目标主机与server端的通信为HTTP协议，由此，当我们对cobalt strike的server端进行隐藏，伪造成一个正常的Web服务器，以此来伪装流量，最终达到通信隐匿的效果。cobalt strike通过提供Malleable-C2-Profiles来实现上述目的

这篇文章准备系统性的记录一下，从内网代理，隧道通信等原理，到靶机搭建，内网环境构筑，来实际感受下内网渗透

在上一篇文章中，我们分析了shiro 550的反序列化漏洞的原理以及应用，这次分析另一个shiro的高危漏洞shiro 721

Apache Shiro是一款开源安全框架，提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用，同时也能提供健壮的安全性。Apache Shiro 1.2.4及以前版本中，加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie，触发Java反序列化漏洞，进而在目标机器上执行任意命令。 影响版本 Shiro <

渗透小计：碰到一个赌博网站，通过sql注入成功上线，记录一下渗透过程

DLL劫持可以用作权限维持，权限提升等作用，下面介绍一下在有杀毒软件的情况下dll劫持通过白加黑的方式获取权限，上线目标。杀软在检测一个应用是否为病毒的时候，首先会通过黑白名单校验-病毒特征库查询-上传云查杀，在黑白名单校验阶段，如果是白名单中的应用则可以成功运行，白名单也就是有数字签名的应用，我们可以通过修改有数字签名应用中的dll，当该应用启动时会调用该dll，从而上线目标

Cobaltstrike上线过程与蓝队反制CS的流量通道有很多，如http、https、dns、TCP、SMB等，但我们这里主要研究beacon通过http通道的CS上线过程

反射型DLL注入常规DLL注入磁盘读取dll到数组 -> 将payload数组写入目标内存 -> 在目标内存中找到LoadLibraryW -> 通过CreateRemoteThread调用LoadLibraryW函数，参数为dll在内存中的地址

windbg查看dll基址fs寄存器 -> TEB -> PEB -> PEB_LDR_DATA -> LIST_ENTRY -> LDR_DATA_TABLE_ENTRY -> dll_base