#vuls

基本信息 * SVG相关漏洞 * 发现者:ifratric (Project Zero) PoC 37 feConvolveMatrix是SVG的一个滤镜元素,设置滤镜的一些效果。filter标签用来定义滤镜 图形元素对滤镜的引用,给图形添加滤镜 38 出错的点在于feConvolveMatrix元素中的kernelUnitLength属性值的处理。 kernelUnitLength in W3C: The first number is the value. The second number is the value. A negative or zero value is

Read More

这个漏洞是在5.30号正式公布的,国内有很多文章有关于该漏洞的预警,也就是介绍下影响范围,版本之类的信息,而且基本都是一份的各种转载。在freebuf上有一个比较详细的介绍,但是也主要是以翻译为主,并未讲的很透彻。 http://www.freebuf.com/vuls/136156.html 因此准备对这个漏洞进行分析,并依据github上公布的PoC对该漏洞复现。 主要解决两个问题: 1. 造成该漏洞的原因是什么? 补丁如何修补 2. 利用该漏洞能够达到怎样的效果 漏洞成因与补丁修复 原因是在Linux执行sudo操作的时候,需要获取进程的tty设备号,而获取的地方是在/proc

Read More

nginx 提权漏洞 只是一个复现的过程,环境搭建。具体分析见创宇的一篇文章,写的很详细。 http://blog.knownsec.com/2016/11/nginx-exploit-deb-root-privesc-cve-2016-1247/ 安装说明 8 参考: http://bbs.77169.com/forum.php?mod=viewthread&tid=355577 安装过程 首先尝试安装nginx 1.4.6-1ubuntu3,但是报错。 9 因此安装一下nginx-full=1.4.6-1ubuntu3 10 因此安装步骤 11 安装版本为 12 查看文件夹权限

Read More

DLL劫持 DLL劫持漏洞是一个比较古老的漏洞类型。当一个Windows程序运行时,会尝试去动态加载一些所需的DLL,不同版本的操作系统会有不同的尝试加载顺序。优先级最高的都是当前安装程序路径下,还有就是如系统路径下,然后可能是当前文件路径。 DLL劫持的利用 当能够实现安装程序路径下任意文件写的话,肯定会导致DLL劫持的发生;在XP SP2之前的话,在当前进程尝试加载当前进程目录(即安装程序目录)失败之后,将尝试加载当前目录,如果当前目录存在一个同样名称的DLL,将会被加载。第二种情况是,尝试去加载一个不存在的DLL,这个主要是因为版本更新之后,有些DLL被废弃或者其他原因,但是加载部分并

Read More

基本信息 该漏洞出现在 IIS 6.0 的WebDAV服务上,经过分析确定是在httpext.dll中进行处理,其中PoC以及相关的出错函数也已经给出,在ScStoragePathFromUrl中,大致看一下该函数,就是将传入的URL存储。最后的一个memcpy将最终导致覆盖到虚表指针 导致任意代码执行。 附加的是w3wp.exe @Keoyo_k0shl 参考:https://www.seebug.org/vuldb/ssvid-92834 环境: Win server 2003 sp2 IIS 6.0 开启 WebDAV 断点进入(关键断点位置) 50 第一次命中 edx 作为参

Read More

UAF 元素创建 分配了多大内存, 一般静态分析(用于后面的占位) 元素释放 重用 1. 一般来说 开启hpa ust能够追踪到异常 内存的创建,释放 重用 过程 2. 直接断点 所有创建 的元素 与 后面重用的元素对象的地址 来判断 是那个对象 的UAF crash info 0 1 create https://github.com/jostw/gecko 确定元素创建的函数 2 核心函数 ur继续查看反汇编代码 uf查看整个函数反汇编代码 ub以该地址为结束地址 第一个 3 第二个 4 找到对应汇编函数偏移 设置断点 确定为 第二个 地址偏小的一个 5 运行后拿到信息

Read More

调试前 分析用的PoC来自于泉哥的漏洞战争一书。PoC见文章最后。 跟着PoC走一遍,crashme函数中基本都是在对v:stroke在进行处理,包括对其dashstyle属性的操作,Google一下v:stroke msdn,该部分属于VML(矢量标记语言),类似于IE中的画笔,绘制图形之类的。 环境 win7 sp1 32 IE8 8.0.7601.17514IS 在已经装了IE11的机器上卸载更新达到IE8后,表示无法触发Crash(建议使用一个纯IE测试) 分析 其实这个PoC已经能够很明显控制到EIP了, 21 发现是在访问edx+70h时出现错误,而edx+70h = 4b5f

Read More

Stack 常见的安全机制以及相关绕过方法 security cookies 编译的时候会在运行栈RET的上面加上一个随机的4字节数值(32位系统), 该值来自于(.data节的前四个字节,并通过一定的算法计算), 在函数运行栈前面会将该值与esp进行亦或并放置在栈中, 在函数返回前会对该值进行检查. 如果该值被修改将直接异常. ** 稳定利用主要思想是检查前利用(SEH, 虚表) ** Linux -fno-stack-protector safeseh 在异常处理器被调用时, 会先检查, 若不满足条件则不会执行 检测方式(和操作系统以及编译器选项有关): 1. 先获取栈的高地址和低

Read More

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×