十一月尾，Immunitysec公然了一个WINS的远程安全破绽，入侵者可行使该破绽完全控制运行着WINS服务的系统。实在这个破绽早就被发现而且在地下撒播已久，不外是最近才宣布而已。就其宣布的缘故原由，估量是由于这个破绽有趣，而且造成的影响不是很大吧。破绽自己的特征决议了这个破绽的行使可以有多种路子，让攻击者使用差别的方法来获得远程控制权，也许就是Immunitysec公然这个破绽的初衷。不外微软对这个破绽很敏感，没有公布补丁，由于说自己没有收到攻击报文，以是，本文只是详细的剖析了整个破绽的组织、行使，并未给出详细的行使程序和代码，信赖读过我们系列文章“菜鸟版Expliot指南”的同伙应该都有能力写上一段自己的代码吧？ 冷眼Wins远程溢出破绽 文/图 马木留克 关于这个破绽的形貌，对照官方的形貌是这样的：WINS服务支持一个称之为“WINS 复制”的特征，差别的WINS服务器可以靠这个功效交流信息。WINS复制使用的也是监听在TCP 42端口上的尺度WINS协议。在WINS复制的会话过程中，服务器端会发送一个内存指针给客户端，客户端用这个指针举行后续的会话。若是客户端在发送的数据中自己修改这个指针，使之指向用户控制的数据，最终就可以向随便地址写入16个字节的数据，通过笼罩特殊地址可以执行随便代码。 对于攻击者而言，领会其中的细节异常需要。通过这一个形貌，大致上我们已经可以领会到，这不是一个典型的堆或者栈上的溢出，而是WINS用我们指定的一个数据作为指针，举行了一些操作，最终导致可以写16个字节的数据到随便地址——对于大多数情形而言，能写16个字节的数据就已经足够了，典型的堆溢出甚至只需要写4个字节的数据，这个条件照样很宽松的。通过进一步的剖析，我们还可以知道，这里的“16个字节”是指延续的16个字节，更为重要的是，WINS服务处置异常的机制异常的强劲，在你提交恶意的代码造成破绽行使之后，WINS服务不会挂掉，而是继续的运行，这就意味着我们可以频频地举行“写延续的16字节”。试想一下，我们可以频频的实验直到乐成为止，这个过程中WINS服务不会由于我们的恶意攻击而泛起住手的情形。 在反汇编WINS服务的守护历程之前，我们可以想象一下种种可能的行使方式。根据Immunitysec的说法，恶意用户提交的数据是在堆上的，这就异常类似于远程堆溢出，加上可以写随便值到随便的地址，可以想象，险些所有的堆溢出行使方式都可以应用到这上面来。最常用的，写top seh，然后看能不能通过寄存器来定位；其次，我们可以实验写Lookaside表，通过多次发包来强制定位自己的ShellCode地址，然后通过改写RtlEnterCriticalSection（0x7ffdf）等牢固的函数指针来获得控制权；再直接一点，既然可以多次触发而服务不溃逃，那频频行使这个破绽，直接写ShellCode到一块牢固的内存（好比0x7ffdf）去，继而通过改写牢固的函数指针来获得控制权也是一条路子。总之，破绽自己的特征决议了这个破绽的行使可以有多种路子，让攻击者使用差别的方法来获得远程控制权，也许就是Immunitysec公然这个破绽的初衷吧。 Immunity在宣布破绽的同时，宣布了触发破绽的报文花样，如表1所示： 报文长度（除头部4字节）XX XX FF XX四字节指针（绝对地址）…… …… …… ……（表1） 其中报文的长度要小于0x2f87f8。报文自己没有什么其它特殊的要求，知足上述花样的都可以触发破绽。报文中的第三个DOWRD就是一个我们可以控制的指针，因此，我们可以设定这个指针指向我们发送的报文自己所在的地方，进而控制随后依据这个指针的内存读写。 在一台Windows Server SP3 + MS06补丁的机械上，反汇编Wins.exe可以获得如下的代码： .text:FE34 sub_FE34 proc near ; CODE XREF: sub_FD13+2A p.text:FE34 .text:FE34 var_84 = dword ptr -84h... ...text:FE34 arg_4 = dword ptr 0Ch.text:FE34 arg_8 = dword ptr 10h.text:FE34 arg_C = dword ptr 14h... ....text:FE64 mov ebx, [ebp+arg_4]; 指向提交数据的指针.text:FE67