Articles

• mweb：合并两个文档库的方法

  本文简单介绍一下 合并两个mweb文档库的方法。

• 一种轻松扩展ELF可执行内存的方法

  在ELF文件中寻找可执行空间的办法很多，例如：patch无用的代码段、利用.eh_frame、修改PHDR增加一个新的Segment等等。本文介绍一种简单又通用思路：扩展原有的Segment。（注：本方法对与32位程序不适用）

  关键词：ELF、可执行空间扩展。

• 转载《你尽力了吗》 —— scz

• Exploring the New World : Remote Exploitation of SQLite and Curl

  简述

  这是Tencent Blade Team在Black Hat USA 2019上的其中一个议题，讲述了他们发现的Sqlite FTS3中的3个漏洞，并利用其中一个结合CAST协议攻破Google Home（Chrome浏览器sandbox内RCE）。也介绍了他们在curl NTLM认证协议中发现的两个整数溢出漏洞，并在实际环境中做了演示（git、php等）。

  客户端的漏洞触发起来没有服务端那么容易，但是利用和挖掘的思路还是值得学习的。
  本文做一个简单的记录，更多的细节请参考PPT和Paper，如有错误还请评论区指正。

• An awesome reverse shell analysis

  偶然看到了一个看上去简单却又没那么简单的shellcode，但是却隐藏了很多有意思的事情，不妨一起来看一下。

• Python 简单实现 获取 malicious ip

  最近有一个很简单的需求，今天趁着下班赶紧写一下。

  需求描述如下：log日志中存在ip,url,time三个元素，需要获取 x 秒内访问不同URL超过 max次的恶意ip。

• IDA 高级功能使用 之 制作signature —— 识别库函数

  本文详细介绍一下IDA中 识别库函数代码的方法。

  如果程序是静态编译的并且去除了符号表，那么使用IDA制作signature可以快速识别出哪些是库函数，大大减小逆向分析的工作量。

• IDA 高级功能使用 之 Tracing —— 跟踪指令流、函数

  本文详细介绍一下IDA中Tracing功能的用法。

  Tracing字面意思是跟踪。在使用IDA 动态调试时，可以开启Tracing这个功能，开启后，IDA会自动记录执行过的指令流，并且记录执行过程中遇到的需要修改的地方。

• IDA 高级功能使用 之 创建结构体 —— 加快你的逆向速度

  本文详细介绍一下IDA中和结构体有关的高级用法。

  当源码的函数中使用了结构体类型的变量时，反汇编代码中对于结构体中成员的获取往往都是通过一个指针+offset来获取的。对于反汇编代码的阅读不是很方案，因此就需要创建结构体，让反汇编/反编译的代码更加友好一些。

• 博客迁移成功 :)