X1ng

PWN for fun

对D-link DIR823pro路由器的漏洞挖掘

尝试挖掘漏洞

感觉iot设备的漏洞比较常见的就是溢出和命令注入了,找了一个网上没有找到相关资料的DIR-823 pro路由器测试 记录关于DIR-823 pro路由器上无交互RCE的漏洞挖掘过程 17年的固件也是年久失修了,就当作挖掘路由器设备漏洞的练手吧 固件获取 从官网获取固件 从固件名称来看,应该是对openwrt进行二次开发而成的固件 解压文件系统 用binwalk直接解压 bin...

HWS冬令营结营赛

学习笔记

第一次参加这种神奇的IOT赛,上来就日板子,然后我也成功的在设置连接板子的ip上卡了一整天 直到最后五分钟改了ip才从板子上弹出来pwn的shell(永远都在无关紧要的问题上卡到比赛结束 也导致了这么新奇的赛题除了侧信道和故障注入居然只看了一道题,,本来还想就算做不出来也得上台看看摄像头的 不过这也是反弹shell操作现学现卖,就随便记个笔记吧 easyserver 一个webse...

侧信道与故障注入攻击

学习笔记

侧信道和故障注入的攻击很多都是对加解密过程的攻击,由于太菜了密码一个不熟,先学了一下用来当作栗子的密码 由于写笔记的时候已经没有设备可以操作了,只记录一下理论知识 加密算法 RSA加密算法 RSA是一种非对称加密算法 公钥与私钥的产生 随机选择两个不同大质数 p 和 q,计算 N=p * q 根据欧拉函数,求得 φ...

HWS冬令营线上选拔赛2021

write up

菜就算了还要出去玩,只抽空做了几个简单题,第一次做内核题才发现不会上传exp。。。。 REVERSE decryption 主要加密逻辑 for ( i = 0; i <= 31; ++i ) { v2 = i ^ flag[i]; v3 = i & flag[i]; v7 = flag[i]; v6 = i; do ...

XCTF pwn复现

HarmonyOS和HMS专场

发现队友全都咕咕咕了,,然后我也咕咕咕了(就算不摸鱼也做不出来呀 前两场被打的很自闭,第三场题目甚至下载了都没有解压,赛后复现一下第三场的pwn pwn1 附件 例行检查 arm文件,只开了NX保护,但是没有ld很懵 https://www.cnblogs.com/zq10/p/13207370.html: sudo apt-get install libc6-armhf-...

kernel pwn入门之路(二)

例题复现

只会做几个烂大街的堆题目,,比赛堆题签个到走人 这好吗?这不好,,所以赶紧学学Linux kernel module pwn,记个笔记 非常感谢PKFXXXX学长的帮助 or2 例题 XMAX 2019 level1 题目只给了4个文件 ida打开baby.ko 有三个函数,其中init_module和cleanup_module用来注册和移除驱动,可以看到注册的驱动叫...

kernel pwn入门之路(一)

基础知识

只会做几个烂大街的堆题目,,比赛堆题签个到走人 这好吗?这不好,,所以赶紧学学Linux kernel module pwn,记个笔记 环境搭建 根据钞sir师傅的博客搭建环境 基础知识 kernel的作用: kernel也是一个程序,用来管理软件发出的数据 I/O 要求,将这些要求转义为指令,交给 CPU 和计算机中的其他组件处理 控制并与硬件进行交互 提供 app...

学习VM PWN

VM PWN学习笔记

只会做几个烂大街的堆题目,,比赛堆题签个到走人 这好吗?这不好,,所以赶紧学学VMpwn,记个笔记 前置 VMpwn常见设计 初始化分配模拟寄存器空间 初始化分配模拟stack 初始化分配模拟.data 初始化分配模拟.text VMpwn常见执行流程 输入opcode 分析opcode,并根据opcode进行各种操作 VMpwn常见解决流程 ...

小米路由器-逻辑漏洞学习笔记

小米路由器三个逻辑漏洞学习笔记

B站上看的长亭实验室的hitcon演讲视频,记个笔记 视频分享的是对小米AX3600路由器的漏洞挖掘过程 攻击面分析 由于过于贫穷,又没有淘到N手路由器,只能贴一些ppt里的图 用nmap扫描到的开放端口 web server开放了 80/8080/8098/8999 四个端口,其所有web功能都是通过lua来实现的,而小米的lua解析器是经过加密的 获取固件 官网提供下载...

学习关于exit的利用方法

学习笔记

什么?我直接exit退出你都要攻击我? 改写initial或__exit_funcs 实验环境glibc-2.29 原理 在调用exit的过程中,进入__run_exit_handlers函数有这样一段汇编代码 对应我找到的glibc-2.29源码中 glibc/stdlib/exit.c line70 while (cur->idx > 0) ...