[TOC]

how2heap深入浅出学习堆利用（一）

前言

已经有很多师傅写了许多关于 Linux 堆的精彩文章。所以这系列文章更多当做个人学习笔记和面向像我一样的 Linux 堆初学者，在前期学习的时候我甚至连 pwndbg 都不会用。野摩托师傅将 how2heap的代码做了很大的简化，这也极大地帮助了我理解和学习。如果我有任何理解不到位或者错误的地方欢迎各位大佬指正。
原文链接：https://bbs.pediy.com/thread-272416.htm

事件的起因是同学推给了我一个突破百度网盘的工具，里面是Aria2和一个获取直接下载链接的油猴脚本。我和y就一起研究了下。
研究脚本的过程就不多说了，白活一天踩坑无数。直接看成果。
在web端选中一个文件点下载，用浏览器network或者bp抓包都可以。浏览器通过GET数次请求百度服务器的API，参数包括uk（其中一个用户标识）、时间、文件列表等。最终获得了一个内容分发服务器的链接。请求这个链接，返回内容才是真实的下载地址。

踩坑无数。折腾了一晚上，才算连接上了调试主机（Win10，debugger）和被调试虚拟机（Win10，debuggee）。
吾爱破解下载了用于win10的windbg。在里面有一个symproxy.reg的文件，猜测是设置符号文件的代理（因为貌似要FQ才能下载，只能windbg访问而不能浏览器访问）。不知道有没有用，运行之前一直连接不上；运行之后允许设置注册表，又经过了其他操作，才连上，所以不知道这里有没有影响。

先说结论：
当return address向后溢出的长度无法满足构造的rop链的时候就会用到栈迁移。
栈迁移就是利用两个LEAVE/RETN指令，实现ESP、EBP和EIP的控制。第一个POP EBP指令跳去攻击者想要跳去的地址，第二个LEAVE指令用于将ESP指向攻击者设置好的EBP，这样就完成了栈的迁移。随后的POP EBP并不会对EBP造成影响，只是ESP指向了ESP+4。RETN（即POP EIP）控制EIP指向ESP栈顶位置，就是我们shellcode的地址。随后可以开始执行shellcode了。

环境配置

攻击机
win10：192.168.124.25
kali：192.168.124.28
靶机：
win7（web服务器，两块网卡）
外网ip：192.168.124.27
内网ip：192.168.52.143
windows 2008 R2（内网域控主机）：192.168.52.138

ollydbg修改exe小游戏的分数，第一次完成;-)所以记录下来。

最近做题遇到了关于低位丢失（高位泄露）等题目，于是了解到了coppersmith算法。具体关于格密码的学习还未开始，仅仅会在github上找工具解题。格密码下学期做完毕业论文会开始学习。越来越觉得每个方向都是一个无底洞，学是永远也学不完的，永远在路上。

今天学习到一篇文章，讲的是如何利用sqlmap对有ssl通信的网站进行注入。sqlmap原本没有绕过ssl的temper，所以这时候就需要自己建立一个中转脚本，可以忽略ssl进行访问。如PHP的curl。

原文链接：
实战sqlmap绕过WAF
SQLMAP配合PHP中转忽略ssl

光本地更新没有deploy到仓库，用户密码都忘记了。我输入用户名密码总是报错，更改了密码之后还是报错。百度到了删除.deploy_git，试了一下还是错误。
解决办法：

帮助学长学姐处理研究生建模题时学习的python简单处理Excel读写数据等。