Risma2025/Forensic-Investigation-on-GNU-InetUtils-telnetd-Authentication-Bypass-Vulnerability-Exploitation
GitHub: Risma2025/Forensic-Investigation-on-GNU-InetUtils-telnetd-Authentication-Bypass-Vulnerability-Exploitation
一个基于HTB Sherlock挑战的GNU InetUtils telnetd认证绕过漏洞的详细取证调查与案例分析。
Stars: 0 | Forks: 0
# 取证调查:CVE-2026-24061-GNU-InetUtils-telnetd-认证绕过漏洞利用
## 案例研究:HTB Sherlock: Telly
## 📌 概述
本仓库包含一起涉及 **CVE-2026-24061**(GNU InetUtils telnetd 中的一个关键认证绕过漏洞)的安全事件技术调查。本次分析基于 **Hack The Box (HTB) Sherlock: Telly** 挑战的 PCAP 文件,重点分析漏洞利用机制及后续入侵活动。
## 🛡️ 执行摘要
2026年1月27日,一名外部攻击者利用 Telnet 服务中的缺陷,成功获取未经授权的 **root 权限**。攻击者通过注入恶意环境变量(`USER=-f root`)绕过认证,建立持久化机制,并窃取了敏感数据。
## 🕵️ 技术调查与时间线
以下时间线通过深度包检测(DPI)和 TCP 流重建得出:
* **10:39:28(漏洞利用):** 攻击者通过 Telnet `NEW-ENVIRON` 选项注入 `USER=-f root`,触发绕过。
* **10:41:33(持久化):** 创建名为 `cleanupsvc` 的后门账户。
* **10:44:02(工具下载):** 使用 `wget` 从 GitHub 下载持久化脚本(`linper.sh`)。
* **10:47:30(C2 建立):** 与命令与控制(C2)IP `91.99.25.54` 建立出站通信。
* **10:49:54(数据外泄):** 成功窃取敏感数据库文件。
## 🛠️ 分析方法
* **工具:** Wireshark v4.6.3。
* **关键过滤器:** `telnet`。
* **技术:** 重建交互式 TCP 流,识别 `useradd`、`passwd` 和 `wget` 等命令。
## 🗺️ MITRE ATT&CK® 映射
| 战术 | 技术 | ID |
| :--- | :--- | :--- |
| **初始访问** | 利用面向公众的应用程序 | T1190 |
| **持久化** | 合法账户(后门账户) | T1078 |
| **命令与控制** | 应用层协议:Telnet | T1071.001 |
| **数据外泄** | 通过 C2 通道外泄 | T1041 |
| **凭据访问** | 操作系统凭据转储(`/etc/shadow`) | T1003 |
## 🚨 入侵指标(IOCs)
* **利用字符串:** `USER=-f root`
* **后门账户:** `cleanupsvc`
* **C2 IP:** `91.99.25.54`
* **持久化脚本:** `https://raw.githubusercontent.com/montysecurity/linper/refs/heads/main/linper.sh`
## 🚀 修复建议
* **禁用 Telnet:** 立即替换为 **SSH** 以提供加密远程访问。
* **封禁 C2 服务器:** 阻止到 `91.99.25.54` 的出站流量。
* **凭据审计:** 删除 `cleanupsvc` 用户账户。
* **网络分段:** 实施网络分段以隔离关键备份服务器。
* **监控:** 部署 **IDS/IPS** 签名,对可疑的 Telnet 选项发出告警。
* **日志记录:** 启用集中式日志(SIEM),以便对账户创建行为进行可见性监控。
## 📸 证据
## 📸 证据1:初始访问
* **描述:** 以下截图显示第52帧中,Telnet `NEW-ENVIRON` 选项被用于注入恶意字符串 `USER=-f root`。
## 📸 证据2:入侵后与持久化
* **描述:** TCP 流重建显示攻击者使用 `useradd` 创建 `cleanupsvc` 后门账户。
* **描述:** 可以看到使用 `wget` 命令从 GitHub 拉取 `linper.sh` 持久化脚本。随后攻击者通过输入 `chmod +x linper.sh` 命令执行了 `linper.sh` 文件。
## 📸 证据3:命令与控制(C2)与数据外泄
* **描述:** 显示与恶意 C2 IP 地址 `91.99.25.54` 建立出站 TCP 会话的证据。
* **描述:** 该截图确认在 10:49:54 时,名为 `credit-cards-25-blackfriday.db` 的敏感数据库被成功外泄。
## 🔎 参考链接
* https://www.offsec.com/blog/cve-2026-24061/
* https://nvd.nist.gov/vuln/detail/CVE-2026-24061
* https://www.cvedetails.com/cve/CVE-2026-24061/
https://labs.hackthebox.com/achievement/sherlock/2413013/1144
## 📸 证据2:入侵后与持久化
* **描述:** TCP 流重建显示攻击者使用 `useradd` 创建 `cleanupsvc` 后门账户。
* **描述:** 可以看到使用 `wget` 命令从 GitHub 拉取 `linper.sh` 持久化脚本。随后攻击者通过输入 `chmod +x linper.sh` 命令执行了 `linper.sh` 文件。
## 📸 证据3:命令与控制(C2)与数据外泄
* **描述:** 显示与恶意 C2 IP 地址 `91.99.25.54` 建立出站 TCP 会话的证据。
* **描述:** 该截图确认在 10:49:54 时,名为 `credit-cards-25-blackfriday.db` 的敏感数据库被成功外泄。
## 🔎 参考链接
* https://www.offsec.com/blog/cve-2026-24061/
* https://nvd.nist.gov/vuln/detail/CVE-2026-24061
* https://www.cvedetails.com/cve/CVE-2026-24061/
https://labs.hackthebox.com/achievement/sherlock/2413013/1144
标签:CISA项目, CVE-2026-24061, GNU InetUtils, HTB Sherlock, PCAP分析, TCP流重建, Telly, telnetd, Wireshark, 免杀, 取证调查, 句柄查看, 后门账户, 命令与控制, 数据展示, 数据窃取, 案例研究, 漏洞分析, 红队, 网络安全, 认证绕过, 路径探测, 逆向工具, 隐私保护