Expl0it_-优快云博客

原创 Codeql 数据拓展文件记录

Codeql 在对某些语言的规则添加上使用了 Models as Data (MaD)的方式。这种方式让使用者可以简单的添加 yaml 文件（数据拓展文件），就将想要的代码特征注入到codeql 检查引擎中。看起来非常好用。有点像以前fortify 的方式了，但是比fortify简单多了。

2024-11-29 14:34:16 823

原创模糊查询点的注入小记录

遇到一个注入点，sqlmap跑不出来。看了下源码，确认一定是存在注入。但是后端屏蔽了数据库异常。由于我是白盒测试，可以直接搜索应用日志进行语句构造。

2024-11-20 00:31:43 196

代码扫描过程中，经常会遇到使用yaml 配置文件的情况。但是yaml 文件，codeql 目前只有javascript 的数据库会包含。就是其他语言（go, java)，你是用yaml配置文件。codeql 默认构建数据库不会解析yaml，导致漏报一些硬编码的问题。执行完成后, 我的 codeql-db 目录就会有两个子目录一个go, 一个javascript。在独立去执行分析命令就可以了。构建过程中添加构建一个 javacript 数据库。--language 加参数。

2024-11-08 16:39:48 378

原创 codeql yaml 文件规则编写

当然这个demo会存在大量误报，只需要对key 和 val 进行添加限制规则就可以了。简单说下原理，我们可以认为，yaml 文件的在codeql 解析中，每一个基础配置对。都可以看成是一个map 对应的 QL 类 YamlMapping。本文需要解决的问题：yaml配置文件硬编码的规则怎么写。那么规则就很简单了。

2024-11-08 16:31:26 161

原创 Codeql Java Reftype记录

在官方提供的不安全的反序列化漏洞java/unsafe-deserialization 的sink 代码中是这么使用 FastJsonParseMethod 的。这个方法的定义类型属于 Fastjson的JSON类。最近在看codeql 对 fastjson 的误报。意外的发现codeql 标准库对java的支持比go要友好多了。我们可以很轻松的利用它来抽象代码结构。比如 fastjson的 json.parseObject和parse的写法。这里先把fastjson 的JSON 类型定义出来。

2024-09-04 00:12:01 391 1

原创 Codeql 数据库移动

codeql 怎么正确的挪动数据库文件夹。

2023-12-11 14:33:43 534

转载 PHP源码中unserialize函数引发的漏洞分析

前言前端时间看到三个白帽中有一道题目是php反序列化的，于是想抽空研究一下这个漏洞。后来就再网络上找到了这篇文章，通俗易懂。就转载过来了。0×01 unserialize函数的概念首先看下官方给出的解释：unserialize() 对单一的已序列化的变量进行操作，将其转换回 PHP 的值。返回的是转换之后的值，可为 integer、float、string、array 或 ob

2015-12-03 16:21:57 1277

转载对抗拖库 —— Web 前端慢加密

看得不太明白，MARK0x00 前言天下武功，唯快不破。但密码加密不同。算法越快，越容易破。0x01 暴力破解密码破解，就是把加密后的密码还原成明文密码。似乎有不少方法，但最终都得走一条路：暴力穷举。也许你会说还可以查表，瞬间就出结果。虽然查表不用穷举，但表的制造过程仍然需要。查表只是将穷举提前了而已。密码加密，用的都是单向散列计算。既然单向，那就是不可逆，那只能穷举

2015-12-02 15:41:56 412

原创 centos 设置 IP

centos 6 设置IP我知道有两种。1. 临时设置：ifconfig 网卡 ip地址网络掩码网关2. 用配置文件永久设置：/ETC/SYSCONFIG/NETWORK-SCRIPTS/IFCFG-ETH0SERVICE NETWORK RESTART大概就是这样啦。细节操作的时候就想得起来

2014-12-30 01:02:35 395

转载 XP环境 boot.ini 关闭 DEP

在boot.ini文件中启动项/NoExecute=OptOut 　　－－DEP被打开，且一切服务都使用dep　 /NoExecute=OptIn 　　　－－DEP被打开，只对ms自带服务起作用 /NoExecute=AlwaysOff --关闭dep功能,好象和/execute 很有不同.这个是真正的禁止使用 /execute 　　　　　　　－— DEP被关闭。因为修改b

2014-05-12 21:46:34 663

原创免杀小结（特征码）

然后在C32里面打开两个文件，一个是马，一个是数字签名提供方，把数字签名复制过来，记住马的数字签名的起始位置，拿到loadPE里面添加一个数字签名区段，OK。其实就是加个区段，然后把函数的前几句nop,跳转到0区段，在该区段添加上函数被去掉的指令，再跳到原来语句的下一句。：特征参还是在指令区，但是我们发现，指令下面存在纯0区，那么，我们把原来的地址用nop填充了，把其它指令扔到纯0区去不就可以了？土办法3（大小写）：在C32中打开，假如特征码处是数据区，并且是字母，可以尝试更改大小写。

2014-03-28 18:38:47 692

转载（孙鑫C++）windows 程序内部运行原理

一.Windows程序内部运行原理1.关于消息和消息队列系统将每个事件都包装成一个称为消息的结构体MSG来传递给应用程序，MSG结构定义如下：typedef struct tagMsg{ HWND hwnd; UINT message; //消息种类，以WM_开头的一些消息 WPARAM wParam; //这两个是消息的补充 LPARAM lParam; DWORD

2014-03-26 23:24:14 783

转载 IE下操作javascript 进行文件读写

JS读取文件,Javascript之文件操作 (IE) 一、功能实现核心：FileSystemObject 对象要在javascript中实现文件操作功能，主要就是依靠FileSystemobject对象。二、FileSystemObject编程使用FileSystemObject 对象进行编程很简单，一般要经过如下的步骤：创建FileSystemObjec

2014-03-23 21:43:57 552

转载献给汇编初学者－函数调用堆栈变化分析

这篇文章写得很不错。Mark。标题: 献给汇编初学者－函数调用堆栈变化分析作者: 堕落天才时间: 2007-01-19,19:20:09链接: http://bbs.pediy.com/showthread.php?t=38234跟一个朋友谈堆栈的时候就写下了这段文字，顺便发到这里给需要的看看吧汇编初学者比较头痛的一个问题///////////////

2014-03-23 21:23:14 510

转载由 MS12-005 : 嵌入式对象任意代码执行引发的思考

Author :instruder of code audit labs of vulnhunt.com由下面文章引起的一些思考Ref：http://bbs.pediy.com/showthread.php?t=145558这个想必大家都知道，这个漏洞是对ole嵌入文件扩展名是否是可执行文件识别没有识别全，并且认为不是可执行文件就没有对用户进行提示。通过这个漏洞你能想

2014-03-22 21:11:31 603

原创 OD学习之CALL

首先在PE格式文件中，编译器未启用优化选项的时候，每个函数调用处都应有一些标准的格式。这里简单的回顾一下我所了解的几个常见的调用约定及其在反汇编时的表现。__Cdecl :此调用方式为C/C++默认的。特点：1，叁数从右到左传递至堆栈。 2 ，堆栈请理由被调用函数执行。 3，（IDA）函数名前加上下

2014-03-04 23:52:00 579

原创反汇编----全局变量如何赋值

简单的一个知识小点原本不需要写成文章，但是优快云没提供微博，于是就写吧。全局变量和普通变量的赋值上的区别在于，全局变量应该存放在数据区，局部变量存放在堆栈区，全局变量在初始化时如果有赋值，它函数外部被赋值（在main执行前）局部变量，很普通就不多说了OD技巧：以前不知道Ctrl + g 原来可以输入API的名字，堆栈中对返回是址使用 “在反汇编中跟随”可以回到应用程序领空

2014-03-02 15:56:54 1417

原创 VMare虚拟机和windbg进行双机调试（window7)

网络上有很多关于这样的文章了，比如http://www.2cto.com/os/201205/131578.html，之所以我也简单的写上一段，是因为自已在进行设置的时候完全按照文章的说法来做，却无法连上虚拟机。（我的环境是window7）解决办法其实很简单，既然管道1用不了。那把1改成2就好了！

2013-07-21 23:57:33 598

原创 CVE-2013-4694 WinAmp 5.63 栈溢出漏洞分析

WinAmp 5.63 - Stack-based BufferOverflow前天在exploit-db找到这个漏洞的描述。闲着没事，就调试了一下。这个漏洞的触发条件是在winamp.ini中skin这个字符串在使用lstrcpyn进行拷贝的时候，未检测skin的长短，导致我们可修改skin的值进行溢出。比较有意思的是传入的字符串在用lstrcpyn比较的时候是unicode的格式的，而

2013-07-19 15:57:01 1125

此去清风白日，自由道风景好