[原创]飞秋远程可利用0day-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]飞秋远程可利用0day

发表于: 2011-11-22 10:09 50388

[原创]飞秋远程可利用0day

artake

2011-11-22 10:09

50388

这是人生中的第一个0day，在此发表留个脚印，本漏洞发现于2011.11.21（昨天）。
飞秋是一款很流行的区域网聊天工具，很多校内网（我学校就用这个聊天的）和公司内部都在使用。

声明：本贴只用于学习交流，如使用本帖技术用于非法用途，后果自负。
测试版本：虚拟机中Windows XP SP3，飞秋版本为2.5.0.0。

漏洞分析：
POC：
1_lbt4_1#65664#6CF04987CC1A#570#31741#4294967295#2.5a:1317316152:admin:XXCCLI-A10D5C26:0:AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.......

sub_4405A0为从ecx指向的字符串中提取出第五个和第六个#之间的字符串。
ecx指向的是：1#65664#6CF04987CC1A#570#31741#4294967295#2.5a:1317316152:admin:XXCCLI-A10D5C26:0:AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.......
eax为输出地址，运行后var_4024为字符串4294967295（0xFFFFFFFF）

运行后var_4028位0xFFFFFFFF

绕过有符号比较，进入strcpy,esi指向AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA.......
结果图：

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

1.png （5.18kb，1745次下载）
2.jpg （28.59kb，1742次下载）
3.jpg （6.10kb，1733次下载）
4.png （10.73kb，1732次下载）
5.png （18.48kb，1751次下载）
6.png （3.50kb，1739次下载）
飞秋POC代码.rar （1.54MB，584次下载）

收藏・22

免费・6

支持

最新回复 (46) 1 2 ▶
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 2 楼顶一个。。。 2011-11-22 10:30 0
meijingogo 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 157 粉丝 0 关注私信	meijingogo 3 楼 lz nb啊，下载学习，前排点位。 2011-11-22 10:53 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 4 楼给力啊顶lz 旧版本没有这个漏洞？我看旧版本没有atoi这个函数呵呵 vc6编译 atoi 不会防止溢出而vs2008编译默认就会防止溢出的 #include "stdafx.h" #include <stdlib.h> #include <stdio.h> int _tmain(int argc, _TCHAR* argv[]) { int ddd=atoi("4294967295"); long dddd2=atol("4294967295"); printf("%x\:%x\n",ddd,dddd2); return 0; } 这样的代码vc6下编译就是ffffffff vs2008就是7fffffff 害人的vc6 2011-11-22 18:55 0
artake 雪币： 180 活跃值： (1313) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 120 粉丝 1 关注私信	artake 5 楼谢谢instruder的指导，我这没有就版本的，没有分析，以后再说吧！ 2011-11-22 21:11 0
coldairx 雪币： 96 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	coldairx 6 楼路过。。顶起。。。 2011-11-22 21:19 0
pende 雪币： 21 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 41 粉丝 0 关注私信	pende 1 7 楼有同学已经看完后分析了，，楼主彪悍不用解释 2011-11-23 10:09 0
cornera 雪币： 224 活跃值： (55) 能力值： ( LV2，RANK：140 ) 在线值：发帖 7 回帖 60 粉丝 0 关注私信	cornera 3 8 楼好玩，顶... 2011-11-23 10:09 0
专业路过雪币： 538 活跃值： (269) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 116 粉丝 1 关注私信	专业路过 1 9 楼果然有漏洞~~~顶... 2011-11-24 12:19 0
swlilike 雪币： 89 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 365 粉丝 1 关注私信	swlilike 10 楼顶，顶成精华 2011-11-24 13:31 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 11 楼哇，好厉害怎么下不了 - - 2011-11-24 14:08 0
nfgfgo 雪币： 130 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 124 粉丝 0 关注私信	nfgfgo 12 楼只防大于数不防小于数，代码问题，和atoi没半点关系。 2011-11-24 14:36 0
rocross 雪币： 349 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	rocross 13 楼前几天看说2.4的有，2.5也有了啊，厉害。 2011-11-24 15:12 0
stormxp 雪币： 107 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 69 粉丝 2 关注私信	stormxp 1 14 楼只是想知道，楼主是怎样知道这里有漏洞的，个人感觉发掘的过程更需要学习，还望楼主不吝赐教！ 2011-11-24 20:52 0
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 210 粉丝 0 关注私信	vvking 15 楼呵呵，不错啊 2011-11-24 21:52 0
ylbhz 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 31 粉丝 0 关注私信	ylbhz 16 楼分析了，楼主，我个人认为该问题不可利用，测试的是2.5 考察如下数据 1_lbt4_1#65664#6CF04987CC1A#570#31741#2147483648#2.5a:1317316152:admin:XXCCLI-A10D5C26:0:"; 其中2147483648在发生溢出后能控制到ecx的最小值为0x80000000，依然会发生访问违例，各位朋友可以试试。如有谬误，请指正，并求利用方法 2011-11-24 23:22 0
luckyrayb 雪币： 6 活跃值： (39) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	luckyrayb 17 楼终于又有哥们发现了这个洞，一个0day就此消亡！成因：整数符号转换+不完全验证（仅比较了上界）效果：缓冲区溢出（memcpy，可以不用考虑特殊符号）利用：长度直接填"-1"；由于缓冲区是从高地址拷贝到低地址，“恰巧”可以用构造的缓冲区填充整个主线程堆栈；精心构造数据，覆盖SEH结构，最后缓冲区拷贝越界后，内存访问违规，触发shellcode。完毕。 2011-11-25 08:08 0
artake 雪币： 180 活跃值： (1313) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 120 粉丝 1 关注私信	artake 18 楼 ylbhz 请下载我的附件：飞秋POC代码.rar 进行测试。看了代码自然就明白了开始发现的时候我就感觉应该有人发现了，因为这个漏洞不难，但是没有人公布。 2011-11-25 11:38 0
luckyrayb 雪币： 6 活跃值： (39) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	luckyrayb 19 楼披露0day之前最好还是联系一下程序原作者,看能不能给个补丁,否则exploit的滥用只会葬送这款优秀的软件.(现在还没发现能够完全替代飞秋的局域网聊天工具,这么一搞大家只好回去用飞鸽啦) 2011-11-25 15:32 0
rvnctu 雪币： 176 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	rvnctu 20 楼呵呵，学习了，谢谢分享 2011-11-26 09:27 0
善良屠夫雪币： 201 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 159 粉丝 0 关注私信	善良屠夫 21 楼能不能把● 飞秋源代码也作为附件发布一下？ 2011-11-26 12:35 0
sagittar 雪币： 112 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	sagittar 22 楼 FeiQ漏洞不止一个，至少还有异常文件名传输漏洞、异常消息发送漏洞、多文件目录传输漏洞等等，均是远程溢出漏洞.... 有兴趣的可以拿来练练手另外，FeiQ好像已经停止更新了，作者已联系不到.... 相关网站应该已经被黑，而且应该被挂马啦......要漏洞报告的自己注意安全....呵呵 2011-11-26 16:44 0
artake 雪币： 180 活跃值： (1313) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 120 粉丝 1 关注私信	artake 23 楼想向sagittar大牛学习，不知道能否给个联系方式 2011-11-26 17:23 0
zuoyefeng 雪币： 237 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 124 粉丝 0 关注私信	zuoyefeng 24 楼还在用飞鸽的路过~~~~~~~ 2011-11-28 05:26 0
hardful 雪币： 80 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	hardful 25 楼留名,学习... 2011-11-28 06:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

artake

发帖

120

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (46) 1 2 ▶
痞子辉雪币： 308 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 231 粉丝 0 关注私信	痞子辉 1 2 楼顶一个。。。 2011-11-22 10:30 0
meijingogo 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 157 粉丝 0 关注私信	meijingogo 3 楼 lz nb啊，下载学习，前排点位。 2011-11-22 10:53 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 4 楼给力啊顶lz 旧版本没有这个漏洞？我看旧版本没有atoi这个函数呵呵 vc6编译 atoi 不会防止溢出而vs2008编译默认就会防止溢出的 #include "stdafx.h" #include <stdlib.h> #include <stdio.h> int _tmain(int argc, _TCHAR* argv[]) { int ddd=atoi("4294967295"); long dddd2=atol("4294967295"); printf("%x\:%x\n",ddd,dddd2); return 0; } 这样的代码vc6下编译就是ffffffff vs2008就是7fffffff 害人的vc6 2011-11-22 18:55 0
artake 雪币： 180 活跃值： (1313) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 120 粉丝 1 关注私信	artake 5 楼谢谢instruder的指导，我这没有就版本的，没有分析，以后再说吧！ 2011-11-22 21:11 0
coldairx 雪币： 96 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	coldairx 6 楼路过。。顶起。。。 2011-11-22 21:19 0
pende 雪币： 21 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 41 粉丝 0 关注私信	pende 1 7 楼有同学已经看完后分析了，，楼主彪悍不用解释 2011-11-23 10:09 0
cornera 雪币： 224 活跃值： (55) 能力值： ( LV2，RANK：140 ) 在线值：发帖 7 回帖 60 粉丝 0 关注私信	cornera 3 8 楼好玩，顶... 2011-11-23 10:09 0
专业路过雪币： 538 活跃值： (269) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 116 粉丝 1 关注私信	专业路过 1 9 楼果然有漏洞~~~顶... 2011-11-24 12:19 0
swlilike 雪币： 89 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 365 粉丝 1 关注私信	swlilike 10 楼顶，顶成精华 2011-11-24 13:31 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 11 楼哇，好厉害怎么下不了 - - 2011-11-24 14:08 0
nfgfgo 雪币： 130 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 124 粉丝 0 关注私信	nfgfgo 12 楼只防大于数不防小于数，代码问题，和atoi没半点关系。 2011-11-24 14:36 0
rocross 雪币： 349 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	rocross 13 楼前几天看说2.4的有，2.5也有了啊，厉害。 2011-11-24 15:12 0
stormxp 雪币： 107 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 69 粉丝 2 关注私信	stormxp 1 14 楼只是想知道，楼主是怎样知道这里有漏洞的，个人感觉发掘的过程更需要学习，还望楼主不吝赐教！ 2011-11-24 20:52 0
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 210 粉丝 0 关注私信	vvking 15 楼呵呵，不错啊 2011-11-24 21:52 0
ylbhz 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 31 粉丝 0 关注私信	ylbhz 16 楼分析了，楼主，我个人认为该问题不可利用，测试的是2.5 考察如下数据 1_lbt4_1#65664#6CF04987CC1A#570#31741#2147483648#2.5a:1317316152:admin:XXCCLI-A10D5C26:0:"; 其中2147483648在发生溢出后能控制到ecx的最小值为0x80000000，依然会发生访问违例，各位朋友可以试试。如有谬误，请指正，并求利用方法 2011-11-24 23:22 0
luckyrayb 雪币： 6 活跃值： (39) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	luckyrayb 17 楼终于又有哥们发现了这个洞，一个0day就此消亡！成因：整数符号转换+不完全验证（仅比较了上界）效果：缓冲区溢出（memcpy，可以不用考虑特殊符号）利用：长度直接填"-1"；由于缓冲区是从高地址拷贝到低地址，“恰巧”可以用构造的缓冲区填充整个主线程堆栈；精心构造数据，覆盖SEH结构，最后缓冲区拷贝越界后，内存访问违规，触发shellcode。完毕。 2011-11-25 08:08 0
artake 雪币： 180 活跃值： (1313) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 120 粉丝 1 关注私信	artake 18 楼 ylbhz 请下载我的附件：飞秋POC代码.rar 进行测试。看了代码自然就明白了开始发现的时候我就感觉应该有人发现了，因为这个漏洞不难，但是没有人公布。 2011-11-25 11:38 0
luckyrayb 雪币： 6 活跃值： (39) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	luckyrayb 19 楼披露0day之前最好还是联系一下程序原作者,看能不能给个补丁,否则exploit的滥用只会葬送这款优秀的软件.(现在还没发现能够完全替代飞秋的局域网聊天工具,这么一搞大家只好回去用飞鸽啦) 2011-11-25 15:32 0
rvnctu 雪币： 176 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	rvnctu 20 楼呵呵，学习了，谢谢分享 2011-11-26 09:27 0
善良屠夫雪币： 201 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 159 粉丝 0 关注私信	善良屠夫 21 楼能不能把● 飞秋源代码也作为附件发布一下？ 2011-11-26 12:35 0
sagittar 雪币： 112 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	sagittar 22 楼 FeiQ漏洞不止一个，至少还有异常文件名传输漏洞、异常消息发送漏洞、多文件目录传输漏洞等等，均是远程溢出漏洞.... 有兴趣的可以拿来练练手另外，FeiQ好像已经停止更新了，作者已联系不到.... 相关网站应该已经被黑，而且应该被挂马啦......要漏洞报告的自己注意安全....呵呵 2011-11-26 16:44 0
artake 雪币： 180 活跃值： (1313) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 120 粉丝 1 关注私信	artake 23 楼想向sagittar大牛学习，不知道能否给个联系方式 2011-11-26 17:23 0
zuoyefeng 雪币： 237 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 124 粉丝 0 关注私信	zuoyefeng 24 楼还在用飞鸽的路过~~~~~~~ 2011-11-28 05:26 0
hardful 雪币： 80 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 32 粉丝 0 关注私信	hardful 25 楼留名,学习... 2011-11-28 06:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复