0%

从0开始的ebpf程序开发

上一篇博客中把learning ebpf这本书读完了,获得了足够的基础理论知识,今天开始进行ebpf程序的开发。目前打算是用c写kernel program,然后用ebpf-go做客户端程序,bpf2go套一层进行编译和骨架生成(到时候程序复杂了之后可能得手写Makefile编译.o,然后用bpf2go对.o生成骨架吧)

开发环境

Linux ubuntu 5.15.0-88-generic #98-Ubuntu SMP Mon Oct 2 15:18:56 UTC 2023 x86_64 x86_64 x86_64 GNU/Linux
go version go1.21.3 linux/amd64

goland+clion+jetbrain gateway远程开发。主要原因是用不惯vscode

阅读全文 »

EBPF入门

记录一下最近入门eBPF的笔记,用于加强印象(以及偶尔点开博客发现又有一个月没有更新了),国庆肯定是有点小混了,然后就是感觉有很多东西也懒得记了,难得学点东西,并且感觉是一个比较新的技术,稍微写点。

学到目前主要是靠Isovalent家的这本Learning eBPF,写的脉络也可能也就大致和书的脉络一致。

基本概念

什么是ebpf,应该不会有人什么都不会就依赖我的博客入门的吧?本文所有内容均默认读者拥有最基础的基础,不会对太简单的东西进行过分的解释。

阅读全文 »

堆加密技术抄写

逛街的时候看到了一个项目Caro-Kann,虽然这个项目中并没有使用堆加密,但是其后的一些OPSec improvement ideas中提到了堆加密,加上之前写geacon的时候也考虑过用堆加密,但是没有成功,所以这次仔细的看一下,简单学习一下

因为仔细研究后发现对于geacon来说堆加密技术的意义不是很大,所以并未进行部署,仅对网络文献的内容进行抄写复述加强记忆。并给我一个月未更新的博客水一篇文章。

堆加密意义

起因还是因为原生CS beacon中,关于C2Profile的内容是被存储在堆上的,导致针对C2Profile格式的内存扫描能够轻松的定位到被beacon感染的进程或是直接运行的CS beacon
The Anatomy of an APT Attack and CobaltStrike Beacon’s Encoded Configuration

阅读全文 »

HackBrowserDataManual开发日记

最近写的玩具,实际上感觉实战基本上用不到。。。我打的攻防还没有这么前沿,但是因为最近好久都没更新博客了。闲来无事水一篇

项目地址HackBrowserDataManual

首先full credit to HackBrowserData,主体框架都是从这抄的,也是从这个的代码学的大概的还原浏览器数据的逻辑。

该项目是为了解决HackerBrowserData在目标机器上存在高强度edr防护时无法利用的情况。其实绕过的想法也很简单,并且已经到了高级对抗,实现的方法也还可以有很多,也可以针对特定规则搓出特定的方案,这里只是给出一个可能且稍微具有一点泛用性的一个例子。

阅读全文 »

zer0ptsCTF2023

只用上班一天,好耶。一堆前端题,又是一场xss大师赛,不会做捏。因为打了点输出就可以记录了
题目感觉质量都还行,确实也如他们所说,没有要猜的题。难度,我能做出来,所以应该不算很难。嗯
感觉如果打两天的话就能ak了,可惜。不过ak也和我没什么关系

warmup profile

签到,其实也还是有一定的难度的。目标是登录admin的账户获取flag。

使用了一个叫sequelize的库连接数据库,顶级防御,无SQL注入,且登录注册时严格校验了输入不为空且类型为字符串,看起来就觉得只有delete那块可能有洞

阅读全文 »