题目：windowsrpcdcom堆缓冲区溢出漏洞

1、题目：wi ndows rpc dcom 堆缓冲区溢出漏洞这节课来讲一下 windows rpc dcom 堆缓冲区溢出漏洞的介绍受影响的软件及系统：-Microsoft Win dows NT-Microsoft Win dows XP-Microsoft Win dows 2000-Microsoft Win dows 2003未受影响的软件及系统：-Microsoft Win dows 98综述：NSFOCU安全小组发现微软Windows系统中RPC DCO接口中存在一个远程可利用的缓冲区溢出漏洞，远程攻击者可能利用这个漏洞获取 local system 权限。漏洞分析:远程过程调用（R

2、PC）是Windows操作系统使用的一个协议。 RPC提供一种内部进程通讯机制，允许在一台电脑上运行的程序无缝 的执行远程系统中的代码。协议本身源于开放软件基金会（OSF）RPC协议，但添加了一些 Microsoft特定的扩展。在Windows RPC在分布式组件对象模型（DCOM接口的处理中 存在一个缓冲区溢出漏洞。 Windows的DCO体现在处理一个参数的时 候没有检查长度。通过提交一个超长（数百字节）的文件名参数可以 导致堆溢出，从而使 RpcSS服务崩溃。精心构造提交的数据就可以在系统上以本地系统权限运行代码。 攻击者可以在系统中采取任何行为， 包括安装程序， 窃取更改或删除数据，或

3、以完全权限创建新帐号。此漏洞可以通过 135(TCP/UDP)、139、 445、 593 等端口发起 攻击。注意，此漏洞与 MS03-026 中描述的漏洞并非同一个漏洞，MS03-026 (Q823980)的安全补丁并不能修复该漏洞。这个漏洞给出了一些变通的方法，大家参考一下 使用防火墙阻塞至少下列端口：135/UDP137/UDP138/UDP445/UDP135/TCP139/TCP445/TCP593/TCP在受影响主机禁用 COM Internet 服务和 RPC over HTTP* 如果因为某些原因确实不能阻塞上述端口，可以考虑暂时 禁用 DCO：M打开"控制面板 &q

4、uot;->" 管理工具 "->" 组件服务 "。在"控制台根目录 "树的"组件服务 "->" 计算机"->" 、我的电脑"上单击 右键，选 " 属性" 。选取"默认属性"页，取消"在此计算机上启用分布式 COM的 复选框。点击下面的 "确定"按钮，并退出 "组件服务 "。注意：禁用DCOM可能导致某些应用程序运行失败和系统运行异常。包括一些重要系统服务不能启动，

5、我们不推荐此种方法。应尽 量根据上面的介绍使用防火墙阻塞端口来确保系统安全。以上是这个漏洞的介绍和一些变通的方法，下面我们就来演示一 下关于这个漏洞的攻击利用。第一步，还是要扫描（扫描是在我们攻击之前的一个必需步骤） ， 扫描工具是 MsDcomscanner.exe,这个工具是专门扫描 rpc dcom 漏洞， 效果还可以。关于这个工具的介绍比较多，大家主要看一下上半部分的说明就 可以了3D: 2000 sp3JISDcodtScanneirMlSDconScanncr_exe1icrosoft <R> KBS24146 Scanner Uersion 1«00k024

6、9 for 80x86 Copipight <c> Hieposoft Corporation 2003- A11 rights resepued.Ifie purpose oF MSDcomScannerexe is to audit Uindows ss/stems over* the network f oi* KB824146 and KB823980patch compliance, HSDconkScAnnet*,exe allo usadmin 1st ra tors to quickly scan enterprise networ-ks for unpatched

7、 七epk;Ucsre = NSDconScanner.exe (/? J f/i ： input_Flie 1 (Zll ：losr_f ile J1 l/o ：out_f ilc 1 /r) Zt：tineout J t/u七arget .-.Q*b u -<1a. Jb c - d'i. J .!<. 1 a-h.c.d/mask hosthost .domain .coin loclhostTappets can take an# of the f olloinsr f orns:-IP addi'&ss-IP address range-IP ad

8、dress uith CIDR na&k- unqiialif led hostname-fullyqualif ied domain name check local machineTaFyecs can be specified on the Tlie F叶rt诵七 of the input Flie iscomnand line & in usep-specif ied. input flies one target per lineISDcomScarrne.exea log file in the current directov if the /Isuitcti i

9、s specified on 七)1£ command line_ <0therwise output is on 1 sent to the screen.> Tlie log f iles will take the f ot*m of KB824146Scan_¥¥HMDDa-s JCa-s . log, where VY is the tvjd dig-it ye&r, MM is the tno diit nontand DD is the tuo digitThe a-z 1 (a-z 1 will be appended to t

10、he log file name as additionalscans are conpleted on the siwe 皿帀y_ Please note that the log output uill onlv contain essential inf o mat ion _ To capture full inFormation > pie ase specif the /u switch for uerbose logging-SDconScanner.exe will create a list of uuLnenable systems Cunpatched as uel

11、l as those uith KB823980 installed? in the cuprent working directoiiJ- The log Files will take the form of Uulner-ablc_VVMMDDla-z 11a-zJ.Iowhere ¥? is the tuo dig it ijeai*, MM is the tvo dig it montlir and DD is the tuo digit dai>_ The aeJ(aeJ uill he appended to the log File nanc 刊w additi

12、onal ecans arc扫描的格式Msdcomscanner.exe单个主机ip/ 段ip地址。也可以是主机名或域名先来看一个打了补丁的系统的扫描结果4叙 C:WINDOWSsystem32kmd.exeK-> Scan completedStat istics:Patched with KB82414& &nd KB823980 .1Patched iHtli KB823980 0Un patched 0TOTAL HOSTS SCANNED 1DCOM Disabled 0Needs Inuestiation 0Connect ion refused &H

13、ost unreachable 0Other Errors * 0TOTAL HOSTS SKIPPED 0TOTAL ADDRESSES SCANNED D=2000 sp3MSDconScanner>F面这个是有漏洞的系统的扫描结果可以看出有什么不同吧从扫描的结果可以看到（主要是看我画白线的地方），能够扫描出这台主机没有更新，也就是说这个漏洞是存在的，没有补上。那我们 就可以进行溢出了溢出的工具是rpc2sbaa.exe但这款工具的溢出是比较有局限性 的，可以看一下下面的图片，划线的地方就是这个软件可以溢出的系 统版本溢出的格式：Rpc2sbaa.exe 系统版本 对方ip地址上图是溢出后的一个结果，但是从这个结果呢，看不到是成功还 是失败，我们只有试一下，当然在溢出成功之后会在对方的主机中建 立一个超级管理员的帐号IUSA密码为k911，可以使用这个帐号建立 ipc连接，从而进行进一步的操作。来验证一下效果，建立一下 ipc链接C:WINDOWSsystem32cmd,exeC; Dociiments and Sett ings Sfidmin istrator>nc七 use 怜记录新的网络连接。k态 本地远程网络OKW19