cve-2017-7269 C++利用实现

开个坑。写成完整的利用,做到能回弹稳定的shell。

阅读全文

CVE-2019-8014利用分析

空了补。
CVE-2019-8014 分析记录

环境

注意沙盒,最后调试shellcode的时候可以关掉。
POC获取
参考链接:https://xlab.tencent.com/cn/2019/09/12/deep-analysis-of-cve-2019-8014/
这篇文章上可以得到poc ,还可以漏洞成因的分析。所以不赘述
内存布局
在poc 的内容上,还需要添加一些代码。

阅读全文

xmm浮点寄存器特殊情况

Win 10 x64下的shellcode 在执行的时候,当遇到浮点浮点寄存器的操作:
movaps xmmword ptr [rsp+ xxx ],xmm
movaps xmmword ptr [rsp+ xxx ],xmm1
如下如:

这里如果执行失败,那么错误的关键就是 rsp+500h 的地址不能被 16 整除。
因此代码会崩溃在这里。
修复的关键就是,需要让 rsp+500h 的地址能够被 16整除。
我们最初提供的shellcode ,在编译器生成之后会出现如下的代码:

这是shellcode 最开始的部分,它执行了这几个Push 操作之后, rsp 的地址就不能被16整除了。所以,删点这几个push 操作,shellcode就正常了。
下图红框部分,就对应这几个push指令。删除即可。

阅读全文

ISS6 webdav(CVE-2017-7269) My analysis

==============
补充:利用这部分的分析有点问题。在寻找eip控制的位置时,栈溢出的数据实际上是覆盖了栈cookie的。
只是在返回前就控制了eip,覆盖栈cookie并不影响。

==============
环境:windows server 2003
装上IIS ,开启webdav

阅读全文

firefox数据结构

SpiderMonkey内部每个对象都与一个由一个JSClass对象组成的组相关联。该JSClass含有的元素ClassOps,其中包含函数指针控制属性的方式添加,删除等。如果我们能够劫持这个函数指针,然后执行代码是一个完成的工作。

JIT 利用过程:

阅读全文

x86 11707

这个洞在 32 位上利用简单的多,地址是Dword 不是Qword 就不用移位修复等乱七八糟的操作。
~~

阅读全文

2018-5146

CVE-2018-5146的分析,发到freebuf上了。

https://www.freebuf.com/vuls/210040.html

阅读全文

x64 11707

CVE-2019-11707 X64上利用分析
漏洞成因这里不做讲解,可以参考链接:https://xz.aliyun.com/t/6054。
主要记录利用的过程,要做到完美退出。

阅读全文

离开

我很喜欢兴华,我实习就在一直待了快2年了。我很爱那个地方。喜欢一起工作的同事,想念1409的时光。
虽然办公地方小,但是大家有说有笑,真的很好的氛围。感谢骆哥,带我进入安全这个圈子。真的,学到了很多东西。

最后还是选择了离开,希望未来的路不会后悔。

阅读全文

2019,新的开始

第一

2018这年终于翻过去了,2019来了。
这个年过得还算是安稳吧。

至少家里的事处理的差不多了。加油阿!

第二

捡漏的洞cve批下来了,希望未来能有其他收获。看看李哥,FoxitReader的CVE都是连号的。

阅读全文