- 博客(92)
- 资源 (2)
- 收藏
- 关注
RSS订阅原创 Android APP渗透测试(0)-drozer安装
简介rozer是MWR Labs开发的一款Android安全测试框架。是目前最好的Android安全测试工具之一。其官方文档说道:“Drozer允许你一一个普通android应用的身份与其他应用和操作系统交互。”在Web世界已经有了许多安全测试工具了,我们只需要给出一个目标,这些工具就会自动为我们安全测试报告。但Drozer与这样的自动化扫描器不同,Drozer是一种交互式的安全测试工具。使用D...
2020-01-21 21:28:35
10049
原创 SROP
简介SROP的全称是Sigreturn Oriented Programming,这是ROP攻击方法中的一种,其中sigreturn是一个系统调用,在类unix系统发生signal的时候会被间接地调用;在传统的ROP攻击中我们需要寻找大量的gadgets来对寄存器进行赋值已达到我们的需求,而SROP可以减少我们寻找gadgets的难度…前置知识signal 机制我们都知道在Linux中,系...
2019-12-20 15:42:39
12383
原创 Linux Kernel Exploit 内核漏洞学习(5)-整数溢出
Linux Kernel Exploit 内核漏洞学习(5)-整数溢出前言在计算机语言中整数类型都有一个宽度,我们常见的整数类型有8位(单字节字符、布尔类型)、16位(短整型)、32位(长整型)等,也就是说,一个整数类型有一个最大值和一个最小值;如歌把一个数据放入了比它本身小的存储空间中,从而出现了溢出;而通常一个数据的溢出,往往影响的是一个堆或者栈的申请,最终导致堆或栈的溢出…我这里是通过...
2019-11-05 23:58:50
10351
原创 Linux Kernel Exploit 内核漏洞学习(4)-RW Any Memory
简介RW Any Memory的全称是Read and write any memory, 就是内存任意读写;通常这种类型的漏洞是由于越界读写或者错误引用了指针操作造成可以修改控制某个区域里面的指针,导致我们可以改变程序的常规读写区域甚至程序执行流程…这里我是利用2019 STARCTF里面的hackeme来演示和学习这种漏洞的利用,其中环境和题目我放在github上面了.需要的话可以自行下载...
2019-09-02 12:59:33
10429
原创 Linux Kernel Exploit 内核漏洞学习(3)-Bypass-Smep
简介smep的全称是Supervisor Mode Execution Protection,它是内核的一种保护机制,作用是当CPU处于ring0模式的时候,如果执行了用户空间的代码就会触发页错误,很明现这个保护机制就是为了防止ret2usr攻击的…这里为了演示如何绕过这个保护机制,我仍然使用的是CISCN2017 babydriver,这道题基本分析和利用UAF的方法原理我已经在kernel...
2019-08-09 09:15:41
11048
原创 deepin安装kali工具最安全有效方法
在deepin源中添加kali源的时候,很容易将系统搞崩溃,但是通过kali源去安装kali上面的工具又可能是最快最方便的,所以要安装kali工具最安全的方法就是在需要安装的添加Kali源,不需要的时候去除方法1在/etc/apt/目录下面先创建两个源,一个源包含kali源,另一个只有deepin源:kali:## Generated by deepin-installerdeb [b...
2019-08-06 13:41:27
22619
16
原创 Linux Kernel Exploit 内核漏洞学习(2)-ROP
简介ROP的全称为Return-oriented Programming,主要思想是在栈缓冲区溢出的基础上,利用程序中已有的小片段 (gadgets) 来改变某些寄存器或者变量的值,从而控制程序的执行流程;这种攻击方法在用户态的条件中运用的比较多,ret2shellcode,ret2libc,ret2text等ret2系列都利用到了ROP的思想,当然这种攻击手法在内核态同样是有用的,并且手法都基...
2019-08-05 21:11:50
11228
原创 Linux kernel Exploit 内核漏洞学习(1)-Double Fetch
简介Double Fetch从漏洞原理上讲是属于条件竞争漏洞,是一种内核态与用户态之间的数据存在着访问竞争;而条件竞争漏洞我们都比较清楚,简单的来说就是多线程数据访问时,并且没有对数据做必要的安全同步措施;当多线程时,对于同一数据有一个线程在读而有另外一个线程在写,这就可能引起数据的访问异常,而此时如果这个异常访问情况发生在内核与用户线程之间时,就触发double fetch漏洞了…为了简化漏......
2019-07-25 21:11:45
10823
原创 kernel pwn -- UAF
简介众所周知,UAF的全称是Use After Free,是一种释放后重用漏洞;之前一直是在用户态下对这个漏洞进行利用学习的,最近想要体验一下在内核环境中利用此漏洞进行提权操作…用户态的常规UAF可以看这篇文章…这里我利用的CISCN2017 babydriver来进行学习的,环境我已经放到github上面了,需要的可以自行下载…前置知识权限在Linux当中每个进程都有它自己的权限,而...
2019-07-25 16:30:44
10324
原创 Linux kernel Exploit 内核漏洞学习(0)-环境安装
前言在Linux上面搞事情很多东西都可能需要我们利用源码来自己编译,相对于Windows来讲可能会比较麻烦和耗时,这个过程中肯定会遇到很多报错,所以一定要有耐心…方法步骤编译内核首先到linux内核的官网下载一份内核源代码并解压:至于需要下载的版本,随意就好,我下载的是5.2.1的…然后先安装有些依赖:sudo apt-get install git fakeroot build-...
2019-07-24 11:32:20
10971
原创 HackInOS
简介HackinOS是一个渗透靶机,模拟真实的渗透环境,方便我们练习渗透方法,靶机下载地址…攻击者:kali受害者:HackInOS渗透步骤##1.获取目标机器ip因为我的靶机在虚拟机中网络用的NAT模式,所以靶机IP肯定和kali在同一个网络下,先利用nmap来扫描一波:[外链图片转存失败(img-rRDZlD1d-1562846106264)(./1.png)][外链图片转存失...
2019-07-11 19:55:40
10570
原创 Fmtstr_Loop
前言很多时候都是因为程序中存在循环,如果程序中不存在循环呢?在一些栈溢出中我们可以使用ROP技术劫持函数返回地址到start,同样我们可以使用格式化字符串漏洞做到这一点…实例题目:12届信息安全国赛半决赛西南赛区思路虽然我们写代码的时候以main函数作为程序入口,但是编译成程序的时候入口并不是main函数,而是start代码段。事实上,start代码段还会调用__libc_start_m...
2019-06-23 13:47:59
9789
原创 滑雪大冒险内购
滑雪大冒险2 App内购相信这个游戏很多人都玩过,游戏里面的道具和地图都是需要出钱购买的;而且不同平台下载的这个APP,里面道具的购买方式可能不一样,但是原理都一样;这里的支付方式是支付宝和微信…工具夜神模拟器AndroidKiller_v1.3.1ApktoolJEB2Monitor.exe分析先让夜神模拟器与monitor.exe连接,找到一些活动的名称,减少工作量...
2019-05-11 16:07:55
10370
原创 ROP高级用法之ret2_dl_runtime_resolve
简介程序想要调用其他动态链接库的函数,必须要在程序加载的时候动态链接;在一个程序运行过程中,可能很多函数在程序执行完时都不会用到,比如一些错误处理函数或者一些用户很少用到的功能模块;所以ELF采用一种叫做延迟绑定(Lazy Binding)的做法,基本思想就是当函数第一次被用到的时候才进行绑定(符号查找、重定位等);而在linux 中是利用_dl_runtime_resolve(link_ma...
2019-04-29 14:57:02
11161
9
原创 DLL注入之CreateRemoteThread法
基本步骤获取目标进程句柄将要注入的dll路径写入目标进程内存获取LoadLibraryW()API地址在目标进程中运行远程线程代码stdafx.h:#if !defined(AFX_STDAFX_H__BDB235D7_5A28_46BE_B3ED_30F25A462A9A__INCLUDED_)#define AFX_STDAFX_H__BDB235D7_5A28_46B...
2019-04-17 22:57:17
10227
原创 脱VM壳的基本方法
以VMP2.07为例:工具:吾爱破解OD右键选择FKVMP>>start,点击OD上方的L按钮,找到retn,然后记录rentn的地址;然后CTRL+G快捷键对VirtualProtect函数下断点,按F9运行观察堆栈区,直到NewProtect=PAGE_READONLY为止;之后取消断点按ALT+M,对代码段下内存访问断点;再次按一次F9后取消代码段的内存访问...
2019-04-15 00:05:31
15801
2
原创 Linux编译不同版本glibc
方法步骤在http://ftp.gnu.org/gnu/glibc/网站下载你需要的glibc版本解压下载的文件,同时在其他目录下建立一个glibc-x.xx目录:tar glibc-2.23.tar.gzcd glibc-2.23mkdir glibc-2.23进入build目录,然后输入下面的命令,文件的路径自己确定:cd glibc-2.23CFLAGS="-g -...
2019-04-14 13:23:04
19414
7
原创 2019西湖论剑Storm_note
分析这道题的漏洞不多,在edit note的时候有一个off_by_null漏洞:然后还有一个后门:没有show功能,想要泄露地址有难度;而且程序禁用了fastbin的申请:ssize_t init_proc(){ ssize_t result; // rax int fd; // [rsp+Ch] [rbp-4h] setbuf(stdin, 0LL); setb...
2019-04-13 12:44:56
10121
原创 WhaleCTF_writeup
逆向练习程序比较简单,取特定字符串中的不同位置的字符连接成flag,然后再末尾加上1024}:#include<stdio.h>#include<string.h>int main(){ int esi,bl,ebx,i; char flag[0x12]; char str[] = "sKfxEeft}f{gyrYgthtyhifsjei53UUrrr_t2...
2019-04-05 22:22:54
10108
原创 hctf2016-fheap
题目地址:https://github.com/zh-explorer/hctf2016-fheap程序简介程序中只有3个功能,一个create,一个delete然后一个quit:+++++++++++++++++++++++++++So, let's crash the world+++++++++++++++++++++++++++1.create string2.delete ...
2019-03-28 14:15:13
10323
3
原创 PE文件格式详解
三千风雨三千雪 三千风雪我在写流了一共三千血 你却始终不了解简介PE文件使用的是一个平面地址空间,所有的代码和数据都合并在一起,组成了一个很大的结构;文件被分为不同的区块(Section,又成为区段或节等),区块中包含代码和数据,各个区块按页边界对齐;区块没有大小限制,是一个连续结构;每一个块都有其自己的属性,如是否包含代码,是否可读可写等;PE文件的构成MS-DOS头部每个...
2019-03-17 20:13:50
10511
原创 最新5.7版本64位WinRAR去除广告
打开5.7最新版64位的WinRAR,一打开就给我们弹出广告窗口:所以我们就把这个nag去掉……打开x64dbg,然后载入WinRAR,然后一直F9直到程序完全跑起来;然后DestroyWindow函数下断点:然后点击关闭广告窗口;现在观察栈窗口,回溯到WinRAR程序地址;然后分析此部分函数发现只需要把函数入口附近的跳转修改为:jmp 0x000...
2019-03-12 20:04:09
26577
2
原创 namebook
检查机制:sir@sir-PC:~/desktop$ checksec name[*] '/home/sir/desktop/name' Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: No PIE (...
2019-03-06 21:30:54
3734
原创 writeup_itemboard
看这个add功能的函数:void __cdecl new_item(){ int cnt; // eax@1 char buf[1024]; // [sp+0h] [bp-410h]@1 int content_len; // [sp+404h] [bp-Ch]@1 Item *item; // [sp+408h] [bp-8h]@1 item = (Item *)mal...
2019-03-05 17:54:15
3701
原创 Unlink
简介unlink是在smallbin被释放的时候的一种操作,是将当前物理内存相邻的free chunk进行合并,简单的讲就是我们在free一个smallchunk的时候,如果它前面或者后面的chunk有空闲的,即in_use位为0时,就将前面或后面的chunk连在一起合成一个chunk;smallbin的数据结构:prev_size,size,fd,bk;因为smallbin被释放后是用双...
2019-03-03 17:24:19
4753
原创 Hgame2019_baby tcache
简介Tcache机制应该是从2.26之后版本的libc中才加进去的,而这个机制可能使我们的攻击变得更加简单,因为我们可能不需要去构造false_chunk,只需要覆盖tcache中的next,即将tcache中的next覆盖为我们自己的地址,从而达到任意地址写入;简单地来讲,Tcache机制就是增加一个bin缓存,而且每个bin是单链表结构,单个tcache bin默认最多包含7个块;在释放...
2019-03-01 15:10:08
3969
1
原创 pwnable.tw writeup
start这道题是静态编译的,或者可以理解是就是直接用汇编写的,所以这个程序很小,没有可以利用的函数;sir@sir-PC:~/desktop$ objdump -R startstart: 文件格式 elf32-i386objdump: start:不是动态对象objdump: start: 无效的操作反汇编代码:sir@sir-PC:~/desktop$ objdu...
2019-02-27 16:45:07
4083
2
原创 Ichunqiu_Easypwn
轮回池前彼岸花 三生石旁那道疤擦不去的眼中莎 泪眼迷离失去她https://cc-sir.github.io/2019/01/28/ichunqiu_easypwn/方法这道题是i春秋CTF的一道题,也是“百度杯”CTF比赛 十二月场中的一道pwn,这道题比较简单我们先看看这道题的保护机制:sir@sir-PC:~/desktop$ checksec easypwn[*] '/ho...
2019-01-28 21:54:47
4034
原创 Ret2libc
三生三世十里桃花 她就像是一道疤像风像雨像飞沙 像空气一样难抓简介ret2libc就是控制函数的执行libc中的函数,通常是返回至某个函数的 plt 处或者函数的具体位置 (即函数对应的 got 表项的内容)。一般情况下,我们会选择执行 system("/bin/sh"),因此我们通常需要找到 system 函数的地址ret2libc通常可以分为下面这几类:程序中自身就含有sys...
2019-01-26 22:34:02
8943
9
原创 Ret2ShellCode
红颜祸 千般柔情 相思难解两相若蝶恋花 几经浮沉 枯骨终是化飞沙简介ret2shellcode顾名思义,就是return to shellcode,即让程序中某个函数执行结束后,返回到shellcode的地址去执行shellcode,得到system(sh)的效果;ret2shellcode是栈溢出中一种简单而且常规的操作,当配合ROP等技术的使用后,非常有用利用条件ret2shel...
2019-01-24 15:03:34
8236
9
原创 Overflow Freed Chunk
一世风尘过往云烟 弯月又挂南山颠不见故人轻舞翩跹 只闻落泪往昔间简介Overflow Freed Chunk可以理解为常规的堆溢出,即程序向某个堆块中写入的字节数超过了堆块本身可使用的字节数(之所以是可使用而不是用户申请的字节数,是因为堆管理器会对用户所申请的字节数进行调整,这也导致可利用的字节数都不小于用户申请的字节数),因而导致了数据溢出,并覆盖到物理相邻的高地址的下一个堆块不难发现...
2019-01-21 22:28:00
3729
原创 Fastbin Double Free
似水流年月下花前 一舞倾城醉红颜岁暮天寒月缺花残 独留孤影忆从前简介fastbin attack 是一类漏洞的利用方法,是指所有基于 fastbin 机制的漏洞利用方法,而fastbin_double_free就是其中的一种,这类漏洞利用的前提是:存在堆溢出、use-after-free等能控制chunk内容的漏洞漏洞发生于fastbin类型的chunk中Fastbin Double...
2019-01-19 17:56:00
5042
6
原创 Use After Free
我恋你如烈酒般浓 我恨你如风如影朦一清晨这一朦胧 粉身碎骨亦不逢原理use_after_free就是其字面所表达的意思,当一个内存块被释放之后再次被使用。但是其实这里有以下几种情况:内存块被释放后,其对应的指针被设置为 NULL , 然后再次使用,自然程序会崩溃。内存块被释放后,其对应的指针没有被设置为NULL,然后在它下一次被使用之前,没有代码对这块内存块进行修改,那么程序很有可...
2019-01-11 22:05:07
8447
3
原创 python3脚本查看电脑保存的WiFi密码
import osimport rewifi=('netsh wlan show profiles ')#name=Hello World key=clearwith os.popen(wifi) as f: wifiname_list=[] for line in f: if'所有用户配置文件 :'in line: #print(line...
2018-12-06 23:06:20
3997
原创 常用的DOS命令
net use $">\\ip\ipc$Content$nbsp;" " /user:" " 建立IPC空链接 net use $">\\ip\ipc$Content$nbsp;"密码" /user:"用户名" 建立IPC非空链接 net use h: $">\\ip\c$Content$nbsp;"密码" /user:"
2018-12-02 16:05:24
3421
原创 cmd一句命令打开3389端口
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f在xp,win7等系统上亲测有效,在渗透测试中非常方便。。。。
2018-12-02 16:00:56
30431
3
原创 逆向入门之计次软件的破解
一·破解的软件简介:软件名:VisualSite Designer软件在启动时会跳出一个nag窗口提醒用户还有多少次的免费使用机会,当免费使用次数变为0时,就要求用户花钱购买此软件了。然后在关闭程序的时候也会跳出一个广告窗口二·目标:去除软件的计次,得到免费无限次运行的效果,顺便将程序关闭时的广告窗口去除了。三·实战:先用PEID查一下有没有壳之类的:没有...
2018-12-02 15:48:52
3958
原创 网络爬虫之手机号测吉凶(纯属娱乐)
#目标URL=” http://jx.ip138.com/”#主要用到的python库:requests , etree 主要用xpath进行信息处理先说一下xpath: XPath即为XML路径语言,它是一种用来确定XML(标准通用标记语言的子集)文档中某部分位置的语言。XPath基于XML的树状结构,提供在数据结构树中找寻节点的能力,说直白了就是在HTML代码中将标签中的内容提...
2018-12-02 15:46:38
4613
1
通过DLL给程序加一个按钮
2020-06-23
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人