看了ISNO大虾的《我是如何发现CCProxy漏洞的》，心里痒痒的，也想按照ISNO大虾介绍的方法，依葫芦画瓢的分析分析一个漏洞。分析什么漏洞呢?F.Zh在《菜鸟版Exploit编写指南》的开山之作中，详细讲解了Cmail Server漏洞的利用过程，让我这样的菜鸟受益匪浅，以后屡用其法。但F.Zh在文章的最后，留下了一句话：“定位，如果是固定长度的话，确实可以通过两次溢出定位，但实际上这个是和安装的路径有关的，还有没有好一点的方法来定位呢?”

　　什么意思我不大明白，F.Zh也没有再说下去，那我们就尝试分析Cmail Server吧，看看为什么覆盖那么长的字符串正好实现溢出;也看看能不能解决F.Zh说的不定长问题;当然，更重要的，是复习总结下ISNO和F.Zh 介绍的方法，并改进改进，让它更适合我们菜鸟使用。

　　分析

　　安装好一个CmailServer 4.00beta1，应该有漏洞吧，如图1所示。

　　图1

　　验证一下，进入DOS控制台，在窗口下输入Telnet 127.0.0.1 110，其中110是POP3协议所用端口，然后输入USER和一长串的a，接着回车。如图2所示。

　　图2

　　弹出出错对话框了。XP下的出错对话框和2000不同，没有直接给出报错点，如图3所示。

　　图3

　　怎么办?我们不能看到执行的地址了吗?不，还是有办法的。点击对话框中蓝色的字 “请单击此处”，系统就会给出详细的出错报告数据了。Offset：61616161，表示执行0x61616161这个地址时出现了错误。0x61就是小写的a，就是我们输入的USER中的数据，因为0x61616161地址非法，所以出错，这下XP下的定位和2000一样方便了。如图4所示。

　　图4

[1] [2] 下一页