昨晚看卡饭论坛,发现了这么个帖子
上面的确挂着三个文件
笔者下载了上面的几个文件,发现exploit是CVE-2021-3156
netboot.xyz.efi出品自ipxe.org,是一个合法的ipxe程序,常被用于批量化的系统安装,提供了诸多系统镜像安装与维护的工具,比如各类操作系统的livecd
笔者随便装了livecd,挂载了一下虚拟机本地磁盘,文件均可访问
笔者在之前在文章《鬼上电脑》提及了一种内网攻击方法,通过网络唤醒功能开启远程计算机,推送小型操作系统到内存装载,可操作计算机任意文件,并且不留下任何日志。这个攻击的套路似乎与其类似,在别人喜气洋洋过大年的时候,内鬼们使用CVE-2021-3156获取主机root权限,挂载efiboot分区,塞入netboot.xyz.efi,重启机器进入efishell,执行netboot.xyz.efi,然后加载livecd,又做了一些不可描述的事情,清除痕迹,重启服务器。这个过程下来,给外面的感觉只是服务器无故关机了一段时间,谁也不会想到服务器关机了数据却飞了。
所以,过节期间遇到服务器无故关机,查吧。这套路需要拥有主机物理访问权限或BMC远程控制权限,内部人居多,也不排除有大黑客通过其他手段具备了上述权限,或者入侵或搭建了ipxe服务器,重启服务器直接切入ipxe引导模式。
ipxe启动原理:网卡在进行pxe启动时会进行第一次dhcp请求,并附带client-arch选项。dnsmasq会给为请求打上tag,例如dhcp-match=set:x64-uefi,option:client-arch,7,如果发现请求有这个tag,就推送对应的启动文件,例如dhcp-boot=tag:aarch64-uefi,ipxe-x86_64.efi。此时,主机就会使用tftp协议去下载ipxe,并且执行。当ipxe开始运行后,ipxe会再次进行dhcp请求,并且带上参数175。dnsmasq收到这个请求后,会推送boot.ipxe加载
https://www.jianshu.com/p/f9070d76892a
此文仅用于异常排查方法与警示作用,请勿用于非法用途。
原文始发于微信公众号(锐眼安全实验室):有没有可能,利用过年的时间它们干了点啥
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论