应用侧漏洞与CTF题解:https://wnagzihxa1n.gitbook.io

大土豆安全笔记

昨晚折腾了一下树莓派4B搭建家庭影院,用的是KODI,也没有研究多深入,现在是可以使用了,以后家里装修的时候,我要单独弄一间小房间,上面挂个牌子:逗猫阁,里面配置各种我定制的设备,装有履带的瓦力机器人,大土豆智能家居助手,树莓派定制的家庭影院……,想想就……伤心,要是有钱买好的产品谁搞这么麻烦:(

大概讲一下流程,有兴趣的同学可以自己研究细节,其中我省略了部分系统配置操作

从官网下载Raspbian系统,因为我们不需要界面,只需要命令行即可,下载LITE版本

刷入镜像,完成后首先是配置系统WiFi连接,这一步先不着急插卡启动,刷完系统后拔出卡片再次插入读卡器,在根目录添加一个配置文件wpa_supplicant.conf

country=CN
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=netdev
update_config=1
network={
    ssid="WiFi SSID"
    psk="password"
    priority=5
}

插卡,上电,安装KODI

$ sudo apt update
$ sudo apt install kodi

启动KODI

$ sudo service kodi start

配置完之后,可以修改系统语言,如果HDMI输出没声音,可以在raspi-config里进行强行HDMI输出声音,数据源有两种模式,一种是NAS,一种是外接硬盘,NAS我感觉速度不是很够,我暂时是用的外接硬盘,在/etc/fstab里添加自动挂载即可开机自动挂载硬盘

还有一些插件,脚本可以安装,我还没有研究到这一层次,等我体验一段时间,可以写一篇文章仔细讲讲,有兴趣的同学可以参考

遥控器的话,我目前打算用红外线模式,还有一个是蓝牙,不过我目前只搜到了红外线的方案,蓝牙的方案还没搜到,但是根据我薄弱的硬件知识,蓝牙肯定是可行的,只是我想要一个酷炫一点的遥控器,不想每次还要拿出手机匹配一下蓝牙,那真的太弱了,直接买现成的电视机,流畅的体验难道不香吗?

《Getting Started in Android Apps Pen-testing (Part-1)》:安卓应用漏洞挖掘教程,这一篇主要是讲环境搭建,这种文章中文版本的一大把,关注一下看看后续有没有好玩的思路,我个人建议真机运行,有一些应用只编译了ARM指令的SO,很多基于X86的模拟器是运行不了这种APP的,而且有价值研究的APP,怎么会不检测模拟器呢?胖友,用真机,少踩坑

《Stantinko’s new cryptominer features unique obfuscation techniques》:一个挖矿病毒的字符串混淆

眼熟不?搞过OLLVM的看到这个都不在怕的,手持IDA脚本,扛上angr走一波符号执行,妥妥的

IMAGE

我唯一的担心就是,上这种混淆万一不稳定崩溃了,岂不是很尴尬

《Evasions: Generic OS queries》:若干虚拟机环境检测技术,多学学,把没掌握的思路补上,以后万一有业务需求,不至于临时学手忙脚乱的

IMAGE