十一月底,Immunitysec公开了一个WINS的远程安全漏洞,入侵者可利用该漏洞完全控制运行着WINS服务的系统。其实这个漏洞早就被发现而且在地下流传已久,不过是最近才公布而已。就其公布的原因,估计是因为这个漏洞有趣,而且造成的影响不是很大吧。漏洞本身的特性决定了这个漏洞的利用可以有多种路子,让攻击者使用不同的 *** 来获得远程控制权,也许就是Immunitysec公开这个漏洞的初衷。不过微软对这个漏洞很敏感,没有发布补丁,因为说自己没有收到攻击报文,所以,本文只是详细的分析了整个漏洞的构造、利用,并未给出具体的利用程序和代码,相信读过我们系列文章“菜鸟版Expliot指南”的朋友应该都有能力写上一段自己的代码吧? 冷眼Wins远程溢出漏洞 文/图 马木留克 关于这个漏洞的描述,比较官方的描述是这样的:WINS服务支持一个称之为“WINS 复制”的特性,不同的WINS服务器可以靠这个功能交换信息。WINS复制使用的也是监听在TCP 42端口上的标准WINS协议。在WINS复制的会话过程中,服务器端会发送一个内存指针给客户端,客户端用这个指针进行后续的会话。如果客户端在发送的数据中自己修改这个指针,使之指向用户控制的数据,最终就可以向任意地址写入16个字节的数据,通过覆盖特殊地址可以执行任意代码。 对于攻击者而言,了解其中的细节非常必要。通过这一个描述,大致上我们已经可以了解到,这不是一个典型的堆或者栈上的溢出,而是WINS用我们指定的一个数据作为指针,进行了一些操作,最终导致可以写16个字节的数据到任意地址——对于大多数情况而言,能写16个字节的数据就已经足够了,典型的堆溢出甚至只需要写4个字节的数据,这个条件还是很宽松的。通过进一步的分析,我们还可以知道,这里的“16个字节”是指连续的16个字节,更为重要的是,WINS服务处理异常的机制非常的强劲,在你提交恶意的代码造成漏洞利用之后,WINS服务不会挂掉,而是继续的运行,这就意味着我们可以反复地进行“写连续的16字节”。试想一下,我们可以反复的尝试直到成功为止,这个过程中WINS服务不会因为我们的恶意攻击而出现停止的情况。 在反汇编WINS服务的守护进程之前,我们可以想象一下各种可能的利用方式。按照Immunitysec的说法,恶意用户提交的数据是在堆上的,这就非常类似于远程堆溢出,加上可以写任意值到任意的地址,可以想象,几乎所有的堆溢出利用方式都可以应用到这上面来。最常用的,写top seh,然后看能不能通过寄存器来定位;其次,我们可以尝试写Lookaside表,通过多次发包来强制定位自己的ShellCode地址,然后通过改写RtlEnterCriticalSection(0x7ffdf020)等固定的函数指针来获得控制权;再直接一点,既然可以多次触发而服务不崩溃,那反复利用这个漏洞,直接写ShellCode到一块固定的内存(比如0x7ffdf222)去,继而通过改写固定的函数指针来获得控制权也是一条路子。总之,漏洞本身的特性决定了这个漏洞的利用可以有多种路子,让攻击者使用不同的 *** 来获得远程控制权,也许就是Immunitysec公开这个漏洞的初衷吧。 Immunity在公布漏洞的同时,公布了触发漏洞的报文格式,如表1所示: 报文长度(除头部4字节)XX XX FF XX四字节指针(绝对地址) …… …… …… ……(表1) 其中报文的长度要小于0x2f87f8。报文本身没有什么其它特殊的要求,满足上述格式的都可以触发漏洞。报文中的第三个DOWRD就是一个我们可以控制的指针,因此,我们可以设定这个指针指向我们发送的报文本身所在的地方,进而控制随后依据这个指针的内存读写。 在一台Windows 2000 Server SP3 + MS04006补丁的机器上,反汇编Wins.exe可以得到如下的代码: .text:0101FE34 sub_101FE34 proc near ; CODE XREF: sub_101FD13+2A p.text:0101FE34 .text:0101FE34 var_84 = dword ptr -84h... ...text:0101FE34 arg_4 = dword ptr 0Ch.text:0101FE34 arg_8 = dword ptr 10h.text:0101FE34 arg_C = dword ptr 14h... ....text:0101FE64 mov ebx, [ebp+arg_4]; 指向提交数据的指针.text:0101FE67
新华社昆明4月5日电(记者姚兵 张雯)云南省瑞丽市4月5日晚召开发布会介绍,自6日8时起,将对瑞丽市城区进行第二轮全员核酸检测。 瑞丽市委书记龚云尊说,为集中力量、集中资源全力做好瑞丽市城区第二...
本文目录一览: 1、sql注入对https://www.198bona.com这个网站搭建的数据库有效果吗? 2、360提示:你的电脑极有可能正在被黑客通过网络入侵攻击,很可能是黑客利用安装的微软...
订阅邮件过多,不方便解决,该怎么办?139邮箱根据设定新建文件夹来归类电子邮件能够处理? 专用工具/原材料 139邮箱建立收信标准...
微信记录删除后如何恢复?微信作为我们日常生活工作中不可或缺的社交软件,每天都要打开很多遍,它的作用可想而知,而随时使用频率的增加,我们的微信中会产生大量的聊天记录,其中包括图片视频语音等各类信息,有些...
教你怎么查老婆删掉的微信聊天记录,简单实用!情况有很多种,我 可以帮忙分析一下, 你看一下 是哪一种,无论是什 内么情况,你 容都不要着 急上火,喜怒于言表。最好掌握情况后一起坐下来谈谈。1.她男同学...
针对美国50个州和华盛顿哥伦比亚特区已确认2020年大选结果并于14日举行选举人会议正式选举总统和副总统,外交部发言人汪文斌15日说,中方注意到有关选举结果,习近平主席已于11月25日致电拜登先生...