x0rz/EQGRP

# eqgrp-auction-file.tar.xz 的可浏览内容 - 原始文件：https://mega.nz/#!zEAU1AQL!oWJ63n-D6lCuCQ4AY0Cv_405hX8kn7MEsa1iLH5UjKU - 密码：`CrDj"(;Va.*NdlnzB9M?@K2)#>deB7mN`（由 ShadowBrokers 泄露，[来源](https://medium.com/@shadowbrokerss/dont-forget-your-base-867d304a94b1)） - 此摘要由社区提供：投诉/致谢请发送给 `jvoisin` @ `dustri.org` 和 [@x0rz](https://www.twitter.com/x0rz) ⚠️ 某些二进制文件可能会被您的杀毒软件检测到 嵌套的 Tar 归档文件已在 [archive_files](/archive_files) 文件夹中解压。 # 内容 # 未知 - **JACKLADDER** - **DAMPCROWD** - **ELDESTMYDLE** - **SUAVEEYEFUL** - **WATCHER** - **YELLOWSPIRIT** # 杂项 - **DITTLELIGHT (HIDELIGHT)** 取消隐藏 **NOPEN** 窗口以运行 unix oracle 数据库脚本 - **DUL** shellcode 打包器 - **egg_timer** 执行延迟器（相当于 `at`） - **ewok** 类似 [snmpwalk](http://www.net-snmp.org/docs/man/snmpwalk.html) 的工具？ - **gr** Web crontab 管理器？卧槽。NSA 果然是面向 Web 规模的 - **jackladderhelper** 简单的端口绑定器 - **magicjack** Perl 实现的 [DES](https://en.wikipedia.org/wiki/Data_Encryption_Standard) - **PORKSERVER** 基于 inetd 的 **PORK** 植入体服务器 - **ri** 相当于 `rpcinfo` - **uX_local** Micro X 服务器，可能用于远程管理 - **ITIME** 修改 Unix 文件系统上文件的最后更改日期/时间 # 远程代码执行 ## Solaris - **CATFLAP** Solaris 7/8/9 (SPARC 和 Intel) 远程代码执行（适用于[很多]( https://twitter.com/hackerfantastic/status/850799265723056128 )版本） - **EASYSTREET**/**CMSEX** 和 **cmsd** Solaris `rpc.cmsd` 远程 root 权限 - **EBBISLAND**/**ELVISCICADA**/**snmpXdmid** 和 **frown**：`CVE-2001-0236`，Solaris 2.6-2.9 - snmpXdmid 缓冲区溢出 - **sneer**：*mibissa* (Sun snmpd) 远程代码执行，带有 *DWARF* 符号 :D - **dtspcdx_sparc** 针对 SunOS 5. -5.8 的 dtspcd 远程代码执行。真是个没用的漏洞利用 - **TOOLTALK** DEC、IRIX 或 Sol2.6 及更早版本的 Tooltalk 缓冲区溢出远程代码执行 - **VIOLENTSPIRIT** 针对 Solaris 2.6-2.9 (SPARC 和 x86) 上 CDE ttsession 守护进程的远程代码执行 - **EBBISLAND** Solaris 2.6 -> 2.10 远程代码执行，在存在漏洞的 rpc 服务中注入 shellcode ## Netscape 服务器 - **xp_ns-httpd** NetScape 服务器远程代码执行 - **nsent** 针对 Solaris NetScape Enterprise Server 4.1 的远程代码执行 - **eggbasket** 另一个 NetScape Enterprise 远程代码执行，这次是版本 `3.5`，可能仅适用于 SPARC ## FTP 服务器 - **EE** 针对 RHL 7.3+/Linux 上 proftpd 1.2.8 的远程代码执行，`CVE-2011-4130`？又一个不使用 proftpd 的理由 - **wuftpd** 可能是 `CVE-2001-0550` ## Web - **ESMARKCONANT** 利用 phpBB 远程命令执行（<[2.0.11](https://www.phpbb.com/community/viewtopic.php?t=240636)） `CVE-2004-1315` - **ELIDESKEW** [SquirrelMail](https://squirrelmail.org/) 版本 1.4.0 - 1.4.7 中已知的公开漏洞 - **ELITEHAMMER** 运行针对 RedFlag Webmail 4 的攻击，获取 `nobody` 用户权限 - **ENVISIONCOLLISION** 针对 phpBB（衍生版）的远程代码执行 - **EPICHERO** 针对 Avaya Media Server 的远程代码执行 - **COTTONAXE** 针对 LiteSpeed Web Server 获取日志和信息的远程代码执行 ## 杂项 - **calserver** 基于假脱机程序 RPC 的远程代码执行 - **EARLYSHOVEL** 使用 sendmail 针对 RHL7 的远程代码执行 ` CVE-2003-0681 ` ` CVE-2003-0694 ` - **ECHOWRECKER**/**sambal**：针对 samba 2.2 和 3.0.2a - 3.0.12-5 的远程代码执行（带有 *DWARF* 符号），适用于 FreeBSD、OpenBSD 3.1、OpenBSD 3.2（带有不可执行栈，我的天）以及 Linux。可能是 `CVE-2003-0201`。还有一个 Solaris 版本 - **ELECTRICSLIDE** [Squid](http://www.squid-cache.org/) 中的（堆溢出）远程代码执行，带有一个看起来像中文的特征向量 - **EMBERSNOUT** 针对 Red Hat 9.0 httpd-2.0.40-21 的远程漏洞利用 - **ENGAGENAUGHTY**/**apache-ssl-linux** Apache2 mod-ssl 远程代码执行 (2008)，SSLv2 - **ENTERSEED** Postfix 远程代码执行，适用于 2.0.8 - 2.1.5 - **ERRGENTLE**/**xp-exim-3-remote-linux** Exim 远程 root 权限，可能是 `CVE-2001-0690`，Exim 3.22 - 3.35 - **EXPOSITTRAG** 利用 pcnfsd 版本 2.x 的漏洞 - **extinctspinash**：`Chili!Soft ASP` 相关的远程代码执行？还包括 *Cobalt RaQ*？ - **KWIKEMART** (**km** 二进制文件) 针对 SSH1 padding crc32 相关漏洞的远程代码执行 (https://packetstormsecurity.com/files/24347/ssh1.crc32.txt.html) - **prout** （滥）用 `pcnfs` RPC 程序（仅限版本 2）(1999) - **slugger**：各种打印机的远程代码执行，看起来像 `CVE-1999-0078` - **statdx** Redhat Linux 6.0/6.1/6.2 rpc.statd 远程 root 漏洞利用 (IA32) - **telex** 针对 RHL 的 Telnetd 远程代码执行？`CVE-1999-0192`？ - **toffeehammer** 针对 `cgimail` 中 `cgiecho` 部分的远程代码执行，利用了 fprintf 漏洞 - **VS-VIOLET** Solaris 2.6 - 2.9，与 [XDMCP](https://en.wikipedia.org/wiki/X_display_manager_(program_type)#X_Display_Manager_Control_Protocol 相关的某些内容 - **SKIMCOUNTRY** 窃取手机日志数据 - **SLYHERETIC_CHECKS** 检查目标是否为 **SLYHERETIC**（未包含在内）做好准备 - **EMPTYBOWL** 针对 MailCenter Gateway (mcgate) 的远程代码执行 - 这是一个随 Asia Info Message Center 邮件服务器一起提供的应用程序；缓冲区溢出允许攻击者控制传递给 popen() 调用的字符串；已知任意命令执行仅对 AIMC 版本 2.9.5.1 有效 - **CURSEHAPPY** CDR（呼叫详细记录）解析器（siemens、alcatel 以及其他包含 isb hki lhr 文件的设备），可能是 ORLEANSTRIDE 的升级版 - **ORLEANSTRIDE** CDR（呼叫详细记录）解析器 # 反取证 - **toast**：`wtmps` 编辑器/操纵器/查询器 - **pcleans**：`pacctl` 操纵器/清理器 - **DIZZYTACHOMETER**：在系统文件被更改时修改 RPM 数据库，从而使 RPM (>4.1) 验证不会报警 - **DUBMOAT** 操纵 utmp - **scrubhands** 术后清理工具？ - **Auditcleaner** 清理 `audit.log` # 控制 ## Iting HP-UX, Linux, SunOS - **FUNNELOUT**：针对 `vbulletin` 的基于数据库的 Web 后门 - **hi** UNIX bind shell - **jackpop** 针对 SPARC 的 bind shell - **NOPEN** 后门？一个由客户端和服务器组成的 RAT 或后渗透 shell，使用 RC6 加密数据 [来源](http://electrospaces.blogspot.nl/p/nsas-tao-division-codewords.html)** SunOS5.8 - **SAMPLEMAN / ROUTER TOUCH** 显然是通过端口 2323 上的工具以某种重定向方式攻击 Cisco...（感谢 @cynicalsecurity） - **SECONDDATE** 针对 Linux/FreeBSD/Solaris/JunOS 的植入体 - **SHENTYSDELIGHT** Linux 键盘记录器 - **SIDETRACK** 用于 **PITCHIMPAIR** 的植入体 - **SIFT** 针对 Solaris/Linux/FreeBSD 的植入体 - **SLYHERETIC** SLYHERETIC 是针对 AIX 5.1:-5.2 的轻量级植入体，使用 Hide-in-Plain-Sight（隐藏于无形）技术以实现隐蔽性。 - **STRIFEWORLD**：针对 UNIX 的网络监控，需要以 root 权限启动。Strifeworld 是一个捕获作为 TCP 连接的一部分传输的数据并将数据存储在内存中进行分析的程序。Strifeworld 重构实际的数据流，并将每个会话存储在文件中以供后续分析。 - **SUCTIONCHAR**：32 或 64 位操作系统，solaris sparc 8,9，内核级植入体 - 对进程输入/输出 vnode 流量进行透明、持续或实时拦截，能够拦截 ssh、telnet、rlogin、rsh、password、login、csh、su 等…… - **STOICSURGEON** Rootkit/后门 Linux 多架构 - **INCISION** Rootkit/后门 Linux，可以升级到 StoicSurgeon（更新版本） ## 命令与控制 (CnC) - **Seconddate_CnC**：**SECONDDATE** 的 CnC - **ELECTRICSIDE** 可能是一个极其庞大的 CnC - **NOCLIENT** 似乎是 **NOPEN*** 的 CnC - **DEWDROP** # 权限提升 ## Linux - **h**：Linux 内核权限提升，旧漏洞编译的 `hatorihanzo.c`，2.4.22 中的 do-brk() [CVE-2003-0961](https://nvd.nist.gov/vuln/detail/CVE-2003-0961) - **gsh**：`setreuid(0,0);execl("bash","/bin/bash")` - **PTRACE/FORKPTY**/**km3**：Linux 内核本地权限提升，kmod+ptrace，[CVE-2003-0127](https://nvd.nist.gov/vuln/detail/CVE-2003-0127)，(https://mjt.nysv.org/scratch/ptrace_exploit/km3.c) - **EXACTCHANGE**：基于 NULL 解引用的本地 root 权限提升，基于各种套接字协议，编译于 2004 年，公开于 2005 年 - **ghost**：`statmon`/tooltalk 权限提升？ - **elgingamble**： - **ESTOPFORBADE** 针对 Cobalt Linux release 6.0 的本地 root `gds_inet_server` 权限提升，需与 **complexpuzzle** 配合使用 - **ENVOYTOMATO** 通过蓝牙协议栈进行本地权限提升（？） - **ESTOPMOONLIT** Linux 本地权限提升 - **EPOXYRESIN** Linux 本地权限提升 ## AIX - **EXCEEDSALON-AIX** 权限提升 ## 其他 - **procsuid**：setuid perl（是的，这确实存在）通过未过滤的环境变量进行权限提升。真牛 - **elatedmonkey**：cpanel 权限提升（0day），使用 `/usr/local/cpanel/3rdpartyman/`。创建 mailman 邮件列表：`mailman config_list` - **estesfox**：logwatch 权限提升，[旧漏洞](http://www.securiteam.com/exploits/5OP0S2A6KI.html) - **evolvingstrategy**：权限提升，可能针对 Kaspersky Anti-virus（`/sbin/keepup2date` 是卡巴斯基的东西）（`ey_vrupdate` 是什么？） - **eh** OpenWebMail 权限提升 - **escrowupgrade** 针对 solaris 2.6 2.7 sparc 的 cachefsd 漏洞 - **ENGLANDBOGY** 针对 Xorg X11R7 1.0.1, X11R7 1.0, X11R6 6.9 的本地漏洞利用，包含以下发行版：MandrakeSoft Linux 10.2、Ubuntu 5.0.4、SuSE Linux 10.0、RedHat Fedora Core5、MandrakeSoft Linux 2006.0。需要 setuid Xorg - **endlessdonut**：Apache fastcgi 权限提升 # 有趣的东西 - [默认密码列表](https://github.com/x0rz/EQGRP/blob/33810162273edda807363237ef7e7c5ece3e4100/Linux/etc/.oprc)（由 x0rz 提供） - [.gov.ru](https://github.com/x0rz/EQGRP/blob/1667dacddf710082a1567e4e481f416876f432b7/archive_files/stoicctrls/stoicctrls/stoicsurgeon_ctrl__v__1.5.13.4_x86-freebsd-5.3) (stoicsurgeon_ctrl__v__1.5.13.5_x86-freebsd-5.3-sassyninja-mail.aprf.gov.ru) (哇！)

标签：0day, CISA项目, Cutter, CVE, HTTP工具, NSA, Prisma Cloud, RCE, Shadow Brokers, Shellcode, Solaris, 云资产清单, 内存分配, 后门, 技术调研, 攻击路径可视化, 数字签名, 数据展示, 方程式组织, 无线安全, 泄露数据, 红队, 缓冲区溢出, 网络取, 网络安全, 远控木马, 逆向工程, 隐私保护, 黑客工具