十一月底,Immunitysec公开了一个WINS的远程安全漏洞,入侵者可利用该漏洞完全控制运行着WINS服务的系统。其实这个漏洞早就被发现而且在地下流传已久,不过是最近才公布而已。就其公布的原因,估计是因为这个漏洞有趣,而且造成的影响不是很大吧。漏洞本身的特性决定了这个漏洞的利用可以有多种路子,让攻击者使用不同的 *** 来获得远程控制权,也许就是Immunitysec公开这个漏洞的初衷。不过微软对这个漏洞很敏感,没有发布补丁,因为说自己没有收到攻击报文,所以,本文只是详细的分析了整个漏洞的构造、利用,并未给出具体的利用程序和代码,相信读过我们系列文章“菜鸟版Expliot指南”的朋友应该都有能力写上一段自己的代码吧? 冷眼Wins远程溢出漏洞 文/图 马木留克 关于这个漏洞的描述,比较官方的描述是这样的:WINS服务支持一个称之为“WINS 复制”的特性,不同的WINS服务器可以靠这个功能交换信息。WINS复制使用的也是监听在TCP 42端口上的标准WINS协议。在WINS复制的会话过程中,服务器端会发送一个内存指针给客户端,客户端用这个指针进行后续的会话。如果客户端在发送的数据中自己修改这个指针,使之指向用户控制的数据,最终就可以向任意地址写入16个字节的数据,通过覆盖特殊地址可以执行任意代码。 对于攻击者而言,了解其中的细节非常必要。通过这一个描述,大致上我们已经可以了解到,这不是一个典型的堆或者栈上的溢出,而是WINS用我们指定的一个数据作为指针,进行了一些操作,最终导致可以写16个字节的数据到任意地址——对于大多数情况而言,能写16个字节的数据就已经足够了,典型的堆溢出甚至只需要写4个字节的数据,这个条件还是很宽松的。通过进一步的分析,我们还可以知道,这里的“16个字节”是指连续的16个字节,更为重要的是,WINS服务处理异常的机制非常的强劲,在你提交恶意的代码造成漏洞利用之后,WINS服务不会挂掉,而是继续的运行,这就意味着我们可以反复地进行“写连续的16字节”。试想一下,我们可以反复的尝试直到成功为止,这个过程中WINS服务不会因为我们的恶意攻击而出现停止的情况。 在反汇编WINS服务的守护进程之前,我们可以想象一下各种可能的利用方式。按照Immunitysec的说法,恶意用户提交的数据是在堆上的,这就非常类似于远程堆溢出,加上可以写任意值到任意的地址,可以想象,几乎所有的堆溢出利用方式都可以应用到这上面来。最常用的,写top seh,然后看能不能通过寄存器来定位;其次,我们可以尝试写Lookaside表,通过多次发包来强制定位自己的ShellCode地址,然后通过改写RtlEnterCriticalSection(0x7ffdf020)等固定的函数指针来获得控制权;再直接一点,既然可以多次触发而服务不崩溃,那反复利用这个漏洞,直接写ShellCode到一块固定的内存(比如0x7ffdf222)去,继而通过改写固定的函数指针来获得控制权也是一条路子。总之,漏洞本身的特性决定了这个漏洞的利用可以有多种路子,让攻击者使用不同的 *** 来获得远程控制权,也许就是Immunitysec公开这个漏洞的初衷吧。 Immunity在公布漏洞的同时,公布了触发漏洞的报文格式,如表1所示: 报文长度(除头部4字节)XX XX FF XX四字节指针(绝对地址) …… …… …… ……(表1) 其中报文的长度要小于0x2f87f8。报文本身没有什么其它特殊的要求,满足上述格式的都可以触发漏洞。报文中的第三个DOWRD就是一个我们可以控制的指针,因此,我们可以设定这个指针指向我们发送的报文本身所在的地方,进而控制随后依据这个指针的内存读写。 在一台Windows 2000 Server SP3 + MS04006补丁的机器上,反汇编Wins.exe可以得到如下的代码: .text:0101FE34 sub_101FE34 proc near ; CODE XREF: sub_101FD13+2A p.text:0101FE34 .text:0101FE34 var_84 = dword ptr -84h... ...text:0101FE34 arg_4 = dword ptr 0Ch.text:0101FE34 arg_8 = dword ptr 10h.text:0101FE34 arg_C = dword ptr 14h... ....text:0101FE64 mov ebx, [ebp+arg_4]; 指向提交数据的指针.text:0101FE67
美国爱情片,也译为杀不死的勇者或铁血猛龙 没注意,是她喜欢的 这东西好像网上很少了。找不到下载地址。 古文做一点参考书吧例如《学海风暴》我就是用这个很有用古文要注意日常积累要背要记的东西很多那一本笔记...
关注民福慧康大药房,公众号,及时阻断艾滋。广西崇左哪里有买艾滋病hiv阻断药 由于新冠疫情,原定在盖茨基金会探索中心展出的线下艺术展和工作坊变成了一个为期5个月的在线计划。他们分享了各自版本的“艾滋故...
朋友,你的出发点就很不好,你不能这样想,话说没有做不到的只有想不到的。你还是收敛点吧,你应该这样想,你要做个计算机工程师。这样你就好了。学。 梦想黑客联盟最大最权威的黑客学习论坛本站拥有强大的技术力...
市场中美食众多,不断的出现新奇的美食,但是不管市场中怎么变化,火锅一直都是人们最喜爱的美食质疑,不能阻挡人们对火锅的喜爱之情,致使火锅行业一直发展很好。四味火锅加盟作为一个新型的特色品牌,一经推出,就...
本文介绍了如何使用SQL Server中的OLE DB ADSI提供程序查询获取Active Directory的域信息。在本文中,我还将分享许多新的PowerUpSQL函数,这些函数可用于通过SQL...
人见人爱的麻辣烫,是集暖锅与串串香的完美团结,打造出越发便于食用的新式特色美食,自麻辣行业不绝向前成长至今,市面上大巨细小的麻辣烫品牌,泛起蒸蒸日上的成长趋势,老小皆宜的麻辣烫,在餐饮行业中脱颖而出,...