经过一些弯弯绕绕，设置各种条件，终于到达想去的地方。

       今天上午发现一个比较隐蔽的整数溢出，刚才仔细看了程序流程能够到达。接下来是要构造数据看还有检测限制没有，完了就是写利用代码，不过看来是比较麻烦。估计验证完也暂时还不会写利用代码，先继续发现好利用的。

      一直想招聘点人员，但好的技术人员不太好找，现出题挑战招聘。

      挑战：

      其实ms08-067漏洞代码里面包含一个死循环，写出不要溢出获得控制的攻击代码（假设在硬件栈返回地址保护的条件下，就是返回地址有另一份不可覆盖的拷贝，过程返回的时候完全使用这个栈的数据），使得ms08-067漏洞的代码进入循环状态，要求win2k、winxp、win2k3、vista下稳定实现。

        攻破VISTA的GS、SAFESEH、DEP、ASLR溢出保护，本来想了另一方案的，看来不用。

        可惜了自己发现的好用的SEH、PEB指针等利用技术。不过微软虽然请了那么多安全专家，防护技术还是欠缺，因为很多安全理解还不对，包括现在提倡SDL的安全函数还是存在一些问题。主要是还没理解对安全本质，没有分清责任！什么时候主动承认数据库注入是自己的漏洞的时候也就搞清楚了。

        ms08-067漏洞真是典型呀，vista下面可以对抗GS、SAFESEH、DEP、ASLR ，目前微软的所有保护措施。其实只要你汇编功底到位，根本就没什么问题，也基本上没什么新东西，只是这个漏洞碰巧各种因数凑巧都汇集到一起了。曾经微软一个安全公告说只能拒绝服务，但分析后发现根本不是那么回事，成功写出稳定的利用。

        其实好多细节很多人不认为是漏洞，但很多细节累积起来往往就是漏洞或者稳定的利用方法。

        比如“RPC调用的ref指针地址泄露的问题”，其实02-03年开始研究rpc就发现这些问题了，还有好多东西烂在那里了。那时候系统研究了rpc的代码，也形成了利用代码的框架，现在看到有部分人的代码已经有点雏形了。包括微软对一些漏洞的防范措施其实都不能完全堵住漏洞的利用。

        分析ms08-067的漏洞，要想写出“好”的利用还是需要下点功夫的。大胆估计ms08-067的漏洞是因为使用者代码不兼容导致溢出后弹出错误报告，微软得到报告分析出来的。

        八卦一下以后写0day利用的“天朝”工作者要有一个新的任务，在现在“和谐”的环境下，就是要写“和谐”的完美的利用程序。要求：兼容、稳定、可重复。

        现在内核研究又热门了，贴一个02年公布的内核堆溢出提权的代码。因为写利用的时候应该是01年，当时还没有出现堆溢出的研究，更别说内核了，为了调试此程序，是死机无数次。还有发现VC环境下死机后.c代码很可能会成乱码，后来调试的时候都只好把VC先关了。

       提权是利用的找到system进程的token，替换要提权进程的token，这个现在大家几乎都用的这个。但获取控制是利用的堆的一个写

堆溢出的研究

作者：袁哥 <mailto:yuange@nsfocus.com>
主页：http://www.nsfocus.com
日期：2002-09-16

实在无聊，贴点新东西，不过最后一点做了处理。程序代码嘛，就不能帖了。其实堆溢出同样是需要解决溢出的三要点，溢出点确定，定位shellcode，跳转到shellcode。UNIX版下面的《高级format string exploit技术P59-0x07(上)》 http://bbs.nsfocus.com/index.php?act=ST&f=2&t=137798

http://www.nsfocus.net/index.php?act=magazine&do=view&mid=682

利用结构异常绕过溢出保护攻击

作者：yuange < mailto: yuange@nsfocus.com>
主页：http://www.nsfocus.com
日期：2000-11-04




　　像溢出攻击，虽然已经是发展了那么多年了，但其shellcode编写也差不多是那么
一个模式。写出汇编，编译，得到二进制代码，

       有时候没有测试环境,我们就需要盲调。其实盲调也没有什么复杂的，因为本来调试程序就是根据调试环境获取的被调试程序信息,跟踪修改程序的一个过程，而盲调也是同样的一个过程，只不过盲调我们获取的被调试信息少一点甚至需要我们自己去想办法获取被调试程序信息罢了。

       如果能观察到被调试系统，比较管用的一个盲调办法就是代码里面设置死循环。如果被观察系统的CPU利用率100%或者很高，就可能是执行到我们的死循环了。如果被调试