摘要: 本周中心抓到一个在野的flash 0day(相关信息见此链接),于是又捡起了一年多的flash 漏洞的相关知识,遂总结一下。 普通的trace 调试flasher样本一般建议使用调试版的flash player,在调试版本下可以输出swf文件运行时的相关日志,便于进行相关的分析,安装之后会在家目录(阅读全文
posted @ 2018-06-08 23:55 goabout2 阅读(61) 评论(0) 编辑
摘要: 对5月15号este报的PDF 0day进行了一下分析,具体报告见部门的blog,感谢白大神帮我改报告,期间交流,激发了不少思路。 https://ti.360.net/blog/articles/analysis-of-cve-2018-4990/阅读全文
posted @ 2018-05-25 21:25 goabout2 阅读(30) 评论(0) 编辑
摘要: 之前看CVE-2017-11826的时候发现该漏洞和早年的CVE-2015-1641不仅在漏洞类型上相似,甚至部分漏洞代码也一致,遂将之前的分析有回顾了一下,留个记录。 具体触发漏洞的字段如下所示,为<w:p>标签下的四个smartTag,该标签用于word和excel中的智能标签,针对任命,日期,阅读全文
posted @ 2018-04-14 16:58 goabout2 阅读(68) 评论(0) 编辑
摘要: 该漏洞为office中的一处混淆漏洞,相应的poc如下所示:可以看到其中font标签未闭合。 该漏洞中一个重要的点在于明白对应poc中解析标签在内存中的结构,如下所示为其中漏洞触发时的地方,这里有两个重要的函数即fun_GettagObject,fun_CalcspectailTagobject, 阅读全文
posted @ 2018-01-03 22:14 goabout2 阅读(112) 评论(0) 编辑
摘要: 尝试了一下CVE-2017-11882的手动构造,过程有些小坑,遂记录一下。 如下图所示通过传入对象的方式向docx中插入一个equation的对象。 选择的对象为微软公式microsoft 3.0。 之后会弹出对应的对象工具,即导致该漏洞的核心组件equation.exe,在公式中写入一串字符,注阅读全文
posted @ 2017-12-06 02:12 goabout2 阅读(180) 评论(0) 编辑
摘要: 之前弄NSA smb漏洞的时候需要调内核的shellcode,所以整理了一下windbg调试shellcode的技巧。 应用层中直接加载shellcode比较简单,通过以下步骤 双机内核模式下由于.dvalloc命令不可用,因此需要采取一些特殊的方式。 通过下nt!NtCreateFile断点,让其阅读全文
posted @ 2017-11-21 21:12 goabout2 阅读(62) 评论(0) 编辑
摘要: Eternalblue为方程式组织漏洞利用框架中一个针对smb协议进行攻击的模块,由于其稳定性及易用性,被勒索蠕虫Wanacry用于传播,网络上就Eternalblue使用的主要漏洞进行了分析,但是就整体利用并没有一个详细的说明,本文希望尽可能对Eternalblue的整个利用过程进行一个梳理。 文阅读全文
posted @ 2017-10-20 22:00 goabout2 阅读(129) 评论(1) 编辑
摘要: 昨天微软更新的补丁对lsass服务中的一处拒绝服务漏洞进行了修补,由于是远程拒绝服务漏洞遂决定看看(毕竟这种类型的这十几年也没出几个)。补丁解压之后可以发现这次更新修改了大量的dll(可以用expand.exe,原因么,用了就知道哈哈),lsass.exe本身没有修改 可能是运气好吧,我当时直接选了阅读全文
posted @ 2017-01-12 22:58 goabout2 阅读(309) 评论(0) 编辑
摘要: 2016,怎么说了?可能是我这二十几年里最重要的一年吧!喜忧参半,如果要用一副图来形容我想应该是这幅香波地岛吧。 离开毕业后的第一个老东家,找了个实验室,以后就可以专注于二进制及漏洞的研究了。 读了十几本书吧,部分是计算机的,还有部分侦探推理,历史方面的,还是有些少了。 写了些工具,最大的收获就是如阅读全文
posted @ 2016-12-31 22:51 goabout2 阅读(139) 评论(0) 编辑
摘要: 部门小伙伴遇到一个样本需要对动态函数调用就行批量注释还原的问题,通过idapython可以大大的减少工作量,其实这一问题也是很多样本分析中最耗时间的一块,下面来看看如何解决这个问题(好吧这才是今年最后一篇技术文章!-_-). 具体情况如下,由于样本注入的代码都是使用的动态函数的获取方式,因此通过id阅读全文
posted @ 2016-12-29 21:46 goabout2 阅读(1320) 评论(2) 编辑