开新坑，随手做一做。

welcome

二话不说，掏出IDA

很明显，需要把*address地址改成0，则可以获取flag。

这时候，看伪代码其实不好看，得看汇编

看到这一行，rdx是可控的，也就是我们输入的size，在伪代码中可以看到。我们要做的只要把rbp设置为0.

rbp也就是v5，由malloc赋值，怎么设置为0？malloc返回为NULL(0)就行。

开头程序会print address的地址的值，那么长的地址输入进去，malloc应该会返回NULL吧。

试了下果不其然。

所以我们用计算机，构造开头address地址+1，malloc返回NULL，size值-1则是address地址。

成功拿到flag

sub

送分题，不多说，看题目。

看到这个第一反应原本是溢出，但是看到<=，emmmm，直接4918 -1，解决。

减去负数就是加desu。

add

看题。

很明显，addr可以数组越界溢出栈。直接覆盖ret的esp返回值就行。

内置了一个函数，要求就是覆盖rip到这里。

因为地址 是静态，所以直接看ida的地址，400822，然而这个是16进制，16转10就是4196386.

之后，我们查找rip地址，本来可以直接用ida pro远程调试的，但是我这边ida pro+wsl出各种问题没调试成功。

没办法只好gdb了。 设置printf断点，在第二个断点用x/30x $sp打印esp信息

本来以为是红框处那里，但是试了一下，结果发现是下面那个白框处。不知道为什么，疑惑。要是有ida就好了。

最后试了下，试出来第三个参数是13,也就是越界的下标。

之后我们运行，在input:后输入 0 4196386 13 (前面两个无所谓，只要相加之和等于4196386即可

运行后会回到input:状态，这时候我们按下ctrl+D发送EOF，即可得到flag

未完待续，咕咕咕ing

2019/8/19

嘛，整出来了Manager

咕咕咕了这么久（其实这期间是去整其他事情了）

怎么说呢，勉强能用的那种吧

与其说是远控，不如说更像一个权限维持工具吧。

目前是全网免杀的_(:з)∠)_。。还有许多功能没添加

2019/8/5

基于：反弹式shell后门 实现

基本就是用这货整了个控制端，再用jq+ws整了个前端。

控制端用的是Golang写的，这样可以在多平台上跑。
还未完善，地址在这：tkit

暑假过去一半了啊啊啊啊啊啊啊，感觉自己啥也没干。

非常的烦.jpg

挖了好多坑都没填 ，其中就是那个pantsuWorld了，和一群人设定半天，连框架都没搭出来

完成度0.3%左右吧hhhhh

就是这些了

虽然烂大街了但是还是发一下把

WAF/IPS/IDS identified as 'ASP.NET RequestValidationMode (Microsoft)'

sqlmap -u "http://member.niceloo.com/Project/ClassSearch.aspx?KeyWord=消防" --hpp -v3 -tamper "charunicodeencode.py,charencode.py" --thre
ad 10 --dbs

WAF/IPS/IDS identified as 'Generic (Unknown)'

C:\Users\Administrator>sqlmap -u "http://66123123.com/Goods/GoodsSearch?keyword=复印纸" --hpp -v3 -tamper "charunicodeencode.py,charencode.py,space2comment" --random-agent --flush-session --hex --thread 10

WAF/IPS/IDS identified as 'Jiasule Web Application Firewall (Jiasule)'

WAF/IPS/IDS identified as 'Safedog Web Application Firewall (Safedog)'

http://fans.sports.qq.com/post.htm?id=1602852759616356425&mid=62+#1_allWithElite

WAF/IPS/IDS identified as 'WebKnight Application Firewall (AQTRONIX)'