首页
社区
课程
招聘
[原创]飞秋远程可利用0day
发表于: 2011-11-22 10:09 50392

[原创]飞秋远程可利用0day

2011-11-22 10:09
50392

这是人生中的第一个0day,在此发表留个脚印,本漏洞发现于2011.11.21(昨天)。
飞秋是一款很流行的区域网聊天工具,很多校内网(我学校就用这个聊天的)和公司内部都在使用。

声明:本贴只用于学习交流,如使用本帖技术用于非法用途,后果自负。
测试版本:虚拟机中Windows XP SP3,飞秋版本为2.5.0.0。

漏洞分析:
POC:
1_lbt4_1#65664#6CF04987CC1A#570#31741#4294967295#2.5a:1317316152:admin:XXCCLI-A10D5C26:0:AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.......

sub_4405A0为从ecx指向的字符串中提取出第五个和第六个#之间的字符串。
ecx指向的是:1#65664#6CF04987CC1A#570#31741#4294967295#2.5a:1317316152:admin:XXCCLI-A10D5C26:0:AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.......
eax为输出地址,运行后var_4024为字符串4294967295(0xFFFFFFFF)

运行后var_4028位0xFFFFFFFF


绕过有符号比较,进入strcpy,esi指向AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.......
结果图:


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 6
支持
分享
最新回复 (46)
雪    币: 308
活跃值: (25)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
2
顶一个。。。
2011-11-22 10:30
0
雪    币: 65
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
lz nb啊,下载学习,前排点位。
2011-11-22 10:53
0
雪    币: 146
活跃值: (182)
能力值: ( LV13,RANK:220 )
在线值:
发帖
回帖
粉丝
4
给力啊  顶lz

旧版本没有这个漏洞? 我看旧版本没有atoi这个函数  呵呵

vc6编译 atoi 不会防止溢出
而vs2008编译默认就会防止溢出的

#include "stdafx.h"
#include <stdlib.h>
#include <stdio.h>

int _tmain(int argc, _TCHAR* argv[])
{
        int ddd=atoi("4294967295");
        long dddd2=atol("4294967295");
        printf("%x\:%x\n",ddd,dddd2);
        return 0;
}
这样的代码vc6下编译就是ffffffff  vs2008就是7fffffff   害人的vc6
2011-11-22 18:55
0
雪    币: 180
活跃值: (1313)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
5
谢谢instruder的指导,我这没有就版本的,没有分析,以后再说吧!
2011-11-22 21:11
0
雪    币: 96
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
路过。。顶起。。。
2011-11-22 21:19
0
雪    币: 21
活跃值: (25)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
有同学已经看完后分析了,,楼主彪悍不用解释
2011-11-23 10:09
0
雪    币: 224
活跃值: (55)
能力值: ( LV2,RANK:140 )
在线值:
发帖
回帖
粉丝
8
好玩,顶...
2011-11-23 10:09
0
雪    币: 538
活跃值: (269)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
9
果然有漏洞~~~顶...
2011-11-24 12:19
0
雪    币: 89
活跃值: (53)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
顶,顶成精华
2011-11-24 13:31
0
雪    币: 27
活跃值: (127)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
11
哇,好厉害 怎么下不了 - -
2011-11-24 14:08
0
雪    币: 130
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
只防大于数不防小于数,代码问题,和atoi没半点关系。
2011-11-24 14:36
0
雪    币: 349
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
前几天看说2.4的有,2.5也有了啊,厉害。
2011-11-24 15:12
0
雪    币: 107
活跃值: (25)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
14
只是想知道,楼主是怎样知道这里有漏洞的,个人感觉发掘的过程更需要学习,还望楼主不吝赐教!
2011-11-24 20:52
0
雪    币: 1737
活跃值: (110)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
呵呵,不错啊
2011-11-24 21:52
0
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
分析了,楼主,我个人认为该问题不可利用,测试的是2.5
考察如下数据
1_lbt4_1#65664#6CF04987CC1A#570#31741#2147483648#2.5a:1317316152:admin:XXCCLI-A10D5C26:0:";
其中2147483648在发生溢出后能控制到ecx的最小值为0x80000000,依然会发生访问违例,各位朋友可以试试。如有谬误,请指正,并求利用方法
2011-11-24 23:22
0
雪    币: 6
活跃值: (39)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
17
终于又有哥们发现了这个洞,一个0day就此消亡!
成因:整数符号转换+不完全验证(仅比较了上界)
效果:缓冲区溢出(memcpy,可以不用考虑特殊符号)
利用:长度直接填"-1";
      由于缓冲区是从高地址拷贝到低地址,“恰巧”可以用构造的缓冲区填充整个主线程堆栈;
      精心构造数据,覆盖SEH结构,最后缓冲区拷贝越界后,内存访问违规,触发shellcode。
完毕。
2011-11-25 08:08
0
雪    币: 180
活跃值: (1313)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
18
ylbhz  请下载我的附件:飞秋POC代码.rar  进行测试。看了代码自然就明白了

开始发现的时候我就感觉应该有人发现了,因为这个漏洞不难,但是没有人公布。
2011-11-25 11:38
0
雪    币: 6
活跃值: (39)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
19
披露0day之前最好还是联系一下程序原作者,看能不能给个补丁,否则exploit的滥用只会葬送这款优秀的软件.(现在还没发现能够完全替代飞秋的局域网聊天工具,这么一搞大家只好回去用飞鸽啦)
2011-11-25 15:32
0
雪    币: 176
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
呵呵,学习了,谢谢分享
2011-11-26 09:27
0
雪    币: 201
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
能不能把●
飞秋源代码也作为附件发布一下?
2011-11-26 12:35
0
雪    币: 112
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
FeiQ漏洞不止一个,至少还有异常文件名传输漏洞、异常消息发送漏洞、多文件目录传输漏洞等等,
均是远程溢出漏洞....
有兴趣的可以拿来练练手
另外,FeiQ好像已经停止更新了,作者已联系不到....
相关网站应该已经被黑,而且应该被挂马啦......要漏洞报告的自己注意安全....呵呵
2011-11-26 16:44
0
雪    币: 180
活跃值: (1313)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
23
想向sagittar大牛学习,不知道能否给个联系方式
2011-11-26 17:23
0
雪    币: 237
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
还在用飞鸽的路过~~~~~~~
2011-11-28 05:26
0
雪    币: 80
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
留名,学习...
2011-11-28 06:02
0
游客
登录 | 注册 方可回帖
返回
//