微軟的正版驗(yàn)證機(jī)會出來以后沒有多久，就爆出針對臺灣和簡體中文版本的MS08067漏洞，這個時候微軟主動爆出這個號稱比沖擊波還要厲害的漏洞，是否針對我國，很多人都在懷疑，萬事講究證據(jù)，沒有證據(jù)，也只能猜測！不過武器在別人手中，想怎么玩你，就怎么玩你！很多專家也對微軟提供的更新中是否保護(hù)木馬，諸如下載者等等表示懷疑和關(guān)注！網(wǎng)上也有說的微軟是中國最大的黑客,就筆者個人經(jīng)驗(yàn)來說，現(xiàn)在的Linux操作系統(tǒng)完全能夠勝任常用的辦公功能。閑話少說，俺給大家?guī)碜钚碌腗S08067遠(yuǎn)程溢出漏洞實(shí)戰(zhàn)分析。

（一）MS08067漏洞描述

MS08-067漏洞的全稱為“Windows Server服務(wù)RPC請求緩沖區(qū)溢出漏洞”，如果用戶在受影響的系統(tǒng)上收到特制的 RPC 請求，則該漏洞可能允許遠(yuǎn)程執(zhí)行代碼。 在 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 系統(tǒng)上，攻擊者可能未經(jīng)身份驗(yàn)證即可利用此漏洞運(yùn)行任意代碼，此漏洞可用于進(jìn)行蠕蟲攻擊，目前已經(jīng)有利用該漏洞的蠕蟲病毒。防火墻最佳做法和標(biāo)準(zhǔn)的默認(rèn)防火墻配置有助于保護(hù)網(wǎng)絡(luò)資源免受從企業(yè)外部發(fā)起的攻擊，默認(rèn)情況下能建立空連接。

MS08-067比沖擊波還要厲害，通過本人的實(shí)際測試，掃描一個網(wǎng)段，至少數(shù)百臺存在該漏洞的計算機(jī)，只要是中文版本的操作系統(tǒng)，Vista除外，毫無幸免！

（二）MS08067遠(yuǎn)程漏洞實(shí)際利用

1.掃描445端口

關(guān)于MS08067漏洞目前還沒有特別全面的分析報告，據(jù)相關(guān)資料稱，只要掃描到開放139、445端口，就有可能利用該漏洞來實(shí)施遠(yuǎn)程溢出。因此首先我們使用工具軟件掃描445端口，掃描的工具很多，我給大家介紹兩種在DOS下面掃描的工具，一個是sfind.exe另外一個是s.exe，前者命令為“sfind –p 445 ip地址1 ip地址2”，例如掃描“sfind –p 445 218.99.0.1 218.99.0.255”；另外一個的使用的推薦命令格式為“s tcp 218.99.0.1 218.99.255.255 445 512 /save”，兩個小軟件掃描完成后自動保存結(jié)果，可以在肉雞后臺上進(jìn)行工作，掃描完成后上去看結(jié)果即可。我采用sfind.exe對附近計算機(jī)進(jìn)行445端口掃描，如圖1所示，一共出來7臺計算機(jī)，如果是大范圍掃描，推薦使用后一種掃描軟件，掃描速度快。

圖1 使用sfind掃描445端口

說明：

（1）由于掃描出來的結(jié)果比較少，所以直接看就可以了。如果結(jié)果比較多，可以到sfind掃描目錄下直接打開sfind.txt掃描結(jié)果。

2.使用MS08067溢出工具對結(jié)果進(jìn)行溢出嘗試

將獲取的代碼在VC中進(jìn)行編譯，將生成的程序重新命名為“MS0867”，然后打開DOS操作界面，并將MS08067.exe程序復(fù)制到當(dāng)前操作目錄（今天有人問我，為什么直接雙擊MS08067.exe程序，無任何反應(yīng)，唉，暈！），直接輸入程序名稱，即可出現(xiàn)具體的使用方式，MS08067漏洞的使用方法為“MS08067 IP地址”，IP地址為存在該漏洞的服務(wù)器或者個人計算機(jī)的IP地址。輸入存在可能存在該漏洞的IP地址218.*.*.*，結(jié)果顯示為“SMB Connect OK! Maybe Patched!”如圖2所示。

圖2 對存在漏洞的服務(wù)器進(jìn)行溢出

注意：

（1）在溢出過程還有多種提示例如“Make SMB Connection error:64”

（2）出現(xiàn)“Maybe Patched！”提示的計算機(jī)也可能溢出成功。

（3）僅僅對臺灣和簡體中文版本有效，對其他版本的服務(wù)器及時存在445漏洞也無法溢出，原因是操作系統(tǒng)溢出點(diǎn)內(nèi)存地址不同。

3.監(jiān)聽“4444”端口

在執(zhí)行掃描的計算機(jī)上使用nc監(jiān)聽4444端口，具體命令為“nc –vv ip地址 4444”，例如“nc –vv 218.69.*.2 4444”，一次不成功的溢出顯示結(jié)果為“nc -vv 218.22.27.71 4444
Warning: forward host lookup failed for 71.27.22.218.broad.static.hf.ah.cndata.com: h_errno 11002: TRY_AGAIN71.27.22.218.broad.static.hf.ah.cndata.com [218.22.27.71] 4444 (?): TIMEDOUT sent 0, rcvd 0: NOTSOCK”，這說明218.22.27.71可能已經(jīng)安裝補(bǔ)丁、防火墻禁止對外進(jìn)行連接等情況，導(dǎo)致溢出不成功。

說明：

在MS08067中可以定制監(jiān)聽端口，不過那個端口需要在源程序中定制。

4.繼續(xù)進(jìn)行溢出

換另外一個IP地址執(zhí)行溢出，重新監(jiān)聽該IP地址，如圖3所示，出來我們比較熟悉的反彈Shell串口，終于看到了希望，我在本地虛擬機(jī)上執(zhí)行了多次測試，都未成功，但在實(shí)際環(huán)境中卻測試成功。

圖3 溢出成功