每次看QEMU启动有一堆参数，很是害怕，所以抽出空来彻底整理一下见过的QEMU用法，从使用者的角度对QEMU做一个梳理。

题目地址：https://adworld.xctf.org.cn/task/answer?type=pwn&number=2&grade=1&id=4713&page=2

本题总结点较多，之后总结

漏洞点是：存在一个位于bss段的变量输入溢出，溢出后可以覆盖一个IO_FILE结构体的指针。

我猜这么诡异的动作，应该是墙，然后用iptables尝试复现了劫持的情景

漏洞点是：存在悬空指针，并且可以被使用，即UAF。其使用的方式是可以继续free。

在使用gcc编译时，如果采用带-g选项编译，即可在二进制文件中附加调试信息以便gdb进行源码级别的调试。如果二进制中存在调试信息并且源码文件存在，则可以使用gdb的list命令来查看源码。通过在ubuntu中安装带调试信息的libc，并下载libc源码，即可配置gdb跟入libc的库函数后进行源码级别的调试

计算机最讲道理。凭啥计算机知道加载地址，而我不知道？答：裸机程序中不必要包含自己的加载地址，如果没有加载地址，就无法对绝对地址的引用有正确的解析。所以分析的固件如果是裸机层面的代码，就需要知道其加载地址。

出了一个攻击真机的题目：利用ssh的端口转发以及一台公网服务器，将apk绑定本地的对应端口映射到公网上。漏洞点为app中的Runtime.getRuntime().exec的参数拼接，利用方式为：使用其本身执行的wget程序的--post-file参数将保存在应用私有目录下的flag带出。最终解出本题的队伍个数为33，前三名为0ops，天枢，NU1L。

漏洞点是：存在悬空指针，并且可以被使用，即UAF。其使用的方式是可以继续free。

本文讨论的第一条指令的概念是存储于CPU外部的指令，因为真正意义上的第一条指令应当位于CPU内部。这个问题其实看intel的CPU手册就知道了！

这其实是个不明确的问题，问题的主语应该具体到每一颗不同型号的CPU上，而非一类架构的CPU集合。

漏洞点是：本题预留了一个彩蛋，触发后可将一块栈内存的地址记录到堆上，并且可通过一些函数的输入控制这块栈内存。

本意是参考https://ctf-wiki.github.io/ctf-wiki/pwn/linux/arm/arm_rop-zh学习ARM相关的漏洞以及利用，却在搭建环境的问题上弄了好久，不明白QEMU启动一堆镜像都是啥，所以采用暴力的方式直接在ARM机器上学习，采用了树莓派，还有装了Termux的android手机直接gdb本地调试，安装zio本地利用。例题：jarvisOJ_typo

官网：https://termux.com/

https://overthewire.org/wargames/

本题可以申请任意大小的堆块，并且在删除时未清空指针数组导致悬空指针，从而产生UAF。利用方式为通过UAF调用一个存在于堆块，并且被一系列堆操作篡改的函数指针，控制流劫持进而getshell。

本题可以申请任意大小的堆块，并且在删除时未清空指针数组导致悬空指针，从而产生UAF。利用方式为通过FastbinAttack的DoubleFree的实现有限制的目标地址写，将GOT表项改写为后门函数。

漏洞点是：因一个逻辑漏洞引发的栈上数组越界读写

方校长说：工控系统不是多安全，而是常人很少接触到

折腾了三个晚上终于搞定了

本题源自2019年36C3 CTF，对基于Speck的hash算法找原像或第二原像，解法是中间相遇（Meet-In-The-Middle)

本题源自2019年36C3 CTF，解法是由strncat函数的SSE优化产生的bug导致的栈溢出

本文写于2019.12.21，LLVM9.0版本编译相关

阅读文章：

在逆向MIPS指令集的软件时，如果想看反汇编到C代码的结果，现在基本有如下三种选择：

收集各种sploit框架：

一次比赛中通过某漏洞getshell后，需要触发硬件上的一些响应，但是并没有找到可以直接控制硬件的对应命令，所以只能逆向能实现控制硬件的程序，进而编写对应功能代码，上传恶意程序进行操控。

学习线性分析法的起因是密码学课程的一次论文阅读的大作业，题目如下：

本题来自于：2019年工业信息安全技能大赛个人线上赛，第二场第一题，破解加密数据，题目如下，即解密密文109930883401687215730636522935643539707对应的明文数据

比赛遇到了S7-200smart的脚本控制，由于型号比较老，流量没有什么认证和加密，直接用wireshark抓到正常通信的包，然后重放即可，目前功能有：

在全国第五届工控系统信息安全攻防竞赛中遇到了这么一个情景：

安全研究

冬令营听了两遍DirtyCow还是不太懂，这次决定借着学习条件竞争的机会搞懂这个很出名的漏洞。首先介绍一下DirtyCow，其CVE编号：CVE-2016-5195。Linux内核的内存子系统在处理写入时复制（copy-on-write, COW）时产生了竞争条件（race condition）。恶意用户可利用此漏洞，来获取高权限，对只读内存映射进行写访问。影响版本2.6.22到4.8.3, 4.7.9, 4.4.26之前。首先介绍一下条件竞争：

最近在逆向一个通信协议的实现，具体来说这个协议实现代码在一个windows软件的动态链接库中，该协议的通信过程中加入了随机数以防止重放攻击，我需要逆向找到该协议是如何对随机数进行一系列的计算，从而完成重放攻击。历时四个月终于完成，第一次搞win下逆向就是这么硬核的工作，着实让我费尽心思，更不知道熬了多少个大夜。不过在整个过程中的确学的非常多的知识，但因为并不能公开是何种协议，所以只能抽出整个过程中学到的逆向技巧进行分享。

看了许多网上超多的关于S盒生成的文章，感觉没几个能说明白这个东西怎么算的，最后终于找到一篇文章：

手写了一遍AES加密，虽然是参考网友的（基本一毛一样），但还是在写的过程中有所收获。不过还是没弄明白s盒的计算方法，即在有限域上求乘法逆，那个扩展欧几里得实在是看不明白。能力太差，以下实现只是能做学习AES原理用，解题或者平时计算还是用高级语言中对应的算法库。

32位题目地址：nc 202.112.51.157 9001
64位题目地址：nc 202.112.51.157 9002

题目地址：nc grjt.game.redbud.info 20003

题目地址：nc warmup.game.redbud.info 20002

题目地址：http://47.93.12.191:7002

重合指数

题目

留坑

一直对符号和符号表不是很了解，这次彻底搞懂这玩意，在《程序员的自我修养》3.4和7.5章节介绍了关于符号表的相关知识。符号，这俩中文字放一起，有以下几种意思:

题目地址：https://pwnable.tw/challenge/#32

题目地址：https://pwnable.tw/challenge/#2

题目地址：https://pwnable.tw/challenge/#1

为什么这么麻烦？

前几天看一个朋友的动态调试窗口非常酷炫，大概这样：

情景

查看elf依赖的so

你是一名企业工程师，在供热期中，操作员发现工程系统管理员:flag的密码忘记了，请你通过工程文件找出系统管理员的密码。

工程师的笔记本上发现了恶意软件，经排查是一款著名针对工业领域的病毒，溯源分析远控样本文件，确认远程C&C连接地址

在对电力行业某二次设备进行渗透测试时，通过弱口令telnet服务获取了设备的权限，并提取出了设备固件文件，现在需要从固件中分析出其他默认硬编码密码或厂家后门口令。

因为要搞IOT和工控的研究，想从底层研究一下硬件，但一直对电路板这个绿莹莹的东西很害怕。前几天在DEFCON CHINA现场玩了个焊小时钟，觉得焊接还挺好玩的，回家的路上正巧看到迅维论坛的人发朋友圈，有个手机维修培训班，一拍脑门我就来了。说起知道这个论坛还是有点故事的，去年我电脑坏了，macbook pro 2013，开机突然白屏问号，怎么也进不去系统，网上翻了半天，找到了以篇帖子MACBOOK PRO不认硬盘 通病，要花两块钱注册会员，帖子两毛钱，总共两块二，花钱解锁后内容如下：

最近在尝试root一个设备，Android 5.1.1，遇到了一系列的问题，内容很杂，在此记录，日后继续完善

介绍

层次

生成以及转换

根据小米智能家居设备流量分析及脚本控制一文复现

常用STL

vs2018 快捷键

机试资料: https://pan.baidu.com/s/1QKfvbN-sV-3l89kUI-dxgQ 密码:1f65

https://github.com/xuanxuanblingbling/NFChacker

日期记录

总览

新版v3签名在v2的基础上，仍然采用检查整个压缩包的校验方式。不同的是在签名部分增可以添加新的证书，即可以不用修改ApplicationID来完成证书的更新迭代。

前人经验：https://blog.csdn.net/chr1991/article/details/64971113

一图胜千言：

官方手册：Host-based card emulation overview

概述

攻击情景——拒绝服务

不止Kali 和 Aircrack-ng 无线渗透工具合集

日常使用标准

源码链接：https://github.com/Audi-1/sqli-labs

三道质量不高的Web题目

EasyWeb

N1CTF的一道注入题的三个版本，注入点相同：

题目链接：http://116.85.48.104:5036/gd5Jq3XoKvGKqu5tIH2p/

题目链接：http://116.85.39.110:5032/a8e794800ac5c088a73b6b9b38b38c8d

题目链接：http://116.85.48.107:5000/b9744af30897e/

题目链接：http://116.85.48.105:5033/5d71b644-ee63-4b11-9c13-da3c4ac35b8d/well/getmessage/1

题目链接：http://116.85.48.102:5050/welcom/8acb825dsc139s4f1bsb16es14f7875f8f23

题目链接：http://116.85.43.88:8080/ZVDHKBUVUZSTJCNX/dfe3ia/index.php

web1

Web Check-in

blog简易篇

Do you know upload？

跟紧出题人套路，各种写死的逻辑

框架漏洞

工控线下的web就是源于此题

测试注入

登录框

.viminfo

爆破md5

Vulcan Logic Dumper

注释以及响应头

测试登录

忽悠人的路径