[目录] 1. 据您所知现在都还有哪些严重的0DAY没被公开？2. 挖漏洞有什么窍门？可以具体谈谈fuzzer怎样构造样本么？3. 请问您对0day市场有什么看法？4. 您建立wordexp这个blog的初衷是什么？为什么叫wordexp，而不是pdfexp或者是exclexp？5. 请问0day是咋来的？6. 请问在安全圈子谁是您的偶像？7. 请问溢出这面红旗还能打多久？8. 您对我们杂志以及我们小组的发展有什么建议？ 一、据您所知现在都还有哪些严重的0DAY没被公开？ 主流应用软件方面目前微软公司的IE6/7和PPT 2003 SP3前一阵子就有EXP在外面跑了，adobe公司的FLASH产品中也有一个能被利用的漏洞，拿到的人应该也不少，往后的一到三个月内就应该出补丁或是有相关新闻，当然以我们目前的视界能看到的只有很少很少的一部分，其实国外的很多安全机构比如：idefense和zdi可以确定还有不少没被公开的漏洞，只是这些漏洞可能并不是我们想象的那么通用，成功率也许有限。 其实经常听到朋友问这个问题，说白了就是个消息的打听，这个一方面要提高自已的敏感度，注意随时关注国内外相关网站的新闻，比如NORTON和MCAFEE的网站经常有一些抓到的0DAY样本的新闻，有时还有一些细节。还有就是消息的共享，你提前能知道消息并告知朋友，以后也许人家也会这样对你。 二、挖漏洞有什么窍门？可以具体谈谈fuzzer怎样构造样本么？ 这个问题太为难我了，很多人比我更有资格回答这个问题。我只是斗胆胡说几句。 要说窍门，应该是不同软件的洞窍门还不一样，然后还要看挖洞的目的，如果是为了出名在bugtraq之类的邮件列表上能多露几次脸，那么可以尽可能的找那种用户少关注少的软件特别是WEB脚本程序的洞。如果是公司有任务必须往CVE、MS上报多少条漏洞那么可以找大公司的二三线产品的漏洞或是有一定用户数但版本很久不更新的软件的洞，而且这些洞是不一定要可利用的。如果是为了混zdi、idefense那么可以把fuzz到的POC只要看起来有可能被利用的都提交上去，也可以找默认情况下不支持的功能的洞，多少可以骗点钱。 如果是要挖卖得出去也能利用的洞，比较通用的一些窍门我能想到的是： 1. 找大众软件生僻功能，生僻协议/文件格式的洞 2. 找几乎没有文档化的功能的洞 3. 新版本软件为了向下兼容所支持的老协议/老文件格式的洞 4. 新版本软件增加的新功能/新格式 5. 不容易fuzz到的洞，比如数据是加密/压缩/编码过的，或是有验效的 6. 某软件某功能刚出了漏洞，马上测试其它同类软件同类功能是否有类似漏洞 7. 多分析老漏洞，善于总结前人挖漏洞的经验技巧，很多不同的洞其实都有相类似的发 掘方式和思路 第二个问题，我以文件型漏洞举例子，fuzz样本的构造，首先是按照上述几个窍门来生成原始模版，这样相对可以弄出一些人家不太容易fuzz到的数据格式结构，当然在生成原始模版的前期功课也是很花时间的。做好样本后就是写具体的fuzz程序， 如果对文件格式比较熟，那么可以节约很多的时间，我比较喜欢的一个办法是fuzz某一些功能的洞，那么就先看格式，把数据在文件中的位置先手工定位，然后小粒度的测试，要注意的是可能与某功能相关联的数据比较杂乱数据很可能并不是连续存放的。一般1-4KB的数据要不了多少时间就可以手工测试完毕。另外具体测试时，数据替换的长度（一次替换几个字节），替换的内容也是非常重要的。为此我们将提供一个PPT 2003 sp3的“0day”poc，在这个“0day”中数据替换的步进就必须为1字节，而且值也必须为一个固定的值才能触发出错。最后要注意的就是错误的捕捉，有些洞是打开就退出进程，有些是打开要停顿一定时间才退出进程，有些是CPU 100%程序挂起，有些是关闭时触发，甚至有些是文档打开后进行某种操作才会触发，当然还有一种情况进程不退出，也没有提示，也不出错，象这种情况一般依靠进程/窗口/CPU来检测错误的fuzz就失效了。 三、请问您对0day市场有什么看法？ 很复杂的一个圈子，搞技术的不搞技术的啥人都有，不过目前看来很多都是为了各种利益混这个圈子。简单说就是： 池塘不大但人杂，水深。 四、您建立wordexp这个blog的初衷是什么？为什么叫wordexp，而不是pdfexp或者是exclexp？ 初衷就是团队成员工作之余发发劳骚，聊聊八卦的地方，希望大家别见怪。另外这个名字是因为我们几个人搞客户端的漏洞都比较多，所以随便就取了这么个名字。 五、请问0day是咋来的？ 最初当然是某个人找出来的。从这个0DAY的发掘者到最终的用户中间可能会只有一层关系，也可能会有N层关系，也许直到这个0DAY被补上，使用者也不知道洞是谁挖到的。下面举几个例子吧： 情况一：A挖到一个0day，但对黑产没有了解或接触，或者也不想靠这个赚钱，或者觉得漏洞不值钱，或者压根以为漏洞不能够被利用，那么A有可能把这个漏洞公开给类似PST的网站，网站上的代码通常是POC或是只有一部分细节。这时黑产中的漏洞研究者B，很快会看到这个消息，并且分析POC然后写出EXP。随后B再联系具体的使用者C或是自已使