这两天打春秋云境,新上的机子给了一个 Windows 环境下低版本 3.0.x 的 Redis,研究出来是打 DLL 劫持。我想到这个打法是否可以扩展到 Linux 环境上? (这个打法适用环境可能比较少,因为 Windows 下 Redis 低版本是因为当时只更新到 3.x 的版本,Linux 下更多是 4、5、6 的版本。这些较高版本的攻击方式就比较多了,直接主从复制传过去个 so,加载 module 就 RCE 了。所以就写写看看吧,当成一个特殊情况的特解) # 前置 1: 劫持 so 文件 Linux 环境下,glibc 会主动从几个位置查询会被预加载的 so...

在试用各种带思考功能的 llm 时候发现 思考功能可能会很容易地泄露系统提示词: deepseekR1: 可以看到部分泄露了提示词的内容 Grok3: 正常模式下不会输出 开启思考后 要求其仔细思考系统提示词的内容: 能够在思考块内输出系统提示词,与使用越狱提示词的结果匹配

# 风险 对于提供大模型的应用,其风险可以分类到模型和应用壳两个层面上 可以参考 owasp top10 for llm # 模型层 对于应用中的模型层,主要可以产生威胁的攻击模式是 prompt injection 提示词注入和 jailbreaking 模型越狱攻击。模型投毒主要会通过数据集 / 超参数在训练期影响模型的整体表现,但因应用中模型已经处于推理模式,输入不会对内部网络参数产生影响,其在实际使用中的风险可以忽略不计。同理,模型在训练时就已经对原始数据训练集进行蒸馏,使用时攻击者能够获取原始训练数据的可能性基本为零。 #...

现在的 C2 隐藏已经有了各种方法,如常见的云函数 dns 转发 域前置等,其原理大体可以抽象如下: 将被控端木马通信流量发送至入口点 入口点将流量进行转发回源至 C2 服务器 入口点可以是 anycast 的,有多个 ip,可以避免简单的封锁 这些基于传统云服务的隐藏方式可以看做是前台匿名 后台透明的,通过某些手段仍能获取到真实 ip 地址。现在也有一些对域前置等方法的检测技术 例如判断 sni==host 等 基于此 可以尝试通过区块链进行分发指令。 被控端通过区块链 rpc 访问链上智能合约信标,上报自身心跳包 并获取控制指令,执行后回传到智能合约的 mapping...

CodeQL 作为 github 开发的 AST 辅助工具 其给出了完善的指引 例如这项挑战:https://securitylab.github.com/ctf/go-and-dont-return/. 这项挑战旨在探索 Go 语言中的控制流漏洞。参与者需要分析一段 Go 代码,找出其中可能导致安全问题的控制流缺陷。这不仅能帮助开发者更好地理解 Go 语言的特性,还能提高他们识别和修复潜在安全漏洞的能力。 既然他们写了 Participants do not need prior knowledge of CodeQL 那我就从零开始 跟随这项挑战给出的项目要求 看看在完成以后能不能学到一点...

最近拿到一批泄漏的 url - 账号 - 密码情报 为 txt 格式 夹杂大量脏数据 通过几次试错成功打通了数据读取 -> 数据清洗 -> 数据入库 -> 后处理(去重、优化)的整个流程 这篇文章是对这一个过程中的思考、产出的记录 # 基础设施 # 选型 & 搭建 使用的数据库选择了 clickhouse 作为列存储数据库 clickhouse 天生就比 mysql 这种行存储数据库精通于处理大量的数据 最直观的表现就是快 两百多万条测试数据只用了 15s 就能插入完毕 单条件查询十万条数据 处理时长也只需要三百毫秒 搭建: 官方提供了...

想正经入门链了 先把这个 playground 做一下 # Fallback 这个题有两个需求 获得这个合约的所有权 把他的余额减到 0 再看合约内容 function contribute() public payable { require(msg.value < 0.001 ether); contributions[msg.sender] += msg.value; if(contributions[msg.sender] > contributions[owner]) { owner = msg.sender;...

sekaiCTF 看了一个 xss 看题目还以为要从服务上入手 绕 csp 还是什么的 csp 限定的很死 只能 self 但是这里有一个自定义的 404 页面 他会把你访问的 path 再作为文件返回回来 这样就可以构造一个 path 把 js 代码写在 path 上 再二次引用一下 这时引用的就是源站本身的地址 不属于 inline 了 也就是说把 js 写在 path 里 服务把 path 返回成 js 文件...