ReverseUPX mini既然是UPX那必须先DIE查壳一看就不对劲，upx最多只见过3.96的，不过这里先用upx自己脱一下可以脱直接继续查，64位无壳，进入ida明显的base64直接，解密秒解BaseCTF{Hav3_@_g0od_t1m3!!!} ez_xor简单xor，直接看ida，查位数64位看码了解，关键函数keystream和encrpt，输入长度为28，str、v11、v12

开始这是这个博客最开始的故事，我想要用gitee做一个图床，当时我怎么也没想到gitee居然拒绝掉外链的请求了，就像这样但是反复尝试我们发现了一下返回值 防盗链要实现防盗链，就需要知道图片的请求是从哪里发出的。可以实现这一功能的有请求头中的origin和referer。origin只有在XHR请求中才会带上，所以图片资源只能借助referer 通过判断请求的referer，如果请求来源不是本站就返

FSG脱壳过程中的IAT修复进行手动查找和IAT修复找可以在动态连接库中查得到的call在命令行中敲425210然后查连接库函数向上向下查找为0的数值(分割处)手动修改RVA和size的值

PEcompact脱壳 3BP VirtualFreeF9到达取消断点返回到用户代码alt+f9查找PUSH 8000然后单步到达 4BP VirtualFree两次shift+f9到达返回到用户代码alt+f9然后单步跟踪到达oep 5bp 0045DE74运行,到达后取消断点在retn处会返回并执行程序我们现在下面下个断点，然后单步到OEP这一段汇编比较重要注意在retn后面加上断

asp脱壳时利用 模拟跟踪法利用tc命令跟踪查找带有sfx和输入表的字段这个方法由于时程序自动进行的所以十分缓慢不建议用 SFX法自动抵达 nspack巧妙脱壳法at GetVersion 下版本断点在retn处下断点单步F8之后到打OEP之后向前找OEP

脚本命令和普通命令的区别 在我们将windows系统调成可以执行脚本命令之后我们的许多命令在cmd或ise中可能无法执行这可能是因为命名的原因 开启脚本执行之前 12C:\Users\agesh> where calcC:\Windows\System32\calc.exe 开启之后 12PS C:\data\code> where calcPS C:\data\code>

php伪协议大类讲解 file:// 访问本地文件系统用来读取本地的文件，当用于文件读取函数时可以用。常见检测是否存在漏洞写法：www.xxx.com/?file=file:///etc/passwd此协议不受allow_url_fopen,allow_url_include配置影响 php://input协议 使用方法： 在get处填上php:&#x

tea终于自己做出一道tea了乐看原题 典型的tea直接套模板，但是有问题，就是py中不会限定为32位所以最后的答案会超级大，我们就要去进行一个&ffffffff的操作使数值正确 然后就是关于题目中的小问题，首先就是delta，标准的tea是0x9E3779B9，但是在ida中总是会出现变成-0x61c88647的问题需要注意，然后就是最后的v5怎么求,就是一个偏移相加