1   1  /  1  页   跳转

blaster rpc exploit

收藏
digualuoluo
头像
强壮不惑狮
  • 帖子:725
  • 注册: 2006-01-18
  • 来自:
发表于: 2006-03-18 22:10 | 只看楼主 短消息 资料
字号: 1楼

blaster rpc exploit

blaster rpc expliot 这是什么东西?

是漏洞,会有什么后果么?谢谢。
最后编辑2006-07-24 14:02:56
分享到:
gototop
 
love已不在
头像
叱咤花甲狮
  • 帖子:4386
  • 注册: 2004-10-27
  • 来自:撒哈拉以北
发表于: 2006-03-18 23:50 | 短消息 资料
字号: 2楼


  远程过程调用(RPC)是Windows 操作系统使用的一个协议。RPC提供一种内部进程通讯机制,允许在一台电脑上运行的程序无缝的执行远程系统中的代码。协议本身源于开放软件基金会(OSF)RPC协议,但添加了一些微软特定的扩展。

Blaster Rpc Exploit主要是缓冲溢出漏洞和拒绝服务漏洞。它们分别是:

1、Windows RPC DCOM接口长文件名堆缓冲区溢出漏洞
Windows RPC在分布式组件对象模型(DCOM)接口的处理中存在一个缓冲区溢出漏洞。Windows的DCOM实现在处理一个参数的时候没有检查长度。通过提交一个超长(数百字节)的文件名参数可以导致堆溢出,从而使RpcSS 服务崩溃。精心构造提交的数据就可以在系统上以本地系统权限运行代码。成功利用此漏洞攻击者可以在系统中采取任何行为,包括安装程序, 窃取更改或删除数据,或以完全权限创建新帐号。

2、Windows RPC DCOM接口报文长度域堆缓冲区溢出漏洞
Windows RPC DCOM接口对报文的长度域缺乏检查导致发生基于堆的溢出,远程攻击者可以
利用这些漏洞以本地系统权限在系统上执行任意指令。漏洞实质上影响的是使用RPC的DCOM接口,此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者通过向目标发送畸形RPC DCOM请求来利用这些漏洞。成功利用此漏洞可以以本地系统权限执行任意指令。成功利用此漏洞攻击者可以在系统上执行任意操作 ,如安装程序、查看或更改、删除数据或创建系统管理员权限的帐户。

3、Windows RPC DCOM接口拒绝服务和权限提升漏洞
windows RPC DCOM服务存在拒绝服务缺陷,一个远程的攻击者通过发送特定的消息可以导
致RPC服务产生拒绝服务攻击,而本地的攻击者可发送畸形的消息到__RemoteGetClassObject界面,可导致一个空的指令被传送到PerformScmStage函数,这会造成拒绝服务攻击,并且攻击者可以劫持epmapper的管道来达到提升权限的目的。
gototop
 
love已不在
头像
叱咤花甲狮
  • 帖子:4386
  • 注册: 2004-10-27
  • 来自:撒哈拉以北
发表于: 2006-03-19 00:04 | 短消息 资料
字号: 3楼

部分利用rpc漏洞的攻击工具:

1:
名称:rpc-exploit
下载地址:http://666w.com/down/view.asp?id=168(为了怕大家误点,我没有做连接)
攻击原理:这主要因为windows 操作系统内存管理分配存在(固定)堆的问题!而以前都停留在动态连接库中查询,才会受补丁影响。在(固定)堆中例如ff e4 、50 c3 、51 c3、 52 c3、 53 c3、 54 c3等等很多,基本上能解决目前返回地址的问题。希望大家在着一方面作更多研究彻底解决sp 的问题。我的程序中dcom rpc 漏洞,返回地址随便挑的54 c3 (push esp/ ret)。

2:
名称:dcom rpc攻击程序
攻击原理:在远程机器添加user/pass:qing10/qing10、另外一个远程启动rpcss服务恢复被攻击机器的工作环境。

3:
名称:RPC Locator exploit
下载地址:http://www.chinesehack.org/down/show.asp?id=3327
简介:微软RPC Locator服务远程溢出攻击程序.攻击成功后将在远程主机端口5151上
绑定一个cmdshell,使攻击者获取system权限.

使用方法:Usage (You want to exploit remote Windows 2000 system (w2khost) with running RPC Locator Service):
1. Set registry values in Your workstation as below:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\NameService\NetworkAddress = w2khost
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\NameService\ServerNetworkAddress = w2khost
2. Establish null session:
net use \\w2khost\ipc$ ""/u: ""
3. Run Exploit:
rpcexp.exe /os w2ksp3
gototop
 
digualuoluo
头像
强壮不惑狮
  • 帖子:725
  • 注册: 2006-01-18
  • 来自:
发表于: 2006-03-21 13:03 | 只看楼主 短消息 资料
字号: 4楼

看不懂,会不会出现病毒,遇到这种情况应该如何处理?
gototop
 
菜雕
头像
初生襁褓狮
  • 帖子:5982
  • 注册: 2004-04-10
  • 来自:
发表于: 2006-03-21 14:19 | 短消息 资料
字号: 5楼

引用:
【digualuoluo的贴子】看不懂,会不会出现病毒,遇到这种情况应该如何处理?
...........................

打好系统补丁
gototop
 
digualuoluo
头像
强壮不惑狮
  • 帖子:725
  • 注册: 2006-01-18
  • 来自:
发表于: 2006-03-23 09:26 | 只看楼主 短消息 资料
字号: 6楼

这还差不多
gototop
 
flywithyou
头像
初生襁褓狮
  • 帖子:121
  • 注册: 2006-07-04
  • 来自:
发表于: 2006-07-24 14:10 | 短消息 资料
字号: 7楼

只要下载一个IP安全策略包(http://www.pcav.cn/Soft/ShowSoftDown.asp?UrlID=1&SoftID=355)
1、点击“开始-运行”,输入 gpedit.msc
2、打开“组策略”窗口,在左侧窗口依次展开“计算机配置-windows设置-安全设置-IP安全策略,在本地机器”。
3、右击右侧窗口,选择“所有任务-导入策略”,然后选择借压缩后的firewall.ipsec
4、如果右侧窗口出现了“常用安全策略禁用不必要的端口”项,则表示导入成功。
5、在已经导入的策略上单击右键指派该策略,确定 OK基本上可以预防常见的木马了。
采取这种方法可以避免打开防火墙而造成的系统资源打量占用的弊端
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT