lifanxin的博客

DASCTF X BUUOJ 五月大联动WP概述pwnDASCTF_X_BUUOJ_2021_ticketDASCTF_X_BUUOJ_2021_cardre总结概述  这个五月我又参加了一次不留痕迹的ctf比赛，之所以叫不留痕迹，是因为总是拿不到好的名次????，比赛结束前1小时还能苟进前10，不过后面还是被反超了。不好在安慰自己，新手嘛，刚刚上路，稳扎稳打，持续努力，定有收获。  这个比赛完整环境可以在buuoj上找到，简单分析一下题目分布情况，pwn 2道，re 2道，web 2道，crypto

WP程序分析程序主逻辑分析虚拟机指令分析利用思路exp总结程序分析  本题目是一道典型的虚拟机题目，通过这道题目，我们可以学习一下VM pwn题的分析技巧和利用思路。  该题目程序和远程环境可以在buuoj上找到，下面老规矩先检查下程序信息，64位小端程序，没有开启栈保护。  做虚拟机的pwn题，我们可以分两大步骤进行，首先先分析一下这个程序是如何实现虚拟机功能的，也就是程序自身的大逻辑，然后我们再详细分析程序虚拟出来的指令，分析指令的过程可能会比较耗时，需要耐心。程序主逻辑分析  我们首先来

虚拟机题型详解概述如何分析一个例子总结概述  随着对pwn题的学习，慢慢开始接触VM虚拟机的pwn题了，刚开始做这种类型的题时会发现代码量比较大，略显复杂，复杂的部分主要是在用程序实现虚拟机指令那里。  其实这种题做法和普通pwn类似，也是寻找漏洞，复杂的地方在于需要我们去分析出虚拟机实现的指令，然后用这些指令操作进行漏洞利用。如何分析  接下来介绍下如何分析，对于VM类型的pwn题，复杂的地方在于分析出该VM对应实现的指令，那么如何分析需要一定章法。这里需要简单知晓一些计算机组成原理和汇编语言的

SQL注入检测绕过概述大小写绕过双写绕过编码绕过内联注释绕过总结概述  在学习了一些基本的sql注入知识以及注入技巧后，本篇博客将会总结一些常见的sql注入检测绕过方法。大小写绕过  大小写绕过很好理解，后端程序会过滤掉一些关键词，比如：select/union/and，此时就无法达到注入的效果。想要绕过这种检测，只需要大写某些字母即可，比如：selEct/UniOn/And，之所以可以这样绕过，一是因为后端的检测逻辑不够完善，二是mysql并不区分大小写。双写绕过  双写绕过在ctf比赛中十分

SQL注入进阶概述时间注入攻击堆叠查询注入攻击二次注入攻击宽字节注入攻击cookie注入攻击base64注入攻击XFF注入攻击总结概述  这一部分的内容是sql注入知识的进阶部分，引入了更多的注入技巧。时间注入攻击  时间注入攻击的场景同样也是服务器并不返回查询语句的信息，这和boolean注入攻击类似，boolean注入通过true或false来进行数据库信息猜测。时间注入攻击通过利用sleep()或benchmark()等函数让数据库操作时间变长，以此来判断语句是否成功执行。# 判断数据库名长

CISCN_2021_WP概述ciscn_2021_lonelywolf总结概述  作为学习不到一年的练习生，今年第一次参加国赛，本以为题目会比较温柔，但是最后只做出了一道pwn题，本来还有两道pwn题是有机会的，但还是缺少一些知识或者技巧吧，没做出来，然后就结束了。本次国赛pwn题出了一道arm 64位结构的，其余都是正常的linux下pwn题，使用libc-2.27.so，有一道考了沙箱机制。ciscn_2021_lonelywolf  ciscn_2021_lonelywolf  libc-

SQL注入概述基本原理MySql注入基本知识information_schemasql注入常用知识总结概述  SQL注入就是指web应用程序对用户输入数据的合法性没有判断，没有进行有效的字符过滤，前端传入后端的参数是攻击者可控的，并且参数被带入数据库查询，攻击者可以通过构造不同的SQL语句来实现对数据库的任意操作。基本原理  所谓sql注入的基本原理，也就是说sql注入是怎么发生的，我们以下面php代码中构造sql查询语句的方式为例。<?php$id = $_GET['id'];$que

arm架构的pwn题详解概述环境搭建使用QEMU使用gdb-multiarchARM架构基本知识一道例题参考博客总结概述  ARM架构过去称作进阶精简指令集机器（Advanced RISC Machine，更早称作：Acorn RISC Machine），是一个32位精简指令集（RISC）处理器架构，其广泛地使用在许多嵌入式系统设计。由于节能的特点，ARM处理器非常适用于移动通讯领域，符合其主要设计目标为低耗电的特性。因此我们常用的手机、平板等移动设备都是采用ARM体系架构的，因此CTF中不可避免也会出

沙盒机制详解概述开启沙盒的两种方式prctl函数调用seccomp库函数使用seccomp-tools识别沙盒两道例题pwnable_asm参考博客总结概述  沙盒机制也就是我们常说的沙箱，英文名sandbox，是计算机领域的虚拟技术，常见于安全方向。一般说来，我们会将不受信任的软件放在沙箱中运行，一旦该软件有恶意行为，则禁止该程序的进一步运行，不会对真实系统造成任何危害。  在ctf比赛中，pwn题中的沙盒一般都会限制execve的系统调用，这样一来one_gadget和system调用都不好使，只

津门杯ctf线上赛概述pwn题easypwnpwnCTFM总结概述  本篇博客记录下自己的第一次ctf比赛经历，其实不完全是第一次，之前也参加过其他比赛，但只能做个签到就走了，这次不一样了，好歹做出了一道pwn题，有一道本来是有机会的，搞错libc了，线上没拿到flag，不过线上复现了下，感觉还行。因此特写下此篇博文，记录自己的一血。????pwn题  我个人现在只会做做pwn题，后面打算也看看web，提升一下综合实力，这里介绍下比赛中的两道pwn题，和官方wp不一样，这里是我自己的思路。easy

文件包含概述常见文件包含函数和原理本地文件包含远程文件包含总结概述  后端编程人员一般会把重复使用的函数写到单个文件中，需要使用时再直接调用此文件即可，因此该过程也就被称为文件包含。文件包含的存在使得开发变得更加灵活和方便，但同时也带了安全问题，导致客户端可以远程调用文件，造成文件包含漏洞。这个漏洞在php中十分常见，其他语言也有。常见文件包含函数和原理# phpinclude() // 执行到include时才包含文件，找不到文件产生警告，脚本继续执行require() // 程序运行就

学习笔记概述关于OWASP和Top 10A1 -- 注入A2 -- 失效的身份认证A3 -- 敏感数据泄露A4 -- XML外部实体（XXE）A5 -- 失效的访问控制A6 -- 安全配置错误A7 -- 跨站脚本（XSS）A8 -- 不安全的反序列化A9 -- 使用含有已知漏洞的组件A10 -- 不足的日志记录和监控总结概述  本博客是基于最新版owasp top 10，也就是2017年发布的版本，虽然已经又过了四年，但好像没有看到更新版本的公布。这篇博文将会记录下owasp top 10中的要点，以及

SQL注入的一般过程概述SQL注入一道例题总结概述  SQL注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。SQL注入大致可以分为两类：数字型注入和字符型注入。SQL注入  这里介绍下SQL注入的基本流程，需要明确的是在实际注入中，我们都是无法看到具体的后端代码的，也就是无法知晓具体的SQL拼接

IO_FILE概述IO_FILE结构介绍利用IO_FILE进行leakFSOP总结概述  这是pwn题堆利用系列的第三篇文章，本篇文章主要讲解一下IO_FILE结构在pwn题中的利用。一般来说，想到使用IO_FILE结构，是因为pwn题中没有可以用来leak的函数。IO_FILE结构介绍  FILE 在 Linux 系统的标准 IO 库中是用于描述文件的结构，称为文件流。 FILE 结构在程序执行 fopen 等函数时会进行创建，并分配在堆中，然后以链表的形式串联起来，但系统一开始创建的三个文件st

DVWA的部署概述本地部署DVWA部署DVWA的基本环境下载DVWA配置MySql数据库配置DVWA总结概述  DVWA（Damn Vulnerable Web Application）是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用，旨在为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助web开发者更好的理解web应用安全防范的过程。本地部署DVWA部署DVWA的基本环境  dvwa本质也是一个web应用服务，所以可以使用下面的web应用服务组合来进行环境部署 – Apach

工具篇引言本地web环境搭建安装apache安装PHP引言  作为一名刚入坑二进制不久的新人选手，发现ctf的道路任重而道远，恍惚间又看到一些关于二进制求生之路上的劝退语录，于是为了提升综合素养，开始学习web方向。这里是我从零到一的学习记录，写博客的好处一来是夯实基础，巩固复习，二来是分享经验，希望新入坑的读者可以少走弯路。本地web环境搭建安装apache  这里介绍Ubuntu下apache环境的搭建以及一些常用的终端操作命令。# 安装apache2sudo apt install ap

glibc-2.29概述Tcache Stashing Unlink Attack任意位置写入较大值总结概述  这里记录下版本为libc-2.29.so的漏洞利用方式，一是防止遗忘，二是供大家学习。Tcache Stashing Unlink Attack  攻击原理和细节代码我就不分析了，着重记录下攻击方式和效果，这里利用tcache stashing unlink attack可以实现两种攻击效果：  1、任意位置写入较大值  2、任意地址chunk分配任意位置写入较大值  该漏洞发生在

free_hook概述初级必备姿势常规搭配姿势按需进阶姿势总结pwn题堆利用的一些姿势 – malloc_hook概述  在做堆题的时候，经常会遇到保护全开的情况，其中对利用者影响最大的是PIE保护和Full RELRO，NX保护和栈保护对堆利用来说影响都不大，一般利用也不会往这方面靠。开了PIE保护的话代码段的地址会变，需要泄露代码段基地址才能利用存储在bss段上的堆指针；开了Full RELRO的话，则意味着我们无法修改got表，导致无法修改其它函数got表指向system，进一步获取到shell

wsl-terminal概述一个简单的开始基本配置配置右键快捷菜单更改默认启动目录配置多版本的快速切换界面配置总结概述  WSL是啥我就不多说了吧，Windows Subsystem for Linux (WSL) --> Ubuntu子系统，是比虚拟机更轻量级的虚拟环境。wsl-terminal则是用于 Windows Subsystem for Linux (WSL) 的终端模拟器，基于 mintty、fatty 和 wslbridge2。那么为啥要使用wsl-terminal来替代WSL自身

Unsorted bin概述攻击方式泄露libc地址总结概述  Unsorted bin也是堆题中常见的，当一个堆块被释放时，且该堆块大小不属于fast bin（libc-2.26之后要填满tcache），那么在进入small bin和large bin之前，都是先加入到unsorted bin的。之后当我们再次分配内存到unsorted bin上寻找时，如果申请的内存堆块小于寻找的unsorted bin，那么会将该内存块切割后返回给用户，剩下的仍然保存在unsorted bin上；如果申请的内存堆块

这里写目录标题概述攻击方式实现任意地址分配fast bin poisoninghouse of spirit总结概述  Fast bin是堆利用中最常遇见的情况，常见于libc2.23版本的pwn题中，在那个版本中还没有Tcache机制，在那个版本中漏洞利用还很轻松（????）。  这里简单总结一下fast bin的性质，64位机器下fast bin大小为0x20 – 0x80字节，每个bin链表之间以0x10字节递增；32位机器下为0x10 – 0x40，每个bin链表之间以0x8字节递增（上面的大

Large bin概述攻击方式分配堆到目的地址house of force总结概述  large bin采用双链表结构，libc-2.23版本下64位机器上，最小为0x400（1024字节），里面的chunk从头结点的fd指针开始，按大小顺序排列。不同于fast bin, small bin, unsorted bin的结构，当属于large bin的chunk被释放时，chunk中还会有fd_nextsize和bk_nextsize指针，分别指向前后第一个与本身chunk大小不同的chunk。当然也就

malloc_hookrealloc_hookfree_hook

Tcache attack序言概述攻击方式绕过Tcache分配堆到目的地址tcache poisoningtcache house of spirit总结序言无奈于pwn题中与堆相关的东西实在是比较多，加上到了2021年的现在，ctf比赛中一来就是堆题，还都是新版本libc，对我这种新手中的新手实在不太友好，以此写下这个系列文章，记录自己学习堆漏洞利用过程中的点滴，同时也是个总结吧。结合自己做题的理解，将堆攻击常见的手段和方式按照一定的规律记录下来。本文章系列将分成五大块，即tcache attack

Write Up文件信息漏洞定位利用分析wp总结文件信息  该样本是我在做BUUCTF上的题刷到的，该题目本身漏洞明显，利用起来也不算太难，不过在我查阅一下他人的wp后发现了多种解法，在这里做个记录和总结。  老规矩先来检查一下文件的信息，32位小端程序，且只开启了NX保护。漏洞定位程序本身采用的是静态链接，所以用IDA进行分析的时候会发现.text段中的函数特别多，当然这本身也是为了配合题目给出的提示方便我们利用这么多的gadgets构造ROP链。然后我们在IDA中定位到main函数，可以

SROP--SigreturnFrame概念SigreturnFrame的使用一个例子程序分析漏洞利用wp总结概念这里简单介绍下SROP的概念，主要是帮助读者理解和使用pwntools提供的SigreturnFrame工具实现漏洞利用。我们都知道ROP吧，即利用.text段中的gadgets，这些gadgets都以ret指令作为结尾，以此串联起来实现我们想要的系统调用进而达到获取目标主机shell的目的。那么如何判断是哪种系统调用呢？这里是根据寄存器的值来进行判断的，只要将相应的寄存器值设置为对应参数

FmtStr格式化字符串类概念求偏移和任意地址写求偏移任意地址写一个例子程序分析漏洞利用wp总结概念在遇到pwn题中格式化字符串漏洞时，我们一般会分两大步实现漏洞利用：首先构造一个payload来寻找输入字符串到栈顶指针的偏移，然后利用偏移实现对目标地址的改写。下面我将介绍pwntools中的FmtStr类如何实现偏移的求解以及对目标地址的改写。求偏移和任意地址写求偏移在格式化字符串漏洞利用中，我们一般都是这样手动构造payload进行偏移求解的，如下图所示，开头输入方便定位的字符串aaaa，然后

Write Upshellcodeshellcode这里对pwn中使用到的shellcode做了一个汇总，方便大家参考和使用。# 32位 短字节shellcode --> 21字节\x6a\x0b\x58\x99\x52\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\xcd\x80# 32位 纯ascii字符shellcodePYIIIIIIIIIIQZVTX30VX4AP0A3HH0A00ABAABTAAQ2AB2BB0

Write Up文件信息漏洞定位利用分析wp总结文件信息样本来自2016年Seccon ctf的一道pwn题–cheer_msg，同时这道题目也给了libc文件，减少了漏洞利用难度。检查样本信息:  32位小端程序，开启了栈溢出保护和NX保护。漏洞定位整个程序还是比较易懂的，主体逻辑存在于main和message两个函数。上图展示了main函数的伪C代码，要求输入一个长度，然后按照长度进行相应计算后使用alloca在栈上分配空间。这到题目比价新颖的是使用了alloca函数，该函数不同于一般的

Write Up文件信息漏洞定位利用分析wp总结文件信息该样本来自2016年boston-key-party ctf的一道pwn题–simple_calc检查样本信息：  只开启了NX保护，64位小端程序漏洞定位将样本拖入IDA进行分析时，会发现text段特别多，仔细分析后会发现很多函数都没有被使用，写完wp后，我猛然发现引用这么多看似无用的text段，其实是为了引用更多的gadget，方便后面ROP链的构造。好的，废话不多说，进行漏洞分析。分析main函数，可以发现该样本是一个菜单题，先要

Write Up文件信息漏洞定位利用分析wp总结文件信息该样本来自2016年Openctf的一道pwn题–apprentice_www检查文件信息：  32位小端程序，只开启NX保护漏洞定位程序main函数如上图所示，setup函数中使用了mprotect开辟了一个可写、可读以及可执行的内存区域，其截图如下；加上checksec信息中的NX保护，其实这里已经暗示了将shellcode存储在此然后执行的漏洞利用方法。接下来我们看一下butterflySwag函数，如下图所示，其中第一个sc

Write Up文件信息漏洞定位利用分析wp总结文件信息该题目来自2017年0ctf的一道pwn题–char。查看文件信息：  只开启了NX保护，32位小端程序另外该题目还给了libc.so文件，部署时需要将该库文件放到/home/char/目录下，部署的目录位置可以从程序的伪C代码中看出。漏洞定位程序的main函数如上图所示，首先程序可以接受2400字符的输入，但注意这里的scanf的读取限制，比如：空格、回车、换行符等等都是无法读入的，这里的限制体现在后面构造ROP链时地址中不能含有以

ret2system程序样本程序漏洞Exp总结程序样本来自攻防世界的level0样本，检查样本文件，是64位的小端程序，并且只开启了NX保护。程序漏洞如上图所示，该程序有非常明显的栈溢出并且存在后门函数，所以下面直接上Exp，并且解释下载ubuntu20.04上遇到的漏洞利用问题。Expfrom pwn import *context(os="linux", arch="amd64", log_level="debug")#p = remote("220.249.52.134",

Write Up知识点关键字样本运行静态分析求解思路求解脚本知识点关键字UAF fastbin样本ciscn_2019_n_3运行检查样本  32位小端程序，开启了栈保护和NX保护。运行样本  样本的运行结果如上图所示：该程序主要模仿了一个笔记管理的功能，选项1可以开辟新的节点，会让选中是整型还是文本；选项2会让我们根据索引删除一个节点；选型3可以打印一个节点中存储的数据信息；选项4主要是打印一个随机生成的金钱数目，告诉你没法购买Pro版本。  此处不赘述也不一一截图运行结果，读者可

Write Up知识点和关键字样本运行静态分析程序逻辑求解脚本知识点和关键字栈溢出 ROP 无libc泄露函数地址样本来自Lctf 2016年的pwn题，样本 pwn100（这个资源没办法上传，想要样本的可以留言！）运行查看文件属性  64位程序，只开了NX保护运行样本程序输入超过200个字符串才会回显"bye~"，接着报了一个段错误，程序结束静态分析把程序拖进到IDA查看，发现main函数比较简单，主要起作用的是sub_40068E()函数，我们直接进入到这个函数。该函数又

Write Up知识点关键字样本运行静态分析程序逻辑求解脚本知识点关键字栈溢出，popen函数，openssl sha256函数样本样本来自攻防世界的pwn题 – secret file运行查看文件属性  所有保护全开运行样本程序  本地运行会报一个错误即缺少一个libc动态链接库  该库是openssl开源库，用来实现一些加密算法的，这里给出libcrypto.so.1.1，报错的可以添加到自己本地，使用如下代码在本地/usr/lib下创建一个软链接就行。ln -s libcrypt

目录什么是alarm()为啥要使用alarm()关闭alarm()总结什么是alarm()  如上图所示，在做一些pwn题的时候，我们有时会遇到alarm(0xAu)函数。alarm函数中的参数0xAu是十六进制无符号数，即十进制对应10，所以该函数的作用是在程序运行10秒后，给进程发送SIGALRM信号，如果不另编写程序接受处理此信号，则默认结束此程序。所以运行此样本10秒后的截图如下所示，程序结束时提示Alarm clock：为啥要使用alarm()  知道什么是alarm()，那么为啥要设

目录回显和隐藏光标的方法开机自动回显光标总结回显和隐藏光标的方法# 隐藏光标echo -e "\033[?25l"# 显示光标echo -e "\033[?25h"开机自动回显光标  本人主要是在ubuntu子系统使用过程中遇到如下问题，虽然每次输入上面的命令可以正常回显光标，但一旦关闭终端后，再次开启一次没有光标，所以需要继续输入上面的命令，但一来二去就十分麻烦，所以有了下面的解决思路。  编写shell脚本，命名为cursor_show.sh：#!/bin/bashecho -

Write Up知识点关键字样本运行静态分析动态调试求解思路求解脚本知识点关键字栈溢出，ROP + shellcode样本get_started_3dsctf_2016样本下载运行检查文件:  32位小端程序；  开启了NX保护，栈保护未开启。运行程序：静态分析动态调试求解思路求解脚本...

pwntools工具的使用基本交互和输入输出绑定要处理的程序获取程序输出实现输入基本交互和输入输出绑定要处理的程序# 远程# remote(ip/hostname, port)p = remote("127.0.0.1", 8888)# 本地# 注意process中参数一定要有./p = process("./pwn")获取程序输出buf = p.recvline() # buf为程序的一行输出buf = p.recv() # buf为程序的当前全部输出# 直

linux环境下shellcode的编写shellcode的理解使用pwntools工具编写自己实现更精炼的32位shellcode64位shellcodeshellcode的理解  我们在做pwn的时候经常需要使用shellcode来获取到flag，那么shellcode如何理解，简单一句话就是：获取到shell的code就是shellcode。  在漏洞利用过程时，我们将精心编制好的shellcode通过有问题的程序写入到内存中，然后执行。该shellcode对应的c语言代码一般为：system

目录Docker学习笔记1Docker帮助命令Docker镜像命令Docker容器命令Docker commit操作Docker学习笔记1Docker学习笔记1 – Docker基本原理和应用场景Docker帮助命令docker version 查看版本信息docker info 查看详细的docker信息docker --help 查看命令帮助Docker镜像命令docker images [OPTIONS] 列出本地镜像options: -q

Write Up知识点关键字样本运行静态分析程序逻辑求解脚本一些细节：wp_shellcode.py知识点关键字栈溢出，shellcode拆分+组装样本样本来自2018年CSAWCTF的pwn题目shellcode运行检查文件，发现有两个可以利用的点：  栈溢出保护未开启；  NX保护未开启，存在RWX段。$ checksec CSAWCTF-2018-pwn[*] '/home/fanxinli/pwnSample/CSAWCTF-2018/CSAWCTF-2018-pwn'

文章目录Ubuntu子系统概述什么是子系统WSL介绍双系统、虚拟机以及子系统的对比安装Ubuntu子系统在Windows10下开启WSL安装Ubuntu配置和运行Ubuntu新环境和新问题WSL2的开启Ubuntu子系统的迁移IP地址的问题在子系统中访问Windows10下的文件vscode远端访问其它总结Ubuntu子系统概述什么是子系统  这里先引入一个概念，WSL(Windows Subsystem for Linux)即windows下的Linux子系统，后面一个小节会详细介绍WSL的概念，U

文章目录Docker简介为啥会出现Docker？Docker是什么？虚拟机技术和容器虚拟技术Docker详解Docker三大要素Docker的安装Docker配置阿里云仓库Docker应用场景Docker简介为啥会出现Docker？  在以往的传统开发过程中，开发工程师负责代码的编写，将在本地开发环境中运行无误的代码交由测试人员测试或者进一步交给运维人员进行部署。由于只给了代码，而测试人员或者运维人员所使用的运行环境往往和开发工程师的开发环境不一样，所以会产生一系列由于环境不同而导致的问题。所以要解决

vscode: windows/linux下配置C/C++编译和调试环境说在前面正式起步安装gcc组件添加环境变量创建helloworld项目生成配置文件编译配置-->tasks.json关键键值名调试配置-->launch.json关键键值名结束语说在前面  本文是从官方文档以及实际操作中总结而来，对于从事该行业的专业人员来说，推荐多看官方英文文档；当然对于初学者而言，使用一个较好的中文指导博客用来起步也是无可厚非的。链接: vscode C/C++环境配置官方文档.正式起步安装

字典树基本概念代码实现头文件 trie_types.h函数实现 trie.c代码测试 main.c基本概念  字典树，又称单词查找树，Trie树，常用于统计、排序和保存大量的字符串。它的优点是利用字符串的公共前缀来减少存储空间以及查询时间，可以最大限度的减少无谓的字符串比较。  其基本特点如下：一个根节点起始，根节点不存储字符，然后除根节点外每一个节点都只包含一个字符；将根节点沿着某一条路径到叶子节点的所有字符排列起来即存储的一个字符串；另外就英文字母而言，一个节点最大的子节点数是26，且每个子节点包