白帽Wiki - 白帽入门，从这里开始!

[置顶] 关于白帽Wiki

阅读全文

2019-11-06 huoji 3 条评论

```cpp
void Crc_Make_Table(bool* crc_check, UINT* crc32_table,DWORD64 len)
{
	DebugOut("Crc 开始校验 Crc_Make_Table");
	*crc_check = true;
	for (DWORD64 i = 0; i < len; i++)
	{
		DWORD64 crc = i;
		for (int j = 0; j < 8; j++)
		{
			if (crc & 1)
				crc = (crc >> 1) ^ 0xEDB88320;
			else
				crc >>= 1;
		}
		crc32_table[i] = crc;
	}
	DebugOut("Crc_Make_Table 结束");
}
DWORD64 Calc_Crc32(unsigned int crc, char* Data, DWORD64 len, bool* crc_check, UINT* crc32_table)
{
	crc = 0xFFFFFFFF;
	if (*crc_check == false)
		Crc_Make_Table(crc_check, crc32_table, len);
	for (int i = 0; i < len; i++)
	{
		crc = (crc >> 8) ^ crc32_table[(crc ^ Data[i]) & 0xff];
	}
	return ~crc;
}
void get_code_sec(DWORD64 ImageBase, DWORD64* va_base, DWORD64* sec_len) {
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	PIMAGE_NT_HEADERS pNtHeader = NULL;
	PIMAGE_SECTION_HEADER pSecHeader = NULL;
	pDosHeader = (PIMAGE_DOS_HEADER)ImageBase;
	pNtHeader = (PIMAGE_NT_HEADERS)((DWORD64)pDosHeader + pDosHeader->e_lfanew);
	*va_base = ImageBase + pNtHeader->OptionalHeader.BaseOfCode;
	*sec_len = pNtHeader->OptionalHeader.SizeOfCode;
}

```

阅读全文

2020-10-23 huoji 0 条评论

工具软件 web安全二进制安全 C/C++一线开发

[2020]AYY防火墙开发,第1篇之C++解析http头

阅读全文

2020-10-21 huoji 0 条评论

web安全二进制安全 C/C++一线开发汇编

[2020]AYY防火墙开发,第0篇之Linux 驱动与Netfilter框架入门

阅读全文

2020-10-18 huoji 0 条评论

二进制安全

[2020]逆向一下MmGetPhysicalAddress

由于瓦罗兰AC或者faceit的AC也就是vgk.sys/faceit.sys hook了所有驱动的导出表去监控驱动的信息.所有很多时候要实现某些功能就要比这种激进的反作弊更底层的方法
MmGetPhysicalAddress:
```cpp
PHYSICAL_ADDRESS
MmGetPhysicalAddress (
     IN PVOID BaseAddress
     )
{
    PMMPTE PointerPte;
    PHYSICAL_ADDRESS PhysicalAddress;

//判断是否在[0x80000000,0xA0000000)中，如果是，这段内存被映射到物理内存中[0,20000000)，这段内存采用4MB大小的分页。

if (MI_IS_PHYSICAL_ADDRESS(BaseAddress)) {
        PhysicalAddress.QuadPart = MI_CONVERT_PHYSICAL_TO_PFN (BaseAddress);
    } else {

PointerPte = MiGetPteAddress(BaseAddress);

//如果PTE的内容为NULL，则不对应任何物理内存。

if (PointerPte->u.Hard.Valid == 0) {
            KdPrint(("MM:MmGetPhysicalAddressFailed base address was %lx",
                      BaseAddress));
            ZERO_LARGE (PhysicalAddress);
            return PhysicalAddress;
        }

//从PTE中读取物理内存地址。
        PhysicalAddress.QuadPart = MI_GET_PAGE_FRAME_FROM_PTE (PointerPte);
    }

PhysicalAddress.QuadPart = PhysicalAddress.QuadPart << PAGE_SHIFT;
    PhysicalAddress.LowPart += BYTE_OFFSET(BaseAddress);

return PhysicalAddress;
}
```
挺讨厌这种反作弊的.要是以后hypervisor普及了怕不是要全面接管系统和TP一样

阅读全文

2020-10-11 huoji 0 条评论

二进制安全无线安全汇编 Shellcode

[2020]BE ShellCode 2020

阅读全文

2020-10-07 huoji 0 条评论

web安全渗透复现

[2018]LuckyMouse APT攻击行动评估

1) LuckyMouse行动是一项针对中亚国家数据中心的持续活动,这意味着攻击者获得了广泛的政府相关的资源。
2) LuckyMouse黑客组织也被称为Iron Tiger、EmissaryPanda或者APT27，今年早些时候也被发现使用比特币挖矿软件对亚洲多个国家实施网络攻击。该组织从2010年开始活跃，
之前从美国的国防项目承包商中窃取了大量数据
Symptoms

相关样本信息： 
	22CBE2B0F1EF3F2B18B4C5AED6D7BB79
	0D0320878946A73749111E6C94BF1525
	ac337bd5f6f18b8fe009e45d65a2b09b
	04dece2662f648f619d9c0377a7ba7c0

最小闭合的攻击样本：
	初始的感染向量未知，预估100k
	dropper：22cbe2b0f1ef3f2b18b4c5aed6d7bb79，size = 123521   
	backdoor:04dece2662f648f619d9c0377a7ba7c0 ,size = 81920     
	
攻击能力计算： 
	 
	K = 2 (正常安全认知范围)
	a = 3 (无交互)
	s = 1 (鱼叉式钓鱼攻击或水坑攻击)
	m = 4 (代码注入，特种木马，特殊持久化隐藏，特定目标感染) 
	p = 1 (攻击1种平台，windows)
	x = 2+2 (使用Nday漏洞，CVE-2017-118822，web入侵方式)

攻击能力 = (a+s+m+p)^(k) * (1+x)^ 2 + c  
	
	AT = (3 + 1 + 4 + 1) ^ 2 * (1+2+2) ^ 2 + (123521+81920)/1024 + 100
	   = 9^2 * (5^2)+ 300
	   = 2025+300
	   = 2325

==>2325*1000/1279625(1T攻击力单位) =1.816T
				
参考引用：
1.https://securelist.com/luckymouse-hits-national-data-center/86083/
2.https://labs.bitdefender.com/2018/02/operation-pzchao-a-possible-return-of-the-iron-tiger-apt/
3.http://newsroom.trendmicro.com/blog/operation-iron-tiger-attackers-shift-east-asia-united-states
4.《论高级威胁的本质及攻击能力的量化研究》- www.vxjump.net/files/aptr/aptr.txt

阅读全文

2020-09-27 huoji 0 条评论

无线安全游戏安全 C/C++汇编 Shellcode

[2019] BE反作弊系统线程堆栈遍历 - BE Kernel Thread Stack Walk

阅读全文

2020-09-24 huoji 0 条评论