qemu、iptables和交叉编译

2018-01-08

逆向

上周huiming和hyperchem大佬带我搞了一发mips的路由器，遇到了一些坑，在这儿做些记录方便以后查看。

固件解包

用binwalk分离文件然后用对应的文件系统解包工具解开。

osx上可以使用 https://github.com/cinquemb/firmware-mod-kit-osx

我是如何用Hrida自动生成签名的

2017-11-09

Android

这应该是最后一次写用frida来hook安卓的东西了 = = 当然，最主要的目的还是为这个小脚本打个广告。

这次的小玩意叫Hrida，思路来自于Brida。Hrida可以看作是frida的http接口，可以通过http请求获取在frida脚本中导出函数的执行结果。

Hrida的用法见Github页面。

jQuery里的html()

2017-09-26

web

在看一个浏览器插件，发现可以在插件内部的页面中插入任意的 html 标签，但是由于 CSP 的限制，只能script-src 'self' 'unsafe-eval'; object-src 'self'，并不支持unsafe-inline。

出现问题部分的代码为

1	g.html('<iframe src="' + a.url + "?id=" + a.id '" frameborder="0" scrolling="no"></iframe>').show()

其中 a.url 和 a.id 没有过滤可以完全控制。思路很简单，闭合 iframe 标签插入新的标签即可。在测试的时候发现，利用 img 标签的 onerror 事件就会引发 CSP 的报警，而用 script 标签则不会。一脸懵逼。

本地搭建环境，引用最新的 jQuery 库（3.2.1），用同样的方法却发现无论 img 还是 script 标签都会触发 CSP 的报警。两脸懵逼。

问过大佬，大佬说 jQuery 的.html方法调用的是 eval，而 CSP 中允许了 unsafe-eval，所以能执行 JavaScript。三脸懵逼。

fastjson 调试利用记录

2017-09-06

web

前几天和雨日一个站，发现有fastjson的问题，死活利用不成功。找大佬们帮忙要来exp弹shell成功了，事后学习下原理。
之前从来没搞过java，于是拉着雨对着Ricter的博客一起跟了一遍流程，带我学习了一波。

记一次apk检测

2017-09-04

Android

之前在日一个APP。去官网下apk回来，手机运行，发现走的https协议，请求带有一个签名参数，修改请求会导致签名不对无法通过验证。签名是40位的，看起来像是sha1。
上Inspeckage，在log里也没发现与请求相关的hash函数。

拖到jeb里，发现加壳了。粗略看了下应该是梆梆的壳，渣渣如我根本不会脱壳。找大佬帮忙脱壳，却发现签名算法是放在native里的。。
硬着头皮把so拖到ida里，却发现整个so的结构非常奇怪，没有JNI_OnLoad，导出表里的函数对应位置也不对。应该还是壳的问题，把so也加固了。
adb shell到手机上，发现有好几个此apk的进程，从其中一个进程里的maps里找到加载这个so的地址，想直接dd出来，却发现一但dd进程就会退掉。。
尝试挂上ida远程调试，却发现无论如何也attach不上这个进程，猜测可能是被它的父进程ptrace了 = = 杀掉父进程这个子进程也就退出了。。
然后尝试直接hook脱壳后java里的一些方法，也不能hook到。想直接调用so，由于连JNI_OnLoad都没有，看起来也不像能直接调用的样子。
作为一个web狗碰到这些，在心里不知道念了多少次mdzz了。。