Wireshark常用过滤器
Wireshark常用过滤器http123456httphttp.request.method == "GET"http.request.method == "POST"http.host matches "www.baidu.com|baidu.cn" #可以多个http.host contains "www.baidu.com" #只能一个http contains "GET" #可以为"Host:" "User-Agent:" "Content-Type:" "HTTP/1.1 200 OK"等
tcp123456tcptcp.steam eq 0tcp.port == 80tcp.port >= 80tcp.dstport == 80tcp.srcport == 80
udp12udpudp.port == 80
ip123ip.addr=192.168.1.1 #只显示源/目的IP为19 ...
ISCTF2023个人解题报告
ISCTF2023个人解题报告只写逆向题,其他的题不写。
crackme运行即可。
1./crackme.exe
或者是个upx魔改,二进制改UPX0 UPX1然后脱壳就行了。
mfx_re010Editor打开,把里面所有MFX改成UPX,再upx -d脱壳即可。
123s='HRBSEz7d220317,0de6,3ca2,7dd/,1//27428451d|'for i in s: print(chr(ord(i)+1),end='')
EasyRe实名举报出题人题改完还是错的。
12345678910111213s=']P_ISRF^PCY[I_YWERYC'flag=[]s=[ord(ch) for ch in s]print(s)for i in range(len(s)): if((0x9b-s[i]==88)or(0x9b-s[i]==66)): s[i]=0x9b-s[i] s[i]^=0x11 flag.append(chr(s[i]))print("&q ...
计算机病毒技术
计算机病毒技术木马病毒自动加载1
UPX动态脱壳
UPX动态脱壳
找壳的入口点,即xdbg的EntryPoint,会发现有pushad或4个push。
F8过所有push,在栈窗口中ESP右键打硬件访问断点4Bytes。F9过。
打开Scylla并附加进程。
一般pop后离真正的OEP不远了,找跳转较远的jmp,跳转地址即为真正的OEP。Scylla中输入OEP,dump到本地。
此时程序无法运行,但可IDA分析,因为IAT损坏。
Scylla使用IAT Autosearch,不要选择高级搜索。再Get Imports,再Fix Dump选择刚才dump的文件。
Angr做题笔记
Angr做题笔记00_angr_find程序:
1234567891011121314151617int __cdecl main(int argc, const char **argv, const char **envp){ int i; // [esp+1Ch] [ebp-1Ch] char v5[9]; // [esp+23h] [ebp-15h] BYREF unsigned int v6; // [esp+2Ch] [ebp-Ch] v6 = __readgsdword(0x14u); printf("Enter the password: "); __isoc99_scanf("%8s", v5); for ( i = 0; i <= 7; ++i ) v5[i] = complex_function(v5[i], i); if ( !strcmp(v5, "JACEJGCS") ) puts("Good Job."); else puts ...
Windows-SEH构造方法
Windows-SEH构造方法本篇为CTF专题,详细了解看“WindowsAPI查缺补漏-异常处理”。常用系统异常值:
异常
异常值
解释
EXCEPTION_ACCESS_VIOLATION
0xC0000005
程序企图读写一个不可访问的地址时引发的异常。例如企图读取0地址处的内存。
EXCEPTION_ARRAY_BOUNDS_EXCEEDED
0xC000008C
数组访问越界时引发的异常。
EXCEPTION_BREAKPOINT
0x80000003
触发断点时引发的异常。
EXCEPTION_DATATYPE_MISALIGNMENT
0x80000002
程序读取一个未经对齐的数据时引发的异常。
EXCEPTION_FLT_DENORMAL_OPERAND
0xC000008D
如果浮点数操作的操作数是非正常的,则引发该异常。所谓非正常,即它的值太小以至于不能用标准格式表示出来。
EXCEPTION_FLT_DIVIDE_BY_ZERO
0xC000008E
浮点数除法的除数是0时引发该异常。
EXCEPTION_FLT_INEXAC ...
CvxPy整数规划笔记
CvxPy整数规划笔记安装12pip install cvxpypip install cvxopt
实例:[HNCTF 2022 WEEK3]Help_Me!01背包问题。
12345678910111213import numpy,cvxpy,syssys.setrecursionlimit(1000000000) #设置最大递归深度weight=[71,34,82,23,1,88,12,57,10,68,5,33,37,69,98,24,26,83,16,26] #每样东西的重量value=[26,59,30,19,66,85,94,8,3,44,5,1,41,82,76,1,12,81,73,32] #每样东西的价值index=numpy.array(weight)mul_value=numpy.array(value)x=cvxpy.Variable(20,integer=True) #20个物品,定义一个未知数向量obj=cvxpy.Maximize(x@mul_value) #object目标:@是numpy中的矩阵乘法,目标为x点乘mul_value的值最大 Mini ...
Yara使用入门
Yara使用入门安装Github上下载yara和yara-rules,放在同一目录下,配置环境变量。
index.yar引用了所有规则,使用时例如:
1yara index.yar 1.php
常用参数:
-w关闭警告信息,-m设置输出meta信息,-s设置输出匹配字符串,-g设置输入标签信息。
1yara -w -msg index.yar *.*
Android反调试
Android反调试12345678protected void onCreate(Bundle arg4){ ApplicationInfo v1=this.getApplicationInfo(); int v2=v1.flags&2; v1.flag2=v2; if(v2!=0){ Process.killProcess(Process.myPid()); }}
逆向工程核心原理读书笔记
《逆向工程核心原理》读书笔记CreateRemoteThread()myhack.dll:
1234567891011121314151617181920212223242526272829#include "windows.h"#include "tchar.h"#pragma comment(lib, "urlmon.lib") //链接urlmon.lib#define DEF_URL (L"http://www.naver.com/index.html")#define DEF_FILE_NAME (L"index.html")HMODULE g_hMod = NULL;DWORD WINAPI ThreadProc(LPVOID lParam){ TCHAR szPath[_MAX_PATH] = {0,}; if( !GetModuleFileName( g_hMod, szPath, MAX_PATH ) )//返回当 ...