2021年03月_鹏华李

12月 11月 10月 09月 08月 04月 03月 02月 01月

原创 [PWN][补充篇]pwntools的相关知识

@TOC0x0 安装sudo pip install pwntools0x1 导入包from pwn import*0x2 链接远程服务器或者链接本地文件远程r = remote(‘目的IP或目标URL’,目标端口号)本地r = process('./文件名')0x3 接收远端回传的数据interactive() //在取得shell之后使用，直接进行交互，相当于回到shell的模式recv(numb = 字节大小,timeout = default) //接收指定字节数

2021-03-28 19:24:34 1817 1

原创 [PWN][高级篇]ROP-ret2libc-32/64位实例（共四个）

ROP-ret2libc-32实例32位思路：1、想办法调用execve("/bin/sh",null,null)2、传入字符串/bin///sh3、体统调用execveeax = 11ebx = bin sh_addrecx = 0edx = 0int 0x80实例代码如下：接下来我们检查保护我们看到是有NX保护，没有canary和pie保护，我们使用ROP进行绕过。关键在于如何获取system 和 /bin/sh。objdump -d -j .plt

2021-03-28 16:49:00 4851 1

原创 [PWN][高级篇]ROP-ret2libc基础知识

ROP-ret2libc基础知识前提知识准备Linux延时绑定机制Linux演示绑定机制的实现延迟绑定对我们有什么意义libc函数在哪？ret2libc使用条件如何使用libcplt表和got表的关系整体的跟踪前提知识准备Linux延时绑定机制动态连接的程序调用了libc的库函数，但是libc在运行才被加载到内存中，调用libc函数时，才解析出函数在内存中的地址，为了帮助程序更好的利用内存空间，不用每次把所有的函数真实地址都写进去，用到哪个查哪个，之后在使用就会很方便。Linux演示绑定机制的实现

2021-03-27 18:04:03 2106

原创 [PWN][高级篇]利用ROP-ret2Syscall突破NX保护

利用ROP-ret2Syscall突破NX保护大家还记的之前说过的ret2text漏洞吗，那是利用依赖于程序中的存在，执行system(’/bin/sh’)的函数，如果没有这个函数的话，我们怎么办呢？我们使用ret2shellcode是自定义shellcode代码，但是这中方法的局限性是程序没有开启NX保护，那么如何程序开启了NX保护，这个时候我们就要使用Ret2Syscall大法了！！！！什么是ROPGadgets？是在程序中的指令片段，有时我们为了到达我们执行命令的目的，需要多个Gadget来完

2021-03-26 22:31:50 1391 1

原创 [PWN][进阶篇]ROP-Ret2Shellcode-64位实例

ROP-Ret2Shellcode-64位实例/usr/include/x86_64-linux-gnu/asm/unisted_64.h编写64位shellcode，思路和32位是一样的（1）想办法调用execve("/bin/sh",null,null)（2）借助栈来传入字符串/bin/sh（3）系统调用execverax = 0x3b(64bit)rdi = bin_sh_addrrsi = 0rdx = 0实例代码如下：setvbuf函数的作用是优化io流，在服务器上时，或

2021-03-24 21:56:01 4211 2

原创 [PWN][知识小节]shellcode生成和测试

shellcode生成和测试step1 测试shellcode的代码step2 shellcode-32.asm源码step3step4 链接生成可执行文件step5 提取code段step6 用python来给shell测试程序发送shellcodestep7 测试step1 测试shellcode的代码step2 shellcode-32.asm源码step3使用汇编器nasm把shellcode编译成.o文件step4 链接生成可执行文件step5 提取code段①

2021-03-24 14:41:28 3083

原创 [PWN][进阶篇]ROP_Ret2Shellcode-32实例

ROP_Ret2Shellcode-32实例一、相关知识二、实例教学一、相关知识之前我们说过ret2text漏洞是依赖于程序中存在执行 system("/bin/sh")的函数，那么如何解决ret2text的局限性ret2textshellcode没有执行shell的函数，没有开启NX保护传入自定义的shellcoderet2libc开启NX（可写的不可执行）使用libc函数，leak libc + ROP什么是shellcode？通常是开启一个shellLinux的系统调用/usr

2021-03-24 13:19:02 3193

原创 [re入门]PE文件小知识

从PE入手的信息收集，让恶意样本无处可逃一、 PE文件格式的基础知识1.1 认识PE文件1.2 整体结构1.3 基地址1.4 相对虚拟地址1.5 文件偏移地址1.6 结构1.6.1 DOS头1.6.2 NT头1.7 PE区段分析1.8 PE文件的输入输出表1.8.1 输入表（IT、导入表）1.8.2 输出表1.8.3重定位表二、使用工具来分析PE文件2.1 使用PEview来分析那是一个沙尘暴都能上热搜的清晨，我揉了揉眼睛从床上爬起来，顶着一路的艰难险阻来到了实验室，开机，hello 酷狗，登录PC微信，

2021-03-23 22:06:23 3855

原创 [PWN][进阶篇]使用GDB附加调试64位程序

使用GDB附加调试64位程序pwntools开发脚本时如何调试：1、使用proc.pidof§函数先将被测函数的PID打印出来2、用GDB Attach上去调试即可本次实验的代码如下：

2021-03-22 22:17:44 7882 5

原创 [CTF]pwnable.kr fd Wp

pwnable.kr fd Wp给大家推荐一个优秀的pwn练习平台点我！！！点我！！！今天分享第一题 fd首先解决一下我的虚拟机没有网络的问题，没有做任何修改的情况下，我的kali没有网络了，输入ifconfig -a，发现我的电脑没有网卡了这个时候用vim打开vim /etc/network/interfaces将这个语句添加即可auto eth0iface eth0 inet dhcp然后重新启动服务/etc/init.d/networking restart之后还是不太行

2021-03-22 16:40:56 5402

原创 [PWN][进阶篇]Rop-Ret2Text介绍及实例教学

Rop-Ret2Text介绍及实例教学1、前提知识2、实例教学1、前提知识什么是Rop系统攻击是一种新型的基于代码复用技术的攻击，攻击者从已有的库或可执行文件中提取指令片段，构建恶意代码。ROP也有其不同于正常程序的内在特征：(1)ROP控制流中，call和ret指令不操纵函数，而是用于将函数里面的短指令序列的执行流串起来，但在正常的程序中，call和ret分别代表函数的开始和结束；(2)ROP控制流中，jmp指令在不同的库函数甚至不同的库之间跳转，攻击者抽取的指令序列可能取自任意一个二进制文件

2021-03-22 14:55:24 6415

原创 [PWN][基础篇]如何利用printf漏洞突破canary保护

如何利用printf漏洞突破canary保护使用的实例代码如下为了配合本次实例的教学，大家在编译时，不加pie保护，加cannary保护，整个的流程就是，分析程序之后，编写exp，利用printf漏洞（填充func函数，使其返回地址为exploit函数）来突破canary并且覆盖ret。之后使用gdb开文件，查看func函数来自英语白痴的小tip：我们可以大概搞清楚func的流程，就是先read，然后printf，然后read，就是这样子。我们下断就下到printf这里，我输入的测试用例是

2021-03-21 21:46:56 4042

原创 [PWN][基础篇]格式字符串漏洞发生的条件

格式字符串漏洞发生的条件1、实验一2、实例二3、实例三本次实验3个实例1、实验一代码如下：这个实验是不存在漏洞的，重点在于理解printf函数的堆栈变化。使用GDB打开，我们先要看一下main函数，可以看到printf函数的地址是0x00001206我们在printf函数处下断点开始运行这个程序，这个单步n是不可以的，我们要先删除断点后start程序我们来看一下栈中的情况3个数，是倒序压栈的，从右到左，所以我们在先是\n，然后是e9也就是我们的233最后是hello world

2021-03-21 20:11:08 3425

原创 [PWN][基础篇]printf漏洞介绍

printf漏洞介绍1、概念2、漏洞成因1、概念printf接受变长的参数，其中第一个参数为格式化字符串，后面的参数在实际运行时将与格式化字符串中特定的子字符串进行对应，将格式化字符串中的特定字串，解析为相应的参与值。格式化字符串就是%这种。2、漏洞成因printf函数在执行时，首先进行格式化字符串的解析–从栈（或者寄存器）获取参数并与符号说明进行匹配，然后将匹配的结果输出到屏幕上，那么，如果格式化字符串中的符号声明与栈上参数不能正确匹配，比如参数个数少于符号声明个数时，就会造成泄漏。而本书，p

2021-03-20 17:56:35 5147

原创 [PWN][基础篇]什么是Canary保护

什么是Canarygdb指令复习有无Canary呢就是在函数压栈的时候，函数刚开始执行的时候，它会多一个参数，也就是在ebp的上面，会压入一个Canary的值，在子函数验证完之后，对比Canary的值，看看是否相等。不相等，代表程序被修改，产生了异常。本次实验教学代码如下：实验目的，对比有无Canary保护的程序有何不同gcc -m32 -no-pie -fno-stack-protector -o canary canary.c -m32 32位程序-no-pie 中间没有空格-fn

2021-03-20 15:38:37 4684

原创 [PWN][基础篇]保护函数和溢出实例

[PWN][基础篇]保护函数和溢出实例一、常见的保护1、CANNARY（栈保护）2、NX（DEP）3、PIE（ASLR）二、神奇的小知识1、如何检查文件的保护情况2、编译时如何关闭这些保护呢3、查看程序使用了哪些函数三、实例教学一、常见的保护1、CANNARY（栈保护）栈溢出保护是一种缓冲区溢攻击缓解手段，当函数存在缓冲区溢出攻击漏洞时，攻击者可以覆盖栈上的返回地址来让shellcode能够得到执行，当启动栈保护后，函数开始执行的时候会显往栈里插入cookie的信息，当函数真正返回的时候会验证cook

2021-03-19 22:08:45 5005

原创 [PWN][基础篇]基础理论

[PWN][基础篇]基础理论1、相关知识2、栈帧1、相关知识溢出概念：在计算机中，当要表示的数据超出计算机所使用的的数据表示范围时，产生了数据的溢出产生的原因：1、使用了非类型安全的语言比如C和C++2、用不可靠的方式存取或者复制内存缓存区3、编译器设置的内存缓冲区靠太近关键数据结构PWN的概念：“呯！！！”指的是攻破设备或者系统。PWN常用的寄存器，ESP，EBP，EIPESP：栈顶指针，在push和pop时会有变化EBP：栈底指针，用来索引确定函数参数或者局部变量的位置（经常访

2021-03-19 15:15:35 4999

原创 [病毒分析]WinDBG实战教学（1）

WinDBG实战教学（1）一、初始任务二、开始分析三、分析代码四、WinDBG调试这里的实例选自《恶意代码分析与实战》第十章实验一大家可以在这里下载哦点击下载—提取码：8189 实验工具：1、WinDBG2、IDA3、Dependency Walker一、初始任务我们将下载好的文件放到指定位置C:\Windows\System32使用WinGDB 连接至虚拟机（CSDN中有很多关于WinDBG的初始教学，大家可以先看看）出现下面的界面表示连接成功：二、开始分析第一步，我们使用D

2021-03-12 18:36:17 3913

原创 [知识小节]Windbg常用指令(笔记本)

Windbg常用指令（持续更新）1、!drvobj2、dt _DRIVER_OBJECT 地址3、 bp 设定调试断点4、P5、U6、R7、D8、 lmf9、 lmf!address eax10、 vertarget11、 !peb12、 lmvm13、 E14、 k15、 X1、!drvobj!drvobj 扩展命令显示DRIVER_OBJECT的详细信息。语法!drvobj DriverObject [Flags]参数DriverObject指定驱动对象。可以是DRIVER_OB

2021-03-12 17:10:16 2744

原创 [re入门]音乐文件加密破解

音乐文件加密破解1、缓存歌曲2、找到uc加密文件3、解密文件（010Ediotor）1、缓存歌曲选择一首下载需要VIP的歌曲音乐播放开，也就完成了对歌曲的缓存2、找到uc加密文件我们在设置中，打开下载设置，找到缓存目录在文件夹中打开，这里我是已经将其他缓存删除了，如果不删除的话，大家可以根据修改日期来判断哪个是需要下载的歌曲，我们要解密的便是第一个UC文件3、解密文件（010Ediotor）我们用工具010Ediotor打开我们的缓存UC文件，如下图：我们发现最多的数据是A3 所以可

2021-03-07 21:21:46 16603 14

原创 [re入门]OD的各种断点

断点原理解析1、INT3断点2、硬件断点3、内存断点4、消息断点5、条件断点1、INT3断点也就是F2断点，CC段点这里我们用OD打开一个文件，下断点然后我们用CE打开，然后手动添加地址，输入00C31330，将数值转换为16进制显示，类型为字节，如下图原理： 1、替换指令，用int3指令2、od检测到int3指令之后会引发一个异常并捕获它，这是程序就会中断；3、删除int3指令，还原之前的代码优点：可以下无数个int3断点缺点：很容易被检测到（如果将断点下在函数的内部或者末尾，例如

2021-03-07 20:30:39 4681 4

原创 [漏洞复现]CVE-2019-0708

CVE-2019-0708复现一、远程桌面连接二、kali系统还原漏洞一、远程桌面连接首先，我们要设置远程连接在控制面板中，搜索“远程设置”->“远程”，勾选“允许远程协助连接这台计算机”和“仅允许运行使用网络级别身份验证的远程桌面的计算机联机”，然后点击“应用”。下一步，查看Win7的IP地址，CMD中输入指令ipconfig接着打开远程控制的电脑Win10系统，在运行中输入“mstsc”。输入刚才得知的Win7 IP地址是下一步的弹窗会要求输入账户和密码，点击确定（或者保存密码

2021-03-05 22:12:58 4364 2

原创 [病毒分析]熊猫烧香应急处理方法

熊猫烧香病毒机理分析（1）自启动方式熊猫烧香病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项这种方式也是绝大部分病毒自启动所采用的方式。拷贝自身到所有驱动器根目录（盘符），命名为Setup.exe，在驱动器根目录生成autorun.inf文件，并把它设置为隐藏、只读、系统autorun.inf文件的作用是允许在双击磁盘时自动运行指定的某个文件，即运行Setup.exe。(2)传播方式a、感染可执行文件熊猫烧香病毒会搜索并感染系统中特定目录外的所有.EXE / .SCR / .

2021-03-05 14:07:31 12706

原创 [知识小节]Process Monitor介绍

Process Monitor1、工具基本介绍2、使用场景3、常见用法4、实例分析1、工具基本介绍Process Monitor是微软推荐的一款系统监视攻击，能供实时显示文件系统、注册表、网络连接于进程活动的攻击工具。它整合了一些工具，其中Folemon专门用来监视系统中的任何文件操作过程，Regmon用来监视注册表的读写操作过程。Filemon：文件监视器Regmon：注册表监视器同时。Process Monitor增加了进程ID、用户、进程可靠度等监视项。它的强大功能足以使Process

2021-03-05 13:54:20 15739 1

原创 [re入门]IDA和OD的基本使用（持续更新）

工具的使用第一章 IDA使用介绍简介基本使用：1.静态分析功能显示设置代码定位：栈帧分析结构体分析：程序Patch：程序与代码的转换：IDA的动态调试：IDA安装插件IDA其他常用的一些插件IDA脚本功能第二章 OD的简介OD的窗口常用快捷键断点功能自己的记性不太好，所以做了一个笔记，总结了一下逆向常用工具IDA和OD的使用，用来平时的翻阅，也希望可以帮助到大家。第一章 IDA使用介绍简介空格：切换代码窗口的显示方式（在图形窗口与文本窗口之间切换）窗口介绍：“View”–“open subview

2021-03-03 19:22:15 8807 4

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

DVWA(练手靶场).zip

AntSword-Loader-v4.0.3-win32-x64.7z

sqli-labs.7z

goby-win-x64-1.8.279.7z

pikachu（新手web安全入门靶场）.7z

御剑1.5修复版+字典加强版.7z

UPXEasyGUI 2.0.7z

模拟器DosBox.7z

Xways Winhex 19.8 Professional License.7z

DTDebug.7z

Cheat Engine 7.0.7z

xvlk_win32_public_0.21.7z

Delphi_Decompiler_v1.1.211b.7z

空空如也