原始代码即使编译成2003兼容的格式在03上也是不能执行的,因为win7以下的系统没有导出user32!gSharedInfo,只能解析 pdb或者搜索特征码来定位;另外不同系统的EPROCESS->Token偏移也有所不同,这些修改在工程内已经添加了。
工程是vs2010的源码,能直接编译。工程内附带两个编译好的exp,在2003 64位和32位上均测试成功。我测试用的虚拟机版本是sp2,不保证其他版本能用。
如果发现某个版本不能用的话,把版本号告诉我吧,我再修改(能带着对应版本的系统镜像下载地址就最好不过了)。
这个漏洞是不影响win8及以上版本的,所以只能做到这些了。
注意:附件中的exe用菜刀执行的话取不到回显,实际上命令已经执行了(如果输出了pid的话)。
在aspxspy中执行是没有问题的,菜刀的asp马可以用下面这个脚本:
set x=createobject("wscript.shell").exec("c:inetpubwwwrootms15-051.exe ""whoami /all""")response.write (x.stdout.readall & x.stderr.readall) |
源码已经更新,重新编译一遍就没问题了~
测试截图:
百度网盘:http://pan.baidu.com/s/1eQ1ZOzC
解压密码见注释。
文章来自:http://z-cg.com/post/ms15_051_fixed.html
本文始发于微信公众号(关注安全技术):ms15-051修正版
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论