免責(zé)聲明:本站提供安全工具����、程序(方法)可能帶有攻擊性�����,僅供安全研究與教學(xué)之用���,風(fēng)險(xiǎn)自負(fù)!
本文演示一個(gè)幽靈漏洞(GHOST)的EXP,這個(gè)EXP是Metasploit的一個(gè)模塊��。這個(gè)Metasploit模塊可以遠(yuǎn)程利用CVE-2015-0235(glibc 庫(kù)中 gethostbyname 函數(shù)的堆溢出漏洞)漏洞��,目標(biāo)是運(yùn)行了Exim郵件服務(wù)的linux服務(wù)器�。
關(guān)于GHOST
GHOST漏洞存在于linux的核心庫(kù)glib中的gethostbyname函數(shù)中,可以在本地觸發(fā)也可以在遠(yuǎn)程觸發(fā)���。這個(gè)名為幽靈(GHOST)的高危安全漏洞出現(xiàn)在2015年�����,這個(gè)漏洞可以允許攻擊者遠(yuǎn)程獲取操作系統(tǒng)的最高控制權(quán)限��,影響市面上大量Linux操作系統(tǒng)及其發(fā)行版����。該漏洞CVE編號(hào)為CVE-2015-0235�。
最早受此漏洞影響的glibc版本是glibc-2.2,于2000年9月10日發(fā)布�。并且該漏洞于2013年5月21日被修復(fù)(在 glibc-2.17 — glibc-2.18之間),然而�����,這次更新并沒(méi)有以安全更新的名義發(fā)布,所以�����,很多穩(wěn)定版&長(zhǎng)期支持版的linux依然受影響�,包括Debian7(wheezy),Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7, and Ubuntu 12.04.
Qualys和各個(gè)linux發(fā)行廠商緊密合作�,于2015年1月27日發(fā)布了一篇報(bào)道,并發(fā)布了一篇博文���,文章和各主流發(fā)行版及補(bǔ)丁緊密相關(guān)���。Qualys直到現(xiàn)在才放出這一模塊,希望各個(gè)IT團(tuán)隊(duì)有足夠的時(shí)間為此漏洞打補(bǔ)丁�����。點(diǎn)我查看更多關(guān)于GHOST漏洞
漏洞利用(EXP)演示
這個(gè)Metasploit模塊可以利用運(yùn)行了Exim郵件服務(wù)的服務(wù)器���,獲得shell����,遠(yuǎn)程執(zhí)行代碼����,如果這個(gè)模塊的check 方法或者exploit方法檢測(cè)到一個(gè)遠(yuǎn)程服務(wù)器存在漏洞,也是可以利用的�。
正如EXP中所描述的,如果要成功利用改漏洞�����,需要如下前提條件才能利用成功:
服務(wù)端利用條件(Exim):
--
遠(yuǎn)程目標(biāo)服務(wù)器必須使用的是存在漏洞的 glibc 庫(kù):
最初的存在漏洞的版本是 glibc-2.6�����,最后一個(gè)存在漏洞的版本是glibc-2.17�����,一些老版本可能也存在該漏洞����,但是本文中所提供的模塊只支持前面提到的幾個(gè)新版本中的fd_nextsize結(jié)構(gòu)(malloc_chunk 的一個(gè)成員結(jié)構(gòu)),才能遠(yuǎn)程獲取Exim的smtp_cmd_buffer在堆中的地址�����。
--
遠(yuǎn)程目標(biāo)服務(wù)器必須比如運(yùn)行Exim郵件服務(wù)器,最初的存在漏洞的版本是exim-4.77���,老版本可能也存在漏洞����,但是本文中提供的模塊依賴新版本中16KBsmtp_cmd_buffer空間來(lái)可靠的建立堆空間��。
--
遠(yuǎn)程目標(biāo)服務(wù)器Exim郵件服務(wù)必須配置了正對(duì)其SMTP客戶端的額外的安全檢查��,helo_try_verify_hosts或helo_verify_hosts選項(xiàng)開(kāi)啟均可�,ACL中的verify = helo選項(xiàng)可能也可以利用,但是由于不可預(yù)測(cè)���,所以本文提供的模塊沒(méi)有提供這個(gè)支持���。
--
客戶端利用條件(Metasploit):
--
模塊的exploit方法需要SENDER_HOST_ADDRESS設(shè)置為本地SMTP客戶端的IPv4地址,也是Exim可見(jiàn)的 IP地址���。另外�,這個(gè)IPv4地址必須必須支持正向和反向DNS查詢�����。
--
即使Metasploit客戶端沒(méi)有FCrDNS ,Exim服務(wù)端也可能被利用成功����,但是本文中的模塊需要Exim設(shè)置了sender_host_name���,才能可靠的控制堆的狀態(tài)����。
小編推薦閱讀
