对ShadowBrokers Envison Collision漏洞的利用分析

目前我们正在对ShadowBrokers公开的利用工具以及脚本等进行了全方位的分析和分类工作,所以写一篇关于Linux下“envisioncollision”漏洞利用的简单介绍是非常值得的。我们之前已经对所公开文件中的PHPBB漏洞进行披露,当时的文章中提到这个漏洞非常受网络犯罪组织的欢迎,因为很多web论坛都存在“有效”的SIGINT目标,所以接下来披露另一个web论坛漏洞合情合理。

基本介绍

对于“envisioncollision”,我们不仅发现了工具本身,还发现了一个用户手册 - “user.tool.envisioncollision.COMMON”,其中说明该工具于2011年左右被开发,我们将其上传到了包含原始漏洞利用以及一个用于演示的修改版本的Github repo。

除了一些使用“重定向器”入侵目标,以及在目标机器得到一个反向shell或者生成一个主动连接的bind-shell的介绍,这本用户手册并没有引起我们太大的兴趣。另外,“envisioncollision”漏洞利用并不会具体利用某些漏洞,它使用管理员凭据,通过一个“hook”将后门安装在Invision Power Board(IPBoard)上,用于在主机上执行命令。IPBoard中的“hook”是一种非常有效的插件,它可以用于向论坛中添加额外的功能。据我所知, 它们基本上是一些包含PHP代码的XML(我不是IPBoard管理员/开发人员)。

漏洞利用工具会登录到Web论坛的管理面板并得到一个会话ID,然后部署一个含有PHP代码的“hook”,之后“hook”会被调用,等待10秒钟代码即可执行,它还会通过卸载“hook”来“删除”(实际上并没有删除)后门。让我们觉得特别有趣的事情是,它没有安装一个允许动态执行代码的后门,而是使用了硬编码的那种,这让我们很不高兴,改天我们会改进一下,然后发布动态执行代码的版本。

此外,不同于phpBB漏洞利用,”envisioncollision”的使用说明并没有演示如何部署“nopen”后门,但展示了各种方法从目标获取反向shell。我们假设你已经通过这些shell获取论坛服务器访问权限并部署了“nopen”后门(反向shell是广为人知的方法),作为参考,我们在文章最后添加了“Pentest Monkeys”的反向shell参考表链接。

下面是一个屏幕截图,展示了使用漏洞利用工具在IPBoard上获得反向shell。 由于我们只有IPBoard 3.4,因为登录流程不同,所以我们不得不修改漏洞利用代码。在TAO写的这个漏洞利用的任何版本中,IPBoard都会发送一个带有可点击链接的“登陆页面”。

在IPBoard 3.4中,它们使用了302重定向。我们开始修改工具时很明显地感觉NSA的开发人员(或者承包商therof)在组合这些工具的时候心情一定很糟糕。演示中使用的版本是github repo中的“envisioncollision2”,为了更清楚地展示,我们将开发者的所有调试信息都注释出来了。

你可能会注意到,后门和hook都可以被删除了,而之前卸载hook实际上不会删除的PHP文件。另外,我们最近打算使用Python3编写更好版本的工具,并发布它来展示这种工具应该怎么做才算最好。

被入侵的明显标志

如上所述,这个漏洞会留下了很多证据表明它已在该台服务器上被使用。 它会留下了PHP后门/hook文件,如果根据说明使用,则会包含一个漏洞使用的回调IP/端口。 此外,它没有清除Apache日志文件以及由漏洞利用工具创建的活动会话。 它还会在MySQL服务器中留下日志。用户手册中也没有关于擦除日志文件的内容,所以会留下相当明显的日志。

References

IPBoard Hook Creation (Forum Thread)

IPBoard Hook Creation (IPBoard Documentation)

Our Modified “envisioncollision” Exploit

PentestMonkey’s Reverse-Shell Cheat Sheet

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-11-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏逆向技术

病毒分析第一讲,分析病毒注意事项,以及简单分析主要功能

        病毒分析第一讲,分析病毒注意事项,以及简单分析主要功能 一丶认识木马和病毒的区别 木马和病毒是两个不一样的,有人会把木马认为是病毒,但其实不是 ...

23560
来自专栏linux驱动个人学习

linux内核完全剖析——基于0.12内核-笔记(2)-统一编址和独立编址

IO是什么 ? IO(Input and Output)是输入输出接口。是CPU和其他外部设备(如串口、LCD、触摸屏、LED等)之间通信的接口。一般的,我们说...

38960
来自专栏嵌入式程序猿

SAE J1939 协议简介(大结局)

由于应用层会根据不同的行业和需求有所不同,所以应用层的开发可以参考标准自行研究,关于这个系列,今天是最后一集,我们来讲讲 J1939的网络管理层(J1939/8...

40080
来自专栏黑白安全

密码的锅,Gentoo 发布 GitHub 仓库被入侵事件报告

之前我们曾报道过“Gentoo Linux 的 GitHub 仓库被入侵,意图删除所有文件”的消息,Gentoo Linux 的 Github 仓库在6月28日...

13420
来自专栏北京马哥教育

黑客的Linux神技能:使用环境变量进行提权

在这篇文章中,我将会为大家介绍一些使用环境变量进行Linux提权的方法,包括在CTF challenges中使用到一些的技术。话不多说,让我们进入正题!

21400
来自专栏数据库新发现

DBA警世录:有些习惯DBA需要养成

作者:eygle  原文链接: http://www.eygle.com/archives/2007/02/dba_need_some_habit.html

13430
来自专栏庄进发的专栏

Nginx + Lua搭建文件上传下载服务

项目需要做一个文件上传下载服务,利用 nginx+lua 做一个代理服务,上传入口统一,分发到不同的机器存储,下载链接和物理存储隔离,支持添加 agent 的方...

2.9K00
来自专栏Linyb极客之路

工作流引擎之activiti中的排他网关和并行网关

排他网关.png

26110
来自专栏FreeBuf

CVE-2018-8174 “双杀”0day漏洞复现

最近360核心安全事业部高级威胁应对团队在全球范围内率先监控到了一例使用0day漏洞的APT攻击,捕获到了全球首例利用浏览器0day漏洞的新型Office文档攻...

26800
来自专栏沃趣科技

semi-sync原主库加入集群阻塞问题分析

前段时间支持客户处理问题的时候,发现一个semi-sync复制主从切换原master加入集群时,复制同步阻塞,无法继续同步数据的问题,非常有参考意义,整理一下,...

451100

扫码关注云+社区

领取腾讯云代金券