0x00:查看文件一个32位的文件,canary、NX、PIE保护机制均关闭。 0x01:用IDA进行静态分析程序很简单,输入一串字符(个数限制:512),然后再输出。最后根据key变量进行条件语句执行。在imagemagic函数中用printf(format)进行输出,大概率有格式化字符串漏洞。因为key的地址在bss段:0x0804A048,所以试试用格式化字符串漏洞进行覆盖。 检测一下是否可以对随意地址进行覆盖:有重复的,位于第12个参数。重复的原因是因为s是定义在了栈上。payload=p32(key_addr)+b'%035795742d'+b'%12$n'将key的地址写在第一位,
0x00:查看文件信息该文件是32位的,canary和PIE保护机制没开。 0x01:用IDA进行静态分析总览:该函数就是:v5初值为1,对v2输入一串字符。然后执行一个会根据输入的字符串而修改v5的循环语句,最后调用相应的函数。 同时,发现文件里面已经含有catflag的函数: 函数snprintf介绍:printf("cat%s","./flag")是将cat./flag输出到屏幕上。snprintf(s,0x32,"cat%s","./flag")是最多将后面的字符串("cat./flag")输入0x32个到变量s上。 所以,我们要想办法去执行这个cat_flag函数。现在我们已
0x00:查看文件信息该文件是32位的,canary和PIE保护机制没开。 0x01:用IDA进行静态分析总览:该函数就是:v5初值为1,对v2输入一串字符。然后执行一个会根据输入的字符串而修改v5的循环语句,最后调用相应的函数。 同时,发现文件里面已经含有catflag的函数: 函数snprintf介绍:printf("cat%s","./flag")是将cat./flag输出到屏幕上。snprintf(s,0x32,"cat%s","./flag")是最多将后面的字符串("cat./flag")输入0x32个到变量s上。 所以,我们要想办法去执行这个cat_flag函数。现在我们已
0x01前言最近在改写yso,觉得自己基础太差了,想先阅读一下sqlmap、冰蝎以及一些其他工具的开发思路。文章可能写的不够严谨,有不对的地方还请师傅们多多指出。0x02环境搭建这里我看的是MountCloud师傅所二开的冰蝎项目,版本是4.0.2;其实就是通过反编译搞出来的,但是这里不要用jd-gui或者jadx这些反编译,我用的是MountCloud师傅自己写的反编译工具,地址:https://github.com/MountCloud/JavaDecompileTool-GUI冰蝎项目源码地址:https://github.com/MountCloud/BehinderClientSou
0x01前言最近在改写yso,觉得自己基础太差了,想先阅读一下sqlmap、冰蝎以及一些其他工具的开发思路。文章可能写的不够严谨,有不对的地方还请师傅们多多指出。0x02环境搭建这里我看的是MountCloud师傅所二开的冰蝎项目,版本是4.0.2;其实就是通过反编译搞出来的,但是这里不要用jd-gui或者jadx这些反编译,我用的是MountCloud师傅自己写的反编译工具,地址:https://github.com/MountCloud/JavaDecompileTool-GUI冰蝎项目源码地址:https://github.com/MountCloud/BehinderClientSou
一、PHP攻防环境1.DVWAdockerpullsagikazarmark/dvwadockerrun-d-p8080:80-p33060:3306sagikazarmark/dvwa2.TomcatdockersearchCVE-2017-12615dockerpulldocker.io/cved/cve-2017-12615dockerrun-d-p8081:8080docker.io/cved/cve-2017-12615dockerexec-itcontainerIdbash代码linux大小写敏感的PUT/shell.jsp/HTTP/1.1Host:43.136.41.84:80
一、PHP攻防环境1.DVWAdockerpullsagikazarmark/dvwadockerrun-d-p8080:80-p33060:3306sagikazarmark/dvwa2.TomcatdockersearchCVE-2017-12615dockerpulldocker.io/cved/cve-2017-12615dockerrun-d-p8081:8080docker.io/cved/cve-2017-12615dockerexec-itcontainerIdbash代码linux大小写敏感的PUT/shell.jsp/HTTP/1.1Host:43.136.41.84:80
前言,本次笔记是记录在工作中的一个攻防演练环境搭建和通过部署的应用存在的文件上传漏洞getshell,接着上线frp,接着上线msf,实现msf远程渗透。准备工作:1,在客户的内网环境部署一个Windows7系统,在这个系统上把finecms这个应用部署上去。把finecms安装之后,和客户沟通,把这个应用的地址映射到公网上去。2,其次,没有条件的话,自己在在wmware上装个虚拟机部署上去也行。 一:环境部署完成的模样。 二:利用上传头像处的漏洞来进行getshell。它这套源码存在这个漏洞,我们是直接用这套源码部署上去的,没有做任何的措施就会存在这个漏洞,很多开发人员部署应用的时候,因为
前言,本次笔记是记录在工作中的一个攻防演练环境搭建和通过部署的应用存在的文件上传漏洞getshell,接着上线frp,接着上线msf,实现msf远程渗透。准备工作:1,在客户的内网环境部署一个Windows7系统,在这个系统上把finecms这个应用部署上去。把finecms安装之后,和客户沟通,把这个应用的地址映射到公网上去。2,其次,没有条件的话,自己在在wmware上装个虚拟机部署上去也行。 一:环境部署完成的模样。 二:利用上传头像处的漏洞来进行getshell。它这套源码存在这个漏洞,我们是直接用这套源码部署上去的,没有做任何的措施就会存在这个漏洞,很多开发人员部署应用的时候,因为
0x00:前言这道题是盲打题,就是没有给附件,只给了远程环境。但这道题并不难,由于这种形式少见,所以我就在这里记录一下。下面看看我的做题思路吧~ 0x01:做题思路1、初览 题目并没有给附件,这时候就可以做好盲打的准备了。 2、连接远程并分析用nc连接一下远程: 给了一个地址,0x40060d,看地址是个64位的程序。给了一个地址,大胆猜测是get_shell或者是cat_flag相关的。然后我们可以操作的是输入数据,回车也没有任何返回值,这也可以排除格式化字符串漏洞。我们可以先考虑最简单的栈溢出。 3、编写expfrompwnimport*sys=0x40060dforiinrange
