第一首自己写比较完整的曲子

音乐地址在这里:dance.mp3

怎么说呢,虽然说旋律能自己随便编,甚至口哨天天都哼来哼去,但是完整的起承转合或者带有明显节奏型和鼓点的音乐却没怎么尝试过,原因不亚于中途自己听不下去了hhhh

今天上完管乐课回来,闲着无聊,正好就花了一点时间,试着写了下。

按照节奏来算,应该算舞曲+中国风吧?因为用的是Dance Loop加名族调式和FGEmAm万用和弦。

目前缺点有两个,过于单调和过场太过僵硬。整体透露出了一个字,憨!

旋律过于单调,很多时候脑袋里想着的旋律但是就是突然记不起来了,要整德时候就记不起来,或者想不出来,再或者就是自己技术太差,配不上对应德节奏型,达不到理想的效果,然后就果断德删工程了hhhhh

同时开头和结束是中间写完之后,哎呀,才忘了没有开头和结尾,就自己直接用一个自己乱写的solo当转场和结尾,憨批的不行hhh

然后结尾因为不知道啥问题,没录好,不过差不多这样吧_(:з)∠)_

本来是打算加个转调的,但是舍友都要睡觉了。今天就先瞎JB写到这里吧。

以及鼓点实在是写不来,整段鼓点一成不变,实在听不来。

不过第一次整出一个勉强能听的“完整的曲子”,还是很开心的

Tags: 音乐, 编曲

记一次蛋疼的分析

起因

在隔壁院的新生群里玩耍,正好听说有个专用程序,同时还有一天就开学了(其实是因为要补考,我实在复习不进去那什么中国音乐史,外国音乐史
2063193114.jpg
起因2.jpg
到手.jpg
很好,程序到手,分析一波

走起

界面.jpg
界面2.jpg
预计在MSGBOX那里有网络通信,随手输入几个数字,让我们看看到底是咋样通信的。
然后开启wireshark分析一波流量
流量.jpg
WTF??我看到了什么?这熟悉的语法。然而在流量中没有看到详细的连接请求,也就是账户密码等信息,所以先拿Nmap扫一波
sql server.jpg
确定是sqlserver,好,IDA PAO,启动!不对,在此之前,PEiD康康是什么壳
壳.jpg
发现是个ASP壳,emmm,直接ESP定律找OEP dump出来就行,甚至直接用脱壳机都可以。不管怎么样壳是脱了
脱壳.jpg
Delphi程序欸。现在有点少见了呢,其实我还以为是个MFC程序呢(
然而发现启动失败了
启动失败.jpg
⑨BIE发现事态有那么一丝不对劲.jpg
不管了,继续,能出现界面至少说明PE格式没有破坏。
拉到IDA看看逻辑
emmmmm.jpg
emmmmm??
几K个函数,分析不动。。看了半天晕了_(:з)∠)_。。不管了,先直接找字符串试试,输入对象IP
字符串.jpg
嘿找到了。
双击,X查找引用
call.jpg
发现作为参数压入了个奇怪的函数,这莫非就是连接函数?
wtf.jpg
wtf??
倒回去看了下,一个0-9A-Z的表,一个mov eax, unkonwn_address;push word ptr [eax +4]操作,再配合之前的脱壳后无法启动,这尼玛八成。啊不,九成九是加了混淆啊喂魂断。(╯‵□′)╯︵┻━┻
没办法,想了一下,程序连接sqlserver有什么方式呢?特别是这种古老的delphi。
试着搜索关键词User id=
数据库字符串.jpg
果不其然,收到了,继续X查看引用
sqllink.jpg
sqllink2.jpg
我们重点分析右下角的call sub_4052AC。跟进
堆栈不平衡.jpg
发现堆栈不平衡,可以知道,这基本也是混淆的问题了。但是,我们猜测,这应该是一个字符串拼接的地方,最后拼接出来的,肯定是一个带有账户密码的内存条件。
虽然二进制程序内加密了,不过不管了,我们已经大致知道程序运行流程了。就和ESP定律一样,无论你程序怎么编码,最后都是要出现在内存中的。
我们直接找原版无壳的丢到OD中去分析。
因为知道会创建窗口,所以我们用API断点,设置一个CreateWindowsA的断点
断点.jpg
走起,然后在断点处,用中文ASCII搜索功能搜索主线程字符串password
ascii.jpg
然后flow进去,在这个地方,右键,断点,内存访问
断点2.jpg
这样有啥程序调用我们这个,我们就都知道啦。
然后把之前的CreateWindows的断点清除,留下这个内存访问的断点,然后ctrl+F2重新开始程序。跟踪步入,GO。走起。

等下,走起之前,突然想起,这步入执行很慢的,走到那里要后年马月,根据IDA PRO的分析,我们知道,连接过程是在窗口启动之后才进行的,所以我们把断点设置到UpdateWindow,上,在那之后运行跟踪步入
find.jpg
成功找到,接下来,我们就F7单步执行,康康到底都写着啥,最后,在手都快按酸的情况下,终于找到了
找到啦.jpg
好,现在账号密码都有了,然而,我突然发现,这密码这一块,有三个框框,对应HEX是1E 1F 1A,起初以为是SQL SERVER的自定义颜色,我把1F1A3B输入进去,连接。发现错误。然后感觉call名称MutibyteToWideChar,以为是宽字节的字符串编码,这下让我为难了,这sql server怎么输入宽字符啊,用%号x之后,都不对,一气之下,直接复制黏贴进去。欸,成了
连上.jpg
惯例,测试xps_cmdshell。发现连接失败,直接超时了。
不是报错?那么就有几个原因

  1. 没开xps_shell =》 不太可能,毕竟没报错
  2. 没有权限 =》不太可能 原因如上
  3. 杀软或者其他奇怪设置拦截 =》 八成是这个

那么怎么办呢?这时候可以使用

declare @shell int 
exec sp_oacreate 'wscript.shell',@shell output 
exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c whoami >c:\log.txt'

然后再用

create table tmp_text (lines nvarchar(1000))
bulk insert tmp_text from N'C:\log.txt'
select * from tmp_text 
drop table tmp_text 

读取。首先我们先看看权限
whoami.jpg
system.jpg
emmmm,system可还行,直接新建一个用户,OK成功连上。
拿下.jpg

结束

总共前前后后下来,花了三个小时吧,之前不知道,分析过后才知道,自己动态调试技术实在太差了。

其实花的时间都浪费在了识别协议,解读程序流程(这段花了最多,我一直天真的以为我可以不靠调试器脑力解码2333),以及动态调试。

一趟下来,其实也挺好玩的。接下来的时间得多看看动态调试相关的书了emmm。

溜了溜了,得补考音乐史去了。哇的一声哭出来。

Tags: 分析

pwnable小合集

开新坑,随手做一做。

welcome

二话不说,掏出IDATIM截图20190821011747.jpg

很明显,需要把*address地址改成0,则可以获取flag。

这时候,看伪代码其实不好看,得看汇编

TIM截图20190821011747.jpg

看到这一行,rdx是可控的,也就是我们输入的size,在伪代码中可以看到。我们要做的只要把rbp设置为0.

rbp也就是v5,由malloc赋值,怎么设置为0?malloc返回为NULL(0)就行。

开头程序会print address的地址的值,那么长的地址输入进去,malloc应该会返回NULL吧。

试了下果不其然。

所以我们用计算机,构造开头address地址+1,malloc返回NULL,size值-1则是address地址。

成功拿到flag

sub

送分题,不多说,看题目。
TIM截图20190821013430.jpg

看到这个第一反应原本是溢出,但是看到<=,emmmm,直接4918 -1,解决。

减去负数就是加desu。

add

看题。

TIM截图20190821163808.jpg

很明显,addr可以数组越界溢出栈。直接覆盖ret的esp返回值就行。

TIM截图20190821163808.jpg

内置了一个函数,要求就是覆盖rip到这里。

因为地址 是静态,所以直接看ida的地址,400822,然而这个是16进制,16转10就是4196386.

之后,我们查找rip地址,本来可以直接用ida pro远程调试的,但是我这边ida pro+wsl出各种问题没调试成功。

没办法只好gdb了。 设置printf断点,在第二个断点用x/30x $sp打印esp信息

TIM截图20190821163808.jpg
本来以为是红框处那里,但是试了一下,结果发现是下面那个白框处。不知道为什么,疑惑。要是有ida就好了。

最后试了下,试出来第三个参数是13,也就是越界的下标。

之后我们运行,在input:后输入 0 4196386 13 (前面两个无所谓,只要相加之和等于4196386即可

运行后会回到input:状态,这时候我们按下ctrl+D发送EOF,即可得到flag

未完待续,咕咕咕ing

Tags: none