东方网域安全实验室：NSA方程式Easybee攻击程序漏洞复现与分析_北京东方网域新兴科技_新浪博客
东方网域安全实验室：NSA方程式Easybee攻击程序漏洞复现与分析
影子经纪人(Shadow
Brokers)最近曝光的NSA方程式Windows攻击程序中有一个针对Mdaemon邮件服务器漏洞的远程攻击程序——Easybee，东方网域安全实验室工作人员将对Easybee漏洞攻击进行复现，并分析漏洞攻击原理。
Easybee是针对Mdaemon邮件服务器远程逻辑漏洞的攻击程序，它支持对下列版本的Mdaemon服务器进行攻击：
这里找到一个10.1.1版本的Mdaemon进行测试，首先需要两台测试机：
192.168.1.3——攻击机 Win2003安装Python，运行Fuzzbunch
192.168.1.105——靶机 WindowsXP安装Mdaemon 10.1.1
在靶机上的Mdaemon中添加域名，由于这个域名并没有在互联网上注册，所以我们自己搭建一个DNS服务器，把的MX记录设置为192.168.1.105，并在192.168.1.3中设置DNS服务器为我们自己的DNS。然后在Mdaemon的域名中新建用户，密码Aa654321。
漏洞利用复现
在攻击机192.168.1.3中运行Fuzzbunch攻击框架，设置Target
IP为192.168.1.105，Callback IP为192.168.1.3，Redirection为no。
新建Project设置一些log目录之类的常规参数，然后运行Easybee，设置攻击参数：
具体攻击参数的意义为：
TargetIp —— 目标IP地址，这里是192.168.1.105
TargetWCPort —— WorldClient端口，默认为3000
TargetWAPort —— WebAdmin端口，默认为1000
WorldClientProtocol —— WorldClient协议，默认为http
WorldClientDomain —— WorldClient所属域名，这里是
WorldClientPort —— WorldClient端口，默认为3000
WebAdminProtocol —— WebAdmin协议，默认为http
WebAdminDomain —— WebAdmin所属域名，这里是
WebAdminPort —— WebAdmin端口，默认为1000
TargetAcctDomain —— 目标域名，
TargetAcctUsr —— 目标账号，这里是admin
TargetAcctPwd —— 账号密码，这里是Aa654321
TargetAcctIsAdmin —— 账号是否为管理员，这里是yes
CFEmailFrom —— 用于触发内容过滤器的发件人，我是自己发给自己就写
CFEmailSubj —— 用于触发内容过滤器的邮件标题，随便写xxxooo
CFEmailFile —— 用于触发内容过滤器的附件名，这个要求是允许的附件类型，最好是.txt类型
AREmailFrom —— 同CFEmailFrom即可
AREmailSubj —— 发送邮件标题，随便写hahahoho
PTEmailFrom —— 同CFEmailFrom即可
PTEmailSubj —— 同AREmailSubj即可
PayloadName —— 上传到服务器运行的文件名，随便写个t.exe即可
PayloadFile ——
要上传的木马程序，我这里只是测试就传个计算器，写C:\windows\system32\calc.exe
WorldClientVersion ——
Mdaemon的版本，我这里选10.1.1execute之后，经过一系列的攻击，最终攻击成功。
我们看一些靶机上面，我们上传的计算器已经成功执行。
如果Mdaemon是以服务形式运行，那么它的子进程都是SYSTEM权限且没有图形界面，但是计算器也能成功运行。
经过分析发现，这个漏洞是Mdaemon的Auto Responder(自动应答器)和Content
Filter(内容过滤器)的一个逻辑漏洞，具体漏洞利用的步骤是：
通过HTTP协议访问目标3000端口的WorldClient，POST用户名密码进行登录，通过返回Cookie解析出WCSESSIONID
通过HTTP协议访问目标1000端口的WebAdmin，POST用户名密码进行登录，通过返回Cookie解析出WASESSIONID
3. 通过访问WebAdmin的如下URL获取Auto Responder是否开启
http://192.168.1.105:1000/useredit_autoresp.wdm?accountedit=1&user=
4. 通过POSTXML的方式修改用户自动应答所执行的脚本
运行到这里我们看到自动应答已经被添加了命令执行：
这样一来，每次收到邮件就会把邮件内容中@@后面内容当做CMD命令来执行
以POST方式通过WorldClient发送一封邮件给去触发自动应答的处理命令，内容是一系列以@@开头的CMD命令：
这段批处理依次执行下面命令：
1)从目标邮箱目录下找到对应的邮件.msg文件，其中iOE4ZuLw44是发送邮件标题中的随机字符串。
2)读取.msg文件的内容。
3)读取UserList.dat文件的内容，这里面有加密过的密码。
4)读取WebAcces.dat文件的内容，把账号的权限全部打开：Access=YYYYYYYYYYYYYYYYY
5)读取CFRules.dat文件内容，这个是Content Filter内容过滤器规则。
6)读取CFilter.ini文件的内容。Content Filter内容过滤器配置文件。
7)读取MDaemon.ini服务器配置文件。
8)最后把所有内容集合在一起重新写入原邮件的.msg文件中。
可以看出这段批处理的作用是，读取一系列配置文件内容，并且修改账号的权限为最高。
通过WorldClient确保邮件已收到，读取邮件内容，通过UserList.dat文件内容获取账号的加密密码，并解出明文密码。
解密算法在trfo-2.dll的TfBase64Decode函数中，就是Base64的一种变形：
7. 通过CFilter.ini文件内容判断Content
Filter是否开启，如果没开启还需要发送一封邮件触发自动应答脚本执行批处理命令写入CFilter.ini文件来开启Content
以获取到的账号的密码登录进WebAdmin，通过POSTXML的方式添加一条Content
Filter规则：
这条规则就是说，当发现邮件标题中包含xxxooo字符串，就执行命令cmd /c “move /Y uu.txt t.exe
& t.exe & del
t.exe”，把附件uu.txt文件复制为t.exe并运行。
9. 核心一步，发送标题为xxxooo，带有payload附件的邮件。触发Content
Filter规则，运行payload。
10. 最后，发送包含命令的邮件清除所做修改和清除邮件。
可以看出来这个漏洞最关键点在于攻击者可以通过WebAdmin以POSTXML的方式修改用户自动应答脚本，以至发送特定内容邮件就可以达到执行任意命令的目的。
升级Mdaemon到最新版本可修复此漏洞。
鍖椾含涓滄柟缃戝煙鏂板叴绉戞妧
博客等级：
博客积分：0
博客访问：19,121
关注人气：0
荣誉徽章：相关文章推荐
Telegram传奇：俄罗斯富豪、黑客高手、极权和阴谋…
霍炬 歪理邪说
说了很久要写Telegram的故事，一直拖延没有写。在我拖延的这段时间...
*本文原创作者：Ano_Tom，本文属FreeBuf原创奖励计划，未经许可禁止转载
NSA的Equation Group(方程式组织)泄露的漏洞攻击代码已经有一段时间了，我们...
小程序一次次的更新调整都牵动着每一个互联网人的心，也许我们尤其要思考一下，小程序更新的背后，还有哪些不为人知的意义。...
密码管理器推荐LastPass和KeePass,当然了，如果只看颜值的话还是Lastpass吧。
------------------------------------------------...
/797大牛的博客，喜欢的文章就转过来了
你相信“巧合”吗？
当然相信。世界非常大而且非常复杂，每...
Citron：做空奇虎360的阴谋论
做空还是做多，这是一个选择。但在选择之前，有一个前提：实事求是。
在小光节这一天，中国概念股做空机构Citron发布报告，称奇虎360与斯凯一样，故意夸大公司...
最近惊闻chinabt被封，虽然本人是一向的百度谷歌党，对论坛不感冒，不过这次光腚总局也网络上掀起的这一番波浪也可算真够大的，瞬时间飞沙走石，天地为之变色，不过他老人家也是真够胆，现今中国网络的力...
2011年第一天上班就听朋友说QQ被黑了，真是新年最给力的新闻，打开http://dl./mobile_install/saviour.html(貌似已经打不开，转者注，...
11月20日消息，有网友在a5论坛发帖反映，万网官方网站页面被黑，黑客在被黑页面上写出了 “吃饱没事做 做饱没事吃 中国鹰派有万涛 万涛黑站有绝招 打开机房推开门 拿起锤头往上敲 BY AK "等字样...
11日上午9时左右，有网友发现哈药六厂官网因为“豪华办公楼”被黑，网站首页全部被篡改，只剩下一段黑客宣言和一首反复播放的背景音乐《The Mass》。
　　11日上午8时45分，网友“小希”就发...
他的最新文章
讲师：董晓杰
讲师：姚远
他的热门文章
您举报文章：
举报原因：
原文地址：
原因补充：
(最多只允许输入30个字)相关文章推荐
360这个比较有逻辑，看来以后我要先看360的文章再看其他的了。。确实用心
-----------------------------------------------------------...
ETERNALBLUE ：是一个0day RCE漏洞利用，影响最新的Windows 2008 R2 SERVER VIA SMB和NBT，利用SMB漏洞，攻击开放445端口的windows机器...
1、Python2.6和pywin32安装包(注意都是32位的，不然会导致调用dll payload文件失败)：
复现python和pywin32安装包 （分流下载：http...
最近那个WannaCry勒索病毒搞的沸沸扬扬，据了解该病毒利用了方程式泄露的0day MS17-010(永恒之蓝)进行传播。
据说这个漏洞是支持winxp-win2012，测试一下这个漏洞到底如何。
NSA的EternalBlue（永恒之蓝） ms17-010 漏洞利用
metasploit比较经典的使用实例，ms08-067 netapi
1、升级kali-rolling
a、修改更新源 vim /etc/apt/sources.list，只保留官方更新源“deb http://http.kali.org/kali kali-roll...
msfvenomOptions:-p, –payload
指定需要使用的payload(攻击荷载)。如果需要使用自定义的payload，请使用& #039;-&...
利用kali进行渗透测试0x00摘要该文章转载自安全小飞侠，在kali下进行渗透测试演示，对于渗透测试的学习和理解非常有借鉴意义。0x01案列分析实验环境：
目标靶机：10.11.1.0/24
/thread-.html
吾本布衣i春秋-呆萌菜鸟
发表于 前天 14:...
他的最新文章
讲师：董晓杰
讲师：姚远
他的热门文章
您举报文章：
举报原因：
原文地址：
原因补充：
(最多只允许输入30个字)从NSA疑似被黑透视网络战|美国|网络|方程式_新浪财经_新浪网
　　复旦大学国际政治系副教授 沈逸
　　8月中旬的一周，一群黑客自称攻陷了美国国家安全局（NSA）的方程式组织，然后披露一批疑似NSA通过方程式组织开发的网络情报获取工具。有媒体在报道相关新闻时，因为方程式组织和NSA的关系，也用上了NSA被黑的标题。不过说实在的，要通过已经被披露的消息，证明黑客攻陷了NSA，恐怕还是有点难度的；但根据此次进一步被披露的方程式组织的相关资料，开发的工具，和斯诺登在前期棱镜门，以及此次事件发生再度补充的相关文件，大致上可以进一步比较精细的勾勒出美国政府在网络情报获取领域已经建设完善的战略能力，对网络空间的大国战略博弈，或者是网络战的态势，有进一步清晰的了解。
　　其一，自1997年至今，美国已经形成了比较系统的计算机系统攻击能力。根据已经有的解密档案，大致在1997年3月，美国国防部正式授权美国国家安全局开始研发计算机网络攻击能力。需要说明的是，和传统战场上侦查、攻击、防御等概念不同，网络空间的基本特点之一是查打一体，即使是要通过监控获取情报，也必须以能够在一定程度上入侵和破解系统为基础。2013年6月，斯诺登系统披露的棱镜系统，以不可否认的证据证明了美国所具有的全球网络空间能力；而此次黑客组织披露的方程式组织相关材料，则进一步清晰的证明了美国的网络监控能力在相当程度上是以进攻能力，即入侵监控对象信息系统的能力，为基础的。在这种意义的网络进攻能力建设上，美国已经研发出了较为完整和系统的国家网络武器系统，形成了比较完善的国家网络攻击能力。这种能力，对其他国家，尤其是美国网络监控的目标国，构成清晰的战略威胁。
　　其二，从方程式组织选择攻击目标的特性来看，美国政府通过NSA实施的网络行动，具有显著的军民融合特点。和传统意义上的军事行动不同，美国通过NSA实施的网络行动，是在和平时期实施的攻击行动。不仅这种行动的背景是和平时期，其指向的目标，也多是民用产品。通过对民用产品和信息系统的入侵，搜集具有战略意义和价值的情报，乃至达成类似奥林匹克行动那种战略目标，美国国家网络攻击能力的建设以及实施，已经实现了典型的军民融合，不再清晰的区分传统意义上的军用和民用目标，民用技术所具有的国家安全战略潜力，以零日漏洞为典型代表，已经完全纳入了宏观国家安全战略的谱系，并得到了妥善的运用。所以此次方程式组织暴露出了大量使用零日漏洞的专用入侵工具，或者说，攻击性的网络战武器。
　　其三，从方程式组织攻击的指向来看，美国政府非常善于放大基于产业链以及产业生态带来的战略优势。方程式组织攻击的对象，指向那些对信息基础设施存在大量依赖，但缺乏自主制造，或者有效监测能力的行为体；换言之，美国国家安全局之所以能够搞出方程式组织，其核心支撑，在于美国公司、企业在相关产品的产业链、供应链乃至整个生态系统中所占据的压倒性优势位置。进而可以说，美国将自身在网络生态系统所占据的产业优势，转化成了在网络空间安全博弈中的战略优势，并加以充分运用。对思科、Juniper、华为以及天融信等品牌防火墙的针对性攻击，都可以看作是对美国战略优势的运用。当然，这种运用，一旦暴露，就会产生相应的后果，即对美国公司和相关产品的战略猜忌和不信任。
　　对中国来说，有关此项事件的报道，再度敲响了网络安全的警钟。没有网络安全就没有国家安全，没有信息化就没有现代化，这一战略判断的正确性、必要性和紧迫性，也再度得到了检验。在可见的将来，要在面临美国这种近似水银泻地，无孔不入的网络空间战略进攻态势面前有效保障中国的国家网络安全，至少可以从如下三个方面入手：
　　其一，以能力建设为核心，超越简单、机械的合规性要求，建设具有中国特色的军民融合的国家网络安全战略防御能力。对国家行为体而言，网络空间的有效防御，是一种关键的能力。中国只能在未来的信息化发展中，坚持不懈的推行网络安全和信息化的融合发展，实践符合中国需求的军民融合，以最大限度的抵消和防御来自美国的网络攻击的威胁。
　　其二，中国应该加速以关键基础设施摸底排查为主要任务的国家网络安全实战演练。日的《纽约时报》上，白宫匿名官员已经嚣张的宣称，我们在中国大陆的计算机网络系统中放入了数以千计的嵌入系统；此次黑客组织披露的方程式组织中，针对中国华为、天融信等企业和产品的攻击能力，亦榜上有名。加速对遭受潜在威胁的目标进行有效的排查，及时起获以及拦截美国对华实施的网络攻击和监控行动，才能有效的重建中美之间在网络空间的战略平衡，有效的打消美国对华在网络空间实施投机性攻击行动所可能导致的潜在风险。
　　其三，加速遵循军民融合的基本原则，创造性的建设完善中国的网军。对抗来自美国网军的威胁，只能依靠中国的网军。尽管此次方程式组织的相关软件可能已经被黑客获取，但中国国家安全仍然继续面临来自美国网军的战略威胁，这种威胁包括NSA对华实施信号情报行动的威胁，包括对华基础设施实施攻击与预置设备的威胁，包括对华实施预防性网络攻击的威胁。中国确实可以继续在外交领域坚持网络空间非军事化的主张，但面对网络空间已经成为大国战略博弈新疆域的现实，加速建设中国的赛博肌肉，也是刻不容缓的重中之重。
　　从方程式组织疑似被黑去透视网络战，可以发现，如果爱好和平，请准备战争。这一古老的格言，同样适用于今日的网络空间。(编辑 张立伟)
峰会将重申避免竞争性贬值。峰会将支持扩大SDR的使用范围，这将助推人民币国际化。峰会将推动绿色金融发展，是一个新亮点。峰会将承诺促进结构性改革，推动基础设施投资。峰会将讨论全球经济面临的新的不确定性。
人工智能和区块链这两个技术，在未来会使数字货币在金融市场当中的使用权重大大增强。同时可以彻底改造人和金融机构之间的关系。所以在大数据意义上，未来的金融机构的核心能力不是存量的改造，而完全是增量的变化。
从各国应用负利率的实际情况来看，目前效果并不令人满意，反而，出现了有悖于负利率实施初衷的五大矛盾，值得保持警惕。
如果剔除学区等非经济因素，一线城市房地产的投资价值并不大，其关键原因在于一线城市价格过高，透支了住房价格的未来上涨空间。从长期投资价值来说，大多数一线城市住房的租售比都在1/1000以上，住房通过出租获取的年化投资收益率仅为1%左右。}