《题目:windowsrpcdcom堆缓冲区溢出漏洞》由会员分享,可在线阅读,更多相关《题目:windowsrpcdcom堆缓冲区溢出漏洞(9页珍藏版)》请在金锄头文库上搜索。
1、题目:wi ndows rpc dcom 堆缓冲区溢出漏洞这节课来讲一下 windows rpc dcom 堆缓冲区溢出漏洞的介绍受影响的软件及系统:-Microsoft Win dows NT-Microsoft Win dows XP-Microsoft Win dows 2000-Microsoft Win dows 2003未受影响的软件及系统:-Microsoft Win dows 98综述:NSFOCU安全小组发现微软Windows系统中RPC DCO接口中存在一个远程可利用的缓冲区溢出漏洞,远程攻击者可能利用这个漏洞获取 local system 权限。漏洞分析:远程过程调用(R
2、PC)是Windows操作系统使用的一个协议。 RPC提供一种内部进程通讯机制,允许在一台电脑上运行的程序无缝 的执行远程系统中的代码。协议本身源于开放软件基金会(OSF)RPC协议,但添加了一些 Microsoft特定的扩展。在Windows RPC在分布式组件对象模型(DCOM接口的处理中 存在一个缓冲区溢出漏洞。 Windows的DCO体现在处理一个参数的时 候没有检查长度。通过提交一个超长(数百字节)的文件名参数可以 导致堆溢出,从而使 RpcSS服务崩溃。精心构造提交的数据就可以在系统上以本地系统权限运行代码。 攻击者可以在系统中采取任何行为, 包括安装程序, 窃取更改或删除数据,或
3、以完全权限创建新帐号。此漏洞可以通过 135(TCP/UDP)、139、 445、 593 等端口发起 攻击。注意,此漏洞与 MS03-026 中描述的漏洞并非同一个漏洞,MS03-026 (Q823980)的安全补丁并不能修复该漏洞。这个漏洞给出了一些变通的方法,大家参考一下 使用防火墙阻塞至少下列端口:135/UDP137/UDP138/UDP445/UDP135/TCP139/TCP445/TCP593/TCP在受影响主机禁用 COM Internet 服务和 RPC over HTTP* 如果因为某些原因确实不能阻塞上述端口,可以考虑暂时 禁用 DCO:M打开控制面板 - 管理工具 -
4、 组件服务 。在控制台根目录 树的组件服务 - 计算机- 、我的电脑上单击 右键,选 属性 。选取默认属性页,取消在此计算机上启用分布式 COM的 复选框。点击下面的 确定按钮,并退出 组件服务 。注意:禁用DCOM可能导致某些应用程序运行失败和系统运行异常。包括一些重要系统服务不能启动,我们不推荐此种方法。应尽 量根据上面的介绍使用防火墙阻塞端口来确保系统安全。以上是这个漏洞的介绍和一些变通的方法,下面我们就来演示一 下关于这个漏洞的攻击利用。第一步,还是要扫描(扫描是在我们攻击之前的一个必需步骤) , 扫描工具是 MsDcomscanner.exe,这个工具是专门扫描 rpc dcom 漏
5、洞, 效果还可以。关于这个工具的介绍比较多,大家主要看一下上半部分的说明就 可以了#D: 2000 sp3JISDcodtScanneirMlSDconScanncr_exe1icrosoft KBS24146 Scanner Uersion 100k0249 for 80x86 Copipight Hieposoft Corporation 2003- A11 rights resepued.Ifie purpose oF MSDcomScannerexe is to audit Uindows ss/stems over* the network f oi* KB824146 and KB
6、823980patch compliance, HSDconkScAnnet*,exe allo usadmin 1st ra tors to quickly scan enterprise networ-ks for unpatched 七epk;Ucsre = NSDconScanner.exe (/? J f/i : input_Flie 1 (Zll :losr_f ile J1 l/o :out_f ilc 1 /r) Zt:tineout J t/u七arget .-.Q*b u -1a. Jb c - di. J .!. 1 a-h.c.d/mask hosthost .doma
7、in .coin loclhostTappets can take an# of the f olloinsr f orns:-IP addi&ss-IP address range-IP address uith CIDR na&k- unqiialif led hostname-fullyqualif ied domain name check local machineTaFyecs can be specified on the Tlie F叶rt诵七 of the input Flie iscomnand line & in usep-specif ied. input flies
8、one target per lineISDcomScarrne.exea log file in the current directov if the /Isuitcti is specified on 七)1 command line_ Tlie log f iles will take the f ot*m of KB824146Scan_HMDDa-s JCa-s . log, where VY is the tvjd dig-it ye&r, MM is the tno diit nontand DD is the tuo digitThe a-z 1 (a-z 1 will be
9、 appended to the log file name as additionalscans are conpleted on the siwe 皿帀y_ Please note that the log output uill onlv contain essential inf o mat ion _ To capture full inFormation pie ase specif the /u switch for uerbose logging-SDconScanner.exe will create a list of uuLnenable systems Cunpatch
10、ed as uell as those uith KB823980 installed? in the cuprent working directoiiJ- The log Files will take the form of Uulner-ablc_VVMMDDla-z 11a-zJ.Iowhere ? is the tuo dig it ijeai*, MM is the tvo dig it montlir and DD is the tuo digit dai_ The aeJ(aeJ uill he appended to the log File nanc 刊w additio
11、nal ecans arc扫描的格式Msdcomscanner.exe单个主机ip/ 段ip地址。也可以是主机名或域名先来看一个打了补丁的系统的扫描结果#叙 C:WINDOWSsystem32kmd.exeK- Scan completedStat istics:Patched with KB82414& &nd KB823980 .1Patched iHtli KB823980 0Un patched 0TOTAL HOSTS SCANNED 1DCOM Disabled 0Needs Inuestiation 0Connect ion refused &Host unreachable 0
12、Other Errors * 0TOTAL HOSTS SKIPPED 0TOTAL ADDRESSES SCANNED D=2000 sp3MSDconScannerF面这个是有漏洞的系统的扫描结果可以看出有什么不同吧从扫描的结果可以看到(主要是看我画白线的地方),能够扫描出这台主机没有更新,也就是说这个漏洞是存在的,没有补上。那我们 就可以进行溢出了溢出的工具是rpc2sbaa.exe但这款工具的溢出是比较有局限性 的,可以看一下下面的图片,划线的地方就是这个软件可以溢出的系 统版本溢出的格式:Rpc2sbaa.exe 系统版本 对方ip地址上图是溢出后的一个结果,但是从这个结果呢,看不到
13、是成功还 是失败,我们只有试一下,当然在溢出成功之后会在对方的主机中建 立一个超级管理员的帐号IUSA密码为k911,可以使用这个帐号建立 ipc连接,从而进行进一步的操作。来验证一下效果,建立一下 ipc链接C:WINDOWSsystem32cmd,exeC; Dociiments and Sett ings Sfidmin istratornc七 use 怜记录新的网络连接。k态 本地远程网络OKW192168.1_124IPC$Micposoft Uindous Network命令成功完成。C:Documents and Settingsxfidministrator这里已经成功了,往下的就是连接后的操作,我相信大家已经知道以下的操作了,比如,可以开启tel net 服务,上传一个木马,当然也可以用其他的方法。我这就不具体讲了,因为在初级班的教程中 也讲过这个内容。下面大家就自由发挥吧,我们的这节课就到这里了,下次课#
