7.3.3 黑白结合，LSA漏洞的分析利用

“一气呵成！不知不觉中就把漏洞找了出来，”宇强感叹道。

“呵呵！最后来一个高难度的吧！LSA的远程溢出漏洞分析利用。这就需要黑白法结合了。”

“首先看看本地溢出，这个比较简单，图7－40里的代码就可引发本地溢出。”

“其功能是从系统Netapi32.dll中找到DsRolepEncryptPasswordStart函数，然后执行该函数，函数的第一个参数过长，就会溢出，溢出效果么？呵呵，弹出一个出错对话框，倒计时1分钟后就重启。”

“哦！和震荡波的效果一样啊！”

“只能等它重启，没有办法了吗？”

“大家在运行程序里输入 shutdown –a ，可以终止系统关机。Shutdown命令的帮助如图7-41。”

“因为可以直接用DsRolepEncryptPasswordStart函数引发本地异常，所以本地漏洞利用比较简单，大家用Ollydbg加载lsass.exe进程，然后填充buf用定位大法，就可轻松实现定位和利用！大家都应该很清楚了吧，这个作为寒假作业，大家自己跟入分析一下。”

大家纷纷埋头记下来。

“好了，我们来看看感兴趣的——远程利用！”

“我们刚才用的Netapi32.dll中的DsRoleUpgradeDownlevelServer函数是个客户端函数，我们给它的超长参数会在服务端函数LSASRV.dll中的DsRolerUpgradeDownlevelServer?处理！注意，函数名只相差一个‘r’。大家下去亲自跟踪一下就清楚了。”

“服务端函数不会判断请求是哪儿来的，但微软实现时就固定好了客户端函数只向本机发请求。所以我们发请求，默认给本机，本机LSASRV.dll中的服务器函数处理就会出现问题重启。”

“好，现在我们的目标就是要给远程机器发送请求！但刚才说了，微软在实现代码时就固定了只能向本机发请求，那怎么办呢？”

“是啊！不好办啊！”台下说道。

“其实，平时我们使用修改后的东西也多了；要注册码，我们就破解注册码；要过期，我们就破解过期补丁。所以，我们也把比尔盖茨实现好的客户端代码改一下，不仅向本机发请求，也能向远程主机发请求。”

“真正的黑客精神，就是不断的深入研究技术，大胆创新，发扬共享精神。”

“我们用IDA反编译NetApi32.dll。好，结束后，用名字找到DsRoleUpgradeDownlevelServer()的地方。如图7－42。”

“好，从函数开始的地方，往下走一点点，代码如下：”

.text:7513D5F7 8D 45 CC lea eax, [ebp+var_34]
.text:7513D5FA 50 push eax
.text:7513D5FB 6A 00 push 0
.text:7513D5FD E8 0F 05 00 00 call _DsRolepEncryptPasswordStart@24 ;

“在IDA中，默认是不显示机器码的，在‘Options→General→Disassembly’页面中，有Number of opcode bytes，默认是0，我们把它改成6或8就行了。如图7－43。”

“根据eEye的文档，那里就是我们要修改的地方！_DsRolepEncryptPasswordStart函数的第一个参数就是主机。微软用的是0，即为空，表示把请求发给本机。我们要把它改成远程主机的地址就OK了。”

“ShellCode的是DsRoleUpgradeDownlevelServer的参数传来的；那么远程主机的地址也从那里传来吧！用DsRoleUpgradeDownlevelServer函数的第九个参数传主机地址；然后作为第一个参数给DsRolepEncryptPasswordStart。”

“因为前面第九个参数已经给了[ebp+var＋34]了，我们把[ebp+var＋34]的内容压入就行了。”

“明白了思路，现在改写代码。注意，改写时要保证字节个数和原来的相同，参数也要压足。除了保证第一个参数压的是[ebp+var＋34]外，其他的乱压也可以，所以我们就这样吧：”

　　50 push eax
　　8B 45 CC mov eax, [ebp+var_34]
　　50 push eax
　　90 nop

“这样就把存在[ebp+var_34]中的远程主机地址作为第一个参数压入；nop是什么都不做的空指令，目的只是为了保证字节数和原来的相同。”

“好，我们调出WinHex，搜索至我们要修改的地方，作图7-44的的修改。”

“啊，诺顿报警了！这么厉害啊！”古风发现道。

“我们等会再来考虑这个问题，先把诺顿关掉，然后LoadLibrary我们改过后的ww1NetApi.dll，并把第九个参数改成远程主机的地址，即 \ip\ipc$ 的Unicode 形式。指定远程主机的IP地址，编译执行LSA1.cpp，再Telnet远程主机的1234端口。‘啪’！果然连上了我们要攻击的远程主机。”

“成功了！”大家欢呼起来。

“我们再来改进改进。首先，辛辛苦苦修改的dll会被查杀成病毒，那么就要想办法让杀毒软件不认识！”

“杀毒软件是按照文件的特征码来识别一个病毒或木马的。我们只是在正常的系统文件NetApi32.dll的基础上改变了6个字节，其他完全相同；所以杀毒软件的特征码一定是判断的这6个字节！那我们就把这六个字节稍微改一下，看它还能否识别！”

“刚才说了，90是nop，表示什么都不做的空指令，我们把它放在其它指令之间，如图7－45，和指令50 （即汇编PUSH EAX）交换一下位置。”

“然后保存为ww2NetApi.dll，让诺顿再扫描看看。呵呵！这次没报警了。其实，如果还要报警，我们可以继续修改nop位置，如还不行，还可改成 mov ebx [] ，再push ebx等。办法多得很呢！”

“不会被查杀了，看看效果啊！我们把程序改为读ww2NetApi.dll，再运行，还是成功了！如图7－46。

小知识：特征码

现在绝大多数杀毒软件都是建立在“病毒特征码”基础上的。有新病毒出现时，厂商先要获得病毒的一个样本，提取出它的特征码，用户把特征码加入到病毒库中才能查杀。如果我们测试出了杀毒软件的判断特征码，将其改成不影响功能的其他指令，就肯定不会被查杀！从这个意义上来说，反病毒的技术需要一个革命化的突破！

“在此，我们是直接物理修改了NetApi32.dll，就像破解一样，修改了物理文件。其实，我们还可在内存里动态修改，就如同内存注册机一样，动态读出内存的东西！这个交给大家下去完成吧！”

“现在我们可以说是完美的实现远程溢出了，但带有一个300k的dll，试想震荡波拖着这个dll到处跑，也太难为它了吧！所以我们就把dll也去掉，完全用一个程序实现！”

“啊？怎么实现呢？”

“源代码是微软控制的，一般人都看不到。当然，对我们菜鸟来说，即使有了源代码，也是读不懂请求是如何实现的，更不用说自己写一个请求了。”

“所以黑盒法出场了！本机向远程发起请求时，一定会通过网络的。所以，我们可把远程主机发的请求包抓下来，模拟客户端，向服务端发送这样的网络包就可以了！

“好啊，说干就干！”古风打开Ethereal（光盘有收录），再对远程主机攻击一次，然后把攻击发送的包抓下来，如图7－47。

“192.168.1.166是攻击机，192.168.1.169的被攻击的服务机。192.168.1.166先是TCP三次握手，然后建立空连接，图7－47里 NT Create Andx Request, Path:\lsarpc 那排是关键！那就是发送一定的请求，然后把我们的超长参数发过去。”

“但我们不用具体了解它的含义，只管把请求拷贝下来存在数组中，直接向远程机器发送就是了。”

“这次运行我们的LSA2.cpp，又成功了，它可是不带dll的哦!”

“哇！”

“Sniffer是很有用的，如果有溢出的exe程序，那我们就不用具体搞清楚协议、实现什么的，到时直接一抓包，发挥菜鸟吃苦精神，一句句的敲在发送数据中就可以了！而且这种方法分析微软未文档化的东西（特别是RPC相关的东西），那更是相当有用！”