最近沒啥好八卦的,拿這個來充數(shù).HOHO.0day在文章最后面.

|=---------------------------------------------------------------------------=|
|=----------------------=[       專訪wordexp       ]=---------------------=|
|=---------------------------------------------------------------------------=|
|=---------------------------------------------------------------------------=|
|=-------------------=[           By wordexp            ]=------------------=|
|=---------------------------------------------------------------------------=|

[目錄]
1. 據(jù)您所知現(xiàn)在都還有哪些嚴(yán)重的0DAY沒被公開？
2. 挖漏洞有什么竅門？可以具體談?wù)刦uzzer怎樣構(gòu)造樣本么？
3. 請問您對0day市場有什么看法？
4. 您建立wordexp這個blog的初衷是什么？為什么叫wordexp，而不是pdfexp或者是exclexp？
5. 請問0day是咋來的？
6. 請問在安全圈子誰是您的偶像？
7. 請問溢出這面紅旗還能打多久？
8. 您對我們雜志以及我們小組的發(fā)展有什么建議？
一、據(jù)您所知現(xiàn)在都還有哪些嚴(yán)重的0DAY沒被公開？
    主流應(yīng)用軟件方面目前微軟公司的IE6/7和PPT 2003 SP3前一陣子就有EXP在外面跑了，
adobe公司的FLASH產(chǎn)品中也有一個能被利用的漏洞，拿到的人應(yīng)該也不少，往后的一到三個月
內(nèi)就應(yīng)該出補丁或是有相關(guān)新聞，當(dāng)然以我們目前的視界能看到的只有很少很少的一部分，其
實國外的很多安全機構(gòu)比如：idefense和zdi可以確定還有不少沒被公開的漏洞，只是這些漏
洞可能并不是我們想象的那么通用，成功率也許有限。
    其實經(jīng)常聽到朋友問這個問題，說白了就是個消息的打聽，這個一方面要提高自已的敏感
度，注意隨時關(guān)注國內(nèi)外相關(guān)網(wǎng)站的新聞，比如NORTON和MCAFEE的網(wǎng)站經(jīng)常有一些抓到的0DAY
樣本的新聞，有時還有一些細(xì)節(jié)。還有就是消息的共享，你提前能知道消息并告知朋友，以后
也許人家也會這樣對你。
二、挖漏洞有什么竅門？可以具體談?wù)刦uzzer怎樣構(gòu)造樣本么？
    這個問題太為難我了，很多人比我更有資格回答這個問題。我只是斗膽胡說幾句。
    要說竅門，應(yīng)該是不同軟件的洞竅門還不一樣，然后還要看挖洞的目的，如果是為了出名
在bugtraq之類的郵件列表上能多露幾次臉，那么可以盡可能的找那種用戶少關(guān)注少的軟件特
別是WEB腳本程序的洞。如果是公司有任務(wù)必須往CVE、MS上報多少條漏洞那么可以找大公司
的二三線產(chǎn)品的漏洞或是有一定用戶數(shù)但版本很久不更新的軟件的洞，而且這些洞是不一定
要可利用的。如果是為了混zdi、idefense那么可以把fuzz到的POC只要看起來有可能被利用
的都提交上去，也可以找默認(rèn)情況下不支持的功能的洞，多少可以騙點錢。
    如果是要挖賣得出去也能利用的洞，比較通用的一些竅門我能想到的是：
    1. 找大眾軟件生僻功能，生僻協(xié)議/文件格式的洞
    2. 找?guī)缀鯖]有文檔化的功能的洞
    3. 新版本軟件為了向下兼容所支持的老協(xié)議/老文件格式的洞
    4. 新版本軟件增加的新功能/新格式
    5. 不容易fuzz到的洞，比如數(shù)據(jù)是加密/壓縮/編碼過的，或是有驗效的
    6. 某軟件某功能剛出了漏洞，馬上測試其它同類軟件同類功能是否有類似漏洞
    7. 多分析老漏洞，善于總結(jié)前人挖漏洞的經(jīng)驗技巧，很多不同的洞其實都有相類似的發(fā)
    掘方式和思路
    第二個問題，我以文件型漏洞舉例子，fuzz樣本的構(gòu)造，首先是按照上述幾個竅門來生成
原始模版，這樣相對可以弄出一些人家不太容易fuzz到的數(shù)據(jù)格式結(jié)構(gòu)，當(dāng)然在生成原始模版
的前期功課也是很花時間的。做好樣本后就是寫具體的fuzz程序， 如果對文件格式比較熟，
那么可以節(jié)約很多的時間，我比較喜歡的一個辦法是fuzz某一些功能的洞，那么就先看格式，
把數(shù)據(jù)在文件中的位置先手工定位，然后小粒度的測試，要注意的是可能與某功能相關(guān)聯(lián)的數(shù)
據(jù)比較雜亂數(shù)據(jù)很可能并不是連續(xù)存放的。一般1-4KB的數(shù)據(jù)要不了多少時間就可以手工測
試完畢。另外具體測試時，數(shù)據(jù)替換的長度（一次替換幾個字節(jié)），替換的內(nèi)容也是非常重要的。
為此我們將提供一個PPT 2003 sp3的“0day”poc，在這個“0day”中數(shù)據(jù)替換的步進就必須為1
字節(jié)，而且值也必須為一個固定的值才能觸發(fā)出錯。最后要注意的就是錯誤的捕捉，有些洞是
打開就退出進程，有些是打開要停頓一定時間才退出進程，有些是CPU 100%程序掛起，有些是
關(guān)閉時觸發(fā)，甚至有些是文檔打開后進行某種操作才會觸發(fā)，當(dāng)然還有一種情況進程不退出，
也沒有提示，也不出錯，象這種情況一般依靠進程/窗口/CPU來檢測錯誤的fuzz就失效了。
三、請問您對0day市場有什么看法？
    很復(fù)雜的一個圈子，搞技術(shù)的不搞技術(shù)的啥人都有，不過目前看來很多都是為了各種利益
混這個圈子。簡單說就是：
    池塘不大但人雜，水深。
四、您建立wordexp這個blog的初衷是什么？為什么叫wordexp，而不是pdfexp或者是exclexp？
    初衷就是團隊成員工作之余發(fā)發(fā)勞騷，聊聊八卦的地方，希望大家別見怪。另外這個名字
是因為我們幾個人搞客戶端的漏洞都比較多，所以隨便就取了這么個名字。
五、請問0day是咋來的？
    最初當(dāng)然是某個人找出來的。從這個0DAY的發(fā)掘者到最終的用戶中間可能會只有一層關(guān)
系，也可能會有N層關(guān)系，也許直到這個0DAY被補上，使用者也不知道洞是誰挖到的。下面舉幾
個例子吧：
    情況一：A挖到一個0day，但對黑產(chǎn)沒有了解或接觸，或者也不想靠這個賺錢，或者覺得漏
洞不值錢，或者壓根以為漏洞不能夠被利用，那么A有可能把這個漏洞公開給類似PST的網(wǎng)站，
網(wǎng)站上的代碼通常是POC或是只有一部分細(xì)節(jié)。這時黑產(chǎn)中的漏洞研究者B，很快會看到這個
消息，并且分析POC然后寫出EXP。隨后B再聯(lián)系具體的使用者C或是自已使用。最終或是因為
這個0DAY的POC被公開，也或許因為EXP被殺毒軟件公司抓到樣本等等，軟件廠商推出補丁。在
這個過程中B可能是一個人也可能是很多水平各不相同的人，所以公開的0DAY的EXP有時是千
差萬別，有的好用，有的很差。
    情況二：A是黑產(chǎn)中的一員，挖到一個0DAY并賣給X，或是接受使用者X的定制并找到0DAY，
X偷偷的使用0DAY，這樣的情況一般0DAY的生存期會比較長一些，因為這才算是真正的私洞，知
道的人不多。但是在X的使用中，EXP可能被別的黑產(chǎn)從業(yè)者Y抓到樣本，然后Y把樣本提供給技
術(shù)員T分析并重新寫出EXP，而成果Y和T分享。這時T可能再次把EXP賣給其它的黑產(chǎn)使用者W，
同樣X或Y在使用一段時間后也可能交換或者再出手給其它的買家，而且這個過程是可以無限
次重復(fù)的，當(dāng)然時間越久知道的人越多，0DAY就越掉價。
    情況三：白帽子A挖到一個0day，并提交給軟件廠商B。假設(shè)A是個真真正正的白帽子，也假
設(shè)這個0day的確也只被A發(fā)現(xiàn)了，但0day到了廠商B那兒，最終會找公司內(nèi)負(fù)責(zé)安全的部門對漏
洞進行研究，假設(shè)這個公司內(nèi)部的研究者是C，C有可能在圈子中也有其它從事黑產(chǎn)的朋友或是
自已本身就偷偷的在參與黑產(chǎn)，那么在金錢或是感情的作用下C完全有可能違背道德，寫出EXP
出售或是使用。象這種情況，0day可能剛出來沒幾天就被補上了，或者圈子里的很多人根本就
沒機會見到0day，知道有這么個東東的時候早就被補上了。
    情況四：軟件廠商B在代碼審計或軟件測試過程中發(fā)現(xiàn)了漏洞，自已在新版本中偷偷的補
上了漏洞，但并沒有在相對老的版本中打補丁，也沒有公開任何細(xì)節(jié)和公告。 研究人員A通過
補丁比較，直接定位出老版本中的漏洞位置，然后動態(tài)調(diào)試找到觸發(fā)方式，并寫出EXP，由于很
多情況下老版本的軟件反而用戶更多，所以這樣的0day還是有一定的價值。
    情況五：研究員A挖到了一個Nday而這個Nday以前在圈內(nèi)并不為人所知，或是研究員A研究
出某Nday的新利用方式，比如說可以和某某軟件結(jié)合看起來和以前的EXP完全不一樣，或是成
功率有很大的提高。研究員A以較低的價格出售給中間人B。B拿到EXP后，發(fā)現(xiàn)圈內(nèi)還沒人有，
成功率各方面也還不錯，于是號稱0day到處叫賣。如果買家發(fā)現(xiàn)問題，B就裝傻說自已也上當(dāng)
了。現(xiàn)在象B這樣的人其實也是不少的， 因為很多最終用戶對技術(shù)并不是特別懂，而且有些
Nday測試起來也不是那么簡單，如果剛好EXP效果不錯，可能就忽悠過去了。那么我們能看到
的情況就是，江湖傳言又出了個0day，或是某某手上有0day，但等呀等就是見不到東東，最終傳
言不了了之或是被人家揭發(fā)出來。
    所以要搞到0day可以自已挖，可以補丁比較，也可以分析已公開信息快速寫出EXP，可以買，
也可以換，不要命也可以偷搶騙，技術(shù)手段非技術(shù)手段都是可能的。也正是因為上述情況的多
樣性，所以經(jīng)常有不怎么搞技術(shù)的人，手上也有些0day。
六、請問在安全圈子誰是您的偶像？
    我的偶象是那種啥技術(shù)不懂，還能發(fā)大財?shù)模籔F不行。
七、請問溢出這面紅旗還能打多久？
    僅僅是溢出這塊，我們團隊里面意見也大不相同，另外幾個成員還是比較樂觀的，如果比
較全面的分析這個問題，首先要看站在什么人的角度來看這個問題，是黑產(chǎn)工作者是安全公司
還是軟件生產(chǎn)商。假設(shè)以黑產(chǎn)工作者的角度來看，那么我是非常非常悲觀的，因為溢出漏洞從
技術(shù)角度上說：有一個通用性和成功率的問題，直觀的說就是有一個效果的問題，再深一點說
就是經(jīng)濟成本的問題。往后走溢出漏洞單從個數(shù)上說還是會有很多的。但是現(xiàn)在從編譯器和
OS（/GS、/SafeSEH、/DYNAMICBASE、DEP、PEB隨機等等）到CPU（NX），軟件公司和硬件廠商已
經(jīng)越來越關(guān)注安全問題，幾十年來溢出漏洞最關(guān)鍵的命脈無非是數(shù)據(jù)能夠被當(dāng)做代碼來執(zhí)行，
以前這一點基本上不被軟硬件廠商所重視，這幾年來人家開始重視了，開始從體系上解決這個
問題，那么這個命脈也將因為各種防范檢測技術(shù)的運用被卡得越來越死，另外現(xiàn)在很多軟件也
有自動升級功能了。
    往后走是個什么樣的情況，我想應(yīng)該是上面提到的各種技術(shù)隨著新型CPU和OS的占有率越
來越高，被越來越多的應(yīng)用。一個溢出漏洞的成功率將會大大下降，再加上主流軟件公司的產(chǎn)
品也越來越安全，以后那種一個漏洞打天下的局面將會越來越少(現(xiàn)在黑產(chǎn)工作者的網(wǎng)馬都是
漏洞合集了，無非就是提高成功率)，具體的情況也許就是現(xiàn)在我有一個IE的0DAY，100個人看
也許能中10-20個，以后可能手上能用的就變成某個第三方控件的0DAY，100個人看網(wǎng)頁就能中
1-2個吧。當(dāng)你使用溢出漏洞的時間，人力，金錢成本和產(chǎn)出完全不成正比的時候，也基本上算
溢出這面紅旗倒下的時候。
    估計也就三四年以后，具體指標(biāo)就是上面提到的各種檢測技術(shù)的普及率，至少往后的發(fā)展
不會是車到山前必有路。如果把挖溢出漏洞當(dāng)成一個產(chǎn)業(yè)，也就是個夕陽產(chǎn)業(yè)。
八、您對我們雜志以及我們小組的發(fā)展有什么建議？
    不走商業(yè)路線是正確的，反正你們那群人也不差錢，就不定期搞搞科普工作吧，為普及中
國安全事業(yè)做點貢獻，同時也可以鍛煉你們各方面的能力，繼續(xù)努力!
-EOF-