#vuls

vuls 12 minutes read (About 1831 words)
基本信息 * SVG相关漏洞 * 发现者:ifratric (Project Zero) PoC 37 feConvolveMatrix是SVG的一个滤镜元素,设置滤镜的一些效果。filter标签用来定义滤镜 图形元素对滤镜的引用,给图形添加滤镜 38 出错的点在于feConvolveMatrix元素中的kernelUnitLength属性值的处理。 kernelUnitLength in W3C: The first number is the value. The second number is the value. A negative or zero value is

Read More

vuls 19 minutes read (About 2886 words)
这个漏洞是在5.30号正式公布的,国内有很多文章有关于该漏洞的预警,也就是介绍下影响范围,版本之类的信息,而且基本都是一份的各种转载。在freebuf上有一个比较详细的介绍,但是也主要是以翻译为主,并未讲的很透彻。 http://www.freebuf.com/vuls/136156.html 因此准备对这个漏洞进行分析,并依据github上公布的PoC对该漏洞复现。 主要解决两个问题: 1. 造成该漏洞的原因是什么? 补丁如何修补 2. 利用该漏洞能够达到怎样的效果 漏洞成因与补丁修复 原因是在Linux执行sudo操作的时候,需要获取进程的tty设备号,而获取的地方是在/proc

Read More

vuls 6 minutes read (About 963 words)
nginx 提权漏洞 只是一个复现的过程,环境搭建。具体分析见创宇的一篇文章,写的很详细。 http://blog.knownsec.com/2016/11/nginx-exploit-deb-root-privesc-cve-2016-1247/ 安装说明 8 参考: http://bbs.77169.com/forum.php?mod=viewthread&tid=355577 安装过程 首先尝试安装nginx 1.4.6-1ubuntu3,但是报错。 9 因此安装一下nginx-full=1.4.6-1ubuntu3 10 因此安装步骤 11 安装版本为 12 查看文件夹权限

Read More

6 minutes read (About 886 words)
DLL劫持 DLL劫持漏洞是一个比较古老的漏洞类型。当一个Windows程序运行时,会尝试去动态加载一些所需的DLL,不同版本的操作系统会有不同的尝试加载顺序。优先级最高的都是当前安装程序路径下,还有就是如系统路径下,然后可能是当前文件路径。 DLL劫持的利用 当能够实现安装程序路径下任意文件写的话,肯定会导致DLL劫持的发生;在XP SP2之前的话,在当前进程尝试加载当前进程目录(即安装程序目录)失败之后,将尝试加载当前目录,如果当前目录存在一个同样名称的DLL,将会被加载。第二种情况是,尝试去加载一个不存在的DLL,这个主要是因为版本更新之后,有些DLL被废弃或者其他原因,但是加载部分并

Read More

vuls 12 minutes read (About 1739 words)
基本信息 该漏洞出现在 IIS 6.0 的WebDAV服务上,经过分析确定是在httpext.dll中进行处理,其中PoC以及相关的出错函数也已经给出,在ScStoragePathFromUrl中,大致看一下该函数,就是将传入的URL存储。最后的一个memcpy将最终导致覆盖到虚表指针 导致任意代码执行。 附加的是w3wp.exe @Keoyo_k0shl 参考:https://www.seebug.org/vuldb/ssvid-92834 环境: Win server 2003 sp2 IIS 6.0 开启 WebDAV 断点进入(关键断点位置) 50 第一次命中 edx 作为参

Read More

vuls 5 minutes read (About 771 words)
UAF 元素创建 分配了多大内存, 一般静态分析(用于后面的占位) 元素释放 重用 1. 一般来说 开启hpa ust能够追踪到异常 内存的创建,释放 重用 过程 2. 直接断点 所有创建 的元素 与 后面重用的元素对象的地址 来判断 是那个对象 的UAF crash info 0 1 create https://github.com/jostw/gecko 确定元素创建的函数 2 核心函数 ur继续查看反汇编代码 uf查看整个函数反汇编代码 ub以该地址为结束地址 第一个 3 第二个 4 找到对应汇编函数偏移 设置断点 确定为 第二个 地址偏小的一个 5 运行后拿到信息

Read More

vuls 3 minutes read (About 436 words)
调试前 分析用的PoC来自于泉哥的漏洞战争一书。PoC见文章最后。 跟着PoC走一遍,crashme函数中基本都是在对v:stroke在进行处理,包括对其dashstyle属性的操作,Google一下v:stroke msdn,该部分属于VML(矢量标记语言),类似于IE中的画笔,绘制图形之类的。 环境 win7 sp1 32 IE8 8.0.7601.17514IS 在已经装了IE11的机器上卸载更新达到IE8后,表示无法触发Crash(建议使用一个纯IE测试) 分析 其实这个PoC已经能够很明显控制到EIP了, 21 发现是在访问edx+70h时出现错误,而edx+70h = 4b5f

Read More

vuls 3 minutes read (About 442 words)
Stack 常见的安全机制以及相关绕过方法 security cookies 编译的时候会在运行栈RET的上面加上一个随机的4字节数值(32位系统), 该值来自于(.data节的前四个字节,并通过一定的算法计算), 在函数运行栈前面会将该值与esp进行亦或并放置在栈中, 在函数返回前会对该值进行检查. 如果该值被修改将直接异常. ** 稳定利用主要思想是检查前利用(SEH, 虚表) ** Linux -fno-stack-protector safeseh 在异常处理器被调用时, 会先检查, 若不满足条件则不会执行 检测方式(和操作系统以及编译器选项有关): 1. 先获取栈的高地址和低

Read More

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×