weixin_45209963的博客

原创 FirmAE源码粗读（五）

鸽王来咯这一篇写的是FirmAE中源于firmadyne的libnvram（经过了一定修改），不得不说这一部分是很有意义的工作，放到今天来看也是很有启发意义的。甚至在写的过程中还找到了libnvram的bug。

原创 CVE-2017-7494 SambaCry 分析&复现

写这篇文章的起因是为了完成课程作业…实在是过于真实了闲话少说，其实我对这玩意也不能说很了解吧…只能硬着头写了。本文会结合部分samba源代码分析、msf exploit分析和攻击数据包对比，希望能让大家对这一漏洞有一定的了解。

原创 FirmAE源码粗读（四）

咳咳咳，第四篇力，今天要端上来的是谁呢，让我康康…Makenetork.py，就决定是你了！堂堂连载！以上颠佬发言请自行无视…本周给大家带来的是的分析，主要涉及qemu模拟与网络构建部分。这里也包括了论文中重要的预模拟部分，有不少函数就是用于执行预模拟以及用于从预模拟的log中提取信息。该脚本中依然有不少类似语法糖的命令封装函数，例如等。至于其他较为重要的函数，依然按照惯例，一个个进行介绍。

原创 FirmAE源码粗读（三）

这是FirmAE源码粗读系列的第三篇。这次的分析目标是scripts目录下的、、与，来探索一下FirmAE对qemu镜像的封装和对文件系统的修补过程。

原创 FirmAE源码粗读（二）

本篇主要聚焦于文件提取脚本，该文件在目录下。该脚本实质上是利用binwalk来提取文件，拥有两个模式——nf和np。前者用于提取构建镜像所需的必要文件/目录，后者用于提取固件中的内核，两个选项可以同时开启。

原创 FirmAE源码粗读（一）

这篇一直说着要写结果一直鸽来着…争取长期诈尸式更新目标是对FirmAE的源码做一个大致梳理，供日后参考。由于FirmAE本身就是基于firmdyne的二开成品，而且基本上没有修改firmdyne的代码与代码结构，所以本文实际上也是对firmdyne代码的一个梳理。顺便还能给大家看看什么叫狗尾续貂FirmAEutil还没看 不知道干嘛的source工具包文件夹，包括了重要的提取器extractor、hook掉nvram调用的libnvram和比较一般的固件爬虫scraper、console。

原创 qemu逃逸小识

实际上，看过单片机datasheet的同学就会发现，单片机的数据读取/发送，命令执行等等都是受外加电平控制的，我们设想计算机将自己的总线分别接到单片机芯片上，就能明白为什么对地址空间读写就相当于操作外设。（简单来说就是，你写的exp里面mmap分的地址，只在exp程序内，或者说qemu虚拟出来的系统的用户态下有意义，对qemu-system下你自己写的其他程序来说是在同一个地址空间内，但仅此而已）qemu设备号的查看、地址的读取和地址空间的转换，上面两位师傅的blog里面已经写的很清晰了。

原创 高版本libc下的off by null

新版额外检查这个chunk size与被free掉的chunk的prev size是否相等，chunk overlap必须要伪造后者，而前者不可控，故一般打法失效。，通过大循环将这三个chunk全部放入同一个large bins。此时由于large bins机制，中间大小的chunk的。均相同，分别指向比自己小/大的chunk，将该chunk取下，同时伪造好。），残留指针为头节点libc指针，此时需要申请到该chunk，再申请一个。的size，再将该chunk的bk取下并写其fd为该chunk（伪造。

翻译 【FirmAE论文节译】FirmAE: Towards Large-Scale Emulation of IoT Firmware for Dynamic Analysis

【FirmAE论文节译】FirmAE: Towards Large-Scale Emulation of IoT Firmware for Dynamic Analysis

原创 DIR-815 栈溢出二三事

DIR-815 栈溢出二三事

原创 2022 Google CTF SEGFAULT LABYRINTH wp

2022 Google CTF SEGFAULT LABYRINTH wp

原创 MRCTF Can you extract the firmware 复现

MRCTF Can you extract the firmware 复现...

原创 *CTF babynote 复现

*CTF babynote 复现

原创 FirmAE安装指北

FirmAE安装指北downloadinstall网络稀烂选手福利本文来源于个人FirmAE安装经历。写出来也是为了帮助在固件模拟上浪费生命的大家…以下为安装中需要用到的链接FiremAEroutersploitbinwalkdownload首先是download问题。先说一句直接跑脚本大概率是要寄的…download脚本全是从git上面下东西，裸连基本不可能完整下载好。目前有两个解决方法：1.挂代理，用proxychains跑脚本。这个大家懂的都懂，有条件的可以考虑。没有条件的看下一

原创 Midnight-sun pwnhub复现

Midnight-sun pwnhub复现这题比赛的时候跟队友大眼瞪小眼看了半天，house of orange 和house of force都不能用，莫得什么好的思路… 赛后找到了2019大佬的wp,做了一下复现文章目录Midnight-sun pwnhub复现环境问题程序分析攻击思路expps:环境问题题目本身给了一个启动脚本 LD_LIBRARY_PATH=./lib/ ./lib/ld.so --preload libdl.so.2 ./pwnhub做题的时候抄到脚本里面，结果发现gdb

原创 2022 hgame pwn wp

2022 hgame pwn wp本来早就写好了，但是由于复试毕设等等原因拖到今天才发包括了绝大部分题目，除了算法题spfa和bpwn，剩下一些简单题懒得写了orz文章目录2022 hgame pwn wpWeek 1enter_the_pwn_landenter_the_evil_pwn_landoldfashion_orwWeek 2oldfashion_noteechoWeek 3changeable_noteelder_notesized_noteWeek 4vectorWeek 1ent

原创 记一次火车上的（伪）应急响应

记一次火车上的（伪）应急响应昨天（3.4），正当我愉快的踏上返校的火车的时候，电话响了。某朋友的程序好好的跑在服务器上，半小时后就莫名其妙的当了。该朋友用nvidia-smi查看了一下显卡占用——很不幸的，中挖矿病毒了。（这里的图是朋友截的，注意三个100%的volatile，很明显挖矿病毒靠改名为python试图糊弄过去）我的第一反应是还好不是勒索病毒，否则所有代码都得跟着玩完。第二反应是谁这么大胆子，在内网种挖矿病毒（服务器在内网，不对公）。先问朋友要ssh账号（火车上电脑不方便，只

原创 libc-2.31下的0x7f利用

libc 2.31下malloc_hook-0x23的堆异构应该是不行了，但是附近还有另一个：realloc_hook-0x2b（也就是malloc_hook-0x23），大小还是0x7f（因为都是异构的libc内地址）实际上这个异构的原理就是利用malloc_hook之前的realloc_hook和memalign_hook中已经存在的地址（所以写libc的那帮家伙为什么不去掉hook）...

原创 glibc源码阅读

FBI warning:本文仅仅是试图以二进制选手的方式来理解mallo.c中所使用的堆机制，不会对具体操作以及堆块结构作过多叙述，敬请谅解。水平欠佳，有问题也欢迎留言指出。libc-2.23无论大小，第一次申请chunk时各bins对应操作均不会执行，直接使用sysmalloc从top chunk割。之后再malloc才会进入各自bins的操作。 if (__glibc_unlikely (av == NULL)) { void *p = sysmalloc (nb, av)

原创 2021-ciscn-pwn-lonlywolf复现

Lonlywolf国赛题难度可以…先爬了 做的复现…这里使用的exp是nuoye大佬的版本 先膜一波主函数没什么特殊的 add/del/print/edit都有add要求小于0x78(120)，而且只保存了当前拿到的chunk地址free有典型的UAFedit正常 没有off by null 遇’\n’停止。print也正常。下面来说说做法这题麻烦的是手里只有一个地址 leak完了不方便攻击 直接攻击又没有地址nuoye大佬的做法是tcache perthread corrup

原创 攻防世界-pwn-forgot

简单题…不过一开始没找到重点，浪费时间了。开始定义了一大堆没有用的函数。然后是开始一大堆输出。给了函数地址，不过因为没有PIE所以其实不需要…漏洞点在scanf，明显的溢出，但是这里不是这么做的…下面是一个循环check，根据输入最后决定v5的值 (重点)结束循环后是一行奇怪的代码其实看汇编更好理解很明显，如果我们控制了 [esp+78h] (这是栈上的我们能控制的值)再在栈上合理位置布置好值，就可以通过call eax执行任意函数了事实上 [esp+78h] 就是上面switc

原创 2020市赛-pwn-复现

个人独立做的第一道堆…复现市赛题目。main函数长这样按堆做法用到的其实只有make_choice一个。add/del/free/show一应俱全。add 中提供了三种大小：0x20、0x7、0x1000 对应的指针和chunk大小存储在数组gameinfodel函数很奇怪，将chunk free掉之后会将里面的数据全部清空（一般来说这会摧毁bins）而且没有将指针置0，有UAF。有一个pick_num函数 这也是另一个漏洞点所在。有用的是qword_602118=v3这一句。这使

原创 2020强网杯wp-pwn-babymessage

题目质量还不错…就是快二十道pwn实在是吓人…一开始看到堆还没有free以为是horse of orange就溜了回头一看40多解… 再仔细一看只是栈溢出…傻了考点也是常规考点，栈迁移 换取足够的写入长度 然后onegadget完事老样子一个菜单leave name 可以往bss段的一个地方写4字节leave message 之前有一个写入长度判断当然正常情况写入长度只可以是0x10重点在leave message里面 有一个栈溢出可以覆盖到saved ebp于是我们可以先在nam

原创 pwn防作死

1.如果脚本结尾忘了加p.interactive(),并且交互完程序并未停止的话，程序会直接被杀掉……然后你就会看到调试时总是莫名其妙的sigkill……

原创 Jarvis OJ-Re-Classical Crackme

pwn狗决定作一下死…然后他就去做Re了(入门题，大佬无视即可)题目给了一个CrackMe.exe，第一反应是载入OD进行分析。然鹅…迷惑行为…查了一下，发现可能有壳…(基本操作忘了…)拿DIE和Exeinfope查出来壳版本还不一样…好吧…至少是ConfuserEx无疑了。查了一下，尝试了de4dot、UnConfuserEx结果都没有用…陷入自闭循环。然后最后翻到了dotPeek神器。直接拖进去反编译成功。C#看不懂？问题不大，直接搜索字符串‘注册’定位到这段代码：粗略看了一下，大致

原创 “第五空间”wp-misc-run

第一次正式比赛二血。小开心。下载下来是一个run.exe。运行一下没反应…看图表是个docx，7zip打开，果然嵌了一个docx。打开，查十六进制等等基本操作，没发现有什么东西。回去运行分离出来的exe。结果生成了一个文件名‘tif’的文件。查十六进制，很明显是tif文件(明显提示嘛)结尾还有一个run-> njCp1HJBPLVTxcMhUHDPwE7mPW改后缀，打开，是这么个东西查十六进制，查LSB，过stegsolve，都是啥也没。PS打开，发现有两个图层。把那个黑方块取消显

原创 2020“第五空间”wp-pwn-twice

这次第五空间总算不是第500空间了…题难度还行。pwn只做了一个twice，不过好歹是正式比赛第一次做出来pwn…放wp吧。老规矩，先checksec一波64位，开了canary和nx。上IDA。main函数主要就是一个循环sub_4007A9是这样的a1就是传入的nCount(初值为0) 。结合主函数的循环，可以知道整个循环只能跑两次。第二次执行完后返回0，就跳出循环了。整个的函数作用大体上就是向s数组中读v3个字节。sub_40076D长这样第一次返回89，第二次返回112。

原创 中国大学MOOC公开信息收集

警告：本教程仅可由于合法用途，由此带来的一切法律与其他形式责任自负。这两天网课上得头疼，闲来无事，拿中国大学MOOC开开刀。首先，打开自己的中国大学MOOC的“个人中心”页面。可以看到，显示的信息包括用户名、关注、讨论等等。同时，发现其url格式为https://www.icourse163.org/home.htm?userId=XXX#/home/course那好，随便修改一下userId再进行访问成功跳转到了别人的个人中心界面。注意，这一部分其实应该属于公开信息！（因为如果你在讨论区域点

原创 010Editor破解版png模板失效解决方法

这两天用010Editor, 莫名发现png模板加载错误。提示 ‘’ERROR Line 335: Function ‘Checksum’ not found’查了一下，发现应该是破解不完全导致Checksum函数不可用。而且问题在不同的破解版本均存在。好吧，既然原版用不了，那就魔改一下好了。模板错误选择加载模板，打开。发现问题语句主要是以下的一部分：local uint32 crc_calc = Checksum(CHECKSUM_CRC32, pos_start, data_size);

原创 延迟绑定与ret2dlresolve

原创 python进阶1——慕课网廖雪峰老师版

原创 初识python——慕课网 廖雪峰老师版

原创 《程序员的自我修养》第二章思维导图