揭秘:黑客是如何利用Metasploit接管后门和僵尸网络的?

消息来源: 作者:felix 来源:freebuf         消息类型: 行业新闻         发布日期:2016-04-05

      Metasploit Framework中有很多漏洞利用模块,包括缓冲区溢出,浏览器漏洞利用,Web应用程序漏洞,后门利用,僵尸接管工具等。Exploit开发者以及对这个框架有贡献的人已经分享了很多有趣并且有用的东西。

这篇文章中,我们将讨论利用Metasploit来攻击并接管常见的后门和僵尸网络的话题。我们不会深入研究所有的模块,但是会提到一些在未来渗透测试或者工作时会用到的模块。我们不会开发Exploit,所以不需要你使用调试器和代码编辑器。

如果你刚开始利用Msfconsole(框架的一个命令行接口)来使用Metasploit Framework,不必担心,这里会一步一步地教你怎么使用漏洞利用模块。这个教程只需要你做一件事,在你的攻击机上安装Metasploit,我建议你使用Kali Linux或者BackBox,这是渗透测试的发行版系统,已经预先安装了Metasploit。

对于我们的目标机,我建议你把metasploitable 2安装到喜欢的虚拟化平台上,比如VMWare或者VirtualBox。Metasploitable 2是一个有漏洞的Ubuntun Linux虚拟机,你可以用它练习你的Metasploit使用技巧,因为它上面安装了一些不安全的程序。

揭秘:黑客是如何利用Metasploit接管后门和僵尸网络的?


Metasploitable 2虚拟机配置安装了包含有后门和公开漏洞的服务。

在6667端口上,Metasploitable 2上运行着有后门的UnreaIRCD IRC后台程序,可以通过发送字母“AB”触发,攻击者能够以运行ircd的用户权限执行任意系统命令。这是一个非常好的用来练习的漏洞,我们试试看能不能弹出一个shell。很幸运,Metasploit已经有一个该漏洞的利用模块,位于exploit/unix/irc/unreal_ircd_3281_backdoor下面。

输入msfconsole打开Metasploit的命令行接口。输入info exploit/unix/irc/unreal_ircd_3281_backdoor可以看到模块的描述信息:“这个模块利用漏洞攻击一个附加有恶意后门的Unreal IRCD 3.2.8.1下载包。该后门位于2009年11月到2010年6月12日期间的Unreal3.2.8.1.tar.gz压缩包中”

现在,是时候攻击这个包含有后门的服务了!

揭秘:黑客是如何利用Metasploit接管后门和僵尸网络的?


哇哦,我们拿到了shell。想要获取更多关于其它有后门的服务的信息,请查看Metasploitable 2 Exploitability Guide。

我们讨论的不应该是常见的后门和僵尸网络接管话题吗?是的!我们才刚刚开始,刚才做了一个简单而又简短的介绍,如何利用MSF控制台来攻击UnreaIRCD IRC服务中的后门。

我们的目标是介绍一个新奇的玩意儿,Metasploit已经有了这一类模块,这些模块并不是在Web应用程序上远程执行任意代码,也不是在应用程序或服务上进行缓冲区溢出攻击。

在下一个例子中,我们将会使用一个我写的Simple Backdoor Shell Remote Code Execution模块攻击一个Web后门。这个模块攻击一个简单的web后门,利用常见后门shell的有脆弱点的参数执行命令。

Daniel Miessler和Jason Haddix的OWASP安全列表工程里有很多这类后门shell的样本,它们被分类编入到Payloads下面。

在我们探究Simple Backdoor Shell Remote Code Execution模块之前,我们首先要在目标机器上创建一个后门shell。我建议你在Linux虚拟机上安装一个Apache服务器,并编写以下有漏洞的代码: