moyaoxueの小屋pwnCollege04
type
status
date
slug
tags
summary
category
icon
password
web相关部分 狂写一堆shellcode
curl
- curl 发送 get指令
curl 127.0.0.1 -p 80
注意url编码
添加header
curl 127.0.0.1 -p 80 --header "Host:40bb89ca76728698378750073647169d"
注意转义
curl 127.0.0.1?a=963fe9d3ff95f80bff64f57c210a739f \&b=f8e12324%202bbd1304%2634341212%231eebbb9b
POST data:
curl 127.0.0.1 -d a=5129ddc180c847f3788d5493e2fdea93
发送json(json内不需要转义)
curl 127.0.0.1:80 -H "Content-Type:application/json" -d '{"a":"17aa707fc88e62cab3cf40403d43e025","b":{"c":"6869f0a6","d":["193c021a","1de1e1a0 9384ce04&8ae5cbbb#6 eabcff1"]}}'
重定向
curl 127.0.0.1 --location-trusted
获取cookie
curl -c - 127.0.0.1:80
发送cookie
curl --cookie 71ed1a72ed58d7146e2798f2945a11dc 127.0.0.1
nc
- nc 发送get指令
printf "GET /index.html HTTP/1.1\r\nUser-Agent: nc/0.0.1\r\nHost: 127.0.0.1\r\nAccept: /\r\n\r\n" | nc 127.0.0.1 80
注意:更改为其他input方式,否则url编码会过不了
hacker@talking-web~level14:/$ nc 127.0.0.1 80 GET /index.html?a=a1834ce5ff3a8434e97e721b647e84a0 HTTP/1.1
可以:nc 127.0.0.1 80 < exp.txt
tips: 这里nc会自动把\n处理成\r\n
nc信任重定向
cookie:
python
- python 发送get(不需要url编码)
- post
json
Python自动重定向
Python不需要手动维护cookie
web syscall
network system calls are mostly big endian
ip protocol socket:
socket(AF_INET, SOCK_STREAM, IPPROTO_IP)
bind:
bind(3, {sa_family=AF_INET, sin_port=htons(80), sin_addr=inet_addr("0.0.0.0")}, 16)
accept
accept(3, NULL, NULL)
进行接收&回包
[✓] execve("/proc/self/fd/3", ["/proc/self/fd/3"], 0x7f0eeb6ad980 /* 0 vars */) = 0 [✓] socket(AF_INET, SOCK_STREAM, IPPROTO_IP) = 3 [✓] bind(3, {sa_family=AF_INET, sin_port=htons(80), sin_addr=inet_addr("0.0.0.0")}, 16) = 0 [✓] listen(3, 0) = 0 [✓] accept(3, NULL, NULL) = 4 [✓] read(4, "GET / HTTP/1.1\r\nHost: localhost\r\nUser-Agent: python-requests/2.31.0\r\nAccept-Encoding: gzip, deflate, zstd\r\nAccept: /\r\nConnection: keep-alive\r\n\r\n", 10000) = 146 [✓] write(4, "HTTP/1.0 200 OK\r\n\r\n", 19) = 19 [✓] close(4) = 0 [✓] exit(0) = ?
根据接包进行get请求:
循环开线程接包发包 get
post 接收参数并写入文件
最终版orz,整合了前面几个操作支持get、post
nc
连接
nc 127.0.0.1 80
接听
nc -lp 80
多线程扫描
更好的多线程扫描
tcpdump劫持
tcpdump -i any port 31337 -w capture.pcap
hijack
增加ip监听以获取包
ip addr add 10.0.0.2 dev eth0
scapy用法
一些可用的指令:
ip route showip route add default via 10.0.0.1
广播Ethernet包(srp1注意增加filter,这样不会收到自己发的包,或者用srp批量都接收)
发送ip包(注意,这里是一层一层搭建的,每层的包正常运转下一层的包才能成功发送,!注意!前面的type不能指定,这里是自动对field适应的,指定后会导致后续上层信息丢包)
发送tcp包,和上面一样的注意事项就一遍过
官网的demo:
a=Ether()/IP(dst="www.slashdot.org")/TCP()/"GET /index.html HTTP/1.0 \n\n"TCP handshake:
ARP(注意ARP中的hwsrc需要再设置一次mac,否则接收不到回包)
ARP欺骗(直接伪造ip即可)
差一个题,稍微复杂,大概知道怎么做但是晚点做吧...
上一篇
frida源码初探
下一篇
pwnCollege03
Loading...