- 博客(23)
- 收藏
- 关注
RSS订阅原创 一些bat的xss实例7-10题
第七题第七题链接源码:这一看源码就发现参数是px,试一下看到这样当然直接去构造尝试弹窗了,http://px1624.sinaapp.com/test/xsstest7/?px=asdf%27;alert(1)//发现不行,可以看到特殊字符被进行了转义的处理。这个时候就要去看看这道题有没有将反斜线进行转义的处理了,在控制台进行测试发现没有对反斜线进行转义,这样就可以闭合掉代码里面的单引号,从而跳出单引号的限制。后面就要想办法吧最后面那个单引号给处理掉。进行尝试发现都不行,在过程中发现
2021-03-06 16:26:58
222
原创 一些bat的xss实例4-5题
第四题第四题链接源码:查看源码发现和第三题的源码是一样的,直接就试了一下上一个payload,果然不行。猜测是把运算符全都过滤掉了。并且会弹窗提示错误的输入:重复第三题的步骤猜了一下参数,结果参数还是px:解题的核心思想还是构造闭合,把多余的注释掉就可以了。这道题需要用到一个概念是模板字符串,模板字符串中间是可以包含换行的,这道题只需要用模板字符串将中间变为字符串解析,然后再进行一定的构造就可以了。先写一个模板字符串先用单引号闭合掉前面的单引号,分号隔开,再写入模板字符串,这样的话就可
2021-03-04 22:50:27
220
1
原创 一些BAT的xss实例1-3题
第一题链接源码:location.hash:hash 属性是一个可读可写的字符串,该字符串是 URL 的锚部分(从 # 号开始的部分)。setTimeout: setTimeout() 方法用于在指定的毫秒数后调用函数或计算表达式。这道题的关键就在这行代码setTimeout(“aa(’”+x+"’)",100);Payload:setTimeout(“aa(’”+"’,alert(1),’"+"’)",100);在控制台测试即可成功弹窗。第二题链接源码:首先获取了location.
2021-02-22 21:23:24
338
原创 pikachu漏洞练习平台之暴力破解
用到的工具是phpStudy和burpsuite,在pikachu平台下进行实验。首先需要设置好浏览器的代理,打开phpStudy和burpsuite。一、基于表单的暴力破解:在pikachu平台点开暴力破解,先进行抓包输入账号密码右键将其发送到intruder在攻击种类中选择常用的Cluster bomb。设置好动态变量设置Payload以及字...
2019-07-02 18:48:18
2440
2
原创 熊猫烧香分析
在这里主要分析一下熊猫烧香病毒的初始化部分。病毒文件可以在看雪里下载。先对熊猫烧香病毒进行一下手动查杀,由于电脑里的软件在查杀病毒时有滞后性,所以学习手动查杀还是很有必要的。我们先来排查可疑进程。先把样本放到虚拟机里面,查看任务管理器发现进程数是26然后运行病毒样本发现任务管理器消失了,再打开也是一闪而过,那么也就说明这个病毒文件已经对电脑产生了影响。我们可以利用tas...
2019-05-26 11:50:03
3388
原创 CTF逆向 re1-e7e4ad1a.apk
在这里分析一下2016ctf的一道逆向题,apk包:re1-e7e4ad1a.apk。首先使用adb将apk文件发送到真机模拟器中(模拟器根据自己,也可以使用电脑上的模拟器,这里我使用的是真机模拟器)。界面如下:从这个APP的界面可以看到需要输入编号和密码,然后单击sign。在这里我们要做的就是寻找到这个编号和密码。使用jeb打开re1-e7e4ad1a.apk文件,看一下整体的...
2019-05-21 18:46:21
1526
原创 恶意代码分析实战 第二十章课后实验
问题1:使用ida载入实验文件Lab20-01.exe参数就是ecx的this指针。问题2:在上图可以看到在函数sub_401040中调用了函数URLDownloadToFileA,回到main函数就可以看到这个URL:问题3:这个程序就是在URL里下载文件tempdownload.exe到C盘。问题1:字符串:可能是ftp客户端程序。...
2019-05-05 21:14:17
296
原创 恶意代码分析实战 第十九章课后实验
问题1:首先使用ida载入实验文件:看到了一系列的Inc ecx指令,先忽略继续向下看:在偏移量为200的地方看到了异或操作,可以看到这段代码就是一个循环操作。首先将栈顶值赋值给esi。通过分析可以知道esi中保存的就是224。然后再令esi的值入栈。接下来是lodsb指令。这条指令的功能是把esi的值赋给eax。其实就是要将49保存在eax中。然后al的值又赋给了dl,再...
2019-05-05 21:10:21
455
原创 恶意代码分析实战 第十八章课后实验
Lab18-01.exe首先使用peid进行查壳:这是一个UPX壳。下面进行脱壳操作:将实验文件载入OD:可以看到一开始进来就来到了这个位置,这个很明显不是OEP,那么就来找一下,最常用的方法就是查找尾部跳转指令。通常情况下,它会是在一段无效字节前的jmp指令:可以看到409F43就是这个尾部跳转指令,先下断点然后执行,取消断点在步过。然后就来到了这...
2019-05-04 16:50:19
479
原创 恶意代码分析实战 第十七章课后实验
问题1:使用x86来确定自己是否运行在虚拟机中。问题2:使用ida载入实验文件Lab17-01.exe,然后运行Python脚本:运行后发现在output window窗口可以看到提示有三处使用反虚拟机技术,并且提供了这三处的地址。在ida中对这三处都是以红色高亮显示的,指令分别是sldt,sidt,str.问题3,4,5,6:按顺序先来分析一下sl...
2019-05-04 14:28:07
343
原创 恶意代码分析实战 第十六章课后实验
先来整体分析一下,整体看一下发现很多地方都调用了函数 sub_401000,也出现了很多fs:30h。下面分析一下函数sub_401000:在这里可以看到一个_exit,也就是离开,还调用了函数ShellExecuteA,我们可以使用OD来分析一下,使用OD跳转到地址004010DE,然后下个断点,执行一下:在堆栈窗口可以看到这里调用了cmd和一个del来进行自...
2019-04-30 21:53:05
354
原创 恶意代码分析实战 第十五章课后实验
问题1:首先使用ida载入实验文件Lab15-01.exe在main函数的位置可以看到一个跳转语句,结果为0 就跳转,上面一条语句是eax自身的异或操作,也就是无论eax里的值是什么,结果都是0,所以呢这条跳转指令就一定会执行。也就可以理解为这里采用固定条件的跳转指令来对抗反汇编技术。问题2:继续向下看:可以看到这里的代码是有问题的,ida已经标注了红色。这里可以将...
2019-04-30 16:05:56
381
原创 恶意代码分析实战 第十四章课后实验
问题1:使用wireshark进行监控网络特征,运行试验程序Lab14-01.exe:可以看到一开始就发送了一个DNS请求,目标地址就是一个网址。接着可以看到:发现一个HTTP的GET请求,可以看到字符串user-Agent并不是硬编码的。问题2:使用ida打开文件Lab14-01.exe,看到函数URLDownloadToCacheFileA,这个函数的作用...
2019-04-24 16:19:01
648
原创 恶意代码分析实战,第十三章课后实验
问题1:先来做基本的动态分析,使用Wireshark进行监控,运行程序发现:发现了一个网址,一段乱码和Mozilla/4.0。使用ida查看一下字符串:在这里同样看到了Mozilla/4.0。但是并没有看到网址以及那个字符串,那么这两个在后面的分析中就要重点关注一下。问题2:使用ida搜索xor,结果入下:通过分析可以知道,只有004011B8地址处的x...
2019-04-22 11:27:59
342
原创 恶意代码分析实战 第十二章课后实验
静态分析:使用ida打开Lab12-01.exe,打开imports,如下:这里看到了CreateRemoteThread、WriteProcessMemory和VirtualAllocEx,看到这几个函数就有理由怀疑这是一个进程的注入行为。看一下字符串,打开strings窗口:这里看到了几个可以的dll文件,explorer.exe、Lab12-01.dll和psap...
2019-04-18 21:43:46
698
原创 恶意代码分析实战 第十一章课后实验Lab11-02
先来进行静态分析,首先使用strings查看一下字符串:这里看到了AppInit_DLLs以及SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows这两个字符串,说明了恶意程序使用AppInit_DLLs来实现永久的自我安装。还看到了\Lab11-02.ini说明有可能会调用这个文件,进程名THEBAT.EXE、OUTLOOK.EXE以...
2019-04-16 17:47:40
514
原创 恶意代码分析实战 第十一章课后实验Lab11-01
首先查看一下字符串:在这里看到了GinaDLL和Winlogon,这就有理由猜这是一个拦截GINA的恶意代码,这个在书中也提到了,GINA拦截就是在Windows XP系统中,恶意程序可以使用微软图形识别和验证界面(GINA)拦截技术来窃取用户的登陆凭证。下面使用peid查看一下导入表:在kernel32.dll中发现了许多关于资源的API函数。在advapi3...
2019-04-15 19:23:11
552
原创 恶意代码分析实战 第九章课后实验Lab09-02
问题1:在这里看到了许多导入函数以及cmd,可能恶意程序运行后会对cmd有所操作。问题2 :使用Process Explorer监控,运行程序后并没有发现什么。问题3:把Lab09-02.exe载入到ida和OD。在ida中发现main的地址是00401128,让后让OD跳转到此地址:首先看到了一大串的mov指令这是将字节移动到栈中的操作,出现了两个0,...
2019-04-15 15:40:25
906
原创 恶意代码分析实战 第九章课后实验 Lab09-03
问题1:首先用peid查看导入表:这里发现了四个,分别是kernel32.dll netapi32.dll DLL1.dll DLL2.dll 。还有些.dll是在程序运行时加载的,用ida打开Lab09-03.exe。如果想要在程序运行时动态加载.dll文件一般要调用LoadLibrary这个函数,点开Imports,找到LoadLibrary:双击查看,然后在地址...
2019-04-14 20:48:21
988
原创 恶意代码分析实战 第七章课后实验
看一下字符串:然后分析主函数:这个main函数很简短,看到了StartServiceCtrlDispatcherA函数,这个函数是来实现一个服务,并且指定了要调用的函数就是sub_401040,双击进去看一下:发现这里调用了一个OpenMutexA函数,这个函数会尝试获取"HGL345"这个互斥量,获取到就说明已经有一个恶意程序在运行了,则调用ExitProcess...
2019-04-12 16:20:41
663
原创 恶意代码分析实战 第六章课后实验
静态分析:首先使用peid进行静态分析:看到了一个重要的API函数InternetGetConnectedState,意思为返回本地系统网络连接状态。然后查看字符串发现:问题1:用ida打开文件Lab06-01.exe,发现了有main唯一调用的子程序call sub_401000双击点进去发现了一个很明显的分支结构,这就是if语句问题2:...
2019-04-11 20:13:05
534
原创 恶意代码分析实战 第五章课后实验
问题1:用ida打开Lab05-01.dll。就可以看到DllMain的地址为0x1000D02E。问题2:点开Imports,找到gethostbyname,双击点进去就可以看到了。问题3:单击地址,Ctrl+x。一共检测到18个,但是并不全是,r为读取不是函数的调用,p才是函数的调用,看地址1047,1365,1656,208F,2CCE。一共有5个...
2019-04-10 20:19:49
847
原创 恶意代码分析实战 第三章课后实验
问题1:导入函数与字符串列表如下:问题2:创建了一个WinVMX32的互斥量。通过上图显示的内容可以知道,程序有一些联网的操作。通过Procmon监测第三条监控结果则说明了程序添加了名为VideoDriver的自启动项。通过在注册表中进行查看,可以发现,它所要启动的是vmx32to64.exe程序。通过对...
2019-04-09 20:46:32
694
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人