no one is safe ...

IIS-FTP Exploit on german Windows 2000 prof

Wie sicherlich die meisten Leser dieses Blogs bereits mitbekommen haben, hat es letzte Woche den IIS/FTP Server von Windows 2000 und 2003 erwischt. Am 31.08.2009 wurde auf Milworm ein Exploit veröffentlich wodurch vollständig gepatchte Windows 2000 Systeme kompromittiert werden können. Weitere Infos findet ihr auf Heise und in dem Blogeintrag von Offensive Security.

Der Exploit funktioniert, wie schon so viele davor, auf keinem deutschsprachigen Windows 2000 System. Da es bei Pentests regelmäßig vorkommt dass man auf Unternehmen trifft die eine deutsche Systeminfrastruktur einsetzen, benötigt man an dieser Stelle funktionierende Exploits.

Um ihn für ein deutschsprachiges Windows System anzupassen wird eine "JMP ESP" Funktion benötigt. Im Labor habe ich aus einem Windows 2000 professional mit Ollydbg eine solche Adresse gesucht und den Exploit damit bestückt. Das Ergebnis erkennt man sehr schön an folgendem Screenshot ...

Um den Exploit für ein deutsches Windows 2000 System zu optimieren ändert einfach die Variable retaddr ab. Folgende Zeile zeigt die modifizierte Zeile des Exploitcodes:

$retaddr = "\x7B\x30\xE3\x77"; # JMP ESP german win2k platforms (fully patched)

hf
m1k3

Comments

More info bitte :D

Hallo, entschuldigung für meine deutsch aber ich bin auslander und ich sprichen kein deutsch.

Odydbg Verwenden Sie das Programm "c:\windows\system32\inetsrv\inetinfo.exe", um die Adresse, wo die Funktion zurückgeben sollte? erklären können, wie er ausführt. In meinem win2000 aus einem englischen zeigt mir nur Speicherplätze oder über 778F.

----

I use Odydbg and i open the executable "c:\windows\system32\inetsrv\inetinfo.exe" to get the address where the function should return. But i can't see the return adress. I am using win2000 English version and only shows memory locations over 778FXXXXX. And the exploit use the direction 77 F4 B1 9B. Thanks.

The posted address is just

The posted address is just for the german version of win2k prof. The english version should work with the original address from the exploit.

m1k3