笔记
关注
分享
扫一扫
文章平均质量分 87
xyzmpv
这个作者很懒,什么都没留下…
展开
-
FirmAE源码粗读(四)
咳咳咳,第四篇力,今天要端上来的是谁呢,让我康康…Makenetork.py,就决定是你了!堂堂连载!以上颠佬发言请自行无视…本周给大家带来的是的分析,主要涉及qemu模拟与网络构建部分。这里也包括了论文中重要的预模拟部分,有不少函数就是用于执行预模拟以及用于从预模拟的log中提取信息。该脚本中依然有不少类似语法糖的命令封装函数,例如等。至于其他较为重要的函数,依然按照惯例,一个个进行介绍。原创 2023-01-16 21:14:34 · 1795 阅读 · 1 评论 -
FirmAE源码粗读(三)
这是FirmAE源码粗读系列的第三篇。这次的分析目标是scripts目录下的、、与,来探索一下FirmAE对qemu镜像的封装和对文件系统的修补过程。原创 2022-11-28 10:22:51 · 2412 阅读 · 0 评论 -
FirmAE源码粗读(二)
本篇主要聚焦于文件提取脚本,该文件在目录下。该脚本实质上是利用binwalk来提取文件,拥有两个模式——nf和np。前者用于提取构建镜像所需的必要文件/目录,后者用于提取固件中的内核,两个选项可以同时开启。原创 2022-11-20 21:55:11 · 1953 阅读 · 0 评论 -
qemu逃逸小识
实际上,看过单片机datasheet的同学就会发现,单片机的数据读取/发送,命令执行等等都是受外加电平控制的,我们设想计算机将自己的总线分别接到单片机芯片上,就能明白为什么对地址空间读写就相当于操作外设。(简单来说就是,你写的exp里面mmap分的地址,只在exp程序内,或者说qemu虚拟出来的系统的用户态下有意义,对qemu-system下你自己写的其他程序来说是在同一个地址空间内,但仅此而已)qemu设备号的查看、地址的读取和地址空间的转换,上面两位师傅的blog里面已经写的很清晰了。原创 2022-10-15 16:18:55 · 1902 阅读 · 0 评论 -
高版本libc下的off by null
新版额外检查这个chunk size与被free掉的chunk的prev size是否相等,chunk overlap必须要伪造后者,而前者不可控,故一般打法失效。,通过大循环将这三个chunk全部放入同一个large bins。此时由于large bins机制,中间大小的chunk的。均相同,分别指向比自己小/大的chunk,将该chunk取下,同时伪造好。),残留指针为头节点libc指针,此时需要申请到该chunk,再申请一个。的size,再将该chunk的bk取下并写其fd为该chunk(伪造。原创 2022-09-08 10:36:23 · 2047 阅读 · 0 评论 -
【FirmAE论文节译】FirmAE: Towards Large-Scale Emulation of IoT Firmware for Dynamic Analysis
【FirmAE论文节译】FirmAE: Towards Large-Scale Emulation of IoT Firmware for Dynamic Analysis翻译 2022-08-05 05:48:32 · 2143 阅读 · 0 评论 -
2022 Google CTF SEGFAULT LABYRINTH wp
2022 Google CTF SEGFAULT LABYRINTH wp原创 2022-07-04 19:24:22 · 982 阅读 · 0 评论 -
MRCTF Can you extract the firmware 复现
MRCTF Can you extract the firmware 复现...原创 2022-04-29 21:32:46 · 1437 阅读 · 4 评论 -
FirmAE安装指北
FirmAE安装指北downloadinstall网络稀烂选手福利本文来源于个人FirmAE安装经历。写出来也是为了帮助在固件模拟上浪费生命的大家…以下为安装中需要用到的链接FiremAEroutersploitbinwalkdownload首先是download问题。先说一句直接跑脚本大概率是要寄的…download脚本全是从git上面下东西,裸连基本不可能完整下载好。目前有两个解决方法:1.挂代理,用proxychains跑脚本。这个大家懂的都懂,有条件的可以考虑。没有条件的看下一原创 2022-04-10 21:41:44 · 9986 阅读 · 17 评论 -
2022 hgame pwn wp
2022 hgame pwn wp本来早就写好了,但是由于复试毕设等等原因拖到今天才发包括了绝大部分题目,除了算法题spfa和bpwn,剩下一些简单题懒得写了orz文章目录2022 hgame pwn wpWeek 1enter_the_pwn_landenter_the_evil_pwn_landoldfashion_orwWeek 2oldfashion_noteechoWeek 3changeable_noteelder_notesized_noteWeek 4vectorWeek 1ent原创 2022-03-27 16:39:21 · 5071 阅读 · 4 评论 -
记一次火车上的(伪)应急响应
记一次火车上的(伪)应急响应昨天(3.4),正当我愉快的踏上返校的火车的时候,电话响了。某朋友的程序好好的跑在服务器上,半小时后就莫名其妙的当了。该朋友用nvidia-smi查看了一下显卡占用——很不幸的,中挖矿病毒了。(这里的图是朋友截的,注意三个100%的volatile,很明显挖矿病毒靠改名为python试图糊弄过去)我的第一反应是还好不是勒索病毒,否则所有代码都得跟着玩完。第二反应是谁这么大胆子,在内网种挖矿病毒(服务器在内网,不对公)。先问朋友要ssh账号(火车上电脑不方便,只原创 2022-03-05 17:41:51 · 4978 阅读 · 1 评论 -
libc-2.31下的0x7f利用
libc 2.31下malloc_hook-0x23的堆异构应该是不行了,但是附近还有另一个:realloc_hook-0x2b(也就是malloc_hook-0x23),大小还是0x7f(因为都是异构的libc内地址)实际上这个异构的原理就是利用malloc_hook之前的realloc_hook和memalign_hook中已经存在的地址(所以写libc的那帮家伙为什么不去掉hook)...原创 2022-02-14 19:59:34 · 916 阅读 · 0 评论 -
glibc源码阅读
FBI warning:本文仅仅是试图以二进制选手的方式来理解mallo.c中所使用的堆机制,不会对具体操作以及堆块结构作过多叙述,敬请谅解。水平欠佳,有问题也欢迎留言指出。libc-2.23无论大小,第一次申请chunk时各bins对应操作均不会执行,直接使用sysmalloc从top chunk割。之后再malloc才会进入各自bins的操作。 if (__glibc_unlikely (av == NULL)) { void *p = sysmalloc (nb, av)原创 2022-01-12 21:59:19 · 1274 阅读 · 0 评论 -
pwn防作死
1.如果脚本结尾忘了加p.interactive(),并且交互完程序并未停止的话,程序会直接被杀掉……然后你就会看到调试时总是莫名其妙的sigkill……原创 2020-08-14 11:47:29 · 378 阅读 · 0 评论