snort 2.6.1 DCE/RPC Dos攻击测试(未完成)

showrun

针对snort 2.6.1 DCE/RPC Preprocessor Buffer Overflow的攻击代码已经出现一阵子。\r\n今天有时间拿来试验一下\r\n\r\n首先在http://www.milw0rm.com/exploits/3362上有代码。\r\n从说明可以得知，该代码Scapy。\r\nscapy可以到http://www.secdev.org/projects/scapy/去下载，由于我对python不熟悉，因此只是摸索的去用。scapy功能非常强大，但是需要良好的python功底。看来学好shell后，是要好好学学perl或者python了。\r\n\r\n将scapy.py下载到/tmp/目录下，同时将exploit的代码保存为snort-Dos.py，也放在/tmp目录下,该机器的ip地址为10.1.5.161。\r\n\r\n我在先前在10.1.5.101这台机器上搭建过一个snort+BASE+apache+mysql的环境，但是由于感觉BASE有些麻烦，因此在这次试验时，配置/etc/snort/snort.conf\r\n在output database: log, mysql, user=snort password=snort dbname=snort host=localhost这行前将先前的配置前加#(注释掉)\r\n让snort产生的日志只写入到/var/log/snort/alert中\r\n\r\n1. 首先在安装snort的主机上开启snort:\r\n    [root@snort ~]# snort -d -c /etc/snort/snort.conf -i eth0\r\n2.再在snort主机上开启一个终端，使用\r\n    [root@snort ~]# tail -f /var/log/snort/alert\r\n    来监控snort新产生的日志。\r\n3.在10.1.5.161这台设备上先扫描进行测试：\r\n    [root@attacker ~]#nmap -sS 10.1.5.101\r\n4. snort主机上的，\r\n    [root@snort ~]# tail -f /var/log/snort/alert 产生更新，证实snort正常生效。\r\n

1.   \r\n [**] [1:469:4] ICMP PING NMAP [**]\r\n   [Classification: Attempted Information Leak] [Priority: 2]\r\n   03/03-23:19:57.184828 10.1.5.161 -> 10.1.5.101\r\n   ICMP TTL:47 TOS:0x0 ID:35824 IpLen:20 DgmLen:28\r\n   Type:8  Code:0  ID:21771   Seq:57182  ECHO\r\n   [Xref => http://www.whitehats.com/info/IDS162]\r\n   .......\r\n

复制代码

\r\n5.使用攻击代码：\r\n   [root@attacker /tmp]#./snort-Dos.py 10.1.5.101\r\n\r\n   尝试N遍。在nmap -sS 10.1.5.101\r\n   再在snort查看log，依然有正常日志产生，并没有像代码描述中所说--snort会crash掉。\r\n6.尝试其他可能性。\r\n   由于snort是linux主机，并没有tcp的139端口，猜想会不会是这个原因。\r\n   然后开启新的终端在[root@snort ~]#nc -l -p 139，再进行尝试依然没有成功crash。\r\n7.在snort主机上开启tcpdump -i eth0 not port 22 and host 10.1.5.101 -s 0 -w snort-Dos.cap，然后使用ethereal查看数据包格式，发现并没什么异常的地方,与攻击代码相符。\r\n\r\n\r\n\r\n希望有crash经验的人能帮我分析一下是什么原因，以让我将这片试验文档写完。thanks