黑客在线之经典入侵技术总结 (三)

三、毁灭者RPC

　　入侵难度：★★（低）

　　存在范围：★★★★★（很高）

　　危险指数：★★★★★（很高）

　　使用几率：★★★★（高）

　　好用指数：80%

　　编辑部评审意见：

　　小编我最爱看武侠小说了，常常看到作者这么形容一个有才华的大将：一将功成万古枯！看看案头这关于RPC蠕虫对全球经济的影响和该漏洞在漏洞领域的地位后，不由的就联系到一起了。

　　RPC漏洞简介：

　　Windows PRC Locator服务是一款映射逻辑名称到网络特定名称的名字 服务。客户端使用RPC（remote procedure call）远程过程调用Locator服务，Locator服务 负责把客户提交的网络名解析转换为硬盘，打印机等计算机系统上实际资源的地址。如果某一个打印机服务器逻辑名为"laserprinter"，RPC客户端调用 Locator服务来找出网络名所映射的"laserprinter"，RPC客户端在调用RPC服务的时候使用网络名来提交请求。

　　不过Locator服务在接收注册信息的时候没有对Locator服务的参数进行详细检查，超长超大的参数可以导致服务程序触发缓冲区溢出，使Locator服务崩溃，精心构建提交数据可能以Locator服务进程的权限在系统上执行任意指令，而且攻击者获取的是system权限。

　　默认情况下Windows 2000域控制器上Locator服务是默认运行，而一般的windows工作站和服务器是默认是不开始这个服务，但是如果这些操作系统一旦启动了Locator服务就也存在着此漏洞。

　　攻击工具：

　　扫描工具：Locator Scanner（一个专门用来扫描此漏洞的命令行下运行的扫描程序，可以用它来扫描开放了RPC Locator服务的主机，要注意的是Locator Scanner只能扫描C 类网络地址。）

　　溢出程序：Re.exe

　　简单入侵：

　　1. 进入控制台模式（cmd模式）：使用命令：rpc 192.168.0.1 192.168.0.254

　　这样我们就找到了一个开放了Locator Service的主机，该主机的地址是：192.168.0.2。

　　提示：Locator Scanner的用法是：

　　C:\\>rpc IPAddress-Start IPAddress-End

　　IPAddress-Start ：扫描开始的IP地址

　　IPAddress-End：扫描结束的IP地址

　　2. 使用RPC的专用溢出工具进行溢出，其溢出后得到的权限是system权限。

　　使用命令：re -h 192.168.0.2

　　至此攻击入侵结束！

　　如何防御：

　　如果你的计算机不是windows网络的域控制器，那强烈建议你不要使用locator服务，如果已经开放了就关闭此服务，如何关闭Windows Locator服务是否运行，在Windows 2000和Windows XP系统下，打开“控制面板-管理工具-服务”查看 Remote procedure call（RPC）Locator服务是否启动，如果已经启动可以停止它，并将RPC Locator服务状态设置为“禁用”。

　　如果确实需要locator服务，那请尽快打上补丁。