- 博客(6)
- 收藏
- 关注
RSS订阅原创 RE练习笔记一
我鼓起勇气,在ZCTF的逼迫下,于2017年2月25日正式进军反向工程领域。第一个反向的软件名叫Test_for_pwn,超级简单的带界面helloworld程序,图形如下所示:(由于MinGW 原因宽字符显示有问题)源码:目标一: 定位Main函数在反汇编代码中的位置程序起始的位置如图所示,为了快速定位t_main函数的位置,使用了单步步过的调试方
2017-02-27 17:57:34
315
原创 百度杯12月第四场Blog进阶版解题过程记录
继上篇百度杯12月第四场Blog挑战赛后,又出了一道Blog进阶版,其中有些内容非常开阔脑洞。用上一篇提到的insert注入方法能够顺利获取到admin的账号和密码,这里就不再重复阐述;另外提一下,出题人的解中用到了注册用户名处存在的一个二次注入,可以试一下。接下来就是坑点的开始了:在Blog那题中,做到以admin身份登录系统后,接下来使用php://filter读一波网
2017-02-27 17:48:08
2831
2
原创 2016百度杯12月第四场挑战赛解题过程记录
这题从入门,到放弃,使用了一天时间,里面关于sql注入的套路比较深,故记录下解题过程,并和WP作了一定的结合。百度杯比赛链:http://www.ichunqiu.com/racing/ctf_56951首先访问链接得到了一个Mini-Blog的欢迎页面:注册一个账号: admin/pass;发现注册失败,尝试更改一个用户名注
2017-02-27 17:40:25
3954
原创 设计并实现一个大规模分布式BOTNET系统(一)
前天早上,美国DNS服务商Dyn宣布,该公司在当地时间周五早上遭遇了一次DDoS(分布式拒绝服务)攻击,从而导致许多网站在美国东海岸地区宕机,如Netflix、Twitter、Spotify和Reddit等。Twitter、Tumblr、Netflix、亚马逊、Shopify、Reddit、Airbnb、PayPal和Yelp等诸多人气网站无一幸免。
2016-10-23 16:03:02
1815
原创 渗透测试笔记:Windows权限提升
天哪,这已不仅仅是提权了,这是要玩大了的节奏。我必须想办法提权不说,还要重新启动网站web服务器进程才行。否则网站管理员很快就会发现异常,而我所有的行为都被忠实地记录在服务器的日志文件中。还好,我没有慌张,因为刚刚脑子已经很清晰地分析清楚了,现在既然360已经退出,那么sa账户是有可能执行成功命令的吧!对,再试一下好了。
2016-09-22 00:58:47
2714
原创 渗透测试笔记:爬虫变蠕虫的故事
写这篇文,主要想以日记的形式记录下我在整个测试(gongji)过程中的心路历程、所用技术、填的坑等等。。为了让文章显得不那么呆板,不那么流水,我尽量使用一些文艺点的词汇。9月份的广州,一天天总是有雨。我呆坐在华工图书馆里,望着窗外灰蒙蒙的天,湿漉漉的地,还有对面心情略显阴沉的小W。我很清楚她为什么心情不好,作业被老师刁难谁会好受呢。本着一份打抱不
2016-09-07 20:04:12
5076
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人