- 博客(47)
- 收藏
- 关注
RSS订阅
原创 vulntarget-b 免杀火绒,多层域控内网靶场
靶场环境:项目地址:涉及知识点:极致cms相关漏洞、禅道cms相关漏洞、隧道代理、免杀、CVE-2021-1732 、CVE-2021-42287/CVE-2021-42278kali攻击机 ip:192.168.127.129。
2023-12-31 22:42:43
1915
1
原创 ctfshow pwn51
文章摘要:分析32位程序的保护机制,发现RELRO防护。通过IDA分析找到存在漏洞的strcpy函数,未校验大小导致缓冲区溢出。发现后门函数"cat/ctfshow_falg",地址为0x804902e。利用输入字符"I"被替换为"IronMan"的特性构造payload:16个"I"加后门地址。最终成功复现漏洞,获取flag。
2025-10-23 16:47:26
312
原创 ctfshow pwn50
本文分析了64位程序的溢出漏洞利用方法,重点研究了两种攻击链构造方式。首先通过gets()函数溢出漏洞,结合ROP技术泄露libc基地址,实现了直接调用system("/bin/sh")的RCE攻击。其次深入探讨了利用mprotect函数修改内存权限的方案,通过获取libc中的gadget控制三个寄存器参数,将BSS段设置为可执行后写入并执行shellcode。文章详细记录了偏移计算、地址泄露、权限修改等关键步骤,并提供了完整的PoC代码。最后通过gdb调试验证了内存权限修改前后的变化,
2025-10-23 16:45:35
1364
原创 ctfshow pwn49
这篇文章分析了一个32位程序的漏洞利用过程。程序开启了RELRO和NX保护(误报Canary保护),采用静态编译。分析发现read函数存在栈溢出漏洞,偏移量0x12。通过构造ROP链利用mprotect函数修改.got.plt段(地址0x80DA000)的权限为可读可写可执行,再利用read函数写入shellcode。关键点包括:1)必须保证mprotect参数的内存页对齐(4KB倍数);2)选择.got.plt段因其固定地址和函数指针存储特性;3)ROP链需精心构造参数传递。最终利用流程为:栈溢出→调用m
2025-10-22 14:47:01
1306
原创 ctfshow pwn48
本文分析了32位程序的RELRO保护机制,发现get()函数存在溢出漏洞。通过IDA分析,利用puts函数泄露libc地址,构造利用链:先获取puts函数的plt和got表地址,计算libc基址后确定system和/bin/sh地址。最后构造两个POC实现漏洞利用:第一个使用已知libc版本,第二个使用LibcSearcher自动匹配。成功利用栈溢出漏洞获取shell权限,实现远程漏洞复现。整个过程涉及ELF结构分析、内存地址泄露和ROP链构造技术。
2025-10-22 14:45:40
176
原创 ctfshow pwn47
摘要:该32位程序开启了RELRO保护,通过IDA分析发现存在gift函数泄露"/bin/sh"地址和ctfshow函数中的gets溢出漏洞。利用步骤包括:1)通过泄露的puts函数地址计算libc基址;2)查找匹配的libc版本获取system函数地址;3)构造包含160字节填充、system地址和binsh参数的ROP链。最终利用脚本成功实现远程代码执行,获取shell权限。整个攻击过程结合了地址泄露、libc版本识别和ROP链构造技术,成功绕过RELRO保护机制。
2025-10-21 09:58:26
302
原创 ctfshow pwn46
system 函数属于libc,而 libc.so 动态链接库中的函数之间相对偏移是固定的,即使程序有 ASLR 保护,也只是针对于地址中间位进行随机,最低的 12 位并不会发生改变。分析程序所开启的保护,该程序是64位的程序,并且我们还发现开启了RELRO(RELRO(ReLocation Read-Only)是Linux系统中用于增强二进制文件保护的安全机制,通过限制动态链接表(如GOT表)的修改权限来防止攻击。,接着就是如何泄露出基地址了。最后poc也就和正常的调用system一样了。
2025-10-21 09:51:13
358
原创 ctfshow pwn45
摘要:该分析针对32位程序中的ret2libc漏洞利用。程序开启了RELRO保护,但存在read函数溢出漏洞。通过IDA分析发现无system函数和"/bin/sh",需利用libc中的函数偏移特性构造ROP链。首先通过write函数泄露libc地址,计算基址后获取system和"/bin/sh"的地址。构造两次payload:第一次泄露write地址并返回main,第二次调用system获取shell。文章详细说明了payload构造原理、地址计算方法和POC实现过
2025-10-20 17:34:35
846
原创 ctfshow pwn44
摘要:该64位程序因gets()函数存在栈溢出漏洞,仅开启NX保护。逆向分析发现缺少"/bin/sh"字符串,需手动写入可写段(0x602000-0x603000)。利用ROP链构造攻击:通过pop_rdi控制参数传递,先后调用gets()写入"/bin/sh"和system()执行命令。提供两种POC构造方式,第二种更精简可靠。最终利用脚本通过18字节偏移量覆盖返回地址,成功实现远程代码执行。漏洞验证表明可稳定获取服务端shell权限。
2025-10-20 17:30:42
874
原创 ctfshow pwn43
摘要:本文分析了一个32位程序的栈溢出漏洞利用过程。通过IDA逆向发现main函数中的ctfshow()存在gets()漏洞,可导致栈溢出(偏移量为0x6c+4)。利用思路分为两种:1) 构造payload调用gets()写入"/bin/sh"到可写内存段(0x804b000-0x804c000),再调用system()执行;2) 使用ROP技术,通过pop_ebx调整栈指针后执行system()。文章详细说明了两种payload的构造方法、参数传递原理及栈平衡机制,并验证了漏洞利用的有
2025-07-24 17:26:48
1069
2
原创 ctfshow pwn42
本文探讨了64位汇编调用约定及栈溢出漏洞利用技术。文章首先说明64位系统中前6个参数通过寄存器(rdi,rsi,rdx,rcx,r8,r9)传递,超过部分从右向左入栈。针对存在system函数但无/bin/sh字符串的情况,提出通过泄露libc地址获取必要参数的方法。重点分析了缓冲区溢出漏洞的利用过程,包括计算偏移量、查找gadget地址(pop_rdi,ret)和构造ROP链。最后给出了完整的Python利用代码,通过填充缓冲区、控制程序流调用system("/bin/sh")成功获取
2025-07-24 17:23:59
573
原创 ctfshow pwn41
摘要: 该分析报告描述了一个32位程序中的栈溢出漏洞利用过程。通过逆向分析发现ctfshow()函数中的read()存在缓冲区溢出漏洞(0x14字节限制但可输入0x32字节)。程序包含hint()和useful()函数,其中"sh"字符串可替代"/bin/sh"。利用ROPgadget找到system函数地址(0x80483d0)和sh字符串地址(0x080487ba),构造包含22字节填充、system地址、占位符和sh地址的payload。最终通过远程连接发送pa
2025-07-23 15:10:34
500
原创 ctfshow pwn40
摘要:本文分析了一个32位程序存在的栈溢出漏洞,通过逆向分析发现read函数存在缓冲区溢出。程序虽包含后门函数,但需要组合利用。通过ROPgadget工具找到关键地址:system函数(0x400520)、"/bin/sh"字符串(0x400808)和pop_rdi指令(0x4007e3)。构造的payload利用栈溢出覆盖返回地址,先跳转到pop_rdi将"/bin/sh"地址存入rdi寄存器,再调用system函数执行shell。最终验证通过发送构造的payloa
2025-07-23 14:58:32
765
原创 ctfshow pwn39
摘要:本文分析了一个32位程序的栈溢出漏洞利用过程。程序在ctfshow()函数中存在read函数缓冲区溢出漏洞,虽然存在后门函数hint()但无法直接获取shell。通过逆向分析,定位到system函数地址(0x80483A0)和"/bin/sh"字符串地址(0x8048750),构造了包含22字节填充、system函数地址、返回占位符和参数地址的payload。最终利用pwntools编写攻击脚本成功获取目标系统权限,验证了漏洞利用的有效性。攻击过程展示了如何通过ROP技术组合现有代
2025-07-22 13:52:06
349
原创 ctfshow pwn37
分析发现32位程序存在栈溢出漏洞,read函数可写入0x32字节但buf仅0x14字节。程序中存在后门函数backdoor(0x8048521)。通过构造22字节填充+p32(backdoor地址)的payload成功实现溢出攻击,获取了服务端权限。验证时使用socat挂载程序到10001端口,攻击端运行exp成功提权。
2025-07-21 10:53:49
301
原创 PWN工具相关介绍
IDA是一款功能强大的反汇编工具,提供了丰富的快捷键和功能,帮助用户进行代码分析和调试。主要功能包括导航视图跳转、数据类型转换、函数操作、注释与标记、搜索与交叉引用、调试控制等。Pwntools是一款专为安全研究人员设计的工具,支持快速开发漏洞利用脚本,提供数据交互、地址构造、shellcode生成等功能,并与GDB深度结合,提升调试效率。Pwngdb是GDB的增强插件,专注于堆操作和调试辅助,支持动态调试和内存泄漏分析。此外,文章还介绍了checksec工具,用于检查二进制文件的安全保护机制,如RELRO
2025-05-09 11:40:16
1155
原创 指令集以及栈堆介绍
生成机制栈内存由编译器自动管理,通过函数调用分配和释放。函数调用时,栈帧被压入栈,包含局部变量、参数和返回地址。函数返回时,栈帧弹出,内存自动释放。生成机制堆内存需显式申请和释放,生命周期由程序员控制。通过动态内存管理函数手动操作。
2025-05-06 13:39:06
1194
原创 JNDI基础
JNDI(Java Naming and Directory Interface,Java命名和目录接口)是一个Java API,允许 Java 应用程序与命名和目录服务进行交互。这些服务可以是本地的,也可以是分布式的,可以基于各种协议,如LDAP(轻量级目录访问协议)、DNS(域名系统)、NIS(网络信息服务)等。JNDI 的主要目的是为了统一不同命名和目录服务的访问方式,使得Java应用程序能够以一种统一的方式来访问这些服务,而不必关心底层的实现细节。
2024-12-20 15:52:47
1348
原创 RMI介绍
RMI 是 Java 中的一种技术,全称为远程方法调用(Remote Method Invocation)。它的作用是允许你在不同的 Java 虚拟机(JVM)之间进行通信,就像在同一个 JVM 中调用方法一样,调用远程方法。这些虚拟机可以在不同的主机上、也可以在同一个主机上。RMI 是 Java 的一组拥护开发分布式应用程序的 API。RMI 使用 Java 语言接口定义了远程对象,它集合了 Java 序列化和 Java远程方法协议(Java Remote Method Protocol)。
2024-12-20 15:52:08
1355
原创 JAVA反序列化链之URLDNS链
跟进URL类中的hashCode()方法,这个hashCode()的值在调用put方法之后,我们将其又重新定义为了"-1"从而确保是反序列化来触发的请求。运行后查看DnsLog平台,发现触发了请求,也就是说,我们直接进行这样构造,不进行反序列化操作,就能触发DnsLog请求。值是私有的,因此无法直接进行更改,因此将其进行反射,将其修改为除"-1"意外的其他值。没错,在第二段中的put函数,和这个一样。,它定义了一个K类型的key变量,然后对反序列化的输入流进行反序列化,并把反序列化出的键赋值给key变量。
2024-12-16 09:54:55
1010
原创 应急溯源专题,电脑被黑客攻击了?看我怎么恢复并找到攻击者
我在我vps部署了一个空口令的redis靶场,因为我靶场是在公网的(别问我为啥部署在公网,公网打着有感觉),没想到打着打着被别人get shell了,打的时候发现服务器特别卡,腾讯云也发短信提示我。于是马上进行应急排查,发现cpu跑到100%了,还有对外攻击行为。好家伙,由此有了以下应急响应的经过。(正好HW将至,这篇文章也许能帮助各位师傅了解相关挖矿木马的排查)
2024-05-06 11:30:08
1660
5
原创 代码审计中应注意的命令执行函数以及命令
在ob_start系统的callback函数中,如果指定的callback函数包含执行代码,那么也可能是执行代码的来源。类似于os.system(),subprocess.call()运行一个命令,等待它完成,然后返回返回码。该函数可以创建一个匿名(匿名)函数,但如果函数的代码是由用户输入构造的,可能会执行不安全的代码。这两个函数可以调用一个用户定义的函数,如果传递的是含有系统命令的字符串,可能被用来执行代码。更复杂的执行外部程序的方法,允许双向通信,读写进程的 STDIN 和 STDOUT。
2024-04-08 16:48:43
1255
2
原创 代码审计sql注入部分函数绕过方法
这里我们可以看到在对代码层面做操作,首先有个函数addslashes,他是一种在PHP中存在的字符串处理函数,它的作用是在指定的字符前添加反斜线。(bf是第一个而5c是第二个),当使用GBK编码遇到两个字节都符合其取值范围时,就会将其解析成为一个汉字,第一个字节取值范围为。这里过滤了太多东西,大小写还有正则,但是我们回到第一张图片,可以看到一个函数:urldecode(),对url解码。在这里,看似可能是安全的,但是还是无法解决问题,因为在第8行的。,有些程序员为了方便,可能也会在这边偷工减料。
2024-04-08 16:45:01
1245
1
原创 ctfshow靶场sql注入wp
alter table `ctfshow_user` change `id` `pass` varchar(255)使用16进制原因:$sql = "select pass from ctfshow_user where username = {$username};前面的是admin,后面的是111,就是将所有用户的密码修改为111,之后登陆即可。过滤了很多,这里使用脚本测试。
2024-03-29 17:04:18
973
2
原创 Linux IRC
主要侧重主机的长期的流量分析,目前个人使用tshark、tcpdump实现了基础的流量分析,后期会进行相应的完善。用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之 后的宽限天数:账号失效时间:保留。用户名:密码:用户D:组D:用户说明:家目录:登陆之后shell 注意:无密码只允许本机登陆,远程不允许登陆。这一块查杀技术相对较高,不是本脚本所需要实现的功能,可以使用D盾来检查。1、系统安全检查(进程、开放端口、连接、日志)
2024-03-29 16:51:30
1083
原创 Linux入侵排查
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
2024-03-29 16:47:06
1092
原创 网络攻防中的信息收集
在我们要针对某个公司进行挖掘漏洞或者src时,前期的信息收集尤为重要,在一定程度上来说,搜索目标资产越多,我们的攻击面以及攻击范围也就越广挖掘到漏洞的可能性也就越大。多说无益,这里举个例子,就拿百度来说,如何确定攻击的目标。给了我们一个百度公司的目标,我们该如何进行漏洞挖掘。首先是查看备案域名。我们可以在法大大、爱企查、天眼查来查看,这里以爱企查为例,查询该公司子域名。可以看到有很多域名,这里以"
2024-03-29 16:06:10
1816
原创 Linux部分命令
和window不同,Linux没有盘路径,所有的文件都存放在一个叫“/”的根路径下面。对比windows表示一个准确的文件名:D:\文件夹1\文件夹2\***.txt (\表示层级关系)对比Linux表示一个准确文件名:/文件1/文件2/***.txt(第一个/是根目录,第二个文件表示层级关系)命令有三种格式:命令本身、选项、参数。
2024-03-29 16:04:43
1137
1
原创 内网渗透笔记之入站出站限制、隧道搭建
背景介绍:域控通过组策略设置防火墙规则同步后,域内用户主机被限制 TCP 出网,其。中规则为出站规则,安全研究者通过入站取得 SHELL 权限,需要对其进行上线控制。正向连接(取得一台有网络的权限,把数据传递给出网的机器,通过出网机器控制)正向连接(取得一台有网络的权限,把数据传递给出网的机器,通过出网机器控制)反向连接&隧道技术也可以解决(前提看限制的多不多)-隧道技术:解决不出网协议上线的问题(利用出网协议进行封装出网)主站出站TCP封杀,入站没有,无互联网。主站出站TCP封杀,入站没有,有互联网。
2024-03-28 10:40:54
1222
5
原创 域信息收集
域的概念:它有一个更加严格的安全管理控制机制,如果你想访问域内的资源,就必须拥有一个合法的身份登陆到该域中,而你对该域内的资源拥有什么样的权限,还需要取决于你在该域中的用户身份。某个域用户需要使用 viso 软件进行绘图操作,于是联系网络管理员进行安装,网络管理员采用域管理员身份登录了域成员主机,并帮助其安装了 viso 软件,于是这个有计算机基础的员工,切换身份登录到了本地计算机的管理员,后执行 mimikatz,从内存当中抓取了域管理员的密码,便成功的控制了整个域。
2024-03-28 10:34:35
802
原创 Windows入侵排查
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。Web 入侵:网页挂马、主页篡改、Webshell系统入侵:病毒木马、勒索软件、远控后门网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Windows 服务器入侵排查的思路。
2024-03-27 15:20:09
1916
6
原创 Linux基础命令
在当前HOME目录内创建文件夹,myenv,在文件夹内创建mkxiake通过vim编辑器,在mkxiake文件内输入 echo xiake但是切换到任何目录后仍然无法执行mkxiake命令。
2023-12-31 22:47:32
1698
14
原创 内网渗透vulntarget-a 多层域控靶场
网络拓扑图如下这里我们本次渗透测试,外网Win7IP地址为192.168.127.91靶机信息:靶机用户名密码Windows 7win7adminAdmin@123Admin#123Admin@666靶机下载地址:https://github.com/crow821/vulntarget这个靶场是我第一个搭建在本地上的靶场,虽然中路有很多挫折,比如在前期配置外网网卡时候,发现DHCP一直分配不上ip地址,一直是168.254.X.X,好在后面及时发现问题,发现网卡设置错了。
2023-12-22 15:31:07
3096
27
原创 Apache-RCE、目录遍历漏洞、文件解析
Apache HTTP Server 2.4.49、2.4.50 版本对路径规范化所做的更改中存在一个路径穿越漏洞,攻击者可利用该漏洞读取到 Web 目录外的其他文件,如系统配置文件、网站源码等,甚至在特定情况下,攻击者可构造恶意请求执行命令,控制服务器。Apache HTTPD 是一款 HTTP 服务器。其 2.4.0~2.4.29 版本存在一个解析漏洞,在解析 PHP 时,1.php\x0A 将被按照 PHP 后缀进行解析,导致绕过一些服务器的安全策略。
2023-12-21 17:18:16
1981
1
原创 python框架漏洞
此博客讲述的是基于python框架的各种漏洞复现以及原理,包括sql注入以及ssti模板注入进行复现的过程,以及造成漏洞形成的粗略原理,靶场环境来自vulhub。
2023-12-10 14:40:15
1809
TscanPlus综合利用工具
2024-03-29
EHole(棱洞)-红队重点攻击系统指纹探测工具魔改版
2024-03-29
OCR图片文本识别工具2.0
2024-03-28
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人