對(duì)ShadowBrokers Envison Collision漏洞的利用分析

責(zé)任編輯:editor005

作者:Covfefe

2017-11-04 19:54:27

摘自:黑客與極客

目前我們正在對(duì)ShadowBrokers公開的利用工具以及腳本等進(jìn)行了全方位的分析和分類工作,所以寫一篇關(guān)于Linux下“envisioncollision”漏洞利用的簡(jiǎn)單介紹是非常值得的。

目前我們正在對(duì)ShadowBrokers公開的利用工具以及腳本等進(jìn)行了全方位的分析和分類工作,所以寫一篇關(guān)于Linux下“envisioncollision”漏洞利用的簡(jiǎn)單介紹是非常值得的。我們之前已經(jīng)對(duì)所公開文件中的PHPBB漏洞進(jìn)行披露,當(dāng)時(shí)的文章中提到這個(gè)漏洞非常受網(wǎng)絡(luò)犯罪組織的歡迎,因?yàn)楹芏鄔eb論壇都存在“有效”的SIGINT目標(biāo),所以接下來披露另一個(gè)web論壇漏洞合情合理。

基本介紹

對(duì)于“envisioncollision”,我們不僅發(fā)現(xiàn)了工具本身,還發(fā)現(xiàn)了一個(gè)用戶手冊(cè) –“user.tool.envisioncollision.COMMON”,其中說明該工具于2011年左右被開發(fā),我們將其上傳到了包含原始漏洞利用以及一個(gè)用于演示的修改版本的Github repo。

除了一些使用“重定向器”入侵目標(biāo),以及在目標(biāo)機(jī)器得到一個(gè)反向shell或者生成一個(gè)主動(dòng)連接的bind-shell的介紹,這本用戶手冊(cè)并沒有引起我們太大的興趣。另外,“envisioncollision”漏洞利用并不會(huì)具體利用某些漏洞,它使用管理員憑據(jù),通過一個(gè)“hook”將后門安裝在Invision Power Board(IPBoard)上,用于在主機(jī)上執(zhí)行命令。IPBoard中的“hook”是一種非常有效的插件,它可以用于向論壇中添加額外的功能。據(jù)我所知, 它們基本上是一些包含PHP代碼的XML(我不是IPBoard管理員/開發(fā)人員)。

漏洞利用工具會(huì)登錄到Web論壇的管理面板并得到一個(gè)會(huì)話ID,然后部署一個(gè)含有PHP代碼的“hook”,之后“hook”會(huì)被調(diào)用,等待10秒鐘代碼即可執(zhí)行,它還會(huì)通過卸載“hook”來“刪除”(實(shí)際上并沒有刪除)后門。讓我們覺得特別有趣的事情是,它沒有安裝一個(gè)允許動(dòng)態(tài)執(zhí)行代碼的后門,而是使用了硬編碼的那種,這讓我們很不高興,改天我們會(huì)改進(jìn)一下,然后發(fā)布動(dòng)態(tài)執(zhí)行代碼的版本。

此外,不同于phpBB漏洞利用,”envisioncollision”的使用說明并沒有演示如何部署“nopen”后門,但展示了各種方法從目標(biāo)獲取反向shell。我們假設(shè)你已經(jīng)通過這些shell獲取論壇服務(wù)器訪問權(quán)限并部署了“nopen”后門(反向shell是廣為人知的方法),作為參考,我們?cè)谖恼伦詈筇砑恿?ldquo;Pentest Monkeys”的反向shell參考表鏈接。

下面是一個(gè)屏幕截圖,展示了使用漏洞利用工具在IPBoard上獲得反向shell。 由于我們只有IPBoard 3.4,因?yàn)榈卿浟鞒滩煌?,所以我們不得不修改漏洞利用代碼。在TAO寫的這個(gè)漏洞利用的任何版本中,IPBoard都會(huì)發(fā)送一個(gè)帶有可點(diǎn)擊鏈接的“登陸頁面”。

在IPBoard 3.4中,它們使用了302重定向。我們開始修改工具時(shí)很明顯地感覺NSA的開發(fā)人員(或者承包商therof)在組合這些工具的時(shí)候心情一定很糟糕。演示中使用的版本是github repo中的“envisioncollision2”,為了更清楚地展示,我們將開發(fā)者的所有調(diào)試信息都注釋出來了。

你可能會(huì)注意到,后門和hook都可以被刪除了,而之前卸載hook實(shí)際上不會(huì)刪除的PHP文件。另外,我們最近打算使用Python3編寫更好版本的工具,并發(fā)布它來展示這種工具應(yīng)該怎么做才算最好。

被入侵的明顯標(biāo)志

如上所述,這個(gè)漏洞會(huì)留下了很多證據(jù)表明它已在該臺(tái)服務(wù)器上被使用。 它會(huì)留下了PHP后門/hook文件,如果根據(jù)說明使用,則會(huì)包含一個(gè)漏洞使用的回調(diào)IP/端口。 此外,它沒有清除Apache日志文件以及由漏洞利用工具創(chuàng)建的活動(dòng)會(huì)話。 它還會(huì)在MySQL服務(wù)器中留下日志。用戶手冊(cè)中也沒有關(guān)于擦除日志文件的內(nèi)容,所以會(huì)留下相當(dāng)明顯的日志。

References

IPBoard Hook Creation (Forum Thread)

IPBoard Hook Creation (IPBoard Documentation)

Our Modified “envisioncollision” Exploit

PentestMonkey’s Reverse-Shell Cheat Sheet

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)