《PoC 编写指南》现已经同步至 gitbook，博客和 gitbook 会同步更新，地址： http://poc.evalbug.com/

第 1 章 技能基础

网络基础

为什么要学网络

安全界不缺乏有一些人连计算机网络是什么都不清楚，但是拿站，渗透一搞一个准。然而像我这种整天把基础知识挂在嘴边的人，拿站的时候照样怂。基础知识在我看来，是种常识，是种工具，不能说不会基础知识的人就一定不能怎么样，我只能说，我建议，我推荐，我支持先从基础学起来，这样在后面的学习当中就会如鱼得水。

需要学什么

对于写 PoC 来说，我们需要的并不是你去把 OSI 7 层模型的每一层都精通，你要精通了所有层的东西，你就不会坐在这里了。

好了，大概说一下我们需要了解哪些,相关的专业知识你可以去百度我不浪费时间了

写在前面

圣诞节快乐，老早之前看过一个老外闲得蛋疼，用 Perl 在终端上画了一个圣诞树，这不瞅着时间刚好圣诞节嘛，用我们的大 Python 画了一个。下文会讲讲怎么画出这么个东西出来。

来来来，先上图, duang ~

《PoC 编写指南》现已经同步至 gitbook，博客和 gitbook 会同步更新，地址： http://poc.evalbug.com/

引言

有感而发，想写一系列的教程，帮助刚入安全圈的新手朋友。假如有一天，这个系列的教程真的帮到了你，别忘了回来给我点个赞，不为别的，只想看看这玩意有没有用。

这一系列我将其命名为 《PoC 编写指南》，为什么要叫这个名字呢，感觉这个名字应该好听一些，如果你在阅读的时候有更好的名字，可以推荐给我。

关于版权问题，我向来不反对转载的，但是我特别鄙视那些纯复制粘贴过后，仅仅是改了作者名字的人。

本教程为笔者原创，转载请征求笔者同意，笔者默认不同意

在本教程中，你将会同我一起，以真实案例为背景，针对当下主流的漏洞来分析漏洞，并且一步一步编写对应的 PoC。当然本教程肯定不会覆盖到所有种类的漏洞，因为我不会，哈哈哈。不过，关于 PoC 的编写都是触类旁通的，我相信，你会在学习了现有的章节之后，举一反三。

没错，如果你在看了所有的章节之后学到的不是编写的思想，那恭喜你，你获得了再看一次的机会。

写在前面

扫描的时候常时间不看有时候节点会掉，每次都去手动构建一次真的很烦，于是考虑用计划任务来自动构建节点。Linux 下关于 corntab 的文章多了去了，这里我记录下 Mac OS X 的计划任务，构建节点只是一个用处而己。用 Mac 的人那么多，真正关心这个的人倒没多少。

Mac OS X内置的一种称为 Launch Daemon/Agent 的机制来实现系统启动时自动执行脚本程序。OS X 从10.4 开始，采用 launchd 进程来管理整个操作系统的服务及进程。传统的 UNIX 会使用 /etc/rc.* 或其他的机制来管理开机时要启动的启动服务，而现在的 OS X 则使用 launchd 来管理，它的启动服务称为 Launch Daemon/Agents, 利用 Launch Daemon/Agent，我们就可以令脚本程序在系统启动的时候在后台运行了。

漏洞简介

漏洞标题：Different arrays compare indentical due to integer key truncation

漏洞来源：https://bugs.php.net/bug.php?id=69892

影响组件: PHP

影响版本：5.4.0 - 5.4.43, 5.5.0 - 5.5.26, 5.6.0 - 5.6.10, 7.0.0alpha1

实例说明

题目

用一个 CTF 题目来说明一下上面的这个漏洞,顺便记录下 CTF 的一类题

先来看一段代码:

1
2
3
4

>>> 'm' in ('medicean')
True
>>> 'm' in ['medicean']
False

为什么会出现这种结果呢？

写在前面

一年前在国外看到的 一篇文章 ，也是因为这个脚本，让我喜欢上了 Python。

代码只有一行，有人看了会爱上 Python ，比如像我这么萌萌哒的人。

今天突然想起来了，就靠着记忆重新写了一个。

完成后的代码如下,我已经大概处理了一下，为了好看：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47

#!/usr/bin/env python
(lambda _,__,___,____,_____,______,_______, ________:
  getattr(
    __import__(True.__class__.__name__[_] +
      [].__class__.__name__[__]),
    ().__class__.__eq__.__class__.__name__[:__] +
    ().__iter__().__class__.__name__[_____:________]
  )(
    _, 
    (lambda _,__,___: _(_,__,___))
    (lambda _,__,___: chr(___ % __) +
      _(_,__,___ // __) if ___ else (lambda: _).func_code.co_lnotab, 
      ____<<______, 
      (((_____ << _____) + _______) << ((_ << _______) +
      (_ << __))) - (((((___ << __) + _) << ____) -
      _) << ((((_ << ____) - _) << ___) +_))
      - (((_____ << _____) + _______) << ((_______ << ____))) +
      (((___ << _____) - ___) << ((((___ << __) + _) << ___) -
        _)) - (((((___ << __) - _) << ____) +
      _____) << ((___ << _____) - ___)) + (((_______ << ____) -
      ___) << ((_____ << ____) +___)) + (((((___ << __) -
      _) << ___) + _) << (((((_ << ___) + _)) << ___) + (_ << _))) +
      (((((___ << __) + _) << ___) - ___) << ((_ << ______))) +
      (((_____ << ____) -___) << ((_______ << ___))) +
      (((_ << ______) + _) << ((___ << ____) - _)) - (((((___ << __) +
      _) << __) + _) << ((_____ << ___) - _)) - (((_____ << __) -
      _) << ((_ << _____) - _)) -(((_ << _____) + _) << ((___ << ___) -
      _)) - (_____ << (((((_ << ___) + _)) << _))) +
      (_ << (((___ << __) + _))) + (((((_ << ___) + _))) << ___) + _
    )
  )
)(* (lambda _, __: _(_, __))(
  lambda _, __:
    [__[(lambda: _).func_code.co_nlocals].func_code.co_argcount] +
    _(_, __[(lambda _: _).func_code.co_nlocals:]) if __ else [],
    (
      lambda _: _,
      lambda _, __: _,
      lambda _, __, ___: _,
      lambda _, __, ___, ____: _,
      lambda _, __, ___, ____, _____: _,
      lambda _, __, ___, ____, _____, ______: _,
      lambda _, __, ___, ____, _____, ______, _______: _,
      lambda _, __, ___, ____, _____, ______, _______, ________: _
    )
  )
)

怎么样？是不是吓到了。当时我感叹：逼还是你会装啊。

好吧来看分析吧。

Rsync 是类 unix 系统下的数据镜像备份工具—— remote sync。一款快速增量备份工具 Remote Sync，远程同步 支持本地复制，或者与其他 SSH、rsync 主机同步。

什么是 brew

Brew 是OS X 上的一个软件包管理器,有些类似 apt-get 和 yum,它依托于Github。

项目地址: https://github.com/Homebrew/homebrew

使用帮助: http://brew.sh

但是国内有时候真是让人无语，于是还是考虑给 brew 换个国内的源。

引言

最近网易邮箱 163 邮箱用户数据泄露事件又让安全圈子高潮了一回，
目前网易公关给的解释是当然不会被脱库啦，你们想什么样呢，别闹了，好好上班。
外界自然是唏嘘声一片，就着那 100 条还有密保问题的可疑数据，居然有家电视台也跟着
凑起了热闹，闹就闹吧，好好的乌云就被报道成了 UCloud。

UCloud：怪我喽？

事实是什么，反正我不知道，我也不敢乱下定论，我又不认识某种产业的人，
我也不认识 163 的，前面都是说给你听的，认识我也要说不认识。

上一回高潮是今年 9 月的 Xcode Ghost，哦不，上一回应该算是前
两天的支付宝实名认证的漏洞了。我想支付宝的公关估计现在正在偷着乐吧。

话说回来，今天我们就来谈谈脱库。