learn from Few lesser known tricks, quirks and features of C 斟酌使用 有些章節沒有詳細說明通常是因為在原文中也沒詳細說明，有時間再補 Array Pointer 用 pointer 表示 array(decay-to-pointer): int arr[10];

開始看 PracticalMalwareAnalysis 中文版， vm 是 win10 跟書中的實驗環境有點差別...希望可以順利做實驗 >< 如果書中任何技術已經很熟悉，我應該會快快做完簡單做個紀錄就好，沒見過的再詳細記錄 靜態分析基本技術 主要教授幾種分析方法: anti-virus engine scan check hash check file infomation (header, function, string)

這篇記錄的預期會有點像流水帳，希望能完整重現我的 debug 過程和遇到的困難 根據我同事的 debug 的結果是當對著 disconnected 的 nfs mount server 下指令 stat 會直接卡住，而 enine 的實作剛好是會用 stat 去訪問該路徑，所以卡住也是合情合理，但我的困惑點是我從手冊上看不出 stat 會是 block function ，手冊中提到 block 字眼都是在描述資料大小的 block 而不是卡住的 block ，所以對這個結果產生疑惑，所以想一探究竟 debug 完後再搜尋其實有發現不少人問過對著一個 disconnected 的 nfs mount point 下指令會卡住的問題，例如：An NFS client hangs on various operations, including "df". Hard vs Soft NFS mounts. 因為 stat 基本上就是用 syscall 去拿該 directory 的資訊，所以進行 kernel debug 是必須的，我的預想是開兩台機器，一台是 nfs-server 另一台當 client ，當兩邊建立好連線資料夾都 mount 上去後關掉 server ，然後對著 mounted directory 下指令 stat ，觀察其流程 或許其他 tool 說不定也可以，但不太熟 XD

video Making software fast 效能提升來自於方方面面： 軟體架構 減少不必要的工作 使用更高效的語言 善用硬體

mitre T1055.014 這是 mitre 上面提到的 linux 獨有的 process injection 方式，不過從 reference 來看好像沒有已知的攻擊是用這種方式(我覺得是太麻煩的緣故 XD)，但他的確是一個可行的攻擊技巧 作者原文 本質上是透過 ptrace 達到加載 shared library 和修改 GOT table 達到劫持的目的 kernel pwn 的 vdso hijacking 如果直接 google vdso hijacking ，可能會找到某個 kernel pwn 的題目，雖然都叫 vdso hijacking ，但兩者可以說是天差地遠，一個是在 kernel 層去修改 vdso 的執行流程，另一個則是在 user space 透過 ptrace 去攔截 syscall 並加以利用

trojan-source paper trojan-source website trojan-source github Methodology 不同地區的文字讀寫方向不太一樣，英文、俄文都是左到右，希伯來文和阿拉伯文是右到左，為了支援這種情況，Unicode 用 bidiretional algorithm 來處理 bidirectional 的操作可以看以下表格： 以下紀錄幾個比較重要的重點

終於進到現代漏洞利用最重要的 ROP 啦！ ROP 因為在 linux 上做過不少次練習，我就不多說，簡單來說就是利用代碼片段( gadget ) 來連續控制程式達到想要的目的( ex. 開 shell 、解除 DEP 等等) 實驗環境 因為 XP 下沒有 DEP 的緣故，這次特別準備了 win 7 x64 sp1 ，其餘 immunity debug, mona 該準備的還是要有 這次的目標為 Mini-Stream RM-MP3 Converter 3.1.2.1 ， exploit-db 有 exploit 可以參考 ※漏洞利用目標別在 exploit-db 上下載，他的版本是 2006 年，我猜內部有更動過，要找的話必須去這裡下載

打造客製化的 wireshark 欄位 一般的 wireshark 不是專門用來做惡意流量分析的，所以有些欄位不太需要而需要的欄位又沒在上面，所幸 wireshark 這個神器可以方便的客製化，所以很輕易的打造專屬自己的惡意流量分析工具是非常容易的 下面的資料都是從這篇學來的 做惡意流量分析需要的幾個欄位: time source ip source port

這個其實是我在買了漏洞戰爭足足四年過後終於真的開始操作，主要是因為再不跟著操作就真的過期滿久了... 分析網路上很多，但自己做過比較安心，也容易知道問題會發生在哪，還可以沿路補足一些知識 工具 windows xp (看過別人的分析 win7 也可以) ollydbg 110 pdfstreamer adobe reader 9.3.4

Security Related trojan source Debug Technique debug kill signal Other Stuff

內容是我看圖解密碼技術這本書的筆記和回憶，沒有太多深奧的數學，只求有個基本概念XD 以下會是以各章節為區分，記錄各章節的重點，一開始會先試著用記憶中的內容來記錄，然後翻閱書籍看有沒有漏掉或講的地方並特別標註起來 (忘記用 :warning: ，跟自己想像相反的用 :exclamation: ) 概論 密碼 Alice and Bob: 通常密碼學的例子會用這兩個人當作傳送訊息、接收訊息的人(八成是因為兩個人的名字開頭是 AB 的關係...)

這題也是 qwb 的 core ，除了最後的幾步之外跟前一篇 rop 沒啥差別，所以會更簡短一些 利用 差異只在 rop chain 的構造稍有不同: Kernel ROP: 在 kernel stack 中用 kernel gadgets 構造出 commit_creds(prepare_kernel_cred(0)) 然後返回到 user space 繞過 kernel dep

之前聽到 spectre 的漏洞時就想自己做做看，但是當時知道原理卻不知道到底如何實作，所以一直無法執行，去年找到一個網站提供一個 vm 和數個程式可以操作，決定研究一下具體如何實踐。 ※ 以下的程式碼編譯指令： gcc -g <filename.c> -o <filename> -msse2 Cache Time 這個單純說明有無 cache 在 cpu 執行週期的差別： #include <emmintrin.h> #include <x86intrin.h> #include <stdlib.h>

自從前幾天 win7 不更新後，身為一個有資安意識的玩家來說一定要換到正在更新的 win10 ，而我的 vm workstation 也因為 win7 升級到 win10 不能用了 QQ 本來想重裝 vmware workstation 但一直報說有毒，我有點擔心 (是說之前用那麼久也沒在擔心的就是了...)，等哪天處理這方面的事情變強之後再研究看看有沒有問題好了 Anyway, 目前我先用 virtualbox 代替，反正筆電也是用 virtualbox ，跑其他 vm 還行，湊合著用，接下來這邊大概會記錄一些玩虛擬化技術的文章，怕自己忘記 -2020/1/20 virtualbox 開啟 Nested VT-x/AMD-V 這兩個技術好像是 intel 和 amd 兩家生產晶片的公司專門為自家晶片打造的技術，有了他們的支持，虛擬機內跑其他系統會更流暢 不過有點很奇怪，virtualbox 預設居然是不給你啟用的，所以我特地上網找了下要怎麼啟用

Fuzzy Security 第三部分教學，主要就是如何利用 SEH 機制來 exploit 2020-2-19 ：從頭再看過後發現網路上的說法不太一致，我覺得還是要看具體狀況再覺得怎麼覆蓋...，光是 fuzzy security 、 aaaddr 大大、 CSDN 上的說明都有些出入。 SEH 概念 SEH 簡單來講就是 ms 為 exception 狀況時可以撰寫處理程序的機制，因為 exception 情況有不少種，所以針對每個 function 內不同的 exception handler 用 linked list 串連，如果遇到 overwrite return address 會觸發 SEH 則再覆蓋掉 SEH address ，此時程式就會執行已經被我們覆蓋掉的 fake SEH ，這就是 SEH基本原理。 環境 基本上跟第一篇差不多，但這次用 DVD X Player 5.5 Pro 來當 target ，我就不贅述

一題在 ctf-wiki 當作範例的 kernel use after free 題目，做完之後覺得也不是很難，但很多東西沒摸過要弄出來滿有挑戰性的 題目和解法 ctf-wiki 都有，我就附個網址 分析 extract cpio 其實放題目的 repo 內已經有 babydriver.ko 了，不過為了要多學一點東西，我們還是按步驟來 create a folder:

本來打算在 ollydbg 教學上再學，但是有點懶得把當初的 winxp 裝回來，乾脆直接用別的檔案試試看，壓縮殼應該不會差太多吧... 這次的目標從這個影片上看到的 以下強烈建議在 win10 以下版本進行脫殼 :::info 因為 win10 要向下兼容，所以多用了一個叫 apphelp 的 dll ，造成之後修復 IAT 會出現問題，脫殼請在最低系統上進行 :::

從 GeeksForGeeks 看到的 c quiz ，有些題目有助於釐清概念，就來做一下這樣... C 101 Q3 原先想法 最有問題的就是 ppInt ，因為 ppInt 保存的是 int * ，在上面的 code 中因為沒做初始化所以我想說這樣是不好的，就選了 runtime error 解法

這是 portswigger 的 web hacking academey 系列，我目前就是看一篇原理然後做一個初步的練習，之後再來補完。 這是種 web 攻擊手法，簡單講是在 cookie based session 的網站上誘導使用者點選一些選項，而該選項背後會觸發某種需要使用者權限的動作(更改帳密、重設 email 之類)，當然使用者本身對這些更改的動作毫不知情。 Impact 視行為和使用者權限而定，小的如換密碼、 email ，大一點的到把攻擊者權限提升。 要素 要騙使用者攻擊的目標

# 本地 aslr 缺口 ###### tags: `exploitation` 這篇是昨天從 netsec 上看到有人分享的文章，我以為是哪個 pwner 又想了一些可以用在 ctf 上的 trick ，結果點進去發現原來是 real world 的例子，這樣也好多接觸點現實面的問題有助於跳脫 ctf 的框架拉~ 以下資料我只是整理跟一些補充，大部分內容可以看[這篇](https://blog.blazeinfosec.com/the-never-ending-problems-of-local-aslr-holes-in-linux/) ## ASLR 最早是由 PaX 在 2001 年實作出來的，並且在 2005 年引入 kernel 內 (kernel 應該叫 KASLR) ，目的是防範需要知道確切地址的攻擊手段，比如最早期的 return to shellcode ，跳到 shellcode 必須知道 shellcode 擺放的地址，以前是擺在 stack 上，有了 ASLR 就必須搭配一個 info leak 的漏洞。 在 2009 年 google 的 Tarvi