飛揚(yáng)天下

最近沒啥好八卦的,拿這個(gè)來充數(shù).HOHO.0day在文章最后面.

|=---------------------------------------------------------------------------=|
|=----------------------=[       專訪wordexp       ]=---------------------=|
|=---------------------------------------------------------------------------=|
|=---------------------------------------------------------------------------=|
|=-------------------=[           By wordexp            ]=------------------=|
|=---------------------------------------------------------------------------=|

[目錄]
1. 據(jù)您所知現(xiàn)在都還有哪些嚴(yán)重的0DAY沒被公開？
2. 挖漏洞有什么竅門？可以具體談?wù)刦uzzer怎樣構(gòu)造樣本么？
3. 請(qǐng)問您對(duì)0day市場(chǎng)有什么看法？
4. 您建立wordexp這個(gè)blog的初衷是什么？為什么叫wordexp，而不是pdfexp或者是exclexp？
5. 請(qǐng)問0day是咋來的？
6. 請(qǐng)問在安全圈子誰是您的偶像？
7. 請(qǐng)問溢出這面紅旗還能打多久？
8. 您對(duì)我們雜志以及我們小組的發(fā)展有什么建議？
一、據(jù)您所知現(xiàn)在都還有哪些嚴(yán)重的0DAY沒被公開？
    主流應(yīng)用軟件方面目前微軟公司的IE6/7和PPT 2003 SP3前一陣子就有EXP在外面跑了，
adobe公司的FLASH產(chǎn)品中也有一個(gè)能被利用的漏洞，拿到的人應(yīng)該也不少，往后的一到三個(gè)月
內(nèi)就應(yīng)該出補(bǔ)丁或是有相關(guān)新聞，當(dāng)然以我們目前的視界能看到的只有很少很少的一部分，其
實(shí)國(guó)外的很多安全機(jī)構(gòu)比如：idefense和zdi可以確定還有不少?zèng)]被公開的漏洞，只是這些漏
洞可能并不是我們想象的那么通用，成功率也許有限。
    其實(shí)經(jīng)常聽到朋友問這個(gè)問題，說白了就是個(gè)消息的打聽，這個(gè)一方面要提高自已的敏感
度，注意隨時(shí)關(guān)注國(guó)內(nèi)外相關(guān)網(wǎng)站的新聞，比如NORTON和MCAFEE的網(wǎng)站經(jīng)常有一些抓到的0DAY
樣本的新聞，有時(shí)還有一些細(xì)節(jié)。還有就是消息的共享，你提前能知道消息并告知朋友，以后
也許人家也會(huì)這樣對(duì)你。
二、挖漏洞有什么竅門？可以具體談?wù)刦uzzer怎樣構(gòu)造樣本么？
    這個(gè)問題太為難我了，很多人比我更有資格回答這個(gè)問題。我只是斗膽胡說幾句。
    要說竅門，應(yīng)該是不同軟件的洞竅門還不一樣，然后還要看挖洞的目的，如果是為了出名
在bugtraq之類的郵件列表上能多露幾次臉，那么可以盡可能的找那種用戶少關(guān)注少的軟件特
別是WEB腳本程序的洞。如果是公司有任務(wù)必須往CVE、MS上報(bào)多少條漏洞那么可以找大公司
的二三線產(chǎn)品的漏洞或是有一定用戶數(shù)但版本很久不更新的軟件的洞，而且這些洞是不一定
要可利用的。如果是為了混zdi、idefense那么可以把fuzz到的POC只要看起來有可能被利用
的都提交上去，也可以找默認(rèn)情況下不支持的功能的洞，多少可以騙點(diǎn)錢。
    如果是要挖賣得出去也能利用的洞，比較通用的一些竅門我能想到的是：
    1. 找大眾軟件生僻功能，生僻協(xié)議/文件格式的洞
    2. 找?guī)缀鯖]有文檔化的功能的洞
    3. 新版本軟件為了向下兼容所支持的老協(xié)議/老文件格式的洞
    4. 新版本軟件增加的新功能/新格式
    5. 不容易fuzz到的洞，比如數(shù)據(jù)是加密/壓縮/編碼過的，或是有驗(yàn)效的
    6. 某軟件某功能剛出了漏洞，馬上測(cè)試其它同類軟件同類功能是否有類似漏洞
    7. 多分析老漏洞，善于總結(jié)前人挖漏洞的經(jīng)驗(yàn)技巧，很多不同的洞其實(shí)都有相類似的發(fā)
    掘方式和思路
    第二個(gè)問題，我以文件型漏洞舉例子，fuzz樣本的構(gòu)造，首先是按照上述幾個(gè)竅門來生成
原始模版，這樣相對(duì)可以弄出一些人家不太容易fuzz到的數(shù)據(jù)格式結(jié)構(gòu)，當(dāng)然在生成原始模版
的前期功課也是很花時(shí)間的。做好樣本后就是寫具體的fuzz程序， 如果對(duì)文件格式比較熟，
那么可以節(jié)約很多的時(shí)間，我比較喜歡的一個(gè)辦法是fuzz某一些功能的洞，那么就先看格式，
把數(shù)據(jù)在文件中的位置先手工定位，然后小粒度的測(cè)試，要注意的是可能與某功能相關(guān)聯(lián)的數(shù)
據(jù)比較雜亂數(shù)據(jù)很可能并不是連續(xù)存放的。一般1-4KB的數(shù)據(jù)要不了多少時(shí)間就可以手工測(cè)
試完畢。另外具體測(cè)試時(shí)，數(shù)據(jù)替換的長(zhǎng)度（一次替換幾個(gè)字節(jié)），替換的內(nèi)容也是非常重要的。
為此我們將提供一個(gè)PPT 2003 sp3的“0day”poc，在這個(gè)“0day”中數(shù)據(jù)替換的步進(jìn)就必須為1
字節(jié)，而且值也必須為一個(gè)固定的值才能觸發(fā)出錯(cuò)。最后要注意的就是錯(cuò)誤的捕捉，有些洞是
打開就退出進(jìn)程，有些是打開要停頓一定時(shí)間才退出進(jìn)程，有些是CPU 100%程序掛起，有些是
關(guān)閉時(shí)觸發(fā)，甚至有些是文檔打開后進(jìn)行某種操作才會(huì)觸發(fā)，當(dāng)然還有一種情況進(jìn)程不退出，
也沒有提示，也不出錯(cuò)，象這種情況一般依靠進(jìn)程/窗口/CPU來檢測(cè)錯(cuò)誤的fuzz就失效了。
三、請(qǐng)問您對(duì)0day市場(chǎng)有什么看法？
    很復(fù)雜的一個(gè)圈子，搞技術(shù)的不搞技術(shù)的啥人都有，不過目前看來很多都是為了各種利益
混這個(gè)圈子。簡(jiǎn)單說就是：
    池塘不大但人雜，水深。
四、您建立wordexp這個(gè)blog的初衷是什么？為什么叫wordexp，而不是pdfexp或者是exclexp？
    初衷就是團(tuán)隊(duì)成員工作之余發(fā)發(fā)勞騷，聊聊八卦的地方，希望大家別見怪。另外這個(gè)名字
是因?yàn)槲覀儙讉€(gè)人搞客戶端的漏洞都比較多，所以隨便就取了這么個(gè)名字。
五、請(qǐng)問0day是咋來的？
    最初當(dāng)然是某個(gè)人找出來的。從這個(gè)0DAY的發(fā)掘者到最終的用戶中間可能會(huì)只有一層關(guān)
系，也可能會(huì)有N層關(guān)系，也許直到這個(gè)0DAY被補(bǔ)上，使用者也不知道洞是誰挖到的。下面舉幾
個(gè)例子吧：
    情況一：A挖到一個(gè)0day，但對(duì)黑產(chǎn)沒有了解或接觸，或者也不想靠這個(gè)賺錢，或者覺得漏
洞不值錢，或者壓根以為漏洞不能夠被利用，那么A有可能把這個(gè)漏洞公開給類似PST的網(wǎng)站，
網(wǎng)站上的代碼通常是POC或是只有一部分細(xì)節(jié)。這時(shí)黑產(chǎn)中的漏洞研究者B，很快會(huì)看到這個(gè)
消息，并且分析POC然后寫出EXP。隨后B再聯(lián)系具體的使用者C或是自已使用。最終或是因?yàn)?br>這個(gè)0DAY的POC被公開，也或許因?yàn)镋XP被殺毒軟件公司抓到樣本等等，軟件廠商推出補(bǔ)丁。在
這個(gè)過程中B可能是一個(gè)人也可能是很多水平各不相同的人，所以公開的0DAY的EXP有時(shí)是千
差萬別，有的好用，有的很差。
    情況二：A是黑產(chǎn)中的一員，挖到一個(gè)0DAY并賣給X，或是接受使用者X的定制并找到0DAY，
X偷偷的使用0DAY，這樣的情況一般0DAY的生存期會(huì)比較長(zhǎng)一些，因?yàn)檫@才算是真正的私洞，知
道的人不多。但是在X的使用中，EXP可能被別的黑產(chǎn)從業(yè)者Y抓到樣本，然后Y把樣本提供給技
術(shù)員T分析并重新寫出EXP，而成果Y和T分享。這時(shí)T可能再次把EXP賣給其它的黑產(chǎn)使用者W，
同樣X或Y在使用一段時(shí)間后也可能交換或者再出手給其它的買家，而且這個(gè)過程是可以無限
次重復(fù)的，當(dāng)然時(shí)間越久知道的人越多，0DAY就越掉價(jià)。
    情況三：白帽子A挖到一個(gè)0day，并提交給軟件廠商B。假設(shè)A是個(gè)真真正正的白帽子，也假
設(shè)這個(gè)0day的確也只被A發(fā)現(xiàn)了，但0day到了廠商B那兒，最終會(huì)找公司內(nèi)負(fù)責(zé)安全的部門對(duì)漏
洞進(jìn)行研究，假設(shè)這個(gè)公司內(nèi)部的研究者是C，C有可能在圈子中也有其它從事黑產(chǎn)的朋友或是
自已本身就偷偷的在參與黑產(chǎn)，那么在金錢或是感情的作用下C完全有可能違背道德，寫出EXP
出售或是使用。象這種情況，0day可能剛出來沒幾天就被補(bǔ)上了，或者圈子里的很多人根本就
沒機(jī)會(huì)見到0day，知道有這么個(gè)東東的時(shí)候早就被補(bǔ)上了。
    情況四：軟件廠商B在代碼審計(jì)或軟件測(cè)試過程中發(fā)現(xiàn)了漏洞，自已在新版本中偷偷的補(bǔ)
上了漏洞，但并沒有在相對(duì)老的版本中打補(bǔ)丁，也沒有公開任何細(xì)節(jié)和公告。 研究人員A通過
補(bǔ)丁比較，直接定位出老版本中的漏洞位置，然后動(dòng)態(tài)調(diào)試找到觸發(fā)方式，并寫出EXP，由于很
多情況下老版本的軟件反而用戶更多，所以這樣的0day還是有一定的價(jià)值。
    情況五：研究員A挖到了一個(gè)Nday而這個(gè)Nday以前在圈內(nèi)并不為人所知，或是研究員A研究
出某Nday的新利用方式，比如說可以和某某軟件結(jié)合看起來和以前的EXP完全不一樣，或是成
功率有很大的提高。研究員A以較低的價(jià)格出售給中間人B。B拿到EXP后，發(fā)現(xiàn)圈內(nèi)還沒人有，
成功率各方面也還不錯(cuò)，于是號(hào)稱0day到處叫賣。如果買家發(fā)現(xiàn)問題，B就裝傻說自已也上當(dāng)
了。現(xiàn)在象B這樣的人其實(shí)也是不少的， 因?yàn)楹芏嘧罱K用戶對(duì)技術(shù)并不是特別懂，而且有些
Nday測(cè)試起來也不是那么簡(jiǎn)單，如果剛好EXP效果不錯(cuò)，可能就忽悠過去了。那么我們能看到
的情況就是，江湖傳言又出了個(gè)0day，或是某某手上有0day，但等呀等就是見不到東東，最終傳
言不了了之或是被人家揭發(fā)出來。
    所以要搞到0day可以自已挖，可以補(bǔ)丁比較，也可以分析已公開信息快速寫出EXP，可以買，
也可以換，不要命也可以偷搶騙，技術(shù)手段非技術(shù)手段都是可能的。也正是因?yàn)樯鲜銮闆r的多
樣性，所以經(jīng)常有不怎么搞技術(shù)的人，手上也有些0day。
六、請(qǐng)問在安全圈子誰是您的偶像？
    我的偶象是那種啥技術(shù)不懂，還能發(fā)大財(cái)?shù)模籔F不行。
七、請(qǐng)問溢出這面紅旗還能打多久？
    僅僅是溢出這塊，我們團(tuán)隊(duì)里面意見也大不相同，另外幾個(gè)成員還是比較樂觀的，如果比
較全面的分析這個(gè)問題，首先要看站在什么人的角度來看這個(gè)問題，是黑產(chǎn)工作者是安全公司
還是軟件生產(chǎn)商。假設(shè)以黑產(chǎn)工作者的角度來看，那么我是非常非常悲觀的，因?yàn)橐绯雎┒磸?br>技術(shù)角度上說：有一個(gè)通用性和成功率的問題，直觀的說就是有一個(gè)效果的問題，再深一點(diǎn)說
就是經(jīng)濟(jì)成本的問題。往后走溢出漏洞單從個(gè)數(shù)上說還是會(huì)有很多的。但是現(xiàn)在從編譯器和
OS（/GS、/SafeSEH、/DYNAMICBASE、DEP、PEB隨機(jī)等等）到CPU（NX），軟件公司和硬件廠商已
經(jīng)越來越關(guān)注安全問題，幾十年來溢出漏洞最關(guān)鍵的命脈無非是數(shù)據(jù)能夠被當(dāng)做代碼來執(zhí)行，
以前這一點(diǎn)基本上不被軟硬件廠商所重視，這幾年來人家開始重視了，開始從體系上解決這個(gè)
問題，那么這個(gè)命脈也將因?yàn)楦鞣N防范檢測(cè)技術(shù)的運(yùn)用被卡得越來越死，另外現(xiàn)在很多軟件也
有自動(dòng)升級(jí)功能了。
    往后走是個(gè)什么樣的情況，我想應(yīng)該是上面提到的各種技術(shù)隨著新型CPU和OS的占有率越
來越高，被越來越多的應(yīng)用。一個(gè)溢出漏洞的成功率將會(huì)大大下降，再加上主流軟件公司的產(chǎn)
品也越來越安全，以后那種一個(gè)漏洞打天下的局面將會(huì)越來越少(現(xiàn)在黑產(chǎn)工作者的網(wǎng)馬都是
漏洞合集了，無非就是提高成功率)，具體的情況也許就是現(xiàn)在我有一個(gè)IE的0DAY，100個(gè)人看
也許能中10-20個(gè)，以后可能手上能用的就變成某個(gè)第三方控件的0DAY，100個(gè)人看網(wǎng)頁就能中
1-2個(gè)吧。當(dāng)你使用溢出漏洞的時(shí)間，人力，金錢成本和產(chǎn)出完全不成正比的時(shí)候，也基本上算
溢出這面紅旗倒下的時(shí)候。
    估計(jì)也就三四年以后，具體指標(biāo)就是上面提到的各種檢測(cè)技術(shù)的普及率，至少往后的發(fā)展
不會(huì)是車到山前必有路。如果把挖溢出漏洞當(dāng)成一個(gè)產(chǎn)業(yè)，也就是個(gè)夕陽產(chǎn)業(yè)。
八、您對(duì)我們雜志以及我們小組的發(fā)展有什么建議？
    不走商業(yè)路線是正確的，反正你們那群人也不差錢，就不定期搞搞科普工作吧，為普及中
國(guó)安全事業(yè)做點(diǎn)貢獻(xiàn)，同時(shí)也可以鍛煉你們各方面的能力，繼續(xù)努力!
-EOF-