- 博客(59)
- 资源 (2)
- 收藏
- 关注
RSS订阅转载 ctfwiki--堆初始化
参考链接:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/implementation/malloc_state-zh/堆的初始化堆初始化是在用户第一次申请内存执行 malloc_consolidate 再执行 malloc_init_state 实现的。可以参考malloc_state相关函数。malloc_init_sta...
2019-06-20 15:59:40
634
1
转载 ctfwiki--堆的基础操作
参考链接:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/implementation/basic-zh/#__comments堆的基础操作unlinkunlink 用来将一个双向链表(只存储空闲的 chunk)中的一个元素取出来,可能在其他地方使用。(1)malloc从恰好合适的 large bin 中获取 chunk...
2019-06-20 15:40:30
2009
转载 ctfwiki--arena
arena无论是主线程还是新创建的线程,在第一次申请内存时,都会有独立的arena。对于不同的系统,arena 的数量如下:For 32 bit systems: Number of arena = 2 * number of cores.For 64 bit systems: Number of arena = 8 * number of cores.显然并不是每...
2019-06-20 15:03:16
498
转载 ctfwiki笔记--Linux堆相关结构
引言:由malloc申请的内存称为chunk。这块内存在ptmalloc内部用malloc_chunk结构体表示。当程序申请的chunk被free后,会被加入到相应的空闲管理列表中。(1)无论一个chunk大小如何,分配还是空闲,都是用一个统一的结构malloc_chunk结构表示:/* This struct declaration is misleading (but accurat...
2019-06-13 21:51:32
735
原创 pwn错误记录
很简单的pwn题检查保护机制:只开启了NX,题目很简单,我们直接将vuln的返回地址覆盖为system地址,然后传入/bin/sh参数即可。第一次找到的地址是0x0804849e,但是报错双击call _system,找到system@plt的地址:0x8048320发现成功了!问题:但是为什么?这两个地址有啥区别?原因:这两个地址的区别在于是否调用了call指令,调用了...
2019-05-06 11:10:09
1138
原创 ctfwiki笔记--Linux堆基础
参考链接:https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/heap_overview/#_51、Linux在内存分配与使用的过程中,核心思想是:只有当真正访问一个地址的时候,系统才会建立虚拟页面与物理页面的映射关系。所以虽然操作系统已经给程序分配了很大的内存空间,但是这块内存其实只是虚拟内存。只有当用户使用相应的内存时,系统才会真...
2019-04-30 17:06:01
2664
1
原创 PWN学习笔记--HCTF2017 pwn200
参考链接:https://bbs.pediy.com/thread-224645.htm考点:格式化字符串、GOT覆盖思路:首先利用格式化字符串泄露出puts函数的实际地址,然后根据libc计算出system的地址。接着用得到的system的地址覆盖atoi的got地址,最后传入/bin/sh参数即可。漏洞程序:2017湖湘杯pwn200漏洞利用程序:from pwn import ...
2019-04-25 11:49:11
415
原创 误删/lib/i386-linux-gnu/libc.so.6文件
1、事件的发生:做pwn题时,很多题目都给了libc.so.6文件。这是为了保证环境的一致性,因为很可能用到ret2libc方法。我知道它是一个软链接,因此需要将本机libc.so.6文件替换成题目给定的libc.so.6文件吧?于是……利用ln -s timu/libc.so.6 /lib/i386-linux-gnu/libc.so.6命令进行替换,但是显示/lib/i386-linux...
2019-04-25 09:48:17
962
原创 0day 第12章--12.3.3 Ret2Libc实战之利用VirtualAlloc
实验环境:Winxp sp3VS2010实验配置:禁用优化、关闭GS、关闭safeseh、开启DEP思路:当程序需要一段可执行内存时,可以通过kernel32.dll的VirtualAlloc申请一段具有可执行属性的内存。因此可通过利用此函数将shellcode复制到申请的内存空间中,以绕过DEP。如何利用?将返回地址覆盖为VirtualAlloc的地址,参数输入进去即可。...
2019-04-08 21:08:56
419
原创 0day 第12章--12.4节:利用可执行内存挑战DEP
实验环境:winxp sp3vs2010实验配置:关闭DEP、GS、SAFESEH,禁用优化,release版本思路:如果进程的内存空间中有一段可读可写可执行的内存,而我们将shellcode复制到该内存,并劫持程序流程,则我们的shellcode就有执行的机会。具体实施:利用memcpy函数将shellcode复制到该段内存。memcpy函数的部署可参考上一节1、首先找到一段...
2019-04-07 16:57:17
332
原创 CVE-2018-2883分析
参考链接:https://bbs.ichunqiu.com/thread-9720-1-1.html实验环境:Win7 64漏洞程序:Adobe Reader9.3.0漏洞原因:漏洞原因在cooltype.dll文件中,由strcat调用产生的栈溢出漏洞 strcat(dst,src)函数,由于dst的第一个字符变为00,因此连接时是将src直接复制到dst所在位置。而src特别...
2019-03-27 15:37:23
363
原创 picoctf 2013_rop4
ROP4实验程序:#include <stdio.h>#include <unistd.h>#include <string.h>char exec_string[20];void exec_the_string() { execlp(exec_string, exec_string, NULL);}
2019-03-14 21:17:25
447
原创 Android新手--将smali文件编译成dex文件出错,求解答!!!!!
环境配置:smali-2.2.6.jar + 手动写好的smali文件1、使用以下命令出错:2、很懵逼,因为大家都这样编译都没错啊,错误显示,命令出错-o,那么help一下3、发现要将smali文件编译成dex文件,需要使用assemble命令呀!不是参数-o!!(是谁坑害我?)直接输入assemble试试,发现给了参数提示4、按照提示输入,成功了!...
2019-02-27 11:37:09
1547
4
原创 0day 第12章--12.3.1节:Ret2Libc 实战之利用ZwSetInformationProcess
12.3.1 利用Ret2Libc挑战DEP思想:通过跳转到 ZwSetInformationProcess 函数将DEP关闭后再转入shellcode 执行。核心:利用LdrpCheckNXCompatibility函数检查SafeDisc来关闭DEP的流程。核心是0x7C93CD24行代码,检查al是否等于1,如果等于1则执行关闭DEP的流程。思路:由于DEP开启,堆栈不能直接写入,...
2019-02-21 09:55:28
755
原创 0day 第10章--10.5节:修改data中的cooki突破GS
[@TOC]实验原理:修改.data中保存的cookie,然后替换掉检查时的cookie,即可绕过对cookie的检查!实验环境:winxp sp3 vs2010实验要求:优化全部禁用、release版本源程序:OD载入程序,在两处printf处下断点。首先得到malloc后,str的地址:0x003A4ED0F7单步向下,得到shellcode的地址:0x00403000...
2018-11-01 10:12:04
229
原创 0day 第11章--11.4节:从堆中绕过SafeSEH
实验原理:SHE的安全校验存在一个严重的缺陷:如果SHE中异常函数指针执行堆区,即使安全校验发现SHE不可信,仍会调用已经被修改过的异常处理函数!因此基于这个原理我们将shellcode布置到堆区中执行!实验环境:Winxp sp3 vs2010Release版本、禁用优化实验程序:分析程序:首先程序申请了一块500字节的堆空间,将sellcode复制到该空间中;在test函数...
2018-11-01 09:54:06
221
原创 0day 第11章--11.1节:SafeSEH保护原理
@TOC1、SafeSEH原理很简单:在程序调用异常处理函数之前,对要调用的异常处理函数进行校验,当发现异常处理函数不可靠时停止对异常处理函数的调用。编译器在编译程序时将程序所有的异常处理函数地址提取出来,编入一张安全的SHE表,并将这张表放到程序的映像里面。当程序调用异常处理函数时将函数地址与安全SHE表进行匹配,检查调用的异常处理函数是否在安全的SHE表中。2、SafeSEH机制的运行...
2018-11-01 09:48:36
418
原创 0day 第10章--10.4节:攻击异常处理突破GS(2)
文章目录**实验原理:**实验环境:源程序:实验原理:传入参数过长,直到覆盖掉SEH句柄。将SHE句柄覆盖为shellcode地址即可。实验环境:Winxp sp3 vs2010Release版本、禁用优化、多了后面2个“否”(这样编译的程序就出现strcpy和strcat函数了,便于分析)仅仅是这两个否,之后的程序分析就和书中一样了!传说中的关闭safeseh的方法。。。源程...
2018-11-01 09:37:07
250
原创 0day 第10章--10.4节:攻击异常处理突破GS(1)
实验原理:传入参数过长,直到覆盖掉SEH句柄。将SHE句柄覆盖为shellcode地址即可。实验环境:Winxp sp3 vs2010Release版本、禁用优化根据网上把safeseh关闭了,但是没用。。。入的坑:(找到原因了,但是不知道怎么改正。。。)思考原因:很有可能是因为系统开启了safeseh,没有关闭导致的!书上说,溢出原理是shellcode过程导致覆盖了strc...
2018-11-01 09:25:59
249
原创 0day 第10章--10.3:覆盖虚函数突破GS
实验环境:winxp sp3 vs2010实验要求:程序要求禁用优化、release版本实验原理:程序只有在函数返回时才检查Security Cookie,如果在函数检查之前劫持程序流程,就能实现缓冲区溢出了!因此可以利用C++中的虚函数!(为什么?见0day第6章攻击C++虚函数)[C++虚函数原理]{虚表指针->虚表->函数地址,call函数地址}总结一下入的坑:(1)...
2018-11-01 09:20:38
431
8
原创 Python 字符串与十进制的转换
写在前面我真是要气死了!每次都记不住python字符串和十进制之间的转换!每次用到还要各种查资料问别人,结果都要花好久的时间……这种情况不下3次!!这次一定要记下来!python2.7字符串转为十进制:首先要将字符串转为16进制,再转为十进制十进制转为字符串:首先要将十进制转为16进制,再转为字符串import binasciistring = 'You are the best! ...
2018-10-30 10:45:26
25824
12
原创 用AheadLib进行简单的DLL注入
参考链接:http://www.voidcn.com/article/p-hwvwbvwu-xz.html1、首先编写要注入的DLL文件:dllTest_dll.dll只进行两个数的简单相加#include "dllTest_dll.h"int add(int x,int y){ return x+y;}DLL的头文件dllT
2018-10-26 09:29:57
5623
原创 DLL注入:使用注册表进行DLL注入
实验原理(1)在注册表编辑器中,将要注入的DLL的路径字符串写入AppInt_DLLs项目,把LoadAppInit_DLL的项目值设为1。重启后,指定DLL会注入所有运行的进程。(2)其实是,user32.dll被加载到进程时,会读取AppInit_DLLs注册表项,若有值,则调用LoadLibrary加载用户DLL。因此严格讲,该DLL只是被加载到加载user32.dll的进程。(3)注...
2018-10-24 20:37:19
3968
原创 DLL注入:用CreateRemoteThread实现DLL注入
实验环境:WINXP VS2010功能:注入到notepad.exe程序,并从网上下一个文件实验程序:(一)myhack.dll,即要注入的dll程序#include "windows.h"#include "tchar.h"#pragma comment(lib,"urlmon.lib")#define DEF_URL (L"http://www.naver.co
2018-10-24 18:57:22
4231
原创 0day 第10章 --栈中的保护机制:GS
实验环境:winxp sp3 、vs201010.1 GS的保护原理看图就明白了在vs2010中可通过以下选项选择是否开启GS,默认开启:以下情况不会进行GS保护:(1) 函数不包含缓冲区(2) 函数被定义为具有变量参数列表(3) 函数使用无保护的关键字标记(4) 函数在第一个语句中包含内嵌汇编代码(5)缓冲区不是8字节类型且大小小于等于4个字节针对(3)和(5)...
2018-10-11 09:59:58
765
5
原创 0day 第11章--11.6节:利用加载模块之外的地址绕过SafeSEH
实验环境:winxp sp3 vs2010总结一下入的坑:(1) 变量zero的位置必须在strcpy()的后面,不然strcpy之后会将zero的值覆盖掉,导致zero不为0,触发不了异常。void test(char * input){ char str[200]; strcpy(str,input); int zero=0; __try{ zero = 1/zer...
2018-10-10 22:34:30
187
原创 看雪.Wifi万能钥匙 2017CTF年中赛---第一题
考察浮点数运算1、OD载入,搜索字符串,查找到错误或正确提示信息,双击点进去。找到以为的关键跳转,下断点,重新载入,输入注册码,运行,竟然提示错误!不死心的将关键跳转NOP掉,保存到文件,运行,结果依然报错!果然爆破不行呀……那就老老实实查看算法吧。2、在该段开始位置下断点,OD重新载入,运行,输入key,断在段首,仔细分析汇编代码发现程序,首先判断输入长度是否等于4,如果不...
2018-09-29 10:49:30
629
转载 虚拟机由于磁盘不足而损坏,如何修复??
虚拟机由于磁盘不足而损坏,如何修复??**按照大神的链接成功了,特来转载!!!!!https://blog.csdn.net/shuideyidi/article/details/40688369**PS:昨天真的是经历了一番苦难
2018-09-27 11:16:33
4997
原创 读书笔记--《程序员的自我修养》第4章:静态链接(1)
本章以 如何将a.c文件与b.c文件链接成一个可执行文件 来探讨如何进行静态链接其中a.c和b.c文件如下: a.c文件extern int shared;int main(){ int a = 100; swap(&a,&shared); }b.c文件int shared = 1;void swap(int* a, int* b)...
2018-09-14 12:40:42
541
原创 《恶意代码分析实战》--第三章:动态基础分析
一、虚拟网络环境配置 配置环境:服务器端kali2.0 客户端win71、配置inetsim kali自带inetsim,因此只需配置就可以了(但是好像不配置也是可以的……) 配置链接:http://www.cnblogs.com/hyq20135317/p/5515675.html2、安装ApateDNS 一开始在x...
2018-09-13 20:26:44
393
原创 《恶意代码分析实战》--第一章:静态分析基础技术
**请参考大神的链接:https://blog.csdn.net/baidu_41108490/article/details/80298973#commentBox Lab1-1 这里我只是记录我的学习过程**2、用PEtools打开,查看日期 .exe .dll 发现.exe和.dll两个文件的编译时间只相差了19秒4,用dependency walker工具打开 ...
2018-09-13 20:25:36
1939
原创 读书笔记--《程序员的自我修养》第3章:目标文件里有什么(3)
3.5 链接的接口–符号在链接中,我们将函数名和变量统称为符号,函数名和变量名就是符号名。 每一个目标文件都有一个符号表,里面记录了目标文件中所有用到的符号。 每一个符号都有一个对应的值,叫做符号值。对于变量和函数来说,符号值就是地址。 符号分为5类。 **(1)本目标文件中定义的全局符号。可以被其他目标文件引用。如fun1、main、global_init_var (2)不在本目标...
2018-09-12 13:44:39
294
原创 读书笔记--《程序员的自我修养》第3章:目标文件里有什么(2)
3.4 ELF文件结构描述 ELF文件结构如图所示: ELF目标文件格式最前面是ELF文件头,它包含了描述整个文件的基本属性,如ELF文件版本、目标机器型号、程序入口地址等。接着是ELF文件各个段。 其中ELF文件中与段有关的重要结构是段表。该表描述了ELF文件包含的所有段的信息,如每个段的段名、段长、在文件中的偏移、读写权限及段的其他属性。3.4.1 文件头 输入命令:$read...
2018-09-11 17:54:15
252
原创 读书笔记--《程序员的自我修养》第3章:目标文件里有什么(1)
3.1、目标文件的格式1、目标文件从结构上讲,它是已经编译后的可执行文件格式,只是还没有经过链接的过程,其中可能有些符号或有些地址还没有调整。其实它本身就是按照可执行文件格式存储的。2、现在PC平台流行的可执行文件格式主要是windows下的PE和Linux下的ELF,他们都是COFF格式的变种。Windows的.obj和Linux的.o文件都是目标文件。其他不太常见的可执行文件格式有In...
2018-09-11 17:26:38
227
原创 读书笔记--《程序员的自我修养》第2章:编译和链接
一、从源码到可执行文件的过程 分为4个步骤:预处理(prepressing)、编译(compilation)、汇编(assembly)和链接(linking)。如图所示 1、预编译 (1)首先,源代码文件和相关的头文件,会被预编译器预编译为一个.i文件。 对于C++程序来说,它的源代码文件的扩展名可能是.cpp或.cxx,头文件的扩展名可能是.hpp,而预编译后的文件扩展名是.ii。 ...
2018-09-11 10:28:32
1582
2
原创 读书笔记--《程序员的自我修养》第一章:简介
一、计算机软件体系结构 二、操作系统和CPU 1、操作系统的功能:提供抽象的接口,管理硬件资源。 2、充分利用CPU的方法 (1)多道程序利用 编写一个监控程序,当程序暂时无法使用CPU时,监控程序就把另外的正在等待CPU资源的程序启动,充分利用CPU。 缺点:程序调度策略太粗糙 (2)分时系统 每个程序运行一段时间后都主动让出CPU给其他程序,使得一段时间内每个程序都有机会运行一...
2018-09-10 18:15:32
290
原创 Python学习笔记--画个可爱的叮当喵
参考大神的链接:你看过/写过哪些有意思的代码? - 暴走的bug的回答 - 知乎 https://www.zhihu.com/question/275611095/answer/382959285 前一段时间在知乎看到了一个大神的作品,他用turtl库画了一个小猪佩奇!刚看到我就惊呆了,看了一下代码,咦,好简单哎,这么简单的代码可以写出这么好玩的东西呀~于是心里就一直也想画一个,想画个...
2018-06-22 17:06:33
5352
原创 Python学习--自己编写一个有界面的嗅探器
心得体会: 整个5月份就干了这么一件事!写的很粗糙其实,但是毕竟是我第一次动手编程写完一个项目!还蛮高兴的!因为花费了很长时间,其间多亏了我的同学,要不是我的同学帮助我,我可能也写不完,非常非常感谢他! 经过这件事,我发现我其实挺喜欢编程的,虽然编程能力真的蛮差的!既然喜欢就做呗!6月份都过了半个月了,每天编程的决心都下了半个月了!真是羞愧!不能再这么下去了,这个决心要提上日程...
2018-06-18 11:27:24
3069
14
原创 Python学习笔记--获取好友信息
参考链接:https://zhuanlan.zhihu.com/p/36418880 一、代码实现:# -*- coding:utf-8 -*-# 微信撤回消息# python2# 参考链接:https://zhuanlan.zhihu.com/p/36418880import itchatitchat.login()# 爬取自己好友相关信息,返回一个json文件frien...
2018-06-18 11:19:34
487
转载 Crackme9-笔记
链接:https://www.52pojie.cn/thread-615320-1-1.html https://www.52pojie.cn/thread-265789-1-1.html【这个感觉还是没有理解透彻……以后再弄】程序是VB,表示不会 1、搜索关键字/堆栈平衡都可以找到关键跳转,直接nop掉即可。 2、看不懂程序,只看到了有很多的函数_vbaVarForInit、r...
2018-04-16 17:25:11
287
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人