三、毀滅者RPC
　　入侵難度：★★（低） 　　存在范圍：★★★★★（很高） 　　危險指數(shù)：★★★★★（很高） 　　使用幾率：★★★★（高） 　　好用指數(shù)：80% 　　編輯部評審意見： 　　小編我最愛看武俠小說了，常?？吹阶髡哌@么形容一個有才華的大將：一將功成萬古枯！看看案頭這關于RPC蠕蟲對全球經(jīng)濟的影響和該漏洞在漏洞領域的地位后，不由的就聯(lián)系到一起了。 　　RPC漏洞簡介： 　　Windows PRC Locator服務是一款映射邏輯名稱到網(wǎng)絡特定名稱的名字 服務。客戶端使用RPC（remote procedure call）遠程過程調用Locator服務，Locator服務 負責把客戶提交的網(wǎng)絡名解析轉換為硬盤，打印機等計算機系統(tǒng)上實際資源的地址。如果某一個打印機服務器邏輯名為"laserprinter"，RPC客戶端調用 Locator服務來找出網(wǎng)絡名所映射的"laserprinter"，RPC客戶端在調用RPC服務的時候使用網(wǎng)絡名來提交請求。 　　不過Locator服務在接收注冊信息的時候沒有對Locator服務的參數(shù)進行詳細檢查，超長超大的參數(shù)可以導致服務程序觸發(fā)緩沖區(qū)溢出，使Locator服務崩潰，精心構建提交數(shù)據(jù)可能以Locator服務進程的權限在系統(tǒng)上執(zhí)行任意指令，而且攻擊者獲取的是system權限。 　　默認情況下Windows 2000域控制器上Locator服務是默認運行，而一般的windows工作站和服務器是默認是不開始這個服務，但是如果這些操作系統(tǒng)一旦啟動了Locator服務就也存在著此漏洞。 　　攻擊工具： 　　掃描工具：Locator Scanner（一個專門用來掃描此漏洞的命令行下運行的掃描程序，可以用它來掃描開放了RPC Locator服務的主機，要注意的是Locator Scanner只能掃描C 類網(wǎng)絡地址。） 　　溢出程序：Re.exe 　　簡單入侵： 　　1. 進入控制臺模式（cmd模式）：使用命令：rpc 192.168.0.1 192.168.0.254 　　這樣我們就找到了一個開放了Locator Service的主機，該主機的地址是：192.168.0.2。 　　提示：Locator Scanner的用法是： 　　C:\>rpc IPAddress-Start IPAddress-End 　　IPAddress-Start ：掃描開始的IP地址 　　IPAddress-End：掃描結束的IP地址 　　2. 使用RPC的專用溢出工具進行溢出，其溢出后得到的權限是system權限。 　　使用命令：re -h 192.168.0.2 　　至此攻擊入侵結束！ 　　如何防御： 　　如果你的計算機不是windows網(wǎng)絡的域控制器，那強烈建議你不要使用locator服務，如果已經(jīng)開放了就關閉此服務，如何關閉Windows Locator服務是否運行，在Windows 2000和Windows XP系統(tǒng)下，打開“控制面板-管理工具-服務”查看 Remote procedure call（RPC）Locator服務是否啟動，如果已經(jīng)啟動可以停止它，并將RPC Locator服務狀態(tài)設置為“禁用”。 　　如果確實需要locator服務，那請盡快打上補丁。

版權聲明：本站文章來源標注為YINGSOO的內容版權均為本站所有，歡迎引用、轉載，請保持原文完整并注明來源及原文鏈接。禁止復制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務器上建立鏡像，否則將依法追究法律責任。本站部分內容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學習參考，不代表本站立場，如有內容涉嫌侵權，請聯(lián)系alex-e#qq.com處理。