CTF Wiki

ctf-wiki/ctf-wiki

Start
Start
- 簡介
- 如何使用 CTF Wiki
- 貢獻指南
  貢獻指南
- 討論交流
Introduction
Introduction
Misc
Misc
- 雜項簡介
- 信息蒐集技術
- 編碼分析
  編碼分析
- 取證隱寫前置技術
- 圖片分析
  圖片分析
  - 圖片分析簡介
  - PNG
  - JPG
  - GIF
- 音頻隱寫
  音頻隱寫
  - 音頻隱寫
- 流量包分析
  流量包分析
  - 流量包分析簡介
  - PCAP 文件修復
  - 協議分析
    協議分析
    
    協議分析概述
    
    Wireshark
    
    HTTP
    
    HTTPS
    
    FTP
    
    DNS
    
    WIFI
    
    USB
  - 數據提取
- 壓縮包分析
  壓縮包分析
  - ZIP 格式
  - RAR 格式
- 磁盤內存分析
  磁盤內存分析
  - 磁盤內存分析
  - 題目
- Other
  Other
  - pyc文件
Crypto
Crypto
- 密碼學簡介
- 基礎數學知識
  基礎數學知識
  - 基礎數學知識
- 古典密碼
  古典密碼
- 流密碼
  流密碼
  - 流密碼
  - 僞隨機數生成器
    僞隨機數生成器
    
    僞隨機數生成器介紹
    
    密碼安全僞隨機數生成器
    
    題目
  - 線性同餘生成器
    線性同餘生成器
    
    線性同餘生成器
    
    題目
  - 反饋移位寄存器
    反饋移位寄存器
    
    反饋移位寄存器
    
    線性反饋移位寄存器 - LFSR
    
    非線性反饋移位寄存器
  - 特殊流密碼
    特殊流密碼
    
    RC4
- 塊加密
  塊加密
  - 塊加密
  - ARX
    ARX
    
    ARX: Add-Rotate-Xor
  - DES
    DES
    
    DES
  - IDEA
    IDEA
    
    IDEA
  - AES
    AES
    
    AES
  - Simon and Speck
    Simon and Speck
    
    Simon and Speck Block Ciphers
  - 分組模式
    分組模式
    
    分組模式
    
    填充方式
    
    ECB
    
    CBC
    
    PCBC
    
    CFB
    
    OFB
    
    CTR
    
    Padding Oracle Attack
- 非對稱加密
  非對稱加密
  - 介紹
  - RSA
    RSA
    
    RSA 介紹
    
    模數相關攻擊
    
    公鑰指數相關攻擊
    
    私鑰d相關攻擊
    私鑰d相關攻擊
    
    私鑰 d 相關攻擊
    
    擴展維納攻擊
    
    Coppersmith 相關攻擊
    
    RSA 選擇明密文攻擊
    
    RSA 側信道攻擊
    
    Bleichenbacher's attack
    
    RSA 複雜題目
  - 揹包加密
    揹包加密
    
    揹包加密
  - 離散對數相關
    離散對數相關
    
    離散對數
    
    ElGamal
    
    ECC
  - 格密碼
    格密碼
    
    格概述
    
    基本介紹
    
    格基規約算法
    
    CVP
- 哈希函數
  哈希函數
  - 哈希函數
  - MD5
    MD5
    
    MD5
  - SHA1
    SHA1
    
    SHA1
  - FNV
    FNV
    
    Fowler–Noll–Vo hash function
  - Hash Attack
    Hash Attack
    
    Hash Attack
  - 綜合題目
- 數字簽名
  數字簽名
  - 數字簽名
  - RSA 數字簽名
    RSA 數字簽名
    
    RSA 數字簽名
  - ElGamal 數字簽名
    ElGamal 數字簽名
    
    ElGamal
  - DSA 數字簽名
    DSA 數字簽名
    
    DSA
- 攻擊思想總結
  攻擊思想總結
  - 簡介
  - 中間相遇攻擊
    中間相遇攻擊
    
    中間相遇攻擊 - MITM
  - 比特攻擊
    比特攻擊
    
    比特攻擊
- 證書格式
  證書格式
  - 證書格式
Web
Web
- Web 簡介
- SQL 注入
  SQL 注入
  - SQL 注入
- XSS 跨站腳本攻擊
  XSS 跨站腳本攻擊
  - XSS
- CSRF 跨站請求僞造
  CSRF 跨站請求僞造
  - CSRF
- SSRF 服務端請求僞造
  SSRF 服務端請求僞造
  - SSRF
- PHP 代碼審計
  PHP 代碼審計
  - PHP 代碼審計
Assembly
Assembly
- x86_x64
- MIPS
- ARM
Executable
Executable
- ELF 文件
  ELF 文件
  - ELF 文件基本結構
    ELF 文件基本結構
    
    ELF 文件
    
    Sections
    
    Code Section
    
    Data Related Sections
    
    .symtab: Symbol Table
    
    String Sections
    
    Dynamic Sections
    
    Misc Sections
  - 程序加載
    程序加載
    
    程序加載
  - 程序鏈接
    程序鏈接
    
    程序鏈接
    
    Symbol Reslove
  - 程序執行流程
    程序執行流程
    
    程序執行流程
Reverse
Reverse
- Reverse Overview
  Reverse Overview
  - 軟件逆向工程簡介
- Tools
  Tools
  - 靜態分析
    靜態分析
    
    IDA Pro
    
    Ghidra
    
    jadx
    
    Dnspy
  - 動態調試
    動態調試
    
    gdb
    
    ollydbg
    
    x64dbg/x32dbg
    
    windbg
  - 約束求解
    約束求解
    
    z3
  - 模擬執行
    模擬執行
    
    angr
    
    Unicorn Engine
- 算法逆向
  算法逆向
  - 常見加密算法和編碼識別
- 代碼混淆
  代碼混淆
- 迷宮逆向
  迷宮逆向
  - 迷宮問題
- 虛擬機逆向
  虛擬機逆向
  - 虛擬機分析
- Platform related
  Platform related
  - Linux Reverse
    Linux Reverse
    
    LD_PRELOAD
    
    False Disassembly
    
    Detecting Breakpoints
    
    Detecting debugging
  - Windows Reverse
    Windows Reverse
    
    脫殼技術
    脫殼技術
    
    保護殼簡介
    
    單步跟蹤法
    
    ESP 定律法
    
    一步到達 OEP 法
    
    內存鏡像法
    
    最後一次異常法
    
    SFX 法
    
    DUMP 及 IAT 重建
    
    手動查找 IAT 並使用 ImportREC 重建
    
    DLL 文件脫殼
    
    反調試技術
    反調試技術
    
    NtGlobalFlag
    
    Heap Flags
    
    The Heap
    
    Interrupt 3
    
    IsDebuggerPresent
    
    CheckRemoteDebuggerPresent
    
    NtQueryInformationProcess
    
    ZwSetInformationThread
    
    花指令
    
    反調試技術例題
- Language related
  Language related
  - 簡介
  - Python
    Python
    
    Python 逆向入門
  - Rust
    Rust
    
    Rust 逆向入門
  - Golang
    Golang
    
    Golang 逆向入門
Pwn
Pwn
- Linux Platform
  Linux Platform
  - User Mode
    User Mode
    
    Environment
    Environment
    
    Environment
    
    Exploitation
    Exploitation
    
    Stack Overflow
    Stack Overflow
    
    x86
    x86
    
    棧介紹
    
    棧溢出原理
    
    基本 ROP
    
    中級ROP
    
    高級 ROP
    高級 ROP
    
    高級 ROP
    
    ret2dlresolve
    
    ret2VDSO
    
    SROP
    
    花式棧溢出
    花式棧溢出
    
    花式棧溢出技巧
    
    arm
    arm
    
    環境搭建
    
    Arm ROP
    
    mips
    mips
    
    mips - ROP
    
    risc-v
    risc-v
    
    RISC-V
    
    Format String
    Format String
    
    原理介紹
    
    利用
    
    例子
    
    檢測
    
    Heap Exploitation
    Heap Exploitation
    
    Ptmalloc2
    Ptmalloc2
    
    堆利用
    
    堆概述
    
    堆相關數據結構
    
    深入理解 Ptmalloc2
    深入理解 Ptmalloc2
    
    深入理解堆的實現
    
    基礎操作
    
    堆初始化
    
    申請內存塊
    
    釋放內存塊
    
    tcache
    
    malloc_state 相關函數
    
    測試支持
    
    堆溢出
    
    堆中的 Off-By-One
    
    Chunk Extend and Overlapping
    
    Unlink
    
    Use After Free
    
    Fastbin Attack
    
    Unsorted Bin Attack
    
    Large Bin Attack
    
    Tcache attack
    
    House Of Einherjar
    
    House Of Force
    
    House of Lore
    
    House of Orange
    
    House of Rabbit
    
    House of Roman
    
    House of Pig
    
    Musl-mallocng
    Musl-mallocng
    
    Readme
    
    IO_FILE Exploitation
    IO_FILE Exploitation
    
    FILE結構
    
    僞造vtable劫持程序流程
    
    FSOP
    
    glibc 2.24下 IO_FILE 的利用
    
    Integer Overflow
    Integer Overflow
    
    整數溢出
    
    Type Confusion
    Type Confusion
    
    Type Confusion
    
    Uninitialized Memory
    Uninitialized Memory
    
    Uninitialized Memory
    
    Race Condition
    Race Condition
    
    Race Condition
    
    題目
    
    Defense
    Defense
    
    Canary
    
    Summary
    Summary
    
    獲取地址
    
    控制程序執行流
    
    shell 獲取小結
  - Kernel Mode
    Kernel Mode
    
    Environment
    Environment
    
    Introduction
    
    內核下載與編譯
    
    編譯內核驅動
    
    Qemu 模擬環境
    
    Real Device
    
    System.map
    
    Basic Knowledge
    Basic Knowledge
    
    基礎知識
    
    Aim
    Aim
    
    Introduction
    
    Privilege Escalation
    Privilege Escalation
    
    Introduction
    
    Change Self
    
    Change Others
    
    Information Disclosure
    
    DoS
    
    Defense
    Defense
    
    Introduction
    
    Isolation
    Isolation
    
    Introduction
    
    User and Kernel
    User and Kernel
    
    Introduction
    
    用戶代碼不可執行
    
    用戶數據不可訪問
    
    KPTI - Kernel Page Table Isolation
    
    Inside Kernel
    Inside Kernel
    
    內部隔離
    
    Access Control
    Access Control
    
    Introduction
    
    信息泄漏
    
    Misc
    
    Detection
    Detection
    
    Introduction
    
    Kernel Stack Canary
    
    Randomization
    Randomization
    
    Introduction
    
    KASLR
    
    FGKASLR
    
    Exploitation
    Exploitation
    
    Returned Oriented Programming
    Returned Oriented Programming
    
    Kernel ROP
    
    ret2usr（已過時）
    
    bypass-smep
    
    利用 pt_regs 構造通用內核 ROP
    
    ret2dir
    
    Heap Exploitation
    Heap Exploitation
    
    內核堆概述
    
    slub allocator
    slub allocator
    
    kernel UAF
    
    Heap Spray
    
    freelist 劫持
    
    Buddy System
    Buddy System
    
    Cross-Cache Overflow & Page-level Heap Fengshui
    
    Page-level UAF
    
    Race Condition
    Race Condition
    
    Double Fetch
    
    userfaultfd 的使用
    
    Tricks
    Tricks
    
    在內存中直接搜索 flag
- Windows Platform
  Windows Platform
  - 概述
  - User Mode
    User Mode
    
    Readme
    
    棧溢出
    棧溢出
    
    棧介紹
    
    棧溢出原理
    
    執行 Shellcode 執行 Shellcode
    目录
    
    介紹
    
    示例
    
    參考閱讀
    
    栈溢出
    栈溢出
    
    ret2dll利用
  - Kernel Mode
    Kernel Mode
    
    Readme
- MacOS Platform
  MacOS Platform
  - MacOS
- Misc OS Platform
  Misc OS Platform
  - Readme
- Sandbox Escape
  Sandbox Escape
  - python
    python
    
    Python 沙盒
  - shell
    shell
    
    Shell Sandbox
  - seccomp
    seccomp
    
    C 沙盒逃逸
  - namespace
    namespace
    
    Namespace
  - chroot
    chroot
    
    Chroot
  - docker
    docker
    
    Docker
- Virtualization
  Virtualization
  - 基礎知識
    基礎知識
    
    虛擬化技術簡介
    
    CPU 虛擬化
    
    內存虛擬化
    
    IO 虛擬化
  - QEMU
    QEMU
    
    基礎知識
    基礎知識
    
    QEMU 內存管理
    
    QEMU 設備模擬
    
    環境搭建
    環境搭建
    
    QEMU 下載與編譯
    
    編寫 QEMU 模擬設備
    
    Exploitation
    Exploitation
    
    QEMU 逃逸入門
  - Virtual Box
    Virtual Box
    
    VirtualBox
  - VMWare
    VMWare
    
    VMWare
  - Parallels
    Parallels
    
    Parallels
- Browser
  Browser
  - Chrome
    Chrome
    
    Chrome
  - Firefox
    Firefox
    
    Firefox
  - Safari
    Safari
    
    Safari
- Hardware
  Hardware
  - CPU
    CPU
    
    簡介
    
    側信道攻擊
    側信道攻擊
    
    prefetch side-channel attack
  - 可信計算
    可信計算
    
    可信執行環境
Android
Android
- Android 開發基礎
- Android 運行機制簡述
  Android 運行機制簡述
  - Android 應用運行機制簡述
  - Android 中 Java 層的運行機制
    Android 中 Java 層的運行機制
    
    Android 中 Java 層的運行機制
    
    Smali
    
    Dex && ODEX
    Dex && ODEX
    
    DEX文件
    
    ODEX文件
  - Android Native 層介紹
    Android Native 層介紹
    
    so 介紹
- Android 逆向基本介紹
  Android 逆向基本介紹
  - Android 逆向基本介紹
  - Android 關鍵代碼定位
  - Android 簡單靜態分析
    Android 簡單靜態分析
    
    靜態分析 java 層例子
    
    靜態分析原生層程序
    
    靜態分析綜合題目
  - Android 簡單動態分析
    Android 簡單動態分析
    
    Android 動態調試
    
    IDA 動態調試原生層程序
ICS
ICS
Blockchain
Blockchain
- Blockchain Security Overview
- Ethereum Security
  Ethereum Security
  - Ethereum Overview
  - Ethereum Basics
  - Function Selector and Argument Encoding
  - Ethereum Storage
  - Ethereum Opcodes
  - Known Attacks
    Known Attacks
    
    Introduction
    
    Re-Entrancy
    
    Integer Overflow and Underflow
    
    Randomness
    
    Airdrop Hunting
    
    Short Address Attack
    
    Delegatecall
    
    Uninitialized Storage Pointer
    
    Arbitrary Writing
    
    CREATE2
    
    Jump Oriented Programming
  - Smart Contract Reverse
  - 學習資源
- Public Blockchain Security
  Public Blockchain Security
  - Public Blockchain Security Overview
  - Blockchain Weaknesses
- Blockchain Security Challenges

執行 Shellcode¶

介紹¶

shellcode 是一段用於利用軟件漏洞而執行的代碼，shellcode 爲16進制之機械碼，以其經常讓攻擊者獲得 shell 而得名。shellcode 常常使用機器語言編寫。可在暫存器 eip 溢出後，塞入一段可讓 CPU 執行的 shellcode 機械碼，讓電腦可以執行攻擊者的任意指令。在編譯時關閉 ASLR、NX 、CANARY 選項，這樣就可以在輸入時把 shellcode 佈置在棧中，通過動態調試獲得所需要的 padding 溢出到返回地址爲輸入的 shellcode 地址，這樣程序返回後便會執行 shellcode。

demo

示例¶

下面給出一個經典例子，驗證程序溢出後執行 shellcode，編譯的環境爲 winxp 工具爲 vc6.0。

#include <stdio.h>
#include <windows.h>

#define PASSWORD "1234567"

int verify_password(char *password)
{
    int authenticated;
    char buffer[50];
    authenticated = strcmp(password,PASSWORD);
    memcpy(buffer,password,strlen(password)); 
    return authenticated;
}

void main()
{
    int valid_flag =0;
    char password[1024];
    FILE *fp;

    LoadLibrary("user32.dll");

    if (!(fp=fopen("password.txt","rw+")))
    {
        exit(0);
    }
    fscanf(fp,"%s",password);

    valid_flag = verify_password(password);

    if (valid_flag !=0)
    {
        printf("incorrect password!\n\n");
    }
    else
    {
        printf("Congratulation! You have passed the verification!\n");
    }
    fclose(fp);
    getchar();
}

編譯完成後拖入 OllyDbg 動態調試確定 padding 的長度，在 memcpy 處下一個斷點方便隨後調試。可以先生成50 BYTES 的 padding 比較與返回地址的距離，最後確定爲60 BYTES 後爲返回地址。

demo

輸入的字符串會被複制到棧中 0012FAE4 的位置。

demo

因爲通過合理的 padding 控制了返回地址到 0012FAE4，所以在函數返回時寄存器 EIP 的值爲 0012FAE4，這時系統會認爲棧中的數據爲機器碼，程序就會執行地址爲 0012FAE4 的代碼。

demo

password.txt 中的內容爲精心佈置的機器碼，功能是彈出一個消息框，內容爲 hackhack。如何編寫 password.txt 中的內容，我們放在後面的章節來講，本章着重介紹整個執行流程。

如我們所期望的，程序返回後執行了彈窗功能。

demo

參考閱讀¶

0day安全：軟件漏洞分析技術