-
-
[旧帖] [原创]MS03-049 Windows workstation远程溢出 0.00雪花
-
发表于: 2009-11-25 22:14
-
MS03-049 Windows workstation远程溢出
个人博客:http://hi.baidu.com/lazivip
作者:孤独浪子
文章已发布在黑客手册,转载请说明出处。
可能大家会说老了点,但我们还是要认识他下。
关于windows workstation 服务远程溢出漏洞的利用,下面看一下受影响的软件
· Microsoft Windows 2000 Service Pack 2、Service Pack 3、Service Pack 4
· Microsoft Windows XP Gold、Service Pack 1
· Microsoft Windows XP 64-Bit Edition Gold,Service Pack 1
不受影响的软件:
· Microsoft Windows NT Workstation 4.0,Service Pack 6a
· Microsoft Windows NT Server 4.0,Service Pack 6a
· Microsoft Windows NT Server 4.0,Terminal Server Edition,Service Pack 6
· Microsoft Windows Millennium Edition
· Microsoft Windows XP 64-Bit Edition Version 2003
· Microsoft Windows Server 2003
· Microsoft Windows Server 2003 64-Bit Edition
Workstation 服务中存在一个安全漏洞,这一漏洞允许在受影响的系统中执行远程代码。造成这一漏洞的原因是,Workstation 服务中存在未经检查的缓冲区。
如果这一漏洞被人加以利用,攻击者可获得受影响系统的系统权限,或者使 Workstation 服务无法正常工作。攻击者可以对系统执行任何操作,其中包括:安装程序;查看、更改或删除数据;或者创建拥有完全权限的新帐户。
什么是 Workstation 服务?
本地文件系统请求和远程文件或打印网络请求都通过 Workstation 服务进行路由。此服务确定资源的位置,然后将请求路由到本地文件系统或网络组件。如果停止 Workstation 服务,则会将所有请求假定为本地请求。
哪些人可能利用该漏洞?
任何可以向受影响的系统上的 Workstation 服务发送有问题的消息的匿名用户均可以尝试利用此漏洞。由于默认情况下 Workstation 服务在 Windows 的各个版本中都是启用的,这就意味着任何能够与受影响的系统建立连接的用户都可以尝试利用此漏洞。
攻击者可能如何利用此漏洞?
攻击者可以通过创建特制的网络消息并将其发送到受影响系统上的 Workstation 服务来设法利用此漏洞。接收此类消息会使容易受到攻击的系统上的 Workstation 服务执行代码,从而导致 Workstation 服务无法正常工作。
攻击者也可以通过其他方法访问受影响的组件,例如,通过交互方式登录到受影响的系统,或使用一个应用程序在本地或远程向受影响的组件传递参数。
变通办法
Microsoft 已对以下变通办法进行了测试。这些变通办法无法从根本上解决安全漏洞,但有助于阻止未知的攻击传播媒介。在有些情况下,采用变通办法可能会导致功能性下降。下面列出了此类情况。
使用防火墙封堵 UDP 端口 138、139、445 和 TCP 端口 138、139、445。
这些端口用于接受远程计算机上的远程过程调用 (RPC) 连接。在防火墙位置封堵这些端口,有助于防止防火墙后面的系统免遭他人利用此漏洞进行的攻击。
使用个人防火墙,如 Windows XP 附带的 Internet 连接防火墙。
如果您使用 Windows XP 中的"Internet 连接防火墙"功能来帮助保护 Internet 连接,则"Internet 连接防火墙"在默认情况下会封堵来自 Internet 或 Intranet 的入站通信。
要使用"网络安装向导"来启用"Internet 连接防火墙"功能,请执行以下操作:
1. 单击"开始",然后单击"控制面板"。
2. 在默认的"分类视图"中,单击"网络和 Internet 连接",然后单击"设置或更改您的家庭或小型办公网络"。当在"网络安装向导"中将计算机配置为直接连接至 Internet 后,"Internet 连接防火墙"功能即会启用。
要对某一连接手动配置"Internet 连接防火墙",请执行以下操作:
1. 单击"开始",然后单击"控制面板"。
2. 在默认的"分类视图"中,单击"网络和 Internet 连接",然后单击"网络连接"。
3. 右键单击您要启用"Internet 连接防火墙"的连接,然后单击"属性"。
4. 单击"高级"选项卡。
5. 选择"通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机或网络"复选框,然后单击"确定"。
注意 如果您想通过防火墙启用某些应用程序和服务,请单击"高级"选项卡上的"设置",然后选择程序、协议及服务。
在基于 Windows 2000 的系统和基于 Windows XP 的系统上启用高级 TCP/IP 筛选。
可以启用高级 TCP/IP 筛选来封堵所有未经请求的入站通信。有关如何配置 TCP/IP 筛选的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中的相应文章:
309798 HOW TO: Configure TCP/IP Filtering in Windows 2000(如何:在 Windows 2000 中配置 TCP/IP 筛选)
禁用 Workstation 服务。
可以禁用 Workstation 服务以防止可能受到的攻击。要在 Windows XP 上禁用 Workstation 服务,请执行以下操作:
1. 单击"开始",然后单击"控制面板"。
2. 在默认的"分类视图"中,单击"性能和维护"。
3. 单击"管理工具"。
4. 双击"服务"。
5. 双击"Workstation"。
6. 在"常规"选项卡上,单击"启动类型"列表中的"禁用"。
7. 单击"服务状态"下的"停止",然后单击"确定"。
要在 Windows 2000 上禁用 Workstation 服务,请执行以下操作:
1. 单击"开始",指向"设置",然后单击"控制面板"。
2. 双击"管理工具"。
3. 双击"服务"。
4. 双击"Workstation"。
5. 在"常规"选项卡上,单击"启动类型"列表中的"禁用"。
6. 单击"服务状态"下的"停止",然后单击"确定"。
以上这些都是关于ms03049 这个漏洞的介绍,以及该怎样变通,下面我们就说一下该怎样利用这个漏洞。
Workstation是一个很重要的服务,也是必须的服务,所以在网络中主机如果没有特殊配置的话,默认是都是开放的,所以我们直接使用工具溢出就可以了。
我们所用到的工具是ms03049.EⅩE,这个工具可以针对的系统是 win2000server、win xp 如下图所示 (注:系统为win2000ser时,分区不可以是ntfs ,必须为fat )
这个工具的格式为ms03049.EⅩE 192.168.1.100
Ms03049.EⅩE 192.168.1.100 2k (这个为2000ser 格式)
当出现以上界面的时候,我们直接用telnet或者是nc 连接 就可以了,要注意的是,这个工具默认大的端口是1234 这个大家一定要记住。
这样就可以得到对方的cmdshell了,得到权限后的操作我就不跟大家说了,这些大家都知道该怎么做。
个人博客:http://hi.baidu.com/lazivip
作者:孤独浪子
文章已发布在黑客手册,转载请说明出处。
可能大家会说老了点,但我们还是要认识他下。
关于windows workstation 服务远程溢出漏洞的利用,下面看一下受影响的软件
· Microsoft Windows 2000 Service Pack 2、Service Pack 3、Service Pack 4
· Microsoft Windows XP Gold、Service Pack 1
· Microsoft Windows XP 64-Bit Edition Gold,Service Pack 1
不受影响的软件:
· Microsoft Windows NT Workstation 4.0,Service Pack 6a
· Microsoft Windows NT Server 4.0,Service Pack 6a
· Microsoft Windows NT Server 4.0,Terminal Server Edition,Service Pack 6
· Microsoft Windows Millennium Edition
· Microsoft Windows XP 64-Bit Edition Version 2003
· Microsoft Windows Server 2003
· Microsoft Windows Server 2003 64-Bit Edition
Workstation 服务中存在一个安全漏洞,这一漏洞允许在受影响的系统中执行远程代码。造成这一漏洞的原因是,Workstation 服务中存在未经检查的缓冲区。
如果这一漏洞被人加以利用,攻击者可获得受影响系统的系统权限,或者使 Workstation 服务无法正常工作。攻击者可以对系统执行任何操作,其中包括:安装程序;查看、更改或删除数据;或者创建拥有完全权限的新帐户。
什么是 Workstation 服务?
本地文件系统请求和远程文件或打印网络请求都通过 Workstation 服务进行路由。此服务确定资源的位置,然后将请求路由到本地文件系统或网络组件。如果停止 Workstation 服务,则会将所有请求假定为本地请求。
哪些人可能利用该漏洞?
任何可以向受影响的系统上的 Workstation 服务发送有问题的消息的匿名用户均可以尝试利用此漏洞。由于默认情况下 Workstation 服务在 Windows 的各个版本中都是启用的,这就意味着任何能够与受影响的系统建立连接的用户都可以尝试利用此漏洞。
攻击者可能如何利用此漏洞?
攻击者可以通过创建特制的网络消息并将其发送到受影响系统上的 Workstation 服务来设法利用此漏洞。接收此类消息会使容易受到攻击的系统上的 Workstation 服务执行代码,从而导致 Workstation 服务无法正常工作。
攻击者也可以通过其他方法访问受影响的组件,例如,通过交互方式登录到受影响的系统,或使用一个应用程序在本地或远程向受影响的组件传递参数。
变通办法
Microsoft 已对以下变通办法进行了测试。这些变通办法无法从根本上解决安全漏洞,但有助于阻止未知的攻击传播媒介。在有些情况下,采用变通办法可能会导致功能性下降。下面列出了此类情况。
使用防火墙封堵 UDP 端口 138、139、445 和 TCP 端口 138、139、445。
这些端口用于接受远程计算机上的远程过程调用 (RPC) 连接。在防火墙位置封堵这些端口,有助于防止防火墙后面的系统免遭他人利用此漏洞进行的攻击。
使用个人防火墙,如 Windows XP 附带的 Internet 连接防火墙。
如果您使用 Windows XP 中的"Internet 连接防火墙"功能来帮助保护 Internet 连接,则"Internet 连接防火墙"在默认情况下会封堵来自 Internet 或 Intranet 的入站通信。
要使用"网络安装向导"来启用"Internet 连接防火墙"功能,请执行以下操作:
1. 单击"开始",然后单击"控制面板"。
2. 在默认的"分类视图"中,单击"网络和 Internet 连接",然后单击"设置或更改您的家庭或小型办公网络"。当在"网络安装向导"中将计算机配置为直接连接至 Internet 后,"Internet 连接防火墙"功能即会启用。
要对某一连接手动配置"Internet 连接防火墙",请执行以下操作:
1. 单击"开始",然后单击"控制面板"。
2. 在默认的"分类视图"中,单击"网络和 Internet 连接",然后单击"网络连接"。
3. 右键单击您要启用"Internet 连接防火墙"的连接,然后单击"属性"。
4. 单击"高级"选项卡。
5. 选择"通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机或网络"复选框,然后单击"确定"。
注意 如果您想通过防火墙启用某些应用程序和服务,请单击"高级"选项卡上的"设置",然后选择程序、协议及服务。
在基于 Windows 2000 的系统和基于 Windows XP 的系统上启用高级 TCP/IP 筛选。
可以启用高级 TCP/IP 筛选来封堵所有未经请求的入站通信。有关如何配置 TCP/IP 筛选的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中的相应文章:
309798 HOW TO: Configure TCP/IP Filtering in Windows 2000(如何:在 Windows 2000 中配置 TCP/IP 筛选)
禁用 Workstation 服务。
可以禁用 Workstation 服务以防止可能受到的攻击。要在 Windows XP 上禁用 Workstation 服务,请执行以下操作:
1. 单击"开始",然后单击"控制面板"。
2. 在默认的"分类视图"中,单击"性能和维护"。
3. 单击"管理工具"。
4. 双击"服务"。
5. 双击"Workstation"。
6. 在"常规"选项卡上,单击"启动类型"列表中的"禁用"。
7. 单击"服务状态"下的"停止",然后单击"确定"。
要在 Windows 2000 上禁用 Workstation 服务,请执行以下操作:
1. 单击"开始",指向"设置",然后单击"控制面板"。
2. 双击"管理工具"。
3. 双击"服务"。
4. 双击"Workstation"。
5. 在"常规"选项卡上,单击"启动类型"列表中的"禁用"。
6. 单击"服务状态"下的"停止",然后单击"确定"。
以上这些都是关于ms03049 这个漏洞的介绍,以及该怎样变通,下面我们就说一下该怎样利用这个漏洞。
Workstation是一个很重要的服务,也是必须的服务,所以在网络中主机如果没有特殊配置的话,默认是都是开放的,所以我们直接使用工具溢出就可以了。
我们所用到的工具是ms03049.EⅩE,这个工具可以针对的系统是 win2000server、win xp 如下图所示 (注:系统为win2000ser时,分区不可以是ntfs ,必须为fat )
这个工具的格式为ms03049.EⅩE 192.168.1.100
Ms03049.EⅩE 192.168.1.100 2k (这个为2000ser 格式)
当出现以上界面的时候,我们直接用telnet或者是nc 连接 就可以了,要注意的是,这个工具默认大的端口是1234 这个大家一定要记住。
这样就可以得到对方的cmdshell了,得到权限后的操作我就不跟大家说了,这些大家都知道该怎么做。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
