首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 二进制漏洞
    3. 发新帖
[原创]飞秋远程可利用0day
2011-11-22 10:09 49491

[原创]飞秋远程可利用0day

artake 活跃值
2011-11-22 10:09
49491

查看主题内容

收藏
免费 6
打赏
分享
最新回复 (46)
yzhxx
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
yzhxx 2011-11-28 10:02
26
0
顶一个,初学者路过
风雪飘零
雪    币: 246
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
风雪飘零 2011-12-1 10:28
27
0
厉害厉害。。~~学习一下。~~
dashige
雪    币: 7
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
dashige 2011-12-1 21:08
28
0
彪悍的人生~
BeMaverick
雪    币: 233
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
BeMaverick 2011-12-3 05:37
29
0
不错 看看 学习了
zenghw
雪    币: 418
活跃值: (63)
能力值: ( LV12,RANK:260 )
在线值:
发帖
回帖
粉丝
私信
zenghw 6 2011-12-8 17:40
30
0
我的是2.4修正版的,
稍微看了下,覆盖至以下地方,修改SE处理程序入口,从而实现shellcode调用,还没测试,应该可行。
0012D5F4   0012D678                    指向下一个 SEH 记录的指针
0012D5F8   00593AA7                    SE处理程序
artake
雪    币: 9
活跃值: (1112)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
artake 2011-12-8 18:06
31
0
我又发了个飞秋Bug的文章(再发个飞秋Bug ),附件为我分析的飞秋程序。
zenghw
雪    币: 418
活跃值: (63)
能力值: ( LV12,RANK:260 )
在线值:
发帖
回帖
粉丝
私信
zenghw 6 2011-12-9 12:53
32
0
趁中午休息时间,测试了下,这个bug还是比较典型的,也算比较简单。
0012D5EC   41414141
0012D5F0   41414141   
0012D5F4   06EB06EB   指向下一个 SEH 记录的指针,这里更改为jmp 4
0012D5F8   7FFA1571   SE处理程序
0012D5FC   0089E8FC   这里为shellcode开始地址
0012D600   89600000
0012D604   64D231E5
0012D608   8B30528B
0012D60C   528B0C52
xixuegui
雪    币: 73
活跃值: (70)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
xixuegui 2011-12-9 15:58
33
0
高版本的编译器确实加入了很多安全选项
xiaocaijk
雪    币: 46
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
xiaocaijk 2011-12-19 10:31
34
0
刚开始看这方面的资料  既然vs2008 这些编译器加入了防溢出的编译方式,我调试的时候发现他把字符串存放在另一个地方,不再是堆栈里面存放,并且填充了 很多cc 。那堆栈溢出在win平台 还会常出现在哪?
loongboy
雪    币: 105
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
loongboy 2011-12-24 20:59
35
0
..............
xbibid
雪    币: 200
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
xbibid 2011-12-26 14:18
36
0
不错  ,非常不错
bitt
雪    币: 435
活跃值: (1167)
能力值: ( LV13,RANK:388 )
在线值:
发帖
回帖
粉丝
私信
bitt 5 2011-12-27 09:25
37
0
先构造buffer覆盖掉seh,然后要的就是访问违例,seh触发,shellcode执行
这可以主动攻击的,还好现在很少人用feiq了
楼主威武
firfor
雪    币: 122
活跃值: (46)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
firfor 1 2011-12-29 16:36
38
0
我的新帖子,漏洞分析与exploit,点击进入
关于前面某位提到的利用方法:


对于这位兄弟的利用方法,不知道 是怎么做的,大家都知道是用的是seh的结构化异常处理来跳转的,可是我在看call Handler的时候,ebx不是这个_EXCEPTION_REGISTRATION记录的地址。
是全0,我了不知道是怎么回事。不过pop,pop,ret,还是可以利用的。
我找的是NTDLL.DLL中的一个地址,其中有指令如下:

loc_77F5778B:
pop     esi
pop     ebp
retn    8

这样就可以回到这个链上。然后一个jmp 指令跳转到shellcode的执行地方
利用分析:
1:shellcode功能
用了一个shellcode来添加一个管理员账户,其中密码与用户名均为:'X'
2:shellcode定位
在溢出点函数的seh结构的前一个seh结构被覆盖,利用pop,pop,ret
方式进行定位
3:其它问题
只测试了win xp sp1系统,其它的系统不成功。
4:演示步骤
(1)
        输入对方的ip地址,点击发送

(2)
       虚拟机中定位,中断

(3)
        查看SEH

(4)
       定位SEH,并设置内存断点监视

(5)
监视到第二个节点的HANDLER即将被改写
上传的附件:
firfor
雪    币: 122
活跃值: (46)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
firfor 1 2011-12-29 16:37
39
0
想说的是xp sp2后的系统是有safeSEH的,所以不能够进行利用,也就是说这个漏洞的影响作用还是很小的
edongxu
雪    币: 204
活跃值: (76)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
edongxu 2011-12-29 21:53
40
0
覆盖掉seh,我在SP3下,win2003测试都是可以的。
bitt
雪    币: 435
活跃值: (1167)
能力值: ( LV13,RANK:388 )
在线值:
发帖
回帖
粉丝
私信
bitt 5 2011-12-29 23:07
41
0
sp2 sp3,确实有safeseh,但这个跳板都是可以过RtlIsValidHandler的,版本差异,bufffer构造可能会有些区别,其实还是很简单的
firfor
雪    币: 122
活跃值: (46)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
firfor 1 2011-12-30 00:28
42
0
嗯,可能我测试得不够知彻底,有时间再看一下sp2后的情况。谢谢说明
mumaren
雪    币: 71
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
mumaren 2011-12-30 08:11
43
0
学习一下

谢谢
losename
雪    币: 151
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
losename 2011-12-30 08:21
44
0
好强~  这就是所谓的代码分折~~ 看来还得学呀
firfor
雪    币: 122
活跃值: (46)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
firfor 1 2011-12-30 22:56
45
0
请问可以利用吗,溢出当然可以覆盖,但是能利用不是另外一回事啊。
Donie
雪    币: 41
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
Donie 2015-4-16 14:54
46
0
顶 感谢楼主的分享 学习了
Vuler
雪    币: 4
活跃值: (170)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
Vuler 2018-5-3 20:44
47
0
楼主怎么挖到的呀?分享下~
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回