爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

总结在 CTF-PWN 中遇到的 shellcode 利用

# CTF-PWN中的Shellcode利用技术详解 ## 一、Shellcode基础概念 Shellcode是通过软件漏洞执行的机器代码，通常用十六进制表示，因能获得shell而得名。在栈溢出攻击中，攻击者会劫持程序流指向shellcode地址执行任意指令。现代Linux系统常见的防护机制： - ASLR：地址空间布局随机化 - NX：数据执行保护 - Canary：栈保护 ## 二、Shellcode可用性测试测试shellcode是否能正确执行的示例代码： ```c //

2025-08-22 16:35:25

[强网拟态2024 final] Jemalloc heap: Every Fold Reveals A Side详解

# Jemalloc堆利用技术详解：Every Fold Reveals A Side题目分析 ## 1. 题目背景与核心机制 ### 1.1 Jemalloc特性本题的核心创新点在于使用了Jemalloc而非glibc默认的Ptmalloc，并利用了Jemalloc的一项关键特性： - **自由释放特性**：对于大小为`size`的chunk A，free(&chunk A)到(&chunk A+size)范围内的任意地址都会释放整个chunk - **无chunk头**：Jemallo

2025-08-22 16:33:59

2023巅峰极客-BabyURL复现分析

# BabyURL 反序列化漏洞分析与利用 ## 1. 漏洞背景这是一个来自2023巅峰极客比赛的Java反序列化漏洞题目，涉及黑名单绕过和二次反序列化技术。题目主要考察了SignedObject和Jackson的利用方式。 ## 2. 环境分析 ### 2.1 项目结构项目是一个基于Spring Boot的Web应用，主要包含以下关键文件： - `YancaoCtfJavaApplication.java`: Spring Boot启动类 - `URLHelper.java`:

2025-08-22 16:32:27

从302跳转打到fastcgi

# 从302跳转攻击FastCGI的技术分析与利用 ## 1. 漏洞背景与概述本文详细分析了一种通过302跳转实现FastCGI攻击的技术路径。该攻击结合了信息泄露、文件包含、SSRF和FastCGI协议漏洞，最终实现服务器权限提升。 ## 2. 信息收集阶段 ### 2.1 基础信息收集 - 后端技术识别：确认后端使用PHP - 目录扫描发现关键文件： - `admin.php` - 存在302跳转到`index.php`，表明有session验证机制 - 发现`.swp`

2025-08-22 16:31:06

S8强网杯 RealWorld部分 IRE详解

# S8强网杯 RealWorld部分 IRE题目分析与漏洞利用详解 ## 1. 题目概述 ### 1.1 题目信息 - **题目名称**: ire - **旗帜名称**: IRE - **环境**: Ubuntu 64-bit 22.04.5 LTS虚拟机 - **用户凭证**: game/game - **目标**: 通过漏洞利用实现任意命令执行，使靶机弹出计算器 ### 1.2 题目环境 - 题目文件位于`/home/game`目录 - 启动脚本: `start.sh` - 服务通过

2025-08-22 16:30:08

HITCTF2024 wget wp

# HITCTF2024 wget漏洞利用教学文档 ## 漏洞概述本教学文档基于HITCTF2024比赛中出现的wget漏洞利用题目，涉及CVE-2024-10524漏洞。该漏洞是wget工具的一个速记解析漏洞，允许攻击者通过精心构造的URL绕过预期行为，实现非预期的文件访问。 ## 题目源码分析题目提供了一个Flask web应用，主要功能如下： ```python from flask import Flask, request, render_template, jsonif

2025-08-22 16:29:05

挖矿攻击之time warp attack

# Time Warp Attack 教学文档 ## 1. 攻击背景与原理 ### 1.1 基本概念 Time Warp Attack（时间扭曲攻击）是一种针对区块链网络的时间戳欺骗攻击，攻击者通过操纵区块时间戳来干扰网络的难度调整机制，从而获得不正当的挖矿优势。 ### 1.2 攻击核心原理 1. **时间戳操纵**：攻击者提交带有提前时间戳的区块 2. **难度调整干扰**：利用网络对时间戳的依赖关系影响难度计算 3. **算力集中效应**：通过降低难度使攻击者获得不成比例的挖矿奖

2025-08-22 16:27:49

区块链安全—区块链P2P网络安全密码协议分析

# 区块链P2P网络安全密码协议分析教学文档 ## 一、P2P网络概述 ### 1. P2P网络定义 P2P(peer-to-peer)网络称为对等式网络或点对点网络，是一种无中心服务器、完全由用户群交换信息的互联网体系。P2P网络的每个用户既是客户端，也具备服务器功能。 ### 2. P2P与传统架构比较 **P2P优势**： - 所有客户端都能提供资源(带宽、存储空间、计算能力) - 网络容量远超其他模式 - 信息传输分散在各节点，不经过中心服务器 - 资源分布式存储，避免服务器过载

2025-08-22 16:17:07

区块链安全—分析P2P网络攻击及密码学解决方案

# 区块链P2P网络安全分析与密码学解决方案 ## 一、三大区块链应用的P2P架构详情 ### 1. 比特币的P2P架构比特币采用"全分布式非结构化"网络架构，主要包含三种节点发现方式： 1. **种子节点机制** - 硬编码稳定节点作为初始接入网络的入口 - 新节点通过这些种子节点连接其他节点 2. **地址广播机制** - **主动广播(push)**: 使用`Net.AdvertiseLocal()`函数推送自身地址 - **主动拉取(pull)**:

2025-08-22 16:16:12

Kerberoast without pre-auth

# Kerberoast without Pre-Auth 攻击技术详解 ## 1. 技术背景 Kerberoasting是一种针对Active Directory (AD)域服务的攻击技术，攻击者通过获取服务票据(TGS)并离线破解来获取服务账户的凭据。传统Kerberoast攻击需要攻击者已经拥有域内用户的权限，而"Kerberoast without Pre-Auth"则突破了这一限制。 ## 2. 核心原理 ### 2.1 预认证(Pre-Authentication)机制在

2025-08-22 16:15:20

BlockChain中DDos攻击的深入剖析

# 区块链中DDoS攻击的深入剖析与防御机制 ## 一、DDoS攻击概述 DDoS（分布式拒绝服务）攻击是网络安全中常见的攻击手段，通过大量恶意流量耗尽目标系统资源，导致服务不可用。在区块链环境中，DDoS攻击具有新的特点和表现形式。 ### 区块链环境特点 - 基于P2P架构设计，开放性导致DDoS风险 - 攻击者需要获得大量Sybil节点（虚假身份节点） - 常结合Eclipse攻击（隔离目标节点的攻击）控制节点 - 攻击者注册到P2P系统后植入僵尸进程，协同发起攻击 ### 区块链

2025-08-22 16:13:42

区块链安全—详谈共识攻击（一）

# 区块链共识算法及其安全分析 ## 前言区块链作为一种去中心化的分布式公共数据库，通过分布式节点共同利用密码学协议维护系统，而不依赖中央管理机构。节点间通过底层共识协议保证账本一致性。区块链可分为公有链和许可链，不同应用场景使用不同的共识算法，其安全性也有所区别。 ## 一、共识安全模型分析区块链本质是分布式系统，不同共识模型在不同环境下能容忍的错误类型与数量不同。 ### 1. 同步模型 - 要求发送方与接收方类似面对面应答 - 消息延迟时间Δt是确定的 - 算法执行时间也是

2025-08-22 16:12:43

跳转到页