uuid;
  do {
    uuid = crypto.randomUUID();
  } while (fs.existsSync(`views/${uuid}.ejs`))

  try {
    fs.writeFileSync(`views/${uuid}.ejs`, tmpl);
  } catch(err) {
    res.status(500).send("Failed to write Valentine's card");
    return;
  }
  let name = req.body.name ?? '';
  return res.redirect(`/${uuid}?name=${name}`);
});

app.get('/:template', function(req, res) {
  let query = req.query;
  let template = req.params.template
  if (!/^[0-9A-F]{8}-[0-9A-F]{4}-[4][0-9A-F]{3}-[89AB][0-9A-F]{3}-[0-9A-F]{12}$/i.test(template)) {
    res.status(400).send("Not a valid card id")
    return;
  }
  if (!fs.existsSync(`views/${template}.ejs`)) {
    res.status(400).send('Valentine\'s card does not exist')
    return;
  }
  if (!query['name']) {
    query['name'] = ''
  }
  return res.render(template, query);
});

k8s入门

没事做和rmb聊天的时候，因为最近确实不知道该学啥，就扯淡的时候聊到k8s，然后想了一下感觉k8s确实很行，之前菊花入职网易的时候上手的业务也是k8s部署的，云越来越成熟的情况下学一手不是坏事

入门的一大问题在于资料有一点散，加上学习不可能有实际生产环境的部署情况，官方资料也很乱，看了一大堆文档才把各个环节理清楚

环境部署推荐使用kind，用docker作为node，2c4g的机器也能轻松部署4个node的集群

名词解释

CS DNS beacon二次开发指北

接上一篇CobaltStrike beacon二开指南，这次把DNS beacon的写法也简要的讲一下。感觉写的东西还是有点玩具，所以依照惯例，还是把指南改成指北吧。。。
之前花了大功夫把geacon系列项目整的差不多了，感觉当初这么一个心血来潮的项目能整的这么成功，爽死了捏。当时的TODO上是写了实现DNS beacon的，但是感觉这个功能真的很拉跨加上流量特征极其明显加上不出网环境上马本身就有点玄学，如果有边界机就上代理之后再上马也行，反正就是各种buff叠起来导致感觉鸡肋的很，以及在安全客上看到有人发布了一版实现过的版本，就一直没写，但是最近有点闲的，一起写geacon pro的好兄弟又一直和我提起这个事，就乱写两笔试试算了捏。

写好的代码在geacon_pro的dns分支下，由于只是随手写的玩具，还有很多地方没修好，只测试了基本的命令执行，很多功能并未测试，以及很多功能也没实现，只是写出了一个实现的样例demon

pro转私有了，虽然网上可能能找到fork，但是有师傅提到了这个问题，就顺便缝合了一下也缝进plus了，顺便修了点之前的小问题。具体代码整个都在packet/dns.go下，外部代码没改啥，通信处有区别的地方加一个if判断改一下就行

碎碎念