Daily Study

哥斯拉流量特征检测思路哥斯拉特点与冰蝎类似，哥斯拉也采用了加密流量通信来躲避WAF等安全设备的检测； 哥斯拉全部类型的shell均过市面所有静态查杀 静态免杀这个问题，要客观；工具放出来之后可能会免杀一段时间，后来就不行了，但是，改改代码还能继续过狗。重点还是要看流量加密和一些自带的插件。 哥斯拉流量加密能过市面全部流量waf 哥斯拉的自带的插件是冰蝎、蚁剑不能比拟的 WebShell上传特征对于静态特征的检测主要针对于webshell上传阶段。对于静态特征的识别应该是最简单的检测方法，只需要把哥斯拉的webshell提取相应的特征然后进行检测即可。当时这种检测方法往往只适合用于直接的文件上传漏洞检测，而当攻击者使用诸如反序列化漏洞或者命令执行等漏洞写入webshell，则可以实现在通讯流量中不直接传递webshell原始内容写入webshell。另外，如果不是用哥斯拉默认生成的webshell，对webshell进行改造同样可以绕过静态特征的匹配。 哥斯拉默认的webshell生成支持JAVA、C#以及PHP三种类型，其中JAVA支持生成jsp以及jspx两种后缀webshell，C ...

启动路由器环境当你使用 QEMU 成功启动了路由器的模拟环境后，接下来你可能需要运行路由器上的关键服务或程序，通常这些程序包括： 网络相关服务：如 DHCP、DNS、NAT、iptables。 路由器的主进程：例如 hostapd、dnsmasq 或其他定制的网络服务进程。 系统初始化脚本：这些通常是由 /etc/init.d 或 /etc/rc.d 中的启动脚本来控制。 常见的路由器程序位置和启动方式1. 系统启动后自动执行大多数嵌入式系统（如路由器）在启动时会自动运行初始化脚本。你可以检查并修改这些脚本来启动路由器的主要功能。 初始化脚本路径： /etc/init.d/ /etc/rc.d/ 通常，初始化脚本会调用核心服务来启动路由器的功能。如果你想手动启动这些服务，可以直接执行这些脚本。例如： 1/etc/init.d/network start 2. 查找常见的路由器程序在模拟环境下，你可以手动启动路由器的程序。以下是一些常见的路由器程序及其路径： BusyBox：大多数嵌入式 Linux 路由器使用 BusyBox 作为一个精简的工具包，它集成了许多常见的 Li ...

反调试技术反调试技术是指程序用来阻止或干扰调试器对自身进行调试的一系列技术。这些技术可以使调试器难以设置断点、单步执行、观察变量等，从而增加逆向工程的难度。 以下是一些常见的反调试技术： 1. 基于调试器检测的: IsDebuggerPresent(): 这个API 函数用于检测当前进程是否被调试器附加。很多程序会通过调用这个函数来判断自身是否处于调试状态，并采取相应的反调试措施。 PEB (Process Environment Block) 调试标志: PEB 结构中包含了一些用于表示进程状态的标志，其中就包括调试标志。程序可以通过读取PEB 来判断自身是否被调试。 NtGlobalFlag: NtGlobalFlag 是一个系统变量，在调试模式下，它的某些特定位会被设置。程序可以通过检查 NtGlobalFlag 的值来检测是否处于调试状态。 HeapFlag 和 ForceFlags: 在调试模式下，HeapFlag 和 ForceFlags 也会被设置。程序可以检查这两个标志来判断是否被调试. 陷阱标志检查: 在调试器中，某些指令（如 INT 3）会导致异常， ...

反入侵网络安全中的“反入侵”通常指的是一系列措施和技术，旨在检测、防止和响应未经授权的访问或攻击，从而保护网络和系统免受侵害。反入侵技术是网络安全领域的一个重要组成部分，涉及多种工具和策略来抵御恶意活动。以下是反入侵主要的几个方面： 入侵检测系统（IDS）： 网络入侵检测系统（NIDS）：监测网络流量，寻找异常或恶意行为的迹象。 主机入侵检测系统（HIDS）：监控单一主机上的活动，包括系统调用、文件系统的访问、以及日志的变化等。 IDS 系统可以是基于签名的（检测已知的攻击模式），或者是基于行为的（检测偏离正常行为模式的活动）。 入侵防御系统（IPS）： IPS 类似于 IDS，但它可以直接介入，阻止或缓解检测到的攻击。IPS 通常被配置在网络的关键交汇点，如防火墙旁边，以实时阻断攻击。 安全信息和事件管理（SIEM）： SIEM 解决方案集成了日志管理和事件管理的功能，可以实时收集和分析来自各种源（如服务器、防火墙、入侵检测系统）的安全日志信息，以便更快地检测、理解并响应安全威胁。 防火墙： 防火墙控制进出网络的数据，可以阻止未经授权的访问。现代防火墙包括传统的网络防火 ...

区块链安全-概述前言该文章是为了学习区块链安全做的简单笔记，因为在一次关于威胁的分析中，需要了解区块链的相关知识，于是这里简单学习一下。 “区块链”⼀词起源于中本聪发明的⼀种点对点电子货币系统中[1]，这电⼦货币系统称为⽐特币。作为比 特币的底 层技术，本质上是⼀个去中心化的数据库。是指通过去中心化和去信任的方式集体维护⼀个可 靠数据库的技术⽅ 案。 从科技层面来看，区块链是⼀门涉及数学、密码学、互联网和计算机编程等很多 科学技术综合交叉学问。 从应用视角来看，区块链是⼀种新兴技术，它是⼀个分布式的共享账本和数据 库；这门技术从特点上分析，具有去 中心化、不可篡改、全程留痕、可以追溯、集体维护、公开透明等 特点。 从计算机技术应用模式的视⻆来看，它具备分布式数据存储、点对点传输、共识机制、加密算法 等技术模式。 中国信通院在2018年发布的区块链安全白皮书的序言，可以看出区块链安全在逐渐变得重 要。 同时区块链已经上升为国家战略，未来在这⼀块的资源也会相应倾斜。 想要⼊坑区块链安全的话，是需 要⼀些密码学基础，掌握了解诸多知识概念，Solidity编程语⾔。 Ethereum 安全C ...

区块链安全-概述前言该文章是为了学习区块链安全做的简单笔记，因为在一次关于威胁的分析中，需要了解区块链的相关知识，于是这里简单学习一下。 “区块链”⼀词起源于中本聪发明的⼀种点对点电子货币系统中[1]，这电⼦货币系统称为⽐特币。作为比 特币的底 层技术，本质上是⼀个去中心化的数据库。是指通过去中心化和去信任的方式集体维护⼀个可 靠数据库的技术⽅ 案。 从科技层面来看，区块链是⼀门涉及数学、密码学、互联网和计算机编程等很多 科学技术综合交叉学问。 从应用视角来看，区块链是⼀种新兴技术，它是⼀个分布式的共享账本和数据 库；这门技术从特点上分析，具有去 中心化、不可篡改、全程留痕、可以追溯、集体维护、公开透明等 特点。 从计算机技术应用模式的视⻆来看，它具备分布式数据存储、点对点传输、共识机制、加密算法 等技术模式。 中国信通院在2018年发布的区块链安全白皮书的序言，可以看出区块链安全在逐渐变得重 要。 同时区块链已经上升为国家战略，未来在这⼀块的资源也会相应倾斜。 想要⼊坑区块链安全的话，是需 要⼀些密码学基础，掌握了解诸多知识概念，Solidity编程语⾔。 Ethereum 安全C ...

区块链学习-Remix IDE安装第一步 安装环境使用remix服务器版首先这里写的合约是指solidity合约，使用Remix IDE。所以我们第一步就是安装Remix IDE。remix ide是开发以太坊智能合约的神器，支持网页在线编写、部署和测试智能合约。网址http://remix.ethereum.org可以选择先跳过安装环境这一步，直接使用在线的http://remix.ethereum.org 我这边的测试环境是kali-linux安装的指令为 1234git clone https://github.com/ethereum/remix-ide.gitcd remix-idesudo npm installnpm run build && npm run serve 注意：一定要sudo npm install，一定要sudo npm install，一定要sudo npm install，重要的事情说三遍，本人在这里踩了一次坑了一般kali是不会自带npm这个东西的，所以我们需要先安装npmNPM是随同NodeJS一起安装的包管理工具，能解决Nod ...

区块链学习-Remix IDE安装第一步 安装环境使用remix服务器版首先这里写的合约是指solidity合约，使用Remix IDE。所以我们第一步就是安装Remix IDE。remix ide是开发以太坊智能合约的神器，支持网页在线编写、部署和测试智能合约。网址http://remix.ethereum.org可以选择先跳过安装环境这一步，直接使用在线的http://remix.ethereum.org 我这边的测试环境是kali-linux安装的指令为 1234git clone https://github.com/ethereum/remix-ide.gitcd remix-idesudo npm installnpm run build && npm run serve 注意：一定要sudo npm install，一定要sudo npm install，一定要sudo npm install，重要的事情说三遍，本人在这里踩了一次坑了一般kali是不会自带npm这个东西的，所以我们需要先安装npmNPM是随同NodeJS一起安装的包管理工具，能解决Nod ...

利用$0getshell前言做一道限制了/bin/sh的题的时候，想了好多办法去绕过限制和平衡栈，但是没想到一个奇怪的利用姿势，利用shell的$0去getshell $0在shell中 $0 就是编写的shell脚本本身的名字 $1 是在运行shell脚本传的第一个参数 $2 是在运行shell脚本传的第二个参数 $$ Shell本身的PID（ProcessID，即脚本运行的当前 进程ID号） $! Shell最后运行的后台Process的PID（后台运行的最后一个进程的 进程ID号） $? 最后运行的命令的结束代码（返回值） 这里$0就是我们需要用到的了，在pwn题的远程环境中，这个0就是shell 利用所以我们在执行system函数的时候可以执行system(“$0”)去代替system(“/bin/sh”) 效果是一样的,类似于下面这样 12345system=0x0400712main=0x4008A0pop_rdi_ret=0x0000000000400983sla("Dear Mercedes owner, what ...

初识CPU卡、SAM卡/CPU卡简介、SAM卡简介CPU卡综述概述　　 CPU卡：也称智能卡， 卡内 的集成电路中带有微处理器CPU、 存储单元 （包括随机 存储器 RAM、 程序存储器 ROM（FLASH）、用户数据存储器EEPROM）以及芯片 操作系统 COS。装有COS的CPU卡相当于一台微型计算机，不仅具有 数据存储 功能，同时具有命令处理和数据安全保护等功能。 　　由于没有掌握关键的生产工艺，原来我国设计的CPU卡芯片一直在国外生产。目前我国自主设计、制造的CPU卡容量达到了128K。 　　CPU卡可适用于金融、保险、交警、政府行业等多个领域，具有用户空间大、读取速度快、支持一卡多用等特点，并已经通过 中国人民银行 和国家商秘委的认证 IC卡　　 要了解什么是CPU卡，就必须从IC卡说起。　　IC卡是 集成电路卡 （ Integrated Circuit Card ）的简称，是镶嵌 集成电路芯片 的塑料卡片，其外形和尺寸都遵循国际标准（ISO）。芯片一般采用不易挥发性的 存储器 （ROM、EEPROM）、保护逻辑电路、甚至带 微处理器 CPU。 　　带有CPU的I ...