snort 2.6.1 DCE/RPC Dos攻擊測試(未完成)

showrun

針對snort 2.6.1 DCE/RPC Preprocessor Buffer Overflow的攻擊代碼已經(jīng)出現(xiàn)一陣子。\r\n今天有時間拿來試驗一下\r\n\r\n首先在http://www.milw0rm.com/exploits/3362上有代碼。\r\n從說明可以得知，該代碼Scapy。\r\nscapy可以到http://www.secdev.org/projects/scapy/去下載，由于我對python不熟悉，因此只是摸索的去用。scapy功能非常強大，但是需要良好的python功底。看來學(xué)好shell后，是要好好學(xué)學(xué)perl或者python了。\r\n\r\n將scapy.py下載到/tmp/目錄下，同時將exploit的代碼保存為snort-Dos.py，也放在/tmp目錄下,該機器的ip地址為10.1.5.161。\r\n\r\n我在先前在10.1.5.101這臺機器上搭建過一個snort+BASE+apache+mysql的環(huán)境，但是由于感覺BASE有些麻煩，因此在這次試驗時，配置/etc/snort/snort.conf\r\n在output database: log, mysql, user=snort password=snort dbname=snort host=localhost這行前將先前的配置前加#(注釋掉)\r\n讓snort產(chǎn)生的日志只寫入到/var/log/snort/alert中\(zhòng)r\n\r\n1. 首先在安裝snort的主機上開啟snort:\r\n    [root@snort ~]# snort -d -c /etc/snort/snort.conf -i eth0\r\n2.再在snort主機上開啟一個終端，使用\r\n    [root@snort ~]# tail -f /var/log/snort/alert\r\n    來監(jiān)控snort新產(chǎn)生的日志。\r\n3.在10.1.5.161這臺設(shè)備上先掃描進行測試：\r\n    [root@attacker ~]#nmap -sS 10.1.5.101\r\n4. snort主機上的，\r\n    [root@snort ~]# tail -f /var/log/snort/alert 產(chǎn)生更新，證實snort正常生效。\r\n

1.   \r\n [**] [1:469:4] ICMP PING NMAP [**]\r\n   [Classification: Attempted Information Leak] [Priority: 2]\r\n   03/03-23:19:57.184828 10.1.5.161 -> 10.1.5.101\r\n   ICMP TTL:47 TOS:0x0 ID:35824 IpLen:20 DgmLen:28\r\n   Type:8  Code:0  ID:21771   Seq:57182  ECHO\r\n   [Xref => http://www.whitehats.com/info/IDS162]\r\n   .......\r\n

復(fù)制代碼

\r\n5.使用攻擊代碼：\r\n   [root@attacker /tmp]#./snort-Dos.py 10.1.5.101\r\n\r\n   嘗試N遍。在nmap -sS 10.1.5.101\r\n   再在snort查看log，依然有正常日志產(chǎn)生，并沒有像代碼描述中所說--snort會crash掉。\r\n6.嘗試其他可能性。\r\n   由于snort是linux主機，并沒有tcp的139端口，猜想會不會是這個原因。\r\n   然后開啟新的終端在[root@snort ~]#nc -l -p 139，再進行嘗試依然沒有成功crash。\r\n7.在snort主機上開啟tcpdump -i eth0 not port 22 and host 10.1.5.101 -s 0 -w snort-Dos.cap，然后使用ethereal查看數(shù)據(jù)包格式，發(fā)現(xiàn)并沒什么異常的地方,與攻擊代碼相符。\r\n\r\n\r\n\r\n希望有crash經(jīng)驗的人能幫我分析一下是什么原因，以讓我將這片試驗文檔寫完。thanks