FavoriteLoading
1

ShadowBrokers黑客组织 IPBoard后门 ENVISIONCOLLISION 漏洞分析

ShadowBrokers黑客组织 IPBoard后门 ENVISIONCOLLISION 漏洞分析

作者:shadoweye

来源:

https://steemit.com/security/@shadoweye/analysis-of-the-shadowbrokers-envisoncollision-exploit

 

作为我们为ShadowBrokers发行版中的所有漏洞,种植体和支持脚本提供分析和分类工作的一部分工作,我认为在“Linux”版本中写下关于“envisioncollision”漏洞的快速注释是值得的。

 

我们以前从公布了  phpBB漏洞,在该帖子中提到,由于它们受到恐怖组织的欢迎,网站论坛肯定是一个“有效”的SIGINT目标。接下来,覆盖另一个网络论坛漏洞似乎是合理的。

 

在“envisioncollision”的情况下,我们不仅可以看到工具本身,还可以看到用户手册 – “user.tool.envisioncollision.COMMON”,该工具将该工具定义为2011年或之后开发的工具。我们将其上传到包含原始漏洞的Github回收站,以及我们用于演示的修改版本。

 

 

除了使用“重定向器”利用目标的说明之外,该手册并没有引起很大的兴趣,并且表明您可以使用漏洞利用来获得反向shell,或者在目标上产生绑定shell。

 

“envisioncollision”漏洞利用并不具体利用任何漏洞,而是利用管理员凭据,通过一个“挂钩”将其安装在Invision Power Board(IPBoard)安装上,用于在主机上执行命令。

 

IPBoard中的“Hooks”是有效的插件,用于向论坛添加额外的功能。它们基本上是包含PHP代码的大量XML,据我所知(我不是IPBoard管理员/开发人员)。

 

漏洞利用/工具登录到Web论坛的管理面板中,检索一个会话ID,然后部署一个包含PHP代码的“钩子”来执行。然后它调用钩子,等待10秒钟的代码运行,并通过卸载挂钩来“删除”(实际上并不是)后门。

 

什么使我们特别有趣的是,而不是安装一个允许动态命令执行的后门,他们安装一个具有执行硬编码到有效载荷的命令。这让我有些不高兴。我们打算在某个时候发布更新的工具,而不是使用硬编码的命令。

 

此外,与phpBB漏洞利用不同,“envisioncollision”的“使用说明”并不表明如何部署“nopen”后门,而是显示各种方法来从目标获取反向shell。我们假设您将在通过此shell访问论坛Web服务器后部署“nopen”。反向壳的例子是广为人知的方法,作为参考,我们在引用部分中添加了一个“Pentest Monkeys”反壳类作弊表的链接。

 

下面是一个屏幕截图,展示了使用漏洞利用在IPBoard安装上获得反向外壳的功能。由于我们只有IPBoard 3.4,所以我们不得不调整漏洞利用代码,因为登录流程是不同的 – 在TAO写的这个漏洞的任何版本中,IPBoard都会发送一个带有可点击链接登录的“登陆页面”。

在IPBoard 3.4中,它们使用302重定向。一旦我们开始修改工具,我们很快就发现,NSA(或承包商therof)的任何开发人员清楚地知道,组装它的时候是一个糟糕的一天。演示中使用的版本是github repo中的“envisioncollision2”。为了清理演示,我们还评论了开发人员所提供的所有调试画面,因为这些都是从总体上减弱的。

 

 

您可能会注意到,我们还添加了一个可删除的后门钩文件,因为卸载钩子实际上不会删除丢弃的PHP文件。再次,我们打算在不久的将来在Python3中编写一个优秀版本的工具,并发布它来演示如何编写这个工具。

明显的妥协指标

 

如前所述,这个漏洞留下了很多证据证明它已被使用。它留下了PHP后门/挂钩文件,如果根据说明使用,将包含一个回调IP /端口使用的漏洞。此外,它没有清除Apache日志文件或由漏洞利用创建的活动会话。它还会在MySQL服务器中留下日志(假设您粘贴在原始文件中提供的“可粘贴”)中,某些事情发生了。用户指南中也没有关于擦除日志文件的内容,所以会留下相当明显的日志。

 

 

 

转载请注明:Xsafe-专注于网络安全