Naujienos

Paslaugos

Sprendimai

Laboratorija

Tinklaraštis

Partneriams

Apie mus

Apie autorių

Tomas Lažauninkas

IT saugumo analitikas

» Visi autoriaus pranešimai
» Rašykite autoriui

Twitter atnaujinimai

Naujas Twitter XSS pažeidžiamumas http://skeptikal.org/exploits/twitter/twitter_xss.html
Paskelbta: 2010-09-06 20:35:43

Cross-Origin CSS ataka http://bit.ly/dcvc9F, IE8 pažeidžiamumo demontracija http://bit.ly/aKLxfC
Paskelbta: 2010-09-04 12:12:32

Naujas žurnalo (IN)SECURE Magazine numeris http://bit.ly/9AqxNd
Paskelbta: 2010-09-01 15:51:51

Naujas žurnalo Hakin9 numeris http://bit.ly/a2Tsxi
Paskelbta: 2010-08-31 17:48:18

"use-after-free" tipo pažeidžiamumų išnaudojimas http://bit.ly/dglFi3
Paskelbta: 2010-08-31 09:38:12

Sekite mus Twitter – Archyvas

PHP lokalaus failo įterpimo gudrybės

Tomas Lažauninkas, 2009-02-22 21:30:41

PHP yra bene populiariausia programavimo kalba WEB sferoje, taip pat ji bene populiariausia ir hakerių scenoje, dėl smarkiai paplitusių, išskirtinai PHP būdingų pažeidžiamumų. Turbūt daugeliui teko susidurti arba bent girdėti apie nutolusio failo įterpimo (remote file include) ataką PHP WEB aplikacijose. Galimybė vykdyti nutolusį PHP kodą buvo ir yra naudojama kone tik įsilaužėlių, todėl naujausiose PHP interpretatoriaus versijose gamintojai nusprendė pagal nutylėjimą išjungti konfigūracinio failo opciją, atsakingą už galimybę vykdyti nutolusį PHP kodą. Tačiau egzistuoja būdai, kaip pasinaudojant lokalaus failo įterpimo pažeidžiamumais, galima vykdyti norimą PHP kodą atakuojamoje sistemoje.

Turbūt pats populiariausias būdas pasinaudojant lokalaus failo įterpimo pažeidžiamumu vykdyti norimą PHP kodą yra taip vadinamas registracijos žurnalų nuodijimas: įsilaužėlis gali patalpinti norimą vykdyti kodą užklausų registravimo žurnaluose, pasinaudodamas tiek failų pavadinimais, tiek suklastodamas HTTP antraštės „User Agent“ laukelį. Kitas žingsnis, kurį turi padaryti įsilaužėlis - tai „sušerti“ užnuodytą registracijos žurnalo failą pažeidžiamam skriptui, o kad tai padarytų, jam reikia žinoti kelią iki registracijos žurnalo failo. Nors kartais naudojami standartiniai keliai, tačiau įvertinant lanksčias Apache web serverio konfigūracines galimybes ir administratorių kūrybiškumą, tokios situacijos tikimybė žymiai sumažėja. Todėl įsilaužėlis gali pasitelkti Linux operacinės sistemos privalumais. Konkrečiai kalbėsime apie „/proc“ failinę sistemą, kurioje saugoma įvairiausia informacija apie sistemoje veikiančius procesus. „/proc“ struktūroje yra speciali direktorija „/proc/self“, kuri yra simbolinė nuoroda į saugomą informaciją apie esamą procesą. Šiuo atveju mus labiausiai domina direktyva „/proc/self/fd“ kurioje saugoma su esamuoju procesu susieti failų deskriptoriai. Šie failų deskriptoriai mums suteikia tiesioginį priėjimą prie failų su kuriais dirba WEB serverio procesas - todėl atspėjus tinkamą failų deskriptorių mes turime galimybę skaityti Apache registravimo žurnalus.

Atspėjus tinkamą failo deskriptoriaus numerį belieka įterpti norimą vykdyti PHP kodą į užklausą. Kaip minėjau, tai patogiausia atlikti pasitelkiant HTTP antraštės „User agent“ laukelį. Įterpiame:

<? system($_GET[cmd]); ?>

Dar viena galimybė apeiti PHP apribojimus atsiranda pasitelkus PHP sesijų failus. Naudojantis standartinėmis PHP sesijų funkcijomis laikinųjų failų direktorijoje sukuriamas failas ,kuriame talpinamas PHP masyvas su sesijos informacija. Žinant, jog dažnais atvejais vartotojas gali kontroliuoti sesijoje talpinamą informaciją ir žino kur saugomi laikinieji sesijų failai, įsilaužėlis gali panaudoti sesijų failus lokalaus failo įterpimo atakoje Laikinųjų failų direktorija daugeliu atvejų bus „/tmp“, belieka išsiaiškinti kokiu pavadinimu bus saugomas mūsų sesijos failas - PHP sesijų failai saugomi tokiu pavidalu „sess_[sesijos_id]“, tad belieka sužinoti sesijos identifikacinį numerį, kuris saugomas ir vartotojo pusėje – cookie‘je.

„Užnuodijus“ sesijos informaciją norimu PHP kodu belieka pateikti sesijos failą pažiedžiamam skriptui. Mūsų atveju testinėje sistemoje sesijų failai buvo saugomi direktorijoje „/var/lib/php/session/“ ir į sesiją įterpėme kodą: <? system($_GET[v]); ?>

Kartu su sesijos failo informacija matome ir mūsų įvykdytos komandos rezultatą . Šis būdas su sesijomis turi vieną privalumą prieš aprašytą aukščiau: naudodamiesi šiuo metodu, galime apeiti „open_basedir“ apribojimus, nes dažniausiai būna leidžiama prieiti prie laikinųjų failų direktorijos, o prie „/proc“ ne. Išnaudojant lokalaus failo įterpimo pažeidžiamumus ir pasitelkus vaizduotę galima rasti ne vieną būdą kaip žinomoje vietoje serveryje patalpinti norimą vykdyti kodą, ir tam gali pasitarnauti ne tik tiesiogiai su tuo susijęs WEB servisas, bet ir kiti serveryje veikiantys procesai.

Komentarai

num da rašo:

2009-02-24 09:04:39

chebra, ”gražiai” elgiatės, kaip tikri ”demokratinės santvarkos šalininkai”. trinti nepatikusius komentarus - lengviausias kelias. pasikartosiu - STRAIPSNIS VISIŠKAI NEAKTUALUS NŪDIENAI DĖL ĮSIVYRAVUSIŲ KONFIGURACINIŲ ”MADŲ” BEIGI SOFT’O PAŽANGOS. rašymas dėl rašymo.

cyberpunk rašo:

2009-02-24 09:22:53

O kada pirma karta komentavai? Nes niekas komentaro netryne. O del straipsnio aktualumo tai paaiskink tas madas ir softo pazanga.

tas pats rašo:

2009-02-24 11:10:31

nepamenu, praktiškai kai tik straipsnis pasirodė...
pirmiausia nėra nė vienos svetainės lietuvos padangėse (kalbu bent šiek tiek solidesnes ir nekalbu apie užsienio porn ir panašaus turinio saitus) kur būtų egzistuojanti include klaida. visose bent kiek pažangesnėse turinio valdymo sistemose tokio modulių valdymo principo atsisakyta.
antra, taip pat praktiskai visų hostingo kompanijų (nekalbu apie pavienius atvejus su išlikusiom senom įdom) serverių nustatymai draudžia ”išlipti” iš už ”DOCUMENT_ROOT” ribų ar vykdyti sistemines komandas.
čia kalbu iš asmeninės patirties, nuolat tenka susidurt su ivairiom svetainėm, turinio valdymo sistemom, serveriais ir hostingais.

mircia rašo:

2009-02-24 15:24:43

Kas liečia porn saitus, tai ten kaip tik situacija retai kada bloga būna, nes savininkai tuo suinteresuoti. Kas liečia tavo asmeninę patirtį, tai džiugu jog ji tokia gera. Tuo tarpu mes, matyt dėl to, kad ieškom atidžiai - randam daugiau nei pamato su įvairiom svetainėm, turinio valdymo sistemom, serveriais ir hostingais susiduriantys žmonės. Ir tikrai, RFI pasitaiko (su išimtimis) tik legacy sistemose, bet lokalius failus includinti dar galima rasti kur - tiek lankytojui matomoje svetainės dalyje, tiek ir adminkėje, tiek ir developerių paliktuose ”backdooruose”. O tobulos whatever+PHP konfigūracijos pasitaiko praktiškai niekada.

Tadas Vilkeliskis rašo:

2009-02-24 15:31:02

Kaip jus viska suasmeninat tuoj pat :D atrodo lyg koks karas prasidejo. Siaip pats metodas atrodo labai pasenes ir turbut retai tai rasi, bet kaip mircia sake galima visko atrast :) O kas liecia porno saitus tai jie ir yra labiausiai bugovi. Ar ish vienos ar ish kitos puses. Galite pasiskaityti gana idomu straipsniuka all your iframes point to us is usenix security symposium. Nors ten daugiau apie malware plitima per web. Tai gal sudomins. Beje kur nuorodos i saltinius? :) Ar norit pasakyt, kad viska taip patys ir atradot? :D

lialius rašo:

2009-02-24 15:32:14

seip tikrai sitokio straipnsio naudingumas butu pats tas pries kokius 4 metus.
dabar daugumoje serveriu safemode’as ijungtas ir kukuoji...
is esmes dazniausiai likusios skyles tai sql injekciju galimybe :) visgi pramoga pazaisti :D

Kampainis rašo:

2009-02-24 15:38:50

na jei jus safe_mode stabdo tj chebryte utititiu kakeriukai :DD

cyberpunk rašo:

2009-02-24 15:44:29

Perziurejes urlscano logus, matau, kad musu biedna saita botai bando kasdien ~50 kartu exploitinti panaudojant remote file include pazeidziamuma. Taciau taip includai nyksta, pazeidziamumas jau pakankamai eskaluotas, todel atitinkamai yra imtasi ivairiu prevencijos priemoniu. Hostingo provaideriai vietoj degaus skyscio pilimo i leika jau ijungia keleta saugumo nustatymu, pavyzdziui ”safe_mode”, bet kaip praktika rodo to nepakanka, galime prisiminti kuju ir pjautuvu antpuoli per kuri kentejo keletas hostex serveriu ir atrodo dar vienas, kuris talpino valstybinius tinklalapius, tyliai kencia ir kitu hostingo kompaniju serveriai, pvz.: http://www.informacijosapsauga.lt/uncategorized/pabus-tuscia/. Aprasyta isnaudojimo technika galbut ir nepasiteisintu minetuose servuose, bet be ju yra begale kitu - pazeidziamu.

Tadai, LFI isnaudojamas seniai, cia galbut tik idomiai suzaidzia su /proc/self, o daugiau viskas saugumu uzhsimantiems yra zinoma.

Tomas rašo:

2009-02-24 15:45:30

Apie šiuos metodus yra rašę ne vienas, todėl kažkokio vieno šaltinio neisskyrem. Beto jokio komentaro niekas netryne, tai arba tu jo neparasei arba jis kazkokiu stebuklingu budu neisirase i duomenu baze.

kad butu ramiau rašo:

2009-02-24 15:50:01

http://www.milw0rm.com/papers/260
http://itbloggen.se/cs/blogs/secteam/archive/2009/01/26/alternative-ways-to-exploit-PHP-remote-file-include-vulnerabilities.aspx

taduks utele rašo:

2009-02-25 11:22:04

hakerai paskaitykit php changeloga, kiekvienoje versijoje taisomas kreivas safe_mode

zigzag rašo:

2009-02-25 18:02:29

Jei teisingai pamenu, tai nuo php 6.0 versijos safe_mode režimo bus visai atsisakyta. Priežastys: realiai jis nieko taip ir neapsaugo (nes pastoviai randama būdų jam apeiti), o programeriai bei adminai palieka skyles per daug juo pasitikėdami.

beck rašo:

2009-03-03 04:56:26

tai vel hotsexo serva susiradot :)

as rašo:

2009-03-13 17:23:46

nu hakeriai patarkit ka galima butu padaryt su siuo variantu:
http://vollit
.lt/titulinis.php?uzklausa=../../../etc/passwd

Gintar Sakas rašo:

2009-03-13 19:53:45

Pranešk adminams apie klaidą ;)

as rašo:

2009-03-13 21:17:23

is pradziu reik kazkaip isnaudot sita klaida, bet as pora dienu sedejau niek
o nesugalvojau.. :))

briedis rašo:

2009-03-13 22:15:08

prisijuokausit su medziotoju saitu

ponas rašo:

2009-03-14 16:44:46

pranesk apie klaida.

Vardas:
Komentaras: