XP下（Vista适用）微软MS08-067远程控制漏洞测试

　最近，微软爆出一个安全级别为“严重”高危漏洞——MS08-067。据微软官方解释“这是Windows操作系统下的Server服务在处理RPC请求过程中存在的一个严重漏洞，远程攻击者可以通过发送恶意RPC请求触发这个溢出，导致完全入侵用户系统，并以SYSTEM权限执行任意指令并获取数据，造成系统失窃及系统崩溃等严重问题。”

　　并且MS08-067漏洞的影响覆盖面很广，会影响除Windows Server 2008 Core以外所有Windows系统，包括Windows 2000/XP/Server 2003/Vista/Server 2008的各个版本，对于此漏洞微软的反应是比较迅速的。但是，由于受微软“黑屏”事件的影响，不少用户对微软的补丁更新存有戒心。有不少用户关闭了Windows的自动更新功能，当然更不会手动去打该补丁。其实用户没必要因噎废食，此补丁非造成盗版用户黑屏的KB892130，其安全补丁编号是KB958644。大家如果对自动更新不放心可以通过第三方工具，下载补丁包打上该补丁，因为该漏洞确实危害非常大。

　　可以说，黑客的反应速度是非常快的，笔者今天在国外某安全站点看到了该漏洞的利用代码(Exploits)，然后进行编译对该漏洞进行了一次测试。为了让大家对Ms08-067漏洞的危害及其严重程度有个感性的认识，下面笔者将这次测试的详细过程重现一遍。

　　1、测试环境

　　攻击主机：Windows XP SP2(OS) 192.168.1.6(IP)

　　目标主机：Windows Server 2003(OS) 192.168.1.9(IP)

　　2、漏洞测试

　　打开攻击主机的命令行工具(cmd.exe)，进入漏洞利用工具(MS08067.exe)的目录。其命令格式非常简单MS08067.exe ，只需将替换为目标主机的IP地址即可。测试环境中的目标主机Windows Server 2003(OS) 192.168.1.9(IP)没有打补丁KB958644。我们输入命令MS08067.exe 192.168.1.9，回车后显示SMB Connect OK!Maybe Patched!，表明溢出成功。(图1) 

　　我们打开目标主机的命令行工具，输入命令netstat -ano可以看到有一个端口号为4444的端口处于监听状态。(图2)

　　然后我们在攻击主机的命令行下输入命令telnet 192.168.1.9 4444进行连接，可以看到连接成功。这样我们就获得了目标主机的一个shell，并且是system权限。输入命令，比如net user gslw test /add & net localgroup administrators gslw /add，添加一个用户名为gslw的用户，可以看到创建成功。(图3)

　　这样目标主机就被完全控制了，试想如果其是服务器的话(Winsows Server 2003是非常普遍的服务器系统)，那危害该有多大!

　3、扩展测试

　　笔者在测试中发现，在溢出成功后目标主机的监听端口为4444，其对应的PID为840(随机)。毫无疑问它应该和某个系统服务相对应，输入tasklist /svc后发现其对于的进程是svchost.exe。该进程在系统中有多个，但PID为840的这个svchost.exe进程是一个宿主进程，其中包含了诸如lanmanserver, lanmanworkstation, Netman等多个系统服务。(图4)

　　那到底是哪个系统服务触发了该漏洞呢?通过笔者测试，当Computer Browser、Server、Workstation这三个系统服务中的任何一个服务被关闭后，用MS08067.exe进行溢出测试均失败。(图5)

　　通过上面的测试，可见是这三个系统服务造成了MS08-067漏洞，这和微软的漏洞说明“Server服务在处理RPC请求过程中存在的一个严重漏洞”不谋而合。那么这三个服务都是干什么的，相互之间有什么关系呢?server是Windows系统的一个重要服务，其主要作用是“支持此计算机通过网络的文件、打印、和命名”。而

　　Computer Browser服务的作用是“维护网络上计算机的更新列表，并将列表提供该计算机指定浏览”与server是依存关系。另外，Workstation服务的作用是“创建和维护到远程服务的客户端网络连接”，与Computer Browser是依存关系。上面的分析为我们预防MS08-067漏洞提供了一条思路。

　　4、漏洞预防

　　(1)、最彻底的措施是，通过第三方工具下载KB958644补丁包打上该漏洞补丁。

　　(2)、如果用户对微软的补丁存有戒心可以采取变通的措施，将Computer Browser、Server、Workstation这三个系统服务关闭，毕竟这三个服务在大多数情况下是用不到的。

　　总结：微软的“黑屏”事件让不少用户成了惊弓之鸟，对微软失去了信任，宁可系统漏洞百出也不去打补丁。这是相当危险的，“黑屏”事件后的安全真空和隐患值得我们深思。其实，说到底“黑屏”只不过是被微软摸黑了桌面，至多让人反感也无关痛痒。但是，被攻击者利用漏洞进行攻击那就不仅仅是反感了。希望，通过本文大家能够认识的漏洞的危害，尽快补上漏洞。