[原创]飞秋远程可利用0day-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]飞秋远程可利用0day

发表于: 2011-11-22 10:09 50416

[原创]飞秋远程可利用0day

artake

2011-11-22 10:09

50416

查看主题内容

收藏・22

免费・6

支持

最新回复 (46) ◀ 1 2
yzhxx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	yzhxx 26 楼顶一个，初学者路过 2011-11-28 10:02 0
风雪飘零雪币： 246 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	风雪飘零 27 楼厉害厉害。。~~学习一下。~~ 2011-12-1 10:28 0
dashige 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	dashige 28 楼彪悍的人生~ 2011-12-1 21:08 0
BeMaverick 雪币： 233 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	BeMaverick 29 楼不错看看学习了 2011-12-3 05:37 0
zenghw 雪币： 418 活跃值： (63) 能力值： ( LV12，RANK：260 ) 在线值：发帖 26 回帖 309 粉丝 1 关注私信	zenghw 6 30 楼我的是2.4修正版的，稍微看了下，覆盖至以下地方，修改SE处理程序入口，从而实现shellcode调用，还没测试，应该可行。 0012D5F4 0012D678 指向下一个 SEH 记录的指针 0012D5F8 00593AA7 SE处理程序 2011-12-8 17:40 0
artake 雪币： 180 活跃值： (1313) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 120 粉丝 1 关注私信	artake 31 楼我又发了个飞秋Bug的文章（再发个飞秋Bug ），附件为我分析的飞秋程序。 2011-12-8 18:06 0
zenghw 雪币： 418 活跃值： (63) 能力值： ( LV12，RANK：260 ) 在线值：发帖 26 回帖 309 粉丝 1 关注私信	zenghw 6 32 楼趁中午休息时间，测试了下，这个bug还是比较典型的，也算比较简单。 0012D5EC 41414141 0012D5F0 41414141 0012D5F4 06EB06EB 指向下一个 SEH 记录的指针,这里更改为jmp 4 0012D5F8 7FFA1571 SE处理程序 0012D5FC 0089E8FC 这里为shellcode开始地址 0012D600 89600000 0012D604 64D231E5 0012D608 8B30528B 0012D60C 528B0C52 2011-12-9 12:53 0
xixuegui 雪币： 73 活跃值： (70) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 78 粉丝 0 关注私信	xixuegui 33 楼高版本的编译器确实加入了很多安全选项 2011-12-9 15:58 0
xiaocaijk 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 161 粉丝 0 关注私信	xiaocaijk 34 楼刚开始看这方面的资料既然vs2008 这些编译器加入了防溢出的编译方式，我调试的时候发现他把字符串存放在另一个地方，不再是堆栈里面存放，并且填充了很多cc 。那堆栈溢出在win平台还会常出现在哪？ 2011-12-19 10:31 0
loongboy 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 97 粉丝 0 关注私信	loongboy 35 楼 .............. 2011-12-24 20:59 0
xbibid 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	xbibid 36 楼不错，非常不错 2011-12-26 14:18 0
bitt 雪币： 435 活跃值： (1282) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 37 楼先构造buffer覆盖掉seh，然后要的就是访问违例，seh触发，shellcode执行这可以主动攻击的，还好现在很少人用feiq了楼主威武 2011-12-27 09:25 0
firfor 雪币： 122 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 73 粉丝 0 关注私信	firfor 1 38 楼我的新帖子，漏洞分析与exploit,点击进入关于前面某位提到的利用方法：对于这位兄弟的利用方法，不知道是怎么做的，大家都知道是用的是seh的结构化异常处理来跳转的，可是我在看call Handler的时候，ebx不是这个_EXCEPTION_REGISTRATION记录的地址。是全0，我了不知道是怎么回事。不过pop，pop，ret，还是可以利用的。我找的是NTDLL.DLL中的一个地址，其中有指令如下： loc_77F5778B: pop esi pop ebp retn 8 这样就可以回到这个链上。然后一个jmp 指令跳转到shellcode的执行地方利用分析： 1：shellcode功能用了一个shellcode来添加一个管理员账户，其中密码与用户名均为：'X' 2：shellcode定位在溢出点函数的seh结构的前一个seh结构被覆盖，利用pop,pop,ret 方式进行定位 3：其它问题只测试了win xp sp1系统，其它的系统不成功。 4：演示步骤（1）输入对方的ip地址，点击发送（2）虚拟机中定位，中断（3）查看SEH (4) 定位SEH，并设置内存断点监视（5）监视到第二个节点的HANDLER即将被改写上传的附件： popopret.jpg （7.32kb，112次下载）软件截图.jpg （16.10kb，107次下载）中断执行.jpg （48.04kb，105次下载） seh.jpg （45.12kb，106次下载）定位seh内存断点监视.jpg （21.60kb，105次下载）溢出覆盖掉SEH时截图.jpg （255.27kb，108次下载） 2011-12-29 16:36 0
firfor 雪币： 122 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 73 粉丝 0 关注私信	firfor 1 39 楼想说的是xp sp2后的系统是有safeSEH的，所以不能够进行利用，也就是说这个漏洞的影响作用还是很小的 2011-12-29 16:37 0
edongxu 雪币： 204 活跃值： (76) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 1 关注私信	edongxu 40 楼覆盖掉seh，我在SP3下，win2003测试都是可以的。 2011-12-29 21:53 0
bitt 雪币： 435 活跃值： (1282) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 41 楼 sp2 sp3，确实有safeseh，但这个跳板都是可以过RtlIsValidHandler的，版本差异，bufffer构造可能会有些区别，其实还是很简单的 2011-12-29 23:07 0
firfor 雪币： 122 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 73 粉丝 0 关注私信	firfor 1 42 楼嗯，可能我测试得不够知彻底，有时间再看一下sp2后的情况。谢谢说明 2011-12-30 00:28 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 43 楼学习一下谢谢 2011-12-30 08:11 0
losename 雪币： 151 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	losename 44 楼好强~ 这就是所谓的代码分折~~ 看来还得学呀 2011-12-30 08:21 0
firfor 雪币： 122 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 73 粉丝 0 关注私信	firfor 1 45 楼请问可以利用吗，溢出当然可以覆盖，但是能利用不是另外一回事啊。 2011-12-30 22:56 0
Donie 雪币： 41 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	Donie 46 楼顶感谢楼主的分享学习了 2015-4-16 14:54 0
Vuler 雪币： 4 活跃值： (170) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	Vuler 47 楼楼主怎么挖到的呀？分享下~ 2018-5-3 20:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

artake

发帖

120

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (46) ◀ 1 2
yzhxx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	yzhxx 26 楼顶一个，初学者路过 2011-11-28 10:02 0
风雪飘零雪币： 246 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	风雪飘零 27 楼厉害厉害。。~~学习一下。~~ 2011-12-1 10:28 0
dashige 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	dashige 28 楼彪悍的人生~ 2011-12-1 21:08 0
BeMaverick 雪币： 233 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	BeMaverick 29 楼不错看看学习了 2011-12-3 05:37 0
zenghw 雪币： 418 活跃值： (63) 能力值： ( LV12，RANK：260 ) 在线值：发帖 26 回帖 309 粉丝 1 关注私信	zenghw 6 30 楼我的是2.4修正版的，稍微看了下，覆盖至以下地方，修改SE处理程序入口，从而实现shellcode调用，还没测试，应该可行。 0012D5F4 0012D678 指向下一个 SEH 记录的指针 0012D5F8 00593AA7 SE处理程序 2011-12-8 17:40 0
artake 雪币： 180 活跃值： (1313) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 120 粉丝 1 关注私信	artake 31 楼我又发了个飞秋Bug的文章（再发个飞秋Bug ），附件为我分析的飞秋程序。 2011-12-8 18:06 0
zenghw 雪币： 418 活跃值： (63) 能力值： ( LV12，RANK：260 ) 在线值：发帖 26 回帖 309 粉丝 1 关注私信	zenghw 6 32 楼趁中午休息时间，测试了下，这个bug还是比较典型的，也算比较简单。 0012D5EC 41414141 0012D5F0 41414141 0012D5F4 06EB06EB 指向下一个 SEH 记录的指针,这里更改为jmp 4 0012D5F8 7FFA1571 SE处理程序 0012D5FC 0089E8FC 这里为shellcode开始地址 0012D600 89600000 0012D604 64D231E5 0012D608 8B30528B 0012D60C 528B0C52 2011-12-9 12:53 0
xixuegui 雪币： 73 活跃值： (70) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 78 粉丝 0 关注私信	xixuegui 33 楼高版本的编译器确实加入了很多安全选项 2011-12-9 15:58 0
xiaocaijk 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 161 粉丝 0 关注私信	xiaocaijk 34 楼刚开始看这方面的资料既然vs2008 这些编译器加入了防溢出的编译方式，我调试的时候发现他把字符串存放在另一个地方，不再是堆栈里面存放，并且填充了很多cc 。那堆栈溢出在win平台还会常出现在哪？ 2011-12-19 10:31 0
loongboy 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 97 粉丝 0 关注私信	loongboy 35 楼 .............. 2011-12-24 20:59 0
xbibid 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	xbibid 36 楼不错，非常不错 2011-12-26 14:18 0
bitt 雪币： 435 活跃值： (1282) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 37 楼先构造buffer覆盖掉seh，然后要的就是访问违例，seh触发，shellcode执行这可以主动攻击的，还好现在很少人用feiq了楼主威武 2011-12-27 09:25 0
firfor 雪币： 122 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 73 粉丝 0 关注私信	firfor 1 38 楼我的新帖子，漏洞分析与exploit,点击进入关于前面某位提到的利用方法：对于这位兄弟的利用方法，不知道是怎么做的，大家都知道是用的是seh的结构化异常处理来跳转的，可是我在看call Handler的时候，ebx不是这个_EXCEPTION_REGISTRATION记录的地址。是全0，我了不知道是怎么回事。不过pop，pop，ret，还是可以利用的。我找的是NTDLL.DLL中的一个地址，其中有指令如下： loc_77F5778B: pop esi pop ebp retn 8 这样就可以回到这个链上。然后一个jmp 指令跳转到shellcode的执行地方利用分析： 1：shellcode功能用了一个shellcode来添加一个管理员账户，其中密码与用户名均为：'X' 2：shellcode定位在溢出点函数的seh结构的前一个seh结构被覆盖，利用pop,pop,ret 方式进行定位 3：其它问题只测试了win xp sp1系统，其它的系统不成功。 4：演示步骤（1）输入对方的ip地址，点击发送（2）虚拟机中定位，中断（3）查看SEH (4) 定位SEH，并设置内存断点监视（5）监视到第二个节点的HANDLER即将被改写上传的附件： popopret.jpg （7.32kb，112次下载）软件截图.jpg （16.10kb，107次下载）中断执行.jpg （48.04kb，105次下载） seh.jpg （45.12kb，106次下载）定位seh内存断点监视.jpg （21.60kb，105次下载）溢出覆盖掉SEH时截图.jpg （255.27kb，108次下载） 2011-12-29 16:36 0
firfor 雪币： 122 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 73 粉丝 0 关注私信	firfor 1 39 楼想说的是xp sp2后的系统是有safeSEH的，所以不能够进行利用，也就是说这个漏洞的影响作用还是很小的 2011-12-29 16:37 0
edongxu 雪币： 204 活跃值： (76) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 1 关注私信	edongxu 40 楼覆盖掉seh，我在SP3下，win2003测试都是可以的。 2011-12-29 21:53 0
bitt 雪币： 435 活跃值： (1282) 能力值： ( LV13，RANK：388 ) 在线值：发帖 27 回帖 634 粉丝 18 关注私信	bitt 5 41 楼 sp2 sp3，确实有safeseh，但这个跳板都是可以过RtlIsValidHandler的，版本差异，bufffer构造可能会有些区别，其实还是很简单的 2011-12-29 23:07 0
firfor 雪币： 122 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 73 粉丝 0 关注私信	firfor 1 42 楼嗯，可能我测试得不够知彻底，有时间再看一下sp2后的情况。谢谢说明 2011-12-30 00:28 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 43 楼学习一下谢谢 2011-12-30 08:11 0
losename 雪币： 151 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	losename 44 楼好强~ 这就是所谓的代码分折~~ 看来还得学呀 2011-12-30 08:21 0
firfor 雪币： 122 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 73 粉丝 0 关注私信	firfor 1 45 楼请问可以利用吗，溢出当然可以覆盖，但是能利用不是另外一回事啊。 2011-12-30 22:56 0
Donie 雪币： 41 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	Donie 46 楼顶感谢楼主的分享学习了 2015-4-16 14:54 0
Vuler 雪币： 4 活跃值： (170) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	Vuler 47 楼楼主怎么挖到的呀？分享下~ 2018-5-3 20:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复