- 博客(17)
- 收藏
- 关注
RSS订阅转载 KERNEL32.dll的ExportTable以及如何查找导出的函数
我的上一篇博客Analysis of notepad process loading涉及的程序是没有ExportTable的,所以这一篇呢,就分析一下DLL里的ExportTable,以KERNEL32.dll为例。首先在Hex Edit里打开KERNEL32.dll:可以看出,KERNEL32.dll还是符合PE文件格式滴~① ExportTable(RVA):00 0B 4D...
2017-12-01 11:20:00
361
转载 Analysis of notepad process loading
因为上一篇博客PE文件格式学习笔记 ,我萌生了分析Windows7系统自带记事本程序的process loading过程的念头。正好,自己也亲自计算一下其中的细节,毕竟这都是逆向的基本功呀。当然文中可能有些许错误,恳请大家指正 :)①Headersthe DOS Header is parsed.the PE Header is parsed. (its offset is...
2017-12-01 11:17:00
123
转载 常见网络攻击手法总结
略凌乱…一、拒绝服务TCP SYN泛洪ping泛洪放大攻击 <== 充分利用广播地址。发送伪造包至广播网,受害者被大量回复数据包淹没分布式Dos泛洪 <== 僵尸网络攻击Dos攻击一个受害者二、畸形数据死亡之ping泪滴 <== 发送具有重叠偏移量的数据包片段SYN比特和FIN比特同时设置没有设置任何标志的TCP报文攻击设置了FIN标志却没有...
2017-11-30 14:15:00
513
转载 scapy WiFi 中间人攻击
等待Probe-Request包后,回复伪造的Probe-Response包。注意:我们的函数handle_packet()收到authentication包后会执行send_auth_response(),该函数首先会检查authentication包是否是我们自己发出去的。因为scapy没有特别区分authentication包,它把authentication request包和...
2017-11-06 10:22:00
564
转载 scapy WiFi deauth攻击
成功的关键在于:发送deauth包的速度要快。实测这样的代码是行不通的:pkt = RadioTap() / \Dot11(subtype=0xc,addr1=dest, addr2=bssid, addr3=bssid) / \Dot11Deauth(reason=3)timeout=1while True: sendp(pkt, iface=iface) ...
2017-11-01 12:01:00
873
转载 抓包802.11的坑
环境:台式机、Ralink 802.11无线网卡、Ubuntu、wireshark抓了好久,只抓到了Beacon、Probe Request、Data,其他帧根本都没有!后来,换成自带无线网卡的笔记本抓,好了。看来,无线网卡是坑啊。转载于:https://www.cnblogs.com/spenghui/p/7761615.html...
2017-10-31 15:07:00
226
转载 WEP、WPA、WPA2
选译自 Understanding Network Hacks 8.8~8.10【博主注】此文比较小白,想了解更多请查阅IEEE Std 802.11。我这里有802.11i-2004WEPWEP用来加密的key要么是64要么是128 bit,但实际上只有40或104 bit。因为前24 bit是IV(initialization vector),用于保证加密每个帧的key不总是相...
2017-10-30 16:51:00
287
转载 开DEP与不开DEP
测试环境:Win7 32测试代码:#include "stdafx.h"#include <string.h>int _tmain(int argc, _TCHAR* argv[]){ char buf[500]; buf[499]=0xbb; strcpy(buf,argv[1]); return 0;}为了排除其他安全机制的...
2017-10-16 17:26:00
374
转载 《Exploit 编写系列教程》踩坑记
Exploit 编写系列教程第一篇:基于栈的溢出①用armitage生成shellcode:sudo /etc/init.d/postgresql startsudo msfdb initsudo msfconsole #启动后用db_status查看一下数据库连接状态再打开armitage,生成shellcode:②P18页最终想要Exploit弹出系统自带计算器,这里有...
2017-10-11 16:22:00
807
转载 突破ASLR之理论篇
ASLR在Windows Vista后才真正发挥作用,它包含:映像随机化①、堆栈随机化②、PEB和TEB随机化③。①、③的随机化效果其实不太好;②确实可以防范精确攻击,但鉴于有jmp esp、heap spray等不需要精确跳转的攻击手法,因而防范作用有限。突破ASLR的方法:攻击未启用ASLR的模块利用部分覆盖进行定位内存地址:虽然此时栈里的函数ret_add、异常处理函数...
2017-10-08 18:40:00
215
转载 突破DEP之理论篇
DEP(Data Execution Prevention),当程序尝试在数据页面上执行指令时,CPU将抛出异常。DEP会阻止数据页(如默认的堆页、各种堆栈页以及内存池页)执行代码。DEP有软件DEP(即SafeSEH)、硬件DEP。要突破软件DEP参见突破SafeSEH要突破硬件DEP可考虑:攻击那些不支持硬件DEP的CPU - -||攻击那些老版本的(早期的操作系统对DE...
2017-10-08 16:56:00
206
转载 堆溢出利用
1. 堆的数据结构堆表索引空闲态堆块,重要的堆表有两类:空表、快表。我们通过下面代码练习识别堆表、堆块:#include <windows.h>main(){ HLOCAL h1,h2,h3,h4,h5,h6; HANDLE hp; hp = HeapCreate(0,0x1000,0x10000);//InitialSize:0x1000, ...
2017-10-08 12:30:00
307
转载 突破SafeSEH之理论篇
工作原理:编译器启动SafeSEH选项后,在编译时将所有异常处理函数地址编入一张表,俗称“良民册”。当程序调用异常处理函数时,会检查该函数是否位于该册①。①处再具体一些:检查异常处理链是否位于当前程序的栈中,若不在则停止调用异常处理函数检查异常处理函数指针是否位于当前程序的栈中,若在则停止调用异常处理函数前两个通过则调用RtlIsValidHandler()来验证异常处理函数的...
2017-10-08 12:25:00
143
转载 突破GS之理论篇
GS就是一个缓冲区溢出标志,如果发生缓冲区溢出,该标志会被覆盖,导致其值和其在.data区域的备份值不同,由此系统进入异常处理流程,函数不会正常返回,ret指令也不会执行。以下情况VS不会开启GS:函数不包含缓冲区函数被定义为具有变量参数列表函数使用无保护的关键字标记函数在第一个语句中包含内嵌汇编代码缓冲区不是8字节类型且大小不大于4字节开GS和不开GS的对比(此处均关...
2017-10-07 17:28:00
336
转载 汇编基础
(本文更新ing...)0. 一些命令汇编命令等价伪代码mov eax, ecxeax=ecxadd eax, ecxeax+=ecxsub eax, ecxeax-=ecxinc eaxeax++dec eaxeax--lea eax, [ecx+4]eax=ecx+4leavemov esp ebp,pop eb...
2017-09-16 16:10:00
231
转载 第一个shellcode
参考手把手简易实现shellcode及详解0. 一个弹出shell的小程序bump_shell.c:#include<unistd.h>#include<stdlib.h>char *buf[]={"/bin/sh",NULL};void main(){ execve("/bin/sh",buf,0); exit(0);}gcc...
2017-09-16 14:36:00
171
转载 shellcode开发基础
本文是一些比较基础的shellcode开发技巧,有些技巧可能已经过时了。所有内容均摘自《0day安全软件漏洞分析技术 第二版》关于exploit和shellcode的区别:植入代码前需要大量调试,如,弄清程序有几个输入点,这些输入将最终会当做哪几个函数的第几个参数读入到内存的哪一个区域,哪一个输入会造成栈溢出,在复制到栈区的时候对这些数据有没有额外的限制等。调试之后,还要计算函数...
2017-09-16 11:17:00
185
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人