家studyをつづって

IT技術やセキュリティで勉強したことをつづっています。

vsftpd2.3.4のバックドアを試してみた

概要

vsftpdはLinuxで使われるFTPサーバです。
2011年7月に、ダウンロードサイト上にあるvsftpd2.3.4が侵害され、リモートから任意のコードの実行を可能にするバックドアが仕込まれていることが確認されました。

 

 

 

※現在、上記問題は修正されており、ダウンロードサイトもGoogleに移動されました。

security.appspot.com

 

バックドアは、vsftpdに「:)」を含むユーザ名で接続した際にTCP/6200で接続を待ち受ける動作をします。

実際の動作の様子を動画にまとめました。

 

環境

以前構築した環境で、 Kali Linuxよりmetasploitable2に攻撃してみます。

 

実行結果

動画内では画面左側のKali Linuxよりmetasploitable2に対して攻撃を行います。
最終的にKali LinuxよりTCP/6200でmetasploitbale2接続し、metasploitbale2のコマンドを実行できることが確認できました。

 

 

Kali Linux側での実行コマンド

  • nmap -sV -p 21 192.168.1.222(metasploitable2に対する偵察)
  • search vsftpd
  • info
  • set RHOSTS 192.168.1.222
  • show payloads
  • set PAYLOAD cmd/unix/interact 

 

参考にさせていただいたサイト

www.intellilink.co.jp

docs.rapid7.com

 

en.wikipedia.org