PoDoFo 0.9.5 NULL pointer dereference

Apr 21 2017 2 minutes read (About 365 words)

PoDoFo 0.9.5 function TextExtractor::ExtractText in TextExtractor.cpp:77 cause a NULL pointer dereference Analyzer code from https://sourceforge.net/p/podofo/code/HEAD/tree/podofo/trunk/ (2017-04-09) compile: 129 and run it: 130 Crash Info 131 analysis and the Process is easy, When use podofotxt

jbig2dec-vul

Apr 20 2017 4 minutes read (About 609 words)

两个jbig2dec漏洞 fuzzing by afl jbig2dec heap buffer overflow in function jbig2_decode_symbol_dict 148 CVE-2017-7885 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7885 jbig2dec-0.13 Integer Overflow in function jbig2_image_compose 149 CVE-2017-7976 https://cve.mitre.org/cgi-bin/cvename.cgi?n

pwntools 介绍

Apr 18 2017 4 minutes read (About 604 words)

参考多篇blog的一个总结与测试 pwntools pwntools 是一款专门用于CTF Exploit的python库，能够很方便的进行本地与远程利用的切换，并且里面包含多个模块，使利用变得简单。可以在github上直接搜索pwntools 进行安装。基本模块 asm : 汇编与反汇编，支持x86/x64/arm/mips/powerpc等基本上所有的主流平台 dynelf : 用于远程符号泄漏，需要提供leak方法 elf : 对elf文件进行操作，可以获取elf文件中的PLT条目和GOT条目信息 gdb : 配合gdb进行调试，设置断点之后便能够在运行过程中直接调用GDB断下，

gdb command

Apr 14 2017 a minute read (About 144 words)

gdb 命令条件断点 156 查看内存 157 参考：http://blog.chinaunix.net/uid-22889415-id-3045933.html 输出信息到文件 158

浏览器基础

Apr 7 2017 a minute read (About 168 words)

浏览器内核类型浏览器整体解析过程 URL请求返回请求数据调用渲染引擎解析产生DOM树加上样式信息产生渲染树绘制浏览器测试过程中的几类bug 空指针 0x00000000 ~ 0x0000ffff 这部分内存属于系统部分，不能被访问栈溢出这类栈溢出因为多层递归或者死循环之类的导致栈耗尽异常代码(0xc0000fd) 栈缓冲区溢出这类为正常的溢出问题异常代码(0xc000409) 除0 异常代码(0xc0000094) 内存占用过大申请内存过大参考白帽子讲浏览器安全

CVE-2017-7269 IIS6.0 WebDAV 溢出分析

Mar 29 2017 vuls 12 minutes read (About 1739 words)

基本信息该漏洞出现在 IIS 6.0 的WebDAV服务上，经过分析确定是在httpext.dll中进行处理，其中PoC以及相关的出错函数也已经给出，在ScStoragePathFromUrl中，大致看一下该函数，就是将传入的URL存储。最后的一个memcpy将最终导致覆盖到虚表指针导致任意代码执行。附加的是w3wp.exe @Keoyo_k0shl 参考：https://www.seebug.org/vuldb/ssvid-92834 环境： Win server 2003 sp2 IIS 6.0 开启 WebDAV 断点进入(关键断点位置) 50 第一次命中 edx 作为参

CVE-2016-9899 分析与利用

Mar 27 2017 vuls 5 minutes read (About 771 words)

UAF 元素创建分配了多大内存, 一般静态分析（用于后面的占位）元素释放重用 1. 一般来说开启hpa ust能够追踪到异常内存的创建，释放重用过程 2. 直接断点所有创建的元素与后面重用的元素对象的地址来判断是那个对象的UAF crash info 0 1 create https://github.com/jostw/gecko 确定元素创建的函数 2 核心函数 ur继续查看反汇编代码 uf查看整个函数反汇编代码 ub以该地址为结束地址第一个 3 第二个 4 找到对应汇编函数偏移设置断点确定为第二个地址偏小的一个 5 运行后拿到信息

VUzzer

Mar 17 2017 a few seconds read (About 0 words)

CVE-2013-2551分析

Mar 10 2017 vuls 3 minutes read (About 436 words)

调试前分析用的PoC来自于泉哥的漏洞战争一书。PoC见文章最后。跟着PoC走一遍，crashme函数中基本都是在对v:stroke在进行处理，包括对其dashstyle属性的操作，Google一下v:stroke msdn，该部分属于VML（矢量标记语言），类似于IE中的画笔，绘制图形之类的。环境 win7 sp1 32 IE8 8.0.7601.17514IS 在已经装了IE11的机器上卸载更新达到IE8后，表示无法触发Crash（建议使用一个纯IE测试）分析其实这个PoC已经能够很明显控制到EIP了， 21 发现是在访问edx+70h时出现错误，而edx+70h = 4b5f

HeapAlloc 由HeapAlloc看内存堆块的分配过程

Feb 25 2017 11 minutes read (About 1708 words)

调试环境 Win7 32bit Windbg IDA Pro 调试代码准备跟进HeapAlloc看看内存的分配过程。对应的代码如下 64 因为分配过程比较复杂，涉及到多种可能情形，因此按照上述一个简单的程序以此跟进。简单看一下这个程序，先创建一个私有堆，大小为0xfff，不可扩展，然后尝试申请一个大堆块，观察分配过程。 HeapCreate申请最大大小为0xfff，按照分配的必须是一个页的整数倍，因此扩展为一个普通页(0x1000) 4KB. 65 调用ntdll!RtlAllocateHeap(HANDLE HeapHandle, ULONG Flags, ULONG Size) 会

Your browser is out-of-date!