[原创]飞秋远程可利用0day-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]飞秋远程可利用0day

2011-11-22 10:09 49509

[原创]飞秋远程可利用0day

artake

2011-11-22 10:09

49509

这是人生中的第一个0day，在此发表留个脚印，本漏洞发现于2011.11.21（昨天）。
飞秋是一款很流行的区域网聊天工具，很多校内网（我学校就用这个聊天的

）和公司内部都在使用。

声明：本贴只用于学习交流，如使用本帖技术用于非法用途，后果自负。
测试版本：虚拟机中Windows XP SP3，飞秋版本为2.5.0.0。

漏洞分析：
POC：
1_lbt4_1#65664#6CF04987CC1A#570#31741#4294967295#2.5a:1317316152:admin:XXCCLI-A10D5C26:0:AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.......

sub_4405A0为从ecx指向的字符串中提取出第五个和第六个#之间的字符串。
ecx指向的是：1#65664#6CF04987CC1A#570#31741#4294967295#2.5a:1317316152:admin:XXCCLI-A10D5C26:0:AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.......
eax为输出地址，运行后var_4024为字符串4294967295（0xFFFFFFFF）

运行后var_4028位0xFFFFFFFF

绕过有符号比较，进入strcpy,esi指向AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.......
结果图：

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

1.png （5.18kb，1745次下载）
2.jpg （28.59kb，1742次下载）
3.jpg （6.10kb，1733次下载）
4.png （10.73kb，1732次下载）
5.png （18.48kb，1751次下载）
6.png （3.50kb，1739次下载）
飞秋POC代码.rar （1.54MB，584次下载）

收藏・22

免费・6

打赏

最新回复 (46) 1 2 ▶
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 2011-11-22 10:30 2 楼 0 顶一个。。。
meijingogo 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 157 粉丝 0 关注私信	meijingogo 2011-11-22 10:53 3 楼 0 lz nb啊，下载学习，前排点位。
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 2011-11-22 18:55 4 楼 0 给力啊顶lz 旧版本没有这个漏洞？我看旧版本没有atoi这个函数呵呵 vc6编译 atoi 不会防止溢出而vs2008编译默认就会防止溢出的 #include "stdafx.h" #include <stdlib.h> #include <stdio.h> int _tmain(int argc, _TCHAR* argv[]) { int ddd=atoi("4294967295"); long dddd2=atol("4294967295"); printf("%x\:%x\n",ddd,dddd2); return 0; } 这样的代码vc6下编译就是ffffffff vs2008就是7fffffff 害人的vc6
artake 雪币： 9 活跃值： (1122) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 118 粉丝 1 关注私信	artake 2011-11-22 21:11 5 楼 0 谢谢instruder的指导，我这没有就版本的，没有分析，以后再说吧！
coldairx 雪币： 96 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	coldairx 2011-11-22 21:19 6 楼 0 路过。。顶起。。。
pende 雪币： 21 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 41 粉丝 0 关注私信	pende 1 2011-11-23 10:09 7 楼 0 有同学已经看完后分析了，，楼主彪悍不用解释
cornera 雪币： 224 活跃值： (55) 能力值： ( LV2，RANK：140 ) 在线值：发帖 7 回帖 60 粉丝 0 关注私信	cornera 3 2011-11-23 10:09 8 楼 0 好玩，顶...
专业路过雪币： 539 活跃值： (69) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 115 粉丝 1 关注私信	专业路过 1 2011-11-24 12:19 9 楼 0 果然有漏洞~~~顶...
swlilike 雪币： 89 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 365 粉丝 1 关注私信	swlilike 2011-11-24 13:31 10 楼 0 顶，顶成精华
tihty 雪币： 27 活跃值： (84) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 2011-11-24 14:08 11 楼 0 哇，好厉害怎么下不了 - -
nfgfgo 雪币： 130 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 124 粉丝 0 关注私信	nfgfgo 2011-11-24 14:36 12 楼 0 只防大于数不防小于数，代码问题，和atoi没半点关系。
rocross 雪币： 349 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	rocross 2011-11-24 15:12 13 楼 0 前几天看说2.4的有，2.5也有了啊，厉害。
stormxp 雪币： 107 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 69 粉丝 2 关注私信	stormxp 1 2011-11-24 20:52 14 楼 0 只是想知道，楼主是怎样知道这里有漏洞的，个人感觉发掘的过程更需要学习，还望楼主不吝赐教！
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 210 粉丝 0 关注私信	vvking 2011-11-24 21:52 15 楼 0 呵呵，不错啊
ylbhz 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 31 粉丝 0 关注私信	ylbhz 2011-11-24 23:22 16 楼 0 分析了，楼主，我个人认为该问题不可利用，测试的是2.5 考察如下数据 1_lbt4_1#65664#6CF04987CC1A#570#31741#2147483648#2.5a:1317316152:admin:XXCCLI-A10D5C26:0:"; 其中2147483648在发生溢出后能控制到ecx的最小值为0x80000000，依然会发生访问违例，各位朋友可以试试。如有谬误，请指正，并求利用方法
luckyrayb 雪币： 6 活跃值： (39) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	luckyrayb 2011-11-25 08:08 17 楼 0 终于又有哥们发现了这个洞，一个0day就此消亡！成因：整数符号转换+不完全验证（仅比较了上界）效果：缓冲区溢出（memcpy，可以不用考虑特殊符号）利用：长度直接填"-1"；由于缓冲区是从高地址拷贝到低地址，“恰巧”可以用构造的缓冲区填充整个主线程堆栈；精心构造数据，覆盖SEH结构，最后缓冲区拷贝越界后，内存访问违规，触发shellcode。完毕。
artake 雪币： 9 活跃值： (1122) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 118 粉丝 1 关注私信	artake 2011-11-25 11:38 18 楼 0 ylbhz 请下载我的附件：飞秋POC代码.rar 进行测试。看了代码自然就明白了开始发现的时候我就感觉应该有人发现了，因为这个漏洞不难，但是没有人公布。
luckyrayb 雪币： 6 活跃值： (39) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	luckyrayb 2011-11-25 15:32 19 楼 0 披露0day之前最好还是联系一下程序原作者,看能不能给个补丁,否则exploit的滥用只会葬送这款优秀的软件.(现在还没发现能够完全替代飞秋的局域网聊天工具,这么一搞大家只好回去用飞鸽啦)
rvnctu 雪币： 176 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	rvnctu 2011-11-26 09:27 20 楼 0 呵呵，学习了，谢谢分享
善良屠夫雪币： 201 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 159 粉丝 0 关注私信	善良屠夫 2011-11-26 12:35 21 楼 0 能不能把● 飞秋源代码也作为附件发布一下？
sagittar 雪币： 112 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	sagittar 2011-11-26 16:44 22 楼 0 FeiQ漏洞不止一个，至少还有异常文件名传输漏洞、异常消息发送漏洞、多文件目录传输漏洞等等，均是远程溢出漏洞.... 有兴趣的可以拿来练练手另外，FeiQ好像已经停止更新了，作者已联系不到.... 相关网站应该已经被黑，而且应该被挂马啦......要漏洞报告的自己注意安全....呵呵
artake 雪币： 9 活跃值： (1122) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 118 粉丝 1 关注私信	artake 2011-11-26 17:23 23 楼 0 想向sagittar大牛学习，不知道能否给个联系方式
zuoyefeng 雪币： 237 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 124 粉丝 0 关注私信	zuoyefeng 2011-11-28 05:26 24 楼 0 还在用飞鸽的路过~~~~~~~
hardful 雪币： 80 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	hardful 2011-11-28 06:02 25 楼 0 留名,学习...
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

artake

发帖

118

回帖

RANK

关注

私信

他的文章

[求助]什么android模拟器可以刷自己编译的android系统

[推荐][推荐]国外最新经典Exploit开发系列教程

批处理问题

[求助]HOOK进程所有指令，VT还是虚拟机

[讨论]挑战：堆地址

关于我们

联系我们

企业服务

看雪公众号

最新回复 (46) 1 2 ▶
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 2011-11-22 10:30 2 楼 0 顶一个。。。
meijingogo 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 157 粉丝 0 关注私信	meijingogo 2011-11-22 10:53 3 楼 0 lz nb啊，下载学习，前排点位。
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 2011-11-22 18:55 4 楼 0 给力啊顶lz 旧版本没有这个漏洞？我看旧版本没有atoi这个函数呵呵 vc6编译 atoi 不会防止溢出而vs2008编译默认就会防止溢出的 #include "stdafx.h" #include <stdlib.h> #include <stdio.h> int _tmain(int argc, _TCHAR* argv[]) { int ddd=atoi("4294967295"); long dddd2=atol("4294967295"); printf("%x\:%x\n",ddd,dddd2); return 0; } 这样的代码vc6下编译就是ffffffff vs2008就是7fffffff 害人的vc6
artake 雪币： 9 活跃值： (1122) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 118 粉丝 1 关注私信	artake 2011-11-22 21:11 5 楼 0 谢谢instruder的指导，我这没有就版本的，没有分析，以后再说吧！
coldairx 雪币： 96 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	coldairx 2011-11-22 21:19 6 楼 0 路过。。顶起。。。
pende 雪币： 21 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 41 粉丝 0 关注私信	pende 1 2011-11-23 10:09 7 楼 0 有同学已经看完后分析了，，楼主彪悍不用解释
cornera 雪币： 224 活跃值： (55) 能力值： ( LV2，RANK：140 ) 在线值：发帖 7 回帖 60 粉丝 0 关注私信	cornera 3 2011-11-23 10:09 8 楼 0 好玩，顶...
专业路过雪币： 539 活跃值： (69) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 115 粉丝 1 关注私信	专业路过 1 2011-11-24 12:19 9 楼 0 果然有漏洞~~~顶...
swlilike 雪币： 89 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 365 粉丝 1 关注私信	swlilike 2011-11-24 13:31 10 楼 0 顶，顶成精华
tihty 雪币： 27 活跃值： (84) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 2011-11-24 14:08 11 楼 0 哇，好厉害怎么下不了 - -
nfgfgo 雪币： 130 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 124 粉丝 0 关注私信	nfgfgo 2011-11-24 14:36 12 楼 0 只防大于数不防小于数，代码问题，和atoi没半点关系。
rocross 雪币： 349 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	rocross 2011-11-24 15:12 13 楼 0 前几天看说2.4的有，2.5也有了啊，厉害。
stormxp 雪币： 107 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 69 粉丝 2 关注私信	stormxp 1 2011-11-24 20:52 14 楼 0 只是想知道，楼主是怎样知道这里有漏洞的，个人感觉发掘的过程更需要学习，还望楼主不吝赐教！
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 210 粉丝 0 关注私信	vvking 2011-11-24 21:52 15 楼 0 呵呵，不错啊
ylbhz 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 31 粉丝 0 关注私信	ylbhz 2011-11-24 23:22 16 楼 0 分析了，楼主，我个人认为该问题不可利用，测试的是2.5 考察如下数据 1_lbt4_1#65664#6CF04987CC1A#570#31741#2147483648#2.5a:1317316152:admin:XXCCLI-A10D5C26:0:"; 其中2147483648在发生溢出后能控制到ecx的最小值为0x80000000，依然会发生访问违例，各位朋友可以试试。如有谬误，请指正，并求利用方法
luckyrayb 雪币： 6 活跃值： (39) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	luckyrayb 2011-11-25 08:08 17 楼 0 终于又有哥们发现了这个洞，一个0day就此消亡！成因：整数符号转换+不完全验证（仅比较了上界）效果：缓冲区溢出（memcpy，可以不用考虑特殊符号）利用：长度直接填"-1"；由于缓冲区是从高地址拷贝到低地址，“恰巧”可以用构造的缓冲区填充整个主线程堆栈；精心构造数据，覆盖SEH结构，最后缓冲区拷贝越界后，内存访问违规，触发shellcode。完毕。
artake 雪币： 9 活跃值： (1122) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 118 粉丝 1 关注私信	artake 2011-11-25 11:38 18 楼 0 ylbhz 请下载我的附件：飞秋POC代码.rar 进行测试。看了代码自然就明白了开始发现的时候我就感觉应该有人发现了，因为这个漏洞不难，但是没有人公布。
luckyrayb 雪币： 6 活跃值： (39) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	luckyrayb 2011-11-25 15:32 19 楼 0 披露0day之前最好还是联系一下程序原作者,看能不能给个补丁,否则exploit的滥用只会葬送这款优秀的软件.(现在还没发现能够完全替代飞秋的局域网聊天工具,这么一搞大家只好回去用飞鸽啦)
rvnctu 雪币： 176 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	rvnctu 2011-11-26 09:27 20 楼 0 呵呵，学习了，谢谢分享
善良屠夫雪币： 201 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 159 粉丝 0 关注私信	善良屠夫 2011-11-26 12:35 21 楼 0 能不能把● 飞秋源代码也作为附件发布一下？
sagittar 雪币： 112 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	sagittar 2011-11-26 16:44 22 楼 0 FeiQ漏洞不止一个，至少还有异常文件名传输漏洞、异常消息发送漏洞、多文件目录传输漏洞等等，均是远程溢出漏洞.... 有兴趣的可以拿来练练手另外，FeiQ好像已经停止更新了，作者已联系不到.... 相关网站应该已经被黑，而且应该被挂马啦......要漏洞报告的自己注意安全....呵呵
artake 雪币： 9 活跃值： (1122) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 118 粉丝 1 关注私信	artake 2011-11-26 17:23 23 楼 0 想向sagittar大牛学习，不知道能否给个联系方式
zuoyefeng 雪币： 237 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 124 粉丝 0 关注私信	zuoyefeng 2011-11-28 05:26 24 楼 0 还在用飞鸽的路过~~~~~~~
hardful 雪币： 80 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	hardful 2011-11-28 06:02 25 楼 0 留名,学习...
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复