一次服务器BMC固件逆向经历

导出文件

访问BMC默认开启的Web管理界面http://$ip,开启ssh服务,之后即可以执行ssh root@$ip,得到一个受限的管理界面,功能很少,没有系统shell。

在服务器上执行ipmitool fru可以查找到设备型号,使用厂商提供的flash备份工具导出flash,比较慢,每秒200多KB。在BMC网页界面的BMC System Audit Log中看到BMC的Linux系统日志:

Read More

常数空间Invert Binary Tree与仿Morris法后序遍历

今天在地铁上浪费了好多时间……呜呜……做其他事都没有效率,就利用这些时间写字了。

前几天LeetCode的Invert Binary Tree火了。名称有点糟,无法准确描述要求。

主要思路是遍历二叉树,把访问操作修改为交换左右孩子,每个节点都交换一次即可。

如果采用前序或中序遍历,则子树交换发生在遍历某棵子树之前,会引起麻烦。因此我想到了后序遍历,在遍历完子树后再交换左右孩子,重心就是如何实现常数空间复杂度的后序遍历。某些资料/问题称之为Morris post-order traversal。

Read More

jq实现原理——字节码

jq所用的DSL是一门dataflow language,程序中编写的几乎所有结构都是filter,函数(比如def foo(f) f;)接受filter为参数,产生filter。jq程序描述了如何把各个filter组合起来产生更复杂的filter,在执行时把输入数据(若干JSON)变换得到输出(若干JSON)。

jq独特的地方在于它的控制结构是由if和backtracking实现的。由于变量赋值后不可修改,因此迭代无法通过跳转和可变状态实现。

jq把程序编译成字节码后解释执行。字节码是栈式的(参看后缀表达式计算器、Forth),处理的值是JSON,执行时当前结果和临时变量等都存放在data stack上,并提供了很多指令用于处理data stack。下面用$s$表示data stack,左边是栈顶:

持续更新中

Read More

BCTF 2015 CamlMaze命题报告及CTF题目镜像准备方法

题目

BCTF 2015中的题目,名为CamlMaze。向解出此题的217、PPP、Gallopsled、Dragon Sector表达祝贺。

描述:

Caml has found a foggy maze. Please direct him to find the gold.

The source code of Caml Featherweight may be helpful.

本题是字节码逆向题,供选手下载的user.tgz包含camlfwrun(字节码解释器)、bytecode(字节码,是一段客户端程序,用我的Caml Featherweight编译生成)、camlfwod(用ocamlrun执行的字节码查看器,名字来源于objdump)。和Caml Featherweight相比,camlfwrun经过了少许修改,在解释前会向服务端创建socket,是为了适配交互式逆向/pwn类CTF题目,静态编译,已被strip -s

名字中的Caml源于Categorical Abstract Machine Language,一个ML语言的方言。

Read More