天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧软件 >> 正文

微软MS08-067远程控制漏洞测试

2008-10-28不详佚名
    最近,微软爆出一个安全级别为“严重”高危漏洞——MS08-067。据微软官方解释“这是Windows操作系统下的Server服务在处理RPC请求过程中存在的一个严重漏洞,远程攻击者可以通过发送恶意RPC请求触发这个溢出,导致完全入侵用户系统,并以SYSTEM权限执行任意指令并获取数据,造成系统失窃及系统崩溃等严重问题。”

  并且MS08-067漏洞的影响覆盖面很广,会影响除Windows Server 2008 Core以外所有Windows系统,包括Windows 2000/XP/Server 2003/Vista/Server 2008的各个版本,对于此漏洞微软的反应是比较迅速的。但是,由于受微软“黑屏”事件的影响,不少用户对微软的补丁更新存有戒心。有不少用户关闭了Windows的自动更新功能,当然更不会手动去打该补丁。其实用户没必要因噎废食,此补丁非造成盗版用户黑屏的KB892130,其安全补丁编号是KB958644。大家如果对自动更新不放心可以通过第三方工具,下载补丁包打上该补丁,因为该漏洞确实危害非常大。

  可以说,黑客的反应速度是非常快的,笔者今天在国外某安全站点看到了该漏洞的利用代码(Exploits),然后进行编译对该漏洞进行了一次测试。为了让大家对Ms08-067漏洞的危害及其严重程度有个感性的认识,下面笔者将这次测试的详细过程重现一遍。

  1、测试环境

  攻击主机:Windows XP SP2(OS) 192.168.1.6(IP)

  目标主机:Windows Server 2003(OS) 192.168.1.9(IP)

  2、漏洞测试

  打开攻击主机的命令行工具(cmd.exe),进入漏洞利用工具(MS08067.exe)的目录。其命令格式非常简单MS08067.exe ,只需将替换为目标主机的IP地址即可。测试环境中的目标主机Windows Server 2003(OS) 192.168.1.9(IP)没有打补丁KB958644。我们输入命令MS08067.exe 192.168.1.9,回车后显示SMB Connect OK!Maybe Patched!,表明溢出成功。(图1)

   


    
    我们打开目标主机的命令行工具,输入命令netstat -ano可以看到有一个端口号为4444的端口处于监听状态。(图2)

 


    
    然后我们在攻击主机的命令行下输入命令telnet 192.168.1.9 4444进行连接,可以看到连接成功。这样我们就获得了目标主机的一个shell,并且是system权限。输入命令,比如net user gslw test /add & net localgroup administrators gslw /add,添加一个用户名为gslw的用户,可以看到创建成功。(图3)

 


   
    这样目标主机就被完全控制了,试想如果其是服务器的话(Winsows Server 2003是非常普遍的服务器系统),那危害该有多大!      3、扩展测试

  笔者在测试中发现,在溢出成功后目标主机的监听端口为4444,其对应的PID为840(随机)。毫无疑问它应该和某个系统服务相对应,输入tasklist /svc后发现其对于的进程是svchost.exe。该进程在系统中有多个,但PID为840的这个svchost.exe进程是一个宿主进程,其中包含了诸如lanmanserver, lanmanworkstation, Netman等多个系统服务。(图4)

   


    
    那到底是哪个系统服务触发了该漏洞呢?通过笔者测试,当Computer Browser、Server、Workstation这三个系统服务中的任何一个服务被关闭后,用MS08067.exe进行溢出测试均失败。(图5)

   


    
    通过上面的测试,可见是这三个系统服务造成了MS08-067漏洞,这和微软的漏洞说明“Server服务在处理RPC请求过程9 7 3 1 2 4 8 :

本文来源:不详 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行