SkYe231 Blog

Reverse bang考点：梆梆加固脱壳 加固特征分析apktools 加载工程后，部分文件丢失（灰色）。smail 代码只有 SecShell 类；lib 中发现 libSecShell.so ，结合最新各大apk加固特征库和吾爱帖子推测应该是梆梆加固免费版。 梆梆加固会隐藏源码，然后在 com 中加载 libSecShell.so ，来运行程序。 1System.loadLibrary("SecShell"); 程序脱壳 脱壳过程一直踩坑，各种环境问题而出错。 准备使用DexExtractor来脱壳的，但是 AS ADV arm架构机器一直报错运行不起来。失败记录独立成篇，跪求大佬指导。 选择使用 xposed + apkshelling 模块脱壳，脱壳原理移步作者 github 。 编译apkshellingapkshelling 会匹配是否目标包名及是否加壳，是的话就脱壳。但稳妥起见将目标 apk 的包名填入到 apkshelling 源码中的 XposedEntry 。 编译生成 apk ，安装到虚拟器中，在 xpoesed 中激活启用，重启虚拟 ...

承接上文第二届网鼎杯 Writeup，使用DexExtractor进行脱壳。作者在 github 上的说明不太详细，就百度找到了操作向-DexExtractor的使用这篇文章。依据文章和作者的介绍开始配置环境。 AVD 配置DexExtractor 的使用需要替换 sdk 中的system-images\android-19\default\armeabi-v7a\system.img为作者版本，如果需要在其他安卓版本使用，需要自行编译对应版本的system.img。 有现成轮子就直接用了，DexExtractor作者编译的system.img是android 4.4 、api-19版本。但是 AS API-19 的有三个版本，README 中没指明。操作向-DexExtractor的使用里面写着用非 google api 版本，就尝试性使用。 创建 AVD 完成后，未修改任何文件，测试虚拟机可用性。提示报错有两条，其中一条是： 1cannot find avd system path please define android sdk root sdk 的系统变量我是配置正确的， ...

Pwn[scode type=”red”]非洲人怎么开容器都连不上所以 wp 都是本地。 [/scode] [scode type=”green”]看完大佬 wp 了解到远程 docker 会过滤空格，不能使用cat flag，需要改用base64<flag。因此这篇水文没有参考意义，去看大佬的 wp 吧~ 膜拜大佬师傅们的WP： taqini 风沐云烟 [/scode] Pwn 签到[collapse title=”展开查看详情” status=”false”] 考点：栈溢出 gets 函数栈溢出，程序只开启 NX 保护。漏洞函数如下： 12345678910int __cdecl main(int argc, const char **argv, const char **envp){ char v4; // [rsp+0h] [rbp-20h] setvbuf(stdout, 0LL, 2, 0LL); setvbuf(stdin, 0LL, 2, 0LL); gets((__int64)&v4, 0LL);//溢出点 system(" ...

MiscMisc杂烩/Misc Chowder[collapse title=”click to see more” status=”false”] [scode type=”yellow”]ALL hint： 流量包中的网络连接对解题没有帮助 The network connection in pcap is not helping to the challenge 不需要访问流量里任何一个的服务器地址，所有数据都可以从流量包里直接提取 Do not need to connect the network, every data can be extracted from the pcap In the burst test point of compressed packet password, the length of the password is 6, and the first two characters are “D” and “E”. 压缩包密码暴破考点中，密码的长度为6位，前两位为DE。 [/scode] Examination point：Traffi ...

Misc6G 签到题不需要下载整个文件。点击下载后，就可以停了。然后 winhex 打开下载缓存文件，查看十六进制内容，发现惊喜。 blueshack流量分析题目，流量包是蓝牙流量。 找到一个压缩包，复制粘贴提取出来。（7z 文件头是：37 7a bc af） 压缩包加密，提示是蓝牙连接的 PIN 码，就返回开头选择 PIN 校验数据流 Reeasyre加密函数与校验函数如下： 123456for ( i = 0; i < strlen(&v5); ++i ) v6[i - 112] = (v6[i - 112] ^ 6) + 1; if ( !strcmp(&v5, "akhb~chdaZrdaZudqduvdZvvv|") ) std::operator<<<std::char_traits<char>>(&std::cout, "yes!you are right"); else std::operator<<<std::char ...

Step & stepistep和stepi(即s和si)就是单步步入，进入函数内部，比如说在某一行发生了函数调用，step/stepi就会进入函数体内部，把函数体执行一遍，再返回执行下一条指令。同理，step是在源码层面的操作指令，stepi是在机器指令层面的。 step 汇编调试系统函数的汇编指令时，会一个 step 就跳几条汇编指令，因为 step 是基于源码层面的。 x 查询指令[collapse title=”展开查看详情” status=”false”] x 指令用于查看内存地址的值，x命令语法： 1x/<n/f/u> <target addr> n ：输出个数 f ：显示格式。 在 pwn 题中通常都是使用 16 进制查看。 x ：十六进制（常用） d ：十进制格式 u ：十六进制格式显示无符号整型 o ：八进制格式量 t ：二进制格式 c ：字符格式 f ：浮点数格式 u ：查看字节单元数。在 pwn 题中，根据题目是 32 位还是 64 位灵活切换 w 和 g b ：单字节（8 位，1 个字节） h ：双字节（16 位，2 ...

MarksMan考点：任意地址写 程序保护措施全开，开局给一个puts的地址，然后就是直接进入任意地址写入操作。 写入的目标地址直接填十进制字符，程序会调用 atol 给它转为 int 型。 1return atol(&nptr); 向目标地址写入只能是 3 个字节，也就是低三位 123456for ( i = 0; i <= 2; ++i ){ puts("biang!"); read(0, &v7[i], 1uLL); getchar();} 这种题目貌似是前几个星期国外那边兴起的，然后基本套路就是在写入函数后（这题就是 main 函数 27 行之后）找 call 指令，找到适合的函数，修改为 onegadget 地址。 根据作者介绍，题目过滤了全部 one_gadget ，推测应该就是sub_BC2这个函数，如果不含有过滤的 onegadget 就返回 1 ，进入任意地址写操作。 1234567signed __int64 __fastcall sub_BC2(_BYTE *a1){ ...

记录一下 typecho handsome 修改，以免手滑出事。 萌卜兔前后台美化插件[collapse title=”展开查看详情” status=”false”] 自带功能 动态背景 页面背景透明 主题盒子优化等效果 头像旋转 彩色图标（右侧列表导航栏图标、博客信息标签） 文章选择卡（首页文章图片获取焦点放大、文章列表获取焦点放大） 文章卡阴影化 顶部彩色跑马灯 文章内打赏处插入打赏图片 文章内打赏图标跳动 标题居中 滚动条美化 文章标题美化 彩色标签云 评论框打字粒子特效 动态标题 回到顶部 看板娘 鼠标样式 遮罩特效（网站下雪） （自动）夜间模式 登录壁纸、登录框美化 插件来自@萌卜兔，安装配置方法请看作者 blog 。 我遇到的问题如果发现彩色标签云需要刷新页面才可以显示，需要在 handsome主题设置-PJAX-PJAX 回调函数中添加以下代码 1let tags=document.querySelectorAll("#tag_cloud-2 a,.list-group-item .pull-right");let colorArr=["# ...

Pwndice_game 题目来源： XCTF 4th-QCTF-2018 考点：栈溢出、混合编程 基本情况程序实现的是一个具有用户姓名输入的菜随机数程序。 保护措施12345678910111213141516171819202122232425262728293031323334Arch: amd64-64-littleRELRO: Full RELROStack: No canary foundNX: NX enabledPIE: PIE enabled````##### 栈溢出一开始我在纠结是输入数字时使用的是**短整型**，可不可能是整型溢出，这样既能保持低位数字符合要求，又能控制 rip 跳转到后门。一时想不起来是那一条题和这条很相似的，就这样怀疑。最后观察是这里存在栈溢出：```c__int64 __fastcall main(__int64 a1, char **a2, char **a3){ char buf[55]; // [rsp+0h] [rbp-50h] char v5; // [rsp+37h] [r ...

使用ASF在Ubuntu下实现Steam云挂卡我的环境 Ubuntu 18 主机配置为 1C1G ASF 搭建版本：V4.2.0.1 ASF-Bot 搭建版本：2019.9.12 安装过程下载 ASF从 ASF V3 开始 .Net SDK 不是必须要安装，已经集成，所以直接下载安装 ASF （本文默认在 /root 目录下安装）。最新版下载链接请到这里找。 12345678# 创建文件夹mkdir asf && cd asf# 下载压缩包wget https://github.com/JustArchiNET/ArchiSteamFarm/releases/download/4.2.0.3/ASF-linux-x64.zip# 解压(没有unzip的：apt install unzip -y)unzip ASF-linux-x64.zip# 权限chmod +x ArchiSteamFarm 生成 ASF 程序配置文件使用在线网站生成，选择 ASF 选项并根据下面提示选择性填写内容，可根据个人需求自行调整，各个参数介绍看Wiki。 SteamOwnerID：64 ...