<![CDATA[轩辕小聪的blog]]> http://hi.baidu.com http://hi.baidu.com http://img.baidu.com/img/logo-hi.gif http://hi.baidu.com/yicong2007 zh-cn www.baidu.com 5 <![CDATA[MPEG-2 0day续:一个&引发的漏洞]]> http://bbs.pediy.com/showthread.php?t=92912帖子发出后,得到了MJ0011和云砉生等人的指正,特别是最后弄清楚了这个漏洞产生的原因:代码编写者犯了一个程序员经常犯的错误(感谢云砉生指出这一点),即将保存缓冲区指针的堆栈地址当成缓冲区指针本身传入(将传入参数buff误写为&buff),从而导致了溢出。

弄清楚了原因,漏洞补丁就很简单了,正如pshpan的blog中提到的方法:

.text:59

阅读全文
类别:默认分类 查看评论]]> 2009-07-07 00:09 http://hi.baidu.com/yicong2007/blog/item/74d99f82f78d0a99f703a600.html <![CDATA[MPEG-2 0day:缓冲区溢出覆盖SEH]]> 考完一个期末考回来,发现自己很多事情火星了。昨晚jun跟我说起最近出了个MPEG-2 0day的洞。Google一搜索,果然一大把新闻。于是在新闻里提到的被挂马网页中找了一个,实机触发了一下这个漏洞。搞着搞着越搞越上瘾,把这个玩意的来龙去脉粗略搞清了,结果通宵了

blog里字数限制太烦人,等以后有空再全文搬上来,先给个看雪帖子链接:

http://bbs.pediy.com/showthread.php?t=92912

我在看雪

阅读全文
类别:默认分类 查看评论]]> 2009-07-06 06:17 http://hi.baidu.com/yicong2007/blog/item/15f07209c5c14dc63ac763b7.html <![CDATA[WinMount 2.2.2 蓝了]]> 本本上装的WinMount在把一个有密码的压缩包Mount到新驱动器的时候,我输完密码按确定之后,BSOD了。搞得我深夜分析dump。

dump加载后windbg产生的信息摘要:

DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: ff116000, me

阅读全文
类别:默认分类 查看评论]]> 2009-05-16 05:36 http://hi.baidu.com/yicong2007/blog/item/e11aa61c6169198386d6b624.html <![CDATA[金山客服内部考试题22,你会不会做错?]]> 原帖http://bbs.duba.net/viewthread.php?tid=22035421,25楼回复

在铁军blog上看到这一系列金山客服内部考试题,其中这一题,我认为大家比较容易犯错。

以下哪个修改过的userinit键值的数据会导致用户开机反复注销
A.%systemroot%\system32\userinit.exe
B.userinit.exe
C.c:\windows\system32\userinit.exe,virus.exe
D.c:\windows\system32\userinit.exe

答案是A。这是一个极具迷惑性的题目。迷惑项目主要是C。因为一般

阅读全文
类别:默认分类 查看评论]]> 2009-04-01 21:00 http://hi.baidu.com/yicong2007/blog/item/d3cf5f90b4483d85a877a446.html <![CDATA[Conficker的运行检测条件]]> 剑盟原帖http://bbs.janmeng.com/viewthread.php?tid=856992&extra=page%3D1,第5楼回复
hmily发了一个Conficker,为了便于会员测试修改了可能影响的跳转。
未修改时:
0041B6A4     8D45 F0        

阅读全文
类别:默认分类 查看评论]]> 2009-04-01 20:10 http://hi.baidu.com/yicong2007/blog/item/44bd9ed4fc3bc909a18bb79a.html <![CDATA[MS09-002,刚刚触发了一下(二)]]> 前面已经知道call进shellcode的代码位于mshtml!CFunctionPointer::PrivateAddRef

用IDA加载mshtml.dll,找到mshtml!CFunctionPointer::PrivateAddRef函数:
.text:42AF7811 public: virtual unsigned long __stdcall CFunctionPointer::PrivateAddRef(void) proc near
.text:42AF7811                                   

阅读全文
类别:默认分类 查看评论]]> 2009-02-21 22:57 http://hi.baidu.com/yicong2007/blog/item/69816df078065cc47831aa63.html <![CDATA[MS09-002,刚刚触发了一下……]]> 在有漏洞的系统中(或者你主动先把补丁给卸载了)要把对shellcode的调用拦截住很简单。

找个实际的漏洞利用网页,把其中的shellcode的声明语句中的shellcode的内容前面加上"%uCCCC%uCCCC%uCCCC",也就是加上几字节int 3代码。保存网页。如果找不到实际的网页,直接上milw0rm把那个示例扒下来就行。

用IE7打开网页,允许ActiveX对象的执行。当IE7进到shellcode开头的时候会触发其中一个int 3断点(说“其中一个”是因为这个有“或然性”,因为不是直接call进shellcode开头,而是call

阅读全文
类别:默认分类 查看评论]]> 2009-02-21 22:14 http://hi.baidu.com/yicong2007/blog/item/d3cf5f906b0c808aa977a482.html <![CDATA[【原创】IE7 0DAY漏洞所用shellcode的分析(五)]]> Get_EnumWindows:

0040742B >   E8 7EFEFFFF     call     <GetUser32>                                
00407430     68 1A7A1E02    

阅读全文
类别:默认分类 查看评论]]> 2008-12-13 00:55 http://hi.baidu.com/yicong2007/blog/item/fdc4254ec6b6cacdd0c86a1b.html <![CDATA[【原创】IE7 0DAY漏洞所用shellcode的分析(四)]]> Get_VirtualProtect:
; 得到VirtualProtect地址,方法是得到kernel32.dll基址后再遍历输出表。

00407327 >   E8 AB010000     call     <Getkernel32>
0040732C     68 1BC64679     push     7946C61B
00407331   

阅读全文
类别:默认分类 查看评论]]> 2008-12-13 00:52 http://hi.baidu.com/yicong2007/blog/item/a900d6fd04abcd42d7887d1a.html <![CDATA[【原创】IE7 0DAY漏洞所用shellcode的分析(三)]]> GetEnumProcAddress:
; 返回EnumWindows的回调函数的地址
004071EE > /EB 02           jmp     short 004071F2
004071F0   |58              pop    阅读全文
类别:默认分类 查看评论]]> 2008-12-13 00:52 http://hi.baidu.com/yicong2007/blog/item/b79a434e42f08e0eb2de051a.html