远程RPC溢出EXP编写实战之MS06-040

*本文原创作者：wooy0ung，本文属FreeBuf原创奖励计划，未经许可禁止转载

0x01 前言

MS06-040算是个比较老的洞了，在当年影响十分之广，基本上Microsoft大部分操作系统都受到了影响，威力不亚于17年爆出的”永恒之蓝”漏洞。漏洞成因是Windows中参与socket网络的netapi32.dll动态链接库里的一个导出函数NetpwPathCanonicalize()存在栈溢出，而且这个函数能够通过RPC远程调用。由于是栈溢出利用起来不算太复杂，正好用来实践编写metasploit的远程利用脚本。

0x02 前期准备

1. Windows XP Professional sp3(非必需，我因为VC6安装在这上面，只是用来编译POC)

2. Windows 2000 Professional sp0(其他系统版本可能需要重新调试，更高版本可能需要绕过部分安全机制)

3. Kali Linux x64(安装有metasploit framework latest)

4. 调试器：Ollydbg 1.10

5. 编译器: VC++ 6.0

6. 反编译器: IDA 6.8

7. 注意: 需要未打补丁的netapi32.dll，Windows 2000在C:\WINNT\system32目录下能找到，

或者用以下提供的dll，但远程exploit必须要带有未打补丁dll的系统。

相关下载：

链接:https://pan.baidu.com/s/1qZQ1vnY 密码:5stq

0x03 定位崩溃点

VC++ 6.0编译POC, 运行

程序崩溃掉, OD附加上去, EIP被”aaaa”填充

执行文件拖到OD, 单步来到call netapi32.NetpwPathCanonicalize, 再往下程序崩掉

跟进NetpwPathCanonicalize函数, 执行MSVCRT.wcscat, 当retn时程序再次崩溃

此处应该就是崩溃点, 在IDA定位到该函数

copy”bbbbbb…”串到栈上

“bbbbb…”串尾部拼接一个0x005C

继续拼接”aaaaa…”串, 覆盖返回地址

0x04 本地exploit

漏洞的成因是在prefix串的基础上拼接path串时没有长度检查，导致栈溢出。下面通过构造prefix、path串实现本地exploit。

观察在崩溃函数retn时, ecx指向缓冲区的开始。这样可以把shellcode布置在”bbbbbb….”串里, 用一条call/jmp ecx跳到栈上执行

pwn~

0x05 远程exploit

很好，现在已经能够本地溢出NetpwPathCanonicalize()函数，下面我们利用metasploit提供的类库来写一份远程exp

以上是一段弹出警告框的payload，新建一个文本贴入以上代码，保存为warning.rb。

以上则是利用脚本，保存为ms06_040.rb，主要是构造shellcode(在path做ROP，跳到prefix中执行payload)，在Windows 2000下利用起来比较容易，不再作解释。

选择之前保存的exp和payload，设置好靶机ip，pwn~

当然，将普通弹框换成bind_shell的payload就可以拿到shell了~

0x06 后记

看了metasploit的exploits模块里MS06-040的利用脚本，发现这个洞一直影响到XP和Server 2003版本。因为主要是为了练习写metasploit框架的exp，所以就不继续延伸了。

*本文原创作者：wooy0ung，本文属FreeBuf原创奖励计划，未经许可禁止转载