前几天GSoC的工作，了解了一下KTLS、ULP以及和OpenSSL的交互，踩了很多坑。同时因为技术比较新，几乎没有中文文档，英文的都很少，在此记录一下，也算是贡献一点中文资料吧…… 什么是Kernel TLS（KTLS）首先我们来看看一个使用OpenSSL的简单web server（摘自原论文）:目前的TLS加密一般是在用户态，也是由于各种历史原因和http的支持，都是先建立TCP通信，然后再在用户态进行握手等操作。比如上图发送一个文件，利用system call从硬盘读出内容，然后回到用户态，OpenSSL加密后再通过system call发出去，这一来一回需要进出内核态2次、伴随着文件内容也复制了2次，虽然硬盘访问占大头，但这个开销还是可观的。 为什么不在Kernel态实现OpenSSL？好问题，参考这里，简单来说就是现在版本的OpenSSL使用了很多用户态独有的东西，加上历史包袱和各种重构使得这件事难度极大。 虽然通过mmap之类的可以避免一次复制，然而还是要进出内核，复制加密数据，Zero Copy的诱惑是巨大的，所以有了 sendfile 这个好东西，不熟悉的可以参考这里但 ...

周末在SJTU队打了网鼎杯，学到了不少新姿势，记录一下。 filejava一个apache看到8.0.24版本第一直觉就是CVE-2020-1938，然而8009端口没什么响应……然后有个<!-- flag in /flag -->的提示应该是要getshell啥的，上传页面也没啥好搞的也不解析。然后在乱试的时候发现在/DownloadServlet这里的filename如果留空会报错，错误信息里有doPost的函数，这就有点意思了，试试POST提交，filename依然留空 123456789java.io.FileNotFoundException: /usr/local/tomcat/webapps/file_in_java/WEB-INF/upload/0/0 (Is a directory) java.io.FileInputStream.open0(Native Method) java.io.FileInputStream.open(FileInputStream.java:195) java.io.FileInputStream.<init>(F ...

原本以为连个VPN没啥大问题的，结果折腾了半天……还是被windows惯坏了……诶

下午1点28分50秒，教育SRC某大佬爆出某校的统一身份认证系统存在越权漏洞，可以修改任意用户密码。这可是新鲜的0day啊，虽然看不到详情，但是在内部人员透露了一点方向后还是独立复现出来了，看不到原作者怎么搞得，可能不一样但都能用…… 认证流程首先我们看看这个流程，先是问一下账号和验证码接着检查一下电话号码是否匹配，匹配就发验证码然后检查验证码最后就是重置密码啦整个流程还算正常，然而根据内部人员提示的方向就是密码重置那么就要好好观察一下这个。 BUG触发首先尝试了几波伪造请求没什么好玩的，那么估计就是和重放相关的，试了下重放最后一步，在验证成功的情况下可以无限制重置，既然前端请求中没有包含账号相关的信息，那么状态必然是通过JSession保存在服务端，那么可以大胆猜测服务端保存了第一次的用户名+是否验证通过的信息。于是乎就有一个问题，如果开发时疏忽在第一步后没有重置验证通过的标记，那么在验证通过的前提下重放第一次的请求，即可伪造任意用户实现重置密码，试了下果然，室友手机接到了重置成功的短信了:) 后续…然而后续问了问网络中心，结果他们竟然只保存了用户名，所有验证都是在前端做的……所以不 ...

CSAPP系列实验都很不错，歪果仁果然有点东西，其中Attack实验就是缓冲区溢出，不过作为打CTF的怎么能满足于得分……整了半天终于成功将评分服务器getshell了（大雾 前期准备我们先看看这个lab是个啥，给了两个程序然后需要overflow控制RIP，总共大概就是基本覆盖、ret2shellcode、ROP三种，且程序一个保护都没开……其中lab2吸引了我的注意，通过栈溢出ret2shellcode从而调用函数，且NX是关闭的，这就有点意思了。关键的一点是这个lab你每做完一个可以在服务器网页上看到分数，结合之前CSAPP:Bomb的lab分析可以知道它肯定会将payload发到服务器二次验证，不可能让你patch就能得分的……但是与之前定死的答案不同，这次shellcode每个人生成的可不一定一样，而且助教特意解释了正确的payload肯定可以过，那就只有一种解释了，服务器会再次运行你的payload，根据返回输出判断你的答案是否正确！于是这就变成了一道PWN题…… 流量分析通过抓包我们可以发现当你成功一个的时候程序会向服务器发出一个GET请求 http://x.x.x.x: ...

自从主系统转到Linux以来，越发感觉到开发上的方便快捷……虽然是双系统但是除了打游戏windows现在基本都不启动了，可以说除了游戏可能存在性能和支持上的劣势，Linux基本可以作为日常系统使用了。下面就说说如何利用各种软件插件等打造自己的Linux环境！ 随时更新。 系统环境这里我用的是Manjaro KDE，arch系的AUR库真的是太香了，谁用谁知道。下面软件的安装大部分也基于AUR，其他发行版可自行查找。 选择了Linux就是要有一个折腾的精神（尤其是Arch系），很多情况下需要看文档啥的，如果不喜请换回Windows。 贼爽的工具们其他的可能网上有别的教程，不过这些我正在用的工具就不一定有了，个人用的确实很爽，在这里推荐一下。 Flameshot源码：https://github.com/lupoDharkael/flameshotArch：https://www.archlinux.org/packages/community/x86_64/flameshot/ 可能是Linux下最强的截图软件，完美融合KDE，实在是太舒服了，开源免费安排上开机启动，跟着文档改快捷键为习 ...

昨天课程成绩刚出，助教写了一个查分网站，习惯性随手测了一下，下面来看看我是如何在一小时内干掉它的，主要写写思路给大家揭开一点神秘面纱。 信息收集目标地址：<ip>:16001首先这个东西就一个登陆一个查询没什么花里胡哨的东西，连个输入框都没有基本没法搞，越简单的东西越难黑不是没有道理的。验证鉴权就在本地存了一个sessionid也没啥好弄的，所以想直接通过这个站是基本没有搞头的。所以我们来看看能不能从别处入手，服务器是nginx，版本还很新1.17，没有听说什么0day没法弄，那看看能不能通过其他服务入侵吧。nmap扫一圈下来让我大感意外，一般服务器都是尽量少开端口，他这个却是反其道而行之，各种乱七八糟的东西开了很多，随便找几个访问下，有些是其他站，有些是各种配置界面比如某个服务监控的webui。结合我们的目标地址不是80端口可以猜想这个IP暴露在外面的其实是一个路由网关，各个端口通过映射连到内网的其他机器，这个信息对我们接下来的切入点选择很重要。 Hack因为懒得去看那么多乱七八糟的服务有啥洞了，那么我们就直接一点吧。既然是路由网关肯定有一个路由界面，虽然有可能外网访问不 ...