Closure's Blog

为什么这个房间会烧起来呢?

macos-无网络权限下利用沙箱日志侧信道数据重构

会议原地址-(Sploit)Lights, Camera, Action! Exploiting Spotlight to Bypass TCC and Leak Data from Apple Intelligence Abstract This talk unveils a novel macOS TCC (Transparency, Consent, and Control) by...

Posted by Closure on November 24, 2025

使用Hardhat与eth_call实现动态配置c2

SharkStealer SharkStealer利用EtherHiding解析实际C2服务器地址的流程,完全绕过了传统的dns而是用区块链作为中间层。 恶意软件在电脑执行后,立刻建立与一个公共BSC Testnet RPC端点的连接,文章里分析确认的具体地址为data-seed-prebsc-2-s1.binance.org:8545,可见是一个合法的公共RPC服务器,然后构造并发送e...

Posted by Closure on November 15, 2025

练手redext扩展插件-地址劫持&密码劫持

为什么选择基于redext写 新增版本 普通的自定义恶意插件功能太单一了() 只有一个Keylogger或者将Cookie发送到Discord Webhook 的脚本,RedExt是一个完整的C2框架;且普通插件几乎都是Fire and Forget,死板地把数据发出去,如果没有回连机制就无法控制它停止 休眠 更改目标。(还有一个方便操作的后端面板和Agent 现在很多旧的红队...

Posted by Closure on November 13, 2025

勒索团队blackBasta聊天记录分析

俄语json格式聊天记录 聊天记录是json格式,50多m不存在一条一条读的情况,先定义问题把这个json流式处理了,清洗到一个结构化的数据库里面。通过统计消息频率识别出谁有话语权、聊天的峰值时段在哪里、哪些频道是主要的信息集散地。 拿Gemini ap做了IOCs,我找的是Login/Password 加密货币地址 域名 IP 硬件规格的正则表达式,然后AI扫描数据库中的每一条消息自动...

Posted by Closure on October 31, 2025

第一周读了什么

用了看到的三步读论文法,直觉- 实证 - 细节。 快速抓住直觉,即总结论文在做什么、为什么做,然后检查实证,评估方法的真实效果。快速阅读之所以重要是因为需要足够大的阅读量来培养研究品味来对抗斯特金定律( DeepSeek-OCR: Contexts Optical Compression 上下文光学压缩 https://www.arxiv.org/abs/2510.18234 Int...

Posted by Closure on October 25, 2025

第一个one shot npm包-基于Discord webhook的c2

为什么做这个 Threat Actors Weaponize Discord Webhooks for Command and Control with npm, PyPI, and Ruby Packages 这篇是通过在npm PyPI RubyGems上投放恶意包,在install-time hooks执行恶意代码,收集信息然后POST 到硬编码的 Discord webhook,...

Posted by Closure on October 17, 2025

利用Windows链接跟踪与竞态条件实现本地权限提升

写在前面,一些有用的refer TOCTOU 和竞争条件 https://medium.com/@schogini/toctou-time-of-check-and-time-of-use-a-demonstration-and-mitigation-609c999042cb https://techterms.com/definition/race_condition ...

Posted by Closure on October 7, 2025

outlookweb的绕过文件上传新技术

https://infosecwriteups.com/new-technique-bypass-file-upload-4c18cef9f9ed 这是一种存在Outlook Web App的关键逻辑缺陷,因为应用程序对粘贴内容和附件上传内容采用了不同的安全处理流程。 这次不是像操纵文件扩展名orMIME类型的过滤器规避手段,利用的是浏览器原生的Clipboard API与富文本编辑器的...

Posted by Closure on September 29, 2025

RapperBot物联网ddos攻击分析&方法论

从RapperBot整个攻击链里面学到的针对iot设备的技巧太多了,遂记录() 部分代码详情-RapperBot: From Infection to DDoS in a Split Second XLAB-僵尸永远不死:RapperBot僵尸网络近况分析 ioc 前情提要一下,RapperBot是基于IoT恶意软件Mirai变种的僵尸网络,通过感染并控制海量的互联网边缘设备来发起大...

Posted by Closure on September 22, 2025

Windows 24H2自删除技术分析

payload的自我删除能力直接关乎OPSEC原则,就不在这里赘述有多重要了。 24H2前的自删除 最早期也最简单的自删除方法之一是MoveFileEx,利用操作系统自身提供的机制在下次系统启动时完成删除操作。 这个技术很依赖于Win32 API 函数 MoveFileExW,通过调用此函数为其 dwFlags 参数指定 MOVEFILE_DELAY_UNTIL_REBOOT 标志,同...

Posted by Closure on September 18, 2025

FEATURED TAGS
日常 随记 安全 算法 近源 ctf 笔记 PWN 机器学习 大模型
ABOUT ME

沒有任何事物會是含糊的,並且未來只會像過去般出現在拉普拉斯妖眼前。

✉️ DemondeLap1ace@proton.me