Reply to comment

Wie sicherlich die meisten Leser dieses Blogs bereits mitbekommen haben, hat es letzte Woche den IIS/FTP Server von Windows 2000 und 2003 erwischt. Am 31.08.2009 wurde auf Milworm ein Exploit veröffentlich wodurch vollständig gepatchte Windows 2000 Systeme kompromittiert werden können. Weitere Infos findet ihr auf Heise und in dem Blogeintrag von Offensive Security.

Der Exploit funktioniert, wie schon so viele davor, auf keinem deutschsprachigen Windows 2000 System. Da es bei Pentests regelmäßig vorkommt dass man auf Unternehmen trifft die eine deutsche Systeminfrastruktur einsetzen, benötigt man an dieser Stelle funktionierende Exploits.

Um ihn für ein deutschsprachiges Windows System anzupassen wird eine "JMP ESP" Funktion benötigt. Im Labor habe ich aus einem Windows 2000 professional mit Ollydbg eine solche Adresse gesucht und den Exploit damit bestückt. Das Ergebnis erkennt man sehr schön an folgendem Screenshot ...

Um den Exploit für ein deutsches Windows 2000 System zu optimieren ändert einfach die Variable retaddr ab. Folgende Zeile zeigt die modifizierte Zeile des Exploitcodes:

hf
m1k3