Уязвимость netapi32.dll MS08-067
 

Уязвимы все Windows системы..
exploit под винду (биндит 4444 порт)
http://milw0rm.com/sploits/2008-MS08-067.rar
сканер на уязвимость по диапазону
http://www.securitylab.ru/analytics/362523.php

[23/11/2008] Вот уже и MSF 3.2 вышла полная, качаем по выбору Windows, Linux. Внутри рабочий и полный сплоит. Все виндовсы на автомате ломаются :)

проверяем....

кто может, тот написал и юзает, остальные ждут :)

может кто поделится???
рано или поздно все равно уйдет в паблик...

обычно уходит поздно....

нашел способ сделать нормальную вещь, но нужен программер на Ruby
значит в MetasploitFramework была такая уязвимость в базе Microsoft CanonicalizePathName() MSO6-040 Overflow, она использует ту же функц. при вызове RPC что и новый сплоит NetpwPathCanonicalize в службе Сервер.

вызов который нужен для переполнения, С:
_NetprPathCanonicalize(handle, L”AAA”, L”.\\\\x\\..\\..\\xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxx”, x, 1000, L”", &q, 1);
после переполнения будет 1000 рабочих байт (пойдет любой шеллкод)
вот статья на англ.: http://www.dontstuffbeansupyournose.com/

собственно то и нужно его организовать на Ruby дописав либо изменив вызов RPC в сплоите CanonicalizePathName() MSO6-040 пакета MetasploitFramework (www.metasploit.com)

вот пару ссылок на возможные сплоиты: (но нужен логин на immunityinc.com)
Windows 2000
https://www.immunityinc.com/downloads/immpartners/ms08_067.tgz
https://www.immunityinc.com/downloads/immpartners/ms08_067-2.tgz

Windows XP SP3 https://www.immunityinc.com/downloads/immpartners/ms08_067-3.tgz

кто что находит складываем в тему :)

Добавлю ещё пару интересных ссылок по теме ;)

Декомпилированный код уязвимой функции из netapi32.dll, способствует пониманию сути уязвимости:
http://www.phreedom.org/blog/2008/decompiling-ms08-067/
вот ещё интересное чтиво:
http://secureblog.info/articles/364.html

Кстати PoC (http://milw0rm.com/sploits/2008-ms08-067.zip) мне удалось скомпилить и запустить, но увы, он не сработал у меня (возможно из-за того что компилировал на Висте и натравливал на XP...) вернул RPC_S_CALL_FAILED =(

Возможно у кого-то есть Gimmiv.A со всеми DLL файлами? Или хотя бы basesvc.dll? Потому что в интернете получилось найти лиш дропер, в котором нет кода, эксплуатирующего данную уязвимость.

+1 :) вполне реально что Gimmiv.A в библиотеках экспортирует ф-цию которая отправляет вызов RPC
ищю вирь...

вот еще тема поиска backtrack's remote-exploit forum

тестируем: http://milw0rm.com/exploits/6841

дас ис фантастиш ))

прекрастно сработал на моей пропатченой висте и XP SP3 заBSODил :)

под linux wine ethersoft 1.0.9 не может создать запрос, не хватает библиотек (

мда, выложили хрень какую-то, несработал не на одной из тестовых тачек :) без напильника не обойтись.

странно... у меня в локалке на нескольких тачках небыло эффекта, но служба вылетала почти всегда после первого запуска :)
может я и фигню скажу, но... ты после того как сплоит используеш, на порт 4444 подсоединяешся ? :D

netcat [IP] 4444
Сцыль

или

telnet [IP] 4444

хех, там в сорце всё написано ;)
даже на варе не патченная винда, не вылетела...

гг.. )
у кого кроме меня работает?

проверил на:
Windows XP SP3 32 bit RUS результат DoS
Windows Vista Home Basic 32 bit RUS результат DoS
Windows 2003 результ коммандная строка

ваще в идеале для сработки нужен общий доступ к файлам и принтерам и выключенный фаер :)

Тестил на работе результаты такие:
1) 3 машины с Win 2003 RUS (постоянные обновления)- никакой реакции
2) 3 машины с Win XP SP2 RUS (без обновлений)- никакой реакции
3) 2 машины с Win XP SP3 RUS (постоянные обновления)- никакой реакции
Тестил дома:
1) Win 2003 ENG (без обновлений)- никакой реакции.
2) Win XP SP 2 на виртуалке (без обновлений) - никакой реакции

Везде писалось maybe patched!

на двух maybe patched
на одной тачке написало:
SMB Connect OK!
RpcExceptionCode() = 5


хотя к сожалению я не могу щас посмотерть что с сан саныча тачкой , он ушел куда-то :)

XP SP2 без реакции в любой конфигурации ((
какой то не особо универсальный сплоит на milw0rm выложыли :(

час назад HDmore на блоге Twitter затрещял про https://metasploit.com/ms08_067_netapi.rb :)
типо новый PoC модуль на MSF 3.1

пытаюсь скачать... google еще не прокешировал...
на twitter зайти можно только с хорошым проксиком :)
пишет:
доступно http://metasploit.com/dev/trac/changeset/5798
скоро появится на milw0rm.com :)

эм,я не врубил,как апдейт юзать о_О

сплоит на metasploit.com сырой до ужаса.. нужно ручками дописать несколько неизвестных строк ))
сейчас пробую запускать вставив строчки из ms06_040_netapi

все сделал :)
вот сам исправленный сплоит для Metasploit Framework 3.2
http://multi-up.com/29967/
а вот последний билд Metasploit Framework 3.2 запакованый с исправленным MS08_067_netapi.rb
запускать на Linux или BSD like системах )), сплоит лежыт modules/exploits/windows/smb
http://multi-up.com/29972/

сплоит для XP SP2/SP3 DEP, 2003 SP0/SP2 no-DEP, проверяем....

вроде обновился, но эксплойта нет. это нормально?

13.09 root@bufalo ~/framework-3.1
# svn update
At revision 5798.
13.10 root@bufalo ~/framework-3.1
# cd modules/exploits/windows/smb/
13.13 root@bufalo ~/framework-3.1/modules/exploits/windows/smb
# ls -al
total 180
drwxr-xr-x 3 root wheel 512 Oct 28 13:04 .
drwxr-xr-x 37 root wheel 1024 Jan 28 2008 ..
drwxr-xr-x 6 root wheel 512 Oct 28 13:09 .svn
-rw-r--r-- 1 root wheel 2907 Jan 28 2008 ms03_049_netapi.rb
-rw-r--r-- 1 root wheel 7945 Jan 28 2008 ms04_007_killbill.rb
-rw-r--r-- 1 root wheel 4671 Jan 28 2008 ms04_011_lsass.rb
-rw-r--r-- 1 root wheel 2662 Jan 28 2008 ms04_031_netdde.rb
-rw-r--r-- 1 root wheel 5613 Jan 28 2008 ms05_039_pnp.rb
-rw-r--r-- 1 root wheel 5990 Jan 28 2008 ms06_025_rasmans_reg.rb
-rw-r--r-- 1 root wheel 3282 Jan 28 2008 ms06_025_rras.rb
-rw-r--r-- 1 root wheel 8135 Jan 28 2008 ms06_040_netapi.rb
-rw-r--r-- 1 root wheel 3778 Jan 28 2008 ms06_066_nwapi.rb
-rw-r--r-- 1 root wheel 3568 Jan 28 2008 ms06_066_nwwks.rb
-rw-r--r-- 1 root wheel 8152 Jan 28 2008 msdns_zonename.rb
-rw-r--r-- 1 root wheel 7147 Jan 28 2008 psexec.rb
-rw-r--r-- 1 root wheel 13599 Jan 28 2008 smb_relay.rb

читай:

прочел и тяну, спасибо.
ну а вообще скажем так по правильному, ведь почему его там нет?

Мур не успел его даже дописать... ;) developer версия
http://metasploit.com/dev/trac/brows...pi.rb?rev=5798
стырил доделал и запаковал с последним билдом фреймворка
как только доделает возможно будут все target от 2000 до 2008 винды :D

возможно юзать не имея метасплоита? о_о

у мну вопрос, вот я пробую сполоит и вижу :
второй раз когда попробывал сплоит на етот ип появилось такое :
ет тип все прошло удачно? и что теперь делать как получить командную строку если возможно?

коннектишся к серверу на порт 4444,например через Putty (:

да, удачно... но может быть просто глюк... так как exploit расчитан на english винду.
нет

наверно ето всеже фейк потому что виндовс русский и я ничем подконектиться туда немогу или у меня руки кривые =(

у меня каспер этот "фэйк" блочит )

какой "фэйк"?
тот что с milw0rm.com или с metasploit.com?

ты когда устанавливаеш самый большой сборник хак утилит и шелкодов с эксплоитами в перемешку ты думаеш что антивирус у тебя тупо курит в сторонке?

:confused:

ждем версию под русскую венду :p

все ручками.... ручками... нужно дописывать :p

This exploit bypasses NX/NX by returning to a function call inside acgenral.dll that disables NX
for the process and then returns back to a call ESI instruction. These addresses are different
between operating systems, service packs, and language packs, but the steps below can be used to add new targets.

перевод: для каждого сервис пака и ленг пака винды нужен адрес, е*ашым по шагам указанным внизу :D чтобы добавить новый таргет

читаем http://metasploit.com/dev/trac/brows...pi.rb?rev=5836

предлагаю для разных систем постить следующее
Windows [XP/2000/2003/Vista] [SP?] [языковой пакет] [адрес полученный по инструкции]

с милв0рма.

я имел в виду, что КИС блочит сетевую атаку...

Ё-мае он с каждым днем обновляется
и уже в списке есть
Windows XP SP2 Russian (NX)
Windows XP SP3 Russian (NX)

=)))))))

хрюкеры не дремлют :)

объясните почему нет в версии 3.1 сплойта?

12.42 root@bufalo /usr/home/friend/framework-3.1
# svn update
At revision 5847.
12.42 root@bufalo /usr/home/friend/framework-3.1
# ls -al modules/exploits/windows/smb/
total 180
drwxr-xr-x 3 root wheel 512 Oct 28 13:16 .
drwxr-xr-x 37 root wheel 1024 Jan 28 2008 ..
drwxr-xr-x 6 root wheel 512 Nov 7 12:42 .svn
-rw-r--r-- 1 root wheel 2907 Jan 28 2008 ms03_049_netapi.rb
-rw-r--r-- 1 root wheel 7945 Jan 28 2008 ms04_007_killbill.rb
-rw-r--r-- 1 root wheel 4671 Jan 28 2008 ms04_011_lsass.rb
-rw-r--r-- 1 root wheel 2662 Jan 28 2008 ms04_031_netdde.rb
-rw-r--r-- 1 root wheel 5613 Jan 28 2008 ms05_039_pnp.rb
-rw-r--r-- 1 root wheel 5990 Jan 28 2008 ms06_025_rasmans_reg.rb
-rw-r--r-- 1 root wheel 3282 Jan 28 2008 ms06_025_rras.rb
-rw-r--r-- 1 root wheel 8135 Jan 28 2008 ms06_040_netapi.rb
-rw-r--r-- 1 root wheel 3778 Jan 28 2008 ms06_066_nwapi.rb
-rw-r--r-- 1 root wheel 3568 Jan 28 2008 ms06_066_nwwks.rb
-rw-r--r-- 1 root wheel 8152 Jan 28 2008 msdns_zonename.rb
-rw-r--r-- 1 root wheel 7147 Jan 28 2008 psexec.rb
-rw-r--r-- 1 root wheel 13599 Jan 28 2008 smb_relay.rb
12.42 root@bufalo /usr/home/friend/framework-3.1

to friend-friend: потому что он еще в разработке здесь

чтобы вставить в фреймворк нужно впереди кода дописать класс чтобы было так:
и в конце файла добавить:
и сохранить в файлик:
Linux - куул :D