明星街拍不是补丁就是洞 想变时髦先撕衣|破洞|牛仔裤|街拍_新浪时尚_新浪网
明星街拍不是补丁就是洞 想变时髦先撕衣
　　　导语：你说那叫“补丁”，我说那叫拼接款；你说那叫“少一截”，我说那叫Crop。时尚和“破烂”究竟差在哪里？“星装备”替你解密。 （内容来源：海报时尚网）
艾玛-罗伯茨
　　萝卜丝绝对是镜头之外也会乖乖搭配好好穿衣的代表，编编实在好想颁给她一朵大红花。这套Look的每件单品都有可圈可点之处，先来说说上衣。这件上衣来自Reformation，大约只要五百多元软妹币，特点在于连接飘带的设计。这种款式的上衣是今季的大热，几乎所有欧美风格的品牌店内都能找到。牛仔裤稍贵一些，1500元软妹币，但它裤脚不规则裁剪的设计很时尚，也是编编认为值得留意的一款单品。
　　豹纹款的外套我们的欧美星星身上见得很多了，然而萝卜丝用玛丽珍鞋和复古质感手提包的搭配令豹纹外套少了分狂野，多了分质感。
蔻驰 (COACH) 豹纹短外套
Reformation品牌飘带低胸上衣
莫罗-伯拉尼克 (Manolo Blahnik) 玛丽珍高跟鞋
Mother品牌内侧Crop设计牛仔裤
文章关键词：
&&|&&&&|&&&&|&&
您可通过新浪首页顶部 “”， 查看所有收藏过的文章。
请用微博账号
，推荐效果更好！
看过本文的人还看过
介绍今年流行的元素以及它们是如何被运用在时装搭配中的……
紫薯富含硒元素、铁元素和花青素，在抗癌蔬菜中名列榜首……
流行趋势的每个阶段都是曾经熟悉的某种风尚的回归。
化繁为简不可忽略几步：清洁-护肤-保湿补水-防晒。“补丁”补出大窟窿（焦点透视）
主页 & 江南时报 & 第二十二版 每日证券
“补丁”补出大窟窿（焦点透视）
　　与以往一样，半年报披露结束后，各类“补丁”、“更正”开始满天飞。按理说，上市公司定期报告的披露是一项非常严肃的工作，是不允许也不应该错漏的。而从近几年的情况看，″补丁″现象似乎已成定期报告披露后的保留″节目″。尽管如此，迄今为止因″补丁″补出亏损的现象倒不多见。但今年距离半年报披露截止期仅半月有余已有两起发生，这在一定程度上也反映出监管部门对上市公司信息披露的监管力度正在加强，监管效率显著提高。　　信联股份上周对半年报进行了更正，此番更正使得公司今年上半年净利润由盈利495.46万元转为亏损784.79万元。究其原因，公司称“由于上半年进行了资产重组，引起会计核算口径发生较大变化，公司财务人员工作疏忽和对相关政策理解不深”造成。且看公司半年报存在的问题：第一，对出售的武汉迅宏科技投资有限公司和枣庄有线网等公司资产的股权投资差额本报告期未摊销，实际应摊销数为458.78万元。第二，公司分期收取的股权转让款及由于股权转让而引起与原控股子公司的往来款未计提821.48万元的坏账准备。由于这两项“疏忽”减少了公司利润1280.26万元。　　无独有偶，大唐电信日前的半年报更正也出现了业绩“变脸”现象。据公告，因公司在日未经股东大会批准的情况下，对债权转让的关联交易进行了账务处理，因此须对半年报进行更正。而经过更正，公司今年上半年业绩瞬间由盈利478万元转为亏损1588.10万元。同时，公司预测第三季度会继续亏损。与信联股份相比，大唐电信二级市场的走势受到了极大的冲击。消息见报当日，公司股价跌幅高达9.42％，列跌幅榜首位。　　半年报中的财务数据是投资者最为关注的，当这些信息被“扭曲”或被蒙上虚假的“面纱”时，投资者无疑会面临较大的风险。好在监管部门严格事后审核，使得大多数“补丁”在其半年报披露后一个月内“问世”，这在很大程度上降低了投资风险。当然，要真正让“补丁”逐步萎缩甚至消失，还需要监管部门下“猛药”对这些半年报中有意无意的“疏漏”，尤其是一些性质恶劣的严重遗漏、差错采取有效措施。　　上证
&&&&《江南时报》 (日第二十二版)
京ICP证000006号
人 民 日 报 社 版 权 所 有 ，未 经 书 面 授 权 禁 止 复 制 或 建 立 镜 像在补丁上戳个洞――利用已经被修复的漏洞实现IE沙箱逃逸
James Forshaw在2014年11月曾向微软报告过一个Windows Audio Service的本地权限提升。
Windows Audio Service负责管理系统中所有进程的音频会话。这个服务会把会话参数存储到HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig。
为了使低权限进程也可修改音频会话的参数，服务在存储时会递归设置所有子键的ACL为Low IL可控。
若在这个注册表键下设置一个符号链接指向高权限注册表键，就可能导致高权限注册表键变为Low IL可控。
0x01 The Patch
微软发布了MS14-071，并发布了KB3005607补丁修复这个漏洞。 这个补丁增加了两个函数，SafeRegCreateKeyEx和DetectRegistryLink。
DetectRegistryLink大致的代码逻辑如下：
int DetectRegistryLink(const HKEY key_handle, const wchar_t sub_key_path[], HKEY * out_handle)
int detect_result = 0;
HKEY sub_key_
LSTATUS status = RegOpenKeyExW(key_handle,
sub_key_path,
REG_OPTION_OPEN_LINK,
KEY_ALL_ACCESS,
&sub_key_handle);
if (status != ERROR_SUCCESS) {
if (status == ERROR_FILE_NOT_FOUND) {
detect_result = 3;
} else if (status == ERROR_ACCESS_DENIED) {
detect_result = 4;
detect_result = 5;
DWORD key_
BYTE data[MAX_PATH * 2];
DWORD data_size = sizeof(data);
status = RegQueryValueExW(sub_key_handle,
kSymbolicLinkValueName,
&key_type,
&data_size);
if (((status == ERROR_SUCCESS) || (status == ERROR_MORE_DATA)) && (key_type == REG_LINK)) {
detect_result = 1;
if ((status == ERROR_FILE_NOT_FOUND) && (detect_result != 1)) {
HKEY temp_key_
status = RegOpenKeyExW(key_handle,
sub_key_path,
&temp_key_handle);
RegCloseKey(temp_key_handle);
detect_result = (status == ERROR_SUCCESS) + 1;
*out_handle = sub_key_
return detect_
DetectRegistryLink对于注册表符号链接做了比较严格的判断。这个函数使用REG_OPTION_OPEN_LINK打开注册表键之后处理了多种情况，包括重定向到不存在的键值等。最终打开的注册表键句柄被传出函数复用。
外层的SafeRegCreateKeyEx在创建注册表键之前调用了这个函数进行检查，发现有注册表符号链接则使用NtDeleteKey进行删除，最后统一使用RegCreateKeyEx创建一个新的注册表键。
HKEY sub_key_
int detect_result = DetectRegistryLink(key_handle, kSubKeyPath, &sub_key_handle);
if (detect_result == 1) {
status = NtDeleteKey(sub_key_handle);
RegCloseKey(sub_key_handle);
sub_key_handle =
if (!NT_SUCCESS(status)) {
return ERROR_ACCESS_DENIED;
if (detect_result & 3) {
if (sub_key_handle) {
RegCloseKey(sub_key_handle);
return ERROR_ACCESS_DENIED;
DWORD create_disposition = 0;
if (sub_key_handle) {
create_disposition = REG_OPENED_EXISTING_KEY;
status = RegCreateKeyExW(key_handle,
kSubKeyPath,
KEY_ALL_ACCESS,
&sub_key_handle,
&create_disposition);
if (status != ERROR_SUCCESS) {
if (create_disposition != REG_CREATED_NEW_KEY) {
RegCloseKey(sub_key_handle);
return ERROR_ACCESS_DENIED;
0x02 The Flaw
逻辑看似很严密，然而存在一个比较严重的问题。
在使用NtDeleteKey删除目标注册表键之后，不再允许对它进行操作。虽然已打开的句柄继续有效，但任何操作都会返回STATUS_KEY_DELETED，只能关闭句柄。
在句柄关闭后，后续操作就只能使用对象名打开一个新的句柄。在这种情况下，系统并不保证和之前同名的对象就是同一个对象。
通过精确的时间差攻击，我们可以抢在RegCreateKeyEx被调用之前创建一个符号链接，从而绕过判断。
0x03 The Exploit
我们仍然以IE 11沙箱为例，说明如何利用此漏洞提升权限。
为了满足利用条件，首先需要让Windows Audio Service做出删除动作。
我们可以故意在HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig注册表键下创建一个符号链接，并触发Windows Audio Service写入，这样就会走入删除逻辑。
如何精确控制写入符号链接的时间很重要。我们当然可以开十万个线程循环写入，总有一天会成功。但其实系统已经提供了这样的触发机制。
NtNotifyChangeKey可以监视一个注册表键，当我们指定的注册表操作发生时，设置一个事件信号。
通过在符号链接上设置通知，我们可以在符号链接被Windows Audio Service删除时立刻触发，并有机会抢在Windows Audio Service创建新的注册表键之前创建一个符号链接。
将符号链接指向HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy注册表键下的一个尚不存在的GUID，就可以满足REG_CREATED_NEW_KEY的判断，成功创建目标注册表键。
之后Windows Audio Service会使用上层注册表键（PolicyConfig）的安全性设置（Low IL可控）覆盖目标注册表键的安全性设置，导致刚创建的ElevationPolicy键值可被IE沙箱内进程写入。
这时写入任意的AppPath，并将Policy设置为0x3，即可在IE沙箱内以Medium IL启动任意进程。
0x04 The Trick
Windows Audio Service的注册表操作是在RpcImpersonateClient之后进行的。所以在IE沙箱中直接操作虽然可以竞争成功，但注册表操作会使用源进程的Low IL令牌，权限不足。
James Forshaw在原版的PoC中未能解决这个问题，只能在外部手动启动SndVol.exe触发。
为了解决这个问题，我们需要触发一个Medium IL以上的进程使用音频会话，通常只需要进程发出声音即可。
IE Elevation Policy中默认设置了一些进程可以在沙箱内用Medium IL启动，其中就包括记事本（Notepad.exe）。Medium IL进程启动后我们只有结束进程的权限，但在启动进程时我们可以传递命令行参数。
记事本在打开不存在的文件时会弹出一个系统对话框询问是否需要创建新文件，伴随一声系统默认声音。这就足够触发Windows Audio Service写入注册表键了。
通过反复启动尝试，我们就能多次竞争，保证最终成功。
0x05 The Mitigation
微软最终在2015年8月的补丁中彻底禁止了Low IL进程创建注册表符号链接。在设置注册表符号链接时，内核通过RtlIsSandboxedToken函数判断当前进程令牌是Low IL或AppContainer则直接返回拒绝访问。这导致任何基于注册表符号链接的攻击在Low IL都无法使用了，因此在IE沙箱内直接利用这个漏洞的可能性被彻底封堵了。