SkYe231 Blog

session 伪造（会话篡改）客户端session在传统 PHP 开发中，$_SESSION变量的内容默认会被保存在服务端的一个文件中，通过一个叫 “PHPSESSID” 的 Cookie 来区分用户。这类 session 是“服务端 session ”，用户看到的只是 session 的名称（一个随机字符串），其内容保存在服务端。 然而，并不是所有语言都有默认的 session 存储机制，也不是任何情况下我们都可以向服务器写入文件。所以，很多 Web 框架都会另辟蹊径，比如 Django 默认将 session 存储在数据库中，而对于 flask 这里并不包含数据库操作的框架，就只能将 session 存储在 cookie 中。 因为 cookie 实际上是存储在客户端（浏览器）中的，所以称之为“客户端 session ”。 session的保护 源码分析看 P 神 json.dumps 将对象转换成json字符串，作为数据 如果数据压缩后长度更短，则用zlib库进行压缩 将数据用base64编码 通过hmac算法计算数据的签名，将签名附在数据后，用“.”分割 第 4 步就解 ...

弱类型比较弱类型简介通常语言有强类型和弱类型两种，弱类型可以随意转换变量的类型。类型转换最常见的就是 int 转 string、string 转 int 。 123456<?php$num = 1;$str0 = (string)$num;$str1 = strval($num);var_dump($str0);//string(1) "1"var_dump($str1);//string(1) "1" string 转 int 使用的 intval() (取整函数)导致很多漏洞 12345<?phpvar_dump(intval(4));//4var_dump(intval("1asd"));//1//碰到不能转换的字符串返回0var_dump(intval("asd1"));//0 md5()， json_encode()， array_search()， strcmp()， switch() ，in_array() 这几个容易涉及到 php 弱类型的函数 比较操作符 == ...

49928c7a59cc27f58ef9835c6e362ca756a8bed3ec7c59ccba2e7c68a6363d4aeaea7a6d8fb9ba9013454d541660898a5ebf4dcca980daef4b4749ede4cb72ef80e9c3ea827e425f19ae95c58a7be1ca60665638c79752880e0de738a1fa20f546cd745b056947202b4bcc4b967c88693d4b665d1e746b30e2a7a46398c7bbdda11e294da34d457c97bd59d92f8400dc23d1469296cf3cb14dd9432daff5d257c26f91ecd67799d0be243f6cfdd39f98a4266923f5356aef2d0231073a269d58ab777af1676827788c0253fb939e84f1463edcb4abcc477a729cd52bf208a3edaf201d9f3c562c47280a6ca798f186a137c435c4f3e7330a9 ...

3b66170c5fe40049880c93aad53606d3b61e1c7e1514dc037f29a97eca0a2920a1c970a36943b492db937a6c834f29870a5ff44a03e36b89c85e1ab9da8d310cb0865074e75fbce2d42b6d7a27e2bf310597e215cb074917a08dc66c515ea09158803e74c469e76775db6ac0c7acca3ce0891b08791bb0bf728e00c1b3473809a06b8feb2b0f50dadf30d275c268df9bfd4de1b2818073aba81ce2e14b18f4ecd5686ecbec49652315cf2b2962f6a6d5834c68a3e08b3602f715d5c0b44572697699606be23189184d4cd57207847fe98933d580d0f41dc7ac558d3652178a9196cb4cecc161208fd5d9f07a8858c4123c3b9aa991758c197 ...

缘起在研究某些 IOT 设备时发现，该设备的操控逻辑是：手机发出指令到云端服务器，云端服务器发送指令到 IOT 设备。手机到云端服务器之间的数据，用手机 root 装上 exposed+justtrustme 搭配 burpsuite 就能抓取 http、https 。云端服务器到 IOT 设备之间的流量需要一些奇淫技巧。IOT 设备交互流量不局限于 http(s) 流量，burp 用起来就捉襟见肘了，Wireshark、科来网络分析系统等支持多协议的软件就体现优势。 设想了几个抓取方法： 在电脑上建立热点使用电脑无线网卡建立 WIFI 供 IOT 设备链接，电脑以有线方式链接至路由器。 将无线网卡桥接到有线网卡，确保联网。 在电脑上用 Wireshark 对无线网卡进行抓包。 在路由器上抓包：需要是基于 linux 的路由器，能装上 tcpdump ，软路由就符合条件。使用软路由无线网卡建立 WIFI 供 IOT 设备链接，软路由以有线方式链接至路由器。 在软路由上用 tcpdump 对无线网卡进行抓包，然后用 Wireshark 进行分析。 中间人攻击 后面翻了一 ...

变化安卓 7 以后引入了 SSL pinning ，最直接影响是：用户所安装的证书不再被系统信任，导致不能抓取 https 流量。 解决方法解决办法各种各样： 将证书安装到系统证书目录（需要 root ） 安卓7+导证书到系统目录 xposed+justtrustme（需要 root+xposed ） 简单记录下 xposed+justtrustme 环境配置过程。 手机环境 oneplus 2（已解锁 OME、BootLoader ） lineageos(android9) root(magisk v23.0) Xposed(riru v25.4.4 + riru-xposed v0.5.2.2) MagiskTwrp 刷入 magisk 安装 zip 包就可以，最新版下载地址。 下载安装最新版 Magisk app （下载地址），点击 Magisk 隔壁的 install 自动安装，过程需要下载国外资源，有条件则科学上网。 Magisk app 更新对应是 App 隔壁的 install 。 Xposed 在 magisk app 管理器插件库中安装 riru 核心 ...

syscall还会在哪里比较常见中低难度题目中，syscall 出现形式有： syscall 是在 text 段里面作为 gadget 可以直接调用 在 64 位沙盒题目写 shellcode 执行 orw 时，使用 syscall 进行系统调用（ 32 位系统调用是 int 0x80） 在 glibc 调用函数时也会出现 syscall ，比如 alarm、close 等等 调用 glibc 函数开头的 syscall 不需要泄露出 glibc 地址。因为可以看到这些 syscall 与 got 表中的地址处于同一个内存页，低字节覆盖就能将函数改为 syscall 。 各个版本 glibc 的每个函数 syscall 位置固定，也就是不要知道远程的 glibc 版本。 出题情景一般情况漏洞都是栈溢出，然后不带任何输出函数，就是无法泄露的 libc 地址或者知道远程 libc 版本（如果有输出函数就能调用输出函数泄露地址，成了简单题目）。 对于这种题目可以用 ret2dlresolve 解决。ret2dlresolve 会因题目位数和保护情况写 exp 利用难度不一，简单的可 ...

3b66170c5fe40049880c93aad53606d3b61e1c7e1514dc037f29a97eca0a2920a1c970a36943b492db937a6c834f29870a5ff44a03e36b89c85e1ab9da8d310cb0865074e75fbce2d42b6d7a27e2bf310597e215cb074917a08dc66c515ea09158803e74c469e76775db6ac0c7acca3ce0891b08791bb0bf728e00c1b3473809f8c66b1906de4cb2b3133d1572babc09dc37014d4b73b0d9b23756d81d5ea48a84b179a8820ac55419e2e218864255932b6c9d3ad944b184c9c582c103cfe1f9df807388e9c4020bfb83d8d25b4c55f43a32a421de77fe27faf4d8ed09b158a7af96235ef38b807fe7330cff86c654cd49db3e7ee48aacf51 ...

准备工作工具 树莓派 4B（OS：Raspberry Pi OS） flashrom 双母头杜邦线 测试钩 开启树莓派SPI（串行外设接口）默认情况下禁用 SPI ，需要手动开启： 1sudo raspi-config 打开树莓派设置 -> Interface Options -> SPI -> enable 。配置完整后 /boot/config.txt 会取消注释 dtparam=spi=on ，代表是启用 SPI0 ，默认情况下使用 2 条芯片选择线（片选通道）。 如果正常开启会在 /dev 下会有两个驱动对应两个片选： 12ls /dev/spi*#/dev/spidev0.0 /dev/spidev0.1 Rapsberry Pi Zero、1、2 和 3 具有三个 SPI 控制器： SPI0 具有两个芯片片选，在 Pi 都可用；还有一个仅在计算模块上的备用替代映射。 SPI1 具有三个芯片片选，除 Pi 1 以外的都能用。 SPI2 具有三个芯片片选，仅在 Pi 1、3 和 3+ 上可用。 在 Pi 4 上，有额外四个的 SPI ...

系统环境 树莓派 4B 系统：Raspberry Pi OS Macbook VNC 连接软件：Jump Desktop Mac 用 Jump Desktop 连接需要配置 VNC 认证方式，采用图形化简单点 配置VNC服务端Raspberry Pi OS 非 Lite 版本都自带 VNC ，进入桌面后： 1菜单 > 首选项 > Raspberry Pi Configuration > Interfaces 勾选 VNC 选项 Enable 菜单栏会出现 VNC 图标，点击打开 VNC 配置页面，点解右上角进入详细设置： 12Options > Security > Encryption 选择 Prefer On 或者 Always On > Authentication 选择 VNC PasswordOptions > Users & Permissions > 选中 Standard User > 点击右侧的 Password 设置 VNC 密码 默认情况下 VNC 使用系统账号密码进行登录校验，Ju ...