RedTeam Project
本人的一些红队研究以及工具落地,这里长期置顶,后续会有Windows相关0Day披露,希望点个Star吧~
Contents
petitpotam–本地提权实现
替代PrintBug用于本地提权的新方式,主要利用MS-EFSR协议中的接口函数 借鉴了Potitpotam中对于EFSR协议的利用,实现了本地提权的一系列方式
PrintSpoofer–结合CS实现DLL反射注入
主要利用反射注入的方式从内存中加载以实现绕过EDR等进行本地提权
listTokeninfoByPipe–Windows管道研究
用于列出基于管道模拟RPC客户端获得令牌时的令牌详细信息和通过转化为主令牌从而执行创建进程等相关操作
内部同样实现了转化主令牌后模拟客户端创建进程等操作
sucksAV–Golang实现CS免杀
基于Golang开发的BypassAV,采取的shellcode分离技术,将shellcode注入到图片中,通过加载器进行加载,使用Golang动态加载技术
Shellcode_Memory_Loader–Golang实现shellcode内存加载
基于Golang实现的Shellcode内存加载器,共实现3中内存加载shellcode方式,UUID加载,MAC加载和IPv4加载
结合binject/universal
实现Golang的内存加载DLL方式,使用AllocADsMem实现内存申请,以加强免杀效果
简单的反沙箱机制,这里只是一个简单的Demo思路,后续再研究相关反沙箱的思路技术
goHashDumper
基于Golang开发,用于Dump指定进程的内存,主要利用静默退出机制(SilentProcessExit)和Windows API(MiniDumpW)实现
BypassUserAdd
通过反射DLL注入、Win API、C#、以及底层实现NetUserAdd方式实现BypassAV进行增加用户的功能,实现Cobalt Strike插件化