详解各种奇淫绝技。
部分手写部分搬运。
重在自己的理解,或者找个时间,武器化这部分程序。
最终目标: 实现一个带有各种HOOK的汇总工具包
遇到的坑
pragma comment 只对微软编译器有效,GCC没用,得用-l来连接
IAT HOOK
内存版本
这个需要进入到宿主文件的内存空间,所以一般用DLL注入到宿主文件
原理就是普通的计算IMAGE_IMPORT_DESCRIPTOR在内存空间的地址。
然后修改IMAGE_IMPORT_DESCRIPTOR.FirstThunk.u1.Function的地址为我们的函数地址
其中几个重点:
GetModuleHandle(NULL);
// 获取主模块(EXE)的地址
PVOID WINAPI ImageDirectoryEntryToData(
__in PVOID Base,
__in BOOLEAN MappedAsImage,
__in USHORT DirectoryEntry,
__out PULONG Size );
获取内存中IAT导入表的虚拟地址。
//Base为要获得导入段所在模块的基地址。它一般是GetModuleHandle的返回值。
//MappedAsImage,它为true时,系统将该模块以映像文件的形式映射,否则以数据文件的形式映射。
//DirectoryEntry,要获得的段的索引。此函数不仅仅能够获得导入段的地址,根据此索引的不同,该函数返回对应段的地址。此处我们使用 IMAGE_DIRECTORY_ENTRY_IMPORT表示我们要获得导入段的地址。
//Size返回表项的大小
目录文件
- iat/memory/target.c 实例,直接封装在代码中的HOOK,没使用装载器
- iat/memory/dll.c dll封装版本(纯搬运)
代码参考:
文件区块修改版本
直接操作PE文件,修改IAT导入表导入DLL的地址。
这样的好处是在程序最初的加载就已经执行我们的代码,
并且不需要使用注入等容易被检测的敏感动作。
缺点是不能针对单独函数hook,
或者说与其是hook。完全是无中生有添加了一个DLL引用。
未完待续。。。
题目
我们截获了一些IP数据报,发现报文头中的TTL值特别可疑,怀疑是通信方嵌入了数据到TTL,我们将这些TTL值提取了出来,你能看出什么端倪吗?
下载:ttl.zip
分析
一开始以为是转成ascii,然后发现并不是。
结果去重复之后,发现只有127,63,191,255四个结果。
转换为ascii后发现一个是正问好一个是反问号和两个奇怪的东西。
然后把问好当成点划,其他当成换行符空格,用摩斯电码,也不是。
把四个结果当成上下左右,也不是。
最后问了问dalao。是吧四个结果当成00 01 10 11.
IP报文在路由间穿梭的时候每经过一个路由,TTL就会减1,当TTL为0的时候,该报文就会被丢弃。TTL所占的位数是8位,也就是0-255的范围,但是在大多数情况下通常只需要经过很小的跳数就能完成报文的转发,远远比上限255小得多,所以我们可以用TTL值的前两位来进行传输隐藏数据。
如:须传送H字符,只需把H字符换成二进制,每两位为一组,每次填充到TTL字段的开头两位并把剩下的6位设置为1(xx111111),这样发4个IP报文即可传送1个字节。
因为是255,所以转换为二进制的最大长度也就是8位了。
然后禁制查看
63转二进制是00111111,127是01111111,191是10111111,255是11111111
然后再取前两位,因为后面6位都被设置为1。
即可对应63->00,127->01,191->10,255->11
之后,试试转换为hex。
看到ffd8头,就知道这是图片了
然而这些只是hex的文本形式,我们得把这些转换成文件流。
写出后打开,发现是部分二维码
使用Stegsolve后发现,有6个frame,全部提取出来,之后用画图拼起来
最后给拼出了个这个
然后去解析,得出
key:AutomaticKey cipher:fftu{2028mb39927wn1f96o6e12z03j58002p}
然后更具key,google一下,找到了自动密码钥密码,在线解密一波
因为这种加密方式只对字母有效,我们还得手动把括号和数字加上去
得出 flag{2028ab39927df1d96e6a12b03e58002e}
前言
西湖论剑,错过了。只有现在才可以。只好先把题目下载下来,半夜三根的慢慢做。
我的顺序是先misc->web->pwn,其他题目我就真的做不来啦。
现在也先写一个Misc题目吧,题目如下:
资深宅“flag{”在朋友邀请下,参加了一场聚会。
在聚会上看到了美女“75D}”,一时心花荡漾、不能自己,坚信彼此就是天造地设的一双。
想通过层层朋友的关系认识她,却无奈性格问题,不敢劳师动众。
好在朋友帮忙搞到一张聚会人员关系图,如下:
[('FloraPrice','E11'),('FloraPrice','E9'),('FloraPrice','75D}'),('NoraFayette','E11'),('NoraFayette','E10'),('NoraFayette','E13'),('NoraFayette','E12'),('NoraFayette','E14'),('NoraFayette','E9'),('NoraFayette','E7'),('NoraFayette','E6'),('E10','SylviaAvondale'),('E10','MyraLiddel'),('E10','HelenLloyd'),('E10','KatherinaRogers'),('VerneSanderson','E7'),('VerneSanderson','E12'),('VerneSanderson','E9'),('VerneSanderson','E8'),('E12','HelenLloyd'),('E12','KatherinaRogers'),('E12','SylviaAvondale'),('E12','MyraLiddel'),('E14','SylviaAvondale'),('E14','75D}'),('E14','KatherinaRogers'),('FrancesAnderson','E5'),('FrancesAnderson','E6'),('FrancesAnderson','E8'),('FrancesAnderson','E3'),('DorothyMurchison','E9'),('DorothyMurchison','E8'),('EvelynJefferson','E9'),('EvelynJefferson','E8'),('EvelynJefferson','E5'),('EvelynJefferson','E4'),('EvelynJefferson','E6'),('EvelynJefferson','E1'),('EvelynJefferson','E3'),('EvelynJefferson','E2'),('RuthDeSand','E5'),('RuthDeSand','E7'),('RuthDeSand','E9'),('RuthDeSand','E8'),('HelenLloyd','E11'),('HelenLloyd','E7'),('HelenLloyd','E8'),('OliviaCarleton','E11'),('OliviaCarleton','E9'),('EleanorNye','E5'),('EleanorNye','E7'),('EleanorNye','E6'),('EleanorNye','E8'),('E9','TheresaAnderson'),('E9','PearlOglethorpe'),('E9','KatherinaRogers'),('E9','SylviaAvondale'),('E9','MyraLiddel'),('E8','TheresaAnderson'),('E8','PearlOglethorpe'),('E8','KatherinaRogers'),('E8','SylviaAvondale'),('E8','BrendaRogers'),('E8','LauraMandeville'),('E8','MyraLiddel'),('E5','TheresaAnderson'),('E5','BrendaRogers'),('E5','LauraMandeville'),('E5','CharlotteMcDowd'),('E4','CharlotteMcDowd'),('E4','TheresaAnderson'),('E4','BrendaRogers'),('E7','TheresaAnderson'),('E7','SylviaAvondale'),('E7','BrendaRogers'),('E7','LauraMandeville'),('E7','CharlotteMcDowd'),('E6','TheresaAnderson'),('E6','PearlOglethorpe'),('E6','BrendaRogers'),('E6','LauraMandeville'),('E1','LauraMandeville'),('E1','BrendaRogers'),('E3','TheresaAnderson'),('E3','BrendaRogers'),('E3','LauraMandeville'),('E3','CharlotteMcDowd'),('E3','flag{'),('E2','LauraMandeville'),('E2','TheresaAnderson'),('KatherinaRogers','E13'),('E13','SylviaAvondale')]
你能在让最少人知道的情况下,帮助flag先生联系上75D小姐姐吗?
求节点“flag{”到“75D”的最短路径,即为flag,比如:flag{E3AliceBobXXXXXXXXXXXXXXXX75D}
很明显一个BFS搜索最短路径。
虽然说直接用手算就行,但是我一定要整一个软件出来
分析
我们先看上面这么多数据,我们假设把名字当成节点,En当成line。
我们就能分为两种分类,一种是 名字开头,成员是线的标准node maps。
friendship = {'FloraPrice': ['E11', 'E9', '75D}'], 'NoraFayette': ['E11', 'E10', 'E13', 'E12', 'E14', 'E9', 'E7', 'E6'], 'VerneSanderson': ['E7', 'E12', 'E9', 'E8'], 'FrancesAnderson': ['E5', 'E6', 'E8', 'E3'], 'DorothyMurchison': ['E9', 'E8'], 'EvelynJefferson': ['E9', 'E8', 'E5', 'E4', 'E6', 'E1', 'E3', 'E2'], 'RuthDeSand': ['E5', 'E7', 'E9', 'E8'], 'HelenLloyd': ['E11', 'E7', 'E8'], 'OliviaCarleton': ['E11', 'E9'], 'EleanorNye': ['E5', 'E7', 'E6', 'E8'], 'KatherinaRogers': ['E13']}
另一种就是已线为节点,名字为成员的 初始Line搜索的图。
line = {'E10': ['SylviaAvondale', 'MyraLiddel', 'HelenLloyd', 'KatherinaRogers'], 'E12': ['HelenLloyd', 'KatherinaRogers', 'SylviaAvondale', 'MyraLiddel'], 'E14': ['SylviaAvondale', '75D}', 'KatherinaRogers'], 'E9': ['TheresaAnderson', 'PearlOglethorpe', 'KatherinaRogers', 'SylviaAvondale', 'MyraLiddel'], 'E8': ['TheresaAnderson', 'PearlOglethorpe', 'KatherinaRogers', 'SylviaAvondale', 'BrendaRogers', 'LauraMandeville', 'MyraLiddel'], 'E5': ['TheresaAnderson', 'BrendaRogers', 'LauraMandeville', 'CharlotteMcDowd'], 'E4': ['CharlotteMcDowd', 'TheresaAnderson', 'BrendaRogers'], 'E7': ['TheresaAnderson', 'SylviaAvondale', 'BrendaRogers', 'LauraMandeville', 'CharlotteMcDowd'], 'E6': ['TheresaAnderson', 'PearlOglethorpe', 'BrendaRogers', 'LauraMandeville'], 'E1': ['LauraMandeville', 'BrendaRogers'], 'E3': ['TheresaAnderson', 'BrendaRogers', 'LauraMandeville', 'CharlotteMcDowd', 'flag{'], 'E2': ['LauraMandeville', 'TheresaAnderson'], 'E13': ['SylviaAvondale']}
之后就很简单啦,首先我们line搜索出flag{的初始线E3。之后去friendship查找关系,更具line查找到Node名,然后加入queue防止重复搜索,然后继续遍历Node下的line依次反复,直到找到end。
代码
queue = []
def get_line(txt):
for i in line:
if txt in line[i]:
return i
def dfs(txt,target,vector):
for i in friendship:
if txt in friendship[i]:
queue.insert(0,(i,txt))
new = vector + i
for j in friendship[i]:
if j == target:
print(new+"75D}")
return
if (i,j) not in queue:
new = new + j
dfs(j,target,new)
queue.pop()
dfs(get_line("flag{"), '75D}',"")
结果
从结果列表中找到最短的,然后加上flag。
最后得出flag就是
flag{E3EvelynJeffersonE9FloraPrice75D}
近况
啥时候开学的呢?是二月?还是三月?我已经记不太清楚了。整个人浑浑噩噩。。也说不上吧。日子过得十分充实。不,不如说特别的忙。明明感觉没什么事但是就是累。就是事多。甚至一天十四节课排满的都有出现这种情况。说好的大学就是玩呢?都是骗人的。
这不禁让我怀念起了高中时光,虽然都在教室里,但是对于本死肥宅来说,窝在教室里一天不动简直太舒服不过了(仅对于我这个坏学生),早上睡觉到第三节课,然后自己看书一直看到晚上放学,然后回家继续看书/写代码/摸鱼。甚至到了高三老师鸟都不鸟你(。hhhhh当然好学生们不要模仿哟。
总而言之,就是在这种看似不忙,实际上非常忙的情况下度过的。以前的深夜研究自选课题,最近倒是都累到没力气去研究了。舍友一个个又都是乖宝宝。每天11点睡,中午又午睡。这让我怎么敲代码,虽然说我是青轴_(:з)∠)_。倒是在上课的时候可以掏出kindle。而且选了两节关于计算机的选修课,倒是可以在上课的时候研究研究,但是就是不能做实验emmmm。让我睡机房该多好。理想的生活条件就是一个人,有电脑有琴房,或者离得近也行啊,目前去琴房得跑整整半个学校,鬼才想练琴啊。
不过好在可以用脑部弹琴,对于私宅来说最擅长的就是脑补了不是么?
同时最近虽然说咕了很多东西,但是很多东西也都在学习,比如运维啊。golang啊golang啊golang啊,本来想学java的,但是怎么说呢,java和C#,这种面条语法我用的是在难受,还没写代码之前一大堆函数声明就看得我头疼,更别说写代码的时候各种奇怪的类型转换各种生命,各种继承等等等等,我知道这是为了安全,但是为了安全而用这么一堆东西我是实在接收不来。
所以比起这些我倒是更喜欢C这类型的,正好golang又出现了,同时golang也有包管理,虽然很迷但是至少比C好(因为它压根就没有hhhh 所以就愉快的写起了golang了啦。
博客四周年
虽然4月11日从才是正式的四周年,但是现在既然都写了,那么一起写上去把。四周年了呀。整整陪伴了我一个高中。
当初创办这个博客,甚至连高中都不知道考得上考不上(虽然真的没考上就是了),但是不知不觉现在就已经大学了。
纵观发表的文章就能看这几年来水平的提升(虽然现在依旧很菜就是了)。但是至少不会出现当年想写技术类文章却不知道写什么的尴尬境地。
当初创立了这个博客的念头也很简单,就是不折腾,给自己看,没想到竟然坚持到了现在。同时这个样式也用了四年hhhhh。这个复古风样式不得不说也挺耐用的(?)。看这个cover,事当时随便找了个图,然后用windows XP自带的画图工具随便P的。现在看来我竟然还有一丝设计天赋(???),真不愧是我(<-你怎么这么不要脸)。
副标题,~伪技术宅的迷之地~,为什么是伪技术宅呢?这也是我个人讨厌dalao这个词的由来。明明没有技术却被人称呼为大佬(指的是我),虽然并非嘲讽意味,但是自己看了想了下真的大佬的水平,我就感觉无地自容,但是同时也羡慕成为一个真的大佬。在我当初的眼里,技术宅基本就是大佬,(哪像现在随便一个幺蛾子出来都说自己是技术宅)。因此,我也就给自己弄了个副标题,“伪技术宅”啦。
时至今日,我也不觉得的我自己成为了大佬,因此“伪技术宅”这个标签应该也会继续下去吧。
