csgo封存的创始终端机打不开

哦，哈喽，大家好，今天呢给大家带来一个沃兰哈巴上面的阿克尔后的这台 ez 版机。嗯呃，也是找了很久啊，就是因为好多朋友们问我就是想做 src 的 挖掘过程中，就实战过程中，嗯怎么挖掘，或者说一些 可能一些嗯偏实战性的问题，嗯，我没有办法在公开场合去讲这个问题。首先跟大家做一个解释，就是，呃没有办法去直接讲的，因为 很多正常在你的工作过程中，你的文件还没有，你的渗透报告还没有上传到企业，或者说你已经上传到企业了以后，呃是有一段时效的，就是企业需要去修复这个漏洞，而且企业会对漏洞进行评估。呃有，有的时候他不影响到很严重的，呃 安全问题，然后但是又涉及到一些成本啊，或者说呃控制，呃他有可能没有进行修复，所以每份渗透报告其实都是保密的。呃，就是我没有办法直接分享啊， 然后我只能说从另一个角度带大家能尽量的贴合到实际当中。呃，所以今天呢找来了这台，呃大克后这台法机，呃就是它主要讲的这些，我已经呃打在了这个记事本上面。呃它主要是前端的一个，它是一个外部 siri， 然后主要前端就是有 i d o i d o r 的 月权和文件上传， 呃主要是涉及到一个黑名单绕过的问题，然后题全部分呢？其实也比较简单，因为上一期视频中也讲了这个环境变量，所以说题全部分呢，我可能主要展示就是如何利用 hua 去分析。呃一个 c 语言编辑的可执行文件的原码 啊，因为非常简单，他只要拉到 hua 这 hua 这里面就直接恢复了啊，所以，呃，就是工具的使用吧，一个展示，呃，主要是 idor 啊， idor 越权作为，呃，它是 它的全称，叫做，呃 insecure， 呃， direct object reference， 呃，它是不安全对象直接引用啊，它前面这个 id 跟我们所想到的就是我们的用户身份凭证是没有关系的啊，它的全称是， 呃 insecure， 呃 direct object， 然后 reforex， 对， 这是它的全称，它的主要是做不安全对象的直接引用。呃。呃，什么意思呢？其实它是归属于是 pac 这个， 呃，这个板块啊， pac 它现在为止就是我们的所谓的 top 十吧，网络安全 top 十啊， ow top 十的排名第一 啊，排名第一 b a c 啊，呃， b a c 主要就是，呃 broken， 呃 access control 啊，失效访问控制啊，就是， 嗯，从字面理解就是服务器失去了对这一个数据传送的访问控制权限啊。呃，相当于，呃，你可以更改你，呃，比如说 cookie 啊， 更改，通过更改 cookie session 的 那个加密规划，或者说更改一些，呃特定函数，特定参数，然后导致了，呃服务器失去了对它原有的这一块的控制，所以说它是非常严重的一个漏洞，而且是出现在日常生活中非常非常高发的一个漏洞，尤其是在医院啊，银行和政企啊， 他的漏洞占比能高达百分之三十九啊，这是官方给出的，嗯，结合官方给出的他们安全其他安全公司做的合计统计啊，尤其是在二零二四年到二零二五年之间啊，比较出名的就是 kia， 呃，现代汽车 啊，出现了严重的 ido r 越权，呃，任何人都可以通过更改，呃，这个就是你所填写的车架号就可以查到完整的用户信息啊，就是所谓的车辆购买信息，呃是当时造成，反正大面积的用户信息泄露， 包括现在银行，呃，银行其实这方面做的还好，就是医院啊，医院，呃出现过很多 ido r 月权这种漏洞，因为 ido r 它主要产现在的，呃网页过程中就是，呃，因为现在我们的现代网络结构，呃追求的好像就是模块化， 呃，所谓的微服务对吧？呃，包括 note j s 框架啊， nex j s 啊，各种框架下，呃，暴露出来了很多接口 啊，而接口传递是需要指定参数的啊，是需要指定结构的，所以说，呃造成了 idor 频频高发， 所以说今天是想通过这个简单的把机啊，带大家去看一下 idor 到底是一个什么样子，或者说，嗯，你在工作当中是否能呃凭此呃受到一点启发，呃，其实它的变种非常非常多，而且 idor 其实跟嗯我我认为啊，就是它有点像， 有有点跟那个 java script 的 反叙的话，呃和这个 java 反叙的话，呃都非常像啊， 他们的都是通过修改呃参数，或者说叙类化某一个特定对象，呃造成的一些高危漏洞，当然他俩不是一个东西啊，他们不是一个东西，因为那个反叙的话，他是注入型漏洞啊， 它跟这个 b a c 是， 呃两两回事啊，呃， b a c 是 两回事。所以今天主要是想讲 idor， 然后就是文件上传啊，大家也当然后台也有人在问我怎么上传图片木马，或者说这些问题就是今天做一个简单的展示啊，也是在安全环境中进行的。 ok， 话不多说，我们来进到靶机当中。 嗯，我的扫描结果已经就是直接打出来了啊，因为是不想浪费大家时间啊。按 mac 扫描，结果然后发现了二二八零端口啊。呃我们的攻击面也就基本在八零了啊。然后它是一个 linux 的 服务器啊。四点一五到五点一九。嗯。呃。阿帕奇的 http d 二点四点四一。 呃。直接打开吧，打开看一下。 嗯，它的界面结构就是这样子啊。界面结构就是这样子，但这个按钮是没有的。呃。没有没有，没有绑定的任何信息，它就是一个按钮，一个图标放在这里啊。呃。它的主页是 spark， demon， new area 啊， future city 啊，它应该是一个什么新的社区啊，新的新区啊，新区啊，未来城市的新区，可能是一个新区的官方网页的展示 啊，斯派克钻石新区啊。呃。 logitech 啊，我们去登录啊，因为他别的地方也没有什么可点击的地方了啊。这时候你是不是需要做目录爆破？那我们先，我觉得就是以 在正常渗透过程中你也是先模拟用户啊，先模拟用户去做一些行为，然后看一看。呃，整个了解一下这个网页的到底信息构成啊，功能点，然后你才会去考虑做一些爆破性的。呃。攻击手法啊，这是正常工作中的流程啊。嗯，然后这里我们可以做一个简单密码式 啊。那面啊，没有，那就这里。是哦，这里指向了一个外部链接啊，他是一个 youtube 的 外部链接。呃我们就不点了啊。呃 这是没有我们去注册一个啊注册一个他这里他的内容他这里。 呃没有信息应该是邮箱吧。哦这里有的是勉强我能看清啊呃其实是有这个 mail 在 上面的我勉强能看清打字也看不见啊。他这个前端设计的不是很好。那我们就随便给他一个没有艾特 gmail 点 c o m 因为他应该也没有审核啊我们就随便给他一个。 应该就是然后密码一二三。好。呃成功啊成功那我们就去登录一下 没有一二三。 ok 啊登录进来了。呃这里啊出现两条啊 details 啊 update 啊更新啊这是更新一下你的个人基础信息啊可以做修改啊也没有什么别的按键。他这里有一个更改更改密码啊而且啊哦这里就直接非常明显了啊 id 等于二啊。那如果是正常的就是我们如果修改密码的话一二三四。 哦 password 已经上传成功那里非常快速的弹了一个。那如果就很简单我试一下从这里改能不能行啊。哦他也弹是这个但我想去试一下呢。 嗯 哦他做了绘画的方体哦没有啊还没有成功。那我们没办法了。可以去抓包了吧就只能做包。 嗯做一下抓包。呃这个界面它就是一个非常简单的一个界面它主要是用户信息更改上传然后和可以更改密码啊 new password 啊这个不懂啊 password 它这里写了 new password 啊。我们刚刚尝试了更改一下自己的密码那我们它显示是成功了 我们去抓个包分析一下它的数据包然后看一下这个结构到底什么样子？ 嗯还是要登录一下 这里啊。 ok， 它是通过 post 方式啊， post word 啊 and id， 然后等于 我们尝试一下啊，直接在这里做一个修改啊，啊？ password 啊， id 一 二三，然后它我们是二，那我注册的问号二，那说明如果它递增的话，那说明一肯定是存在的，对吧？那我们就直接改，改成一，因为它非常非常简单，因为这个把机也非常简单， 只不过是这个漏洞方式啊，大家可以看一下数据报，它只不过是通过修改 id 的 方式，比如说前面的。嗯， password 和 id 它如果没有做任何身份校验，就是所谓的 gucci 啊。呃。身份校验，绘画校验和一些身份信息绑定的话， 那这种情况下我就会把 id 等于一的啊，它直接交给后端处理了，那它就会把 id 等于一的用户啊，把的密码修改成我想要的啊，这是一种。嗯， 这是一种横向跃权吧。呃。但它实际行为是 id 等于一，因为 id 为一的情况下可能是 admin 或者 root 啊，或者一些管理账号。呃。是很严重的。 正常情况下在现实生活中我们见到的可能不是通过这么简单的方式，可以是那 cookie 啊，也可以是绘画的加密。呃。可以，你去可能需要逆向的解析，呃。逆向去分析，然后包括所谓的。呃。现在好多开发工程师他们利用的一种方式叫做 u u id 啊，这个 u u id 是 随机生成的啊，这种情况下他们认为你没有办法去猜到啊，这种情况下他就认为你没有办法去猜到别的那个用户 id， 是 吧？呃。如果， 呃。只使用 u u id 啊，我只是做一个提醒啊，就在座的如果有开发工程师啊，如果你在开发项目过程中只使用了 u u id， 你 要知道它不是 a、 e、 s 等加密形式啊，需要大数数去汇算， 它只是一个你所谓的内面一成串的数字，它是可被穷尽的，尤其是在现在性计算机性能下，它是容易很快就被穷尽的， 所以如果光指向 u i d 的 情况下，是容易被我们所就是我们的所谓的黑客啊，或者说网络渗透人员是很容易被我们直接利变的 啊。这是提醒一下大家，呃，在现在真实的现实现实的网站中啊，包括谷体啊，因为有一些生成甚至写在了 gs 当中啊，他可能前端可以通过逆向，逆向如果对，嗯，这个 有一些爬虫技术同学会比较友好啊。嗯，当然我们这个就非常简单，他是 id 等于一，那我们就直接给他提交， ok， 他 也返回了，结果，呃，这里啊，这里也返回了，结果就是，呃，用户密码给上传了啊，那这个时候我就需要做的工作叫做呃关了吧，没什么用了， 我们要回到它登录页啊啊，这个时候我只需要去对它的用户名进行爆破啊，也这个行为啊，叫做密码喷法，所以说跟我们上一期讲的那个呃，密码爆破是一样的啊，我可以用 hydra， 比如说 幺零点幺五，然后杠 l 大 写的 l， 然后给他一个 list， 也就是说 user share word list， rock you。 好， 这个 rock you 还没解压吗？哦，我好像重写了一下，不好意思。嗯 呃呃，算了呃，把命令打出来吧，这个过程其实大家能理解就好了，因为也做过爆破了，没什么意义。嗯， 是，就是你给他一个有事儿。是啊，我看看有没有别的别的别的别的。 china 给他一个这样的一个目录，然后杠 p， 呃，小写的 p， 然后指定一个字母串，刚刚我们给的密码是一二三，然后指定 h d t p post firm 应该去老近点儿。 php， 然后这里应该是就是 user u user name 等于 user and pass word 等于， 然后需要一个限定符，随便登录一个，这里会弹出一句话，我们把这个限定语句给他。 这个这个复制还有点问题啊。这个确实前段做的也太差劲了。 t 是 吧，就让他跑就好了。嗯哦，他跑的好快。嗯哦，只有一个泰瑟，好像应该很小很小。他只有一个东西啊，我们就随便给他一个长一点的字典 打这个，他就会按照你的这个语句是分歧，这个行为叫做密码喷洒啊，当然你也可以用呃发子啊。呃，具体语句就不写了，因为上一期视频已经讲过了，就放弃了。你只需要把这个东西调个啊，就是把用户名做变成呃这个包括，然后把这个 呃密码变成指定字母啊，这个非常简单，也不也不难，所以说也不做过多的纠结。然后他的其实我们在这块的时候就可以做简单尝试了，就是阿德密，没错，他的 就是他的 id， 就是 阿德密啊，当然你也可以试住他。当然，但是就是阿德密也非常简单，非常直接啊，所以我们跑那么大一个字典也没什么意义 啊。他就是阿德密，然后密码一一四一二三，通过这个行为就大家看的非常快啊，也不难，其实他本质上来讲不难，他主要是后期的一些对于，嗯别的参数的处理会非常困难，也就是说嗯 嗯，如果你想提升的话，你应该去面对的可能就是一些，呃，爬冲线罐的知识啊，一些基于前你对前后段这个交互理解的一些传授传递的一些过程的理解啊，这是你需要提升的地方。 他在实战当中他的出现占比，呃，给大家说了，他是 top 一， 而且非常非常高，所以说你想要挖一些 rc 或者说做一些渗透工作的话，呃，这个是你必须要去经历的一个阶段，当然这台把机非常简单，那我们做密码喷洒的也很简单，就是把密码跟这个呃 用户名调个个啊。嗯，当然用密码喷洒，他的本身来讲的话，他一般是用在域内网络啊，一般是做域内网络，叫做 crap correct mac 是 吧？啊？这个工具啊，呃，一般是做域内网络的这个获得用户凭证，然后做域内网络喷洒。呃，当然我只是把这个词进入到这里，应该这样，也也应该叫密码喷洒吧， 没什么问题应该。呃呃。文件上传啊，叫做文件上传漏洞就是接下来我们要讲的板块叫做 upload 啊，这里你发现有一个 upload， 我 们这个时候就需要随便找个文件啊。呃呃，卡里当中有自带的。呃。 php， reverse shell， 你 只需要搜索，你不需要去直接拿了。就是 啊，这里都可以用，随便拿一个，随便拿一个都是各个工具当中包含的啊，各个工具当中包含的，所以我也不需要说特别的去去，非要去网上去，直接就是 cp 当前的那样的 视频。 嗯，给个操作权限 应该是需要修改一些参数啊。嗯，应该是图片类型吧，我们就直接在这听上 啊。这是这个，这个头应该大家呃只要稍微有一些基础，同学应该都见过啊，叫做朋友应该都见过，这个叫做。 呃，这个叫做 g f 八九 a， 是 这个 g f 格式的特定标标识图，因为你在做文件上传过程中，呃会出现这种就是。 ok， 我 们先我先把这改了， 它这个 id 应该在这里吧 这里啊，它要让你权限啊，权限的话你就需要在这里把这个 是吧？应该是这个是这里吧。难道是要把这个这个改掉吗？ 这个完全丢失掉。没有，不管了，都改了吧，这种直接再拉一个这个常用的。 嗯 嗯，他这个比较明显啊，他那个刚刚那个注视，我不知道那块注没注视掉，就不太不太确认啊。 修改一下，这里忘了修改那个什么把文件标识头给他， 这个过程只是说让大家看一下这个图片木马啊，它其实，呃图片木马是不行的图片木马是不行的。我只是告诉大家这个修改的过程 我就用这个命令一点吧。 一二一，这里一般情况下是让上传图片啊啊，他不让，他让只允许这三种文件格式啊，也就是说我需要把，也就说他是把 p h p 啊，先弄一下内幺点 g p g 加百 g p 也行，无所谓。呃，现在再试一下 建立一个监听，应该是八八八的 turn out different because it。 哦，他出现了错误，也就是说他不能被正确的解析。 呃，那也就是说他做了文件的这个图片解析器啊，他是不能正常解析这个图片的，也就是说，呃他做了一些拦截啊，他是把 这个放到那里以后，然后但是他没有。呃，在点开过程中图片解析器没有正常解析他，呃，这也是我们所说的他，他这个上传过程中其实你是要不断的去尝试啊。呃，就是他首先是告诉你了，是吧？ g p g 只允许 g p g p 是 吧？ png 或者 gf 格式才允许上传啊。然后呢又进行了限制，比如说刚刚我们是第一次传 php， 它是不允许的， 呃这个时候我们就需要绕过它这个两个限制什么意思呢？就是说它我要去看它是白名单还是黑名单，所谓的白名单就是它只允许这三种格式啊。黑名单呢是指，呃，除了这三种格式以外啊，这些 php 呃为结尾的是吧？点 p y， 点 c 啊这些点 exe 啊是吧？一系列啊，包括点，呃 o s 是 吧？点 s 啊，一系列这个文件结尾的，不管是什么结尾的，反正他不让你上传 啊，只能上传这三种啊。还有就是黑名单，黑名单就是把这些呃带有特定的文件结尾啊拉黑掉啊，只只允许上传这个 g p g 和这些乱七八糟这个图片格式，或者说，呃别的格式，因为你需要不断尝试的是什么呢？ 就是在这个过程中，可能是吧，我需要把这个 g p g 到当前目录下的，是不是尝试一下点 m p 四可不可以？ 呃需要不断去尝试啊， 哦他一样可以上传成功啊，能执行吗？啊也是不允许，因为你给他特定格式以后，阿帕奇还有那个什么，他可能会根根据格式啊，他会找特定的解析器来解析它， 这个时候你就需要指定一些嗯，抽象的，嗯，不为人所知的一些格式，嗯，就出现两个叫 h p a r， 然后 p p h a r p， 还有一个叫 p h t m l。 啊，这两种格式啊，这个是，呃，简单的啊，非常简单啊，只不过是扩充一下大家一个小知识量。呃， p h a r 和这个 p h t m l。 啊，顾名思义啊，它是以， 嗯， p h a r 是 你正常在 linux 当中是不是有一个解压器叫做 ter 是 吧？啊？压缩压缩包叫点 ter 啊？点 ter 是 不是一个压缩包？没错， p h a r 就是 p h 的 点 ter 啊，可以叫它 p h ter。 呃，他是一种压缩格式，他将文件当中的所有他其实并没有进行压缩行为啊，他是打包行为，他没有进行压缩，所以说在国外其实管压缩叫打包啊，就是压缩过程中。 呃，所谓的压缩吧？就是，嗯，压缩打包过程中他是把这个文件夹一起拉到这个执行环境中， p h p 是 执行环境中以后，呃， p h p 解释器，他会看到这个结尾的目录， 他不会去。呃，就是说他能正常的直接进入到木木当中去挨个解释当中的。呃，所有点 p h p。 文件， 也就是说他是方便移植的，就是所谓方便部署的啊。呃，这样一个东西，他不是说，嗯，他没有存在打包，所以说他也没有存在真正的解压啊，他不存在真正的解压，他只是告诉 p h p 显示器啊，你 只需要把它当做你的这个特定的压缩格式就好了，然后你来直接执行这个文件，这个目录当中的所有啊，这个目录当中一般它是目录格式，这个目录当中所有的 p h p 代码都由教育你来解释就好了 啊，它是这样去理解的，而像 phpml 叫顾名思义，那就是一个 p h p h 跟 t m l html 的 一个结合体啊，它可以双向双向使用啊，解释器会绕过其中的 html 代码，然后将 html 代码做那个浏览器展示，然后但是 php 代码去执行啊， 呃，所以说我们需要把它改成克定格式啊，也就是说，呃，我刚刚碰到行为是不是就是他不执行？其实那我只需要把这个啊念点 mp 四 改成它是不是当前能执行的格式，也就是说它能当做 p h， 就是 我是文件已经上传上去了，并且我点那块是有返回结果的，但只不过我上传的格式，呃，它里面的内置解释器，图片解释器，它无法解释，是吧？因为我们不是嘛，我们是 p h b 单嘛，对吧？然后像呃视频 它也没有做校验，它只是无法播放啊，因为确实你如果说直接把它交给那个视频显示器，它确实没有办法播放，也没有办法执执行，所以说它也是考虑了安全，但没有考虑的很严格，也就是说我可以把它改成叫做 p h a r 啊， 这个时候大家会发现有问题啊，这个条在滚，然后也就是说我们收到了一个 reverse 设置， 呃，就是这么这么好玩啊，他其实没有没有很难啊，但是这个环境实在是太恶心了啊，太恶心了。所以，呃没有办法删除啊，没有办法删除也没有办法退格不能用啊。这个时候我就是教大家来进行一个叫做呃终端顽固性啊，很多方法呃可以使用 turbo 啊。 但我这个现在来讲我觉得好像其实有更方便的工具，也就是说啊也没下载了。下载一下吧。 怎么会怎么会没有呢？ 这里都能直接搜索到啊。他可能不叫这个名字，那只能通过这种方式啊。我忘记他在这个安装包里面叫什么名字了。直接通过这种方式下载吧。嗯哦 呃算了算了算了。呃让他先这样吧。我们呃只是告诉大家有这样一个工具啊他是直接可以更改这个格式的啊他直接可以更改呃当然也有别的方法，但是不知道能不能 看一下更新要多久啊。可因为这个我刚刚嗯做了一个退档，嗯感觉可能怕把自己的玩坏了就做了退档。没关系，我们还是做 nc 吧。 那这里我就把呃执行环境这个修改完整性的这个代码打到这里吧。 part y 好，大家可以看到这个明显呃出现了用户名啊，叫做三 w 的 用户啊。我我也就是我们的 boss 的 reverse shell。 然后呢应该是啊还是还是不能用删除啊。没关系啊 没关系，因为这边小失误啊。没有没有想到说这个工具它在本地的那个什么需要更新啊。呃 ok， 那 我们还是正常提取，只不过我们这个过程它可能需要一些呃别的方式啊。呃 呃本地，接下来就是做本地回传吧。呃首先我们去发现一下这个呃这个版机当中它的一些特定的一些东西在哪里？首先看一下这个哦，它直接在登录底下，那我们就 cd 到 home 吧看一下哦，两个用户 cd 到。 嗯，有执行权限。那我们先去这个 dark 哦。没东西啊， 叫我看一下。 ok， 它这里面有三个东西啊， password， password 很 有价值啊，是吧？呃， password 就 非常有价值了，然后它有一个。哦，这里这个文啊，这是一个可执行程序，然后它具有 s 位标识啊，上期视频我没有讲过。嗯， 我们可以借助 s 位标识提权的，只需要借助环境变量啊节食就可以利用 s 位标识的这个程序提权， 那么这个时候我只需要知道这个兔兔，兔兔这个程序他执行了哪些，有没有执行一些哪些系统命令，那我就可以进行环境变长节食了， 对吧？还有这个 s s h 这个文件，这个是个兔子洞啊，这个，这个我就不带大家看了。呃，是个兔子洞里面，嗯，有公要私要，但是是教案只读啊，是教案只读的，所以没有没有什么意义啊。三 w d， 因为他这是标识的，是三 w d 的 组都可以进去读一下。但是是兔子洞啊，就是浪费时间的。 他这个可能是作者的恶趣味，恶趣味。呃 呃， ok， 他 现在虽然没有删删除，那我们就尝试性把命令我把命令写到这吧。然后我们首先，嗯， 是现在我们已经获得了外部，就是外部账号，那我们就可以把它是不是直接可以把这个叫 c p 当前 to to 到哪里呢？根目录 v a r c w date 啊，就是 t r r 底下是吧？ toto 可以 吧？对， 然后我们去 应该是下载好了，那我们可以直接在这就直接可以做。 这个可以下载了啊，应该可以吧， 那我上面还在执行 app， 先在这看一下吧，简单解析一下。嗯， so i o 呃， seat c d u c i o。 我 命是 seat g id， 然后 seat 了 u id， 然后执行了一些，应该是执行一些系统命令。这里，嗯，不太看得出来啊，我不太看得出来，并且， 哦天呐，中断了，看一下这个 还算能不能哇，其实还算可以啊，那可太幸福了。呃，因为刚刚给大家推荐的一个工具就是我现在在中单当中不让删除的情况下，就是因为这个完整交互性不太好，所以有一个直接工具叫做 rw rap， 这个工具他直接你吃完这个 rw rap 这样，然后就杠 lvp 可以直接，然后你正常监听就好了。嗯，它会提升终端完整性，它会自动提升终端完整性，是一个我在做这个过程中经常使用的工具，所以它非常非常好用啊，它非常好用。 嗯嗯，就是你只要中断完整性不太不太那个什么情况下你你都可以返回来用这个工具去建立，去用这个工具建立，当然他你可以使用国内的一些好的这个工具，只不过我们是就是教学实验环境吗？就是就有，有卡利我就用卡利了啊，当然你也可以选择什么是吧？ 一些一键啊是吧，各种的路由器都可以，没问题没问题。然后 现在来讲的话就是我们现在需要就是我想利用，就是介绍一下吧，这个叫做解开转啊，他非常出名啊，像你做逆向分析的人啊，做逆向分析的你一定知道一个工具叫做 ida ida pro 是 吧。 啊没没错啊，几嗨几嗨抓就是跟 idv pro 齐名的啊。世界上两大应该是两大吧，还有三大最牛逼的逆向解析工具之一啊。但我觉得我因为用几嗨抓可能比较多一些啊，因为现在做这个逆向分析的工作也很少，所以我也 呃没有没有深入的去研究 i d a 了。呃解害嗦是第一是在卡利当中部署非常快啊。第二第二是，呃他也比较出名比较牛逼，他是美国国家安全局开源开发的，而且在 github 上面有完整的开源源码。 呃所以是一个非常不可多得的好的工具啊。呃能用就用啊。没没什么问题，选一项的话可以多接触一些因为各种环境嘛就是各种尝试多用一些工具没什么问题的啊。 当然你因为这个过程中就是一个非常简单的逆向解析，因为它不涉及到加密，不涉及到脱壳啊是吧。不涉及到那个转编码一系列的东西，所以嗯 嗯就就随便用一个工具就好了啊。如果是要涉及到一些转编码是吧，你可能需要一些特定工具啊。脱壳是吧，你也需要一些特定工具啊。当然我们现在这个工作就非常简单啊，不需要不需要那么多特定工具，就就我卡利当中有了我就拉出来用就完了。嗯这二个 内部就叫兔兔 啊，可以看得出来这是国外这个安全研究人员也可能也比较重二病啊，大家可能都都都都有点这个毛病，就是 part five。 嗯哦对不起，我是不是我下载了吗？ 哦 sorry 我 刚刚是不是点错了什么 放生啊对不起我我刚刚好像音频库点错了点错了不好意思我可能需要重新请重新引入一遍。 哦对这样就好多了啊。呃通过这里啊 function functions 函数然后点这里 me 跳转到他的主函数下以后你会惊喜的发现啊这边呃学过语言的同学啊基本就就没什么没什么好说的了啊没什么好说的就是没错啊就是原码 他因为他你没有涉及到加格加密的程序啊转密码加密的程序他就是这样的啊因为现在他会通过计算器逆向会变出来你的指令尤其是 c 语言写的 非常非常容易就把你的呃原码复呃整出来了所以说啊当然他这里还设置了这个这个 id 啊设置了这个呃 uid 设置了 jid 那 这个这就是他的 id 位呗 是吧那这个应该是多少一千吧是吧一幺零幺啊应该是幺零幺幺一幺零零幺一千零一一千零一。呃 id 啊 嗯他执行了一个系统命令叫做 id 那 这个就是像我们上一期视频所讲的就是本地环境变量提呃提选就好了啊正常提选就好了。呃只是展示一下这个工序啊没有什么特别大的难度也没有什么好好那个什么的东西呃如果你 是希望大家如果有对绘编感兴趣的同学你选择一个自己喜欢工具然后之后你可以深入的对啊计算机啊绘编信息进行不断的解读挖掘啊这是其实是一件非常有意思的事情但是可能不太适合我吧我做绘编哈确实好。还不太不太可以啊。 嗯，只能做一些简单的工作，不太不太能深入的。嗯，然后现在就比较简单了。那它整体而言来讲就是， 嗯，就是很简单。呃，他现在是有一个 id 命令，呃，是在 呃程序中被被引用了，并且程序是具有 s 位的，也就是说，呃，我把它打到环境变量下面，也就是说现在我只需要更改环境变量啊，将当前环境变量呃添加到也是。首先第一点啊，我先更进 export， 将环境变量，呃。更改环境变量，然后， 嗯，也不看问题，定定应该没问题。然后，哎呦，我直接连做个软连接吧，杠 s 就是 跟八十 a b 连在一起是吧？ 嗯，然后我再执行 totook， 我 变成了旧案。 还有这个整体逻辑，因为讲过了，所以我也就不太多的，因为没什么特别特别难的地方啊。没有什么特别难的地方。呃， 上期视频有啊，结尾题全部也有，所以说就不做不多讲了。他非常非常简单，就是通过设置环境变量，然后把程序当中的，因为上一期我没有讲。就说如何看到程序当中的那个信息的， 是吧？嗯，可能简单的 strings 分 析了一下啊，然后执行直接执行了。那正常我们的操作逻辑是应该把它拿到本地啊。我做起做一个逆向的解析，因为你已经获得了 reverse shell。 你 这是需要只需要建立一个管道，不管是 o， s， c p， 呃，使用 s， c， b， 呃，命令，或者说使用 f， t， b 或者快速搭建都可以。呃，都没什么问题啊，你只需要把它 我感觉最快的是不是还是把它放到直接放到，因为我们是三 w d 的 用户嘛，你肯定对这个 html 啊这个文件是有操作权限的， 你直接把它放到那里，直接摘下来就好了。当然你是如果想动静小一点，不想引起别人注意的话，当然有更多碎糟化的方法。呃，你把它摘下来之后， 呃放到本地啊，去进行分析一下，呃，这，这就是正常的一个分析流程，就是我要看一下这个东西到底执行哪些简单，因为他其实大多数情况下你都可以直接分析出来。为什么？因为他不是面向用户的， 他是面向，呃，面向服务器的，这个他一般情况下不会对你，就像我们做网页啊，只要有过经验的，或者说你做一些事情，你网页后台，你不会对他你那个网页后台的程序做一些加密夹壳 啊，第一增加了重量你，第二没必要，你就往都被打到这了，是吧？你也没必要说防止这，你这个这个加密流程是防谁呢？防自己员工吗？还是防防谁呢？是吧？没什么必要啊，基本都是原码拖上去就用啊，这是很正常的事情。或者说你 就是写了个执行程序就放那啊，能用就用。所以说在大多数情况下，我们其实就是你拿下来基本上都能看到原码啊，比如说 c 啊，或者说我们这些执行写的 c 语言是好像最好分析出来的，还有甚至一些 python 啊，都有可以直接分析的工具啊。呃，我们拿下来之后啊，就是完整上一次的流程嘛，是我们拿下来之后，呃，是看到了他确实执行 id 命令，并且设置了有 id， 这个时候我们要看到一点啊，就是为什么你是交往用户， 而不是直接是 root 用户，你不是正常情况下你 s 位设置了，你不是应该是 root 用户吗？因为你回忆一下啊，就是我们刚刚在截图过程中，是不是它设置了叫做 c 的 是吧？它 set 了 uid 啊，对吧？还是要因为那个 id 编号是幺零零幺，如果我没猜错的话，旧网就是幺幺零幺啊，爱做排位的话，因为 root 是 零啊， root 是 零 啊，你正常正常情况下，如果是 sit 了 root 的 话，他是零啊，也就是说他执行过程中，他执行的是以幺零零幺的身份，也是教员的身份执行的啊，他不是以 root 的 身份执行的啊，这是需要说的一点。呃呃，没关系，我们获得了教员，然后看一下啊，这不有 password 了吗？我们去看一下 pass word 啊， root 一 二三，那我们就简单了，这个时候我也不需要去升级什么，不需要去做什么管道了，我直接就是 s s h 是 吧？ 幺幺五 啊，我们直接就一入他那教你身份的连到了这个环境当中，这个时候我们只需要看一下他的密码，第一件事，可是不是你先看一下这个速度杠 l 是 吧，我们有什么， 能不能执行一些实实现啊，以，可以以 root 身份执行 python 啊，可以以 root 身份执行这个 file， 点 p y 有 什么啊？这里有个 user 点 t 叉 t， 我 们看一下吧。啊，这是啊， you you can do it 鼓励的话啊，它是我们获得了一个 user 那 个的 flag 啊， 这个时候他啊就是加目录底下的 file， 是 我们允许语录的身份执行的，你执行 python 三，执行这个 python 点这个 py 文件的 file 点 py， 那 我们就是看一下，那就看一下这个 file 是 吧？里面里面是什么？哦，空空文件。那这个时候就很简单了啊，这个时候就就 python 写入就好了，正常写入的，只要是 写入一定那个什么 o s 啊，直接一口呗。啊，直接一口进去吧， 那 o s 点 c s， 对， 没错，你正常也可以使用 vm 去写啊，但是我们先选择这个方法，就一口进去就好了。嗯，是教你点 p y 啊，嗯，是教你点 p y， 没什么问题，那比如说我现在需要执行以速度权限执行 python 三，哦，这里有环境变量问题，是不是我是不是需要需要给他一个指向呢？ 是吧？需要这个指向应该是需要，这里需要注意一下这个细节，因为你修改了环境变量，那你在使用过程中是否就需要给他一些指向性非常明确的这些 就是指向性非常明确的这个指令后模教完给他绝对路径啊，费有点 p y 哦，我们就获得 root 了。 ok， 呃，这就是整个版机的流程啊，主要是，其实，呃也不简，也也不难，就是很简单，但是主要是这个 idor 的 这个延伸。呃，首先第一点，你在这个过程中，你要知道 idor 到底是通过修改什么，也就是标识符， 你要需要确定一点，就是 idor， 它是修改，修改标识 啊，这个过程它是修改标识，也就是说一切可被修改的标识都可以作为 ior 的 运用啊，都可以做 ior。 呃，这个情况下你只需要理解这一点啊，以后在你的生活中，希望大家能呃挖掘出来属于自己的漏洞。 ok， 那 就这样。