- 博客(37)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 CTF逆向中字符串处理
str=''' .data:04001234 db 93h .data:04001234 db 0A2h .data:04001234 db 0ADh '''str=str.replace("\n"," ").replace("\r"," ").split(" ") str = [i for i in str if i != ''] #clear null meta #print...
2018-08-31 10:38:34
1672
原创 CTF 中setbuf利用笔记
主要参考https://paper.seebug.org/450/ (CTF PWN 题之 setbuf 的利用) 这篇文章,写的比较随意,就是整理一下思路:首先看漏洞点v3是用户输入的,可以控制,而且基本上没有限制,只要输入小于等于2就行,再看off_804B048处:程序的本意是想让我们调用no xor re这三四个函数,但是由于没有限制输入的数据,导致可以输入负数调用上边的setbuf ...
2018-06-12 17:08:47
1259
原创 血战上海滩实现无限血量外挂编写
通过以前的分析(http://blog.csdn.net/qq_35519254/article/details/79274739),要想实现无限血量,就要将0x0048C4C0 处的mov eax, [eax+0F4h]修改为mov eax,0x40a00000 其中0x40a00000是浮点数5.000的十六进制表示。该处修改对应的十六进制为:8B80F4000000 -->B800...
2018-02-22 16:38:44
6631
2
原创 血战上海滩无数条命
以前实现过无限血量,详见http://blog.csdn.net/qq_35519254/article/details/79292322,这次实现无限生命。正常情况下英雄只有三条命,如下图所示:CE附加进程,搜索3,当生命值没有变化时,继续搜索三,当生命值变成2时,搜索2,这样确定一个地址,然后搜索什么改写了改地址:(后来测试时,程序直接崩溃,我就改用ollgdbg附加进程,在CE搜到的地址处下...
2018-02-18 23:07:04
1954
1
原创 血战上海滩寻找英雄血量地址 实现无敌效果深入分析
继续上次研究,先整理一下上次的研究,英雄最多有八颗星的血量,分别用0x5 0x19 0x2d 0x41 0x55 0x69 0x7d 0x91表示,比如如果英雄有8颗星的时候就顺序发送0x5 0x19 0x2d 0x41 0x55 0x69 0x7d 0x91这8个参数,有6颗星的时候就顺序发送0x5 0x19 0x2d 0x41 0x55 0x69这三个参数当有八颗星时,其实是来自5.0/0.6...
2018-02-08 17:56:05
1112
原创 血战上海滩寻找英雄血量地址 实现无敌效果
这个游戏很火的,是单机、射击类游戏的经典,网上下载地址很多。。。附个下载地址: http://www.downza.cn/soft/21790.html (我没试过,都差不多吧 )运行游戏,CE附加进程因为血量肯定是一定范围内的值,所以初始就搜索1-1000的值,每次收到攻击时,就搜索减少的值,未收到攻击时,就搜索未改变的值,最后定位到一个地址,然后搜索什么改写了这个地址:
2018-02-06 21:29:30
1611
原创 植物大战僵尸取消暂停
场景: 正常情况下窗口失去焦点时就会暂停效果: 边玩游戏边干其他的 两不误思路:搜索暂停游戏关键字,查找字符串调用,分析附近代码。下边是详细过程:在IDA中搜索字符串暂停游戏,然后定位到代码处,如下:然后查看该函数的交叉参考:一共有两处,先分析第一处:再该处下断点,发现当窗口失去焦点时,没有断下,说明此处不是。
2018-01-24 14:32:41
12327
原创 植物大战僵尸修改僵尸出场冷却时间
场景: 正常情况下僵尸是过一段时间出现几个,不会同时出现效果: 刚开始僵尸就一块出场,这样通过小滑车就能将他们全部杀死思路: 通过CE定位僵尸个数,然后看那个地址改写了它,在这个地址附近应该就有创建僵尸、冷却时间的函数了。下边是详细过程:首先CE附加程序,搜索场上僵尸的个数,当场上僵尸变化时,再搜索僵尸的个数(可能会有延时,所以确认后再搜索或者搜索一个加减一的范围)
2018-01-24 13:30:56
6327
原创 植物大战僵尸修改植物攻击力
效果: 植物一炮就将僵尸打死思路: 通过CE定位僵尸被攻击时改写血量的代码地址,向上查找植物攻击力的地方并修改。下边是详细过程(以普通豌豆荚攻击普通僵尸为例)首先CE附加程序,当未攻击时,搜索未改变的数据,当攻击僵尸时,搜索减少的数据,如此重复,最终定位到僵尸的血量地址然后右键,什么地址改写了它,最后得到一个地址上边是通过CE定位
2018-01-22 18:10:42
33587
3
转载 如何获取Chrome等浏览器保存过的账号密码
如何获取Chrome浏览器保存过的账号密码转载地址: https://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650444690&idx=2&sn=e3c83f45564c57135db58a48bda09bc5&chksm=83bbf676b4cc7f6061888a09736a433a2b92103281e954f9178ed2a10e
2017-12-12 11:04:22
2849
原创 the house of orange解析
先以这个最简单的例子举例:https://github.com/shellphish/how2heap/blob/master/house_of_orange.c编译生成ELF文件(64位)p1 =malloc(0x400-16);每次创建堆都是从top chunk上切割堆块,由于top chunk默认是0x21000,因为我们已经申请了0x400大小的堆,所以此时to
2017-11-24 18:14:25
2208
原创 plaidctf-2016 unix_time_formatter uaf漏洞分析
源代码下载及其他writeup参考:https://github.com/ctfs/write-ups-2016/tree/master/plaidctf-2016/pwnable/unix_time_formatter-76直接去print_time函数(自定义)查看:在system中执行command命令,command字符串通过snprin
2017-11-15 14:30:55
961
原创 从lazy binding(延迟绑定) and return to dl-resolve
先介绍lazy binding:代码如下:#include int main(){ char buf[100]; int size; read(0, &size, 4); read(0, buf, size); write(1, buf, size); return 0;}编译链接: gcc -fno-stack-prot
2017-10-19 17:51:16
1010
原创 babyheap 2017漏洞分析
直接拿http://uaf.io/exploitation/2017/03/19/0ctf-Quals-2017-BabyHeap2017.html的完整exp分析吧这是0ctf 2017的一道pwn题。主要是两点,第一点是怎么泄露libc的基地址,第二点是怎么执行shell漏洞点:在fill函数中,IDA逆向分析如下:unsigned __in
2017-10-12 13:45:40
2142
1
原创 一个实例讲解fastbins上的堆利用
这道题是hctf2016年“就是干”那道题。附件有下载地址及writeup。我就是分析一下:首先IDA分析一下:新建两个结构体00000000 str_struct struc ; (sizeof=0x20)00000000 str dq ?00000008 str_padding dq ?00000010 size
2017-09-06 14:01:49
1438
原创 由看雪.Wifi万能钥匙 CTF 2017 第4题分析linux double free及unlinking漏洞
相关程序可以在这里下载:http://ctf.pediy.com/game-fight-34.htm我是在ubuntu16 64位调试的先说下知识点吧,简单的请参考我的上一篇文章:http://blog.csdn.net/qq_35519254/article/details/77532248现在unlink函数加了个判断需要绕过:即必须保证FD->bk = P
2017-09-01 14:39:14
1803
1
原创 linux heap unlinking分析
虽然这个技术已经不能在新版本上使用了,但是还是有许多学习价值的。刚开始学,与大家分享一下,直说自己不是很明白的几个点,然后是参考的文章。实例代码如下:/* Heap overflow vulnerable program. */#include #include int main( int argc, char * argv[] ){
2017-08-24 16:54:02
676
原创 2016BCTF-bcloud分析
这是一道CTF题,涉及到The House of Force技术文件及writeup可以在http://uaf.io/exploitation/2016/03/20/BCTF-bcloud.html 下载,另外还有http://www.freebuf.com/news/topnews/100143.html、https://github.com/ctfs/write-ups-2016/tr
2017-08-16 09:19:20
1327
原创 the House of Force技术简单分析
实例代码如下:#include #include #include int main(int argc, char *argv[]){ char *buf1, *buf2, *buf3; if (argc != 4) return; buf1 = malloc(256); strcpy(buf1, argv[1]); buf2 = malloc(strtoul(argv[2]
2017-08-09 14:36:52
804
原创 linux 64位栈溢出分析
调试环境是ubuntu16 64位这次开启了DEP、ASLR(知道libc.so情况下)还是参考了《一步一步学ROP之linux_x64篇》这篇文章。代码是1.c:#include #include #include void vulnerable_function() { char buf[128]; read(STDIN_FILENO, bu
2017-08-01 15:19:23
2475
原创 linux栈溢出4-绕过ROP、ASLR(不知道libc.so)
调试环境是ubuntu14 32位这次开启了DEP、ASLR(不知道libc.so情况下)还是参考了《一步一步学ROP之linux_x64篇》这篇文章。代码是1.c:#include #include #include void vulnerable_function() { char buf[128]; read(STDIN_FILENO, buf
2017-07-31 10:38:12
1168
原创 linux栈溢出-绕过ROP、ASLR(知道libc.so)
调试环境是ubuntu14 32位这次开启了DEP、ASLR,在linux x86溢出,知道libc.so文件的情况下代码是1.c:#include #include #include void vulnerable_function() { char buf[128]; read(STDIN_FILENO, buf, 256);}int main(i
2017-07-28 17:44:14
1598
原创 linux栈溢出-绕过DEP
调试环境是ubuntu14 32位这次开启了DEP,关闭了ASLR代码是1.c:#include #include #include void vulnerable_function() { char buf[128]; read(STDIN_FILENO, buf, 256);}int main(int argc, char** argv) { vulner
2017-07-28 11:12:40
787
原创 学习linux溢出-1
调试环境是ubuntu14 32位代码是1.c:#include #include #include void vulnerable_function() { char buf[128]; read(STDIN_FILENO, buf, 256);}int main(int argc, char** argv) { vulnerable_function(); write(STDO
2017-07-28 09:44:24
439
原创 详解cve-2010-2553
我的调试环境是win7旗舰版32位+wmpalyer+windbg+IDA。poc见: https://www.exploit-db.com/exploits/15112/wmpalyer设置页堆:C:\Program Files\Debugging Tools for Windows (x86)>gflags.exe -i wmplayer.exe +hpa +htcCu
2017-07-25 21:02:27
1239
原创 cve-2011-0027漏洞分析
这个漏洞是整数溢出漏洞,漏洞环境为win7+IE8 ,调试工具为windbg,静态分析工具为IDA。主要参考《漏洞战争》相关介绍,实际分析了一下。首先启动页堆。打开IE8,windbg附加进程,然后IE打开poc文件。poc.html文件如下: function Start() {localxmlid1 = document.getElementById
2017-07-25 11:50:09
2038
1
原创 帝国软件SQL注入
以前挖的,现在发出来,好像还没有修复,帝国网站管理系统7.2正式版或者以前版本后台注入漏洞,这个漏洞需要管理员权限,所以比较鸡肋。先看源代码,漏洞主要在函数editcalss函数中,在文件upload\e\class\classfunc.php中:函数代码如下:function EditClass($add,$userid,$username){ global
2016-12-07 14:35:26
3346
原创 python实现生成相对地址的ROP
在溢出的时候,为了绕过需要一个ROP链,此时可以使用mona模块生成一个ROP链,命令为!py mona rop -m mshtml.dll ,此时生成的ROP是一个决定地址的,这样生成的ROP不能在其他电脑上使用,或者电脑重启之后也不能使用了,我们常见的溢出利用思路是利用内存泄漏绕过ASLR,然后利用ROP绕过DEP,此时就需要生成一个相对的ROP(即包含模块基地址+偏移)我
2016-11-19 21:47:13
1706
原创 cve-2012-1876漏洞分析
关于调试其他文章有,就不重点介绍了,主要介绍一下漏洞原理,汇编代码,以及漏洞的利用过程。poc.html: function over_trigger() { var obj_col = document.getElementById("132"); obj_col.width = "42765";
2016-11-15 23:24:56
1599
原创 cve-2012-0158漏洞分析
参考《漏洞战争》分析下,记下自己的心得,主要还是汇编代码比较麻烦。环境是xpsp3+word2003(11.8324.8324):打开windbg、word软件,windbg附加word软件进程,word打开poc.doc文件,发现windbg已经断下,eip指向0x41414141,说明已经发生了溢出,eip被控制了。0:009> g(15c.510): Access vi
2016-11-09 19:13:53
1793
原创 shellcode转换
#import js_shellcode=('%ud231%u30b2%u8b64%u8b12%u0c52%u528b%u8b1c%u0842%u728b%u8b20%u8012%u0c7e%u7533%u89f2%u03c7%u3c78%u578b%u0178%u8bc2%u207a%uc701%ued31%u348b%u01af%u45c6%u3e81%u6957%u456e%uf275%u
2016-10-28 15:53:04
7342
3
原创 从heap spray到CVE-2012-4782 (UAF)
第一部分:关于heap spray首先在浏览器中(360、谷歌等)按F12,打开开发者模式: 在IE8+xpsp3中,打开1.html: var myvar = "CORELAN!"; alert("allocation done"); windbg附加进程,搜索字符串“CORELAN!”:查看字符串信息:通过以
2016-10-27 19:33:21
810
原创 windbg安装mona.py插件
不管是x86还是x64系统,最好安装一下vcredit.exe并且注册,文件下载链接点击打开链接:x86系统,x64系统,并且注册之对于x86系统: 下载pykd.pyd、mona.py、windbglib.py文件,相关链接:https://github.com/corelan/windbglib/raw/master/pykd/pykd.zip、https://github.com
2016-10-18 12:45:28
3809
转载 常态堆与调试态堆的区别
看过《0day安全:软件漏洞分析技术》的童鞋们都知道在内存中的堆分两种情况,一种为常态堆,另一种为调试态堆。但自己以前在调试的时候并没有深刻领会到这一点。今天在调试的时候偶然间深刻领会到这一点。下面分两种情况来查看堆块的内存结构:1. 常态堆先打开PowerPoint,然后用Windbg附加,运行。随便打开一个ppt文件。中断后在Windbg命令栏里输入扩展命令!heap查看进程所
2016-10-11 14:25:37
492
转载 堆的工作原理
堆的数据结构:一般包括堆块和堆表两部分 堆块:由块首和块身组成块首:堆块头部的几个字节,用来标识该堆块的信息,如块的大小,状态为空闲还是占用等。块身:紧跟在块首后面的部分,这部分将最终分配给用户。 堆表:一般位于堆区起始位置,用于索引堆区中所有堆块的重要信息,如堆块的位置、大小、状态。 在windows中,占用态的堆块被使用它的程序索
2016-10-11 14:24:43
2075
原创 教你如何使用微信网页版“抓取”微信撤回消息
有个高中微信搞笑群,常发一些搞笑的图片,但是发后就撤回了,一不小心就看不到了,所以就想着怎么查看撤回的图片或者文字。 思路是这样的,当微信收到撤回消息的请求后,将撤回的响应包改掉,这样微信就不能撤回了,微信APP比较难搞,就直接用微信网页版抓包修改吧。关于微信网页版的抓包其实也比较复杂,主要是常常抓包失败,网页无法打开(支付宝、淘宝也是,貌似它们的https协议更安全,不好代理,求解),为
2016-10-10 14:22:05
3769
原创 格式化字符串漏洞执行任意代码分析
首先使用vc++6.0编译一个程序FormatStr.exe,源代码:代码:_#include #include int main (int argc, char *argv[]){ char buff[1024]; // 设置栈空间 strncpy(buff,argv[1],sizeof(buff)-1); printf(buff)
2016-10-10 11:05:36
3603
一个实例讲解fastbins上的堆利用附件
2017-09-06
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人