في الصيف الماضي بدأت دراسة أمن المعلومات وتقنيات القرصنة. في العام الماضي، ولدي من خلال المشاركة في مختلف الألعاب حرب، القبض على العلم والاختراق اختبار المحاكاة، وتعمل باستمرار على تحسين مهارات القرصنة بلدي، ولكن أيضا معرفة الكثير من التكنولوجيا الجديدة على "كيفية جعل تحيد الكمبيوتر من أعمالهم المقصود".

قصة قصيرة طويلة، وتجربتي دائما محدودة بيئة المحاكاة، وأعتقد أنه الأخلاقي الأبيض قبعة القراصنة، لذلك لم أكن غزو التجارية لشخص آخر، وليس مرة واحدة.

حتى الآن. توضح هذه المقالة غزو بلدي استضافة قصة الخادم من 40 موقعا (العدد الدقيق)، وفي عملية لقد وجدت.

ملاحظة: توضح هذه المقالة تقنيات تنطوي على بعض المعارف الأساسية في مجال علوم الكمبيوتر.

قال لي صديق انه وجدت موقع XSS الضعف، وقال انه يريد مني أن نلقي نظرة فاحصة. هذه مرحلة مهمة جدا، لأنني طلبت منه أن يأذن لي لإجراء اختبار شامل على تطبيقات الويب له، وتعطيني الوصول إلى جميع حقوق استضافة خادم. وقال انه يوافق.

في هذه المقالة، وأفترض أن عنوان موقع ويب صديقي كما يلي: http: //example.com.

الخطوة الأولى هي جمع كما الكثير من المعلومات عن العدو، ويجب الحرص على عدم إثارة شكوكه.

في هذه المرحلة، وأبدأ في توقيت وبدء المسح الضوئي.

$ NMAP --top منافذ 1000 -T4 -sc HTTP: تقرير //example.comNmap مسح ل example.com {حجب} المضيف هو ما يصل (0.077s الكمون) .rDNS الرقم القياسي ل{حجب}: {حجب} ليس هو مبين: 972 تصفيتها portsPORT STATE SERVICE21 / TCP فتح ftp22 / TCP مفتوحة سه | سه-hostkey: | {حجب} 80 / TCP فتح http | HTTP-طرق: | _ طرق محفوفة بالمخاطر المحتملة: TRACE | _http-عنوان: الضحية Site139 / برنامج التعاون الفني NETBIOS المفتوحة -ssn443 / برنامج التعاون الفني الشبكي مفتوحة | HTTP-طرق: | _ طرق محفوفة بالمخاطر المحتملة: TRACE | _http-لقب :. الموقع ليس لديه عنوان (نص / HTML؛ محارف = UTF-8) | _ {حجب} 445 / برنامج التعاون الفني فتح Microsoft-ds5901 / TCP مفتوحة فنك-1 | فنك-المعلومات: | بروتوكول الإصدار: 3.8 | أنواع الأمن: | _ مصادقة VNC (2) 8080 / TCP فتح http بالوكالة | _http-العنوان: 400 باد Request8081 / برنامج التعاون الفني بلاكيس مفتوحة -icecap

حوالي 2 دقيقة الضوئي الانتهاء.

هناك العديد من المنافذ المفتوحة على هذا الخادم! من خلال الملاحظة، وجدت FTP (منفذ 21) وSMB (منفذ 139/445) المنفذ مفتوحا، أعتقد الملقمات استخدام هذه المنافذ استضافة الملفات ومشاركة الملفات، كما وجدت أن يكون خادم الويب (ميناء 80/443، وكيل ميناء 8080/8081).

إذا كانت المعلومات المسح ليست كافية، وسوف تنظر في القيام مسح ميناء UDP، ومسح أكثر من 1000 من ميناء الأكثر شيوعا. أنا الآن في الميناء الوحيد التي يمكن الوصول إليها دون الحاجة إلى المصادقة 80/443.

اغتنام الوقت، بدأت gobuster، المنصوص عليها كافة الملفات مثيرة للاهتمام على ملقم ويب، وأنا سوف حفر المعلومات يدويا.

$ Gobuster -u -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 100 / المشرف / تسجيل الدخول

المسار الأصلي / المشرف هو "أداة إدارة" الدليل، يمكن المستخدمين المصادق عليهم استخدام هذه الأدوات لتعديل المحتوى على خادم الويب. فإنه يتطلب مصادقة، لكنني لا تملك اسم المستخدم ولا كلمة المرور، يمكنك أن تجد فقط طريقة أخرى. (المخربون: gobuster لم تجد أي شيء ذي قيمة.)

وحتى الآن، وأخذت حوالي 3 دقائق. ومع ذلك، لا شيء.

في تصفح الموقع، طلب مني الدخول. هذا حسنا، أنا خلقت حساب البريد الإلكتروني الافتراضي، ثم بعد بضع ثوان تأكيد بالبريد الإلكتروني وانقر على دخول ناجح.

موقع على شبكة الإنترنت يظهر رسالة ترحيب ويطفو على السطح الحوار معي في صفحة الملف الشخصي، وطلب لتحديث صورة ملفي الشخصي. هل آه حميمة جدا.

يبدو أن الموقع هو للتخصيص، لذلك قررت أن اختبار قابلية تحميل الملفات غير محدودة. I بتشغيل الأمر التالي في الطرفية:

صدى " < ؟ بى نظام (\ $ _ الحصول على ) ؛؟ > " >  exploit.php

حاولت تحميل "صورة"، ها ها ها! الموقع يقبل تحميل exploit.php. وبطبيعة الحال، يفعل هذه الوثيقة لا مصغرة، لكنه بالتأكيد الوسائل التي ملفاتي مرفوع إلى مكان الخادم.

يحصل على موقف يستغل

هنا، اعتقد ان الموقع تحميل الملف إلى القيام ببعض المعالجة، والتحقق من التمديد، واستبدال ملحق ملف مقبول، مثل JPEG أو jpg أو من أجل تجنب رمز التحكم عن بعد للمهاجمين لتحميل الخبيثة، قل لي ما تريد فعلت مواقع عليه.

بعد كل شيء، نحن قلقون جدا حول القضايا الأمنية.

أليس كذلك؟ أليس كذلك؟ ...... أليس كذلك؟

في "مسار صورة نسخة" القادم هو في الواقع نسخ المسار التالي:

يبدو لي أحصنة طروادة على شبكة الإنترنت وعلى استعداد لبدء العمل:

لقد وجدت خادم الويب تشغيل المخطوطة (حقا، بيرل؟)، اتخذ لذلك أنا من cheatsheet مشترك في ( لغة بيرل قذيفة العكسية، وتعيين IP / المنفذ، ثم أحصل على قذيفة منخفضة مميز (عذرا، لا الصورة).

في أول خمس دقائق، لدي بالفعل قذيفة منخفضة متميز.

لدهشتي، وخدمة استضافة أكثر من موقع واحد، أي ما مجموعه 40 مواقع مختلفة. أنا آسف أنا لم ينقذ لقطة من كل التفاصيل، فقط إخراج النتائج التالية:

$ ليرة سورية /var/wwwaccess.log لدى Site1 / site2 / site3 / {...}، الخ

أعتقد أنك لا يمكن أن نرى بها. كان لا بأس به صدمة، أستطيع أن أقرأ كل موقع استضافة، مما يعني أنه يمكنني الوصول إلى جميع وراء كود المواقع. كنت أعتقد أنني يمكن كود example.com الوصول فقط.

ومن الجدير بالذكر أنه في الدليل CGI-المشرف / صفحة، كل مخطوطات برل للاتصال قاعدة بيانات الخلية كجذر. يتم تخزين قاعدة البيانات المصادقة في نص واضح، مثل هذا: الجذر: pwned42.

المؤكد، التي تعمل على الخادم هو MariaDB ل، قبل الوصول إلى قاعدة البيانات اضطررت الى اللجوء لهذا السؤال (https://github.com/dockerfile/mariadb/issues/3). بعد أن تشغيل الأمر التالي:

الخلية -u -p الجذر -h المضيف المحلي victimdbnamePassword: pwned42

قاعدة بيانات لقطة بعد تسجيل الدخول كجذر على النحو التالي:

"استخدام قاعدة بيانات المستخدم،" لا أستطيع الوصول إلى 35 قاعدة بيانات وعرض / تعديل محتويات قاعدة البيانات

في سبع دقائق فقط، ولقد قرأت 35 (!) وصول كامل إلى قاعدة بيانات.

هنا، وأخلاقيا لا بد لي من التوقف عن القرصنة، وفضح اكتشفت حتى الآن. وكانت هذه المخاطر المحتملة مدهش للغاية.

كيف يمكن للمهاجمين للتخلص من هذه البيانات:

• تفريغ محتويات كافة قواعد البيانات، مما أدى إلى كل 35 شركة من بيانات التعرض الجماعية. بهذه الطريقة (https://stackoverflow.com/questions/9497869/export-and-import-all-mysql-databases-at-one-time).

• حذف كافة قواعد البيانات، وحذف جميع البيانات مرة واحدة 35 شركة.

• استخدام cronjob الى الباب الخلفي طيبة، لتسهيل مرة المستقبل اباتشي مرة أخرى. بهذه الطريقة (

وأود أن أشير هنا يتم تشغيل عملية الخلية كجذر، لذلك إذا حاولت تشغيل \! whoami، قد تكون قادرة على الحصول على الجذر. للأسف ما زلت اباتشي.

حسنا، أخذ قسط من الراحة، نهاية التوقيت.

ما المشكلة الأكبر؟

بعد فضح اكتشاف بلدي، وأنا اكتسبت المزيد من السلطة، قد يكون مزيد من الحفر.

في البحث عن طرق لرفع مستوى يشرفني أن الجذر قبل إمكانية التصنيع إلى ضرر عظيم، ولقد تم دراسة بلدي مستخدم محدود يمكن أيضا مراجعة ما تناقلته بعض وثائق أخرى مثيرة للاهتمام.

ثم كان أن تذكرت الموانئ SMB مفتوحة. وهذا يعني أنه في مكان ما في مجلد ملف يجب أن تكون مشتركة من قبل المستخدمين على النظام. بعد سلسلة من الفحص، ما يلي ظهرت في الدليل / الوطن / سامبا / دليل المضمون (يرجى أن يغفر مراجعة دفعة بلدي):

هذه الدلائل عقد الشركة المستضيفة للملفات كل مستخدم. بما في ذلك البيانات الحساسة، مثل:

• مديرية الأمن العام / .AI ملف (المصممين يعرفون أهمية الخصوصية، وبعد كل شيء، وهذا هو عملهم والتكنولوجيا)

• ملف كوكي سكليتي

• فاتورة

• المقرصنة الكتب الإلكترونية (انظر هذه عندما لا يسعه إلا أن يضحك)

• واي فاي SSID وكلمة المرور

كيف يمكن للمهاجمين للتخلص من هذه البيانات:

• يعيش خارج الشركة، قم بتسجيل الدخول إلى الشبكة الداخلية الخاصة بهم، ومجموعة متنوعة من هجمات مثيرة للاهتمام يمكن أن تعمل على الشبكة المحلية.

• وسيتم الكشف عن جميع البيانات حساسة المذكورة أعلاه إلى الشبكة.

يستغرق بعض الوقت لتصفح هذه المجلدات، فسوف ندرك مدى خطورة هذه المشكلة. ثم أخذ قسط من الراحة.

الضربة القاضية

بعد النظر في جميع أنحاء لفترة من الوقت قبل اباتشي، قررت لصيد سمكة كبيرة - الحصول على المستخدم الجذر. أود أن استخدام cheatsheet (https://blog.g0tmi1k.com/2011/08/basic-linux-privilege-escalation/)، والبحث عن نظام الملفات مثيرة للاهتمام.

وحتى الآن ولقد استخدمت حتى أكثر من تقنية البحث، ولكن لا يمكن أن يبدو لإيجاد نقطة اختراق.

في هذا الوقت، فكرت فجأة، قبل أن يلعب "القبض على العلم" التحدي، فإن نظام التشغيل عادة ما جعل بعض التغييرات، وتعمد خلق عدد من الخدمات التكوين غير صحيحة، وتوفر في نهاية المطاف وصول الجذر المطلوبة بالنسبة لك. ومع ذلك، في العالم الحقيقي، والناس لا تستطيع أن تفعل.

أعني، نظرة على Equifax.

أي ملقم تشغيل لينكس؟

$ القط / الخ / issueCentOS لينكس الإفراج 1511/07/02 (كور)

نواة ما اصدار جديد؟

ويبدو أن هذا نسخة قديمة من النواة.

نرى ما رأيك في هذا الشكل؟ (ملاحظة: هذا السؤال هو خطير جدا)

إن لم يكن، يرجى الضغط هنا:

https://www.theguardian.com/technology/2016/oct/21/dirty-cow-linux-vulnerability-found-after-nine-years

لقد وجدت أنني بحاجة إلى اختبار ما إذا كان السيناريو نواة الضعفاء في هذا بلوق:

ثم قم بتشغيل:

أكثر من لعبة!

وعلى الفور كتب رسالة بالبريد الالكتروني، والكشف الكامل عن التفاصيل المذكورة أعلاه كل خطوة والأثر المحتمل لعمل ليلة أمس قد انتهت، ويمكنك أن تتنفس من جديد.

ما يمكن للمهاجم القيام به:

• قراءة / تعديل كافة الملفات على الخادم.

• ترك مستتر دائمة (عن طريق أباتشي)؛

• تثبيت برامج ضارة، ومن المرجح أن انتشار إلى خادم الشبكة الداخلية.

• تثبيت (قاعدة بيانات 35 شركة، على سبيل المثال، تعتبر جميع البيانات شركة استضافة والرهائن) انتزاع الفدية.

• باستخدام ملقم باعتباره عامل منجم المال مشفرة.

• استخدام خادم كبديل.

• C2C الخادم كخادم.

• خادم كجزء من الروبوتات.

• . ...... (يمكنك أن تتخيل نفسك)؛

• جمهورية مقدونيا -rf / (بالتأكيد لا تمزح).

في اليوم التالي، وقال صديقي (وهو وشركات تشغيل الخادم جعلت الاتصال) لي أن علة تحميل الملف تم إصلاح.

لتلخيص النتائج التي توصلنا إليها:

• هناك ملف غير محدود نقاط الضعف تطبيق تحميل ويب، الذي من شأنه أن يعطي المهاجم قذيفة المنخفضة للامتياز.

• قاعدة بيانات الضعف مصادقة الخلية، الذي من شأنه أن يعطي المهاجم القراءة والكتابة قاعدة بيانات 35؛

• كثير قراءة الملفات الحساسة.

وأخيرا، يمكن للمهاجم إساءة نواة غير المصلحة للوصول الجذر.

تدابير تحسين

أولا، تحميل الملف علة يتيح لنا الفرصة لتبدأ. منذ مكتوبة كلها تطبيقات الخلفية ويب باستخدام بيرل (وأنا لا بيرل)، لذلك لا أستطيع أن أقترح حقا برنامج إعادة التأهيل.

ولكن يمكنني أن أقترح شيئا واحدا: لا تستخدم نسخة من بيرل عام 2017، ولكن هذا هو مجرد رأيي، يمكن أن تثبت لي خطأ في أي وقت.

حول نظام الملفات، أوصي مبدأ مرجعية الامتيازات الأقل، بعناية تعيين أذونات الملف المناسبة للمستخدم. ونتيجة لذلك، حتى لو كان يمكن لمثل هذا للمستخدمين المميز منخفضة الوصول كما اباتشي، فإنها لا يمكن قراءة أي وثائق حساسة.

تعمل على نفس الخادم من كافة المواقع ليست خطوة حكيمة، وأنا لست متأكدا ما إذا كان عامل ميناء من الحل لهذه المشكلة.

كل له هوية نفس قاعدة البيانات هي بالتأكيد فكرة سيئة.

نقطة واحدة من الفشل هي عادة ليست جيدة.

وأخيرا، فإن التصحيح! في الواقع، ببساطة تشغيل الأوامر: سو -c'yum تحديث '(سينت أو إس محددة).

الأصل: الشبكي: //hackernoon.com/how-i-hacked-40-websites-in-7-minutes-5b4c28bc8824

الترجمة: السطح المحدب، تحرير: عبارة