看我如何通过ZoomEye发现后门设备

admin
admin
admin
138646
文章
114
评论
2021年4月30日10:40:18评论144 views字数 1642阅读5分28秒阅读模式

由于五一假期即将到来,藉此原计划本周末发布新内容的我们决定提前更新一篇更为有趣的内容,并提前祝大家劳动节快乐!


去年研究IOT设备漏洞的时候,我们发现RCE类型的漏洞大多是无直接回显的,通常会使用OOB带外或反弹的方式回显数据。实际上,很多IOT设备都会自带telnetd服务,可以在目标设备上执行命令iptables -F && telnetd -p 8080 -l /bin/sh监听端口8080,然后使用telnet连接目标8080端口,就得到一个正向的Shell。
那么公网上会不会有直接这样利用而留下的后门呢?我们很快就在ZoomEye上得到了验证。

0x01 分析

类似于ZoomEye这种网络空间探测平台,其在扫描公网IP的时候都会有端口扫描,协议探测的过程。而在协议探测时,扫描探头一般都是向目标发送特定协议数据,然后根据返回的结果是否达到预期来判断协议类型并保存返回的结果。
而上面使用telnetd创建的正向Shell由于不需要认证,被扫描时会把探头的数据直接交给/bin/sh处理,所以会返回类似下面语法错误的信息。
xffxfdx01xffxfdx1fxffxfd!xffxfbx01xffxfbx03

# GET / HTTP/1.0/bin/sh: GET: not found/ # / #
有的甚至会返回特定的banner信息。
xffxfdx01xffxfdx1fxffxfbx01xffxfbx03

BusyBox v1.27.2 (2019-04-01 19:16:06 CST) built-in shell (ash)Enter 'help' for a list of built-in commands.
/fhrom/fhshell # <?xml version="1.0" ?><methodCall><methodName>nmap.probe</methodName></methodCall>/bin/sh: syntax error: unexpected redirection/fhrom/fhshell #

0x02 探索

针对以上的返回信息,我们提取了部分关键字如"busybox"、"help"、 "/bin/sh"、"syntax error"、"shell"在ZoomEye上搜索。果然搜索到了大量存在问题的IP。如下ZoomEye显示有30000多条:

看我如何通过ZoomEye发现后门设备

然后找了个IP用telnet连接上去,果然可以执行命令:

看我如何通过ZoomEye发现后门设备

用ZoomEye查看了开放的端口。发现开了8080端口的web服务,并且关联了漏洞和CVE编号如下:

看我如何通过ZoomEye发现后门设备

看我如何通过ZoomEye发现后门设备

访问其WEB服务后发现是一台Tp-link的路由器设备:

看我如何通过ZoomEye发现后门设备

随后对更多IP进行了分析,发现基本上都是些IOT设备,包括路由器,VPN防火墙,光猫、摄像头等,几乎都开启了web服务,也都爆过严重的rce漏洞,所以猜测是被攻击后留下的后门。涉及的设备厂商包括Cisco、Netgear、D-link、Tp-link和Asus等,当然也有不少蜜罐混在其中。看我如何通过ZoomEye发现后门设备


0x03 惊喜


过不断的变换关键字搜索,发现了更多被攻击的目标。同时也遇到了不少设备并没发现公开可利用的漏洞,但是却存在问题

如下图所示的IP仅仅开放了telnet端口,没有开启web服务。看我如何通过ZoomEye发现后门设备

随后根据23端口的一些信息,最终确认了是某火的一个接入层IP RAN产品,通常是运营商使用。不过看起来并不像是被攻击后留下的,怀疑是运营商调试用的,存在未授权访问。那这算是0day吗?

看我如何通过ZoomEye发现后门设备

同时还发现了类似于下图这样的:

看我如何通过ZoomEye发现后门设备

不乏还有这样的

看我如何通过ZoomEye发现后门设备

看着这熟悉的报错,指不定就可以通过ZoomEye在线挖0day了,有兴趣的可以自行研究。

0x04 总结

本篇文章主要介绍了如何通过网络空间搜索引擎以ZoomEye为例发现并识别公网上被漏洞利用过或者存在后门的设备。藉此希望IOT厂商也应该跟踪设备的安全问题和更新补丁,同时企业也应该关注漏洞修复和公网相应资产的收敛情况。

    看完点赞好习惯,添加关注不迷路

看我如何通过ZoomEye发现后门设备

看我如何通过ZoomEye发现后门设备


本文始发于微信公众号(bgbing安全):看我如何通过ZoomEye发现后门设备

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月30日10:40:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   看我如何通过ZoomEye发现后门设备https://cn-sec.com/archives/364036.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息