- 博客(26)
- 收藏
- 关注
RSS订阅原创 CTF中的PWN——srand()/rand()漏洞(栈溢出)
摘要: 本以为自己栈溢出学的不错了,挑战了一下攻防世界的PWN高手进阶,发现栈溢出还是有很多相关的漏洞,今天总结一下srand()函数的漏洞。srand()/rand(): 简单介绍一下这两个函数:rand()函数是使用线性同余法做的,它并不是真的随机数,因为其周期特别长,所以在一定范围内可以看成随机的。 srand()为初始化随机数发生器,用于设置rand...
2019-11-16 14:08:56
4687
原创 CTF中的PWN——绕NX防护2(泄露libc + 栈溢出)
前言: 继续PWN的学习,今天整理一下绕过NX,同时libc本地不存在需要通过相应函数泄露地址的方式进行进行溢出。本题工具介绍: LibcSearcher 一个基于libc_database写的python库,可以通过泄露的函数实际地址查找对应的libc版本。from LibcSearcher import *#第二个参数,为已泄露的实际地址,或最后12...
2019-10-23 13:35:05
1749
原创 利用redis获取权限
0x1 前言 如果进入内网中发现了redis服务的话就美滋滋了,我们可以利用redis服务定时反弹shell、写入webshell、写入ssh公钥的操作。0x2 Redis的利用 redis:一个高性能的key-value数据库。 1. 定时任务反弹shell测试: 启动redis服务,使用telnet连接: 执行命令:set x ...
2019-10-17 16:38:16
1930
原创 CTF中的PWN——绕canary防护2(64bit + 格式化字符串漏洞leak canary + 栈溢出)
前言: 前文绕canary防护1中程序时32位的,这篇文章中pwn的程序是64位的,都是利用格式化字符串漏洞leak canary的值,然后直接栈溢出即可,只是位数不同,利用格式化字符串漏洞泄露金丝雀值也略微不同。题目:Mary_Morton-攻防世界 检查软件的详细信息: 64的金丝雀与NX,拖入IDA64查看: 当输入等于2时存在格式化字符串漏...
2019-10-15 00:08:04
1980
原创 CTF中的PWN——绕canary防护3(puts带出canary 泄露函数地址计算基地址)
前言: 想要学好pwn,首先要看懂wp。此题断断续续占用了我两三天,原谅我太菜了。此题为攻防世界的babystack。金丝雀前文叙述过,此处不再阐述,绕过的首选办法就是想办法得到canary的值,因为程序每次load的时候canary都不同,但是一个进程中的所有方法的金丝雀的值都相同。得到canry的值后构造payload即可。题目:babystack-攻防世界 file及...
2019-10-14 17:31:36
2263
1
转载 PLT表和GOT表
前言 我们在做pwn题目的时候,经常会用到这两个表,如果对这两个表了解的不是特别深刻的话,会对你的泄露造成一定影响,故我们在这里着重介绍一下这两个表。 GOT是一个存储外部库函数的表 PLT则是由代码片段组成的,每个代码片段都跳转到GOT表中的一个具体的函数调用例子 我们通过例子来了解一下这两个表会出现在什么地方。 我们可以观察到read@...
2019-10-08 16:10:53
461
原创 XXE及Blind_OOB_XXE
前言: 对于XXE始终是只知其意没实际利用过,再次重新学习一遍XXE。XML: 在学习XXE之前要理解XML,关于XML的知识点网上很多,我只介绍关于XXE的相关概念,XXE的时候有三个关键词:XML声明 <?xml version ="1.0" encoding="UTF-8"?> DTD文档定义类型。 文档元素 <foo><no...
2019-10-06 22:39:15
2011
1
原创 关于sql语句中条件语句where后的多个and/or的优先级
摘要: SQL的WHERE子句中包含多个AND和OR示例: SQL解析器在处理操作时会优先处理and操作: 假如有表product字段如下:id、product_id、product_price、product_name,现在要查找产品号为100或者101,并且价格大于200的商品,程序员可能会这样写: select*fromprodu...
2019-10-03 12:25:49
11805
原创 WEB中间件——axis2+tomcat的个人理解
前言:借着朋克实验室的某个靶机,系统的学习一下axis中的SOAP及WSDL和Tomcat。SOAP:Simple Object Access Protocol WSDL:Web Services Description Languagewsdl文档部分(仅供参考):<definitions><types> definition of ty...
2019-10-02 21:25:18
751
原创 CTF中的PWN——绕canary防护1(32bit 格式化字符串漏洞leak canary 栈溢出)
前言: 金丝雀: canary就像哨兵一样,值由程序运行时随机产生。在函数返回之前,程序检测这个值以确认栈未被破坏,达到避免攻击的目的。程序会使用fs:x来进行保护,这个地址指向了一个我们无法看到的随机值,并且fs是一个由内核维护的结构。如果金丝雀(canary)的值被修改了,栈溢出发生了,保存的指令指针可能也被修改了,因此不能安全返回,函数会调用__stack_chk_f...
2019-09-29 15:56:53
1254
原创 CTF中的PWN——绕NX防护1(本地libc 栈溢出)
进阶到防护篇了,首先学一下NX防护的基础题目。NX防护 NX是数据与程序的分水岭,栈溢出核心思想是通过局部变量覆盖函数返回地址来修改EIP和注入 Shellcode,在函数返回时跳到Shellcode去执行。要防止这种攻击,最有效的办法就是让攻击者注入的Shellcode无法执行,这就是数据执行保护(Data Execution Prevention, DEP)安全机制的初衷...
2019-09-29 14:18:08
4291
2
原创 CTF中的PWN——无安全防护(栈溢出)
前言 今天心情不错,人最大的敌人真的就是自己!!! 好久没学PWN和逆向了,今天写一篇关于CTF中PWN的文章回忆一下。本文主要讲的是利用栈溢出的基础PWN,分别有使用shellcode类型、满足函数条件类型及使用软件自带system函数类型,其中自带system函数的类型软件因为传参方式不同进而分为32bit与64bit的软件。满足函数条件类型 很low的命名...
2019-09-20 22:35:13
2553
原创 WEB渗透测试之任意用户密码重置
培训几天挖了好几个任意密码重置漏洞,现在总结一下以便以后在密码重置这条路走的更顺畅= =通用流程 任意用户密码一般都是从忘记密码功能点开始,点开后如果发现验证是分步验证的,那么就可以继续搞了,进去后大部分都是第一步进行验证或者发短信验证,成功的话就进入下一步输入新密码的步骤,到这步的话就成功了。第一步输入正确的验证信息或者通过短信验证进入下一步的目的就是为了进入输入新密码的步...
2019-07-24 17:37:25
1094
原创 不常用的访问控制方式——http auth
今天遇到一个http auth方式的访问控制,访问页面时出现输入用户名与密码的验证: 使用ncrack爆破登陆后,当想要爆破目录时,必须每次请求都带着authorication头,使用dirb -H '头爆破': Authorication头形如:Authorization:Basic YWRtaW46YWRtaW4= ,Authorization:...
2019-06-17 14:02:46
1090
原创 做160个crackme中使用OD的知识细节——随时更新
本逆向菜鸟在玩的时候摸索到了几个小尝试,边学边总结。1. 上图逆向中的cmp eax, 0x4比较的是上个call返回的值,因为默认子函数返回值是存储在eax寄存器中的。2. 图中movzx eax , byte ptr ds:[eax]是将eax的一个字节给eax。3. 图中imul dword ptr ds:[0x431750]相当于eax = eax * (存在绝对...
2019-06-02 17:52:04
892
原创 从零开始160个crackMe——Acid burn(1)
拖入PEID查壳发现无壳,拖入OD动态分析。 根据字符串(再写一下根据弹窗找关键函数)找到关键位置找到两处关键跳转并修改为je(jump if equal)即可爆破。接下来破解算法:首破解serial验证的方式先:定位到关键函数:往上找到调用此函数的函数并下断点:F9运行,输入测试serial:123456然后单步步过,观察堆栈及寄存器中值的变化:...
2019-06-02 16:00:56
202
原创 SQL约束攻击
在做bugku的web题时发现一道sql约束的题,果断学习了一下sql约束攻击的知识,以下部分文字及代码引用网址:https://www.freebuf.com/articles/web/124537.html。 后台在接收到用户名与密码后使用了php的函数mysql_real_escape_string()处理,并使用单引号包裹。验证用户名与密码的代码如下:<?ph...
2019-05-22 18:36:49
1827
1
原创 一个数据分析题引发对wireshark的思考
在bugku上做了一个数据分析题,就是找响应里面的flag而已,但是flag是压缩文件。一共有两种做题方法,第一种就是用wairshark分析,具体如下: 黑客使用密码为123的绕狗的脚本,请求的是flag.tar.gz压缩文件,脚本中以X@Y作为开始和结束符。这里在响应体中看不见flag,只是压缩文件。接下来显示分组字节即可:(应该是对8bit字节进行操作) ...
2019-05-22 13:27:02
263
原创 逆向脱壳入门
两个入门级的脱壳的CTF题目,记录一下。一、逆向脱壳入门题目 1.nSpack壳 先用IDA打开看看: 可以看到有壳,而且解析出来的函数很少,对脱壳后的文件如下: 可以看到多出了很多函数。 用ESP定律进行脱壳,OD打开软件后如图: 可以看到了pushad,压入所有寄存器入栈,F8到调用的函数下在右边的ES...
2019-05-21 12:03:38
906
1
原创 逆向基础——IDA伪代码&&ODA快捷键&&C查缺补漏
入坑逆向已经快小半个月了,不得不说入门逆向工程真的难,总结一下小收获。一 IDA中的伪代码 在解答reversing.kr中的easykengen的逆向时,IDA反汇编中有一段语句如下: sprintf(&v13,aS02x,&v13,*(&input + v3++) ^ *(&v6 + i)); 代码中二个点:...
2019-05-11 12:07:33
4876
原创 网络代理和路由器中PAT端口多路复用的关系
一 其实流量在路由器里的IP段私转公及代理原理以前就懂了,最近总是反复去想这个过程(可能是强迫症发作了),索性就把NAT中的PAT和代理的相似性说一下。 二 NAT2.1 NAT NAT地址转换协议分为静态与动态,静态就是一个内网IP对应一个固定的公网IP,动态就是一个内网IP对应一个随机的、公网IP池里的随机公网IP。2.2 PAT PAT是端口...
2018-12-07 10:11:05
808
原创 记一次访问网页的过程深度讲解网络通信原理
ISO网络七层:应用层:HTTP/HTTPS/SSH/FTP/TELNET等,泛指具有网络通讯的应用程序,而这些应用层的协议只是被应用程序应用而已。会话层/表示层没什么好讲的,都是程序员调用的,就是对报文进行编码。传输层:TCP/UDP,基础不讲,作用通俗的讲就是不管怎么传输,数据肯定可以点对点的传输,而传输层的协议就是对这个传输的过程进行控制。网络层:IP/ICMP/IGMP/A...
2018-11-01 17:20:01
3066
2
转载 《Python绝技:运用Python成为顶级黑客》的学习笔记
本篇文章主要把《Python绝技:运用Python成为顶级黑客》中的代码敲一遍,学学Python安全相关的编程与思路,然后根据具体的情况修改一下代码。第一章——入门1、准备开发环境安装第三方库:安装Python-nmap包:wget http://xael.org/norman/python/python-nmap/pythonnmap-0.2.4.tar.gz-On map.ta...
2018-10-30 16:21:18
5986
3
转载 《Python黑帽子:黑客与渗透测试编程之道》的学习笔记
原 关于《Python黑帽子:黑客与渗透测试编程之道》的学习笔记 2017年05月04日 17:20:16 意闲 阅读数:10194 &amp;lt;span class=&quot;tags-box artic-tag-box&quot;&amp;gt; &amp;l
2018-10-30 16:18:42
17400
5
原创 VulnHub打靶の-Acid
靶机地址:https://download.vulnhub.com/acid/Acid.rar首先nmap -sP 或netdiscover -r来找靶机的IP,此为192.168.1.171nmap -sV -p- 192.168.1.171扫描靶机的全部端口的服务版本:root@Kali-X86:~# nmap -sV -p- 192.168.1.171Starting Nmap...
2018-10-12 12:11:10
1174
原创 VulnHub打靶のLazySysAdmin
靶机地址: https://drive.google.com/uc?id=0B_A-fCfoBmkLOXN5Y1ZmZnpDQTQ&export=downloadnmap -sP 或netdiscover -r 扫描目标机:这里192.168.1.159为目标机。nmap开路扫描全端口:root@Kali-X86:~# nmap -sV -p- 192.168.1.159St...
2018-10-09 13:53:42
1441
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人