本次代码审计使用了白加黑的手法，用黑盒的视角测试功能点，用白盒的方式作为验证。0x1 XSSguestbook处，可以看到有一个留言板idea搜索guestbook。发现代码如下，其中的getModel是获取数据的方法。Guestbook.class就是具体要获取的数据。跟进Guestbook.class查看，发现GuestBook继承自BaseGuestbook继续跟进BaseGuestbook可以发现http请求的数据，没有发现有过滤函数。然后使用管理员登录后台查看留言，发现确实如我所想，存在xss漏洞。ps:审计小技巧，开启sql日志然后一边打payload一边看记事本是否漏掉过滤哪些字符。这里是完全没有过滤，所以在出库的时候如果没有防护，基本上就是实锤xss了。0x2 SQL注入在产品中心发现有一个搜索框看到源码，没有发现有过滤字符，这里采用之前开启的mysql日志，通过日志文件的sql语句判断是否有过滤。直接输入单引号发现该cms返回500报错，很有可能存在sql注入。于是使用两个单引号''使得系统不抛出异常，然后查看日志文件中发现sql语句没有过滤单引号，说明注入确实存在。or 1 结果or 0结果 注入确实存在0x3 文件下载/common/down路由中的file方法，直接获取http请求中的filekey参数，并且没有过滤../等关键字符。fileKey的值和Pa ...继续阅读 (2)

好久前偶遇一个站点，前前后后大概挖了三个月才基本测试完毕，出了好多漏洞，也有不少高危，现在对部分高危漏洞进行总结分析。nday进后台：开局一个登录框：通过熊猫头插件提取接口，并结合js分析，跑遍了提取到的路径也没有结果。尝试弱口令登录，但是由于连用户名提示都没有，也以失败告终。最后根据页面title关键字搜索找到该平台的权限绕过nday成功进入后台。语句：xxx系统历史漏洞 or xxx平台历史漏洞如上图，拼接payload，通过/../..;号实现权限绕过：302跳转进入后台，发现为管理员界面。进入一个系统时，一定不要着急马上测试，要先总体看看这个系统的功能点，基本结构，布局，然后再将功能点转化为数据包，接口，参数进行测试。总体看了看系统功能点，便点进个人信息处，尝试文件上传漏洞getshell。点击选择，随后页面进行了一个奇怪的跳转：新开了一个页面我先尝试文件上传，不过只能上传图片格式，我观察到该文件路径中存在：type=images，于是尝试将images自行修改，不过这种页面居然不能修改url，于是复制url放到正常浏览器访问，尝试修改无果。发现页面存在修改文件后缀功能，但也被限制。这时我发现站点采用了ckfinder编辑器，于是按照：xxx历史漏洞继续搜索：\翻看大量文章后并未发现能成功复现的漏洞，但我发现了ckfinder的一个新路径：将url的?后面全部删除进入如下界 ...继续阅读 (1)

在这里分享一下通过拖取 DataCube 代码审计后发现的一些漏洞，包括前台的文件上传，信息泄露出账号密码，后台的文件上传。当然还有部分 SQL 注入漏洞，因为 DataCube 采用的是 SQLite 的数据库，所以SQL 注入相对来说显得就很鸡肋。当然可能还有没有发现的漏洞，可以互相讨论。phpinfo 泄露SQL注入无回显的SQL注入/DataCube/www/admin/setting_schedule.phpSQLite 没有sleep()函数，但是可以用 randomblob(N) 来制造延时。randomblob(N)函数是SQLite数据库中的一个常用函数，它的作用是生成一个指定长度的随机二进制字符串。正常请求时间POST/admin/setting_schedule.phpHTTP/1.1Content-Type:application/x-www-form-urlencodedUser-Agent:Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/85.0.4183.83Safari/537.36Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp ...继续阅读 (2)

前言最近参与某次攻防演练，通过前期信息收集，发现某靶标单位存在某域名备案。通过fofa搜索子域名站点，发现存在一个子域名的61000端口开放着一个后台，于是开始进行渗透。目录扫描进行目录扫描吗，发现/bin.rar路径可以访问到一个压缩文件。使用下载器下载到电脑，打开压缩包，猜测内容为站点源代码，代码为.net形式，使用c#语言编写。C#代码经过编译后为dll文件形式，根据dll文件命名规则和.net类型代码格式。我们可以初步判定xxx.Application.Web.dll文件中存在主要的后端逻辑代码。但是dll为二进制文件我们无法直接查看，因此需要使用dnspy进行反编译查看。查看方法：将dll文件丢入dnspy即可。UEditor的曲折利用在源码中发现该系统使用UEditor。可得UEditor的路径/Utility/UEditor/controller.ashx访问关键接口/Utility/UEditor/?action=catchimage和/Utility/UEditor/?action=config然而服务器返回403无法访问。通过Fuzz发现403的原因是有可能是因为waf或者edr的拦截。使用/Utility/UEditor/.css?action=catchimage可进行bypass，成功访问关键接口。接下来就是参考UEditor .net版本的任意文件上传漏 ...继续阅读 (2)

国际赛IrisCTF在前几天举办，遇到了一道有意思的题目，特来总结。题目附件如下：babyrevjohnson.tar解题过程关键main函数分析如下：int__fastcallmain(intargc,constchar**argv,constchar **envp) { intv4;// [rsp+4h] [rbp-7Ch] intv5;// [rsp+4h] [rbp-7Ch] intv6;// [rsp+8h] [rbp-78h] intv7;// [rsp+Ch] [rbp-74h] charinput[104];// [rsp+10h] [rbp-70h] BYREF unsigned__int64v9;// [rsp+78h] [rbp-8h] v9=__readfsqword(0x28u); puts("Welcome to the Johnson's family!"); puts("You have gotten to know each person decently well, so let's see ifyourememberallofthefacts."); puts("(Remember that each of the members like different things from eachother.)"); v4=0; while(v4< ...继续阅读 (2)

前言热补丁的钩取方式是为了解决内联钩取在多线程情况下会出错的情况，使用热补丁的钩取可以避免重复读写指令造成问题。内联钩取潜在问题正常情况下，在每次跳转到自定义函数时需要将原始的指令（mov edi，edi）写回CreateProcessW函数内，为了后续正确调用CreateProcesW函数，在调用完毕之后，又需要进行挂钩的处理，即将mov指令修改为jmp指令。但是在多线程的情况下就可能会出现下列问题，在进行mov指令篡改时可能会发生线程的切换，因为篡改指令的操作不是原子操作。那么在线程2时可能调用了CreateProcessW函数时可能跳转指令还没写完成，例如下图的jmp 0x12xx，而不是原本的jmp 0x1234就导致了执行出错。为了解决此问题采用了热补丁钩取。热补丁钩取热补丁是指在不中断系统运行进行应用。即不中断程序运行也能够修改系统库或程序中的执行逻辑。这里以CreateProcessW为例子在windbg中使用以下指令在CreateProcessW函数中打下断点.reload /fbp CreateProcessW可以看到CreateProcessW函数入口点是mov edi，edi指令，而在该指令上方有一段没用用到的空间，在windbg中使用int 3指令填充了。而mov edi，edi指令本身没有实际意义，这就是微软在系统库预留的空间，用于打上热补丁。因为这个指令 ...继续阅读 (2)

前言在之前几篇文章已经学习了解了几种钩取的方法● 浅谈调试模式钩取● 浅谈热补丁● 浅谈内联钩取原理与实现● 导入地址表钩取技术这篇文章就利用钩取方式完成进程隐藏的效果。进程遍历方法在实现进程隐藏时，首先需要明确遍历进程的方法。CreateToolhelp32SnapshotCreateToolhelp32Snapshot函数用于创建进程的镜像，当第二个参数为0时则是创建所有进程的镜像，那么就可以达到遍历所有进程的效果。#include#include#includeintmain(){ //设置编码，便于后面能够输出中文 setlocale(LC_ALL,"zh_CN.UTF-8"); //创建进程镜像，参数0代表创建所有进程的镜像 HANDLEhSnapshot=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); if(hSnapshot==INVALID_HANDLE_VALUE) { std::cout<<"Create Error"<#include#includeintmain(){ setlocale(LC_ALL,"zh_CN.UTF-8"); DWORDprocesses[1024],dwResult,size; unsignedinti; //收集所有进程的进程号 ...继续阅读 (2)

前言Windows远程桌面简介远程桌面协议(RDP)是一个多通道(multi-channel)的协议，让使用者连上提供微软终端机服务的计算机(称为服务端或远程计算机)远程桌面的前置条件在获取权限后，针对3389进行展开，先查询3389端口是否开启netstat -ano | findstr 3389发现没有开启（也有可能更改了端口），则可以通过注册表进行手动启动（需要管理员权限）REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f （开启）REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 11111111 /f （关闭）若执行失败，可能由于系统版本过旧（以下开启命令适用于Windows Server 2003之前系统）wmic path Win32_TerminalServiceSetting where (__class = "Win32_TerminalServiceSetting") call SetAllowTSConnection ...继续阅读 (3)

前言前段时间看到普元 EOS Platform 爆了这个洞，Apache James，Kafka-UI 都爆了这几个洞，所以决定系统来学习一下这个漏洞点。JMX 基础JMX 前置知识JMX（Java Management Extensions，即 Java 管理扩展）是一个为应用程序、设备、系统等植入管理功能的框架。JMX 可以跨越一系列异构操作系统平台、系统体系结构和网络传输协议，灵活的开发无缝集成的系统、网络和服务管理应用。可以简单理解 JMX 是 java 的一套管理框架，coders 都遵循这个框架，实现对代码应用的监控与管理。JMX 的结构一共分为三层：1、基础层：主要是 MBean，被管理的资源。分为四种，常用需要关注的是两种。standard MBean 这种类型的 MBean 最简单，它能管理的资源（包括属性、方法、时间）必须定义在接口中，然后 MBean 必须实现这个接口。它的命令也必须遵循一定的规范，例如我们的 MBean 为 Hello，则接口必须为 HelloMBean。dynamic MBean 必须实现 javax.management.DynamicMBean 接口，所有的属性，方法都在运行时定义。2、适配层：MBeanServer，主要是提供对资源的注册和管理。3、接入层：Connector，提供远程访问的入口。JMX 基础代码实践以下代码实现简单的 ...继续阅读 (5)

2023年HVV中爆出来的洞了，但是有一些漏洞点修复了，刚好地市级的攻防演练中遇到了一个，想着把可能出现问题的点全部审计一下，顺便熟悉一下.net代码审计。ps:感兴趣的师傅们可以自行根据poc搜索源码。0x1 反编译好吧，当我没说，下载dnspy反编译即可，但是首先要找到web逻辑代码才能开始审计，因为这套oa是使用了mvc开发模式，简单介绍一下mvc，其实就是model，controller，view，其中的view是视图也就是html等展示给用户看的东西，model是模型也就是控制数据库的代码。controller是控制器负责执行代码的逻辑，也就是我们需要审计的地方了。然后找到controller就是web的主要逻辑了。0x2 身份校验绕过首先可以随便点入一个controller，发现filesController继承自TopVisionApi。然后我们发现IsAuthorityCheck()这个函数用于判断权限。首先看到第一行代码getByValue这个函数,其实Request.Properties["MS_HttpContext"]).Request[value]就是获取http请求中的某个参数，而value就是调用传过来的参数，在这里是token，那么这段代码就是获取http中的token参数。然后if判断了token是不是空值然后再判断token参数的值是不是等于"z ...继续阅读 (3)

本次题目跟第七届HWS线下的re2有类似的地方，均有后门函数。二进制后门可以理解为：我们只需要修改某个字节或某个函数，就可以将加密的过程变成解密的过程，大大节省逆向成本。本题先对内置的dll进行解密，然后调用其加密函数对我们的txt进行加密，如果我们将加密的函数nop为解密函数，就可以直接解密，类比与R**动态解密技术。1、初次分析0地址异常反调试本题的一大亮点就是有访问0地址的异常反调试，小伙伴们在做的时候有没有发现调试异常艰难呢故意访问0地址然后走作者自定义的处理函数，如果我们在IDA动调的时候不经过处理函数，程序就会卡在哪里不能继续运行。做法很简单：将访问0地址的代码和异常处理函数完全给nop掉（说白了：就是将所有跟异常有关的汇编都给nop掉就完事）处理函数也是完整nop返回处也nop，跟开头相对应main函数分析main函数，发现反编译爆红很正常，查看汇编代码，发现了异常反调试和异常花指令干扰分析做法很简单：直接nop即可具体做法参考：上面一小节，0地址异常反调试nop成功生成函数TLS回调函数尝试运行，发现直接退出，发现了TLS反调试函数nop即可生成函数将exit函数nop掉即可，不用管反调试的事情了2、内置DLL资源解密使用工具打开file_encrypt发现内置 pe程序，猜测key为0x33，解密这是程序使用0x33解密发现了很多加密函数和解密函数（Crypt开头 ...继续阅读 (3)

我从第一个SQL注入漏洞原理学起,从sql-libas到DVWA,到pikachu再到breach系列,DC系列靶场,再到实战挖洞,发现靶场与实战的区别是极其大的。我个人觉得在这种web环境下,难的不是怎么测一个漏洞点,而是怎么找一个漏洞点。靶场与实战最大的区别在于你不知道这个地方到底有没有漏洞,尤其是在复杂的业务数据交互下，数据包,参数,接口将极其复杂。本文将以DC系列靶场为例子，分析靶场与实战的区别，同时分享实战思路与需要用到的一些工具插件。(本文并不主讲靶场,因为网上已经有很多这种文章了)DC-1探测：nmap扫描端口，dirsearch扫目录，配合插件wappalyzer识别信息。火狐wappalyzer插件下载地址：https://addons.mozilla.org/en-US/firefox/addon/wappalyzer/打点：识别出DrupalCMS，上MSF搜索利用，拿到shell。找到flag1，根据flag1提示找到配置文件，在配置文件找到数据库账号密码，连接成功。在数据库找出admin密码，发现有加密，根据靶场已有脚本修改数据库admin密码，成功登录web后台。深入：进入后台后找到flag3根据提示cat/etc/passwd。找到flag4，根据flag4提示进行find提权:find / -exec"/bin/bash" -p \;找到最后的fla ...继续阅读 (5)

前置知识LLVM是C++编写的构架编译器的框架系统，可用于优化以任意程序语言编写的程序。LLVM IR可以理解为LLVM平台的汇编语言，所以官方也是以语言参考手册(Language Reference Manual)的形式给出LLVM IR的文档说明。既然是汇编语言，那么就和传统的CUP类似，有特定的汇编指令集。但是它又与传统的特定平台相关的指令集(x86,ARM,RISC-V等)不一样，它定位为平台无关的汇编语言。也就是说，LLVM IR是一种相对于CUP指令集高级，但是又是一种低级的代码中间表示（比抽象语法树等高级表示更加低级)。LLVM IR即代码的中间表示，有三种形式：.ll 格式：人类可以阅读的文本(汇编码) -->这个就是我们要学习的IR.bc 格式：适合机器存储的二进制文件内存表示下面给出.ll格式和.bc格式生成及相互转换的常用指令清单：.c->.ll：clang-emit-llvm-Sa.c-oa.ll.c->.bc:clang-emit-llvm-ca.c-oa.bc.ll->.bc:llvm-asa.ll-oa.bc.bc->.ll:llvm-disa.bc-oa.ll.bc->.s:llca.bc-oa.s那么我们以一道CTF赛题来分析实验，学习LLVM IR实验解析题目附件直接给出了中间表示.II文件打开查看一下汇编码，毕竟.II文件是人类可以阅读的文本， ...继续阅读 (8)

MFC框架简介什么是mfc？MFC库是开发Windows应用程序的C++接口。MFC提供了面向对象的框架，采用面向对象技术，将大部分的Windows API 封装到C++类中，以类成员函数的形式提供给程序开发人员调用。简单来说，MFC是一种面向对象，用于开发windows应用程序的框架，突出特点是封装了大部分windows API，便于开发人员使用（写win挂方便）。MFC程序的运行过程分为以下四步：利用全局应用程序对象theApp启动应用程序。调用全局应用程序对象的构造函数，从而调用基类（CWinApp）的构造函数,完成应用程序的一些初始化工作，并将应用程序对象的指针保存起来。进入WinMain函数。在AfxWinMain函数中获取子类的指针，利用指针实现上述的三个函数，从而完成窗口的创建注册等工作。进入消息循环，一直到WM_QUIT。那么问题来了，我们如何逆向mfc程序呢？因为其封装了大部分windows API，逆向起来也复杂了不少，因为需要了解大量的windows api 并且熟悉windows编程。下面进行讲解。MFC如何逆向如下图，是MFC框架软件的基本界面，可以看到，就是一堆button，主要逆向也是check button。那么，对于MFC逆向，我们主要需要知道的是，当我们执行某个操作（点击某个按钮）的时候，程序会执行什么处理函数。在mfc中，程序是使用消息机制来实 ...继续阅读 (3)

1. 概述在一般的软件中，我们逆向分析时候通常都不能直接看到软件的明文源代码，或多或少存在着混淆对抗的操作。下面，我会实践操作一个例子从无从下手到攻破目标。花指令对抗虚函数表R**2. 实战-donntyousee题目载体为具有漏洞的小型软件，部分题目提供源代码，要求攻击者发现并攻击软件中存在的漏洞。2.1 程序测试首先拿到这道题目,查壳看架构,elf64放到虚拟机中运行一下plzinputyourflag8888888888888wrongida64反编译，发现软件进行了去符号处理，最直白就是没有main()函数。但是ida自动帮我们定位到了系统入口函数start()。然后我们查字符串 plz、wrong，均无法查到相关字符串可见程序对静态分析做了很大的操作，防止一眼顶真。然后我们回到系统入口函数start，F5反编译。程序无法完全反编译，并且发现init和fini均无法正常识别。进入main函数，即sub_405559()，无可用信息。2.2 花指令对抗看汇编很明显，程序做的混淆对抗是加了花指令。花指令实质就是一串垃圾指令，它与程序本身的功能无关，并不影响程序本身的逻辑。在软件保护中，花指令被作为一种手段来增加静态分析的难度。花指令关键在于对堆栈变化以及函数调用的操作。强硬的动态调试能力也可以无视花，直接en看。对于此花指令，我们只需要将call $+5、 retn nop 即 ...继续阅读 (3)

前言现在的攻防演练不再像以往那样一个漏洞直捣黄龙，而是需要各种组合拳才能信手拈来，但是有时候使尽浑身解数也不能称心如意。前期信息收集首先是拿到靶标的清单访问系统的界面，没有什么能利用的功能点首先进行目录扫描，扫描发现存在xxx.zip的文件放置在web目录上一般zip文件大部分情况都是开发运维人员做系统维护时留下的备份文件，在系统上线后并没有将其删除，于是底裤（即源代码）都直接给到了攻击者来到这一步都以为是一路高歌，轻松拿下，没想象到是跌宕起伏伏伏伏伏......先使用wget下载zip文件，文件总共200+mb，很有概率是源代码的打包从文件内容可判断，该系统是使用的.net开发，可通过dnspy进行审计文件上传漏洞审计拿到源码后的第一个思路是寻找文件上传漏洞果不其然在源码中找到uploadimg接口，发现未对上传的文件格式进行过滤实际访问接口发现，怎么改变文件格式、文件内容、Content-Type、还是各种变种传输都无济于事。返回包永远是{"Status":1,"Data""null}运维实在是坏呀~Sql注入漏洞审计第二个思路就是找注入但是代码中定义了一个SqlChecker全局的类，强制处理所有用户传参，找注入这个方向有有点难啃了系统用户信息遍历找到/api/user/getusers接口接口没有做鉴权，构造请求包发送，返回包返回系统所有用户信息其中用户信息包括姓名、出生日 ...继续阅读 (6)

引言题目给了小明的机器码：1653643685031597用户user_id：xiaoming可以看到题目采用了SIMD指令集该指令格式在CTF和攻防对抗中经常出现，可以提高执行效率的同时也可以增加逆向的难度。对于此类指令和题目，我们分析的方法是：遇到查意思，查的多了就跟看正常代码一样，采用动态分析。机器码修改将内置的机器码改为题目给的：1653643685031597修改成功：得到flag的时候跟machine这个有很大关系。动态分析machine_id处理在这个加密函数中发现了MD5特征经过动调拿到函数加密后的结果与我们的猜测是相符的可以发现最终md5(机器码)变成user_id处理和调试machine加密一样，最终MD5(user_id)变成：最终处理经过之前相同的加密变成这个数字：1228240365737281然而这还没完，居然进行两次相同加密再次加密后的结果：0502036271810858可以发现此题出的很好，利用了密码比较的漏洞，没有将密文给出，而是将生成的密文在中间给出，从而造成了数据泄露。得到flag回顾加密流程，可以发现f(key) = f( f( f(md5(machine)) + f(md5(user_id)) ) )那么题目给了得到flag的machine和user_id，可以得出Key =f( f(md5(machine)) + f(md5(user_ ...继续阅读 (7)

前言最近翻阅笔记发现一篇文章提到通过子域的System权限可以突破获取到父域权限，本文将对此技术进行尝试复现研究。利用分析环境信息：子域：187、sub.cs.org父域：197、cs.org首先通过在子域的域控机器上打开mmc.exe->连接ADSI->配置来查看子域的配置命名上下文：从配置中可以看到配置命名上下文的域名实际上是父域cs.org，因此判断子域中看到的信息可能是父域的副本：继续查看配置对象的安全描述符中的ACL，发现子域没有权限去变更：但是可以看到除了域用户、域管用户以外，还有一个特权ACL条目叫SYSTEM，该条目拥有完全控制权限：SYSTEM属于一个特殊用户，不属于域内用户，因此理论上只要能做到是SYSTEM权限就能控制对象条目而不用关注是不是域内管理员。因此尝试使用SYSTEM权限继续打开配置命名上下文：可以看到当子域拥有了SYSTEM权限后就可以修改来自父域副本的配置对象：利用方式既然可以控制父域的配置命名上下文，那如何利用呢？网上提到有几种方式，一种是通过GPO、还有的是提到给父域添加一个自己可控的证书模板(ESC1)，这里以GPO组策略为例。先在子域域控上创建一个GPO:New-GPO jumbo_gpo_test设置计划任务:通过SYSTEM权限把子域的GPO link到父域：PS C:\Windows\system32> Get-ADDomainCo ...继续阅读 (10)

前言实战可以大大提高自己，学习技术的目的就是能够在实战中运用。本次实战与实际息息相关，该软件具有加密某文件的功能。界面还挺好看的，功能很简单，输入文件和PIN(4位）进加解密。这是被加密的文件需要将其进行解密，拿到flag思路因为PIN是4位，因此可以写一个python脚本，对其进行爆破。关键在于得出加密的算法，此时就需要我们进行逆向分析了分析先尝试进行加密根据关键词：encrypted 进行定位发现是我们需要的信息跟踪进去，发现了花指令去花指令发现堆栈不平衡，将所有代码选中，然后C键，重新分析发现了单指令花指令，无非nop掉即可从头选到下一个函数开始的位置按下C键analyze即可还是rust编译的此时就可以分析函数了。处理其他函数也是相同的道理初步分析使用Fincrypto发现了salsa20加密salsa20：32位字符构成的key，二是随机生成的8位nonce。算法使用key和nonce生成一个2^70长度的序列，并与明文进行异或加密sub_140073A70发现main_func就是获取我们的输入的文件内容sub_140039890而函数sub_140039890才是关键的加密函数0x61707865、0x3320646E均为Salsa20算法的固定参数解密由于密码只有0000~9999这10000种可能加密后文件名又是flag.png.enc，所以原文件是个png文件使 ...继续阅读 (7)

前言无论学习什么，首先，我们应该有个目标，那么入门windows游戏安全，脑海中浮现出来的一个游戏 -- 扫雷，一款家喻户晓的游戏，虽然已经被大家分析的不能再透了，但是我觉得自己去分析一下还是极好的，把它作为一个小目标再好不过了。我们编写一个妙妙小工具，工具要求实现以下功能：时间暂停、修改表情、透视、一键扫雷等等。本文所用工具：Cheat Engine、x32dbg(ollydbg)、Visual Studio 2019扫雷游戏分析游戏数据在内存中是地址，那么第一个任务，找内存地址打开CE修改器修改时间->时间暂停计数器的时间是一个精确的值，所以我们通过精确数值扫描出来，游戏开始之前计数器上的数是0，所以我们扫描0。时间在变化，选择介于什么数值之间再次扫描可得 0x100579c --- winmine.exe+579C我们发现这个数据都是直接通过基址 + 固定偏移能直接得到的。然后我们对数据去找 是什么改写了这个地址，得到一个指令和指针：时间：0x100579c修改表情 - 没啥用修改表情这个功能怎么搞我觉得还是很容易想到的，这个按钮的作用是重新开始游戏，开始游戏，游戏胜利，游戏失败。（表情的状态被分成了两个变量（4byte）来控制）所以它是一种状态，所以我们通过0和1进行扫描，游戏进行状态输入1进行扫描，还原游戏之后输入0进行扫描。首先是游戏进行状态，输入1进行扫描再点击表情， ...继续阅读 (10)

前言大型语言模型，尤其是像ChatGPT这样的模型，尽管在自然语言处理领域展现了强大的能力，但也伴随着隐私泄露的潜在风险。在模型的训练过程中，可能会接触到大量的用户数据，其中包括敏感的个人信息，进而带来隐私泄露的可能性。此外，模型在推理时有时会无意中回忆起训练数据中的敏感信息，这一点也引发了广泛的关注。隐私泄露的风险主要来源于两个方面：一是数据在传输过程中的安全性，二是模型本身的记忆风险。在数据传输过程中，如果没有采取充分的安全措施，攻击者可能会截获数据，进而窃取敏感信息，给用户和组织带来安全隐患。此外，在模型的训练和推理阶段，如果使用了个人身份信息或企业数据等敏感数据，这些数据可能会被模型运营方窥探或收集，存在被滥用的风险。过去已经发生了多起与此相关的事件，导致许多大公司禁止员工使用ChatGPT。此前的研究表明，当让大模型反复生成某些特定词汇时，它可能会在随后的输出中暴露出训练数据中的敏感内容。学术研究表明，对模型进行训练数据提取攻击是切实可行的。攻击者可以通过与预训练模型互动，从而恢复出训练数据集中包含的个别示例。例如，GPT-2曾被发现能够记住训练数据中的一些个人信息，如姓名、电子邮件地址、电话号码、传真号码和实际地址。这不仅带来了严重的隐私风险，还对语言模型的泛化能力提出了质疑。本文要探讨的就是可以高效从大模型中提取出用于训练的隐私数据的技巧与方法，主要来自《Bag of ...继续阅读 (11)

背景近期正值多事之秋，hvv中有CVE-2024-38077专项漏洞演习，上级police也需要检查辖区内存在漏洞的资产，自己单位领导也收到了情报，在三方共振下这个大活儿落到了我的头上。Windows Server RDL的这个漏洞原理就不过多介绍，本文重点关注如何满足大批量探测的需求。问题CVE-2024-38077自披露以来流传过几个poc工具，但使用过后留下的只有某某服的exe版本。可能出于保密原因，这个工具不支持的功能太多，本文就不一一列举，采用排除法自行脑补。支持的参数是指定某个IP或者某个IP段进行扫描，然后没了，就像这样：但是这样扫来扫去无法满足需求，遇到的几个典型问题就是：扫的为什么很慢？从外部导入IP怎么办？如何从大批量资产中筛选出有漏洞的？空间测绘探测辖区内或者某一地区的资产当然离不开空间测绘工具，fofa、鹰图、shaodan、zoomeye等著名的自然要尝试一遍，搜索的关键词首先是国内+3389和135端口+windows server操作系统，协议的话可以组合RDP/RDL，这样一来搜出的资产会多达几百万条，百万量级的数据处理起来对于我们这种小散户而言属于天方夜谭。况且这些空间测绘平台中有的甚至不支持非会员大数据量查询，像shaodan这样能够显示出来已经是仁慈的了：结果虽然搜索出来了，但是百万级的数据是拿不到的。一是不支持多端口筛选，二是不支持导出（非会 ...继续阅读 (7)

漏洞简介Apache OFBiz 是一个开源的企业资源规划系统，提供了一整套企业管理解决方案，涵盖了许多领域，包括财务管理、供应链管理、客户关系管理、人力资源管理和电子商务等。Apache OFBiz 基于 Java 开发，采用灵活的架构和模块化设计，使其可以根据企业的需求进行定制和扩展，它具有强大的功能和可扩展性，适用于中小型企业和大型企业，帮助他们提高效率，降低成本，并实现业务流程的自动化和优化。Apache OFBiz 在处理 view 视图渲染的时候存在逻辑缺陷，未经身份验证的攻击者可通过构造特殊 URL 来覆盖最终的渲染视图，从而执行任意代码。影响版本Apache OFBiz <\= 18.12.14漏洞复现https://github.com/apache/ofbiz-framework/releases/tag/release18.12.14下载代码链接 https://codeload.github.com/apache/ofbiz-framework/zip/refs/tags/release18.12.14下载后利用 idea 打开并编译运行构造发送数据包POST/webtools/control/main/ProgramExportHTTP/1.1Host:127.0.0.1:8443Connection:closeUpgrade-Insecure-Reque ...继续阅读 (9)

前言本文介绍Linux内核的栈溢出攻击，和内核一些保护的绕过手法，通过一道内核题及其变体从浅入深一步步走进kernel世界。QWB_2018_core题目分析start.shqemu-system-x86_64 \ -m128M \ -kernel./bzImage \ -initrd ./core.cpio \ -append"root=/dev/ram rw console=ttyS0 oops=panic panic=1 quiet kaslr"\ -s\ -netdevuser,id=t0,-devicee1000,netdev=t0,id=nic0 \ -nographic \开启了kaslr保护。如果自己编译的 qemu 可能会报错network backend ‘user‘ is not compiled into this binary，解决方法就是sudo apt-get install libslirp-dev，然后重新编译 ./configure --enable-slirp。init解压 core.cpio(最简单的方式就是在ubuntu里，右击提取到此处)，分析 init 文件：#!/bin/shmount-tproc proc /procmount-tsysfs sysfs /sysmount-tdevtmpfs none / ...继续阅读 (58)

前言在本系列的第一部分中，我们已经掌握了深度学习中的后门攻击的特点以及基础的攻击方式，现在我们在第二部分中首先来学习深度学习后门攻击在传统网络空间安全中的应用。然后再来分析与实现一些颇具特点的深度学习后门攻击方式。深度学习与网络空间安全的交叉深度学习作为人工智能的一部分，在许多领域中取得了显著的进展。然而，随着其广泛应用，深度学习模型的安全性也引起了广泛关注。后门攻击就是其中一种重要的威胁，尤其在网络空间安全领域中。我们已经知道深度学习后门攻击是一种攻击者通过在训练过程中插入恶意行为，使得模型在特定的触发条件下表现异常的攻击方式。具体来说，攻击者在训练数据集中加入带有后门触发器的样本，使得模型在遇到类似的触发器时，产生攻击者期望的错误输出，而在正常情况下，模型仍能表现出高准确率。这种隐蔽性和针对性使得后门攻击非常难以检测和防御。现在我们举几个例子介绍后门攻击在网络空间安全中的应用场景。恶意软件检测：在网络安全中，恶意软件检测是一个重要应用。攻击者可以通过后门攻击技术，使得恶意软件检测模型在检测特定样本时失效。例如，攻击者可以在训练恶意软件检测模型时插入带有后门的恶意样本，使得模型在检测带有特定触发器的恶意软件时无法正确识别，从而达到隐蔽恶意软件的目的。入侵检测系统：入侵检测系统（Intrusion Detection System, IDS）用于监测网络流量并识别潜在的入侵行为。攻 ...继续阅读 (9)

在计算机安全中，后门攻击是一种恶意软件攻击方式，攻击者通过在系统、应用程序或设备中植入未经授权的访问点，从而绕过正常的身份验证机制，获得对系统的隐蔽访问权限。这种“后门”允许攻击者在不被检测的情况下进入系统，执行各种恶意活动。后门可以分为几种主要类型:a) 软件后门:通过修改现有软件或植入恶意代码创建。b) 硬件后门:在物理设备的制造或供应链过程中植入。c) 加密后门:在加密算法中故意引入弱点。d) 远程访问特洛伊木马(RAT):一种特殊类型的后门,允许远程控制。在人工智能、深度学习领域也有自己的后门攻击。深度学习后门攻击深度学习后门攻击是一种针对机器学习模型，特别是深度神经网络的高级攻击方式。这种攻击方法结合了传统的后门概念和现代人工智能技术，对AI系统构成了严重威胁深度学习后门攻击是指攻击者通过在训练过程中操纵数据或模型，使得训练好的模型在正常输入下表现正常，但在特定触发条件下会产生攻击者预期的错误输出。攻击者通过在训练数据中注入带有特定触发器的样本，或直接修改模型参数，使模型学习到这些隐藏的、恶意的行为模式。这些触发器通常是难以察觉的微小变化。比如下图所示右下角的白色小方块就是触发器，模型一旦被植入后门，在推理阶段，如果图像中出现了触发器，后门就会被激活，会将对应的图像做出错误的分类。那么深度学习后门攻击与传统计算机安全中的后门攻击有什么联系和区别呢？联系：概念相似性：两种攻 ...继续阅读 (9)

写在最前面：这是顺丰“威胁情报作战三部曲”的第一篇，三篇分别是：攻击者画像、情报拓线和威胁狩猎。我们的心愿，就是把顺丰使用威胁情报的经验掰开了、揉碎了、明明白白写出来，希望对屏幕前每一个你都能有所帮助，哪怕只有一点点。 那么，正题，开始！►►►从挨批到挨夸，我只用了一个动作嗨，还是我，顺丰的安全研究员K，今天又在网络安全的海洋里“冲浪”，结果被三条告警的“浪”拍得晕头转向：这三条告警彼此简直毫不相干，可是看着间隔时间，又让我本能地觉得此事并不简单。我对着屏幕一脸懵逼，心想：“这告警，比女朋友的心思还难猜。”就在我已经做好挨老板一顿痛批的心理准备时，突然灵光一闪：“等等，我们不是有 攻击者画像工具吗？” 我赶紧打开它，像抓住了救命稻草。 没想到，这个工具关键时候还真能救命。 我输入告警信息，几秒钟的时间它便把三条告警串联起来，指向了同一个攻击团伙。原来，我离真相只差一个“攻击者画像”的距离！好家伙，今天又有东西可以跟老板吹了：“看，我用攻击者画像，逮到了一个攻击团伙！”►►►攻击者画像介绍攻击者画像，就像是给网络攻击者画的一张“肖像画”，它站在高维度的攻击者视角，通过分析攻击者的行为模式、使用的技术和工具、攻击的目标和频率等信息，每天从数千万的攻击告警中提炼有效信息，最终构建出一份关于攻击者的详细“档案”。具体来说，攻击者画像可能包含以下几个方面的内容： ...继续阅读 (7)

这道题比较有意思，而且因为我对misc并不是很熟悉，发现该题目将flag隐藏在图片的颜色属性，巧妙的跟踪到这些密文位置，拿下题目一血，还是很有参考学习意义的。（题目附件，加V：dctintin）1、图片RGB隐写赛后去查阅了相关资料，发现该题采用了RGB隐写，特此总结一下，帮助读者理解。lsb 隐写题在 ctf 中也经常考到，LSB即为最低有效位，我们知道，图片中的图像像素一般是由 RGB三原色（红绿蓝）组成，每一种颜色占用 8 位，取值范围为 0x00~0xFF，即有256 种颜色，一共包含了 256 的 3 次方的颜色，即 16777216种颜色。而人类的眼睛可以区分约 1000万种不同的颜色，这就意味着人类的眼睛无法区分余下的颜色大约有 6777216种。LSB 隐写就是修改 RGB颜色分量的最低二进制位也就是最低有效位（LSB），而人类的眼睛不会注意到这前后的变化，每个像数可以携带3 比特的信息。上图我们可以看到，十进制的 235表示的是绿色，我们修改了在二进制中的最低位，但是颜色看起来依旧没有变化。我们就可以修改最低位中的信息，实现信息的隐写本题属于修改RGB的最后一个位，一共可以隐藏三个位，RGB（三原色）R：隐藏最高位G：隐藏最高位B：隐藏最高位2、实战2.1 初识题目给了一个ELF文件和一个png图片，猜测会对png进行解密操作很明显要么加密了图片，要么隐藏了数据2 ...继续阅读 (11)

小白的众测高危：记先前某次众测，经过资产梳理，发现所有站点全部都挂了WAF，作为一名不钓鱼的挖洞小白，我估计这次又要空军。小白生于天地之间，岂能郁郁难挖高危？想要在挂了WAF的站点挖出高危，很难，因为这些站点，你但凡鼠标点快点，检测出了不正确动作都要给你禁IP，至于WAF绕过对于小白更是难搞。其实在众测，大部分漏洞都并非那些什么SQL注入RCE等等，而小白想要出高危，可能也只有寄托希望于未授权。未授权接口怎么找：有一种站点，在URL内含有#符号，这种站点的路径接口信息泄露较多，更容易出未授权。但要注意一点，#后面的东西是不会走服务器的，所以这里如果在findsomething找到了很多东西，拼接的时候带不带#号呢？这就要区分路由和接口了，如果看着像是路由，在这种原本就有#符号站点，就带上#符号。如果是接口，接口一般是用来进行数据交互的，所以需要走服务器，那就不能拼接#符号。区分上述后就可以将拿到的东西以POST请求，GET请求都跑一遍，再看是否存在能用的接口，再根据接口返回情况看是否需要添加参数。这里又是涉及一个很麻烦的点，那就是遇到接口能用，找到参数了，但参数的格式不知道，我这次讲的这个高危就遇到了这种情况，差点错过！在将现有js里面的接口跑完后还需要注意找js里面的js里面的接口。这里有两种常见情况：一、js.map泄露大多webpack打包的站点会有js.map文件，那js. ...继续阅读 (11)

该题目贴合实际，在实战中经常遇到此类宏病毒。将Office文档中嵌入以VBA(Visual Basic forApplications)编写的宏代码脚本，当运行Office文档时，便可以执行各种命令。VBA脚本文件重定向能够将脚本默认文件vbaProject.bin进行替换，在打开文本时加载其他文件，增加分析者的分析复杂程度。1、初步分析在 Office 2007 之后的 Office 文档格式采用的是 OOXML 标准格式。那什么是OOXML 标准？这里的 OOXML 的全称是 Office Open XML File Formats或被称为 OpenXML 格式，这是一个基于 zip+xml定义的文档格式。简单的说就是Office文档是一些xml文档压缩文件，因此我们将一个word文档进行zip解压，可以获得一些xml文件打开发现是一堆乱码，此时就需要借助大佬们的工具了。2、oletoolsoletools对该文件进行分析，oletools将宏源码完整的还原了出来。官网：https://github.com/decalage2/oletools/releases这里采用pip安装模式pip install -U oletools运行命令olevba -c protected_secret.docm > code.vbs3、分析vbs代码直接搜索：AutoOpen里面有太多垃圾代 ...继续阅读 (8)