riChar

pwnController经过一个check后就是一个最普通的ROP。 1234567891011121314151617__int64 calculator(){ __int64 result; // rax char v1[28]; // [rsp+0h] [rbp-20h] BYREF int v2; // [rsp+1Ch] [rbp-4h] v2 = calc(); if ( v2 != 65338 ) return calculator(); printstr("Something odd happened!\nDo you want to report the problem?\n> "); __isoc99_scanf("%s", v1); //栈溢出 if ( v1[0] == 'y' || v1[0] == 'Y' ) result = printstr("Problem reported!\n"); else ...

这次比赛又爆零了，本来这道题是能够做出来的，就是因为大量时间花在的逆向分析上。一开始拿IDA反汇编，生成的伪代码程序逻辑都读不懂，然后开始直接看汇编了。后来试了一下ghidra效果好很多，能分析完这道题vm，就已经来不及了。平时应该多练练非x86或i386架构的题。 ghidra和IDA生成的伪代码的对比图(IDA里的那行BR X0完全不知道跳哪去)： 题目分析main函数执行一些初始化操作后就读入了长度为0x1000的虚拟机的字节码，然后开始运行，即上图的jump函数。将输入的字符通过op_table查找对应的jump_table的编号进行跳转。op_table如图： jump_table12个函数： startrun开始运行，有长宽两个参数，会先后通过calloc创建flag_table和time_table。 add/free/print comment我的理解是给一个格子添加或删除上一个注释？ addcomment有三个参数，分别是格子的坐标和要开辟空间的大小。然后内容是之后通过read函数读入的。flag_table的对应位置是改为1，并把malloc出来的空间存到com ...

题解中pwn用到的库为IdaManage和LibcSearcher. IdaManage用于IDA调试LibcSearcher用于快速搜索libc。 [pwn] 送你一朵小红花题中随机将off_4020中函数表中的函数存至buf[2]中，然后调用。可以找到程序sub_14E1函数内为后门函数，调用了system("/bin/cat /flag")，但它不在off_4020中的函数表内，因此可以通过覆盖bud[2]低字节为0xe1就有一定概率进入这个函数，多尝试几次即可。 123456789101112131415161718192021222324from typing import Unionfrom pwn import *from LibcSearcher import *from IdaManage import *from pwnlib.rop import *from pwnlib.util.packing import flatfrom pwnlib.context import *# context.log_level='debug& ...

Rere1main函数如下 对输入逐字符加密，先后进行了异或、取余、异或，由于取余操作不好直接逆向，所以这里采用对128个ascii码全部进行上述加密，然后只要查表就可以得到加密前的ascii码了。 123456789101112flag=[5070369,5070379,5070398,5070368,5070420,5070365,5070346,5070389,5070364,5070387,5070337,5070392,5070349,5070370,5070386,5070370,5070391,5070380,5070444,5070392,5070446,5070380,5070392,5070364,5070376,5070447,5070446,5070426]def en(a): a^=0x1A2B3C a%=0x1A2B0C a^=0x4D5E6F return akey={}for i in range(128): key[en(i)]=ifor i in flag: print(chr(key[i]) ...

Tern(官网https://zh.tern.best)是一个字幕翻译的软件，他通过调用主流翻译平台的接口(需要自己注册)进行字幕翻译，说白了就是写了个gui。但是他免费版每月是限制字符数的。因此。。。 提取这是一个eletron应用，外面就是一层chrome的壳，真正逻辑在resources/app.asar，用npm安装asar工具对其解压。 12npm -g install asarasar e app.asar app 随便翻了翻，可以看到主要逻辑在js/app.cca879ab.js里，本来要读这个打包出来文件非常头疼，但是这个软件竟然把sourcemap也打包了出来，那就直接用工具恢复源文件吧。这里用的是reverse-sourcemap，用起来很方便，只要reverse-sourcemap <目标文件>就行了。 恢复之后就可以愉快的分析代码了(甚至还有详细的注释)。 分析在源代码里乱翻找到了js/webpak/src/config/index.js，好家伙，免费额度都直接写在这里了。 12345678910111213141516171819202122232 ...

最近在学习pwn中的堆利用，因此来系统的学习一下ptmalloc的机制。主要看的是Glibc内存管理–ptmalloc2源代码分析。 malloc这是照着书上画的流程图，可以快速了解malloc的整体逻辑。 graph TD malloc(malloc分配):::es -->calSize(将请求的大小计算成要分配的chunk大小) -->isFast(chunk_size tryFastbin(尝试从Fast bins中取) tryFastbin--T-->e1(结束):::es tryFastbin--F-->isSmall(chunk_size < 512B 判断是否在Small Bins范围中) isFast--F-->isSmall isSmall--T-->trySmallBins(找到具体所在的某个small bin尝试从尾部取) trySmallBins--T-->e2(结束):::es isSmall--F-->mergeFB(合并fast bins中相邻chunk,并链接到unsorted bin中) trySmallBins--F-->mergeFB -- ...

Rere1逐字符加密然后比对，只要逐字符爆破即可 exp: 12345678910111213141516171819202122232425262728#include<stdio.h>char encrypt(char a1,char a2){ char v2 = (~a2 | ~a1) & (~a2 | a1) & (a2 | a1) | (~a2 | ~a1) & (a2 | ~a1) & a2 & a1 | a2 & ~a1 | ~a2 & a1; return (~(32 * v2) | ~(v2 >> 3)) & (~(32 * v2) | (v2 >> 3)) & (32 * v2 | (v2 >> 3)) | (~(32 * v2) | ~(v2 >> 3)) & (32 * v2 | ~(v2 >> 3)) & (32 * v2 | (v2 >> 3));}int ...

简介DNS协议原本是没有加密的，导致可能会产生域名劫持、DNS污染，引发一些安全问题。而DoH(全称DNS over HTTPS)可以基于HTTPS的加密进行DNS查询，避免域名劫持。（ Firefox配置打开about:config页面，搜索network.trr(trr全称 Trusted Recursive Resolver)，重点是两个参数network.trr.mode和network.trr.uri。 network.trr.modenetwork.trr.mode官方给的定义是 0 - Off (default). use standard native resolving only (don't use TRR at all) 1 - Reserved (used to be Race mode) 2 - First. Use TRR first, and only if the name resolve fails use the native resolver as a fallback. 3 - Only. Only use TRR, never ...

背景由于笔记本电脑的网络环境总是会变化，导致虚拟机的网络ip不能固定，因此我给虚拟机设置了两块网卡，一块是Host-only，名为enp0s3，网段为192.168.137.0/24 ；另一块是网络地址转换(NET)，用于访问互联网，名为eth0。 默认的设置会导致访问互联网时有时会走eth1，导致无法上网。也就是路由表配置错误。 一开始的路由表如下 1234567$ routeKernel IP routing tableDestination Gateway Genmask Flags Metric Ref Use Ifacedefault 192.168.137.1 0.0.0.0 UG 0 0 0 eth0default 10.0.3.2 0.0.0.0 UG 100 0 0 eth110.0.3.0 0.0.0.0 255.255.255.0 U 100 ...

编译首先肯定是要下载glibc源码，可以去官网，国内也可以去清华镜像下载。 编译的时候要带有调试信息，并选择合适的输出目录。大概需要10min。 123456mkdir buildcd buildecho "CFLAGS += -fno-stack-protector" > configparms../configure CFLAGS="-O1 -g3 -ggdb" CXXFLAGS="-O1 -g3 -ggdb" --disable-werror --prefix=/home/richar/glibc/lib --enable-cetmakemake install 生成用于调试的程序对于一般的elf执行文件，肯定是默认到系统目录去找libc。有两种方式可以自己指定链接的libc位置，一种是在编译的时候加上选项，但这只能用于自己编译的程序。 1gcc -g3 -ggdb -o hello hello.c -Wl,-rpath=/home/richar/glibc/lib/lib -Wl,--dynamic-linke ...