RPC溢出相关黑兵面面观
作者: 来源:不详 添加时间:2006-5-25 22:50:02如果一定要说这段时间和前段时间在国内网络安全领域有什么不同的话,我想,最大的差异莫过于“Microsoft RPC接口远程任意代码可执行漏洞”漏洞了,为什么这么说呢?我们一起看看中联绿盟的官方漏洞通告就知道了。
漏洞描述:
--------------------------------------------------------------------------------
Remote Procedure Call (RPC)是Windows操作系统使用的一种远程过程调用协议,RPC提供进程间交互通信机制,允许在某台计算机上运行的程序无缝地在远程系统上执行代码。协议本身源自OSF RPC协议,但增加了Microsoft特定的扩展。
Microsoft的RPC部分在通过TCP/IP处理信息交换时存在问题,远程攻击者可以利用这个漏洞以本地系统权限在系统上执行任意指令。
此漏洞是由于不正确处理畸形消息所致,漏洞影响使用RPC的DCOM接口。此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者成功利用此漏洞可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作,如安装程序、查看或更改、删除数据或建立系统管理员权限的帐户。
要利用这个漏洞,攻击者需要发送特殊形式的请求到远程机器上的135端口。
--------------------------------------------------------------------------------
受影响系统:
--------------------------------------------------------------------------------
Microsoft Windows XP Professional SP1
Microsoft Windows XP Professional
Microsoft Windows XP Home SP1
Microsoft Windows XP Home
Microsoft Windows XP
Microsoft Windows NT 4.0SP6a
Microsoft Windows NT 4.0SP6
Microsoft Windows NT 4.0SP5
Microsoft Windows NT 4.0SP4
Microsoft Windows NT 4.0SP3
Microsoft Windows NT 4.0SP2
Microsoft Windows NT 4.0SP1
Microsoft Windows NT 4.0
Microsoft Windows 2003
Microsoft Windows 2000SP3
Microsoft Windows 2000SP2
Microsoft Windows 2000SP1
Microsoft Windows 2000
--------------------------------------------------------------------------------
如何?知道为什么这么火了吧?影响面广不说,溢出取得权限也是可怕的,可以获取SYSTEM权限。
说了这么多相关知识,下面进入正题,我们这里讲到的工具在黑白一个名叫rpc的压缩包中全有,欢迎大家下载使用,地址: http://81.heibai.net:81/download/show.php?id=3947。
一.扫描篇
首先呢,我来介绍压缩包中叫dcomrpc.xpn的东东,这个东西是作为第三方插件对xscan进行rpc扫描上的扩展的,我们只需要拷贝dcomrpc.xpn到X-Scan23的plugin目录下即可。
拷贝前, 如图一
拷贝后, 如图二
如何,简单吧。
接着,我再来给你大家介绍压缩包中的rpc_locator.exe工具,一个控制台模式下速度超快的rpc漏洞专扫工具。
使用命令格式如下:rpc_locator IPAddress-Start IPAddress-End
示例
在扫描这部分的最后,我们来说说太阳雨公司出的专门的rpc的扫描工具RPC漏洞扫描器。
这个包里收录的是一个汉化程序,具我使用的感觉,还是很不错的,可以做为面向初学者的一个专一漏洞扫描程序。
简单吧。
二.攻击篇
1.cndcom.exe,RPC 溢出程序,针对几乎所有版本,使用格式如下:
cndcom <Target ID> <Target IP>
对应的类型ID如下:
0 Windows 2000 SP0 (English)
1 Windows 2000 SP1 (English)
2 Windows 2000 SP2 (English)
3 Windows 2000 SP3 (English)
4 Windows 2000 SP4 (English)
5 Windows XP SP0 (English)
6 Windows XP SP1 (English)
7 Windows NT SP5 (Chinese)
8 Windows NT SP6 (Chinese)
9 Windows NT SP6 (Chinesebig5)
10 Windows 2000 SP0 (Chinese)
11 Windows 2000 SP1 (Chinese)
12 Windows 2000 SP2 (Chinese)
13 Windows 2000 SP2 add(Chinese)
14 Windows 2000 SP3 (Chinese)
15 Windows 2000 SP3 add(Chinese&big5 sp3)
16 Windows 2000 SP4 (okChinese)
17 Windows 2000 SP4 add(Chinese)
18 Windows XP SP1 (Chinese)
19 Windows 2000 SP0 (Japanese)
20 Windows 2000 SP1 (Japanese)
21 Windows 2000 SP2 (Japanese)
22 Windows 2000 SP0 (Korean)
23 Windows 2000 SP1 (Korean)
24 Windows 2000 SP2 (Korean)
25 Windows 2000 SP0 (MX)
26 Windows 2000 SP1 (Mx)
全不全?我这里举个例子来说吧,比如我要攻击一个IP地址为127.0.0.1的英文版2000+SP4,我对应的命令就是:
接下来嘛?呵呵,溢出成功了,自然就不用我再多说什么了……
2.endcom.exe,RPC 溢出程序,仅支持英文版。
3.chdcom.exe,RPC 溢出程序,在cndcom.exe中完全包容。
三.补丁篇
Windows2000-KB823980-x86-CHS.exe,微软发布的针对这个漏洞的补丁,直接双击,运行安装即可。
需要注意的是这个RPC的溢出补丁,适用于Windows 2000中文版。
四.教程篇
笔者罗嗦了这么多,怎么也没有读者您能亲眼目睹整个攻击流程来得过瘾吧,rpc.exe,这个东西就是网上流传的关于RPC方面的教学动画,还不快看看?