那些大模型没有教会我的事

admin
admin
admin
0
文章
0
评论
2026-01-21 01:20:26 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文分享SharePoint补丁分析与办公软件逆向经验。作者通过ProcessMon发现修复DLL在安装时会被重命名;针对办公软件,推荐动态Hook日志分析模块。文章强调独立思考与验证的重要性,指出大模型无法替代底层技术探索。 综合评分: 80 文章分类: 逆向分析,二进制安全,漏洞分析,办公安全

cover_image

那些大模型没有教会我的事

原创

MG MG

不吃猹的瓜

2026年1月20日 22:28 日本

又是一个多月没写公众号了,第一是因为太懒了,第二是因为最近太太太太忙了,有太多的东西需要做了。刚好最近学习了一点有趣但无用的知识,所以分享一下。前情提要,本篇文章水分极高,干货较少,请酌情观看。

背景说明

最近看到了jar-analyzer配合claude skill食用的方法,自然就想到整一整自己的东西。于是研究了一下比较感兴趣的目标,一类是SharePoint/Exchange这类大型的Windows系统,另一类就是办公软件。纯没事看看,与工作无关,学会了一些大模型没有教会我的东西,可以理解为此篇文章是用于记录构建skills过程中遇到的一些问题的。但还是那句话,本文只是笔者一家之言,仅仅代表自己,不代表任何组织观点,有不同看法或者发现错误的朋友欢迎留言交流。

SharePoint/Exchange

SharePoint/Exchange 这类大型的Windows系统,补丁一般都是随着补丁日发布的。所以打补丁的方式也是一样的:

  1. https://msrc.microsoft.com/update-guide/ 查看漏洞对应的补丁号
  2. https://catalog.update.microsoft.com/Home.aspx 查找对应的补丁号进行下载,SharePoint的补丁有两种:一种是exe文件,比如:sts2019-kb5002754-fullfile-x64-glb.exe;还有一种是cab文件,比如:sts-x-none_ea2ead68dcbc1abd64472f1f3998d1488e30ae94.cab
  3. 获取以上两种补丁内容的方式都是一样的,靠7zip解压就好了,不清楚的可以参考Jang的博客

这里以ToolShell为例,分析一下它们的补丁,看看是否可以通过claude skill跑通整个流程。但在本人实践的过程中,发现修复漏洞的dll竟然没有包含在patch中。但当打上对应的补丁以后,确实已经完成了修复,这和我五年前看ProxyShell时的认知完全不同(这告诉我们,要对自己感兴趣的目标持续追踪!)。

解决问题

发现这个问题后,我全局搜索了Microsoft.SharePoint.dll这个文件,发现在GAC目录下有一个修复的版本,这时我很自然的怀疑微软官方会下发一些dll,而补丁包的作用只是将下发的dll拷贝至对应的文件夹中。这个论点有个很显而易见的问题,有些环境是不出网的,所以光靠下发明显不靠谱。所以在补丁包里一定含有特定格式的修复文件。启动processmoniter安装补丁,发现了几个有趣的事情:

  1. sts2019-kb5002754-fullfile-x64-glb.exe 会先解压出 sts-x-none.msp,然后调用msiexec处理解压出的msp
  2. msiexec会在tmp目录写入Microsoft.SharePoint.dll

继续抽丝剥茧,发现在安装补丁的时候会写入日志,进入日志发现如下记录:

看来是微软给对应的dll进行了重命名,至于为什么我也不知道,有知道的朋友可以留言告诉我!最后就是传统流程,确认了修复逻辑。

国产办公软件

分析过比较大型二进制目标的朋友们都知道,这种目标的难点在于了解各个模块的作用。无意义的逆向等于**,热衷于逆向的朋友请当我没说。日志就是这类目标很好的切入点,当然看日志的方法有很多。这里简单说一下我用的方法,无非就是动态和静态两种。以我的经验来说,还是动态简单一点,hook一下就好。具体就不展开说了,效果如下所示。感兴趣的读者可以自行尝试,遇到问题的话可以留言,这个可以公开,佛系回复。

总结

回到本文标题那些大模型没有教会我的事,因为以上的两个问题都是我遍寻大模型均无果的问题。这里的大模型不仅包括各类大模型,还包括各类Agent。当我给出这两个问题的答案后,大模型马上也将学会这两个问题。陈词滥调不想多说了,希望读者朋友们多用大模型,善用大模型,但也不要忘记独立思考,大胆假设小心求证的人类美德,就酱~!

Ref

  1. https://www.yuque.com/0cat/wclcea/kfp8bklrdch0hit1
  2. https://testbnull.medium.com/a-quick-note-of-ms-sharepoint-net-decompiling-patch-diffing-91238bb35bf3

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:不吃猹的瓜 MG MG《那些大模型没有教会我的事》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0