Всех радостно приветствую, дорогие друзья. На этапах становления я не раз замечал упоминание некоего "шелла", его продаж и методов эксплуатации. На примете у меня находился сайт-вредитель, который больно мне насолил и я решил, что настал час изучать новый тип атаки.
Что важнее? Искать информацию и читать, или пробовать? Это сложный вопрос. Спросите меня, 'Каким сканером ты пользуешься?' И я не смогу вам ответить. В поисках информации и методов я пробую различные варианты и утилиты. Так же и вам, дорогой мой читатель - новичок, я рекомендую не держаться за одну ветку.
Итак. Раннее начало дня. Я твёрдо решил, что именно в это воскресенье я буду атаковать обидчика и сел за поиск информации. Рабочий стол полон .txt файлов с ссылками, цитатами и инструкциями. На ставшем уже родным xss.pro я обнаружил отличный, как мне кажется шелл и решил начинать атаку.
Благородные и общительные профессионалы дали мне много рекомендаций и советов, считаю долгом рассказать и вам.
1. ЧЕРНЫЕ СПИСКИ.
Это метод защиты сервера от атаки. Список проверяет расширение загрудаемого файла и "знает", какие нельзя пускать на загрузку. В большинстве, ресурсы опираются именно на этот метод защиты, так-как считают его исчерпывающим. Рассмотрим некоторые методы обхода:
1.1 Альтернативные расширения.
Лично мной не проверены, но имеют место быть альтернативные расширения для формата PHP -
.php3, .php4, .php5, .php6, .inc, .pht, .phtml
1.2 Нестандартный регистр.
Довольно интересная идея к атаке, заключается лишь в изменении регистра расширения, к примеру -
.phP, pHP, pHp
1.3 Нестандартные символы.
Это лично моя теория, пока не проверена. Кто знаком с фишингом, думаю знают о подмене символа из нестандартной кодировки. Вот тоже самое, только тут. Обязательно надо проверить.
2. БЕЛЫЕ СПИСКИ.
Зеркальное понятие чёрных списков. Только в данном варианте сервер "знает" что можно ему принять и не готов получить что-либо кроме этого. Не могу сказать, как часто это используется, но полагаю, если этот ресурс принимает к загрузке лишь только аватарку пользователя да и ту в .jpg, то шанс белого списка имеет место быть.
Некоторое сервера "разрешают" файлы с двойным расширением, например file.pHp.jpg. Стоит проверить, если ничего не помогает
.
2.1 Иньекция пустого символа.
Для обхода белого списка мы можем попробовать использовать данный вид атаки. Все, что хранится после пустого символа будет отброшено при сохранении, а значит мы можем протянуть файл, например вот так:
File.php%000.jpg
File.php\x000.jpg
Не могу сказать, насколько реально такое, но мне порекомендовали попробовать отключение JS скриптов в браузере, если он мешает загрузке файла. Теоретически, это реально, но на практике мне не удалось это пока проверить.
Я заразил свой сайт, достаточно было просто поиграть с регистром расширения. На залив ушло не более 10 минут, а на сбор информации и рекомендаций около часа.
Данный отрывок, что ниже - является фактической переписью чата, где мне давали рекомендации. Если вы нашли ошибку в моих методах, пожалуйста, сообщите об этом в комментарии.
Заражение файла .jpg через Exif-отпечаток.
В теории, файл имеет место для комментариев и сервер при обработке фотографии рискует и выполнить код из Exif.
Давайте посмотрим, каким инструментом можно воспользоваться для внесения кода в картинку:
exiftool
Установим его-
apt install exiftool
Перейдём в директорию-
cd exiftool
Сюда вам нужно положить картинку.
Далее, выполняем закомментирование файла-
exiftool -Comment="<?php system(Наш код php)" имя-кантинки.jpg
Чтобы проверить, успешно ли прошло комментирование, мы можем использовать команду-
file имя-кантинки.jpg
И теперь нам остаётся лишь "пришить" второе расширение к файлу-
mv art.jpg art.php.jpg
Благодарю за прочтение статьи. Если вам есть что добавить, или вы обнаружили ошибки в статье, пожалуйста, пишите комментарий. Всего наилучшего
Что важнее? Искать информацию и читать, или пробовать? Это сложный вопрос. Спросите меня, 'Каким сканером ты пользуешься?' И я не смогу вам ответить. В поисках информации и методов я пробую различные варианты и утилиты. Так же и вам, дорогой мой читатель - новичок, я рекомендую не держаться за одну ветку.
Итак. Раннее начало дня. Я твёрдо решил, что именно в это воскресенье я буду атаковать обидчика и сел за поиск информации. Рабочий стол полон .txt файлов с ссылками, цитатами и инструкциями. На ставшем уже родным xss.pro я обнаружил отличный, как мне кажется шелл и решил начинать атаку.
Тестирование ресурса
Скажу вам, дорогой искатель-это самый важный момент. Это 80% дела, да-да! Атака не многоступенчата. Это как и XSS, стоит только найти!
У меня был ресурс с возможностью установки аватарки, отправки снимка в чате с пользователем и установки баннера-рекламы. Довольно обширный вектор, уж точно найдётся лазейка! Записав все идеи по атакам, я приступил.
Скажу вам, дорогой искатель-это самый важный момент. Это 80% дела, да-да! Атака не многоступенчата. Это как и XSS, стоит только найти!
У меня был ресурс с возможностью установки аватарки, отправки снимка в чате с пользователем и установки баннера-рекламы. Довольно обширный вектор, уж точно найдётся лазейка! Записав все идеи по атакам, я приступил.
Благородные и общительные профессионалы дали мне много рекомендаций и советов, считаю долгом рассказать и вам.
1. ЧЕРНЫЕ СПИСКИ.
Это метод защиты сервера от атаки. Список проверяет расширение загрудаемого файла и "знает", какие нельзя пускать на загрузку. В большинстве, ресурсы опираются именно на этот метод защиты, так-как считают его исчерпывающим. Рассмотрим некоторые методы обхода:
1.1 Альтернативные расширения.
Лично мной не проверены, но имеют место быть альтернативные расширения для формата PHP -
.php3, .php4, .php5, .php6, .inc, .pht, .phtml
1.2 Нестандартный регистр.
Довольно интересная идея к атаке, заключается лишь в изменении регистра расширения, к примеру -
.phP, pHP, pHp
1.3 Нестандартные символы.
Это лично моя теория, пока не проверена. Кто знаком с фишингом, думаю знают о подмене символа из нестандартной кодировки. Вот тоже самое, только тут. Обязательно надо проверить.
2. БЕЛЫЕ СПИСКИ.
Зеркальное понятие чёрных списков. Только в данном варианте сервер "знает" что можно ему принять и не готов получить что-либо кроме этого. Не могу сказать, как часто это используется, но полагаю, если этот ресурс принимает к загрузке лишь только аватарку пользователя да и ту в .jpg, то шанс белого списка имеет место быть.
Некоторое сервера "разрешают" файлы с двойным расширением, например file.pHp.jpg. Стоит проверить, если ничего не помогает
.2.1 Иньекция пустого символа.
Для обхода белого списка мы можем попробовать использовать данный вид атаки. Все, что хранится после пустого символа будет отброшено при сохранении, а значит мы можем протянуть файл, например вот так:
File.php%000.jpg
File.php\x000.jpg
Не могу сказать, насколько реально такое, но мне порекомендовали попробовать отключение JS скриптов в браузере, если он мешает загрузке файла. Теоретически, это реально, но на практике мне не удалось это пока проверить.
Я заразил свой сайт, достаточно было просто поиграть с регистром расширения. На залив ушло не более 10 минут, а на сбор информации и рекомендаций около часа.
Данный отрывок, что ниже - является фактической переписью чата, где мне давали рекомендации. Если вы нашли ошибку в моих методах, пожалуйста, сообщите об этом в комментарии.
Заражение файла .jpg через Exif-отпечаток.
В теории, файл имеет место для комментариев и сервер при обработке фотографии рискует и выполнить код из Exif.
Давайте посмотрим, каким инструментом можно воспользоваться для внесения кода в картинку:
exiftool
Установим его-
apt install exiftool
Перейдём в директорию-
cd exiftool
Сюда вам нужно положить картинку.
Далее, выполняем закомментирование файла-
exiftool -Comment="<?php system(Наш код php)" имя-кантинки.jpg
Чтобы проверить, успешно ли прошло комментирование, мы можем использовать команду-
file имя-кантинки.jpg
И теперь нам остаётся лишь "пришить" второе расширение к файлу-
mv art.jpg art.php.jpg
Благодарю за прочтение статьи. Если вам есть что добавить, или вы обнаружили ошибки в статье, пожалуйста, пишите комментарий. Всего наилучшего