免責聲明:本站提供安全工具、程序(方法)可能帶有攻擊性����,僅供安全研究與教學之用,風險自負!
本文演示一個幽靈漏洞(GHOST)的EXP,這個EXP是Metasploit的一個模塊��。這個Metasploit模塊可以遠程利用CVE-2015-0235(glibc 庫中 gethostbyname 函數(shù)的堆溢出漏洞)漏洞���,目標是運行了Exim郵件服務的linux服務器�����。
關于GHOST
GHOST漏洞存在于linux的核心庫glib中的gethostbyname函數(shù)中�����,可以在本地觸發(fā)也可以在遠程觸發(fā)�����。這個名為幽靈(GHOST)的高危安全漏洞出現(xiàn)在2015年����,這個漏洞可以允許攻擊者遠程獲取操作系統(tǒng)的最高控制權限��,影響市面上大量Linux操作系統(tǒng)及其發(fā)行版����。該漏洞CVE編號為CVE-2015-0235���。
最早受此漏洞影響的glibc版本是glibc-2.2,于2000年9月10日發(fā)布�����。并且該漏洞于2013年5月21日被修復(在 glibc-2.17 — glibc-2.18之間)�����,然而����,這次更新并沒有以安全更新的名義發(fā)布,所以���,很多穩(wěn)定版&長期支持版的linux依然受影響�����,包括Debian7(wheezy)�����,Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7, and Ubuntu 12.04.
Qualys和各個linux發(fā)行廠商緊密合作,于2015年1月27日發(fā)布了一篇報道,并發(fā)布了一篇博文��,文章和各主流發(fā)行版及補丁緊密相關���。Qualys直到現(xiàn)在才放出這一模塊��,希望各個IT團隊有足夠的時間為此漏洞打補丁��。點我查看更多關于GHOST漏洞
漏洞利用(EXP)演示
這個Metasploit模塊可以利用運行了Exim郵件服務的服務器�����,獲得shell����,遠程執(zhí)行代碼���,如果這個模塊的check 方法或者exploit方法檢測到一個遠程服務器存在漏洞���,也是可以利用的。
正如EXP中所描述的��,如果要成功利用改漏洞�����,需要如下前提條件才能利用成功:
服務端利用條件(Exim):
--
遠程目標服務器必須使用的是存在漏洞的 glibc 庫:
最初的存在漏洞的版本是 glibc-2.6,最后一個存在漏洞的版本是glibc-2.17�����,一些老版本可能也存在該漏洞���,但是本文中所提供的模塊只支持前面提到的幾個新版本中的fd_nextsize結構(malloc_chunk 的一個成員結構)��,才能遠程獲取Exim的smtp_cmd_buffer在堆中的地址����。
--
遠程目標服務器必須比如運行Exim郵件服務器�����,最初的存在漏洞的版本是exim-4.77����,老版本可能也存在漏洞,但是本文中提供的模塊依賴新版本中16KBsmtp_cmd_buffer空間來可靠的建立堆空間���。
--
遠程目標服務器Exim郵件服務必須配置了正對其SMTP客戶端的額外的安全檢查����,helo_try_verify_hosts或helo_verify_hosts選項開啟均可���,ACL中的verify = helo選項可能也可以利用���,但是由于不可預測,所以本文提供的模塊沒有提供這個支持��。
--
客戶端利用條件(Metasploit):
--
模塊的exploit方法需要SENDER_HOST_ADDRESS設置為本地SMTP客戶端的IPv4地址���,也是Exim可見的 IP地址�����。另外���,這個IPv4地址必須必須支持正向和反向DNS查詢。
--
即使Metasploit客戶端沒有FCrDNS ��,Exim服務端也可能被利用成功���,但是本文中的模塊需要Exim設置了sender_host_name����,才能可靠的控制堆的狀態(tài)。
小編推薦閱讀
