大风 - axis#ph4nt0m

2007年02月13日

我已经受够了donews的破blog了，现在全面转移

我的新blog在

http://my.opera.com/ph4nt0m

幻影的官方blog在

http://my.opera.com/pstgroup

目前可以通过

http://blog.ph4nt0m.org 访问

由于现在非常时期，所以

http://www.ph4nt0m.org 也指向这里

幻影原来的论坛会在以后某个时候恢复，到时候www的域名会指回去

归类于：职业生涯 — axis @ 2:20 pm 评论(2)

2007年02月09日

幻影再次被DDOS

目前论坛转入地下。

关心幻影和热爱安全事业的人可以订阅幻影的邮件列表，今后很多讨论将在邮件列表中进行。

由于条件有限，只能在网上申请了一个免费的邮件列表，有些不便之处，勿怪！

需要的人可以密我

归类于：职业生涯 — axis @ 5:49 pm 评论(93)

多事之秋,我只想独善其身,请不要再惹我

请让我过个好年，谢谢！

春节后会有QQ Advisory公布，谢谢！

我也不是牛人，只是一时说的气话，小子不知天高地厚，谢谢！

归类于：职业生涯 — axis @ 3:25 pm 评论(7)

2007年02月07日

年度Review

今天做了年度review，年终奖也下来了，并没达到自己的期望。

也不知道自己的价值到底在哪里体现，自己感觉在现在的年龄跟我一样的人中，也许国内没有几个比我强了，厚颜一下。当然，我是说同龄人，圈子还要划在国内，前辈们就不比了，自己心虚一下，呵呵，骂自己声不要脸。也许seal说的对，甲方并不需要安全研究员，也不明白研究员的价值，一个好的网管，对甲方来说，会更重要。

希望2007能够不再郁闷，能够不再过着窘迫的生活。

也希望我和GF的感情能越来越好！我会一直努力！

归类于： Ultimate Hacking — axis @ 7:33 pm 评论(13)

2007年02月06日

春日记事

没什么好写的，上来记点流水帐。

终于快要到春节了，期待已久的假期啊！

漏洞调啊调，每天都忙的晕头转向，不过挺喜欢这种生活的。

只是在这种忙碌的日子中，可能对gf少了些许关怀，请原谅我，以后我一定会注意的，会让你开心，让你快乐！

最近看漏洞的眼光越来越奇怪，觉得每一个都很经典，看来有的忙了。

透漏一点，最近对heap spray的研究比较有兴趣：）

春天气温回升，好现象。太阳晒的人真的很舒服

回家无事就玩了下子 SAN11PK

说到“无事”，最近结识了team509的无事兄，对IM漏洞挖掘方面有较深的造诣，已经被我邀请到幻影exploit研究院了，窃笑一番！

另外最近幻影好象被个kids 玩ddos，也不想去揣测这用心了，反正什么人都有，正好利用这个机会由明转暗。幻影的论坛是水越来越多了，停段时间也好，省的看了心烦。而幻影真正的力量，是不依赖论坛的，比如说核心群，和exploit研究院。

归类于：职业生涯 — axis @ 11:56 am 评论(6)

2007年01月25日

真tmd爽啊，发现了一个大vul

客户端的，发文纪念一下，还要继续努力啊！

机会总是给有准备的人，感慨呀！

“她”就在那里，只是等着我去发现罢了！！

归类于： Ultimate Hacking — axis @ 2:02 am 评论(4)

2007年01月19日

感叹一下网上的习气之恶俗

看下面:

看看这个点击量的差异，可惜让真正的金子埋藏了，呵呵。

今天在luoluo和云舒的研究基础上，写出了很通用的exp，效果非常好。

继续努力，研究还没有全部完成。

归类于： Ultimate Hacking — axis @ 4:05 pm 评论(6)

2007年01月18日

这个破blog,发带格式的就出错，改发连接了![原创]MS07-004 VML整数溢出漏洞分析

这个blog太破了，文本编辑器超级不好用，我要贴代码都没有高亮，客户体验极其不好。

程序也写的极其烂，经常一个保存就要出错，害我每次写完都要先copy一份到草稿上，免得被这个烂程序搞没了。

哪里有提供blog搬家的吗？就是舍不得这点数据。

扯远了，我写个小paper放在幻影，分析这个漏洞

http://www.ph4nt0m.org/doc/20070117160207.doc

修改了一下后，成功率和通用性基本不是问题了。

比较复杂的是要不挂ie

有几个思路：

1。让ie僵死

2。动态恢复栈平衡

3。重新分配堆

要达到好的效果比较麻烦，又是一堆shellcode调试，而且又不是0day，就不搞完美版本了。

归类于： Ultimate Hacking — axis @ 5:40 pm 评论(10)

2007年01月15日

Imail漏洞review-1

今天心神一动，突然想看看以前的imail漏洞，因为毕竟从8.2开始就有/GS保护了，但是覆盖seh的方法应该还是可以利用。

而网上的方法都是覆盖返回地址的，包括我写的那个，所以抽了一上午好好的review了一次

先是那个RCPT TO的漏洞，因为这个漏洞最新，影响范围最广。

然后好好跟了下后，很失望的发现，根本覆盖不到SEH

SEH在 [EBP + 1d1ch] 处，而这个拷贝是从另外一个内存空间拷过来的，在覆盖之前，就因为发送的字符太多，而异常了。

虽然在lstrcpyA 之后，还有一个地方是 wsprintfA 也做了一次拷贝，不过在之前有进行长度判断，比较长度是否大于 0xBE ，如果大，就太监掉，所以后面的wsprintfA是安全的。

失望之际，看了一下IMAP的LOGIN漏洞，这个漏洞有两个，一个是 wsprintfA ，另外一个是GetImailHostEntry

这个漏洞一直到 imail 8.22 以前的版本都受影响

看OD

Codz:

 
0037FF25    8B85 ECFDFFFF   MOV EAX,DWORD PTR SS:[EBP-214]           ; IMailsec.003B4520 
0037FF2B    0FBE08          MOVSX ECX,BYTE PTR DS:[EAX] 
0037FF2E    51              PUSH ECX 
0037FF2F    8B55 10         MOV EDX,DWORD PTR SS:[EBP+10] 
0037FF32    52              PUSH EDX 
0037FF33    E8 882F0000     CALL IMailsec.00382EC0 
0037FF38    83C4 08         ADD ESP,8 
0037FF3B    8985 F0FDFFFF   MOV DWORD PTR SS:[EBP-210],EAX 
0037FF41    83BD F0FDFFFF 0>CMP DWORD PTR SS:[EBP-210],0 
0037FF48    74 57           JE SHORT IMailsec.0037FFA1 
0037FF4A    8B85 F0FDFFFF   MOV EAX,DWORD PTR SS:[EBP-210] 
0037FF50    83C0 01         ADD EAX,1 
0037FF53    8985 F0FDFFFF   MOV DWORD PTR SS:[EBP-210],EAX 
0037FF59    8B8D F0FDFFFF   MOV ECX,DWORD PTR SS:[EBP-210] 
0037FF5F    51              PUSH ECX 
0037FF60    8B15 9C473B00   MOV EDX,DWORD PTR DS:[3B479C]            ; IMailsec.003B4770 
0037FF66    52              PUSH EDX 
0037FF67    8D85 F8FDFFFF   LEA EAX,DWORD PTR SS:[EBP-208] 
0037FF6D    50              PUSH EAX 
0037FF6E    FF15 30B43A00   CALL DWORD PTR DS:[<&USER32.wsprintfA>]  ; USER32.wsprintfA        ;溢出
0037FF74    83C4 0C         ADD ESP,0C 
0037FF77    8B8D F0FDFFFF   MOV ECX,DWORD PTR SS:[EBP-210] 
0037FF7D    51              PUSH ECX 
0037FF7E    8B55 0C         MOV EDX,DWORD PTR SS:[EBP+C] 
0037FF81    52              PUSH EDX 
0037FF82    E8 4960FFFF     CALL IMailsec.GetIMailHostEntry;溢出