http://my.opera.com/ph4nt0m

幻影的官方blog在

http://my.opera.com/pstgroup

目前可以通过

http://blog.ph4nt0m.org  访问

由于现在非常时期，所以

http://www.ph4nt0m.org   也指向这里

幻影原来的论坛会在以后某个时候恢复，到时候www的域名会指回去

关心幻影和热爱安全事业的人可以订阅幻影的邮件列表，今后很多讨论将在邮件列表中进行。

由于条件有限，只能在网上申请了一个免费的邮件列表，有些不便之处，勿怪！

需要的人可以密我

春节后会有QQ Advisory公布，谢谢！

我也不是牛人，只是一时说的气话，小子不知天高地厚，谢谢！

也不知道自己的价值到底在哪里体现，自己感觉在现在的年龄跟我一样的人中，也许国内没有几个比我强了，厚颜一下。当然，我是说同龄人，圈子还要划在国内，前辈们就不比了，自己心虚一下，呵呵，骂自己声不要脸。也许seal说的对，甲方并不需要安全研究员，也不明白研究员的价值，一个好的网管，对甲方来说，会更重要。

希望2007能够不再郁闷，能够不再过着窘迫的生活。

也希望我和GF的感情能越来越好！我会一直努力！

终于快要到春节了，期待已久的假期啊！

漏洞调啊调，每天都忙的晕头转向，不过挺喜欢这种生活的。

只是在这种忙碌的日子中，可能对gf少了些许关怀，请原谅我，以后我一定会注意的，会让你开心，让你快乐！

最近看漏洞的眼光越来越奇怪，觉得每一个都很经典，看来有的忙了。

透漏一点，最近对heap spray的研究比较有兴趣     ：）

春天气温回升，好现象。太阳晒的人真的很舒服 

回家无事就玩了下子 SAN11PK

说到“无事”，最近结识了team509的无事兄，对IM漏洞挖掘方面有较深的造诣，已经被我邀请到 幻影exploit研究院了，窃笑一番！

另外最近幻影好象被个kids 玩ddos，也不想去揣测这用心了，反正什么人都有，正好利用这个机会由明转暗。幻影的论坛是水越来越多了，停段时间也好，省的看了心烦。而幻影真正的力量，是不依赖论坛的，比如说核心群，和exploit研究院。

机会总是给有准备的人，感慨呀！

“她”就在那里，只是等着我去发现罢了！！

看看这个点击量的差异，可惜让真正的金子埋藏了，呵呵。

今天在luoluo和云舒的研究基础上，写出了很通用的exp，效果非常好。

继续努力，研究还没有全部完成。

而网上的方法都是覆盖返回地址的，包括我写的那个，所以抽了一上午好好的review了一次

先是那个RCPT TO的漏洞，因为这个漏洞最新，影响范围最广。

然后好好跟了下后，很失望的发现，根本覆盖不到SEH

SEH在 [EBP + 1d1ch] 处，而这个拷贝是从另外一个内存空间拷过来的，在覆盖之前，就因为发送的字符太多，而异常了。

虽然在lstrcpyA 之后，还有一个地方是 wsprintfA  也做了一次拷贝，不过在之前有进行长度判断，比较长度是否大于 0xBE ， 如果大，就太监掉，所以后面的wsprintfA是安全的。

失望之际，看了一下IMAP的LOGIN漏洞，这个漏洞有两个，一个是 wsprintfA ，另外一个是GetImailHostEntry

这个漏洞一直到 imail 8.22 以前的版本都受影响

看OD

Codz:

网上有篇文章是利用的第二个漏洞，看起来好象极其复杂，不知道他为什么要舍易求难，其实第一个wsprintfA的漏洞非常好，也可以覆盖到seh

那么说,理论上是可以在2003 sp1上利用的，不过这个跳转地址的opcode不能在堆，不能在系统dll，不能在语言区，只能在可加载模块里。

不过非常郁闷的是，我最后并没有找到这样一个满足所有条件的地址，因为还要求是可见字符，因为是要写到一个目录里去

wsprintfA([ebp - 208h] , Soft\..\%s\.. , AAAAAA…);

同时要求pop/pop/ret

所以只好惋惜的归结为rpwt了

PS: 这个函数里全是漏洞，满目创痍啊！