RPC DCOM для младшего братика

Наумов Юрий aka Crazy_Script

Спецвыпуск: Хакер, номер #048, стр. 048-024-1

(crazy_script@vr-online.ru)

Популярная эксплуатация известного бага

Не так давно RPC-уязвимость гремела на весь мир. Повальные взломы, MSBlast, снова повальные взломы. На эту тему написана куча статей и мануалов. Тем не менее, остаются еще те, кто не пропатчил свою систему и не установил даже персональный фаервол.

Теория

RPC (Remote Procedure Call - удаленный вызов процедур) - это механизм, позволяющий программе на одном компьютере выполнять некий код на удаленной машине. Компания Sun Microsystems была одной из первых, реализовавших эту службу. RPC базировалась на протоколе внешней передачи данных XDR (eXternal Data Representation). Все это Sun делала для того, чтобы обеспечить взаимодействие сетевой информационной службы и файловой системы. После первого шага компании службы RPC стали использоваться и в продуктах семейства UNIX, а позже – в Windows.

Баг был обнаружен в июле 2003 года в продуктах Microsoft Windows NT/2000/XP/2003 польскими экспертами Last Stage of Delirium. Тогда можно было завалить невероятное количество серверов, ведь лишь малая их часть блокировала входящие пакеты на порт 135, через который осуществлялась атака. Буквально сразу же стало известно, что уязвимы все сервисы RPC, а это еще 139-й, 445-й и 593-й порты. Если бы в то время выпустили публичный эксплоит, произошла бы катастрофа. Но его не было, и сетевая общественность продолжала жить спокойно, не задумываясь об этой дырке.

Но так не могло долго продолжаться. В конце июля того же года появилось техническое описание уязвимости, стали появляться эксплоиты и возникла глобальная угроза MSBlast.

Exploit’ация бажной тачки

Осуществить RPC DCOM-атаку может любой. Для этого, с позволения сказать, «взлома» нам необходимы:

1. RPC GUI Exploit, написанный человеком по имени r3l4x. Точнее сказать, им написана только графическая оболочка, сам же сплоит принадлежит ребятам из LSD Security Group.

2. KAHT2 для поиска бажной тачки (если надо ее искать).

3. Какая-нибудь программа для заимствования паролей и прочей вкусности. Например, PassView 1.5.

Итак, начнем. Самое главное - найти непропатченную тачку. Для этого нам и нужен КАНТ2. Пример:

Листинг

C:\xtools\kaht2 10.0.0.1 10.0.0.255 500

Значение threads, стоящее после диапазона IP, можно поставить и 100, и 80 - кому как удобнее (по умолчанию 50).

Запускаем GUI RPC Exploit. Вводим айпишник, который нам выдал КАНТ, и жмем Test. Должно высветиться «Connected!». Переходим во вкладку FTP Server и жмем старт, затем - во вкладку Exploit. Нажимаем «Exploit!», и нашему взору открывается шелл. Вот что должно получиться после запуска сплоита:

листинг

-- w00t --

Microsoft Windows XP [Version 5.1.2600]

(C) Copyright 1985-2001 Microsfot Corp.

C:\WINDOWS\system32>

Хочу заметить, что мы имеем возможность выбора удаленной ОСи (Win200[All] или WinXP[All]). Возникает вопрос: а что если на удаленной машине с открытым 135-м портом стоит WinNT? Для этого к сплоиту прилагается список возвращаемых адресов (файл RET.txt). Все, что требуется, - найти в этом списке нужную версию ОСи и вписать адрес в соответствующую строку Return Adress.