首页
社区
课程
招聘
[原创]飞秋远程可利用0day
2011-11-22 10:09 49491

[原创]飞秋远程可利用0day

2011-11-22 10:09
49491
收藏
免费 6
打赏
分享
最新回复 (46)
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yzhxx 2011-11-28 10:02
26
0
顶一个,初学者路过
雪    币: 246
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
风雪飘零 2011-12-1 10:28
27
0
厉害厉害。。~~学习一下。~~
雪    币: 7
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dashige 2011-12-1 21:08
28
0
彪悍的人生~
雪    币: 233
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
BeMaverick 2011-12-3 05:37
29
0
不错 看看 学习了
雪    币: 418
活跃值: (63)
能力值: ( LV12,RANK:260 )
在线值:
发帖
回帖
粉丝
zenghw 6 2011-12-8 17:40
30
0
我的是2.4修正版的,
稍微看了下,覆盖至以下地方,修改SE处理程序入口,从而实现shellcode调用,还没测试,应该可行。
0012D5F4   0012D678                    指向下一个 SEH 记录的指针
0012D5F8   00593AA7                    SE处理程序
雪    币: 9
活跃值: (1112)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
artake 2011-12-8 18:06
31
0
我又发了个飞秋Bug的文章(再发个飞秋Bug ),附件为我分析的飞秋程序。
雪    币: 418
活跃值: (63)
能力值: ( LV12,RANK:260 )
在线值:
发帖
回帖
粉丝
zenghw 6 2011-12-9 12:53
32
0
趁中午休息时间,测试了下,这个bug还是比较典型的,也算比较简单。
0012D5EC   41414141
0012D5F0   41414141   
0012D5F4   06EB06EB   指向下一个 SEH 记录的指针,这里更改为jmp 4
0012D5F8   7FFA1571   SE处理程序
0012D5FC   0089E8FC   这里为shellcode开始地址
0012D600   89600000
0012D604   64D231E5
0012D608   8B30528B
0012D60C   528B0C52
雪    币: 73
活跃值: (70)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
xixuegui 2011-12-9 15:58
33
0
高版本的编译器确实加入了很多安全选项
雪    币: 46
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
xiaocaijk 2011-12-19 10:31
34
0
刚开始看这方面的资料  既然vs2008 这些编译器加入了防溢出的编译方式,我调试的时候发现他把字符串存放在另一个地方,不再是堆栈里面存放,并且填充了 很多cc 。那堆栈溢出在win平台 还会常出现在哪?
雪    币: 105
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
loongboy 2011-12-24 20:59
35
0
..............
雪    币: 200
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
xbibid 2011-12-26 14:18
36
0
不错  ,非常不错
雪    币: 435
活跃值: (1167)
能力值: ( LV13,RANK:388 )
在线值:
发帖
回帖
粉丝
bitt 5 2011-12-27 09:25
37
0
先构造buffer覆盖掉seh,然后要的就是访问违例,seh触发,shellcode执行
这可以主动攻击的,还好现在很少人用feiq了
楼主威武
雪    币: 122
活跃值: (46)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
firfor 1 2011-12-29 16:36
38
0
我的新帖子,漏洞分析与exploit,点击进入
关于前面某位提到的利用方法:


对于这位兄弟的利用方法,不知道 是怎么做的,大家都知道是用的是seh的结构化异常处理来跳转的,可是我在看call Handler的时候,ebx不是这个_EXCEPTION_REGISTRATION记录的地址。
是全0,我了不知道是怎么回事。不过pop,pop,ret,还是可以利用的。
我找的是NTDLL.DLL中的一个地址,其中有指令如下:

loc_77F5778B:
pop     esi
pop     ebp
retn    8

这样就可以回到这个链上。然后一个jmp 指令跳转到shellcode的执行地方
利用分析:
1:shellcode功能
用了一个shellcode来添加一个管理员账户,其中密码与用户名均为:'X'
2:shellcode定位
在溢出点函数的seh结构的前一个seh结构被覆盖,利用pop,pop,ret
方式进行定位
3:其它问题
只测试了win xp sp1系统,其它的系统不成功。
4:演示步骤
(1)
        输入对方的ip地址,点击发送

(2)
       虚拟机中定位,中断

(3)
        查看SEH

(4)
       定位SEH,并设置内存断点监视

(5)
监视到第二个节点的HANDLER即将被改写
上传的附件:
雪    币: 122
活跃值: (46)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
firfor 1 2011-12-29 16:37
39
0
想说的是xp sp2后的系统是有safeSEH的,所以不能够进行利用,也就是说这个漏洞的影响作用还是很小的
雪    币: 204
活跃值: (76)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
edongxu 2011-12-29 21:53
40
0
覆盖掉seh,我在SP3下,win2003测试都是可以的。
雪    币: 435
活跃值: (1167)
能力值: ( LV13,RANK:388 )
在线值:
发帖
回帖
粉丝
bitt 5 2011-12-29 23:07
41
0
sp2 sp3,确实有safeseh,但这个跳板都是可以过RtlIsValidHandler的,版本差异,bufffer构造可能会有些区别,其实还是很简单的
雪    币: 122
活跃值: (46)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
firfor 1 2011-12-30 00:28
42
0
嗯,可能我测试得不够知彻底,有时间再看一下sp2后的情况。谢谢说明
雪    币: 71
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
mumaren 2011-12-30 08:11
43
0
学习一下

谢谢
雪    币: 151
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
losename 2011-12-30 08:21
44
0
好强~  这就是所谓的代码分折~~ 看来还得学呀
雪    币: 122
活跃值: (46)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
firfor 1 2011-12-30 22:56
45
0
请问可以利用吗,溢出当然可以覆盖,但是能利用不是另外一回事啊。
雪    币: 41
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Donie 2015-4-16 14:54
46
0
顶 感谢楼主的分享 学习了
雪    币: 4
活跃值: (170)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Vuler 2018-5-3 20:44
47
0
楼主怎么挖到的呀?分享下~
游客
登录 | 注册 方可回帖
返回