三、毀滅者RPC

    入侵難度：★★（低）

    存在范圍：★★★★★（很高）

    危險(xiǎn)指數(shù)：★★★★★（很高）

    使用幾率：★★★★（高）

    好用指數(shù)：80%

    編輯部評(píng)審意見(jiàn)：

    小編我最?lèi)?ài)看武俠小說(shuō)了，常�？吹阶髡哌@么形容一個(gè)有才華的大將：一將功成萬(wàn)古枯！看看案頭這關(guān)于RPC蠕蟲(chóng)對(duì)全球經(jīng)濟(jì)的影響和該漏洞在漏洞領(lǐng)域的地位后，不由的就聯(lián)系到一起了，

大話(huà)網(wǎng)絡(luò)之經(jīng)典入侵技術(shù) (三)

    RPC漏洞簡(jiǎn)介：

    Windows PRC Locator服務(wù)是一款映射邏輯名稱(chēng)到網(wǎng)絡(luò)特定名稱(chēng)的名字服務(wù)。客戶(hù)端使用RPC（remote procedure call）遠(yuǎn)程過(guò)程調(diào)用Locator服務(wù)，Locator服務(wù)負(fù)責(zé)把客戶(hù)提交的網(wǎng)絡(luò)名解析轉(zhuǎn)換為硬盤(pán)，打印機(jī)等計(jì)算機(jī)系統(tǒng)上實(shí)際資源的地址。如果某一個(gè)打印機(jī)服務(wù)器邏輯名為"laserprinter"，RPC客戶(hù)端調(diào)用Locator服務(wù)來(lái)找出網(wǎng)絡(luò)名所映射的"laserprinter"，RPC客戶(hù)端在調(diào)用RPC服務(wù)的時(shí)候使用網(wǎng)絡(luò)名來(lái)提交請(qǐng)求。

    不過(guò)Locator服務(wù)在接收注冊(cè)信息的時(shí)候沒(méi)有對(duì)Locator服務(wù)的參數(shù)進(jìn)行詳細(xì)檢查，超長(zhǎng)超大的參數(shù)可以導(dǎo)致服務(wù)程序觸發(fā)緩沖區(qū)溢出，使Locator服務(wù)崩潰，精心構(gòu)建提交數(shù)據(jù)可能以L(fǎng)ocator服務(wù)進(jìn)程的權(quán)限在系統(tǒng)上執(zhí)行任意指令，而且攻擊者獲取的是system權(quán)限。

    默認(rèn)情況下Windows 2000域控制器上Locator服務(wù)是默認(rèn)運(yùn)行，而一般的windows工作站和服務(wù)器是默認(rèn)是不開(kāi)始這個(gè)服務(wù)，但是如果這些操作系統(tǒng)一旦啟動(dòng)了Locator服務(wù)就也存在著此漏洞，

電腦資料

    攻擊工具：

    掃描工具：Locator Scanner（一個(gè)專(zhuān)門(mén)用來(lái)掃描此漏洞的命令行下運(yùn)行的掃描程序，可以用它來(lái)掃描開(kāi)放了RPC Locator服務(wù)的主機(jī)，要注意的是Locator Scanner只能掃描C 類(lèi)網(wǎng)絡(luò)地址。）

    溢出程序：Re.exe

    簡(jiǎn)單入侵：

    1. 進(jìn)入控制臺(tái)模式（cmd模式）：使用命令：rpc 192.168.0.1 192.168.0.254

    這樣我們就找到了一個(gè)開(kāi)放了Locator Service的主機(jī)，該主機(jī)的地址是：192.168.0.2。

    提示：Locator Scanner的用法是：

    C:\>rpc IPAddress-Start IPAddress-End

    IPAddress-Start ：掃描開(kāi)始的IP地址

    IPAddress-End：掃描結(jié)束的IP地址

    2. 使用RPC的專(zhuān)用溢出工具進(jìn)行溢出，其溢出后得到的權(quán)限是system權(quán)限。

    使用命令：re -h 192.168.0.2

    至此攻擊入侵結(jié)束！

    如何防御：

    如果你的計(jì)算機(jī)不是windows網(wǎng)絡(luò)的域控制器，那強(qiáng)烈建議你不要使用locator服務(wù)，如果已經(jīng)開(kāi)放了就關(guān)閉此服務(wù)，如何關(guān)閉Windows Locator服務(wù)是否運(yùn)行，在Windows 2000和Windows XP系統(tǒng)下，打開(kāi)“控制面板-管理工具-服務(wù)”查看 Remote procedure call（RPC）Locator服務(wù)是否啟動(dòng)，如果已經(jīng)啟動(dòng)可以停止它，并將RPC Locator服務(wù)狀態(tài)設(shè)置為“禁用”。

    如果確實(shí)需要locator服務(wù)，那請(qǐng)盡快打上補(bǔ)丁。