深入解析DLL劫持漏洞

2016年3月3日 9 条评论

0×00. 导读
DLL劫持是一种古老的技术了,本文是《CVE-2016-0041 Windows 10 PhoneInfo.dll Hijacking Vulnerability》的延伸,介绍了DLL劫持的漏洞原理、漏洞挖掘方法、漏洞利用场景等,同时引入了HaifeiLi关于Chrome/Edge自动下载漏洞的介绍,以及最新版本Edge对DLL注入的缓解措施。本文已在外部发表于乌云知识库,特别感谢tombkeeper在行文思路上的建议。
0×01. DLL劫持漏洞介绍
1.1 漏洞简[......]

继续阅读

CVE-2016-0041 Windows 10 PhoneInfo.dll Hijacking Vulnerability

2016年2月18日 1 条评论

微软在2016年2月份发布的补丁中补掉了一个DLL劫持漏洞,该漏洞是MS16-014漏洞之一,CVE编号为CVE-2016-0041。在2015年12月份我注意到了这个漏洞的存在,但是并没有报告给微软,因为我没有给微软报告过漏洞……当时候特地去搜了一下关于phoneinfo.dll的信息,发现只有TK(@tombkeeper)在2015年的CanSecWest安全会议上的一个议题中(Sexrets of LoadLibrary)有提及。
0×01. 漏洞发现
当时候我在Windows 10下监控[......]

继续阅读

绕过010Editor网络验证

2016年1月28日 没有评论

010Editor是一款非常强大的十六进制编辑器,尤其是它的模板功能在分析文件格式时相当好用!网上现在也有不少010Editor的破解版,如果没钱或者舍不得花钱买授权的话,去官方下载安装包再使用注册机算号是一个比较安全的选择。不过010Editor是有网络验证功能的,可以在本地架一个HTTP服务器来绕过这个验证(网上也能找到通过修改注册表绕过的方法,没有验证)。使用Python的BaseHTTPServer模块就可以实现这个功能(继承BaseHTTPRequestHandler并重写do_GET[......]

继续阅读

分类: Python 标签:

试用pydbg

2015年10月8日 4 条评论

pydbg是基于Python实现的一个调试器框架,之前看《Python灰帽子:黑客与逆向工程师的Python编程之道》这本书的时候接触过一点,今天再次试用,记录一点使用心得。
0×01. 安装
1. 下载pydbg源码
从 https://github.com/OpenRCE/pydbg 下载 pydbg 的源码,解压后复制到 C:\Python27\Lib\site-packages 文件夹下,注意文件夹重命名为 pydbg;
2. 下载paimei源码
从 https://github.co[......]

继续阅读

分类: Python 标签: ,

也来谈谈沙箱逃逸技术

2015年6月22日 2 条评论

今天在微博上看到有大神发表了关于沙箱逃逸技术的文章针对沙箱检测的逃逸技术小讨论,让我想起来我也还有几个有意思的小技巧,所以也来凑个热闹。需要声明的一点是,本文将要讨论的问题是我很久之前所做的总结,当前是否有效我没有去验证,所以,如果你实际测试的时候发现方法失效了,也请保持冷静!
0×01. 进程检测技巧
许多文章都会提到通过检测进程名字的方式来判断当前环境是否是虚拟机,那么自然要去比较进程名字了,而获取当前进程列表也无外乎几个固定的套路。我发现在检测特定进程名字的时候,是会触发火眼的监[......]

继续阅读

为什么高端人才会使用「拍卖」选工作?

2015年6月15日 4 条评论

100offer-互联网人才拍卖-专业程序员拍卖平台

想象一下,当你在一个网站上递交你的简历后,你会像珐琅彩瓷一样被各个公司竞相拍卖,确定到合适的「买主」之后,专车把你送到面试的地点;入职当天,你会收到精心准备的小礼物,通过试用期后,你还会收到 3000 元的奖金奖励!
程序员粘永把简历挂在网站后不久,就接到一个 HR的电话,「太快了」,不到一周,他就得到了心仪已久的公司 Strikingly 的面试机会,顺利入职。
啧啧,听上去像是广告一样。
但这是个真实的故事,这个网站叫100offer。在星巴克初次见面,100offer 创始人贾智凡向我[......]

继续阅读

0ops 0CTF Quals peers writeup

2015年4月26日 4 条评论

最近忙着写毕业论文,好久不更新Blog,写一下2015 XCTF中0ops 0CTF资格赛的一道简单题目的分析,最近几次比赛做的都不是很好,排名严重下滑了。
我们知道在BT下载的时候,文件块的下载时没有顺序的,所以这是一个bittorrent文件重组的问题。题目给了一个pcapng文件,首先要做的是找到文件所在的网络流量,这个还是比较简单的,在wireshark中打开pcapng文件,发现挨着很多长度为1514和54的包,随便选一条之后Follow TCP Stream即可,之后看到的就是整个会[......]

继续阅读

分类: CTF 标签: , , ,

乌云Club沙龙PPT《CTF Binary Tricks》

2015年1月14日 10 条评论

1月10日参加了乌云Club沙龙第三期,这一期的主题为CTF,Puzzor问我有没有时间去讲点东西,后来我就去了(本来是Puzzor去讲的,他说没有时间去了)。同去分享的小伙伴还有Light4Freedom队友redrain、蓝莲花死猫、北邮天枢Teacher G。
死猫分享的PPT展示了很多猥琐技巧,不过说PPT仅限内部分享,就没有放出来。redrain和Teacher G的分享也很精彩,我个人分享的就比较简单了。这次过去还见到了Ricter、AZure以及其他的小伙伴。
PPT下载:
red[......]

继续阅读

分类: CTF 标签: , ,

Exploit-Exercises Fusion Level02

2014年11月27日 5 条评论

Exploit-Exercises Fusion Level02,引入了DEP以及ASLR,引发溢出的代码位于encrypt_file函数中,当读入字符’E’的时候,首先读入四字节的数据到sz,用于表示接下来会有多少数据要读取,尽管接下来是通过read来读取数据到缓冲区buffer中,但是由于大小完全可控,所以可以溢出buffer缓冲区(128KB),然后覆盖返回地址。这个题还有一个地方就是会对发过去的数据进行加密处理,而且key是随机生成的,但是由于key只在首次生成而[......]

继续阅读

Exploit-Exercises Fusion Level01

2014年11月25日 没有评论

Fusion Level01和Level00是一样的,只是引入了ASLR机制,因为栈是可执行的,这里借助jmp esp来跳转到栈上执行代码。这是一个简单的栈溢出场景,realpath函数的原型为char *realpath(const char *path, char *resolved_path),其将path中保存的路径字符串展开之后复制到resolved_path之中,这里由于resolved数组只有128个字节,而path有1000多个字节,因此这里会发生栈溢出。
Fusion Leve[......]

继续阅读