Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

201_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

17.2 Mб

Скачать

☆

<<< < Предыдущая 5 6 7 8 9 10 11 12 13 14 15 1617 / 3517 18 19 20 21 22 23 24 25 26 27 28 29 > Следующая >>>

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

					hang		e
				C			e	E
			X					E
		-							d
		F								t
		D								i
		D								r
	P						NOW!			o
	P
						BUY
					to
w Click											m


w
		w								o
		.							.c
			p					g
				df			n		e
					-x cha

Сериализованный объект после обработки плагином можно легко модифицировать

Задача: Эксплуатация уязвимостей через сериализованные объекты Java

Переходим ко второй атаке, которая связана с двоичной сериализацией в Java. Мы, как ты помнишь, были несколько ограничены в возможностях: да, поменять данные объектов можно, а вот отправлять произвольные объекты и получить в итоге RCE (как бывает в случае других языков) можем лишь при определенных условиях :).

Java, как мы видим, берет на себя все необходимое для сериализации и десериализации. Но это не всегда удобно. Есть ряд ситуаций, когда программисту необходимо дополнить или изменить эти механизмы. Например, добавить шаги, выполняемые несериализуемым родителем класса в конструкторе с па-

hang

NOW!

BUY

w Click

-xcha

раметрами. Для этих целей программист может переопределить для класса

-x cha

методы readObject и writeObject и добавить туда необходимые команды:

Самый важный момент для нас с точки зрения атаки в том, что readObject всегда вызывается раньше приведения типа (casting) объекта:

Другими словами, сначала будет вызван readObject и создастся некий объект, а уже его попробуют привести к нужному классу.

Эти два факта нам дают вот что. В приложение мы можем отправлять любой объект, класс которого «известен» приложению (то есть в classpath приложения), и при этом будет вызван readObject этого класса.

Правда, вторая необходимая для атаки часть зависит от конкретных уязвимостей. Нужен класс с уязвимым readObject. Поясню на примере. Есть такая библиотека, как Apache Common Uploads, она используется для управления загрузкой файлов на сервер и очень распространена. В ней есть куча различных классов. Один из них — DiskFileItem.

С его помощью можно добиться того, чтобы файл, загруженный пользователем в приложение, разместился во временной директории, а потом при необходимости был сериализован, перенесен на другую машину или кластер и воссоздан там при помощи десериализации. Это суперфича, так что патчить ее вряд ли будут.

Но получается, что класс DiskFileItem сериализуем. Кроме того, у него переопределены writeObject и readObject. Код в readObject очень размазан, так что приведу лишь его суть. В соответствии с указанной выше логикой, при десериализации должен быть создан временный файл и в него должен попасть контент из объекта. Важно и то, что путь до временного файла состоит из двух частей: путь к директории хранится в private переменной DiskFileItem (repository), а имя задается случайным образом в процессе readObject. Суть же уязвимости библиотеки заключалась в том, что она «не беспокоилась» о null-байте в имени директории в repository. В repository мы могли указать полный путь до файла, а не только до директории (/any/path/in/OS/including.ile.

hang

NOW!

BUY

w Click

-xcha

name\x00), а добавляемое при readObject случайное имя файла обрезалось

-x cha

бы уже нативными библиотеками ОС (для которых null-байт — конец строки).

Таким образом, если у нас есть приложение, которое читает сериализуе-

мые данные, то мы можем отправить ему объект класса DiskFileItem с пере-

менной repository, исправленной на произвольный путь (с private поможет

предыдущая задачка). И в итоге при десериализации приложение выполнит

readObject класса DiskFileItem и создаст файл с нашим контентом в произ-

вольном месте. На практике это дает нам RCE.

Конечно, был выпущен патч, в котором readObject при десериализации

проверяет присутствие null-байта. Да и к тому же с какой-то из версий Java 1.7,

саму возможность атаки с null-байтом прикрыли. Тем не менее остается воз-

можность контролировать полный путь до директории, что тоже часто очень

существенно.

Важнее всего то, что приложение ждет на вход объект определенного

класса (например, Employee), а мы ему подаем DiskFileItem и при этом из-за

readObject можем как-то влиять (атаковать) на саму ОС или приложение.

Если крупное приложение работает с сериализуемыми данными, то оно

должно быть уверено, что ни в одном сериализуемом классе (из тех, что есть

вclasspath) нет readObject с уязвимостями.

Яздесь сконцентрировал внимание на readObject (writeObject). Но есть еще readResolve (writeReplace), которая представляет аналогичный интерес.

А также есть интерфейс Externalizable. Это дочерний класс Serializable, но с ним программист должен сам полностью описывать процесс сериализации и десериализации объекта.

Спасибо за внимание и успехов в познании нового!

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY						ВЗЛОМ
			df-xchan								ВЗЛОМ
w Click				to						m
w
	w								o
	.							.c
		p					g
								e

Борис Рютин, ZORSecurity b.ryutin@tzor.ru @dukebarman dukebarman.pro

WARNING

Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности

за любой возможный вред, причиненный материалами данной статьи.

ОБЗОР

ЭКСПЛОЙТОВ

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

АНАЛИЗ СВЕЖЕНЬКИХ УЯЗВИМОСТЕЙ

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Сегодня мы с тобой рассмотрим уязвимость в популярном багтрекере Bugzilla, которая позволяет повысить привилегии на большинстве доменов, и разберем свежий эксплоит для Android, который стал возможен из-за неудачного патча.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ПОВЫШЕНИЕ ПРИВИЛЕГИЙ В BUGZILLA

CVSSv2:	N/A
Дата релиза:	17 сентября 2015 года
Автор:	Netanel Rubin
CVE:	CVE-2015-4499

Bugzilla — популярный баг-трекер с открытым исходным кодом и веб-интер- фейсом. Он принадлежит Mozilla, используется большим количеством компаний. Bugzilla позволяет организовать все найденные ошибки в своих продуктах

иследить за их исправлениями, а также обмениваться информацией и определять степень угрозы.

Благодаря найденной уязвимости в этой системе атакующий может повысить свои привилегии и получить доступ не только к изменениям, но и к скрытым от простых глаз ошибкам, которые несут угрозу безопасности.

Механизм аутентификации в Bugzilla завязан на проверке адреса электронной почты. Для правильной регистрации пользователи вводят свой email,

исистема отправляет ссылку с активацией на этот адрес. Такая ссылка содержит токен, который позволяет пользователю зарегистрироваться с указанным адресом и установить в настройках свое реальное имя и действующий пароль.

Когда пользователь регистрирует email, адрес сохраняется в таблице tokens вместе с самим токеном. Адрес сохраняется в столбце с именем eventdata.

После того как пользователь при помощи токена подтвердил свою почту, адрес берется из столбца eventdata и используется для создания действующего аккаунта. Когда аккаунт создан, срабатывают автоматические политики безопасности и устанавливают соответствующие права. Часто они основаны на соответствующем домене, доступ к которому атакующему получить очень сложно.

Всеэтоделаетадреспочтычрезвычайноважнойчастьюмеханизма—имен- но от адреса зависят права доступа в системе. Из-за этого он оказывается слабым звеном. Что, если атакующий как-то получит токен на подходящий под условия почтовый ящик? Именно так и вышло.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

					hang		e
				C			e	E
			X					E
		-							d
		F								t
		D								i
		D								r
	P						NOW!			o
	P
						BUY
					to
w Click											m


w
		w								o
		.							.c
			p					g
				df			n		e
					-x cha

Для начала разберем код, который отвечает за отправку и валидацию токенов. Введенный пользователем email проверяется на наличие запрещенных (опасных) символов и исправляется соответствующим образом. Затем создается токен для этого ящика.

Посмотрим функцию issue_new_user_account_token().

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

					hang		e
				C			e	E
			X					E
		-							d
		F								t
		D								i
		D								r
	P						NOW!			o
	P
						BUY
					to
w Click											m


w
		w								o
		.							.c
			p					g
				df			n		e
					-x cha

Если внимательно прочесть код, то можно заметить, что токен, который создается для пользователя, заносится в БД и затем вставляется в письмо, которое отправляется на адрес регистрации. Это важная особенность, так как система не проверяет, правильно ли он создался. Считается, что все заведомо нормально, и программа отправляет подтверждение на указанный email.

Нам нужно как-то испортить адрес перед тем, как он будет вставлен в БД. Столбец eventdata, в котором хранится адрес, имеет тип tinytext. Этот тип данных представлен как обычная строка текста и в MySQL имеет ограничение в 255 байт. Для остальных БД Bugzilla искусственно устанавливает размер, равный 255, и использует тип text. Что же будет, если мы превысим этот лимит? Может быть, БД вернет исключение? Упадет база? Нет! Такая строка автоматически будет округлена до указанного размера.

EXPLOIT

Мы можем создать email длиннее 255 символов, а после усечения он будет на том домене, который выберем. Создаем почтовый ящик на подконтрольном нам домене с соответствующим именем и добавляем в него домен атакуемой системы.

После этих манипуляций к нам на почтовый ящик приходит письмо со ссылкой на активацию, а в БД содержится усеченный адрес, для которого система при нужных настройках автоматически выдаст нам высокие права доступа.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Скриншот полученных прав доступа на bugzilla.mozilla.org

Оригинальный отчет опубликован в блоге компании автора.

TARGETS

Версии до 10 сентября 2015 года.

SOLUTION

Есть исправление от производителя.

					hang		e
				C			e	E
			X					E
		-							d
		F								t
		D								i
		D								r
	P						NOW!			o
	P
						BUY
					to
w Click											m


w
		w								o
		.							.c
			p					g
				df			n		e
					-x cha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY						ВЗЛОМ
			df-xchan								ВЗЛОМ
w Click				to						m
w
	w								o
	.							.c
		p					g
								e

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ПРОХОДИМ

FLARE-ON CHALLENGE

РАЗБОР ЗАДАНИЙ ОТ FIREEYE LABS ADVANCED REVERSE ENGINEERING TEAM

Денис Иванов

@forreverse

hang

NOW!

BUY

w Click

С 28 июля по 8 сентября команда FLARE (FireEye Labs

-xcha

-x cha

Advanced Reverse Engineering team), входящая в состав компании FireEye и занимающаяся разработкой систем защиты от угроз «нулевого дня» и таргетированных атак, проводила свой второй по счету конкурс в формате CTF (capture the flag).

Основной темой заданий был реверсивный анализ, поэтому в первую очередь challenge касался специалистов в области реверсивного анализа и аналитиков вредоносного программного обеспечения, ну и всех остальных специалистов в области компьютерной безопасности тоже. Разбору заданий конкурса и будет посвящена эта статья.

ПРЕДЫСТОРИЯ

Сначала пара слов о самом мероприятии. Конкурс проводился в формате CTF. Флагом, то есть ответом к каждому заданию, был адрес электронной почты

вдомене flare-on.com, при отправке сообщения на который присылалось письмо со следующим заданием. Все задания, а их было одиннадцать, полностью связаны с реверсивным анализом. Все они были посвящены обходу самописных алгоритмов криптографии и самодельных способов обфускации кода.

Дело осложняло еще то, что применялось большое количество разнообразных платформ и языков (.NET, Android Package, Windows-драйвер, ELF, скомпилированный под ARM), разнообразные способы конвертации основного кода

воболочки другого кода (нпример, код Python, конвертированный в EXE, скрипт AutoIt, конвертированный в EXE), а также немного стеганографии и анализа трафика. В общем, все те вещи, с которыми может столкнуться аналитик вредоносного кода в течение своего рабочего дня, — все перечисленные методы злоумышленники активно применяют для обхода антивирусных решений.

Но довольно слов, давай перейдем непосредственно к заданиям и посмотрим, как надо было их проходить.

FLARE-ON CHALLENGE 1

Первое задание можно получить по этой ссылке. Как и положено, оно очень простое. Поэтому подробно останавливаться на нем не будем. При запуске программы она ожидает ввод строки в стандартный поток ввода. Далее строка сравнивается с эталоном, жестко прописанным в коде. Но предварительно

<<< < Предыдущая 5 6 7 8 9 10 11 12 13 14 15 1617 / 3517 18 19 20 21 22 23 24 25 26 27 28 29 > Следующая >>>

Соседние файлы в папке журнал хакер

#
20.04.202418.23 Mб12196_Optimized.pdf
#
20.04.202419.05 Mб12197_Optimized.pdf
#
20.04.202462.63 Mб12198_Optimized.pdf
#
20.04.202454.2 Mб12199_Optimized.pdf
#
20.04.202421.92 Mб12200_Optimized.pdf
#
20.04.202417.2 Mб12201_Optimized.pdf
#
20.04.202413.99 Mб13202_Optimized.pdf
#
20.04.202411.45 Mб12203_Optimized.pdf
#
20.04.202411.07 Mб12204_Optimized.pdf
#
20.04.202413.88 Mб12205_Optimized.pdf
#
20.04.202415.41 Mб12206_Optimized.pdf