- 博客(243)
- 资源 (2)
- 收藏
- 关注
RSS订阅
原创 kali新手入门教学(1)--安装后的配置
OK,第一次写博客,可能经验不是很足,有不到位的地方还请各位见谅。最近在自学kali,然后kali是一个更新较快的系统,虽然网上教程也很多,但有的可能过时了,所以我就把我这段时间的经验分享一下。首先,大体的安装晚上资料很全,我主要来分享一下安装后的操作.1.修改更新源,加快更新速度命令如下:vi /etc/apt/sources.list然后复制粘贴即可#中科大deb http://...
2020-05-08 16:16:04
7874
1
原创 后渗透--利用ebpf隐藏后门用户
首先我们要搞清楚ssh登陆的流程先获取到ssh的pid然后利用strace可以看到他打开了/etc/passwd去读取内容那么我们的思路就很简单,hook ssh进程的read syscall exit,然后篡改返回内容。
2024-03-13 16:31:47
326
1
原创 sizeof容易出错的地方
sizeof(long) // 通常与操作系统位数相同,32 位系统是 4 字节,64 位系统是 8 字节。sizeof(int) // 通常 4 字节(在 16 位系统上可能是 2 字节)sizeof(char *) // 通常 32 位系统是 4 字节,64 位系统是 8 字节。sizeof(long double) // 大小因实现而异,通常 12 或 16 字节。sizeof(long long) // 通常 8 字节。1.使用strlen去做。
2024-03-13 15:46:59
234
原创 ebpf入门---监听所有新进程
eBPF 全称 extended Berkeley Packet Filter,中文意思是 扩展的伯克利包过滤器。一般来说,要向内核添加新功能,需要修改内核源代码或者编写 内核模块 来实现。而 eBPF 允许程序在不修改内核源代码,或添加额外的内核模块情况下运行。
2024-03-08 16:03:55
361
原创 CVE-2024-21626 利用场景
对于业务来说,给一个上面的恶意镜像,然后可以加一个CMD 反弹shell。有些产品可以指定working Dir 也就是cwd 那么也受影响。2.控制working DIr。1.恶意Dockerfile。
2024-02-01 10:23:12
1073
2
原创 dnslog检测远程依赖
有时候我们发现远程有一个反序列化的漏洞,但是我们不知道有什么依赖,如果单纯的盲打反序列化链就要一个个试,如果知道依赖了以后我们也方便本地构造payload。
2024-01-03 17:49:13
484
原创 从fuzz视角看CTF堆题--qwb2023_chatting
注意异常处理部分注意每一个流程完整的生命周期,防止当前流程触发的异常实际是上一个操作的不要随意忽视看起来没有效果的操作,除非能保证去除那些操作之后不影响fuzz的结果,或者说除非我们从代码层面能够保证实际是没有效果的。
2024-01-03 17:48:21
1002
原创 java创造对象
会逐步向上解析,将所有非static的成员变量加入到当前的ClassData。NEW aa分配内存大小的时候也是会计算上来自继承的字段大小。可以看到我们先 NEW aa分配内存大小。java创造对象主要分为以下几个步骤。
2023-11-15 11:02:48
162
原创 云安全(2)--CAP_SYS_MODULE逃逸
发现有CAP_SYS_MODULE权限,那么直接往内核注入恶意module,我们直接在容器里面安装必备的东西。然后使用capsh decode一下。make all编译一下。
2023-10-20 19:36:46
360
原创 云安全(1)--初识容器逃逸之特权容器逃逸
在10.15号的上海中华武数杯的渗透赛里做到了一个k8s的题目,这应该是我第一次在比赛里面实际做到云安全的题目(之前可能也有,记不清了)。但可能并不是很多人都了解云安全,这里我就简单在博客里面分享一点云安全的知识,从容器逃逸到k8s攻防,有兴趣的可以关注一下。
2023-10-20 19:24:29
281
原创 自动化渗透测试&&自动化挖掘src(2)
上一谈我们讨论了自动化渗透测试的实验,但是他过于依赖fofa,不得不承认,fofa在资产收集这方面做的确实很厉害,但是就是需要花钱,那有没有不需要花钱都手段呢,当然是有的。
2023-05-14 17:14:27
642
1
原创 python一键删除误触复制的文件
现在拍照有时候多选照片不小心变成了复制,一个个删除太麻烦,就出现了如下脚本。第一遍可以print一下看看是不是要删的,然后取消注释就好。
2023-04-05 20:15:12
100
原创 mysql-connector-java-8.0.28 mysql恶意服务器jdbc反序列化失败原因
mysql-connector-java-8.0.28 mysql恶意服务器jdbc反序列化失败原因
2022-12-08 11:39:14
673
原创 glibc-2.23-free
文章目录测试代码测试代码和上节保持一样#include<malloc.h>int main(){ void *p=malloc(0x18); free(p); p=NULL;}
2022-05-17 14:41:32
592
1
原创 kernel-pwn学习(4)--Double Fetch&&0CTF2018-baby
文章目录题目附件附件分析分析init分析start.sh分析驱动ioctlsub_25chk_range_not_ok攻击泄露flag地址构造我们的flag结构体编写修改flag的子函数exp这个题目其实总体来说漏洞不算复杂,就是一个挺简单的条件竞争题目附件附件这里面其实只需要下载.tar.gz附件分析别被命名欺骗了,其实只是个tar这里的core.cpio是没有压缩过的,所以我们只需要这样就可以这里面exp,exp,c core.cpio,以及fs.sh都可以删了fs.sh其
2022-04-22 16:49:07
277
原创 kernel-pwn学习(3)--ret2user&&kernel ROP&&QWB2018-core
文章目录题目分析附件结构分析start.sh分析文件结构init分析驱动分析保护ioctl攻击泄露kernel base找到需要用的函数的偏移开始利用驱动漏洞泄露canaryROP返回到用户态触发栈溢出final exp这个题目其实这两种做法区别不大,就是提权时候ROP会复杂很多,其实对应于我们用户态的时候ROP去完成ret2text的工作,道理差不多,我就主要分析一下ret2user题目分析附件附件结构分析这是附件里面的内容,下面4个就是exp和exp源码,上面两个是驱动分析,主要内容就是ta
2022-04-21 19:46:45
504
原创 kernel-pwn学习(2)--kernel uaf&&CISCN2017 - babydriver
文章目录CISCN2017 - babydriverCISCN2017 - babydriver题目附件这道题目由于不需要利用ROP构造,所以也不需要通过vmlinux来获得gadget
2022-04-20 18:16:02
621
原创 kernel-pwn学习(1)--环境搭建
文章目录gdbpwndbgqemu虚拟机配置常见的kernel-exploit例子由于本来的deepin系统太卡了,就重新换了一个ubuntu 20的系统,那就重新开始配环境吧,有些可能会和用户态的重复gdb这个系统自带就不说了pwndbg我个人比较喜欢用pwndbg,下面配置一下首先需要安装一下gitsudo apt install git然后git获取git clone https://github.com/pwndbg/pwndbgcd pwndbgsudo ./setup.s
2022-04-20 09:57:17
1730
1
原创 ctf遇见题目close(1)怎么调试
以d3ctf_2019_unprintablev这个为例这个关闭了1,虽然解法用爆破可以做,但是调试起来很麻烦,我是这样解决的因为stdout是全局变量,所以会在bss里面定义stdout因为close(1)的原理就是关闭了1号文件描述符,所以我们只需要把stdout的文件描述符改成2就好def debug(): gdbscript = """ b vuln c set *(char *)(*(unsigned long int *)$rebase(0x20202
2022-04-13 10:37:44
1372
原创 劫持rtld_global中的函数指针&&hctf2018_the_end
文章目录前言劫持rtld_global中的函数指针exit_function_list__run_exit_handlers调用_dl_fini_rtld_global结构攻击前言在libc-2.23之后,加入了对IO vtable的check机制,所以有本用IO打的hctf2018_the_end转而使用另一种方法,也就是要介绍的劫持rtld_global中的函数指针劫持rtld_global中的函数指针ld相关函数在使用rtld_global时都需要先上锁, 以避免多进程下的条件竞争问题相关函
2022-04-11 15:29:12
995
原创 IO_FILE Exploitation
文章目录简介IO_FILE结构_IO_FILEIO_jump_t图示利用原理exit函数vtable checkexit函数的广泛性exit函数exit调用__run_exit_handlersRUN_HOOK__run_exit_handlers调用_IO_cleanup_IO_cleanup调用_IO_unbuffer_all例题hctf2018_the_end题目分析伪造vtable修改vtable地址为我们伪造的区域attackdlfini简介IO_FILE Exploitation也是ctf里
2022-04-11 14:54:13
1143
原创 fastbin关于chunk size检查问题&&花式泄露libc&&极限getshell&&huxiangbei_2019_namesyste
上图就是大家很熟悉的关于fastbin大小的一个检查首先是里面一层 chunksize以及外面一层这是c源码而对于汇编层面,由于运行的时候知道具体是32位还是64位,所以做了一定的优化r15就是我们对应的chunk头地址,+8就是size的起始地址但注意看,我们其实只是取了size的低8位那么这里就是绕过的关键,网上很多地方其实讲的都不是很多只要我们找到的size的地方低8位满足如下要求即可000000yxy满足在2~8之间就好,x随意同时size高八位也随意因为可以看到我.
2022-04-10 17:24:02
2736
原创 花式shellcode&&inndy_leave_msg
文章目录inndy_leave_msg题目分析保护漏洞攻击利用思路exp最近做了几个题目,都是要利用写shellcodeshellcode一定要利用好当前的寄存器环境inndy_leave_msg inndy_leave_msg题目分析保护这里的栈和堆都是可以执行的,由于我的内核版本较高,所以看上去堆不可执行对于高版本内核,execstack只是允许栈可执行,要想让所有data都可以执行,需要利用execall漏洞buf可以用来写shellcode,但无法溢出覆盖返回地址由于这里有
2022-04-05 09:57:24
242
原创 利用rsp进行shellcode跳转&&缩短shellcode&&csaw2018_shell_code
文章目录csaw2018_shell_code题目分析题目保护漏洞攻击第一块的shellcode栈溢出的shellcodeallpayload最近做了挺多这种缩短shellcode的题目,其实大概思想就是要利用现有的寄存器条件缩短shellcode,当然还是有一些基础的缩短shellcode的方法,用push pop来替换movcsaw2018_shell_codecsaw2018_shell_code题目分析题目保护栈可执行漏洞这两个地方可以填入shellcode这里有个告诉栈地址
2022-04-04 15:45:48
462
原创 如何在有限的plt下getshell&&cscctf_2019_qual_babystack
文章目录cscctf_2019_qual_babystack题目分析保护漏洞plt攻击大致思路调试第一次溢出的payloadgetshellallpayload最近做的题目都比较有意思啊,这个题目也一样cscctf_2019_qual_babystackcscctf_2019_qual_babystack题目分析保护漏洞直接来了个栈溢出,我开始说这不是傻逼题目吗plt我靠,只有读的,这不完犊子了吗攻击大致思路大致思路就是ROP但怎么泄露libc调试可以看到地址只有最后一
2022-04-04 14:32:09
246
原创 利用printf调用malloc getshell&&0ctf2017_easiestprintf
文章目录0ctf2017_easiestprintf题目分析保护源码do_readleave攻击泄露libc如何劫持控制流printf源码分析小结开始利用__free_hook替换成gadget__malloc_hook换成one_gagdet最后一种解法首先题目名字严重…漏洞看上去很简单,但真的好难0ctf2017_easiestprintf0ctf2017_easiestprintf题目分析最难的题目往往代码很简单保护RELRO 全开,也就是不能修改fini,init,got表来劫持控制流
2022-04-03 17:59:57
1038
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人