Closure's Blog

为什么这个房间会烧起来呢?

勒索团队blackBasta聊天记录分析

俄语json格式聊天记录 聊天记录是json格式,50多m不存在一条一条读的情况,先定义问题把这个json流式处理了,清洗到一个结构化的数据库里面。通过统计消息频率识别出谁有话语权、聊天的峰值时段在哪里、哪些频道是主要的信息集散地。 拿Gemini ap做了IOCs,我找的是Login/Password 加密货币地址 域名 IP 硬件规格的正则表达式,然后AI扫描数据库中的每一条消息自动...

Posted by Closure on October 31, 2025

第一周读了什么

用了看到的三步读论文法,直觉- 实证 - 细节。 快速抓住直觉,即总结论文在做什么、为什么做,然后检查实证,评估方法的真实效果。快速阅读之所以重要是因为需要足够大的阅读量来培养研究品味来对抗斯特金定律( DeepSeek-OCR: Contexts Optical Compression 上下文光学压缩 https://www.arxiv.org/abs/2510.18234 Int...

Posted by Closure on October 25, 2025

第一个one shot npm包-基于Discord webhook的c2

为什么做这个 Threat Actors Weaponize Discord Webhooks for Command and Control with npm, PyPI, and Ruby Packages 这篇是通过在npm PyPI RubyGems上投放恶意包,在install-time hooks执行恶意代码,收集信息然后POST 到硬编码的 Discord webhook,...

Posted by Closure on October 17, 2025

利用Windows链接跟踪与竞态条件实现本地权限提升

写在前面,一些有用的refer TOCTOU 和竞争条件 https://medium.com/@schogini/toctou-time-of-check-and-time-of-use-a-demonstration-and-mitigation-609c999042cb https://techterms.com/definition/race_condition ...

Posted by Closure on October 7, 2025

outlookweb的绕过文件上传新技术

https://infosecwriteups.com/new-technique-bypass-file-upload-4c18cef9f9ed 这是一种存在Outlook Web App的关键逻辑缺陷,因为应用程序对粘贴内容和附件上传内容采用了不同的安全处理流程。 这次不是像操纵文件扩展名orMIME类型的过滤器规避手段,利用的是浏览器原生的Clipboard API与富文本编辑器的...

Posted by Closure on September 29, 2025

RapperBot物联网ddos攻击分析&方法论

从RapperBot整个攻击链里面学到的针对iot设备的技巧太多了,遂记录() 部分代码详情-RapperBot: From Infection to DDoS in a Split Second XLAB-僵尸永远不死:RapperBot僵尸网络近况分析 ioc 前情提要一下,RapperBot是基于IoT恶意软件Mirai变种的僵尸网络,通过感染并控制海量的互联网边缘设备来发起大...

Posted by Closure on September 22, 2025

Windows 24H2自删除技术分析

payload的自我删除能力直接关乎OPSEC原则,就不在这里赘述有多重要了。 24H2前的自删除 最早期也最简单的自删除方法之一是MoveFileEx,利用操作系统自身提供的机制在下次系统启动时完成删除操作。 这个技术很依赖于Win32 API 函数 MoveFileExW,通过调用此函数为其 dwFlags 参数指定 MOVEFILE_DELAY_UNTIL_REBOOT 标志,同...

Posted by Closure on September 18, 2025

OpenAI gpt-oss-20b-通过伪装提示词进行系统性越狱

之前kaggle的wp,因为身体原因鸽了好多…. 这是OpenAI最新发布的开源模型gpt-oss-20b的黑客松挑战赛,比赛要求参赛团队不仅要发现问题,还要清晰地记录发现过程。每个团队最多可提交五个漏洞,报告中必须包含能够稳定复现问题的提示词、预期输出以及相关的自动化测试代码。在方法上,比赛给予了高度自由,禁止对模型进行重新训练或修改权重,但鼓励参赛者采用各种创新手段,无论是手动探测、开...

Posted by Closure on September 16, 2025

Silver Fox-BYOVD与内存攻击链

CHASING THE SILVER FOX: CAT & MOUSE IN KERNEL SHADOWS 又是银狐()最近他们攻击活动是个一体化的恶意软件加载器。 内部封装了加载器存根作为整个攻击的起点,负责初始执行、环境检测、持久化设置。还有两个内嵌的脆弱驱动程序,加载器内部捆绑了两个不同的但都存在漏洞的合法驱动程序,来用于后续的权限提升。以及EDR/AV查杀模块,包含一个硬...

Posted by Closure on September 6, 2025

基于Chromium启动参数的LOLBins权限维持

还没有彻底开源,现在机子只有mac,等试完win和linux之后都能顺利捕获摄像头和麦克风再放主页qwq前几张是失败的,后面那几张是成功之后的。 LOLBins权限维持 权限维持的东西,LOLBins的核心攻击思想是放弃使用容易被检测的&需要上传到目标机器的恶意软件,转而滥用目标操作系统中已存在且受信任的合法程序来执行操作。 这次所有都围绕将带有特殊参数的Chrome启动...

Posted by Closure on September 1, 2025

FEATURED TAGS
日常 随记 安全 算法 近源 ctf 笔记 PWN 机器学习 大模型
ABOUT ME

沒有任何事物會是含糊的,並且未來只會像過去般出現在拉普拉斯妖眼前。

✉️ DemondeLap1ace@proton.me