检测服务 - 网络安全评估中心

skrpc_dcom.exe -RPC_DCOM远程溢出测试工具

漏洞背景介绍　

　　
　　Remote Procedure Call (RPC)是Windows 操作系统使用的一种远程过程调用协议，RPC提供进程间交互通信机制，允许在某台计算机上运行程序的无缝地在远程系统上执行代码。协议本身源自开放软件基金会的RPC协议，Microsoft在其基础上增加了自己的一些扩展。
　漏洞实质上影响的是使用RPC的DCOM接口，此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者通过向目标发送畸形RPC DCOM请求来利用这些漏洞。成功利用此漏洞，攻击者可以在系统上执行任意操作，如安装程序、查看或更改、删除数据或创建系统管理员权限的帐户。攻击者可以通过 135(UDP/TCP)、137/UDP、138/UDP、139/TCP、445(UDP/TCP)、593/TCP端口进行攻击。对于启动了COM Internet服务和RPC over HTTP的用户来说，攻击者还可能通过80/TCP和443/TCP端口进行攻击。。

RPC_DCOM远程溢出测试

　　 skrpc_dcom_cmp.exe工具是GUI界面，使用非常简单，其界面如下：

　　　Address To be Attack 是被攻击的主机IP和端口，Overflow Option是溢出后程序的连接方法，listen on Port是在被攻击主机上打开端口，Command To Bind 是要绑定到指定端口的命令行程序，一般为CMD.EXE 。

　192.168.0.241是一台存在RPC_DCOM漏洞的主机，下面演示对其溢出攻击测试：

　　运行telnet

　　成功后

　　同时也可以反向连接，方法相似，只不过改成本地用nc侦听某个端口：

　　而攻击程序的Overflow Option 改成 ConnectTo IP/Port ，并填写攻击者的IP（这里假定为192.168.0.5）和本地nc侦听的端口。这里使用默认值4813。

　　附：skrpc_dcom.exe是我们自己开发的一个测试RPC_DCOM溢出漏洞的小工具，而且，我们在安全工具内已经提供下载，链接地址：http://www.cnns.net/tools/skrpc_dcom.zip。

　　但是本程序仅为安全研究和学习安全知识所用，任何人使用本程序和以上所说的方法进行的活动，责任自负。

总结

　　RPC_DCOM是微软公布的严重级漏洞，但是它的利用范围之广，很多蠕虫病毒都是利用它来进行传播，此漏洞不光给单位用户带来威胁,并能对个人用户产生直接影响，所以我们提醒，请尽快升级系统避免不必要的麻烦。

声明

　　本程序仅为安全研究和学习安全知识所用，只有明白攻击的方法和原理才能更好地维护网络的安全。任何人使用本程序和以上所说的方法进行的活动，责任自负。
　