http://honeyhan.cn/0day.htm

嗯，有图有假相。calc是键盘按出来的，不是IE溢出来的。

那个啥啥啥RMB 2,xxxx一份的，想必也是。

删一篇，补一篇。

这是第三次修改本blog。一提到驴霸，大家都兴奋了，全国人民都在搞啊，大家Fuzzing了几晚上估计都有点心得，不过还是老外嗅觉比较敏感：

http://www.cse.umich.edu/~jhalderm/pub/gd/

要不是昨天上两全看，烧某人还真不知道有驴霸这么个好东西。下面这个是一个Fuzzing工具修改的，仔细看了一下和后缀名还有点关系。这个结果直接Crash Eip=0x0d0d0d0d，还有些本来应该的结果，不过要右

烧土人自己装了一个XCode+ToolChain，又装了一个cygwin+ToolChain，又在iPhone上Cydia下载了全套开发包，又下载了不同的“安装好”的各种虚拟机，把以前在Linux下写的几个Exp拿来编译了一下，统统运行错误。惆怅的空闲Google了一下，发现存在相同问题的还有不少人，不过俺没有看懂解决方法，只好自己动手了。
以dirent这个结构来说，默认dirent.h定义可能和实际结果有点出入，举例来说，dirent这个定义是：

#define __DARWIN_MAXNAMLEN    

      最近外面公布了一个可利用的pdf/Acrobat溢出，触发比较简单，就是利用util.printf上的一小问题，直接覆盖啊覆盖啊，就把stack填满了。这里主要问题还是没有检查长度，在格式化字符输出的时候，用空格填充输出字符串的首部，因此触发后可以看到全部都是一片0x20202020。

      做个poc很简单，打开一个pdf，随便编辑一段可以触发的Java，输入下面的js，只要一句话：

util.printf("%5005f", 11.2);

[Toooooooooooooooooold]

也就是CVE-2007-0071，flash9x.ocx存在问题，版本一直影响到9.0.115。
漏洞本身很简单，Dowd的思考方向没有脱离大众，但关键在于相当牛逼的一系列利用技巧。具体的细节Dowd写了一篇很棒的paper，估计很多人看了，也有很多人做了。文章我仔细拜读了一次，但出于某些原因，没有去动手做出最后的成品，以后也不打算做，这个东西不是手把手说怎么触发利用的，而是一些关于那篇文章的勘误和另一些周边小问题的补充。

第一个障碍是swf文件格式，这个大概会花费你两到三个小时的时间。推荐下

这个的原文在http://www.ph4nt0m.org-a.googlepages.com/PSTZine0x010x03.txt，下面是补充。

1、估计也没有人真愿意动手去完成那一个变态的exp，简单说说思路。首先alphanumeric或者alphabetic编码的shellcode是简单的，关键telnet是一个字节一个字节send的，有些麻烦。这里由于daemon一次只能处理一个连接，所以首先telnet过去，什么都不作，然后再telnet过去，把可见字符编码的shellcode一

                     如果跳出一个计算器，那是一个玩笑，
                     如果什么都没跳出来，那是一个神经病。