一键在 Manus 中运行任何 Skill

$pwd:

patch-diff-exploit

Name: Patch Diff Exploit
Author: zhaoxuya520

// N-day 补丁差分到利用。从厂商发布的补丁里反推漏洞点、写 PoC、做成可用的攻击模块。适用场景：已知 CVE 编号但只有补丁没有 PoC、SRC/红队需要打击未及时更新的资产、N-day 武器化、Patch Tuesday 跟进。核心方法：拿 before/after 二进制 → 对齐符号 → 二进制 diff → 看新增的安全检查反推 bug class → 写 PoC 触发漏洞。触发关键词：N-day、Nday、补丁差分、patch diff、patch tuesday、1day、binary diff 漏洞、bindiff 利用、ghidriff、Diaphora、补丁分析、CVE 复现、漏洞还原、补丁反推、N-day 武器化。

在 Manus 中运行

$ git log --oneline --stat

stars:427

forks:90

updated:2026年5月25日 15:05

文件资源管理器

4 个文件

SKILL.md

readonly

related-skills.json

同仓库

pentest-tools.md

from "zhaoxuya520/reverse-skill-private"

主动渗透测试工具链。覆盖信息收集、端口扫描、漏洞扫描、Web 渗透、SQL 注入、目录爆破、密码破解等场景。通过 MCP server（pentestMCP / mcp-security-hub）将 20+ 安全工具暴露给 AI agent。触发关键词：渗透测试、端口扫描、Nmap、漏洞扫描、Nuclei、SQL 注入、SQLMap、目录爆破、FFUF、密码破解、Hashcat、信息收集、子域名、Web 渗透、ZAP、Burp。

2026-05-26427

reverse-engineering.md

from "zhaoxuya520/reverse-skill-private"

Provides reverse engineering techniques. Use when the main job is to understand how a compiled, obfuscated, packed, or virtualized target works before exploiting or solving it, including binaries, APKs, WASM, firmware, custom VMs, bytecode, malware-like loaders, and anti-debug or anti-analysis logic. Do not use it when the vulnerability is already understood and the remaining task is exploitation; use pwn instead. Do not use it for pure web workflows, log or disk forensics, or standalone crypto problems unless reversing the implementation is the real blocker.

2026-05-25427

edr-bypass-re.md

from "zhaoxuya520/reverse-skill-private"

逆向防御方实现 → 红队针对性绕过。把 EDR / Defender / AV 的 hook 表、ETW provider、AMSI 实现先逆向出来，再写针对性的 unhook / 间接 syscall / ETW patch / call stack spoof。对照 MITRE ATT&CK T1562 防御规避。触发关键词：EDR 绕过、AV bypass、免杀、unhook、direct syscall、indirect syscall、Hell's Gate、Halo's Gate、 Tartarus Gate、ETW patch、AMSI patch、call stack spoofing、hardware breakpoint Blindside、MITRE T1562、 ntdll unhook、kernel callback、CrowdStrike 绕过、Defender 绕过、Sentinel One 绕过、Elastic Defend、 Sysmon 规避、PPID spoof、Sleep mask、Process Hollowing、Reflective DLL。

2026-05-25427

firmware-pentest.md

from "zhaoxuya520/reverse-skill-private"

固件 / IoT 渗透链。从拿到一坨 .bin / .img 开始，闭环走完逆向 → 提取 → 模拟 → 利用。方法论遵循 OWASP FSTM 九阶段；工具链以 binwalk v3、unblob、EMBA、Firmadyne、AFL++ 为主。适用场景：路由器/摄像头/智能家居固件审计、固件升级包逆向、IoT CVE 复现、嵌入式 0day 挖掘。触发关键词：固件、firmware、IoT、binwalk、unblob、UART、JTAG、squashfs、UBI、JFFS2、Firmadyne、QEMU 全系统仿真、EMBA、固件渗透、路由器固件、嵌入式漏洞利用、bootloader、NVRAM、FAT、firmware analysis toolkit。

2026-05-25427

ida-reverse.md

from "zhaoxuya520/reverse-skill-private"

IDA Pro 逆向分析辅助技能。当用户提到逆向、反编译、分析二进制/PE/ELF/APK/DLL/SO、破解、找密码、漏洞分析、病毒分析、firmware 固件分析，或需要分析 exe/dll/so/elf/macho/sys 等文件时，务必使用此技能。 Ensure to use this skill when the user wants to analyze any binary file, regardless of whether they explicitly mention "IDA" or "reverse engineering". This includes requests like "看看这个exe", "分析这个dll", "帮我破解", "找一下密码", "这个软件怎么注册", etc. Use the bundled scripts (scripts/start.ps1, scripts/open.ps1) for deterministic server management and file opening — do NOT write ad-hoc PowerShell commands for these operations.

2026-05-25427

pwn-chain.md

from "zhaoxuya520/reverse-skill-private"

从逆向走到可用利用 (Working Exploit) 的全链路工程化方法。适用场景：拿到了二进制 + 漏洞点 + 目标环境，需要写出一个能稳定打通的 exploit（不是只能本地复现一下、远程一打就崩的脚本）。覆盖三大方向：栈溢出 / 堆利用 / 内核 pwn。强调"CTF 本地通 → 真实远程稳定打通"的工程差距：libc 版本错配、堆喷射时序、SMEP/SMAP/KASLR、栈对齐、远程缓冲。核心工具链：pwntools + GEF/pwndbg + ROPgadget/Ropper + one_gadget + libc-database + qemu-system 内核调试。触发关键词：pwn、栈溢出、堆溢出、ROP、ret2libc、ret2csu、one_gadget、libc-database、堆利用、tcache、fastbin、unsorted bin、kernel pwn、kROP、SMEP、SMAP、KASLR、modprobe_path、pwntools、GEF、pwndbg。

2026-05-25427

package.json

"author": "zhaoxuya520"

"repository": "zhaoxuya520/reverse-skill-private"

打开 GitHub 仓库查看创作者相关仓库

$ install --global

$ download --local

在 Manus 中运行

$ useful --forSOC

信息安全分析师计算机与数学类职业15-1212L4

name

patch-diff-exploit

description

N-day 补丁差分到利用。从厂商发布的补丁里反推漏洞点、写 PoC、做成可用的攻击模块。适用场景：已知 CVE 编号但只有补丁没有 PoC、SRC/红队需要打击未及时更新的资产、N-day 武器化、Patch Tuesday 跟进。核心方法：拿 before/after 二进制 → 对齐符号 → 二进制 diff → 看新增的安全检查反推 bug class → 写 PoC 触发漏洞。触发关键词：N-day、Nday、补丁差分、patch diff、patch tuesday、1day、binary diff 漏洞、bindiff 利用、ghidriff、Diaphora、补丁分析、CVE 复现、漏洞还原、补丁反推、N-day 武器化。

N-day 补丁差分到利用 (Patch Diff Exploit)

适用范围

当任务属于以下场景时使用本 skill：

已知 CVE 但无公开 PoC — 厂商公告写了"修复了 XX 组件的越界写"但没放 PoC，需要从补丁反推
SRC / 红队打 N-day — 目标资产未及时更新，需要把刚发布的补丁差成可用的 1-day 利用
Patch Tuesday 跟进 — 每月第二个周二微软放补丁，需要快速锁定高价值漏洞（Kernel / Win32k / AFD / CLFS）
Linux LTS 补丁分析 — 主线 fix 已合并，但旁支或某发行版 backport 不全，找未修补面
驱动 / 服务的安全补丁还原 — 显卡驱动、AV 引擎、虚拟化组件等闭源软件的补丁分析

与其他 skill 的分工

场景	用什么
有旧版符号，迁移到新版本帮助分析	`binary-diff/`
从补丁找漏洞、写 PoC 打补丁前版本	本 skill
写出完整利用链（堆喷、ROP、提权）	`pwn-chain/`
把 1-day 武器化部署到目标网络	`pentest-tools/network-attack-defense/`
从零逆向一个二进制	`ida-reverse/` / `radare2/`

差别的关键：binary-diff 的目标是让新版可分析（把旧符号搬过来），本 skill 的目标是找出补丁修了什么 bug 然后打补丁前的版本。前者服务防御侧 / 研究侧分析，后者服务攻击侧武器化。

核心原理

patched 二进制 (after)         unpatched 二进制 (before)
        ↓                                  ↓
    导入 IDA/Ghidra              导入 IDA/Ghidra
        ↓                                  ↓
        └──────── BinDiff / ghidriff ──────┘
                        ↓
        函数级 diff（matched / unmatched / changed）
                        ↓
        聚焦 match score 中等的函数（0.5 - 0.9）
                        ↓
        看新增了什么：边界检查 / 锁 / 字段清零 / 整数溢出检查
                        ↓
        反推 bug class：OOB / Race / Info Leak / UAF / Integer Overflow
                        ↓
        在 unpatched 版本上写 PoC 触发
                        ↓
        验证：unpatched 崩 / patched 不崩 → 漏洞确认

补丁修复模式 → 漏洞类型反查：

新增内容	大概率的 bug class
`if (a + b < a)` / `__builtin_add_overflow`	整数溢出
`KeAcquireSpinLock` / `mutex_lock`	竞争条件 (TOCTOU / double-free)
`if (idx >= MAX)` / `if (len > buf_size)`	越界读 / 越界写
`RtlZeroMemory` / `memset(struct, 0, ...)`	未初始化内存信息泄漏
`InterlockedDecrement` + refcount 检查	UAF / 引用计数错误
`ProbeForRead` / `ProbeForWrite`	用户态指针未校验
`SeAccessCheck` / capability 校验	权限校验缺失
删除 / 收紧 `IOCTL` code	暴露面收敛（看老接口怎么打）

工作流

5 步完整流程

Step 1: 拿 before / after 二进制
  - Windows: Microsoft Update Catalog 下 MSU/MSP，用 expand.exe / dism 解包
  - Linux: 从发行版 USN/RHSA 拉 .deb/.rpm，用 dpkg-deb / rpm2cpio 解包
  - 第三方软件: 官网取 N-1 和 N 版本安装包

Step 2: 对齐符号
  - 有 PDB 直接吃，没 PDB 时用 binary-diff skill 把 N-1 版本的符号搬到 N 版本
  - Linux 内核取对应版本的 vmlinux + System.map / debuginfo

Step 3: 二进制 diff
  - BinDiff: 直接给两个 IDB，看函数级匹配结果
  - ghidriff: pip 一键安装，CLI 输出 markdown 报告
  - Diaphora: IDA 内插件，老牌但需要 IDA Pro

Step 4: 定位变更
  - 过滤 match score 0.5-0.95 的函数（完全相同的不看，完全不同的多半是新加 / 重命名）
  - 重点看：新增的 if / 新增的循环边界 / 删除的代码块（删了什么也是线索）
  - 用 LLM 看 before/after 伪代码反推 bug class（见 references/root-cause-and-poc.md）

Step 5: 写 PoC
  - 整数溢出：构造边界值（INT_MAX-1、0xFFFFFFFF）
  - 竞争：多线程 hammer，open/close + ioctl 高频并发
  - UAF：spray → free → reuse pattern
  - OOB：精确控制 len / index 越过边界
  - 验证 patched 版本不再崩，unpatched 版本稳定崩 → bug 复现成功

工具调用顺序

下补丁 → 解包 → 加载到 IDA/Ghidra → BinDiff/ghidriff → 看 unmatched/low-match 函数
       → LLM 反推 bug class → 写 PoC → 在 unpatched 跑 → 崩 → 收工

典型场景示例

场景 1：Windows Patch Tuesday — Kernel CVE 复现

背景：2025 年 11 月 Patch Tuesday，MSRC 公告 CVE-2025-62215
      Windows Kernel race condition 导致 double free，CVSS 7.0，本地提权
      微软只放了补丁，没放细节，没有公开 PoC

目标：复现 PoC，验证未打补丁的 Windows 11 22H2 / 23H2 可提权

步骤：
1. Microsoft Update Catalog 搜 "2025-11" + KB 号，下两个版本：
   - 22H2 build 22621.xxxx (unpatched)
   - 22H2 build 22621.yyyy (patched 后)
   命令:
     expand.exe Windows-KB5052000-x64.msu -F:* C:\out\patched\
     expand.exe C:\out\patched\Windows-KB5052000-x64.cab -F:* C:\out\patched\
   提取 ntoskrnl.exe / win32k.sys / win32kfull.sys / afd.sys

2. 两个版本都吃 PDB (微软符号服务器):
     symchk /v /r ntoskrnl.exe /s SRV*C:\sym*https://msdl.microsoft.com/download/symbols

3. 跑 BinDiff:
     bindiff old.BinExport new.BinExport
   或 ghidriff:
     ghidriff ntoskrnl_old.exe ntoskrnl_new.exe -o diff_out/

4. 看报告，过滤 similarity 0.6-0.95 的函数。
   假设定位到 NtXxxIoctl 类函数新增了一段:
     KeAcquireSpinLockRaiseToDpc(&obj->Lock);
     if (obj->RefCount == 0) { ... goto cleanup; }
   → 新增了锁 + 引用计数检查 → race + double free，符合公告描述

5. 写 PoC：用户态多线程同时调 NtClose + 触发同一对象的 IOCTL，
   制造 close 释放与 IOCTL 还在用之间的竞争窗口
   崩在 ntoskrnl 的 ObfDereferenceObject 后续 free 路径上

6. 验证：
   - unpatched 22621.xxxx 上跑 PoC，~30 秒内 BSOD (BAD_POOL_HEADER 或 DOUBLE_FREE)
   - patched 22621.yyyy 上跑同 PoC，无任何异常
   → 复现成功

场景 2：Linux 内核 LTS 分支补丁找未修的旁支

背景：主线 6.x 已修某 net subsystem 的 OOB 写
      Ubuntu 22.04 (5.15 LTS) 的 USN 已发布更新
      但某些 OEM kernel / Azure kernel 的 backport 节奏更慢
      想确认未更新的旁支是否仍可打

目标：取 patched/unpatched 内核，差出 fix commit 对应的二进制变更，
      在 unpatched 旁支上重写 PoC

步骤：
1. 拉 patched 与 unpatched 包:
     apt download linux-image-5.15.0-101-generic   # patched
     apt download linux-image-5.15.0-100-generic   # unpatched
     dpkg-deb -x linux-image-5.15.0-101-generic_*.deb ./patched/
     dpkg-deb -x linux-image-5.15.0-100-generic_*.deb ./unpatched/
   提取 boot/vmlinuz → 用 extract-vmlinux 还原 ELF

2. 同步取 dbgsym:
     apt download linux-image-unsigned-5.15.0-101-generic-dbgsym

3. 用 ghidriff (Linux 友好):
     ghidriff vmlinux_5.15.0-100 vmlinux_5.15.0-101 \
              -o /tmp/kdiff/ --max-section-funcs-analyze 8000

4. 报告里搜 net/ipv4/ net/ipv6/ net/sched/ 等子系统的 changed 函数
   找到补丁前 skb_copy_bits 调用前缺少 skb->len 上限校验
   → OOB read，可能配合可触发的 sysctl 升级到 OOB write

5. 在 unpatched 旁支（例如 Azure 5.15.0-1080 backport 落后的版本）
   交叉验证：同一函数 fix 是否已 backport
   如果没 backport → 旁支仍可打 → 写 PoC 重放

6. 写 PoC：syzkaller harness 改造 / 直接 C PoC 触发对应 syscall
   验证旁支 panic / KASAN 报 OOB

注意事项

法律边界 — 武器化 N-day 必须在授权范围内（SRC / Bug Bounty / 自有靶机 / CTF）。对生产环境直接打 1-day 等同入侵
补丁可能只是"减小爆炸半径" — 看到 patch 不一定就是完整修复，有可能只是补一个利用路径，原始 bug 仍可从别的路径触发（一鱼多吃）
变量名/类型不要被欺骗 — Windows 补丁经常顺手做 cleanup / rename，看似变更很大但实际无关。要看控制流和数据流，不要看 token 级 diff
微软的补丁可能加了 mitigation 而不是 fix — 看到 _guard_xfg_dispatch_icall_fptr 这种 CFG 强化不要当成 fix，那是 mitigation
匿名化 — writeup / PoC 公开时脱敏目标机器名、内网 IP、用户名（写 {target_ip} {username} 占位）
patched 版本上要能跑通无害化测试 — 别只在 unpatched 上跑，否则可能是环境因素导致的崩溃，不是漏洞
二进制 diff 不万能 — 编译器升级 / 优化等级变化也会让函数 layout 大变，先用 N 版本和 N-1 版本（同一编译器）对比，不要跨大版本

按需自举（On-Demand Bootstrap）

工具依赖

工具	用途	可自动安装
BinDiff (Google, 5.x+)	函数级二进制 diff，IDA/Ghidra 插件	✓ (有官方 .deb / .msi)
Diaphora	IDA 老牌 diff 插件，需要 IDA Pro	✓ (git clone)
ghidriff	Ghidra headless CLI diff，输出 markdown	✓ (pip install ghidriff)
DeepDiff (商业)	新一代 diff 工具，准确度更高	✗ (商业授权)
Ghidra	ghidriff 的运行底座	✓
IDA Pro	BinDiff / Diaphora 的运行底座	✗ (商业)
Microsoft Update Catalog	下 MSU/MSP 补丁包	在线服务
wsuspect-proxy	透明拦截 Windows Update 流量取补丁	✓ (git clone)
expand.exe / dism	解 MSU / cab	✓ (Windows 自带)
rpm2cpio / dpkg-deb	解 Linux 发行版包	✓
symchk	从微软符号服务器拉 PDB	✓ (Windows SDK)

自举命令

powershell -NoProfile -ExecutionPolicy Bypass -File "&lt;SKILL_ROOT&gt;\skills\scripts\bootstrap-reverse.ps1" -Capability @('bindiff','ghidriff','ghidra','wsuspect-proxy') -StartServices

详细工具对比与命令见 references/diff-tools-comparison.md。详细 Patch Tuesday 工作流见 references/patch-tuesday-workflow.md。根因反推与 PoC 模板见 references/root-cause-and-poc.md。

路由上下文

上游入口: skills/SKILL.md（总控）、routing.md

上游 skill:

reverse-engineering/ — 在做 diff 之前可能要先理解目标二进制的整体结构
binary-diff/ — 如果补丁后版本无符号、补丁前有符号，先用 binary-diff 搬符号过来

下游 skill:

pwn-chain/ — 反推出 bug class 后，需要写完整利用（堆喷、ROP、SMEP/SMAP 绕过、提权 payload）
pentest-tools/network-attack-defense/ — 把 N-day 武器化部署到目标网络（包装成可投递载荷、对接 C2）
attack-chain/ — 把这一个 N-day 串到完整攻击链里（初始访问 → 提权 → 横向）

触发条件: 任务包含"N-day"、"补丁"、"CVE 复现"、"找补丁修了什么"、"打未更新主机" 等意图

patch-diff-exploit

同仓库更多 Skills

同仓库更多 Skills

N-day 补丁差分到利用 (Patch Diff Exploit)

适用范围

与其他 skill 的分工

核心原理

工作流

5 步完整流程

工具调用顺序

典型场景示例

场景 1：Windows Patch Tuesday — Kernel CVE 复现

场景 2：Linux 内核 LTS 分支补丁找未修的旁支

注意事项

按需自举（On-Demand Bootstrap）

工具依赖

自举命令

路由上下文

N-day 补丁差分到利用 (Patch Diff Exploit)

适用范围

与其他 skill 的分工

核心原理

工作流

5 步完整流程

工具调用顺序

典型场景示例

场景 1：Windows Patch Tuesday — Kernel CVE 复现

场景 2：Linux 内核 LTS 分支补丁找未修的旁支

注意事项

按需自举（On-Demand Bootstrap）

工具依赖

自举命令

路由上下文