开新坑，随手做一做。

welcome

二话不说，掏出IDA

很明显，需要把*address地址改成0，则可以获取flag。

这时候，看伪代码其实不好看，得看汇编

看到这一行，rdx是可控的，也就是我们输入的size，在伪代码中可以看到。我们要做的只要把rbp设置为0.

rbp也就是v5，由malloc赋值，怎么设置为0？malloc返回为NULL(0)就行。

开头程序会print address的地址的值，那么长的地址输入进去，malloc应该会返回NULL吧。

试了下果不其然。

所以我们用计算机，构造开头address地址+1，malloc返回NULL，size值-1则是address地址。

成功拿到flag

sub

送分题，不多说，看题目。

看到这个第一反应原本是溢出，但是看到<=，emmmm，直接4918 -1，解决。

减去负数就是加desu。

add

看题。

很明显，addr可以数组越界溢出栈。直接覆盖ret的esp返回值就行。

内置了一个函数，要求就是覆盖rip到这里。

因为地址 是静态，所以直接看ida的地址，400822，然而这个是16进制，16转10就是4196386.

之后，我们查找rip地址，本来可以直接用ida pro远程调试的，但是我这边ida pro+wsl出各种问题没调试成功。

没办法只好gdb了。 设置printf断点，在第二个断点用x/30x $sp打印esp信息

本来以为是红框处那里，但是试了一下，结果发现是下面那个白框处。不知道为什么，疑惑。要是有ida就好了。

最后试了下，试出来第三个参数是13,也就是越界的下标。

之后我们运行，在input:后输入 0 4196386 13 (前面两个无所谓，只要相加之和等于4196386即可

运行后会回到input:状态，这时候我们按下ctrl+D发送EOF，即可得到flag

未完待续，咕咕咕ing

2019/8/19

嘛，整出来了Manager

咕咕咕了这么久（其实这期间是去整其他事情了）

怎么说呢，勉强能用的那种吧

与其说是远控，不如说更像一个权限维持工具吧。

目前是全网免杀的_(:з)∠)_。。还有许多功能没添加

2019/8/5

基于：反弹式shell后门 实现

基本就是用这货整了个控制端，再用jq+ws整了个前端。

控制端用的是Golang写的，这样可以在多平台上跑。
还未完善，地址在这：tkit

暑假过去一半了啊啊啊啊啊啊啊，感觉自己啥也没干。

非常的烦.jpg

挖了好多坑都没填 ，其中就是那个pantsuWorld了，和一群人设定半天，连框架都没搭出来

完成度0.3%左右吧hhhhh

就是这些了

虽然烂大街了但是还是发一下把

WAF/IPS/IDS identified as 'ASP.NET RequestValidationMode (Microsoft)'

sqlmap -u "http://member.niceloo.com/Project/ClassSearch.aspx?KeyWord=消防" --hpp -v3 -tamper "charunicodeencode.py,charencode.py" --thre
ad 10 --dbs

WAF/IPS/IDS identified as 'Generic (Unknown)'

C:\Users\Administrator>sqlmap -u "http://66123123.com/Goods/GoodsSearch?keyword=复印纸" --hpp -v3 -tamper "charunicodeencode.py,charencode.py,space2comment" --random-agent --flush-session --hex --thread 10

WAF/IPS/IDS identified as 'Jiasule Web Application Firewall (Jiasule)'

WAF/IPS/IDS identified as 'Safedog Web Application Firewall (Safedog)'

http://fans.sports.qq.com/post.htm?id=1602852759616356425&mid=62+#1_allWithElite

WAF/IPS/IDS identified as 'WebKnight Application Firewall (AQTRONIX)'

有感而发，为什么这么发自然不言而喻了。

我大概知道为啥十年前网络是网络技术泛滥以及爆炸的年代了。当时的网络上，简直就是百家争鸣，那时候的你，能完整的自己写下一个程序，确实是非常非常厉害的了。

并不像如今各种开源代码泛滥，各种工具包，各种什么东西下载下来部署一下，就能迅速构建出一个web程序。在那时，除了提供的API之外，其他的各种代码，自己手打之外，就靠着各种的搜集了，以及各大web站出现所谓的XXXX源码。

再加上安全意识并不强，在win2k3，使用administrator配合APM/IIS的大有人在，同时1433/3306弱口令，RDP弱口令，奇奇怪怪的上传点。基本随处可见。八年前的一个下午我用了一个所谓的“社会工程学字典”配合一个“1433传马机”一个下午上了白来台的影像历历在目。其中不凡还有XP个人电脑等。

为什么sql危害这么大呢？sql注入攻击相比起另外一个“弱口令”攻击比起来，更具有直观性，这个点，能日就是能日，不能日就是不能日，不想弱口令攻击完全看脸，也许这个字典不行，也许换个字典就好了，也许这里是强密码，按照目前的算力跑到地球毁灭都跑不出来。

反之sql攻击就不一样了，这相当于直接给黑客一个平台，好比与你把你家的大门打造的固若金汤，但是却想不到你家的窗户正门户大开。而且数据库操作又是动态网站的基础操作，不是动态的网站甚至都不好意思称呼自己是个网站了hhhh

所以SQL对于web来说，存在普遍性和规范性，加上安全意识不强，或者说代码混乱等等各种奇怪的原因，导致漏洞泛滥。

最为直观的就是早期黑阔们对啊D，明小子这种工具的热衷，基本十个教程里面，七个都是这两个东西。还有就是一群“爱国黑客”拿着这些东西配合搜索引擎对着外国网站一通乱扫等等。

虽然到了最近几年，web技术成熟化了，模块化了。大家都用造好的轮子，基本也不会出现那种低级的API和注入点。这种现象也才慢慢的削弱下去了（取而代之的是各种exp的盛行，这也进一步说明了国内网络安全集体水平的提升。

所以，我只想说，对于老站点，一定要更新更新更新，或者实在不行就关掉。不要使用过时系统！！！例如windows XP/windows 2k3。这种系统基本没有安全支持，而且就算有支持，这类操作系统一旦被拿下，能够直接读取系统下的账户密码，进行社会工程学攻击！！

再者，正确配置权限！！！不要给mssql/web服务过高的权限，正确配置的权限，能把损失降到最低。除非你不按照上一条，更新系统，否则除非0DAY攻击。黑客基本不能提权。甚至权限和后台配置得当，黑客甚至不能上传木马。连webshell都拿不到。

最后一条，如果可以的话，尽量使用相对路径，配合上面一条，合理的上传点管控，合理的权限设置，合理的数据库设置，黑客就算拥有了注入点，除了获取管理密码也毫无办法，当然这点已经是很不好的了，但是至少。能避免你整个操作系统被攻破来的比较好

内网漫游时，正好发现了一个奇怪的页面。同时又突发奇想心血来潮闲的蛋疼balabala的想试试远古的工具包实际效果，于是就开始了我们的测试啦,因为这个站非常没有技术含量and早就废弃不用了，所以我就拿出来氵一篇文章了，不然博客都长草了

目标是这个

第一步信息收集，怎么做呢？肯定是先御剑走起啊。

御剑扫的同时，先看看页面整么做的。

看了一下，发现是一个asp页面下面加上好几个html页面，然后用ajax请求。看到这瞬间知道没什么希望了

但是天无绝人之路，御剑发现目录下有个BOOK.MDB，直接走起下载。读取查看，

看样子确实是动态的

我们看看有没有什么密码

现在用户名密码有了，问题来了，找不到登陆的地点。

各种尝试过后，失败.jpg

换去扫端口，nmap走起。

发现除了开启88端口外，80端口还有一个站点。

同时还有开放1723，1433，1025，1026，3389等一些服务，

其中1723和1025，1026这几个应该是没啥办法的了，这分别是某服务也windows rpc服务。

我们转到80站点看看

感觉有戏！先看看站点。

试了下登陆，没有回显。再看看题目那里sql注入


看样子似乎可以注入，但是并不是个注入点的样子。

继续掏出御剑，走起

神奇的发现，目录是可读的。

尝试下载。失败

这时候我们发现了个Upfile

上传个文件试试

emmm果不其然失败了

但是我们看这个路径upfile.asp?jpgname=

立刻掏出我们的Fiddle，构造一个上传请求，asp马，上传.jpg

成功拿下。

发现服务器是windows 2003的，站点是IIS6.0

但是我们发现我们的服务很死。

windows甚至没有执行权限，cmd命令都无法执行，我们上传个cmd，执行试试。也不行。

然后想起了站点时IIS6.0，从工具包里找个pr.exe。

pr原理大概就是已NETWORK SERVICE权限运行的用户可以试着提权到SYSTEM权限。

抱着试一试的心态上传了这个exploit，执行

emmmm卧槽？真的成了？？？

然后就连上去了doge。。

摸鱼的时候意外的翻到了这个谱子，然后就花了半小时光速摸了下来

这首曲子很早以前看番的时候就想摸下来了，可惜当时技术太菜，虽然说现在技术也很菜_(:з」∠)_

然后顺手整了个五毛特效就发上来啦2333

总之就是这样啦。

地址在这：av60585035