2007年02月13日

我的新blog在

http://my.opera.com/ph4nt0m

幻影的官方blog在

http://my.opera.com/pstgroup

目前可以通过

http://blog.ph4nt0m.org  访问

由于现在非常时期,所以

http://www.ph4nt0m.org   也指向这里

幻影原来的论坛会在以后某个时候恢复,到时候www的域名会指回去

2007年02月09日

目前论坛转入地下。

关心幻影和热爱安全事业的人可以订阅幻影的邮件列表,今后很多讨论将在邮件列表中进行。

由于条件有限,只能在网上申请了一个免费的邮件列表,有些不便之处,勿怪!

需要的人可以密我

请让我过个好年,谢谢!

春节后会有QQ Advisory公布,谢谢!

我也不是牛人,只是一时说的气话,小子不知天高地厚,谢谢!

2007年02月07日

今天做了年度review,年终奖也下来了,并没达到自己的期望。

也不知道自己的价值到底在哪里体现,自己感觉在现在的年龄跟我一样的人中,也许国内没有几个比我强了,厚颜一下。当然,我是说同龄人,圈子还要划在国内,前辈们就不比了,自己心虚一下,呵呵,骂自己声不要脸。也许seal说的对,甲方并不需要安全研究员,也不明白研究员的价值,一个好的网管,对甲方来说,会更重要。

希望2007能够不再郁闷,能够不再过着窘迫的生活。

也希望我和GF的感情能越来越好!我会一直努力!

2007年02月06日

没什么好写的,上来记点流水帐。

终于快要到春节了,期待已久的假期啊!

漏洞调啊调,每天都忙的晕头转向,不过挺喜欢这种生活的。

只是在这种忙碌的日子中,可能对gf少了些许关怀,请原谅我,以后我一定会注意的,会让你开心,让你快乐!

最近看漏洞的眼光越来越奇怪,觉得每一个都很经典,看来有的忙了。

透漏一点,最近对heap spray的研究比较有兴趣     :)

春天气温回升,好现象。太阳晒的人真的很舒服 

回家无事就玩了下子 SAN11PK

说到“无事”,最近结识了team509的无事兄,对IM漏洞挖掘方面有较深的造诣,已经被我邀请到 幻影exploit研究院了,窃笑一番!

另外最近幻影好象被个kids 玩ddos,也不想去揣测这用心了,反正什么人都有,正好利用这个机会由明转暗。幻影的论坛是水越来越多了,停段时间也好,省的看了心烦。而幻影真正的力量,是不依赖论坛的,比如说核心群,和exploit研究院。

2007年01月25日

客户端的,发文纪念一下,还要继续努力啊!

机会总是给有准备的人,感慨呀!

“她”就在那里,只是等着我去发现罢了!!

2007年01月19日

看下面:

看看这个点击量的差异,可惜让真正的金子埋藏了,呵呵。

今天在luoluo和云舒的研究基础上,写出了很通用的exp,效果非常好。

继续努力,研究还没有全部完成。

2007年01月18日

这个blog太破了,文本编辑器超级不好用,我要贴代码都没有高亮,客户体验极其不好。

 

程序也写的极其烂,经常一个保存就要出错,害我每次写完都要先copy一份到草稿上,免得被这个烂程序搞没了。

 

哪里有提供blog搬家的吗?就是舍不得这点数据。

 

 

 

扯远了,我写个小paper放在幻影,分析这个漏洞

 

http://www.ph4nt0m.org/doc/20070117160207.doc

 

修改了一下后,成功率和通用性基本不是问题了。

 

比较复杂的是要不挂ie

 

有几个思路:

1。让ie僵死

2。动态恢复栈平衡

3。重新分配堆

 

要达到好的效果比较麻烦,又是一堆shellcode调试,而且又不是0day,就不搞完美版本了。

 

2007年01月15日

今天心神一动,突然想看看以前的imail漏洞,因为毕竟从8.2开始就有/GS保护了,但是覆盖seh的方法应该还是可以利用。

而网上的方法都是覆盖返回地址的,包括我写的那个,所以抽了一上午好好的review了一次

先是那个RCPT TO的漏洞,因为这个漏洞最新,影响范围最广。

然后好好跟了下后,很失望的发现,根本覆盖不到SEH

SEH在 [EBP + 1d1ch] 处,而这个拷贝是从另外一个内存空间拷过来的,在覆盖之前,就因为发送的字符太多,而异常了。

虽然在lstrcpyA 之后,还有一个地方是 wsprintfA  也做了一次拷贝,不过在之前有进行长度判断,比较长度是否大于 0xBE , 如果大,就太监掉,所以后面的wsprintfA是安全的。

失望之际,看了一下IMAP的LOGIN漏洞,这个漏洞有两个,一个是 wsprintfA ,另外一个是GetImailHostEntry

这个漏洞一直到 imail 8.22 以前的版本都受影响

看OD

Codz:


0037FF25    8B85 ECFDFFFF   MOV EAX
,DWORD PTR SS:[EBP-214]           ; IMailsec.003B4520
0037FF2B    0FBE08          MOVSX ECX
,BYTE PTR DS:[EAX]
0037FF2E    51              PUSH ECX
0037FF2F    8B55 10         MOV EDX
,DWORD PTR SS:[EBP+10]
0037FF32    52              PUSH EDX
0037FF33    E8 882F0000     CALL IMailsec.00382EC0
0037FF38    83C4 08         ADD ESP
,8
0037FF3B    8985 F0FDFFFF   MOV DWORD PTR SS
:[EBP-210],EAX
0037FF41    83BD F0FDFFFF 0
>CMP DWORD PTR SS:[EBP-210],0
0037FF48    74 57           JE SHORT IMailsec.0037FFA1
0037FF4A    8B85 F0FDFFFF   MOV EAX
,DWORD PTR SS:[EBP-210]
0037FF50    83C0 01         ADD EAX,1
0037FF53    8985 F0FDFFFF   MOV DWORD PTR SS
:[EBP-210],EAX
0037FF59    8B8D F0FDFFFF   MOV ECX
,DWORD PTR SS:[EBP-210]
0037FF5F    51              PUSH ECX
0037FF60    8B15 9C473B00   MOV EDX
,DWORD PTR DS:[3B479C]            ; IMailsec.003B4770
0037FF66    52              PUSH EDX
0037FF67    8D85 F8FDFFFF   LEA EAX
,DWORD PTR SS:[EBP-208]
0037FF6D    50              PUSH EAX
0037FF6E    FF15 30B43A00   CALL DWORD PTR DS
:[<&USER32.wsprintfA>]  ; USER32.wsprintfA        ;溢出
0037FF74    83C4 0C         ADD ESP
,0C
0037FF77    8B8D F0FDFFFF   MOV ECX
,DWORD PTR SS:[EBP-210]
0037FF7D    51              PUSH ECX
0037FF7E    8B55 0C         MOV EDX
,DWORD PTR SS:[EBP+C]
0037FF81    52              PUSH EDX
0037FF82    E8 4960FFFF     CALL IMailsec
.GetIMailHostEntry;溢出

网上有篇文章是利用的第二个漏洞,看起来好象极其复杂,不知道他为什么要舍易求难,其实第一个wsprintfA的漏洞非常好,也可以覆盖到seh

那么说,理论上是可以在2003 sp1上利用的,不过这个跳转地址的opcode不能在堆,不能在系统dll,不能在语言区,只能在可加载模块里。

不过非常郁闷的是,我最后并没有找到这样一个满足所有条件的地址,因为还要求是可见字符,因为是要写到一个目录里去

wsprintfA([ebp - 208h] , Soft\..\%s\.. , AAAAAA…);

同时要求pop/pop/ret

所以只好惋惜的归结为rpwt了

PS: 这个函数里全是漏洞,满目创痍啊!

2007年01月11日

原文连接

http://www.j8hacker.com/SrcShow.asp?Src_ID=124

我在幻影发的回复声明:

http://www.ph4nt0m.org/bbs/showthread.php?s=&threadid=36194

作者 内容  加入收藏夹

幻影旅团团长
幻影旅团团长

来自: ※AA不许你改头衔※
金钱:15147
发帖数: 4016

注册日期: 2002-05-10

刺 目前在线

No.1 关于QQ 0day和网上的评论

今天看到网上有人这么评论

http://www.hacker.com.cn/newbbs/pri…ID=18&ID=104892

我想说明几点:首先,这个0day已经在地下流传1年多了,而我没有说自己是第一个发现的,只是说在之前我发现过,因为我不是第一个发现这个漏洞的人,这个漏洞早就被广泛利用了。

其次,关于为什么要公布这个0day的利用代码,原因有两个,第一,0day被补掉了,心里很不爽,第二,QQ轻描淡写的升级,让我不爽,虽然我知道如果我站在QQ的角度,我可能也会这样。

至于为什么是两天后,是因为我两天后才从网友处得知漏洞补掉了。

关于0day,地下的潜规则我就不多说了,用来干什么大家也都心里有数,但也不是那些外行人所能臆测的。

我不是在乙方工作,我的所有研究成果,很少有公司可以约束到我,都是属于我个人的。

. . . . . . . . . . . . . . . . . .

Old Post 2007-01-11 09:39 AM
点这里查看 刺 的个人资料 点这里给 刺 发送一条悄悄话 点这里给 刺 发送Email 访问 刺 的主页! 查找 刺 的更多帖子 将 刺 添加到你的好友列表 刺 的QQ号码:5279239 编辑/删除 引用/回复

幻影旅团团长
幻影旅团团长

来自: ※AA不许你改头衔※
金钱:15147
发帖数: 4016

注册日期: 2002-05-10

刺 目前在线

No.2

再补充一下,幻影不需要通过这种方式炫耀技术,写这种IE activex的exp,也根本没什么技术含量。

如果我要靠这个来炫耀自己的技术,是对自己智慧的侮辱!

. . . . . . . . . . . . . . . . . .