Найденные уязвимости позволяют провести DoS-атаку на обработчик HTTPS-запросов этой утилиты. Процесс состоит из двух шагов. Используя GET-запросы к известным файлам через handler/listener и прове- ряя наличие строки core_patch_url, узнаем о запущенной версии утилиты. Используя вредоносный или недоделанный GET-запрос к определенным файлам утилиты, можно попасть в открытую Meterpreter сессию и сделать так, чтобы сессии больше не принимались (DoS). EXPLOIT Виной всему порт, который использует утилита. Он доступен по URL (проверя- лось через HTTPS-протокол). http://joxi.ru/RmzxVz1s0daDnA Смотрите скрин Там есть множество файлов, которые мы можем запросить через URL, и каждый из них, в свою очередь, вызывает разное поведение обработчика. От содержа- ния и типа получаемых файлов зависит возможность определения наличия ути- литы или проведения DoS-атаки. Запустим свой handler с полезной нагрузкой в виде шелла meterpreter reverse_https. http://joxi.ru/KAgoXWeu4V8DqA-Смотрите скрин Теперь попробуем получить файл chpwd.htm из listener. $ wget -qO- --no-check-certi cate https://192.168.1.1/chpwd.htm ...core_patch_url...LUDZ6djujGbWvte_gMomnQm7EQVgW7RJfg3xpGoDUgRe_ SdhLJBud68viiiDN1UsrniHZsjxLn9qYOo4YJIIU6K5ZnhNsuoGoPuWqKpQQVtxU6 L4EQg8ka9cZ4aJ-/ Ну и так BTCMaker думаю заметил что этот файл содержит строки core_patch_url и следующую за ней, сгенерированную случайным образом. На стороне listener в логах видим следующее: 73.x.x.x:47054 (UUID: 2d40d9e9d8ee8c66/x86=1/windows=1/2015- 12-19T05:50:27Z) Redirecting stageless connection from /chpwd.htm with UA 'Wget/1.16 (linux-gnu)' Есть и альтернативный способ. Мы можем запросить файл blank.php. Это акту- альный файл для listener, который представляет собой DLL-библиотеку. Список доступных файлов-http://joxi.ru/J2bVa3bIXv9bp2 и вот еще http://joxi.ru/bmoz9vLIxjJeBr $ wget --no-check-certi cate https://666.666.666.666/blank.php $ le blank.php: PE32 executable (DLL) (GUI) Intel 80386, for MS Windows Теперь в логах мы уже видим следующее: [*] 73.x.x.x:10458 (UUID: 376988d5161359f3/x86=1/windows=1/2015- 12-19T04:44:20Z) Staging Python payload ... [*] Meterpreter session 57 opened (192.168.1.1:65535 -> 73.x.x.x:10458) at 2015-12-19 04:44:20 +0000 Запрос файла blank.php триггерит скрипт на Python и открывает сессию Meterpreter (правда, она неправильная и скоро будет закрыта). [-] Meterpreter session 57 is not valid and will be closed Лог самого Meterpreter подтверждает наличие ложной сессии. В итоге мы по- лучаем DoS у handler, вызывая задержку между любой «правильной» полезной нагрузкой и handler/listener. Помимо получения строки core_patch_url из chpwd.htm и бинарного blank.php, мы можем найти много информации среди доступных файлов (см. скриншоты). Кому нужен скрипт для DoS и обнаружения-пишите в личку
